SGSI03 Politica per la sicurezza delle Informazioni Rev · 2020-07-14 · sdj 'rfxphqwr dg xvr...

Documento di Sistema SGSI03

Rev.3

Politica per la sicurezza delle informazioni

05/02/2019

pag. 1 (19)

Documento ad uso interno

Sezione di controllo del documento

Titolo del documento Politica per la Sicurezza delle informazioni

Tipo di documento Documento di Sistema

Applicazione

- HBG Connex S.p.A - “Gestione e conduzione operativa dei sistemi a supporto dell'esercizio degli apparecchi di gioco lecito con vincita in denaro: AWP (Amusement With Prizes) e VLT (Video Lottery Terminal)” - Tutte le società del gruppo HBG Gaming S.r.l.

Circolazione Il presente documento viene inserito nella raccolta delle procedure aziendali pubblicate sulla intranet aziendale

Riferimenti esterni Standard ISO/IEC 27001:2013

Riferimenti interni Analisi di Contesto

Sistema di Gestione Sistema di Gestione della Sicurezza delle Informazioni

Indice

Revisione Data

pubblicazione Motivo della revisione Redazione Verifica Approvazione

0 21/11/2016 Emissione Sicurezza e Compliance

ICT Responsabile SGSI Direzione Generale

1 17/02/2017 Aggiornamento campo di

applicazione del SGSI

Sicurezza e Compliance

ICT

Sicurezza e Compliance ICT

Responsabile Sicurezza e

Compliance ICT

2 24/01/2018 Revisione annuale Sicurezza e Compliance

ICT Responsabile SGSI Direzione Generale

3 05/02/2019 Revisione annuale Sicurezza e Compliance

ICT Responsabile SGSI Direttore SieT


Rev.3


05/02/2019

pag. 2 (19)


Indice

1 Scopo e campo d’applicazione ............................................................................................ 4 Scopo .............................................................................................................................. 4

Campo d’applicazione .................................................................................................... 4

2 Riferimenti normativi ......................................................................................................... 5 3 Termini e definizioni ........................................................................................................... 5 4 Contesto dell’organizzazione .............................................................................................. 5

Comprendere l’organizzazione e il suo contesto ............................................................ 5

Comprendere le necessità e le aspettative delle parti interessate.................................... 6

Determinare il campo d’applicazione del sistema di gestione per la sicurezza delle informazioni .......................................................................................................................... 6

Sistema di gestione per la sicurezza delle informazioni ................................................. 6

5 Leadership ............................................................................................................................ 7 Leadership e impegno ..................................................................................................... 7

Politica del sistema di gestione ....................................................................................... 7

Ruoli e responsabilità nel Sistema di Gestione della Sicurezza delle Informazioni ....... 9

6 Pianificazione ....................................................................................................................... 9 Azioni per affrontare rischi e opportunità..................................................................... 10

Obiettivi per la sicurezza delle informazioni e pianificazione per conseguirli............. 10

6.2.1 Diffondere una cultura per la sicurezza delle informazioni ............................. 11

6.2.2 Prevenire gli incidenti ....................................................................................... 11

6.2.3 Contenere le conseguenze degli incidenti e garantire la continuità operativa 11

6.2.4 Soddisfare i requisiti contrattuali e di business ................................................ 11

6.2.5 Soddisfare i requisiti cogenti e regolamentari .................................................. 12

7 Supporto ............................................................................................................................. 12 Risorse .......................................................................................................................... 12

Competenze .................................................................................................................. 12

Consapevolezza ............................................................................................................ 13

Comunicazione ............................................................................................................. 13

7.4.1 Comunicazione interna ..................................................................................... 13

7.4.2 Comunicazione con i fornitori e Clienti ............................................................ 13

7.4.3 Comunicazione con il pubblico ......................................................................... 13

Informazioni documentate ............................................................................................ 14

7.5.1 Classificazione delle informazioni .................................................................... 14

7.5.2 Creazione e aggiornamento delle informazioni ................................................ 14


Rev.3


05/02/2019

pag. 3 (19)


7.5.3 Etichettatura delle informazioni ....................................................................... 15

7.5.4 Controllo delle informazioni ............................................................................. 15

8 Attività operativa ............................................................................................................... 15 Pianificazione e controllo operativi .............................................................................. 15

Valutazione del rischio relativo alla sicurezza delle informazioni ............................... 16

Trattamento del rischio relativo alla sicurezza delle informazioni ............................... 16

9 Valutazione delle prestazioni ............................................................................................ 17 Monitoraggio, misurazione, analisi e valutazione ........................................................ 17

Audit interno ................................................................................................................. 17

Riesame di Direzione .................................................................................................... 18

9.3.1 Elementi in ingresso per il Riesame .................................................................. 18

9.3.2 Elementi in uscita per il Riesame ...................................................................... 18

10 Miglioramento ................................................................................................................... 19 Non conformità e azioni correttive ....................................................................... 19

Miglioramento continuo ....................................................................................... 19

11 Allegati ................................................................................................................................ 19


Rev.3


05/02/2019

pag. 4 (19)


1 Scopo e campo d’applicazione

Scopo

La presente politica ha l’obiettivo primario di definire il Sistema di Gestione per la Sicurezza delle Informazioni (in seguito denominato anche SGSI), di HBG Connex S.p.A (d’ora innanzi indicata anche come l’Azienda o l’Organizzazione) all’interno del processo definito nel paragrafo 1.2 Campo d’applicazione, in accordo ai requisiti della norma ISO/IEC 27001:2013 al fine di proteggere le informazioni aziendali e gli elementi del sistema informativo delegati alla loro gestione.

