La sicurezza ICT: Introduzione ai concetti e lo standard ISO27001 · 2015-03-07 · La norma non...
Transcript of La sicurezza ICT: Introduzione ai concetti e lo standard ISO27001 · 2015-03-07 · La norma non...
Natale Prampolini2011 – Verona Pag. 1
La sicurezza ICT:
Introduzione ai concetti e lo standard ISO27001
a cura di Natale Prampolini,
LA ISO27001, CISA, CISM, ITIL, ISO20000, CMMI v1.2 DEV
Natale Prampolini
Obiettivi della presentazione
Introduzione sulla sicurezza ICT:
Riservatezza, Integrità, Disponibilità, Conformità;
ISO27001 Sistemi di Gestione della Sicurezza delle Informazione:
Sistema di Processo;
Analisi del Rischio, definizione di Bene, Impatto, Minaccia, Vulnerabilità;
Aspetti organizzativi, tecnologici e fisici;
Le 11 Aree, i 34 obiettivi di controllo, i 133 Controlli, e la Dichiarazione di applicabilità;
PDCA, Il modello di Miglioramento Continuo.
Pag. 22011 – Verona
Natale Prampolini
La Sicurezza delle Informazioni
I concetti base
Riservatezza
Integrità
Disponibilità
Conformità
3
Pag. 32011 – Verona
Natale Prampolini
Approccio largamente condiviso sul mercato, che vanta anni di
applicazioni pratiche in diversi settori.
È un insieme di “best practices” utilizzate da migliaia di esperti e
costituisce uno strumento PRATICO che consente di tenere sotto
controllo i diversi aspetti che impattano sulla sicurezza delle
informazioni.
Standard 27000:Perché?
È un approccio olistico, cioè a livello di sistema globale. Non si
risponde alle richieste singole, ma si guarda all’insieme : si possono
ridurre i costi, evitando controlli tecnologici ridondanti e facilitando il
processo di gestione.
4
Pag. 42011 – Verona
Natale Prampolini
• Perdite : – di materiale (danno fisico);
– dovute alla indisponibilità delle informazioni;
– dovute alla clientela che insoddisfatta si rivolge ai concorrenti;
– di produttività del personale (non IT) che si trova a lavorare in condizioni degradate, (o nel caso peggiore non lavora proprio), durante le operazioni di ripristino;
• Lavoro – per il rilevamento, il contenimento, la riparazione e la ricostruzione
dei danni ai dati;
– per la corretta raccolta dei dati e il mantenimento delle prove.
Standard 27000:Costi tangibili
5
Pag. 52011 – Verona
Natale Prampolini
• Perdita di fiducia dei clienti;
• Rallentamento, e/o arretramento, della propriaposizione di mercato, in seguito a cattivapubblicità;
• Accesso dei concorrenti a informazioniconfidenziali o riservate.
6Standard 27000:Costi intangibili
Pag. 62011 – Verona
Natale Prampolini
Standard 27000:Come ?
Utilizzata da un GRUPPO di esperti di sicurezza come un AIUTO
PRATICO per valutare se si sono presi in considerazione “tutti gli
aspetti possibili”.
La norma non pretende di fornire tutto quello che serve al nostro
Sistema di Gestione della Sicurezza delle Informazioni,
ma tutto quello che è previsto dalle “best practices” internazionali.
7
Pag. 72011 – Verona
Natale Prampolini
8
Non si è consapevoli di tutte le possibili minacce.
In fase di progettazione, non si è tenuto conto dei criteri di sicurezza.
Non ci sono le risorse per implementare (subito) tutte le contromisure
ipotizzabili.
Le condizioni al contorno cambiano.
Le modalità e le tipologie di attacco si perfezionano.
…….
Non esiste garanzia di sicurezza al 100%
Occorre mettere in piedi un sistema di gestione e controllo continuo
Standard 27000:Cosa ?
Pag. 82011 – Verona
Natale Prampolini
9
Valutare e gestire i possibili rischi.
Tenere sotto controllo TUTTI gli aspetti che influenzano la sicurezza
delle informazioni.
Controllare costantemente l’efficacia delle misure adottate.
Dare una chiara classificazione alle informazioni.
Controllare l’intero PROCESSO che tratta le informazioni.
Identificare chiaramente il PERSONALE responsabile della gestione
della sicurezza
Costituire stabilmente un
Sistema di Gestione della Sicurezza delle Informazioni : SGSI
Standard 27000:Cosa ?
Pag. 92011 – Verona
Natale Prampolini
10
Un SGSI è un insieme di :
PoliticA della sicurezza delle informazioni
PoliticHE,
Procedure,
Standard
Linee guida
Soluzioni tecniche
progettato per uno specifico sistema in modo da preservarne i
requisiti di Riservatezza, Integrità e Disponibilità delle informazioni.
Standard 27000:Cosa ?
