Standards di Sicurezza e Percorsi di Certificazione

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Standards di Sicurezza e Percorsi di Certificazione"

Transcript

1 Standards di Sicurezza e Percorsi di Certificazione Firenze 19, 20 Maggio 2005 XIX Convegno Nazionale di Information System Auditing

2 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 2

3 Cos è uno standard di sicurezza IT? (per l utente) Un modo per definire i requisiti di sicurezza IT per alcune classi di prodotti IT: - Hardware - Software - Combinazione dei due (per lo sviluppatore/produttore) Un modo per descrivere le caratteristiche/potenzialità di sicurezza dei propri prodotti (per il valutatore) Uno strumento per misurare il livello di assicurazione/garanzia che può essere associato ad un particolare prodotto/servizio di sicurezza 3

4 Tipologie di standards di sicurezza (1/3) Per quanto riguarda gli aspetti tecnici: - TCSEC - ITSEC (1991) - ISO/IEC o Common Criteria (1999) - NIST-FIPS (per apparati crittografici) - NIST-HIPAA (per i sistemi informatici in ambito sanitario) Per quanto riguarda gli aspetti organizzativi: - ISO/IEC TR (GMITS) Guidelines for the Management of IT Security - BS ISO/IEC BS ISO/IEC 90003:2004 Software engineering. Guidelines for the application of ISO 9001:2000 to computer software 4

5 Tipologie di standards di sicurezza (2/3) ITSEC e ISO/IEC Tengono in considerazione tre aspetti fondamentali: In diretta relazione con gli obiettivi di riservatezza, integrità, disponibilità. E la logica applicazione delle politiche di sicurezza tecnica specifiche individuate. In pratica si realizza attraverso misure tecniche che contrastano le minacce. Funzionalità piano della garanzia Correttezza Efficacia E' il grado di rispondenza dell'implementazione della soluzione ICT ai requisiti espressi dalle Funzionalità. Indipendente dall'efficacia e dalle minacce. Strettamente dipendente dalla qualità della realizzazione e quindi dalla bontà del processo che l'ha governata. E' il grado in cui le misure tecniche contrastano le minacce da cui il sistema o prodotto si propone di difendersi. Ha significato solo in relazione ad un ben determinato insieme di minacce. 5

6 Tipologie di standards di sicurezza (3/3) Nel 1995 è stato definito lo standard BS ripreso nel 2000, nella sua prima parte, dalla norma ISO/IEC17799:... nel 2002 rivista la parte 2 ed introdotto l approccio Plan/Do/Check/Act Obiettivo BS7799: ottimizzazione rapporto costi/benefici delle misure di sicurezza. BS7799 parte I should Elenca le best practice suggerite per implementare un programma per la sicurezza delle informazioni BS 7799 parte II shall Elenca i processi ed i controlli per implementare e certificare un sistema di gestione della sicurezza delle informazioni 6

7 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 7

8 Business Consulting Services Standard Tecnici vs Standard Organizzativi ITSEC & ISO/IEC Criteri di valutazione formale della sicurezza IT di sistemi e prodotti non sono norme ma criteri: identificano le verifiche da eseguire nel corso della valutazione. formale: cioè basata su azioni note, imparziali, ripetibili, riproducibili (metodologie). hanno come oggetto le contromisure IT, anche se il contesto dell'ambiente di esercizio deve essere descritto con tutte le contromisure anche di altro genere. Valutare significa dare garanzia (assurance) per le funzionalità definita nel Target di Sicurezza 8 ISO/IEC 1:7799 Standard organizzativo per la Gestione della Sicurezza delle Informazioni Non fornisce elementi di valutazione oggettiva della sicurezza del sistema ICT, poiché: utilizza spesso termini come appropriato, adeguato e forme verbali condizionali quali dovrebbe, non richiede necessariamente che tutte le aree d'intervento, e le relative misure, siano soddisfatte. La valutazione è demandata alla competenza dell'auditor nello stabilire, per ogni punto d'intervento, se le relative misure siano appropriate.

9 Business Consulting Services Complementarietà degli standards BS7799 ISO/IEC Infrastruttura organizzativa 9 ITSEC ISO (CC) Standard di valutazione e metodologie Aspetti Tecnici Test d intrusione / vulnerabilità

10 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 10

11 Il percorso evolutivo degli standard ISO Canadian Initiatives NSA e NIST CTCPEC 3 93 US TCSEC 83, 85 NIST s MSFR 90 Federal Criteria 92 Common Criteria Project 93-- Common Criteria Common Criteria = Versione definitiva TCSEC 1985 European National & Regional Initiatives Avvio attività ISO 1990 ITSEC ISO Initiatives 92-- UE sponsor di ITSEC 1995 ISO IS standard ISO (ISO 15408)

12 Il percorso evolutivo degli standard ISO Riferimento Sicurezza risorse informative Primi 90s Standard britannico BS Standard ISO (ISO 17799) 2000 Pubblicazione Best Practice 1993 Specifiche sistema di gestione della sicurezza delle informazioni (part 2) 1998 Nuova parte 2 (BS7799-2/2002) Plan-Do- Check-Act