Obiettivo ultimo di tale politica è definire delle regole affinché siano garantiti il rispetto dei requisiti di riservatezza, integrità e disponibilità delle informazioni trattate dall’azienda nei confronti dei suoi stakeholder, nel rispetto delle leggi vigenti. In particolare, la presente politica descrive:

I processi rilevanti per il Sistema di Gestione e la loro interazione, limitatamente al campo di applicazione del Sistema stesso

La dichiarazione della mission e gli obiettivi per la Sicurezza delle Informazioni da perseguire ai fini dell’efficacia del Sistema di Gestione

La suddivisione dei compiti, delle responsabilità e le principali modalità operative relative ai processi rilevanti per il SGSI

L’inosservanza di tale politica può comportare, nell’ambito di una qualsiasi attività, gravi danni per l’azienda, sia a livello reputazionale (come ad esempio la disaffezione della clientela) che operativo (come la diffusione di virus informatici sui sistemi aziendali, la perdita o fuga di dati o il calo della produttività a causa di disservizi prolungati). Inoltre, possono verificarsi danni di natura economica e finanziaria, oltre a sanzioni penali e amministrative in seguito a violazione delle normative vigenti.

Campo d’applicazione

La presente Politica per la Sicurezza delle Informazioni si applica alle attività operative e gestionali di HBG Connex S.p.A. dislocate nell’ambito delle attività di:

“Gestione e conduzione operativa dei sistemi a supporto dell'esercizio degli apparecchi di gioco lecito con vincita in denaro: AWP (Amusement With Prizes) e VLT (Video Lottery Terminal)” Dall’ambito di certificazione vengono esclusi i sistemi e processi relativi alla gestione delle periferie distribuite sul territorio, come ad esempio le sale, gli esercizi o i magazzini dove sono ubicati gli apparecchi AWP e VLT. La presente politica si applica a tutti gli utenti, siano essi dipendenti o esterni, così come ai fornitori e le terze parti che condividono o scambiano dati con l’azienda, al fine di assicurare la protezione del proprio Sistema Informativo da minacce e rischi e rispondere efficientemente a situazioni anomale garantendo una pronta reazione e la continuità dei servizi e la produttività aziendale.


Rev.3


05/02/2019

pag. 5 (19)


La presente politica rappresenta il documento di riferimento del SGSI di HBG Connex S.p.A. e richiama quanto indicato nella norma ISO/IEC 27001:2013 in materia di sicurezza delle informazioni, che costituisce il riferimento cardine per la gestione della Sicurezza delle Informazioni. 2 Riferimenti normativi

Il presente documento si basa sulle seguenti normative:

- ISO/IEC 27000:2016 “Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary”

- ISO/IEC 27001:2013 “Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti”

- ISO/IEC 27002:2013 “Information technology -- Security techniques -- Code of practice for information security controls”

- ISO 31000:2009 “Risk management -- Principles and guidelines” - D.lgs 231/2001 - Disciplina della responsabilità amministrativa delle persone giuridiche, delle

società e delle associazioni anche prive di personalità giuridica; - D.lgs 196/2003 - Codice in materia di protezione dei dati personali; - D.lgs 81/2008 – Sicurezza Lavoro

Il presente documento tiene inoltre in considerazione, ove applicabili le norme, o parti di esse, elencante nell’Allegato SGSI03_Allegato1 Riferimenti Normativi.

3 Termini e definizioni

Ai fini della presente politica valgono le definizioni contenute nella norma ISO/IEC 27000:2016.

4 Contesto dell’organizzazione

Comprendere l’organizzazione e il suo contesto

L’Organizzazione definisce, e con cadenza annuale rivalida, il contesto in cui opera, gli attori coinvolti, le opportunità e i possibili rischi impattanti sul proprio Sistema di Gestione per la Sicurezza delle Informazioni.

Tale attività viene eseguita attraverso un’identificazione di tutte le parti interessate dal Sistema di Gestione di HBG Connex S.p.A. con cui l’azienda entra in contatto per lo svolgimento delle attività quotidiane di business. Tali parti interessate vengono raggruppate in sei categorie, ognuna delle quali, interagendo direttamente o indirettamente con l’azienda, è portatrice di specifici interessi e, in parte, fonte di rischi. Gli interessi interni ed esterni all’azienda nonché i rischi derivanti dal contesto in cui essa opera risultano rilevanti in quanto vincolano alcune scelte sia livello operativo che strategico e potrebbero avere impatti in termini di sicurezza sui processi aziendali.


Rev.3


05/02/2019

pag. 6 (19)


Per una descrizione approfondita del contesto in cui l’organizzazione opera, si faccia riferimento al documento del SGSI Analisi di Contesto (ref .doc. SGSI01).

Comprendere le necessità e le aspettative delle parti interessate

Nell’analisi del contesto, richiamata nel paragrafo precedente, si descrive quali siano i fattori esterni, i fattori interni, e le parti interessate che interagiscono con l’Azienda e quali le minacce che possono impattarle. In tale ambito vengono anche elencati gli stakeholder che influenzano il Sistema di Gestione per la Sicurezza delle Informazioni di HBG Connex S.p.A. e i requisiti che tali parti determinano per il SGSI.

La presente policy è stata elaborata tenendo in considerazione le necessità, le aspettative ed i requisiti delle parti interessate identificate nel documento di analisi del contesto.

Determinare il campo d’applicazione del sistema di gestione per la sicurezza delle informazioni

Tutti i contesti tecnologici e non, attualmente utilizzati per il trattamento delle informazioni soggette al SGSI, così come anche quelli futuri, sono da considerarsi all’interno del campo d’applicazione della presente politica. Per informazioni soggette al SGSI si intendono le informazioni conservate e trasmesse sia tramite mezzi elettronici che su supporti cartacei e definite all’interno dell’Analisi del Contesto.

