Ministero dell'Istruzione - ISTITUTO COMPRENSIVO DI LEFFE
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Ministero dell’Istruzione
ISTITUTO COMPRENSIVO DI LEFFE
Via Locatelli, 44 – 24026 Leffe (BG) - Tel. 035/731350 - C.F. 90017470163
BGIC853009@istruzione.it - BGIC853009@pec.istruzione.it
www.icleffe.edu.it - Codice univoco per Fatturazione Elettronica: UFUUKA
Misure minime di sicurezza ICT per le pubbliche
amministrazioni
Piano di adozione
Prot.n. 720/A23 del 29/03/2021
Ver.02 del 29 marzo 2021Indice
- Piano di adozione delle misure minime di sicurezza IC LEFFE
- ALLEGATO 1 – ATREZZATURE INFORMATICHE SCUOLE
PRIMARIE E SECONDARIA
• 1.A Attrezzature informatiche Scuola Primaria di Leffe
• 1.B Attrezzature aula informatica Scuola Primaria di Leffe
• 1.C Tablet Progetto PON 2019/2020
• 1.D Attrezzature informatiche Scuola Secondaria Leffe
• 1.E Attrezzature aula informatica Scuola Secondaria Leffe
• 1.F Attrezzature informatiche Scuola Primaria di Peia
- ALLEGATO 2 – ATTREZZATURE INFORMATICHE
SEGRETERIA E DIRIGENZA
- ALLEGATO 3 – SOFTWARE AUTORIZZATI
- ALLEGATO 4 - Misure minime di sicurezza Gruppo Madisoft S.p.A.
- ALLEGATO 5 - Misure minime di sicurezza Electribe di Costarella Giovanni
2Piano delle Misure Minime di Sicurezza
Il presente documento definisce le misure minime di sicurezza ICT adottate dall’Istituto Comprensivo
di Leffe (BG), in attuazione della direttiva del Presidente del Consiglio dei ministri 1° agosto 2015,
definendo il livello di protezione all’organizzazione informatica, individuando gli interventi idonei per
il suo adeguamento.
L’aumento degli eventi cibernetici a carico della pubblica amministrazione determina l'esigenza di
consolidare un sistema di reazione efficiente, con l'obiettivo di assicurare la resilienza
dell'infrastruttura informatica locale, a fronte di eventi quali incidenti o azioni ostili che possono
compromettere il funzionamento dei sistemi e degli assetti fisici controllati dagli stessi.
L’elemento comune e caratteristico degli attacchi più pericolosi è l'assunzione del controllo remoto
della macchina attraverso una scalata ai privilegi.
Le misure preventive, devono essere affiancate da efficaci strumenti di rilevazione, in grado di
abbreviare i tempi che intercorrono dal momento in cui l'attacco primario è avvenuto e quello in cui
le conseguenze vengono scoperte.
Diviene pertanto fondamentale la rilevazione delle anomalie operative e ciò rende conto
dell'importanza data agli inventari, che costituiscono le prime due classi di misure, nonché la
protezione della configurazione, che è quella immediatamente successiva.
Le vulnerabilità sono l'elemento essenziale per la scalata ai privilegi che è condizione determinante
per il successo dell'attacco; pertanto la loro eliminazione è la misura di prevenzione più efficace.
Le misure di protezione sono quindi necessarie per impedire l’obiettivo primario di alcuni attacchi e
cioè la sottrazione delle informazioni o l’indisponibilità delle stesse mediante criptazione.
Il presente documento è una versione aggiornata della prima stesura avvenuta nell’anno 2017.
3ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON
AUTORIZZATI
ABSC_ID Liv. Descrizione Modalità di implementazione
La scheda ALLEGATO 1 - INVENTARIO
RISORSE contiene l’ inventario di tutte le
risorse attive individuate per indirizzo Ip, tipo
risorsa e ubicazione. I dispositivi collegati alla
Implementare un inventario delle risorse rete hanno assegnato IP dinamico del server
1 1 1 M attive correlato a quello ABSC 1.4 DHCP.
Implementare ABSC 1.1.1 attraverso uno Allegato 1 –formato word che viene aggiornato
strumento automatico costantemente attraverso un documento “Fogli” di
1 1 2 S Google condiviso fra segreteria, DSGA, DS e
referenti informatici.
Effettuare il discovery dei dispositivi collegati
1 1 3 A alla rete con allarmi in caso di anomalie.
