l’applicazione del disciplinare tecnico della 196 alla luce degli standard iso sulla sicurezza

L’applicazione del Disciplinare Tecnico della

196 alla luce degli standard ISO sulla sicurezza

Ing. Enrico Fontana

Ing. Andrea Praitano

Ing. Giuseppe G. Zorzino

26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000

• La 196 e gli obblighi per i titolari

• L’autorizzazione n°4 del Garante per i professionisti

• Gli obblighi della 196 per i trattamenti elettronici

• Le modalità semplificate di applicazione del disciplinare tecnico

• La famiglia di standard ISO/IEC 27000

• Il DPS, e i documenti obbligatori della ISO 27001

• Quadro normativo (cogenza) vs sistema di certificazione (volontario)

• Confronto tra framework

Agenda


Presentazione relatore – Enrico Fontana

• IT System Analyst

Ospedale Pediatrico Bambino Gesù Servizio

Sistemi Informativi e Telematici

• Specializzando in ―Gestione e Organizzazione

delle Aziende e dei Servizi Sanitari‖ – Università

Cattolica Roma – Policlinico Gemelli

26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000

Il D.Lgs 196/2003

È il codice in materia di protezione dei dati personali, impropriamente

detto testo unico sulla privacy

DATI PERSONALIDATI SENSIBILI

DATI GIURIDICI

D.Lgs. 196/2003 allegato BCodice in materia di protezione dei dati personali Disciplinare tecnico in

materia di misure minime di sicurezza

Specifica i trattamenti con strumenti elettronici e non, che il titolare, il

responsabile (se presente) e l’incaricato devono rispettare

GLI ATTORI:

• Titolare

• Responsabile

• Incaricato

• Interessato


Quali sono i DATI PERSONALI?

Sono tutte le informazioni relative a persone fisiche o giuridiche, oppure enti ed associazioni, che consentano l’identificazione diretta o indiretta di questi stessi soggetti(art. 4, comma 1, lettere b e c)

DIRETTA

INDIRETTA

• NOME E COGNOME

• RAGIONE O DENOMINAZIONE SOCIALE

• CODICE FISCALE

• FOTOGRAFIA

• REGISTRAZIONE VIDEO O SONORA

• CODICE IDENTIFICATIVO

• NUMERO DI MATRICOLA

Dati Personali


Quali sono i DATI SENSIBILI?

È considerato dato sensibile qualsiasi informazione (art. 4, comma 1, lettera d) che riveli:

L’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché tutti i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

• Consenso scritto dell’interessato e autorizzazione del Garante

• Misure di sicurezza aggiuntive e più forti

Condizioni per il trattamento (non per enti pubblici):

Dati Sensibili


• Art.3, comma 1, lettere da a) a o) e da r) a u) del D.P.R 313/2002 in materia di casellario giudiziale,

• Anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti,

• La qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del codice di procedura penale.

Quali sono i DATI GIUDIZIARI?

Sono una categoria di dati personali, idonei a rivelare i provvedimenti di cui (art. 4, comma 1, lettera e):

Dati Giudiziari


Trattamento con Strumenti Elettronici

Presenza di un sistema di autenticazione e di credenziali per l’autenticazione

• User name / password

• Smart card / PIN

• Caratteristica biometrica

Agli incaricati sono impartite indicazioni scritte

per la necessaria riservatezza delle credenziali

Può essere presente un sistema di autorizzazione

http://www.google.it/imgres?imgurl=http://www.masternewmedia.org/news/images/fingerprint_by_brokenheart_350o2.jpg&imgrefurl=http://www.masternewmedia.org/it/2005/05/17/sistemi_di_autenticazione_e_sicurezza.htm&usg=__mEyFnxKcHwSR1BG4sd5Uc-8m9ng=&h=486&w=350&sz=38&hl=it&start=1&itbs=1&tbnid=v8ArXLK56pbNsM:&tbnh=129&tbnw=93&prev=/images%3Fq%3DSistema%2Bdi%2BAutenticazione%26hl%3Dit%26sa%3DG%26gbv%3D2%26tbs%3Disch:1


Altre misure di sicurezza

• Revisione almeno annuale dei profili degli incaricati e dei profili di

autorizzazione

• Presenza di SW anti Malware per la tutela dei dati personali.

Aggiornamento semestrale. Fix e Patch con cadenza annuale –

semestrale se in presenza di dati sensibili o giuridici

• Backup Settimanali


Trattamento di dati Sensibili o Giudiziari

Richiede la stesura, da parte del titolare, di un Documento Programmatico

della Sicurezza (DPS)

• Periodicità annuale (ogni 31 marzo)

• Analisi dei Rischi

• Analisi della Sicurezza

• Recovery e Backup

• Formazione per gli incaricati

• Separazione o cifratura dei dati sullo stato di salute e vita sessuale

… e inoltre….

• Istruzioni per la conservazione di dispositivi

mobili e loro eliminazione

• Recovery in tempi certi, compatibili con esigenze

interessati, < 7 gg


Misure semplificate

Per agevolare le attività di PMI e le attività dei liberi professionisti esistono

delle misure semplificate per applicare le misure minime di sicurezza

nel trattamento dei dati personali

•CONTESTO DI APPLICAZIONE: dati personali solo per attività contabili e

amministrative e come dati sensibili lo stato di salute o malattia dei propri dipendenti

(*) se con dati sensibili altrimenti annuale (**) due anni se PC non in rete

Caratteristica D.Lgs. 196/2003 Misure Semplificate

Istruzioni impartite SCRITTE ORALI

Sistema di autentic. e autor. Specifici Del S.O.

