PRONTUARIO SICUREZZA PER I FORNITORI

(1)

PRONTUARIO SICUREZZA PER I FORNITORI

DIREZIONE CENTRALE PER L’ORGANIZZAZIONE DIGITALE Ufficio III

Dati interni – Dati non personali

(2)

Dati interni – Dati non personali Pag. 2 di 12

Indice del documento

1. GENERALITÀ ... 4

1.1. TABELLA DELLE VERSIONI... 4

1.2. TERMINI ED ACRONIMI ... 4

1.3. RIFERIMENTI ... 5

2. INTRODUZIONE ... 6

2.1. SCOPO DEL DOCUMENTO ... 6

2.2. RIFERIMENTI ... 6

2.3. TITOLARITÀ DEL DOCUMENTO ... 6

2.4. DESTINATARI DEL DOCUMENTO ... 6

3. OBIETTIVO DEL PRONTUARIO ... 7

4. OBBLIGHI ED IMPEGNI ... 8

4.1. ORGANIZZAZIONE (DOMINIO ISO 27001 A.6) ... 8

4.1.1. SGSI DI ISTITUTO... 8

4.1.2. RESPONSABILE SICUREZZA DI TERZA PARTE ... 8

4.2. RISORSE UMANE (DOMINIO ISO 27001 A.7) ... 8

4.2.1. PREDISPOSIZIONE DELLE PERSONE ALLA SICUREZZA ... 8

4.2.2. FORMAZIONE E AWARENESS DELLE PERSONE SULLA SICUREZZA ... 8

4.3. GESTIONE ASSET (DOMINIO ISO 27001 A.8) ... 9

4.3.1. DOTAZIONI INFORMATICHE ... 9

4.3.2. CLASSIFICAZIONE DEI DOCUMENTI ... 9

4.4. CONTROLLO ACCESSI (DOMINIO ISO 27001 A.9) ... 9

4.4.1. ACCESSO LOGICO ... 9

4.4.2. PROTEZIONE ACCESSO A PROPRI DISPOSITIVI ELETTRONICI ... 9

4.5. SICUREZZA FISICA ED AMBIENTALE (DOMINIO ISO 27001 A.11) ... 10

4.6. SICUREZZA DELLE COMUNICAZIONI (DOMINIO ISO 27001 A.13) ... 10

4.6.1. PROTEZIONE DEI DISPOSITIVI ELETTRONICI ... 10

4.6.2. NAVIGAZIONE IN RETE ... 10

4.7. ACQUISIZIONE, SVILUPPO, MANUTENZIONE DEI SISTEMI INFORMATICI (DOMINIO ISO 27001 A.14)... 10

4.8. RELAZIONI CON INAIL (DOMINIO ISO A.15) ... 11

4.9. GESTIONE INCIDENTI DI SICUREZZA (DOMINIO ISO 27001 A.16) ... 11

5. ALLEGATI ... 12

(3)

(4)

1. GENERALITÀ

1.1. Tabella delle Versioni

Vers. Data Classif.

¹

Elabora Verifica Approva Note

v01

Dati interni – Dati non personali

Team security governanc e

Michele Mellone

Francesco Saverio Colasuonn o

Prima emissione

v02

Dati interni – Dati non personali

Team security governanc e

Michele Mellone

Francesco Saverio Colasuonn o

Aggiunti

riferimenti CERT

§4.9 Aggiunti

riferimenti PDSA e PDSI §4.7

Aggiunte idicazioni per sub-fornitori

§4.12

1.2. Termini ed Acronimi

Termine Definizione

AgID Agenzia per l’Italia digitale

CED Centro elaborazione dati

DEC Direttore esecutivo del contratto

DCOD Direzione centrale per l’organizzazione digitale

GDPR General data protection regulation

Hw Hardware

PDSA Piano di sicurezza applicativa

PDSI Piano di sicurezza infrastrutturale

RUF Responsabile unico del fornitore

RUP Responsabile unico del progetto (come indirizzato nei contratti di fornitura)

SGSI Sistema di gestione della sicurezza delle informazioni

Sw Software

 ¹ Le regole di classificazione sono riportate nel documento contenente lo schema di classificazione delle informazioni (par. Riferimenti)

(5)

1.3. Riferimenti

Identificativo Descrizione

DCOD_Tmp_DocumentoWord

24/07/2018 ver. 1.3 Template di riferimento DCOD_SICU_LGD_CLASSIFICAZ

IONEDATI Schema di classificazione delle informazioni DCOD_SICU_LGD_ETICHETTATU

RAEGESTIONEDELLEINFORMAZIONI

Linee guida sulla corretta gestione delle informazioni in base alla loro etichettatura

(6)

2. INTRODUZIONE

2.1. Scopo del documento

Il presente documento (di seguito anche: linea guida o prontuario) è parte integrante dell’SGSI di INAIL (di seguito anche: Istituto), collocandosi all’interno dello stesso come linea guida per i Fornitori (di seguito: terze parti) affinché si attengano a specifici obblighi ed impegni per la sicurezza delle informazioni.