Pag. 102011 – Verona
Natale Prampolini
11
27000 Foundamental and vocabulary
27001 ISMS Requirements
27002 Code of practice of ISMS
27003 ISMS implementation guidance
27004 Measurements
27005 Risk Management
27006 Requirements for the accreditation of certification bodies
27007 Guidelines for ISMS auditing
Standard 27000:la famiglia
Il modello
I controlli
Pag. 112011 – Verona
Natale Prampolini 12
ISO 27011 - Information security management guidelines for telecommunications
ISO 27031 - ICT readiness for business continuity
ISO 27032 - Guidelines for cybersecurity
ISO 27033 - IT network security
ISO 27034 - Guidelines for application security
ISO 27799 - Security Management in Health using ISO/IEC 27002
12Standard 27000:la famiglia
Pag. 122011 – Verona
Natale Prampolini 13
Gestione della sicurezza: Standard 27001 :2005
UNI CEI ISO/IEC 27001:2006
Tecnologia delle informazioni -
Tecniche di sicurezza - Sistemi di
gestione della sicurezza delle
informazioni - Requisiti
13
Pag. 132011 – Verona
Natale Prampolini
14
Parti
interessate
(Stakeholders)
Sicurezza
delle
informazioni
gestita
Parti
interessate
(Stakeholders)
Requisiti e
aspettative per
la sicurezza
delle
informazioni
Progettare
l’SGSI (PLAN)Implementare
l’SGSI (DO)
Mantenere
Migliorare
l’SGSI (ACT)
Monitorare
Revisionare
l’ SGSI
(CHECK)
27001:05 L’approccio ciclico
Pag. 142011 – Verona
Natale Prampolini
15Gestione della sicurezza:
Standard 27001:2005
Analisi dei rischi
Pag. 152011 – Verona
Natale Prampolini
16
PLANStabilire il S.G.S.I.
Stabilire la politica del Sistema di Gestione per la Sicurezza delle Informazioni, gli obiettivi, i processi e le procedure pertinenti per gestire i rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati conformi alle politiche ed agli obiettivi generali dell’organizzazione
DOAttuare e condurre il
S.G.S.I.
Attuare e rendere operativa la politica del Sistema di Gestione per la Sicurezza delle Informazioni, i controlli, i processi e le procedure
CHECKMonitorare e riesaminare il
S.G.S.I.
Valutare e, ove applicabile, misurare le prestazioni del processo a fronte della politica del Sistema di Gestione per la Sicurezza delle Informazioni, degli obiettivi e delle esperienze pratiche, quindi riportare i risultati alla direzione ai fini del riesame
ACTMantenere attivo,
aggiornato e migliorare il S.G.S.I.
Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del S.G.S.I. e sul riesame da parte della direzione o sulle altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del S.G.S.I.
Modulo 3
27001:05 Il modello per processi
Pag. 162011 – Verona
Natale Prampolini
17
PLANStabilire il S.G.S.I.
Stabilire la politica del Sistema di Gestione per la Sicurezza delle Informazioni, gli obiettivi, i processi e le procedure pertinenti per gestire i rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati conformi alle politiche ed agli obiettivi generali dell’organizzazione
DOAttuare e condurre il S.G.S.I.
Attuare e rendere operativa la politica del Sistema di Gestione per la Sicurezza delle Informazioni, i controlli, i processi e le procedure
CHECKMonitorare e riesaminare il
S.G.S.I.
Valutare e, ove applicabile, misurare le prestazioni del processo a fronte della politica del Sistema di Gestione per la Sicurezza delle Informazioni, degli obiettivi e delle esperienze pratiche, quindi riportare i risultati alla direzione ai fini del riesame
ACTMantenere attivo, aggiornato e
migliorare il S.G.S.I.
Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del S.G.S.I. e sul riesame da parte della direzione o sulle altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del S.G.S.I.
Modulo 3
PLANStabilire
lo S.G.S.I.
Stabilire per lo SGSI :– la politica,– gli obiettivi,– i processi e le procedure,– le misure di sicurezza delle informazioni
27001:05 Il modello per processi
Pag. 172011 – Verona
Natale Prampolini
18
Gli obiettivi strategici del management sulla sicurezza delleinformazioni che ritiene “critiche”.
Le regole con cui gestire e proteggere queste informazioni.
Il comportamento degli utenti.
Gli attori coinvolti e relative responsabilità.
Le regole di interazione con i fornitori e gli utenti.
I criteri e le modalità di valutazione dei rischi.
L’Analisi dei Rischi:
LA politicA della sicurezza
È la “dichiarazione di intenti “ dell’alta Direzione che stabilisce
e ratifica :
Pag. 182011 – Verona
Natale Prampolini
19
INDICE tipo
Motivazione
Obiettivi di sicurezza
Indicazioni
Ruoli e responsabilità
Applicabilità
Conformità
Politiche specifiche
Divulgazione
Riesame
La politica
L’Analisi dei Rischi:
Un esempio
Pag. 192011 – Verona
Natale Prampolini
20
1 PIANIFICAZIONE dell’analisi e rilevazione dello scenario
o Costituzione gruppo di lavoro
o Individuazione proprietari dei dati
o Individuazione referente applicativo della sicurezza
o Individuazione referente di infrastruttura
o Definizione tempistica delle attività
2 INVENTARIO DEI BENI(tutto quanto contribuisce/supporta il trattamento delle informazioni e costituisce
un bene per l’Azienda):
o Supporti informatici (sistemi, apparati, Applicativi, reti locali, reti geografiche,…)
o Documenti (cartacei e non)
o Impianti (corrente elettrica, UPS, aria condizionata/riscaldamento,….)
o Persone (manager, sviluppatori, utenti, sistemisti, ….)
o Immagine aziendale, ….
o ……..
