Funzione | Categoria | Sottocategoria | Priorità | Maturità | Riferimento |
Identify | Asset ManagementI dati, il personale, i dispositivi e i sistemi e le facilities necessari all'organizzazione sono identificati e gestiti in coerenza con gli obiettivi di business e con la strategia di rischio dell'organizzazione. |
ID.AM-1Sono censiti i sistemi e gli apparati fisici in uso nell'organizzazione. |
Alta |
Livello 1:
Il censimento, la classificazione e l'aggiornamento degli asset (intesi come informazioni, applicazioni, sistemi ed apparati presenti) avviene in modalità per lo più manuale secondo un processo definito e controllato.
Livello 2:
Il censimento, la classificazione e l'aggiornamento degli asset avviene attraverso un sistema parzialmente automatico, che consenta di automatizzare almeno la fase di "discovery" dei sistemi connessi in rete, rilevando le principali caratteristiche degli stessi (caratteristiche hardware, software installati, configurazioni adottate, ecc.) e registrando l'inventario ottenuto in un repository centralizzato.
Livello 3:
Il censimento, la classificazione e l'aggiornamento degli asset avviene attraverso un sistema completamente automatico, che consenta di gestire l'intero ciclo di vita di un asset (identificazione, assegnazione, cambiamenti di stato, dismissioni).
|
CCS CSC
1
COBIT 5
BAI09.01,
BAI09.02
ISA 62443-2-1:2009
4.2.3.4
ISA 62443-3-3:2013
SR 7.8
ISO/IEC 27001:2013
A.8.1.1,
A.8.1.2
NIST SP 800-53 Rev.4
CM-8
|
ID.AM-2Sono censite le piattaforme e le applicazioni software in uso nell'organizzazione. |
Alta |
Livello 1:
Il censimento, la classificazione e l'aggiornamento degli asset (intesi come informazioni, applicazioni, sistemi ed apparati presenti) avviene in modalità per lo più manuale secondo un processo definito e controllato.
Livello 2:
Il censimento, la classificazione e l'aggiornamento degli asset avviene attraverso un sistema parzialmente automatico, che consenta di automatizzare almeno la fase di "discovery" dei sistemi connessi in rete, rilevando le principali caratteristiche degli stessi (caratteristiche hardware, software installati, configurazioni adottate, ecc.) e registrando l'inventario ottenuto in un repository centralizzato.
Livello 3:
Il censimento, la classificazione e l'aggiornamento degli asset avviene attraverso un sistema completamente automatico, che consenta di gestire l'intero ciclo di vita di un asset (identificazione, assegnazione, cambiamenti di stato, dismissioni).
|
CCS CSC
2
COBIT 5
BAI09.01,
BAI09.02,
BAI09.05
ISA 62443-2-1:2009
4.2.3.4
ISA 62443-3-3:2013
SR 7.8
ISO/IEC 27001:2013
A.8.1.1,
A.8.1.2
NIST SP 800-53 Rev.4
CM-8
|
||
ID.AM-3I flussi di dati e comunicazioni inerenti l'organizzazione sono identificati. |
Bassa |
CCS CSC
1
COBIT 5
DSS05.02
ISA 62443-2-1:2009
4.2.3.4
ISO/IEC 27001:2013
A.13.2.1
NIST SP 800-53 Rev.4
AC-4,
CA-3,
CA-9,
PL-8
|
|||
ID.AM-4I sistemi informativi esterni all'organizzazione sono catalogati. |
COBIT 5
APO02.02
ISO/IEC 27001:2013
A.11.2.6
NIST SP 800-53 Rev.4
AC-20,
SA-9
|
||||
ID.AM-5Le risorse (es: hardware, dispositivi, dati e software) sono prioritizzati in base alla loro classificazione (e.g. confidenzialità, integrità, disponibilità), criticità e valore per il business dell'organizzazione. |
Media |
COBIT 5
APO03.03,
APO03.04,
BAI09.02
ISA 62443-2-1:2009
4.2.3.6
ISO/IEC 27001:2013
A.8.2.1
NIST SP 800-53 Rev.4
CP-2,
RA-2,
SA-14
CAD
art. 50-bis, comma 3, lett. a)
|
|||
ID.AM-6Sono definiti e resi noti ruoli e responsabilità inerenti la cybersecurity per tutto il personale e per eventuali terze parti rilevanti (es. fornitori, clienti, partner). |
Alta |
Livello 1:
La Proprietà e/o il Vertice Aziendale nomina il referente per la Cyber Security, definendo formalmente le attività in carico. Formalizza inoltre il disciplinare tecnico per l'utilizzo consono delle informazioni e degli strumenti informatici da parte di tutte le parti interessate (e.g. dipendenti, consulenti, terze parti).
Livello 2:
Deve essere predisposto un documento di Politica Aziendale per la Cyber Security che definisca e formalizzi chiaramente i ruoli, le responsabilità e le attività richieste a ciascuna parte coinvolta a vario titolo nella gestione della Cyber Security (dipendenti, consulenti, terze parti), comunicando chiaramente l'impegno della Proprietà o dei Vertici Aziendali rispetto a tali necessità.
|
COBIT 5
APO01.02,
DSS06.03
ISA 62443-2-1:2009
4.3.2.3.3
ISO/IEC 27001:2013
A.6.1.1
NIST SP 800-53 Rev.4
CP-2,
PM-11,
PS-7
|
||
Business EnvironmentLa mission dell'organizzazione, gli obiettivi, le attività e gli attori coinvolti sono compresi e valutate in termini di priorità. Tali informazioni influenzano i ruoli, le responsabilità di cybersecurity e le decisioni in materia di gestione del rischio. |
ID.BE-1Il ruolo dell'organizzazione all'interno della filiera produttiva è identificato e reso noto. |
COBIT 5
APO08.04,
APO08.05,
APO10.03,
APO10.04,
APO10.05
ISO/IEC 27001:2013
A.15.1.3,
A.15.2.1,
A.15.2.2
NIST SP 800-53 Rev.4
CP-2,
SA-12
|
|||
ID.BE-2Il ruolo dell'organizzazione come infrastruttura critica e nel settore industriale di riferimento è identificato e reso noto. |
COBIT 5
APO02.06,
APO03.01
NIST SP 800-53 Rev.4
PM-8
|
||||
ID.BE-3Sono definite e rese note delle priorità per quanto riguarda la missione, gli obiettivi e le attività dell'organizzazione. |
Media |
COBIT 5
APO02.01,
APO02.06,
APO03.01
ISA 62443-2-1:2009
4.2.2.1,
4.2.3.6
NIST SP 800-53 Rev.4
PM-11,
SA-14
|
|||
ID.BE-4Sono identificate e rese note interdipendenze e funzioni fondamentali per la fornitura di servizi critici. |
Media |
ISO/IEC 27001:2013
A.11.2.2,
A.11.2.3,
A.12.1.3
NIST SP 800-53 Rev.4
CP-8,
PE-11,
PE-9,
PM-8,
SA-14
|
|||
ID.BE-5Sono identificati e resi noti i requisiti di resilienza a supporto della fornitura di servizi critici. |
Media |
COBIT 5
DSS04.02
ISO/IEC 27001:2013
A.11.1.4,
A.17.1.1,
A.17.1.2,
A.17.2.1
NIST SP 800-53 Rev.4
CP-11,
CP-2,
SA-14
|
|||
GovernanceLe politiche, le procedure e i processi per gestire e monitorare i requisiti dell'organizzazione (organizzativi, legali, relativi al rischio, ambientali) sono compresi e utilizzati nella gestione del rischio di cybersecurity. |
ID.GV-1E' identificata e resa nota una policy di sicurezza delle informazioni. |
Media |
COBIT 5
APO01.03,
EDM01.01,
EDM01.02
ISA 62443-2-1:2009
4.3.2.6
ISO/IEC 27001:2013
A.5.1.1
NIST SP 800-53 Rev.4
1 controls from all families
DPCM 4/2015
Artt. vari
DPCM 5/2015
Artt. vari
|
||
ID.GV-2Ruoli e responsabilità inerenti la sicurezza delle informazioni sono coordinati ed allineati con i ruoli interni ed i partner esterni. |
Media |
COBIT 5
APO13.12
ISA 62443-2-1:2009
4.3.2.3.3
ISO/IEC 27001:2013
A.6.1.1,
A.7.2.1
NIST SP 800-53 Rev.4
PM-1,
PS-7
|
|||
ID.GV-3I requisiti legali in materia di cybersecurity, con l'inclusione degli obblighi riguardanti la privacy e le libertà civili, sono compresi e gestiti. |
Alta |
Livello 1:
La conformità a leggi e regolamenti è raggiunta e verificata, anche ricorrendo a specialisti e fornitori esterni, ove ritenuto necessario, in grado di agevolare l'individuazione e la gestione degli aspetti normativi e di conformità, soprattutto quando direttamente o indirettamente connessi con gli aspetti di Cyber Security.
