Premessa
L’allegato “Sicurezza del Sistema Informativo” (doc [5], 139 kB) al Regolamento Banca d'Italia 29 gennaio 2002, "Funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento (CAI)" richiede che ogni ente segnalante privato, oltre ad assicurare il rispetto delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza in applicazione al D.Lgs. 196/2003 [6], debba definire e governare un processo per la gestione della sicurezza del sistema informativo dell’archivio CAI.Nell’ambito di questo processo l’ente segnalante deve intraprendere, annualmente, le seguenti azioni:
- Definire le politiche per la sicurezza del sistema informativa della CAI;
- Definire i confini del sistema informativo della CAI in termini di struttura organizzativa, collocazione fisica, risorse e tecnologie;
- Analizzare adeguatamente i rischi in modo da identificare le minacce alle risorse, le vulnerabilità e gli impatti sull’ente segnalante privato e quindi determinare il livello di rischio globale;
- Selezionare dall’elenco previsto (realizzato utilizzando le specifiche ISO/IEC 17799: 2000 come riferimento) i controlli ritenuti appropriati. Tali controlli non sono esaustivi e ulteriori controlli possono essere individuati.
- Redigere un documento che spieghi le ragioni che hanno portato alla scelta di ogni singolo controllo selezionato, in termini di risorse da proteggere a fronte di minacce e vulnerabilità. In questo documento devono essere indicate le ragioni che hanno indotto all’eventuale esclusione di alcuni controlli.
Check list CAI
Definire le politiche per la sicurezza
- Sono state definite politiche per la sicurezza di sicurezza per la CAI (la policy)?
- La policy è stata approvata dalla Direzione?
- La policy è stata resa pubblica agli interessati?
- È stata fatta la formazione sulla policy?
- La policy è stata rivista ed eventualmente aggiornata annualmente?
Definire i confini del sistema informativo della CAI
- In che modo sono stati definiti i confini del sistema informativo della CAI (i confini)?
- I confini prevedono altre applicazioni ed archivi soggetti a particolari requisiti (ad esempio: antiriciclaggio, segnalazioni antiterrorismo, archivi contenenti dati sensibili per la privacy)?
- I confini sono stati rivisti ed eventualmente aggiornati annualmente?
Analizzare adeguatamente i rischi
- Sono stati analizzati i rischi specifici della CAI (i rischi)?
- È stata utilizzata una metodologia di Risk Management / Assessment ?
- È stata documentata la metodologia di Risk Management / Assessment utilizzata?
- I risultati dell’analisi dei rischi sono stati comunicati alla Direzione?
- I rischi sono stati rivisti ed eventualmente aggiornati annualmente?
Selezionare i controlli ritenuti appropriati
- È stata utilizzata la lista dei controlli basati sulla lista delle specifiche ISO/IEC 17799: 2000 (la lista)? Se no, quale altra lista è stata utilizzata?
- Sono stati selezionati ulteriori controlli oltre a quelli previsti dalla lista?
- Ci sono controlli previsti dalla lista che non sono stati selezionati? Se sì perché?
- Annualmente è stata rivista la lista dei controlli selezionati?
Redigere un documento per i controlli esclusi
- È stata redatto, annualmente, un documento che spiega le motivazioni per cui alcuni controlli della lista non sono stati selezionati?
- Il documento è stato reso noto alla Direzione?
Chi è Cristina Cellucci?
Cristina è Internal Auditor presso un primario gruppo bancario nazionale.IsacaRoma Neswletter link
- D. LGS. N. 231/2001: l’analisi dei rischi – parte prima [7] e seconda [8]
- Compliance: obblighi delle assicurazioni per la gestione dei rischi [9]
- Compliance: gli obblighi per le SGR [10]
- Sicurezza e Compliance – l’analisi dei rischi [11]
- Sicurezza e Compliance – prima parte: il quadro di riferimento [12]
- Compliance:
primo schema di Istruzioni di vigilanza di Banca d’Italia [13]
- Incontro sulla Compliance – resoconto (prima parte) [14]
- Sicurezza e Compliance: quando il gioco si fa duro [15]
- Incontro sulla Compliance [16]
- KPMG: nuove sfide per la sicurezza delle informazioni [17]