Metodologie di Risk Analysis: panoramica sulle metodologie e standard Un approccio pragmatico
|
|
- Gabriele Rossa
- 8 anni fa
- Visualizzazioni
Transcript
1 Metodologie di Risk Analysis: panoramica sulle metodologie e standard Un approccio pragmatico Prof. Ing. Claudio Cilli CIA, CISA, CISM, CISSP, CGEIT, CSSLP, CIRISC, M.Inst.ISP cilli@di.uniroma1.it
2 TCP/IP Application Presentation Session HTTP FTP SSL Transport Reliable or unreliable delivery Error correction before retransmit TCP UDP Network Provide logical addressing which routers use for path determination IP Data Link Combines bits into bytes and bytes into frames Access to media using MAC address Error detection not correction / HDLC 2 Physical Move bits between devices Specifies voltage, wire speed and pin-out cables EIA/TIA-232 V.35
3 TCP/IP Application Presentation Session HTTP FTP SSL Transport Reliable or unreliable delivery Error correction before retransmit TCP UDP Network Provide logical addressing which routers use for path determination IP Data Link Combines bits into bytes and bytes into frames Access to media using MAC address Error detection not correction / HDLC 3 Physical Move bits between devices Specifies voltage, wire speed and pin-out cables EIA/TIA-232 V.35
4 SISTEMA distribuito multifunz.
5 INTERNET - IL sistema distribuito Riflessioni sulla crisi dell 11 settembre WTC contesto: NYC = nodo superconnesso 74 TELCO Carrier 100 Int l Internet Carrier con link diretti a 71 paesi Interconnessione effettuata: al NYIX New York Internet Exchange nei Carrier hotels per collegamenti tra operatori presenti nello stesso palazzo 5
6 INTERNET - IL sistema distribuito Riflessioni sulla crisi dell 11 settembre WTC 1.la Rete nel complesso ha dimostrato la sua forte adattabilità nonostante i danni alle infrastrutture (anche ICT) ed al picco di traffico in seguito all evento (accesso a siti web informativi- scambio di messaggi) 2.la Rete ha dimostrato una notevole resilienza agli attacchi fisici, anche se in alcune componenti del sistema la ridondanza è stata inadeguata 3.molti dei problemi, a 8-12 ore dall evento, erano il risultato della mancanza di un piano di continuità operativo che potesse garantire, ad esempio: accesso o controllo remoto dei Data Centers consegna del carburante per i generatori elettrici!!! 4.la Rete ha garantito comunicazioni efficaci ( ed instant messages) a fronte della congestione della rete telefonica. 6
7 INTERNET - IL sistema distribuito Il routing Internet è ritornato alla quasi normalità nel giro di 15 minuti dal collasso della Torre Sud WTC Circa il 2% delle routes non ritornano normali per almeno 24 ore: alcune erano riferite a soggetti presenti al WTC altre erano riferite ad ISP di Italia (!!), Germania, Romania e Sud Africa I veri problemi sono stati tutti legati alla sicurezza informatica 7
8 Sicurezza IT: componenti di base Sicurezza delle transazioni Non Ripudio Sicurezza dei dati e delle applicazioni Sicurezza delle comunicazioni Autenticazione Autorizzazione Riservatezza Integrità 8
9 Evoluzione degli attacchi Alta Diagnostici invisibili Back Doors Vulnerabilita conosciute Sofisticazione del pacchetto/impersonificazione (packet spoofing/forging) Sniffer Livello di sofisticazione degli strumenti di hacking Codice autoreplicante Dirottamento di Sessione (session Hijacking) Disabilitazione audit Bassa 1980 Password semplici Password crack oggi Grado di conoscenza tecnica necessaria 9
10 Una possibile classificazione Disclosure Attack Masquerading Attack Integrity Attack Denial of Service Attack Software Forgery/Poisoning Attack Blended Threats 10
11 Disclosure Attack Esempio: Packet sniffing MITTENTE messaggio DESTINATARIO osserva INTRUSO 11
12 Masquerading Attack Esempio: IP spoofing / Shadow server MITTENTE Messaggio falsificato DESTINATARIO INTRUSO MITTENTE Messaggio DESTINATARIO INTRUSO 12
13 Integrity Attack Esempio: Connection hijacking / Data spoofing MITTENTE INTRUSO Messaggio originale Messaggio falsificato DESTINATARIO 13
14 Denial of Service Attack Esempio: SMURF, Trin00, Ping of Death, Tcp Syn flood INTRUSO (Master) SLAVES Mittente Destinatario 14
15 Software forgery/poisoning Attack (aka MALICIOUS CODE ATTACK) Esempio: Trojan horse, Backdoor,Virus INTRUSO http mail irc es. Canali di trasmissione del virus Propagazione inconsapevole da parte degli utenti 15
16 Blended Threats Combinano le caratteristiche di virus, worm, Trojan horse con le vulnerabilità dei server e di Internet per iniziare, trasmettere e propagare un attacco (autopropagazione) Esempio: NIMDA, CODE RED Sfruttano le vulnerabilità delle tecnologie adottate Ospite infetto es. Canali di trasmissione del codice (autopropagazione) Autopropagazione del codice 16
17 Qual è impatto degli attacchi? Interruzione dei servizi Perdita di guadagni Perdita di produttività Maggiori costi per il ripristino Esposizione a procedimenti giudiziari Come testimone o come imputato(*) Perdita di immagine * Bisogna dimostrare la diligenza nel minimizzare l esposizione agli attacchi 17
18 18 Un approccio metodologico
19 Sicurezza IT Implementare la Sicurezza in un determinato contesto vuol dire: Individuare Risorse da da proteggere Individuare Individuare Definire Determinare Minacce Vulnerabilità Il Il livello accettabile di di rischio Le Le specifiche di di sicurezza Un sistema sicuro è dunque un sistema che rispetta una serie di specifiche di sicurezza 19