13 TCSEC Trusted Computer Systems Evaluation Criteria INTRODUCE IL CONCETTO DI "POLITICA DELLA SICUREZZA" COME GUIDA FORMALE, ESPLICITA E CONOSCIUTA ALLA ESECUZIONE DELLE CONTROMISURE Impatto implementativo ALTO LEGENDA classe D : Protezione minimale classe C 1 : Protezione discrezionale classe C 2 : Controllo accessi (discrezionale) classe B 1 : Classificazione degli oggetti (discrezionale) classe B 2 : Protezione strutturata (mandatoria) classe B 3 : Dominio sicuro (mandatoria) classe A 1 : Protezione verificabile (certificata) INTRODUCE IL CONCETTO DI "CONTROMISURA" COME ATTO A PROTEZIONE DEL BENE ADEGUATO AL VALORE DEL BENE E AL LIVELLO DI RISCHIO DELL'AGGRESSIONE Approccio basato sull analisi del disegno, dell implementazione, della documentazione e delle procedure Enfasi sui requisiti di Confidenzialita Pensato per sistemi operativi BASSO D B2 B1 C2 C1 B3 A1 Requisiti 13

14 ITSEC Information Technology Security Evaluation Criteria ORIENTATO ALLA VALUTAZIONE DI SISTEMI O DI PRODOTTI SPECIFICI INTRODUCE IL CONCETTO DI T.O.E. (TARGET OF EVALUATION): insieme del prodotto/sistema e la relativa documentazione utente soggetta a valutazione T. INTRODUCE IL CONCETTO DI SECURITY TARGET in cui il produttore stabilisce i criteri di sicurezza funzionale (Non forniti da ITSEC) FUNZIONALITA' DI SICUREZZA PREVISTE O. T. E. LIVELLO DI FIDUCIA (ASSURANCE) Valutazione "DISACCOPPIATA" tra le funzioni di sicurezza previste e il grado di fiducia, CONOSCENZA, sulla correttezza e sulla idoneità delle funzioni realizzate 14

15 ITSEC - Funzionalità di sicurezza (security requirements) e Livelli di Fiducia (assurance level) CLASSI FUNZIONALI : CRITERI DI VALUTAZIONE : Identification and authentication Access control { COSTRUZIONE EFFECTIVENESS OPERATIVITA' ROBUSTEZZA... FACILTA' D'USO... Audit Object reuse Accuracy Reliability of service Data exchange CORRECTNESS COSTRUZIONE {OPERATIVITA' AMBIENTE SVILUPPO LINGUAGGI... DOCUMENTAZIONE... C110 livelli di classificazionea E1 E6 Discrezionale Certificata 6 LIVELLI GERARCHICI E1-E6 15

16 Common Criteria Cos é un Common Criteria? Una struttura e un linguaggio comune per esprimere requisiti di sicurezza per prodotti/servizi IT (Parte 1) Raccolta di componenti e set di requisiti di sicurezza per prodotti/servizi IT (Parte 2 & 3) Come utilizzare un Common Criteria? Sviluppo di Profili di Protezione e di Target di Sicurezza, requisiti di sicurezza specifici per prodotti e sistemi IT Criterio di scelta di prodotti/sistemi IT da parte dell utilizzatore/acquirente Valutare prodotti e sistemi a fronte di requisiti conosciuti e accettati ( CONFIDENZA) IS : Criteri di Valutazione per la Sicurezza IT - Parte 1: Introduzione e modello generale, IS : Criteri di Valutazione per la Sicurezza IT - Parte 2: Requisiti di sicurezza funzionali, IS : Criteri di Valutazione per la Sicurezza IT - Parte 3: Requisiti di assicurazione della sicurezza,

17 Common Criteria - Tipologie dei requisiti 1. Requisiti funzionali (risponde alla domanda: cosa è in grado di fare un prodotto/sistema?) - fondamentali per definire i comportamenti in materia di sicurezza dei prodotti e sistemi informatici. I requisiti effettivamente implementati diventano così funzioni di sicurezza. 2. Requisiti di assicurazione (risponde alla domanda: è il prodotto/sistema costruito in maniera corretta/affidabile?) - fondamentali per stabilire la fiducia che si può riporre nelle funzioni di sicurezza sia in termini di correttezza di implementazione sia in termini di efficacia di soddisfare gli obiettivi propri delle stesse funzioni di sicurezza. 17

18 Comparazione tra ITSEC e Common Criteria I Common Criteria attingono agli standard precedenti prendendo i punti di forza dei vari standard. I Common Criteria abbandonano la flessibilità totale dell ITSEC e dei Federal Criteria nell utilizzo dei protection profile e delle classi di sicurezza predefinita. Per guidare gli utenti la definizione delle classi contiene informazioni circa gli obiettivi di sicurezza, i razionali, le minaccie, etc. La maggiore flessibilità dell ITSEC lo rende di più semplice utilizzo nel caso di valutazione di un sistema, mentre i Common Criteria sono più orientati alla valutazione di un prodotto I Common Criteria rimpiazzeranno l ITSEC 18