|
COBIT 5
MEA03.01,
MEA03.04
ISA 62443-2-1:2009
4.4.3.7
ISO/IEC 27001:2013
A.18.1
NIST SP 800-53 Rev.4
1 controls from all families (except PM-1)
DPCM 4/2015
Artt. vari
DPCM 5/2015
Artt. vari
D. Lgs. 196/2003
Artt. vari
Garante Privacy
Provvedimenti vari
|
||
ID.GV-4La governance ed i processi di risk management includono la gestione dei rischi legati alla cybersecurity. |
Bassa |
COBIT 5
DSS04.02
ISA 62443-2-1:2009
4.2.3.1,
4.2.3.11,
4.2.3.3,
4.2.3.8,
4.2.3.9,
4.3.2.4.3,
4.3.2.6.3
NIST SP 800-53 Rev.4
PM-11,
PM-9
|
|||
Risk AssessmentL'impresa comprende il rischio di cybersecurity inerente l' operatività dell'organizzazione (incluse la mission, le funzioni, l'immagine o la reputazione), gli asset e gli individui. |
ID.RA-1Le vulnerabilità delle risorse (es. sistemi, locali, dispositivi) dell'organizzazione sono identificate e documentate. |
Media |
CCS CSC
4
COBIT 5
APO12.01,
APO12.02,
APO12.03,
APO12.04
ISA 62443-2-1:2009
4.2.3,
4.2.3.12,
4.2.3.7,
4.2.3.9
ISO/IEC 27001:2013
A.12.6.1,
A.18.2.3
NIST SP 800-53 Rev.4
CA-2,
CA-7,
CA-8,
RA-3,
RA-5,
SA-11,
SA-5,
SI-2,
SI-4,
SI-5
|
||
ID.RA-2L'organizzazione riceve informazioni su minacce e vulnerabilità da fonti esterne (e.g. CERT, fonti aperte, forum di information sharing). |
Bassa |
ISA 62443-2-1:2009
4.2.3,
4.2.3.12,
4.2.3.9
ISO/IEC 27001:2013
A.6.1.4
NIST SP 800-53 Rev.4
PM-15,
PM-16,
SI-5
|
|||
ID.RA-3Le minacce, sia interne che esterne, sono identificate e documentate. |
Bassa |
COBIT 5
APO12.01,
APO12.02,
APO12.03,
APO12.04
ISA 62443-2-1:2009
4.2.3,
4.2.3.12,
4.2.3.9
NIST SP 800-53 Rev.4
PM-12,
PM-16,
RA-3,
SI-5
|
|||
ID.RA-4Sono identificati i potenziali impatti sul business e le relative probabilità di accadimento. |
Bassa |
COBIT 5
DSS04.02
ISA 62443-2-1:2009
4.2.3,
4.2.3.12,
4.2.3.9
NIST SP 800-53 Rev.4
PM-11,
PM-9,
RA-2,
RA-3,
SA-14
|
|||
ID.RA-5Le minacce, le vulnerabilità, le relative probabilità di accadimento e conseguenti impatti sono utilizzati per determinare il rischio. |
Bassa |
COBIT 5
APO12.02
ISO/IEC 27001:2013
A.12.6.1
NIST SP 800-53 Rev.4
PM-16,
RA-2,
RA-3
|
|||
ID.RA-6Sono identificate e prioritizzate le risposte al rischio. |
Bassa |
COBIT 5
APO12.05,
APO13.02
NIST SP 800-53 Rev.4
PM-4,
PM-9
|
|||
Risk Management StrategyLe priorità e i requisiti dell'organizzazione e la tolleranza al rischio sono definiti e utilizzati per supportare le decisioni sul rischio operazionale. |
ID.RM-1I processi di risk management sono stabiliti, gestiti e concordati tra i responsabili dell'organizzazione (c.d. stakeholder). |
Bassa |
COBIT 5
APO12.04,
APO12.05,
APO13.02,
BAI02.03,
BAI04.02
ISA 62443-2-1:2009
4.3.4.2
NIST SP 800-53 Rev.4
PM-9
|
||
ID.RM-2Il rischio tollerato dall'organizzazione è identificato ed espresso chiaramente. |
Bassa |
COBIT 5
APO12.06
ISA 62443-2-1:2009
4.3.2.6.5
NIST SP 800-53 Rev.4
PM-9
|
|||
ID.RM-3Il rischio tollerato è determinato tenendo conto del ruolo dell'organizzazione come infrastruttura critica e dei rischi specifici presenti nel settore industriale di appartenenza. |
Bassa |
NIST SP 800-53 Rev.4
PM-11,
PM-8,
PM-9,
SA-14
|
|||
Protect | Access ControlL'accesso agli asset ed alle relative risorse è limitato al personale, ai processi, ai dispositivi, alle attività ed alle transazioni effettivamente autorizzate. |
PR.AC-1Le identità digitali e le credenziali di accesso per gli utenti e per i dispositivi autorizzati sono amministrate. |
Alta |
Livello 1:
Il ciclo di vita delle identità e delle credenziali di autenticazione è gestito ed amministrato localmente su ciascun dispositivo o sistema IT secondo un processo definito e controllato.
Livello 2:
Le identità e le credenziali sono amministrate attraverso una directory aziendale che consente l'applicazione omogenea di regole e livelli minimi di sicurezza.
