Gruppo di Studio AIEA Auditing con i BS7799

Transcript

1 Gruppo di Studio AIEA Auditing con i BS7799 Claudio Bacchieri AEM Emanuele Boati Consigliere AIEA Massimiliano Rinalducci Unicredito

2 Cosa sono i BS7799 Un insieme di controlli derivanti da pratiche consolidate in ambito industriale che costituiscono regole di buona condotta e di applicabilità generale L insieme dei controlli selezionati da ciascuna azienda va a costituire una sorta di regolamento tecnico di sicurezza che l azienda si propone di rispettare attraverso: misure di sicurezza IT, fisica, procedurale, relativa al personale, ecc.

3 La struttura dei controlli Security policy Security organization Asset classification and control Personnel security Physical and environmental security Communications and operation management Access control System development and maintenance Business continuity management Compliance

4 Destinatari & Certificati LINK Interchange Network Limited Gestisce la più importante rete di sportelli Bancomat in UK MIS - Corporate Defence Solutions Consulenza nel settore sicurezza Smile - The Internet Bank from the Co-operative Bank Istituto bancario The Volex Group Ltd Apparati elettrici ed elettronici per applicazioni mediche ed industriali Midas-Kapiti International Ltd Applicazioni e servizi per il settore finanziario Lifecare NHS Trust Ospedale Camelot Group PLC Gestore della lotteria nazionale inglese Cadweb Ltd Service provider (project manager)

5 e in Italia? SIA Società Interbancaria per l Automazione Sistema di gestione conforme alla norma SS627799:2:1999/BS7799: parte 2:1999, relativamente a : Ideazione, disegno, sviluppo e operatività di un infrastruttura di rete e IT, data base, sistemi di trading e informativi, e-procurement procurement,, finalizzati a supportare banche e aziende finanziarie, sistemi di pagamento anche per conto di aziende di natura istituzionale nonché altri clienti nazionali e stranieri. BNL Multiservizi Società di servizi del gruppo BNL Sistema di gestione conforme alla norma SS627799:2:1999/BS 7799: parte 2:1999, relativamente a: Analisi, disegno, sviluppo, manutenzione ed erogazione servizi di certification authority

6 e in Italia? Telecom Italia Società di telefonia nazionale Sistema di gestione conforme alla norma SS627799:2:1999/BS7799: parte 2:1999, relativamente a: Erogazione, assurance e rendicontazione di servizi standard di housing e hosting delle informazioni e Voi?.

7 Obiettivi e Metodologia OBIETTIVI Guida Pratica (traduzione e semplificazione) Ausilio all attività di I.S. Auditing Supporto all introduzione in azienda dello standard di sicurezza (dati su società certificate, valore aggiunto della certificazione, ) METODO Raccolta e studio del materiale inerente lo standard Suddivisione delle attività ed incontri periodici per controllo lavoro svolto Verifiche incrociate del materiale prodotto

8 Fonti DISC PD - BSI Are you ready for a BS7799 Audit? (PD3003) The guide to BS7799 Auditing (PD3004) WEB British Standard Institute Società di certificazione Registro internazionale società certificate Altri vari Mailing List CobiT ISACA cobit-l@share.isaca.org

9 Principali Risultati Elenco di controlli (150 circa) in formato checklist Matrice di correlazione dei controlli BS7799/CobiT e viceversa Riferimenti di mercato Introduzione Auditor s view" " ai 10 domini dello standard

