BUONE PRATICHE PER LA SICUREZZA DEI CONTENUTI ......Sistema di gestione 1 gennaio 2013 Buone...

Programma per la sicurezza delle strutture di MPAA

BUONE PRATICHE PER LA SICUREZZA DEI CONTENUTI

LINEE GUIDA SUPPLEMENTARI

www.fightfilmtheft.org/en/bestpractices/_piracyBestPractice.asp

Versione 2.1

1 gennaio 2013

http://www.fightfilmtheft.org/en/bestpractices/_piracyBestPractice.asp

Cronologia del documento 1 gennaio 2013

Buone pratiche per la sicurezza dei contenuti di MPAA - Linee guida supplementari Pagina i

CRONOLOGIA DEL DOCUMENTO

Versione Data Descrizione Autore

1.0 31 dicembre 2009 Diffusione pubblica iniziale Deloitte & Touche LLP MPAA Società membro di MPAA

2.0 15 maggio 2011 Aggiornamenti e revisioni Unificazione in Linee guida comuni e supplementi

PricewaterhouseCoopers LLP MPAA Società membro di MPAA

2.1 1 gennaio 2013 Unificazione di 12 documenti supplementari in un unico documento “Supplemento sulle buone pratiche di MPAA”

PricewaterhouseCoopers LLP MPAA Società membro di MPAA

INDICE

CRONOLOGIA DEL DOCUMENTO I

I. MAPPATURA SUPPLEMENTARE DEGLI IMPIANTI 1

INTRODUZIONE 1

SCOPO E APPLICABILITÀ 1

ELABORAZIONE DELLE ECCEZIONI 1

RIFERIMENTO AL GLOSSARIO DEI TERMINI 1

DOMANDE O COMMENTI 1

II. LINEE GUIDA SUPPLEMENTARI SULLE BUONE PRATICHE 3

APPENDICE A: INTRODUZIONE AGLI IMPIANTI 17

APPENDICE B: MAPPATURA DI CONTROLLI AGGIUNTIVI SUI RIFERIMENTI 24

Mappatura supplementare degli impianti 1 gennaio 2013

Buone pratiche per la sicurezza dei contenuti di MPAA - Linee guida supplementari Pagina 1

I. MAPPATURA SUPPLEMENTARE DEGLI IMPIANTI

Introduzione

Questo documento Linee guida supplementari deve essere usato insieme al documento Buone pratiche per la sicurezza dei contenuti di MPAA. Gli impianti devono rivedere la legenda a destra, identificare i tipi di impianto corrispondenti ai servizi forniti dall’impianto i questione e implementare i controlli appropriati in base a una valutazione del rischio.

Scopo e applicabilità

Lo scopo di questo documento è permettere ai fornitori terzi attuali e futuri utilizzati dai Membri di conoscere le aspettative generali sulla sicurezza dei contenuti e le attuali buone pratiche del settore. Ogni decisione riguardante l’utilizzo di fornitori da parte di un particolare Membro viene presa ad esclusiva discrezione di ciascun Membro e su base unilaterale.

Le buone pratiche per la sicurezza dei contenuti sono concepite per prendere in considerazione i servizi forniti dall’impianto, il tipo di contenuti gestiti presso l’impianto e in quale finestra di pubblicazione opera l’impianto.

Le Linee guida supplementari descritte in questo documento sono soggette alle leggi o alle normative locali, statali, regionali, federali e nazionali. Le Linee guida supplementari descritte in questo documento sono soggette a modifiche periodiche, così come gli standard di settore o i riferimenti ISO qui menzionati.

La conformità con le buone pratiche è esclusivamente su base volontaria. Questo non è un programma di accreditamento.

Elaborazione delle eccezioni

Qualora risulti impossibile rispettare una buona pratica, gli impianti devono documentare il motivo di tale mancanza e implementare misure di compensazione utilizzate al posto della buona pratica. Le eccezioni devono anche essere comunicate direttamente al Membro.

Riferimento al glossario dei termini

In questo documento, tutti i termini evidenziati in grassetto sono definiti in un glossario situato nelle Buone pratiche per la sicurezza dei contenuti di MPAA. Queste definizioni sono state ricavate dai relativi standard ISO (27001/27002), da standard di sicurezza (ovvero, NIST) e dalle buone pratiche di settore.

Domande o commenti

Per eventuali domande o commenti sulle buone pratiche, inviare un’e-mail a [email protected].

Legenda

ADS Audio, doppiaggio e sottotitolaggio DVD Creazione di DVD

CA Pubblicità creativa FL Laboratorio pellicole

CDF Corriere, consegna, trasporto IFE Servizi IFE e di ospitalità

D Distribuzione PP Post-produzione

DC Cinema digitale R Replica

DS Servizi digitali VFX Effetti visivi

N. ADS CA CDF D DC DS DVD FL IFE PP R VFX

MS.S-1.0 X X X X

MS.S-3.0 X X X X X X X X X X

MS.S-4.0 X X X X X X X X

MS.S-4.1 X

MS.S-10.0 X X X X X

MS.S-10.1 X X X X

MS.S-10.2 X X X X X

MS.S-10.3 X X X X

MS.S-10.4 X X X

PS.S-1.0 X X X

PS.S-1.1 X X X X

PS.S-1.2 X X X

PS.S-1.3 X X X

PS.S-1.4 X X X

PS.S-4.0 X X X

PS.S-4.1 X X X X X

PS.S-4.2 X X X

PS.S-6.0 X X X X

PS.S-7.0 X

PS.S-9.0 X X

mailto:[email protected]


