Framework di Compliance Manager

Questo documento fornisce contenuti di riferimento per i framework cloud integrati in Compliance Manager.

Google Recommended AI Essentials - Vertex AI

Provider cloud supportato: Google Cloud

Questo framework delinea le best practice per la sicurezza consigliate da Google per i workload Vertex AI, fornendo una raccolta prescrittiva di criteri preventivi e di rilevamento essenziali. Una volta attivata AI Protection in Security Command Center, nella dashboard AI Security verrà visualizzata automaticamente una valutazione dettagliata della conformità alla sicurezza rispetto a questo framework.

Questo framework include i seguenti controlli cloud:

CIS GKE 1.7

Provider cloud supportato: Google Cloud

Il benchmark CIS GKE è un insieme di consigli e best practice per la sicurezza specificamente pensati per i cluster Google Kubernetes Engine (GKE). Il benchmark mira a migliorare la postura di sicurezza degli ambienti GKE.

Questo framework include i seguenti controlli cloud:

CIS Critical Security Controls v8

Provider cloud supportato: Google Cloud

Un insieme prioritario di misure di salvaguardia per proteggere dalle minacce informatiche più comuni. Offre un approccio pratico alla difesa informatica, suddiviso in gruppi di implementazione (IG1, IG2, IG3) per adattarsi a organizzazioni di diversa maturità.

Questo framework include i gruppi di controllo cloud e i controlli cloud nelle sezioni seguenti.

cis-controls-1-1

Stabilisci e mantieni un inventario accurato, dettagliato e aggiornato di tutte le risorse aziendali con il potenziale di archiviare o elaborare dati, tra cui: dispositivi utente finale (inclusi quelli portatili e mobili), dispositivi di rete, dispositivi non informatici/IoT e server. Assicurati che l'inventario registri l'indirizzo di rete (se statico), l'indirizzo hardware, il nome del computer, il proprietario dell'asset aziendale, il reparto per ogni asset e se l'asset è stato approvato per la connessione alla rete. Per i dispositivi mobili degli utenti finali, gli strumenti di tipo MDM possono supportare questa procedura, ove opportuno. Questo inventario include asset connessi all'infrastruttura fisicamente, virtualmente, da remoto e quelli all'interno degli ambienti cloud. Inoltre, include asset regolarmente connessi all'infrastruttura di rete dell'azienda, anche se non sono sotto il controllo dell'azienda. Esamina e aggiorna l'inventario di tutti gli asset aziendali due volte l'anno o più spesso.

cis-controls-10-2

Configura gli aggiornamenti automatici per i file di firme antimalware su tutte le risorse aziendali.

cis-controls-10-3

Disattiva la funzionalità di esecuzione automatica di autorun e riproduzione automatica per i supporti rimovibili.

cis-controls-10-6

Gestisci centralmente il software antimalware.

cis-controls-11-1

Stabilisci e mantieni una procedura di recupero dei dati documentata che includa procedure di backup dettagliate. Nel processo, affronta l'ambito delle attività di recupero dei dati, la definizione delle priorità di recupero e la sicurezza dei dati di backup. Rivedi e aggiorna la documentazione ogni anno o quando si verificano modifiche aziendali significative che potrebbero influire su questa salvaguardia.

cis-controls-11-2

Eseguire backup automatici degli asset aziendali inclusi nell'ambito. Esegui i backup settimanalmente o più spesso, in base alla sensibilità dei dati.

cis-controls-11-3

Proteggere i dati di recupero con controlli equivalenti a quelli dei dati originali. Crittografia dei riferimenti o separazione dei dati, in base ai requisiti.

cis-controls-11-4

Crea e gestisci un'istanza isolata di dati di recupero. Le implementazioni di esempio includono il controllo della versione delle destinazioni di backup tramite sistemi o servizi offline, cloud o esterni.

cis-controls-11-5

Esegui test di ripristino del backup trimestralmente o più spesso per un campione di asset aziendali inclusi nell'ambito.

cis-controls-12-2

Progettare e gestire un'architettura di rete sicura. Un'architettura di rete sicura deve occuparsi almeno di segmentazione, privilegio minimo e disponibilità. Le implementazioni di esempio possono includere documentazione, norme e componenti di progettazione.

cis-controls-12-3

Gestisci in modo sicuro l'infrastruttura di rete. Le implementazioni di esempio includono l'infrastruttura come codice (IaC) con controllo delle versioni e l'utilizzo di protocolli di rete sicuri, come SSH e HTTPS.

cis-controls-12-5

Centralizzare l'AAA di rete.

cis-controls-12-6

Adotta protocolli di gestione della rete sicuri (ad es. 802.1X) e protocolli di comunicazione sicuri (ad es. Wi-Fi Protected Access 2 (WPA2) Enterprise o alternative più sicure).

cis-controls-12-7

Richiedi agli utenti di autenticarsi ai servizi VPN e di autenticazione gestiti dall'azienda prima di accedere alle risorse aziendali sui dispositivi degli utenti finali.

cis-controls-13-1

Centralizza gli avvisi relativi agli eventi di sicurezza negli asset aziendali per la correlazione e l'analisi dei log. L'implementazione delle best practice richiede l'utilizzo di un SIEM, che include avvisi di correlazione degli eventi definiti dal fornitore. Anche una piattaforma di analisi dei log configurata con avvisi di correlazione pertinenti alla sicurezza soddisfa questa salvaguardia.

cis-controls-13-2

Implementa una soluzione di rilevamento delle intrusioni basata sull'host sugli asset aziendali, ove appropriato e/o supportato.

cis-controls-13-3

Implementa una soluzione di rilevamento delle intrusioni di rete sugli asset aziendali, se opportuno. Le implementazioni di esempio includono l'utilizzo di un sistema di rilevamento delle intrusioni di rete (NIDS) o di un servizio equivalente del fornitore di servizi cloud (CSP).

cis-controls-13-4

Esegui il filtraggio del traffico tra i segmenti di rete, se opportuno.

cis-controls-13-5

Gestisci controllo dell'accesso per gli asset che si connettono in remoto alle risorse aziendali. Determina la quantità di accesso alle risorse aziendali in base a: software antimalware aggiornato installato, conformità della configurazione al processo di configurazione sicura dell'azienda e aggiornamento del sistema operativo e delle applicazioni.

cis-controls-13-6

Raccogli i log di flusso del traffico di rete e/o il traffico di rete da rivedere e per generare avvisi dai dispositivi di rete.

cis-controls-13-7

Implementa una soluzione di prevenzione delle intrusioni basata sull'host sugli asset aziendali, ove appropriato e/o supportato. Le implementazioni di esempio includono l'utilizzo di un client EDR (Endpoint Detection and Response) o di un agente IPS basato sull'host.

cis-controls-13-8

Implementa una soluzione di prevenzione delle intrusioni di rete, se opportuno. Le implementazioni di esempio includono l'utilizzo di un sistema di prevenzione delle intrusioni di rete (NIPS) o di un servizio CSP equivalente.

cis-controls-13-9

Implementa controllo dell'accesso a livello di porta. Controllo dell'accesso a livello di porta utilizza 802.1x o protocolli di controllo dell'accesso alla rete simili, come i certificati, e può incorporare l'autenticazione di utenti e/o dispositivi.

cis-controls-14-1

Stabilisci e gestisci un programma di sensibilizzazione alla sicurezza. Lo scopo di un programma di sensibilizzazione alla sicurezza è quello di educare la forza lavoro dell'azienda su come interagire con le risorse e i dati aziendali in modo sicuro. Svolgere la formazione al momento dell'assunzione e, come minimo, una volta all'anno. Rivedi e aggiorna i contenuti ogni anno o quando si verificano modifiche aziendali significative che potrebbero influire su questa salvaguardia.

cis-controls-14-3

Forma i membri della forza lavoro sulle best practice per l'autenticazione. Alcuni esempi di argomenti sono l'autenticazione MFA, la composizione delle password e la gestione delle credenziali.

cis-controls-14-5

Forma i membri della forza lavoro in modo che siano consapevoli delle cause dell'esposizione involontaria dei dati. Alcuni esempi di argomenti includono la mancata consegna di dati sensibili, lo smarrimento di un dispositivo portatile dell'utente finale o la pubblicazione di dati per un pubblico non previsto.

cis-controls-16-1

Stabilisci e mantieni una procedura di sviluppo di applicazioni sicura. Durante la procedura, affronta argomenti quali: standard di progettazione di applicazioni sicure, pratiche di codifica sicure, formazione degli sviluppatori, gestione delle vulnerabilità, sicurezza del codice di terze parti e procedure di test della sicurezza delle applicazioni. Rivedi e aggiorna la documentazione ogni anno o quando si verificano modifiche aziendali significative che potrebbero influire su questa salvaguardia.

cis-controls-16-11

Sfrutta moduli o servizi verificati per i componenti di sicurezza delle applicazioni, come gestione delle identità, crittografia, controllo e logging. L'utilizzo delle funzionalità della piattaforma nelle funzioni di sicurezza critiche ridurrà il carico di lavoro degli sviluppatori e la probabilità di errori di progettazione o implementazione. I sistemi operativi moderni forniscono meccanismi efficaci per l'identificazione, l'autenticazione e l'autorizzazione e li rendono disponibili alle applicazioni. Utilizza solo algoritmi di crittografia standardizzati, attualmente accettati e ampiamente esaminati. I sistemi operativi forniscono anche meccanismi per creare e gestire log di controllo sicuri.

cis-controls-16-12

Applica strumenti di analisi statica e dinamica all'interno del ciclo di vita dell'applicazione per verificare che vengano seguite pratiche di codifica sicure.

cis-controls-16-13

Esegui test di penetrazione dell'applicazione. Per le applicazioni critiche, i penetration test autenticati sono più adatti a trovare vulnerabilità della logica di business rispetto alla scansione del codice e ai test di sicurezza automatizzati. Il penetration test si basa sulla capacità del tester di manipolare manualmente un'applicazione come utente autenticato e non autenticato. 

cis-controls-16-2

Stabilire e mantenere una procedura per accettare e gestire le segnalazioni di vulnerabilità del software, incluso fornire un mezzo per le segnalazioni da parte di entità esterne. La procedura deve includere elementi quali: una policy di gestione delle vulnerabilità che identifichi la procedura di segnalazione, la parte responsabile della gestione delle segnalazioni di vulnerabilità e una procedura per l'acquisizione, l'assegnazione, la correzione e il test di correzione. Nell'ambito della procedura, utilizza un sistema di monitoraggio delle vulnerabilità che includa valutazioni della gravità e metriche per misurare i tempi di identificazione, analisi e correzione delle vulnerabilità. Rivedi e aggiorna la documentazione ogni anno o quando si verificano modifiche significative all'azienda che potrebbero influire su questa salvaguardia. Gli sviluppatori di applicazioni di terze parti devono considerare queste norme come rivolte all'esterno, in quanto contribuiscono a definire le aspettative degli stakeholder esterni.

cis-controls-16-3

Esegui l'analisi delle cause principali delle vulnerabilità di sicurezza. Quando si esaminano le vulnerabilità, l'analisi delle cause principali è il compito di valutare i problemi sottostanti che creano vulnerabilità nel codice e consente ai team di sviluppo di andare oltre la semplice correzione delle singole vulnerabilità man mano che si presentano.

cis-controls-16-7

Utilizza modelli di configurazione di hardening standard e consigliati dal settore per i componenti dell'infrastruttura dell'applicazione. Ciò include server, database e web server sottostanti e si applica a container cloud, componenti Platform as a Service (PaaS) e componenti SaaS. Non consentire al software sviluppato internamente di indebolire l'hardening della configurazione.

cis-controls-17-2

Stabilisci e mantieni le informazioni di contatto delle parti che devono essere informate degli incidenti di sicurezza. I contatti possono includere personale interno, fornitori di servizi, forze dell'ordine, fornitori di assicurazioni informatiche, agenzie governative competenti, partner dell'Information Sharing and Analysis Center (ISAC) o altri stakeholder. Verifica i contatti ogni anno per assicurarti che le informazioni siano aggiornate.

cis-controls-17-4

Stabilisci e mantieni una procedura di risposta agli incidenti documentata che definisca ruoli e responsabilità, requisiti di conformità e un piano di comunicazione. Rivedi annualmente o quando si verificano cambiamenti significativi nell'organizzazione che potrebbero influire su questa salvaguardia.

cis-controls-17-9

Stabilisci e mantieni le soglie degli incidenti di sicurezza, distinguendo almeno tra un incidente e un evento. Gli esempi possono includere: attività anomala, vulnerabilità della sicurezza, debolezza della sicurezza, violazione dei dati, incidente relativo alla privacy e così via. Esegui la revisione annualmente o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questa salvaguardia.

cis-controls-18-1

Stabilisci e mantieni un programma di penetration test adeguato alle dimensioni, alla complessità, al settore e alla maturità dell'azienda. Le caratteristiche del programma di test di penetrazione includono l'ambito, ad esempio rete, applicazione web, interfaccia di programmazione dell'applicazione (API), servizi ospitati e controlli fisici dei locali; la frequenza; le limitazioni, ad esempio le ore accettabili e i tipi di attacco esclusi; i dati di contatto; la correzione, ad esempio il modo in cui i risultati verranno indirizzati internamente; e i requisiti retrospettivi.

cis-controls-18-2

Esegui test di penetrazione esterni periodici in base ai requisiti del programma, almeno una volta l'anno. I test di penetrazione esterni devono includere la ricognizione aziendale e ambientale per rilevare informazioni sfruttabili. Il test di penetrazione richiede competenze ed esperienza specializzate e deve essere condotto da una parte qualificata. Il test può essere una scatola trasparente o opaca.

cis-controls-18-5

Eseguire test di penetrazione interni periodici in base ai requisiti del programma, almeno una volta all'anno. Il test può essere una scatola trasparente o opaca.

cis-controls-2-7

Utilizza controlli tecnici, come firme digitali e controllo delle versioni, per garantire che solo gli script autorizzati, come file .ps1 e .py specifici, possano essere eseguiti. Blocca l'esecuzione di script non autorizzati. Rivaluta semestralmente o con maggiore frequenza.

cis-controls-3-1

Stabilire e mantenere un processo di gestione dei dati documentato. Nel processo, affronta la sensibilità dei dati, il proprietario dei dati, la gestione dei dati, i limiti di conservazione dei dati e i requisiti di eliminazione, in base agli standard di sensibilità e conservazione per l'azienda. Rivedi e aggiorna la documentazione ogni anno o quando si verificano modifiche aziendali significative che potrebbero influire su questa salvaguardia.

cis-controls-3-11

Cripta i dati sensibili at-rest su server, applicazioni e database. La crittografia a livello di archiviazione, nota anche come crittografia lato server, soddisfa il requisito minimo di questa salvaguardia. Metodi di crittografia aggiuntivi possono includere la crittografia a livello di applicazione, nota anche come crittografia lato client, in cui l'accesso ai dispositivi di archiviazione dei dati non consente l'accesso ai dati in formato non crittografato.

cis-controls-3-14

Registra l'accesso ai dati sensibili, inclusi modifica ed eliminazione.

cis-controls-3-2

Creare e gestire un inventario dei dati in base al processo di gestione dei dati dell'azienda. Inventaria almeno i dati sensibili. Rivedi e aggiorna l'inventario almeno una volta all'anno, dando la priorità ai dati sensibili.

cis-controls-3-3

Configura le liste di controllo dell'accesso ai dati in base alla necessità di conoscenza di un utente. Applica elenchi di controllo dell'accesso ai dati, noti anche come autorizzazioni di accesso, a file system, database e applicazioni locali e remoti.

cis-controls-3-4

Conservare i dati in base alla procedura di gestione dei dati documentata dell'azienda. La conservazione dei dati deve includere sia le tempistiche minime che quelle massime.

cis-controls-3-5

Elimina in modo sicuro i dati come descritto nella procedura di gestione dei dati documentata dell'azienda. Assicurati che il processo e il metodo di eliminazione siano proporzionati alla sensibilità dei dati.

cis-controls-3-6

Cripta i dati sui dispositivi degli utenti finali contenenti dati sensibili. Le implementazioni di esempio possono includere: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.

cis-controls-3-7

Stabilisci e mantieni uno schema di classificazione dei dati complessivo per l'azienda. Le aziende possono utilizzare etichette come "Sensibile", "Riservato" e "Pubblico" e classificare i propri dati in base a queste etichette. Rivedi e aggiorna lo schema di classificazione ogni anno o quando si verificano modifiche aziendali significative che potrebbero influire su questa salvaguardia.

cis-controls-3-8

Flussi di dati dei documenti. La documentazione sul flusso di dati include i flussi di dati del fornitore di servizi e deve basarsi sulla procedura di gestione dei dati dell'azienda. Rivedi e aggiorna la documentazione ogni anno o quando si verificano modifiche aziendali significative che potrebbero influire su questa salvaguardia.

cis-controls-3-9

Cripta i dati sui supporti rimovibili.

cis-controls-4-1

Stabilisci e mantieni una procedura di configurazione sicura documentata per gli asset aziendali (dispositivi utente finale, inclusi dispositivi portatili e mobili, dispositivi non di elaborazione/IoT e server) e software (sistemi operativi e applicazioni). Rivedi e aggiorna la documentazione ogni anno o quando si verificano modifiche aziendali significative che potrebbero influire su questa salvaguardia.

cis-controls-4-2

Stabilisci e mantieni una procedura di configurazione sicura documentata per i dispositivi di rete. Rivedi e aggiorna la documentazione ogni anno o quando si verificano modifiche aziendali significative che potrebbero influire su questa salvaguardia.

cis-controls-4-3

Configura il blocco automatico della sessione sugli asset aziendali dopo un periodo di inattività definito. Per i sistemi operativi di uso generale, il periodo non deve superare i 15 minuti. Per i dispositivi mobili degli utenti finali, il periodo non deve superare i 2 minuti.

cis-controls-4-4

Implementa e gestisci un firewall sui server, dove supportato. Le implementazioni di esempio includono un firewall virtuale, un firewall del sistema operativo o un agente firewall di terze parti.

cis-controls-4-5

Implementa e gestisci un firewall basato sull'host o uno strumento di filtro delle porte sui dispositivi degli utenti finali, con una regola di negazione predefinita che blocca tutto il traffico, ad eccezione dei servizi e delle porte esplicitamente consentiti.

cis-controls-4-6

Gestisci in modo sicuro software e asset aziendali. Le implementazioni di esempio includono la gestione della configurazione tramite l'infrastruttura come codice (IaC) controllata dalla versione e l'accesso alle interfacce amministrative tramite protocolli di rete sicuri, come Secure Shell (SSH) e Hypertext Transfer Protocol Secure (HTTPS). Non utilizzare protocolli di gestione non sicuri, come Telnet (Teletype Network) e HTTP, a meno che non siano essenziali per il funzionamento.

cis-controls-4-7

Gestisci gli account predefiniti su asset e software aziendali, ad esempio root, amministratore e altri account fornitore preconfigurati. Le implementazioni di esempio possono includere: la disattivazione degli account predefiniti o la loro inutilizzabilità.

cis-controls-4-8

Disinstalla o disattiva i servizi non necessari su asset e software aziendali, ad esempio un servizio di condivisione di file inutilizzato, un modulo di applicazione web o una funzione di servizio.

cis-controls-5-1

Stabilire e mantenere un inventario di tutti gli account gestiti nell'azienda. L'inventario deve includere almeno utenti, amministratori e service account. L'inventario deve contenere almeno il nome, il nome utente, le date di inizio/interruzione e il reparto della persona. Verifica che tutti gli account attivi siano autorizzati, in base a una pianificazione ricorrente almeno trimestrale o più frequente.

cis-controls-5-2

Utilizza password univoche per tutti gli asset aziendali. L'implementazione delle best practice include, come minimo, una password di 8 caratteri per gli account che utilizzano l'autenticazione a più fattori (MFA) e una password di 14 caratteri per gli account che non utilizzano l'MFA. 