Qualificare i sistemi connessi alla rete
1 1 4 A attraverso l'analisi del loro traffico.
Implementare il "logging" delle operazione del
1 2 1 S server DHCP.
Utilizzare le informazioni ricavate dal
"logging" DHCP per migliorare l'inventario
1 2 2 S delle risorse e identificare le risorse non
ancora censite.
Aggiornare l'inventario quando nuovi L’inventario viene aggiornato ogni qualvolta
1 3 1 M dispositivi approvati vengono collegati in rete. viene collegato un nuovo dispositivo attraverso
la modifica del documento “Fogli” di Google
condiviso fra segreteria, DSGA, DS e referenti
informatici.
Aggiornare l'inventario con uno strumento
1 3 2 S automatico quando nuovi dispositivi
approvati vengono collegati in rete.
Gestire l'inventario delle risorse di tutti i L’Allegato 1 contiene l’inventario delle risorse.
1 4 1 M sistemi collegati alla rete e dei dispositivi di I dispositivi sono configurati con DHCP.
rete stessi, registrando almeno l'indirizzo IP.
Per tutti i dispositivi che possiedono un
indirizzo IP l'inventario deve indicare i nomi
delle macchine, la funzione del sistema, un
titolare responsabile della risorsa e l'ufficio
1 4 2 S associato. L'inventario delle risorse creato
deve inoltre includere informazioni sul fatto
che il dispositivo sia portatile e/o personale.
Dispositivi come telefoni cellulari, tablet, La gestione della rete attraverso il server dati è
laptop e altri dispositivi elettronici portatili che sempre monitorata attraverso la registrazione
memorizzano o elaborano dati devono essere delle connessioni e dei flussi di dati sia a livello
1 4 3 A identificati, a prescindere che siano collegati o centrale che da remoto da parte del tecnico di
meno alla rete dell'organizzazione. supporto all’amministratore di sistema.
Installare un'autenticazione a livello di rete via
802.1x per limitare e controllare quali
dispositivi possono essere connessi alla rete.
1 5 1 A L'802.1x deve essere correlato ai dati
dell'inventario per distinguere i sistemi
autorizzati da quelli non autorizzati.
Utilizzare i certificati lato client per validare e
1 6 1 A autenticare i sistemi prima della connessione a
una rete locale.
4ABSC 2 (CSC 2): INVENTARIO DEI SOFTWARE AUTORIZZATI E NON
AUTORIZZATI
ABSC_ID Liv. Descrizione Modalità di implementazione
Stilare un elenco di software autorizzati e Allegato 2: Lista software autorizzati
relative versioni necessari per ciascun tipo di Gli utenti sono semplici “utenti” della macchina
sistema, compresi server, workstation e laptop e non possono installare software.
2 1 1 M di vari tipi e per diversi usi. Non consentire L’installazione dei software viene effettuata
l'installazione di software non compreso dagli incaricati.
nell'elenco.
Implementare una "whitelist" delle applicazioni
autorizzate, bloccando l'esecuzione del
software non incluso nella lista. La "whitelist"
2 2 1 S può essere molto ampia per includere i
software più diffusi.
Per sistemi con funzioni specifiche (che
richiedono solo un piccolo numero di
programmi per funzionare), la "whitelist" può
essere più mirata. Quando si proteggono i
sistemi con software personalizzati che può
2 2 2 S
essere difficile inserire nella "whitelist",
ricorrere al punto ABSC 2.4.1 (isolando il
software personalizzato in un sistema
operativo virtuale).
Utilizzare strumenti di verifica dell'integrità
2 2 3 A dei file per verificare che le applicazioni nella
"whitelist" non siano state modificate.
Eseguire regolari scansioni sui sistemi al fine di Gli utenti non hanno diritti di amministratore e
2 3 1 M rilevare la presenza di software non pertanto non possono installare software non
autorizzato. autorizzato
Mantenere un inventario del software in tutta E’ istituito presso la Segreteria un registro delle
l'organizzazione che copra tutti i tipi di licenze di tutti i software didattici installati sui
2 3 2 S sistemi operativi in uso, compresi server, diversi device dell’istituto.
workstation e laptop.
Installare strumenti automatici d'inventario
del software che registrino anche la versione
del sistema operativo utilizzato nonché le
2 3 3 A applicazioni installate, le varie versioni ed il
livello di patch.
