SGSI CERT CSP POSTE ITALIANE

Transcript

1 SGSI CERT CSP POSTE ITALIANE POLICY DEL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI PER LE TERZE PARTI (CLIENTI, FORNITORI DI BENI E SERVIZI). VERSIONE DATA REDAZIONE VERIFICA APPROVAZIONE Nicola Angelucci Michele Gerace (SI/SI/CSP) (SI/SI/ITSAR) Alessandra Toma (SI/SI/CSP) Rocco Mammoliti (SI/SI) 1

2 MODIFICHE RISPETTO ALLA VERSIONE PRECEDENTE Versione. Release Data Descrizione delle modifiche Prima versione del documento Revisione del documento STATO E LIVELLO DI RISERVATEZZA STATO FINALE LIVELLO DI CLASSIFICAZIONE IL PRESENTE DOCUMENTO E PUBBLICO 2

3 SOMMARIO 1. INTRODUZIONE OBIETTIVI DEL DOCUMENTO CAMPO DI APPLICAZIONE RIFERIMENTI MACRO CATEGORIE DI INFORMAZIONI RIENTRANTI NEL SGSI OBIETTIVI E PRINCIPI DEL SGSI GESTIONE RAPPORTI CON LE TERZE PARTI : ASPETTI CONTRATTUALI E NORMATIVI CONTINOUS IMPROVEMENT

4 1. INTRODUZIONE 1.1. OBIETTIVI DEL DOCUMENTO Il presente documento recepisce e sintetizza le direttive di sicurezza definite all interno della Politica del Sistema di Gestione di Sicurezza delle Informazioni (SGSI) che la Funzione SI/Sicurezza Informatica di Poste Italiane, (SI/SI) ha progettato, attraverso i rispettivi centri di eccellenza CERT( Computer Emergency Response Team) e CSP (Centro Servizi Privacy), per stabilire, implementare, monitorare, riesaminare, mantenere e migliorare la sicurezza delle informazioni da essi gestite. Il sistema contiene le direttive strategiche volte a indirizzare la corretta gestione della sicurezza delle informazioni, in linea con i requisiti delle politiche di sicurezza Aziendali di Poste Italiane e delle policy specifiche che essi si propongono di adottare per la particolare e importante mission di sicurezza che entrambi ricoprono. Il Sistema di Gestione della Sicurezza delle Informazioni adottato è conforme alla norma internazionale ISO IEC 27001: CAMPO DI APPLICAZIONE Il presente documento si applica a tutto il personale di Poste Italiane afferente alla funzione Sistemi Informativi Sicurezza Informatica/CERT (Computer Emergency Response Team) e CSP (Centro Servizi Privacy) ma anche alle parti interessate e alle terze parti (fornitori di beni e servizi, consulenti, outsourcer) che collaborano alla gestione delle informazioni, ai processi e alle risorse coinvolte nella progettazione, realizzazione, collaudo ed erogazione dei servizi di rispettiva competenza. In particolare, Il CERT e Il CSP operano al fine di garantire il governo e il controllo della sicurezza delle informazioni in tutte le attività svolte, prevedendo, ove necessario, il coinvolgimento delle terze parti con l obiettivo di: assicurare, nel trattamento delle informazioni, l adozione di specifiche procedure volte al rispetto di adeguati livelli di sicurezza. garantire che le Terze parti, nel trattamento delle informazioni, abbiano piena consapevolezza dei requisiti e delle problematiche relative alla sicurezza. garantire la conformità con i requisiti di legge ed il rispetto degli impegni contrattuali e di sicurezza stabiliti nei contratti con le terze parti. 4

5 1.3. RIFERIMENTI Nella stesura del presente documento sono stati tenuti in considerazione: International Standard ISO/IEC 27001:2013 Information Technology Security techniques - Information Security Management System Requirements; Decreto Legislativo 27 giugno 2003, n Codice in materia di protezione dei dati personali e i provvedimenti emanati dall Autorità Garante per la protezione dei dati personali; Politica di Sicurezza delle Informazioni di Sistemi Informativi v.1.1 Politica Aziendale della Sicurezza delle Informazioni di Poste Italiane - Sistemi Informativi per le terze parti v1.0 Corporate Information Security Governance Policy_v1.0 5

6 2. MACRO CATEGORIE DI INFORMAZIONI RIENTRANTI NEL SGSI LE MACRO- CATEGORIE DI INFORMAZIONI CHE RIENTRANO NEL PERIMETRO IN OGGETTO SONO: Dati di eventi di sicurezza trattati dal servizio di Incident Handling Dati di vulnerabilità trattati dal servizio di Early Warning Dati personali compromessi e report di analisi eventi ICT anomali o incidenti di sicurezza di vulnerabilità trattati dal servizio di Information Sharing Dati di monitoraggio sito trattati dal servizio Up Time & Performance Monitoring Informazioni Clienti e Costituency (es. contrattualistica, accordi, dati di accesso ai servizi, SLA, etc.) Informazioni del SGSI Dati bancari nell ambito del servizio Gestione Data Breach. Dati di clienti (personali) nell ambito del servizio Gestione Istanze Privacy 3. OBIETTIVI E PRINCIPI DEL SGSI L obiettivo principale che il CERT e il CSP di Poste Italiane intendono perseguire è quello di tutelare il proprio patrimonio informativo aziendale, comprese le informazioni e i dati relativi a tutte le parti interessate, siano esse altre Funzioni Aziendali, Società del Gruppo PI, Clienti e Fornitori esterni, e di proteggerli da tutte le minacce, interne o esterne, intenzionali o accidentali che si potrebbero prefigurare nell ambito dell erogazione dei propri servizi. Inoltre, allo scopo di prevenire e contenere possibili rischi relativi alla perdita di riservatezza, integrità e disponibilità delle informazioni acquisite, tutte le operazioni di trattamento vengono eseguite in conformità agli standard internazionali di riferimento, e alle disposizioni legislative vigenti in materia di Privacy e di prevenzione e contrasto degli illeciti informatici. Tutte le risorse aziendali costituiscono dunque un valore strategico per l organizzazione e come tali devono essere adeguatamente protette. Nell ambito delle risorse informative, l informazione assume un ruolo d importanza primaria costituendo una risorsa critica immateriale, necessaria ai processi di pianificazione, organizzazione, esecuzione e controllo delle attività aziendali In particolare, il Sistema di gestione della sicurezza delle Informazioni (SGSI) del CERT e del CSP intende tutelare : 6