cis-controls-5-4

Limita i privilegi amministrativi agli account amministratore dedicati sugli asset aziendali. Svolgere attività di computing generali, come navigazione su internet, email e utilizzo della suite di produttività, dall'account principale non privilegiato dell'utente.

cis-controls-5-5

Crea e gestisci un inventario dei service account. L'inventario deve contenere almeno il proprietario del reparto, la data di revisione e lo scopo. Esegui revisioni dei account di servizio per verificare che tutti gli account attivi siano autorizzati, in base a una pianificazione ricorrente almeno trimestrale o più frequente.

cis-controls-5-6

Centralizza la gestione degli account tramite un servizio di directory o identità.

cis-controls-6-1

Stabilisci e segui una procedura documentata, preferibilmente automatizzata, per concedere l'accesso agli asset aziendali in caso di nuove assunzioni o cambio di ruolo di un utente.

cis-controls-6-2

Stabilisci e segui una procedura, preferibilmente automatizzata, per revocare l'accesso agli asset aziendali disabilitando gli account immediatamente dopo la risoluzione, la revoca dei diritti o la modifica del ruolo di un utente. La disattivazione degli account, anziché l'eliminazione, potrebbe essere necessaria per conservare i log di controllo.

cis-controls-6-3

Richiedi a tutte le applicazioni aziendali o di terze parti esposte esternamente di applicare l'MFA, se supportata. L'applicazione dell'autenticazione a più fattori tramite un servizio di directory o un fornitore SSO è un'implementazione soddisfacente di questa salvaguardia.

cis-controls-6-5

Richiedi l'autenticazione a più fattori per tutti gli account con accesso amministrativo, ove supportata, su tutte le risorse aziendali, gestite in loco o tramite un service provider.

cis-controls-6-6

Creare e gestire un inventario dei sistemi di autenticazione e autorizzazione dell'azienda, inclusi quelli ospitati in sede o presso un fornitore di servizi remoto. Esamina e aggiorna l'inventario almeno una volta all'anno o più spesso.

cis-controls-6-7

Centralizza controllo dell'accesso per tutte le risorse aziendali tramite un servizio di directory o un provider SSO, se supportato.

cis-controls-6-8

Definisci e mantieni il controllo dell'accesso basato sui ruoli determinando e documentando i diritti di accesso necessari a ogni ruolo all'interno dell'azienda per svolgere correttamente le proprie mansioni. Esegui revisioni controllo dell'accesso degli asset aziendali per verificare che tutti i privilegi siano autorizzati, in base a una pianificazione ricorrente almeno annuale o più frequente.

cis-controls-7-2

Stabilisci e mantieni una strategia di remediation basata sul rischio documentata in un processo di remediation, con revisioni mensili o più frequenti.

cis-controls-7-7

Correggere le vulnerabilità rilevate nel software tramite processi e strumenti su base mensile o più frequente, in base al processo di correzione.

cis-controls-8-1

Stabilisci e mantieni un processo di gestione dei log di controllo documentato che definisca i requisiti di logging dell'azienda. Come minimo, affronta la raccolta, la revisione e la conservazione dei log di controllo per gli asset aziendali. Rivedi e aggiorna la documentazione ogni anno o quando si verificano modifiche aziendali significative che potrebbero influire su questa salvaguardia.

cis-controls-8-11

Esegui revisioni dei log di controllo per rilevare anomalie o eventi anomali che potrebbero indicare una potenziale minaccia. Esegui le revisioni su base settimanale o con una frequenza maggiore.

cis-controls-8-2

Raccogli gli audit log. Assicurati che la registrazione sia stata attivata in tutti gli asset aziendali, in conformità con la procedura di gestione dei log di controllo dell'azienda.

cis-controls-8-3

Assicurati che le destinazioni di logging mantengano uno spazio di archiviazione adeguato per rispettare la procedura di gestione dei log di controllo dell'azienda.

cis-controls-8-4

Standardizza la sincronizzazione dell'ora. Configura almeno due origini temporali sincronizzate negli asset aziendali, se supportato.

cis-controls-8-5

Configura la registrazione dettagliata degli audit per gli asset aziendali contenenti dati sensibili. Includi origine evento, data, nome utente, timestamp, indirizzi di origine, indirizzi di destinazione e altri elementi utili che potrebbero essere utili per un'indagine forense.

cis-controls-8-6

Raccogli i log di controllo delle query DNS sugli asset aziendali, ove appropriato e supportato.

cis-controls-8-7

Raccogli i log di controllo delle richieste di URL sugli asset aziendali, ove opportuno e supportato.

cis-controls-8-8

Raccogli i log di controllo della riga di comando. Esempi di implementazioni includono la raccolta di log di controllo da PowerShell®, BASH™ e terminali amministrativi remoti.

cis-controls-8-9

Centralizza, per quanto possibile, la raccolta e la conservazione dei log di controllo negli asset aziendali in conformità con la procedura di gestione dei log di controllo documentata. Le implementazioni di esempio includono principalmente l'utilizzo di uno strumento SIEM per centralizzare più origini log.

cis-controls-9-1

Assicurati che nell'azienda siano consentiti solo browser e client di posta completamente supportati, utilizzando solo l'ultima versione di browser e client di posta fornita dal fornitore.

cis-controls-9-2

Utilizza i servizi di filtraggio DNS su tutti i dispositivi degli utenti finali, incluse le risorse remote e on-premise, per bloccare l'accesso a domini dannosi noti.

cis-controls-9-3

Applica e aggiorna i filtri URL basati sulla rete per impedire a un asset aziendale di connettersi a siti web potenzialmente dannosi o non approvati. Le implementazioni di esempio includono il filtraggio basato sulla categoria, il filtraggio basato sulla reputazione o l'utilizzo di elenchi bloccati. Applica i filtri a tutti gli asset aziendali.

cis-controls-9-4

Limita, tramite la disinstallazione o la disattivazione, tutti i plug-in, le estensioni e le applicazioni aggiuntive non autorizzati o non necessari del browser o del client di posta.

CSA Cloud Controls Matrix v4.0.11

Provider cloud supportato: Google Cloud

Un framework di controllo della cybersecurity progettato specificamente per l'ambiente di cloud computing. Fornisce un insieme completo di controlli in tutti i domini chiave per aiutarti a valutare la postura di sicurezza dei tuoi servizi cloud.

Questo framework include i gruppi di controllo cloud e i controlli cloud nelle sezioni seguenti.

ccm-aa-01

Stabilire, documentare, approvare, comunicare, applicare, valutare e mantenere le norme, le procedure e gli standard di audit e garanzia. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-aa-02

Eseguire valutazioni di audit e garanzia indipendenti in conformità agli standard pertinenti almeno una volta all'anno.

ccm-ais-01

Stabilisci, documenta, approva, comunica, applica, valuta e mantieni norme e procedure per la sicurezza delle applicazioni per fornire indicazioni per la pianificazione, la distribuzione e il supporto appropriati delle funzionalità di sicurezza delle applicazioni dell'organizzazione. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-ais-02

Stabilisci, documenta e mantieni i requisiti di base per proteggere le diverse applicazioni.

ccm-ais-03

Definisci e implementa metriche tecniche e operative in linea con gli obiettivi aziendali, i requisiti di sicurezza e gli obblighi di conformità.

ccm-ais-04

Definisci e implementa un processo SDLC per la progettazione, lo sviluppo, il deployment e il funzionamento delle applicazioni in conformità ai requisiti di sicurezza definiti dall'organizzazione.

ccm-ais-05

Implementa una strategia di test, inclusi i criteri per l'accettazione di nuovi sistemi informativi, upgrade e nuove versioni, che fornisca garanzia di sicurezza delle applicazioni e mantenga la conformità, consentendo al contempo di raggiungere gli obiettivi di velocità di consegna dell'organizzazione. Automatizza quando applicabile e possibile.

ccm-bcr-03

Stabilisci strategie per ridurre l'impatto delle interruzioni dell'attività, resistere e riprenderti da queste interruzioni entro la propensione al rischio.

ccm-bcr-07

Stabilire la comunicazione con gli stakeholder e i partecipanti nel corso delle procedure di continuità operativa e resilienza.

ccm-bcr-08

Esegui periodicamente il backup dei dati archiviati nel cloud. Garantisci la riservatezza, l'integrità e la disponibilità del backup e verifica il ripristino dei dati dal backup per la resilienza.

ccm-bcr-09

Stabilire, documentare, approvare, comunicare, applicare, valutare e mantenere un piano di risposta ai disastri per ripristinare le operazioni dopo disastri naturali e provocati dall'uomo. Aggiorna il piano almeno una volta all'anno o in caso di modifiche significative.

ccm-bcr-10

Esegui il piano di risposta alle emergenze annualmente o in caso di modifiche significative, coinvolgendo, se possibile, le autorità di emergenza locali.

ccm-bcr-11

Integra le apparecchiature essenziali per l'attività con apparecchiature ridondanti situate in modo indipendente a una distanza minima ragionevole in conformità con gli standard di settore applicabili.

ccm-ccc-01

Stabilire, documentare, approvare, comunicare, applicare, valutare e mantenere norme e procedure per la gestione dei rischi associati all'applicazione di modifiche agli asset dell'organizzazione, tra cui applicazioni, sistemi, infrastrutture, configurazioni e così via. Le norme e le procedure devono essere gestite, indipendentemente dal fatto che gli asset siano gestiti internamente o esternamente. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-ccc-02

Segui un processo definito di controllo, approvazione e test delle modifiche alla qualità con standard di base, test e release stabiliti.

ccm-ccc-07

Implementa misure di rilevamento con notifica proattiva in caso di modifiche che si discostano dalla base di riferimento stabilita.

ccm-cek-01

Stabilisci, documenta, approva, comunica, applica, valuta e gestisci le norme e le procedure per la crittografia e la gestione delle chiavi. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-cek-02

Definisci e implementa ruoli e responsabilità di crittografia, cifratura e gestione delle chiavi.

ccm-cek-03

Fornire protezione crittografica ai dati at-rest e in transito utilizzando librerie crittografiche certificate in base a standard approvati.

ccm-cek-04

Utilizza algoritmi di crittografia appropriati per la protezione dei dati, tenendo conto della classificazione dei dati, dei rischi associati e dell'usabilità della tecnologia di crittografia.

ccm-cek-05

Stabilisci una procedura standard di gestione delle modifiche, per accogliere le modifiche provenienti da fonti interne ed esterne, per la revisione, l'approvazione, l'implementazione e la comunicazione delle modifiche alla tecnologia di gestione di chiavi crittografiche e di crittografia.

ccm-cek-08

I CSP devono fornire ai CSC la possibilità di gestire le proprie chiavi di crittografia dei dati.

ccm-cek-10

Genera chiavi crittografiche utilizzando librerie crittografiche accettate dal settore che specificano la robustezza dell'algoritmo e il generatore di numeri casuali utilizzato.

ccm-cek-11

Gestisci le chiavi private e i secret crittografici di cui viene eseguito il provisioning per uno scopo specifico.

ccm-cek-18

Definisci, implementa e valuta processi, procedure e misure tecniche per gestire le chiavi archiviate in un repository sicuro che richiede l'accesso con privilegio minimo, che includono disposizioni per i requisiti legali e normativi.

ccm-cek-21

Definisci, implementa e valuta processi, procedure e misure tecniche per consentire al sistema di gestione delle chiavi di monitorare e segnalare tutti i materiali crittografici e le modifiche di stato, incluse le disposizioni per i requisiti legali e normativi.

ccm-dcs-07

Implementa perimetri di sicurezza fisica per proteggere personale, dati e sistemi informativi. Stabilisci perimetri di sicurezza fisica tra le aree amministrative e aziendali e le aree di archiviazione ed elaborazione dei dati.

ccm-dcs-09

Consenti l'accesso alle aree protette solo al personale autorizzato, con tutti i punti di ingresso e uscita limitati, documentati e monitorati da meccanismi di controllo dell'accesso dell'accesso fisico. Conserva i record di controllo dell'accesso periodicamente, come ritenuto opportuno dall'organizzazione.

ccm-dsp-01

Stabilire, documentare, approvare, comunicare, applicare, valutare e mantenere policy e procedure per la classificazione, la protezione e la gestione dei dati durante il loro ciclo di vita e in conformità con tutte le leggi, i regolamenti e gli standard vigenti, nonché con il livello di rischio. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-dsp-02

Applica metodi accettati dal settore per lo smaltimento sicuro dei dati dai supporti di archiviazione in modo che i dati non siano recuperabili con mezzi forensi.

ccm-dsp-07

Sviluppare sistemi, prodotti e pratiche aziendali basati su un principio di sicurezza by design e sulle best practice del settore.

ccm-dsp-08

Sviluppare sistemi, prodotti e pratiche aziendali basati sul principio della privacy by design e sulle best practice del settore. Assicurati che le impostazioni della privacy dei sistemi siano configurate per impostazione predefinita in conformità a tutte le leggi e normative vigenti.

ccm-dsp-10

Definisci, implementa e valuta processi, procedure e misure tecniche che garantiscano che qualsiasi trasferimento di dati personali o sensibili sia protetto da accessi non autorizzati e venga trattato solo nell'ambito consentito dalle leggi e dai regolamenti vigenti.

ccm-dsp-16

La conservazione, l'archiviazione e l'eliminazione dei dati vengono gestite in conformità ai requisiti aziendali e alle leggi e ai regolamenti vigenti.

ccm-dsp-17

Definisci e implementa processi, procedure e misure tecniche per proteggere i dati sensibili durante tutto il loro ciclo di vita.

ccm-grc-01

Stabilire, documentare, approvare, comunicare, applicare, valutare e mantenere norme e procedure per un programma di governance delle informazioni, sponsorizzato dalla leadership dell'organizzazione. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-grc-03

Rivedi tutte le policy organizzative pertinenti e le procedure associate almeno una volta all'anno o quando si verifica un cambiamento sostanziale all'interno dell'organizzazione.

ccm-grc-07

Identifica e documenta tutti gli standard, i regolamenti e i requisiti legali, contrattuali e statutari pertinenti applicabili alla tua organizzazione.

ccm-iam-01

Stabilire, documentare, approvare, comunicare, implementare, applicare, valutare e gestire policy e procedure per la gestione di identità e accessi. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-iam-03

Gestisci, archivia e rivedi le informazioni sulle identità di sistema e sul livello di accesso.

ccm-iam-04

Applica il principio della separazione dei compiti quando implementi l'accesso al sistema informativo.

ccm-iam-05

Applica il principio del privilegio minimo quando implementi l'accesso al sistema informativo.

ccm-iam-07

Esegui il deprovisioning o modifica l'accesso di persone che cambiano ruolo, lasciano l'azienda o modificano l'identità del sistema in modo tempestivo per adottare e comunicare in modo efficace le norme di gestione di identità e accesso.

ccm-iam-09

Definisci, implementa e valuta processi, procedure e misure tecniche per la separazione dei ruoli di accesso con privilegi in modo che l'accesso amministrativo ai dati, le funzionalità di crittografia e gestione delle chiavi e le funzionalità di logging siano distinti e separati.

ccm-iam-10

Definisci e implementa una procedura di accesso per garantire che i ruoli e i diritti di accesso privilegiato vengano concessi per un periodo di tempo limitato e implementa procedure per impedire il culmine dell'accesso privilegiato segregato.

ccm-iam-11

Definisci, implementa e valuta processi e procedure per consentire ai clienti di partecipare, ove applicabile, alla concessione dell'accesso per ruoli di accesso con privilegi ad alto rischio concordati, come definito dalla valutazione dei rischi dell'organizzazione.

ccm-iam-12

Definisci, implementa e valuta processi, procedure e misure tecniche per garantire che l'infrastruttura di logging sia di sola lettura per tutti gli utenti con accesso in scrittura, inclusi i ruoli di accesso privilegiato, e che la possibilità di disattivarla sia controllata tramite una procedura che garantisca la separazione dei compiti e le procedure di emergenza.

ccm-iam-13

Definisci, implementa e valuta processi, procedure e misure tecniche che garantiscano l'identificabilità degli utenti tramite ID univoci o che possano associare le persone all'utilizzo degli User-ID.

ccm-iam-14

Definisci, implementa e valuta processi, procedure e misure tecniche per l'autenticazione dell'accesso a sistemi, applicazioni e asset di dati, inclusa l'autenticazione a più fattori per l'accesso di utenti con privilegi minimi e ai dati sensibili. Adotta certificati digitali o alternative che raggiungano un livello di sicurezza equivalente per le identità di sistema.

ccm-iam-16

Definisci, implementa e valuta processi, procedure e misure tecniche per verificare che l'accesso ai dati e alle funzioni di sistema sia autorizzato.

ccm-ivs-01

Stabilire, documentare, approvare, comunicare, applicare, valutare e mantenere policy e procedure per la sicurezza dell'infrastruttura e della virtualizzazione. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-ivs-03

Monitora, cripta e limita le comunicazioni tra gli ambienti solo a connessioni autenticate e autorizzate, come giustificato dall'attività. Rivedi queste configurazioni almeno una volta all'anno e supportale con una giustificazione documentata di tutti i servizi, i protocolli, le porte e i controlli compensativi consentiti.

ccm-ivs-04

Rafforza l'host e il sistema operativo guest, l'hypervisor o il control plane dell'infrastruttura in base alle rispettive best practice e supportato da controlli tecnici, nell'ambito di una baseline di sicurezza.

ccm-ivs-06

Progettare, sviluppare, implementare e configurare applicazioni e infrastrutture in modo che l'accesso degli utenti CSP e CSC (tenant) e l'accesso intra-tenant siano adeguatamente segmentati e separati, monitorati e limitati rispetto ad altri tenant.

ccm-ivs-07

Utilizza canali di comunicazione sicuri e criptati durante la migrazione di server, servizi, applicazioni o dati in ambienti cloud. Questi canali devono includere solo protocolli aggiornati e approvati.

ccm-ivs-09

Definisci, implementa e valuta processi, procedure e tecniche di difesa in profondità per la protezione, il rilevamento e la risposta tempestiva agli attacchi basati sulla rete.

ccm-log-01

Definisci, documenta, approva, comunica, applica, valuta e gestisci le norme e le procedure per il logging e il monitoraggio. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-log-02

Definisci, implementa e valuta processi, procedure e misure tecniche per garantire la sicurezza e la conservazione dei log di controllo.

ccm-log-03

Identifica e monitora gli eventi correlati alla sicurezza all'interno delle applicazioni e dell'infrastruttura sottostante. Definisci e implementa un sistema per generare avvisi per gli stakeholder responsabili in base a questi eventi e alle metriche corrispondenti.

ccm-log-04

Limita l'accesso agli audit log al personale autorizzato e conserva i record che forniscono un'accountability di accesso univoca.

ccm-log-05

Monitora i log di controllo della sicurezza per rilevare attività al di fuori di pattern tipici o previsti. Stabilisci e segui una procedura definita per esaminare e intraprendere azioni appropriate e tempestive in merito alle anomalie rilevate.

ccm-log-07

Stabilisci, documenta e implementa quali metadati delle informazioni e quali eventi del sistema di dati devono essere registrati. Esamina e aggiorna l'ambito almeno una volta all'anno o ogni volta che si verifica un cambiamento nell'ambiente delle minacce.

ccm-log-08

Genera record di controllo contenenti informazioni di sicurezza pertinenti.

ccm-log-12

Monitora e registra l'accesso fisico utilizzando un sistema di controllo dell'accesso verificabile.

ccm-sef-01

Definisci, documenta, approva, comunica, applica, valuta e mantieni norme e procedure per la gestione degli incidenti di sicurezza, l'e-discovery e la Cloud Forensics. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-sef-02

Definisci, documenta, approva, comunica, applica, valuta e mantieni criteri e procedure per la gestione tempestiva degli incidenti di sicurezza. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-sef-08

Mantenere i punti di contatto per le autorità di regolamentazione competenti, le forze dell'ordine nazionali e locali e altre autorità giudiziarie.

ccm-sta-04

Definisci la proprietà condivisa e l'applicabilità di tutti i controlli CSA CCM in base a SSRM per l'offerta di servizi cloud.

ccm-sta-08

I CSP esaminano periodicamente i fattori di rischio associati a tutte le organizzazioni all'interno della loro supply chain.

ccm-sta-09

I contratti di servizio tra i CSP e i CSC (tenant) devono incorporare almeno le disposizioni e i termini concordati reciprocamente che includono ambito, caratteristiche e sede del rapporto commerciale e dei servizi offerti, requisiti di sicurezza delle informazioni (inclusi SSRM), procedura di gestione delle modifiche, funzionalità di registrazione e monitoraggio, procedure di gestione e comunicazione degli incidenti, diritto di audit e valutazione di terze parti, risoluzione del servizio, requisiti di interoperabilità e portabilità e privacy dei dati.

ccm-tvm-01

Stabilisci, documenta, approva, comunica, applica, valuta e mantieni norme e procedure per identificare, segnalare e dare la priorità alla correzione delle vulnerabilità, al fine di proteggere i sistemi dallo sfruttamento delle vulnerabilità. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-tvm-02

Stabilisci, documenta, approva, comunica, applica, valuta e mantieni norme e procedure per proteggere da malware le risorse gestite. Rivedi e aggiorna le norme e le procedure almeno una volta all'anno.

ccm-tvm-03

Definisci, implementa e valuta processi, procedure e misure tecniche per consentire risposte pianificate e di emergenza alle identificazioni delle vulnerabilità, in base al rischio identificato.

ccm-tvm-06

Definisci, implementa e valuta processi, procedure e misure tecniche per l'esecuzione periodica di penetration test da parte di terze parti indipendenti.

ccm-uem-04

Mantenere un inventario di tutti gli endpoint utilizzati per archiviare e accedere ai dati aziendali.

ccm-uem-07

Gestisci le modifiche ai sistemi operativi, ai livelli di patch e alle applicazioni degli endpoint tramite le procedure di gestione delle modifiche dell'azienda.

ccm-uem-10

Configura gli endpoint gestiti con firewall software configurati correttamente.

ccm-uem-11

Configura gli endpoint gestiti con tecnologie e regole di prevenzione della perdita di dati (DLP) in base a una valutazione del rischio.