19 Tabella di corrispondenza TCSEC, ITSEC e CC TCSEC D - C1 C2 B1 B2 B3 A1 ITSEC E0 - E1 E2 E3 E4 E5 E6 CC - EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 19

20 Standard BS7799 BS Utilizzare un framework condiviso da tutti per sviluppare, implementare e monitorare le modalità di gestione della sicurezza per migliorare la fiducia nelle relazioni interaziendali BS Indica i requisiti per la certificazione di un.. sistema di gestione per la sicurezza delle informazioni 1. Politica di sicurezza 2. Organizzazione di sicurezza Pianificazione 3. Controllo e classificazione asset 127 controlli Obiettivi di controllo 4. Sicurezza personale 5. Sicurezza fisica 6. Operations and communication 7. Controllo accessi Valutazione ISMS Implementazione 8. Sviluppo e manutenzione sistemi 9. Business Continuity Management 10. Compliance Verifica 20

21 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 21

22 Il processo di Certificazione ISO Problem Report TOE Definition Developer /Sponsor Fornitore/Committente Deliverables CLEF/LVS Problem Report Evaluation Technical Report Certification Body Organismo Certificazione Certification Report Sponsor Il processo di certificazione dei CC e dell ITSEC è simile CLEF Commercial Evaluation Facility LVS Laboratorio per la Valutazione della Sicurezza TOE Target of Evaluation ODV Oggetto Della Valutazione ISCTI ( Istituto Superiore delle Comunicazioni e delle Tecnologie delle Informazioni) Organismo Certificatore 22

23 Il processo di Certificazione BS7799 Definizione delle Politiche Definizione dell Ambito Inventario Asset Classificazione Asset Risk Assessment Risk Management Selezione Controlli Allineamento e integrazione col Sistema Qualità SOA Redazione documentazione ISMS Risk treatment Plan Organizzazione di Sicurezza Procedure Business Continuity Plan Implementazione tecnologica Realizzazione Azienda Riesame della documentazione Creazione Creazione della della consapevolezza consapevolezza Prevalutazione Auditor(s) AI, Fase 1 Audit iniziale <13 settimane Gruppo di Audit Esperti tecnici (ev.) Mantenimento (chiusura NC) Mantenimento (chiusura NC) AI, Fase 2 Audit periodici < 13 settimane Certificato 23

24 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 24

25 DPCM 30 Ottobre 2003 G.U. n.98 del 27/4/2004 Approvazione dello Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dell informazione Normativa di Riferimento: ITSEC (Giugno 1991); ITSEM (Information Technology Security Evaluation Manual Settembre 1993); Raccomandazione del Consiglio dell UE (95/144/CE): concernente l applicazione dei criteri per la valutazione della sicurezza della tecnologia dell informazione (Aprile 1995); ISO/IEC (ver. 2.1 dei Common Criteria for Information Technology Security Evaluation ); ISO/IEC n : Codice di buona pratica per la gestione della sicurezza dell informazione (2000); UNI CEI EN ISO/IEC 17025:2000 concernente i requisiti generali per la competenza dei laboratori di prova e di taratura; UNI CEI EN 45011: concernente i requisiti generali relativi agli organismi che gestiscono sistemi di certificazione di prodotti 25

26 Dettagli sulla normativa Introduzione di uno SCHEMA NAZIONALE per la valutazione e certificazione di sistemi e prodotti informatici, in conformità con gli standard ITSEC e ISO/IEC 15408; Lo schema nazionale reca l insieme delle procedure e regole nazionali per la valutazione e la certificazione in conformità ai criteri europei ITSEC o standard ISO/IEC (Common Criteria); Identificazione nell Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione (ISCTI) come Ente avente facoltà di accreditare i LVS (Laboratori per la Valutazione della Sicurezza); Identificazione negli ODV (Oggetti di Valutazione) degli elementi per i quali verrà richiesta la valutazione/certificazione; Descrizione del processo di richiesta, valutazione e certificazione degli ODV; Lo SCHEMA NAZIONALE non si applica per i sistemi e prodotti che trattino informazioni classificate (cfr. DPCM 11/4/2002). 26

27 DPCM 11/4/2002 G.U. n.131 del 6/6/2002 Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato Normativa di Riferimento: P.C.M - A.N.S. Normativa Unificata per la Tutela del Segreto di Stato Atto della Commissione europea del giugno 1991 con il quale sono stati stabiliti i criteri di valutazione della sicurezza dei sistemi informatici denominati "ITSEC Atto del Comitato di gestione dell'iso che recepisce quale International Standard ISO/IEC IS n , la versione 2.1 dei "Common Criteria" L ente di certificazione è l A.N.S (Autorità Nazionale per la Sicurezza) Centro di Valutazione Ce.Va. Competente per le valutazioni di sicurezza di un prodotto o un sistema. Viene accreditato dall A.N.S. 27