Livello 3:
Specifiche soluzioni tecnologiche sono adottate per gestire in maniera specifica ed appropriata anche le utenze privilegiate (e.g. Amministratori di Sistema).
|
CCS CSC
16
COBIT 5
DSS05.04,
DSS06.03
ISA 62443-2-1:2009
4.3.3.5.1
ISA 62443-3-3:2013
SR 1.1,
SR 1.2,
SR 1.3,
SR 1.4,
SR 1.5,
SR 1.7,
SR 1.8,
SR 1.9
ISO/IEC 27001:2013
A.9.2.1,
A.9.2.2,
A.9.2.4,
A.9.3.1,
A.9.4.2,
A.9.4.3
NIST SP 800-53 Rev.4
AC-2,
IA Family
DPCM 4/2015
Artt. vari
DPCM 5/2015
Artt. vari
D. Lgs. 196/2003
All. B Regole 1-10
|
PR.AC-2L'accesso fisico alle risorse è protetto e amministrato. |
Media |
COBIT 5
DSS01.04,
DSS05.05
ISA 62443-2-1:2009
4.3.3.3.2,
4.3.3.3.8
ISO/IEC 27001:2013
A.11.1.1,
A.11.1.2,
A.11.1.4,
A.11.1.6,
A.11.2.3
NIST SP 800-53 Rev.4
PE-2,
PE-3,
PE-4,
PE-5,
PE-6,
PE-9
D. Lgs. 196/2003
All. B
|
|||
PR.AC-3L'accesso remoto alle risorse è amministrato. |
Alta |
Livello 1:
L'accesso remoto alle risorse avviene attraverso l'uso di canali di comunicazioni sicuri (e.g. VPN con crittografia delle comunicazioni) e in linea con i criteri specificati nella guida all'implementazione dei controlli.
Livello 2:
L'accesso remoto alle risorse avviene attraverso l'uso di canali di comunicazioni sicuri e sistemi di autenticazione a due fattori.
Livello 3:
L'accesso remoto alle risorse avviene solo se vengono rispettati specifici criteri di configurazione dei sistemi (i.e. presenza antivirus, aggiornamento stato patch,…).
|
COBIT 5
APO13.01,
DSS01.04,
DSS05.03
ISA 62443-2-1:2009
4.3.3.6.6
ISA 62443-3-3:2013
SR 1.13,
SR 2.6
ISO/IEC 27001:2013
A.13.1.1,
A.13.2.1,
A.6.2.2
NIST SP 800-53 Rev.4
AC-19,
AC-20,
AC‑17
DPCM 4/2015
Artt. vari
DPCM 5/2015
Artt. vari
D. Lgs. 196/2003
All. B Regole 1-10
|
||
PR.AC-4Gli accessi alle risorse sono amministrati secondo il principio del privilegio minimo e della separazione delle funzioni. |
Alta |
Livello 1:
Gli accessi ai sistemi informatici vengono concessi previo censimento dei principali ruoli esistenti, finalizzato ad individuare il perimentro di intervento di ciascun ruolo ed evidenziando eventuali incompatibilità esistenti tra gli stessi. Successivamente i profili di abilitazione e le credenziali di accesso devono essere assegnate in coerenza con un iter autorizzativi definito, nel rispetto dei criteri di separazione dei ruoli stabiliti e dell'attribuzione del privilegio minimo necessario all'espletamento delle sole funzioni previste da ciascun ruolo.
Livello 2:
Devono essere definite regole di segregazione dei ruoli atte a prevenire l'assegnazione di ruoli incompatibili tra di loro ed implementati strumenti automatici di controllo delle stesse e del rispetto dell’iter autorizzativo definito al fine di prevenire o identificare la possibilità di compimento di frodi, abusi, errori da parte degli utenti.
Livello 3:
Deve essere definito ed attuato un processo di certificazione periodica dei privilegi assegnati ed effettuate attività di verifica degli stessi al fine di accertarsi che i privilegi assegnati siano validi (i.e. persistenza delle condizioni che ne hanno determinato la loro assegnazione).
|
CCS CSC
12,
15
ISA 62443-2-1:2009
4.3.3.7.3
ISA 62443-3-3:2013
SR 2.1
ISO/IEC 27001:2013
A.6.1.2,
A.9.1.2,
A.9.2.3,
A.9.4.1,
A.9.4.4
NIST SP 800-53 Rev.4
AC-16,
AC-2,
AC-3,
AC-5,
AC-6
D. Lgs. 196/2003
All. B Regole 12, 13, 14
|
||
PR.AC-5L'integrità di rete è protetta, anche applicando la segregazione di rete dove appropriata. |
Media |
ISA 62443-2-1:2009
4.3.3.4
ISA 62443-3-3:2013
SR 3.1,
SR 3.8
ISO/IEC 27001:2013
A.13.1.1,
A.13.1.3,
A.13.2.1
NIST SP 800-53 Rev.4
AC-4,
SC-7
|
|||
Awareness and TrainingIl personale e le terze sono sensibilizzate e formate in materia di cybersecurity e ricevono adeguata preparazione, coerente con le politiche, le procedure e gli accordi esistenti, per svolgere correttamente i compiti e le responsabilità legate alla sicurezza delle informazioni. |
PR.AT-1Tutti gli utenti sono informati e addestrati. |
Alta |
Livello 1:
La formazione di base del personale sui rischi di cybersecurity avviene secondo una pianificazione ed una periodicità definite ed attraverso l'ausilio di tecniche e strumenti di formazione appropriati (e.g. e- learning, formazione in aula, materiale didattico) in linea con le caratteristiche specifiche di ciascuna organizzazione (e.g. distribuzione territoriale del personale, utilizzo prevalente di fornitori esterni).
Livello 2:
Le iniziative di formazione sulla cybersecurity vengono differenziate nei loro obiettivi e nei contenuti in base allo specifico ruolo svolto dalle risorse coinvolte.
Livello 3:
Le iniziative di formazione sulla cybersecurity vengono svolte, per particolari categorie di utenti, prevedendo un addestramento sulla identificazione e risposta ai rischi di cybersecurity.
|
CCS CSC
9
COBIT 5
APO07.03,
BAI05.07
ISA 62443-2-1:2009
4.3.2.4.2
ISO/IEC 27001:2013
A.7.2.2
NIST SP 800-53 Rev.4
AT-2,
PM-13
D. Lgs. 196/2003
All. B Regole 4, 9, 18, 21, 27, 28
|
|
PR.AT-2Gli utenti privilegiati (e.g. Amministratori di Sistema) comprendono ruoli e responsabilità. |
Alta |
Livello 1:
La formazione del personale specialistico sulla cybersecurity avviene anche ricorrendo a percorsi formativi esterni, tali da garantire un'adeguata preparazione tecnico- professionale in linea con la criticità dei ruoli svolti (e.g. amministratori di sistema).
Livello 2:
La formazione del personale specialistico sulla cybersecurity, viene svolta, per particolari categorie di utenti, mediante il supporto di organizzazioni esterne specializzate prevedendo eventuali percorsi di Certificazione Professionale.
|
CCS CSC
9
COBIT 5
APO07.02,
DSS06.03
ISA 62443-2-1:2009
4.3.2.4.2,
4.3.2.4.3
ISO/IEC 27001:2013
A.6.1.1,
A.7.2.2
NIST SP 800-53 Rev.4
AT-2,
PM-13
D. Lgs. 196/2003
All. B
Garante Privacy
Provvedimento del 27 novembre 2008
|
||
PR.AT-3Tutte le terze parti (es. fornitori, clienti, partner) comprendono ruoli e responsabilità. |
Media |
CCS CSC
9
COBIT 5
APO07.03,
APO10.04,
APO10.05
ISA 62443-2-1:2009
4.3.2.4.2
ISA 62443-3-3:2013
A.6.1.1,
A.7.2.2
NIST SP 800-53 Rev.4
PS-7,
SA-9
|
|||
PR.AT-4I dirigenti ed i vertici aziendali comprendono ruoli e responsabilità. |
Alta |
Livello 1:
La Proprietà ed i vertici aziendali sostengono la sensibilizzazione del personale sulla cybersecurity mediante l'allocazione di risorse specifiche e provvedono a comunicare l'importanza della stessa mediante richiami formali (e.g. Politica di sicurezza generale, comunicati interni, bacheca aziendale).
