Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

Transcript

1 Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

2 Indice Il Processo di Security Governance l analisi e gestione del rischio La normativa ISO e l Information Security Management System (ISMS)

3 La ISO e l Information Security Management System (ISMS)

4 Generalità sulla sicurezza - La sicurezza ideale Il sistema ideale di protezione dell informazione è costituito da un insieme di misure di sicurezza che contrastano in modo completo ogni minaccia all informazione impedendo qualunque compromissione di Riservatezza Integrità Disponibilità

5 Generalità sulla sicurezza - Attributi Riservatezza esprime la garanzia che una determinata Informazione sia resa disponibile solamente ai processi che la devono elaborare e all'utilizzatore che ne ha bisogno e ne è pertanto autorizzato all'uso Integrità esprime la garanzia che ogni Informazione sia realmente quella originariamente immessa nel Sistema Informativo, ovvero successivamente legittimamente modificata Disponibilità esprime la garanzia di reperibilità delle Informazioni in funzione delle esigenze di continuità dei processi aziendali ed al fine del rispetto delle norme (di legge e non) che ne impongono la conservazione storica

6 Generalità sulla sicurezza Quali informazioni devono essere protette Devono essere protette tutte le informazioni sensibili, critiche o aventi valore per l organizzazione in qualsiasi forma si trovino: su carta in formato elettronico (su sistemi locali, mobili, CD/DVD, nastri etc.) trasmessa via posta o per via elettronica (anche fax) immagazzinata su nastri e video trasmessa a voce

7 Generalità sulla sicurezza - La sicurezza in pratica Non è possibile adottare misure di sicurezza che garantiscano il 100% di protezione rispetto a tutte le minacce Limitazioni tecnologiche Costo delle protezioni necessarie sproporzionato rispetto ai vantaggi Obbligo del rispetto di legge e regolamenti

8 Generalità sulla sicurezza - Obiettivi Per raggiungere gli obiettivi di business avere le informazioni giuste al momento giusto può fare la differenza tra profitto e perdite. La gestione della sicurezza delle informazioni aiuta a controllare e proteggere le informazioni di un organizzazione da modifiche volontarie o involontarie dei dati o da accessi non autorizzati. Un SGSI serve a: (Sistema di Gestione per la Sicurezza delle Informazioni) assicurare la continuità del business e dei servizi minimizzare i danni derivanti da eventuali incidenti massimizzare: il rendimento del capitale investito le opportunità di miglioramento

9 Il processo di governo della sicurezza - elementi Processi/Attività Attori Corpus documentale Tecnologie/Infrastrutture

10 Il processo di governo della sicurezza Processi/Attività Analisi del rischio Definizione delle linee guida Definizione standard e procedure Realizzazione infrastrutture di sicurezza Realizzazione Piano di sicurezza Realizzazione Misure di protezione Gestione Controllo

11 Il processo di governo della sicurezza Attori Comitato direzionale per la sicurezza Comitato operativo per la sicurezza Security Manager Analisti di sicurezza Referente infrastrutture Referente applicativo della sicurezza Amministratore della sicurezza del sistema Auditor Proprietario del dato Utente finale

12 Il processo di governo della sicurezza Processi/Attori Comitato direzionale per la sicurezza Comitato operativo per la sicurezza Security Manager Analisti di sicurezza Proprietario del dato Utente finale Referente applicativo della sicurezza Referente di infrastruttura Amministratore della sicurezza Auditor Analisi del rischio Guida Esegue Esegue Supporta Supporta Supporta Definizione delle linee guida Approva Esegue Coordina Supporta Esegue Definizione standard e procedure Approva Esegue Supporta Controlla Realizzazione infrastrutture di sicurezza Coordina Esegue Controlla Realizzazione Piano di sicurezza Supporta Guida Esegue Esegue Controlla Realizzazione misure di protezione Supporta Esegue Esegue Controlla Gestione Guida Esegue Esegue Controlla

