Analisi del bisogno di protezione cybersicurezza in excel
rilevamento dei requisiti di sicurezza degli oggetti informatici da proteggere
L’analisi del bisogno di protezione consiste nel rilevamento dei requisiti di sicurezza degli oggetti informatici da proteggere. Essa deve essere verificata almeno dall’incaricato della sicurezza informatica nonché approvata dal committente e dal responsabile dei processi aziendali.
Se vengono trattati dati personali, occorre coinvolgere anche il consulente per la protezione dei dati.
Bisogno di protezione elevato:
Non appena uno dei campi classificati come confidenziali o più di due criteri negli ambiti disponibilità, integrità o tracciabilità sono contrassegnati in rosso, sussiste un bisogno di protezione elevato.
in casi di bisogno di protezione elevato comprovato si deve elaborare un piano per la sicurezza e la protezione dei dati in cui devono essere definite, documentate e attuate ulteriori misure di sicurezza specifici per il progetto o l’oggetto informatico da proteggere, oltre all’attuazione delle direttive in materia di sicurezza per la protezione di base e facendo capo a un’analisi dei rischi.
Nel caso sussistano requisiti elevati soltanto negli ambiti disponibiltà, integrità o tracciabilità (due criteri al massimo), devono essere documentati ulteriori requisiti di sicurezza a estensione della protezione di base TIC. Tali requisiti devono essere inseriti preferibilmente nel documento «Attuazione delle misure per la protezione di base delle TIC», ad esempio in un capitolo aggiuntivo.
L’analisi del bisogno di protezione è valida per cinque anni al massimo.
Il modello valutazione del bisogno di protezione serve come base per l’analisi delle esigenze di protezione.
Per ogni progetto TIC occorre dapprima eseguire un’analisi del bisogno di protezione. Il momento dell’analisi è stabilito in base al modello HERMES per la procedura progettuale. L’analisi deve essere effettuata durante la fase di avvio del progetto. In questo modo si garantisce la presa in considerazione della sicurezza informatica sin dall’inizio del progetto.
STRUTTURA DEL FOGLIO EXCEL PER LA VALUTAZIONE
Valutazione del bisogno di protezione; modello
Copertina:
- Compilare completamente.
- Il risultato della classificazione è ricavato dai fogli di lavoro «Valutazione».
- I colori utilizzati nei campi della valutazione servono ad evidenziare chiaramente dove sussiste un bisogno di protezione normale o elevato; in funzione del colore utilizzato si possono dedurre le esigenze di protezione.
--> Si vedano le spiegazioni in merito riportate di seguito.
Valutazione:
- Selezionare ogni campo del menu a tendina nella colonna «Risposta».
- Colonna «Commento, motivazione», il più dettagliatamente possibile, il minimo necessario.
Descrizione:
- Descrizione dettagliata del progetto e dell’oggetto da proteggere.
- Riempire la parte partner delle comunicazioni e archiviazione dei dati.
- Qui deve essere inserito un primo diagramma dell’architettura (invece dell’esempio). Può essere eventualmente presentato come documento a sé stante. In questo foglio di lavoro si deve annotare il nome del documento, quale versione si riferisce a quest’analisi del bisogno di protezione e dove è salvato.
SCARICA IL FOGLIO EXCEL PER LA VALUTAZIONE
Piano per la sicurezza dell’informazione e la protezione dei dati
Se dall’analisi del bisogno di protezione risulta un bisogno di protezione elevato, oltre all’attuazione delle direttive in materia di sicurezza per la protezione di base le unità amministrative (UA) definiscono, sulla base di un’analisi dei rischi, ulteriori misure di sicurezza, le documentano e le attuano. Il piano SIPD contiene la descrizione delle misure di sicurezza e della loro attuazione per l’oggetto informatico da proteggere nonché la descrizione dei rischi residui.
SCARICA IL FOGLIO EXCEL PER L'ANALISI DEI RISCHI