sez.1. Audit ICT: HARDWARE - SPPD-RSMSEFT

Vai ai contenuti

Menu principale:

sez.1. Audit ICT: HARDWARE

AUDIT HARDWARE

Controllo degli apparati

      • 1.1 In azienda esiste un inventario accurato delle apparecchiature elettroniche presenti in ciascuna stanza delle sue varie sedi?
      • 1.2 L'inventario include un dettaglio di tutti i dispositivi autorizzati per l'utilizzo all'interno dell'azienda (es. hard disk, pen drive, ecc.)?
      • 1.3 Avvengono periodicamente dei controlli ispettivi a sorpresa per verificare che gli apparati elettronici siano effettivamente presenti nei luoghi riportati nell'apposito inventario?
      • 1.4 Se vi sono discrepanze tra l'inventario dei dispositivi elettronici e quelli effettivamente individuati avviene rapidamente una investigazione del motivo?
      • 1.5 Ogni volta che un dipendente responsabile di un certo apparato ne autorizza lo spostamento, esiste una procedura rapida ed efficiente per aggiornare tale inventario?
      • 1.6 L'inventario dei dispositivi elettronici per ciascuna sede viene aggiornato ogni volta che un nuovo dispositivo viene aggiunto o rimosso?
      • 1.7 C'è in azienda una politica esplicita che definisce quali tipologie di apparati possano essere trasportate fuori dai confini aziendali, nonché le autorizzazioni necessarie a tale tipo di movimentazione?
      • 1.8 Se un dispositivo di memorizzazione contenente dati sensibili deve essere portato fuori dall'azienda ci sono procedure di cifratura sui dati?
      • 1.9 C'è una policy che vieta ai dipendenti di pubblicare foto/video di attività che si svolgono all'interno di aree che includono informazioni sensibili?
      • 1.10 I dipendenti possono portare dispositivi elettronici personali all'interno dell'azienda o vi è un esplicito divieto?
      • 1.11 Se un dipendente viene identificato mentre porta al di fuori dell'azienda dispositivi di memorizzazione non autorizzati, ci sono policy che autorizzano l'azienda all'analisi del dispositivo stesso?
      • 1.12 Se un dispositivo viene smarrito ci sono procedure che permettono di identificarne rapidamente il contenuto e se tale contenuto è cifrato o meno?
      • 1.13 Sono disponibili dispositivi sostitutivi per le funzionalità più rilevanti (server, desktop, laptop) in caso di smarrimento o danneggiamento fisico?
      • 1.14 Tali dispositivi sono già configurati e pronti per essere resi operativi?

---
Badge di identificazione
      • 1.15 I dipendenti devono indossare un badge identificativo con foto durante le attività lavorative?
      • 1.16 Ai visitatori esterni viene fornito un badge identificativo temporaneo, eventualmente con foto?

Privilegi per l'accesso fisico
      • 1.17 Vi sono delle chiare disposizioni formali portate a conoscenza di tutto il personale per ciò che riguarda le autorizzazioni necessarie per l'accesso al CED, e queste disposizioni vengono fatte rigorosamente rispettare?
      • 1.18 Sono presenti controlli per identificare chi entra ed esce dagli ambienti in cui operano i sistemi informativi?
      • 1.19 Sono presenti sistemi di logging degli accessi (data di entrata e data di uscita) da determinati ambienti?
      • 1.20 I permessi relativi agli accessi a determinate aree fische dell'azienda devono essere rinnovati alla loro scadenza o sono automaticamente validi fino alla loro disattivazione?
      • 1.21 E' identificato chi sono i soggetti che possono apportare modifiche alla lista dei soggetti autorizzati ad accedere a una specifica area?
      • 1.22 Al momento dell'aggiunta di un nuovo soggetto nella lista delle persone autorizzate, è prevista una verifica con il soggetto che lo ha autorizzato?
      • 1.23 Avviene un controllo a intervalli predefinito delle liste di accesso per verificare i soggetti che possono essere rimossi?
      • 1.24 I privilegi di accesso fisico e i relativi badge vengono immediatamente modificati nel momento in cui un dipendente cambia il suo ruolo di lavoro in azienda?
      • 1.25 I privilegi di accesso fisico e i relativi badge vengono immediatamente disattivati nel momento in cui un dipendete viene licenziato, lascia l'azienda o va in pensione?
      • 1.26 I privilegi di accesso fisico e i relativi badge concessi a fornitori esterni vengono immediatamente disattivati nel momento in cui termina il rapporto di collaborazione?
      • 1.27 Avviene una attività di audit dei log di accesso dei dipendenti alle aree contenenti dati sensibili, per verificare che tali accessi siano compatibili con il ruolo del dipendente stesso?
      • 1.28 Se vi è una discrepanza che emerge in fase di audit sono previste delle modalità di investigazione?
      • 1.29 Se vengono utilizzate delle videocamere, specialmente quelle di tipo wireless (senza fili), a scopo di monitoraggio, esse risultano protette contro tentativi di interferenza, visioni non autorizzate, e alterazione delle immagini registrate?


