PRONTUARIO SICUREZZA PER I FORNITORI
DIREZIONE CENTRALE PER L’ORGANIZZAZIONE DIGITALE Ufficio III
Dati interni – Dati non personali
Dati interni – Dati non personali Pag. 2 di 12
Indice del documento
1. GENERALITÀ ... 4
1.1. TABELLA DELLE VERSIONI... 4
1.2. TERMINI ED ACRONIMI ... 4
1.3. RIFERIMENTI ... 5
2. INTRODUZIONE ... 6
2.1. SCOPO DEL DOCUMENTO ... 6
2.2. RIFERIMENTI ... 6
2.3. TITOLARITÀ DEL DOCUMENTO ... 6
2.4. DESTINATARI DEL DOCUMENTO ... 6
3. OBIETTIVO DEL PRONTUARIO ... 7
4. OBBLIGHI ED IMPEGNI ... 8
4.1. ORGANIZZAZIONE (DOMINIO ISO 27001 A.6) ... 8
4.1.1. SGSI DI ISTITUTO... 8
4.1.2. RESPONSABILE SICUREZZA DI TERZA PARTE ... 8
4.2. RISORSE UMANE (DOMINIO ISO 27001 A.7) ... 8
4.2.1. PREDISPOSIZIONE DELLE PERSONE ALLA SICUREZZA ... 8
4.2.2. FORMAZIONE E AWARENESS DELLE PERSONE SULLA SICUREZZA ... 8
4.3. GESTIONE ASSET (DOMINIO ISO 27001 A.8) ... 9
4.3.1. DOTAZIONI INFORMATICHE ... 9
4.3.2. CLASSIFICAZIONE DEI DOCUMENTI ... 9
4.4. CONTROLLO ACCESSI (DOMINIO ISO 27001 A.9) ... 9
4.4.1. ACCESSO LOGICO ... 9
4.4.2. PROTEZIONE ACCESSO A PROPRI DISPOSITIVI ELETTRONICI ... 9
4.5. SICUREZZA FISICA ED AMBIENTALE (DOMINIO ISO 27001 A.11) ... 10
4.6. SICUREZZA DELLE COMUNICAZIONI (DOMINIO ISO 27001 A.13) ... 10
4.6.1. PROTEZIONE DEI DISPOSITIVI ELETTRONICI ... 10
4.6.2. NAVIGAZIONE IN RETE ... 10
4.7. ACQUISIZIONE, SVILUPPO, MANUTENZIONE DEI SISTEMI INFORMATICI (DOMINIO ISO 27001 A.14)... 10
4.8. RELAZIONI CON INAIL (DOMINIO ISO A.15) ... 11
4.9. GESTIONE INCIDENTI DI SICUREZZA (DOMINIO ISO 27001 A.16) ... 11
5. ALLEGATI ... 12
Dati interni – Dati non personali Pag. 3 di 12
Dati interni – Dati non personali Pag. 4 di 12
1. GENERALITÀ
1.1. Tabella delle Versioni
Vers. Data Classif.
1Elabora Verifica Approva Note
v01
Dati interni – Dati non personali
Team security governanc e
Michele Mellone
Francesco Saverio Colasuonn o
Prima emissione
v02
Dati interni – Dati non personali
Team security governanc e
Michele Mellone
Francesco Saverio Colasuonn o
Aggiunti
riferimenti CERT
§4.9 Aggiunti
riferimenti PDSA e PDSI §4.7
Aggiunte idicazioni per sub-fornitori
§4.12
1.2. Termini ed Acronimi
Termine Definizione
AgID Agenzia per l’Italia digitale
CED Centro elaborazione dati
DEC Direttore esecutivo del contratto
DCOD Direzione centrale per l’organizzazione digitale
GDPR General data protection regulation
Hw Hardware
PDSA Piano di sicurezza applicativa
PDSI Piano di sicurezza infrastrutturale
RUF Responsabile unico del fornitore
RUP Responsabile unico del progetto (come indirizzato nei contratti di fornitura)
SGSI Sistema di gestione della sicurezza delle informazioni
Sw Software
1 Le regole di classificazione sono riportate nel documento contenente lo schema di classificazione delle informazioni (par. Riferimenti)
Dati interni – Dati non personali Pag. 5 di 12
1.3. Riferimenti
Identificativo Descrizione
DCOD_Tmp_DocumentoWord
24/07/2018 ver. 1.3 Template di riferimento DCOD_SICU_LGD_CLASSIFICAZ
IONEDATI Schema di classificazione delle informazioni DCOD_SICU_LGD_ETICHETTATU
RAEGESTIONEDELLEINFORMAZIONI
Linee guida sulla corretta gestione delle informazioni in base alla loro etichettatura
Dati interni – Dati non personali Pag. 6 di 12
2. INTRODUZIONE
2.1. Scopo del documento
Il presente documento (di seguito anche: linea guida o prontuario) è parte integrante dell’SGSI di INAIL (di seguito anche: Istituto), collocandosi all’interno dello stesso come linea guida per i Fornitori (di seguito: terze parti) affinché si attengano a specifici obblighi ed impegni per la sicurezza delle informazioni.
