Date: May 19, 2024, 11:13:46 PM
Date: Mar 7, 2021, 1:34:07 PM
Editor: llanzi
Name:
Name: Framework Nazionale per la Cybersecurity e la Data Protection v. 2.0 [IT] [draft]
Description:
Description: A MONARC object for the "Framework Nazionale per la Cybersecurity e la Data Protection" v. 2.0 specs [www.cybersecurityframework.it]
t | 1 | {} | t | 1 | { |
2 | "authors": [ | ||||
3 | "Consortium GARR [www.garr.it]" | ||||
4 | ], | ||||
5 | "label": "Cybersecurity Framework v. 2.0", | ||||
6 | "language": "IT", | ||||
7 | "refs": [ | ||||
8 | "https://www.cybersecurityframework.it" | ||||
9 | ], | ||||
10 | "uuid": "3b1976ac-0d28-4091-ac16-db043108fd16", | ||||
11 | "values": [ | ||||
12 | { | ||||
13 | "category": "Asset Management (ID.AM)", | ||||
14 | "code": "1.1.ID.AM-1", | ||||
15 | "label": "Sono censiti i sistemi e gli apparati fisici in uso nell'organizzazione", | ||||
16 | "uuid": "84138a92-41d0-4cdb-9e3d-80771e8fd131" | ||||
17 | }, | ||||
18 | { | ||||
19 | "category": "Asset Management (ID.AM)", | ||||
20 | "code": "1.1.ID.AM-2", | ||||
21 | "label": "Sono censite le piattaforme e le applicazioni software in uso nell'organizzazione", | ||||
22 | "uuid": "4dc6ba68-1f3d-4d86-9f0f-5335f20444ef" | ||||
23 | }, | ||||
24 | { | ||||
25 | "category": "Asset Management (ID.AM)", | ||||
26 | "code": "1.1.ID.AM-3", | ||||
27 | "label": "I flussi di dati e comunicazioni inerenti l'organizzazione sono identificati", | ||||
28 | "uuid": "55479734-9577-4ee4-a411-cbf6bbb06832" | ||||
29 | }, | ||||
30 | { | ||||
31 | "category": "Asset Management (ID.AM)", | ||||
32 | "code": "1.1.ID.AM-4", | ||||
33 | "label": "I sistemi informativi esterni all'organizzazione sono catalogati", | ||||
34 | "uuid": "41247f94-084f-4a90-bba0-daf0983cb572" | ||||
35 | }, | ||||
36 | { | ||||
37 | "category": "Asset Management (ID.AM)", | ||||
38 | "code": "1.1.ID.AM-5", | ||||
39 | "label": "Le risorse (es: hardware, dispositivi, dati, allocazione temporale, personale e software) sono prioritizzate in base alla loro classificazione (e.g. confidenzialità, integrità, disponibilità), criticità e valore per il business dell'organizzazione", | ||||
40 | "uuid": "2bc5807b-14de-4360-9992-332c1962d97d" | ||||
41 | }, | ||||
42 | { | ||||
43 | "category": "Asset Management (ID.AM)", | ||||
44 | "code": "1.1.ID.AM-6", | ||||
45 | "label": "Sono definiti e resi noti ruoli e responsabilità inerenti la cybersecurity per tutto il personale e per eventuali terze parti rilevanti (es. fornitori, clienti, partner)", | ||||
46 | "uuid": "b29ec75b-aad8-485d-aa8d-1d47b87bd94f" | ||||
47 | }, | ||||
48 | { | ||||
49 | "category": "Asset Management (ID.AM)", | ||||
50 | "code": "1.1a.DP-ID.AM-7", | ||||
51 | "label": "Sono definiti e resi noti ruoli e responsabilità inerenti al trattamento e la protezione dei dati personali per tutto il personale e per eventuali terze parti rilevanti (es. fornitori, clienti, partner)", | ||||
52 | "uuid": "fc71a31f-cd4d-4a11-9459-b5977b7cc920" | ||||
53 | }, | ||||
54 | { | ||||
55 | "category": "Asset Management (ID.AM)", | ||||
56 | "code": "1.1a.DP-ID.AM-8", | ||||
57 | "label": "I trattamenti di dati personali sono identificati e catalogati", | ||||
58 | "uuid": "055c813b-f053-4c5b-8db4-f927a7aa2ae7" | ||||
59 | }, | ||||
60 | { | ||||
61 | "category": "Business Environment (ID.BE)", | ||||
62 | "code": "1.2.ID.BE-1", | ||||
63 | "label": " Il ruolo dell'organizzazione all'interno della filiera produttiva è identificato e reso noto", | ||||
64 | "uuid": "b89649b6-bd4f-47dc-b52e-218e049aa3f4" | ||||
65 | }, | ||||
66 | { | ||||
67 | "category": "Business Environment (ID.BE)", | ||||
68 | "code": "1.2.ID.BE-2", | ||||
69 | "label": " Il ruolo dell'organizzazione come infrastruttura critica e nel settore industriale di riferimento è identificato e reso noto", | ||||
70 | "uuid": "0e6252ee-89e0-4160-bb7f-25d5e05aea43" | ||||
71 | }, | ||||
72 | { | ||||
73 | "category": "Business Environment (ID.BE)", | ||||
74 | "code": "1.2.ID.BE-3", | ||||
75 | "label": " Sono definite e rese note delle priorità per quanto riguarda la missione, gli obiettivi e le attività dell'organizzazione", | ||||
76 | "uuid": "333cccaa-780f-4b7b-92d8-eb794a503a82" | ||||
77 | }, | ||||
78 | { | ||||
79 | "category": "Business Environment (ID.BE)", | ||||
80 | "code": "1.2.ID.BE-4", | ||||
81 | "label": " Sono identificate e rese note interdipendenze e funzioni fondamentali per la fornitura di servizi critici", | ||||
82 | "uuid": "c6020a33-5dba-4b23-8675-1a1f9822f73a" | ||||
83 | }, | ||||
84 | { | ||||
85 | "category": "Business Environment (ID.BE)", | ||||
86 | "code": "1.2.ID.BE-5", | ||||