20 Valutazione In linea generale la valutazione consente di rispondere, in maniera probabilistica circa la capacità di un sistema (assurance) di rispettare determinate specifiche di sicurezza Emerge dunque la necessità, tra utilizzatore e fornitore di sistemi IT di definire criteri e metodologie per la valutazione delle specifiche di sicurezza richieste da un sistema 20
21 Certificazione La valutazione eseguita da una terza parte indipendente (Organismo di Certificazione), sulla base di standard e metodologie riconosciute per le quali l organismo è stato accreditato da un Ente di Accreditamento, consente di ottenere la CERTIFICAZIONE 21
22 Certificazione Gestore dello schema Enti di accreditamento Enti di certificazione Laboratori di verifica Prodotto/processo da certificare Criteri e standard Certificazione 22
23 Panoramica storica Standard attuali TCSEC (Trusted Computer Security Evaluation Criteria o Orange Book, del 1985) ITSEC (Information Techonology Security Evaluation Criteria, del 1991) Francia, Germania, Olanda e Regno Unito CTCPEC (Canadian Trusted Computer Product Evaluation Criteria, del 1993) finalizzato a conciliare i concetti del TCSEC e del ITSEC FC (Federal Criteria for Information Technology Security, draft del 1993) volto a unificare il modello Nord Americano con quello Europeo Common Criteria: Stati Uniti, Canada, Francia, Germania, Olanda e Regno Unito, in collaborazione con l ISO (International Organization for Standardization) 23
24 Panoramica storica La caratteristica comune è che il livello di assurance deve essere stimato da un valutatore imparziale e, come precisato dai diversi criteri, dipende: dalle caratteristiche dell oggetto da valutare dal rigore con cui il valutatore analizza l oggetto della valutazione e la sua documentazione dalla severità dei requisiti che vengono imposti dai criteri sia sulla stesura della documentazione necessaria alla valutazione sia sull ambiente e sul processo di sviluppo dell oggetto stesso 24
25 Panoramica storica Approccio simile a quello seguito nell area del controllo di qualità ed implica: la valutazione può essere condotta solo se si conosce a priori a quale livello di assurance si ambisce le azioni che il valutatore deve compiere dipendono da tale livello I criteri definiscono una metrica per l assurance: aspetti e documentazione da considerare azioni che il valutatore deve compiere requisiti sull ambiente e sul processo di sviluppo modalità di descrizione dell oggetto da valutare funzioni di sicurezza che deve offrire mirano a soddisfare tutte le esigenze (utilizzatori, produttori, valutatori) precisano ruoli, compiti ed aspettative 25
26 Panoramica storica TCSEC (USA) Canada, prime iniziative NIST - MSFR 1990 Iniziative europee nazionali e regionali Federal Criteria 1992 CTCPEC Progetto Common Criteria 1993 ITSEC 1992 Common Criteria ver BS Common Criteria ver ISO / ISO /12/1999 ISO /2005
27 Risk Management Processo relativo all identificazione, valutazione, controllo e riduzione dei rischi nei sistemi informativi Obiettivo: identificare aree specifiche dove le protezioni sono necessarie per prevenire deliberate o accidentali divulgazioni non autorizzate, modifiche, uso non autorizzato delle informazioni, o negazione del servizio 27
28 Quadro di sintesi Risk Analysis Cost Benefit Analysis Countermeasure Selection Countermeasure Implementation Security Test & Evaluation Penetration Testing Systems Review Certification Contingency Planning 28
29 29 Relazioni nella gestione del rischio
30 SICUREZZA = PROCESSO DINAMICO Evoluzione delle strategie di attacco Disponibilità di strumenti innovativi per contrastare gli attacchi Analisi Gestione Incidenti di sicurezza rischio 30 Verifica sicurezza Attuazione misure
31 Risk Management Methods Austrian IT Security Handbook Control Objectives for Information and Related Technology (CObIT) CCTA Risk Assessment and Management Methodology (CRAMM) Dutch A&K Analysis EBIOS ETSI Factor Analysis of Information Risk Management (FIRM) Failure Modes and Effects Analysis (FMEA) Facilitated Risk Assessment Process (FRAP) Information Risk Assessm,ent Methodologies (IRAM) ISAMM Information Security Forum (ISF) Methods ISO TR (a Techniocalo Report which is a precursor to ISO/IEC 27005) ISO/IEC ISO/IEC IT Grundschutz Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacion (MAGERIT) MEHARI MIGRA NIST SP NIST SP NSA IAM / IEM / IA-CMM OCTAVE Open Source Security Testing Methodology Manual (OSSTMM) Practical Threat Analysis (PTA) Simple to Apply Risk Assessment (SARA) Security Officers Managemtn and Analysis Project (SOMAP) Simplified Process for Risk Identification (SPRINT) 31
32 Risk Management Tools Risk Management Tools Acuity Stream Archer Axur Callio Casis Citicus ONE Cobra CRAMM EAR / PILAR EBIOS GSTool GxSGSI ISAMM MIGRA Modulo Risk Manager OCTAVE Proteus Enterprise RA2 Art of Risk Resolver Ballot Resolver Risk Risicare Riskwatch RM Studio Risk Manager RiskOptix RSAM vsrisk 32
33 Le metodologie vanno confrontate
34 Sono idonee le formule? IS Risk Analysis Based on a Business Model uses the following:
35 Che fare? Si tratta di scegliere una metodologia pratica Di facile utilizzo Che dia risultati concreti Adattabile In accordo con almeno uno standard consolidato, ma quale? La scelta è caduta su ITSEC per la sua semplicità, coerenza e perché europeo! 35
36 Information Technology Security Evaluation Criteria ITSEC 36
37 Criteri ITSEC ITSEC (Information Technology Security Evaluation Criteria) Gruppo di lavoro misto F, UK, D, NL Finalizzato alla valutazione di sistemi o di prodotti specifici Non sono norme ma criteri: identificano le verifiche da eseguire nel corso della valutazione 37