Sistema di gestione per la sicurezza delle informazioni

HBG Connex S.p.A. ha definito e formalizzato un Sistema di Gestione per la Sicurezza delle Informazioni conforme allo Standard ISO / IEC 27001:2013. Tale Sistema di Gestione si basa sulla presente politica la quale, nelle sue edizioni di volta in volta aggiornate, ne rappresenta il documento guida.

Il SGSI viene regolarmente applicato e aggiornato ogni qualvolta se ne ravvisi l'utilità, al fine di migliorarne continuamente l'efficacia in accordo con i requisiti delle norme di riferimento. A tale scopo, l'organizzazione aziendale ha suddiviso tutta l'attività operativa in una sequenza di processi determinati, ha individuato i rispettivi responsabili, stabilendo anche i criteri e metodi per assicurare l'efficace funzionamento e controllo delle prassi formalizzate in apposite procedure e moduli di registrazione delle attività svolte. Di conseguenza, sulla base dei processi determinati, sono state definite e dimensionate le risorse tecniche e professionali necessarie al fine di attuare le azioni necessarie per conseguire i risultati voluti e il miglioramento continuo degli stessi e di garantirne il funzionamento, il monitoraggio e la misura, ove applicabile, delle prestazioni.


Rev.3


05/02/2019

pag. 7 (19)


5 Leadership

Leadership e impegno

Con cadenza almeno semestrale, la Direzione Generale definisce o rivalida gli obiettivi del SGSI compatibili con le strategie operative dell’Organizzazione e comunica a tutte le risorse necessarie per la corretta applicazione del Sistema di Gestione l’importanza del miglioramento continuo, fornendo guida e sostegno a tutto il personale.

Inoltre, l’azienda si avvale del supporto di consulenti specializzati e professionisti del settore al fine di garantire un corretto livello di sicurezza delle informazioni. In particolare, il Management si impegna a:

- Garantire il rispetto dei requisiti di sicurezza e l’integrità delle informazioni secondo quanto previsto dalla normativa vigente;

- Mettere a disposizione, in coerenza con l’organizzazione e le responsabilità attribuite in azienda, le risorse umane e operative necessarie a perseguire gli obiettivi di sicurezza;

- Comunicare a ciascuna risorsa necessaria per il corretto funzionamento del Sistema di Gestione l’importanza di ottemperare ai requisiti previsti;

- Assicurare una formazione costante del personale in modo da mantenere adeguate competenze;

- Riesaminare il Sistema di Gestione almeno una volta l’anno al fine di valutarne efficacia ed efficienza e di fissare obiettivi, ove possibile, misurabili che consentano un miglioramento costante

Politica del sistema di gestione

Il Sistema di Gestione della Sicurezza delle Informazioni ha come obiettivo primario la protezione del patrimonio informativo di HBG Connex S.p.A. e il mantenimento dei requisiti di riservatezza, integrità e disponibilità delle informazioni.

Il raggiungimento di adeguati livelli di sicurezza, consente all’azienda di mitigare e contrastare perdite e danneggiamenti che possano avere impatto sulle persone, sull’immagine e la reputazione aziendali, sugli aspetti di natura economica e finanziaria, oltre a consentire la conformità al contesto contrattuale e legislativo vigente in materia di protezione delle informazioni. In tale ambito, l’Azienda individua i seguenti obiettivi per il presente manuale:

- Adottare ed implementare principi e best practice riconosciuti per garantire la Sicurezza delle Informazioni e promuovere l’acquisizione di certificazioni di conformità agli standard di riferimento;

- Individuare ruoli e responsabilità, da assegnare al proprio organico, indipendentemente dal livello gerarchico occupato, coinvolgendo anche i soggetti terzi che svolgono incarichi chiave;

- Assegnare le risorse necessarie al fine di assicurare l’impiego di misure idonee per gli aspetti riguardanti la sicurezza fisica, logica ed organizzativa;

- Promuovere continuamente il Sistema di Gestione per la Sicurezza delle Informazioni, anche mediante un impegno costante degli Organi e dei Soggetti apicali;


Rev.3


05/02/2019

pag. 8 (19)


- Individuare, documentare ed applicare regole che disciplinano le modalità di utilizzo delle informazioni, dei beni e degli strumenti;

- Sviluppare un programma di consapevolezza per il personale, mediante sessioni informative e formative periodiche;

- Predisporre adeguate misure di reazione e gestione a fronte del verificarsi di incidenti che possono compromettere la sicurezza delle informazioni e la normale operatività;

- Impegnarsi a svolgere un processo continuo di miglioramento ed evoluzione del Sistema di Gestione per la Sicurezza delle Informazioni, pianificando, eseguendo, verificando e attuando con continuità misure ed accorgimenti atti al contrasto di potenziali eventi che possano compromettere il patrimonio informativo aziendale

La sicurezza viene vista come un insieme di processi ciclici ad ogni livello e lo standard ISO/IEC 27001:2013 si concentra su aspetti di gestione della sicurezza, definendo un catalogo di contromisure di sicurezza ad un livello tale da potere essere applicate ad ambienti, sistemi e procedure diverse all’interno di qualsiasi tipo di azienda. Il SGSI è stato definito in modo da eseguire un processo ciclico di gestione costituito da 4 fasi sequenziali. L’output di ciascuna fase rappresenta l’input per la fase successiva. Le quattro fasi vengono chiamate Plan, Do, Check, Act (PDCA). Durante la fase di Plan, che viene eseguita per prima, il sistema di gestione viene definito e dotato di tutti gli strumenti (requisiti, obiettivi, pianificazione, risorse ecc.) necessari alla propria esecuzione. Durante la fase Do, il sistema tenta di conseguire gli obiettivi stabiliti in fase Plan, utilizzando gli strumenti definiti. Durante la fase Check, le performance del sistema (rispetto dei requisiti, raggiungimento degli obiettivi, efficacia ecc.) vengono esaminate e misurate. Eventuali scostamenti dai risultati attesi vengono analizzati per determinare azioni correttive o azioni di miglioramento. Durante la fase Act viene dato luogo all’esecuzione delle azioni determinate nella fase precedente. Al termine della fase Act, il ciclo ricomincia con una nuova fase Plan. Nei SGSI conformi allo standard ISO/IEC 27001:2013, i requisiti per l’implementazione della fase Plan vengono descritti nei capitoli dal 4 al 6; i requisiti per la fase Do sono espressi nel capitolo 8; quelli per la fase Check nel capitolo 9; quelli per la fase Act nel capitolo 10. Il capitolo 7, cosiddetto di supporto, fornisce requisiti per processi (gestione delle informazioni documentate, gestione delle risorse, comunicazione ecc.) che vengono utilizzati lungo tutte le 4 fasi del PDCA.