87 | "label": " Sono identificati e resi noti i requisiti di resilienza a supporto della fornitura di servizi critici per tutti gli stati di esercizio (es. sotto stress/attacco, in fase di recovery, normale esercizio)", | ||||
88 | "uuid": "79989e0a-b83f-4a5d-961c-cf51e4c6964f" | ||||
89 | }, | ||||
90 | { | ||||
91 | "category": "Governance (ID.GV)", | ||||
92 | "code": "1.3.ID.GV-1", | ||||
93 | "label": " È inentificata e resa nota una policy di cybersecurity", | ||||
94 | "uuid": "e6bb37ed-bf75-4d68-b815-a0d5b60ef252" | ||||
95 | }, | ||||
96 | { | ||||
97 | "category": "Governance (ID.GV)", | ||||
98 | "code": "1.3.ID.GV-2", | ||||
99 | "label": " Ruoli e responsabilità inerenti la cybersecurity sono coordinati ed allineati con i ruoli interni ed i partner esterni", | ||||
100 | "uuid": "9a74326c-cc6f-489c-b178-1a12ddc0fece" | ||||
101 | }, | ||||
102 | { | ||||
103 | "category": "Governance (ID.GV)", | ||||
104 | "code": "1.3.ID.GV-3", | ||||
105 | "label": " I requisiti legali in materia di cybersecurity, con l'inclusione degli obblighi riguardanti la privacy e le libertà civili, sono compresi e gestiti", | ||||
106 | "uuid": "e71480cc-df70-409b-9d14-79ea41ad0316" | ||||
107 | }, | ||||
108 | { | ||||
109 | "category": "Governance (ID.GV)", | ||||
110 | "code": "1.3.ID.GV-4", | ||||
111 | "label": " La governance ed i processi di risk management includono la gestione dei rischi legati alla cybersecurity", | ||||
112 | "uuid": "78e4cb22-8520-48e0-a01f-9809fa7a2928" | ||||
113 | }, | ||||
114 | { | ||||
115 | "category": "Risk Assessment (ID.RA)", | ||||
116 | "code": "1.4.ID.RA-1", | ||||
117 | "label": " Le vulnerabilità delle risorse (es. sistemi, locali, dispositivi) dell'organizzazione sono identificate e documentate", | ||||
118 | "uuid": "c102ef43-4c4b-46fe-94c2-395beacf30a9" | ||||
119 | }, | ||||
120 | { | ||||
121 | "category": "Risk Assessment (ID.RA)", | ||||
122 | "code": "1.4.ID.RA-2", | ||||
123 | "label": " L'organizzazione riceve informazioni su minacce, vulnerabilità ed altri dati configurabili come Cyber Threat Intelligence da fonti esterne (e.g. CERT, fonti aperte, forum di information sharing)", | ||||
124 | "uuid": "7f8d9b8e-55ac-47da-a1d7-e6c650b63993" | ||||
125 | }, | ||||
126 | { | ||||
127 | "category": "Risk Assessment (ID.RA)", | ||||
128 | "code": "1.4.ID.RA-3", | ||||
129 | "label": " Le minacce, sia interne che esterne, sono identificate e documentate", | ||||
130 | "uuid": "539b0ec8-6760-4a02-af98-e566f16b96d6" | ||||
131 | }, | ||||
132 | { | ||||
133 | "category": "Risk Assessment (ID.RA)", | ||||
134 | "code": "1.4.ID.RA-4", | ||||
135 | "label": " Sono identificati i potenziali impatti sul business e le relative probabilità di accadimento", | ||||
136 | "uuid": "c3853ebc-1b17-4e7f-bd24-b9163bd2e451" | ||||
137 | }, | ||||
138 | { | ||||
139 | "category": "Risk Assessment (ID.RA)", | ||||
140 | "code": "1.4.ID.RA-5", | ||||
141 | "label": " Le minacce, le vulnerabilità, le relative probabilità di accadimento e conseguenti impatti sono utilizzati per determinare il rischio", | ||||
142 | "uuid": "3dfe3919-dcd5-4799-9931-927cea4b3183" | ||||
143 | }, | ||||
144 | { | ||||
145 | "category": "Risk Assessment (ID.RA)", | ||||
146 | "code": "1.4.ID.RA-6", | ||||
147 | "label": " Sono identificate e prioritizzate le risposte al rischio", | ||||
148 | "uuid": "522f0662-c830-4a84-8a52-ca8f91641114" | ||||
149 | }, | ||||
150 | { | ||||
151 | "category": "Risk Assessment (ID.RA)", | ||||
152 | "code": "1.4a.DP-ID.RA-7", | ||||
153 | "label": " Viene effettuata una valutazione di impatto sulla protezione dei dati personali", | ||||
154 | "uuid": "78d35a37-b479-4486-9ca9-223d42d4a803" | ||||
155 | }, | ||||
156 | { | ||||
157 | "category": "Risk Management Strategy (ID.RM)", | ||||
158 | "code": "1.5.ID.RM-1", | ||||
159 | "label": " I processi di risk management sono stabiliti, gestiti e concordati tra i responsabili dell'organizzazione (c.d. stakeholder)", | ||||
160 | "uuid": "84a3c69a-c202-482c-a02e-0cf701d181bd" | ||||
161 | }, | ||||
162 | { | ||||
163 | "category": "Risk Management Strategy (ID.RM)", | ||||
164 | "code": "1.5.ID.RM-2", | ||||
165 | "label": " Il rischio tollerato dall'organizzazione è identificato ed espresso chiaramente", | ||||
166 | "uuid": "abc86189-bedb-4704-913c-f1a029813ac5" | ||||
167 | }, | ||||
168 | { | ||||
169 | "category": "Risk Management Strategy (ID.RM)", | ||||
170 | "code": "1.5.ID.RM-3", | ||||
171 | "label": " Il rischio tollerato è determinato tenendo conto del ruolo dell'organizzazione come infrastruttura critica e dei rischi specifici presenti nel settore industriale di appartenenza", | ||||
172 | "uuid": "8e497367-d331-4936-a67b-9b683a4952e8" | ||||
173 | }, | ||||
174 | { | ||||
175 | "category": "Supply Chain Risk Management (ID.SC)", | ||||