10 Il raffronto CobiT-BS7799 COBIT STRUCTURAL FRAMEWORK BS7799 Framework COBIT STRUCTURAL FRAMEWORK BS7799 Framework PLANNING & ORGANISATION Ref: BS7799 Framework PLANNING & ORGANISATION Ref: BS7799 Framework 1,0 Define a Strategic Information Technology Plan 1,0 Define a Strategic Information Technology Plan 1,1 Information Technology as Part of the Long- and Short-Range Plan 1,1 Information Technology as Part of the Long- and Short-Range Plan 1,2 Information Technology Long-Range Plan 1,2 Information Technology Long-Range Plan 1,3 Information Technology Long-Range Plan -- Approach and Structure 1,3 Information Technology Long-Range Plan -- Approach and Structure 1,4 Information Technology Long-Range Plan Changes 1,4 Information Technology Long-Range Plan Changes 1,5 Short-Range Planning for the Information Services Function 1,5 Short-Range Planning for the Information Services Function 1,6 Assessment of Existing Systems 1,6 Assessment of Existing Systems 2,0 Define the Information Architecture 2,0 Define the Information Architecture 2,1 Information Architecture Model 2,1 Information Architecture Model 2,2 Corporate Data Dictionary and Data Syntax Rules 2,2 Corporate Data Dictionary and Data Syntax Rules 2,3 Data Classification Scheme 2,3 Data Classification Scheme 2,4 Security Levels Classification guidelines (accountability of assets) 2,4 Security Levels Classification guidelines (accountability of assets) 3,0 Determine the Technology Direction 3,0 Determine the Technology Direction 3,1 Technological Infrastructure Planning 3,1 Technological Infrastructure Planning 3,2 Monitor Future Trends and Regulations 3,2 Monitor Future Trends and Regulations 3,3 Technological Infrastructure Contingency 3,3 Technological Infrastructure Contingency 3,4 Hardw are and Softw are Acquisition Plans 3,4 Hardw are and Softw are Acquisition Plans 3,5 Technology Standards 3,5 Technology Standards 4,0 Define the IT Organisation and Relationships 4,0 Define the IT Organisation and Relationships 4,1 The Information Services Function Planning or Steering Committee Management information security forum 4,1 The Information Services Function Planning or Steering Committee Management information security forum 4,2 Organisational Placement of Information Services Function 4,2 Organisational Placement of Information Services Function 4,3 Review of Organisational Achievements 4,3 Review of Organisational Achievements 4,4 Roles and Responsibilities Allocation of information security responsibilities 4,4 Roles and Responsibilities Allocation of information security responsibilities Inventory of assets Inventory of assets Personnel security including security in job titles Personnel security including security in job titles

11 Il raffronto BS7799-CobiT Dominio PUNTI ISO DA VERIFICARE RIFERIMENTI COBIT Security policy Security Organization Asset Classification and Control Personnel Security Physical and Environmental Security Supporto di gestione per le policy Dichiarazione di Agenzia sulla Privacy Compensi e Penali Ruolo del Security Manager Ruoli e responsabilità dei proprietari dei dati, degli utenti, del personale sistemistico Gestione dell'outsourcing Procedura per rispondere a richieste di informazioni esterne Gestione delle risposte ad incidenti Aggiornamento delle policy Livelli di classificazione di sistemi e dati Metodi per classificare e qualificare documenti, media, files, ecc. Programmi di formazione e di crescita di consapevolezza Applicazione della normativa e monitoraggio Errori e controlli sull'aggiornamento Protezione delle apparecchiature - edifici, locali di telecomunicazione, attrezzature e personale da incendi, furti, vandalismi, interruzione di servizi, disastri naturali PO6 Communicate Management Aims and Direction PO4 Define the IT organization and relationships PO9 Assess Risks AI1 Identify Automated Solutions AI4 Develop and Maintain Procedures DS6 Identify and Allocate Costs DS10 Manage Problems and Incidents PO2.3 Data Classification Scheme DS 11 Manage Data PO7 Manage Human Resources DS7 Educate and Train users DS12 Manage Facilities

