Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni: ultime novità
-
Upload
uninfoit -
Category
Technology
-
view
524 -
download
0
Transcript of Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni: ultime novità
NORME TECNICHE NAZIONALI E INTERNAZIONALI SULLA SICUREZZA DELLE INFORMAZIONI:
ULTIME NOVITÀ
Security SummitMilano, 16 marzo 2016
Agenda e relatori
2
Introduzione alle norme tecniche, UNINFO e sue attività principaliIntroduzione alle norme tecniche, UNINFO e sue attività principali
Attività in corso CT 510/SC 27 su sicurezza delle informazioni e privacy
Attività in corso CT 510/SC 27 su sicurezza delle informazioni e privacy
Regolamento EIDAS e dintorniRegolamento EIDAS e dintorni
Profili professionali per la sicurezza delle informazioni (UNI 11621)
Profili professionali per la sicurezza delle informazioni (UNI 11621)
Agenda e relatori
3
Introduzione alle norme tecniche, UNINFO e sue attività principaliIntroduzione alle norme tecniche, UNINFO e sue attività principali
Attività in corso CT 510/SC 27 su sicurezza delle informazioni e privacy
Regolamento EIDAS e dintorni
Profili professionali per la sicurezza delle informazioni (UNI 11621)
Relatore
4
Domenico "Mimmo" SQUILLACE
Presidente di UNINFO
Coordinatore dei Presidenti degli Enti Federati UNI
Membro di Giunta Esecutiva UNI
Rappresentante Italiano in CEN/CENELEC BT WG 6 “ICT Standardization
Policy”
Technical Relations Manager IBM Italia
Una «norma» è una specifica tecnica, adottata da un organismo di normazione riconosciuto, per applicazione ripetuta o continua, alla quale non è obbligatorio conformarsi, e che appartenga a una delle seguenti categorie:a) «norma internazionale»: una norma adottata da un organismo di
normazione internazionale;b) «norma europea»: una norma adottata da un’organizzazione europea di
normazione;c) «norma armonizzata»: una norma europea adottata sulla base di una
richiesta della Commissione ai fini dell’applicazione della legislazione dell’Unione sull’armonizzazione;
d) «norma nazionale»: una norma adottata da un organismo di normazione nazionale.
Standard? Norma tecnica?
5
Dal Regolamento UE 1025/2012:Dal Regolamento UE 1025/2012:
Principi alla base delle norme
6
DEMOCRAZIADEMOCRAZIA
• Tutte le parti interessate possono partecipare ai lavori di normazione
CONSENSOCONSENSO
• I lavori progrediscono attraverso il consenso dei partecipanti ai lavori
VOLONTARIETÀVOLONTARIETÀ
• Le norme sono il punto di riferimento che tutte le parti interessate adottano spontaneamente
TRASPARENZATRASPARENZA
• L'Ente di normazione rende noti i passaggi di approvazione a tutte le parti interessate
Processo di normazione
7
NecessitàNecessità Inchiesta preliminare
Inchiesta preliminare
Sviluppo del documentoSviluppo del documento
Inchiesta pubblicaInchiesta pubblica
Pubblicazione
Pubblicazione
00 Preliminary Stage
10 Proposal stage
20 Preparatory Stage
30 Committee Stage
40 Enquiry Stage
50 Approval Stage
60 Publication Stage
NWIP WD-CD DIS-FDIS IS
00-20 Commenti di esperti 40-60 Commenti di Enti nazionali
Benefici derivanti dall'uso delle norme
8
11 Le norme sono scritte da esperti della cui competenza si può beneficiare direttamente facendovi riferimento, senza bisogno di avvalersi della loro collaborazione diretta
22 Le norme, soprattutto se internazionali, sono adottate da diversi enti e mercati, formando una base comune per l'interscambio di beni e servizi con caratteristiche omogenee
33 Un incremento dell'uso delle norme permette una maturazione ed un aumento dell'efficacia produttiva di un mercato
Norme e Leggi
9
è volontaria è frutto di un processo basato sul concetto di consenso è uno strumento di trasferimento tecnologico è pubblicata da un Ente di normazione
è volontaria è frutto di un processo basato sul concetto di consenso è uno strumento di trasferimento tecnologico è pubblicata da un Ente di normazione
è obbligatoria è frutto di un processo basato sul concetto di rappresentanza è uno strumento di regolamentazione del mercato è pubblicata da un organismo governativo in Gazzetta Ufficiale o in un atto legislativo
è obbligatoria è frutto di un processo basato sul concetto di rappresentanza è uno strumento di regolamentazione del mercato è pubblicata da un organismo governativo in Gazzetta Ufficiale o in un atto legislativo
Regola TecnicaNorma Tecnica
Riferimento alle norme nella legislazione
10
IL LEGISLATORE:1 dichiara le norme necessarie
2 il requisito della norma diventa il requisito legale obbligatorio
DIRETTO: definisce che una determinata norma soddisfa il requisito applicabile diventando così parte integrante della legislazione.DIRETTO: definisce che una determinata norma soddisfa il requisito applicabile diventando così parte integrante della legislazione.