176 | "code": "1.6.ID.SC-1", | ||||
177 | "label": " I processi di gestione del rischio inerenti la catena di approvvigionamento cyber sono identificati, ben definiti, validati, gestiti e approvati da attori interni all'organizzazione", | ||||
178 | "uuid": "8c187922-0450-4d65-bef3-48df8078f7c7" | ||||
179 | }, | ||||
180 | { | ||||
181 | "category": "Supply Chain Risk Management (ID.SC)", | ||||
182 | "code": "1.6.ID.SC-2", | ||||
183 | "label": " I fornitori e i partner terzi di sistemi informatici, componenti e servizi sono identificati, prioritizzati e valutati utilizzando un processo di valutazione del rischio inerente la catena di approvvigionamento cyber", | ||||
184 | "uuid": "1a51b54a-e0ac-45dc-bba7-8d142b67b32a" | ||||
185 | }, | ||||
186 | { | ||||
187 | "category": "Supply Chain Risk Management (ID.SC)", | ||||
188 | "code": "1.6.ID.SC-3", | ||||
189 | "label": " I contratti con i fornitori e i partner terzi sono utilizzati per realizzare appropriate misure progettate per rispettare gli obiettivi del programma di cybersecurity dell'organizzazione e del Piano di Gestione del Rischio della catena di approvvigionamento cyber", | ||||
190 | "uuid": "3ddd9057-012f-4c52-bcb2-81b739592f59" | ||||
191 | }, | ||||
192 | { | ||||
193 | "category": "Supply Chain Risk Management (ID.SC)", | ||||
194 | "code": "1.6.ID.SC-4", | ||||
195 | "label": " Fornitori e partner terzi sono regolarmente valutati utilizzando audit, verifiche, o altre forme di valutazione per confermare il rispetto degli obblighi contrattuali", | ||||
196 | "uuid": "95b33d81-a932-418e-adb5-8fdf227b17a0" | ||||
197 | }, | ||||
198 | { | ||||
199 | "category": "Supply Chain Risk Management (ID.SC)", | ||||
200 | "code": "1.6.ID.SC-5", | ||||
201 | "label": " La pianificazione e la verifica della risposta e del ripristino sono condotti con i fornitori e i partner terzi", | ||||
202 | "uuid": "69cd9d82-dd9c-4a80-a572-54bd8f125891" | ||||
203 | }, | ||||
204 | { | ||||
205 | "category": "Data Management (DP-ID.DM)", | ||||
206 | "code": "1.7.DP-ID.DM-1", | ||||
207 | "label": " Il ciclo di vita dei dati è definito e documentato", | ||||
208 | "uuid": "8491c560-2f47-43e4-983b-934a7dd6d157" | ||||
209 | }, | ||||
210 | { | ||||
211 | "category": "Data Management (DP-ID.DM)", | ||||
212 | "code": "1.7.DP-ID.DM-2", | ||||
213 | "label": " Sono definiti, implementati e documentati i processi riguardanti l'informazione dell'interessato in merito al trattamento dei dati", | ||||
214 | "uuid": "053542b5-089c-4b54-936c-929981f6265e" | ||||
215 | }, | ||||
216 | { | ||||
217 | "category": "Data Management (DP-ID.DM)", | ||||
218 | "code": "1.7.DP-ID.DM-3", | ||||
219 | "label": " Sono definiti, implementati e documentati i processi di raccolta e revoca del consenso dell'interessato al trattamento di dati", | ||||
220 | "uuid": "d7d8ef0d-03ca-47e9-b011-d1ae6597947a" | ||||
221 | }, | ||||
222 | { | ||||
223 | "category": "Data Management (DP-ID.DM)", | ||||
224 | "code": "1.7.DP-ID.DM-4", | ||||
225 | "label": " Sono definiti, implementati e documentati i processi per l'esercizio dei diritti (accesso, rettifica, cancellazione, ecc.) dell'interessato", | ||||
226 | "uuid": "dd0fed00-a05e-4201-8615-89c9ed3293cc" | ||||
227 | }, | ||||
228 | { | ||||
229 | "category": "Data Management (DP-ID.DM)", | ||||
230 | "code": "1.7.DP-ID.DM-5", | ||||
231 | "label": " Sono definiti, implementati e documentati i processi di trasferimento dei dati in ambito internazionale", | ||||
232 | "uuid": "0b1b121d-0def-4816-9b4b-ce763522ce13" | ||||
233 | }, | ||||
234 | { | ||||
235 | "category": "Identity Management, Authentication and Access Control (PR.AC)", | ||||
236 | "code": "2.1.PR.AC-1", | ||||
237 | "label": " Le identità digitali e le credenziali di accesso per gli utenti, i dispositivi e i processi autorizzati sono amministrate, verificate, revocate e sottoposte a audit sicurezza", | ||||
238 | "uuid": "e520a460-bdb8-4d66-9a68-9226c4e13cfa" | ||||
239 | }, | ||||
240 | { | ||||
241 | "category": "Identity Management, Authentication and Access Control (PR.AC)", | ||||
242 | "code": "2.1.PR.AC-2", | ||||
243 | "label": " L'accesso fisico alle risorse è protetto e amministrato", | ||||
244 | "uuid": "8b2b130a-d307-4795-928a-1d9f07877c9d" | ||||
245 | }, | ||||
246 | { | ||||
247 | "category": "Identity Management, Authentication and Access Control (PR.AC)", | ||||
248 | "code": "2.1.PR.AC-3", | ||||
249 | "label": " L'accesso remoto alle risorse è amministrato", | ||||
250 | "uuid": "e95b4660-4b53-4bc0-8e37-1d5d429a6d78" | ||||
251 | }, | ||||
252 | { | ||||
253 | "category": "Identity Management, Authentication and Access Control (PR.AC)", | ||||
254 | "code": "2.1.PR.AC-4", | ||||
