Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Transcript

1 Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione: Fornire una descrizione generale di presentazione del Sistema di Governo delle Informazioni di SIA. Giuseppe Alfonsetti - RGO Alessandra Carazzina - RGO David Neumarker RGO Roberto Poli RGO Raffaele Pace - RGO Pubblico SIA

2 SOMMARIO IL SISTEMA DI GOVERNO DELLA SICUREZZA DELLE INFORMAZIONI DI SIA Descrizione generale Ruoli ed Incarichi di Sicurezza Politica della Sicurezza, Linee Guida di Sicurezza e Continuità Operativa e procedure Analisi e Gestione dei Rischi di Sicurezza delle Informazioni Analisi dei Rischi di Sicurezza fisica Awareness di Sicurezza Incidenti di sicurezza Indicatori di sicurezza Compliance di Sicurezza Presidi e Controlli di Sicurezza... 6 INFORMAZIONI GENERALI... 7 Storia delle modifiche apportate... 7 Definizioni... 7 Riferimenti... 7 LEGENDA... 8 Pagina 2 di 8

3 IL SISTEMA DI GOVERNO DELLA SICUREZZA DELLE INFORMAZIONI DI SIA 1.1 Descrizione generale L obiettivo del Sistema di Governo della Sicurezza delle Informazioni (SGSI) di SIA è garantire un livello di protezione delle informazioni trattate dai servizi e dai processi aziendali adeguato alla criticità delle stesse. In particolare, il SGSI definisce un insieme di misure organizzative, tecniche e procedurali a garanzia del soddisfacimento dei requisiti di sicurezza di base, ossia: Riservatezza, ovvero la proprietà dell informazione di essere nota solo a chi ne ha i privilegi; Integrità, ovvero la proprietà dell informazione di essere modificata solo ed esclusivamente da chi ne possiede i privilegi; Disponibilità, ovvero la proprietà dell informazione di essere accessibile e utilizzabile quando richiesto dai processi e dagli utenti che ne godono i privilegi; Conformità, ovvero la proprietà dell informazione di essere trattata in modo conforme alle leggi e alle normative di settore in tema di sicurezza. SIA ha sviluppato il proprio SGSI in quanto considera la sua attuazione fondamentale nelle relazioni con i propri stakeholder, quali clienti, fornitori, partner, società del gruppo, e per rispondere in maniera appropriata alle esigenze dei requisiti normativi e di mercato. Per quanto concerne il proprio SGSI, SIA: Definisce la Politica della Sicurezza; emana le norme di sicurezza necessarie, affinché l organizzazione aziendale possa condurre in modo sicuro le proprie attività; integra le regole e le soluzioni di sicurezza nel processo di progettazione ed erogazione dei servizi aziendali; attua l analisi dei rischi di sicurezza dei processi e delle infrastrutture volte all erogazione dei servizi di business aziendali e l analisi dei rischi inerenti la sicurezza fisica e la sicurezza sul lavoro; monitora i rischi di sicurezza individuati attraverso il Piano di Trattamento dei Rischi di Sicurezza e compliance di Sicurezza; collabora con il Sistema di Governo della Business Continuity per il raggiungimento degli obiettivi di continuità operativa; promuove la cultura relativa alla sicurezza; garantisce l attuazione degli adempimenti alle leggi e normative di sicurezza (Privacy [4], PCI-DSS [6], ecc.); definisce i ruoli e gli incarichi di sicurezza; gestisce un Comitato per l indirizzo e il coordinamento delle tematiche di sicurezza; controlla i propri sistemi tramite specifici piani di Vulnerability Assessment; esegue il monitoraggio e i controlli interni in ambito sicurezza; Pagina 3 di 8