INDIRETTO: richiede che un prodotto soddisfi condizioni quali “lo stato dell’arte” o “requisiti essenziali” citando la norma quale possibile mezzo per soddisfare questi requisiti generali.
INDIRETTO: richiede che un prodotto soddisfi condizioni quali “lo stato dell’arte” o “requisiti essenziali” citando la norma quale possibile mezzo per soddisfare questi requisiti generali.
IL LEGISLATORE:1 dichiara le norme sufficienti
2 Il requisito della norma non è l’unico mezzo per soddisfare il requisito legale obbligatorio
Chi sviluppa le norme?
11
A questi si aggiungono tutti i "fora" e i consorzi, tra cui:W3C, IEEE, IETF, OASIS, UN/CEFACT …
Chi sviluppa le norme in Italia?
12
UNI
13
UNI è l'Ente Nazionale Italiano di Unificazione, più colloquialmente detto anche "Ente Italiano di Normazione"
Associazione privata senza scopo di lucro, fondata nel 1921.Elabora norme tecniche in tutti i settori dell’economia, per l’industria, il commercio, i servizi e la società in generale, ad esclusione delle materie elettriche ed elettrotecniche.
Enti federati dell'UNI
14
CIG (Gas)CIG (Gas)
CTI (Termotecnico)
CTI (Termotecnico)
CUNA(Automobilistico)
CUNA(Automobilistico)
UNISIDER (Metallurgico)
UNISIDER (Metallurgico)
UNIPLAST
(Materie plastiche)
UNIPLAST
(Materie plastiche)
UNICHIM (Chimico)
UNICHIM (Chimico)
UNINFO (ICT)
UNINFO (ICT)
UNINFO
15
“UNINFO è una libera Associazione a carattere tecnico-scientifico e divulgativo senza fine di lucro (diretto o indiretto) che si prefigge di promuovere, realizzare e diffondere la normazione tecnica nel settore delle tecnologie dell'informazione e delle comunicazioni (in breve ICT) e delle loro applicazioni, sia a livello nazionale che europeo ed internazionale.”
Estratto dallo Statuto UNINFO
Settori di attività di UNINFO
16
Attività di UNINFO
17
Tra gli ambiti recentemente normati da UNINFO:
Telepass
MPEG
Fatturazione elettronica
Documenti in formato ODF, OOXML, ePUB
Profili per i professionisti WEB
SQUARE
Agenda e relatori
18
Introduzione alle norme tecniche, UNINFO e sue attività principali
Attività in corso CT 510/SC 27 su sicurezza delle informazioni e privacy
Attività in corso CT 510/SC 27 su sicurezza delle informazioni e privacy
Regolamento EIDAS e dintorni
Profili professionali per la sicurezza delle informazioni (UNI 11621)
Relatore
19
Cesare GALLOTTI
Dal 1999 nel campo della sicurezza delle informazioni, della qualità e della gestione
dei servizi informatici.
Consulente, formatore e auditor.
Capo delegazione ai lavori del ISO/IEC JTC1 SC27 WG1.
Consigliere dell’associazione Digital forensics alumni.
Dal 2008 cura la newsletter “IT service management news” e il blog.cesaregallotti.it.
Autore del libro “Sicurezza delle informazioni” (2014).
Web: www.cesaregallotti.it
Twitter: @cesaregallotti
Settori di attività di UNINFO
20
Sicurezza Informatica, SC27
Il sottocomitato 27 (SC27), da cui nascono tutte le norme della famiglia 27000 e anche altre degne di nota, è delegato ad occuparsi, in seno al Joint Technical Committee (JTC1) di ISO/IEC, della sicurezza delle informazioni.