Aggiornamento profili ANNUALE Quando necessario

Aggiornamenti SW Semestrale(*) Annuale (**)

BKP dati settimanale Mensile / differenziale

DPS annuale Annuale, ma semplificato. Da

aggiornare se cambiamenti


Autorizzazione n°4 / 2008

Disciplina il trattamento dei dati sensibili, senza il consenso dell’interessato,

per liberi professionisti iscritti all’albo

Il trattamento può riguardare i dati sensibili relativi ai clienti, o a terzi che sono

strettamente legati con l’attività professionale legata al cliente

per alcune attività “professionali” non è

necessario richiedere la notifica dal

Garante sulla Privacy per il trattamento dei

dati personali


La Notifica

La Notifica al Garante (art. 37) non rappresenta più il principale obbligo del Titolare. Questa deve essere fatta solo nel caso di trattamento di:

• dati genetici, biometrici, o dati sull’ubicazione di persone

• dati idonei a rivelare lo stato di salute e la vita sessuale, trattati per particolari finalità sanitarie (procreazione assistita, dati sanitari trattati per via telematica, indagini epidemiologiche)

• dati idonei a rivelare la vita sessuale o la sfera psichica

• dati trattati volti a definire il profilo o la personalità dell’interessato

• dati sensibili registrati in banche dati ai fini della selezione del personale o per sondaggi d’opinione

• dati relativi al rischio sulla solvibilità economica (centrali dei rischi)

• I c.d. dati semi-sensibili (da individure a cura del Garante) qualora possano arrecare danno all’interessato

• Per la notifica dovrà essere apportato un nuovo modulo da spedire in formato elettronico e mediante l’uso di un dispositivo di firma elettronica (reperibile sul sito del Garante)

http://images.google.it/imgres?imgurl=http://altoconsulenza.it/1/images/150_0_23708_5015.gif&imgrefurl=http://altoconsulenza.it/1/Privacy__tutti_dati_sugli_interventi_della_Autorita_Garante__106480.html&h=170&w=150&sz=8&hl=it&start=25&um=1&tbnid=Z2wZkLOzN6754M:&tbnh=99&tbnw=87&prev=/images%3Fq%3Dgarante%2Bprivacy%26start%3D20%26ndsp%3D20%26svnum%3D10%26um%3D1%26hl%3Dit%26rls%3DGFRC,GFRC:2006-51,GFRC:it%26sa%3DN


TITOLARE

INCARICATIINTERESSATI

RESPONSABILE

GARANTE

Le Figure Previste dal Codice Privacy


L'autorità preposta alla tutela della riservatezza dei dati personali è il Garante, ossia:

Organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica

con voto limitato (art. 153, comma 2)

Il Garante

www.garanteprivacy.it



L'autorità preposta alla tutela della riservatezza dei dati personali è il Garante, ossia:

Organo collegiale costituito da quattro componenti, eletti duedalla Camera dei deputati e due dal Senato dellaRepubblica con voto limitato (art. 153, comma 2

I principali compiti del Garante sono:

controllare la legittimità dei trattamenti

esaminare i ricorsi e le segnalazioni ricevute dagli interessati

vigilare nel rispetto delle norme che tutelano la vita privata

Comminare sanzioni amministrative pecuniarie in caso di violazione di alcune disposizioni di legge

Informare l’autorità giudiziaria qualora venga a conoscenza di gravi comportamenti illeciti

Il Garante



È la persona fisica, la persona giuridica, l’ente o

l’associazione cui si riferiscono i dati personali

Il trattamento di dati personali da parte di privati o di enti pubblicieconomici è ammesso soltanto con il consenso dell’interessato,espresso liberamente.

Il consenso per il trattamento di dei dati comuni può anche essereorale, mentre quello per i dati sensibili deve essere scritto.

L’Interessato


L’interessato (art. 7) ha il diritto di:

Diritti dell’interessato

• Conoscere i trattamenti che lo riguardano mediante l’accesso al

registro dei trattamenti presso il Garante;

• Essere informato dal Titolare circa le finalità del trattamento (art.

13);

• Ottenere dal Titolare la conferma, l’aggiornamento, la cancellazione,

la rettifica dei dati trattati, o la loro trasformazione in forma anonima;

• Opporsi in tutto o in parte, per motivi legittimi, al trattamento di dati

che lo riguardino;

• Chiedere il blocco dei dati trattati in violazione di legge.


La persona fisica o giuridica, la Pubblica Amministrazione e

qualsiasi altro ente, associazione od organismo cui competono,

anche unitamente ad altro titolare, le decisioni in ordine alle

finalità, alle modalità del trattamento di dati personali ed

agli strumenti utilizzati, ivi compreso il profilo della

sicurezza.

• Titolare del trattamento è una Amministrazione Comunale, una Azienda

Sanitaria o Ospedaliera, una Azienda privata.

• Possibile cotitolarità fra organizzazioni autonome che operano sui dati

allo stesso livello.

Il titolare


Sono le persone fisiche autorizzate a compiere operazionidi trattamento dal Titolare o dal Responsabile.Indispensabile individuare gli incaricati per rendere lecito iltrattamento.

“Le operazioni di trattamento possono essere effettuate solo da incaricatiche operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.”

La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.

Art. 20, comma 1

Art. 20, comma 2

Gli incaricati


È la persona fisica, la persona giuridica, la Pubblica Amministrazione e

qualsiasi altro ente, associazione od organismo preposti dal titolare al

trattamento dei dati.

• I responsabili possono essere interni ed esterni all’azienda.

• La nomina di responsabile esterno garantisce il titolare.

• Il responsabile esterno attesta la conformità al disciplinare tecnico

“Ove necessario per esigenze organizzative,possono essere designati responsabili piùsoggetti, anche mediante suddivisione di compiti.”

Art. 29, comma 3

Il responsabile


Lettera di incaricato

IncaricatoResponsabile

• Nessuna persona fisica può trattare dati personali associativi e, a nessun

titolo, se non ha ricevuto una lettera di incarico nominativa, con la specifica

indicazione di comportamento, tra i quali è evidentemente massima

l’istruzione di mantenere una assoluta riservatezza su tutti i dati di cui si

viene a conoscenza.

• È necessario,pertanto, consegnare ad ognuno la lettera di incarico e avere

a disposizione un elenco con nomi, cognomi, data di consegna della lettera

di incarico e copia di eventuali istruzioni specifiche.

• L’elenco deve essere sempre aggiornato.