Protezione fisica dei dispositivi
      • 1.30 Sono previste delle barriere fisiche per impedire l'utilizzo di porte sui dispositivi (es. USB e lettori CD)?
      • 1.31 Gli armadi contenenti i dispositivi di rete e cavi di rete sono sempre chiusi a chiave?
      • 1.32 Le porte non utilizzate sugli switch di rete, in particolare le SPAN ports, sono disattivate per prevenire accessi non autorizzati?
      • 1.33 L'accesso con privelgi di root a router o switch è disattivato di default per impedire l'accesso non autorizzato?
      • 1.34 L'accesso fisico alle console di gestione di dispositivi di sicurezza della rete (es. firewall, IPS, IDS) è ristretto unicamente agli utenti autorizzati?
      • 1.35 Sono presenti fax e sono gli stessi protetti dall'accesso da parte di soggetti non autorizzati?
      • 1.36 I dispositivi elettronici sono etichettati con un codice a barra o altro identificativo?
      • 1.37 Se un apparato elettronico deve comunque lasciare i confini dell'azienda, esiste una procedura efficiente che permetta di seguirne gli spostamenti?
      • 1.38 Se un apparato informatico è molto sensibile dal punto di vista della sicurezza, esso risulta corredato di chip a tecnologia RFID (identificazione a radiofrequenza), così da permetterne la localizzazione in tempo pressoché reale?
      • 1.39 Quando le persone escono dalla sede dell'azienda vengono sottoposte a qualche forma di scansione per verificare la presenza di dispositivi elettronici?
      • 1.40 Esiste un sistema informatico per verificare che ciascun dispositivo connesso alla rete e al quale è assegnato un determinato indirizzo IP si trovi proprio in quel posto?
      • 1.41 Se una porta di accesso è attivata, in quanto in uso, ci sono procedure per monitorarne l'accesso non autorizzato?
      • 1.42 Se i dipendenti notano un utilizzo non autorizzato di dispositivi elettronici all'interno dell'azienda esiste un canale di facile utilizzo e privato per fare un reporting? Vi sono eventuali incentivi per chi lo fa?