38 Criteri ITSEC (cont.) Formale: cioè basata su azioni note, imparziali, ripetibili, riproducibili (metodologie) Hanno come oggetto le contromisure IT, anche se il contesto dell'ambiente di esercizio deve essere descritto con tutte le contromisure anche di altro genere Introduce il concetto di T.O.E. (Target of Evaluation) 38
39 Criteri ITSEC Il Target of Evaluation viene analizzato separatamente nelle sue due componenti: Funzionalità di sicurezza previste Livello di assurance per le funzionalità T.O.E.: Sistema Scopo specifico Ambiente operativo noto Prodotto Si può acquistare da solo Può essere incorporato in più sistemi Funzionalità Correttezza assurance Efficacia 39
40 Criteri ITSEC Assurance, due obiettivi: efficacia delle funzioni di sicurezza per contrastare le minacce correttezza nella realizzazione delle funzioni e dei meccanismi di sicurezza (assurance) 7 livelli (E0, E1,..., E6) di valutazione dell assurance 10 classi di funzionalità predefinite 40
41 Analisi di due elementi Efficacia 3 gradi di robustezza Aspetto di costruzione Aspetto operativo Correttezza 6 livelli di valutazione Aspetto di costruzione Processo di sviluppo Ambiente di sviluppo Aspetto operativo Documentazione d uso Ambiente operativo Attributi delle specifiche Tipo di formalizzazione Informali Semiformali Formali Grado di approfondimento Affermare Descrivere Spiegare 41
42 Security Target Politica di sicurezza o Product Rationale Funzioni di sicurezza Meccanismi (opzionale) Robustezza minima dei meccanismi Livello di valutazione 42
43 Valutazione Controllo della idoneità delle funzioni e dei meccanismi Controllo della consistenza delle funzioni e meccanismi ovvero della loro capacità di lavorare bene insieme; Esame della robustezza dei meccanismi Esame della vulnerabilità connessa ad aspetti di costruzione Esame della facilità d uso Esame della vulnerabilità connessa ad aspetti operativi Controllo dei requisiti Controllo del disegno architetturale Controllo del disegno di dettaglio Controllo dell installazione Controllo dell ambiente di sviluppo Controllo della documentazione operativa Controllo dell ambiente operativo Esecuzione dei test di penetrazione Stesura del rapporto di valutazione (ETR) 43
44 Processo di valutazione Politica di Sicurezza Aziendale Politica di Sicurezza Tecnologica Requisiti Preparare la documentazione per la valutazione SPONSOR Document. Obiettivi di Sicurezza Certificato Documentazione TOE Eseguire la valutazione Rilasciare il rapporto di certificazione Rapporto di valutazione (ETR) VALUTATORE ENTE CERTIFICATORE
45 Generic Headings Identificazione e autenticazione Controllo accessi Accountability Audit Riutilizzo di risorse Accuratezza Affidabilità del servizio Scambio dati Ogni Generic Heading è quindi dettagliato nelle contromisure (funzioni) di dettaglio relative (es.: backup, crittografia, ecc.) 45
46 46 La metodologia in pratica
47 Fase 1: Raccolta dati Nel Piano di Sicurezza il vero bene da proteggere sono le informazioni e su di esse si concentrano tutte le attività Fasi di attività: Esame della Politica di Sicurezza Classificazione dei dati Rilevazione della struttura informatica Distribuzione dei dati nei sistemi Analisi delle minacce e degli attacchi 47
48 Esame della Politica di Sicurezza Politica di sicurezza aziendale: l insieme di norme, regole, consuetudini che regolano come i beni aziendali vengono gestiti, protetti e distribuiti all interno dell organizzazione. Tali norme spesso sono sintetizzate in un documento aziendale Politica di sicurezza di sistema: documento, facente parte degli obiettivi di sicurezza se il TOE è costituito da un sistema, che illustra l insieme di norme, regole, consuetudini che regolano come le informazioni rilevanti per la sicurezza (sensitive) ed altre risorse sono gestite, protette e distribuite all interno dello specifico sistema. Il documento fa riferimento agli eventuali documenti di politica di sicurezza aziendale e tecnologica. Il documento dovrebbe identificare gli obiettivi di sicurezza del sistema e le relative minacce e dovrebbe coprire tutti gli aspetti di sicurezza relativi al sistema, inclusi quelli associati alla misure di sicurezza fisica, procedurale e del personale Politica di sicurezza tecnologica: l insieme di norme, regole, consuetudini che regolano l elaborazione delle informazioni rilevanti per la sicurezza (sensitive) e l uso di altre risorse da parte dell hardware e software di un sistema informativo. Tali norme possono essere suddivise in più documenti dedicati a specifiche tecnologie per esempio reti locali, trasmissione dati, stazioni di lavoro personali, ecc. Il documento fa riferimento alla politica di sicurezza aziendale e dovrebbe essere predisposto quando si introducono nuove tecnologie Product rationale: documento, facente parte degli obiettivi di sicurezza se il TOE è costituito da un prodotto, che dovrebbe fornire all eventuale acquirente le informazioni necessarie a valutare se il prodotto può soddisfare gli obiettivi di sicurezza e a definire cosa altro deve essere fatto affinché tali obiettivi possano essere raggiunti completamente. Quindi il documento dovrebbe identificare le modalità d uso del prodotto, l ambiente a cui è indirizzato e le minacce previste in tale ambiente 48
49 Classificazione dei dati I dati e le informazioni devono essere disponibili in una forma possibilmente strutturata Data set Data set #1 Data set #2 Data set n Label Description Comment 49