2.2. Riferimenti
La disciplina espressa dalla linea guida poggia sullo standard ISO/IEC 27001:2013, cui si ispira l’intero framework del SGSI e, più specificatamente, sui domini di sicurezza e relativi obiettivi di controllo che INAIL individua come applicabili per le terze parti.
Nell’indirizzare comportamenti ed azioni a cura delle terze parti, la linea guida recepisce le prescrizioni della normativa comunitaria (i.e. GDPR) e nazionale (i.e. D.Lgs. 196/2003 e successivo D. Lgs. 101/2018) in tema privacy, oltre che le misure minime AgID.
2.3. Titolarità del documento
La linea guida è redatta dal gruppo di lavoro preposto di security governance interno all’ufficio III: il gruppo di lavoro è anche responsabile della diffusione e degli aggiornamenti nel tempo del documento; la verifica è a cura dei principali attori coinvolti nelle attività indirizzate, mentre l’approvazione è in capo al Direttore DCOD.
2.4. Destinatari del documento
I destinatari della linea guida sono:
RUP e DEC che, nel perimetro delle loro pertinenze, si relazionano con i Fornitori;
i RUF di Terza Parte;
le risorse umane di Terza Parte.
Dati interni – Dati non personali Pag. 7 di 12
3. OBIETTIVO DEL PRONTUARIO
Obiettivo del prontuario è fornire alle terze parti fornitrici di servizi o prodotti IT (intese soluzioni tecnologiche) l’elenco sommario degli obblighi e degli impegni loro richiesti in ossequio alla disciplina di sicurezza informatica definita da INAIL tramite l’SGSI, e comunque in linea con le politiche generali dell’Istituto rispetto ai servizi erogati ai cittadini.
Gli obblighi e gli impegni richiesti alle terze parti possono essere:
riferiti ai responsabili della conduzione operativa delle attività o di contratto (RUF) e/o alle risorse preposte al loro svolgimento nel caso di erogazione di servizi IT;
e sono, all’interno documento
enucleati in una paragrafazione che ricalca un sottoinsieme dei domini di sicurezza logica stabiliti dallo standard ISO/IEC 27001:2013.
Il documento è condiviso con le Terze Parti (loro riferimenti contrattuali e/o per la conduzione operativa delle attività previste negli accordi) e non sostituisce l’insieme delle politiche, linee guida, procedure, i cui riferimenti all’interno della intranet INAIL le terze parti devono acquisire all’avvio dei rapporti di collaborazione.
In riferimento agli specifici obblighi ed impegni delle sole risorse umane che hanno accesso ai sistemi informatici in merito a:
utilizzo;
esercizio;
installazione hw;
rilascio sw,
a ciascuna persona sarà fornita un’elencazione di accorgimenti da seguire contestualmente alla creazione dell’utenza INAIL (vedi allegato Cap. 5 - c.d. elenco responsabilità individuali), della quale dovrà essere confermata la ‘presa visione’.
Tale elenco delle responsabilità individuali andrà ad aggiungersi all’informativa trattamento dati personali.
Dati interni – Dati non personali Pag. 8 di 12
4. OBBLIGHI ED IMPEGNI
4.1. Organizzazione (dominio ISO 27001 A.6) 4.1.1. SGSI di Istituto
La Terza Parte deve scrupolosamente attenersi al framework di sicurezza logica (SGSI) definito da INAIL e condiviso in sede di definizione degli accordi contrattuali con l’Istituto tramite link intranet al repository documentale.
La documentazione deve costituire per il fornitore un costante punto di riferimento in consultazione nell’espletamento delle sue attività ‘in sicurezza’; il fornitore potrà altresì avvalersi dell’advisory dell’Ufficio III - owner del SGSI - per l’approfondimento di particolari tematiche
4.1.2. Responsabile sicurezza di Terza Parte
La Terza Parte deve designare uno o più referenti per la gestione degli aspetti di sicurezza nell’ambito dell’attuazione di quanto previsto dai contratti di fornitura; tale figura potrà essere rappresentata anche dallo stesso RUF.