Garante

Titolare

Notifica

Incaricato

Nomina

Incaricato

Nomina

Responsabile

Nomina

Interessato

Informativa

Consenso Ispeziona

Flusso generale


Garante

Titolare

Incaricato

Incaricato Responsabile

Interessato

L’individuo può rivolgersi a chiunque per esercitare i propri diritti (Art. 7: consultare, modificare, cancellare, denunciare …) relativamente ai propri dati

Ispeziona

Esercizio diritti interessato


Agli OBBLIGHI DI SICUREZZA (art.31)-I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da RIDURRE AL MINIMO, mediante l'adozione di IDONEE E PREVENTIVE MISURE DI SICUREZZA, i RISCHI di•distruzione o perdita, anche accidentale, dei dati stessi, •accesso non autorizzato o •trattamento non consentito o non conforme alle finalità della raccolta.

Dal PRINCIPIO DI NECESSITÀ (art.3)-ridurre al minimo l’utilizzo dei dati

Alle MISURE MINIME DI SICUREZZA (art. 33/35)MISURE MINIME DI SICUREZZA volte a garantire un LIVELLO MINIMO DI PROTEZIONE dei dati personali.L’articolo 34 prende in considerazione i trattamenti con strumenti elettronici mentre l’articolo 35 considera i trattamenti senza l’ausilio degli stessiPrescrizioni specifiche del Codice, alle quali il Titolare e il Responsabile devono attenersi (sazionate penalmente) individuate in un DISCIPLINARE TECNICO, allegato al Codice

Il Disciplinare viene aggiornato periodicamente in base all’evoluzione tecnica ed esperienza maturata nel settore (art.36)

Le Misure di sicurezza


ART.31

Misure “Preventive ed Idonee”

Misure di sicurezza individuabili sulla base di soluzioni tecniche

concretamente disponibili

ART.33

Misure “Minime”

Individuate dal Disciplinare Tecnico (Allegato B)

Le Misure di sicurezza


Riduzione del rischio significa raggiungere 3 OBIETTIVI:

INTEGRITÀ

DISPONIBILITÀ

RISERVATEZZA

Riduzione del rischio




INTEGRITÀ

DISPONIBILITÀ

RISERVATEZZA

Riservatezza dell’informazione: ovvero lariduzione a livelli minimi del rischio che terzinon autorizzati accedano all’informazione.L’informazione può essere fruita solo dallepersone autorizzate a compiere tale operazione(art. 15: “ridurre al minimo i rischi di accessonon autorizzato”)

26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 29

INTEGRITÀ

DISPONIBILITÀ

RISERVATEZZA

Integrità dell’informazione: ovvero la riduzione a livelliaccettabili del rischio che possano avvenire cancellazioni omodifiche per interventi esterni o per inadeguatafunzionalità di programmi/supporti/linee di comunicazione(art. 15: “ridurre al minimo i rischi di distruzione operdita”).





INTEGRITÀ

DISPONIBILITÀ

RISERVATEZZADisponibilità dell’informazione: ovvero ridurre a livelliaccettabili il rischio vi siano impedimenti nell’accesso alleinformazioni a seguito di attacchi o al verificarsi dimalfunzionamenti (art. 15: “ridurre al minimo i rischi ditrattamento non consentito o non conforme alle finalità dellaraccolta”).





Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime:

TRATTAMENTO SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (art.35)

Aggiornamento almeno annuale dell’ambito di trattamento consentito dagli incaricati

Istruzioni Scritte agli Incaricati su controllo e custodia degli atti/documenti contenente dati personali

L’accesso fisico agli archivi contenti dati sensibili o giudiziari deve essere controllato (badge, scanner,… o incaricati di vigilanza)

Le persone ammesse, a qualunque titolo, dopo l’orario di chiusuradevono essere identificate e registrate

Quando gli archivi non sono controllati, le persone che vi accedono sono preventivamente autorizzate

Disciplinare Tecnico - Allegato B


Introduzione Relatore - Andrea Praitano

• Senior Service & Security Consultant di Business-e (IT Service Management, Information

Security Management, IT Governance, Privacy);

• Trainer FreeLance accreditato con EXIN (ITIL v2, ITIL v3 e ISO/IEC 20000);

• Membro del Consiglio Direttivo di itSMF Italia;

• Team Leader del Gruppo di Lavoro itSMF Italia ―ITIL & Analisi dei Rischi‖;

• Socio fondatore di ISIPM (IStituto Italiano di Project Management);

• Socio di ISACA Roma;

• Pubblicazioni (versione italiana):– Foundations of IT Service Management Basato su ITIL v3 (Van Haren Publishing);

– Foundations of IT Service Management Basato su ITIL (Van Haren Publishing);

– Introduzione a ITIL (OGC);

– ISO/IEC 20000 Pocket Guide (Van Haren Publishing);

• Membro del gruppo di lavoro CNIPA sulle best Practices;

• Analisi processi:– Certificazioni ISO/IEC 27001:2005 (Eutelia, TSF, Business-e);

– Consulenza Privacy (IT Way, Business-e, Ergom, gruppo Zambaiti, ecc.).

http://www.apmgroup.co.uk/ITIL/ITIL.asp

http://www.best-management-practice.com/Project-Management-PRINCE2/?trackid=002192


Confronto ISO/IEC 27000 e DLgs 196:2003

DLgs 196:2003:• È una legge dello stato Italiano relativa alla

tutela della privacy;

• È obbligatoria la sua applicazione;

• Instaura un ―Sistema di Gestione della Privacy‖;

• Richiede delle revisioni almeno annuale (entro 31 marzo);

• Richiede almeno il rispetto di delle Misure Minime di Sicurezza;

• Richiede lo svolgimento dell’Analisi dei Rischi;

ISO/IEC 27000• È uno standard internazionale relativa alla

Sicurezza delle informazioni;

• È uno standard ―certificativo‖ (ISO/IEC

27001) di cui è facoltativa l’adozione;

• Instaura un Sistema di Gestione della

Sicurezza delle Informazioni;