L’Analisi dei Rischi:
Le fasi
Pag. 202011 – Verona
Natale Prampolini
21
CLASSIFICAZIONE delle informazioni da proteggere :
o Dati
o Documenti
o Immagini
o Sw
3ES.
• Pubblico
• Aziendale
• Riservato
• Confidenziale
4 VALUTAZIONE DEL RISCHIO che incombe su ogni asset.
Minacce
Vulnerabilità
Impatto
Probabilità
Non si può parlare di “calcolo” del rischio.
L’Analisi dei Rischi:
Le fasi
Pag. 212011 – Verona
Natale Prampolini
22
5INDIVIDUAZIONE delle possibili CONTROMISURE :
• Fisiche
• Tecniche
• Organizzative
6 PREPARAZIONE DEL REPORT al management
• Lista di priorità dei rischi da affrontare
• Elenco di priorità delle contromisure
• Costi delle contromisure per ciascun rischio
• Tempo
• Persone
• Denaro
• Valutazione del rischio residuo
L’Analisi dei Rischi:
Le fasi
Pag. 222011 – Verona
Natale Prampolini
23
7 PRESENTAZIONE del report al management
• Ridotto
Si adottano tutte o parte delle contromisure individuate.
• Trasferito
Si trasferisce il rischio a un altro soggetto, come un’assicurazione.
• Accettato
Si decide di assorbire il costo in caso di rischio andato a buon fine.
• Evitato
Si decide di evitare l’attività che comporta un rischio troppo alto.
8 DECISIONI POSSIBILI relative al rischio valutato :
L’Analisi dei Rischi:
Le fasi
Pag. 232011 – Verona
Natale Prampolini
24
10 ACCETTAZIONE FORMALE RISCHIO RESIDUO da parte del
management e autorizzazione formale ad implementare le
contromisure.
9 VALUTAZIONE DEL NUOVO VALORE DEL RISCHIO RESIDUO
Se il management da parte del management e autorizzazione
formale ad implementare le contromisure.
11 PIANIFICAZIONE.
L’Analisi dei Rischi:
Le fasi
Pag. 242011 – Verona
Natale Prampolini
Il piano della sicurezza:
Indice CNIPA
25
ANALISI DEI RISCHI
SISTEMA DI SICUREZZA•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
PIANO DI CONTINUITA’ OPERATIVA
ADERENZA ALLA NORMATIVA
Pag. 252011 – Verona
Natale Prampolini
26
ANALISI DEI RISCHI
SISTEMA DI SICUREZZA•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
PIANO DI CONTINUITA’ OPERATIVA
ADERENZA ALLA NORMATIVA
Soluzioni di sicurezza fisica
Il piano della sicurezza:
Indice CNIPA
Pag. 262011 – Verona
Natale Prampolini
27
ANALISI DEI RISCHI
SISTEMA DI SICUREZZA•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
PIANO DI CONTINUITA’ OPERATIVA
ADERENZA ALLA NORMATIVA
Sicurezza perimetrale
Sicurezza degli apparati
Sistemi antivirus
Soluzioni crittografiche
Sicurezza delle trasmissioni su rete
Controllo accessi logici :
Sistema di autenticazione e autorizzazione
Firma digitale
Token
Il piano della sicurezza:
Indice CNIPA
Pag. 272011 – Verona
Natale Prampolini
28
ANALISI DEI RISCHI
SISTEMA DI SICUREZZA•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
PIANO DI CONTINUITA’ OPERATIVA
ADERENZA ALLA NORMATIVA
L’organizzazione della sicurezza
Ruoli e responsabilità
La politica della sicurezza
Le politiche di sicurezza
Fisiche e tecnologiche
Organizzative
Le procedure di sicurezza
Il piano della sicurezza:
Indice CNIPA
Pag. 282011 – Verona
Natale Prampolini
29
ANALISI DEI RISCHI
SISTEMA DI SICUREZZA•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
PIANO DI CONTINUITA’ OPERATIVA
ADERENZA ALLA NORMATIVA
Quando
Come
Chi
Il piano della sicurezza:
Indice CNIPA
Pag. 292011 – Verona
Natale Prampolini
30
ANALISI DEI RISCHI
SISTEMA DI SICUREZZA•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
PIANO DI CONTINUITA’ OPERATIVA
ADERENZA ALLA NORMATIVA196/2003
Il piano della sicurezza:
Indice CNIPA
Pag. 302011 – Verona
Natale Prampolini
31
ANALISI DEI RISCHI
SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
PIANO DI CONTINUITA’ OPERATIVA
ADERENZA ALLA NORMATIVA
….e il DPS ?Trattamento dei dati
personali e sensibili
Il piano della sicurezza:
Indice CNIPA
Pag. 312011 – Verona
Natale Prampolini
32Gestione della sicurezza:
Standard 27001:2005
Pag. 322011 – Verona
Natale Prampolini
33
PLANStabilire il S.G.S.I.