Livello 2:
La Proprietà e i Vertici Aziendali partecipano attivamente ai programmi di sensibilizzazione, mediante la partecipazione diretta a workshop ed interventi formativi mirati volti ad accrescere la percezione dei rischi Cyber e delle pratiche da attuare per indirizzare al meglio gli stessi.
|
CCS CSC
9
COBIT 5
APO07.03
ISA 62443-2-1:2009
4.3.2.4.2
ISO/IEC 27001:2013
A.6.1.1,
A.7.2.2
NIST SP 800-53 Rev.4
AT-3,
PM-13
|
||
PR.AT-5Il personale addetto alla sicurezza fisica e delle informazioni comprende i ruoli e le responsabilità. |
Media |
CCS CSC
9
COBIT 5
APO07.03
ISA 62443-2-1:2009
4.3.2.4.2
ISA 62443-3-3:2013
A.6.1.1,
A.7.2.2
|
|||
Data SecurityI dati sono memorizzati e gestiti in accordo alla strategia di gestione del rischio dell'organizzazione, al fine di garantire l'integrità, la confidenzialità e la disponibilità delle informazioni. |
PR.DS-1I dati e le informazioni memorizzate sono protette. |
Media |
CCS CSC
17
COBIT 5
APO01.06,
BAI02.01,
BAI06.01,
DSS06.06
ISA 62443-3-3:2013
SR 3.4,
SR 4.1
ISO/IEC 27001:2013
A.8.2.3
NIST SP 800-53 Rev.4
SC-28
DPCM 4/2015
Artt. vari
DPCM 5/2015
Artt. vari
D. Lgs. 196/2003
All. B Regole 16,17, 20
|
||
PR.DS-2I dati sono protetti durante la trasmissione. |
Bassa |
CCS CSC
17
COBIT 5
APO01.06,
DSS06.06
ISA 62443-3-3:2013
SR 3.1,
SR 3.8,
SR 4.1,
SR 4.2
ISO/IEC 27001:2013
A.13.1.1,
A.13.2.1,
A.13.2.3,
A.14.1.2,
A.14.1.3,
A.8.2.3
NIST SP 800-53 Rev.4
SC-8
D. Lgs. 196/2003
All. B
|
|||
PR.DS-3Il trasferimento fisico, la rimozione e la distruzione dei dispositivi atti alla memorizzazione di dati sono gestiti attraverso un processo formale. |
COBIT 5
BAI09.03
ISA 62443-2-1:2009
4.3.3.3.9,
4.3.4.4.1
ISA 62443-3-3:2013
SR 4.2
ISO/IEC 27001:2013
A.11.2.7,
A.8.2.3,
A.8.3.1,
A.8.3.2,
A.8.3.3
NIST SP 800-53 Rev.4
CM-8,
MP-6,
PE-16
|
||||
PR.DS-4I sistemi hanno adeguate risorse a disposizione per poter garantire la disponibilità. |
Media |
COBIT 5
APO13.01
ISA 62443-3-3:2013
SR 7.1,
SR 7.2
ISO/IEC 27001:2013
A.12.3.1
NIST SP 800-53 Rev.4
AU-4,
CP-2,
SC-5
|
|||
PR.DS-5Sono implementate tecniche di protezione (es. controllo di accesso) contro la sottrazione dei dati (data leak). |
Bassa |
CCS CSC
17
COBIT 5
APO01.06
ISA 62443-3-3:2013
SR 5.2
ISO/IEC 27001:2013
A.13.1.3,
A.13.2.1,
A.13.2.3,
A.13.2.4,
A.14.1.2,
A.14.1.3,
A.6.1.2,
A.7.1.1,
A.7.1.2,
A.7.3.1,
A.8.2.2,
A.8.2.3,
A.9.1.1,
A.9.1.2,
A.9.2.3,
A.9.4.1,
A.9.4.4,
A.9.4.5
NIST SP 800-53 Rev.4
AC-4,
AC-5,
AC-6,
PE-19,
PS-3,
PS-6,
SC-13,
SC-31,
SC-7,
SC-8,
SI-4
D. Lgs. 196/2003
All. B
|
|||
PR.DS-6Vengono implementate tecniche di controllo dell'integrità dei dati per verificare l'autenticità di software, firmware e delle informazioni. |
Bassa |
ISA 62443-3-3:2013
SR 3.1,
SR 3.3,
SR 3.4,
SR 3.8
ISO/IEC 27001:2013
A.12.2.1,
A.12.5.1,
A.14.1.2,
A.14.1.3
NIST SP 800-53 Rev.4
SI-7
|
|||
PR.DS-7Gli ambienti di sviluppo e test sono separati dall'ambiente di produzione. |
Media |
COBIT 5
BAI07.04
ISO/IEC 27001:2013
A.12.1.4
NIST SP 800-53 Rev.4
CM-2
|
|||
Information Protection Processes and ProceduresSono attuate e adeguate nel tempo politiche di sicurezza (che indirizzano scopo, ambito, ruoli e responsabilità, impegno da parte del management e coordinamento tra le diverse entità organizzative), processi e procedure per gestire la protezione dei sistemi informativi e degli assets. |
PR.IP-1Sono definite e gestite delle pratiche di riferimento (c.d. baseline) per la configurazione dei sistemi IT e di controllo industriale. |
Alta |
Livello 1:
La configurazione sicura dei sistemi viene attuata dai referenti IT (ove presenti) e/o da ditte esterne incaricate (ove presenti) nel rispetto dei criteri specificati nella guida all'implementazione dei controlli.
Livello 2:
La configurazione sicura dei sistemi avviene attraverso il ricorso a linee guida e procedure operative che ne formalizzano i criteri e le modalità secondo gli standard di mercato.
Livello 3:
La configurazione sicura dei sistemi avviene anche attraverso l'utilizzo di strumenti e soluzioni automatiche finalizzate ad agevolare la configurazione ed il controllo delle configurazioni dei sistemi IT connessi alla rete aziendale. Gli standard di sicurezza deveno essere aggiornati in maniera periodica.
|
CCS CSC
10,
3
COBIT 5
BAI10.01,
BAI10.02,
BAI10.03,
BAI10.05
ISA 62443-2-1:2009
4.3.4.3.2,
4.3.4.3.3
ISA 62443-3-3:2013
SR 7.6
ISO/IEC 27001:2013
A.12.1.2,
A.12.5.1,
A.12.6.2,
A.14.2.2,
A.14.2.3,
A.14.2.4
NIST SP 800-53 Rev.4
CM-2,
CM-3,
CM-4,
CM-5,
CM-6,
CM-7,
CM-9,
SA-10
|
|
PR.IP-2Viene implementato un processo per la gestione del ciclo di vita dei sistemi (System Development Life Cycle). |
Media |
COBIT 5
APO13.01
ISA 62443-2-1:2009
4.3.4.3.3
ISA 62443-3-3:2013
A.14.1.1,
A.14.2.1,
A.14.2.5,
A.6.1.5
NIST SP 800-53 Rev.4
PL-8,
SA-10,
SA-11,
SA-12,
SA-15,
SA-17,
SA-3,
SA-4,
SA-8
|
|||
PR.IP-3Sono attivi processi di controllo della modifica delle configurazioni. |
Media |
COBIT 5
BAI01.06,
BAI06.01
ISA 62443-2-1:2009
4.3.4.3.2,
4.3.4.3.3
ISA 62443-3-3:2013
SR 7.6
ISO/IEC 27001:2013
A.12.1.2,
A.12.5.1,
A.12.6.2,
A.14.2.2,
A.14.2.3,
A.14.2.4
NIST SP 800-53 Rev.4
CM-3,
CM-4,
SA-10
|
|||
PR.IP-4I backup delle informazioni sono eseguiti, amministrati e verificati periodicamente. |
Alta |
Livello 1:
Il Backup ed il Restore dei dati avviene mediante il ricorso a soluzioni tecnologiche specifiche in grado di automatizzare le principali attività richieste (pianificazione dei salvataggi, monitoraggio degli esiti, ecc.) ed in linea con gli altri criteri specificati nella guida all'implementazione dei controlli. I backup vengono testati regolarmente secondo un processo definito.