255 | "label": " I diritti di accesso alle risorse e le relative autorizzazioni sono amministrati secondo il principio del privilegio minimo e della separazione delle funzioni", | ||||
256 | "uuid": "c6923165-ee8a-4fb2-bbd5-50cbd71d63c6" | ||||
257 | }, | ||||
258 | { | ||||
259 | "category": "Identity Management, Authentication and Access Control (PR.AC)", | ||||
260 | "code": "2.1.PR.AC-5", | ||||
261 | "label": " L'integrità di rete è protetta (es. segregazione di rete, segmentazione di rete)", | ||||
262 | "uuid": "86d4153e-42af-4f8e-9495-a987726a452e" | ||||
263 | }, | ||||
264 | { | ||||
265 | "category": "Identity Management, Authentication and Access Control (PR.AC)", | ||||
266 | "code": "2.1.PR.AC-6", | ||||
267 | "label": " Le identità sono comprovate, associate a credenziali e verificate durante le interazioni", | ||||
268 | "uuid": "ad8fb9a2-5b5e-4f95-ba69-5bf6c49fe559" | ||||
269 | }, | ||||
270 | { | ||||
271 | "category": "Identity Management, Authentication and Access Control (PR.AC)", | ||||
272 | "code": "2.1.PR.AC-7", | ||||
273 | "label": " Le modalità di autenticazione (es. autenticazione a fattore singolo o multiplo) per gli utenti, i dispositivi e altri asset sono commisurate al rischio della transazione (es. rischi legati alla sicurezza e privacy degli individui e altri rischi dell'organizzazione)", | ||||
274 | "uuid": "657cab82-56a2-4fd9-99ee-17a99e22884d" | ||||
275 | }, | ||||
276 | { | ||||
277 | "category": "Awareness and Training (PR.AT)", | ||||
278 | "code": "2.2.PR.AT-1", | ||||
279 | "label": " Tutti gli utenti sono informati e addestrati ", | ||||
280 | "uuid": "8a18161b-a76f-4d4f-9ab6-790b0dc095c9" | ||||
281 | }, | ||||
282 | { | ||||
283 | "category": "Awareness and Training (PR.AT)", | ||||
284 | "code": "2.2.PR.AT-2", | ||||
285 | "label": " Gli utenti con privilegi (es. Amministratori di Sistema) comprendono i loro ruoli e responsabilità ", | ||||
286 | "uuid": "f46f1bd9-6325-417f-917c-603a1f59c4be" | ||||
287 | }, | ||||
288 | { | ||||
289 | "category": "Awareness and Training (PR.AT)", | ||||
290 | "code": "2.2.PR.AT-3", | ||||
291 | "label": " Tutte le terze parti (es. fornitori, clienti, partner) comprendono i loro ruoli e responsabilità ", | ||||
292 | "uuid": "a89c1e4d-34cc-44a6-b9ef-745011ea205c" | ||||
293 | }, | ||||
294 | { | ||||
295 | "category": "Awareness and Training (PR.AT)", | ||||
296 | "code": "2.2.PR.AT-4", | ||||
297 | "label": " I dirigenti ed i vertici aziendali comprendono i loro ruoli e responsabilità ", | ||||
298 | "uuid": "dbfc1342-5cbc-4ea1-ac1a-2026b530b47f" | ||||
299 | }, | ||||
300 | { | ||||
301 | "category": "Awareness and Training (PR.AT)", | ||||
302 | "code": "2.2.PR.AT-5", | ||||
303 | "label": " Il personale addetto alla sicurezza fisica e alla cybersecurity comprende i suoi ruoli e responsabilità ", | ||||
304 | "uuid": "b585efcf-3fbf-4b0a-a94a-2ab0eced9b8a" | ||||
305 | }, | ||||
306 | { | ||||
307 | "category": "Data Security (PR.DS)", | ||||
308 | "code": "2.3.PR.DS-1", | ||||
309 | "label": " I dati memorizzati sono protetti", | ||||
310 | "uuid": "d7db880a-5d0e-42c5-a5f4-c53d3cf5cf3a" | ||||
311 | }, | ||||
312 | { | ||||
313 | "category": "Data Security (PR.DS)", | ||||
314 | "code": "2.3.PR.DS-2", | ||||
315 | "label": " I dati sono protetti durante la trasmissione", | ||||
316 | "uuid": "fdefe408-c539-4af5-8cab-ae45a09563df" | ||||
317 | }, | ||||
318 | { | ||||
319 | "category": "Data Security (PR.DS)", | ||||
320 | "code": "2.3.PR.DS-3", | ||||
321 | "label": " Il trasferimento fisico, la rimozione e la distruzione dei dispositivi atti alla memorizzazione di dati sono gestiti attraverso un processo formale", | ||||
322 | "uuid": "c56b3cd7-32da-4773-aa95-3a0ec0455f60" | ||||
323 | }, | ||||
324 | { | ||||
325 | "category": "Data Security (PR.DS)", | ||||
326 | "code": "2.3.PR.DS-4", | ||||
327 | "label": " I sistemi hanno adeguate risorse a disposizione per poter garantire la disponibilità", | ||||
328 | "uuid": "199e81e0-171e-4ae3-a116-894e9137b318" | ||||
329 | }, | ||||
330 | { | ||||
331 | "category": "Data Security (PR.DS)", | ||||
332 | "code": "2.3.PR.DS-5", | ||||
333 | "label": " Sono implementate tecniche di protezione (es. controllo di accesso) contro la sottrazione dei dati (data leak).", | ||||
334 | "uuid": "b36e3766-6225-4dab-83b2-22e2dba74c9c" | ||||
335 | }, | ||||
336 | { | ||||
337 | "category": "Data Security (PR.DS)", | ||||
338 | "code": "2.3.PR.DS-6", | ||||
339 | "label": " Sono impiegati meccanismi di controllo dell'integrità dei dati per verificare l'autenticità di software, firmware e delle informazioni", | ||||
340 | "uuid": "d280c6c5-9564-412a-92ca-298d9df91e50" | ||||
341 | }, | ||||
342 | { | ||||
343 | "category": "Data Security (PR.DS)", | ||||