Utilizzare macchine virtuali e/o sistemi air-
gapped per isolare ed eseguire applicazioni
necessarie per operazioni strategiche o critiche
2 4 1 A dell'Ente, che a causa dell'elevato rischio non
devono essere installate in ambienti
direttamente collegati in rete.
5ABSC 3 (CSC 3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFTWARE
SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER
ABSC_ID Liv. Descrizione Modalità di implementazione
Tutte le macchine sono protette da password
amministratore e hanno un antivirus installato.
Utilizzare configurazioni sicure standard per
Gli utenti non hanno privilegi di
3 1 1 M la protezione dei sistemi operativi.
amministratore. Le configurazioni standard
sono quelle già previste dai Sistemi Operativi
che si ritengono sufficienti a garantire un livello
di sicurezza adeguato per la rete didattica. Per
la rete di segreteria si prevede oltre a quanto
detto al punto precedente un antivirus per la
navigazione in rete.
Le configurazioni sicure standard devono La procedura qui riportata viene puntualmente
corrispondere alle versioni "hardened" del eseguita nel momento in cui rientrano dal
sistema operativo e delle applicazioni “comodato d’uso” gli hardware che sono stati
installate. La procedura di hardening assegnati ad alunni ed eventualmente personale
3 1 2 S comprende tipicamente: eliminazione degli scolastico per l’erogazione della DDI.
account non necessari (compresi gli account
di servizio), disattivazione o eliminazione dei
servizi non necessari, configurazione di stack
e heaps non eseguibili, applicazione di patch,
chiusura di porte di rete aperte e non
utilizzate.
Assicurare con regolarità la validazione e
l'aggiornamento delle immagini
3 1 3 A d'installazione nella loro configurazione di
sicurezza anche in considerazione delle più
recenti vulnerabilità e vettori di attacco.
Definire ed impiegare una configurazione Le macchine omogenee per tipo e sistema
standard per operativo hanno delle configurazioni
workstation, server e altri tipi di sistemi usati standardizzate.
dall'organizzazione.
3 2 1 M
Eventuali sistemi in esercizio che vengano I ripristini verranno eseguiti rispettando le
3 2 2 M compromessi devono essere ripristinati configurazioni standard.
utilizzando la configurazione standard.
Le modifiche alla configurazione standard
3 2 3 S devono effettuate secondo le procedure di
gestione dei cambiamenti.
Le immagini d'installazione devono essere
3 3 1 M memorizzate offline.
Le immagini d'installazione sono conservate
in modalità protetta, garantendone
3 3 2 S l'integrità e la disponibilità solo agli utenti
autorizzati.
6Eseguire tutte le operazioni di Le connessioni remote potranno essere
amministrazione remota di server, effettuate tramite VPN o con specifici software
3 4 1 M workstation, dispositivi di rete e analoghe intrinsecamente sicuri.
apparecchiature per mezzo di connessioni
protette
(protocolli intrinsecamente sicuri, ovvero su
canali sicuri).
Utilizzare strumenti di verifica dell'integrità
3 5 1 S dei file per assicurare che i file critici del
sistema (compresi eseguibili di sistema e
delle applicazioni sensibili, librerie e
configurazioni) non siano stati alterati.
Nel caso in cui la verifica di cui al punto
3 5 2 A precedente venga eseguita da uno
strumento automatico, per qualunque
alterazione di tali file deve essere generato
un alert.
Per il supporto alle analisi, il sistema di
segnalazione deve essere in grado di
mostrare la cronologia dei cambiamenti
3 5 3 A
della configurazione nel tempo e identificare
chi ha eseguito ciascuna modifica.
I controlli di integrità devono inoltre
identificare le alterazioni sospette del
3 5 4 A sistema, delle variazioni dei permessi di file
e cartelle.
Utilizzare un sistema centralizzato di
3 6 1 A controllo automatico delle configurazioni che
consenta di rilevare e segnalare le modifiche
non autorizzate.
Utilizzare strumenti di gestione della
configurazione dei sistemi che consentano il
3 7 1 A ripristino delle impostazioni di
configurazione standard.
7ABSC 4 (CSC 4): VALUTAZIONE E CORREZIONE CONTINUA DELLA
VULNERABILITÀ
ABSC_ID Liv. Descrizione Modalità di implementazione
Ad ogni modifica significativa della
configurazione eseguire la ricerca delle Tramite il software Windows Defender è
vulnerabilità su tutti i sistemi in rete con possibile rilevare per ogni PC le vulnerabilità
4 1 1 M strumenti automatici che forniscano a ciascun dei software.
amministratore di sistema report con
indicazioni delle vulnerabilità più critiche.