Stabilire la politica del Sistema di Gestione per la Sicurezza delle Informazioni, gli obiettivi, i processi e le procedure pertinenti per gestire i rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati conformi alle politiche ed agli obiettivi generali dell’organizzazione
DOAttuare e
condurre il S.G.S.I.
Attuare e rendere operativa la politica del Sistema di Gestione per la Sicurezza delle Informazioni, i controlli, i processi e le procedure
CHECKMonitorare e riesaminare il
S.G.S.I.
Valutare e, ove applicabile, misurare le prestazioni del processo a fronte della politica del Sistema di Gestione per la Sicurezza delle Informazioni, degli obiettivi e delle esperienze pratiche, quindi riportare i risultati alla direzione ai fini del riesame
ACTMantenere attivo, aggiornato
e migliorare il S.G.S.I.
Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del S.G.S.I. e sul riesame da parte della direzione o sulle altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del S.G.S.I.
Modulo 3
DOAttuare e
condurre lo S.G.S.I.
Attuare e rendere operativi per loSGSI :•la politica,•i controlli,•i processi•le procedure
27001:05 Il modello per processi
Pag. 332011 – Verona
Natale Prampolini
• Attuare il piano di trattamento del rischio
• Eseguire i controlli selezionati per conseguire gli obiettivi di controllo
• Definire come misurare l’efficacia dei controlli
• Attuare i programmi di formazione e la consapevolezza
• Gestire operativamente il SGSI
• Gestire le risorse per il SGSI
• Istituire procedure e altri controlli capaci di :
• rilevare tempestivamente
• rispondere adeguatamente agli incidenti relativi alla sicurezza
34
27001:05 Attuare e condurre il SGSI (Do)
34
Pag. 342011 – Verona
Natale Prampolini
35Gestione della sicurezza : Misurare l’efficacia
MISURA di efficacia delle contromisure effettivamente adottate
INDICATORI indicazione sintetica in grado di definire lo stato
di un sistema o processo rispetto all’obiettivo di
sicurezza.
Ha un valore di soglia fissato.
Pag. 352011 – Verona
Natale Prampolini
36
AREA INDICATORESicurezza delle risorse umane
Percentuale di personale del SGSI che ha seguitocorsi di formazione specifica sulla sicurezza.Percentuale degli incidenti alla Sicurezza causati dauna scarsa formazione del personale.
Controllo degli accessi
Numero di riattivazioni delle credenziali di accessorispetto al numero di utenti del sistema.Percentuale di sistemi che seguono una politica digestione delle password.Numero di account con privilegi da amministratoreutilizzati per le normali attività .Numero di account non associati a utenti specifici.
Gestione degli incidenti di sicurezza delle informazioni
Percentuale di incidenti per Area / Unità complessa.
Attuare e condurre il SGSI (Do):Misurare l’efficacia
Pag. 362011 – Verona
Natale Prampolini
37
Per ciascuna metrica adottata devono essere definiti i seguenti campi:
Controllo degli accessi
Indicatore Numero di riattivazioni delle credenziali di accesso rispetto alnumero di utenti del sistema
Descrizione Indica la percentuale delle riattivazione delle credenziali
Codice IP1101
Dati in input Nriatt = Numero di riattivazioni delle credenzialiNtotut = Numero totale di utenti
Formula
Valore Percentuale
Frequenza Annuale
Responsabile Responsabile Sicurezza
Criteri È accettabile quando
È inaccettabile quando
1001101totut
riatt
N
NIP
%201101%0 IP
%1001101%20 IP
Attuare e condurre il SGSI (Do):Misurare l’efficacia
Pag. 372011 – Verona
Natale Prampolini
38Gestione della sicurezza :
Standard 27001:2005
Pag. 382011 – Verona
Natale Prampolini
39
PLANStabilire il S.G.S.I.
Stabilire la politica del Sistema di Gestione per la Sicurezza delle Informazioni, gli obiettivi, i processi e le procedure pertinenti per gestire i rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati conformi alle politiche ed agli obiettivi generali dell’organizzazione
DOAttuare e
condurre il S.G.S.I.
Attuare e rendere operativa la politica del Sistema di Gestione per la Sicurezza delle Informazioni, i controlli, i processi e le procedure
CHECKMonitorare e riesaminare il
S.G.S.I.
Valutare e, ove applicabile, misurare le prestazioni del processo a fronte della politica del Sistema di Gestione per la Sicurezza delle Informazioni, degli obiettivi e delle esperienze pratiche, quindi riportare i risultati alla direzione ai fini del riesame
ACTMantenere
attivo, aggiornato e migliorare il
S.G.S.I.
Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del S.G.S.I. e sul riesame da parte della direzione o sulle altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del S.G.S.I.
Modulo 3
CHECKMonitorare
e riesaminare il S.G.S.I.
Valutare lo SGSI e, ove applicabile,misurarne le prestazioni a fronte di :
– politica,– obiettivi,– esperienze pratiche,
Riportare i risultati alla direzione per il
riesame
27001:05 Il modello per processi
Pag. 392011 – Verona
Natale Prampolini
Eseguire procedure di monitoraggio
• Svolgere riesami regolari sull’efficacia dell’SGSI
• Registrare azioni ed eventi
• Misurare l’efficacia dei controlli
• Riesaminare le valutazioni del rischio residuo ed i rischi
accettabili tenendo in considerazione i cambiamenti
• Condurre audit interni dell’SGSI ad intervalli pianificati
• Effettuare un riesame da parte della Direzione
• Aggiornare i piani per la sicurezza
40
27001:05Monitorare e riesaminare SGSI (Check)
40
Pag. 402011 – Verona
Natale Prampolini
In questa fase si verifica se :
– i controlli sono effettivamente operativi come previsto,
– lo SGSI è efficace.
- Non siano state modificate le assunzioni o l’ambito tantoda dover riprendere l’analisi del rischio per individuarecontrolli più adeguati alla situazione attuale ed eventualiazioni correttive.
L’efficacia dei controlli deve essere misurata secondo lametrica definita nella fase precedente.
41
27001:05Monitorare e riesaminare SGSI (Check)
41
Pag. 412011 – Verona
Natale Prampolini
Potente strumento per la dimostrazione dell’efficacia e della conformità
dello SGSI.
È necessaria una procedura documentata per assicurare l’efficace
gestione degli audit interni, ivi inclusa l’assicurazione dell’indipendenza di
giudizio degli auditor utilizzati.
42
42
(*) UNI EN ISO 19011:2003 Linea guida per ogni tipologia di audit sui sistemi di gestione ISO.
27001:05Monitorare e riesaminare SGSI (Check)
AUDIT
Pag. 422011 – Verona
Natale Prampolini
43Audit di sicurezza: Definizione
È un'indagine strutturata e metodica che mira a individuare eventuali
vulnerabilità o il mancato rispetto di normative e leggi specifiche.
È uno strumento di monitoraggio del livello di sicurezza del sistema.
È un processo sistematico, indipendente e documentato che mira a
ottenere evidenze oggettive che, valutate con obiettività, consentano di
determinare il grado di conformità alla politica di sicurezza, alle
procedure o ai requisiti presi come riferimento, da parte del
servizio/sistema/organizzazione esaminato.(*)
(*) CNIPA quaderno 23 cap. 6
Pag. 432011 – Verona
Natale Prampolini
44Gestione della sicurezza : Audit di sicurezza
Audit di prima parte
Audit di terza parte
È condotto con personale interno alla stessa organizzazione cui
appartiene il sistema da verificare.
È condotto da un ente esterno autorizzato dotato delle opportune
caratteristiche di affidabilità e imparzialità.
Audit di seconda parte
È condotto dalla stessa organizzazione cui appartiene il sistema da
verificare con consulenti di sua scelta
Pag. 442011 – Verona
Natale Prampolini
45Audit di sicurezza:
Finalità
PRIMA PARTE SECONDA PARTE TERZA PARTE
Verificare il rispetto deirequisiti di una norma odi altre prescrizionistabilite dall’azienda
Qualificare un fornitore Iscrivere lo SGSI dellaazienda valutata in unapposito registro
Fornisconoinformazioni per azionicorrettive, preventive, dimiglioramento
Determinano l’affidabilità del fornitore
Forniscono confidenza ad un numero elevato di potenziali clienti
Pag. 452011 – Verona
Natale Prampolini
46Gestione della sicurezza :
Standard 27001:2005
Pag. 462011 – Verona
Natale Prampolini
47
PLANStabilire il S.G.S.I.
Stabilire la politica del Sistema di Gestione per la Sicurezza delle Informazioni, gli obiettivi, i processi e le procedure pertinenti per gestire i rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati conformi alle politiche ed agli obiettivi generali dell’organizzazione
DOAttuare e condurre il
S.G.S.I.
Attuare e rendere operativa la politica del Sistema di Gestione per la Sicurezza delle Informazioni, i controlli, i processi e le procedure
CHECKMonitorare e
riesaminare il S.G.S.I.
Valutare e, ove applicabile, misurare le prestazioni del processo a fronte della politica del Sistema di Gestione per la Sicurezza delle Informazioni, degli obiettivi e delle esperienze pratiche, quindi riportare i risultati alla direzione ai fini del riesame
ACTMantenere attivo,
aggiornato e migliorare il S.G.S.I.
Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del S.G.S.I. e sul riesame da parte della direzione o sulle altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del S.G.S.I.
