Indice Indice...3 Introduzione e riconoscimenti La Governance della Sicurezza...13 Il panorama legislativo...17

Transcript

1 Indice...3 Introduzione e riconoscimenti La Governance della Sicurezza...13 La società del rischio...13 Il concetto di sicurezza applicata alle aziende e alle organizzazioni...15 La sicurezza come processo aziendale Il panorama legislativo...17 Considerazioni introduttive...17 Sicurezza e responsabilità amministrativa degli enti...19 Il Decreto Legislativo 231/ Progettazione e implementazione del sistema di deleghe aziendali...26 La sicurezza e i computer crimes...30 La Legge 23 dicembre 1993 n La legge 18 marzo 2008 n. 48 Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001 e norme di adeguamento all ordinamento interno...37 La tutela dei dati aziendali tramite l attuazione della normativa in tema di Privacy...39 Il Decreto legislativo 30 giugno 2003, n. 196 (Codice della Privacy)...39 L attuazione della normativa sul documento informatico e sulle firme elettroniche...46 Premesse...46 La normativa in vigore...48 Il D.Lgs. 61/2011 e le Infrastrutture Critiche Europee...52 L attuazione della normativa sulla disciplina del segreto...57 La sicurezza aziendale tra aspetti logici e fisici...60 Aspetti conclusivi Certificazione e standard relativi...65 Il concetto di certificazione...65 Dall Orange Book ad ITSEC fino ai Common Criteria...68 I Common Criteria...74 bitbook TM 1

2 Manuale di sicurezza aziendale Il Target Of Evaluation (TOE)...78 Il Security Target (ST)...79 Requisiti di sicurezza...80 Requisiti di sicurezza funzionali (SFR)...81 Requisiti di sicurezza di garanzia (SAR)...83 Livelli EAL...84 Classi di garanzia (SAR)...86 Protection Profile (PP)...88 Lo standard ISO/IEC 27001(ex BS7799)...88 Il concetto di Information Security Management System...92 Definizione della politica di sicurezza di alto livello (Define the policy)...92 Gestione del rischio (Manage the risk)...94 Definizione delle contromisure (Select control objectives and controls to be implemented)...94 Analisi dell applicabilità delle contromisure (Prepare a statement of applicability) 94 I controlli previsti dall ISO/IEC Politica di sicurezza (Security policy) Organizzazione della sicurezza (Security organisation) Classificazione e controllo dei beni (Asset classification and control) Gestione del personale (Personnel security) Sicurezza fisica e ambientale (Physical and environmental security) Gestione dei sistemi (Communications and operations management) Controllo accessi (Access control) Sviluppo e manutenzione dei sistemi (Systems development and manteinance) Business continuity (Business continuity management) Conformità (Compliance) Considerazioni Altri standard BS e BS ITIL v ISO ISO/IEC 21827:2008 (SSE-CMM ) COBIT L infrastruttura della certificazione L'analisi e la gestione del rischio Premessa Il modello complessivo Modello generale e terminologia Concetti e termini Schema sinottico (modello) Aspetti di metrica Il motore La Base di conoscenza bitbook TM

3 MIGRA Premesse e generalità I Componenti Classificazione della criticità dei componenti Componenti a vocazione fisica Responsabilità della compilazione del questionario Componenti a vocazione logica Costruzione e utilizzo del questionario Responsabilità della compilazione del questionario Minaccia e Attacco Contromisure Specifica funzionale Specifica attuativa La metodologia in funzione Appendice al capitolo GLOSSARIO Le contromisure fisiche Premesse Centrali di governo e controllo Dispositivi antintrusione Sistemi di protezione perimetrale Sistemi di protezione passiva Reti di recinzione Sistemi antiscavalcamento Sistemi di protezione attiva Cavo con sensori inerziali Fili tesi Tappeti sensibili Sistemi antitaglio/antiscavalcamento Campo elettrostatico Barriera a infrarossi Barriera a microonde Sistemi di protezione periferica Finestre antisfondamento Sistemi fisici di protezione finestrature Porte blindate Serrature Rilevatori di vibrazione Rilevatori a battente Barriera a microonde Barriera ad infrarossi Sistemi di protezione volumetrica Sistemi a raggi infrarossi Sistemi acustici (rottura vetro) Microonde ed ultrasuoni Sistemi a doppia tecnologia Componenti di segnalazione e supporto Combinatori telefonici bitbook TM 3