4 1 2 S Eseguire periodicamente la ricerca delle
vulnerabilità ABSC 4.1.1 con frequenza
commisurata alla complessità
dell'infrastruttura.
Usare uno SCAP (Security Content Automation
Protocol) di validazione della vulnerabilità che
rilevi sia le vulnerabilità basate sul codice
4 1 3 A (come quelle descritte dalle voci Common
Vulnerabilities ed Exposures) che quelle
basate sulla configurazione (come elencate
nel Common Configuration Enumeration
Project).
Correlare i log di sistema con le informazioni
4 2 1 S
ottenute dalle scansioni delle vulnerabilità.
Verificare che i log registrino le attività dei
sistemi di scanning delle vulnerabilità
4 2 2 S
Verificare nei log la presenza di attacchi
4 2 3 S pregressi condotti contro target riconosciuto
come vulnerabile.
Eseguire le scansioni di vulnerabilità in
modalità privilegiata, sia localmente, sia da
remoto, utilizzando un
4 3 1 S account dedicato che non deve essere usato
per nessun'altra attività di amministrazione.
Vincolare l'origine delle scansioni di
vulnerabilità a specifiche macchine o indirizzi
IP, assicurando che solo il personale
4 3 2 S
autorizzato abbia accesso a tale interfaccia e la
utilizzi propriamente.
Assicurare che gli strumenti di scansione delle
vulnerabilità utilizzati siano regolarmente Il sistema aggiorna regolarmente il database
4 4 1 M aggiornati con tutte le più rilevanti ed il software.
vulnerabilità di sicurezza.
Registrarsi ad un servizio che fornisca
tempestivamente le informazioni sulle nuove
4 4 2 S minacce e vulnerabilità. Utilizzandole per
aggiornare le attività di scansione
Gli aggiornamenti e le patch del sistema
Installare automaticamente le patch e gli operativo vengono gestite dal sistema
aggiornamenti del software sia per il sistema operativo.
4 5 1 M Gli aggiornamenti dei applicativi vengono
operativo sia per le applicazioni.
effettuati con le tempistiche di rilascio da
parte delle SoftwareHouse proprietarie.
4 5 2 M Assicurare l'aggiornamento dei sistemi
separati dalla rete, in particolare di quelli air- Non sono presenti sistemi separati dalla rete.
gapped, adottando misure adeguate al loro
livello di criticità.
8Verificare regolarmente che tutte le attività di
scansione effettuate con gli account aventi
privilegi di amministratore siano state eseguite
4 6 1 S secondo delle policy predefinite.
Le vulnerabilità rilevanti vengono risolte
impiegando le idonee misure necessarie,
Verificare che le vulnerabilità emerse dalle
vulnerabilità minori vengono invece
4 7 1 M scansioni siano state risolte sia per mezzo di
valutate singolarmente.
patch, o implementando opportune
L’aggiornamento della versione di Java viene
contromisure oppure documentando e
valutato in funzione della compatibilità con i
accettando un ragionevole rischio.
software installati
Rivedere periodicamente l'accettazione dei
rischi di vulnerabilità esistenti per determinare
se misure più recenti o successive patch
4 7 2 S possono essere risolutive o se le condizioni
sono cambiate, con la conseguente modifica
del livello di rischio.
Definire un piano di gestione dei rischi che
tenga conto dei livelli di gravità delle La gestione dei rischi prevede il monitoraggio
vulnerabilità , del potenziale impatto e della periodico degli apparati e delle patch
4 8 1 M
tipologia degli apparati (e.g. server esposti, rilasciate.
server interni, PdL, portatili, etc.).
Attribuire alle azioni per la risoluzione delle
vulnerabilità un livello di priorità in base al La priorità degli interventi verrà
4 8 2 M rischio associato. In particolare applicare le programmata in base al rischio derivante
patch per le vulnerabilità a partire da quelle dalla vulnerabilità.
più critiche.
Prevedere, in caso di nuove vulnerabilità,
misure alternative se non sono
immediatamente disponibili patch o se i tempi
4 9 1 S
di distribuzione non sono compatibili con
quelli fissati dall'organizzazione.
4 10 1 S Valutare in un opportuno ambiente di test le
patch dei prodotti non standard (es.: quelli
sviluppati ad hoc) prima di installarle nei
sistemi in esercizio.