PS.S-9.1 X X X X X X X X

PS.S-10.0 X

PS.S-11.0 X X

PS.S-11.1 X X

PS.S-11.2 X X

PS.S-11.3 X X

PS.S-11.4 X X

PS.S-11.5 X X

PS.S-11.6 X X

PS.S-11.7 X

PS.S-11.8 X X

PS.S-12.0 X X X X X X X X X X

PS.S-12.1 X X

PS.S-13.0 X X X

PS.S-13.1 X X

PS.S-14.0 X

PS.S-15.0 X X X X

PS.S-15.1 X X X

PS.S-15.2 X

PS.S-15.3 X


PS.S-16.0 X X

PS.S-16.1 X X

PS.S-16.2 X X

PS.S-16.3 X X

PS.S-16.4 X

PS.S-17.0 X X X

PS.S-17.1 X X X X

PS.S-17.2 X X

PS.S-17.3 X X X X

PS.S-17.4 X

PS.S-17.5 X

PS.S-20.0 X X X

PS.S-21.0 X X X X

PS.S-21.1 X X X

PS.S-21.2 X X X

DS.S-9.0 X

DS.S-10.0 X

DS.S-10.1 X

DS.S-10.2 X

Sistema di gestione 1 gennaio 2013


II. LINEE GUIDA SUPPLEMENTARI SULLE BUONE PRATICHE

SISTEMA DI GESTIONE SICUREZZA FISICA SICUREZZA DIGITALE

ORGANIZZAZIONE E GESTIONE

COMPETENZA

IMPIANTO GESTIONE

DELLE RISORSE TRASPORTO INFRASTRUTTURA

GESTIONE DEI CONTENUTI

TRASFERIMENTO DEI CONTENUTI

1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12

VFX N. Argomento di sicurezza

Buona pratica Guida all’implementazione

X X X X

MS.S-1.0 Consapevo-lezza/ Sorveglianza sicurezza esecutiva

Stabilire un sistema di gestione della sicurezza delle informazioni che implementi una infrastruttura di controllo (ad es., IS0 27001) per la sicurezza delle informazioni approvata da dirigenti esecutivi/proprietari

X X X X X X X X X X

MS.S-3.0 Organizza-zione di sicurezza

Definire un team di sicurezza responsabile del monitoraggio proattivo dei sistemi informativi e della sicurezza fisica per identificare e rispondere ad eventuali attività sospette

Monitorare regolarmente i sistemi informativi durante l’arco della giornata per rilevare possibili incidenti

Incorporare il processo di risposta agli incidenti per gestire gli incidenti rilevati

Valutare l’implementazione di un sistema di notifica automatica al team in caso di rilevamento di attività sospette che coinvolgano i sistemi informativi

Implementare un processo di revisione periodico per monitorare l’efficacia dei processi di monitoraggio

X X X X X X X X

MS.S-4.0 Sicurezza dei contenuti e consapevo-lezza della pirateria

Fornire un corso di formazione approfondito specifico sui contenuti gestiti dall’impianto

Includere un corso di formazione sulla sicurezza relativo ai rischi correlati al trasporto e alla gestione dei contenuti

Sottolineare le responsabilità personali di ciascuna funzione lavorativa nel proteggere i contenuti e ridurre i problemi causati dalla pirateria

Integrare i materiali didattici in modo da includere il sito Web “Report Piracy” di MPAA e

1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



informazioni di contatto di studio/cliente

Fornire un numero telefonico interno e/o un sito Web anonimi dove segnalare i casi di pirateria

X

MS.S-4.1 Sicurezza dei contenuti e consapevo-lezza della pirateria

Fornire la formazione sulle applicazioni e i processi correlati a crittografia e gestione delle chiavi per tutte le persone incaricate di gestire contenuti crittografati

Includere un corso di formazione sulla sicurezza su generazione, distribuzione e revoca delle chiavi di crittografia come necessario per ciascun ruolo e responsabilità individuale

X X X X X

MS.S-10.0 Uso e screening di terze parti

Comunicare ai clienti l’utilizzo di fornitori di archiviazione terze parti per le risorse fisiche

Fornire ai clienti rapporti di due diligence relativi alle società di archiviazione terze parti

Chiedere ai clienti di approvare e firmare l’impiego di società di archiviazione terze parti

X X X X


Richiedere alle società di trasporto internazionali (verso/da gli Stati Uniti) la certificazione “CTPAT” (Customs-Trade Partnership Against Terrorism)

Richiedere alle società di trasporto internazionali di presentare prova della certificazione CTPAT in occasione del primo incarico

Mantenere un elenco di società di trasporto certificate CTPAT

X X X X X


Rivalutare i fornitori di servizi di trasporto e imballaggio ogni anno e in caso di variazioni di indirizzo e/o aggiunta di ulteriori servizi

Implementare procedure che consentano di tenere traccia dei fornitori che si sono sottoposti a una procedura di due diligence per l’anno (ad es., archivio in database, certificati di completamento)

X X

X X


Rivedere ogni anno l’accesso ai sistemi di consegna dei contenuti e ai siti Web di terze parti

Implementare procedure per la valutazione degli accessi utente, ad esempio:

- Utenti terminati

- Livelli di autorizzazione

- Convalida degli account e-mail

Sistema di gestione 1 gennaio 2013


1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X

X

X


Incorporare attività di due diligence di sicurezza (ad es., valutazioni di sicurezza, questionari di auto valutazione) nell’ambito del processo di selezione e assunzione dei lavoratori di terze parti che gestiscono contenuti riservati

Valutare quanto segue:

- Chiedere ai lavoratori di terze parti di fornire le proprie politiche e procedure riguardanti la gestione dei contenuti

- Condurre colloqui con la dirigenza e i proprietari dei processi chiave di terze parti per identificare le procedure/i controlli di gestione dei contenuti per elaborazione, archiviazione e trasmissione di contenuti riservati

- Chiedere alle terze parti di fornire i risultati della valutazione del rischio di sicurezza e dei relativi piani di intervento



COMPETENZA

IMPIANTO GESTIONE




1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X X X

PS.S-1.0 Punti di ingresso/ uscita

Posizionare personale di sicurezza presso tutti i punti di ingresso/uscita non di emergenza

Chiedere al personale di sicurezza di ispezionare visivamente tutte le persone che lasciano l’impianto

Implementare un processo tramite cui il personale di sicurezza può segnalare e indagare eventuali comportamenti sospetti