Rev.3


05/02/2019

pag. 9 (19)


Ruoli e responsabilità nel Sistema di Gestione della Sicurezza delle Informazioni

L’efficace attuazione del SGSI ed il conseguimento degli obiettivi prefissati sono assicurati dall’assetto organizzativo definito e messo in atto dalla Direzione Generale. A tale scopo, essa identifica, definisce ed assegna l’insieme dei ruoli e delle responsabilità relative al Sistema di Gestione della Sicurezza delle Informazioni di HBG Connex S.p.A., e li comunica rendendoli disponibili a tutti i dipendenti all’interno della rete aziendale. Di seguito vengono sinteticamente riportati ruoli, le principali prerogative e responsabilità:

Direzione Generale - determina la strategia dell'organizzazione integrata con il Sistema di

Gestione della Sicurezza delle Informazioni (SGSI), stabilisce gli obiettivi di sicurezza delle informazioni e mette a disposizione le risorse necessarie per la gestione del SGSI. Inoltre promuove il miglioramento continuo del SGSI, esegue il riesame e valuta le prestazioni del SGSI.

Steering Committee - fornisce il supporto decisionale al Responsabile del SGSI, supporta l'integrazione del SGSI all'interno dei processi aziendali. Supporta la Direzione nel riesame del SGSI.

Responsabile del SGSI – è responsabile dell’implementazione e della gestione complessiva del Sistema di Gestione della Sicurezza delle Informazioni attraverso le risorse messe a disposizione dalla Direzione nel rispetto dei requisiti delle parti interessate e per il raggiungimento degli obiettivi stabiliti. È parte attiva nei processi di validazione ed approvazione di policy e procedure del SGSI.

Risorse Umane - misura e gestisce il grado di competenza e consapevolezza delle risorse umane coinvolte nel sistema di gestione definendo appositi programmi di sensibilizzazione e formazione e garantendone l’esecuzione.

Risk Owner – gestisce uno o più rischi specifici. Approva il piano di trattamento del rischio in collaborazione con il Responsabile SGSI, sulla base della soglia di accettabilità stabilità dalla Direzione Generale. È responsabile dell’accettazione formale del rischio residuo.

Asset Owner – garantisce la sicurezza delle informazioni dell'asset di cui è l’owner. Tale governo è garantito rispettando le policy del sistema di gestione, i processi e le procedure di sicurezza associate agli asset oltre che mediante l’applicazione di opportuni controlli determinati in collaborazione con il Responsabile SGSI. Stabilisce le regole di accesso all'asset e collabora ai controlli di sicurezza da applicare ad esso al fine di ridurre rischi identificati dal risk owner fino al livello accettabile. Le figure di Risk Owner e Asset Owner possono anche essere assegnate alla stessa persona.

Per la descrizione più dettagliata dei ruoli, responsabilità e l’autorità si fa riferimento al documento “Ruoli, responsabilità e autorità del SGSI”. 6 Pianificazione

HBG Connex S.p.A. pianifica e implementa il SGSI in modo coerente con il conseguimento degli obiettivi di sicurezza delle informazioni fissati e con la possibilità di garantire costantemente il rispetto dei requisiti di integrità, disponibilità e riservatezza.


Rev.3


05/02/2019

pag. 10 (19)


Il SGSI implementato è, peraltro, uno strumento dinamico di gestione, capace di recepire ogni eventuale elemento di miglioramento salvaguardando la conformità alle norme di riferimento. La pianificazione delle attività per la Sicurezza delle Informazioni è descritta e distribuita su tutta la documentazione per la Sicurezza delle Informazioni, che fa perno sulla presente politica e sulle relative procedure.

Azioni per affrontare rischi e opportunità

HBG Connex S.p.A. ha identificato e instaurato un processo documentato di gestione del rischio relativo alla sicurezza delle informazioni che utilizza una metodologia di Valutazione del Rischio. La metodologia di valutazione e trattamento del rischio è stata sviluppata ad hoc prendendo spunto dalle migliori pratiche di settore e dalle raccomandazioni dei comitati tecnici e scientifici di riferimento ed introducendo alcune peculiarità originali. La metodologia considera ad alto livello tutti gli asset rilevanti per il SGSI ed utilizzati dai differenti processi all’interno dell’Organizzazione.