Data Centers
      • 1.43 L'accesso al centro di elaborazione dati (CED) aziendale viene controllato in modo continuo, con porte di ingresso tenute sempre chiuse?
      • 1.44 L'accesso al CED è controllato da tecnologie tipo badge a scansione, smartcard, tessere di prossimità, biometria o serrature a combinazione individuale?
      • 1.45 E' necessario inserire altre forme di credenziali di accesso (es. password, PIN, ecc.) per accedere al CED?
      • 1.46 Tali sistemi sono sottoposti ad audit o review costanti?
      • 1.47 Esiste un controllo sui fornitori che hanno accesso al CED?
      • 1.48 Esiste un inventario e uno schema dettagliato dei dispositivi presenti nei data center?
      • 1.49 L'accesso al CED è inibito a soggetti terzi che non ne hanno necessità (es. impresa di pulizia) oppure tali accessi sono monitorati/effettuati alla presenza di soggetti preposti al controllo?
      • 1.50 Lo stesso inventario viene aggiornato ogni volta che un dispositivo o il modo in cui lo stesso è collegato viene cambiato?
      • 1.51 Viene impiegata la videosorveglianza per controllare gli spazi di ingresso al CED o ad altre aree che ospitano apparecchiature di elaborazione dati?
      • 1.52 Se il CED è videosorvegliato, il monitoraggio avviene da un sito remoto?
      • 1.53 Se il CED è videosorvegliato, il video stesso viene registrato su un supporto permanente e resistente alla contraffazione?
      • 1.54 In caso di videosorveglianza dei centri elaborazione dati, le registrazioni video restano a disposizione per un tempo sufficiente per acconsentire indagini su una violazione di sicurezza a distanza di diversi mesi?
      • 1.55 Chi si occupa delle informazioni fornite all'esterno (es. sito web) è istruito per non pubblicare specifiche relative ai data centers?
      • 1.56 I centri critici di elaborazione dati e di telecomunicazione sono sufficientemente lontani da altri complessi permanenti che si possano rivelare fonti pericolose di incendio, di esplosioni o di perdita di liquidi tossici?
      • 1.57 I centri critici di elaborazione dati e di telecomunicazione sono posti a distanza sufficiente da posteggi pubblici, strade ed altre aree dove sarebbe facile deporre sostanze esplosive?
      • 1.58 Le apparecchiature informatiche e di telecomunicazione più critiche sono a distanza di sicurezza da finestre non blindate, che potrebbero costituire bersaglio di bombe, armi da fuoco o armi a microonde?
      • 1.59 I componenti degli apparati elettronici o di altra natura che devono essere trasferiti all'interno del centro elaborazione dati, vengono ispezionati con la necessaria attenzione per controllare la presenza di eventuali manomissioni?
      • 1.60 In caso di incendio all'interno del CED sono previste idonee misure di gestione dell'incidente?
      • 1.61 I dispoisitivi elettronici presenti all'interno del CED sono protetti con lucchetti o altre misure di sicurezza fisica?
      • 1.62 Il CED è dotato di allarme che monitori la presenza di personale non autorizzato all'interno?
      • 1.63 Sui sistemi più sensibili sono presenti allarmi o altri sistemi anti-intrusione?
      • 1.64 Se i dipendenti notano un accesso non autorizzato nel CED dell'azienda esiste un canale di facile utilizzo e privato per fare un reporting? Vi sono eventuali incentivi per chi lo fa?
      • 1.65 Esiste un piano per spostare le attività più critiche del CED dell'azienda a altri computer/sistemi aziendali nel caso in cui il CED primario dovesse essere evacuato o spento?
      • 1.66 Il sito secondario individuato è sufficientemente lontano da quello primario affinchè non sia afflitto dallo stesso problema?

Controlli ambientali
      • 1.67 Esistono sistemi di controllo ambientale - riscaldamento e raffreddamento - in grado di mantenere costante la temperatura operativa delle apparecchiature elettroniche?
      • 1.68 Tali apparecchiature sono protette dalla presenza d'acqua e da eccessiva umidità?
      • 1.69 Se i controlli ambientali possono essere azionati da postazioni remote, tali controlli sono adeguatamente protetti da accessi non autorizzati?
      • 1.70 Esistono controlli ambientali che proteggono i sistemi da altri fattori che non siano temperatura ed umidità, ad esempio fumo, polvere, gas chimici?
      • 1.71 Nei locali del CED e negli armadi da cablaggio, vi sono sensori di controllo ambientale, in particolare di rilevazione della temperatura, di fumo e d'acqua?
      • 1.72 Le aree che ospitano apparati elettronici sono dotate di un sistema antincendio adeguato alla tipologia degli apparati presenti?
      • 1.73 Tali sistemi sono configurati per generare un allarme nel caso in cui l'ambiente non fosse più sicuro per i soggetti che sono all'interno?
      • 1.74 Esiste un documento prontamente consultabile che elenchi la posizione e i tipi di controlli ambientali in essere, quali rilevatori di incendio, termostati, rilevatori di acqua, ecc.?
      • 1.75 Esiste un documento prontamente consultabile che elenchi le condizioni ambientali richieste affinchè i dipositivi elettronici possano operare correttamente?
      • 1.76 I fornitori che gestiscono la sicurezza ambientali dell'azienda sono ammoniti dal non pubblicizzare il fatto che l'azienda sia propria cliente?