Tali riferimenti potranno essere indicati all’interno degli stessi accordi o anche comunicati in separato contesto ai responsabili operativi INAIL di contratto: ciò deve essere valevole sia nel caso dell’erogazione di servizi sia nel caso dell’acquisizione di soluzioni tecnologiche.
Il ruolo di responsabile di Terza Parte si sostanzia particolarmente allorquando la il Fornitore è nominato, ove previsto, responsabile del trattamento dei dati personali (art. 28 del GDPR), con contestuale somministrazione delle istruzioni per il trattamento, rispondendo peraltro per il danno eventualmente causato nello svolgimento delle attività di trattamento non in linea con le prescrizioni del GDPR (art. 82).
Ad ogni modo il responsabile di Terza Parte assicura che, nell’eventuale assegnazione delle attività in regime di sub-fornitura, ogni prescrizione di sicurezza delle informazioni venga recepita in tutta la catena di fornitura, riportando all’Istituto ogni criticità riscontrata.
4.2. Risorse umane (dominio ISO 27001 A.7)
4.2.1. Predisposizione delle persone alla sicurezza
La Terza Parte deve essere in grado di dimostrare, sia in fase di definizione degli accordi sia anche già nel periodo di loro esercizio, che il personale preposto alle attività per l’erogazione dei servizi previsti disponga di tutte le credenziali funzionali all’efficiente ed efficace svolgimento delle relative attività: per credenziali si intendono sia le specifiche competenze tecniche sia le qualità morali delle persone.
4.2.2. Formazione e awareness delle persone sulla sicurezza
I responsabili di contratto o operativi di Terza Parte devono:
condividere, con gli omologhi referenti INAIL (RUP), all’interno degli stessi accordi o anche con comunicazioni formali in separato contesto, il proprio codice di condotta o analogo regolamento sulle tematiche di sicurezza;
Dati interni – Dati non personali Pag. 9 di 12
accettare formalmente l’eventuale indicazione da parte di INAIL di richiesta di inibizione di specifiche risorse alle attività da e/o presso l’Istituto, in caso di comprovata violazione delle politiche di sicurezza dell’Istituto;
attestare lo svolgimento di periodiche sessioni di formazione - in tema di sicurezza informatica/protezione dati e conformità normativa - erogate verso lo stesso personale preposto alle attività per l’erogazione dei servizi previsti
o,
formalizzare la disponibilità che lo stesso personale possa essere destinatario di sessioni formative o campagne di awareness sulle medesime tematiche, erogate da INAIL.
4.3. Gestione asset (dominio ISO 27001 A.8) 4.3.1. Dotazioni informatiche
Il personale di Terza Parte deve provvedere alla restituzione all’Istituto delle dotazioni informatiche eventualmente acquisite per l’esecuzione delle attività previste contrattualmente; tale azione, laddove previsto contrattualmente o richiesto da INAIL - deve essere preceduta dalla cancellazione sicura dei dati sugli eventuali supporti di memorizzazione ivi contenuti.
4.3.2. Classificazione dei documenti
Nell’ambito della gestione dei documenti scambiati nella quotidiana operatività delle risorse di Terza Parte, queste devono attenersi scrupolosamente alle regole di classificazione definite da INAIL, rispettando peraltro le politiche di protezione eventualmente correlate alle medesime regole.
4.4. Controllo accessi (dominio ISO 27001 A.9) 4.4.1. Accesso logico
I responsabili di contratto di Terza Parte devono condividere periodicamente, secondo le linee guida dell’Istituto, l’elenco delle risorse umane preposte all’esecuzione delle attività, specificando in particolare, qualora previste, le risorse aventi accesso ai sistemi informatici con credenziali privilegiate (amministratori di sistema), ovvero le specifiche utenze in grado di inserire, cancellare, modificare dati sia a livello applicativo che a livello sistemistico/di database; tali elenchi devono essere manutenuti ed aggiornati in linea con quanto disciplinato dal framework di sicurezza logica dell’Istituto.
In generale, la Terza Parte, rispetto ai mansionari delle proprie risorse, dovrà rigidamente rispettare i criteri imposti da INAIL stabiliti dai principi del need to know, need to do e di segregation of duties.
4.4.2. Protezione accesso a propri dispositivi elettronici
Il personale di Terza Parte deve prestare attenzione a non lasciare incustoditi i dispositivi elettronici (laptop o mobile phone) utilizzati per l’espletamento delle attività presso l’Istituto; tale accorgimento include anche la cura nell’evitare di lasciare in stato ‘aperta’ le
Dati interni – Dati non personali Pag. 10 di 12 sessioni di lavoro con il dispositivo, offline o online (con collegamento alla rete tramite credenziali nominali), quando il titolare dello stesso non si trova nella sua prossimità.
