Art. 66 Requisiti di sicurezza dei CIS 1. Il processo di contenimento del rischio ("difesa in profondita'") e' articolato secondo i seguenti criteri: a) "deterrenza": e' l'insieme delle misure volte a limitare le minacce che sfruttino le vulnerabilita' del sistema; b) "prevenzione": e' l'insieme delle misure volte ad impedire od ostacolare di attacchi ai danni del CIS; c) "rilevamento": e' l'insieme delle misure tecniche ed attivita' volte ad evidenziare un evento accidentale o intenzionale, potenzialmente dannoso alla sicurezza del sistema; d) "resilienza": e' l'insieme delle misure volte a limitare l'impatto di un attacco o di altri eventi accidentali alle risorse critiche del CIS, sfruttando capacita' di riconfigurazione, evitando ulteriori danni e consentendo un'operativita' minima residua; e) "ripristino": e' l'insieme delle misure tecniche ed attivita' volte a ristabilire le funzioni operative del sistema, secondo tempistiche prestabilite e garantendo il livello minimo di sicurezza richiesto dall'analisi del rischio. 2. I CIS destinati alla trattazione di informazioni classificate devono possedere i requisiti stabiliti nelle disposizioni applicative del presente regolamento, nonche' i seguenti requisiti minimi di sicurezza: a) software antivirus aggiornato; b) meccanismi di sicurezza previsti dal sistema operativo in grado di consentire l'identificazione e l'autenticazione dell'utente, prima di consentirne l'accesso al sistema; c) sistema di monitoraggio in grado di fornire, ai fini della tracciabilita', informazioni circa gli accessi e le attivita' svolte sul sistema CIS da ciascun utente e dall'amministratore di sistema. 3. I CIS destinati alla trattazione di informazioni con classifica RISERVATISSIMO o superiore devono prevedere predisposizioni idonee alla protezione dagli effetti derivanti dalle emanazioni elettromagnetiche (sicurezza TEMPEST).