C. 29/01/2002

1) Definire le politiche per la sicurezza del sistema informativo della CAI.

2) Definire i confini del sistema informativo della CAI in termini di struttura organizzativa, collocazione fisica, risorse e tecnologie.

3) Analizzare adeguatamente i rischi in modo da identificare le minacce alle risorse, le vulnerabilità e gli impatti sull'ente segnalante privato e quindi determinare il livello di rischio globale.

4) Selezionare dall'elenco riportato in calce (realizzato utilizzando le specifiche ISO/IEC 17799:2000(E)1 come riferimento) i controlli ritenuti appropriati. Tali controlli non sono esaustivi e ulteriori controlli possono essere individuati, per esempio attingendo alle già citate specifiche ISO/IEC 17799:2000(E).

5) Redigere un documento che spieghi le ragioni che hanno portato alla scelta di ogni singolo controllo selezionato, in termini di risorse da proteggere a fronte di minacce e vulnerabilità. In questo documento si devono anche indicare le ragioni che hanno indotto all'eventuale esclusione di alcuni controlli fra quelli riportati nel richiamato elenco. Questi passi devono essere riesaminati periodicamente con cadenza definita dall'ente segnalante privato oppure in occasione di eventi significativi individuati dallo stesso. I passi identificati dai numeri 1), 2), 3), 5) devono essere, inoltre, opportunamente documentati. La validità delle procedure adottate per realizzare i controlli selezionati deve essere verificata per valutarne la coerenza con le politiche aziendali di sicurezza e vagliarne l'adeguatezza tecnica. Le procedure in oggetto devono, inoltre, essere documentate in modo che risultino chiaramente le responsabilità e i principali ruoli delle funzioni e dei soggetti coinvolti. Il sistema informativo della CAI deve essere assoggettato a procedure di auditing. I documenti sopra definiti devono essere: prontamente disponibili; periodicamente rivisti, coerentemente con le politiche di sicurezza dell'ente segna lante privato e immediatamente sostituiti in caso di obsolescenza; gestiti con una procedura di controllo delle versioni. L'ente segnalante privato è tenuto a conservare le evidenze relative all'applicazione dei controlli che dimostrino la conformità con i requisiti di sicurezza della CAI (per esempio: tracce di audit, autorizzazioni all'accesso logico e/o fisico, ecc.). Tali evidenze possono essere in formato cartaceo e/o elettronico, memorizzate e gestite in modo che siano prontamente disponibili e adeguatamente protette. L'ente stesso ha la responsabilità di definire e governare le procedure per identificare, gestire, conservare e distruggere tali evidenze che devono essere leggibili, identificabili e tracciabili rispetto alle attività a cui si riferiscono. Elenco dei controlli suggeriti (i numeri identificativi corrispondono a quelli delle specifiche ISO/IEC 17799:2000(E)). Questi controlli rappresentano un insieme minimo tratto dalle specifiche ISO/IEC 17799:2000(E). Essi non garantiscono la sicurezza della CAI, che dipende fortemente dall'ambiente tecnico e organizzativo in cui la procedura è inserita, bensì forniscono solo un insieme minimo di linee guida. Per questa ragione la maggior parte dei controlli previsti dalle specifiche ISO/IEC 17799:2000(E), pur essendo potenzialmente necessari per la sicurezza globale della procedura CAI, non sono espressamente menzionati in quanto non riguardano strettamente l'applicazione CAI ma l'intero ambiente elaborativo dell'ente segnalante privato2. In particolare quest'ultimo deve attivare opportuni presidi finalizzati ad assicurare: una efficace e sicura gestione operativa dei flussi informativi fra strutture centrali e periferiche dell'ente stesso; (1) Per informazioni su tale norma ci si può rivolgere all'Ente nazionale italiano di unificazione - UNI. (2) Per esempio: politiche e organizzazione della sicurezza, classificazione di beni e risorse, sicurezza del personale, aree sicure, sicurezza degli apparati, protezioni contro software malizioso, scambio di informazioni e software, controllo degli accessi di rete, controllo degli accessi del sistema operativo, mobile computing e telelavoro, controlli crittografici, sicurezza nei processi di sviluppo e di supporto, gestione della business continuity, aderenza alla legislazione, revisione delle politiche di sicurezza e della conformità tecnica, system audit. una chiara definizione e separazione di ruoli e responsabilità tra gestori delle risorse informative e utilizzatori delle stesse. Con riferimento alle sezioni remote dell'archivio, ogni ente segnalante privato è tenuto a verificare che ogni flusso informativo ricevuto dall'ente re- sponsabile sia perfettamente congruente con le segnalazioni inviate dallo stesso ente segnalante. In caso di incongruenza dei dati l'ente segnalante privato è tenuto ad attivarsi tempestivamente presso l'ente responsabile. Per quanto riguarda la gestione delle operazioni e delle comunicazioni si dovrebbe far riferimento ai seguenti controlli:

8.1 Procedure operative e responsabilità;

8.1.1 Procedure operative documentate;

8.1.3 Procedure per la gestione degli incidenti;

8.1.4 Separazione delle responsabilità;

8.1.5 Separazione fra le funzioni di sviluppo e produzione;

8.1.6 Gestione delle strutture esterne;

8.5 Gestione della rete;

8.5.1 Controlli di sicurezza sulla rete;

8.6 Gestione e sicurezza dei supporti di memorizzazione;

8.6.1 Gestione dei supporti informatici rimovibili;

8.6.2 Eliminazione dei supporti di memorizzazione;

8.6.3 Procedure di gestione delle informazioni. Relativamente al controllo degli accessi si dovrebbero prendere in considerazione i seguenti controlli:

9.1 Requisiti aziendali per l'accesso al sistema;

9.1.1 Politiche per il controllo degli accessi;

9.1.1.1 Politiche ed esigenze aziendali;

9.1.1.2 Regole per il controllo degli accessi;

9.2 Gestione dell'accesso degli utenti;

9.2.1 Registrazione degli utenti;

9.2.2 Gestione dei privilegi;

9.2.3 Gestione delle password d'utente

9.2.4 Revisione dei diritti di accesso degli utenti

9.3 Responsabilità dell'utente

9.3.1 Uso delle password

9.3.2 Dispositivi dell'utente non sorvegliati

9.5 Controllo degli accessi al sistema operativo

9.5.4 Sistema di gestione delle password

9.5.5 Uso dei servizi di sistema

9.6 Controllo dell'accesso alle applicazioni

9.6.1 Restrizione dell'accesso alle informazioni

9.7 Monitoraggio dell'accesso e dell'uso del sistema

9.7.1 Registrazione degli eventi

9.7.2 Monitoraggio dell'uso del sistema

9.7.2.1 Procedure e aree di rischio

9.7.2.2 Fattori di rischio

9.7.2.3 Registrazione e verifica degli eventi. In relazione allo sviluppo e alla gestione dei sistemi si dovrebbero esaminare i seguenti controlli: 10.2 Sicurezza delle applicazioni

10.2.1 Autenticazione dei dati in input

10.2.2 Controllo delle elaborazioni interne 10.2.2.1 Aree di rischio 10.2.2.2 Controlli e verifiche

10.5 Sicurezza dei processi di sviluppo e supporto

10.5.1 Procedure di controllo delle modifiche.

1) Per il giorno T si intende: nel caso di revoca di sistema conseguente a emissione di assegno senza autorizzazione, il giorno lavorativo di segnalazione della revoca all'archivio; nel caso revoca di sistema conseguente a emissione di assegno in difetto di provvista, il sessantunesimo giorno, purchè lavorativo, successivo alla scadenza del termine di presentazione al pagamento del titolo, salvo quanto previsto dal comma 3 dell'art. 9-bis della Legge 15 dicembre 1990, n. 386.

2) Per il giorno T si intende il giorno in cui gli enti segnalati privati ricevono la comunicazione di furto, di smarrimento o di blocco per altri motivi, ovvero quello in cui si riscontra che un proprio correntista autorizzato a trarre assegni è stato iscritto in archivio da altro ente, ovvero si dispone una revoca aziendale.

3) Per giorno lavorativo T si intende il giorno in cui è disposta la revoca dall'utilizzo di una carta di pagamento.

4) Per giorno lavorativo T si intende il giorno in cui è disposta la revoca dall'utilizzo di una carta di pagamento.