Cavi e armadi di cablaggio
      • 1.77 Esiste un piano dettagliato dell'intero cablaggio dati aziendale?
      • 1.78 Esiste un piano dettagliato dell'intero cablaggio elettronico aziendale?
      • 1.79 La documentazione relativa ai cablaggi è protetta da accessi non autilizzati?
      • 1.80 Esiste una etichettatura puntuale di tutti i cablaggi, anche all'interno degli armadi, per facilitare un riconfigurazione?
      • 1.81 Tale etichettatura è studiata in modo tale che non sia immediatamente compensibile ad un occhio esterno?
      • 1.82 Esiste un piano per il fabbisogno energatico sia nei momenti di attività normale sia nei momenti di picco?
      • 1.83 Esistono sistemi di allarme che identifichino che un determinato cavo è stato tagliato?
      • 1.84 Sono presenti sistemi anti-intrusione di qualche tipo negli armadi di cablaggio?
      • 1.85 Esiste un piano di sorgente di corrente di backuè per tutti i sistemi critici?
      • 1.86 Sono presenti gruppi di continuità nelle vicinanze di sistemi di videosorveglianza?
      • 1.87 Se sono installati degli UPS, risultano protetti da accessi remoti non autorizzati?
      • 1.88 I generatori di riserva vengono protetti tramite dispositivi di sicurezza fisica quali serrature, allarmi, o recinti con filo spinato?
      • 1.89 I dispositivi di alimentazione di riserva sono collocati in luoghi non esposti a fenomeni di inondazione?
      • 1.90 E' predisposto un meccanismo di protezione contro i picchi anomali di tensione provocati da fulmini o da mezzi artificiali?
      • 1.91 Sono effettuati regolarmente dei test relativi alla tenuta del sistema di energia secondaria?

Utilizzo e distruzione di dispositivi elettronici
      • 1.92 Esistono procedure per il wiping o la distruzione sicura di qualsiasi dispositivo elettronico di memorizzazione?
      • 1.93 Esistono procedure sufficientemente rigorose per effettuare la distruzione o la cancellazione irreversibile dei supporti di memoria, quali dischi fissi, nastri, dischi flash o zip, al termine della loro vita utile in azienda?
      • 1.94 Esistono procedure sufficientemente rigorose per la cancellazione irreversibile dei supporti di memoria che vengono consegnati ad altri in caso di sostituzione in garanzia, di vendita al pubblico, o di donazioni ad enti di volontariato?
      • 1.95 Viene seguita un rigorosa catena di custodia per la distruzione dei dispositivi di memorizzazione?
      • 1.96 Ci sono procedure relativamente all'utilizzo di dispositivi esterni di memorizzazione?
      • 1.97 I dispositivi da distruggere sono conservati in un ambiente idoneo e cotnrollato prima della distruzione?
      • 1.98 I CD contenenti dati sensibili aziendali vengono fisicamente distrutti?
      • 1.99 Viene verificata l'effettiva cancellazione sicura dei dati, ad esempio tramite un soggetto terzo?
      • 1.100 Quando un dipendente lascia l'azienda, i dispositivi che utilizzava sono riutilizzati?
      • 1.101 In caso affermativo, si procede ad effettuarne una copia forense?
      • 1.102 In caso negativo, si procede a conservare il dispositivo (o il relativo contenitore di dati) per
      • eventuali successive attività investigative?

Stampe
      • 1.103 Se un documento contiene informazioni altamente sensibili viene mantenuto un record di ogni volta che viene stampato o copiato?
      • 1.104 Ci sono procedure per restringere l'accesso a stampe contenenti dati particolarmente sensibili?
      • 1.105 Esistono contenitori sicuri dove inserire i documenti cartacei che devono essere distrutti in modo sicuro?
      • 1.106 I dipendendi sono formati per una distruzione dei documenti cartacei contenenti dati sensibili?


Torna ai contenuti | Torna al menu