Livello 2:
Soluzioni finalizzate al mantenimento della continuità operativa devono essere valutate in base agli obiettivi di ripristino e salvaguardia delle informazioni indetificati. Piani di continuità devono essere definiti per il ripristino della continuità operativa.
Livello 3:
Gli obiettivi di ripristino e salvaguardia devono essere rivisti con periodicità. Piani di continuità devono essere testati e aggiornati periodicamente.
|
COBIT 5
APO13.01
ISA 62443-2-1:2009
4.3.4.3.9
ISA 62443-3-3:2013
SR 7.3,
SR 7.4
ISO/IEC 27001:2013
A.12.3.1,
A.17.1.2,
A.17.1.3,
A.18.1.3
NIST SP 800-53 Rev.4
CP-4,
CP-6,
CP-9
D. Lgs. 196/2003
All. B Regola 18
|
||
PR.IP-5Sono rispettate le policy ed i regolamenti relativi agli ambienti fisici in cui operano le risorse dell'organizzazione. |
Media |
COBIT 5
DSS01.04,
DSS05.05
ISA 62443-2-1:2009
4.3.3.3.1,
4.3.3.3.2,
4.3.3.3.3,
4.3.3.3.5,
4.3.3.3.6
ISO/IEC 27001:2013
A.11.1.4,
A.11.2.1,
A.11.2.2,
A.11.2.3
NIST SP 800-53 Rev.4
PE-10,
PE-12,
PE-13,
PE-14,
PE-15,
PE-18
|
|||
PR.IP-6I dati sono distrutti in conformità con le policy. |
Media |
COBIT 5
BAI09.03
ISA 62443-2-1:2009
4.3.4.4.4
ISA 62443-3-3:2013
SR 4.2
ISO/IEC 27001:2013
A.11.2.7,
A.8.2.3,
A.8.3.1,
A.8.3.2
NIST SP 800-53 Rev.4
MP-6
|
|||
PR.IP-7I processi di protezione sono migliorati in maniera continuativa. |
Bassa |
COBIT 5
APO11.06,
DSS04.05
ISA 62443-2-1:2009
4.4.3.1,
4.4.3.2,
4.4.3.3,
4.4.3.4,
4.4.3.5,
4.4.3.6,
4.4.3.7,
4.4.3.8
NIST SP 800-53 Rev.4
CA-2,
CA-7,
CP-2,
IR-8,
PL-2,
PM-6
|
|||
PR.IP-8L'efficacia delle tecnologie di protezione è condivisa con i referenti appropriati. |
Bassa |
ISO/IEC 27001:2013
A.16.1.6
NIST SP 800-53 Rev.4
AC-21,
CA-7,
SI-4
|
|||
PR.IP-9Sono attivi ed amministrati piani di risposta (Incident Response e Business Continuity) e recupero (Incident Recovery e Disaster Recovery) in caso di incidente/disastro. |
Media |
COBIT 5
DSS04.03
ISA 62443-2-1:2009
4.3.2.5.3,
4.3.4.5.1
ISO/IEC 27001:2013
A.16.1.1,
A.17.1.1,
A.17.1.2
NIST SP 800-53 Rev.4
CP-2,
IR-8
D. Lgs. 196/2003
All. B
|
|||
PR.IP-10I piani di risposta e recupero a seguito di incidenti/disastri sono verificati nel tempo. |
Bassa |
ISA 62443-2-1:2009
4.3.2.5.7,
4.3.4.5.11
ISA 62443-3-3:2013
SR 3.3
ISO/IEC 27001:2013
A.17.1.3
NIST SP 800-53 Rev.4
CP-4,
IR-3,
PM-14
CAD
art. 50-bis, comma 3, lett. a)
|
|||
PR.IP-11Le problematiche inerenti la cybersecurity sono incluse nei processi di gestione del personale (es: screening, licenziamenti). |
Bassa |
COBIT 5
APO07.01,
APO07.02,
APO07.03,
APO07.04,
APO07.05
ISA 62443-2-1:2009
4.3.3.2.1,
4.3.3.2.2,
4.3.3.2.3
ISO/IEC 27001:2013
A.7.1.1,
A.7.3.1,
A.8.1.4
NIST SP 800-53 Rev.4
PS Family
|
|||
PR.IP-12Viene sviluppato e implementato un piano di gestione delle vulnerabilità. |
Media |
ISO/IEC 27001:2013
A.12.6.1,
A.18.2.2
NIST SP 800-53 Rev.4
RA-3,
RA-5,
SI-2
|
|||
MaintenanceLa manutenzione dei sistemi informativi e di controllo industriale è fatta in accordo con le politiche e le procedure esistenti. |
PR.MA-1La manutenzione e la riparazione delle risorse e dei sistemi è svolta e registrata in modo tempestivo e portata a termine attraverso l'utilizzo di strumenti controllati ed autorizzati. |
Bassa |
COBIT 5
BAI09.03
ISA 62443-2-1:2009
4.3.3.3.7
ISO/IEC 27001:2013
A.11.1.2,
A.11.2.4,
A.11.2.5
NIST SP 800-53 Rev.4
MA-2,
MA-3,
MA-5
|
||
PR.MA-2La manutenzione remota delle risorse e dei sistemi è approvata, documentata e svolta in modo da evitare accessi non autorizzati. |
Alta |
Livello 1:
Inserire un processo di autorizzazione preventiva e di documentazione dell’intervento effettuato.
Livello 2:
L'accesso remoto alle risorse avviene attraverso l'uso di canali di comunicazioni sicuri e sistemi di autenticazione a due fattori.
Livello 3:
L'accesso remoto alle risorse avviene solo se vengono rispettati specifici criteri di configurazione dei sistemi (i.e. presenza antivirus, aggiornamento stato patch,…).
