Art. 66 
 
                   Requisiti di sicurezza dei CIS 
 
  1.  Il  processo  di   contenimento   del   rischio   ("difesa   in
profondita'") e' articolato secondo i seguenti criteri: 
    a) "deterrenza": e' l'insieme delle misure volte  a  limitare  le
minacce che sfruttino le vulnerabilita' del sistema; 
    b) "prevenzione": e' l'insieme delle misure volte ad impedire  od
ostacolare di attacchi ai danni del CIS; 
    c) "rilevamento": e' l'insieme delle misure tecniche ed attivita'
volte  ad  evidenziare  un   evento   accidentale   o   intenzionale,
potenzialmente dannoso alla sicurezza del sistema; 
    d) "resilienza": e'  l'insieme  delle  misure  volte  a  limitare
l'impatto di un attacco o di altri eventi  accidentali  alle  risorse
critiche del CIS, sfruttando capacita' di riconfigurazione,  evitando
ulteriori danni e consentendo un'operativita' minima residua; 
    e) "ripristino": e' l'insieme delle misure tecniche ed  attivita'
volte a  ristabilire  le  funzioni  operative  del  sistema,  secondo
tempistiche prestabilite e garantendo il livello minimo di  sicurezza
richiesto dall'analisi del rischio. 
  2. I CIS destinati alla trattazione  di  informazioni  classificate
devono possedere i requisiti stabiliti nelle disposizioni applicative
del presente regolamento, nonche'  i  seguenti  requisiti  minimi  di
sicurezza: 
    a) software antivirus aggiornato; 
    b) meccanismi di sicurezza  previsti  dal  sistema  operativo  in
grado di consentire l'identificazione e l'autenticazione dell'utente,
prima di consentirne l'accesso al sistema; 
    c) sistema di monitoraggio in grado di  fornire,  ai  fini  della
tracciabilita', informazioni circa gli accessi e le attivita'  svolte
sul sistema CIS da ciascun utente e dall'amministratore di sistema. 
  3. I CIS destinati alla trattazione di informazioni con  classifica
RISERVATISSIMO o superiore devono  prevedere  predisposizioni  idonee
alla   protezione   dagli   effetti   derivanti   dalle    emanazioni
elettromagnetiche (sicurezza TEMPEST).