12 Le Check List Categoria: 4.2 ORGANIZZAZIONE DELLA SICUREZZA OUTSOURCING Obiettivo: Verifica del presidio sulla sicurezza delle informazioni dell informazione quando la responsabilità per il trattamento delle informazioni è affidata ad un altra organizzazione. Rif. BS a b c d e FUNZIONE Requisiti di sicurezza nei contratti di outsourcing come soddisfare gli adempimenti di legge, relativi alla normativa sulla protezione dei dati? come mantenere e controllare l integrità e la riservatezza dei beni aziendali? I contratti prevedono specifiche clausole di sicurezza su quali controlli fisici e logici usare per limitare l accesso alle informazioni sensibili dell azienda ai soli utenti autorizzati? I contratti prevedono specifiche clausole relative al diritto di Audit da parte dell outsourcer? I contratti prevedono specifiche clausole che indicano come mantenere l accessibilità dei servizi in caso di disastro? Q1 SI PARZ. NO RISCHIO BUDGET AMBIENTE TECNOLOGIA CULTURA TEMPO N/A ALTRO Q2

13 Le Check List: un esempio

14 RISCHIO non giustificato dall esposizione al rischio ottenuta a seguito di una Risk Analisys Categoria: 4.2 ORGANIZZAZIONE DELLA SICUREZZA OUTSOURCING Obiettivo: Verifica del presidio sulla sicurezza delle informazioni dell informazione quando la responsabilità per il trattamento delle informazioni è affidata ad un altra organizzazione. Rif. BS a b c d e FUNZIONE Requisiti di sicurezza nei contratti di outsourcing come soddisfare gli adempimenti di legge, relativi alla normativa sulla protezione dei dati? come mantenere e controllare l integrità e la riservatezza dei beni aziendali? I contratti prevedono specifiche clausole di sicurezza su quali controlli fisici e logici usare per limitare l accesso alle informazioni sensibili dell azienda ai soli utenti autorizzati? I contratti prevedono specifiche clausole relative al diritto di Audit da parte dell outsourcer? I contratti prevedono specifiche clausole che indicano come mantenere l accessibilità dei servizi in caso di disastro? Q1 SI PARZ. NO RISCHIO BUDGET AMBIENTE TECNOLOGIA CULTURA TEMPO N/A ALTRO Q2

15 BUDGET ci sono spesso limitazioni finanziarie sulle misure di sicurezza che devono essere implementate Categoria: 4.2 ORGANIZZAZIONE DELLA SICUREZZA OUTSOURCING Obiettivo: Verifica del presidio sulla sicurezza delle informazioni dell informazione quando la responsabilità per il trattamento delle informazioni è affidata ad un altra organizzazione. Rif. BS a b c d e FUNZIONE Requisiti di sicurezza nei contratti di outsourcing come soddisfare gli adempimenti di legge, relativi alla normativa sulla protezione dei dati? come mantenere e controllare l integrità e la riservatezza dei beni aziendali? I contratti prevedono specifiche clausole di sicurezza su quali controlli fisici e logici usare per limitare l accesso alle informazioni sensibili dell azienda ai soli utenti autorizzati? I contratti prevedono specifiche clausole relative al diritto di Audit da parte dell outsourcer? I contratti prevedono specifiche clausole che indicano come mantenere l accessibilità dei servizi in caso di disastro? Q1 SI PARZ. NO RISCHIO BUDGET AMBIENTE TECNOLOGIA CULTURA TEMPO N/A ALTRO Q2

16 AMBIENTE fattori ambientali, come la disponibilità di spazio, le condizioni climatiche, la geografia naturale ed urbana circostante, potrebbero influenzare la scelta delle misure di protezione Categoria: 4.2 ORGANIZZAZIONE DELLA SICUREZZA OUTSOURCING Obiettivo: Verifica del presidio sulla sicurezza delle informazioni dell informazione quando la responsabilità per il trattamento delle informazioni è affidata ad un altra organizzazione. Rif. BS a b c d e FUNZIONE Requisiti di sicurezza nei contratti di outsourcing come soddisfare gli adempimenti di legge, relativi alla normativa sulla protezione dei dati? come mantenere e controllare l integrità e la riservatezza dei beni aziendali? I contratti prevedono specifiche clausole di sicurezza su quali controlli fisici e logici usare per limitare l accesso alle informazioni sensibili dell azienda ai soli utenti autorizzati? I contratti prevedono specifiche clausole relative al diritto di Audit da parte dell outsourcer? I contratti prevedono specifiche clausole che indicano come mantenere l accessibilità dei servizi in caso di disastro? Q1 SI PARZ. NO RISCHIO BUDGET AMBIENTE TECNOLOGIA CULTURA TEMPO N/A ALTRO Q2

