fabio martino de carles 2 Sviluppare la Dichiarazione della politica

1. Tutti i diritti riservati. Fabio martino de carles 2.1Sviluppare la Dichiarazione della Politica di Pianificazione della Contingenza Il piano di contingenza deve basarsi su una politica definita in modo chiaro ed ‘accurato per consentire al personale di apprendere i requisiti della pianificazione, tale politica deve prevedere i livelli d’impatto FIPS 199 e di conseguenza i controlli per ciascun livello d’impatto. FIPS 199 (Federal Information Processing Standard 199) è uno standard degli USA che stabilisce di classificare informazioni e sistemi informatici in base all’ importanza che essi hanno nel contesto della sicurezza. Questo standard prevede tre livelli di impatto basso, moderato e alto che si riflettono sulla riservatezza, integrità la disponibilità delle informazioni. Infatti, tale standard viene utilizzato per applicare misure di sicurezza nel contesto del FISMA (Federal Information Security Management Act).1 Tab. Definizioni del Potenziale Impatto per Ogni Obiettivo di Sicurezza Obiettivo di SicurezzaBasso Moderato Alto Riservatezza La divulgazione non La divulgazione non La divulgazione non autorizzata delle autorizzata delle autorizzata delle informazioni potrebbe informazioni potrebbe informazioni potrebbe avere un effetto avverso avere un effetto avverso avere un effetto avverso limitato serio grave o catastrofico sulle sulle sulle operazioni operazioni organizzative, le risorse o operazioni organizzative, organizzative, le risorse gli individui. le risorse o gli individui. o gli individui. Integrità La modifica o La modifica o distruzione La modifica o distruzione distruzione non non autorizzata delle non autorizzata delle autorizzata delle informazioni potrebbe informazioni potrebbe informazioni potrebbe avere un effetto avverso avere un effetto avverso 1National Institute of Standards and Technology. FIPS 199: Standards for Security Categorization of Federal Information and Information Systems*. 2004, https://csrc.nist.gov/pubs/fips/199/final 3

2. Tutti i diritti riservati. Fabio martino de carles serio grave o catastrofico sulle avere un effetto avverso sulle operazioni limitato sulle organizzative, le risorse o operazioni organizzative, operazioni gli individui. le risorse o gli individui. organizzative, le risorse o gli individui. Disponibilità La disruption La disruption dell'accesso La disruption dell'accesso o dell'uso o dell'uso delle dell'accesso o dell'uso delle informazioni o di informazioni o di un delle informazioni o di un un sistema informativo sistema informativo sistema informativo potrebbe avere un potrebbe avere un effetto potrebbe avere un effetto effetto avverso limitato serio grave avverso sulle avverso o sulle operazioni operazioni organizzative, catastrofico sulle organizzative, le risorse le risorse o gli individui. operazioni organizzative, o gli individui. le risorse o gli individui. Gli elementi essenziali di tale politica sono: •Ruoli e responsabilità; •Ambito applicabile ai tipi di piattaforme comuni e alle funzioni organizzative (ad es., telecomunicazioni, legali, relazioni con i media) soggetti alla pianificazione della contingenza; •Requisiti di risorse; •Requisiti di formazione; •Programmi di esercitazioni e testing; •Programma di manutenzione del piano; e •Frequenza minima dei backup e dello stoccaggio dei supporti di backup. Le procedure da eseguire devono essere documentate, devono essere esaminate annualmente e aggiornate se necessario. Il piano deve assegnare responsabilità specifiche al personale per facilitare il recupero o la continuità delle funzioni essenziali. Inoltre, il personale responsabile dei sistemi in questione deve essere formato per attivare o eseguire correttamente le procedure di contingenza. 4