Secondo la metodologia, dopo aver stabilito le scale di impatto e le frequenze di accadimento, per valutare i rischi collegati alla Sicurezza delle Informazioni vengono innanzitutto individuati gli asset dell’azienda che trattano le informazioni rilevanti per il SGSI. Per ogni famiglia di asset, vengono correlate minacce e vulnerabilità per ciascuno dei requisiti di Riservatezza, Integrità e Disponibilità. In tal modo è possibile condurre una valutazione del rischio vera e propria sulle famiglie di asset e/o sugli asset che trattano le informazioni rilevanti per il SGSI, tenendo in considerazione le più significative vulnerabilità presenti, le possibili minacce e la loro frequenza di accadimento (cfr. documento “Metodologia Analisi del Rischio”). Una volta analizzati i risultati della valutazione dei rischi ed effettuando opportuni approfondimenti sulle specifiche risorse a supporto dei propri processi, il Responsabile SGSI ed i Risk Owner decidono le azioni da intraprendere e valuta se accettare / mitigare / trasferire / eliminare i rischi rilevati nell’ambito di un apposito Piano di Trattamento del Rischio. Dal piano di trattamento del rischio viene derivata la Dichiarazione di Applicabilità (SOA).

Obiettivi per la sicurezza delle informazioni e pianificazione per conseguirli

L’Organizzazione riconosce che sia le informazioni che tutti i sistemi attraverso i quali esse transitano o sono elaborate, immagazzinate o trasmesse devono essere soggette ad un'attenta e controllata gestione, finalizzata ad innalzarne e mantenerne i livelli di sicurezza allineati ai migliori standard internazionali.

A questo fine, la Direzione Generale ritiene di definire e supportare adeguatamente la presente politica e tutte le attività ad essa connesse impegnandosi fortemente a partire dalla sua stessa Direzione. Gli obiettivi che giustificano l’adozione di un Sistema di Gestione per la Sicurezza delle Informazioni sono molteplici e sono descritti nei paragrafi seguenti. Per i metodi di misurazione e valutazione


Rev.3


05/02/2019

pag. 11 (19)


quantitativa del grado raggiungimento di tali obiettivi, si rimanda al documento “Obiettivi di Sicurezza delle Informazioni”.

6.2.1 Diffondere una cultura per la sicurezza delle informazioni

L’Azienda ritiene che la più importante linea di difesa sia rappresentata dal personale dell'azienda, indipendentemente dal suo livello, e si basa sulla sensibilità e sul patrimonio conoscitivo dei singoli individui. La Direzione opera in tal senso un incoraggiamento continuo e sostiene l’esecuzione di processi periodici di adeguata formazione quali fattori fondamentali per ottenere una cultura della sicurezza diffusa tra il personale.

La diffusione della cultura della sicurezza delle informazioni ed il suo continuo innalzamento sono un obiettivo del SGSI.

6.2.2 Prevenire gli incidenti

La prevenzione è una misura indispensabile per proteggere le informazioni aziendali, poiché mette al riparo l’organizzazione dalle conseguenze di un evento indesiderato che avrebbe potuto tradursi in danni economici, legali o di immagine. L'analisi preventiva e i test rivestono un ruolo fondamentale in questo contesto. È necessario quindi prevedere l’implementazione di una serie di misure preventive e di recovery dei dati volte a ridurre il rischio di danno causato da interruzioni del servizio.

La prevenzione degli incidenti è un obiettivo del SGSI.

6.2.3 Contenere le conseguenze degli incidenti e garantire la continuità operativa

In aggiunta alla prevenzione, la strategia complementare per ridurre al minimo i danni è la risposta immediata ad un incidente. Come per tutte le situazioni di emergenza, seguire dei piani predisposti, facenti riferimento ad azioni ben precise, rende possibile intervenire con prontezza riportando rapidamente l’azienda nelle condizioni di normalità e limitando il prolungarsi nel tempo di situazioni dannose. A tale scopo vengono stabiliti i processi di incidet management. I tracciati degli incidenti occorsi e le informazioni acquisite devono essere mantenute in appositi archivi per minimizzare i danni dovuti a incidenti di sicurezza o malfunzionamenti. I processi di incident management devono essere resi noti a tutto il personale e gli utenti devono essere messi a conoscenza delle modalità di gestione dei incidenti al fine di garantire un’efficace risposta in caso di incidenti di sicurezza (ad esempio: infezione da virus, tentativi di intrusione).

Il contenimento delle conseguenze degli incidenti è un obiettivo del SGSI.

6.2.4 Soddisfare i requisiti contrattuali e di business

Tutti i requisiti di sicurezza delle informazioni che hanno origine contrattuale o legale hanno una rilevanza strategica per il business e di conseguenza il loro rispetto è centrale per il SGSI. Più in generale, tutti gli aspetti di sicurezza delle informazioni che possono influenzare l’immagine aziendale, sono indirizzati nell’ambito del SGSI.

Deve essere controllato e regolato da una specifica normativa l’accesso di terze parti ai sistemi informativi aziendali al fine di mantenere un adeguato livello di sicurezza delle informazioni. Questa normativa


Rev.3


05/02/2019

pag. 12 (19)


costituirà parte del capitolato tecnico e dovrà essere inclusa nei contratti che regolano i rapporti tra l’azienda e le società fornitrici e clienti. La gestione in outsourcing di dispositivi informatici e l’elaborazione di dati aziendali devono essere conformi con la politica di sicurezza delle informazioni. Inoltre, nel contratto di outsourcing devono essere indicati, insieme ai parametri di Service Level Agreement (SLA), specifici requisiti di sicurezza che devono essere garantiti dalla società outsourcer.

La soddisfazione dei requisiti contrattuali in relazione alla sicurezza delle informazioni è un obiettivo del SGSI.

6.2.5 Soddisfare i requisiti cogenti e regolamentari

Infine, tutti i requisiti relativi alla sicurezza delle informazioni che hanno origine dal panorama regolatorio cogente o ne derivano, o sono previsti all’interno di norme adottate dall’organizzazione sono centrali per il SGSI. La Politica per la Sicurezza delle Informazioni deve essere soggetta a verifica periodica al fine di assicurare la conformità del sistema informativo con le norme o regolamenti adottati dall’organizzazione.

La soddisfazione dei requisiti cogenti e regolamentari è un obiettivo del SGSI.