|
COBIT 5
DSS05.04
ISA 62443-2-1:2009
4.3.3.6.5,
4.3.3.6.6,
4.3.3.6.7,
4.4.4.6.8
ISO/IEC 27001:2013
A.11.2.4,
A.15.1.1,
A.15.2.1
NIST SP 800-53 Rev.4
MA-4
|
||
Protective TechnologyLe soluzioni tecniche di sicurezza sono gestite per assicurare sicurezza e resilienza di sistemi e asset, in coerenza con le relative politiche, procedure ed accordi. |
PR.PT-1Esiste ed è attuata una policy per definire, implementare e revisionare i log dei sistemi. |
Media |
CCS CSC
14
COBIT 5
APO11.04
ISA 62443-2-1:2009
4.3.3.3.9,
4.3.3.5.8,
4.3.4.4.7,
4.4.2.1,
4.4.2.2,
4.4.2.4
ISA 62443-3-3:2013
SR 2.10,
SR 2.11,
SR 2.12,
SR 2.8,
SR 2.9
ISO/IEC 27001:2013
A.12.4.1,
A.12.4.2,
A.12.4.3,
A.12.4.4,
A.12.7.1
NIST SP 800-53 Rev.4
AU Family
|
||
PR.PT-2I supporti di memorizzazione removibili sono protetti ed il loro uso è ristretto in accordo alle policy. |
Media |
COBIT 5
APO13.01,
DSS05.02
ISA 62443-3-3:2013
SR 2.3
ISO/IEC 27001:2013
A.11.2.9,
A.8.2.2,
A.8.2.3,
A.8.3.1,
A.8.3.3
NIST SP 800-53 Rev.4
MP-2,
MP-4,
MP-5,
MP-7
D. Lgs. 196/2003
All. B
|
|||
PR.PT-3L'accesso alle risorse e ai sistemi è limitato secondo il principio di minima funzionalità. |
Media |
COBIT 5
DSS05.02
ISA 62443-2-1:2009
4.3.3.5.1,
4.3.3.5.2,
4.3.3.5.3,
4.3.3.5.4,
4.3.3.5.5,
4.3.3.5.6,
4.3.3.5.7,
4.3.3.5.8,
4.3.3.6.1,
4.3.3.6.2,
4.3.3.6.3,
4.3.3.6.4,
4.3.3.6.5,
4.3.3.6.6,
4.3.3.6.7,
4.3.3.6.8,
4.3.3.6.9,
4.3.3.7.1,
4.3.3.7.2,
4.3.3.7.3,
4.3.3.7.4
ISA 62443-3-3:2013
SR 1.1,
SR 1.10,
SR 1.11,
SR 1.12,
SR 1.13,
SR 1.2,
SR 1.3,
SR 1.4,
SR 1.5,
SR 1.6,
SR 1.7,
SR 1.8,
SR 1.9,
SR 2.1,
SR 2.2,
SR 2.3,
SR 2.4,
SR 2.5,
SR 2.6,
SR 2.7
ISO/IEC 27001:2013
A.9.1.2
NIST SP 800-53 Rev.4
AC-3,
CM-7
D. Lgs. 196/2003
All. B Regola 13
|
|||
PR.PT-4Le reti di comunicazione e controllo sono protette. |
Alta |
Livello 1:
La protezione perimetrale delle reti è ottenuta mediante soluzioni hardware e software appropriate, in linea con i criteri specificati nella guida all'implementazione dei controlli.
Livello 2:
Le reti di comunicazione interne all'azienda (comprese quelle ove sono attestati sistemi virtuali) che rivestono particolare rilevanza per le business operations devono essere opportunamente protette attraverso impiego di dispositivi firewall che segreghino le reti e limitino il traffico a solo quello autorizzato. Le reti wireless aziendali devono essere configurate in modo da prevenire accessi non autorizzati.
Livello 3:
Le reti di comunicazione perimetrali ed interne all'azienda devono essere protetti con soluzioni avanzate di protezione del traffico di rete che estendano le funzionalità di base delle soluzioni Firewall. L'accesso alle reti aziendali deve essere concesso solo dopo verifica del rispetto di standard aziendali.
|
CCS CSC
7
COBIT 5
APO13.01,
DSS05.02
ISA 62443-3-3:2013
SR 3.1,
SR 3.5,
SR 3.8,
SR 4.1,
SR 4.3,
SR 5.1,
SR 5.2,
SR 5.3,
SR 7.1,
SR 7.6
ISO/IEC 27001:2013
A.13.1.1,
A.13.2.1
NIST SP 800-53 Rev.4
AC-17,
AC-18,
AC-4,
CP-8,
SC-7
|
||
Detect | Anomalies and EventsLe attività anomale sono rilevate tempestivamente e il loro impatto potenziale viene analizzato. |
DE.AE-1Sono definite, rese note e gestite delle pratiche di riferimento (c.d. baseline) inerenti l'utilizzo della rete ed i flussi informativi attesi per utenti e sistemi. |
Bassa |
COBIT 5
DSS03.01
ISA 62443-2-1:2009
4.4.3.3
NIST SP 800-53 Rev.4
AC-4,
CA-3,
CM-2,
SI-4
|
|
DE.AE-2Gli eventi rilevati vengono analizzati per comprendere gli obiettivi e le metodologie dell'attacco. |
Bassa |
ISA 62443-2-1:2009
4.3.4.5.6,
4.3.4.5.7,
4.3.4.5.8
ISA 62443-3-3:2013
SR 2.10,
SR 2.11,
SR 2.12,
SR 2.8,
SR 2.9,
SR 3.9,
SR 6.1,
SR 6.2
ISO/IEC 27001:2013
A.16.1.1,
A.16.1.4
NIST SP 800-53 Rev.4
AU-6,
CA-7,
IR-4,
SI-4
|
|||
DE.AE-3Le informazioni relative agli eventi sono aggregate e correlate da sensori e sorgenti multiple. |
Media |
ISA 62443-3-3:2013
SR 6.1
NIST SP 800-53 Rev.4
AU-6,
CA-7,
IR-4,
IR-5,
IR-8,
SI-4
|
|||
DE.AE-4Viene determinato l'impatto di un evento. |
Media |
COBIT 5
APO12.06
NIST SP 800-53 Rev.4
CP-2,
IR-4,
RA-3,
SI -4
|
|||
DE.AE-5Vengono definite delle soglie di allerta per gli incidenti. |
Media |
COBIT 5
APO12.06
ISA 62443-2-1:2009
4.2.3.10
NIST SP 800-53 Rev.4
IR-4,
IR-5,
IR-8
|
|||
Security Continuous MonitoringI sistemi informativi e gli asset sono monitorati periodicamente per indentificare eventi di cybersecurity e per verificare l'efficacia delle misure di protezione. |
DE.CM-1Viene svolto il monitoraggio della rete informatica per rilevare potenziali eventi di cybersecurity. |
Media |
CCS CSC
14,
16
COBIT 5
DSS05.07
ISA 62443-3-3:2013
SR 6.2
NIST SP 800-53 Rev.4
AC-2,
AU-12,
CA-7,
CM-3,
SC-5,
SC-7,
SI-4
|
||
DE.CM-2Viene svolto il monitoraggio degli spazi fisici per rilevare potenziali eventi di cybersecurity. |
Bassa |
ISA 62443-2-1:2009
4.3.3.3.8
NIST SP 800-53 Rev.4
CA-7,
PE-20,
PE-3,
PE-6
|
|||
DE.CM-3Viene svolto il monitoraggio del personale per rilevare potenziali eventi di cybersecurity. |
Bassa |
ISA 62443-3-3:2013
SR 6.2
ISO/IEC 27001:2013
A.12.4.1
NIST SP 800-53 Rev.4
AC-2,
AU-12,
AU-13,
CA-7,
CM-10,
CM-11
D. Lgs. 151/2015
Art. 23
|
|||
DE.CM-4Il codice malevolo viene rilevato. |
Alta |
Livello 1:
La protezione da Malware avviene mediante l'adozione di soluzioni tecnologiche dedicate.
Livello 2:
Le soluzioni di protezione da malware (e.g. software antivirus e/o soluzioni per protezione endpoint) sono gestiste e monitorare a livello centrale.