• Instaura un sistema di miglioramento

continuo basato sul ciclo di Deming;

• Richiede il rispetto di delle ―Misure di

Sicurezza‖ congrue alle informazioni da

proteggere;

• Richiede lo svolgimento dell’Analisi dei

Rischi e ha una norma specifica (ISO/IEC

27005:2008) che indica come poter

svolgerla;


DLgs 196:2003 ISO/IEC 27000

Focus sui diritti del cittadino nella gestione, da parte delle organizzazioni, delle informazioni che lo riguardano

Focus sulle possibili conseguenze sul Business

DLgs 196:2003 e ISO/IEC 27000 NON sono la stessa cosa

DLgs 196:2003 e ISO/IEC 27000 NON sono in contrasto

La ISO/IEC 27000 può essere utilizzata per la conformità alla DLgs 196:2003

La conformità alla ISO/IEC 27001:2005 include la conformità al DLgs 196:2003 (controllo A.15.1.4) così come al DLgs.81/2008 (controllo A.15.1.1)

Aspetto importante


27001:2005ISMS requirements

27002:2005Code of practice

27003:2010Implementation

guidance

27004:2009Measurements

27005:2008Risk Management

27006:2007Requirements for

audit & cert. bodies

27007ISMS auditing

27010Inter-sector

communications

27011:2008Telecommunications

27013ISO/IEC 20000 and

ISO/IEC 27001

27014Security governance

27015Financial and

insurance

2701XISM Economics

Requisiti Linee Guida Di Settore

27000:2009Vocabulary

27008Audit on ISMS controls

Famiglia ISO/IEC 270xx



audit & cert. bodies 50 pag.

27005:2008Risk Management 61 pag.


64 pag.


guidance

76 pag.


129 pag.




26 pag.

41 pag.

Tot. 447 pag.





guidance





27007ISMS auditing

27010Inter-sector

communications



ISO/IEC 27001


27015Financial and

insurance

2701XISM Economics




Fornisce le indicazioni su

come implementare un ISMS

all’interno di

un’Organizzazione


26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 38

Timeline

ISO/IEC 27003:2010 - Figure 1 — ISMS project phases

ISO/IEC 27003:2010


5. Obtaining management approval for initiating an ISMS

project

Timeline


6 Defining ISMS scope, boundaries and ISMS policy

Timeline


Timeline

7. Conducting information security requirements analysis


8 Conducting risk assessment and planning risk treatment

Timeline


9 Designing the ISMS

Timeline





guidance





27007ISMS auditing

27010Inter-sector

communications



ISO/IEC 27001


27015Financial and

insurance

2701XISM Economics




Fornisce delle indicazioni su

come poter svolgere un’analisi

dei rischi e la successiva

gestione



ISO/IEC 27005:2008

• Fornisce indicazioni su come

svolgere, in modo strutturato:

– la fase di valutazione del rischio

(Risk Assessment);

– e di trattamento del rischio (Risk

Treatment)

Figure 1 - Information security risk management process


Definizione di Rischio

• La ISO/IEC 27000:2009 definisce Rischio come:

2.34 – risk: combination of the probability of an event (2.15 – event:

occurrence of a particular set of circumstances) and its consequence


Risk Assessment

• Il risk assessment è un processo che ha l’obiettivo di:

– Individuare e valutare i rischi a cui si è sottoposti;

– Ponderarne il livello rispetto ad una scala di significatività;

– Stabilire se sono accettabili o no, senza entrare nel merito del loro

trattamento.

Identificare gli

Asset

Identificare e

valutare le

minacce

Identificare e

valutare le

vulnerabilità

Valutare gli

impatti agli

asset e i danni

al business

Stimare il livello

di rischio

Stabilire se il

rischio è

accettabile


Approcci all’Analisi del Rischio

• Approcci quantitativi:

– richiedono che siano utilizzati valori reali sulla frequenza degli attacchi e

sulle perdite economiche conseguenti. Tali analisi sono condotte solo in

pochi casi e per valutazioni specifiche, posto che richiedono uno sforzo

elevato per la raccolta dei dati

• Approcci qualitativi:

– richiedono l’uso di parametri (per esempio ―Alto‖, ―Medio‖ e ―Basso‖) o

scale per le valutazioni. Non forniscono quindi dati esatti, ma

conducono comunque a risultati tra loro comparabili, che permettono

quindi di ordinare i rischi dai più alti ai più bassi.





guidance





27007ISMS auditing

27010Inter-sector

communications



ISO/IEC 27001


27015Financial and

insurance

2701XISM Economics




Instaura un processo di

miglioramento continuo

basato sul Ciclo della Qualità

di Deming



ISO/IEC 27001:2005 schema principale

Instaura un modello atto a un

miglioramento continuo (oltre che

un miglioramento effettivo) e non

solo una “verifica” annuale del

DPS.





guidance





27007ISMS auditing

27010Inter-sector

communications



ISO/IEC 27001


27015Financial and

insurance

2701XISM Economics




Fornisce delle indicazioni su

come instaurare un SGSI con

delle misure congrue alle

informazioni da proteggere



Struttura dei controlli ISO/IEC 27001/27002:2005

A.5 Politica per la sicurezzaA.5.1 Politica per la sicurezza delle informazioni

A.6 Organizzazione della sicurezza delle informazioniA.6.1 Organizzazione interna

A.6.2 Parti esterne

A.7 Gestione dei beniA.7.1 Responsabilità dei beni

A.7.2 Classificazione delle informazioni

A.8 Sicurezza delle risorse umaneA.8.1 Prima dell’impiego

A.8.2 Durante l’impiego

A.8.3 Interruzione o variazione d’impiego

A.9 Sicurezza fisica e ambientaleA.9.1 Aree sicure

A.9.2 Sicurezza delle apparecchiature

A.10 Gestione delle comunicazioni e dell'operativitàA.10.1 Procedure operative e responsabilità