Data Security and Privacy Essentials

Provider cloud supportato: Google Cloud

Controlli cloud consigliati da Google per la sicurezza e la privacy dei dati

Questo framework include i seguenti controlli cloud:

Data Security Framework Template

Provider cloud supportato: Google Cloud

Framework integrato di Google per implementare controlli cloud DSPM avanzati.

Questo framework include i seguenti controlli cloud:

FedRAMP Low 20x

Provider cloud supportato: Google Cloud

Un programma a livello governativo che fornisce un approccio standardizzato e riutilizzabile alla valutazione e all'autorizzazione della sicurezza per i prodotti e i servizi di cloud computing che trattano informazioni non classificate utilizzate dalle agenzie. L'impatto basso di FedRAMP è più appropriato per i sistemi di controllo della sicurezza in cui la perdita di riservatezza, integrità e disponibilità avrebbe un effetto negativo limitato sulle operazioni, sugli asset o sugli individui di un'agenzia.

Questo framework include i gruppi di controllo cloud e i controlli cloud nelle sezioni seguenti.

ksi-cmt-1

Registra e monitora le modifiche al sistema. Assicurati che tutte le modifiche al sistema siano documentate e che le baseline di configurazione siano aggiornate.

ksi-cna-1

Configura tutte le risorse informative per limitare il traffico in entrata e in uscita.

ksi-cna-2

Progetta sistemi per ridurre la superficie di attacco e ridurre al minimo il movimento laterale in caso di compromissione.

ksi-cna-4

Utilizza un'infrastruttura immutabile con funzionalità e privilegi definiti in modo rigoroso.

ksi-cna-6

Progetta sistemi informativi con funzionalità di alta disponibilità e recupero rapido per evitare la perdita di dati.

ksi-cna-7

Implementa risorse informative cloud-first basate sulle best practice e sulle indicazioni documentate del provider di hosting.

ksi-iam-3

Applica metodi di autenticazione sicuri per tutti gli account e i servizi non utente all'interno di Google Cloud per proteggere dati e risorse da accessi non autorizzati.

ksi-iam-4

Implementa un modello di autorizzazione di sicurezza basato su privilegi minimi, ruoli e attributi e just-in-time. Utilizza questo modello per tutti gli account utente e non utente e per tutti i servizi per ridurre il rischio di accesso o utilizzo improprio non autorizzato.

ksi-mla-2

Esamina regolarmente gli audit log delle tue applicazioni e dei tuoi servizi.

ksi-mla-3

Rileva le vulnerabilità e correggile o mitigale tempestivamente per contribuire a ridurre l'impatto dei rischi su applicazioni e servizi.

ksi-piy-1

Mantieni un inventario o un codice aggiornato delle risorse informative che definiscono tutti gli asset, il software e i servizi di cui è stato eseguito il deployment.

ksi-piy-4

Integra le considerazioni sulla sicurezza nel ciclo di vita di sviluppo del software (SDLC) e allineati ai principi Secure By Design della Cybersecurity and Infrastructure Security Agency (CISA).

ksi-svc-1

Rivedi e rafforza regolarmente le configurazioni di rete e di sistema per garantire una base sicura.

ksi-svc-2

Cripta tutti i dati dei contenuti principali scambiati tra le macchine che si connettono a Google Cloud oppure proteggi tutto il traffico di rete per proteggere i dati.

ksi-svc-6

Utilizza sistemi di gestione delle chiavi automatizzati per proteggere, gestire e ruotare regolarmente chiavi e certificati digitali.

ksi-svc-7

Implementa un approccio coerente e basato sui rischi per l'applicazione di patch di sicurezza alle tue applicazioni e ai tuoi servizi.

ISO 27001:2022

Provider cloud supportato: Google Cloud

Lo standard internazionale per un sistema di gestione della sicurezza delle informazioni (ISMS). Fornisce un approccio sistematico e basato sul rischio alla gestione delle informazioni sensibili, specificando i requisiti per stabilire e migliorare i controlli di sicurezza.

Questo framework include i gruppi di controllo cloud e i controlli cloud nelle sezioni seguenti.

iso-27001-2022-a-5-1

Le norme sulla sicurezza delle informazioni e quelle specifiche per argomento devono essere definite, approvate dalla dirigenza, pubblicate, comunicate e riconosciute dal personale pertinente e dalle parti interessate pertinenti, nonché riviste a intervalli pianificati e in caso di modifiche significative.

iso-27001-2022-a-5-10

Devono essere identificate, documentate e implementate regole per l'uso accettabile e procedure per la gestione delle informazioni e di altre risorse associate.

iso-27001-2022-a-5-12

Le informazioni devono essere classificate in base alle esigenze di sicurezza delle informazioni dell'organizzazione in termini di riservatezza, integrità, disponibilità e requisiti delle parti interessate pertinenti.

iso-27001-2022-a-5-14

Devono essere in vigore regole, procedure o accordi di trasferimento delle informazioni per tutti i tipi di strutture di trasferimento all'interno dell'organizzazione e tra l'organizzazione e altre parti.

iso-27001-2022-a-5-15

Devono essere stabilite e implementate regole per controllare l'accesso fisico e logico alle informazioni e ad altre risorse associate in base ai requisiti aziendali e di sicurezza delle informazioni.

iso-27001-2022-a-5-17

L'allocazione e la gestione delle informazioni di autenticazione devono essere controllate da una procedura di gestione, che includa la consulenza al personale in merito alla gestione appropriata delle informazioni di autenticazione.

iso-27001-2022-a-5-18

I diritti di accesso alle informazioni e ad altre risorse associate devono essere forniti, esaminati, modificati e rimossi in conformità con le norme e le regole specifiche per argomento dell'organizzazione per il controllo dell'accesso dell'accesso.

iso-27001-2022-a-5-19

Devono essere definiti e implementati processi e procedure per gestire i rischi per la sicurezza delle informazioni associati all'utilizzo dei prodotti o servizi del fornitore.

iso-27001-2022-a-5-20

I requisiti di sicurezza delle informazioni pertinenti devono essere stabiliti e concordati con ciascun fornitore in base al tipo di rapporto con il fornitore.

iso-27001-2022-a-5-23

Le procedure di acquisizione, utilizzo, gestione e uscita dai servizi cloud devono essere stabilite in conformità ai requisiti di sicurezza delle informazioni dell'organizzazione.

iso-27001-2022-a-5-24

L'organizzazione deve pianificare e prepararsi alla gestione degli incidenti relativi alla sicurezza delle informazioni definendo, stabilendo e comunicando processi, ruoli e responsabilità di gestione degli incidenti relativi alla sicurezza delle informazioni.

iso-27001-2022-a-5-25

L'organizzazione deve valutare gli eventi di sicurezza delle informazioni e decidere se classificarli come incidenti di sicurezza delle informazioni.

iso-27001-2022-a-5-28

L'organizzazione deve stabilire e implementare procedure per l'identificazione, la raccolta, l'acquisizione e la conservazione delle prove relative agli eventi di sicurezza delle informazioni.

iso-27001-2022-a-5-30

La preparazione delle TIC deve essere pianificata, implementata, mantenuta e testata in base agli obiettivi di continuità aziendale e ai requisiti di continuità delle TIC.

iso-27001-2022-a-5-33

I documenti devono essere protetti da perdita, distruzione, falsificazione, accesso non autorizzato e divulgazione non autorizzata.

iso-27001-2022-a-5-5

L'organizzazione deve stabilire e mantenere i contatti con le autorità competenti.

iso-27001-2022-a-5-6

L'organizzazione deve stabilire e mantenere i contatti con gruppi di interesse speciale o altri forum di sicurezza specializzati e associazioni professionali.

iso-27001-2022-a-5-9

Verrà sviluppato e mantenuto un inventario di informazioni e altre risorse associate, inclusi i proprietari.

iso-27001-2022-a-6-7

Quando il personale lavora da remoto, devono essere implementate misure di sicurezza per proteggere le informazioni a cui si accede, che vengono trattate o memorizzate al di fuori della sede dell'organizzazione.

iso-27001-2022-a-8-1

Le informazioni archiviate, elaborate o accessibili tramite i dispositivi endpoint utente devono essere protette.

iso-27001-2022-a-8-10

Le informazioni memorizzate in sistemi informativi, dispositivi o in qualsiasi altro supporto di archiviazione devono essere eliminate quando non sono più necessarie.

iso-27001-2022-a-8-13

Le copie di backup di informazioni, software e sistemi devono essere mantenute e testate regolarmente in conformità con la policy specifica per argomento concordata sul backup.

iso-27001-2022-a-8-14

Le strutture di elaborazione delle informazioni devono essere implementate con una ridondanza sufficiente a soddisfare i requisiti di disponibilità.

iso-27001-2022-a-8-15

I log che registrano attività, eccezioni, errori e altri eventi pertinenti devono essere prodotti, archiviati, protetti e analizzati.

iso-27001-2022-a-8-16

Le reti, i sistemi e le applicazioni devono essere monitorati per rilevare comportamenti anomali e devono essere intraprese azioni appropriate per valutare potenziali incidenti di sicurezza delle informazioni.

iso-27001-2022-a-8-17

Gli orologi dei sistemi di elaborazione delle informazioni utilizzati dall'organizzazione devono essere sincronizzati con le fonti di tempo approvate.

iso-27001-2022-a-8-2

L'assegnazione e l'utilizzo dei diritti di accesso con privilegi devono essere limitati e gestiti.

iso-27001-2022-a-8-20

Le reti e i dispositivi di rete devono essere protetti, gestiti e controllati per proteggere le informazioni in sistemi e applicazioni.

iso-27001-2022-a-8-21

I meccanismi di sicurezza, i livelli di servizio e i requisiti di servizio dei servizi di rete devono essere identificati, implementati e monitorati.

iso-27001-2022-a-8-22

I gruppi di servizi informativi, utenti e sistemi informativi devono essere separati nelle reti dell'organizzazione.

iso-27001-2022-a-8-23

L'accesso a siti web esterni deve essere gestito per ridurre l'esposizione a contenuti dannosi.

iso-27001-2022-a-8-24

Devono essere definite e implementate regole per l'uso efficace della crittografia, inclusa la gestione delle chiavi crittografiche.

iso-27001-2022-a-8-25

Devono essere stabilite e applicate regole per lo sviluppo sicuro di software e sistemi.

iso-27001-2022-a-8-26

I requisiti di sicurezza delle informazioni devono essere identificati, specificati e approvati durante lo sviluppo o l'acquisizione delle applicazioni.

iso-27001-2022-a-8-27

I principi per la progettazione di sistemi sicuri devono essere stabiliti, documentati, mantenuti e applicati a qualsiasi attività di sviluppo di sistemi informativi.

iso-27001-2022-a-8-28

Allo sviluppo del software devono essere applicati i principi di codifica sicura.

iso-27001-2022-a-8-29

Le procedure di test di sicurezza devono essere definite e implementate nel ciclo di vita dello sviluppo.

iso-27001-2022-a-8-3

L'accesso alle informazioni e ad altre risorse associate sarà limitato in conformità con la policy specifica per argomento stabilita sul controllo dell'accesso.

iso-27001-2022-a-8-30

L'organizzazione deve dirigere, monitorare e rivedere le attività relative allo sviluppo del sistema esternalizzato.

iso-27001-2022-a-8-4

L'accesso in lettura e scrittura al codice sorgente, agli strumenti di sviluppo e alle librerie software deve essere gestito in modo appropriato.

iso-27001-2022-a-8-5

Verranno implementate tecnologie e procedure di autenticazione sicure in base alle limitazioni di accesso alle informazioni e alle norme specifiche per argomento sul controllo dell'accesso.

iso-27001-2022-a-8-6

L'utilizzo delle risorse deve essere monitorato e modificato in linea con i requisiti di capacità attuali e previsti.

iso-27001-2022-a-8-7

La protezione da malware deve essere implementata e supportata da un'adeguata consapevolezza degli utenti.

iso-27001-2022-a-8-8

Vengono ottenute informazioni sulle vulnerabilità tecniche dei sistemi informativi in uso, viene valutata l'esposizione dell'organizzazione a tali vulnerabilità e vengono adottate misure appropriate.

iso-27001-2022-a-8-9

Le configurazioni, comprese quelle di sicurezza, di hardware, software, servizi e reti devono essere stabilite, documentate, implementate, monitorate e riviste.

Qatar National Information Assurance Standard v2.1

Provider cloud supportato: Google Cloud

Il NIAS del Qatar ha lo scopo di fornire alle organizzazioni all'interno dello Stato del Qatar le basi necessarie e gli strumenti pertinenti per consentire l'implementazione di un sistema di gestione della sicurezza delle informazioni completo all'interno delle organizzazioni.

Questo framework include i gruppi di controllo cloud e i controlli cloud nelle sezioni seguenti.

qa-nias-2-1-am-1

Agli utenti viene fornito l'accesso in base al concetto di privilegio minimo e regolato in base alla necessità di sapere o di avere.

qa-nias-2-1-am-11

I repository di autenticazione centralizzati come LDAP e i database di autenticazione sono protetti dagli attacchi Denial of Service e utilizzano canali sicuri e autenticati per il recupero dei dati di autenticazione. Questi repository devono registrare i seguenti eventi: aggiornamento o accesso non autorizzato; data e ora di inizio e fine dell'attività (insieme all'identificatore di sistema); identificazione dell'utente (per l'accesso illegale); attività di accesso e disconnessione (per l'accesso illegale); sessione, terminale o connessione remota.

qa-nias-2-1-am-12

Le organizzazioni devono sviluppare e mantenere un insieme di norme, piani e procedure, derivati dalla National Data Classification Policy (IAP-NAT-DCLS), che coprano l'identificazione, l'autenticazione e l'autorizzazione degli utenti del sistema.

qa-nias-2-1-am-14

Tutti gli utenti del sistema sono identificabili e autenticati in modo univoco ogni volta che viene concesso l'accesso a un sistema.

qa-nias-2-1-am-17

Informazioni di autenticazione non protette che concedono l'accesso al sistema o decriptano un dispositivo criptato si trovano sul sistema o sul dispositivo a cui le informazioni di autenticazione concedono l'accesso o con il sistema o il dispositivo.

qa-nias-2-1-am-18

I dati di autenticazione del sistema durante l'utilizzo non sono soggetti ad attacchi, inclusi, a titolo esemplificativo, replay, man-in-the-middle e session hijacking.

qa-nias-2-1-am-2

L'accesso è gestito e controllato tramite controlli di accesso al sistema, identificazione e autenticazione e audit trail in base alla sensibilità delle informazioni. Queste richieste di accesso devono essere autorizzate dal supervisore o dal responsabile di un membro dello staff.

qa-nias-2-1-am-20

Le password vengono cambiate almeno ogni 90 giorni.

qa-nias-2-1-am-23

I blocchi dello schermo e della sessione sono configurati nel seguente modo: si attivano dopo un massimo di 15 minuti di inattività dell'utente di sistema; si attivano in modo standard dall'utente di sistema, se necessario; bloccano completamente tutte le informazioni sullo schermo; assicurano che lo schermo non sembri spento quando è bloccato; richiedono la riautenticazione dell'utente di sistema per sbloccare il sistema; e impediscono agli utenti di sistema di disattivare il meccanismo di blocco.

qa-nias-2-1-am-24

L'accesso a un sistema viene sospeso dopo un numero specificato di tentativi di accesso non riusciti o il prima possibile dopo che il membro del personale non ha più bisogno dell'accesso, a causa di un cambio di ruolo o dell'uscita dall'organizzazione.

qa-nias-2-1-am-3

I diritti di accesso di un utente o di un'entità per creare, leggere, aggiornare, eliminare o trasmettere le risorse informative di un'organizzazione si basano su un modello di diritti a matrice (gerarchico) definito da regole aziendali stabilite dai proprietari di queste informazioni.

qa-nias-2-1-am-31

L'utilizzo di account con privilegi è documentato, controllato, responsabile e ridotto al minimo. Gli account con privilegi devono essere utilizzati solo per il lavoro amministrativo.

qa-nias-2-1-am-32

Agli amministratori di sistema viene assegnato un account individuale per svolgere le attività di amministrazione.

qa-nias-2-1-am-34

Il log di gestione del sistema viene aggiornato per registrare le seguenti informazioni: attività di sanificazione; avvio e arresto del sistema; guasti di componenti o del sistema; attività di manutenzione; attività di backup e archiviazione; attività di ripristino del sistema; attività speciali o fuori orario.

qa-nias-2-1-am-35

L'accesso remoto non deve essere fornito a meno che non sia autorizzato esplicitamente dal responsabile del reparto e solo se è giustificato dai requisiti aziendali e solo dopo che è stata eseguita la due diligence per analizzare i rischi associati e sono stati implementati controlli adeguati per mitigare i rischi identificati.

qa-nias-2-1-am-36

L'autenticazione a due fattori, che utilizza un token hardware, un controllo biometrico o simili, viene utilizzata per accedere ai sistemi che elaborano dati classificati come C3 o superiori.

qa-nias-2-1-am-37

Le sessioni di accesso remoto sono protette mediante l'utilizzo di una crittografia end-to-end adatta, come specificato nella sezione C-10, Crittografia (CY).

qa-nias-2-1-am-6

Qualsiasi tentativo non autorizzato di aggirare il controllo degli accessi dell'organizzazione deve essere considerato un incidente di sicurezza e gestito in conformità con la procedura di gestione degli incidenti stabilita e con le norme e procedure appropriate per le risorse umane.

qa-nias-2-1-am-7

I log di controllo devono essere abilitati e gestiti in modo da consentire il monitoraggio della conformità alle policy governative e assistere nella gestione degli incidenti.

qa-nias-2-1-am-8

L'accesso logico alle reti dell'organizzazione è controllato tecnicamente. Ciò può avvenire utilizzando servizi e dispositivi di controllo dell'accesso alla rete (NAC).