X X X X


Chiudere a chiave e installare allarmi presso tutte le porte di carico e monitorare tali porte durante l’uso

Aprire le porte di carico solo per le transazioni per cui è disponibile un ordine di lavoro valido

Chiedere al personale aziendale interessato di essere sempre presente durante le operazioni di carico

X

X

X


Separare l’ingresso dei conducenti degli automezzi per impedire che essi possano accedere ad altre aree dell’impianto

X X X


Implementare un processo di sorveglianza quotidiano con pianificazione randomizzata e documentarne i risultati in un registro

Chiedere al personale di sicurezza di sorvegliare le aree interne ed esterne

Includere una revisione delle uscite di emergenza che comprenda la verifica dei sigilli

Valutare l’impiego di un sistema di sorveglianza mediante personale di sicurezza per tenere traccia del pattugliamento eseguito (ad es., dei punti di controllo) e delle serrature verificate

X X X


Documentare, indagare e risolvere tutti gli incidenti rilevati durante i turni del personale di sicurezza

Definire linee guida per l’attivazione del processo di risposta agli incidenti

Incorporare le procedure di risposta agli incidenti per la gestione degli eventi di sicurezza rilevati

X X X

PS.S-4.0 Sicurezza del perimetro

Installare difese perimetrali aggiuntive (ad es., recinzioni, barricate di veicoli) per diminuire il rischio di accessi non

Installare recinzioni sufficientemente alte da ridurre gli ingressi non autorizzati

Posizionare barricate di veicoli per ridurre le

Sicurezza fisica 1 gennaio 2013


1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



autorizzati alle strutture possibilità di ingresso di veicoli con la forza

X X X X X


Chiudere sempre a chiave gli accessi perimetrali e incaricare un dipendente in loco di gestire la possibilità di apertura da remoto

Assegnare al personale del front desk la responsabilità di gestire le richieste di ingresso dei visitatori

Posizionare telecamere presso gli accessi perimetrali per verificare l’identità dei visitatori

X X X


Posizionare un addetto del personale di sicurezza presso gli accessi perimetrali e implementare un processo che permetta l’ingresso nel sito dell’impianto ai veicoli (ad es., cancello ad azionamento elettronico, permessi di parcheggio)

Implementare un cancello elettronico azionato dal personale di sicurezza per controllare l’accesso dei veicoli all’impianto

Distribuire permessi di parcheggio al personale aziendale e ai lavoratori di terze parti che hanno completato correttamente i documenti

Chiedere ai veicoli dei visitatori di presentare un documento di identificazione e verificare che tutti i visitatori siano stati preautorizzati ad accedere alla struttura

X X X X

PS.S-6.0 Autorizza-zione

Rivedere gli accessi alle aree limitate (ad es., camera di sicurezza, cassaforte) ogni mese e in caso di variazione dei ruoli o dello stato occupazionale del personale aziendale e/o dei lavoratori di terze parti

Convalidare lo stato del personale aziendale e dei lavoratori di terze parti

Verificare che gli utenti dispongano di un accesso adeguato alla propria funzione lavorativa

X

PS.S-7.0 Accesso elettronico

Stabilire sale separate per replica e masterizzazione

Limitare l’accesso a ogni sala al personale che deve potervi accedere per il proprio ruolo lavorativo

Imporre un modello di separazione dei compiti che limiti l’accesso a entrambe le sale alle singole persone

1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X X

PS.S-9.0 Videoca-mere

Rivedere posizionamento delle telecamere, qualità dell’immagine, frame rate e archiviazione giornaliera

Rivedere il posizionamento delle telecamere per verificare la completa copertura di tutti i punti di ingresso/uscita e di altre aree riservate

Rivedere la qualità dell’immagine per verificare che l’illuminazione sia adeguata e che i volti siano distinguibili

Rivedere i registri di sorveglianza per verificare che siano archiviati per almeno 90 giorni

X X X X X X X X

PS.S-9.1 Videoca-mere

Incaricare un dipendente o gruppo di dipendenti di monitorare i filmati di sorveglianza durante le ore operative e di indagare immediatamente sugli incidenti di sicurezza rilevati

Incorporare il processo di risposta agli incidenti per la gestione degli incidenti di sicurezza rilevati

X

PS.S-10.0 Registra-zione e monitoraggio

Se applicabile, eseguire una revisione settimanale dei registri di accesso elettronico per le seguenti aree:

Camera di sicurezza master/stampe

Pre-masterizzazione

Sala server/macchine

Sala scarti

Gabbie ad alta sicurezza

Identificare e documentare gli eventi considerati insoliti

Valutare l’implementazione di un processo di segnalazione automatizzato che invii allarmi in tempo reale al personale di sicurezza incaricato in caso di eventuali attività di accesso elettronico sospette rilevate

X X

PS.S-11.0 Ricerche Implementare un processo di ricerca all’uscita applicabile a tutto il personale e ai visitatori dell’impianto, tra cui:

Rimozione di cappotti, giacche, cappelli e cinture per ispezione

Rimozione di tutto il contenuto delle tasche

Esecuzione di un’auto perquisizione con la supervisione del personale di sicurezza

Ispezione accurata di tutte le borse

Ispezione dell’unità CD/DVD dei

Istruire il personale di sicurezza a cercare oggetti che è vietato portare nel sito (ad es., videocamere) o materiali su pellicola che non è consentito portare fuori senza un’adeguata autorizzazione

Comunicare le politiche relative alla ricerca all’uscita a tutto il personale aziendale e ai lavoratori di terze parti

Scalare i cambi di turno per impedire la formazione di lunghe file e prolungati tempi di attesa



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



computer portatili

Scansione delle persone tramite metal detector portatile tenuto a 7,5 cm dalla persona esaminata

X X

PS.S-11.1 Ricerche Proibire al personale di entrare/uscire dall’impianto con dispositivi di registrazione digitali (ad es., unità portatili USB, fotocamere digitali, telefoni cellulari) e includere la ricerca di questi dispositivi nella procedura di ricerca all’uscita

Confiscare eventuali dispositivi di registrazione digitali trovati e riporli in armadietti protetti

Documentare eventuali incidenti di tentato furto di contenuti

Prendere i necessari provvedimenti disciplinari contro le persone che tentano il furto di contenuti

Implementare e imporre una politica che proibisca l’uso di dispositivi mobili/cellulari con funzioni di registrazione digitale.

