Allegato C (articolo 9) Misure minime di sicurezza per la tutela delle informazioni 1. Trattamenti con l'ausilio di strumenti elettronici a) Identificazione degli utenti e gestione delle identita' digitali; b) determinazione dei privilegi di accesso alle risorse da associare agli utenti e agli addetti o incaricati alla gestione o alla manutenzione; c) implementazione di un sistema di autenticazione e autorizzazione degli utenti secondo i privilegi individuati al punto precedente; d) protezione contro il software malevolo mediante l'impiego di software antimalware aggiornato e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) procedure di sicurezza per l'importazione e l'esportazione dei dati sui sistemi impiegati; g) procedure per la gestione della configurazione dei sistemi impiegati; h) procedure per la dismissione dei dispositivi di memorizzazione utilizzati sui sistemi impiegati; i) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi; l) adozione di tecniche di cifratura. 2. Misure di sicurezza fisica e documentale a) L'accesso alle informazioni e' consentito sulla base del principio della necessita' di conoscere (need to know); b) deve essere individuata la figura di un responsabile incaricato della gestione delle informazioni, preferibilmente gia' in possesso di abilitazione di sicurezza ai sensi dell'articolo 42 della legge 3 agosto 2007, n. 124; c) la documentazione deve essere custodita in un locale idoneo, appositamente individuato, che presenti un perimetro chiaramente delimitato e sia dotato di misure di protezione minime tali da consentire l'accesso alle sole persone autorizzate, ovvero in armadi di sicurezza con procedura di tracciamento delle chiavi in uso; d) la documentazione deve essere registrata su appositi registri di protocollo; e) la consultazione dei documenti deve avvenire sulla base del principio della necessita' di conoscere (need to know) e deve essere tracciata su apposito registro; f) la riproduzione dei documenti puo' avvenire solo previa autorizzazione del responsabile della gestione delle informazioni e deve essere registrata su apposito registro; g) la documentazione deve essere spedita tramite corrieri.