A.10.2 Gestione dell’erogazione di servizi di terze parti

A.10.3 Pianificazione e approvazione dei sistemi

A.10.4 Protezione contro software dannosi e codici auto eseguibili

A.10.5 Back-up

A.10.6 Gestione della sicurezza della rete

A.10.7 Trattamento dei supporti

A.10.8 Trasmissione delle informazioni

A.10.9 Servizi di commercio elettronico

A.10.10 Monitoraggio

A.11 Controllo degli accessiA.11.1 Requisiti relativi al business per il controllo degli accessi

A.11.2 Gestione dell’accesso degli utenti

A.11.3 Responsabilità degli utenti

A.11.4 Controllo degli accessi alla rete

A.11.5 Controllo degli accessi al sistema operativo

A.11.6 Controllo degli accessi ad applicazioni e informazioni

A.11.7 Utilizzo di dispositivi portatili e telelavoro

A.12 Acquisizione, sviluppo e manutenzione dei sistemi informativiA.12.1 Requisiti di sicurezza dei sistemi informativi

A.12.2 Corretta elaborazione nelle applicazioni

A.12.3 Controlli crittografici

A.12.4 Sicurezza dei file di sistema

A.12.5 Sicurezza nei processi di sviluppo e supporto

A.12.6 Gestione delle vulnerabilità tecniche

A.13 Gestione degli incidenti relativi alla sicurezza delle informazioniA.13.1 Segnalazione degli eventi e dei punti di debolezza relativi alla

sicurezza delle informazioni

A.13.2 Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti

A.14 Gestione della continuità operativaA.14.1 Aspetti di sicurezza delle informazioni relativi alla gestione

della continuità operativa

A.15 ConformitàA.15.1 Conformità alle prescrizioni legali

A.15.2 Conformità a politiche e norme di sicurezza e conformità tecnica

A.15.3 Considerazioni sull’audit dei sistemi informativi

11 gruppi di controllo, suddivisi in 39 obiettivi,

per un totale di 133 misure di controllo


Introduzione relatore – Giuseppe G. Zorzino

• Security Architect di Tecnoindex S.p.A. (ICT Infrastructure, Application Services, Business

Intelligence, ERP, Solutions & Products)

• Socio di ISACA Roma

• Certificazioni– Lead Auditor ISO/IEC 27001:2006

– CISA - ISACA

– CGEIT - ISACA

– MCSA 2003:Security

– Security+ CompTIA

– CMMI appraiser

– Certificatore etico (future)

– ….

• Privacy (Gruppo Equitalia, Italia Nostra, ecc.)

• Freelance

26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000

NHS 'loses' thousands of medical recordsMonday, 25 May 2009

The personal medical records of tens of thousands of people have been lost by the NHS in a series of

grave data security leaks. Between January and April this year, 140 security breaches were reported

within the NHS.

Some computers containing medical records have been left by skips and stolen. Others were left on

encrypted discs – but the passwords allowing access were taped to the side


I controlli applicabiliCASE STUDY - 1


Important personal data lost by the Bank of Ireland7 May, 2008

The personal data of about 10 000 customers of the Bank of Ireland (BOI) are now in the possession of thieves as four laptops with the unencrypted data were stolen from the bank between June and October 2007.

The four stolen laptops had been used by staff working for the bank's life assurance division. Not only the customers' data including medical history, life assurance details, bank account details, names and addresses were not encrypted, but the bank notified the thefts to the Data Protection Commissioner in Ireland only on 18 April 2008.


Axia/Pfizer Data LossMay 31, 2007 Boston, Massachusetts

Two password-protected laptop computers belonging to Axia, a contractor for Pfizer, were stolen out of a locked car. As other valuable items were also stolen from the car, we hope that the Pfizer data on the laptops was not the real target of the theft.

A review of back-up data stored on Axia's servers indicated that in addition to proprietary Pfizer information, the laptops also contained some of confidential personal information. Authorities are continuing to investigate the incident and Pfizer and Axia have taken steps to protect security and privacy.




Aspetti cogenti

• Sono molte le norme, decreti, regolamenti, direttive UE, raccomandazioni

inerenti la sicurezza delle informazioni

• L’organizzazione deve operare una ricerca attenta al fine di individuare tutti

i requisiti cogenti e quelli derivanti da regolamenti interni o con terze parti

• Il rispetto dei requisiti cogenti è un ―pre-requisito‖ per la certificazione ISO

27001

• Il DLgs 196/2003 è un requisito cogente

57


Riferimenti normativi - Sicurezza delle informazioni

• UNI CEI ISO/IEC 27001:2006 Tecnologia delle informazioni -Tecniche di

sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti

• ISO/IEC 27002:2005 Information technology – Security techniques – Code

of practice for information security management

• OCSE Linee guida sulla sicurezza dei sistemi e delle reti d’informazione –

25/07/2002

• ISO/IEC 27000:2009 Information technology – Security techniques –

Information security management systems – Overview and vocabulary

58


Panorama legislativo italiano: non solo 196/03

• La legislazione italiana presenta un vasto panorama legislativo e normativo

che disciplina i temi relativi alla sicurezza delle informazioni

• La conformità alla direttiva, che è un pre-requisito obbligatorio, presenta

notevole complessità

• Oltre che a leggi e norme, la conformità deve essere assicurata anche

rispetto a regolamenti interni, di settore, ecc.

