Estratto della Politica per la Sicurezza delle Informazioni

Il Consortium GARR (GARR) considera un bene prezioso le informazioni che gli utenti affidano o trattano attraverso le tecnologie informatiche che mette a loro disposizione. Pertanto il GARR intende assumersi la responsabilità di proteggere e valorizzare tale patrimonio impegnandosi a garantire che tali informazioni possano essere utilizzate con la debita garanzia di accuratezza e completezza, che siano adeguatamente protette da uso improprio, da divulgazione non autorizzata e da danni o perdite.

La presente Politica per la Sicurezza delle Informazioni esprime tale impegno del GARR, nei confronti sia delle istituzioni aderenti al GARR che della sua comunità di riferimento, a garantire la sicurezza delle informazioni, degli strumenti fisici, logici e organizzativi atti al trattamento delle informazioni in tutte le attività di erogazione di servizi cloud.

Il Consortium GARR si impegna a preservare la riservatezza, l’integrità e disponibilità delle informazioni di cui viene in possesso per l’espletamento delle proprie attività di fornitura di servizi cloud, ed a provvedere alla sicurezza degli strumenti utilizzati per il loro trattamento. A questo scopo il Consortium GARR definisce ed implementa di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme allo standard ISO 27001.

Il GARR si impegna a motivare i dipendenti a partecipare proattivamente all’applicazione del SGSI ed al suo miglioramento continuo. Si impegna inoltre ad allocare le risorse per la sua corretta ed efficace applicazione. Si impegna inoltre a rispettare i requisiti della sicurezza delle informazioni, con i seguenti obiettivi:

  • I dati devono essere sottoposti a backup su base regolare, protetti da accessi non autorizzati o modifiche durante l’archiviazione e disponibili per essere recuperati tempestivamente nell’evento di incidente o disastro;
  • tecniche di crittografia devono essere utilizzate per proteggere i dati sensibili durante la trasmissione e stoccaggio;
  • meccanismi di rilevamento degli incidenti devono essere implementati per tutti i sistemi IT;
  • devono essere applicate le patch di sicurezza e devono essere implementati i processi di gestione delle vulnerabilità sulle risorse IT;
  • è necessario registrare eventi chiave relativi alla sicurezza, come le modifiche ai privilegi degli utenti, al fine di identificare potenziali attività non autorizzate e facilitare azioni di follow-up appropriate;
  • qualsiasi modifica ai sistemi in uso presso il GARR deve essere registrata e valutata per la sicurezza e l’impatto sul rischio;
  • le applicazioni Web relative ai servizi GARR devono essere progettate, costruite e verificate per garantire che la sicurezza sia applicata a tutti i livelli dell’applicazione e dello stack tecnologico;
  • le strutture in cui sono conservate o elaborate informazioni critiche, devono essere costruite e disposte in modo tale che i dati siano adeguatamente protetti da minacce fisiche ed ambientali;
  • l’architettura di rete deve essere commisurata ai requisiti delle attività attuali e future, nonché alle minacce alla sicurezza;
  • i rischi relativi alla sicurezza delle informazioni devono essere identificati, mitigati e monitorati attraverso un processo formalizzato di gestione del rischio;
  • tutti gli utenti che hanno accesso alle reti, ai sistemi e ai servizi IT di GARR devono aderire regole specifiche riguardanti l’uso delle risorse.

Il Consortium GARR si impegna a diffondere il presente documento presso tutte le parti interessate, che includono i dipendenti, gli utenti, la comunità scientifica nazionale ed europea, i soci, i cittadini italiani ed europei ed i fornitori del Consortium GARR.