qa-nias-2-1-cy-1

Gli algoritmi crittografici, l'hardware o il software di crittografia, i sistemi di gestione delle chiavi e le firme digitali devono dimostrare la conformità agli algoritmi e ai sistemi di crittografia approvati, come specificato dall'autorità competente ai sensi della legge n. (16) del 2010 sulla promulgazione della legge sul commercio e sulle transazioni elettronici.

qa-nias-2-1-cy-2

La durata della chiave è determinata principalmente dall'applicazione e dall'infrastruttura informativa in cui viene utilizzata. Le chiavi devono essere revocate e sostituite immediatamente se sono state compromesse o se si sospetta che lo siano.

qa-nias-2-1-cy-3

Gli asset informativi classificati come C3 (IAP-NAT-DCLS) sono criptati e protetti dalla divulgazione non autorizzata quando vengono archiviati e in transito, indipendentemente dal formato o dal supporto di archiviazione. Le organizzazioni possono applicare questi controlli crittografici agli asset con requisiti di riservatezza inferiori, se ritenuto necessario dalla valutazione del rischio.

qa-nias-2-1-cy-4

Gli asset informativi classificati come I3 (IAP-NAT-DCLS) hanno un'integrità garantita tramite l'hashing crittografico. Le organizzazioni possono applicare questi controlli crittografici agli asset con requisiti di integrità inferiori, se ritenuto necessario dalla valutazione del rischio.

qa-nias-2-1-cy-5

Per proteggere i dati classificati come C3 durante il transito, vengono utilizzati i seguenti protocolli o versioni successive, con algoritmi approvati descritti nella Qatar National Cryptographic Standard - English v1.0 (o versioni successive) emessa dall'autorità competente: per proteggere il traffico web: TLS (+128 bit) (RFC4346); per proteggere i trasferimenti di file: SFTP (SFTP); per l'accesso remoto sicuro: SSH v2 (RFC4253) o IPSEC (RFC 4301); e solo S/MIME v3 (RFC3851) o versioni successive vengono utilizzati per proteggere le email. Consulta CY11 per il requisito associato.

qa-nias-2-1-cy-6

Le password devono sempre essere criptate o sottoposte a hashing e protette dalla divulgazione non autorizzata quando vengono memorizzate o sono in transito, indipendentemente dal formato o dal supporto di memorizzazione. Le password con privilegi devono essere criptate e archiviate off-site con file di backup ogni volta che vengono modificate per garantire il recupero completo.

qa-nias-2-1-cy-7

Se vengono utilizzati moduli di sicurezza hardware (HSM), questi sono certificati almeno secondo lo standard FIPS 2-140 livello 2 (FIPS2-140) o Common Criteria (CC3.1) EAL4.

qa-nias-2-1-cy-9

Sono definite procedure di gestione delle chiavi adeguate, come da (ISO1-11770), e utilizzate per gestire il ciclo di vita delle chiavi di crittografia, coprendo le seguenti funzioni: ruoli e responsabilità dei custodi delle chiavi, generazione delle chiavi, doppio controllo e conoscenza separata, archiviazione sicura delle chiavi, utilizzo delle chiavi, distribuzione sicura delle chiavi e in transito, backup e recupero delle chiavi, controllo periodico dello stato delle chiavi, compromissione delle chiavi, revoca e distruzione delle chiavi e audit trail e documentazione.

qa-nias-2-1-gs-1

Le reti sono protette da altre reti tramite gateway e i flussi di dati sono controllati correttamente.

qa-nias-2-1-gs-13

L'esportazione di dati in un sistema meno classificato è limitata dal filtraggio dei dati utilizzando almeno i controlli sulle etichette di classificazione.

qa-nias-2-1-gs-2

I gateway che collegano le reti dell'organizzazione ad altre reti dell'organizzazione o a reti pubbliche non controllate vengono implementati nel seguente modo: con un dispositivo di rete appropriato per controllare il flusso di dati, con tutti i flussi di dati controllati in modo appropriato e con i componenti del gateway fisicamente posizionati all'interno di una sala server adeguatamente protetta.

qa-nias-2-1-gs-6

Le zone demilitarizzate (DMZ) vengono utilizzate per separare i sistemi accessibili esternamente dalle reti pubbliche non controllate e dalle reti interne tramite l'utilizzo di firewall e altre apparecchiature in grado di garantire la sicurezza della rete.

qa-nias-2-1-gs-7

I gateway devono: essere gli unici percorsi di comunicazione in entrata e in uscita dalle reti interne; per impostazione predefinita, negare tutte le connessioni in entrata e in uscita dalla rete; consentire solo le connessioni esplicitamente autorizzate; essere gestiti utilizzando un percorso sicuro isolato da tutte le reti connesse; fornire una capacità di controllo sufficiente per rilevare violazioni della sicurezza del gateway e tentativi di intrusione nella rete; e fornire allarmi in tempo reale.

qa-nias-2-1-gs-8

I gateway vengono protetti prima di qualsiasi implementazione sul sito di produzione e sono protetti da: codice e vulnerabilità dannosi, configurazioni errate o scadenti, compromissione dell'account e escalation dei privilegi, monitoraggio della rete non autorizzato, attacchi Denial of Service (DoS) e perdita di informazioni o dati.

qa-nias-2-1-gs-9

Il monitoraggio e la supervisione dei gateway sono in atto e includono meccanismi di prevenzione delle minacce, registrazione, avvisi e sorveglianza delle apparecchiature. Consulta la sezione B-10, Logging e monitoraggio della sicurezza (SM).

qa-nias-2-1-ie-12

Assicurati che le informazioni scambiate tra i sistemi siano protette da uso improprio, accesso non autorizzato o danneggiamento dei dati. Per la trasmissione di informazioni classificate come C2, I2 o superiori, devono essere utilizzati canali autenticati e criptati, come specificato in CY5, sezione C-10, Cryptographic Security (CY).

qa-nias-2-1-ie-3

Assicurati che prima dello scambio di informazioni siano stati stipulati gli accordi necessari (in particolare gli accordi di riservatezza) tra le entità che si scambiano informazioni. Gli accordi devono fornire informazioni su responsabilità, procedura di notifica dello scambio di informazioni, standard tecnici per la trasmissione, identificazione dei corrieri, responsabilità, proprietà e controlli. Per i fornitori e le terze parti verrà utilizzato un accordo di non divulgazione (NDA) formale. L'appendice D fornisce un modello di NDA.

qa-nias-2-1-ie-4

L'organizzazione deve garantire che i media utilizzati per lo scambio di informazioni siano protetti da accessi, manipolazioni o usi impropri non autorizzati all'interno o all'esterno dell'ambiente dell'organizzazione.

qa-nias-2-1-ie-8

Proteggere le informazioni scambiate tramite messaggistica elettronica da accessi, modifiche o interruzioni del servizio non autorizzati.

qa-nias-2-1-ms-20

I supporti, inclusi quelli difettosi, contenenti informazioni classificate vengono sanificati nella misura del possibile prima dello smaltimento.

qa-nias-2-1-ns-1

I dettagli della configurazione interna di rete e sistema, i servizi di directory relativi a dipendenti o dispositivi e altre tecnologie sensibili non vengono divulgati pubblicamente o enumerati da personale non autorizzato.

qa-nias-2-1-ns-17

Un server DNS interno separato viene configurato e inserito nella rete interna per le informazioni sul dominio interno che non vengono divulgate a internet.

qa-nias-2-1-ns-2

L'organizzazione rimuove o disattiva tutti gli account predefiniti (ad esempio root o amministratore) o modifica la password come specificato nella sezione C-6, Sicurezza del software (SS).

qa-nias-2-1-ns-20

I file di zona sono firmati digitalmente e vengono forniti l'autenticazione reciproca crittografica e l'integrità dei dati dei trasferimenti di zona e degli aggiornamenti dinamici.

qa-nias-2-1-ns-21

Vengono forniti l'autenticazione dell'origine crittografica e la garanzia di integrità dei dati DNS.

qa-nias-2-1-ns-22

I servizi DNS, inclusi i trasferimenti di zona, vengono forniti solo agli utenti autorizzati.

qa-nias-2-1-ns-25

Il gateway internet nega tutti i servizi internet, a meno che non siano specificamente abilitati.

qa-nias-2-1-ns-27

L'organizzazione dispone della funzionalità necessaria per monitorare il traffico, dedurre i pattern di traffico, l'utilizzo e così via. Per saperne di più, consulta la sezione B-10, Logging e monitoraggio della sicurezza (SM).

qa-nias-2-1-ns-29

La protezione TLS viene utilizzata con il server di posta SMTP in linea con la sezione C-10, Cryptographic Security (CY).

qa-nias-2-1-ns-3

La configurazione di rete è mantenuta sotto il controllo del gestore di rete o di una figura simile e tutte le modifiche alle configurazioni sono: approvate tramite una procedura formale di controllo delle modifiche come definito nella sezione B-5, Gestione delle modifiche (CM); documentate e conformi alle norme di sicurezza della rete e al piano di sicurezza come definito nella sezione B-12, Documentazione (DC); e riviste regolarmente. Le vecchie configurazioni, come previsto dalle procedure dell'organizzazione, vengono mantenute nell'ambito della revisione delle modifiche. La frequenza di revisione della configurazione dipende dai rischi e dai processi dell'organizzazione.

qa-nias-2-1-ns-5

Le reti sono progettate e configurate per limitare le opportunità di accesso non autorizzato alle informazioni che transitano nell'infrastruttura di rete. Le organizzazioni devono utilizzare le seguenti tecnologie per soddisfare questo requisito: switch anziché hub; sicurezza delle porte sugli switch per limitare l'accesso e disattivare tutte le porte inutilizzate; router e firewall che separano parti della rete in base alla necessità di sapere; IPsec o IP versione 6; crittografia a livello di applicazione; uno strumento automatizzato che confronta la configurazione in esecuzione dei dispositivi di rete con la configurazione documentata; autenticazione perimetrale della rete; limitare e gestire i dispositivi degli utenti finali che comunicano con la rete dell'organizzazione tramite tecniche come il filtro degli indirizzi MAC; IPS o IDS per rilevare e prevenire attività dannose all'interno della rete; e restrizioni di ora e giorno.

qa-nias-2-1-ns-53

Voce e dati sono reti separate. La separazione deve essere fisica, ma è consentito l'utilizzo di LAN virtuali. Il gateway vocale, che si interfaccia con la PSTN, separa H.323, SIP o altri protocolli VoIP dalla rete di dati.

qa-nias-2-1-ns-6

Le reti di gestione adottano le seguenti misure di protezione: vengono utilizzate reti dedicate per i dispositivi di gestione implementando una VLAN di gestione separata o un'infrastruttura fisicamente separata e vengono utilizzati canali sicuri, ad esempio tramite VPN o SSH.

qa-nias-2-1-ns-7

Le VLAN vengono utilizzate per separare il traffico telefonico IP nelle reti business critical.

qa-nias-2-1-ns-8

L'accesso amministrativo è consentito solo dalla VLAN con la classificazione più elevata a una con lo stesso livello di classificazione o con una classificazione inferiore.

qa-nias-2-1-pr-5

La valutazione della sicurezza del prodotto viene eseguita su una configurazione di valutazione dedicata, inclusi test di funzionalità, test di sicurezza e applicazione di patch per proteggere da potenziali minacce e vulnerabilità.

qa-nias-2-1-pr-6

La consegna dei prodotti è coerente con la prassi di sicurezza dell'organizzazione per la consegna sicura.

qa-nias-2-1-pr-7

Le procedure di consegna sicura devono includere misure per rilevare manomissioni o rappresentazioni ingannevoli.

qa-nias-2-1-pr-8

I prodotti sono stati acquistati da sviluppatori che si sono impegnati a eseguire la manutenzione continua della garanzia del prodotto.

qa-nias-2-1-pr-9

Sono in atto procedure di applicazione di patch e aggiornamento dei prodotti. Gli aggiornamenti dei prodotti devono seguire le norme di gestione delle modifiche specificate nella sezione B-5, Gestione delle modifiche (CM).

qa-nias-2-1-ss-13

Le workstation utilizzano un ambiente operativo standard (SOE) protetto che copre quanto segue: rimozione di software indesiderato; disattivazione di funzionalità inutilizzate o indesiderate nel software e nei sistemi operativi installati; implementazione di controlli di accesso sugli oggetti pertinenti per limitare gli utenti e i programmi di sistema all'accesso minimo necessario per svolgere le proprie attività; installazione di firewall basati su software che limitano le connessioni di rete in entrata e in uscita; configurazione della registrazione remota o del trasferimento dei log eventi locali a un server centrale.

qa-nias-2-1-ss-14

Le potenziali vulnerabilità nei loro SOE e sistemi vengono ridotte mediante: la rimozione delle condivisioni di file non necessarie; l'aggiornamento delle patch; la disattivazione dell'accesso a tutte le funzionalità di input e output non necessarie; la rimozione degli account inutilizzati; la ridenominazione degli account predefiniti e la sostituzione delle password predefinite.

qa-nias-2-1-ss-15

I server ad alto rischio, come i server web, di posta, di file e di telefonia con protocollo internet, che hanno connettività a reti pubbliche non controllate, soddisfano le seguenti linee guida: mantengono una separazione funzionale efficace tra i server, consentendo loro di operare in modo indipendente; riducono al minimo le comunicazioni tra i server a livello di rete e di file system, a seconda dei casi; e limitano gli utenti e i programmi di sistema all'accesso minimo necessario per svolgere le loro attività.

qa-nias-2-1-ss-16

Controlla l'integrità di tutti i server le cui funzioni sono fondamentali per l'organizzazione e di quelli identificati come a rischio elevato di compromissione. Ove possibile, questi controlli devono essere eseguiti da un ambiente attendibile anziché dal sistema stesso.

qa-nias-2-1-ss-17

Archivia le informazioni sull'integrità in modo sicuro al di fuori del server in modo da mantenerne l'integrità.

qa-nias-2-1-ss-19

Nell'ambito del programma di audit continuo dell'organizzazione, confronta le informazioni sull'integrità archiviate con le informazioni sull'integrità attuali per determinare se si è verificato un compromesso o una modifica del sistema legittima ma completata in modo errato.

qa-nias-2-1-ss-2

Tutte le applicazioni (incluse quelle nuove e sviluppate) vengono classificate utilizzando la National Data Classification Policy (IAP-NAT-DCLS) e viene loro assegnata una protezione di sicurezza appropriata in base alle valutazioni di riservatezza, integrità e disponibilità.

qa-nias-2-1-ss-20

L'organizzazione deve risolvere eventuali modifiche rilevate in conformità alle procedure di gestione degli incidenti di sicurezza delle tecnologie dell'informazione e della comunicazione (ICT) dell'organizzazione.

qa-nias-2-1-ss-21

Tutte le applicazioni software vengono esaminate per determinare se tentano di stabilire connessioni esterne. Se è inclusa la funzionalità di connessione in uscita automatizzata, le organizzazioni devono prendere una decisione aziendale per determinare se consentire o negare queste connessioni, inclusa una valutazione dei rischi connessi.

qa-nias-2-1-ss-23

La connettività e l'accesso tra ogni componente dell'applicazione web sono ridotti al minimo.

qa-nias-2-1-ss-24

Le informazioni personali e i dati sensibili sono protetti durante l'archiviazione e la trasmissione mediante controlli crittografici appropriati.

qa-nias-2-1-ss-29

I file di database sono protetti dall'accesso che aggira i normali controlli di accesso del database.

qa-nias-2-1-ss-3

I requisiti di sicurezza, inclusi quelli funzionali, tecnici e di garanzia, vengono sviluppati e implementati nell'ambito dei requisiti di sistema.

qa-nias-2-1-ss-30

I database forniscono funzionalità per consentire il controllo delle azioni degli utenti di sistema.

qa-nias-2-1-ss-31

Gli utenti del sistema che non dispongono di privilegi sufficienti per visualizzare i contenuti del database non possono visualizzare i metadati associati in un elenco di risultati di una query del motore di ricerca. Se i risultati delle query del database non possono essere filtrati in modo appropriato, le organizzazioni devono assicurarsi che tutti i risultati delle query vengano sanificati in modo appropriato per soddisfare il privilegio di sicurezza minimo degli utenti del sistema.

qa-nias-2-1-ss-4

Sono disponibili infrastrutture di test e sviluppo dedicate, inclusi sistemi e dati, separate dai sistemi di produzione. Inoltre, il flusso di informazioni tra gli ambienti deve essere rigorosamente limitato in base a una policy definita e documentata, con accesso concesso solo agli utenti del sistema con un chiaro requisito aziendale e l'accesso in scrittura alla fonte autorevole per il software deve essere disattivato.

qa-nias-2-1-ss-5

Tutte le applicazioni, acquisite o sviluppate, sono disponibili per l'uso in produzione solo dopo test e controlli di qualità e sicurezza appropriati per garantire che il sistema confermi e rispetti i requisiti di sicurezza previsti.

qa-nias-2-1-ss-6

Gli sviluppatori di software utilizzano pratiche di programmazione sicure durante la scrittura del codice, tra cui: rispetto delle best practice, ad esempio i 25 errori di programmazione più pericolosi di Mitre; progettazione di software per utilizzare il livello di privilegio più basso necessario per svolgere la sua attività; negazione dell'accesso per impostazione predefinita; controllo dei valori restituiti di tutte le chiamate di sistema; e convalida di tutti gli input.

qa-nias-2-1-ss-7

Il software deve essere esaminato e/o testato per verificare la presenza di vulnerabilità prima di essere utilizzato in un ambiente di produzione. Il software deve essere esaminato e/o testato da una parte indipendente e non dallo sviluppatore.

qa-nias-2-1-vl-1

Per tutti i dispositivi mobili e i laptop sono in vigore la distruzione di emergenza, il piano di blocco, la cancellazione remota o l'autodistruzione.

qa-nias-2-1-vl-2

Rafforza l'hypervisor, il livello amministrativo, la macchina virtuale e i componenti correlati in base alle best practice e alle linee guida per la sicurezza accettate dal settore e ai consigli del fornitore.

qa-nias-2-1-vl-3

Applica il privilegio minimo e la separazione dei compiti per la gestione dell'ambiente virtuale nel seguente modo: definisci ruoli specifici e privilegi granulari per ogni amministratore nel software di gestione della virtualizzazione centrale; limita l'accesso amministrativo diretto all'hypervisor nella misura del possibile; a seconda del rischio e della classificazione delle informazioni elaborate, le organizzazioni devono valutare l'utilizzo dell'autenticazione a più fattori o del controllo doppio o suddiviso delle password amministrative tra più amministratori. Per saperne di più, consulta la sezione C9 Gestione dell'accesso.

qa-nias-2-1-vl-5

L'ambiente tecnologico virtualizzato deve essere integrato da una tecnologia di sicurezza di terze parti per fornire controlli di sicurezza a più livelli, ad esempio l'approccio di difesa in profondità, per completare i controlli forniti dal fornitore e dalla tecnologia stessa.

qa-nias-2-1-vl-6

Separa le macchine virtuali in base alla classificazione dei dati che elaborano o archiviano.

qa-nias-2-1-vl-7

Un processo di gestione dei cambiamenti comprende l'ambiente tecnologico virtuale. Ciò include: assicurarsi che il profilo della macchina virtuale sia aggiornato e che l'integrità dell'immagine della macchina virtuale venga mantenuta in ogni momento; inoltre, è necessario prestare attenzione alla manutenzione e all'aggiornamento delle VM che non sono in stato attivo (inattive o non più utilizzate). Per saperne di più, consulta la sezione B6 - Gestione dei cambiamenti.

qa-nias-2-1-vl-8

I log dell'ambiente tecnologico virtuale devono essere registrati e monitorati insieme ad altre infrastrutture IT. Consulta la sezione B10 Logging e monitoraggio della sicurezza.

NIST 800-53 Revision 5

Provider cloud supportato: Google Cloud

Un catalogo completo di controlli di sicurezza e privacy per creare un programma di sicurezza solido. Obbligatorio per i sistemi federali degli Stati Uniti, è ora un framework di best practice utilizzato da organizzazioni di tutti i settori.

