Che cos'è il Security of Critical Infrastructure Act?
Il 25 novembre 2024 è stato approvato l'emendamento al disegno di legge sulla sicurezza delle infrastrutture critiche e altre normative (risposte e prevenzione rafforzate) del 2024 (SOCI Act), incluso nel pacchetto legislativo sulla sicurezza informatica. Il SOCI Act conferisce al governo poteri più ampi per realizzare lo Scudo 4 della Strategia di sicurezza informatica 2023-2030 (protezione delle infrastrutture critiche) e per affrontare le lacune e le problematiche del panorama in evoluzione delle minacce informatiche.
- I sistemi di archiviazione dei dati che contengono dati critici per l'azienda sarebbero regolamentati come beni infrastrutturali critici ai sensi degli emendamenti.
- Nuovi poteri governativi di gestione delle conseguenze in base ai quali il governo può ordinare a un'entità di intervenire per rispondere a incidenti più ampi di quelli informatici.
- Nuova definizione di "informazioni protette" che include una valutazione basata sui danni e un elenco non esaustivo di informazioni rilevanti, oltre a chiarimenti su quando le informazioni protette possono essere condivise o utilizzate per altri scopi.
- Nuovo potere per l'autorità di regolamentazione di emanare indicazioni a un'entità responsabile per risolvere le gravi carenze individuate in un programma di gestione del rischio delle infrastrutture critiche.
Sistemi di archiviazione dati che contengono dati critici per l'azienda
- #16: "...rafforzare la protezione dei sistemi di archiviazione dei dati e dei dati critici aziendali."
- #19: "Il programma non deve comprendere tutti i sistemi non operativi che contengono dati critici per l'azienda, ma solo quelli in cui le vulnerabilità potrebbero avere un impatto rilevante sulle infrastrutture critiche. Esempi dei tipi di sistemi che potrebbero essere rilevati sono: sistemi di archiviazione dei dati che contengono dati critici per l'azienda, in cui la segregazione di rete tra i sistemi tecnologici informativi e quelli operativi è inadeguata, oppure sistemi di archiviazione dei dati che contengono dati operativi come progetti di rete, chiavi di crittografia, algoritmi, codici di sistemi operativi e tattiche, tecniche e procedure."
- #20: "...Quando l'ente responsabile esternalizza a terzi, questi ultimi diventano responsabili del sistema di archiviazione dei dati."
- #31: I vari criteri proposti chiariscono l'intento di non catturare tutti i sistemi non operativi che contengono dati critici per l'azienda, ma solo quelli in cui le vulnerabilità potrebbero avere un impatto rilevante sulle infrastrutture critiche. Inoltre, chiariscono che l'ente responsabile della risorsa principale dell'infrastruttura critica è responsabile dei sistemi di archiviazione dei dati che possiede o gestisce.
PANORAMICA SULLA CONFORMITÀ
Garantire la conformità al SOCI Act australiano
Scopri come Thales contribuisce alla conformità delle organizzazioni al SOCI Act australiano proteggendo le infrastrutture critiche, proteggendo i dati e gestendo le chiavi crittografiche.
Come Thales contribuisce alla conformità al SOCI Act (emendamenti)
Le soluzioni Thales possono contribuire alla conformità da parte delle organizzazioni al SOCI Act semplificando la conformità e automatizzando la sicurezza, riducendo il carico di lavoro dei team che si occupano di sicurezza e conformità.
Forniamo soluzioni di sicurezza informatica complete in tre aree chiave: sicurezza delle applicazioni, sicurezza dei dati e gestione delle identità e degli accessi.
Soluzioni di conformità al SOCI
Sicurezza delle applicazioni
Proteggi applicazioni e API su larga scala nel cloud, on-premise o in un modello ibrido. La nostra suite di prodotti leader di mercato comprende firewall per applicazioni web (WAF), protezione contro attacchi Distributed Denial of Service (DDoS) e BOT dannosi, sicurezza per API, una rete di distribuzione dei contenuti (CDN) sicura e l'autoprotezione dell'applicazione durante l'esecuzione (RASP).
Data Security
Scopri e classifica i dati sensibili in un ambiente informatico ibrido e proteggili automaticamente ovunque, che siano inattivi, in movimento o in uso, utilizzando la tokenizzazione criptata e la gestione delle chiavi. Le soluzioni di Thales identificano, valutano e stabiliscono le priorità dei potenziali rischi per una loro valutazione accurata, oltre a individuare comportamenti anomali e monitorare le attività per verificarne la conformità. In tal modo, le organizzazioni possono stabilire dove concentrare principalmente i propri sforzi.
Gestione delle identità e degli accessi
Un accesso fluido, sicuro e affidabile alle applicazioni e ai servizi digitali per clienti, dipendenti e partner. Le nostre soluzioni limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al contesto con criteri di accesso granulari e autenticazione a più fattori che aiutano a garantire che l'utente giusto possa accedere alla risorsa giusta, al momento giusto.
Affrontare i requisiti della legge SOCI (emendamenti) - PROGRAMMA 1
Come Thales contribuisce:
- Scopre e classifica i potenziali rischi per tutte le API pubbliche, private e shadow.
- Identifica i dati sensibili strutturati e non strutturati a rischio, on-premise e sul cloud.
- Identifica lo stato attuale della conformità, documentando le lacune e fornendo un percorso verso la piena conformità.
Come Thales contribuisce:
- Monitora l'attività dei dati strutturati e non strutturati nei sistemi cloud e on-premise.
- Produce audit trail e report di tutti gli eventi di accesso a tutti i sistemi e trasmette i registri ai sistemi SIEM esterni
Soluzioni:
Sicurezza dei dati
Monitoraggio dell'attività dei dati
Gestione delle identità e degli accessi
Come Thales contribuisce:
- Codifica i dati inattivi on-premise, sui cloud e negli ambienti big data o container.
- Protegge i dati in movimento con crittografia high-speed.
- Ti fa ottenere la visibilità completa delle attività sui dati sensibili, monitora gli utenti che ne hanno accesso, esegui audit su ciò che fanno e documenta.
Come Thales contribuisce:
- Limita l'accesso degli utenti interni ed esterni ai sistemi e ai dati in base ai ruoli e al contesto tramite le politiche.
- Applica misure di sicurezza contestuali basate sul punteggio di rischio.
- Sfrutta le smart card per implementare l'accesso fisico alle strutture sensibili delle infrastrutture critiche.
Soluzioni:
Sicurezza dei dati
Gestione delle identità e degli accessi
Come Thales contribuisce:
- Crea e distribuisce criteri di autenticazione adattivi basati sulla sensibilità dei dati / dell'applicazione.
- Protegge dagli attacchi di phishing e man-in-the-middle.
Come Thales contribuisce:
- Protegge le chiavi crittografiche in un ambiente FIPS 140-2 di livello 3.
- Semplifica la gestione delle chiavi in ambienti cloud e on-premise.
- Gestisce e protegge tutti i segreti e le credenziali sensibili.
Risorse correlate
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.