50 Classificazione dei dati (cont.) Ai responsabili dei dati e manager aziendali viene chiesto di riempire degli opportuni questionari in cui si richiede di valutare la sensibilità dei dati gestiti o utilizzati rispetto ai parametri canonici di integrità, riservatezza e disponibilità con un valore 1, 2 o 3 Il questionario che ogni soggetto intervistato riceve contiene solo gli elementi di propria competenza Data set Data set #1 Data set #2 Data set #3 Data set #4 Data set #5 Integrity Relevance Confidentiality Availability
51 Classificazione dei dati (cont.) I valori attribuiti sono sommati in modo ponderato (Σ/n) e scalati per evitare numeri decimali (x 10, x100, ecc.) L obiettivo è di dividerli in tre macro-classi (High, Medium, Low) per ogni parametro di sensibilità V 1 High Medium Low Integrity H M L V 2 High Medium Low Confidentiality H M L V 3 High Medium Low Availability H M L Alla fine si ottiene la figura seguente 51
52 Classificazione dei dati (cont.) Successive analisi ed interviste eliminalo le eventuali situazioni di incongruenza (i manager desiderano che un certo gruppo sia posizionato, ad esempio per ragioni strategiche aziendali, in una classe diversa da quella spettante dall elaborazione) Data set Data set #1 Data set #2 Data set #3 Data set #4 Data set #5 Data set #6 Data set #7 Data set #8 Integrity Value H M L 52
53 Classificazione dei dati (cont.) Il risultato finale è un report di questo tipo: Integrity Confidentiality Availability Data set Data set #1 H M M Data set #2 L M L Data set n M L L 53
54 Rilevazione della struttura informatica Attraverso interviste e questionari si ottiene una rappresentazione del sistema informativo, distinguendo tra livelli omogenei e sistemi che rivestono particolare importanza Ad esempio: HOST (Mainframe) RETE (Rete Geografica Aziendale) MINICOMPUTER (Sistemi Dipartimentali) LAN (Local Area Network) WORKSTATION (Personal Computer) SISTEMI DI BACK-UP 54
55 Distribuzione dei dati nei sistemi La sensibilità di ogni archivio di dati è la stessa per ogni sistema in cui è presente o elaborato, e pari al valore precedentemente determinato: Data set Integrity Architectural levels Host WAN Mini LAN WS Tape room Data set #1 H H H H Data set #2 L L Data set n M M M 55
56 Distribuzione dei dati nei sistemi (cont.) Analoghe tabelle vengono costruire per i restanti parametri di sensibilità: Confidentiality Data set Architectural levels Host WAN Mini LAN WS Tape room Data set #1 M M M M Data set #2 M M Data set Availability Architectural levels Host WAN Mini LAN WS Tape room Data set #1 M M M M Data set n L L Data set #2 L L Data set n L L 56
57 Distribuzione dei dati nei sistemi (cont.) La sensibilità di ogni sistema informatico viene definita pari a quella dei dati presenti o elaborati di valore più elevato: D a ta s e t In te g r ity A r c h ite c tu r a l le v e ls H o s t W A N M in i L A N W S T a p e ro o m D a ta s e t # 1 D a ta s e t # 2 H H H H L L D a ta s e t n M M M 57
58 Distribuzione dei dati nei sistemi (cont.) La sensibilità del sistema informatico può essere diversa rispetto ai tre parametri di sicurezza: D a ta s e t D a ta s e t # 1 D a ta s e t # 2 A v a ila b ility A rc h ite c tu ra l le v e ls H o s t W A N M in i L A N W S T a p e ro o m M M M M L L D a ta s e t D a ta s e t # 1 D a ta s e t # 2 C o n fid e n tia lity A rc h ite c tu ra l le v e ls H o s t W A N M in i L A N W S T a p e ro o m M M M M M D a ta s e t # 5 L M L D a ta s e t # 5 L L 58
59 Distribuzione dei dati nei sistemi (cont.) Se un sistema non contiene o elabora dati critici o sensibili, il suo valore è non classificato ed è ignorato In base ai risultati conseguiti nei passi precedenti è possibile costruire la tavola riepilogativa finale: Integrity Confidentiality Availability Arch. level Host H M M WAN H M M Mini H M M LAN M M L WS L Tape room H M M 59
60 Analisi delle minacce e degli attacchi Evento non desiderato, sia deliberato che accidentale, che potrebbe in qualsiasi modo arrecare danno direttamente o indirettamente Sono possibili molte classificazioni delle minacce in grado di agire su un sistema. Una è la seguente: FURTI Azioni di appropriazione di apparati, impianti, tabulati, supporti magnetici, o copie di dati e/o programmi, sottratti all azienda con finalità diverse. Per ciò che concerne i dati ed i programmi non necessariamente finalizzati alla divulgazione all esterno FRODI O MALVERSAZIONI (COMPUTER CRIME) Azioni finalizzate ad arrecare un danno alla azienda sia per ricavarne profitti personali illeciti, o per terzi, sia per attivare azioni di ritorsione, intimidazione o comunque compromissori per la missione o per l immagine dell azienda stessa DANNEGGIAMENTO Eventi ti tipo fisico o logico e che comportano danni tali da provocare la perdita di affidabilità fino all interruzione del servizio 60
61 Analisi delle minacce e degli attacchi MANIPOLAZIONI DI DATI E/O PROGRAMMI Azioni vandaliche in grado di arrecare danno all azienda senza finalità conclamate (rientrerebbero altrimenti nelle frodi) PERDITA DI PRIVACY Azioni, sia accidentali che procurate, che possono comunque l accesso ad informazioni riservate o che se non utilizzate dai diretti interessati possono essere suscettibili di erronee o fuorvianti interpretazioni ERRORI SUI DATI E PROGRAMMI Errori derivanti sia dalla mancanza di adeguati test e collaudi al software prima della messa in esercizio, sia derivanti da mancanza di controlli adeguati sui dati immessi nel sistema. UTILIZZO ILLEGALE DI SOFTWARE Azioni di inserimento di software non legale e comunque, anche se legale, non autorizzato dalla struttura responsabile del S.I. DIVULGAZIONE DI DATI E PROGRAMMI Minaccia particolare posta in una posizione intermedia tra la frode ed il furto. L azione infatti può avvenire in assenza di danni per l azienda e rappresentare in tal caso non una frode vera e propria bensì un furto attuato tramite copia illegittima dello stesso. Qualora l evento porti nocumento all azienda si tratta di una frode vera e propria perpetrata con modalità tipiche del furto 61