9ABSC 5 (CSC 5): USO APPROPRIATO DEI PRIVILEGI DI
AMMINISTRATORE
ABSC_ID Liv. Descrizione Modalità di implementazione
Limitare i privilegi di amministrazione ai soli
La modifica delle configurazioni dei sistema
utenti che abbiano le competenze adeguate e
è affidata esclusivamente agli utenti con
la necessità operativa di modificare la
5 1 1 M adeguate competenze tecniche.
configurazione dei sistemi.
Utilizzare le utenze amministrative solo per
5 1 2 M effettuare operazioni che ne richiedano i
privilegi, registrando ogni accesso effettuato.
5 1 3 S Assegnare a ciascuna utenza amministrativa
solo i privilegi necessari per svolgere le
attività previste per essa.
Registrare le azioni compiute da
5 1 4 A un'utenza amministrativa e
rilevare ogni anomalia di
comportamento.
Le credenziali degli utenti con diritti
Mantenere l'inventario di tutte le utenze amministrativi sono conservate in busta
amministrative, garantendo che ciascuna di chiusa e custodite in cassaforte.
5 2 1 M
esse sia debitamente e formalmente
autorizzata.
5 2 2 Gestire l'inventario delle utenze
A amministrative attraverso uno strumento
automatico che segnali ogni variazione che
intervenga.
Prima di collegare alla rete un nuovo Le credenziali sui nuovi dispositivi vengono
5 3 1 M dispositivo sostituire le credenziali adeguate.
dell'amministratore predefinito con valori
coerenti con quelli delle utenze amministrative
in uso.
Tracciare nei log l'aggiunta o la soppressione
di un'utenza amministrativa.
5 4 1 S
Generare un'allerta quando viene aggiunta
5 4 2 S un'utenza amministrativa.
Generare un'allerta quando vengano
5 4 3 S aumentati i diritti di un'utenza amministrativa.
Tracciare nei log i tentativi falliti di accesso
5 5 1 S con un'utenza amministrativa.
Utilizzare sistemi di autenticazione a più fattori
per tutti gli accessi amministrativi, inclusi gli
accessi di
amministrazione di dominio. L'autenticazione a
5 6 1 A più fattori può utilizzare diverse tecnologie,
quali smart card, certificati digitali, one time
password (OTP), token, biometria ed altri
analoghi sistemi.
Quando l'autenticazione a più fattori non è
La password deve essere generata rispettando
supportata, utilizzare per le utenze
5 7 1 M i seguenti criteri: almeno una lettera
amministrative credenziali di elevata
minuscola, ed almeno un numero.
robustezza (e.g. almeno 14 caratteri).
Impedire che per le utenze amministrative
vengano utilizzate credenziali deboli.
5 7 2 S
10Assicurare che le credenziali delle utenze
amministrative vengano sostituite con La password è conforme a quanto prescritto dalle
5 7 3 M
sufficiente frequenza (password aging). misure minime.
Impedire che credenziali già utilizzate La password non può essere riutilizzata per 10
5 7 4 M
possano essere riutilizzate a breve distanza cicli.
di tempo (password history).
Assicurare che dopo la modifica delle
5 7 5 S credenziali trascorra un sufficiente lasso di
tempo per poterne effettuare una nuova.
Assicurare che le stesse credenziali
amministrative non possano essere
5 7 6 S
riutilizzate prima di sei mesi.
Non consentire l'accesso diretto ai sistemi
con le utenze amministrative, obbligando gli
amministratori ad accedere con un'utenza
5 8 1 S
normale e successivamente eseguire come
utente privilegiato i singoli comandi.
Per le operazioni che richiedono privilegi gli
amministratori debbono utilizzare macchine
dedicate, collocate su una rete logicamente
5 9 1 S dedicata, isolata rispetto a Internet. Tali
macchine non possono essere utilizzate per
altre attività.
Assicurare la completa distinzione tra utenze
privilegiate e non privilegiate degli La distinzione è assicurata nella configurazione
5 10 1 M del server
amministratori, alle quali debbono
corrispondere credenziali diverse.
Tutte le utenze, in particolare quelle Sono associate a nome e cognome degli utenti ad
5 10 2 M amministrative, debbono essere nominative ogni credenziale di accesso.
e riconducibili ad una sola persona.