4 opera e amministra gli aspetti operativi di sicurezza in una logica di split knowledge e dual control. SIA per lo sviluppo del proprio SGSI ha scelto di adottare lo standard ISO/IEC [1][2]. SIA ha ottenuto la certificazione ISO/IEC con la società DNV. 1.2 Ruoli ed Incarichi di Sicurezza SIA, così come previsto dalla Politica della Sicurezza, ha definito nella propria organizzazione un insieme di funzioni e ruoli organizzativi per presidiare e gestire le tematiche di Sicurezza delle Informazioni. Ha individuato una funzione di Information Security all interno della Direzione Risk Governance. Tale direzione è separata dalle strutture IT e di business, risponde direttamente all Amministratore Delegato e, in un ottica di gestione e controllo dei rischi, presidia in maniera integrata 4 ambiti (Risk Management, Compliance, Business Continuity, Information Security) operando in contatto con le altre strutture aziendali per indirizzarne le relative tematiche. Per quanto riguarda le tematiche di Physical Security, la responsabilità è assegnata all interno della struttura IT ed opera in continuo raccordo con la funzione di Information Security. Nell ambito del proprio Sistema di Governo della Sicurezza delle Informazioni SIA ha individuato inoltre una serie di incarichi e relazioni operative. In riferimento agli incarichi in materia di Sicurezza è previsto: Comitato di Risk Governance, composto dalle principali funzioni apicali e direttive di SIA e il cui scopo è quello di valutare i rischi relativi alle quattro aree di cui consta, tra cui le tematiche di sicurezza; Referente di Divisione/Direzione che opera come punto di riferimento per la propria struttura e contribuisce a realizzare e gestire le tematiche di Sicurezza delle Informazioni. Il SGSI prevede anche relazioni operative come i Security Meetings focalizzati sui temi di maggiore rilievo e che vedono il coinvolgimento dei responsabili delle strutture tecniche e operative interessate oltre che azioni svolte con gli amministratori di sistema, ruoli che sono stati individuati in Azienda a seguito delle disposizioni Privacy [4]. 1.3 Politica della Sicurezza, Linee Guida di Sicurezza e Continuità Operativa e procedure SIA ha definito un impianto documentale relativo ai temi di sicurezza che si articola in Politica della Sicurezza, Linee Guida di Sicurezza e di Continuità Operativa e Procedure. La formalizzazione dei requisiti di Sicurezza e l articolazione della relativa documentazione su più livelli consente ed assicura la definizione e l indicazione dei presidi e controlli in relazione alle singole attività lavorative. La Politica della Sicurezza è approvata dall Amministratore Delegato e testimonia il committment dei vertici aziendali sulle tematiche di Sicurezza delle Informazioni. Essa contiene inoltre la finalità del Sistema di Governo della Sicurezza delle Informazioni e la definizione del Sistema di Governo secondo quanto previsto dalle regole, best practice e dagli standard internazionali [1] che SIA ha scelto come riferimento. Pagina 4 di 8

5 Le Linee Guida di Sicurezza e Continuità Operativa di SIA individuano e normano controlli di sicurezza in ambito organizzativo, tecnico ed operativo. Le linee guida coprono i seguenti ambiti: OS - Organizational Security - 9 linee guida SD - Information System Development - 3 linee guida SM - Information System Management - 8 linee guida AC - Access Control - 8 linee guida IC - Information Classification - 6 linee guida IM - Security Incident Management - 2 linee guida PS - Physical Security - 4 linee guida SU - Supplier management - 3 linee guida BC - Business Continuity - 2 linee guida SC - Security Compliance - 4 linee guida Le procedure declinano le tematiche di Sicurezza a livello operativo. 1.4 Analisi e Gestione dei Rischi di Sicurezza delle Informazioni Il SGSI di SIA si fonda sull Analisi dei Rischi di Sicurezza. L analisi dei Rischi di Sicurezza delle informazioni è svolta in maniera sinergica e integrata con l Enterprise Risk Management, presidiato dalla Direzione Risk Governance, a tutela della Società dai rischi esterni e interni. Nel dettaglio i Rischi di Sicurezza delle informazioni sono inseriti nei Rischi Operativi così come definiti a livello aziendale. L Analisi e Gestione dei Rischi di Sicurezza delle Informazioni è il processo attraverso il quale l Azienda individua ed adotta la tipologia ed il livello di contromisure di sicurezza da applicare basandosi sulla rischiosità e sulla adeguatezza rispetto al valore delle Informazioni da proteggere. Come previsto dalla ISO/IEC [1], standard che SIA ha assunto come riferimento in tema di Sicurezza delle Informazioni, il suddetto processo è allineato al paradigma ciclico PDCA (Plan; Do; Check; Act) o ruota di Deming. Questo assicura che tutte le attività del SGSI sono eseguite nel tempo in un ottica di miglioramento continuo. Il processo si fonda su una metodologia che assicura e garantisce la identificazione, valutazione e trattamento dei Rischi di Sicurezza delle Informazioni. In maniera conforme a quanto previsto dalla ISO/IEC 27001, l insieme dei controlli di sicurezza applicabili ed applicati costituisce il documento SoA (Statement of Applicability). Le azioni di trattamento dei rischi di Sicurezza delle Informazioni sono raccolte e monitorate nel PTRs-cs (Piano di Trattamento dei Rischi di Sicurezza e di Compliance di Sicurezza). 1.5 Analisi dei Rischi di Sicurezza fisica In ottica integrata con il sistema di governo della Business Continuity aziendale, SIA ha effettuato e mantiene aggiornato l analisi dei rischi relativa per le proprie sedi e siti elaborativi (principale e disaster recovery) per quanto concerne la sicurezza fisica, le connessioni tra i siti, gli impianti elettrici e meccanici in relazione a: - norme tecniche di tipo impiantistico (CEI 64-8:2007); - Best Practices applicabili [1][3]; - Rischi derivanti dalla zona geografica. Coerentemente alla legge 81/08 [5], SIA periodicamente esegue l analisi dei rischi sulla sicurezza Pagina 5 di 8