Consentire l’uso di telefoni cellulari con funzioni di registrazione digitale se dotati di adesivi a prova di manomissione

X X

PS.S-11.2 Ricerche Imporre l’utilizzo di borse di plastica e contenitori per il cibo trasparenti per i cibi introdotti nelle aree di produzione

Valutare la creazione di un’area pranzo al di fuori dell’area di produzione

X X

PS.S-11.3 Ricerche Implementare una politica sull’abbigliamento che proibisca l’uso di abbigliamento fuori misura (ad es., pantaloni molto più larghi della propria misura, felpe con cappuccio fuori misura)

X X

PS.S-11.4 Ricerche Utilizzare adesivi/ologrammi numerati, a prova di manomissione per identificare i dispositivi autorizzati a essere introdotti e portati fuori dall’impianto

1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X X

PS.S-11.5 Ricerche Implementare un processo di test della procedura di ricerca all’uscita

Eseguire controlli periodici del processo di ricerca per verificare che il personale di sicurezza lo esegua in modo accurato

Identificare possibili modi per migliorare il processo di ricerca all’uscita

Documentare tutti i controlli e i miglioramenti del processo di ricerca

X X

PS.S-11.6 Ricerche Eseguire un processo di ricerca a caso sui veicoli che escono dal parcheggio dell’impianto

X

PS.S-11.7 Ricerche Separare le linee di replica che elaborano contenuti altamente riservati ed eseguire ricerche all’uscita delle aree separate

X X

PS.S-11.8 Ricerche Implementare controlli aggiuntivi per monitorare l’attività del personale di sicurezza

Rivedere il processo di ricerca all’uscita sul personale di sicurezza

Separare le responsabilità del personale di sicurezza per la sorveglianza delle aree di impianto/produzione dai punti di uscita (ad es., processo di ricerca)

X X X X X X X X X X

PS.S-12.0 Traccia dell’inventa-rio

Utilizzare la notifica automatizzata per le risorse che sono state fuori dalla camera di sicurezza per periodi di tempo prolungati

Stabilire durate di prelievo previste per ogni tipo di risorsa

Configurare il sistema di gestione delle risorse per i contenuti in modo che notifichi automaticamente al personale della camera di sicurezza quando le risorse non vengono restituite entro il lasso di tempo previsto

X X

PS.S-12.1 Traccia dell’inventa-rio

Bloccare e registrare le risorse in ritardo o restituite qualora non sia stato possibile consegnare in tempo la spedizione

Definire una procedura per l’archiviazione delle risorse in un’area ad accesso controllato

Mantenere la documentazione che registri l’archiviazione in loco delle risorse, incluse data e causa dell’archiviazione



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X X X

PS.S-13.0 Conteggi di inventario

Eseguire un conteggio di inventario settimanale dei progetti in pre-pubblicazione di ogni cliente, confrontarlo con le registrazioni della gestione delle risorse e comunicare immediatamente eventuali variazioni ai clienti

Documentare tutti i conteggi di inventario

Non permettere al personale della camera di sicurezza di eseguire i conteggi di inventario (ovvero, la separazione dei compiti)

X X


Monitorare costantemente gli elementi su pellicola (ad es., negativi, pellicola non sviluppata) durante l’intero processo del flusso di lavoro

Confrontare i materiali su pellicola con gli ordini di lavoro durante il loro spostamento attraverso il processo del flusso di lavoro

Tenere traccia del movimento dei materiali su pellicola mediante un modulo per la catena di custodia

X

PS.S-14.0 Traccia supporti/pellicole vuoti

Definire un processo mensile che tenga traccia del consumo delle materie prime (ad es., policarbonato)

Confrontare la scorta di materie prime esistente con gli ordini di lavoro per identificare le variazioni di inventario

Stabilire una soglia di variazione il cui superamento attivi il processo di risposta agli incidenti

Valutare l’esecuzione di conteggi fisici delle scorte di materie prime nell’ambito del processo di traccia mensile

X X X X

PS.S-15.0 Risorse del cliente

Richiedere a due addetti del personale aziendale muniti di carte di accesso separate di aprire le aree altamente riservate fuori orario (ad es., cassaforte, gabbia ad alta sicurezza)

X X X


Utilizzare una gabbia ad accesso controllato come area di conservazione e monitorare tale area con telecamere di sorveglianza

1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X


Utilizzare una cassaforte chiusa a prova di incendio per riporvi i pacchetti non consegnati che durante la notte vengono conservati presso l’impianto

Assicurare la cassaforte assicurandola ad una superficie inamovibile (ad es., al pavimento, a una parete)

X


Per l’archiviazione delle anteprime non consegnate, implementare un’area sicura dedicata (ad es., gabbia di sicurezza, sala sicura) che sia chiusa a chiave, con accessi controllati e monitorata da telecamere di sorveglianza e/o personale di sicurezza

Limitare l’accesso al personale che deve potervi accedere per il proprio ruolo lavorativo

Verificare che l’area di archiviazione delle anteprime sia sempre completamente delimitata, chiusa a chiave e monitorata

Implementare un processo che consenta di rivedere i filmati di sorveglianza su base regolare

X X

PS.S-16.0 Smaltimenti Se è prevista la distruzione degli scarti, implementare un processo che richieda al personale di sicurezza di monitorare e registrare il processo di smaltimento

Verificare che le risorse scartate siano inutilizzabili e non possano essere copiate