13 Il Processo di Security Governance l analisi e gestione del rischio

14 Modello del processo di analisi e gestione del rischio 1. Pianificazione e perimetrazione d intervento 2. Rilevazione dello scenario Analisi dello scenario Definizione del modello del Perimetro d Intervento Classificazione delle informazioni 3. Analisi del rischio Individuazione delle Minacce/Vulnerabilità Indicazione del Livello di Esposizione Calcolo del rischio intrinseco 4. Gestione del rischio Definizione delle misure presenti e della loro graduazione Produzione del Profilo di Protezione Ottimale Calcolo del Rischio Residuo Pianificazione degli interventi 5. Mantenimento ciclico

15 Ruoli e responsabilità - Attività/Attori Security Manager Analisti di sicurezza Proprietario dei dati Ref. Infrstruttura Ref. Applicativo FASE 1 PIANIFICAZIONE E PERIMETRAZIONE DELL INTERVENTO Esegue Supporta FASE 2 - RILEVAMENTO DELLO SCENARIO Analisi dello scenario Coord. Esegue Supporta Supporta Supporta Definizione modello del Perimetro d Intervento Coord. Esegue Riceve input Classificazione delle informazioni Coord. Supporta Esegue Supporta Supporta FASE 3 - ANALISI DEL RISCHIO Individuazione delle Minacce/Attacchi per i Sistemi/Componenti Coord. Esegue Supporta Supporta Propone Indicazione del Livello di Esposizione alle Minacce/Attacchi Coord. Esegue Supporta Supporta Supporta Calcolo del Rischio Intrinseco Esegue Supporta Automatizza FASE 4 GESTIONE DEL RISCHIO Definizione delle misure e della loro graduazione Esegue Supporta Supporta Supporta Propone Produzione del Profilo di Protezione Ottimale Esegue Supporta Automatizza Rilevamento contromisure presenti Coord. Esegue Supporta Supporta Riceve input Calcolo Rischio Residuo Esegue Supporta Automatizza Pianificazione delle contromisure Esegue Supporta Supporta Supporta Supporta FASE 5 - MANTENIMENTO CICLICO DEL SISTEMA DI PROTEZIONE Supporta Contributo applicativo RA

16 Pianificazione e perimetrazione (1/3) L attività di pianificazione costituisce la fase iniziale della progettazione del Sistema di Protezione e segue tutto l iter progettuale. Individuazione del Gruppo di Lavoro (GdL) Individuazione di proprietari dei dati e personale tecnico addetto Definizione tempistica delle attività

17 Pianificazione e perimetrazione (2/3) Di solito non è conveniente estendere l analisi all intera organizzazione. Risulta conveniente dividere l analisi per Perimetri d Intervento Il Perimetro d Intervento è costituito dall insieme delle informazioni da proteggere e delle risorse, logiche e fisiche, che cooperano al loro trattamento

18 Pianificazione e perimetrazione (3/3) Esempi di perimetro di intervento: un processo aziendale un centro di elaborazione dati una specifica applicazione (gestione retribuzioni, ) una specifica infrastruttura (LAN, intranet aziendale, un edificio, il sistema organizzativo/procedurale)

19 Analisi e Gestione del Rischio Identificazione dei beni Classificazione delle informazioni Valutazione Identificazione Rilevazione Valutazione delle delle dei controlli del rischio minacce vulnerabilità presenti o pianificati Beni Minacce Vulnerabilità Controlli Rischio

20 Identificazione dei beni (1/2) L identificazione dei beni viene effettuata attraverso Analisi dello Scenario Redazione dell Inventario dei Beni

21 Identificazione dei beni (2/2) Analisi dello scenario: Acquisizione delle informazioni tramite consultazione della documentazione disponibile ed interviste con personale esperto Le informazioni riguardano processi supportati applicazioni informazioni gestite utenti delle applicazioni architetture e infrastrutture utilizzate vincoli organizzativi e normativi Redazione dell Inventario dei Beni. Esso riporta: la lista dei beni informativi i proprietari dei beni informativi la lista dei beni infrastrutturali i gestori dei beni infrastrutturali

22 Classificazione delle informazioni (1/2) Le informazioni sono classificate in base all entità del danno che si verifica per l organizzazione nel caso perdano: RISERVATEZZA INTEGRITA DISPONIBILITA L entità del danno viene rilevata attraverso un questionario. La classe di criticità dell informazione viene calcolata in base ad un appropriato algoritmo.

