Politica di gestione delle vulnerabilità
Versione 1.1
Scopo
Lo scopo di questa politica è garantire un livello più elevato di sicurezza alle Risorse informatiche, rete, i
server, i sistemi operativi su pc aziendali, i sistemi operativi dei server dedicati , i server di database, i
database e le applicazioni di osCommerce.name By Synchrosystem Labs.
La presente politica informatica, e tutte le politiche a cui si fa riferimento nel presente documento, si
applicano a tutti i dipendenti di osCommerce.name By Synchrosystem Labs che utilizzano, accedono o
altrimenti impiegano, localmente o da remoto, le Risorse informatiche di osCommerce.name By
Synchrosystem Labs, siano esse controllate individualmente, condivise, autonome o in rete.
Ambito di Questa Politica
Tutta l'infrastruttura di rete, i server, i sistemi operativi su pc aziendali, i sistemi operativi dei server dedicati,
i server di database, i database, applicazioni, sistemi e infrastrutture IT che archiviano ed elaborano Dati dei
Marketplace (Amazon, eBay e Marketplace minori) e di dispositivi offline di osCommerce.name By
Synchrosystem Labs devono essere scansionati in modo e con una pianificazione adeguata al profilo di
rischio delle risorse o alle esigenze normative.
I sistemi con dati ad alto rischio (vedi Dati elettronici e politica di classificazione dei rischi di sistema )
devono essere scansionati per individuare le vulnerabilità almeno mensilmente.
I Tecnici IS di Synchrosystem Labs eseguono regolari scansioni autenticate e non autenticate di reti,
sistemi, database o applicazioni. Le scansioni si limitano alla revisione della configurazione del
sistema e dell'applicazione e non aprono o esaminano il contenuto di e-mail, documenti, fogli di
calcolo, database o qualsiasi altra applicazione.
Le vulnerabilità della sicurezza identificate tramite scansioni o identificate dai fornitori devono essere
corrette/controllate come descritto di seguito.
Passaggi della procedura
Per rispettare questa procedura devono essere seguite le seguenti fasi:
Fase di scoperta
Le vulnerabilità sono identificate sulle Risorse IT La rilevazione e scansione delle vulnerabilità deve
essere effettuata seguendo queste linee guida:
|
Tipologia: |
Scopo: |
Periodo Scansione: |
|
Analisi delle vulnerabilità |
Verifichiamo numerosi tipi di violazioni, tra
cui XSS, SQLi injection, ecc. |
Entro 180 Giorni * |
|
Penetration tests |
Scansione di Rete Interna, Server ed
Endpoint |
Entro 180 Giorni * |
Sistemi con Dati Sensibili (PII)
( Ad esempio Amazon data PII ) |
Scansione di Rete Interna, Server,
Endpoint e Dispostivi di Storage offline |
Entro 180 Giorni * |
*( O ad ogni rilascio di nuova Versione Applicativo se rilasciato in un tempo inferiore ai 180 giorni )
I seguenti strumenti possono essere utilizzati per valutare le vulnerabilità dei sistemi o della Nostra applicazione:
intruder.io
PHP Mess Detector
Kali Linux
OWASP ZAP
sqlmap
nmap
Fase di priorità, pianificazione e Bonifica
Le vulnerabilità e le risorse scoperte vengono riviste, assegnate le priorità e valutate utilizzando i
risultati dei rapporti tecnici e sui rischi. I Tecnici IT, IS e Sviluppatori di osCommerce.name By
Synchrosystem Labs devono eseguire una o più delle seguenti operazioni:
- Distribuire il controllo di mitigazione
- Distribuire la / le patch
- Aggiornamento
- Rimuovere e interrompere l'utilizzo della Risorsa IT se risulta compromessa o pericoloso lo stato di
compromissione nell’immediato.
- Distribuire le modifiche della configurazione
Le Criticità sono Valutate, pianificate e Bonificate secondo la seguente Tabella:
|
Valutazione: |
Tipologia: |
Tempi per la Bonifica: |
|
Critical |
Le vulnerabilità critiche hanno un punteggio CVSS di
8,0 o superiore. Essi
possono essere prontamente compromessi con
malware pubblicamente disponibile o exploit. |
2 Giorni |
|
High |
Le vulnerabilità ad alta gravità hanno un punteggio
CVSS di 8,0 o superiore, ricevono un punteggio di
gravità Alta e sono rimediabili entro 30 giorni. Non c'è
malware pubblico noto o exploit disponibile. |
30 Giorni |
|
Medium |
Le vulnerabilità di media gravità hanno un punteggio
CVSS compreso tra 6,0 e 8,0
e può essere mitigato in un lasso di tempo piu esteso. |
90 Giorni |
|
Low |
Le vulnerabilità di bassa gravità sono definite con un
punteggio CVSS di 4,0 a 6.0, sono rimediabili in 180
giorni. Non tutte le vulnerabilità basse possono essere
mitigate facilmente a causa di applicazioni e le normali
operazioni del sistema operativo. Questi
dovrebbero essere documentati e opportunamente
esclusi se non possono essere sanati. |
180 Giorni |
|
Information |
Le vulnerabilità delle informazioni hanno un punteggio
CVSS inferiore a 4,0.
Questi seppur considerati come rischi sono
generalmente in riferimento ad informazioni per lo
stato e la configurazione di un’asset. |
Seppur Non Necessario,
Vanno elencati e risolti e/o
rimossi e/o sostituiti entro la
successiva Release del nostro
Software |
Fase di convalida
Le misure correttive di successo sono determinate dall'analisi successiva.
Distribuire la valutazione della gestione del rischio.
I Tecnici IS e Sviluppatori, devono confermare che la vulnerabilità non è più presente nello strumento
di rilevamento.
Quindi procedere di nuovo a Scansione con tutti gli strumenti identificati in Fase di Scoperta.
Se è stata eseguita la riparazione e la modifica non si riflette in una scansione di convalida o si ritiene
non applicabile al sistema, il tecnico IS, IT o Sviluppatore è responsabile di informare il proprietario di
osCommerce.name By Synchrosystem Labs via e-mail all'indirizzo assistenza@oscommerce.name
(ad es. cosa è stato implementato, la vulnerabilità è un falso positivo, etc).
A seconda della natura del sistema operativo o dell'applicazione implementata, si possono sfruttare
strumenti o metodologie di valutazione alternativi per determinare le vulnerabilità.
Informazioni sull'implementazione di questo documento.
Frequenza di revisione: Annuale
Persona responsabile: Responsabile IS, operazioni di sicurezza informatica
Approvato da: Direttore della sicurezza informatica (CISO)
Data di approvazione: 4 marzo 2022
|
Data |
Versione |
Descrizione |
Approvato Da: |
|
24 Febbraio 2022 |
1.0 |
Creazione |
Proprietario |
|
07 Marzo 2022 |
1.1 |
Aggiornamento |
Proprietario |
|