2.2. Riferimenti

La disciplina espressa dalla linea guida poggia sullo standard ISO/IEC 27001:2013, cui si ispira l’intero framework del SGSI e, più specificatamente, sui domini di sicurezza e relativi obiettivi di controllo che INAIL individua come applicabili per le terze parti.

Nell’indirizzare comportamenti ed azioni a cura delle terze parti, la linea guida recepisce le prescrizioni della normativa comunitaria (i.e. GDPR) e nazionale (i.e. D.Lgs. 196/2003 e successivo D. Lgs. 101/2018) in tema privacy, oltre che le misure minime AgID.

2.3. Titolarità del documento

La linea guida è redatta dal gruppo di lavoro preposto di security governance interno all’ufficio III: il gruppo di lavoro è anche responsabile della diffusione e degli aggiornamenti nel tempo del documento; la verifica è a cura dei principali attori coinvolti nelle attività indirizzate, mentre l’approvazione è in capo al Direttore DCOD.

2.4. Destinatari del documento

I destinatari della linea guida sono:

 RUP e DEC che, nel perimetro delle loro pertinenze, si relazionano con i Fornitori;

 i RUF di Terza Parte;

 le risorse umane di Terza Parte.

(7)

3. OBIETTIVO DEL PRONTUARIO

Obiettivo del prontuario è fornire alle terze parti fornitrici di servizi o prodotti IT (intese soluzioni tecnologiche) l’elenco sommario degli obblighi e degli impegni loro richiesti in ossequio alla disciplina di sicurezza informatica definita da INAIL tramite l’SGSI, e comunque in linea con le politiche generali dell’Istituto rispetto ai servizi erogati ai cittadini.

Gli obblighi e gli impegni richiesti alle terze parti possono essere:

 riferiti ai responsabili della conduzione operativa delle attività o di contratto (RUF) e/o alle risorse preposte al loro svolgimento nel caso di erogazione di servizi IT;

e sono, all’interno documento

 enucleati in una paragrafazione che ricalca un sottoinsieme dei domini di sicurezza logica stabiliti dallo standard ISO/IEC 27001:2013.

Il documento è condiviso con le Terze Parti (loro riferimenti contrattuali e/o per la conduzione operativa delle attività previste negli accordi) e non sostituisce l’insieme delle politiche, linee guida, procedure, i cui riferimenti all’interno della intranet INAIL le terze parti devono acquisire all’avvio dei rapporti di collaborazione.

In riferimento agli specifici obblighi ed impegni delle sole risorse umane che hanno accesso ai sistemi informatici in merito a:

 utilizzo;

 esercizio;

 installazione hw;

 rilascio sw,

a ciascuna persona sarà fornita un’elencazione di accorgimenti da seguire contestualmente alla creazione dell’utenza INAIL (vedi allegato Cap. 5 - c.d. elenco responsabilità individuali), della quale dovrà essere confermata la ‘presa visione’.

Tale elenco delle responsabilità individuali andrà ad aggiungersi all’informativa trattamento dati personali.

(8)

4. OBBLIGHI ED IMPEGNI

4.1. Organizzazione (dominio ISO 27001 A.6) 4.1.1. SGSI di Istituto

La Terza Parte deve scrupolosamente attenersi al framework di sicurezza logica (SGSI) definito da INAIL e condiviso in sede di definizione degli accordi contrattuali con l’Istituto tramite link intranet al repository documentale.

La documentazione deve costituire per il fornitore un costante punto di riferimento in consultazione nell’espletamento delle sue attività ‘in sicurezza’; il fornitore potrà altresì avvalersi dell’advisory dell’Ufficio III - owner del SGSI - per l’approfondimento di particolari tematiche

4.1.2. Responsabile sicurezza di Terza Parte

La Terza Parte deve designare uno o più referenti per la gestione degli aspetti di sicurezza nell’ambito dell’attuazione di quanto previsto dai contratti di fornitura; tale figura potrà essere rappresentata anche dallo stesso RUF.

