bs 7799 certificazione della sicurezza delle informazioni alessandro leone
TRANSCRIPT
BS 7799Certificazione della sicurezzadelle informazioni
BS 7799Certificazione della sicurezzadelle informazioni
Alessandro LeoneAlessandro Leone
AgendaAgenda
• L’efficacia dei sistemi informatici e la sicurezza
• Cos’è la sicurezza informatica?
• Lo standard BS 7799– Part I– Part II
• Altri standard
• Le norme che richiamano l’adozione dello standard BS 7799
• BS 7799: dove è consigliato
• Note conclusive
• L’efficacia dei sistemi informatici e la sicurezza
• Cos’è la sicurezza informatica?
• Lo standard BS 7799– Part I– Part II
• Altri standard
• Le norme che richiamano l’adozione dello standard BS 7799
• BS 7799: dove è consigliato
• Note conclusive
L’efficacia dei sistemi informatici e la sicurezza informaticaL’efficacia dei sistemi informatici e la sicurezza informatica
• Cosa può succedere ad un sistema informatico efficace e ben collaudato:– Manomesso o alterato (colpa
o dolo)– Bloccato (incidente o atto
volontario)– Violato– Etc.
• Cosa può succedere ad un sistema informatico efficace e ben collaudato:– Manomesso o alterato (colpa
o dolo)– Bloccato (incidente o atto
volontario)– Violato– Etc.
Server
WorkstationUtente
INPUTINPUT OUTPUTOUTPUT
L’efficacia dei sistemi informatici e la sicurezza informaticaL’efficacia dei sistemi informatici e la sicurezza informatica
• Cosa può succedere ad un sistema informatico efficace e ben collaudato:– Manomesso o alterato (colpa
o dolo)– Bloccato (incidente o atto
volontario)– Violato– Etc.
• Cosa può succedere ad un sistema informatico efficace e ben collaudato:– Manomesso o alterato (colpa
o dolo)– Bloccato (incidente o atto
volontario)– Violato– Etc.
Server
WorkstationUtente
Laptop
Hacker
INPUTINPUT OUTPUTOUTPUT
ALTERAZIONEALTERAZIONE
OUTPUTALTERATOOUTPUT
ALTERATO
L’efficacia dei sistemi informatici e la sicurezza informaticaL’efficacia dei sistemi informatici e la sicurezza informatica
• Cosa può succedere ad un sistema informatico efficace e ben collaudato:– Manomesso o alterato (colpa
o dolo)– Bloccato (incidente o atto
volontario)– Violato– Etc.
• Cosa può succedere ad un sistema informatico efficace e ben collaudato:– Manomesso o alterato (colpa
o dolo)– Bloccato (incidente o atto
volontario)– Violato– Etc.
Server
WorkstationUtente
Laptop
Hacker
INPUTINPUT
OUTPUTOUTPUT
OUTPUT ALTERATOOUTPUT ALTERATO
OUTPUTOUTPUT
…evidenza…evidenza
La sicurezza è quindi uno degli elementi di garanzia dell’efficacia e dell’efficienza dei sistemi informativi!
La sicurezza è quindi uno degli elementi di garanzia dell’efficacia e dell’efficienza dei sistemi informativi!
Cos’è quindi la sicurezza informatica?Cos’è quindi la sicurezza informatica?
• La sicurezza è un sistema complesso che coinvolge l’intera organizzazione e che è basato su un processo continuo di analisi dei rischi e di organizzazione delle risorse attraverso la definizione di responsabilità, di procedure e con l’uso di strumenti specifici
• La sicurezza è un sistema complesso che coinvolge l’intera organizzazione e che è basato su un processo continuo di analisi dei rischi e di organizzazione delle risorse attraverso la definizione di responsabilità, di procedure e con l’uso di strumenti specifici
ProblemiProblemi
• Dove investire in sicurezza?
• Quanto investire in sicurezza?
• Dove investire in sicurezza?
• Quanto investire in sicurezza?
Dove investire in sicurezza?Dove investire in sicurezza?