59


Panorama legislativo e normativo

• Legge 22 aprile 1941, n. 633 e successive modifiche: protezione del diritto d’autore e di altri diritti connessi al suo esercizio

• Legge 7 agosto 1990, n. 241: nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi, e successive modifiche ed integrazioni

• DLgs 29 dicembre 1992, n. 518: attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per elaboratore

• Legge 18 agosto 2000, n. 248: nuove norme di tutela del diritto d’autore con particolare riferimento all’Art 171-bis che sostituisce il precedente Art. 171-bis della legge n.633 22/04/1941

• DLgs 9 aprile 2008, n. 81: ―Attuazione dell’articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro‖

60



• Raccomandazione CE n.89/9: una lista minima ed una facoltativa in materia di reati informatici

• D.P.C.M. 15 febbraio 1989: coordinamento delle iniziative e pianificazioni degli investimenti in materia di automazione nelle amministrazioni pubbliche

• DLgs 6 maggio 1999, n. 169: attuazione della direttiva 96/9/CE relativa alla tutela giuridica delle banche di dati

• DLgs 28 dicembre 2001 n. 467: norme penali a tutela della riservatezza dei dati personali

• DLgs 8 giugno 2001 n. 231: responsabilità amministrativa delle persone giuridiche

• D.P.R. 513/97: regolamento contenente i criteri e le modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici a norma dell’Art. 15, comma 2, della legge 15 marzo 1997, n.59

61



• DPCM 338/01 (S.I.A.E.): disciplina, ai sensi dell’art. 181-bis della legge 22 aprile 1941 n. 633, come modificato dalla legge 18 agosto 2000 n. 248, le caratteristiche del contrassegno da apporre sui supporti magnetici

• DLgs 70/2003 (artt. 14 e segg.): attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico

• DLgs 30/2005 (art. 98): codice della proprietà industriale a norma dell’art. 15 legge n. 273/2002

• Legge 23 dicembre 1993 n. 547: modificazioni ed integrazioni delle norme del codice penale e del codice di procedura penale in tema di criminalità informatica

• Legge 28 dicembre 2005 n. 262: ―Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari‖

62


Codice penale (estratto)

• Art. 615 ter - Accesso abusivo ad un sistema informatico o telematico

• Art. 615 quater - Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici

• Art. 615 quinquies - Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico

• Art. 616 - Violazione, sottrazione e soppressione di corrispondenza

• Art. 617 quater - Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche

• Art. 617 quinquies - Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche

• Art. 617 sexies - Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche

• Art. 635 bis - Danneggiamento di informazioni, dati e programmi informatici

• Art. 635 ter - Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità

• Art. 635 quater - Danneggiamento di sistemi informatici o telematici

• Art. 635 quinquies - Danneggiamento di sistemi informatici o telematici di pubblica utilità

• Art. 640 ter - Frode informatica

• Art. 640 quinquies - Frode informatica del soggetto che presta servizi di certificazione di firma elettronica

• Art.12 Legge 197-1991 - Carte di credito, di pagamento e documenti che abilitano al prelievo di denaro contante.

NEWS !!!!!

From April 6th, the ICO's heftiest penalty for "deliberate

or negligent" contravention of the Data Protection Act

increased to £500,000, compared with £5,000 previously



Volontario vs Obbligatorio

Tipo Applicabilità Esempio

Leggi

obbligatorio

• Paese• Settore• Può essere specifico (standard)

• SOX, HIPAA, GLBA• EU Data Protection Directive• DLgs 196/2003• DLgs 231/2001

Regolamenti

obbligatorio

• Settore (sostiene le leggi)• Può variare da paese a paese

• Basilea II• Informazioni sanitarie• Sicurezza sul lavoro (DLgs81-08)

Policiesobbligatorio

• Settore (sostiene le leggi e regolamenti)• Può variare da paese a paese

• Energia nucleare• Informazioni sanitarie

Standardsobbligatorio

• Settore (sostiene le leggi e regolamenti)• Può variare da paese a paese

• PCI DSS• NERC CIP

Politiche organizzative

discrezionale

• Esigenze specifiche di business• Specifiche di GRC

• HR• Sicurezza• Risk management

Standards

discrezionale

• Aree specifiche (qualità, sicurezza, ERM, ecc.)• Può essere un requisito per la certificazione• Supporta gli obiettivi di controllo per GRC• Miglioramento dei processi

• ISO/IEC 27001• ISO/IEC 20000-1• ISO/IEC 31000

Guidelines

discrezionale

• Sostiene lo standard• Supporta gli obiettivi di controllo per GRC• Miglioramento dei processi• Talvolta è considerato uno standard de facto

• ISO/IEC 27002, 20000-2• BS31100, COSO ERM• ITIL• COBIT


Sinergia tra volontario ed obbligatorio

• La norma, di per sé volontaria, diventa modello e strumento per

adempiere al meglio gli aspetti obbligatori, e in tal senso viene

scelta dagli Organismi (Ministeri, Enti, ecc.)

• Di contro, l’applicazione della norma, senza precisi vincoli

obbligatori, garantisce le migliori pratiche nella gestione dei sistemi

per la sicurezza delle informazioni

66


Rapporto tra D.Lgs 196/03 e ISO 27001

D.Lgs.196/2003 ISO 27001

Cosa protegge

Tutte le banche dati

personali e particolari così

come definite nel decreto

L’ampiezza (o scopo o

ambito dell’applicazione)

può essere definito

liberamente (l’intera

azienda, un solo processo,

ecc.)

Criteri di riferimento per la

protezione dei dati

Misure minime di sicurezza

definite nell’Allegato B

Controlli elencati in dettaglio

nell’ISO 27002:2005 più

eventuali nuovi controlli



• La norma ISO 27001 è focalizzata sull’infrastruttura in tutti i suoi

aspetti, e non sugli specifici controlli adottati. Quindi ha un ambito

più esteso

• L’implementazione di un SGSI in maniera corretta presuppone

obbligatoriamente il rispetto della legge e l’adozione di controlli

specifici a riguardo

• La conformità con ISO 27001 in sé non conferisce immunità agli

obblighi legali

68



• Esistono diverse analogie tra i controlli previsti dall’Allegato B della Legge

sulla Privacy ed i controlli indicati in ISO 27002:2005

• Un’attenta applicazione della legge sulla privacy può essere un ottimo punto

di partenza soprattutto se supportata da una valutazione dei rischi

• ISO 27001: tutela dei dati personali non solo come obbligo di legge, ma

anche in termini di efficienza, all’interno di un sistema di qualità aziendale

69


Rapporto tra D.Lgs 196/03 e ISO 27001 - alcuni esempi -

All.B – Disciplinare tecnico..

4. Con le istruzioni impartite agli

incaricati è prescritto di adottare le

necessarie cautele per assicurare la

segretezza della compo-nente

riservata della cre-denziale e la

diligente cu-stodia dei dispositivi in

pos-sesso ed uso esclusivo

dell’incaricato.