344 | "code": "2.3.PR.DS-7", | ||||
345 | "label": " Gli ambienti di sviluppo e test sono separati dall'ambiente di produzione", | ||||
346 | "uuid": "8cc43966-a771-441a-aea0-d30798a08e97" | ||||
347 | }, | ||||
348 | { | ||||
349 | "category": "Data Security (PR.DS)", | ||||
350 | "code": "2.3.PR.DS-8", | ||||
351 | "label": " Sono impiegati meccanismi di controllo dell'integrità per verificare l'integrità del hardware", | ||||
352 | "uuid": "b2c462ac-7b2d-44a7-8637-01579385d523" | ||||
353 | }, | ||||
354 | { | ||||
355 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
356 | "code": "2.4.PR.IP-1", | ||||
357 | "label": " Sono definite e gestite delle pratiche di riferimento (c.d. baseline) per la configurazione dei sistemi IT e di controllo industriale che incorporano principi di sicurezza (es. principio di minima funzionalità)", | ||||
358 | "uuid": "0a464452-81b8-4a13-a962-641c3e8d3b4a" | ||||
359 | }, | ||||
360 | { | ||||
361 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
362 | "code": "2.4.PR.IP-2", | ||||
363 | "label": " Viene implementato un processo per la gestione del ciclo di vita dei sistemi (System Development Life Cycle).", | ||||
364 | "uuid": "8fbe2c06-01a8-456a-b97a-d305aab4a4c5" | ||||
365 | }, | ||||
366 | { | ||||
367 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
368 | "code": "2.4.PR.IP-3", | ||||
369 | "label": " Sono attivi processi di controllo della modifica delle configurazioni", | ||||
370 | "uuid": "f3f9699b-1730-48ed-8ed0-b3c88fdc1847" | ||||
371 | }, | ||||
372 | { | ||||
373 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
374 | "code": "2.4.PR.IP-4", | ||||
375 | "label": " I backup delle informazioni sono eseguiti, amministrati e verificati ", | ||||
376 | "uuid": "179343ae-0cf7-4b39-a66e-9d9670c47d08" | ||||
377 | }, | ||||
378 | { | ||||
379 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
380 | "code": "2.4.PR.IP-5", | ||||
381 | "label": " Sono rispettate le policy ed i regolamenti relativi agli ambienti fisici in cui operano le risorse dell'organizzazione", | ||||
382 | "uuid": "d414d4c6-01b3-48bd-bcb2-075f922427d8" | ||||
383 | }, | ||||
384 | { | ||||
385 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
386 | "code": "2.4.PR.IP-6", | ||||
387 | "label": " I dati sono distrutti in conformità con le policy", | ||||
388 | "uuid": "634af946-334a-449b-a3dc-39d6717c2aed" | ||||
389 | }, | ||||
390 | { | ||||
391 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
392 | "code": "2.4.PR.IP-7", | ||||
393 | "label": " I processi di protezione sono sottoposti a miglioramenti", | ||||
394 | "uuid": "753ee2a1-2bea-4893-a0bb-c44f3b0ac306" | ||||
395 | }, | ||||
396 | { | ||||
397 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
398 | "code": "2.4.PR.IP-8", | ||||
399 | "label": " L'efficacia delle tecnologie di protezione viene condivisa", | ||||
400 | "uuid": "c9d007e5-ad37-4532-b3c0-6c6582d513f5" | ||||
401 | }, | ||||
402 | { | ||||
403 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
404 | "code": "2.4.PR.IP-9", | ||||
405 | "label": " Sono attivi ed amministrati piani di risposta (Incident Response e Business Continuity) e recupero (Incident Recovery e Disaster Recovery) in caso di incidente/disastro", | ||||
406 | "uuid": "59e36de2-8cd8-43ad-b4a5-bc3367291589" | ||||
407 | }, | ||||
408 | { | ||||
409 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
410 | "code": "2.4.PR.IP-10", | ||||
411 | "label": " I piani di risposta e recupero a seguito di incidenti/disastri sono verificati nel tempo", | ||||
412 | "uuid": "d198e765-c7f8-4a18-a7d0-9ccb7ee22e77" | ||||
413 | }, | ||||
414 | { | ||||
415 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
416 | "code": "2.4.PR.IP-11", | ||||
417 | "label": " Le problematiche inerenti la cybersecurity sono incluse nei processi di gestione del personale (es: screening, deprovisioning)", | ||||
418 | "uuid": "d6ba7937-513f-4ca3-ae65-f8a501ebb5d8" | ||||
419 | }, | ||||
420 | { | ||||
421 | "category": "Information Protection Processes and Procedures (PR.IP)", | ||||
422 | "code": "2.4.PR.IP-12", | ||||
423 | "label": " Viene sviluppato e implementato un piano di gestione delle vulnerabilità", | ||||
424 | "uuid": "19cee290-e181-43a7-95b7-a9a4a0bc1397" | ||||
425 | }, | ||||
426 | { | ||||
427 | "category": "Maintenance (PR.MA)", | ||||
428 | "code": "2.5.PR.MA-1", | ||||
429 | "label": " La manutenzione e la riparazione delle risorse e dei sistemi è eseguita e registrata con strumenti controllati ed autorizzati", | ||||
430 | "uuid": "a0be9ff4-b7e3-4bea-9c1a-1e9061f419e6" | ||||
431 | }, | ||||
432 | { | ||||
433 | "category": "Maintenance (PR.MA)", | ||||
434 | "code": "2.5.PR.MA-2", | ||||