4 Manuale di sicurezza aziendale Sirene di allarme da interno Lampeggiatori Sirene di allarme da esterno Dispositivi per la sorveglianza di oggetto Dispositivi resistenti Casseforti Armadi di sicurezza Rilevatori Rilevatori sismici Rilevatori volumetrici capacitivi Rilevatori microfonici Illuminazione e TVCC Illuminazione perimetrale e periferica Illuminazione volumetrica Sistema televisivo a circuito chiuso (TVCC) Apparati e tecnologie complementari Motion detector digitale Visualizzazione plurischermo Selettore ciclico Stampanti video Controllo degli accessi e rilevazione presenze Tornelli Barriere motorizzate Badge Scrittori/trascrittori di badge Lettori di badge Derivato esterno videocitofonico Derivato esterno citofonico Il sistema antincendio La rilevazione dell incendio L estinzione dell incendio Estintori a mano Estintori carrellati Manichette per acqua e lance idriche Schiumogeni con monitore Idranti e naspi Impianti a getti d acqua suddivisa Impianti a schiuma Sistemi ad anidride carbonica Sistemi a saturazione totale Sistemi di tipo misto Sistemi a polvere chimica Evacuatori di fumo e calore Isolatori del loop Dispositivi complementari bitbook TM

5 Rilevatore antiallagamento Rilevatore di gas Sistemi di supporto alla sorveglianza Le contromisure logiche Premesse Crittografia Terminologia Precedenti storici e cifrari classici Cifrari simmetrici moderni Le funzioni hash Il problema dello scambio delle chiavi, la crittografia a chiave pubblica e la firma digitale Diffie-Hellman L idea della crittografia a chiave pubblica RSA Utilizzo pratico degli algoritmi di cifratura a chiave pubblica La firma digitale Problematiche relative alla lunghezza delle chiavi Problematiche relative all utilizzo della crittografia a chiave pubblica Applicazioni avanzate diverse Tecnologie diverse per la sicurezza logica Il firewall Generalità Packet filtering Circuit level gateway Application proxy Architetture complesse Considerazioni generali sulla realizzazione dei firewall Quanto è sicuro un firewall? La difesa in profondità: Intrusion Detection, Network Access Control, data Loss Prevention IDS Network Access Control Data Loss Prevention Tunnel e VPN IPSec Transport Layer Security e SSH DTLS SSTP OpenVPN Identity management Autentificazione forte Procedimenti operativi bitbook TM 5

6 Manuale di sicurezza aziendale Back-up Network security auditing Gestione degli aggiornamenti Vulnerability assessment Penetration testing Modalità di valutazione L'infrastruttura organizzativa Premesse La struttura organizzativa della sicurezza Normative legali e standard di certificazione Metodologie di analisi dei rischi Aspetti sociali e di intelligence, promozione e comunicazione della sicurezza Tecnologie informatiche, crittografia Tecnologie fisiche Redazione delle procedure per la sicurezza Le situazioni di outsourcing I ruoli e le responsabilità La gestione dell'emergenza Premesse Disaster Recovery Plan e Business Continuity Plan Business Impact Analysis e Piano operativo La Business Impact Analysis Criticità dei processi aziendali Classificazione delle applicazioni Calcolo del peso delle applicazioni Correlazione tra processi e applicazioni Criticità delle applicazioni La progettazione del PDR Fasi di realizzazione di un PDR FASE 0 - Definizione dei parametri di PDR FASE 1 - Definizione dei requisiti del Piano di Disaster Recovery CED ridondato Hot site aziendale Altro CED aziendale Centro servizi Empty shell Coordinamento della riattivazione Team di riattivazione Team di help-desk Team di rientro FASE 2 - Progettazione di dettaglio del Piano FASE 3 - Implementazione del Piano bitbook TM

7 FASE 4 - Test preoperativo FASE 5 - Test operativi e adeguamento periodici Tecnologie moderne e PDR Prospettive e futuro Le condizioni al contorno Il costo dello storage e della banda tendono a zero La mobilità La tendenza alla digitalizzazione di tutto I social network e l interazione a L Internet of Things La privacy in un mondo che non dimentica nulla Il perimetro non esiste (quasi) più Il rischio insider I rischi della nuvola L evoluzione delle minacce alla sicurezza: il malware dalla devianza alle operazioni militari TCP/IP Cyber-bibliografia Libri Periodici a stampa Siti Web Indice analitico bitbook TM 7