17 TECNOLOGIA alcune misure sono tecnicamente irrealizzabili a causa dell'incompatibilità dell'hardware e del software Categoria: 4.2 ORGANIZZAZIONE DELLA SICUREZZA OUTSOURCING Obiettivo: Verifica del presidio sulla sicurezza delle informazioni dell informazione quando la responsabilità per il trattamento delle informazioni è affidata ad un altra organizzazione. Rif. BS a b c d e FUNZIONE Requisiti di sicurezza nei contratti di outsourcing come soddisfare gli adempimenti di legge, relativi alla normativa sulla protezione dei dati? come mantenere e controllare l integrità e la riservatezza dei beni aziendali? I contratti prevedono specifiche clausole di sicurezza su quali controlli fisici e logici usare per limitare l accesso alle informazioni sensibili dell azienda ai soli utenti autorizzati? I contratti prevedono specifiche clausole relative al diritto di Audit da parte dell outsourcer? I contratti prevedono specifiche clausole che indicano come mantenere l accessibilità dei servizi in caso di disastro? Q1 SI PARZ. NO RISCHIO BUDGET AMBIENTE TECNOLOGIA CULTURA TEMPO N/A ALTRO Q2

18 CULTURA - le limitazioni sociologiche sull'implementazione dei requisiti potrebbero riguardare una nazione, un settore o un azienda. Le misure potrebbero essere inefficaci se non sono accettate dal personale e/o dai clienti Categoria: 4.2 ORGANIZZAZIONE DELLA SICUREZZA OUTSOURCING Obiettivo: Verifica del presidio sulla sicurezza delle informazioni dell informazione quando la responsabilità per il trattamento delle informazioni è affidata ad un altra organizzazione. Rif. BS a b c d e FUNZIONE Requisiti di sicurezza nei contratti di outsourcing come soddisfare gli adempimenti di legge, relativi alla normativa sulla protezione dei dati? come mantenere e controllare l integrità e la riservatezza dei beni aziendali? I contratti prevedono specifiche clausole di sicurezza su quali controlli fisici e logici usare per limitare l accesso alle informazioni sensibili dell azienda ai soli utenti autorizzati? I contratti prevedono specifiche clausole relative al diritto di Audit da parte dell outsourcer? I contratti prevedono specifiche clausole che indicano come mantenere l accessibilità dei servizi in caso di disastro? Q1 SI PARZ. NO RISCHIO BUDGET AMBIENTE TECNOLOGIA CULTURA TEMPO N/A ALTRO Q2

19 TEMPO - non tutti i requisiti possono essere implementati immediatamente. Alcuni potrebbero aver bisogno di più tempo a causa del budget, altri di un'opportunità adatta per essere inseriti in un più vasto piano di miglioramento, per esempio una ristrutturazione di uno stabile che permette l'implementazione di una cablatura più sicura ad un costo più basso rispetto a quella di una sola parte di essa Categoria: 4.2 ORGANIZZAZIONE DELLA SICUREZZA OUTSOURCING Obiettivo: Verifica del presidio sulla sicurezza delle informazioni dell informazione quando la responsabilità per il trattamento delle informazioni è affidata ad un altra organizzazione. Rif. BS a b c d e FUNZIONE Requisiti di sicurezza nei contratti di outsourcing come soddisfare gli adempimenti di legge, relativi alla normativa sulla protezione dei dati? come mantenere e controllare l integrità e la riservatezza dei beni aziendali? I contratti prevedono specifiche clausole di sicurezza su quali controlli fisici e logici usare per limitare l accesso alle informazioni sensibili dell azienda ai soli utenti autorizzati? I contratti prevedono specifiche clausole relative al diritto di Audit da parte dell outsourcer? I contratti prevedono specifiche clausole che indicano come mantenere l accessibilità dei servizi in caso di disastro? Q1 SI PARZ. NO RISCHIO BUDGET AMBIENTE TECNOLOGIA CULTURA TEMPO N/A ALTRO Q2