I suoi 5 Working Groups (WG) hanno i seguenti mandati:
Introduzione al ISO/IEC JTC1 SC27
21
WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance
WG2: crittografia e meccanismi di sicurezza
WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza
WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni
WG5: aspetti di sicurezza di gestione delle identità, biometria e privacy
ISO/IEC JTC1 SC27: i 5 Working Group
22
WG1 Sistemi di gestione per la sicurezza delle informazioni (SGSI, ISMS), requisiti, metodi e processi
WG1 Sistemi di gestione per la sicurezza delle informazioni (SGSI, ISMS), requisiti, metodi e processi
WG
1 Re
quis
iti e
met
odi p
er l’
accr
edita
men
to,
la c
ertifi
cazi
one
e gl
i aud
it pe
r i s
istem
i di
gesti
one
WG
1 Re
quis
iti e
met
odi p
er l’
accr
edita
men
to,
la c
ertifi
cazi
one
e gl
i aud
it pe
r i s
istem
i di
gesti
one
WG2 Meccanismi e tecnologie per la crittografia e la sicurezzaWG2 Meccanismi e tecnologie per la crittografia e la sicurezza
WG
3 Va
luta
zion
e de
lla s
icur
ezza
, tes
t, pr
oces
si,
met
odi e
spe
cific
he (p
rodo
tti, a
ppar
ati e
sist
emi
di p
rodo
tti)
WG
3 Va
luta
zion
e de
lla s
icur
ezza
, tes
t, pr
oces
si,
met
odi e
spe
cific
he (p
rodo
tti, a
ppar
ati e
sist
emi
di p
rodo
tti)
WG
1- W
G4
Econ
omia
per
la s
icur
ezza
del
le in
form
azio
ni e
la p
rivac
yW
G1-
WG
4 Ec
onom
ia p
er la
sic
urez
za d
elle
info
rmaz
ioni
e la
priv
acy
WG1 – WG4 Governance della sicurezza delle informazioni e della privacyWG1 – WG4 Governance della sicurezza delle informazioni e della privacy
WG5 Controlli privacy e metodi per la gestione
dell’identità (inclusi quelli per
applicazioni specifiche, es.
cloud),tecniche,
framework, protezione dei dati
biometrici, autenticazione
biometrica
WG5 Controlli privacy e metodi per la gestione
dell’identità (inclusi quelli per
applicazioni specifiche, es.
cloud),tecniche,
framework, protezione dei dati
biometrici, autenticazione
biometrica
WG1 Controlli di sicurezza (inclusi
quelli per applicazioni e
settori specifici, es. Cloud,
Telecom, Energia, Finance), prassi,
framework
WG1 Controlli di sicurezza (inclusi
quelli per applicazioni e
settori specifici, es. Cloud,
Telecom, Energia, Finance), prassi,
framework
WG4 Servizi di sicurezza (inclusi quelli
per applicazioni e settori specifici, es.
Cloud), sicurezza delle reti IT, servizi di terze parti, IDS, gestione
degli incidenti, cybersecurity, sicurezza delle
applicazioni, disaster recovery, forensics
WG4 Servizi di sicurezza (inclusi quelli
per applicazioni e settori specifici, es.
Cloud), sicurezza delle reti IT, servizi di terze parti, IDS, gestione
degli incidenti, cybersecurity, sicurezza delle
applicazioni, disaster recovery, forensics
WG 1
WG 2
WG 3
WG 4
WG 5
Alle attività del SC27 partecipano 50 nazioni con diritto di voto e 19 nazioni come osservatori, per un totale di 69 paesi a cui si aggiungono 35 enti, soggetti e progetti internazionali attraverso liaison.
L'Italia ha diritto di voto ed è rappresentata da UNINFO, Ente federato di UNI per l'intero settore delle tecnologie informatiche. All'interno di UNINFO è strutturato un SC27 nazionale per garantire adeguata partecipazione alle attività internazionali, così strutturato:
Partecipanti al ISO/IEC JTC1 SC27
23
SC27 ItalianoSC27 Italiano
GdL "Serie ISO/IEC 27000"GdL "Serie ISO/IEC 27000"
GdL "FIS-Firme, Identità, Sigilli elettronici e relativi
Servizi"
GdL "FIS-Firme, Identità, Sigilli elettronici e relativi
Servizi"
GdL "Profili professionali relativi alla sicurezza
informatica"
GdL "Profili professionali relativi alla sicurezza
informatica"
Attività in corso CT 510/SC 27 WG1 Norme già pubblicate• ISO/IEC 27000:2016 (vocabolario): gratuito.• ISO/IEC 27001:2013 (requisiti del sistema di gestione): ripubblicata con correzioni; altre sono in corso di discussione.• ISO/IEC 27002:2013 (controlli di sicurezza): ripubblicata con correzioni; altre sono in corso di discussione.• ISO/IEC 27006:2015 (requisiti per gli OdC): purtroppo, le giornate minime di audit sono ancora molte.• ISO/IEC 27010:2015 (comunicazioni): tratta alcuni di assicurazione della riservatezza, integrità e disponibilità delle comunicazioni.• ISO/IEC 27013:2015 (relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1).• ISO/IEC 27014:2014 (governo della sicurezza delle informazioni)• ISO/IEC 27015:2012 (controlli specifici per i servizi finanziari).• ISO/IEC TR 27016:2014 (considerazioni economiche sulla sicurezza).• ISO/IEC 27017:2015 (controlli specifici per il cloud).• ISO/IEC 27018:2014 (privacy e cloud).