Mantenere registrazioni di tutti gli scarti distrutti

X X

PS.S-16.1 Smaltimenti Condurre formazione periodica sulla sicurezza per tutto il personale aziendale e i lavoratori di terze parti, per educarli sullo smaltimento delle risorse e i processi di distruzione (ad es., su come inserire le risorse negli appositi contenitori)

Richiedere a personale aziendale e lavoratori di terze parti di ricevere la formazione su smaltimento e distruzione delle risorse correlate alle proprie funzioni lavorative

Implementare procedure che consentano di tenere traccia delle persone che hanno frequentato una formazione durante l’anno (ad es., archivio in database, certificati di completamento)

X X

PS.S-16.2 Smaltimenti Graffiare i dischi prima di inserirli nel contenitore degli scarti

Valutare la possibilità di tagliare i supporti prima di inserirli nel contenitore degli scarti

X X

PS.S-16.3 Smaltimenti Utilizzare l’automazione per trasferire i dischi rifiutati dalle macchine di replica direttamente nei contenitori degli scarti (senza alcune manipolazione dal parte dell’operatore della macchina)

Qualora non sia disponibile lo smaltimento automatizzato, utilizzare la separazione dei compiti (ad es., il personale che crea il disco di controllo è separato da quello che distrugge il disco)



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



Mantenere un registro firmato della data e dell’ora in cui è stato smaltito il disco

X

PS.S-16.4 Smaltimenti Proibire l’impiego di società terze parti per la distruzione di unità DCDM o contenuti pre-pubblicazione

Implementare e sviluppare procedure per la distruzione dei dati delle unità DCDM o di altri supporti fisici con contenuti pre-pubblicazione

X X X

PS.S-17.0 Spedizione Raccogliere e conservare le informazioni dei conducenti degli automezzi in un registro separato

Mantenere un registro di tutti i conducenti di automezzi e includervi le seguenti informazioni:

- Nome

- Targhe di motrice e rimorchio

- Società affiliata

- Data e ora del prelievo

- Contenuti gestiti

X X X X

PS.S-17.1 Spedizione Richiedere al personale che preleva i pacchi di verificare il conteggio sul documento di spedizione e ottenere una firma dal punto di spedizione

Richiedere ai destinatari di confrontare che il conteggio di spedizione corrisponda ai loro ordini di lavoro

Segnalare immediatamente eventuali discrepanze o danni alla merce inviata

X X

PS.S-17.2 Spedizione Se la spedizione viene eseguita in loco, osservare e monitorare l’imballaggio e la chiusura dei rimorchi

Richiedere sempre la presenza del personale di sicurezza durante il caricamento e la chiusura dei rimorchi

X X X X

PS.S-17.3 Spedizione Per le spedizioni tra impianti, implementare un processo formale per la registrazione, il monitoraggio e la revisione di tempi di viaggio, percorsi e tempi di consegna

Definire una base dei tempi di consegna tra punti di spedizione comuni e monitorare i tempi effettivi per verificare eventuali discrepanze

Indagare sulle principali discrepanze e segnalarle al personale interessato

Stabilire le soste di riposo approvate

1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X

PS.S-17.4 Spedizione Non consentire l’uscita di elementi su pellicola dall’impianto se non tramite una spedizione, tranne in presenza di un pass di autorizzazione firmato

Creare un modulo per documentare le risorse in partenza trasportate con metodi insoliti

Prima che le risorse possano essere portate fuori, richiedere un’autorizzazione al personale interessato

Registrare qualsiasi elemento che lasci l’impianto, sia tramite spedizione che con altri mezzi

X

PS.S-17.5 Spedizione Spedire le stampe per le anteprime pre-cinema in modo suddiviso (ad es., le bobine dispari separate dalle bobine pari)

X X X

PS.S-20.0 Imballaggio Applicare un involucro retraibile a tutte le spedizioni e ispezionare gli imballaggi prima della spedizione finale per verificare che siano avvolti adeguatamente

Applicare un involucro retraibile alle singole risorse (ad es., skid, pallet) o a rotolo per spedizioni voluminose

X X X X

PS.S-21.0 Veicoli di trasporto

Implementare le seguenti funzioni di sicurezza sui veicoli da trasporto (ad es., i rimorchi):

Separazione dalla cabina del conducente

Possibilità di chiudere e sigillare le porte dell’area di carico

GPS per spedizioni ad alta sicurezza

Utilizzare veicoli equipaggiati di sistemi di rilevazione GPS o XDA per la consegna di contenuti riservati e risorse di elevato valore

X X X


Per spedizioni di titoli altamente riservati, applicare sigilli numerati alle porte di carico

Chiedere al personale di sicurezza di applicare, registrare e monitorare i sigilli

Valutare misure di sicurezza aggiuntive per imballaggi altamente riservati (ad es., area di carico chiusa/protetta, flight case chiusi a chiave)



1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X X X


Chiedere l’impiego di una scorta di sicurezza per la consegna di contenuti altamente riservati in aree ad alto rischio

Assumere personale di sicurezza in grado di proteggere contenuti altamente riservati da dirottamento, aggressione per rapina e altri scenari che potrebbero comportarne il furto



COMPETENZA

IMPIANTO GESTIONE




1

ADS

2

CA

3

CDF

4

D

5

DC

6

DS

7

DVD

8

FL

9

IFE

10

PP

11

R

12



X

DS.S-9.0 Registra-zione e monitoraggio

Implementare meccanismi di registrazione su tutti i sistemi utilizzati per:

Generazione delle chiavi

Gestione delle chiavi

Gestione dei certificati fornitore

Verificare che tutte le chiavi generate e tutti i certificati aggiunti siano tracciabili in un unico utente

X

DS.S-10.0 Tecniche di sicurezza

Implementare un processo di gestione delle chiavi che risolva i seguenti problemi:

Approvazione e revoca di dispositivi accreditati

Generazione, rinnovo e revoca delle chiavi dei contenuti

Distribuzione interna ed esterna delle chiavi dei contenuti

Se necessario, perfezionare e documentare il processo di gestione delle chiavi

Incorporare il processo di gestione delle chiavi nel flusso di lavoro dei contenuti e identificare i rischi di ciascuna fase del ciclo di vita di gestione delle chiavi (ovvero, generazione, distribuzione, revoca)