62 Analisi delle minacce e degli attacchi UTILIZZO ILLEGALE DI RISORSE Utilizzo illecito delle risorse aziendali, costituendo di fatto un abuso nei confronti dell azienda stessa o una appropriazione indebita di beni immateriali AVARIE AI SISTEMI Malfunzionamenti del sistema, sia sull hardware che sul software, in grado di compromettere l affidabilità del sistema stesso. INAGIBILITA DEI LOCALI Condizioni di impraticabilità, temporanea o definitiva, dei locali dove operano i sistemi o dove sono depositati gli archivi off-line necessari ad un esercizio affidabile del sistema. L inagibilità cui si fa riferimento è quella che dipende dalle infrastrutture ausiliarie e logistiche di supporto ove i sistemi sono collocati 62
63 Analisi delle minacce e degli attacchi Le minacce in grado di agire sui sistemi si attuano mediante diverse tipologie di attacchi, come ad esempio: Accesso non autorizzato a dati e programmi Intercettazione delle informazioni in transito sulle linee di comunicazione Analisi del traffico sulla rete locale Abuso di privilegi Furto di supporti o documenti Modifica di dati e programmi Inserimento di virus Ecc. 63 L analisi condotta in azienda consente di determinare quali sono gli attacchi possibili e le modalità di attuazione
64 Fase 2: Elaborazione ITSEC prevede di definire gli obiettivi di sicurezza come insieme delle funzioni di sicurezza (Security Function) atte a contrastare gli attacchi Fasi di attività: Analisi degli obiettivi sulle classi di sensibilità dei dati Determinazione delle funzioni di sicurezza Determinazione dei meccanismi Grado di robustezza dei meccanismi Grado di confidenza (assurance) richiesto 64
65 Analisi degli obiettivi sulle classi di sensibilità dei dati Gli obiettivi (reazione agli attacchi) sono precisati per le tre classi di sensibilità dei dati: Obiettivi di sicurezza H M L Accesso non autorizzato a dati e programmi x x x Intercettazione delle informazioni in transito sulle linee di x comunicazione Analisi del traffico sulla rete locale x x Abuso di privilegi x Furto di supporti o documenti x x x Modifica di dati e programmi x Inserimento di virus x x 65
66 Determinazione delle funzioni di sicurezza I criteri ITSEC, pur lasciando libertà di scelta delle funzioni di sicurezza, ne suggeriscono l'ordinamento in gruppi. A tal fine raccomandano (ma non impongono) l'uso dei seguenti otto gruppi generici (generic headings): identification and authentication access control accountability audit object reuse accuracy reliabilty of service data exchange A queste si aggiungono un gruppo di funzioni di tipo organizzativo e un altro logistico 66
67 Determinazione delle funzioni di sicurezza Gli obiettivi di sicurezza vengono tradotti nelle funzioni di sicurezza necessarie ad attuarli (una per ogni parametro di sicurezza: integrità, riservatezza, disponibilità): Obiettivi di sicurezza Accesso non autorizzato a dati e programmi Intercettazione delle informazioni in transito sulle linee di comunicazione Analisi del traffico sulla rete locale Abuso di privilegi Furto di supporti o documenti Modifica di dati e programmi Inserimento di virus Funzioni di sicurezza Access Control Access Control Identification and Authentication Organizzazione Accountability Access Control Funzioni logistiche Access Control Organizzazione Organizzazione Funzioni logistiche Access Control Reliability of service Organizzazione Accountability Permettendo di costruire la seguente tabella: 67
68 Determinazione delle funzioni di sicurezza (cont.) Sensitivity classes HIGH MEDIUM LOW Security functions Security parameters I C A I C A I C A Identification and Authentication X X X X X X G Access control X X X X X X E Data access control X X X X X X N. Accountability X X X X X X / Audit X X X X X X H Object reuse X E Accuracy X X X A Reliability of service X X X X X X D. Data exchange X X Rules and responsibilities X X X X X X definition O Procedures for system utilisation X X X X X X R Procedures for system management X X X X X X X X X G Training X X X Communication activity to make X X X X X X X X X users aware of security needs Passive detection systems X X L Active detection systems X X O Physical access control systems X X X X X X G UPS X X X X General building structures X X 68
69 Determinazione dei meccanismi Dal confronto tra la tabella relativa alla sensibilità dei sistemi informatici e quella delle funzioni... Sensitivity classes HIGH MEDIUM LOW Integrity Confidentiality Availability Arch. level Host H M M WAN H M M Mini H M M LAN M M L WS L Tape room H M M Security parameters I C A I C A I C A Security functions Identification and Authentication X X X X X X G Access control X X X X X X E Data access control X X X X X X N. Accountability X X X X X X / Audit X X X X X X H Object reuse X E Accuracy X X X A Reliability of service X X X X X X D. Data exchange X X Rules and responsibilities X X X X X X definition O Procedures for system utilisation X X X X X X R Procedures for system management X X X X X X X X X G Training X X X Communication activity to make X X X X X X X X X users aware of security needs Passive detection systems X X L Active detection systems X X O Physical access control systems X X X X X X G UPS X X X X General building structures X X si determina quali funzioni di sicurezza e con quale efficacia (H, M, L, pari alla sensibilità dei dati da proteggere) devono essere adottate per ogni sistema per ogni parametro (integrità, riservatezza, disponibilità) 69