23 Classificazione delle informazioni (2/2) L algoritmo richiede che venga effettuato quanto segue: Attribuzione di un peso a ciascuna risposta; Calcolo della somma dei pesi attribuiti a ciascuna risposta per il singolo attributo RID (Riservatezza, Integrità, Disponibilità); Attribuzione della classe di criticità a ciascun macrodato attraverso il confronto tra il valore ottenuto dalla somma dei pesi ed i valori scelti per definire l ampiezza di ciascuna classe (valori di soglia).

24 Valutazione delle minacce (1/2) Minaccia Un azione o un evento che potrebbe avere conseguenze dannose in termini di compromissione dell informazione (perdita di riservatezza, integrità, disponibilità dell informazione) Errori umani Furti e sabotaggi Minaccia Eventi accidentali dannosi Guasti e malfunzionamenti di apparecchiature ICT Immissione di codice malevolo Accesso non autorizzato ad informazioni o servizi Descrizione Amministratori, utenti, etc. potrebbero commettere errori con conseguente compromissione di informazioni Entità avverse potrebbero sottrarre informazioni e apparecchiature ICT, provocare guasti o malfunzionamenti o compiere atti di sabotaggio ad impianti o sistemi Eventi accidentali (incendi, black out, allagamenti) potrebbero danneggiare involontariamente dispositivi ICT con conseguente compromissione di dati Guasti potrebbero interessare apparecchiature, supporti di memorizzazione, impianti, con conseguente compromissione dell informazione Entità avverse potrebbero introdurre codice malevolo (virus, troyan horses, etc.) all interno dei sistemi aziendali Entità avverse (interne o esterne all azienda) potrebbero accedere senza autorizzazione ad informazioni o servizi compromettendone la sicurezza

25 Valutazione delle minacce (2/2) La valutazione delle minacce avviene attraverso le seguenti fasi: individuazione delle minacce pertinenti per ciascun bene infrastrutturale stima della frequenza della minaccia rilevazione della frequenza storica (se disponibile) stima dell impatto

26 Identificazione delle vulnerabilità Le vulnerabilità, debolezze intrinseche dei sistemi, vengono identificate partendo dalle informazioni acquisite attraverso le interviste con i Gestori dei Beni, considerando: il livello di esposizione alle minacce che possono sfruttare la vulnerabilità; le contromisure utilizzate che riducono la vulnerabilità.

27 Rilevazione dei controlli presenti o pianificati (1/3) I controlli sono rilevati in base allo standard ISO27001 Esempio Obiettivo: assicurare che i dipendenti, i collaboratori e gli utenti di terze parti comprendano le loro responsabilità e siano idonei a ricoprire i ruoli per cui sono presi in considerazione, nonché ridurre il rischio di furto, frode o utilizzo improprio delle strutture

28 Rilevazione dei controlli presenti o pianificati (2/3) I controlli sono rilevati in base allo standard ISO27001 Esempio

29 Rilevazione dei controlli presenti o pianificati (3/3) I controlli sono rilevati in base allo standard ISO27001 Esempio

30 Valutazione del rischio residuo Il livello di rischio residuo è calcolato in base al rischio intrinseco ed ai controlli applicati Livello del Rischio Residuo Livello Rischio Intrinseco Misure di Protezione Attuate

31 La riduzione del rischio Evitare il rischio (rinunciando a trattare l informazione) Trasferire il rischio (attraverso un assicurazione) Ridurre le vulnerabilità (adottando contromisure) Ridurre il valore del bene esposto alle minacce

32 Pianificazione degli interventi A ciascuna contromisura risultante viene assegnata una priorità Il Piano degli Interventi elenca e documenta le attività necessarie per abbattere il Livello di Rischio Residuo riportando: riferimenti delle misure di protezione che l intervento realizza la priorità la descrizione delle modalità con cui si intende condurre l intervento e del risultato atteso l impegno previsto in termini di persone, costi e tempi

33 Mantenimento ciclico del Sistema di Protezione (1/2) Le attività di governo della sicurezza devono essere strutturate per fornire continui ritorni e stimoli al mantenimento dell adeguatezza del Sistema di Protezione. La gestione della sicurezza ed il controllo e audit forniscono elementi importanti per il mantenimento del Sistema di Protezione.