X


Verificare che i dispositivi presenti nell’elenco TDL (Trusted Devices List) siano appropriati in base all’approvazione dei proprietari dei diritti

Chiedere ai clienti di fornire un elenco di dispositivi accreditati per la riproduzione dei contenuti

Creare messaggi KDM (Key Delivery Message) solo per i dispositivi presenti nell’elenco TDL

X


Verificare la validità delle chiavi dei contenuti e che le date di scadenza siano conformi alle istruzioni del cliente

Chiedere ai clienti di fornire date di scadenza per le chiavi dei contenuti

Specificare una data finale per la scadenza delle chiavi per limitare la quantità di tempo durante il quale possono essere visualizzati i contenuti

Appendice A: Introduzione agli impianti 1 gennaio 2013


APPENDICE A: INTRODUZIONE AGLI IMPIANTI

La tabella che segue contiene una breve introduzione su ciascun tipo di impianto per le Buone pratiche per la sicurezza dei contenuti di MPAA - Linee guida supplementari.

Tipo di impianto

Descrizione generale Tipo di contenuti

Attributo video

Descrizione Esempi di rischio tipici

Audio, doppiaggio e sottotitolaggio

Gli impianti audio sono responsabili dell’elaborazione del suono che viene registrato durante il processo di produzione e della sua integrazione con effetti sonori e colonne sonore aggiuntivi. Gli impianti che eseguono servizi di doppiaggio e sottotitolaggio sono responsabili della sovrapposizione di dialoghi e didascalie alternati.

Fermi immagine

Script

Solo audio

Video e audio

Completezza Completo

Parziale

Smarrimento, sequestro o furto di contenuti riservati come:

- Video completo abbinato ad audio

- File audio master

- Colonna sonora musicale completa

- Tracce voce ed effetti sonori ad alta qualità

- File audio grezzi

- Dialoghi completi in sottotitoli

Trasferimento non autorizzato in uscita di piccoli file audio, file di sottotitoli e file video a bassa risoluzione

Software specializzato e/o personalizzato contenente vulnerabilità per la sicurezza che potrebbero essere sfruttate per compromettere applicazioni e contenuti

Mancanza di controlli di sicurezza presso gli impianti di dimensioni minori che dispongono di risorse limitate come:

- Sicurezza fisica presso i punti di ingresso e uscita

- Catena di custodia

- Separazione dei compiti

- Altri controlli di sicurezza avanzati

Risoluzione Alta Bassa

Qualità Pulita Con filigrana Anticipato

Tipo di impianto


Attributo video


Introduzione alla pubblicità creativa

Gli impianti di Pubblicità creativa sono responsabili dello sviluppo, della gestione e della manipolazione della pubblicità per i titoli di proprietà degli studi.

Fermi immagine

Script

Audio (senza video)

Video e audio

Completezza Completo Parziale


- Trailer, teaser e altri prodotti pubblicitari completi

- Video parziale ad alta qualità abbinato ad audio

- Fermi immagine e clip ad alta risoluzione

- Video, audio ed effetti grafici molto in anticipo sulla pubblicazione dei contenuti

Controlli di sicurezza deboli su flusso di lavoro e gestione delle risorse

Mancanza di sofisticazione sulle reti IT e di limitazione nell’accesso ai contenuti

Impiego di altri piccoli impianti e persone di terze parti su cui gli studi non hanno alcun controllo

La mancanza di controlli di sicurezza presso gli impianti di dimensioni minori che dispongono di risorse limitate come:







Introduzione dalla distribuzione

Gli impianti di distribuzione sono responsabili della spedizione delle merci imballate finite ai rivenditori e ad altre entità per scopi legati al mercato dell’home video. Prima della spedizione, spesso i contenuti sono depositati in aree di conservazione o magazzini all’intero di questi impianti.

Fermi immagine

Script

Solo audio

Video e audio



- Beni di consumo finiti

- Supporti fisici con contenuti completi

Mancanza di classificazione delle risorse e formazione sulla gestione di contenuti altamente riservati

Archiviazione di supporti fisici contenenti prodotti confezionati e beni di consumo finiti in aree di conservazione e magazzini non monitorati

Piccole quantità di beni di consumo rendono più facile il furto (distribuzione di home video)

Impiego di altre piccole società e persone terze parti su cui gli studi non hanno alcun controllo

Impianti di grandi dimensioni che rendono difficile controllare tutti i dipendenti

Ubicazioni pericolose per gli impianti

Lavoratori temporanei e stagionali possono non aver ricevuto la formazione e gli incentivi per proteggere i contenuti





Tipo di impianto


Attributo video


Introduzione al cinema digitale

Gli impianti per il cinema digitale sono responsabili del processo di masterizzazione digitale e della replica e la distribuzione di contenuti digitali completi nelle sale dei cinema digitali. Questi servizi possono essere eseguiti insieme presso un unico impianto oppure indipendentemente presso impianti separati.

Fermi immagine

Script

Solo audio

Video e audio



- DSM (Digital Source Master)

- DCDM (Digital Cinema Distribution Master)

- DCP (Digital Cinema Package)

- Audio e video completi, puliti, ad alta risoluzione

Processi di generazione e gestione delle chiavi ad hoc che possono non essere seguiti in modo coerente dalle case di masterizzazione

TDL (Trusted Device List) non aggiornati per limitare la riproduzione di contenuti su dispositivi specificati

Replica e distribuzione di dischi rigidi contenenti DCP completi che possono essere rubati facilmente durante l’immagazzinamento o il trasporto

Gestione delle sedi in cui vengono inviate e restituite le unità



Introduzione ai servizi digitali

Gli impianti che forniscono servizi digitali sono responsabili del processo intermedio digitale (DI) che comprende scansione della pellicola, aggiustamento del colore e registrazione del film. Solitamente il processo DI inizia con la scansione della pellicola, durante la quale il film viene convertito in un formato digitale che può essere manipolato ed elaborato tramite computer. Durante questa operazione è possibile utilizzare strumenti per eseguire modifiche come correzione dei colori, rimozione della polvere, transizioni, effetti grafici e masterizzazione finale, con una precisione e una velocità molto superiori.

