Configurazione sicura. [R.11] Sui router di accesso (CE), si richiede la definizione e l’applicazione di una configurazione caratterizzata dall’attivazione del solo set minimo di servizi strettamente necessari al corretto funzionamento della rete stessa e la conseguente disabilitazione dei servizi non indispensabili (DHCP, Proxy ARP, Http, ecc.).
Configurazione sicura. Il Fornitore deve disporre di un framework consolidato per garantire che tutti i sistemi/apparecchiature di rete configurabili siano configurati in modo sicuro, conformemente alle Migliori pratiche del settore (ad esempio NIST, SANS, CIS). • Definizione di policy, procedure/misure organizzative e strumenti per consentire l'implementazione degli standard di configurazione della sicurezza secondo le Migliori pratiche del settore per tutti i dispositivi di rete e i sistemi operativi, le applicazioni e i server autorizzati. • Esecuzione di controlli regolari (almeno una volta l'anno) dell'applicazione di quanto sopra al fine di garantire la risoluzione tempestiva dei problemi di conformità agli standard di sicurezza di base. Attuazione di controlli e procedure di monitoraggio appropriate al fine di garantire l'integrità di strutture e dispositivi. • I sistemi e i dispositivi di rete sono configurati in modo da funzionare secondo i principi di sicurezza (ad esempio il concetto di limitazione dei controlli di porte, protocolli e servizi, nessun software non autorizzato, rimozione e disabilitazione degli account utente non necessari, modifica delle password di default degli account, rimozione del software non necessario, ecc.). • Esecuzione di verifiche periodiche della configurazione, almeno una volta all'anno, per garantire che nell'ambiente di produzione effettivo non siano presenti configurazioni non autorizzate. • Garantire che la gestione della configurazione regoli gli standard di configurazione sicura in tutte le classi di beni e che rilevi, avverta e risponda efficacemente alle modifiche o alle deviazioni della configurazione.