24
Attività in corso CT 510/SC 27 WG1Norme in discussione (1/2)• ISO/IEC 27003 (guida alla 27001): cambiata la finalità; ora è una linea guida per l’interpretazione della ISO/IEC 27001; dovrebbe uscire a metà 2017.• ISO/IEC 27004 (misurazioni e monitoraggio): aggiunti molti esempi di misurazione rispetto all’edizione del 2009; dovrebbe uscire a metà 2017.• ISO/IEC 27005 (gestione del rischio): la revisione dell’edizione del 2011 rischia la cancellazione per superamento dei tempi massimi consentiti per il progetto;
• si discute molto per rendere meno rigida l’impostazione basata su asset, minacce e vulnerabilità.
• ISO/IEC 27007 (audit del SGSI): iniziata la revisione della versione del 2011; alcuni cercano di inserire ulteriori interpretazioni, sovrapponendosi alla ISO/IEC 27003.• ISO/IEC 27008 (audit dei controlli): iniziata la revisione della versione del 2011.
25
Attività in corso CT 510/SC 27 WG1Norme in discussione (2/2)• ISO/IEC 27009: dovrebbe uscire a breve; riguarda la possibilità di aggiungere ulteriori controlli alle certificazioni ISO/IEC 27001 (per esempio relativi alle telecomunicazioni).• ISO/IEC 27011 (controlli specifici per gli operatori di TLC): la versione dovrebbe uscire a fine 2017.• ISO/IEC 27019 (controlli specifici per il settore dell’energia): iniziata la revisione della norma del 2013.• ISO/IEC 27021 (competenze relative ai sistemi di gestione per la sicurezza delle informazioni): allineata a e-CF.
26
Attività in corso CT 510/SC 27 WG1Ulteriori attività• Presentate proposte di progetto su:
– cyber insurance;– cyber resilience;– healthcare;– esempi di applicazione della 27009;– controlli specifici per il settore “Aviation”.
27
Attività CT 510/SC 27 WG5 - PrivacyNorme già pubblicate• ISO/IEC 29100:2011 (privacy framework): tradotto anche in italiano.• ISO/IEC 29190:2015 (Privacy capability assessment model), per valutazioni del «sistema privacy».
Norme in discussione• ISO/IEC 29134 per il Privacy impact assessment (PIA); dovrebbe uscire nel 2018.• ISO/IEC 29151, con i controlli di sicurezza specifici per la privacy, in modo
da estendere quelli della ISO/IEC 27002 e dell’Annex A della ISO/IEC 27001; dovrebbe uscire nel 2018.• ISO/IEC 20889, sulle tecniche di de-identificazione dei dati.
28
Attività CT 510/SC 27 WG5 - PrivacyUlteriori attività• Avvio di progetto per privacy-preserving attribute-based entity authentication;• Avvio di progetto di linee guida per informativa e consenso online;• Proposta di progetto per uno schema di assicurazione dell’autenticazione di un interessato;• Proposta di progetto per i fornitori di app per cellulari (e tablet);• Proposta di progetto per le smart city;• Proposta di progetto su "Privacy engineering framework" per chiarire i rapporti con altri standard e iniziative;• Proposta per applicare la ISO/IEC 27009 con ISO/IEC 27001 e ISO/IEC 29151 (in sostanza, per poter avere dei “sistemi di gestione per la privacy” certificati ISO/IEC 27001 “estesi” ai controlli privacy della ISO/IEC 29151).