• Indagini di mercato dimostrano che le maggiori spese in tema di sicurezza informatica riguardano tecnologie di supporto…
• … ma gli esperti avvisano che senza gli aspetti organizzativi e di formazione le spese in tecnologia rischiano di essere inutili
• Indagini di mercato dimostrano che le maggiori spese in tema di sicurezza informatica riguardano tecnologie di supporto…
• … ma gli esperti avvisano che senza gli aspetti organizzativi e di formazione le spese in tecnologia rischiano di essere inutili
Quanto investire in sicurezza?Quanto investire in sicurezza?
Sicurezza
100%
Costo in €
A
B
C
Un metodo: BS 7799Un metodo: BS 7799
• Un possibile metodo, per poter identificare e dimensionare correttamente le attività e le soluzioni in termini di sicurezza, viene fornito dallo standard britannico BS 7799
• Un possibile metodo, per poter identificare e dimensionare correttamente le attività e le soluzioni in termini di sicurezza, viene fornito dallo standard britannico BS 7799
BS 7799: un po’ di storiaBS 7799: un po’ di storia
• Creato nel 1995 dal British Standards Institution per definire gli elementi chiave di controllo ed il processo di gestione della sicurezza delle informazioni
• È stato successivamente integrato nel 1998 ed è stato aggiornato sia nel 1999 sia nel 2002
• Creato nel 1995 dal British Standards Institution per definire gli elementi chiave di controllo ed il processo di gestione della sicurezza delle informazioni
• È stato successivamente integrato nel 1998 ed è stato aggiornato sia nel 1999 sia nel 2002
BS 7799: in cosa consisteBS 7799: in cosa consiste
• Il BS 7799 è uno standard orientato al processo piuttosto che al prodotto, ovvero non fornisce indicazioni specifiche sulle misure da intraprendere, ma indica le attività da organizzare in tema di sicurezza
• Lo standard si compone di due parti– “Part I” – “Part II”
• Il BS 7799 è uno standard orientato al processo piuttosto che al prodotto, ovvero non fornisce indicazioni specifiche sulle misure da intraprendere, ma indica le attività da organizzare in tema di sicurezza
• Lo standard si compone di due parti– “Part I” – “Part II”
BS 7799: Part IBS 7799: Part I
Denominata “Code of practice for Information Security” ha lo scopo di:
• fornire raccomandazioni nell’ambito della sicurezza informatica ad uso di coloro che all’interno di un’organizzazione sono responsabili della progettazione, dello sviluppo e del mantenimento dei livelli di sicurezza
La parte è suddivisa in 10 sezioni ed identifica per ciascuna di esse gli obiettivi dei controlli e i controlli stessi da implementare (per un totale di 127 controlli)
Denominata “Code of practice for Information Security” ha lo scopo di:
• fornire raccomandazioni nell’ambito della sicurezza informatica ad uso di coloro che all’interno di un’organizzazione sono responsabili della progettazione, dello sviluppo e del mantenimento dei livelli di sicurezza
La parte è suddivisa in 10 sezioni ed identifica per ciascuna di esse gli obiettivi dei controlli e i controlli stessi da implementare (per un totale di 127 controlli)
BS 7799: Part IIBS 7799: Part II
Denominata “Specification for Information Security Management System (ISMS)” ha lo scopo di:
• fornire un metodo per l’applicazione dei controlli indicati nella Part I
• dare indicazioni su come implementare, gestire, aggiornare e migliorare il sistema di gestione della sicurezza delle informazioni (ISMS)
Denominata “Specification for Information Security Management System (ISMS)” ha lo scopo di:
• fornire un metodo per l’applicazione dei controlli indicati nella Part I
• dare indicazioni su come implementare, gestire, aggiornare e migliorare il sistema di gestione della sicurezza delle informazioni (ISMS)
BS 7799 Part II: il processoBS 7799 Part II: il processo
1. PlanProgettare il sistema di gestionedella sicurezza delle informazioni (ISMS)
1. PlanProgettare il sistema di gestionedella sicurezza delle informazioni (ISMS)
3. CheckVerificare l’efficacia e l’efficienzadell’ISMS per mezzo di attività
di monitoring e di audit
3. CheckVerificare l’efficacia e l’efficienzadell’ISMS per mezzo di attività
di monitoring e di audit
2. DoImplementare e gestire l’ISMS
2. DoImplementare e gestire l’ISMS