Modulo 3
ACTMantenere
attivo, aggiornato e migliorare il
S.G.S.I.
Intraprendere azioni correttive epreventive, basate su :
– risultati degli audit interni – riesame da parte della direzione – altre informazioni pertinenti
27001:05 Il modello per processi
Pag. 472011 – Verona
Natale Prampolini
• Attuare i miglioramenti individuati
• Intraprendere le appropriate azioni correttive e preventive.
• Applicare gli insegnamenti acquisiti dalle esperienze
• Comunicare le azioni e i miglioramenti a tutte le parti interessate
• Assicurarsi che i miglioramenti conseguano gli obiettivi prefissati
48
27001:05 Mantenere attivo, aggiornare e
migliorare
È diretta conseguenza dei risultati della fase precedente
48
“non conformità”
“azioni correttive”
Può impattare sulle fasi “Progettare” “Implementare” “Utilizzare”.
Pag. 482011 – Verona
Natale Prampolini
6363Gestione della sicurezza
Approfondimenti
A.5 Politica per la sicurezza
A.6 Organizzazione della Sicurezza
A.7 Gestione dei beniA.11 Controllo degli
accessi
A.15 Conformità
A.8 Sicurezza delle
risorse umaneA.9 Sicurezza fisica
e ambientale
A.12 Acquisizione,
sviluppo e
manutenzione dei
sistemi
A.10 Gestione delle
comunicazioni e
Dell’operatività
A.14 Gestione
della continuità
operativa
A.13 Gestione
Incidenti di
Sicurezza
Organizzazione
Operatività
UNI CEI ISO/IEC 27001:06
ISO
/IE
C 2
70
02
:05
REQUISITI
BEST
PRACTICES
APPROFONDIMENTI
ISO 20000
BS25599 ISO/IEC 24762ISO /IEC 12207
2011 – Verona Pag. 63
Natale Prampolini
64
ISO27002:2005 è un framework per implementare controlli di tipo:
• organizzativo,
• tecnico,
• fisico,
I controlli proposti sono
133 raggruppati in 39obiettivi e 11 aree.
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
27002:2005
Pag. 642011 – Verona
Natale Prampolini
65
Fornire gli indirizzi ed il supporto
della Direzione per la sicurezza
delle informazioni, in conformità
ai requisiti del business e alle
leggi e regolamenti pertinenti.
27002:2005 Politica per la sicurezza
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
Pag. 652011 – Verona
Natale Prampolini
6627002:2005 Organizzazione della sicurezza
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
• Istituzione del Comitato della
Sicurezza delle Informazioni
• Nomina dello RSI (Responsabile della Sicurezza
delle Informazioni)
Pag. 662011 – Verona
Natale Prampolini
6727002:2005Gestione dei beni
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
• Classificazione delle
informazioni
• Conseguire e mantenere attiva
un’adeguata protezione dei beni
dell’organizzazione
Pag. 672011 – Verona
Natale Prampolini
6827002:2005Sicurezza delle risorse umane
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
•Prima dell’assunzione
•Durante il rapporto di lavoro
•Alla cessazione del rapporto di
lavoro
Pag. 682011 – Verona
Natale Prampolini
6927002:2005Sicurezza fisica ed ambientale
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
•Controllo accessi fisici
•Controllo sistemi ambientali
Pag. 692011 – Verona
Natale Prampolini
7027002:2005 Gestione della operatività
•Procedure operative
•Servizi di terze parti
•Progettazione dei sistemi
•Protezione contro software
maligno
•Backup
•Sicurezza delle rete
•Scambio dati
•Gestione supporti
•On-line
•Monitoraggio
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
Pag. 702011 – Verona
Natale Prampolini
7127002:2005Controllo degli accessi
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
• Controllo accessi
• Gestione accessi dell’utente
• Responsabilità degli utenti
• Accesso alla Rete
• Accesso al Sistema
Operativo
• Accesso alle Applicazioni
• Uso di dispositivi portatili
Pag. 712011 – Verona
Natale Prampolini
7227002:2005
Acquisizione, sviluppo e manutenzione dei S.I.
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
• Requisiti di sicurezza
• Corretta elaborazione delle
applicazioni
• Controlli crittografici
• Sicurezza dei file di sistema
• Sicurezza nei processi di
sviluppo e supporto
• Gestione delle vulnerabilità
Pag. 722011 – Verona
Natale Prampolini
7327002:2005Incidenti di sicurezza
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
• Segnalazione degli Incidenti
• Gestione degli Incidenti
Pag. 732011 – Verona
Natale Prampolini
7427002:2005Gestione della continuità operativa
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
Soluzioni per garantire la
continuità delle attività
Pag. 742011 – Verona
Natale Prampolini
75ISO/IEC 27002: Conformità
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
• Rispetto dei requisiti di legge
• Rispetto degli standard di
sicurezza
• Aspetti degli audit di sicurezza
Pag. 752011 – Verona
Natale Prampolini
78La continuità operativa: Business Continuity Plan e Disaster
Recovery Plan
Business Continuity Plan
Disaster
Recovery Plan
Strumenti Informatici
Finanze
Documenti
Infrastrutture
Impianti
Norme
Persone
Comunicazioni
Software
Hardware
Collegamenti
Basi Dati
Logistica
Personale CED
Sito Alternativo
Documentazione
Organizzazione
Pag. 782011 – Verona 2
Natale Prampolini
79Gestione della sicurezza: La continuità operativa
Misura preventiva atta a garantire la continuità dei processi
dell’Organizzazione in funzione del loro valore e della qualità dei prodotti/servizi
erogati tramite il supporto dell’infrastruttura di ICT, prevenendo e minimizzando
l’impatto di incidenti intenzionali o accidentali e dei conseguenti possibili danni.