28 D. Lgs. 196/ 03 T.U. Privacy - Misure minime di sicurezza MISURE DI SICUREZZA I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta (cfr. art. 31) Nel quadro dei più generali obblighi di sicurezza di cui all art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. (cfr. art. 33) Responsabilità civile Responsabilità penale 28

29 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 29

30 Lo stato dell arte dei prodotti certificati La lista dei prodotti certificati Common Criteria è in costante aggiornamento e può essere consultata all indirizzo: - I prodotti certificati ad oggi sono 241, suddivisi nelle seguenti tipologie: Access Control Devices and Systems 3 Boundary Protection Devices and Systems 42 Data Protection 13 Databases 13 Detection Devices and Systems 3 ICs, Smart Cards and Smart Card related Devices and Systems 61 Key Management Systems 16 Network and Network related Devices and Systems 16 Operating systems 31 Other Devices and Systems 43 Prodotti certificati nel Prodotti certificati nel

31 Lo stato dell arte dei prodotti IBM certificati La lista dei prodotti IBM certificati è in costante aggiornamento e può essere consultata all indirizzo: - - Di seguito alcuni dei prodotti certificati: - IBM Cryptographic chip for PC CC EAL3 - IBM 4758 Cryptographic Co-Processor NIST FISP Level 4 - Tivoli Access Manager for e-business CC EAL3+ - Tivoli Identity Manager for e-business on going (3Q) - Tivoli Amos on going (2Q) - IBM Directory Server CC EAL3 - IBM DB2 UDB CC EAL4 + - IBM DB2 Content Manager CC EAL3 - AIX 5L CC EAL4+ - ZSeries Logical Partition LPAR zseries 900 PR/SM CC EAL5 31

32 Le aziende che raggiungono la Certificazione BS7799 sono in rapida crescita Country Argentina Australia Austria Belgium Brazil China Colombia Czech Republic Denmark Egypt Finland Germany Greece Hong Kong Hungary Iceland India Ireland Isle of Man Italy Lebanon Lithuania n Le società certificate: situazione 2003 vs 2005 Country Luxemburg Japan Korea Macau Macedonia Malaysia Mexico Morocco Netherlands Norway Poland Qatar Romania Saudi Arabia Singapore Slovakia Slovenia South Africa Spain Sweden Switzerland Taiwan UAE UK USA Fonte: (dati aggiornati al ) n /9/03 TOTALE società certificate nel mondo /9/ /4/05 Società appartenenti al gruppo IBM certificate: IBM BCRS Italia (dicembre 2004) IBM BCRS Cina (ottobre 2004) 32

33 Le capabilities IBM in ambito Certificazione L IBM possiede due laboratori di Valutazione (Commercial Evaluation Facility CLEF) in UK ed in Canada per la preparazione del processo di certificazione sia per prodotti interni che esterni (ITSEC e Common Criteria). La Practice internazionale di Security&Privacy offre supporto metodologico e specialistico alle aziende per il percorso di Certificazione verso la norma BS

34 Riferimenti Common Criteria INFOSEC Raccomandazione CE del 7/4/1995 Computer Security Resource Center (CSRC) NIST 34

35 Struttura gerarchica dei Common Criteria: un esempio di Gerarchia La gerarchia dei requisiti funzionali e di assicurazione dei CC rappresenta una logica costruttiva che organizza i costituenti dei requisiti di sicurezza nei seguenti elementi: - Classe (ad es. FDP Protezione dei dati utente): un insieme di famiglie che condividono uno stesso focus. - Famiglia (ad. es. FDP_ACC Politica di Controllo Accessi): un gruppo di componenti che condividono obiettivi di sicurezza ma che possono differire in termini di enfasi e/o rigore. - Componente (ad. Es. FDP_ACC.1 Sottoinsieme di Controllo Accessi): l insieme elementare di sottoelementi che possono essere inclusi in un PP,ST o package. (Req. funzionali o di assicurazione) FAMIGLIA CLASSE FAMIGLIA Componente Componente Componente Flessibilità nel definire i requisiti PP o ST PP Project Profile (generico) ST Security Target (specifico) 35

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

La valutazione della sicurezza

La valutazione della sicurezza La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più

Dettagli

Standard per la Certificazione della Sicurezza dell Informazione

Standard per la Certificazione della Sicurezza dell Informazione Standard per la Certificazione della Sicurezza dell Informazione Ing. Emilio Montolivo Amtec-Securteam emilio.montolivo@elsagdatamat.it Roma, 17 aprile 2007 Parte 1 Concetti Introduttivi Che cos è la certificazione?