4. ActPorre in essere i correttivi per le aree di miglioramento e per i problemiriscontrati
4. ActPorre in essere i correttivi per le aree di miglioramento e per i problemiriscontrati
BS 7799 Part II: focus su “Plan”BS 7799 Part II: focus su “Plan”• Definire l’ambito di applicazione
del sistema di gestione della sicurezza delle informazioni (ISMS)
• Definire l’ambito di applicazione del sistema di gestione della sicurezza delle informazioni (ISMS)
• Definire le politiche di sicurezza
• Eseguire un risk assessment con i responsabili operativi
• Identificare soluzioni per la gestione dei rischi
• Selezionare gli obiettivi di controllo ed i controlli della Part I
• Redigere la dichiarazione di applicabilità
• Definire le politiche di sicurezza
• Eseguire un risk assessment con i responsabili operativi
• Identificare soluzioni per la gestione dei rischi
• Selezionare gli obiettivi di controllo ed i controlli della Part I
• Redigere la dichiarazione di applicabilità
Altri standard esistentiAltri standard esistenti
• Al momento l’International Organization for Standardization (ISO) e l’International Electrotechnical Commission (IEC) hanno recepito la Part I del BS 7799 e hanno definito lo standard ISO/ IEC 17799
• Al momento l’International Organization for Standardization (ISO) e l’International Electrotechnical Commission (IEC) hanno recepito la Part I del BS 7799 e hanno definito lo standard ISO/ IEC 17799
Le norme che richiamano l’adozione dello standard BS 7799Le norme che richiamano l’adozione dello standard BS 7799
• Consiglio dell’Unione Europea – Risoluzione del 28 gennaio 2002– Invita i Paesi Membri ad adottare come best practice lo standard
ISO/IEC 17799
• Direttiva “Stanca” 16 gennaio 2002– Suggerisce alle Pubbliche Amministrazioni di adottare un processo di
analisi e gestione dei rischi conforme a BS 7799
• Banca d’Italia – Regolamento 29 gennaio 2002– Impone l’adozione di ISO/IEC 17799 nell’ambito dei S.I. operanti con la
Centrale di Allarme Interbancaria
• Consiglio dell’Unione Europea – Risoluzione del 28 gennaio 2002– Invita i Paesi Membri ad adottare come best practice lo standard
ISO/IEC 17799
• Direttiva “Stanca” 16 gennaio 2002– Suggerisce alle Pubbliche Amministrazioni di adottare un processo di
analisi e gestione dei rischi conforme a BS 7799
• Banca d’Italia – Regolamento 29 gennaio 2002– Impone l’adozione di ISO/IEC 17799 nell’ambito dei S.I. operanti con la
Centrale di Allarme Interbancaria
BS 7799: dove è consigliatoBS 7799: dove è consigliato
• Nei Sistemi Informativi della Pubblica Amministrazione (Conformità Direttiva Stanca)
• Nei Sistemi Informativi che devono fornire ampie garanzie di tutela della gestione della Sicurezza delle Informazioni (es. ambito finanziario; ai sensi della conformità per la tutela della Privacy; etc.)
• Presso i fornitori di servizi di elaborazione dati (outsourcer) al fine di conferire fiducia e verificabilità ai clienti
• Nei Sistemi Informativi della Pubblica Amministrazione (Conformità Direttiva Stanca)
• Nei Sistemi Informativi che devono fornire ampie garanzie di tutela della gestione della Sicurezza delle Informazioni (es. ambito finanziario; ai sensi della conformità per la tutela della Privacy; etc.)
• Presso i fornitori di servizi di elaborazione dati (outsourcer) al fine di conferire fiducia e verificabilità ai clienti
Note conclusiveNote conclusive
• La sicurezza come elemento integrante per la garanzia dell’efficienza e l’efficacia dei sistemi informativi
• Il problema dell’orientamento e del dimensionamento della spesa in tema di sicurezza informatica
• BS 7799 come strumento che indica un metodo per ottenere una gestione efficace della sicurezza informatica in linea con le reali esigenze operative
• La sicurezza come elemento integrante per la garanzia dell’efficienza e l’efficacia dei sistemi informativi
• Il problema dell’orientamento e del dimensionamento della spesa in tema di sicurezza informatica
• BS 7799 come strumento che indica un metodo per ottenere una gestione efficace della sicurezza informatica in linea con le reali esigenze operative
Alessandro Leoneemail: [email protected].: 02 806691
Alessandro Leoneemail: [email protected].: 02 806691