L`efficacia dei sistemi informatici e la sicurezza
annuncio pubblicitario
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone Agenda • L’efficacia dei sistemi informatici e la sicurezza • Cos’è la sicurezza informatica? • Lo standard BS 7799 – Part I – Part II • Altri standard • Le norme che richiamano l’adozione dello standard BS 7799 • BS 7799: dove è consigliato • Note conclusive L’efficacia dei sistemi informatici e la sicurezza informatica • Cosa può succedere ad un sistema informatico efficace e ben collaudato: – Manomesso o alterato (colpa o dolo) – Bloccato (incidente o atto volontario) – Violato – Etc. INPUT Utente OUTPUT L’efficacia dei sistemi informatici e la sicurezza informatica • Cosa può succedere ad un sistema informatico efficace e ben collaudato: – Manomesso o alterato (colpa o dolo) – Bloccato (incidente o atto volontario) – Violato – Etc. ALTERAZIONE INPUT OUTPUT ALTERATO Hacker Utente L’efficacia dei sistemi informatici e la sicurezza informatica • Cosa può succedere ad un sistema informatico efficace e ben collaudato: – Manomesso o alterato (colpa o dolo) – Bloccato (incidente o atto volontario) – Violato – Etc. OUTPUT INPUT OUTPUT Hacker OUTPUT ALTERATO Utente …evidenza La sicurezza è quindi uno degli elementi di garanzia dell’efficacia e dell’efficienza dei sistemi informativi! Cos’è quindi la sicurezza informatica? • La sicurezza è un sistema complesso che coinvolge l’intera organizzazione e che è basato su un processo continuo di analisi dei rischi e di organizzazione delle risorse attraverso la definizione di responsabilità, di procedure e con l’uso di strumenti specifici Problemi • Dove investire in sicurezza? • Quanto investire in sicurezza? Dove investire in sicurezza? • Indagini di mercato dimostrano che le maggiori spese in tema di sicurezza informatica riguardano tecnologie di supporto… • … ma gli esperti avvisano che senza gli aspetti organizzativi e di formazione le spese in tecnologia rischiano di essere inutili Quanto investire in sicurezza? Sicurezza 100% C B A Costo in € Un metodo: BS 7799 • Un possibile metodo, per poter identificare e dimensionare correttamente le attività e le soluzioni in termini di sicurezza, viene fornito dallo standard britannico BS 7799 BS 7799: un po’ di storia • Creato nel 1995 dal British Standards Institution per definire gli elementi chiave di controllo ed il processo di gestione della sicurezza delle informazioni • È stato successivamente integrato nel 1998 ed è stato aggiornato sia nel 1999 sia nel 2002 BS 7799: in cosa consiste • Il BS 7799 è uno standard orientato al processo piuttosto che al prodotto, ovvero non fornisce indicazioni specifiche sulle misure da intraprendere, ma indica le attività da organizzare in tema di sicurezza • Lo standard si compone di due parti – “Part I” – “Part II” BS 7799: Part I Denominata “Code of practice for Information Security” ha lo scopo di: • fornire raccomandazioni nell’ambito della sicurezza informatica ad uso di coloro che all’interno di un’organizzazione sono responsabili della progettazione, dello sviluppo e del mantenimento dei livelli di sicurezza La parte è suddivisa in 10 sezioni ed identifica per ciascuna di esse gli obiettivi dei controlli e i controlli stessi da implementare (per un totale di 127 controlli) BS 7799: Part II Denominata “Specification for Information Security Management System (ISMS)” ha lo scopo di: • fornire un metodo per l’applicazione dei controlli indicati nella Part I • dare indicazioni su come implementare, gestire, aggiornare e migliorare il sistema di gestione della sicurezza delle informazioni (ISMS) BS 7799 Part II: il processo 2. Do Implementare e gestire l’ISMS 3. Check Verificare l’efficacia e l’efficienza dell’ISMS per mezzo di attività di monitoring e di audit 1. Plan Progettare il sistema di gestione della sicurezza delle informazioni (ISMS) 4. Act Porre in essere i correttivi per le aree di miglioramento e per i problemi riscontrati BS 7799 Part II: focus su “Plan” • Definire l’ambito di applicazione del sistema di gestione della sicurezza delle informazioni (ISMS) • Definire le politiche di sicurezza • Eseguire un risk assessment con i responsabili operativi • Identificare soluzioni per la gestione dei rischi • Selezionare gli obiettivi di controllo ed i controlli della Part I • Redigere la dichiarazione di applicabilità Altri standard esistenti • Al momento l’International Organization for Standardization (ISO) e l’International Electrotechnical Commission (IEC) hanno recepito la Part I del BS 7799 e hanno definito lo standard ISO/ IEC 17799 Le norme che richiamano l’adozione dello standard BS 7799 • Consiglio dell’Unione Europea – Risoluzione del 28 gennaio 2002 – Invita i Paesi Membri ad adottare come best practice lo standard ISO/IEC 17799 • Direttiva “Stanca” 16 gennaio 2002 – Suggerisce alle Pubbliche Amministrazioni di adottare un processo di analisi e gestione dei rischi conforme a BS 7799 • Banca d’Italia – Regolamento 29 gennaio 2002 – Impone l’adozione di ISO/IEC 17799 nell’ambito dei S.I. operanti con la Centrale di Allarme Interbancaria BS 7799: dove è consigliato • Nei Sistemi Informativi della Pubblica Amministrazione (Conformità Direttiva Stanca) • Nei Sistemi Informativi che devono fornire ampie garanzie di tutela della gestione della Sicurezza delle Informazioni (es. ambito finanziario; ai sensi della conformità per la tutela della Privacy; etc.) • Presso i fornitori di servizi di elaborazione dati (outsourcer) al fine di conferire fiducia e verificabilità ai clienti Note conclusive • La sicurezza come elemento integrante per la garanzia dell’efficienza e l’efficacia dei sistemi informativi • Il problema dell’orientamento e del dimensionamento della spesa in tema di sicurezza informatica • BS 7799 come strumento che indica un metodo per ottenere una gestione efficace della sicurezza informatica in linea con le reali esigenze operative Alessandro Leone email: [email protected] Tel.: 02 806691