Le utenze amministrative anonime, quali "root"
di UNIX o "Administrator" di Windows, debbono
essere utilizzate solo per le situazioni di Le credenziali sono disponibili solo per i tecnici
5 10 3 M emergenza e le relative credenziali debbono esterni autorizzati
essere gestite in modo da assicurare
l'imputabilità di chi ne fa uso.
Evitare l'uso di utenze amministrative locali
per le macchine quando sono disponibili
5 10 4 S utenze amministrative di livello più elevato
(e.g. dominio).
Conservare le credenziali amministrative in Le credenziali degli utenti con diritti
5 11 1 M modo da garantirne disponibilità e amministrativi sono conservate in busta chiusa e
riservatezza. custodite in cassaforte
Se per l'autenticazione si utilizzano certificati
5 11 2 M digitali, garantire che le chiavi private siano Non vengono utilizzati certificati digitali
adeguatamente protette.
11ABSC 8 (CSC 8): DIFESE CONTRO I MALWARE
ABSC_ID Li Descrizione Modalità di implementazione
v.
Installare su tutti i sistemi connessi alla rete
locale strumenti atti a rilevare la presenza e Si utilizza quale antivirus il software Kaspersky.
bloccare l'esecuzione di malware (antivirus
8 1 1 M locali). Tali strumenti sono mantenuti
aggiornati in modo automatico.
Installare su tutti i dispositivi firewall ed IPS
8 1 2 M È attivo un firewall a protezione della rete.
personali.
Gli eventi rilevati dagli strumenti sono
8 1 3 S inviati ad un repository centrale
(syslog) dove sono stabilmente
archiviati.
Tutti gli strumenti di cui in ABSC_8.1 sono
8 2 1 S monitorati e gestiti centralmente. Non è
consentito agli utenti alterarne la
configurazione.
È possibile forzare manualmente dalla
console centrale l'aggiornamento dei sistemi
anti-malware installati su ciascun
8 2 2 S dispositivo. La corretta esecuzione
dell'aggiornamento è automaticamente
verificata e riportata alla console centrale.
L'analisi dei potenziali malware è effettuata
8 2 3 A su di un'infrastruttura dedicata,
eventualmente basata sul cloud.
Alla rete vengono abilitati all’accesso
8 3 1 M Limitare l'uso di dispositivi esterni a quelli esclusivamente i dispositivi necessari allo
necessari per le attività aziendali. svolgimento delle attività della segreteria /
didattica.
Monitorare l'uso e i tentativi di utilizzo di
8 3 2 A dispositivi esterni.
Abilitare le funzioni atte a contrastare lo
sfruttamento delle vulnerabilità, quali Data
Execution Prevention (DEP), Address Space
8 4 1 S Layout Randomization (ASLR),
virtualizzazione, confinamento, etc.
disponibili nel software di base.
Installare strumenti aggiuntivi di contrasto
8 4 2 A allo sfruttamento delle vulnerabilità, ad
esempio quelli forniti come opzione dai
produttori di sistemi operativi.
Usare strumenti di filtraggio che operano
8 5 1 S sull'intero flusso del traffico di rete per
impedire che il codice malevolo raggiunga
gli host.
Installare sistemi di analisi avanzata del
8 5 2 A software sospetto.
Monitorare, analizzare ed eventualmente
8 6 1 S bloccare gli accessi a indirizzi che abbiano
una cattiva reputazione.
8 7 1 M Disattivare l'esecuzione automatica dei Si
contenuti al momento della connessione dei
dispositivi removibili.
Si
Disattivare l'esecuzione automatica dei
8 7 2 M contenuti dinamici (e.g. macro) presenti nei
file.
12Si
Disattivare l'apertura automatica dei
8 7 3 M messaggi di posta elettronica.
Disattivare l'anteprima automatica dei
8 7 4 M Si
contenuti dei file.
Eseguire automaticamente una scansione
8 8 1 M anti-malware dei supporti rimuovibili al Si
momento della loro connessione.
Filtrare il contenuto dei messaggi di posta
8 9 1 M prima che questi raggiungano la casella del
destinatario, prevedendo anche l'impiego di
strumenti antispam.
Sì
8 9 2 M Filtrare il contenuto del traffico web.
Bloccare nella posta elettronica e nel traffico
web i file la cui tipologia non è strettamente Il firewall supporta la funzionalità di filtraggio
8 9 3 M necessaria per l'organizzazione ed è del tipo di files.
potenzialmente pericolosa (e.g. . cab).