29
Attività CT 510/SC 27 WG5 - Privacy
30
Agenda e relatori
31
Introduzione alle norme tecniche, UNINFO e sue attività principali
Attività in corso CT 510/SC 27 su sicurezza delle informazioni e privacy
Regolamento EIDAS e dintorniRegolamento EIDAS e dintorni
Profili professionali per la sicurezza delle informazioni (UNI 11621)
Relatore
32
Daniele TUMIETTO
Commercialista partner di Menocarta.net
Componente Forum Italiano della Fattura Elettronica - Agenzia delle Entrate
Commissioni UNINFO :
NI/CT 510/GL 02 "Firme, identità, sigilli elettronici e relativi servizi”
UNI/CT 522 "UNINFO eBusiness e servizi finanziari”
UNI/CT 526 "UNINFO Attività professionali non regolamentate”
UNI/CT 526/GL 01 "Profili professionali relativi alla sicurezza informatica”
Advisory Group MMWS - Commissione Europea – CEF
M età delle im prese U E
fornisce dispositivi m obili per uso professionale276.5 m ilioni EU R
fatturato del com m ercio elettronico B2C (2012)
14% PM I U Evendono online
29% im prese U E U tilizzano fatture elettroniche
28% im prese U Efanno uso di social m edia
38% venture capital U Eè in ICT
38% venture capital U Eè in ICT
BUSINESSDIGITALE
ECO N O M IA D IG ITALE
75% cittadini europeiusa internet regolarm ente
900 000 stim ati divario tra
dom anda e of ferta per il 2020
150 M ilioni sottoscrizionialla banda larga fissa
130 sottoscrizioni m obiliper 100 persone
ICT responsabile di 1/3 della crescita PIL U E1995-2007
2.4% forza lavoro
+ 4.1% crescita annuale occupazione
Professionisti ICT
55% settore lavoro non ICT
7% del PIL dim ensione econom ia
digitale
6% R& D gov è ICT
6% R& D gov è ICT
17% R&D busines
sDal
settore ICT
17% R&D busines
sDal
settore ICT
settoriICT
4.4%
settoriICT
4.4%
ICT in altri settori
17% brevetti UEsono in ICT
17% brevetti UEsono in ICT
34
UE Roadmap
35
Come si applica il Regolamento eIDAS
eIDAS
FIDUCIA & SICUREZZA
CONVENIENZA & TRASPARENZA
SERVIZI E TRANSAZIONITRANSFRONTALIERI
ESPERIENZA D'USOSENZA SOLUZIONE DI
CONTINUITÀ / SEAMESS
eIDAS – Cosa è?
eIDAS – Principi chiavePrincipi chiave - eID
- Sovranità degli SM riguardo all'introduzione e all'uso di mezzi di identificazione elettronica
- Obbligo di mutuo riconoscimento transfrontaliero solo in caso di accesso a servizi pubblici online
- Autonomia riguardo all'impatto nel settore privato - Principio di reciprocità sulla base di livelli di garanzia- Quadro di interoperabilità- Cooperazione tra SM
Principi chiave - servizi fiduciari- Non discriminazione riguardo agli effetti giuridici e ammissibilità come prova
in giudizio- Effetti giuridici definiti per i servizi qualificati- Standard tecnici volontari che garantiscono la presunzione di conformità con i
requisiti tecnici del Regolamento
Come si applica il Regolamento eIDAS
38
I servizi fiduciari di:Emissione certificati per firme e sigilli elettroniciVerifica e convalida di
firme elettroniche, sigilli elettronici,validazioni temporali elettroniche,
Recapito elettronico certificato,Emissione di certificati di autenticazione di siti webconservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
Possono chiedere al proprio ente di vigilanza (AgID per l'Italia) di ottenere la qualificazione
I servizi fiduciari (Trusted Services)
Con il termine servizio fiduciario si indica un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:
creazione, verifica e convalida difirme elettroniche, sigilli elettronici,validazioni temporali elettroniche,
servizi di recapito elettronico certificato,certificati relativi a tali servizi; oppure
creazione, verifica e convalida di certificati di autenticazione di siti web; oppureconservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
39
Sigilli elettronici e certificati web
40
«sigillo elettronico», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi
«sigillo elettronico qualificato», un sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici
«certificato di autenticazione di sito web», un attestato che consente di autenticare un sito web e collega il sito alla persona fisica o giuridica a cui il certificato è rilasciato
«certificato qualificato di autenticazione di sito web», un certificato di autenticazione di sito web che è rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato IV
Nel caso di servizi fiduciari qualificati: presunzione legale (inversione dell'onere della prova)
41
Riconoscimento legale eID
Riconoscimento obbligatorio di credenziali elettroniche di identificazione Riconoscimento obbligatorio di credenziali elettroniche di identificazione
Notifica volontaria di schemi eID
Notifica volontaria di schemi eID
Cooperazione e interoperabilità
Cooperazione e interoperabilità
Norme in materia di responsabilità
Norme in materia di responsabilità
Livelli di assurance:
"elevato""significativo"
(e "basso")
Livelli di assurance:
"elevato""significativo"
(e "basso")
Quadro di interoperabilità
Quadro di interoperabilità
Norme in materia di accesso ai servizi di autenticazione per pubblico e privato
Norme in materia di accesso ai servizi di autenticazione per pubblico e privato
42
eIDAS –Servizi fiduciariPRINCIPI ORIZZONTALI: responsabilità; supervisione; aspetti
internazionali; sicurezza; protezione dei dati; servizi qualificati; autorizzazione preventiva; elenchi di fiducia; marchio di fiducia UE
Firme elettroniche
inclusi servizi di validazione e preservazione
Sigilli elettronici
inclusi servizi di validazione e preservazione
Validaz. temporale
Servizio elettronico di
recapito certificato
Autenticaz.dei siti web
• Commission Implementing Decision (EU) 2015/296 of 24.02.2015 - Procedural arrangements for MS cooperation on eID (art. 12.7)
• Commission Implementing Regulation (EU) 2015/1501 of 8.9.2015 - On the interoperability framework (art. 12.8)
• Commission Implementing Regulation (EU) 2015/1502 of 8.9.2015 - Setting out minimum technical specifications and procedures for assurance levels for electronic identification means (art. 8.3)
• Commission Implementing Decision (EU) 2015/1984 of 3.11.2015 - Defining the circumstances, formats and procedures of notification
• Commission Implementing Regulation (EU) 2015/806 of 22.05.2015 - Form of the EU Trust Mark for Qualified Trust Services (art. 23.3)
• Commission Implementing Decision (EU) 2015/1505 of 8.9.2015 - Technical specifications and formats relating to trusted lists (art. 22.5)
• Commission Implementing Decision (EU) 2015/1506 of 8.9.2015 - Specifications relating to formats of advanced electronic signatures and seals to be recognised by public sector bodies (art. 27.5 & 37.5)
43
eID – Atti d’implementazione
Agenda e relatori
44
Introduzione alle norme tecniche, UNINFO e sue attività principali
Attività in corso CT 510/SC 27 su sicurezza delle informazioni e privacy
Regolamento EIDAS e dintorni
Profili professionali per la sicurezza delle informazioni (UNI 11621)
Profili professionali per la sicurezza delle informazioni (UNI 11621)
Relatore
45
Fabio GUASCONI
Direttivo di UNINFO
Presidente del CT 510 di UNINFO "Sicurezza"
Membro del CT 526 di UNINFO "APNR"
Direttivo CLUSIT
CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
Partner e co-founder BL4CKSWAN S.r.l.
Framework e-CF
46
COMPETENCE is “demonstrated ability to apply knowledge, skills and
attitudes for achieving observable results”
SKILL is the “ability to carry out managerial or technical tasks”
KNOWLEDGE represents the “set of know-what” and can be described by
operational descriptions (e.g. programming languages, design tools...)
ATTITUDE means in this context the “cognitive and relational capacity”
(e.g. analysis capacity, synthesis capacity, flexibility, pragmatism...)
