Lapproccio aziendale per la Sicurezza delle Informazioni gli ambiti di intervento e le proposte...
-
Upload
gemma-santini -
Category
Documents
-
view
214 -
download
0
Transcript of Lapproccio aziendale per la Sicurezza delle Informazioni gli ambiti di intervento e le proposte...
L’approccio aziendale per la Sicurezza delle Informazionigli ambiti di intervento e le proposte operativeuna soluzione integrata, scalabile, orientata alla certificazione
Ing. Roberto Ferreri
Milano, 4 dicembre 2001
slide n. 2
Le criticità della sicurezza delle informazioni
L’evoluzione dei sistemi di comunicazione richiede che vengano adottati maggiori sistemi di protezione a livello logico per la tutela delle informazioni ed a quello organizzativo per l’accessibilità ai sistemi informativi:– Il business è sempre più dipendente dall’ICT– L’ambiente ICT è più complesso– L’interruzione di sistemi ICT è immediatamente visibile– Le tecniche tradizionali non sono più sufficienti
Sono necessari strumenti e metodologie efficaci per assicurare– continuità delle attività aziendali– minimizzazione dei danni– massimizzazione della redditività e opportunità di sviluppo
L’informazione deve circolare ed essere disponibile nelle forme e nei tempi attesi (Disponibilità), però deve esserne assicurata la:– Riservatezza - Solo chi è autorizzato può accedere
all’informazione– Integrità - devono essere assicurati accuratezza e completezza
dei processi e dei trattamenti
slide n. 3
La sicurezza come fattore di competitività
La gestione sicura delle informazioni costituisce un differenziale competitivo, basato sulla capacità dell’impresa di assicurare:– Il rispetto di requisiti di processi interni ed anche di filiera– La rintracciabilità delle informazioni lungo tutto il ciclo di vita del
processo– L’integrazione di informazioni di fonti diverse
Chi opera con l’impresa (cliente, fornitore, partner, etc.) deve acquisire immediatamente la massima confidenza possibile che il rapporto che sta intrattenendo è protetto al giusto grado di sicurezza nell’interesse di entrambe le parti
La sicurezza delle informazioni non è un fatto interno, ha anche una rilevanza sul brand, e quindi dev’essere reso noto al mercato adottando, se il caso, processi di certificazione per la qualificazione delle soluzioni adottate.
slide n. 4
Le aree per la Sicurezza delle Informazioni
ORGANIZZAZIONE PRIVACY
ISO/IEC 17799 indica …”information systems and
networks are faced with security threats from a wide range of sources, including computer-
assisted fraud, espionage, sabotage, vandalism, fire or flood.”
… norma BS7799
ISO/IEC 15408/1999 Common Criteria for Information Technology Security Evaluation;
Legge 675/96 (sulla privacy), DPR 318/99 (misure minime di sicurezza)Normativa di riferimento: DPR 445/00 Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa. Integra e completa le seguenti disposizioni: art. 15, comma 2, legge 59/97 (bassanini ter); DPR 513/97; art. 4, legge 191/98 e relativo DPR 70/99; Delibera AIPA 24/98; DPR428/98; DPCM 8/2/99; Circolare AIPA 22/99
specifica per il commercio elettronico
Standard di prodotto e di processo
Raccomandazioni IETF (Internet Engineering Task Force) e W3C (World Wide
Web Consortium)
Public Key Infrastructure e Certificati X.509
slide n. 5
Marchi di prodotto e di processo
Sicurezza dei siti Internet
Sicurezza documenti - Firma
elettronica
Privacy e sicurezza dei dati personali
Gli interventi per la Sicurezza delle Informazioni
Sicurezza organizzativa
Sicurezza ICT - Common Criteria
slide n. 6
L’integrazione delle procedure di sicurezza
ORGANIZZAZIONE PRIVACY
Sicurezza tecnologica
Sicurezza dei sistemi informatici, del software,
delle reti di telecomunicazione
si parla di“ infrastruttura di base IT ”(Information Technology)
Sicurezza organizzativa
(“gestire i servizi/processi di business dell’azienda e gestire coloro che utilizzano i sistemi informatici,
il software e le reti di telecomunicazione” )
slide n. 7
Qual è lo stato attuale del mio sistema di gestione della sicurezza?Cosa devo fare per adeguare il livello di sicurezza alle esigenze della mia azienda ?
Eseguire gli interventi per la sicurezza
Cosa devo fare per mantenere nel tempo il livello di sicurezza che ho acquisito ?
Adesso posso stare tranquillo?Come posso comunicare la mia sicurezza?