A.11.3.1 Utilizzo delle password

Controllo - Gli utenti devono seguire

istruzioni di sicurezza valide per la

scelta e l'utilizzo delle password.

70




16. I dati personali sono protetti contro il

rischio di intrusione e dell’azione di

programmi di cui all’art. 615-quinquies

del codice penale, mediante

l’attivazione di idonei strumenti

elettronici da aggiornare con cadenza

almeno semestrale.


A.10.4 Protezione contro software

dannosi e codici autoeseguibili

Obiettivo: Proteggere l’integrità del

software e delle informazioni



All.B – Disciplinare tecnico…

19.2. la distribuzione dei compiti e delle

responsabilità nell’ambito delle

strutture preposte al trattamento dei

dati


A.7.1.2 Responsabilità dei beni

Controllo: Tutte le informazioni e i

beni associati alle strutture di

elaborazione delle informazioni

devono essere sotto la

"responsabilità" di una parte

designata dell’organizzazione.




22. I supporti rimovibili contenenti dati

sensibili o giudiziari se non utilizzati

sono distrutti o resi inutilizzabili ….


A.10.7.2 Dismissione dei supporti

Controllo - La dismissione dei

supporti non più necessari deve

avvenire in modo sicuro, attraverso

l’utilizzo di procedure formali.


Prescrizioni 196/03 vs ISO 27001:2006 - Sicurezza Logica

A.5 Politica per la sicurezza

A.6 Organizzazione della sicurezza delle

informazioni

A.7 Gestione dei beni

A.8 Sicurezza delle risorse umane

A.9 Sicurezza fisica e ambientale

A.10 Gestione delle comunicazioni e

dell'operatività

A.11 Controllo degli accessi

A.12 Acquisizione, sviluppo e manutenzione dei

sistemi informativi

A.13 Gestione degli incidenti relativi alla


A.14 Gestione della continuità operativa

A.15 Conformità

1) Idonei sistemi anti-intrusione da aggiornare a

cadenza almeno semestrale

2) Hardening & Patching a cadenza almeno

semestrale

3) Politiche di Backup

4) Protezione dei dati trattati

5) Sistema di cifratura dei dati giudiziari che renda

le informazioni non intellegibili

6) Tracciamento delle attività del personale

amministratore di sistema (audit log)

7) Conservazione dei dati fino al termine della

necessità di utilizzo


Prescrizioni 196/03 vs ISO 27001:2006 - Sicurezza Organizzativa


A.6 Organizzazione della sicurezza delle

informazioni




A.10 Gestione delle comunicazioni e

dell'operatività


A.12 Acquisizione, sviluppo e manutenzione dei

sistemi informativi

A.13 Gestione degli incidenti relativi alla



A.15 Conformità

1) Adozione di un modello organizzativo basato su ―need

to know‖ e ―segregation of duties‖

2) Separazione logica tra dati personali e altri dati

3) Assegnazione individuale per ciascun incaricato di

credenziali per l'autenticazione

4) Definizione di politiche di controllo sulle credenziali di

autenticazione

5) Sistemi di autorizzazione, ovvero separazione tra chi

assegna le credenziali e chi le utilizza

6) Istruzioni agli incaricati (riservatezza credenziali ed

informazioni)

7) Controlli sulla sussistenza delle condizioni per la

conservazione dei profili di accesso

8) Controlli interni per verificare periodicamente le misure

organizzative e tecniche

9) Documento programmatico sulla sicurezza


Prescrizioni 196/03 vs ISO 27001:2006 - Sicurezza Fisica


A.6 Organizzazione della sicurezza delle informazioni




A.10 Gestione delle comunicazioni e dell'operatività


A.12 Acquisizione, sviluppo e manutenzione dei sistemi

informativi

A.13 Gestione degli incidenti relativi alla sicurezza delle

informazioni


A.15 Conformità

1. Le attrezzature informatiche e le

informazioni devono essere gestite con

misure atte a garantire l'integrità e la

disponibilità dei dati, nonché la

protezione delle aree e dei locali,

rilevanti ai fini della loro custodia e

accessibilità (es. registrazione

identificativi delle persone ammesse

fuori orario lavorativo, riferimenti

temporali)


Integrazioni con altri Framework

• Esistono numerosi Framework, good practices o standard che si integrano,

fra di loro, su aspetti specifici.

• L’adozione di framework aiuta un’Organizzazione ad approcciare le cose in

modo strutturato partendo da esperienze di comunità ampie ed

internazionali.

• I Framework devono essere contestualizzati all’Organizzazione tenendo

conto delle dimensioni, della cultura e della storia.

26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000IT Operation

GovernanceGovernance IT

Servic

e M

an

ag

em

en

t

Ap

pli

cati

on

Develo

pm

en

t

IT S

ecu

rit

y

Pro

ject

Man

ag

em

en

t

IT P

lan

nin

g

Qu

ali

ty S

yste

m

78

http://images.google.it/imgres?imgurl=http://www.totalbanco.com.br/imagens/cmmi.png&imgrefurl=http://www.totalbanco.com.br/cmmi.shtml&h=317&w=500&sz=28&hl=it&start=1&tbnid=KJEY9sEg2XEpNM:&tbnh=82&tbnw=130&prev=/images%3Fq%3Dcmmi%26gbv%3D2%26svnum%3D10%26hl%3Dit


Istruzioni di Lavoro Processi di esecuzione StrategiaProcessi di controllo

MOF

ITIL v3 ITIL v3

ISO/IEC 27000

COBIT

ISO/IEC 38500:2008

TMap

Prince2

MSP

ASL ASL

Posizionamento reciproco dei modelli

PMBoK

ITIL v2 ITIL v2

ISO/IEC 20k ISO20k

CoSO

BS25999


BS 25999

• Proprietario: BSI (UK)

• Tipologia di framework: standard

• Ambito: Business Continuity Management

• Descrizione:

– è uno standard che si pone l’obiettivo di organizzare un piano logistico

finalizzato a documentare il modo in cui un’organizzazione può far

tornare operative le sue funzioni critiche entro un predeterminato

periodo di tempo, congruo rispetto alle esigenze di Business, dopo un

disastro o un grave danno.