Questo framework include i gruppi di controllo cloud e i controlli cloud nelle sezioni seguenti.

nist-r5-ac-02

A. Definisci e documenta i tipi di account consentiti e specificamente vietati per l'utilizzo all'interno del sistema. B. Assegna account manager. C. Richiedere prerequisiti e criteri definiti dall'organizzazione per l'appartenenza a gruppi e ruoli. D. Specifica: a. Utenti autorizzati del sistema. b. Appartenenza a gruppi e ruoli. c. Autorizzazioni o privilegi di accesso e attributi definiti dall'organizzazione per ogni account. E. Richiedi le approvazioni da parte di personale o ruoli definiti dall'organizzazione per le richieste di creazione di account. F. Crea, attiva, modifica, disattiva e rimuovi gli account in conformità con criteri, procedure, prerequisiti e criteri definiti dall'organizzazione. G. Monitora l'utilizzo degli account. H. Notifica agli account manager e al personale o ai ruoli definiti dall'organizzazione all'interno di: a. Un periodo di tempo definito dall'organizzazione in cui gli account non sono più necessari. b. Un periodo di tempo definito dall'organizzazione in cui gli utenti vengono disattivati o trasferiti. c. Un periodo di tempo definito dall'organizzazione in cui l'utilizzo del sistema o le modifiche alle informazioni da conoscere per un individuo. I. Autorizza l'accesso al sistema in base a: a. Un'autorizzazione di accesso valida. b. Utilizzo previsto del sistema. c. Attributi definiti dall'organizzazione. J. Esamina gli account per verificare la conformità ai requisiti di gestione degli account in base alla frequenza definita dall'organizzazione. K. Stabilisci e implementa una procedura per modificare gli autenticatori di account condivisi o di gruppo quando le persone vengono rimosse dal gruppo. L. Allinea i processi di gestione degli account ai processi di licenziamento e trasferimento del personale.

nist-r5-ac-03

Applica le autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con i criteri di controllo dell'accesso dell'accesso applicabili.

nist-r5-ac-04

Applica le autorizzazioni approvate per controllare il flusso di informazioni all'interno del sistema e tra i sistemi connessi in base ai criteri di controllo del flusso di informazioni definiti dall'organizzazione.

nist-r5-ac-05

Identifica e documenta i compiti definiti dall'organizzazione delle persone che richiedono la separazione. Definisci le autorizzazioni di accesso al sistema per supportare la separazione dei compiti.

nist-r5-ac-06

Applica il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti o i processi che agiscono per conto degli utenti necessari per svolgere le attività organizzative assegnate.

nist-r5-ac-06-05

Limita gli account con privilegi sul sistema al personale o ai ruoli definiti dall'organizzazione.

nist-r5-ac-07

Applica un limite al numero di tentativi di accesso consecutivi non validi da parte di un utente durante un periodo di tempo definito dall'organizzazione. Quando viene superato il numero massimo di tentativi non riusciti, blocca automaticamente l'account o il nodo per un periodo di tempo definito dall'organizzazione; blocca l'account o il nodo fino al rilascio da parte di un amministratore; ritarda la successiva richiesta di accesso in base all'algoritmo di ritardo definito dall'organizzazione; invia una notifica all'amministratore di sistema; intraprendi altre azioni definite dall'organizzazione.

nist-r5-ac-12

Terminare automaticamente una sessione utente dopo le condizioni definite dall'organizzazione o gli eventi trigger che richiedono la disconnessione della sessione.

nist-r5-ac-17

Stabilisci e documenta le limitazioni di utilizzo, i requisiti di configurazione e connessione e le indicazioni per l'implementazione per ogni tipo di accesso remoto consentito. Autorizza ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

nist-r5-ac-17-03

Instrada gli accessi remoti tramite punti di controllo dell'accesso alla rete autorizzati e gestiti.

nist-r5-ac-17-04

Autorizza l'esecuzione di comandi con privilegi e l'accesso a informazioni rilevanti per la sicurezza utilizzando l'accesso remoto solo in un formato che fornisca prove valutabili e per le esigenze definite dall'organizzazione. Documenta la motivazione dell'accesso remoto nel piano di sicurezza del sistema.

nist-r5-ac-18

Stabilisci i requisiti di configurazione, i requisiti di connessione e le indicazioni per l'implementazione per ogni tipo di accesso wireless. Autorizza ogni tipo di accesso wireless al sistema prima di consentire tali connessioni.

nist-r5-ac-19

Stabilisci i requisiti di configurazione, i requisiti di connessione e le indicazioni di implementazione per i dispositivi mobili controllati dall'organizzazione, anche quando si trovano al di fuori delle aree controllate. Autorizza la connessione dei dispositivi mobili ai sistemi dell'organizzazione.

nist-r5-au-01

Sviluppa, documenta e diffondi una norma di controllo e responsabilità conforme e le procedure per la sua implementazione, assicurandoti che la norma soddisfi il suo scopo, ambito, ruoli e responsabilità. Designa un funzionario specifico per gestire questa documentazione e rivedi e aggiorna regolarmente le norme e le procedure in base a una pianificazione definita o in risposta a eventi specifici.

nist-r5-au-02

A. Identifica i tipi di eventi che il sistema è in grado di registrare a supporto della funzione di audit: B. Coordina la funzione di registrazione degli eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione degli eventi da registrare. C. Specifica i tipi di eventi definiti dall'organizzazione che sono un sottoinsieme dei tipi di eventi definiti in AU-02a, insieme alla frequenza o alla situazione che richiede la registrazione per ogni tipo di evento identificato. D. Fornisci una motivazione del perché i tipi di eventi selezionati per la registrazione sono ritenuti adeguati a supportare le indagini successive agli incidenti. E. Esamina e aggiorna i tipi di eventi selezionati per la registrazione in base alla frequenza definita dall'organizzazione.

nist-r5-au-03

Assicurati che i record di controllo contengano informazioni che stabiliscano quanto segue: A. Il tipo di evento che si è verificato. B. Quando si è verificato l'evento. C. Dove si è verificato l'evento. D. Origine dell'evento. D. Risultato dell'evento. F. Identità di persone, soggetti, oggetti ed entità associati all'evento.

nist-r5-au-03-01

Genera record di controllo contenenti informazioni aggiuntive definite dall'organizzazione.

nist-r5-au-04

Alloca la capacità di archiviazione degli audit log per soddisfare i requisiti di conservazione degli audit log definiti dall'organizzazione.

nist-r5-au-05

Avvisa il personale o i ruoli definiti dall'organizzazione entro il periodo di tempo definito dall'organizzazione in caso di errore del processo di logging di controllo. Intraprendere azioni aggiuntive definite dall'organizzazione.

nist-r5-au-05-02

Fornisci un avviso entro il periodo di tempo reale definito dall'organizzazione a personale, ruoli o sedi definiti dall'organizzazione, quando si verificano eventi di errore di registrazione degli audit definiti dall'organizzazione che richiedono avvisi in tempo reale.

nist-r5-au-06

Esamina e analizza i record di controllo del sistema in base alla frequenza definita dall'organizzazione per rilevare indicazioni di attività inappropriate o insolite definite dall'organizzazione e il potenziale impatto di queste attività. Segnala i risultati al personale o ai ruoli definiti dall'organizzazione. Modifica il livello di revisione, analisi e generazione di report dei record di controllo all'interno del sistema quando si verifica una variazione del rischio in base a informazioni delle forze dell'ordine, informazioni di intelligence o altre fonti di informazioni credibili.

nist-r5-au-07

Fornire e implementare una funzionalità di riduzione dei record di audit e di generazione di report che supporti i requisiti di revisione, analisi e reportistica dei record di audit on demand e le indagini successive agli incidenti. La funzionalità non deve alterare i contenuti originali o l'ordine cronologico dei record di controllo.

nist-r5-au-11

Conserva i record di controllo per il periodo di tempo definito dall'organizzazione in linea con le norme di conservazione dei record per fornire supporto alle indagini successive agli incidenti e soddisfare i requisiti normativi e organizzativi di conservazione delle informazioni.

nist-r5-au-12

A. Fornire la funzionalità di generazione di record di controllo per i tipi di eventi che il sistema è in grado di controllare come definito in AU-2a sui componenti di sistema definiti dall'organizzazione. B. Consenti al personale o ai ruoli definiti dall'organizzazione di selezionare i tipi di eventi da registrare da componenti specifici del sistema. C. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono i contenuti dei record di controllo definiti in AU-3.

nist-r5-ca-2-2

Includi, nell'ambito delle valutazioni dei controlli, in base alla frequenza definita dall'organizzazione, annunciata o non annunciata: monitoraggio approfondito; strumentazione di sicurezza; scenari di test di sicurezza automatizzati; analisi delle vulnerabilità; test utenti dannosi; valutazione delle minacce interne; test delle prestazioni e del carico; valutazione della perdita o della fuoriuscita di dati o altre forme di valutazione definite dall'organizzazione.

nist-r5-ca-7

Sviluppa una strategia di monitoraggio continuo a livello di sistema e implementa il monitoraggio continuo in conformità alla strategia di monitoraggio continuo a livello di organizzazione che include: A. Definizione delle metriche a livello di sistema definite dall'organizzazione. B. Stabilire frequenze definite dall'organizzazione per il monitoraggio e la valutazione dell'efficacia del controllo. C. Valutazioni continue dei controlli in conformità alla strategia di monitoraggio continuo. D. Monitoraggio continuo delle metriche definite dal sistema e dall'organizzazione in conformità con la strategia di monitoraggio continuo. E. Correlazione e analisi delle informazioni generate dalle valutazioni e dal monitoraggio dei controlli. F. Azioni di risposta per affrontare i risultati dell'analisi delle informazioni di valutazione e monitoraggio dei controlli. G. Comunicare lo stato di sicurezza e privacy del sistema al personale o ai ruoli definiti dall'organizzazione in base alla frequenza definita dall'organizzazione.

nist-r5-ca-9

A. Autorizza le connessioni interne di componenti di sistema o classi di componenti definiti dall'organizzazione al sistema. B. Documenta, per ogni connessione interna, le caratteristiche dell'interfaccia, i requisiti di sicurezza e privacy e la natura delle informazioni comunicate. C. Termina le connessioni di sistema interne dopo le condizioni definite dall'organizzazione. D. Rivedi, in base alla frequenza definita dall'organizzazione, la continua necessità di ogni connessione interna.

nist-r5-cm-01

A. Sviluppa, documenta e diffondi al personale o ai ruoli definiti dall'organizzazione: a. Una policy di gestione della configurazione definita a livello di organizzazione, missione o processo aziendale oppure a livello di sistema. Il criterio deve riguardare scopo, ambito, ruoli, responsabilità, impegno della gestione, coordinamento tra le entità organizzative e conformità. Le norme devono essere coerenti con leggi, ordini esecutivi, direttive, regolamenti, norme, standard e linee guida vigenti. b. Procedure per facilitare l'implementazione delle norme di gestione della configurazione e dei controlli di gestione della configurazione associati. B. Designa un funzionario definito dall'organizzazione per gestire lo sviluppo, la documentazione e la diffusione delle norme e delle procedure di gestione della configurazione. C. Rivedi e aggiorna le policy e le procedure di gestione della configurazione attuali in base a frequenze ed eventi definiti dall'organizzazione.

nist-r5-cm-02

A. Sviluppa, documenta e mantieni sotto il controllo della configurazione una configurazione di base corrente del sistema. B. Rivedi e aggiorna la configurazione di base del sistema: a. In base alla frequenza definita dall'organizzazione. b. Quando richiesto a causa di circostanze definite dall'organizzazione. c. Quando vengono installati o aggiornati i componenti di sistema.

nist-r5-cm-06

A. Stabilisci e documenta le impostazioni di configurazione per i componenti utilizzati all'interno del sistema che riflettono la modalità più restrittiva coerente con i requisiti operativi utilizzando configurazioni sicure comuni definite dall'organizzazione. B. Implementa le impostazioni di configurazione. C. Identifica, documenta e approva eventuali deviazioni dalle impostazioni di configurazione stabilite per i componenti di sistema definiti dall'organizzazione in base ai requisiti operativi definiti dall'organizzazione. D. Monitora e controlla le modifiche alle impostazioni di configurazione in conformità con le norme e le procedure dell'organizzazione.

nist-r5-cm-07

Configura il sistema in modo che fornisca solo le funzionalità essenziali per la missione definite dall'organizzazione. Vietare o limitare l'utilizzo di funzioni, porte, protocolli, software o servizi definiti dall'organizzazione.

nist-r5-cm-09

Sviluppa, documenta e implementa un piano di gestione della configurazione per il sistema che: A. Indirizza ruoli, responsabilità e processi e procedure di gestione della configurazione. B. Stabilisce una procedura per identificare gli elementi di configurazione durante il ciclo di vita dello sviluppo del sistema e per gestire la configurazione degli elementi di configurazione. C. Definisce gli elementi di configurazione per il sistema e li inserisce nella gestione della configurazione. D. Viene esaminato e approvato dal personale o dai ruoli definiti dall'organizzazione. E. Protegge il piano di gestione della configurazione da divulgazione e modifiche non autorizzate.

nist-r5-cp-06

Crea un sito di archiviazione alternativo, inclusi gli accordi necessari per consentire l'archiviazione e il recupero delle informazioni di backup del sistema. Assicurati che il sito di archiviazione alternativo fornisca controlli equivalenti a quelli del sito principale.

nist-r5-cp-07

A. Stabilisci un sito di elaborazione alternativo, inclusi gli accordi necessari per consentire il trasferimento e la ripresa delle operazioni di sistema definite dall'organizzazione per le funzioni essenziali della missione e dell'attività entro il periodo di tempo definito dall'organizzazione coerente con i Recovery Time Objective e i Recovery Point Objective, quando le funzionalità di elaborazione principali non sono disponibili. B. Rendere disponibili presso il sito di elaborazione alternativo le attrezzature e le forniture necessarie per trasferire e riprendere le operazioni o stipulare contratti per supportare la consegna al sito entro il periodo di tempo definito dall'organizzazione per il trasferimento e la ripresa. C. Fornisci controlli nel sito di elaborazione alternativo equivalenti a quelli del sito principale.

nist-r5-ia-04

Gestisci gli identificatori di sistema per: A. Ricevere l'autorizzazione da personale o ruoli definiti dall'organizzazione per assegnare un identificatore di persona, gruppo, ruolo, servizio o dispositivo. B. Selezionando un identificatore che identifica una persona, un gruppo, un ruolo, un servizio o un dispositivo. C. Assegnazione dell'identificatore alla persona, al gruppo, al ruolo, al servizio o al dispositivo previsto. D. Impedire il riutilizzo degli identificatori per il periodo di tempo definito dall'organizzazione.

nist-r5-ia-05

Gestisci gli autenticatori di sistema in base a: a. Verifica, nell'ambito della distribuzione iniziale dell'autenticatore, dell'identità della persona, del gruppo, del ruolo, del servizio o del dispositivo che riceve l'autenticatore. b. Stabilire i contenuti iniziali dell'autenticatore per tutti gli autenticatori emessi dall'organizzazione. c. Garantire che gli autenticatori abbiano una forza del meccanismo sufficiente per l'uso previsto. d. Stabilire e implementare procedure amministrative per la distribuzione iniziale degli autenticatori, per gli autenticatori smarriti, compromessi o danneggiati e per la revoca degli autenticatori. e. Modifica degli autenticatori predefiniti prima del primo utilizzo. f. Modifica o aggiornamento degli autenticatori in base al periodo di tempo definito dall'organizzazione per tipo di autenticatore o quando si verificano eventi definiti dall'organizzazione. Protezione dei contenuti dell'autenticatore da divulgazione e modifica non autorizzate. h. Richiedere ai privati di adottare e ai dispositivi di implementare controlli specifici per proteggere gli autenticatori. i. Modifica degli autenticatori per gli account di gruppo o di ruolo quando cambia l'appartenenza a questi account.

nist-r5-ia-08

Identificare e autenticare in modo univoco utenti o processi non organizzativi che agiscono per conto di utenti non organizzativi.

nist-r5-ma-04

A. Approvare e monitorare le attività di manutenzione e diagnostica non locali. B. Consenti l'utilizzo di strumenti di manutenzione e diagnostica non locali solo in conformità con le norme dell'organizzazione e documentati nel piano di sicurezza del sistema. C. Utilizza l'autenticazione avanzata per la creazione di sessioni di manutenzione e diagnostica non locali. D. Mantieni i record per le attività di manutenzione e diagnostica non locali. E. Termina le connessioni di sessione e di rete al termine della manutenzione non locale.

nist-r5-mp-02

Limita l'accesso a tipi di media digitali o non digitali definiti dall'organizzazione a personale o ruoli definiti dall'organizzazione.

nist-r5-pe-01

A. Sviluppa, documenta e diffondi al personale o ai ruoli definiti dall'organizzazione: a. Un criterio di protezione fisica e ambientale definito a livello di organizzazione, missione o processo aziendale oppure a livello di sistema. Il criterio deve riguardare scopo, ambito, ruoli, responsabilità, impegno della gestione, coordinamento tra le entità organizzative e conformità. Le norme devono essere coerenti con leggi, ordini esecutivi, direttive, regolamenti, norme, standard e linee guida vigenti. b. Procedure per facilitare l'implementazione delle norme di protezione fisica e ambientale e dei controlli di protezione fisica e ambientale associati. B. Designa un funzionario definito dall'organizzazione per gestire lo sviluppo, la documentazione e la diffusione delle norme e delle procedure di protezione fisica e ambientale. C. Rivedi e aggiorna le policy e le procedure di protezione fisica e ambientale attuali in base a frequenze ed eventi definiti dall'organizzazione.

nist-r5-pl-08

A. Sviluppa architetture di sicurezza e privacy per il sistema: a. Descrivi i requisiti e l'approccio da adottare per proteggere la riservatezza, l'integrità e la disponibilità delle informazioni dell'organizzazione. b. Descrivi i requisiti e l'approccio da adottare per il trattamento delle informazioni che consentono l'identificazione personale al fine di ridurre al minimo il rischio per la privacy delle persone. c. Descrivi in che modo le architetture sono integrate e supportano l'architettura aziendale. d. Descrivi eventuali ipotesi e dipendenze da sistemi e servizi esterni. B. Rivedi e aggiorna le architetture con una frequenza definita dall'organizzazione per riflettere le modifiche apportate all'architettura aziendale. C. Rifletti le modifiche pianificate all'architettura nei piani di sicurezza e privacy, nel Concept of Operations (CONOPS), nell'analisi della criticità, nelle procedure organizzative e negli acquisti.

nist-r5-ra-03

A. Eseguire una valutazione dei rischi, tra cui: a. Identificazione di minacce e vulnerabilità nel sistema. b. Determinare la probabilità e l'entità del danno derivante da accesso, utilizzo, divulgazione, interruzione, modifica o distruzione non autorizzati del sistema, delle informazioni che elabora, memorizza o trasmette e di qualsiasi informazione correlata. c. Determinare la probabilità e l'impatto degli effetti negativi sulle persone derivanti dal trattamento delle informazioni che consentono l'identificazione personale. B. Integra i risultati della valutazione dei rischi e le decisioni di gestione dei rischi dal punto di vista dell'organizzazione e della missione o del processo aziendale con le valutazioni dei rischi a livello di sistema; C. Documenta i risultati della valutazione del rischio nei piani di sicurezza e privacy, nel report di valutazione del rischio e nel documento definito dall'organizzazione. D. Esamina i risultati della valutazione dei rischi con una frequenza definita dall'organizzazione. E. Diffondi i risultati della valutazione dei rischi al personale o ai ruoli definiti dall'organizzazione. F Aggiorna la valutazione del rischio con una frequenza definita dall'organizzazione o quando si verificano modifiche significative al sistema, al suo ambiente operativo o ad altre condizioni che potrebbero influire sullo stato di sicurezza o privacy del sistema.