7 Supporto Per tutte le attività che fanno riferimento alla messa in atto delle azioni individuate come necessarie per la realizzazione del Sistema di Gestione, la Direzione Generale si impegna a determinare e rendere disponibili le risorse necessarie.

In particolare, la Direzione Generale si impegna a far sì che le risorse umane e le infrastrutture necessarie a garantire il conseguimento degli obiettivi di sicurezza delle informazioni e le strategie di business siano sempre disponibili, al fine di migliorare in continuo l’efficacia del SGSI.

Risorse

Tutti i dipendenti, i collaboratori e i fornitori collegati al Sistema di Gestione hanno un ruolo fondamentale nel conseguimento degli obiettivi della sicurezza delle informazioni. Infatti è necessario che ogni risorsa conosca il proprio ruolo e le proprie attività da svolgere in caso si verifichi un evento avverso che può mettere in crisi il business aziendale. L’organizzazione e le autorità per la definizione e mantenimento del SGSI sono definite nel par. 5.3, vengono assegnate mediante comunicazione formale e pubblicate sulla intranet aziendale.

Competenze

L’adeguatezza professionale delle risorse impiegate è monitorata e aggiornata secondo le esigenze di volta in volta emergenti e valutate da Risorse Umane con cadenza almeno annuale in occasione del riesame di Direzione. Tutto il personale deve seguire una formazione periodica nell’ambito della sicurezza delle informazioni.


Rev.3


05/02/2019

pag. 13 (19)


La Direzione Generale valuterà puntualmente quali necessità di competenze sono necessarie per l’attuazione e il miglioramento del Sistema di Gestione. Sulla base dei requisiti formativi per il personale interno, l’Azienda definisce:

- La pianificazione di corsi di formazione generali e specifici con l’ausilio di fornitori esperti. - La partecipazione a seminari e/o convegni esterni a fini formativi. - L’iscrizione del personale responsabile a mailing list e/o forum on-line sulla sicurezza delle

informazioni Per quello che riguarda le attività di formazione, l’azienda o le terze parti, si occuperanno di produrre evidenze della partecipazione del personale ai corsi.

Consapevolezza

Oltre agli obiettivi di formazione, relativi all’acquisizione dell’aggiornamento operativo e tecnico ritenuto necessario, le azioni formative del personale sono volte anche ad assicurare che tutto il personale mantenga costante la consapevolezza dell’importanza delle proprie attività rispetto al conseguimento degli obiettivi aziendali per la sicurezza delle informazioni.

Comunicazione

L’Organizzazione è impegnata nel rendere sempre più efficace il sistema di comunicazione al proprio personale.

HBG Connex S.p.A. definisce opportuni metodi di comunicazione delle informazioni aziendali a seconda del pubblico a cui sono indirizzate.

7.4.1 Comunicazione interna La comunicazione verso il personale interno è svolta tramite il sistema di posta elettronica interna ed il portale intranet aziendale. Tramite questo canale vengono veicolate informazioni riguardanti la sicurezza ed eventuali aggiornamenti del SGSI.

7.4.2 Comunicazione con i fornitori e Clienti

Le comunicazioni con Fornitori e Clienti sono stabilite a livello contrattuale con le singole entità che operano con l’Azienda. In ogni caso entrambe le parti si impegnano ad usare canali trasmissivi consoni alla classificazione delle informazioni che vengono trasferite.

7.4.3 Comunicazione con il pubblico

Queste sono tipicamente informazioni di marketing, promozionali o a scopo di ricerca di personale. Sono gestite direttamente da HBG Connex S.p.A. attraverso il proprio sito o tramite appositi servizi e sono generalmente informazioni di carattere pubblico.


Rev.3


05/02/2019

pag. 14 (19)


Informazioni documentate

Le informazioni trattate da HBG Connex S.p.A. sono fondamentali per il core business aziendale, siano esse cartacee o digitali. Conseguentemente, è fondamentale che vengano gestite opportunamente secondo la loro natura, il loro livello di classificazione, le tipologie di trattamento ed i requisiti specifici di sicurezza.

7.5.1 Classificazione delle informazioni

La classificazione delle informazioni, in funzione della loro criticità per le attività dell’azienda, guida la modalità per il trattamento e la protezione delle informazioni.

La classificazione delle informazioni è sempre immediatamente desumibile, indipendentemente dalla natura del supporto ove queste risiedono. Lo schema di classificazione delle informazioni esposto successivamente è da considerarsi valevole non solo per i documenti ma anche, più estensivamente, per tutte le informazioni trattate da HBG Connex S.p.A. e soggette al SGSI. Questo schema di classificazione è orientato unicamente alla confidenzialità delle informazioni, non ad altre proprietà che hanno un impatto sulla sicurezza. In accordo con lo schema di classificazione adottato, l’organizzazione sviluppa, mantiene, favorisce e garantisce l’utilizzo di un set di procedure per il trattamento delle informazioni (produzione, elaborazione, archiviazione, accesso, copia, trasmissione, ricezione, distruzione) progettate per garantire adeguati livelli di riservatezza, integrità e disponibilità.

CLASSIFICAZIONE DESCRIZIONE Tipologia di informazioni

CONFIDENZIALE Informazione accessibile solo da un ristretto e predefinito gruppo di persone

Dati personali, informazioni strategiche e privilegiate

USO INTERNO Informazione accessibile al personale interno ed esterno sotto NDA

Procedure, documentazioni tecniche, comunicazioni

PUBBLICO Informazioni di pubblico accesso

Dati pubblicati su internet o destinati alla pubblica diffusione

7.5.2 Creazione e aggiornamento delle informazioni

La creazione di un nuovo documento da inserire nel framework documentale deve essere previamente autorizzata, revisionata ed approvata dal Responsabile SGSI, che ne valuta la reale necessità e la rispondenza con gli obiettivi di business aziendali. Ogni documento deve riportare al suo interno l’autore dello stesso e il livello di classificazione su ogni pagina. Il documento deve essere creato utilizzando solamente i modelli standard aziendali.