• Associazioni/enti di riferimento: BSI.


BS 25999


ITIL® – Information Technology Infrastructure Library

• Proprietario: OGC - The Office of Government Commerce (UK)

• Tipologia di framework: framework proprietario (ma ha tutte le

caratteristiche di un framework pubblico)

• Ambito: IT Service Management

• Descrizione:

– modello di gestione dei servizi IT basato su un approccio per processi. È stato

creato dall’OGC inglese. È un modello di Best Practice maturate inizialmente nel

contesto Britannico e adesso a livello globale. È un modello di riferimento per la

gestione operativa delle attività di supporto, gestione e cambiamenti

relativamente all’infrastruttura IT alle persone e ai sistemi. Nel luglio del 2007 è

stata pubblicata la versione 3 del modello.

• Associazioni/enti di riferimento: OGC; itSMF International; itSMF Italia.


• Il Service Strategy (SS) è il perno centrale

attorno al quale ruota tutto il ciclo di vita del

servizio;

© Crown copyright 2008 Reproduced under license from OGC

• Il Continual Service Improvement (CSI)

supporta l’attuazione dei programmi e dei

progetti di miglioramento sulla base degli

obiettivi strategici.

• Il Service Operation (SO) contiene le best

practice per la gestione dell’esercizio dei servizi;

• Il Service Transition (ST) è la guida per

migliorare l’introduzione in esercizio di

cambiamenti;

• Il Service Design (SD) è la guida per

progettare e sviluppare i processi e i servizi di

gestione. Traduce gli obiettivi strategici in

Service Portfolio e Service Asset;

ITIL® schema principale


Processi del Service Strategy:

• Service Portfolio Management;

• Demand Management;

• Financial Management.

Processi del Service Design:

• Service Catalogue Management;

• Service Level Management;

• Supplier Management;

• Capacity Management;

• Availability Management;

• IT Service Continuity Management;

• Information Security Management.

Processi del Service Transition:

• Service Asset and Configuration Management;

• Change Management;

• Release and Deployment Management;

Processi del Service Operation:

• Event Management;

• Incident Management;

• Problem Management;

• Request Fulfilment;

• Access Management.

Funzioni del Service Operation:

• Service Desk;

• IT Operation Management;

• Technical Management;

• Application Management.

Processi del Continual Service Improvement:

• CSI Improvement Process;


COBIT - Control Objectives for Information and related Technology

• Proprietario: IT Governance Institute/ISACA (USA)

• Tipologia di framework: framework proprietario

• Ambito: IT Governance/Auditing

• Descrizione:

– è un insieme di Best Practice per il governo dell’IT. È stato creato

dall’Information Systems Audit and Control Association (ISACA) e dal IT

Governance Institute (ITGI). Fornisce ai dirigenti, auditor e utenti IT una serie di

misure, indicatori, processi e le migliori pratiche per l’uso, il Governo e controllo

dell’IT di un’azienda.

• Associazioni/enti di riferimento: IT Governance Institute; ISACA; AIEA;

ISACA Roma.


PO1 Definire un Piano Strategico per l'IT

PO2 Definire l’architettura informatica

PO3 Definire gli indirizzi tecnologici

PO4 Definire i processi, l’organizzazione e le relazioni dell’IT

PO5 Gestire gli investimenti IT

PO6 Comunicare gli obiettivi e gli orientamenti della direzione

PO7 Gestire le risorse umane dell’IT

PO8 Gestire la QualitàPO9 Valutare e Gestire i

Rischi InformaticiPO10 Gestire i Progetti

AI1 Identificare soluzioni automatizzateAI2 Acquisire e mantenere il software applicativoAI3 Acquisire e mantenere l’infrastruttura tecnologicaAI4 Permettere il funzionamento e l’usoAI5 Approvvigionamento delle risorse ITAI6 Gestire le modificheAI7 Installare e certificare soluzioni e modifiche

DS1 Definire e gestire i livelli di servizio

DS2 Gestire i servizi di terze partiDS3 Gestire le prestazioni e la

capacità produttivaDS4 Assicurare la continuità di

servizioDS5 Garantire la sicurezza dei

sistemiDS6 Identificare e attribuire i costiDS7 Formare e addestrare gli utentiDS8 Gestione del Service Desk e

degli incidentiDS9 Gestione della configurazioneDS10 Gestione dei problemiDS11 Gestione dei datiDS12 Gestione dell’ambiente fisicoDS13 Gestione delle operazioni

ME1 Monitorare e valutare le prestazioni dell’IT

ME2 Monitorare e valutare i controlli interni

ME3 Assicurare la conformità alla normativa

ME4 Istituzione dell’IT Governance

COBIT schema principale

Monitoraggio e Valutazione

(ME)

Pianificazione e Organizzazione

(PO)

Erogazione e Supporto (DS)

Acquisizione e Implementazione

(AI)


ISO/IEC 20000:2005

• Proprietario: ISO/IEC

• Tipologia di framework: standard pubblico

• Ambito: IT Service Management

• Descrizione:

– evoluzione del BS 15000. È la norma ISO che certifica l’aderenza

dell’organizzazione IT a dei principi di riferimento. È la certificazione ISO relativa

all’IT Service Management, è nata con un approccio ―bottom-up‖ dalle best

practices ITIL v2. è composta da due parti principali, ISO/IEC 20000-1 che

rappresenta le Specification e la ISO/IEC 20000-2 che rappresenta il Code of

Practices. Prevede la possibilità di certificazione delle organizzazioni secondo la

ISO/IEC 20000-1:2005.

• Associazioni/enti di riferimento: ISO; IEC; UNI; UNINFO.


ISO/IEC 20000:2005 schema principale

Riferimenti


mailto:[email protected]



l’applicazione del disciplinare tecnico della 196 alla luce degli standard iso sulla sicurezza

Law