nist-r5-ra-05

A. Monitorare ed eseguire scansioni per rilevare vulnerabilità nel sistema e nelle applicazioni ospitate con la frequenza definita dall'organizzazione o in modo casuale in conformità con la procedura definita dall'organizzazione e quando vengono identificate e segnalate nuove vulnerabilità che potrebbero interessare il sistema; B. Utilizza strumenti e tecniche di monitoraggio delle vulnerabilità che facilitano l'interoperabilità tra gli strumenti e automatizzano parti del processo di gestione delle vulnerabilità utilizzando standard per: a. Enumerazione di piattaforme, difetti del software e configurazioni errate. b. Liste di controllo della formattazione e procedure di test. c. Misurazione dell'impatto delle vulnerabilità. C. Analizza i report e i risultati dell'analisi delle vulnerabilità dal monitoraggio delle vulnerabilità. D. Correggere le vulnerabilità legittime nei tempi di risposta definiti dall'organizzazione in base a una valutazione del rischio organizzativa. E. Condividi le informazioni ottenute dal processo di monitoraggio delle vulnerabilità e dalle valutazioni dei controlli con il personale o i ruoli definiti dall'organizzazione per contribuire a eliminare vulnerabilità simili in altri sistemi. F. Utilizza strumenti di monitoraggio delle vulnerabilità che includono la possibilità di aggiornare facilmente le vulnerabilità da analizzare.

nist-r5-sa-03

Acquisisci, sviluppa e gestisci il sistema utilizzando un ciclo di vita di sviluppo del sistema definito dall'organizzazione che incorpora considerazioni sulla sicurezza e la privacy delle informazioni. Definisci e documenta i ruoli e le responsabilità relativi alla sicurezza e alla privacy delle informazioni durante l'intero ciclo di vita dello sviluppo del sistema. Identifica le persone con ruoli e responsabilità in materia di sicurezza e privacy delle informazioni. Integra il processo di gestione dei rischi per la privacy e la sicurezza delle informazioni dell'organizzazione nelle attività del ciclo di vita dello sviluppo del sistema.

nist-r5-sa-08

Applica i principi di ingegneria della sicurezza e della privacy definiti dall'organizzazione nella specifica, nella progettazione, nello sviluppo, nell'implementazione e nella modifica del sistema e dei componenti del sistema.

nist-r5-sa-10

Richiedere allo sviluppatore del sistema, del componente di sistema o del servizio di sistema di: A. Eseguire la gestione della configurazione durante il sistema, il componente o il servizio; progettazione, sviluppo, implementazione, funzionamento o smaltimento. B. Documenta, gestisci e controlla l'integrità delle modifiche agli elementi di configurazione definiti dall'organizzazione nell'ambito della gestione della configurazione. C. Implementa solo le modifiche approvate dall'organizzazione al sistema, al componente o al servizio. D. Documenta le modifiche approvate al sistema, al componente o al servizio e i potenziali impatti sulla sicurezza e sulla privacy di tali modifiche. E. Monitora i difetti di sicurezza e la loro risoluzione all'interno del sistema, del componente o del servizio e segnala i risultati al personale definito dall'organizzazione.

nist-r5-sa-11

Richiedere allo sviluppatore del sistema, del componente di sistema o del servizio di sistema, in tutte le fasi successive alla progettazione del ciclo di vita dello sviluppo del sistema, di: A. Sviluppare e implementare un piano per valutazioni continue di sicurezza e privacy; B. Esegui test delle unità, di integrazione, di sistema e di regressione in base alla frequenza definita dall'organizzazione e alla profondità e alla copertura definite dall'organizzazione. C. Fornire prove dell'esecuzione del piano di valutazione e dei risultati dei test e della valutazione. D. Implementa una procedura di correzione delle vulnerabilità verificabile. E. Correggere i difetti identificati durante i test e la valutazione.

nist-r5-sa-15

Richiedi allo sviluppatore del sistema, del componente di sistema o del servizio di sistema di seguire una procedura di sviluppo documentata che: affronti esplicitamente i requisiti di sicurezza e privacy, identifichi gli standard e gli strumenti utilizzati nella procedura di sviluppo, documenti le opzioni e le configurazioni specifiche degli strumenti utilizzati nella procedura di sviluppo e documenti, gestisca e garantisca l'integrità delle modifiche alla procedura e agli strumenti utilizzati nello sviluppo. Esamina il processo di sviluppo, gli standard, gli strumenti, le opzioni degli strumenti e le configurazioni degli strumenti in base alla frequenza definita dall'organizzazione per determinare se il processo, gli standard, gli strumenti, le opzioni degli strumenti e le configurazioni degli strumenti selezionati e utilizzati possono soddisfare i requisiti di sicurezza e privacy definiti dall'organizzazione.

nist-r5-sa-21

Richiedere che lo sviluppatore di un sistema, un componente di sistema o un servizio di sistema definito dall'organizzazione disponga delle autorizzazioni di accesso appropriate, come stabilito dalle funzioni ufficiali della pubblica amministrazione definite dall'organizzazione assegnate. Lo sviluppatore deve soddisfare i criteri di screening del personale aggiuntivi definiti dall'organizzazione.

nist-r5-sc-03

Isolare le funzioni di sicurezza da quelle non di sicurezza.

nist-r5-sc-05

Proteggiti dagli effetti degli eventi Denial of Service definiti dall'organizzazione. Utilizza i controlli definiti dall'organizzazione in base al tipo di evento denial of service.

nist-r5-sc-07

Monitora e controlla le comunicazioni nelle interfacce gestite esternamente al sistema e nelle interfacce gestite internamente chiave all'interno del sistema. Implementa subnet per i componenti di sistema accessibili pubblicamente, separati fisicamente e logicamente dalle reti organizzative interne. Connettiti a reti o sistemi esterni solo tramite interfacce gestite costituite da dispositivi di protezione perimetrale disposti in conformità con un'architettura di sicurezza e privacy organizzativa.

nist-r5-sc-07-05

Nega il traffico di comunicazione di rete per impostazione predefinita e consenti per eccezione nelle interfacce gestite per i sistemi definiti dall'organizzazione.

nist-r5-sc-08

Proteggere la riservatezza e l'integrità delle informazioni trasmesse.

nist-r5-sc-10

Termina la connessione di rete associata a una sessione di comunicazione al termine della sessione o dopo un periodo di inattività definito dall'organizzazione.

nist-r5-sc-12

Stabilisci e gestisci le chiavi crittografiche quando la crittografia viene utilizzata all'interno del sistema in conformità ai requisiti di gestione delle chiavi, ad esempio i requisiti definiti dall'organizzazione per la generazione, la distribuzione, l'archiviazione, l'accesso e la distruzione delle chiavi.

nist-r5-sc-13

Determina gli utilizzi richiesti per la crittografia e implementa i tipi specifici di crittografia necessari per ciascuno di questi utilizzi definiti.

nist-r5-sc-23

Proteggere l'autenticità delle sessioni di comunicazione.

nist-r5-sc-28

Proteggi la riservatezza e l'integrità delle informazioni definite dall'organizzazione a riposo.

nist-r5-sc-28-01

Implementa meccanismi crittografici per impedire la divulgazione e la modifica non autorizzate delle informazioni definite dall'organizzazione nei componenti di sistema definiti dall'organizzazione.

nist-r5-si-01

A. Sviluppa, documenta e diffondi al personale o ai ruoli definiti dall'organizzazione: a. Una policy di integrità di sistema e delle informazioni definita a livello di organizzazione, missione o processo aziendale oppure a livello di sistema. Il criterio deve riguardare scopo, ambito, ruoli, responsabilità, impegno della gestione, coordinamento tra le entità organizzative e conformità. Le norme devono essere coerenti con leggi, ordini esecutivi, direttive, regolamenti, norme, standard e linee guida vigenti. b. Procedure per facilitare l'implementazione del criterio di integrità di sistema e informazioni e dei controlli di integrità di sistema e informazioni associati. B. Designa un funzionario definito dall'organizzazione per gestire lo sviluppo, la documentazione e la diffusione delle norme e delle procedure di integrità del sistema e delle informazioni. C. Rivedi e aggiorna le attuali policy e procedure di integrità del sistema e delle informazioni in base a frequenze ed eventi definiti dall'organizzazione.

nist-r5-si-02

Identificare, segnalare e correggere i difetti del sistema. Testa l'efficacia e i potenziali effetti collaterali degli aggiornamenti software e firmware relativi alla correzione dei difetti prima dell'installazione. Installa aggiornamenti software e firmware rilevanti per la sicurezza entro un periodo di tempo definito dall'organizzazione dal rilascio degli aggiornamenti. Incorpora la correzione dei difetti nel processo di gestione della configurazione dell'organizzazione.

nist-r5-si-02-02

Determina se i componenti di sistema hanno installato aggiornamenti software e firmware pertinenti alla sicurezza applicabili utilizzando meccanismi automatizzati definiti dall'organizzazione con una frequenza definita dall'organizzazione.

nist-r5-si-03

A. Implementa meccanismi di protezione del codice dannoso basati o meno su firme nei punti di ingresso e uscita del sistema per rilevare ed eliminare il codice dannoso. B. Aggiorna automaticamente i meccanismi di protezione dal codice dannoso non appena sono disponibili nuove release in conformità con le policy e le procedure di gestione della configurazione dell'organizzazione. C. Configura i meccanismi di protezione dal codice dannoso in modo da: a. Esegui scansioni periodiche del sistema alla frequenza definita dall'organizzazione e scansioni in tempo reale dei file provenienti da fonti esterne all'endpoint; punti di ingresso e uscita della rete durante il download, l'apertura o l'esecuzione dei file in conformità con le norme dell'organizzazione. b. Blocca il codice dannoso, mettilo in quarantena, intraprendi l'azione definita dall'organizzazione e invia avvisi al personale o ai ruoli definiti dall'organizzazione in risposta al rilevamento di codice dannoso. D. Gestisci la ricezione di falsi positivi durante il rilevamento e l'eliminazione di codice dannoso e il potenziale impatto risultante sulla disponibilità del sistema.

nist-r5-si-04

A. Monitora il sistema per rilevare: a. Attacchi e indicatori di potenziali attacchi in conformità con gli obiettivi di monitoraggio definiti dall'organizzazione. b. Connessioni locali, di rete e remote non autorizzate. B. Identifica l'utilizzo non autorizzato del sistema tramite tecniche e metodi definiti dall'organizzazione. C. Richiama le funzionalità di monitoraggio interne o esegui il deployment di dispositivi di monitoraggio: a. In modo strategico all'interno del sistema per raccogliere le informazioni essenziali determinate dall'organizzazione. b. In posizioni ad hoc all'interno del sistema per monitorare tipi specifici di transazioni di interesse per l'organizzazione. D. Analizza gli eventi e le anomalie rilevati. E. Regola il livello di attività di monitoraggio del sistema quando si verifica un cambiamento nel rischio per le operazioni e gli asset dell'organizzazione, per le persone, per altre organizzazioni o per la nazione. F. Ottenere un parere legale in merito alle attività di monitoraggio del sistema. G. Fornisci informazioni sul monitoraggio del sistema definite dall'organizzazione al personale o ai ruoli definiti dall'organizzazione in base alle necessità o alla frequenza definita dall'organizzazione.

nist-r5-si-04-02

Utilizza strumenti e meccanismi automatizzati per supportare l'analisi degli eventi quasi in tempo reale.

nist-r5-si-04-04

Determina i criteri per attività o condizioni insolite o non autorizzate per il traffico di comunicazioni in entrata e in uscita. Monitora il traffico di comunicazioni in entrata e in uscita a una frequenza definita dall'organizzazione per attività o condizioni insolite o non autorizzate definite dall'organizzazione.

nist-r5-si-07

a. Utilizza strumenti di verifica dell'integrità per rilevare modifiche non autorizzate a software, firmware e informazioni definiti dall'organizzazione. b. Intraprendere azioni definite dall'organizzazione quando vengono rilevate modifiche non autorizzate a software, firmware e informazioni.

nist-r5-si-07-01

Esegui un controllo dell'integrità di software, firmware e informazioni definiti dall'organizzazione all'avvio e negli stati di transizione o negli eventi rilevanti per la sicurezza definiti dall'organizzazione, con una frequenza definita dall'organizzazione.

nist-r5-si-07-02

Utilizzare strumenti automatizzati che inviano una notifica al personale o ai ruoli definiti dall'organizzazione in caso di discrepanze rilevate durante la verifica dell'integrità.

nist-r5-si-12

Gestire e conservare le informazioni all'interno del sistema e i risultati del sistema in conformità a leggi, ordini esecutivi, direttive, regolamenti, norme, standard, linee guida e requisiti operativi vigenti.

NIST AI 600-1 Privacy Controls

Provider cloud supportato: Google Cloud

Controlli per la privacy basati su NIST AI 600-1 per l'adozione dell'AI generativa

Questo framework include i gruppi di controllo cloud e i controlli cloud nelle sezioni seguenti.

nist-600-1-gv-6.1-001

Classificare diversi tipi di contenuti di AI generativa (GAI) con diritti di terze parti associati. Ad esempio, copyright delle categorie, proprietà intellettuale e privacy dei dati.

nist-600-1-mg-2.2-002

Documenta le origini dei dati di addestramento per tracciare l'origine e la provenienza dei contenuti creati con l'AI.

nist-600-1-mg-2.2-007

Utilizza strumenti di controllo in tempo reale che possono essere dimostrati utili per il monitoraggio e la convalida della provenienza e dell'autenticità dei dati generati con l'AI.

nist-600-1-mg-2.2-009

Valuta le opportunità di utilizzare in modo responsabile dati sintetici e altre tecniche di miglioramento della privacy nello sviluppo di GAI, laddove appropriato e applicabile, in modo da corrispondere alle proprietà statistiche dei dati del mondo reale senza divulgare informazioni che consentono l'identificazione personale o contribuire all'omogeneizzazione.

nist-600-1-mg-3.2-003

Origini e tipi di dati di addestramento e relative origini, potenziali pregiudizi presenti nei dati relativi all'applicazione di AI generativa e alla provenienza dei suoi contenuti, architettura, procedura di addestramento del modello preaddestrato, comprese informazioni su iperparametri, durata dell'addestramento ed eventuali procedure di perfezionamento applicate.

nist-600-1-mp-2.1-002

Eseguire test e valutazioni per i flussi di dati e contenuti all'interno del sistema di IA generativa, inclusi, a titolo esemplificativo, le origini dati originali, le trasformazioni dei dati e i criteri decisionali.

nist-600-1-mp-4.1-001

Esegui un monitoraggio periodico dei contenuti generati dall'AI per rilevare i rischi per la privacy; risolvi eventuali casi di esposizione di PII o dati sensibili.

nist-600-1-mp-4.1-004

Documenta le policy di cura dei dati di addestramento, nella misura possibile e in conformità con le leggi e le policy vigenti.

nist-600-1-mp-4.1-005

Stabilisci norme per la raccolta, la conservazione e la qualità minima dei dati, tenendo conto dei seguenti rischi: divulgazione di informazioni CBRN inappropriate; utilizzo di contenuti illegali o pericolosi; capacità informatiche offensive; squilibri nei dati di addestramento che potrebbero dare origine a pregiudizi dannosi; divulgazione di informazioni personali identificabili, comprese le sembianze di individui.

nist-600-1-mp-4.1-009

Sfrutta gli approcci per rilevare la presenza di PII o dati sensibili nel testo, nell'immagine, nel video o nell'audio di output generati.

nist-600-1-mp-4.1-010

Esegui la dovuta diligenza sull'utilizzo dei dati di addestramento per valutare i rischi per la proprietà intellettuale e la privacy, incluso esaminare se l'utilizzo di dati di addestramento proprietari o sensibili è coerente con le leggi vigenti.

nist-600-1-ms-1.1-002

Integra strumenti progettati per analizzare la provenienza dei contenuti e rilevare anomalie nei dati, verificare l'autenticità delle firme digitali e identificare pattern associati a disinformazione o manipolazione.

nist-600-1-ms-2.2-004

Utilizza tecniche come l'anonimizzazione, la privacy differenziale o altre tecnologie che migliorano la privacy per ridurre al minimo i rischi associati al collegamento dei contenuti creati con l'AI a singoli soggetti umani.

nist-600-1-ms-2.5-005

Verifica che la provenienza dei dati di addestramento e dei dati di test, valutazione, verifica e convalida (TEVV) del sistema di intelligenza artificiale generativa (GAI), nonché dei dati di ottimizzazione o di generazione aumentata dal recupero, sia fondata.

nist-600-1-ms-2.6-002

Valuta l'esistenza o i livelli di pregiudizi dannosi, violazione della proprietà intellettuale, violazioni della privacy dei dati, oscenità, estremismo, violenza o informazioni CBRN nei dati di addestramento del sistema.

nist-600-1-ms-2.9-002

Documenta i dettagli del modello di AI generativa, tra cui: utilizzo proposto e valore organizzativo; ipotesi e limitazioni, metodologie di raccolta dei dati; provenienza dei dati; qualità dei dati; architettura del modello (ad esempio, rete neurale convoluzionale e trasformatori); obiettivi di ottimizzazione; algoritmi di addestramento; approcci RLHF; approcci di perfezionamento o generazione aumentata dal recupero; dati di valutazione; considerazioni etiche; requisiti legali e normativi.

NIST Cybersecurity Framework 1.1

Provider cloud supportato: Google Cloud

Un framework strategico per aiutare le organizzazioni a gestire i rischi di cybersicurezza. Organizza le attività in cinque funzioni principali: identificazione, protezione, rilevamento, risposta e ripristino, fornendo una visione di alto livello della tua postura di sicurezza.