6 sul lavoro. Il processo è volto alla valutazione globale e documentata di tutti i rischi per la salute e sicurezza dei lavoratori presenti nell'ambito dell'organizzazione, al fine di individuare le misure adeguate di prevenzione e di protezione e ad elaborare il programma delle misure atte a garantire il miglioramento nel tempo dei livelli di salute e sicurezza. 1.6 Awareness di Sicurezza La cultura della sicurezza delle Informazioni è considerata da SIA un valore chiave per l Azienda e viene sponsorizzata attraverso un processo continuo di educazione e di informazione. SIA realizza il proprio programma di awareness attraverso formazione multimediale, test ed esercitazioni pratiche, partecipazione a corsi specifici, insieme ad ogni altra iniziativa che possa essere utile a diffondere la conoscenza e la sensibilità sulla sicurezza in azienda. La formazione sulle tematiche di Sicurezza viene erogata a tutta l Azienda in funzione delle competenze e dei ruoli aziendali. 1.7 Incidenti di sicurezza SIA gestisce gli incidenti di sicurezza all interno del più ampio sistema di gestione degli incidenti a livello aziendale, al fine di evidenziare i possibili rischi di sicurezza sui servizi di business e governare l eventuale piano di azione delle relative azioni correttive. 1.8 Indicatori di sicurezza Al fine di un continuo monitoraggio del proprio sistema di misure e controlli di sicurezza e della valutazione della loro efficacia, SIA si è dotata di un sistema di indicatori di sicurezza (di processo e tecnici). Gli indicatori di sicurezza di SIA sono suddivisi in indicatori di sicurezza di tipo organizzativo, comportamentale, operativo e tecnico. 1.9 Compliance di Sicurezza In ottica integrata con il sistema di Governo della Compliance, il sistema di Governo di sicurezza delle Informazioni tiene conto dei requisiti rivenienti dalle leggi e dalle normative di settore (ad esempio Privacy [4], PCI-DSS [6]) per la protezione ed il trattamento delle informazioni Presidi e Controlli di Sicurezza SIA supporta la progettazione, lo sviluppo e l erogazione dei propri servizi attraverso l individuazione dei requisiti di sicurezza, l amministrazione delle profilature e delle quantità di sicurezza, il monitoraggio degli eventi di sicurezza, l effettuazione di test tecnici, e, più in generale, attraverso l indirizzamento della sicurezza ICT. Per farlo si dota di presidi tecnici ed organizzativi e prevede punti di controllo all interno dei processi aziendali. Pagina 6 di 8

7 INFORMAZIONI GENERALI Storia delle modifiche apportate Rispetto alla versione precedente, le modifiche hanno riguardato tutti i paragrafi nell ottica di attualizzare i contenuti rispetto al modello operativo integrato di Risk Governance. Definizioni Acronimo/Termine Testo esplicativo della definizione PDCA PTRscs SGSI SoA Paradigma ciclico (Plan; Do; Check; Act) o ruota di Deming Piano di Trattamento dei Rischi di Sicurezza e Compliance di Sicurezza Sistema di Governo della Sicurezza delle Informazioni Statement of Applicability Riferimenti [1] ISO/IEC 27001:2013 Information technology. Security techniques. Information security management systems. Requirements [2] ISO/IEC 27002:2013 Information technology. Security techniques. Code of practice for information security techniques [3] ISO 22301:2012 Societal security -- Business continuity management systems --- Requirements [4] Decreto Legislativo 196/ Codice in materia di protezione dei dati personali [5] Decreto Legislativo 81/ Testo unico sulla sicurezza sul lavoro [6] Payment Card Industry Data Security Standard version 2.0 [7] 1-CMS SIA Processi e sistemi di gestione Pagina 7 di 8

8 LEGENDA Stato del documento Le firme al presente documento, in copertina o effettuate elettronicamente tramite il sistema documentale, fanno riferimento allo standard interno di SIA per la gestione della documentazione: hanno lo scopo di permetterne il controllo di configurazione e di indicarne lo stato di lavorazione. Si segnala che la firma di approvazione autorizza la circolazione del documento limitatamente alla lista di distribuzione e non implica in alcun modo che il documento sia stato revisionato e/o accettato da eventuali Enti esterni. In particolare, il documento è da intendersi REDATTO se provvisto della/e firma/e di chi lo ha redatto; VERIFICATO se ha superato con esito positivo la verifica interna e quindi provvisto della/e firma/e di verifica Il documento è da intendersi APPROVATO se provvisto della/e firma/e di approvazione. Un documento sprovvisto di firme è in uno stato indefinito, e non può essere messo in circolazione. Classificazione La classificazione di un documento può essere: PUBBLICA, se il documento può circolare senza restrizioni; INTERNA, se il documento può circolare solo all interno di SIA; RISERVATA, se il documento è distribuibile ad un numero limitato di destinatari; STRETTAMENTE RISERVATA, se il documento è distribuibile ad un numero limitato di destinatari e ogni copia è controllata. Dominio di applicazione Società del gruppo alle quali si applica il documento: GRUPPO SIA se il documento è valido per tutte le società controllate del gruppo SIA SPA, se il documento è valido per la sola SIA lista dei nomi delle societa del Gruppo, se il documento è valido per più società del gruppo Pagina 8 di 8