Utilizzare strumenti anti-malware che
8 10 1 S sfruttino, oltre alle firme, tecniche di
rilevazione basate sulle anomalie di
comportamento.
Implementare una procedura di risposta agli
incidenti che preveda la trasmissione al
8 11 1 S provider di sicurezza dei campioni di
software sospetto per la generazione di
firme personalizzate.
13ABSC 10 (CSC 10): COPIE DI SICUREZZA
ABSC_ID Liv. Descrizione Modalità di implementazione
Effettuare almeno settimanalmente una copia
di sicurezza almeno delle informazioni Il backup è effettuato automaticamente ogni
10 1 1 M strettamente necessarie per il completo giorno
ripristino del sistema.
Per assicurare la capacità di recupero di un
sistema dal proprio backup, le procedure di
backup devono riguardare il sistema
10 1 2 A operativo, le applicazioni software e la parte
dati.
10 1 3 A Effettuare backup multipli con strumenti
diversi per contrastare possibili
malfunzionamenti nella fase di restore.
Verificare periodicamente l'utilizzabilità delle
10 2 1 S copie mediante ripristino di prova.
Assicurare la riservatezza delle informazioni
contenute nelle copie di sicurezza mediante
adeguata protezione fisica dei supporti ovvero Una copia dei backup è custodita in segreteria
10 3 1 M mediante cifratura. La codifica effettuata che viene chiusa ogni sera. Una copia è invece
prima della trasmissione consente la custodita in cloud dall’Amministratore di
remotizzazione del backup anche nel cloud. sistema con password.
Assicurarsi che i supporti contenenti almeno
una delle copie non siano permanentemente
accessibili dal sistema onde evitare che
10 4 1 M attacchi su questo possano coinvolgere anche I backup avvengono su NAS separati dal
tutte le sue copie di sicurezza. server
14ABSC 13 (CSC 13): PROTEZIONE DEI DATI
ABSC_ID Liv. Descrizione Modalità di implementazione
Effettuare un'analisi dei dati per individuare
quelli con particolari requisiti di riservatezza
13 1 1 M (dati rilevanti) e segnatamente quelli ai quali va All’interno della rete non ci sono dati da
applicata la protezione crittografica. crittografare.
Utilizzare sistemi di cifratura per i dispositivi
13 2 1 S portatili e i sistemi che contengono informazioni
rilevanti
Utilizzare sul perimetro della rete strumenti
automatici per bloccare, limitare ovvero
monitorare in maniera puntuale, sul traffico
13 3 1 A uscente dalla propria rete, l'impiego di
crittografia non autorizzata o l'accesso a siti che
consentano lo scambio e la potenziale
esfiltrazione di informazioni.
Effettuare periodiche scansioni, attraverso
sistemi automatizzati, in grado di rilevare sui
13 4 1 A server la presenza di specifici "data pattern",
significativi per l'Amministrazione, al fine di
evidenziare l'esistenza di dati rilevanti in chiaro.
13 5 1 A Nel caso in cui non sia strettamente necessario
l'utilizzo di dispositivi esterni, implementare
sistemi/configurazioni che impediscano la
scrittura di dati su tali supporti.
Utilizzare strumenti software centralizzati atti a
gestire il collegamento alle workstation/server
dei soli dispositivi esterni autorizzati (in base a
13 5 2 A numero seriale o altre proprietà univoche)
cifrando i relativi dati. Mantenere una lista
aggiornata di tali dispositivi.
6 1 Implementare strumenti DLP (Data Loss
13 A Prevention) di rete per monitorare e controllare i
flussi di dati all'interno della rete in maniera da
evidenziare eventuali anomalie.
Qualsiasi anomalia rispetto al normale traffico di
13 6 2 A rete deve essere registrata anche per
consentirne l'analisi off line.
Monitorare il traffico uscente rilevando le
13 7 1 A connessioni che usano la crittografia senza che
ciò sia previsto.
13 8 1 M Bloccare il traffico da e verso url presenti in una Il controllo viene effettuato tramite firewall
blacklist.
Assicurare che la copia di un file fatta in modo
autorizzato mantenga le limitazioni di accesso
della sorgente, ad esempio attraverso sistemi
13 9 1 A che implementino le regole di controllo degli
accessi (e.g. Access Control List) anche quando
i dati sono trasferiti al di fuori del loro repository.
15Puoi anche leggere