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Sessione di studio comune AIEA-ISCOM Roma, Ministero delle

Dettagli

Nota Informativa dello Schema N. 1/13

Nota Informativa dello Schema N. 1/13 Organismo di Certificazione della Sicurezza Informatica Nota Informativa dello Schema N. 1/13 Modifiche alla LGP1 Novembre 2013 Versione 1.0 REGISTRAZIONE DELLE AGGIUNTE E VARIANTI L'elenco delle aggiunte

Dettagli

La certificazione della sicurezza ICT

La certificazione della sicurezza ICT La certificazione della sicurezza ICT Roma CNIPA, 30 maggio 2005 Le entità in gioco Common Criteria/ITSEC ACCREDITATORE NORMA DI RIFERIMENTO FORNITORE/TITOLARE OGG. DA CERTIFICARE FRUITORE DEI SERVIZI

Dettagli

KRESTON GV Italy Audit Srl The new brand, the new vision

KRESTON GV Italy Audit Srl The new brand, the new vision KRESTON GV Italy Audit Srl The new brand, the new vision Chi siamo Kreston GV Italy Audit Srl è il membro italiano di Kreston International, network internazionale di servizi di revisione, di corporate

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Centro di Valutazione della Difesa

Centro di Valutazione della Difesa Centro di Valutazione della Difesa II Reparto Informazioni e Sicurezza Ce.Va. Difesa: dipendenza ed ubicazione. Il Ce.Va Difesa è un articolazione del II Reparto (Informazioni e Sicurezza) dello Stato

Dettagli

22 ottobre 2013 UNA GOLF HOTEL Cavaglià. Ing. Alberto Raffaldi Project Manager Soluzioni EDP

22 ottobre 2013 UNA GOLF HOTEL Cavaglià. Ing. Alberto Raffaldi Project Manager Soluzioni EDP 22 ottobre 2013 UNA GOLF HOTEL Cavaglià Ing. Alberto Raffaldi Project Manager Soluzioni EDP Microsoft: l evoluzione dell ERP 22 Ottobre 2013 - UNA Golf Hotel Cavaglià (BI) In qualsiasi tipo di azienda,

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Gestione Operativa e Supporto

Gestione Operativa e Supporto Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

Bundled benefits. Your payments in future-proof hands. Guido Gatti 15 Ottobre 2013. Classification: Open

Bundled benefits. Your payments in future-proof hands. Guido Gatti 15 Ottobre 2013. Classification: Open Bundled benefits Your payments in future-proof hands Guido Gatti 15 Ottobre 2013 Classification: Open Status: Final Full service, flexible solutions Dual processor: card & payment processing Complete and

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Offrire ai clienti un esperienza evoluta che combina la magia del software con la potenza dei servizi Internet usando device differenti

Offrire ai clienti un esperienza evoluta che combina la magia del software con la potenza dei servizi Internet usando device differenti Offrire ai clienti un esperienza evoluta che combina la magia del software con la potenza dei servizi Internet usando device differenti PC Telefono Browser La potenza della scelta Live Online On-premises

Dettagli

AIVE Business Solutions. www.aive.com

AIVE Business Solutions. www.aive.com AIVE Business Solutions www.aive.com AIVE GROUP: Missione e Valori Missione Realizzare software e progetti che migliorano i processi operativi dei nostri clienti e incrementano la loro capacità competitiva

Dettagli

I I SISTEMI INFORMATIVI INTEGRATI. Baan IV IV - Funzionalità e Architettura NOTE

I I SISTEMI INFORMATIVI INTEGRATI. Baan IV IV - Funzionalità e Architettura NOTE I I SISTEMI INFORMATIVI INTEGRATI Baan IV IV - Funzionalità e Architettura Baan Company: profilo Fondata nel 1978 Oltre 2000 clienti nel mondo Oltre 1500 dipendenti Fatturato 1995: 216 (milioni di $) 76%

Dettagli

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1 Organizzare la sicurezza, ovvero come legare il cane al palo Pierluigi D Ambrosio p.dambrosio@businesssecurity.it 2002-2014 Business Security 1 Problema: Possiedo un cane, un palo, della corda, della catena

Dettagli

Certificazione della sicurezza di prodotti/sistemi ICT

Certificazione della sicurezza di prodotti/sistemi ICT EnterpriseCommunication, Automation& Smart grid, Defence& Cyber security Certificazione della sicurezza di prodotti/sistemi ICT Giacinta Santo, Luglio 2013 Indice Protezione dell Informazione e Sicurezza

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

Adoption and take up of standards and profiles for e-health Interoperability

Adoption and take up of standards and profiles for e-health Interoperability Adoption and take up of standards and profiles for e-health Interoperability Gilda De Marco, Assinter/INSIEL, Italy based on a presentation by Ib Johanson, MedCom, DK Antilope ANTILOPE Rete Tematica Promuovere

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

Agenda. 10:00-10:15 Benvenuto e Introduzione. 10:15-10:45 Rinnovare l innovazione. 10:45-11:15 Innovare con successo : Fast To Market

Agenda. 10:00-10:15 Benvenuto e Introduzione. 10:15-10:45 Rinnovare l innovazione. 10:45-11:15 Innovare con successo : Fast To Market Agenda 10:00-10:15 Benvenuto e Introduzione Manlio Rizzo - Managing Partner and CEO AchieveGlobal Italia Fabio Raho - Sr. Solution Strategist Governance CA-Italy 10:15-10:45 Rinnovare l innovazione Nicola

Dettagli

MERCURI INTERNATIONAL

MERCURI INTERNATIONAL MERCURI INTERNATIONAL 1 Mercuri International Mercuri International parla solo ed esclusivamente di vendite Mercuri International è una società specializzata nella consulenza e nel training in area vendite.

