Il DPCM 14 aprile 2021, n. 81 – recante “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza” – contiene al suo interno un elenco di misure minime di sicurezza informatica e cartacea.
Tale elenco, presente all’interno dell’allegato C del DPCM sopra richiamato, può risultare utile per qualsiasi azienda e distingue le misure di sicurezza minime per la tutela delle informazioni come segue:
- Trattamenti con l’ausilio di strumenti elettronici
- identificazione degli utenti e gestione delle identità digitali;
- determinazione dei privilegi di accesso alle risorse da associare agli utenti e agli addetti o incaricati alla gestione o alla manutenzione;
- implementazione di un sistema di autenticazione e autorizzazione degli utenti secondo i privilegi individuati al punto precedente;
- protezione contro il software malevolo, mediante l’impiego di software antimalware aggiornato
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
- procedure di sicurezza per l’importazione e l’esportazione dei dati sui sistemi impiegati;
- procedure per la gestione della configurazione dei sistemi impiegati;
- procedure per la dismissione dei dispositivi di memorizzazione utilizzati sui sistemi impiegati;
- adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
- adozione di tecniche di cifratura.
- Misure di sicurezza fisica e documentale
- l’accesso alle informazioni è consentito sulla base del principio della necessità di conoscere (need to know);
- deve essere individuata la figura di un responsabile incaricato della gestione delle informazioni;
- la documentazione deve essere custodita in un locale idoneo, appositamente individuato, che presenti un perimetro chiaramente delimitato e sia dotato di misure di protezione minime tali da consentire l’accesso alle sole persone autorizzate, ovvero in armadi di sicurezza con procedura di tracciamento delle chiavi in uso;
- la documentazione deve essere registrata su appositi registri di protocollo;
- la consultazione dei documenti deve avvenire sulla base del principio della necessità di conoscere (need to know) e deve essere tracciata su apposito registro;
- la riproduzione dei documenti può avvenire solo previa autorizzazione del responsabile della gestione delle informazioni e deve essere registrata su apposito registro;
- la documentazione deve essere spedita tramite corrieri.
Le misure di sicurezza sopra elencate, oltre ad essere adottate da ogni azienda, dovrebbero essere oggetto di specifiche procedure aziendali facenti parte del Sistema Privacy conforme al GDPR 2016/679 e/o del Sistema di Gestione per la sicurezza delle informazioni secondo la norma ISO 27001:2017.
Fonti:
- https://www.gazzettaufficiale.it/eli/id/2021/06/11/21G00089/sg
- https://www.puntosicuro.it/security-C-124/sicurezza-informatica-C-90/pubblicata-una-attraente-guida-alla-sicurezza-informatica-AR-21506/