34 Mantenimento ciclico del Sistema di Protezione (2/2) Occorre una revisione periodica della progettazione del Sistema di Protezione delle informazioni che tenga conto delle mutate esigenze ovvero: variazione del quadro legislativo nazionale variazione del quadro normativo nell ambito dell Organizzazione variazioni organizzative all'interno del Organizzazione variazione degli obiettivi di sicurezza variazione del numero e/o del tipo di informazioni gestite individuazione di nuove tipologie di Attacchi evoluzione della tecnologia variazione dei Sistemi contenuti nel Perimetro d Intervento.

35 Come analizzare e gestire il Rischio Metodologie e strumenti maggiormente diffusi: - COBRA (Consultative, Objective, and Bi-functional Risk Analysis) - CRAMM (CCTA Risk Analysis and Management Method) - RiskWatch - Risiko - Melisa - Arome + - Defender Manager - MIGRA (Metodologi Integrata di Gestione del Rischio Aziendale)

36 Categorie di controlli 5 Security policy 6 Organization of Information Security 7 Asset Management 8 Human Resources Security 9 Physical and Environmental security 10 Communications and Operations Management 11 Access Control 12 Information System Acquisition, Development and Maintenance 13 Information Security Incident Management 14 Business Continuity Management 15 Compliance

37 5.1 Security Policy Obiettivo: fornire le linee guida e il supporto della direzione aziendale in materia di sicurezza delle informazioni in linea con il business e le vigenti leggi/regolamenti Documento sulla politica per la Sicurezza delle informazioni aziendale Revisione della Politica di Sicurezza delle informazioni

38 6.1 Organization of Information Security Obiettivo: gestire la sicurezza delle informazioni all interno dell organizzazione Impegno nella gestione della sicurezza delle informazioni Coordinamento della sicurezza delle informazioni Assegnazione delle responsabilità sulla sicurezza Processo di autorizzazione per le componenti che elaborano le informazioni Accordi di riservatezza Relazioni con le autorità Relazioni con gruppi specializzati Revisione indipendente della sicurezza dell informazione

39 6.2 External Parties Obiettivo: garantire la sicurezza delle informazioni dell Organizzazione e delle componenti che accedono elaborano, comunicano o gestiscono informazioni da parte di soggetti esterni Identificazione dei rischi derivanti dall accesso di soggetti esterni Sicurezza nelle transazioni con i clienti Sicurezza negli accordi con terze parti

40 7.1 Responsibility for assets Obiettivo: ottenere e mantenere un'adeguata protezione dei beni aziendali Inventario dei beni Proprietà dei beni Utilizzo accettabile dei beni

41 7.2 Information classification Obiettivo: assicurare un adeguato livello di protezione ai singoli beni Linee guida per la classificazione Etichettatura e trattamento delle informazioni

42 8.1 Prior of employment Obiettivo: assicurare che i dipendenti, i collaboratori e gli utenti di terze parti comprendano le loro responsabilità e siano idonei a ricoprire i ruoli per cui sono presi in considerazione, nonché ridurre il rischio di furto, frode o utilizzo improprio delle strutture Ruoli e responsabilità Selezione del personale Termini e condizioni di impiego

43 8.2 During employment Obiettivo: assicurare che gli impiegati, i contraenti e le terze parti siano consapevoli, relativamente alle proprie responsabilità e doveri, delle minacce alla sicurezza delle informazioni e dispongano del bagaglio necessario a supportare la politica di sicurezza nel corso del loro lavoro al fine di ridurre il rischio di errori umani Gestione delle responsabilità Conoscenza, educazione e formazione alla sicurezza delle informazioni Processi disciplinari

44 8.3 Termination or change of employment Obiettivo: assicurare che gli impiegati, i contraenti e le terze parti terminino il loro rapporto o cambino la propria mansione in modo regolamentato Termine delle responsabilità Restituzione dei beni Rimozione dei diritti di accesso