435 | "label": " La manutenzione remota delle risorse e dei sistemi è approvata, documentata e svolta in modo da evitare accessi non autorizzati", | ||||
436 | "uuid": "be58b985-5461-4905-b234-5fc825d2a082" | ||||
437 | }, | ||||
438 | { | ||||
439 | "category": "Protective Technology (PR.PT)", | ||||
440 | "code": "2.6.PR.PT-1", | ||||
441 | "label": " Esiste ed è attuata una policy per definire, implementare e revisionare i log dei sistemi", | ||||
442 | "uuid": "ff10d792-9d1e-4c22-9292-a2fa7d71ed7c" | ||||
443 | }, | ||||
444 | { | ||||
445 | "category": "Protective Technology (PR.PT)", | ||||
446 | "code": "2.6.PR.PT-2", | ||||
447 | "label": " I supporti di memorizzazione removibili sono protetti ed il loro uso è ristretto in accordo alle policy", | ||||
448 | "uuid": "da9f7340-0a01-4c03-a251-75050a5f5b4e" | ||||
449 | }, | ||||
450 | { | ||||
451 | "category": "Protective Technology (PR.PT)", | ||||
452 | "code": "2.6.PR.PT-3", | ||||
453 | "label": " Viene adottato il principio di minima funzionalità configurando i sistemi in modo che forniscano solo le funzionalità necessarie", | ||||
454 | "uuid": "3b60881b-a2c3-4281-8c68-d06b81dde9d9" | ||||
455 | }, | ||||
456 | { | ||||
457 | "category": "Protective Technology (PR.PT)", | ||||
458 | "code": "2.6.PR.PT-4", | ||||
459 | "label": " Le reti di comunicazione e controllo sono protette", | ||||
460 | "uuid": "0f283c7f-d6c2-424f-9f4f-86012a83e618" | ||||
461 | }, | ||||
462 | { | ||||
463 | "category": "Protective Technology (PR.PT)", | ||||
464 | "code": "2.6.PR.PT-5", | ||||
465 | "label": " Sono implementati meccanismi (es. failsafe, load balancing, hot swap) che permettono di soddisfare requisiti di resilienza sia durante il normale esercizio che in situazioni avverse", | ||||
466 | "uuid": "cddde647-c977-42f6-bd99-bfd3d403aeb4" | ||||
467 | }, | ||||
468 | { | ||||
469 | "category": "Anomalies and Events (DE.AE)", | ||||
470 | "code": "3.1.DE.AE-1", | ||||
471 | "label": " Sono definite, rese note e gestite delle pratiche di riferimento (c.d. baseline) inerenti l'utilizzo della rete ed i flussi informativi attesi per utenti e sistemi", | ||||
472 | "uuid": "19e8baa2-1f65-486c-8f8a-4b6c6063e113" | ||||
473 | }, | ||||
474 | { | ||||
475 | "category": "Anomalies and Events (DE.AE)", | ||||
476 | "code": "3.1.DE.AE-2", | ||||
477 | "label": " Gli eventi rilevati vengono analizzati per comprendere gli obiettivi e le metodologie dell'attacco", | ||||
478 | "uuid": "138b73de-0fb8-4be9-a427-d3657cef1277" | ||||
479 | }, | ||||
480 | { | ||||
481 | "category": "Anomalies and Events (DE.AE)", | ||||
482 | "code": "3.1.DE.AE-3", | ||||
483 | "label": " Le informazioni relative agli eventi sono raccolte e correlate da sensori e sorgenti multiple", | ||||
484 | "uuid": "d5df4426-ab20-467c-9781-bd62c50fd5c7" | ||||
485 | }, | ||||
486 | { | ||||
487 | "category": "Anomalies and Events (DE.AE)", | ||||
488 | "code": "3.1.DE.AE-4", | ||||
489 | "label": " Viene determinato l'impatto di un evento", | ||||
490 | "uuid": "93baabab-5a69-4175-b4c7-505e625cf251" | ||||
491 | }, | ||||
492 | { | ||||
493 | "category": "Anomalies and Events (DE.AE)", | ||||
494 | "code": "3.1.DE.AE-5", | ||||
495 | "label": " Vengono definite delle soglie di allerta per gli incidenti", | ||||
496 | "uuid": "57583b78-ad59-431a-b4fa-51b6162c83c0" | ||||
497 | }, | ||||
498 | { | ||||
499 | "category": "Security Continuous Monitoring (DE.CM)", | ||||
500 | "code": "3.2.DE.CM-1", | ||||
501 | "label": " Viene svolto il monitoraggio della rete informatica per rilevare potenziali eventi di cybersecurity", | ||||
502 | "uuid": "d50ef5a1-bcbe-429e-bd86-ffcdfeece362" | ||||
503 | }, | ||||
504 | { | ||||
505 | "category": "Security Continuous Monitoring (DE.CM)", | ||||
506 | "code": "3.2.DE.CM-2", | ||||
507 | "label": " Viene svolto il monitoraggio degli spazi fisici per rilevare potenziali eventi di cybersecurity", | ||||
508 | "uuid": "851bcdea-9226-4379-883e-bb95975d2cb9" | ||||
509 | }, | ||||
510 | { | ||||
511 | "category": "Security Continuous Monitoring (DE.CM)", | ||||
512 | "code": "3.2.DE.CM-3", | ||||
513 | "label": " Viene svolto il monitoraggio del personale per rilevare potenziali eventi di cybersecurity", | ||||
514 | "uuid": "b2f733f0-eb19-4dd4-9e8c-6b8f4f4e6054" | ||||
515 | }, | ||||
516 | { | ||||
517 | "category": "Security Continuous Monitoring (DE.CM)", | ||||
518 | "code": "3.2.DE.CM-4", | ||||
519 | "label": " Il codice malevolo viene rilevato", | ||||
520 | "uuid": "7bd761cc-be09-4ff1-955f-ca7f13bcb54e" | ||||
521 | }, | ||||
522 | { | ||||
523 | "category": "Security Continuous Monitoring (DE.CM)", | ||||
524 | "code": "3.2.DE.CM-5", | ||||
525 | "label": " Il codice non autorizzato su dispositivi mobili viene rilevato", | ||||