70 Determinazione dei meccanismi I meccanismi di sicurezza attuano le funzioni previste Si cerca di utilizzare quelli certificati Sono scelti sulla base di considerazioni economiche, a parità di grado di robustezza offerta Non esiste un metodo preciso per la loro adozione: l esperienza e la capacità dell esperto decidono 70
71 Grado di robustezza dei meccanismi La robustezza dei meccanismi è definita con precisione in ITSEC Può essere Alta, Media o Bassa, che rappresentano crescenti livelli di resistenza ad un attacco diretto ITSEM definisce le modalità di determinazione del grado di robustezza per i generic headings validi anche per quelli relativi alle funzioni logistiche, basate su: tempo a disposizione per effettuare l attacco complicità necessaria esperienza tecnica posseduta attrezzatura utilizzata Per i meccanismi di tipo organizzativo si può utilizzare la seguente tabella: 71
72 Grado di robustezza dei meccanismi Grado di robustezza Funzioni organizzative Norme di utilizzo Procedure di gestione Formazione Ruoli e responsabilità Sensibilizzazione e comunicazione BASE Definiti Generale MEDIA Definiti Descrizione generale Descrizione generale Generale ALTA Definiti Descrizione dettagliata con formalizzazio ne Descrizione dettagliata Specifica per la sicurezza Specifica BASE: definiti ruoli e responsabilità MEDIO: definiti ruoli e responsabilità. Descritto utilizzo e gestione delle funzioni di sicurezza ALTO: definiti ruoli e responsabilità. Descritto in dettaglio utilizzo e gestione delle funzioni di sicurezza, addestramento alla sicurezza 72
73 Grado di confidenza (assurance) richiesto ITSEC definisce sette livelli (E0..E6) di confidenza (assurance) del sistema di sicurezza rispetto alla sua capacità di attuare le funzioni previste Ogni livello rappresenta crescenti livelli di confidenza Il livello di confidenza è influenzato da diversi fattori, tra cui la completezza e approfondimento della documentazione 73
74 Valutazione economica della sicurezza 74
75 Aspetti generali Le contromisure (meccanismi) di sicurezza determinate dall applicazione della metodologia devono essere scelte in base a: una valutazione economica e quantitativa dei costi connessi al rischio residuo al costo delle contromisure stesse avendo per obiettivo quello di raggiungere la soluzione che presenta il costo minore In realtà è molto difficile adottare un tale approccio perché se da un lato è possibile determinare con esattezza il costo dei sistemi di protezione, dall altro è estremamente difficile calcolare il costo della loro efficacia, cioè del rischio evitato Si tratta di un costo previsto, che dipende dalla volontà di qualcuno di causare un danno (o dalla probabilità di accadimento di un evento naturale) e il fallimento del sistema di contromisure 75
76 Valutazione del costo del rischio Il calcolo del costo del rischio è effettuato tramite l analisi del valore economico e del grado di sensibilità dei dati, come determinato dall applicazione della metodologia In precedenza i data-set sono stati classificati secondo la loro sensibilità, ora ai responsabili aziendali si chiede di indicare (ponendo un segno sulla colonna opportuna) se il data-set è importante o essenziale per l organizzazione dal punto di vista del costo 76 SECURITY QUESTIONNAIRE DATA CLASSIFICATION DEI ACCORDING TO THEIR VALUE AND SENSITIVITY Information system... VALUE SENSITIVITY Important Essential Sensitivity class Risk class Cove-rage grade Relevant data list
77 Valore del sistema informativo Sistema informativo... Stimare il valore del sistema informativo per l azienda, l individuo e il danneggiatore, utilizzando i seguenti parametri: 0 = trascurabile 4 = circa Euro 1 = circa 10 Euro 5 = circa Euro 2 = circa 100 Euro 6 = circa 1 milione di Euro 3 = circa Euro 7 = circa 10 milioni di Euro A. Valore per l azienda Parametro V Costo di ricostruzione... Costo di penalizzazione... Opportunità perdute... Impossibilità a prendere decisioni... Altro... B. Valore per l individuo Reputazione... Libertà civili... Credito... Altro... C. Valore per il danneggiatore Risorsa da vendere... Appropriazione... Vendetta... Miglioramento del credito, stipendio, posizione... Competitività... Vantaggio politico... Altro... 77
78 Probabilità di accadimento di un evento dannoso Sistema informativo... Valutare le probabilità di ciascuno degli eventi sotto indicati utilizzando i seguenti parametri: 0 = impossibile 4 = 1 volta ogni 30 giorni 1 = 1 volta ogni 100 anni 5 = 1 volta ogni 3 giorni 2 = 1 volta ogni 10 anni 6 = 3 volte al giorno 3 = 1 volta all anno 7 = 30 volte al giorno A. Disastri Parametro R Naturali... Danni all hardware e al software... Incuria umana... B. Violazione della riservatezza Curiosità... Ottenimento di informazioni per ragioni politiche o legali... Rivelazione involontaria di informazioni riservate... C. Dolo Saccheggio e sabotaggio... Utente malintenzionato... Appropriazione indebita... Spionaggio industriale... 78
79 Esposizione annua Dalla somministrazione dei questionari precedenti si può determinare quello riassuntivo, dove in ogni riga si può indicare la media dei risultati ottenuti o il caso peggiore tra essi (per effettuare, ad esempio, delle simulazioni): SECURITY QUESTIONNAIRE INFORMATION SYSTEMS VALUES AND PROBABILITY OF HAPPENING OF A DAMAGING EVENT VALUE (V) RISK (R) Information system Company Person Saboteur Integrity Confidentiality Availability 1 (A) (B) (C) (1) (2) (3)