20 Non Applicabile - per esempio, quando l'organizzazione non ritiene di avere dimensioni tali da necessitare di un comitato inter-funzionale per coordinate le misure di sicurezza o, nel caso dei requisiti di protezione dei dati, potrebbero non essere trattati dati altamente sensibili e perciò non esistere la necessità di crittografare i dati Categoria: 4.2 ORGANIZZAZIONE DELLA SICUREZZA OUTSOURCING Obiettivo: Verifica del presidio sulla sicurezza delle informazioni dell informazione quando la responsabilità per il trattamento delle informazioni è affidata ad un altra organizzazione. Rif. BS a b c d e FUNZIONE Requisiti di sicurezza nei contratti di outsourcing come soddisfare gli adempimenti di legge, relativi alla normativa sulla protezione dei dati? come mantenere e controllare l integrità e la riservatezza dei beni aziendali? I contratti prevedono specifiche clausole di sicurezza su quali controlli fisici e logici usare per limitare l accesso alle informazioni sensibili dell azienda ai soli utenti autorizzati? I contratti prevedono specifiche clausole relative al diritto di Audit da parte dell outsourcer? I contratti prevedono specifiche clausole che indicano come mantenere l accessibilità dei servizi in caso di disastro? Q1 SI PARZ. NO RISCHIO BUDGET AMBIENTE TECNOLOGIA CULTURA TEMPO N/A ALTRO Q2

21 ALTRO - ci potrebbero essere ulteriori motivi per la mancata implementazione oltre quelli sopra elencati Categoria: 4.2 ORGANIZZAZIONE DELLA SICUREZZA OUTSOURCING Obiettivo: Verifica del presidio sulla sicurezza delle informazioni dell informazione quando la responsabilità per il trattamento delle informazioni è affidata ad un altra organizzazione. Rif. BS a b c d e FUNZIONE Requisiti di sicurezza nei contratti di outsourcing come soddisfare gli adempimenti di legge, relativi alla normativa sulla protezione dei dati? come mantenere e controllare l integrità e la riservatezza dei beni aziendali? I contratti prevedono specifiche clausole di sicurezza su quali controlli fisici e logici usare per limitare l accesso alle informazioni sensibili dell azienda ai soli utenti autorizzati? I contratti prevedono specifiche clausole relative al diritto di Audit da parte dell outsourcer? I contratti prevedono specifiche clausole che indicano come mantenere l accessibilità dei servizi in caso di disastro? Q1 SI PARZ. NO RISCHIO BUDGET AMBIENTE TECNOLOGIA CULTURA TEMPO N/A ALTRO Q2

22 Uso congiunto BS e CobiT Alcuni spunti di applicabilità: Grandi gruppi, caratterizzati da una varietà di realtà aziendali differenti Aziende in start-up Aziende con forte dinamicità interna

23 Uso congiunto BS e CobiT I possibili vantaggi: Il BS fornisce una serie di paletti di controllo fondamentali che permettono di impostare e mantenere il buon governo dei principali (Macro) processi aziendali o di Gruppo Il CobiT affina i controlli da un punto di vista dell auditor e supporta l attività periodica di monitoraggio

24 Uso congiunto BS e CobiT I possibili vantaggi: Gli investimenti aziendali nell introduzione del BS vengono ripagati da: Migliore governo dei costi e riduzione delle inefficienze Maggiore competitività Apertura alla certificazione, con miglioramento dell immagine sul mercato (più trusted) Apertura all attività periodica di controllo interno grazie alle sinergie con il CobiT

25 Domande e Risposte?

26 AIEA - Riferimenti aiea@aiea.it