Tali riferimenti potranno essere indicati all’interno degli stessi accordi o anche comunicati in separato contesto ai responsabili operativi INAIL di contratto: ciò deve essere valevole sia nel caso dell’erogazione di servizi sia nel caso dell’acquisizione di soluzioni tecnologiche.

Il ruolo di responsabile di Terza Parte si sostanzia particolarmente allorquando la il Fornitore è nominato, ove previsto, responsabile del trattamento dei dati personali (art. 28 del GDPR), con contestuale somministrazione delle istruzioni per il trattamento, rispondendo peraltro per il danno eventualmente causato nello svolgimento delle attività di trattamento non in linea con le prescrizioni del GDPR (art. 82).

Ad ogni modo il responsabile di Terza Parte assicura che, nell’eventuale assegnazione delle attività in regime di sub-fornitura, ogni prescrizione di sicurezza delle informazioni venga recepita in tutta la catena di fornitura, riportando all’Istituto ogni criticità riscontrata.

4.2. Risorse umane (dominio ISO 27001 A.7)

4.2.1. Predisposizione delle persone alla sicurezza

La Terza Parte deve essere in grado di dimostrare, sia in fase di definizione degli accordi sia anche già nel periodo di loro esercizio, che il personale preposto alle attività per l’erogazione dei servizi previsti disponga di tutte le credenziali funzionali all’efficiente ed efficace svolgimento delle relative attività: per credenziali si intendono sia le specifiche competenze tecniche sia le qualità morali delle persone.

4.2.2. Formazione e awareness delle persone sulla sicurezza

I responsabili di contratto o operativi di Terza Parte devono:

 condividere, con gli omologhi referenti INAIL (RUP), all’interno degli stessi accordi o anche con comunicazioni formali in separato contesto, il proprio codice di condotta o analogo regolamento sulle tematiche di sicurezza;

(9)

 accettare formalmente l’eventuale indicazione da parte di INAIL di richiesta di inibizione di specifiche risorse alle attività da e/o presso l’Istituto, in caso di comprovata violazione delle politiche di sicurezza dell’Istituto;

 attestare lo svolgimento di periodiche sessioni di formazione - in tema di sicurezza informatica/protezione dati e conformità normativa - erogate verso lo stesso personale preposto alle attività per l’erogazione dei servizi previsti

o,

 formalizzare la disponibilità che lo stesso personale possa essere destinatario di sessioni formative o campagne di awareness sulle medesime tematiche, erogate da INAIL.

4.3. Gestione asset (dominio ISO 27001 A.8) 4.3.1. Dotazioni informatiche

Il personale di Terza Parte deve provvedere alla restituzione all’Istituto delle dotazioni informatiche eventualmente acquisite per l’esecuzione delle attività previste contrattualmente; tale azione, laddove previsto contrattualmente o richiesto da INAIL - deve essere preceduta dalla cancellazione sicura dei dati sugli eventuali supporti di memorizzazione ivi contenuti.

4.3.2. Classificazione dei documenti

Nell’ambito della gestione dei documenti scambiati nella quotidiana operatività delle risorse di Terza Parte, queste devono attenersi scrupolosamente alle regole di classificazione definite da INAIL, rispettando peraltro le politiche di protezione eventualmente correlate alle medesime regole.

4.4. Controllo accessi (dominio ISO 27001 A.9) 4.4.1. Accesso logico

I responsabili di contratto di Terza Parte devono condividere periodicamente, secondo le linee guida dell’Istituto, l’elenco delle risorse umane preposte all’esecuzione delle attività, specificando in particolare, qualora previste, le risorse aventi accesso ai sistemi informatici con credenziali privilegiate (amministratori di sistema), ovvero le specifiche utenze in grado di inserire, cancellare, modificare dati sia a livello applicativo che a livello sistemistico/di database; tali elenchi devono essere manutenuti ed aggiornati in linea con quanto disciplinato dal framework di sicurezza logica dell’Istituto.

In generale, la Terza Parte, rispetto ai mansionari delle proprie risorse, dovrà rigidamente rispettare i criteri imposti da INAIL stabiliti dai principi del need to know, need to do e di segregation of duties.

4.4.2. Protezione accesso a propri dispositivi elettronici

Il personale di Terza Parte deve prestare attenzione a non lasciare incustoditi i dispositivi elettronici (laptop o mobile phone) utilizzati per l’espletamento delle attività presso l’Istituto; tale accorgimento include anche la cura nell’evitare di lasciare in stato ‘aperta’ le

(10)

Dati interni – Dati non personali Pag. 10 di 12 sessioni di lavoro con il dispositivo, offline o online (con collegamento alla rete tramite credenziali nominali), quando il titolare dello stesso non si trova nella sua prossimità.