45 9.1 Secure Areas Obiettivo: prevenire accessi non autorizzati, danneggiamenti e interferenze ai locali e alle informazioni dell Organizzazione Sicurezza perimetrale Controllo accesso fisico Sicurezza di uffici, stanze, strutture Protezione contro minacce esterne ed ambientali Lavorare in aree sicure Accessi pubblici nelle aree di consegna e carico

46 9.2 Equipment security Obiettivo: prevenire perdite, danni, furti e compromissioni degli apparati e interruzioni delle attività dell Organizzazione Posizionamento e protezione degli strumenti Dispositivi secondari di supporto Sicurezza del cablaggio Manutenzione delle attrezzature Sicurezza delle attrezzature utilizzate fuori dall ambito aziendale Eliminazione e riutilizzo sicuro dei supporti Trasferimento di beni

47 10.1 Operational procedures and responsabilities Obiettivo: assicurare il funzionamento corretto e sicuro delle operazioni sulle componenti IT Documentazione delle procedure operative Gestione dei cambiamenti Separazione dei compiti Separazione degli ambienti di sviluppo, test e produzione

48 10.2 Third party service delivery management Obiettivo: implementare e mantenere un adeguato livello di sicurezza delle informazioni e livelli di servizio in linea con gli accordi presi in merito con le terze parti Livelli di servizio Monitoraggio e revisione dei servizi con terze parti Gestione dei cambiamenti nei servizi con terze parti

49 10.3 System planning and acceptance Obiettivo: minimizzare il rischio di disservizi ed interruzioni del sistema Piano di dimensionamento della capacità dei sistemi Approvazione di nuovi sistemi

50 10.4 Protection against malicious and mobile code Obiettivo: salvaguardare l integrità del software e dei dati Controlli contro codice malevolo - Prevenzione - Controllo - Protezione Controlli contro il Mobile Code

51 10.5 Back-Up Obiettivo: mantenere l integrità e la disponibilità delle informazioni e dei sistemi informativi Back-Up delle informazioni

52 10.6 Network security management Obiettivo: assicurare la protezione delle informazioni in transito sulle reti e la protezione delle infrastrutture di supporto Controlli sulla rete Sicurezza nei servizi di rete

53 10.7 Media handling Obiettivo: prevenire divulgazioni, modifiche, rimozioni o distruzioni non autorizzate di supporti, e l interruzione delle attività di business Gestione dei supporti informatici removibili Eliminazione dei supporti Procedure per il trattamento delle informazioni Sicurezza della documentazione di sistema

54 10.8 Exchanges of information Obiettivo: garantire la sicurezza delle informazioni e del software scambiato all interno dell organizzazione e con qualsiasi altra entità esterna Politiche e procedure per lo scambio delle informazioni Accordi per lo scambio Trasporto dei supporti informatici Messaggi elettronici Business Information Systems

55 10.9 Electronic commerce service Obiettivo: garantire la sicurezza del servizio di commercio elettronico e del suo utilizzo Commercio elettronico Transazioni On-Line Informazioni disponibili al pubblico

56 10.10 Monitoring Obiettivo: rilevare le azioni non autorizzate nell utilizzo delle informazioni Audit logging Monitoraggio dell utilizzo dei sistemi Protezione dei log Logging delle attività degli amministratori e degli operatori Logging dei guasti di sistema Sincronizzazione degli orologi

57 11.1 Business requirement for access control Obiettivo: controllo degli accessi alle informazioni Politica di controllo degli accessi (ACL)

58 11.2 User access management Obiettivo: garantire gli accessi da parte degli utenti autorizzati e prevenire gli accessi non autorizzati ai sistemi informativi Registrazione degli utenti Gestione dei privilegi Gestione delle password degli utenti Verifiche dei diritti di accesso degli utenti

59 11.3 User Responsabilities Obiettivo: prevenire l accesso di utenti non autorizzati, la compromissione o il furto di informazioni e dei sistemi di elaborazione Uso della password Attrezzature utente incustodite Clear desk & clear screen policy

60 11.4 Network access control Obiettivo: prevenire gli accessi non autorizzati ai servizi di rete Politica sull uso dei servizi in rete Autenticazioni utente per connessioni esterne Identificazione delle apparecchiature sulla rete Protezione delle porte di gestione (diagnostiche) e di configurazione da remoto Segregazione delle reti Controllo delle connessioni di rete Controllo del routing di rete