Questo framework include i gruppi di controllo cloud e i controlli cloud nelle sezioni seguenti.

nist-csf-de-ae

Anomalie ed eventi (DE.AE): viene rilevata un'attività anomala e viene compreso il potenziale impatto degli eventi.

nist-csf-de-ae-1

Viene stabilita e gestita una base di riferimento delle operazioni di rete e dei flussi di dati previsti per utenti e sistemi.

nist-csf-de-ae-2

Gli eventi rilevati vengono analizzati per comprendere i metodi e i target degli attacchi.

nist-csf-de-ae-3

I dati sugli eventi vengono raccolti e correlati da più fonti e sensori.

nist-csf-de-ae-4

Viene determinato l'impatto degli eventi.

nist-csf-de-ae-5

Vengono stabilite le soglie di avviso per gli incidenti.

nist-csf-de-cm

Monitoraggio continuo della sicurezza (DE.CM): il sistema informativo e gli asset vengono monitorati per identificare eventi di sicurezza informatica e verificare l'efficacia delle misure di protezione.

nist-csf-de-cm-1

La rete viene monitorata per rilevare potenziali eventi di cyber security.

nist-csf-de-cm-2

L'ambiente fisico viene monitorato per rilevare potenziali eventi di cybersecurity.

nist-csf-de-cm-3

L'attività del personale viene monitorata per rilevare potenziali eventi di cybersecurity.

nist-csf-de-cm-4

Viene rilevato codice dannoso.

nist-csf-de-cm-5

È stato rilevato un codice mobile non autorizzato.

nist-csf-de-cm-6

L'attività del fornitore di servizi esterno viene monitorata per rilevare potenziali eventi di cybersecurty.

nist-csf-de-cm-7

Viene eseguito il monitoraggio di personale, connessioni, dispositivi e software non autorizzati.

nist-csf-de-cm-8

Vengono eseguite analisi delle vulnerabilità.

nist-csf-de-dp-1

Ruoli e responsabilità per il rilevamento sono ben definiti per garantire l'accountability.

nist-csf-de-dp-4

Vengono comunicate le informazioni sul rilevamento degli eventi.

nist-csf-id-am

Gestione degli asset: i dati, il personale, i dispositivi, i sistemi e le strutture che consentono all'organizzazione di raggiungere gli scopi aziendali vengono identificati e gestiti in modo coerente con la loro importanza relativa per gli obiettivi dell'organizzazione e la strategia di gestione dei rischi dell'organizzazione.

nist-csf-id-am-1

I dispositivi e i sistemi fisici all'interno dell'organizzazione vengono inventariati.

nist-csf-id-am-4

I sistemi informativi esterni sono catalogati.

nist-csf-id-am-6

Sono stabiliti ruoli e responsabilità in materia di sicurezza informatica per l'intera forza lavoro e per le parti interessate di terze parti (ad esempio fornitori, clienti, partner).

nist-csf-id-gv-1

La policy di sicurezza informatica dell'organizzazione è stabilita e comunicata.

nist-csf-id-gv-3

I requisiti legali e normativi relativi alla sicurezza informatica, inclusi gli obblighi in materia di privacy e libertà civili, sono compresi e gestiti.

nist-csf-id-gv-4

I processi di governance e gestione del rischio affrontano i rischi di cybersicurezza.

nist-csf-id-ra-1

Le vulnerabilità delle risorse vengono identificate e documentate.

nist-csf-id-ra-2

La cyber threat intelligence viene ricevuta da forum e fonti di condivisione delle informazioni.

nist-csf-id-ra-3

Le minacce, sia interne che esterne, vengono identificate e documentate.

nist-csf-id-sc-3

I contratti con fornitori e partner terzi vengono utilizzati per implementare misure appropriate progettate per raggiungere gli obiettivi del programma di sicurezza informatica e del piano di gestione del rischio della supply chain informatica di un'organizzazione.

nist-csf-pr-ac

Gestione dell'identità, autenticazione e controllo dell'accesso (PR.AC): l'accesso ad asset fisici e logici e alle strutture associate è limitato a utenti, processi e dispositivi autorizzati ed è gestito in modo coerente con il rischio valutato di accesso non autorizzato ad attività e transazioni autorizzate.

nist-csf-pr-ac-1

Identità e credenziali vengono emesse, gestite, verificate, revocate e controllate per dispositivi, utenti e processi autorizzati.

nist-csf-pr-ac-2

L'accesso fisico agli asset è gestito e protetto.

nist-csf-pr-ac-3

L'accesso remoto è gestito.

nist-csf-pr-ac-4

Le autorizzazioni e le autorizzazioni di accesso vengono gestite incorporando i principi del privilegio minimo e della separazione dei compiti.

nist-csf-pr-ac-5

L'integrità della rete è protetta (ad esempio, segregazione e segmentazione della rete).

nist-csf-pr-ac-6

Le identità vengono verificate e associate alle credenziali e vengono dichiarate nelle interazioni.

nist-csf-pr-ac-7

Utenti, dispositivi e altri asset vengono autenticati (ad esempio, autenticazione a un solo fattore o a più fattori) in base al rischio della transazione (ad esempio, rischi per la sicurezza e la privacy delle persone e altri rischi organizzativi).

nist-csf-pr-ds-1

I dati inattivi sono protetti.

nist-csf-pr-ds-2

I dati in transito sono protetti.

nist-csf-pr-ds-3

Gli asset vengono gestiti formalmente durante la rimozione, i trasferimenti e lo smaltimento.

nist-csf-pr-ds-4

Capacità adeguata per garantire la disponibilità.

nist-csf-pr-ds-5

Sono state implementate protezioni contro le fughe di dati.

nist-csf-pr-ip

Processi e procedure di protezione delle informazioni (PR.IP): vengono mantenuti e utilizzati criteri, processi e procedure di sicurezza (che riguardano scopo, ambito, ruoli, responsabilità, impegno della gestione e coordinamento tra le entità organizzative) per gestire la protezione di sistemi e asset informativi.

nist-csf-pr-ip-1

Viene creata e mantenuta una configurazione di base dei sistemi di tecnologia dell'informazione o di controllo industriale che incorpora i principi di sicurezza (ad es. il concetto di funzionalità minima).

nist-csf-pr-ip-10

I piani di risposta e ripristino vengono testati.

nist-csf-pr-ip-12

Viene sviluppato e implementato un piano di gestione delle vulnerabilità.

nist-csf-pr-ip-2

Viene implementato un ciclo di vita di sviluppo del sistema per gestire i sistemi.

nist-csf-pr-ip-3

Sono in vigore procedure di controllo delle modifiche alla configurazione.

nist-csf-pr-ip-4

Vengono eseguiti, mantenuti e testati i backup delle informazioni.

nist-csf-pr-ip-6

I dati vengono eliminati in base alle norme.

nist-csf-pr-ip-9

Sono in vigore e vengono gestiti piani di risposta (risposta agli incidenti e continuità aziendale) e piani di recupero (recupero dagli incidenti e ripristino di emergenza).

nist-csf-pr-ma-1

La manutenzione e la riparazione delle risorse dell'organizzazione vengono eseguite e registrate con strumenti approvati e controllati.

nist-csf-pr-pt

Tecnologia protettiva (PR.PT): le soluzioni di sicurezza tecniche vengono gestite per garantire la sicurezza e la resilienza di sistemi e asset, in linea con le norme, le procedure e gli accordi correlati.

nist-csf-pr-pt-1

I record di controllo e di log vengono determinati, documentati, implementati e rivisti in conformità con le norme.

nist-csf-pr-pt-3

Il principio della funzionalità minima viene incorporato configurando i sistemi in modo che forniscano solo le funzionalità essenziali.

nist-csf-pr-pt-4

Le reti di comunicazione e controllo sono protette.

nist-csf-pr-pt-5

Sono implementati meccanismi (ad esempio, failsafe, bilanciamento del carico, sostituzione a caldo) per soddisfare i requisiti di resilienza in situazioni normali e avverse.

nist-csf-rc-im

Miglioramenti (RC.IM): la pianificazione e le procedure di recupero vengono migliorate incorporando le lezioni apprese nelle attività future.

nist-csf-rc-rp-1

Il piano di recupero viene eseguito durante o dopo un incidente di cybersicurezza.

nist-csf-rs-an

Analisi (RS.AN): l'analisi viene condotta per garantire una risposta efficace e supportare le attività di recupero.

nist-csf-rs-an-1

Le notifiche dei sistemi di rilevamento vengono esaminate.

nist-csf-rs-an-5

Sono state stabilite procedure per ricevere, analizzare e rispondere alle vulnerabilità divulgate all'organizzazione da fonti interne ed esterne (ad esempio test interni, bollettini di sicurezza o ricercatori di sicurezza).

nist-csf-rs-co-1

Il personale conosce i propri ruoli e l'ordine delle operazioni quando è necessaria una risposta.

nist-csf-rs-co-4

Il coordinamento con gli stakeholder avviene in modo coerente con i piani di risposta.

nist-csf-rs-im-2

Le strategie di risposta vengono aggiornate.

nist-csf-rs-mi-2

Gli incidenti vengono mitigati.

nist-csf-rs-rp-1

Il piano di risposta viene eseguito durante o dopo un incidente.

PCI DSS v4.0.1

Provider cloud supportato: Google Cloud

Un quadro normativo che definisce lo standard PCI DSS (Payment Card Industry Data Security Standard) obbligatorio per le attività che elaborano, archiviano o trasmettono dati dei titolari di carte. Il PCI DSS definisce requisiti tecnici e operativi specifici per contribuire a proteggere i dati dei titolari di carte ovunque vengano elaborati, archiviati o trasmessi. PCI DSS fornisce un insieme di requisiti tecnici e operativi prescrittivi per contribuire a prevenire le frodi. Il framework è conforme a PCI DSS v4.0.1.

Questo framework include i gruppi di controllo cloud e i controlli cloud nelle sezioni seguenti.

pci-dss-v4-1-2-1

Gli standard di configurazione per i set di regole NSC devono essere definiti, implementati e gestiti.

pci-dss-v4-1-2-6

Le funzionalità di sicurezza devono essere definite e implementate per tutti i servizi, i protocolli e le porte in uso e considerati non sicuri, in modo da mitigare il rischio.

pci-dss-v4-1-3-1

Il traffico in entrata verso il CDE deve essere limitato solo al traffico necessario e tutto il resto deve essere rifiutato in modo specifico.

pci-dss-v4-1-3-2

Il traffico in uscita dal CDE deve essere limitato solo al traffico necessario e tutto il resto del traffico deve essere negato in modo specifico.

pci-dss-v4-1-4-1

Gli NSC vengono implementati tra reti attendibili e non attendibili.

pci-dss-v4-1-4-2

Il traffico in entrata da reti non attendibili a reti attendibili deve essere limitato a: comunicazioni con componenti di sistema autorizzati a fornire servizi, protocolli e porte accessibili pubblicamente; risposte stateful alle comunicazioni avviate da componenti di sistema in una rete attendibile; tutto il resto del traffico deve essere negato.

pci-dss-v4-1-4-3

Devono essere implementate misure anti-spoofing per rilevare e bloccare l'ingresso nella rete attendibile di indirizzi IP di origine falsificati.

pci-dss-v4-1-4-4

I componenti di sistema che archiviano i dati del titolare della carta non devono essere direttamente accessibili da reti non attendibili.

pci-dss-v4-10-1-1

Tutte le norme di sicurezza e le procedure operative identificate nel requisito 10 sono documentate, aggiornate, in uso e note a tutte le parti interessate.

pci-dss-v4-10-2-1

Gli audit log sono abilitati e attivi per tutti i componenti di sistema e i dati dei titolari delle carte.

pci-dss-v4-10-2-1-1

I log di controllo registrano tutti gli accessi dei singoli utenti ai dati dei titolari delle carte.

pci-dss-v4-10-2-1-2

I log di controllo registrano tutte le azioni intraprese da qualsiasi persona con accesso amministrativo, incluso qualsiasi utilizzo interattivo di account di applicazioni o sistemi.

pci-dss-v4-10-2-1-4

Gli audit log registrano tutti i tentativi di accesso logico non validi.

pci-dss-v4-10-3-3

I file di log di controllo, inclusi quelli per le tecnologie rivolte all'esterno, vengono sottoposti a backup tempestivo su server di log interni centrali e sicuri o su altri supporti difficili da modificare.

pci-dss-v4-10-4-1-1

Per eseguire le revisioni dei log di controllo vengono utilizzati meccanismi automatizzati.

pci-dss-v4-10-5-1

Conserva la cronologia dei log di controllo per almeno 12 mesi, con almeno gli ultimi tre mesi immediatamente disponibili per l'analisi.

pci-dss-v4-11-5-1

Le tecniche di rilevamento e prevenzione delle intrusioni vengono utilizzate per rilevare e/o prevenire le intrusioni nella rete nel seguente modo: tutto il traffico viene monitorato nel perimetro del CDE; tutto il traffico viene monitorato nei punti critici del CDE; il personale viene avvisato di compromissioni sospette; tutti i motori, le baseline e le firme di rilevamento e prevenzione delle intrusioni vengono mantenuti aggiornati.

pci-dss-v4-12-10-5

Il piano di risposta agli incidenti di sicurezza include il monitoraggio e la risposta agli avvisi dei sistemi di monitoraggio della sicurezza, inclusi, a titolo esemplificativo, sistemi di rilevamento e prevenzione delle intrusioni, controlli di sicurezza della rete, meccanismi di rilevamento delle modifiche per i file critici, meccanismo di rilevamento delle modifiche e delle manomissioni per le pagine di pagamento e rilevamento di punti di accesso wireless non autorizzati.

pci-dss-v4-12-5-1

Viene mantenuto e aggiornato un inventario dei componenti del sistema che rientrano nell'ambito dei PCI DSS, inclusa una descrizione della funzione e dell'utilizzo.

pci-dss-v4-2-2-1

Devono essere sviluppati, implementati e mantenuti standard di configurazione per garantire che coprano tutti i componenti del sistema, affrontino tutte le vulnerabilità di sicurezza note, siano coerenti con gli standard di protezione del sistema accettati dal settore o con i consigli di protezione del fornitore, vengano aggiornati man mano che vengono identificati nuovi problemi di vulnerabilità, come definito nel requisito 6.3.1, e vengano applicati quando vengono configurati nuovi sistemi e verificati come in vigore prima o immediatamente dopo che un componente di sistema viene connesso a un ambiente di produzione.

pci-dss-v4-2-2-3

Le funzioni principali che richiedono diversi livelli di sicurezza devono essere gestite per garantire che: esista una sola funzione principale su un componente di sistema oppure le funzioni principali con diversi livelli di sicurezza che esistono sullo stesso componente di sistema siano isolate l'una dall'altra oppure le funzioni principali con diversi livelli di sicurezza sullo stesso componente di sistema siano tutte protette al livello richiesto dalla funzione con la necessità di sicurezza più elevata.

pci-dss-v4-2-2-4

Devono essere attivati solo i servizi, i protocolli, i daemon e le funzioni necessari e tutte le funzionalità non necessarie devono essere rimosse o disattivate.

pci-dss-v4-2-2-5

Se sono presenti servizi, protocolli o daemon non sicuri, assicurati che la giustificazione aziendale sia documentata e che siano documentate e implementate funzionalità di sicurezza aggiuntive che riducano il rischio di utilizzo di servizi, protocolli o daemon non sicuri.

pci-dss-v4-2-2-6

I parametri di sicurezza del sistema devono essere configurati per evitare un utilizzo improprio.

pci-dss-v4-2-2-7

Tutti gli accessi amministrativi non alla console devono essere criptati utilizzando una crittografia avanzata.

pci-dss-v4-3-2-1

L'archiviazione dei dati dell'account deve essere ridotta al minimo tramite l'implementazione di norme, procedure e processi di conservazione ed eliminazione dei dati che devono includere almeno quanto segue: copertura per tutte le posizioni dei dati dell'account archiviati; copertura per eventuali dati di autenticazione sensibili (SAD) archiviati prima del completamento dell'autorizzazione; limitazione della quantità di archiviazione dei dati e del periodo di conservazione a quanto richiesto per requisiti legali, normativi e aziendali; requisiti di conservazione specifici per i dati dell'account archiviati che definiscono la durata del periodo di conservazione e includono una giustificazione aziendale documentata; processi per l'eliminazione sicura o il rendering non recuperabile dei dati dell'account quando non sono più necessari in base alle norme di conservazione; e un processo per verificare, almeno una volta ogni tre mesi, che i dati dell'account archiviati che superano il periodo di conservazione definito siano stati eliminati in modo sicuro o resi non recuperabili.

pci-dss-v4-3-3-2

Il SAD memorizzato elettronicamente prima del completamento dell'autorizzazione deve essere criptato utilizzando una crittografia avanzata.

pci-dss-v4-3-3-3

Gli emittenti e le società che supportano i servizi di emissione e archiviano dati di autenticazione sensibili devono garantire che l'archiviazione di questi dati sia limitata a quanto necessario per un'esigenza aziendale di emissione legittima e che sia protetta e criptata utilizzando una crittografia avanzata.

pci-dss-v4-3-5-1

Il PAN viene reso illeggibile ovunque sia memorizzato utilizzando uno dei seguenti approcci: hash unidirezionali basati su una crittografia avanzata dell'intero PAN; troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato del PAN); se in un ambiente sono presenti versioni con hash e troncate dello stesso PAN o formati di troncamento diversi dello stesso PAN, sono in vigore controlli aggiuntivi in modo che le diverse versioni non possano essere correlate per ricostruire il PAN originale; token di indice; crittografia avanzata con processi e procedure di gestione delle chiavi associati.

pci-dss-v4-3-5-1-3

Se per rendere il PAN illeggibile viene utilizzata la crittografia a livello di disco o partizione (anziché la crittografia del database a livello di file, colonna o campo), assicurati che: l'accesso logico sia gestito separatamente e indipendentemente dai meccanismi di autenticazione e controllo dell'accesso del sistema operativo nativo; le chiavi di decrittografia non siano associate agli account utente; e i fattori di autenticazione (ad esempio password, passphrase o chiavi crittografiche) che consentono l'accesso ai dati non criptati siano archiviati in modo sicuro.

pci-dss-v4-3-6-1

Devono essere definite e implementate procedure per proteggere le chiavi di crittografia utilizzate per proteggere i dati dell'account archiviati da divulgazione e uso improprio, che includano la limitazione dell'accesso alle chiavi al minor numero di custodi necessario.

pci-dss-v4-3-6-1-2

Le chiavi segrete e private utilizzate per proteggere i dati dell'account archiviati devono essere memorizzate in una o più delle seguenti forme in ogni momento: criptate con una chiave di crittografia della chiave che sia almeno altrettanto efficace della chiave di crittografia dei dati e che sia memorizzata separatamente da quest'ultima; all'interno di un dispositivo crittografico sicuro (SCD), ad esempio un modulo di sicurezza hardware (HSM) o un dispositivo point-of-interaction approvato da PTS; e come almeno due componenti chiave o condivisioni chiave a lunghezza intera, in conformità con un metodo accettato dal settore.

pci-dss-v4-3-7-1

Devono essere implementate politiche e procedure di gestione delle chiavi che includano la generazione di chiavi crittografiche complesse utilizzate per proteggere i dati dell'account archiviati.

pci-dss-v4-3-7-2

Devono essere implementate politiche e procedure di gestione delle chiavi per includere la distribuzione sicura delle chiavi crittografiche utilizzate per proteggere i dati dell'account archiviati.

pci-dss-v4-3-7-3

Devono essere implementati criteri e procedure di gestione delle chiavi per includere l'archiviazione sicura delle chiavi crittografiche utilizzate per proteggere i dati dell'account archiviati.

pci-dss-v4-3-7-5

Devono essere implementate politiche e procedure di gestione delle chiavi che includano il ritiro, la sostituzione o la distruzione delle chiavi utilizzate per proteggere i dati dell'account archiviati, come ritenuto necessario quando: la chiave ha raggiunto la fine del periodo di crittografia definito; l'integrità della chiave è stata compromessa (incluso quando il personale a conoscenza di un componente della chiave in testo non crittografato lascia l'azienda o il ruolo per cui era noto il componente della chiave); la chiave è sospettata o è noto che sia compromessa; e le chiavi ritirate o sostituite non vengono utilizzate per le operazioni di crittografia.

pci-dss-v4-4-2-1

Devono essere implementati protocolli di crittografia e sicurezza avanzati per proteggere il PAN durante la trasmissione su reti pubbliche aperte per garantire quanto segue: vengono accettate solo chiavi e certificati attendibili; i certificati utilizzati per proteggere il PAN durante la trasmissione su reti pubbliche aperte vengono confermati come validi e non sono scaduti o revocati; il protocollo in uso supporta solo versioni o configurazioni sicure e non supporta il fallback o l'utilizzo di versioni, algoritmi, dimensioni delle chiavi o implementazioni non sicure; la potenza di crittografia è appropriata per la metodologia di crittografia in uso.

pci-dss-v4-5-2-1

Devono essere implementate una o più soluzioni anti-malware su tutti i componenti di sistema, ad eccezione di quelli identificati nelle valutazioni periodiche ai sensi del Requisito 5.2.3 che conclude che i componenti di sistema non sono a rischio di malware.

pci-dss-v4-5-2-2

Le soluzioni anti-malware implementate devono rilevare tutti i tipi di malware noti e rimuoverli, bloccarli o contenerli.

pci-dss-v4-6-2-3

Il software personalizzato e su misura deve essere esaminato prima di essere rilasciato in produzione o ai clienti per identificare e correggere potenziali vulnerabilità di codifica, come segue: le revisioni del codice garantiscono che il codice sia sviluppato in conformità alle linee guida per la codifica sicura; le revisioni del codice cercano vulnerabilità software esistenti ed emergenti; e le correzioni appropriate vengono implementate prima del rilascio.

pci-dss-v4-6-3-1

Le vulnerabilità della sicurezza devono essere identificate e gestite per garantire quanto segue: le nuove vulnerabilità della sicurezza vengono identificate utilizzando fonti riconosciute dal settore per le informazioni sulle vulnerabilità della sicurezza, inclusi gli avvisi dei team di risposta agli incidenti informatici (CERT) internazionali e nazionali; alle vulnerabilità viene assegnata una classificazione del rischio in base alle best practice del settore e alla considerazione del potenziale impatto; le classificazioni del rischio identificano, come minimo, tutte le vulnerabilità considerate ad alto rischio o critiche per l'ambiente; e sono coperte le vulnerabilità per software personalizzati e di terze parti (ad esempio, sistemi operativi e database).

