Vulnerability assessment. Analisi di sicurezza finalizzata a individuare tutte le potenziali vulnerabilità dei sistemi e delle applicazioni di una rete, eseguendo una identificazione e valutazione dei potenziali danni che l'attaccante potrebbe infliggere all'attività produttiva. L'attività di Vulnerability Assessment (VA) può essere eseguita sia dall'interno che dall'esterno della rete aziendale, permettendo di simulare differenti scenari che potrebbero verificarsi all'interno di un sistema.
Vulnerability assessment. L’analisi di vulnerabilità ha lo scopo di identificare e quantificare i rischi potenziali del sistema. L'analisi riguarderà anche tutte le interfacce sulle reti interne dello SGAD utilizzate ai fini dell’attività di gioco e della gestione dei conti di gioco. Tale tipologia di test condotta dall’interno (sia direttamente nelle subnet del concessionario che dalla rete interna verso le subnet) cerca di individuare falle nei sistemi quali: − configurazione errata che permette accesso a risorse quali dischi, cartelle, file, database, ecc); − sistemi non aggiornati con le ultime patch; − configurazione dei firewall ed apparati di rete non sufficientemente restrittive. A tal proposito il concessionario deve rendere disponibile all’ODV autorizzato, a sua discrezione, o una VPN con accesso totale alle risorse contenute nella subnet o un accesso fisico alla server farm ospitante la rete e in cui inserire i propri apparati di testing. Considerato il carattere invasivo di tali test, l’ODV e il concessionario concorderanno modalità e tempi per il loro svolgimento. Eventuali fermi di sistema che dovessero essere necessari per lo svolgimento dei test non saranno presi in considerazione ai fini del calcolo dei livelli di servizio.
Vulnerability assessment. Per Vulnerability Assessment si intende quel processo finalizzato a identificare e classificare i rischi e le vulnerabilità, in termini di sicurezza, dei sistemi informativi aziendali. È una scansione degli asset IT (hardware, software) e mirata a verificare i possibili punti deboli del Sistema Informativo. Dovranno essere eseguiti almeno con cadenza semestrale. Le indicazioni sul perimetro di CSEA e sul posizionamento del potenziale attaccante (utente esterno, utente interno, DMZ, etc.) saranno di volta in volta comunicate da CSEA al Fornitore. La documentazione prodotta sarà oggetto di validazione da parte di ASI.
Vulnerability assessment. Il vulnerability assessement relativo ai sistemi di audit log fa parte dell’analisi del rischio condotta da Intesi Group S.p.A. ed è disponibile come documento interno e riservato.