Fermi immagine

Script

Solo audio

Video e audio



- Contenuti audio e video su pellicola, nastro, dischi rigidi e file digitali

- Contenuti completi in alta qualità e risoluzione

- Master digitali

- Master di distribuzione del film

Processi ad hoc relativi alla gestione delle risorse dei contenuti su pellicola e file digitali che possono non essere seguiti in modo coerente

Utilizzo di corrieri e servizi di consegna esterni per il trasporto di contenuti completi

Grandi quantità e diversi formati di contenuti altamente riservati che richiedono elevati livelli di sicurezza



Tipo di impianto


Attributo video


Introduzione alla creazione di DVD

Gli impianti che eseguono la creazione di DVD sono responsabili del processo di pre-masterizzazione per Blu-ray o DVD, il quale include un grande numero di passaggi necessari per produrre il disco riproducibile finale distribuito per il mercato dell’home video.

Fermi immagine

Script

Solo audio

Video e audio



- Master Blu-ray o DVD puliti e dischi di controllo

- Audio e video completi ad alta qualità

- Master digitali

- Intermedi digitali ad alta risoluzione

Processi ad hoc relativi alle seguenti aree:

- Gestione e traccia delle risorse dei dischi di controllo

- Notifica di ricevimento, smarrimento e furto dei dischi di controllo

- Archiviazione e distruzione sicure dei prodotti non venduti

Distribuzione eccessiva di dischi di controllo

Procedure della catena di custodia deboli per la distribuzione dei dischi di controllo



Introduzione al laboratorio pellicole

I laboratori pellicole sono responsabili dello sviluppo, l’elaborazione e l’editing della pellicola fisica. Per le produzioni girate su pellicola fisica che non sono destinate a passare attraverso il processo intermedio digitale, tutta l’elaborazione e le modifiche devono essere eseguite utilizzando la pellicola fisica stessa.

Fermi immagine

Script

Solo audio

Video e audio



- Audio a video completi ad alta qualità

- Stampe di pubblicazione

Registrazione di contenuti parziali o completi durante le revisioni dei controlli di qualità

Mancanza di implementazione e imposizione di politiche che proibiscono l’utilizzo di dispositivi di registrazione digitali

Processi ad hoc relativi all’archiviazione e distruzione di scarti che possono non essere seguiti in modo coerente

Processi inadeguati relativi alla spedizione e al ricevimento di bobine di pellicola





Tipo di impianto


Attributo video


Introduzione ai servizi IFE e di ospitalità

Gli impianti che forniscono servizi IFE (In-Flight Entertainment) e di ospitalità sono responsabili della distribuzione dei contenuti usati per la riproduzione su aeromobili e altri ambienti non cinematografici (come ad esempio alberghi, navi da crociera, traghetti, biblioteche, ospedali e prigioni). Questi impianti eseguono numerosi processi, tra cui la revisione delle anteprime, la codifica e la crittografia dei contenuti e l’integrazione dei contenuti con il software e la console IFE.

Fermi immagine

Script

Solo audio

Video e audio



- Audio e video completi su dischi rigidi

- Contenuti parziali o completi ad alta qualità

- Master IFE

Aerolinee e ambienti non cinematografici più piccoli che hanno misure di sicurezza limitate o assenti sull’archiviazione dei contenuti


- Notifica di smarrimenti e furto delle anteprime mancanti

- Gestione delle risorse dei contenuti



Introduzione alla post-produzione

Gli impianti che seguono la post-produzione sono responsabili di molti servizi come digitalizzazione dei contenuti, editing audio e video, correzione e taratura dei colori, controllo qualità e masterizzazione digitale.

Fermi immagine

Script

Solo audio

Video e audio



- Finitura, pulitura, contenuto ad alta risoluzione

- File audio master

- Colonna sonora musicale completa

Outsourcing ad altri impianti e persone terze parti su cui gli studi non hanno alcun controllo

Controlli di accesso fisico deboli

Accesso illimitato in uscita a Internet sui sistemi e i dispositivi di trasferimento dei supporti

Mancanza di separazione di rete che consente l’accesso non autorizzato ai contenuti

Impianti con risorse limitate che possono scoraggiare o limitare la capacità di implementare controlli di sicurezza come:







Tipo di impianto


Attributo video


Introduzione alla replica

Gli impianti che eseguono la replica sono responsabili della produzione di massa dei DVD da distribuire sul mercato dell’home entertainment. Questi impianti gestiscono grandi volumi di beni di consumo finiti che vengono imballati e preparati per la distribuzione.

Fermi immagine

Script

Solo audio

Video e audio



- Beni di consumo finiti

- Master di DVD

- Stampe

Grandi volumi di contenuti fisici in attesa di completamento

Piccole quantità di beni di consumo che rendono più facili i furti

Mancanza di attenzione alla sicurezza in merito a smarrimento e furto di contenuti


- Distruzione di DVD di scarto e materiale respinto

- Notifica di smarrimenti e furto di contenuti mancanti

- Classificazione delle risorse e formazione sulla gestione di contenuti altamente riservati

- Conteggio di spedizione e ricevimento

Ubicazioni pericolose per gli impianti



Introduzione agli effetti visivi (VFX)

Gli impianti che applicano gli effetti visivi sono responsabili di esaltare le scene di azione dal vivo con effetti visivi tra cui animazione digitale, immagini generate dal computer e altre forme di effetti speciali.