pci-dss-v4-6-3-3

Tutti i componenti del sistema devono essere protetti da vulnerabilità note installando patch o aggiornamenti di sicurezza applicabili per garantire che: le patch o gli aggiornamenti per le vulnerabilità critiche (identificate in base al processo di classificazione dei rischi di cui al requisito 6.3.1) vengano installati entro un mese dal rilascio; e tutte le altre patch o aggiornamenti di sicurezza applicabili vengano installati entro un periodo di tempo appropriato, come determinato dalla valutazione dell'entità della criticità del rischio per l'ambiente, identificato in base al processo di classificazione dei rischi di cui al requisito 6.3.1.

pci-dss-v4-6-4-1

Per le applicazioni web rivolte al pubblico, nuove minacce e vulnerabilità devono essere affrontate su base continuativa e queste applicazioni devono essere protette da attacchi noti utilizzando uno dei due metodi seguenti: Revisione delle applicazioni web rivolte al pubblico utilizzando metodi o strumenti di valutazione della sicurezza delle vulnerabilità delle applicazioni manuali o automatici come segue: almeno una volta ogni 12 mesi e dopo modifiche significative; da un'entità specializzata in sicurezza delle applicazioni; includendo, come minimo, tutti gli attacchi software comuni nel Requisito 6.2.4; tutte le vulnerabilità sono classificate in base al Requisito 6.3.1; tutte le vulnerabilità sono corrette; e l'applicazione viene rivalutata dopo le correzioni. In alternativa, installa una o più soluzioni tecniche automatizzate che rilevano e prevengono continuamente gli attacchi basati sul web come segue: installate davanti alle applicazioni web rivolte al pubblico per rilevare e prevenire gli attacchi basati sul web; in esecuzione attiva e aggiornate, se applicabile; che generano log di controllo; e configurate per bloccare gli attacchi basati sul web o generare un avviso che viene immediatamente esaminato.

pci-dss-v4-6-4-2

Per le applicazioni web rivolte al pubblico, deve essere implementata una soluzione tecnica automatizzata che rilevi e prevenga continuamente gli attacchi basati sul web, con questi controlli minimi: installata davanti alle applicazioni web rivolte al pubblico e configurata per rilevare e prevenire gli attacchi basati sul web; in esecuzione attiva e aggiornata, se applicabile; generazione di log di controllo; e configurata per bloccare gli attacchi basati sul web o generare un avviso che viene immediatamente esaminato.

pci-dss-v4-7-2-1

Deve essere definito un modello di controllo dell'accesso dell'accesso che includa la concessione dell'accesso come segue: accesso appropriato a seconda delle esigenze aziendali e di accesso dell'entità; accesso a componenti di sistema e risorse di dati basato sulla classificazione e sulle funzioni del lavoro degli utenti; e i privilegi minimi richiesti (ad esempio, utente, amministratore) per svolgere una funzione lavorativa.

pci-dss-v4-7-2-2

L'accesso deve essere assegnato agli utenti (inclusi gli utenti con privilegi) in base alla classificazione e alla funzione del lavoro e ai privilegi minimi necessari per svolgere le responsabilità lavorative.

pci-dss-v4-7-2-5

Tutti gli account di applicazioni e sistemi e i relativi privilegi di accesso devono essere assegnati e gestiti in base ai privilegi minimi necessari per l'operatività del sistema o dell'applicazione e garantire che l'accesso sia limitato ai sistemi, alle applicazioni o ai processi che ne richiedono specificamente l'utilizzo.

pci-dss-v4-7-3-1

Devono essere in vigore sistemi di controllo dell'accesso dell'accesso che limitino l'accesso in base alla necessità di conoscenza di un utente e che coprano tutti i componenti del sistema.

pci-dss-v4-7-3-2

I sistemi di controllo dell'accesso devono essere configurati per applicare le autorizzazioni assegnate a persone, applicazioni e sistemi in base alla classificazione e alla funzione del lavoro.

pci-dss-v4-7-3-3

I sistemi di controllo dell'accesso devono essere impostati per negare tutto per impostazione predefinita.

pci-dss-v4-8-2-1

A tutti gli utenti deve essere assegnato un ID univoco prima che sia consentito l'accesso ai componenti di sistema o ai dati del titolare della carta.

pci-dss-v4-8-2-3

I fornitori di servizi con accesso remoto ai locali del cliente devono utilizzare fattori di autenticazione unici per ogni sede del cliente.

pci-dss-v4-8-2-5

L'accesso per gli utenti licenziati deve essere revocato immediatamente.

pci-dss-v4-8-2-8

Se una sessione utente è inattiva da più di 15 minuti, l'utente deve eseguire nuovamente l'autenticazione per riattivare il terminale o la sessione.

pci-dss-v4-8-3-1

L'accesso di tutti gli utenti ai componenti di sistema per utenti e amministratori deve essere autenticato utilizzando almeno uno dei seguenti fattori di autenticazione: qualcosa che conosci (ad esempio una password o una passphrase), qualcosa che hai (ad esempio un dispositivo token o una smart card) e qualcosa che ti riguarda (ad esempio un elemento biometrico).

pci-dss-v4-8-3-2

Per rendere illeggibili tutti i fattori di autenticazione durante la trasmissione e l'archiviazione su tutti i componenti del sistema, è necessario utilizzare una crittografia avanzata.

pci-dss-v4-8-3-9

Se le password o le passphrase vengono utilizzate come unico fattore di autenticazione per l'accesso degli utenti (in qualsiasi implementazione dell'autenticazione a un solo fattore), devono essere modificate almeno una volta ogni 90 giorni oppure la postura di sicurezza degli account deve essere analizzata dinamicamente e l'accesso in tempo reale alle risorse deve essere determinato automaticamente di conseguenza.

pci-dss-v4-8-6-2

Le password o le frasi di accesso per qualsiasi account di sistema e applicazione che può essere utilizzato per l'accesso interattivo non devono essere codificate in modo permanente in script, file di configurazione o di proprietà oppure in codice sorgente personalizzato.

pci-dss-v4-8-6-3

Le password o le frasi di accesso per qualsiasi account di sistema e applicazione devono essere protette contro l'uso improprio garantendo quanto segue: le password o le frasi di accesso vengono modificate periodicamente (con la frequenza definita nell'analisi del rischio mirata dell'entità, eseguita in base a tutti gli elementi specificati nel requisito 12.3.1) e in caso di sospetto o conferma di compromissione; le password o le frasi di accesso sono costruite con una complessità sufficiente e appropriata alla frequenza con cui l'entità le modifica.

Security Essentials

Provider cloud supportato: Google Cloud

Google Cloud Security Essentials fornisce una base di sicurezza e conformità per i clienti Google Cloud.Il framework si basa sulle best practice e sulla threat intelligence di Google,offrendoti visibilità sulla tua strategia di sicurezza e aiutandoti a soddisfare i requisiti di conformità comuni fin dall'inizio.

Questo framework include i seguenti controlli cloud:

SOC2 2017

Provider cloud supportato: Google Cloud

Un framework normativo che un revisore indipendente può utilizzare per valutare e segnalare i controlli della tua organizzazione pertinenti ai Trust Services Criteria dell'AICPA, ad esempio sicurezza e disponibilità. Il report di audit risultante fornisce una valutazione dei sistemi della tua organizzazione e dei dati che gestiscono.Il framework è in linea con SOC 2 2017 (con punti di interesse rivisti - 2022).

Questo framework include i gruppi di controllo cloud e i controlli cloud nelle sezioni seguenti.

soc2-2017-a-1-2-11

Il management identifica le minacce al recupero dei dati (ad esempio, attacchi ransomware) che potrebbero compromettere la disponibilità del sistema e dei dati correlati e implementa procedure di mitigazione.

soc2-2017-a-1-2-8

Sono in vigore procedure per il backup dei dati, il monitoraggio per rilevare gli errori di backup e l'avvio di azioni correttive quando si verificano questi errori.

soc2-2017-c-1-1-2

Le informazioni riservate vengono conservate per il tempo necessario a soddisfare lo scopo identificato, a meno che una legge o un regolamento non richiedano diversamente.

soc2-2017-c-1-1-3

Sono in vigore norme e procedure per proteggere le informazioni riservate da cancellazione o distruzione durante il periodo di conservazione specificato.

soc2-2017-c-1-2-2

Sono in vigore norme e procedure per cancellare o distruggere automaticamente o manualmente le informazioni riservate che sono state identificate per la distruzione.

soc2-2017-cc-1-3-3

Il management e il consiglio di amministrazione delegano l'autorità, definiscono le responsabilità e utilizzano processi e tecnologie appropriati per assegnare le responsabilità e separare i compiti in base alle necessità ai vari livelli dell'organizzazione.

soc2-2017-cc-2-1-2

I sistemi informativi acquisiscono fonti di dati interne ed esterne.

soc2-2017-cc-2-1-6

L'entità identifica, documenta e mantiene i record dei componenti del sistema, come infrastrutture, software e altre risorse informative. Gli asset informativi includono dispositivi e sistemi endpoint fisici, sistemi virtuali, dati e flussi di dati, sistemi informativi esterni e ruoli organizzativi.

soc2-2017-cc-2-2-1

È in atto una procedura per comunicare le informazioni richieste per consentire a tutto il personale di comprendere e svolgere le proprie responsabilità di controllo interno.

soc2-2017-cc-3-2-5

La valutazione del rischio include la valutazione di come deve essere gestito il rischio e se accettarlo, evitarlo, ridurlo o condividerlo.

soc2-2017-cc-3-2-7

L'entità identifica le vulnerabilità dei componenti del sistema, inclusi processi di sistema, infrastruttura, software,

soc2-2017-cc-4-1-1

La gestione include un equilibrio tra valutazioni continue e separate.

soc2-2017-cc-4-1-5

Le valutazioni continue sono integrate nei processi aziendali e si adattano alle mutevoli condizioni.

soc2-2017-cc-4-1-8

Il management utilizza una serie di valutazioni separate e continue di rischi e controlli per determinare se i controlli interni sono presenti e funzionanti. A seconda degli obiettivi dell'entità, queste valutazioni di rischi e controlli possono includere test di monitoraggio e controllo di prima e seconda linea, valutazioni di audit interno, valutazioni di conformità, valutazioni di resilienza, scansioni di vulnerabilità, valutazione della sicurezza, test di penetrazione e valutazioni di terze parti.

soc2-2017-cc-4-2-2

Le carenze vengono comunicate alle parti responsabili dell'adozione di azioni correttive, alla dirigenza apicale e al consiglio di amministrazione, a seconda dei casi.

soc2-2017-cc-5-2-2

Il management seleziona e sviluppa attività di controllo sull'infrastruttura tecnologica, progettate e implementate per garantire la completezza, l'accuratezza e la disponibilità del trattamento tecnologico.

soc2-2017-cc-5-2-3

Il management seleziona e sviluppa attività di controllo progettate e implementate per limitare i diritti di accesso alla tecnologia agli utenti autorizzati in base alle loro responsabilità lavorative e per proteggere le risorse dell'entità da minacce esterne.

soc2-2017-cc-5-3-1

La gestione stabilisce attività di controllo integrate nei processi aziendali e nelle attività quotidiane dei dipendenti tramite criteri che stabiliscono cosa è previsto e procedure pertinenti che specificano le azioni.

soc2-2017-cc-6-1-10

L'entità utilizza la crittografia per proteggere i dati inattivi, durante l'elaborazione o la trasmissione, quando tali protezioni sono ritenute appropriate in base alla strategia di mitigazione dei rischi dell'entità.

soc2-2017-cc-6-1-11

L'entità protegge le chiavi crittografiche durante la generazione, l'archiviazione, l'utilizzo e l'eliminazione. I moduli, gli algoritmi, le lunghezze delle chiavi e le architetture crittografici sono appropriati in base alla strategia di mitigazione dei rischi dell'entità.

soc2-2017-cc-6-1-12

L'accesso logico e l'utilizzo delle informazioni confidenziali sono limitati alle finalità identificate.

soc2-2017-cc-6-1-3

L'entità limita l'accesso logico agli asset informativi, tra cui: infrastruttura, ad esempio server, storage, elementi di rete, API e dispositivi endpoint; software; e dati statici, durante l'elaborazione o la trasmissione, tramite l'utilizzo di software di controllo dell'accesso dell'accesso, set di regole e processi standard di hardening della configurazione.

soc2-2017-cc-6-1-4

L'entità identifica e autentica persone, infrastrutture e software prima di accedere agli asset informativi, localmente o da remoto. L'entità utilizza tecniche di autenticazione dell'utente più complesse o avanzate, come l'autenticazione a più fattori, quando queste protezioni sono ritenute appropriate in base alla sua strategia di mitigazione del rischio.

soc2-2017-cc-6-1-5

L'entità utilizza la segmentazione della rete, architetture zero-trust e altre tecniche per isolare tra loro le parti non correlate della tecnologia informatica dell'entità in base alla strategia di mitigazione del rischio dell'entità.

soc2-2017-cc-6-1-7

Vengono utilizzate combinazioni di classificazione dei dati, strutture di dati separate, limitazioni delle porte, limitazioni dei protocolli di accesso, identificazione degli utenti e certificati digitali per stabilire regole di controllo dell'accesso'accesso e standard di configurazione per gli asset informativi.

soc2-2017-cc-6-1-9

Le nuove infrastrutture e i nuovi software interni ed esterni vengono registrati, autorizzati e documentati prima che vengano concesse le credenziali di accesso e implementati sulla rete o sul punto di accesso. Le credenziali vengono rimosse e l'accesso viene disattivato quando non è più necessario o l'infrastruttura e il software non sono più in uso.

soc2-2017-cc-6-2-3

Sono in atto procedure per disattivare, distruggere o impedire l'utilizzo delle credenziali di accesso quando non sono più valide.

soc2-2017-cc-6-3-2

Sono in atto procedure per rimuovere l'accesso agli asset di informazioni protette quando non sono più necessari.

soc2-2017-cc-6-3-3

L'entità utilizza strutture di controllo dell'accesso dell'accesso, come i controlli dell'accesso basati sui ruoli, per limitare l'accesso alle risorse informative protette, limitare i privilegi e supportare la separazione delle funzioni incompatibili.

soc2-2017-cc-6-5-1

Sono in vigore procedure per rimuovere, eliminare o rendere inaccessibili dati e software da asset fisici e altri dispositivi di proprietà dell'entità, dei suoi fornitori e dipendenti quando i dati e il software non sono più necessari sull'asset o l'asset non sarà più sotto il controllo dell'entità.

soc2-2017-cc-6-6

L'entità implementa misure di sicurezza per l'accesso logico per proteggersi dalle minacce provenienti da fonti esterne ai limiti del sistema.

soc2-2017-cc-6-6-1

I tipi di attività che possono verificarsi tramite un canale di comunicazione, ad esempio un sito FTP o una porta del router, sono limitati.

soc2-2017-cc-6-6-4

I sistemi di protezione perimetrale, ad esempio firewall, zone demilitarizzate, sistemi di rilevamento o prevenzione delle intrusioni e sistemi di rilevamento e risposta degli endpoint, sono configurati, implementati e gestiti per proteggere i punti di accesso esterni.

soc2-2017-cc-6-7-1

Le tecnologie e i processi di prevenzione della perdita di dati vengono utilizzati per limitare la possibilità di autorizzare ed eseguire la trasmissione, lo spostamento e la rimozione delle informazioni.

soc2-2017-cc-6-7-2

Per proteggere la trasmissione di dati e altre comunicazioni oltre i punti di accesso alla connettività vengono utilizzate tecnologie di crittografia o canali di comunicazione protetti.

soc2-2017-cc-6-8-1

La possibilità di installare e modificare applicazioni e software è limitata alle persone autorizzate. Il software di utilità in grado di bypassare le normali procedure operative o di sicurezza è limitato all'uso da parte di persone autorizzate e viene monitorato regolarmente.

soc2-2017-cc-6-8-2

Sono in atto procedure per rilevare modifiche ai parametri di configurazione e software che potrebbero essere indicativi di software dannoso o non autorizzato.

soc2-2017-cc-7-1-1

L'entità ha definito standard di configurazione da utilizzare per proteggere i sistemi.

soc2-2017-cc-7-1-3

Il sistema IT include un meccanismo di rilevamento delle modifiche, ad esempio strumenti di monitoraggio dell'integrità dei file, per avvisare il personale in caso di modifiche non autorizzate a file di sistema, file di configurazione o file di contenuti critici.

soc2-2017-cc-7-1-5

L'entità esegue scansioni delle vulnerabilità dell'infrastruttura e del software progettate per identificare potenziali vulnerabilità o errori di configurazione su base periodica e dopo che sono state apportate modifiche significative all'ambiente. Vengono intraprese azioni per correggere le carenze identificate in modo tempestivo per supportare il raggiungimento degli obiettivi dell'entità.

soc2-2017-cc-7-2-1

Su infrastrutture e software vengono definite e implementate policy, procedure e strumenti di rilevamento per identificare potenziali intrusioni, accessi inappropriati e anomalie nel funzionamento o attività insolite sui sistemi. Le procedure possono includere un processo di governance definito per il rilevamento e la gestione degli eventi di sicurezza, l'utilizzo di fonti di intelligence per identificare minacce e vulnerabilità appena scoperte e la registrazione di attività di sistema insolite.

soc2-2017-cc-7-2-2

Le misure di rilevamento sono progettate per identificare anomalie che potrebbero derivare da compromissioni effettive o tentate di barriere fisiche, azioni non autorizzate di personale autorizzato, utilizzo di credenziali di identificazione e autenticazione compromesse, accesso non autorizzato dall'esterno dei limiti del sistema, compromissione di terze parti esterne autorizzate e implementazione o connessione di hardware e software non autorizzati.

soc2-2017-cc-7-3-2

Gli eventi di sicurezza rilevati vengono comunicati e rivisti dalle persone responsabili della gestione del programma di sicurezza e, se necessario, vengono intraprese azioni.

soc2-2017-cc-8-1-1

Per supportare il raggiungimento degli obiettivi dell'entità, viene utilizzato un processo per la gestione delle modifiche al sistema durante il ciclo di vita del sistema e dei suoi componenti (infrastruttura, dati, software e procedure manuali e automatizzate).

soc2-2017-cc-8-1-14

È in atto una procedura per identificare, valutare, testare, approvare e implementare le patch in modo tempestivo su infrastruttura e software.

soc2-2017-cc-8-1-5

Esiste una procedura per monitorare le modifiche al sistema prima dell'implementazione.

soc2-2017-p-4-2-1

Le informazioni personali vengono conservate per il tempo necessario a soddisfare gli scopi dichiarati, a meno che una legge o un regolamento non richiedano diversamente.

soc2-2017-p-4-2-2

Sono state implementate norme e procedure per proteggere le informazioni personali da cancellazione o distruzione durante il periodo di conservazione specificato.

soc2-2017-pi-1-2-3

I record delle attività di input del sistema vengono creati e gestiti in modo completo e accurato in modo tempestivo.

soc2-2017-pi-1-3-4

Le attività di elaborazione del sistema vengono registrate in modo completo e accurato in modo tempestivo.

soc2-2017-pi-1-5

L'entità implementa criteri e procedure per archiviare input, elementi in elaborazione e output in modo completo, accurato e tempestivo in conformità alle specifiche del sistema per raggiungere gli obiettivi dell'entità.

soc2-2017-pi-1-5-1

Gli articoli conservati sono protetti per evitare furti, danneggiamenti, distruzione o deterioramento che impedirebbero all'output di soddisfare le specifiche.

soc2-2017-pi-1-5-2

I record di sistema vengono archiviati e gli archivi sono protetti da furto, danneggiamento, distruzione o deterioramento che ne impedirebbero l'utilizzo.

Passaggi successivi