Rev.3


05/02/2019

pag. 15 (19)


Tali indicazioni si applicano anche in caso di modifiche o aggiornamenti al SGSI. Ulteriori informazioni documentate, create mediante processi che non possono utilizzare il modello aziendale standard, verranno assoggettate a specifiche procedure che ne consentano immediatamente di identificare il livello di classificazione e le modalità di generazione (ad esempio: log applicativi, codice sorgente, etc.)

7.5.3 Etichettatura delle informazioni

L’etichettatura delle informazioni deve essere effettuata coerentemente con lo schema di classificazione delle informazioni definito dall’Organizzazione e applicata ove possibile a tutti i supporti di memorizzazione in modo semplice e chiaro, al fine di permettere un’immediata identificazione delle misure di sicurezza da applicare. L’etichettatura viene effettuata dall’autore del documento.

Le informazioni prive di etichettatura, sono considerate ad USO INTERNO e con distribuzione limitata all’interno all’azienda. Quando non è possibile etichettare direttamente l’informazione, l’asset owner procede all’etichettatura dell’asset che la contiene. Se l’asset contiene più informazioni con gradi di classificazione diversi, l’asset assumerà lo stesso grado di classificazione dell’informazione a grado più elevato di classificazione. L’etichettatura degli asset viene tracciata in un apposito registro.

7.5.4 Controllo delle informazioni

Ogni informazione è soggetta ad un livello di controllo differente a seconda del livello di classificazione attribuito.

In particolare, le informazioni pubbliche sono soggette ad un livello minimo di protezione e archiviate in qualunque locale dell’azienda o file digitale non cifrato, in quanto la loro divulgazione non reca alcun danno al business aziendale. Le informazioni ad uso interno devono essere consultate previa verifica dell’autorizzazione dell’accesso. La conservazione di tali informazioni deve essere tale da garantire la riservatezza dei dati. Le informazioni confidenziali possono essere consultate da un limitato numero di persone autorizzate. Per tale motivo, tali informazioni devono essere conservate in modo sicuro e controllato. La distruzione delle informazioni interne o confidenziali deve avvenire in modo irreversibile, come indicato nell’apposite procedure. 8 Attività operativa

Pianificazione e controllo operativi

HBG Connex S.p.A. ha definito, formalizzato e attuato un Sistema di Gestione per la Sicurezza delle Informazioni conforme allo Standard ISO/IEC 27001:2013.

Quanto previsto per il SGSI viene regolarmente applicato nella quotidiana attività lavorativa. Qualora si rilevino non conformità, mancanze o inefficienze di processo il SGSI viene aggiornato al fine di migliorarne continuamente l'efficacia in accordo con i requisiti della norma di riferimento e le normative cogenti.


Rev.3


05/02/2019

pag. 16 (19)


Valutazione del rischio relativo alla sicurezza delle informazioni

Con cadenza almeno annuale e in occasione di importanti cambiamenti al Sistema di Gestione, l’Organizzazione esegue un processo di Risk Management volto all’identificazione e valutazione dei principali rischi a cui sono esposte le informazioni soggette al SGSI, e di conseguenza i processi che le trattano e gli asset ad essi funzionali. Tale valutazione viene opportunatamente documentata durante l’attività di riesame della Direzione che si svolge con cadenza almeno annuale.

Trattamento del rischio relativo alla sicurezza delle informazioni

Al termine dell’identificazione dei principali rischi a cui l’azienda è esposta, vengono valutate le possibili contromisure di mitigazione, eliminazione o trasferimento del rischio al fine di garantire la sicurezza delle informazioni.

Tali contromisure sono preventivamente autorizzate dai Risk Owner e realizzate da un Responsabile opportunatamente identificato nella fase di pianificazione delle attività di Risk Management. I risultati del trattamento del rischio vengono documentati e opportunatamente conservati nelle modalità previste per tutti i documenti classificati come “confidenziali”.


Rev.3


05/02/2019

pag. 17 (19)


9 Valutazione delle prestazioni La Sicurezza delle Informazioni afferente ai servizi erogati deve essere costantemente misurata e mantenuta formalmente sotto controllo attraverso adeguati strumenti di gestione.

L’Organizzazione ha definito una serie di attività volte a misurare le prestazioni dei propri processi inerenti la Sicurezza delle Informazioni, al fine di analizzarle e individuare le aree di miglioramento da sviluppare. Al fine di misurare l’efficacia e l’idoneità del proprio Sistema di Gestione per la Sicurezza delle Informazioni ed identificare le opportunità/esigenze di miglioramento, HBG Connex S.p.A. analizza una serie di dati principalmente rappresentati da:

- le non conformità rilevate; - gli incidenti di sicurezza occorsi; - le risultanze dal processo di Risk Management; - i risultati degli audit interni e di terza parte; - gli indicatori di processo; - la normale operatività.

Monitoraggio, misurazione, analisi e valutazione

Il SGSI viene monitorato dal Responsabile SGSI, che con cadenza almeno annuale effettua una revisione dell’intero framework documentale relativo al Sistema di Gestione dell’Organizzazione. In particolare, il Responsabile verifica che siano presenti le politiche, le procedure organizzative e le registrazioni che permettono una buona gestione del Sistema interno e si assicura che vengano opportunatamente aggiornate in caso di cambiamenti significativi.

La Direzione Generale, in occasione del riesame, effettua una valutazione sulle analisi e sul monitoraggio effettuato dal Responsabile SGSI.