61 11.5 Operating system access control Obiettivo: prevenire l accesso non autorizzato ai sistemi operativi Procedure per un log-on sicuro Identificazione e autenticazione degli utenti Sistema di gestione delle password Uso delle utilità di sistema Time-out delle sessioni di lavoro Limitazione dei tempi di connessione

62 11.6 Application and information access control Obiettivo: prevenire l accesso non autorizzato alle informazioni possedute dalle applicazioni di sistema Limitazioni dell accesso alle informazioni Isolamento dei sistemi critici

63 11.7 Mobile computing and teleworking Obiettivo: assicurare la sicurezza dei dati nell'utilizzo dei computer portatili e del telelavoro Computer portatili e comunicazioni Telelavoro

64 11.1 Security requirements of information systems Obiettivo: assicurare che la sicurezza sia parte integrante del sistema informativo Analisi e specifiche dei requisiti di sicurezza

65 10.2 Correct processing in applications Obiettivo: prevenire errori, perdite, modifiche o utilizzi non consentiti delle informazioni nelle applicazioni Convalida dei dati inseriti Controllo dei processi interni Integrità dei messaggi Convalida dei dati in uscita

66 12.3 Cryptographic controls Obiettivo: garantire la riservatezza, l autenticità e l integrità delle informazini attraverso dispositivi crittografici Politica sull uso dei controlli crittografici Gestione delle chiavi crittografiche

67 12.4 Security of System files Obiettivo: garantire la sicurezza dei file di sistema Controlli del software di produzione Protezione dei dati usati per i test Controllo dell accesso alle librerie dei sorgenti

68 12.5 Security in development and support processes Obiettivo: mantenere la sicurezza dei sistemi applicativi e dei dati Procedure di controllo delle modifiche Revisione tecnica delle applicazioni in seguito a modifiche al sistema operativo Limitazioni alle modifiche ai pacchetti software Perdita di informazioni Sviluppo del software in outsourcing

69 12.6 Technical vulnerability management Obiettivo: ridurre il rischio derivante dalla sfruttamento di riconosciute vulnerabilità tecniche Controllo delle vulnerabilità tecniche

70 13.1 Reporting information security events and weakness Obiettivo: assicurare che gli eventi di security e le debolezze associate ai sistemi informativi vengano communicate in modo da permettere azioni correttive tempestive Reporting degli eventi di security delle informazioni Reporting delle debolezze di sicurezza

71 13.2 Management of information security incidents and improvements Obiettivo: garantire che un consistente ed efficace approccio sia applicato alla gestione degli incidenti di security delle informazioni Responsabilità e procedure Imparare dagli incidenti Raccolta delle evidenze

72 14.1 Information security aspects of business continuity management Obiettivo: reagire alle interruzioni alle attività aziendali e proteggere i processi critici dagli effetti di gravi guasti o eventi disastrosi e garantire la loro tempestiva riattivazione Includere la sicurezza delle informazioni all interno del processo di gestione della continuità del business Business Continuity e Risk Assessment Sviluppare e implementare piani di continuità includendo la sicurezza delle informazioni Struttura dei piani di BCP Test, manutenzione, nuova valutazione

73 15.1 Compliance with legal requirements Obiettivo: evitare violazioni di qualunque regola, statuto, regolamento o obbligazioni contrattuali e di ogni altro requisito di sicurezza Identificazione della normativa applicabile (cogente) Diritti di proprietà intellettuale (IPR) Protezione dei documenti Protezione dei dati e della riservatezza delle informazioni personali Prevenzione degli abusi Regolamentazione dei controlli crittografici

74 15.2 Compliance with security policies and standard, and technical compliance Obiettivo: assicurare la conformità dei sistemi con le politiche e gli standard di sicurezza adottati dall Organizzazione Conformità alle politica e standard di sicurezza Controllo della conformità tecnica

75 15.3 Information system audit considerations Obiettivo: massimizzare l efficacia e minimizzare le interferenze al/dal processo di audit del sistema informativo Controlli sugli audit di sistema informativo Protezione degli strumenti di controllo del sistema