[incorporato nelle Competenze in e-CF]
Framework e-CF
47
• 5 aree di competenza collegate ai processi di business ICT(PLAN, BUILD, RUN, ENABLE, MANAGE)
Dimensione 1
Dimensione 1
• 36 e-Competences (salgono a 40 nella v3)Dimensione 2Dimensione 2
• 5 livelli di abilità (allineati a EQF) per ogni e-CompetenceDimensione 3Dimensione 3
• esempi di abilità e conoscenze per ogni e-CompetenceDimensione 4Dimensione 4
Framework e-CF - esempio
48
Font
e: C
WA
1623
4-1
Framework e-CF - impiego
49
Font
e: C
WA
1623
4-1
Quadro normativo italiano
50
Disposizioni in materia di professioni non organizzate, Legge n°4, 14/1/20136.2 La qualificazione della prestazione professionale si basa sulla conformità della medesima a norme tecniche UNI ISO, UNI EN ISO, UNI EN e UNI, di seguito denominate «normativa tecnica UNI», di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, e sulla base delle linee guida CEN 14 del 20106.3 I requisiti, le competenze, le modalità di esercizio dell'attività' e le modalità di comunicazione verso l'utente individuate dalla normativa tecnica UNI costituiscono principi e criteri generali che disciplinano l'esercizio autoregolamentato della singola attività professionale e ne assicurano la qualificazione.9.1. Le associazioni professionali di cui all'art. 2 e le forme aggregative di cui all'art. 3 collaborano all'elaborazione della normativa tecnica UNI relativa alle singole attività professionali, attraverso la partecipazione ai lavori degli specifici organi tecnici o inviando all'ente di normazione i propri contributi nella fase dell'inchiesta pubblica, al fine di garantire la massima consensualità, democraticità e trasparenza. Le medesime associazioni possono promuovere la costituzione di organismi di certificazione della conformità per i settori di competenza, nel rispetto dei requisiti di indipendenza, imparzialità e professionalità previsti per tali organismi dalla normativa vigente e garantiti dall'accreditamento di cui al comma 2.
La normativa tecnica UNI – UNI 11506
51
"Attività professionali non regolamentate – Figure professionali operanti nel settore ICT – Definizione dei requisiti di conoscenza, abilità e competenze"
Recepisce in toto e-CF 2.0 Ufficializza la traduzione di e-CF 2.0 in italiano Aggiunge gli elementi necessari per una qualificazione delle competenze:
– §6 Elementi per la valutazione e convalida dei risultati dell'apprendimento (metodi di valutazione e organizzazione che effettua la convalida)
– §7 Aspetti etici e deontologici applicabili
La normativa tecnica UNI – UNI 11621
52
Parte 1- Metodologia per la costruzione di profili professionali
basati sul sistema e-CF
Parte 1- Metodologia per la costruzione di profili professionali
basati sul sistema e-CF
Parte 2- Profili professionali di "seconda generazione"
Parte 2- Profili professionali di "seconda generazione"
CWA 16458
Parte 3 - Profili professionali relativi alle professionalità operanti nel Web
Parte 4 - Profili professionali relativi alla sicurezza delle informazioni
Parte X - Profili professionali relativi a …
Profili professionali di "terza generazione"
UNI 11621-1 Costruire i profili professionali
53
Font
e: U
NI 1
1621
-2 ©
UN
I
Definizione sintetica
Missione
Deliverable• (RACI)
Compiti principali
Competenze• Livello
Abilità
Conoscenze
KPI
UNI 11621-2 Profili di 1° e 2° generazione
54
Font
e: U
NI 1
1621
-2 ©
UN
I
UNI 11621-4 Profili x la sicurezza delle informazioni
55
Profilo di 3° generazione Profilo di 2° generazioneResponsabile di sistemi per la gestione della sicurezza delle informazioni
ICT Security Manager
Responsabile della sicurezza dei sistemi per la conservazione digitale
ICT Security Manager
Responsabile della continuità operativa (ICT) ICT Security Manager§7: Altri profili professionali
Profilo di 3° generazione Profilo di 2° generazioneResponsabile della sicurezza delle informazioni (CISO) ICT Security ManagerManager della sicurezza delle informazioni ICT Security ManagerAnalista di processo per la sicurezza delle informazioni ICT Security SpecialistAnalista tecnico per la sicurezza delle informazioni ICT Security SpecialistAnalista forense ICT Security SpecialistSpecialista di processo della sicurezza delle informazioni ICT Security SpecialistSpecialista infrastrutturale della sicurezza delle informazioni ICT Security SpecialistSpecialista applicativo della sicurezza delle informazioni ICT Security SpecialistSpecialista nella risposta agli incidenti ICT Security Specialist
§6: Profili professionali definiti da norme nazionali e internazionali
UNI 11621-4 Profili x la sicurezza delle informazioni
56
Responsabile della sicurezza delle informazioni
Manager della sicurezza delle informazioni
Specialista nella risposta agli incidenti
Analista forense per gli incidenti ICT
Manager della sicurezza delle informazioni
Analista di processo per la sicurezza delle
informazioni
Specialista di processo della sicurezza delle
informazioni
Manager della sicurezza delle informazioni
Analista tecnico per la sicurezza delle informazioni
Specialista applicativo della sicurezza delle
informazioni
Specialista infrastrutturale della
sicurezza delle informazioni
Progetto PPP
57
Alias "Profili Professionali relativi alla Privacy"
ObiettivoDefinizione di profili professionali ed elementi collegati in materia, coerentemente con la legge 4/2013, unificati in un unico schema che rispecchi le esigenze di mercato.