Fermi immagine

Script

Solo audio

Video e audio



- Contenuti ad alta risoluzione

- Anticipazioni per set digitali, sfondi, aspetto dei personaggi, principali linee della trama e ultimi concetti per costumi o effetti grafici

- Effetti digitali e animazioni generate al computer

Divulgazione di materiale girato grezzo senza effetti visivi che possono avere effetti sulla reputazione e la redditività generale di un titolo

Mancanza di controlli di sicurezza sulle stazioni di lavoro degli artisti che possono consentire il trasferimento in uscita dei contenuti

Divulgazione da parte dei dipendenti di informazioni riservate sul progetto per via orale o tramite siti Web personali o di social media





Tipo di impianto


Attributo video


Introduzione a corrieri, consegne e trasporti

Gli impianti che forniscono servizi di corriere, consegna e trasporto sono responsabili del trasporto da una località a un’altra dei supporti fisici dei contenuti (ad esempio pellicola, dischi rigidi e DVD).

Fermi immagine

Script

Solo audio

Video e audio



- Video completo o parziale abbinato ad audio

- Tutte le risoluzioni di pellicola e file su nastro di dati

- File audio master

- File ad alta risoluzione su disco rigido

- Doppiaggio di videotape a risoluzioni variabili

Mancanza di uno screening completo e di controlli sui precedenti personali del personale di corriere, consegna e trasporto

Processi ad hoc relativi alla traccia e alla gestione delle risorse che possono non essere seguiti in modo coerente

Processi ad hoc relativi alla notifica di smarrimenti e furti di contenuti mancanti che possono non essere seguiti in modo coerente

Mancanza di classificazione delle risorse e formazione sulla gestione di contenuti altamente riservati



APPENDICE B: MAPPATURA DI CONTROLLI AGGIUNTIVI SUI RIFERIMENTI

La tabella che segue contiene una mappa generale delle buone pratiche rispetto agli standard ISO 27001/27002 e NIST 800-53. Questi standard possono essere consultati per ulteriori informazioni sull’implementazione di controlli di sicurezza.

N. Argomento di sicurezza

Riferimento ISO 27002

Riferimento NIST

MS.S-1.0 Consapevolez-za/Sorveglianza sicurezza esecutiva

6.1.1, 6.1.2 PM-1, PM-2

MS.S-3.0 Organizzazione di sicurezza

6.1.3 PE-6, PM-2, SI-4

MS.S-4.0 Sicurezza dei contenuti e consapevolez-za della pirateria

8.2.2 AT-3, CP-3

MS.S-4.1 8.2.2, 12.3.1, 12.3.2 AT-3, SC-12


6.2.1

MS.S-10.1

MS.S-10.2 6.2.3, 10.2.2 PS-3

MS.S-10.3 6.2.3, 8.3.3, 10.2, 11.2.4

AC-2, PS-4, PS-5, PS-7, SA-9

MS.S-10.4 6.2.3, 8.1.2, 10.2 PS-3

PS.S-1.0 Punti di ingresso/uscita Punti di ingresso/uscita

PS.S-1.1 9.1.6 PE-3, PE-7, PE-16

PS.S-1.2 9.1.2, 9.1.6 PE-3 , PE-7, PE-16

PS.S-1.3 PE-1

PS.S-1.4 13.1.1, 13.1.2 IR-1



Riferimento NIST


9.1.1 PE-3

PS.S-4.1 9.1.1 PE-3

PS.S-4.2 9.1.1 PE-3

PS.S-6.0 Autorizzazione 9.1.2, 11.2.4 PE-2, PE-3, PE-6

PS.S-7.0 Accesso elettronico

9.1.2 PE-2, PE-3

PS.S-9.0 Videocamere 9.1.1 PE-3, PE-6

PS.S-9.1 6.1.3, 9.1.1 IR-5, IR-6, PE-3, PE-6

PS.S-10.0 Registrazione e monitoraggio

9.1.2, 10.10 PE-6

PS.S-11.0 Ricerche

PS.S-11.1 7.1.3, 9.1.5, 9.2.7 AC-19

PS.S-11.2

PS.S-11.3

Mappatura di controlli aggiuntivi sui riferimenti 1 gennaio 2013




Riferimento NIST

PS.S-11.4 Ricerche MP-3

PS.S-11.5

PS.S-11.6

PS.S-11.7

PS.S-11.8 10.1.3 AC-5

PS.S-12.0 Traccia dell’inventario

SI-5

PS.S-12.1 9.2.1 MP-2, MP-4


7.1.1 CM-8

PS.S-13.1

PS.S-14.0 Traccia supporti/pellico-le vuoti


10.1.3 AC-5

PS.S-15.1 9.1.2 PE-3, PE-6

PS.S-15.2 9.2.1 MP-2, MP-4

PS.S-15.3 7.1.1, 10.7.1 MP-4, PE-2, PE-3

PS.S-16.0 Smaltimento

PS.S-16.1 8.2.2, 9.2.6, 10.7.2 AT-2, AT-3, MP-6

PS.S-16.2 9.2.6 MP-6

PS.S-16.3



Riferimento NIST

PS.S-16.4 Smaltimento 6.2.1

PS.S-17.0 Spedizione 10.8.2, 10.8.3 MP-5, SA-9

PS.S-17.1 10.8.2, 10.8.3

PS.S-17.2 10.8.3 MP-5, PE-16

PS.S-17.3 10.8.2 MP-5, PE-16

PS.S-17.4 10.8.3 PE-16

PS.S-17.5

PS.S-20.0 Imballaggio 10.8.3


PS.S-21.1 10.8.3

PS.S-21.2

DS.S-9.0 Registrazione e monitoraggio

10.10, 12.3.1, 12.3.2 AU-1, AU-2, AU-3, AU-6, SC-12, SC-13


12.3.1, 12.3.2 SC-12, SC-13

DS.S-10.1

DS.S-10.2 12.3.1, 12.3.2 SC-12, SC-13

BUONE PRATICHE PER LA SICUREZZA DEI CONTENUTI ......Sistema di gestione 1 gennaio 2013 Buone...

Documents

Transcript of BUONE PRATICHE PER LA SICUREZZA DEI CONTENUTI ......Sistema di gestione 1 gennaio 2013 Buone...