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

Archiviazione elettronica e Gestione della conoscenza Dott. Timur Khoussainov Toffoletto De Luca Tamajo e Soci Studio Legale

Archiviazione elettronica e Gestione della conoscenza Dott. Timur Khoussainov Toffoletto De Luca Tamajo e Soci Studio Legale Archiviazione elettronica e Gestione della conoscenza Toffoletto De Luca Tamajo e Soci Studio Legale Bologna, 30 ottobre 2015 CHE COS È (PER NOI) LA CONOSCENZA? Toffoletto De Luca Tamajo e Soci 2015 2

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

Chi siamo TÜV Italia è un ente di certificazione indipendente, filiale italiana del gruppo TÜV SÜD.

Chi siamo TÜV Italia è un ente di certificazione indipendente, filiale italiana del gruppo TÜV SÜD. Chi siamo TÜV Italia è un ente di certificazione indipendente, filiale italiana del gruppo TÜV SÜD. Ma siamo soprattutto. TÜV SÜD - Presenza a livello internazionale Austria Belgio Danimarca Francia Germania

Dettagli

La norma EN 16001 a due anni dalla pubblicazione. Compliance & Risk Manager BSI Group Italia S.r.l.

La norma EN 16001 a due anni dalla pubblicazione. Compliance & Risk Manager BSI Group Italia S.r.l. La norma EN 16001 a due anni dalla pubblicazione Ing. Gian Luca Conti Ing. Gian Luca Conti Compliance & Risk Manager BSI Group Italia S.r.l. Siamo un organizzazione indipendente Presentazione BSI Non abbiamo

Dettagli

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ISMS OR / RESPONSABILI

Dettagli

I numeri del commercio internazionale

I numeri del commercio internazionale Università di Teramo Aprile, 2008 Giovanni Di Bartolomeo gdibartolomeo@unite.it I numeri del commercio internazionale Big traders Netherlands 4% United Kingdom 4% France 5% China 6% Italy 4% Japan 7% Korea,

Dettagli

Gli schemi di certificazione internazionali: IECEE CB e CB-FCS

Gli schemi di certificazione internazionali: IECEE CB e CB-FCS Gli schemi di certificazione internazionali: IECEE CB e CB-FCS IMQ Milano, 19 aprile 2011 Workshop IMQ - QSA - Promos Fare Business in Russia e CSI Mauro Casari - IMQ ADVISORY BODIES Sales Policy Cmte.

Dettagli

La gestione di un organizzazione moderna è

La gestione di un organizzazione moderna è ICT E DIRITTO Rubrica a cura di Antonio Piva, David D Agostini Scopo di questa rubrica è di illustrare al lettore, in brevi articoli, le tematiche giuridiche più significative del settore ICT: dalla tutela

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

CRITERI DI VALUTAZIONE E CERTIFICAZIONE DELLA

CRITERI DI VALUTAZIONE E CERTIFICAZIONE DELLA CRITERI DI VALUTAZIONE E CERTIFICAZIONE DELLA SICUREZZA DELLE INFORMAZIONI. CESARE GALLOTTI MILANO, 14 MAGGIO 2004 Questo documento va inteso come una raccolta di appunti correlati alla presentazione dallo

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1)

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Analisi delle interdipendenze e delle opportunità di integrazione dei due standard secondo la ISO/IEC FDIS 27013 17/09/2012

Dettagli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1 ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

IL LAVORO DELL OCSE SUI SISTEMI SANITARI

IL LAVORO DELL OCSE SUI SISTEMI SANITARI IL LAVORO DELL OCSE SUI SISTEMI SANITARI - analisi, confronto e rafforzamento del sistema sanitario Stefano Scarpetta, Direttore della Direzione del Lavoro, Occupazione e Affari Sociali Il Lavoro dell

Dettagli

IT Risk Assessment. IT Risk Assessment

IT Risk Assessment. IT Risk Assessment IT Risk Assessment Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel tempo il sistema di sicurezza aziendale. Esistono numerosi standard e modelli di riferimento

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

obbligazioni corporate e semi-government (tenute presso il corrispondente estero) emesse prima del 01/01/1999;

obbligazioni corporate e semi-government (tenute presso il corrispondente estero) emesse prima del 01/01/1999; SPAGNA: guida operativa di assistenza fiscale su strumenti finanziari obbligazionari corporate e semi-government (sub depositati presso il depositario del corrispondente estero) di diritto spagnolo non

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Autore Fabio Guasconi Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile ad organizzazioni