Audit interno

Il monitoraggio periodico e costante del Sistema di Gestione per la Sicurezza delle Informazioni è effettuato, ad intervalli pianificati e almeno annualmente, mediante l’esecuzione di Audit Interni.

Tali audit, condotti da personale qualificato e in possesso di opportune competenze, hanno lo scopo di valutare, tramite la ricerca di evidenze oggettive, la presenza di eventuali situazioni carenti rispetto alla soddisfazione dei requisiti cogenti, contrattuali, normativi ed interni inerenti il Sistema di Gestione per la Sicurezza delle Informazioni. Le risultanze degli Audit sono documentate in appositi rapporti che riportano le non conformità emerse, i suggerimenti/raccomandazioni che si ritiene di dover dare in merito alle situazioni rilevate ed un giudizio complessivo in merito al grado di conformità del processo verificato rispetto alle prescrizioni di riferimento.


Rev.3


05/02/2019

pag. 18 (19)


Riesame di Direzione

La Direzione verifica con cadenza almeno semestrale o in concomitanza di cambiamenti significativi l’efficacia e l’efficienza del Sistema di Gestione della Sicurezza delle Informazioni, in modo da assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e in modo da favorire il miglioramento continuo.

Il riesame permette di verificare lo stato delle azioni correttive e l’aderenza del SGSI rispetto alla Politica per la Sicurezza delle Informazioni, tenendo conto di tutti i cambiamenti che possono influenzare l’approccio della azienda alla gestione della sicurezza delle informazioni, assicurando in tal modo il raggiungimento degli obiettivi pianificati. Il risultato del riesame include tutte le decisioni e le azioni relative al miglioramento dell’approccio aziendale alla gestione della sicurezza delle informazioni, dei controlli e nell’allocazione delle risorse e delle responsabilità. Per quanto possibile, in sede di riesame, si tende sempre ad individuare parametri quantificabili e misurabili per tutte le valutazioni in ingresso e in uscita, di seguito illustrate.

9.3.1 Elementi in ingresso per il Riesame

Il Riesame di Direzione si avvale prevalentemente dei seguenti elementi di ingresso e/o di altri riconducibili a questi:

- i risultati degli Audit interni ed esterni - i risultati delle rilevazioni degli aspetti inerenti la sicurezza delle informazioni; - le prestazioni dei processi individuati, relative alla sicurezza delle informazioni e al rispetto

dei requisiti specificati; - lo stato di avanzamento dell’attuazione delle azioni correttive e preventive, comprese le

verifiche di efficacia; - gli impegni assunti in sede dei precedenti riesami di Direzione; - modifiche che potrebbero avere effetti sul sistema di gestione per la sicurezza delle

informazioni; - raccomandazioni per il miglioramento

9.3.2 Elementi in uscita per il Riesame

Gli elementi in uscita dal Riesame di Direzione riguardano prevalentemente i seguenti elementi:

- miglioramento delle prestazioni dei processi individuati; - miglioramento delle misure in essere relativamente alla sicurezza delle informazioni e

individuazione di eventuali nuove misure; - eventuali nuovi obiettivi di miglioramento; - valutazione dei bisogni di nuove o diverse competenze tecniche e/o personali/professionali;

- valutazioni sulla continuità dell’adeguatezza della politica della sicurezza delle informazioni.


Rev.3


05/02/2019

pag. 19 (19)


10 Miglioramento

Non conformità e azioni correttive Le non conformità possono consistere, a titolo di esempio, nel mancato rispetto delle modalità di svolgimento descritte nel corpo documentale del SGSI oppure nel mancato soddisfacimento di requisiti inerenti la sicurezza delle informazioni nei sistemi in esercizio.

Le eventuali non conformità inerenti la corretta attuazione del Sistema di Gestione per la Sicurezza delle Informazioni vengono rilevate attraverso gli Audit interni o mediante le attività di sorveglianza poste in essere dagli Asset Owner. In quest’ultimo caso, le problematiche riscontrate vengono sottoposte all’attenzione del Responsabile SGSI, che valuta se intervenire mediante opportune azioni correttive. Le azioni correttive sono quei provvedimenti intrapresi allo scopo di rimuovere le cause che hanno generato non conformità o, più in generale, situazioni contrastanti con la corretta ed efficace attuazione del Sistema di Gestione per la Sicurezza delle Informazioni. In particolare, la gestione delle azioni correttive si articola nelle seguenti fasi:

- Descrizione delle carenze riscontrate ed individuazione del responsabile dell’attuazione dell’azione correttiva;

- Definizione delle modalità di trattamento della non conformità ed identificazione delle cause e dell’azione proposta con i relativi tempi di implementazione previsti;

- Verifica ed approvazione delle azioni correttive dal responsabile preposto; - Data ultimazione delle azioni previste; - Riesame della corretta attuazione e dell’efficacia delle azioni intraprese

Miglioramento continuo L’Organizzazione assicura, tra i suoi obiettivi principali, il miglioramento continuo del proprio Sistema di Gestione di Sicurezza delle Informazioni. Tale processo di miglioramento viene garantito attraverso le azioni correttive scaturite dagli audit, i Risk Assessment e la normale operatività.

La pianificazione del processo di miglioramento trova la sua formalizzazione nel Verbale di Riesame di Direzione o in altri documenti emessi allo scopo di definire, oltre agli obiettivi da perseguire, le relative responsabilità ed i percorsi da seguire. 11 Allegati

SGSI03_Allegato1 Riferimenti Normativi

SGSI03 Politica per la sicurezza delle Informazioni Rev · 2020-07-14 · sdj 'rfxphqwr dg xvr...

Documents

Transcript of SGSI03 Politica per la sicurezza delle Informazioni Rev · 2020-07-14 · sdj 'rfxphqwr dg xvr...