526 | "uuid": "ec72e9bd-6076-4014-b6be-c163872a6a22" | ||||
527 | }, | ||||
528 | { | ||||
529 | "category": "Security Continuous Monitoring (DE.CM)", | ||||
530 | "code": "3.2.DE.CM-6", | ||||
531 | "label": " Viene svolto il monitoraggio delle attività dei service provider esterni per rilevare potenziali eventi di cybersecurity", | ||||
532 | "uuid": "36053532-f7cf-4023-a55d-d04799f024e9" | ||||
533 | }, | ||||
534 | { | ||||
535 | "category": "Security Continuous Monitoring (DE.CM)", | ||||
536 | "code": "3.2.DE.CM-7", | ||||
537 | "label": " Viene svolto il monitoraggio per rilevare personale, connessioni, dispositivi o software non autorizzati", | ||||
538 | "uuid": "cf9df479-d460-40fe-94e0-6e454e96e7b8" | ||||
539 | }, | ||||
540 | { | ||||
541 | "category": "Security Continuous Monitoring (DE.CM)", | ||||
542 | "code": "3.2.DE.CM-8", | ||||
543 | "label": " Vengono svolte scansioni per l'identificazione di vulnerabilità", | ||||
544 | "uuid": "a050008d-ce2e-4868-9759-5d8ea4a87296" | ||||
545 | }, | ||||
546 | { | ||||
547 | "category": "Detection Processes (DE.DP)", | ||||
548 | "code": "3.3.DE.DP-1", | ||||
549 | "label": " Ruoli e responsabilità per i processi di monitoraggio sono ben definiti al fine di garantire l'accountability", | ||||
550 | "uuid": "b622c30b-5be3-4ab6-a286-f05e45f13220" | ||||
551 | }, | ||||
552 | { | ||||
553 | "category": "Detection Processes (DE.DP)", | ||||
554 | "code": "3.3.DE.DP-2", | ||||
555 | "label": " Le attività di monitoraggio soddisfano tutti i requisiti applicabili", | ||||
556 | "uuid": "5f5383ab-29c2-4ec7-8123-88a42363b007" | ||||
557 | }, | ||||
558 | { | ||||
559 | "category": "Detection Processes (DE.DP)", | ||||
560 | "code": "3.3.DE.DP-3", | ||||
561 | "label": " I processi di monitoraggio vengono testati", | ||||
562 | "uuid": "366274c5-b852-4463-ae2d-673ac4ce691d" | ||||
563 | }, | ||||
564 | { | ||||
565 | "category": "Detection Processes (DE.DP)", | ||||
566 | "code": "3.3.DE.DP-4", | ||||
567 | "label": " L'informazione relativa agli eventi rilevati viene comunicata", | ||||
568 | "uuid": "32b83104-6c94-4e95-8a69-36748802fd2c" | ||||
569 | }, | ||||
570 | { | ||||
571 | "category": "Detection Processes (DE.DP)", | ||||
572 | "code": "3.3.DE.DP-5", | ||||
573 | "label": " I processi di monitoraggio sono oggetto di periodici miglioramenti e perfezionamenti", | ||||
574 | "uuid": "19295d00-29ae-49ca-978a-ef692e4c6194" | ||||
575 | }, | ||||
576 | { | ||||
577 | "category": "Response Planning (RS.RP)", | ||||
578 | "code": "4.1.RS.RP-1", | ||||
579 | "label": " Esiste un piano di risposta (response plan) e questo viene eseguito durante o dopo un incidente", | ||||
580 | "uuid": "79e3059f-7bc6-4db1-93e0-3ef24f41b90e" | ||||
581 | }, | ||||
582 | { | ||||
583 | "category": "Communications (RS.CO)", | ||||
584 | "code": "4.2.RS.CO-1", | ||||
585 | "label": " Il personale conosce il proprio ruolo e le operazioni che deve svolgere in caso sia necessaria una risposta ad un incidente", | ||||
586 | "uuid": "6b86edbb-0fbf-45e8-9367-1c370ae1e8a6" | ||||
587 | }, | ||||
588 | { | ||||
589 | "category": "Communications (RS.CO)", | ||||
590 | "code": "4.2.RS.CO-2", | ||||
591 | "label": " Sono stabiliti dei criteri per documentare gli incidenti", | ||||
592 | "uuid": "97b64b04-6b59-4549-96ab-27616f6f87f6" | ||||
593 | }, | ||||
594 | { | ||||
595 | "category": "Communications (RS.CO)", | ||||
596 | "code": "4.2.RS.CO-3", | ||||
597 | "label": " Le informazioni sono condivise in maniera coerente con il piano di risposta", | ||||
598 | "uuid": "cc8b76a3-1fba-4d83-956e-55e3b06b7aeb" | ||||
599 | }, | ||||
600 | { | ||||
601 | "category": "Communications (RS.CO)", | ||||
602 | "code": "4.2.RS.CO-4", | ||||
603 | "label": " Il coordinamento con le parti interessate dell'organizzazione avviene in coerenza con i piani di risposta", | ||||
604 | "uuid": "b8764c97-45b0-4ea3-ab24-f0a555d6dadb" | ||||
605 | }, | ||||
606 | { | ||||
607 | "category": "Communications (RS.CO)", | ||||
608 | "code": "4.2.RS.CO-5", | ||||
609 | "label": " È attuata una condivisione spontanea delle informazioni con le parti interessate esterne all'organizzazione (information sharing) per ottenere una maggior consapevolezza della situazione (c.d. situational awareness)", | ||||
610 | "uuid": "f43e846e-e1ca-416e-b719-85ff613eacdb" | ||||
611 | }, | ||||
612 | { | ||||
613 | "category": "Communications (RS.CO)", | ||||
614 | "code": "4.2a.DP-RS.CO-6", | ||||
615 | "label": " Gli incidenti che si configurano come violazioni di dati personali sono documentati ed eventualmente vengono informati le autorità di riferimento e gli interessati", | ||||
616 | "uuid": "45d017f7-171c-4b39-bd7b-c36d9a086af7" | ||||
617 | }, | ||||
618 | { | ||||