Dettagli

La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria

La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria Catania 22 Settembre 2006 Presentazione Relatore Nome: Ombretta

Dettagli

Processo di implementazione e certificazione di un sistema di gestione per la qualità

Processo di implementazione e certificazione di un sistema di gestione per la qualità Processo di implementazione e certificazione di un sistema di gestione per la qualità Bologna, 29 aprile SAFER, SMARTER, GREENER Scenario normativo La prima edizione della norma ISO 9001 è stata pubblicata

Dettagli

LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION)

LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION) PDCA Srl, partner di Security Brokers SCpA LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION) Sommario

Dettagli

IMPIANTO CONFORME ALLA DIRETTIVA MACCHINE. HHL W Line FOR A SUSTAINABLE WORLD FREE OF BARRIERS. www.wittur.com

IMPIANTO CONFORME ALLA DIRETTIVA MACCHINE. HHL W Line FOR A SUSTAINABLE WORLD FREE OF BARRIERS. www.wittur.com IMPIANTO CONFORME ALLA DIRETTIVA MACCHINE HHL W Line FOR A SUSTAINABLE WORLD FREE OF BARRIERS www.wittur.com CARATTERISTICHE HHL W Line INSTALLAZIONE FACILE E VELOCE HHL W Line è facile e veloce da installare.

Dettagli

Indice. Chi siamo? 03. Mission 04. La nostra realtà 05. Struttura del Gruppo 06. Le attività e l organizzazione interna 07

Indice. Chi siamo? 03. Mission 04. La nostra realtà 05. Struttura del Gruppo 06. Le attività e l organizzazione interna 07 La Merchant S.p.A. Indice Chi siamo? 03 Mission 04 La nostra realtà 05 Struttura del Gruppo 06 Le attività e l organizzazione interna 07 Il network Internazionale 08 Il Gruppo La Merchant: orientati al

Dettagli

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

TRADECREDIT POLITICALRISK

TRADECREDIT POLITICALRISK TRADECREDIT POLITICALRISK GLOBAL PRACTICE Aon Trade Credit Soluzioni per la gestione del rischio In Italia e nel mondo L unica organizzazione con: Network Internazionale al servizio di Clienti Multinazionali

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

IL MINISTRO DEL LAVORO, DELLA SALUTE E DELLE POLITICHE SOCIALI. di concerto con IL MINISTRO DELL'ECONOMIA E DELLE FINANZE

IL MINISTRO DEL LAVORO, DELLA SALUTE E DELLE POLITICHE SOCIALI. di concerto con IL MINISTRO DELL'ECONOMIA E DELLE FINANZE D.M. 28 gennaio 2009 Attuazione disposizioni di cui al comma 9, dell'art. 38, della legge n. 289/2002, concernente la determinazione del livello di reddito equivalente per ciascun Paese straniero, al reddito

Dettagli

Affrontare i rischi con metodo

Affrontare i rischi con metodo Affrontare i rischi con metodo Laura Schiavon Client manager BSI Group Italia 12 Marzo2013 Copyright 2013 BSI. All rights reserved. 04/03/2013 1. Chi siamo 2. Come possiamo aiutarvi 3. Cosa facciamo Copyright

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ per le aziende con esigenze di valutazione/ certificazione

Dettagli

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing Reg. 05/017 Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing La certificazione di sistema per aumentare il trust cliente-fornitore 25 maggio 2010 AIPSI - Milano 1 The speaker Fabrizio

Dettagli

SEMINARIO TECNICO: La norma EN 16001 per I sistemi di gestione dell energia. Vicenza, 1 Febbraio 2010

SEMINARIO TECNICO: La norma EN 16001 per I sistemi di gestione dell energia. Vicenza, 1 Febbraio 2010 SEMINARIO TECNICO: La norma EN 16001 per I sistemi di gestione dell energia Vicenza, 1 Febbraio 2010 BSI Group Sara Accetta Sales Manager BSI Italia Chi siamo Chi siamo Fondato nel 1901 in Inghilterra,

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Accreditamento degli LVS e abilitazione degli Assistenti

Accreditamento degli LVS e abilitazione degli Assistenti Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione Organismo di Certificazione Accreditamento degli LVS e abilitazione

Dettagli

Energy in Buildings and Communities

Energy in Buildings and Communities IEA Implementing Agreement Energy in Buildings and Communities Michele Zinzi, ENEA Giornata Nazionale IEA IA Ricerca Energetica e Innovazione in Edilizia ENEA, Roma, 27 febbraio 2015 Aspetti generali Fondato

Dettagli

Welfare: sfide e opportunità. Prof. Alberto Brambilla Coordinatore Giornata Nazionale della Previdenza Itinerari Previdenziali

Welfare: sfide e opportunità. Prof. Alberto Brambilla Coordinatore Giornata Nazionale della Previdenza Itinerari Previdenziali Welfare: sfide e opportunità Prof. Alberto Brambilla Coordinatore Giornata Nazionale della Previdenza Itinerari Previdenziali Lo scenario della previdenza complementare in Italia La spesa e i numeri del

