Trattazione informatica di informazioni classificate “riservato”

Per trattare informazioni e dati con classifica “riservato” (R) tramite un sistema informatico:

  1. Il legale rappresentante – o altro soggetto, socio o dipendente dell’operatore economico, designato dal legale rappresentante – assume la veste di amministratore di sistema ed esercita tale funzione secondo la normativa in materia compendiata di seguito.
  2. L’amministratore di sistema è responsabile degli aspetti tecnici e di sicurezza del sistema destinato a trattare informazioni classificate “riservato”.
  3. Quando le informazioni classificate “riservato” sono trattate mediante sistemi informatici, l’amministratore di sistema deve assicurare che siano applicate le seguenti misure di sicurezza:

3.1.   il sistema informatico deve essere isolato. A tal fine si deve:

  • rimuovere, dove possibile, la scheda hardware per il collegamento in rete o provvedere alla rimozione dei driver relativi, premessa l’assenza di alcun cavo collegato alla medesima
  • rimuovere, dove possibile, la scheda hardware per il collegamento in rete a mezzo wireless (WiFi, 3G, Bluetooth, ecc.) o provvedere alla rimozione dei driver relativi
  • disabilitare l’utilizzo delle porte USB o comunque limitarne l’utilizzo alla sola utenza di amministratore di sistema

3.2.   dotare il BIOS di password al fine di evitare la possibilità di avvio da CD/DVD o memorie rimovibili USB

3.3.   installare un sistema operativo in possesso di certificazione Common Criteria di livello EAL3 o superiore, seguendo le indicazioni riportate nel documento di Security Target della specifica versione e delle guide di installazione e configurazione cui esso faccia riferimento

3.4.   installare un sistema Antivirus, possibilmente in versione certificata Common Criteria per il sistema operativo prescelto

3.5.   abilitare le funzioni di controllo accessi e configurare utenze nominative (non sono ammesse utenze di gruppo) con password non banali, di lunghezza non inferiore agli 11 caratteri e contenenti almeno tre dei seguenti criteri di sicurezza:

  • almeno un carattere maiuscolo
  • almeno un carattere minuscolo
  • almeno un carattere speciale consentito dal sistema operativo (es. £,$)
  • almeno un carattere numerico

3.6.   le password dovranno essere modificate dagli utenti dopo il primo accesso

3.7.   deve essere presente una sola utenza con il possesso dei diritti di amministrazione

3.8.   abilitare lo screen saver dopo massimo 5 minuti di inattività della postazione, con il ritorno alla schermata di ingresso al ripristino

3.9.   abilitare il sistema di log del sistema operativo

3.10. abilitare il log delle stampe

3.11. abilitare l’audit degli eventi sia per il caso di successo che per il caso di fallimento:

  • controllo eventi accesso account
  • controllo eventi di accesso
  • controllo gestione degli account
  • controllo degli usi dei privilegi
  • controllo della modifica del criterio di controllo

3.12. disabilitare il controllo tramite remote desktop

3.13. non installare sistemi di remote desktop o ambienti di virtualizzazione

3.14. nei casi in cui si renda necessario l’impiego di software come Application Server, provvedere a installare prodotti in possesso di certificazione Common Criteria di livello EAL3 o superiore, seguendo le indicazioni riportate nel documento di Security Target della specifica versione e delle guide di installazione e configurazione cui esso faccia riferimento

3.15. nei casi di sviluppo di prototipi di applicazioni web che prevedano la presenza di un controllo accessi, questo deve essere connesso con l’archivio utenti del sistema operativo (Active Directory, ecc.) e comunque non può determinare una grana più fine rispetto alle utenze configurate su sistema operativo

3.16. provvedere a effettuare gli aggiornamenti periodici del sistema antivirus e del sistema operativo in modalità off-line, solo dopo aver verificato la correttezza delle misure applicate e la corrispondenza della firma degli aggiornamenti scaricati da repository ufficiali del brand fornitore del sistema stesso

3.17. tutti i media classificati in uso al sistema devono essere identificati con il livello di classifica e un numero identificativo. Gli stessi dati devono essere riportati in un apposito registro di “carico supporti EAD”

3.18. tutte le stampe devono riportare l’eventuale classifica ed essere gestite in accordo ai requisiti di sicurezza previsti per il relativo livello. Eventuali bozze devono essere distrutte al termine dell’esigenza

3.19. il sistema deve essere installato in un ambiente ad accesso controllato, o comunque custodito in apposito contenitore di sicurezza. Deve essere anche valutata la possibilità di dotare l’ambiente di sistemi anti-intrusione in grado di monitorare l’eventuale accesso non autorizzato al sistema

3.20. tutti gli utenti devono essere opportunamente istruiti a cura dell’amministratore di sistema in merito alle procedure di sicurezza implementate

3.21. se l’esigenza di utilizzare il sistema informatico per informazioni classificate cessa, è necessario dare comunicazione all’Ufficio centrale per la segretezza (UCSe) e assicurare l’attuazione delle più accurate procedure per la completa cancellazione delle informazioni classificate memorizzate o elaborate. In particolare l’amministratore deve curare che:

  • tutti i dischi rigidi presenti nel sistema siano sottoposti a una formattazione a basso livello e a quattro cicli completi di scrittura e cancellazione
  • il sistema operativo sia re-installato, assicurando che le nuove utenze non utilizzino username e password in uso alla precedente installazione
  • analoga procedura sia effettuata per i supporti di memorizzazione eventualmente presenti all’interno delle stampanti o di altre periferiche autorizzate

3.22. nel caso l’operatore economico abbia necessità di trattare informazioni classificate di livello superiore a “riservato” con sistemi informatici, è necessario procedere con una formale omologazione EAD del sistema a cura del DIS-UCSe.

Su