Fassung 2 / Edizione n°2 vom / del 15.12.2011
Seite / Pag. 63/64
Devono essere effettuate verifiche periodiche sul funzionamento delle reti e sulle anomalie riscontrate, nonché attività
periodiche di vulnerability assessment ed ethical hacking al fine di valutare le vulnerabilità dei sistemi ed il monitoraggio degli
accessi sia fisici sia logici alle porte diagnostiche e di configurazione.
22.3. GESTIONE DEI SISTEMI HARDWARE
Deve essere prevista la compilazione e la manutenzione di un inventario aggiornato dell’hardware in uso presso la Società e
definite le responsabilità e le modalità operative in caso di implementazione e/o manutenzione di hardware.
22.4. GESTIONE DEI SISTEMI SOFTWARE
Deve essere prevista la compilazione e manutenzione di un inventario aggiornato del software in uso presso la Società.
Può essere utilizzato solo software formalmente autorizzato e certificato: a tal fine deve essere prevista l’effettuazione, sui
principali sistemi, di verifiche periodiche sui software installati e sulle memorie di massa dei sistemi in uso al fine di controllare
la presenza di software proibiti e/o potenzialmente nocivi.
Per il processo di change management, volto alla manutenzione del software o a nuove implementazioni, deve essere
prevista l’esistenza di ambienti separati, isolati dagli ambienti operativi.
Devono essere individuate modalità di controllo e test:
−
dello sviluppo di nuovo software, qualora affidato in outsourcing,
−
di modifiche o di interventi di manutenzione apportati da personale interno o da provider esterni.
22.5. GESTIONE DEGLI ACCESSI FISICI AI SITI OVE RISIEDONO LE INFRASTRUTTURE IT
Devono essere implementate misure di sicurezza fisica dei siti ove risiedono le infrastrutture, individuando le modalità di
vigilanza, la frequenza, le responsabilità, il processo di reporting delle violazioni/effrazioni dei locali tecnici o delle misure di
sicurezza, le contromisure da attivare.
Deve essere prevista la definizione delle credenziali fisiche di accesso ai siti ove risiedono i sistemi informativi e le
infrastrutture IT quali, a titolo esemplificativo, codici di accesso, token authenticator, pin, badge, valori biometrici e la
tracciabilità degli stessi.
22.6. GESTIONE E SICUREZZA DELLA DOCUMENTAZIONE IN FORMATO DIGITALE
Deve essere implementato un sistema di gestione delle chiavi a sostegno dell’uso delle tecniche crittografiche per la
generazione, distribuzione, revoca ed archiviazione delle chiavi.
Devono essere previsti controlli per la protezione delle chiavi da possibili modifiche, distruzioni, utilizzi non autorizzati.