80 Esposizione annua (cont.) Dal significato attribuito ai parametri V e R si ha: L esposizione annua (in Euro) è ovviamente il prodotto del valore del sistema informativo (in Euro) e della probabilità annua di accadimento dell evento dannoso: Dove: Valore del sistema informativo = 10 (V) [Euro] E = esposizione annua in Euro; (R - 3) Probabilità annua = 10 E = 10 (V+R) V = valore del sistema informativo (colonne A oppure B, o C del prospetto) R = probabilità di accadimento dell evento dannoso (dal prospetto precedente, colonne 1 oppure 2, o 3). 80
81 Esposizione annua (cont.) ESPOSIZIONE ANNUA AMMONTARE DELL ESPOSIZIONE ANNUA RELATIVA AL LIVELLO DI SICUREZZA DI OGNI SISTEMA INFORMATIVO Sistema informativo Disastro ESPOSIZIONE ANNUA (LIRE) Violazione Dolo riservatezza Totale Con tale procedimento si perviene ad un prospetto riassuntivo, in cui l esposizione annua è suddivisa, per comodità di analisi, nelle categorie: disastro (colonne 1 e A del prospetto precedente), violazione di riservatezza (colonne 2 e B) e dolo (colonne 3 e C) 81
82 Esempio di calcolo A titolo di esempio si consideri la seguente analisi: La perdita di un file comporta un costo di per ricostruirlo (V = 3) e accade una volta ogni 30 giorni (R = 4): E = 10 ( ) = Euro/anno Un incendio comporta una perdita di 1 milione di Euro (V = 6) e la sua probabilità di accadimento è una volta ogni 100 anni (R = 1): E = 10 ( ) = Euro/anno La ripartenza di un elaboratore fallita per un errore di un operatore comporta un costo di Euro 19 (V = 1); se ciò accade 30 volte al giorno (R = 7), la corrispondente esposizione è: E = 10 ( ) = Euro/anno 82
83 Scelta del grado di sicurezza Il problema della scelta del grado di sicurezza consiste nell individuare, tra le possibili combinazioni di sistemi di salvaguardia, l alternativa ritenuta migliore in base al criterio dei costi e benefici. A tale scopo, può essere utilizzato il metodo che comporta la determinazione del costo totale atteso per ogni alternativa Dove: Xi(K) la quota di ammortamento annua relativa al costo dell installazione del generico sistema di sicurezza K Xg(K) il costo annuale di gestione dello stesso Y(K) l esposizione annuale dovuta al costo del rischio connesso con l adozione di tale sistema di sicurezza T(K) il suo costo totale annuo T(K) = X i (K) + X g (K) + Y(K) 83
84 Scelta del grado di sicurezza (cont.) A causa degli alti costi di realizzazione, la determinazione del miglior sistema di sicurezza sarà generalmente basata sul confronto dei costi totali dei sistemi alternativi relativi ad un periodo di circa 5 anni. La relazione precedente può quindi essere espressa come: T(K) = X i (K) + 5 Ft n n= 1 (X gn (K) + Y n (K)) dove Ftn è il fattore attuale relativo all anno n-esimo, cioè il valore attuale di una lira dell anno n-esimo, al tasso di interesse t. La relazione separa i costi di installazione da quelli ricorrenti; il fattore Ftn riporta i costi futuri al valore attuale consentendone il confronto 84
85 Scelta del grado di sicurezza (cont.) Si possono quindi prendere in esame un certo numero di sistemi di sicurezza determinandone le componenti di costo. Se si contraddistinguere con un indice K più elevato i sistemi più sofisticati, è evidente che al crescere di K aumenteranno i costi di installazione e gestione X(K), con: X(K) = X i (K) + 5 Ft n n= 1 X gn (K) mentre si ridurrà il costo del rischio Y(K) con: Y(K) = 5 Ft n n= 1 Y n (K) 85
86 Scelta del grado di sicurezza (cont.) I risultati potranno quindi essere riportati in un grafico: costi Y(K) X(K) + Y(K) a X(K) b K 86
87 Scelta del grado di sicurezza (cont.) Dall esame del caso ipotizzato nella figura, il sistema di sicurezza che comporta il minimo costo totale atteso risulterebbe quello numero 4. Tuttavia, in considerazione dell aleatorietà della determinazione del costo del rischio, è consigliabile interpretare il risultato di un analisi del tipo proposto. In particolare, se l adozione di un sistema di sicurezza più sofisticato (n. 4 anziché n. 3) comporta una riduzione del costo totale (a) modesta rispetto all incremento di costo del sistema di sicurezza (b), potrebbe risultare opportuno dare la preferenza al sistema di sicurezza di grado inferiore Il procedimento di ottimizzazione può apparire eccessivamente teorico. In effetti non sempre l analisi dei costi e dei benefici può essere applicata in modo quantitativamente rigoroso al problema di scelta del miglior livello di sicurezza nell IT. Vi sono tuttavia numerosi problemi, anche di portata più limitata, che possono essere affrontati con tale metodologia, ottenendo ottimi risultati concreti 87
88 Domande? 88
89 TCSEC Trusted Computer System Evaluation Criteria ORANGE BOOK 89
90 TCSEC Orange Book CARATTERISTICHE SISTEMI MULTIUTENTE ORIENTATO ALLA RISERVATEZZA PREVEDE UN UNICO LIVELLO CHE DEFINISCE SIA I REQUISITI DI SICUREZZA CHE DI CONFIDENZA NON PREVEDE PRODOTTI 90
91 TCSEC Orange Book 4 DIVISIONI D Protezione minima C Protezione discrezionale B Protezione mandatoria A Protezione verificata D 7 CLASSI C1, C2 B1, B2, B3 A1 91
92 92 Requirements Application impact Classificazione TCSEC Orange Book D C2 B1 B2 E3 A1 DOESN T MEET ANY OTHER LEVEL; D I S C R E T I O N A R Y C O N T R O L L E D L A B E L L E D S T R U C T U R E D S E C U R. D O M A I N S V E R I F I E D D E S I G N HIGH LOW C1