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information

Dettagli

Ministero dello Sviluppo Economico

Ministero dello Sviluppo Economico Ministero dello Sviluppo Economico Comunicazioni Istituto Superiore C.T.I. Rapporto di Certificazione Gestione dei dati sanitari, infermerie e CMD Versione 1.1 Ottobre 2008 Questa pagina è lasciata intenzionalmente

Dettagli

La prima scelta delle panoramiche digitali

La prima scelta delle panoramiche digitali La prima scelta delle panoramiche digitali Abbiamo cura dei Clienti Abbiamo cura dei Pazienti Abbiamo cura dei nostri Partner Con molte attenzioni, Tecnologia per migliorare le cure Leader mondiale in

Dettagli

Standard ISO/IEC 270xx. Milano, 10 novembre 2011

Standard ISO/IEC 270xx. Milano, 10 novembre 2011 Standard ISO/IEC 270xx Milano, 10 novembre 2011 1 Agenda Presentazione relatore Introduzione agli standard ISO/IEC 27k La norma ISO/IEC 27001 in (molto) breve La certificazione ISO/IEC 27001 Gli standard

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

AUDIT DEI SISTEMI DI GESTIONE ISO/IEC 27001 E ISO/IEC 20000-1: PECULIARITÀ, APPROCCI POSSIBILI, INTEGRAZIONE, FORMAZIONE DEGLI AUDITOR

AUDIT DEI SISTEMI DI GESTIONE ISO/IEC 27001 E ISO/IEC 20000-1: PECULIARITÀ, APPROCCI POSSIBILI, INTEGRAZIONE, FORMAZIONE DEGLI AUDITOR Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legati agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce agli Audit dei Sistemi di Gestione

Dettagli

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Presentazione Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

ISO 9001. Cosa si nasconde concretamente dietro a questa sigla? Evento CC-Ti ISO 9001: utilità, attualità e successione aziendale

ISO 9001. Cosa si nasconde concretamente dietro a questa sigla? Evento CC-Ti ISO 9001: utilità, attualità e successione aziendale ISO 9001 Cosa si nasconde concretamente dietro a questa sigla? Evento CC-Ti ISO 9001: utilità, attualità e successione aziendale Lugano, 24 ottobre 2013 Ing. Marcello A. Bettini (Regional Manager Regione

Dettagli

Misurazione e valutazione della performance dei pubblici dipendenti: l'esperienza dell'ateneo fiorentino

Misurazione e valutazione della performance dei pubblici dipendenti: l'esperienza dell'ateneo fiorentino Misurazione e valutazione della performance dei pubblici dipendenti: l'esperienza dell'ateneo fiorentino Prof. Carlo ODOARDI Firenze, 16 aprile 2010 VALUTARE PER VALORIZZARE GLI INDIVIDUI E PROMUOVERE

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in IT Service Management according to ISO/IEC 20000 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 20000 L IT Service Management secondo

Dettagli

Accedere ai mercati internazionali

Accedere ai mercati internazionali Accedere ai mercati internazionali Prodotti durevoli: entrare in nuovi mercati in tempi rapidi e a costi vantaggiosi. TÜV Italia - Gruppo TÜV SÜD I requisiti del mercato: un ambito in costante evoluzione

Dettagli

Information Systems Audit and Control Association

Information Systems Audit and Control Association Information Systems Audit and Control Association Certificazione CISA Certified Information Systems Auditor CISM Certified Information Security Manager La certificazione CISA storia C I S l ISACA propone

Dettagli

Aerotermia e geotermia Dalla natura le fonti per un riscaldamento ad alta efficienza energetica.

Aerotermia e geotermia Dalla natura le fonti per un riscaldamento ad alta efficienza energetica. Verona, 4 maggio 2011 Aerotermia e geotermia Dalla natura le fonti per un riscaldamento ad alta efficienza energetica. Gli schemi di qualificazione della formazione e di certificazione professionale per

Dettagli

Comunicare e Collaborare in modo molto personale

Comunicare e Collaborare in modo molto personale Aumentare la produttività semplificando i processi e le attività: come facilitare la relazione e la collaborazione tra le persone Comunicare e Collaborare in modo molto personale Enrico Bonatti Direttore

Dettagli

ASTRA ATTUAZIONE DEL PROGRAMMA DI VALUTAZIONE DELLA SICUREZZA DEGLI AEROMOBILI

ASTRA ATTUAZIONE DEL PROGRAMMA DI VALUTAZIONE DELLA SICUREZZA DEGLI AEROMOBILI ATTUAZIONE DEL PROGRAMMA DI VALUTAZIONE DELLA SICUREZZA DEGLI AEROMOBILI STRANIERI DA PARTE DEGLI STATI MEMBRI DELL ECAC EUROPEAN CIVIL AVIATION CONFERENCE. CHE COSA È L ECAC? L ECAC è una organizzazione

Dettagli