StrutturaImpiega gli strumenti messi a disposizione dalla collegata “Metodologia per la costruzione di profili professionali basati sul sistema e-CF”
Partecipanti Commissione UNINFO APNR Commissione UNINFO 510 per la sicurezza delle informazioni Commissione UNI Sicurezza della società e del cittadino Commissione UNI Servizi
Progetto PPP
58
Competenze informatiche / non informatiche
e-CF Framework v. 3.0 Elementi di creazione
del GdL
e-Competence (40)
Conoscenze (m)
Aree e-Competence (5)
Competenze
Livelli (5)
Dimensione 1
Dimensione 2
Dimensione 3
Dimensione 4 Abilità (n) ConoscenzeAbilità
Nuove abilità e conoscenze
Collegamento cone-Competences
Deliverable e task
Organizzazione nei profili
Metodologia "bottom-up"
59
Pubblicazione attesa: fine 2016
Sneak peaks
60
AbilitàApplicare i principi di PbD ai sistemi informativiGestire reclami e richieste da parte dei ClientiGestire le richieste provenienti dalle autoritàEffettuare le notifiche e le consultazioni preventive richieste in materia di privacyElaborare e comunicare la strategia per il trattamento e la protezione dei dati personali
ConoscenzeLe firme elettronicheI principi di PbDI diritti degli interessati ed il diritto all'oblioLe reti informaticheLe reti di telecomunicazioneLe responsabilità connesse al trattamento dei dati personaliI requisiti legali in materia di protezione dei dati personali in Italia ed EuropaI requisiti legali in materia di trattamento e protezione dei dati personali in ambito pubblico, giudiziario, sanitario, per scopi storici, statistici o scientificiI requisiti legali in materia di trattamento e protezione dei dati personali in ambito pubblico, giudiziario, sanitario, per scopi storici, statistici o scientifici in ambito bancario, finanziario e assicurativo in ambito giornalistico nell’ambito delle comunicazioni elettroniche per finalità di videosorveglianza per finalità di marketing e profilazione per finalità di commercio elettronico per finalità di controllo dei lavoratori per la gestione di dati biometrici
I sistemi di videosorveglianzaLe metodologie di DPIA e PIALe tecniche crittograficheLe tecniche di anonimizzazione e de-anonimizzazioneLe tecniche di pseudonimizzazioneLe tecnologie IOTLe tecnologie RFIDLe tecnologie di geolocalizzazioneLe tecnologie di identificazioneLe tecnologie di identificazione biometricheLe tecnologie di tracciamento delle operazioniLe possibili minacce alla protezione dei dati personaliGli standard per la gestione dei dati personali
Sneak peaks
61
Articolo 37: Compiti del DPO
Informare e consigliare tutte le figure coinvolte nel trattamento in merito agli obblighi derivanti dal Regolamento.
Vigilare sull'osservanza del Regolamento, l'attribuzione delle responsabilità, la formazione del personale e gli audit connessi.
Contribuire alla Data Protection Impact Assessment e tenere nella debita considerazione i rischi associati alle operazioni di trattamento.
Cooperare con l‘Autorità di Controllo e fungere per quest’ultima da punto di contatto.
Definizione sinteticaDefinizione sintetica
MissioneMissione
DeliverableDeliverable• (RACI)
Compiti principaliCompiti principali
CompetenzeCompetenze• Livello
AbilitàAbilità
ConoscenzeConoscenze
KPIKPI
Sneak peaks
62
Auditor PrivacyAuditor PrivacySpecialista Privacy ITSpecialista Privacy IT
CIOLegale o
Compliance
Specialista Privacy Legale
Specialista Privacy Legale
Manager Privacy ITManager Privacy IT
Manager Privacy Legale
Manager Privacy Legale
Linee di Business
Specialista Privacy
Manager Privacy
DPO DPO
Top Management
Audit
63
Contatti e ringraziamentiUNINFO
http://www.uninfo.it/[email protected]
Corso Trento 13 - 10129 Torino Tel. +39 011501027 - Fax +39 011501837
Relatori:
Domenico SQUILLACE [email protected]
Cesare [email protected]
Daniele [email protected]
Fabio [email protected]
https://www.facebook.com/UNINFO.it
https://twitter.com/uninfo_it
http://www.slideshare.net/uninfoit