Livello 3:
La protezione da malware è ottenuta combinando più soluzioni tecnologiche a copertura dei sistemi e delle reti (host based e network based).
|
CCS CSC
5
COBIT 5
DSS05.01
ISA 62443-2-1:2009
4.3.4.3.8
ISA 62443-3-3:2013
SR 3.2
ISO/IEC 27001:2013
A.12.2.1
NIST SP 800-53 Rev.4
SI-3
|
||
DE.CM-5Il codice non autorizzato su dispositivi mobili viene rilevato. |
Bassa |
ISA 62443-3-3:2013
SR 2.4
ISO/IEC 27001:2013
A.12.5.1
NIST SP 800-53 Rev.4
SC-18,
SC-44,
SI-4
|
|||
DE.CM-6Viene svolto il monitoraggio delle attività dei service provider esterni per rilevare potenziali eventi di cybersecurity. |
COBIT 5
APO07.06
ISO/IEC 27001:2013
A.14.2.7,
A.15.2.1
NIST SP 800-53 Rev.4
CA-7,
PS-7,
SA-4,
SA-9,
SI-4
|
||||
DE.CM-7Viene svolto il monitoraggio per rilevare personale, connessioni, dispositivi o software non autorizzati. |
Media |
NIST SP 800-53 Rev.4
AU-12,
CA-7,
CM-3,
CM-8,
PE-20,
PE-3,
PE-6,
SI-4
|
|||
DE.CM-8Vengono svolte scansioni per l'identificazione di vulnerabilità. |
Media |
COBIT 5
BAI03.10
ISA 62443-2-1:2009
4.2.3.1,
4.2.3.7
ISA 62443-3-3:2013
A.12.6.1
NIST SP 800-53 Rev.4
RA-5
|
|||
Detection ProcessesSono adottati, mantenuti e verificati nel tempo i processi e le procedure di monitoraggio per assicurare una tempestiva e adeguata comprensione degli eventi di sicurezza. |
DE.DP-1Ruoli e responsabilità per i processi di monitoraggio sono ben definiti al fine di garantire l'accountability. |
Bassa |
CCS CSC
5
COBIT 5
DSS05.01
ISA 62443-2-1:2009
4.4.3.1
ISA 62443-3-3:2013
A.6.1.1
NIST SP 800-53 Rev.4
CA-2,
CA-7,
PM-14
|
||
DE.DP-2Le attività di monitoraggio soddisfano tutti i requisiti applicabili. |
Media |
ISA 62443-2-1:2009
4.4.3.2
ISO/IEC 27001:2013
A.18.1.4
NIST SP 800-53 Rev.4
CA-2,
CA-7,
PM-14,
SI-4
|
|||
DE.DP-3I processi di monitoraggio vengono testati. |
Bassa |
COBIT 5
APO13.02
ISA 62443-2-1:2009
4.4.3.2
ISA 62443-3-3:2013
SR 3.3
ISO/IEC 27001:2013
A.14.2.8
NIST SP 800-53 Rev.4
CA-2,
CA-7,
PE-3,
PM-14,
SI-3,
SI-4
|
|||
DE.DP-4L'informazione relativa agli eventi rilevati è comunicata a tutte le parti interessate. |
Media |
COBIT 5
APO12.06
ISA 62443-2-1:2009
4.3.4.5.9
ISA 62443-3-3:2013
SR 6.1
ISO/IEC 27001:2013
A.16.1.2
NIST SP 800-53 Rev.4
AU-6,
CA-2,
CA-7,
RA-5,
SI-4
D. Lgs. 196/2003
Artt. 19-22, 25-27, 32-bis e 39
|
|||
DE.DP-5I processi di monitoraggio sono oggetto di periodici miglioramenti e perfezionamenti. |
Bassa |
COBIT 5
APO11.06,
DSS04.05
ISA 62443-2-1:2009
4.4.3.4
ISA 62443-3-3:2013
A.16.1.6
NIST SP 800-53 Rev.4
CA-2,
CA-7,
PL-2,
PM-14,
RA-5,
SI-4
|
|||
Respond | Response PlanningProcedure e processi di risposa sono eseguiti e mantenuti per assicurare la tempestiva risposta agli eventi di cybersecurity rilevati. |
RS.RP-1Esiste un piano di ripristino (recovery plan) e questo viene eseguito durante o dopo un incidente. |
Bassa |
CCS CSC
18
COBIT 5
BAI01.10
ISA 62443-2-1:2009
4.3.4.5.1
ISA 62443-3-3:2013
A.16.1.5
NIST SP 800-53 Rev.4
CP-10,
CP-2,
IR-4,
IR-8
|
|
CommunicationsLe attività di risposta sono coordinate con le parti interne ed esterne, per includere eventuale supporto da parte degli organi di legge o dalle forze dell'ordine. |
RS.CO-1Il personale conosce il proprio ruolo e le operazioni che deve svolgere in caso sia necessaria una risposta ad un incidente. |
Bassa |
ISA 62443-2-1:2009
4.3.4.5.2,
4.3.4.5.3,
4.3.4.5.4
ISO/IEC 27001:2013
A.16.1.1,
A.6.1.1
NIST SP 800-53 Rev.4
CP-2,
CP-3,
IR-3,
IR-8
|
||
RS.CO-2Sono stabiliti dei criteri per documentare gli incidenti/eventi. |
Bassa |
ISA 62443-2-1:2009
4.3.4.5.5
ISO/IEC 27001:2013
A.16.1.2,
A.6.1.3
NIST SP 800-53 Rev.4
AU-6,
IR-6,
IR-8
D. Lgs. 196/2003
Artt. 19-22, 25-27, 32-bis e 39
|
|||
RS.CO-3Le informazioni sono condivise in maniera coerente con il piano di risposta. |
Bassa |
ISA 62443-2-1:2009
4.3.4.5.2
ISO/IEC 27001:2013
A.16.1.2
NIST SP 800-53 Rev.4
CA-2,
CA-7,
CP-2,
IR-4,
IR-8,
PE-6,
RA-5,
SI-4
D. Lgs. 196/2003
Artt. 19-22, 25-27, 32-bis e 39
|
|||
RS.CO-4Il coordinamento con le parti interessate dell'organizzazione avviene in coerenza con i piani di risposta. |
Bassa |
ISA 62443-2-1:2009
4.3.4.5.5
NIST SP 800-53 Rev.4
CP-2,
IR-4,
IR-8
D. Lgs. 196/2003
Artt. 19-22, 25-27, 32-bis e 39
|
|||
RS.CO-5E' attuata una condivisione spontanea delle informazioni con le parti interessate esterne all'organizzazione (information sharing) per ottenere una maggior consapevolezza della situazione (c.d. situational awareness). |
Bassa |
NIST SP 800-53 Rev.4
PM-15,
SI-5
D. Lgs. 196/2003
Artt. 19-22, 25-27, 32-bis e 39
|
|||
AnalysisVengono condotte analisi per assicurare un'adeguata riposta e supporto alle attività di ripristino. |
RS.AN-1Le notifiche provenienti dai sistemi di monitoraggio vengono sempre visionate e analizzate. |
Bassa |
COBIT 5
DSS02.07
ISA 62443-2-1:2009
4.3.4.5.6,
4.3.4.5.7,
4.3.4.5.8
ISA 62443-3-3:2013
A.12.4.1,
A.12.4.3,
A.16.1.5,
SR 6.1
NIST SP 800-53 Rev.4
AU-6,
CA-7,
IR-4,
IR-5,
PE-6,
SI-4
|
||
RS.AN-2Viene compreso l'impatto di ogni incidente. |
Media |
ISA 62443-2-1:2009
4.3.4.5.6,
4.3.4.5.7,
4.3.4.5.8
ISO/IEC 27001:2013
A.16.1.6
NIST SP 800-53 Rev.4
CP-2,
IR-4
|
|||
RS.AN-3A seguito di un incidente viene svolta un'analisi forense. |
Bassa |
ISA 62443-3-3:2013
SR 2.10,
SR 2.11,
SR 2.12,
SR 2.8,
SR 2.9,
SR 3.9,
SR 6.1
ISO/IEC 27001:2013
A.16.1.7
NIST SP 800-53 Rev.4
AU-7,
IR-4
|
|||
RS.AN-4Gli incidenti sono categorizzate in maniera coerente con i piani di risposta. |
Bassa |
ISA 62443-2-1:2009
4.3.4.5.6
ISO/IEC 27001:2013
A.16.1.4
NIST SP 800-53 Rev.4
CP-2,
IR-4,
IR-5,
IR-8
|
|||
MitigationVengono eseguite azioni per prevenire l'espansione di un evento di sicurezza, per mitigare i sui effetti e per rimuovere l'incidente. |
RS.MI-1In caso di incidente vengono messe in atto procedure atte a contenerne l'impatto. |
Alta |
Livello 1:
La risposta agli incidenti di Cyber Security avviene almeno attraverso la formalizzazione di una procedura aziendale, redatta in coerenza con i criteri definiti nella guida all'implementazione dei controlli e comunicata a tutte le parti interessate (e.g. dipendenti, consulenti, terze parti).