619 | "category": "Analysis (RS.AN)", | ||||
620 | "code": "4.3.RS.AN-1", | ||||
621 | "label": " Le notifiche provenienti dai sistemi di monitoraggio vengono sempre visionate e analizzate", | ||||
622 | "uuid": "6039fa58-6d7e-42c2-b537-d09253980e2e" | ||||
623 | }, | ||||
624 | { | ||||
625 | "category": "Analysis (RS.AN)", | ||||
626 | "code": "4.3.RS.AN-2", | ||||
627 | "label": " Viene compreso l'impatto di ogni incidente", | ||||
628 | "uuid": "7627ebc0-7590-4032-83e3-c25c14f0e24c" | ||||
629 | }, | ||||
630 | { | ||||
631 | "category": "Analysis (RS.AN)", | ||||
632 | "code": "4.3.RS.AN-3", | ||||
633 | "label": " A seguito di un incidente viene svolta un'analisi forense", | ||||
634 | "uuid": "7b107db4-f437-49f5-92e0-df180a158b41" | ||||
635 | }, | ||||
636 | { | ||||
637 | "category": "Analysis (RS.AN)", | ||||
638 | "code": "4.3.RS.AN-4", | ||||
639 | "label": " Gli incidenti sono categorizzate in maniera coerente con i piani di risposta", | ||||
640 | "uuid": "f4571b0d-6630-492f-8321-41dde3197605" | ||||
641 | }, | ||||
642 | { | ||||
643 | "category": "Analysis (RS.AN)", | ||||
644 | "code": "4.3.RS.AN-5", | ||||
645 | "label": " Sono definiti processi per ricevere, analizzare e rispondere a informazioni inerenti vulnerabilità rese note da fonti interne o esterne all'organizzazione (es. test interni, bollettini di sicurezza, o ricercatori in sicurezza)", | ||||
646 | "uuid": "c481413c-993c-49c4-90e8-f2f5b0d635af" | ||||
647 | }, | ||||
648 | { | ||||
649 | "category": "Mitigation (RS.MI)", | ||||
650 | "code": "4.4.RS.MI-1", | ||||
651 | "label": " In caso di incidente vengono messe in atto procedure atte a contenerne l'impatto", | ||||
652 | "uuid": "fb2d8e74-c78f-42f7-be32-16a0c9864049" | ||||
653 | }, | ||||
654 | { | ||||
655 | "category": "Mitigation (RS.MI)", | ||||
656 | "code": "4.4.RS.MI-2", | ||||
657 | "label": " In caso di incidente vengono messe in atto procedure atte a mitigarne gli effetti", | ||||
658 | "uuid": "3c1d41ca-44ac-4711-916e-2ea646ee7506" | ||||
659 | }, | ||||
660 | { | ||||
661 | "category": "Mitigation (RS.MI)", | ||||
662 | "code": "4.4.RS.MI-3", | ||||
663 | "label": " Le nuove vulnerabilità sono mitigate o documentate come rischio accettato", | ||||
664 | "uuid": "1bd11353-4a30-42d3-a206-3e309cf1150a" | ||||
665 | }, | ||||
666 | { | ||||
667 | "category": "Improvements (RS.IM)", | ||||
668 | "code": "4.5.RS.IM-1", | ||||
669 | "label": " I piani di risposta agli incidenti tengono in considerazione le esperienze passate (lesson learned)", | ||||
670 | "uuid": "9f7579fc-71d2-4eab-9bcc-5b52b45529bf" | ||||
671 | }, | ||||
672 | { | ||||
673 | "category": "Improvements (RS.IM)", | ||||
674 | "code": "4.5.RS.IM-2", | ||||
675 | "label": " Le strategie di risposta agli incidenti sono aggiornate", | ||||
676 | "uuid": "2b891a3b-dde4-4ce3-a59f-85c74d506542" | ||||
677 | }, | ||||
678 | { | ||||
679 | "category": "Recovery Planning (RC.RP)", | ||||
680 | "code": "5.1.RC.RP-1", | ||||
681 | "label": " Esiste un piano di ripristino (recovery plan) e viene eseguito durante o dopo un incidente di cybersecurity", | ||||
682 | "uuid": "6bd639fd-0fac-4b20-ae90-21569003d7af" | ||||
683 | }, | ||||
684 | { | ||||
685 | "category": "Improvements (RC.IM)", | ||||
686 | "code": "5.2.RC.IM-1", | ||||
687 | "label": " I piani di riprisitino tengono in considerazione le esperienze passate (lesson learned)", | ||||
688 | "uuid": "6a099d23-7edf-434a-bf56-67632206fa1f" | ||||
689 | }, | ||||
690 | { | ||||
691 | "category": "Improvements (RC.IM)", | ||||
692 | "code": "5.2.RC.IM-2", | ||||
693 | "label": " Le strategie di recupero sono aggiornate", | ||||
694 | "uuid": "f3bd034b-8e54-4a77-8e9b-36ffd57943da" | ||||
695 | }, | ||||
696 | { | ||||
697 | "category": "Communications (RC.CO)", | ||||
698 | "code": "5.3.RC.CO-1", | ||||
699 | "label": " A seguito di un incidente vengono gestite le pubbliche relazioni", | ||||
700 | "uuid": "cb2ee8c9-26bc-478f-8ce9-9b9698bda7f3" | ||||
701 | }, | ||||
702 | { | ||||
703 | "category": "Communications (RC.CO)", | ||||
704 | "code": "5.3.RC.CO-2", | ||||
705 | "label": " A seguito di un incidente viene ripristinata la reputazione ", | ||||
706 | "uuid": "f0992b88-7853-4d43-ac5c-478434456d59" | ||||
707 | }, | ||||
708 | { | ||||
709 | "category": "Communications (RC.CO)", | ||||
710 | "code": "5.3.RC.CO-3", | ||||
711 | "label": " Le attività di ripristino condotte a seguito di un incidente vengono comunicate alle parti interessate interne ed esterne all'organizzazione, inclusi i dirigenti ed i vertici dell'organizzazione", | ||||
712 | "uuid": "ed168887-4bd7-4d3e-9ecb-8d88970c49df" | ||||
713 | } | ||||
714 | ], | ||||
715 | "version": 2, | ||||
716 | "version_ext": "0" | ||||
717 | } |