(*)
Non riguarda soltanto le risorse informatiche, ma anche quelle fisiche,
organizzative e le persone necessarie per il funzionamento del sistema.
Il settore pubblico deve proteggere e mantenere accessibili i dati gestiti, che
giuridicamente appartengono ai cittadini e sono soltanto “affidati in gestione”
all’Amministrazione.
(*) CNIPA quaderno 23 “Linee guida per la sicurezza ICT nelle Pubbliche Amministrazioni”
Pag. 792011 – Verona 2
Natale Prampolini
81
Business ContinuityHa come obiettivo la continuità dei servizi istituzionali di
un’Amministrazione. Adotta tutti i metodi che consentono
di eliminare o ridurre gli effetti negativi di situazioni
disastrose.
Disaster RecoveryAttività necessarie per ripristinare – in tutto o in parte – le
funzionalità del sistema informatico (hardware, software
e servizi di comunicazione)..
Continuità operativa: Le componenti
Le sole funzioni vitali
Pag. 812011 – Verona 2
Natale Prampolini
82La continuità operativa: Business Impact Analysis
Identifica gli impatti tangibili e intangibili sui processi di business nel caso diindisponibilità delle risorse :
• Tecnologiche
• Umane
• Fisiche
Fornisce alla Direzione le informazioni necessarie a disegnare una strategiadi ripristino secondo un preciso ordine di priorità.
Identifica
• Chi e cosa è vitale per la sopravvivenza del business.
• Le priorità e i tempi necessari per il ripristino.
Valuta i costi in caso di disastro.
• Diretti
• Indiretti
Pag. 822011 – Verona 2
Natale Prampolini
83La continuità operativa: Business Impact Analysis
Identifica gli impatti tangibili e intangibili sui processi di business nel caso diindisponibilità delle risorse :
• Tecnologiche
• Umane
• Fisiche
Fornisce alla Direzione le informazioni necessarie a disegnare una strategiadi ripristino secondo un preciso ordine di priorità.
Identifica
• Chi e cosa è vitale per la sopravvivenza del business.
• Le priorità e i tempi necessari per il ripristino.
Valuta i costi in caso di disastro.
• Diretti
• Indiretti
Richiede :
• un supporto consistente della Direzione
• una visione chiara dei processi aziendali
• un ampio coinvolgimento di personale IT e di utenti.
Pag. 832011 – Verona 2
Natale Prampolini
84La continuità operativa: Business Impact Analysis
Identificare le funzioni critiche per
il raggiungimento degli obiettivi
istituzionali / aziendali.
Identificare le risorse che
supportano le funzioni critiche
Ipotizzare gli scenari di possibili
evenienze o i disastri
Scegliere le strategie di
contingency planning
RTO “Recovery Time Objective”,
Tempo massimo per recuperare il servizio.
Intervallo di tempo entro il quale il servizio
deve essere ripristinato per non causare
danni irreversibili.
RPO “Recovery Point Objective”,
Intervallo di tempo all’interno del quale la
perdita di dati non causa danni irreparabili.
Intervallo tra il verificarsi dell’emergenza e
l’ultimo salvataggio utile e ripristinabile dei
dati.
Pag. 842011 – Verona 2
Natale Prampolini
85La continuità operativa:
Pag. 852011 – Verona 2
Natale Prampolini
86
t1 t4t3t2 t5
Situazione
Normale
Servizio
Ripristinato
Dati
OrfaniRicostruzione dei
Dati Orfani
Dati
Recuperati
Preparazione
Sito Recovery
Diagnosi Fase di Recovery
CED fuori uso
La continuità operativa : Disaster Recovery Plan
Pag. 862011 – Verona 2
Natale Prampolini
87
Introduzione
Obiettivi
Ruoli e Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
La continuità operativa : Disaster Recovery Plan
Indice tipo
Pag. 872011 – Verona 2
Natale Prampolini
88
•Response Team• Da chi è formato,
• Ruolo e responsabilità di ciascun componente
• Chi ne è responsabile e lo coordina
•Sito secondario• Individuazione della sede
• Equipaggiamento
• Procedure di continuità• Per i processi critici
• Per le funzioni vitali
La continuità operativa : Disaster Recovery Plan
Contenuti minimi
Pag. 882011 – Verona 2
Natale Prampolini
89La continuità operativa : Disaster Recovery Plan
Aspetti tecnici
Aspetti organizzativi
• Come recuperare tempestivamente i dati di backup
• Come recuperare le informazioni per cui potrebbe non esistere backup
• Realizzazione di siti alternativi
• Reti di comunicazione alternative
• Realizzazione del passaggio dal primario al secondari
• Assegnazione delle responsabilità
• Mobilitazione e spostamenti del personale
o Chi decide di avviare la procedura di DR?
o Chi opera nel sito secondario? Come può raggiungerlo?
o Chi si deve avvisare?