4.5. Sicurezza fisica ed ambientale (dominio ISO 27001 A.11)
Il personale di Terza Parte deve rigidamente rispettare le regole di accesso fisico alle strutture ed agli ambienti interni della DCOD (quali ad esempio le sale CED).
In tal senso, è fatto tassativo divieto:
di condividere con terzi badge di accesso fisico, nominali o provvisori;
bypassare i tornelli, ovvero non consentendo la tracciatura dell’accesso.
4.6. Sicurezza delle comunicazioni (dominio ISO 27001 A.13) 4.6.1. Protezione dei dispositivi elettronici
E’ richiesto alle risorse di Terza Parte di attenersi alle comuni logiche di sicurezza e protezione dei propri dispositivi e dei dati ivi residenti, nell’utilizzo della posta elettronica e di internet.
La Terza Parte deve garantire e comprovare, prima dell’avvio dell’esercizio delle attività previste dagli accordi contrattuali, che i dispositivi adottati per l’accesso ai sistemi informatici INAIL, sia on site che da remoto, siano opportunamente protetti da software anti-malware ed anti-virus; il responsabile di contratto o delle operazioni deve peraltro formalmente formalizzare la sua disponibilità ad eventuali verifiche del livello di sicurezza logica degli stessi dispositivi condotte da parte dell’Istituto.
4.6.2. Navigazione in rete
E’ fatto categorico divieto alle risorse di Terza Parte di violare con i propri dispositivi i criteri di web filtering nella navigazione imposti definiti da INAIL, a limitazione del rischio di incidente di sicurezza dello stesso dispositivo e, conseguentemente, dell’eventuale compromissione della rete dell’Istituto.
4.7. Acquisizione, sviluppo, manutenzione dei sistemi informatici (dominio ISO 27001 A.14)
La Terza Parte, qualora previsto nei contratti, deve attenersi ai processi ed alle procedure:
di sviluppo sicuro definiti da INAIL, per nuove implementazioni e upgrade di esistenti, attestando formalmente il recepimento de:
o i principi di sicurezza e di conformità normativa ivi espressi;
o i criteri per la costruzione di impianti di sicurezza applicativa ed infrastrutturale (patching, hardening, …) dei sistemi informatici INAIL sulla base alla tipologia di dati acceduti e trattati;
di esercizio e manutenzione dei sistemi informatici definiti da INAIL, nell’ottica di garantire sempre i più alti livelli di disponibilità e performance dei servizi erogati al cittadino e di quelli interni.
La Terza Parte, nel concorrere alla corretta esecuzione dei processi dell’Istituto, realizza o esegue quanto previsto rispetto ai Piani di Sicurezza Applicativo e/o Infrastrutturale.
Dati interni – Dati non personali Pag. 11 di 12
4.8. Relazioni con INAIL (dominio ISO A.15)
Il responsabile di contratto o delle operazioni di Terza Parte (RUF o suo designato) deve formalizzare la disponibilità a che il fornitore possa essere oggetto di verifiche periodiche o ‘spot’ circa lo svolgimento delle attività previste dagli accordi in linea con la disciplina di sicurezza dell’Istituto (c.d. sorveglianza Fornitori).
4.9. Gestione incidenti di sicurezza (dominio ISO 27001 A.16)
Il personale di Terza Parte è tenuto a seguire scrupolosamente le procedure INAIL in caso di eventi anomali che possano comportare la compromissione della sicurezza dell’Istituto, segnalando la loro occorrenza accidentale o di natura intenzionale/dolosa da parte di altre persone.
Il personale di Terza Parte ha il compito di segnalare al CERT dell’INAIL (cert@inail.it) qualsiasi evento anomalo che possa configurarsi come un potenziale incidente di sicurezza.
Il termine “incidente”, in generale, indica qualsiasi azione illecita, non autorizzata o non conforme alle politiche di sicurezza, che coinvolge le informazioni, i sistemi o in generale il network dell’Istituto. Alcuni esempi di categorie di incidente:
• Disservizio o danneggiamento di dispositivi IT;
• Malfunzionamento dei sistemi hardware o software;
• Non conformità con le politiche o le linee guida di sicurezza;
• Modifica non controllata dei sistemi o delle informazioni;
• Situazione di minaccia imminente di una violazione;
• Violazione degli accessi e perdita di confidenzialità.
Dati interni – Dati non personali Pag. 12 di 12
5. ALLEGATI
Allegato 1:
Responsabilità Individuali di Sicurezza per le Risorse di Terza Parte