4.5. Sicurezza fisica ed ambientale (dominio ISO 27001 A.11)

Il personale di Terza Parte deve rigidamente rispettare le regole di accesso fisico alle strutture ed agli ambienti interni della DCOD (quali ad esempio le sale CED).

In tal senso, è fatto tassativo divieto:

 di condividere con terzi badge di accesso fisico, nominali o provvisori;

 bypassare i tornelli, ovvero non consentendo la tracciatura dell’accesso.

4.6. Sicurezza delle comunicazioni (dominio ISO 27001 A.13) 4.6.1. Protezione dei dispositivi elettronici

E’ richiesto alle risorse di Terza Parte di attenersi alle comuni logiche di sicurezza e protezione dei propri dispositivi e dei dati ivi residenti, nell’utilizzo della posta elettronica e di internet.

La Terza Parte deve garantire e comprovare, prima dell’avvio dell’esercizio delle attività previste dagli accordi contrattuali, che i dispositivi adottati per l’accesso ai sistemi informatici INAIL, sia on site che da remoto, siano opportunamente protetti da software anti-malware ed anti-virus; il responsabile di contratto o delle operazioni deve peraltro formalmente formalizzare la sua disponibilità ad eventuali verifiche del livello di sicurezza logica degli stessi dispositivi condotte da parte dell’Istituto.

4.6.2. Navigazione in rete

E’ fatto categorico divieto alle risorse di Terza Parte di violare con i propri dispositivi i criteri di web filtering nella navigazione imposti definiti da INAIL, a limitazione del rischio di incidente di sicurezza dello stesso dispositivo e, conseguentemente, dell’eventuale compromissione della rete dell’Istituto.

4.7. Acquisizione, sviluppo, manutenzione dei sistemi informatici (dominio ISO 27001 A.14)

La Terza Parte, qualora previsto nei contratti, deve attenersi ai processi ed alle procedure:

 di sviluppo sicuro definiti da INAIL, per nuove implementazioni e upgrade di esistenti, attestando formalmente il recepimento de:

o i principi di sicurezza e di conformità normativa ivi espressi;

o i criteri per la costruzione di impianti di sicurezza applicativa ed infrastrutturale (patching, hardening, …) dei sistemi informatici INAIL sulla base alla tipologia di dati acceduti e trattati;

 di esercizio e manutenzione dei sistemi informatici definiti da INAIL, nell’ottica di garantire sempre i più alti livelli di disponibilità e performance dei servizi erogati al cittadino e di quelli interni.

La Terza Parte, nel concorrere alla corretta esecuzione dei processi dell’Istituto, realizza o esegue quanto previsto rispetto ai Piani di Sicurezza Applicativo e/o Infrastrutturale.

(11)

4.8. Relazioni con INAIL (dominio ISO A.15)

Il responsabile di contratto o delle operazioni di Terza Parte (RUF o suo designato) deve formalizzare la disponibilità a che il fornitore possa essere oggetto di verifiche periodiche o ‘spot’ circa lo svolgimento delle attività previste dagli accordi in linea con la disciplina di sicurezza dell’Istituto (c.d. sorveglianza Fornitori).

4.9. Gestione incidenti di sicurezza (dominio ISO 27001 A.16)

Il personale di Terza Parte è tenuto a seguire scrupolosamente le procedure INAIL in caso di eventi anomali che possano comportare la compromissione della sicurezza dell’Istituto, segnalando la loro occorrenza accidentale o di natura intenzionale/dolosa da parte di altre persone.

Il personale di Terza Parte ha il compito di segnalare al CERT dell’INAIL (cert@inail.it) qualsiasi evento anomalo che possa configurarsi come un potenziale incidente di sicurezza.

Il termine “incidente”, in generale, indica qualsiasi azione illecita, non autorizzata o non conforme alle politiche di sicurezza, che coinvolge le informazioni, i sistemi o in generale il network dell’Istituto. Alcuni esempi di categorie di incidente:

• Disservizio o danneggiamento di dispositivi IT;

• Malfunzionamento dei sistemi hardware o software;

• Non conformità con le politiche o le linee guida di sicurezza;

• Modifica non controllata dei sistemi o delle informazioni;

• Situazione di minaccia imminente di una violazione;

• Violazione degli accessi e perdita di confidenzialità.

(12)

5. ALLEGATI

Allegato 1:

Responsabilità Individuali di Sicurezza per le Risorse di Terza Parte