• Formazione e sensibilizzazione
• Test del DRPIl DRP viene progettato ipotizzando un evento
che, nella maggior parte dei casi, non si è
ancora mai verificato.
Pag. 892011 – Verona 2
Natale Prampolini
90
Introduzione
Obiettivi
Ruoli e Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
La continuità operativa : Disaster Recovery Plan
Indice tipo
Prima che accada un incidente
deve essere chiaro chi fa che cosa.
Pag. 902011 – Verona 2
Natale Prampolini
91
Introduzione
Obiettivi
Ruoli e Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
La continuità operativa : Disaster Recovery Plan
Indice tipo
Quando, come e chi testa il piano.
Pag. 912011 – Verona 2
Natale Prampolini
92
Introduzione
Obiettivi
Ruoli e Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
La continuità operativa : Disaster Recovery Plan
Indice tipo
Chi può dichiarare il disastro.
Pag. 922011 – Verona 2
Natale Prampolini
93
Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
La continuità operativa : Disaster Recovery Plan
Indice tipo
Interno o del gestore del servizio.
Pag. 932011 – Verona 2
Natale Prampolini
94
Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
La continuità operativa : Disaster Recovery Plan
Indice tipo
Mix di interventi di tipo organizzativo
e di tipo tecnico
Cosa fare (ripristinare, riconfigurare,
riavviare,…..)
Dove andare (sito secondario?)
Chi avvertire.
Pag. 942011 – Verona 2
Natale Prampolini
95
Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
La continuità operativa : Disaster Recovery Plan
Indice tipo
Incaricare qualcuno delle comunicazioni
con l’esterno.
Pag. 952011 – Verona 2
Natale Prampolini
96
Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
La continuità operativa : Disaster Recovery Plan
Indice tipo
Definire accuratamente i termini del
servizio.
Pag. 962011 – Verona 2
Natale Prampolini
Grafico dei costi per problemi di sicurezza
costi
0 10 100 1.000
livello di sicurezza (n. casi anomali gestiti)
101
Pag. 1012011 – Verona
Natale Prampolini
0 10 100 1.000
costi
livello di sicurezza (n. casi anomali gestiti)
102Grafico dei costi per problemi di sicurezza
Pag. 1022011 – Verona
Natale Prampolini
I costi complessivi
cost
i
Curva dei costi totali
livello di sicurezza ottimale
costo
minimo
livello di sicurezza
103
Pag. 1032011 – Verona
Natale Prampolini
I costi sociali
livello minimo di sicurezza per norme cogenti
cost
i
Curva dei costi totali
livello di sicurezza ottimale
costo
minimo
livello di sicurezza
104
Pag. 1042011 – Verona
Natale Prampolini
cost
i
livello minimo di sicurezza
per norme cogenti
livello di sicurezza
costo
ottimale
Curva dei costi totali
costo
sociale
I costi sociali
Pag. 1052011 – Verona
Natale Prampolini
Conclusioni
• Abbiamo parlato di organizzazione della sicurezza delle informazioni.
• Abbiamo visto come strutturare un sistema per la gestione della sicurezza delle informazioni secondo una norma internazionale [ISO 27001] e tutta una serie di norme correlate attraverso l’applicazione di controlli o contromisure.
• Abbiamo dato priorità alla gestione / organizzazione della gestione rispetto all’applicazione della tecnologia, che è importante e necessaria ma non sufficiente a garantire un buona sicurezza (= basso rischio o rischio accettabile).
Pag. 1072011 – Verona
Natale Prampolini
Ricorsività della gestione
• La norma indica spesso la necessità di assicurare risultati misurabili, comparabili e riproducibili
• Ciò implica un continuo riesame che deve partire dalla rivalutazione del rischio
• La sicurezza non è un prodotto ma un processo.
• Occorre operare in concreto al fine di ridurre al minimo i rischi mediante l’utilizzazione di controlli/sistemi di sicurezza costantemente adeguati nel tempo
Pag. 1082011 – Verona
Natale Prampolini
• In ciò sta il concetto di “Sistema di gestione per la sicurezza delle Informazioni”
• In ciò sta il concetto che la sicurezza è un concetto organizzativo e non tecnico
• In ciò sta il concetto di applicare in ogni fase della norma il PDCA
La ISO 27001 è una norma di gestione.
Attraverso poi la scelta dei controlli (Appendice A della norma e quindi ISO 27002)
creo i collegamenti con le norme tecniche
Ricorsività della gestione
Pag. 1092011 – Verona