7 la riservatezza delle informazioni da attuarsi mediante interventi idonei a contrastare il verificarsi di accessi non autorizzati alle informazioni o la diffusione non controllata delle stesse; l integrità delle informazioni da attuarsi mediante interventi idonei a contrastare il verificarsi di modifiche non autorizzate o il danneggiamento del formato fisico e/o del contenuto semantico delle informazioni; la disponibilità delle informazioni da attuarsi mediante interventi idonei a garantire, ai soggetti autorizzati. Coerentemente anche con la direzione aziendale fornita dall Information Security Corporate Policy di Poste Italiane, il CERT e il CSP hanno definito, nel loro Sistema di Gestione della Sicurezza delle Informazioni i propri obiettivi in materia di sicurezza delle informazioni. In particolare, risulta di fondamentale importanza per il CERT e per il CSP proteggere adeguatamente, nel tempo, le informazioni, anche e soprattutto nei casi in cui le informazioni stesse siano accessibili, gestite ed elaborate da soggetti esterni all Azienda. Pertanto, in conformità con quanto previsto dallo Standard ISO 27001:2013, si rende necessario definire adeguatamente i requisiti di sicurezza che i fornitori esterni sono tenuti a recepire ed applicare nelle attività di trattamento delle informazioni. Tali requisiti devono essere concordati con i fornitori stessi e stabiliti in specifici accordi contrattuali. 4. GESTIONE RAPPORTI CON LE TERZE PARTI : ASPETTI CONTRATTUALI E NORMATIVI Al fine di mitigare i rischi accidentali e/o intenzionali, di distruzione, perdita, divulgazione, alterazione e accesso non autorizzato delle risorse informative aziendali, tutte le informazioni accessibili dalle terze parti o associati a servizi/prodotti erogati da fornitori esterni, sono soggette a specifici requisiti di sicurezza. I suddetti requisiti devono risultare adeguati rispetto ai rischi e devono essere stabiliti all interno di opportuni accordi contrattuali con i fornitori esterni e con gli outsourcer e devono garantire ove necessario : il rispetto dei requisiti di legge in materia di protezione dei dati personali e copyright delle risorse informative accedute ed utilizzate. la riservatezza e la non- divulgazione delle informazioni aziendali critiche. 7

8 Prevedere contrattualmente, ove possibile, la possibilità di effettuare attività di audit di II parte su fornitori per verificare il rispetto dei requisiti di sicurezza concordati. A tal fine, I responsabili del CERT e del CSP, ciascuno nell ambito della propria competenza, devono assicurarsi che tutte le politiche, le procedure, gli standard e in generale tutta la documentazione relativa alla sicurezza delle informazioni siano applicati e rispettati. I principi generali sopra espressi nel presente paragrafo fanno riferimento in particolare alle disposizioni normative cogenti provenienti dal Codice in materia di protezione dei dati personali (D.Lgs. n.196/2003 e s.m.i.), alla normativa sulla Protezione del diritto d autore (Legge , n. 633 e s.m.i.) ed al punto 15 (Supplier relationships) dell Allegato A allo Standard ISO/IEC 27001:

9 5. CONTINOUS IMPROVEMENT la suddetta Politica di sicurezza delle Informazioni per le Terze parti, verrà riesaminata regolarmente (almeno una volta l anno) per recepire eventuali modifiche e/o adeguamenti normativi al fine di mantenerla coerente con la capacità di soddisfare le aspettative e gli interessi di tutte le parti interessate. Il CERT e il CSP di Poste Italiane si impegnano a determinare (col monitoraggio continuo) problematiche, questioni, requisiti importanti che possano rivelarsi rilevanti per gli obiettivi di information security definiti e che possono quindi avere effetti in positivo o in negativo sulla riservatezza, integrità e disponibilità delle informazioni che cadono (o cadranno) nell ambito del sistema di gestione. Il CERT e il CSP procederanno quindi all adozione di misure preventive al fine di eliminare cause di potenziali non conformità, e misure correttive al fine di eliminare le cause di non conformità rilevate direttamente a seguito di audit interni o di terze parti oppure a valle della gestione di incidenti di sicurezza. Per il conseguimento degli obiettivi di sicurezza indicati, il CERT e il CSP di Poste Italiane si impegnano a diffondere la presente Politica e ad accertarsi che sia compresa e attuata non solo dal personale interno, ma anche da collaboratori esterni, consulenti, fornitori sotto contratto che siano in qualsiasi modo coinvolti nel trattamento delle informazioni aziendali. 9