Gli interventi CONSIEL - RINA
EventualeCERTIFICAZIONE
del livello di sicurezza acquisito
BS 7799
Assessment iniziale
Progetto di adeguamento
Piano di mantenimento
Assessment finale
slide n. 8
Common Criteria
BS7799 /ISO 17799
Privacy Strong Authenticati
onAssessment
inizialeAttività di
valutazioneAttività di
valutazioneAttività di
valutazioneAttività di
valutazione
Piano di adeguament
o
Livello a scelta del
cliente
Checklist dipendente dal livello
--- ---
Assessment finale
Checklist di precertificazio
ne
Checklist di precertificazio
ne
Checklist degli
interventi (3)
Checklist di precertificazio
ne (se presente)
Piano di mantenimen
to
Attività di accertament
o
Attività di accertament
o
Attività di accertament
o
Attività di accertament
o(se presente)Certificazioni BS7799
La segmentazione del contesto di intervento
slide n. 9
Il metodo per l’Assessment Iniziale
• Quali sono gli asset da proteggere
• Quali informazioni essi gestiscono
• Quali sono le priorità• Quali processi sono
supportati e qual è il ruolo SI
• Qual è la strategia per la sicurezza
• Analizzare i vincoli legali, normativi e contrattuali
• Quali soluzioni fisico-logico-organizzative esistono
Rilevare le criticità e l’attuale stato della sicurezza
• Comportamenti dei mercati e della concorrenza
• Analisi delle possibili minacce
• Identificazione di attori, modalità, probabilità
• Valutare il danno possibile
• Valutare la % di accadimento
• Definire i requisiti di sicurezza
• Accettare livello di rischio presunto
Aree di interventoPriorità di sicurezza
FASI
ATTIVITÀ
PRODOTTIAnalisi minacce
Obiettivi di sicurezzaInterventi concordati
Funzioni di sicurezzaPiano di attuazione
• Definire gli elementi organizzativi per il sistema di gestione della sicurezza delle informazioni
• Identificare gli interventi sulla riservatezza dei dati personali
• Stabilire gli interventi di protezione dei SI e delle reti
• Descrivere gli interventi di protezione del Sito WEB
• Stabilire le priorità degli interventi
Valutare il Rischio della sicurezza
Descrivere e pianificare gli
interventi di sicurezza
slide n. 10
Fase 1: Rilevare le criticità e l’attuale stato della Sicurezza
Definire gli ASSET
IdentificareLe informazioni
Analizzare processi e strutture
Valutare la rispondenza
Rilevare l’attuale Politica Sicurezza
•Necessità di accesso da Terze parti•Processi in Outsourcing
IdentificareAree intervento
Conoscenzadel contesto •PROCESSI
•ORGANIZZAZIONE•PERSONALE•ICT
•FISICO•LOGICO•ORGANIZZATIVO
•Classificazione delle informazioni da proteggere
•Responsabilità assegnate•Livelli di coinvolgimento del personale
slide n. 11
Fase 1: Struttura dei metodi di analisi
COMMON CRITERIAICT
PRIVACYDati Personali
ORGANIZZAZIONEProcessi/Prodotti
ISO 17799 strategia/organizzazione
Rilevazione unica con diversi livelli di approfondimento
Risultati riusabili per altri successivi interventi
Ricostruibile da interventi precedenti o da documenti esistenti
Costruita sulla base della Linea guida ISO 17799 (check list documentali e di verifica) per introdurre la terminologia e l’approccio dello Standard, così da facilitare
successive attività di audit e certificazione
slide n. 12
REQUISITI DI SICUREZZA
definiti come
OBIETTIVI DI CONTROLLO
CONTROLLI
raggiuntitramite
• “riesaminare il requisito”
• “non fare nulla” • ridurre il rischio
• evitare il rischio (es: non usare Internet)
• trasferire il rischio (es: fare una assicurazione
o affidare in outsourcing)
• assegnazione di responsabilità per la sicurezza
• report su incidenti, violazioni e problematiche di sicurezza
• gestione della continuità dei processi aziendali
• formazione sui temi della sicurezza
• privacy (protezione dei dati personali)
• protezione dei documenti organizzativi
• tutela clausole contrattuali• tutela della proprietà
intellettuale
Fase 2: Definire i Requisiti di Sicurezza delle Informazioni
• FISICO• LOGICO• ORGANIZZATIVO
ambitolegislativo
ambitointerno
slide n. 13
Fase 3: Il sistema di Gestione della Sicurezza delle Informazioni
Common CriteriaISO 15408
ISO 17799
Processi e Servizio Sicurezza
delleinformazioni
mantenersi aggiornata su nuove minacce e vulnerabilità, operare in ottica di prevenzione e di miglioramento continuo del sistema sapere quando policy e procedure non sono implementate, in tempo utile per prevenire
danni implementare politiche e procedure di primaria importanza, in accordo con le “best
practice” e un buon risk management
Le Finalità del SGSI
Crittografiainalterabilità
ininterccettabilitàinaccessibilità
ISO 9000, ISO 14001, EMAS, SA8000