Livello 2:
Il processo di gestione degli incidenti deve prevedere criteri per la definizione delle priorità degli incidenti, modalità di contenimento degli incidenti e ripristino dell'operatività. Deve essere possibile identificare incidenti attraverso analisi degli eventi generati da soluzioni di sicurezza o registrati dai sistemi.
Livello 3:
Il processo di gestione degli incidenti deve prevedere la registrazione degli incidenti e la registrazione delle attività completate per la loro gestione.
Deve essere completata l'analisi sugli incidenti occorsi per determinare cause e ridurre la probabilità di accadimento.
Deve essere previsto un piano per la comunicazione esterna degli incidenti.
|
ISA 62443-2-1:2009
4.3.4.5.6
ISA 62443-3-3:2013
SR 5.1,
SR 5.2,
SR 5.4
ISO/IEC 27001:2013
A.16.1.5
NIST SP 800-53 Rev.4
IR-4
|
|
RS.MI-2In caso di incidente vengono messe in atto procedure atte a mitigarne gli effetti. |
Alta |
Livello 1:
La risposta agli incidenti di Cyber Security avviene almeno attraverso la formalizzazione di una procedura aziendale, redatta in coerenza con i criteri definiti nella guida all'implementazione dei controlli e comunicata a tutte le parti interessate (e.g. dipendenti, consulenti, terze parti).
Livello 2:
Il processo di gestione degli incidenti deve prevedere criteri per la definizione delle priorità degli incidenti, modalità di contenimento degli incidenti e ripristino dell'operatività. Deve essere possibile identificare incidenti attraverso analisi degli eventi generati da soluzioni di sicurezza o registrati dai sistemi.
Livello 3:
Il processo di gestione degli incidenti deve prevedere la registrazione degli incidenti e la registrazione delle attività completate per la loro gestione.
Deve essere completata l'analisi sugli incidenti occorsi per determinare cause e ridurre la probabilità di accadimento.
Deve essere previsto un piano per la comunicazione esterna degli incidenti.
|
ISA 62443-2-1:2009
4.3.4.5.10,
4.3.4.5.6
ISA 62443-3-3:2013
A.12.2.1,
A.16.1.5
NIST SP 800-53 Rev.4
IR-4
|
||
RS.MI-3Le nuove vulnerabilità sono mitigate o documentate come rischio accettato. |
Alta |
Livello 1:
L'aggiornamento dei sistemi avviene automaticamente per le postazioni ed i dispositivi degli utenti finali, attraverso l'utilizzo di soluzioni tecnologiche specifiche ed in linea con i criteri definiti nella guida all'implementazione dei controlli. I server vengono aggiornati periodicamente.
Livello 2:
Attività di Vulnerability Assessment devono essere effettuate sui sistemi e le reti più rilevanti in termini di operatività aziendale.
Le Vulnerabilità identificate devono essere risolte.
Livello 3:
Attività di Vulnerability Assessment devono essere effettuate su tutti i sistemi e le reti aziendali, in maniera periodica.
Le Vulnerabilità identificate devono essere risolte secondo priorità basate sulla rilevanza degli Asset interessati.
Attività di Penetration Test devono essere effettuate.
|
ISO/IEC 27001:2013
A.12.6.1
NIST SP 800-53 Rev.4
CA-7,
RA-3,
RA-5
|
||
ImprovementsLe attività di risposta sono migliorate incorporando le lesson learned da attività precedenti di monitoraggio e risposta. |
RS.IM-1I piani di risposta agli incidenti tengono in considerazione le esperienze passate (lesson learned). |
Bassa |
COBIT 5
BAI01.13
ISA 62443-2-1:2009
4.3.4.5.10,
4.4.3.4
ISA 62443-3-3:2013
A.16.1.6
NIST SP 800-53 Rev.4
CP-2,
IR-4,
IR-8
|
||
RS.IM-2Le strategie di risposta agli incidenti sono aggiornate. |
Bassa |
NIST SP 800-53 Rev.4
CP-2,
IR-4,
IR-8
|
|||
Recover | Recovery PlanningI processi e le procedure di ripristino sono eseguite e mantenute per assicurare un tempestivo recupero dei sistemi o asset coinvolti da un evento di cybersecurity. |
RC.RP-1Esiste un piano di risposta (response plan) e viene eseguito durante o dopo un evento. |
Media |
CCS CSC
8
COBIT 5
DSS02.05,
DSS03.04
ISO/IEC 27001:2013
A.16.1.5
NIST SP 800-53 Rev.4
CP-10,
IR-4,
IR-8
|
|
ImprovementsI piani di ripristino ed i relativi processi sono migliorati tenendo conto delle lesson learned per le attività future. |
RC.IM-1I piani di riprisitino tengono in considerazione le esperienze passate (lesson learned). |
Bassa |
COBIT 5
BAI05.07
ISA 62443-2-1:2009
4.4.3.4
NIST SP 800-53 Rev.4
CP-2,
IR-4,
IR-8
|
||
RC.IM-2Le strategie di recupero sono aggiornate. |
Bassa |
COBIT 5
BAI07.08
NIST SP 800-53 Rev.4
CP-2,
IR-4,
IR-8
CAD
art. 50-bis, comma 3, lett. a)
|
|||
CommunicationsLe attività di ripristino a seguito di un incidente sono coordinate con le parti interne ed esterne, come ad esempio, le vittime, gli ISP, i proprietari dei sistemi attaccati, i vendor, i CERT/CSIRT. |
RC.CO-1A seguito di un incidente vengono gestite le pubbliche relazioni. |
Bassa |
COBIT 5
EDM03.02
D. Lgs. 196/2003
Artt. 19-22, 25-27, 32-bis e 39
|
||
RC.CO-2A seguito di un incidente viene ripristinata la reputazione. |
Bassa |
COBIT 5
MEA03.02
|
|||
RC.CO-3Le attività di recupero condotte a seguito di un incidente vengono comunicate alle parti interessate interne all'organizzazione, inclusi i dirigenti ed i vertici dell'organizzazione. |
Media |
NIST SP 800-53 Rev.4
CP-2,
IR-4
|