93 TCSEC - Orange Book Aspetti considerati Politica di sicurezza Accountability Confidenza (assurance) Qualità documentazione 93
94 Criteri TCSEC Orientati alla riservatezza (approccio militare) 7 classi: D, C1, C2, B1, B2, B3, A1 Appartenenza ad una classe sulla base di: politica di sicurezza audit (accountability) fiducia (assurance) documentazione 94
95 Criteri TCSEC (cont.) Classe (D) Protezione minima Classe (C) Protezione discrezionale C1 - restrizione d accesso C2 - controllo accessi Classe (B) Protezione mandatoria B1 - protezione con etichette B2 - protezione strutturata B3 - domini di sicurezza Classe (A) Protezione certificata A1 - Progetto certificato 95
96 Determinazione delle Evaluation Class Determine Mode of Operation Determine Minimum User Clearance Determine Maximum Data Sensitivity Rating Determine Risk Index 96 Determine Minimum Security Evaluation Class
97 Modes of Operation Dedicated System High Multilevel Compartmented Partitioned Clearance Access Approval Need-to-know 97 = All users = Some users
98 Minimum User Clearance MINIMUM USER CLEARANCE Uncleared (U) Not Cleared but Authorized Access to Sensitive Unclassified (N) Confidential (C) Secret (S) Top Secret (TS)/Current Background Investigation (BI) Top Secret (TS)/Current Special Background Investigation (SBI) One Category (1C) Multiple Categories (MC) RATING (Rmin)
99 Maximum Data Sensitivity Maximum Data Sensitivity Ratings Without Categories RATING (R max ) Maximum Data Sensitivity With Categories RATING (R max ) Unclassified 0 Not Applicable Not Classified but Sensitive 1 N With One or More Categories 2 Confidential 2 C With One or More Categories 3 Secret 3 S With One or More Categories With No More Than One Category Containing Secret Data 4 S With Two or More Categories Containing Secret Data 5 Top Secret 5 TS With One or More Categories With No More Than One Category Containing Secret or Top Secret Data 6 TS With Two or More Categories Containing Secret or TS Data 7 99
100 Calcolo del Risk Index If Rmin < Rmax Risk Index = Rmax - Rmin If Rmin > Rmax Risk Index = 1, if there are categories on the system to which some users are not authorized access 0, otherwise R max = system s maximum data sensitivity R min = system s minimum user clearance 100
101 Minimum Security Evaluation Class RISK INDEX 0 Mode of Operation Dedicated Minimum Criteria Class for Open Environments No Prescribed Min Minimum Criteria Class for Closed Environments No Prescribed Min 0 System High C2 C2 1 Compartmented, Multilevel B1 B1 2 Compartmented, Multilevel B2 B Multilevel Multilevel Multilevel Multilevel Multilevel B3 A1 * * * B2 B3 A1 * * 101
102 Criteri CTCPEC (cont.) Il livello di valutazione conseguito da un prodotto esprime la fiducia complessiva che può essere riposta nel prodotto stesso E riferito complessivamente all insieme di tutte le funzionalità di sicurezza offerte e descritte per mezzo dei criteri funzionali Il risultato della valutazione è una lista i cui elementi sono coppe service-level (es.: CD-2, CR-1, ID-1, IS-1, IT-1, WA-1, WI-1, T-2 è la valutazione equivalente di un sistema TCSEC C2) Approccio molto sistematico Rigido perché considera un ben preciso insieme di funzionalità 102
103 Criteri CC (Common Criteria) Fanno propri alcuni concetti alla base dei criteri preesistenti Gli aspetti di assurance vengono separati da quelli funzionali come in ITSEC I Common Criteria contengono essenzialmente i principi tecnici fondamentali di validità generale, chiari e flessibili per descrivere e valutare: Requisiti funzionali Requisiti di affidabilità 103
104 Criteri CC Requisiti funzionali Tali requisiti sono descritti in modo organico e strutturato per due tipologie di situazioni: Protection Profile (PP) Si riferiscono a famiglie o categorie di prodotti e ambienti generici senza riferimenti a specifici prodotti o sistemi. Security Target (ST) Si riferisce ad uno specifico prodotto o sistema di cui si conoscono le specifiche di sicurezza. Tutti i requisiti di sicurezza (specifiche, descrizione, collegamenti, interdipendenze, ecc.) che si possono comporre nei PP e ST sono contenuti in un catalogo dei requisiti funzionali della sicurezza 104
105 Criteri CC Struttura Protection Profile/Security Target Introduction TOE description Security environment Assumptions Threats Organizational security Policies Security objectives Security requirements Functional req ts Assurance req ts TOE summary specification Rationale 105
106 Criteri CC Classi funzionali per i requisiti di sicurezza 106
107 Criteri CC (cont.) ACM Classe Nome Configuration Management L assurance viene trattata definendo 10 classi dei requisiti che concorrono a determinare l affidabilità della sicurezza ADO ADV AGD ALC ATE AVA Delivery & Operation Development Guidance Documents Life Circle Support Tests Vulnerability Assessment APE ASE AMA Protection Profile Evaluation Security Target Evaluation M aintenance of Assurance 107
108 Criteri CC (cont.) I livelli di valutazione dei CC sono 7 e vengono definiti con la sigla EAL (Evaluation Assurance Levels) (AL-0,..., AL-7) EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 Livello functionally tested structurally tested methodically tested methodically tested and checked semiformally designed and tested semiformally verified designed and tested formally verified designed and tested 108
Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliRisk Analysis & Risk Management. Prof. Ing. Claudio Cilli, CIA, CISA, CISSP, CISM c.cilli@isacaroma.it
Risk Analysis & Risk Management Prof. Ing. Claudio Cilli, CIA, CISA, CISSP, CISM c.cilli@isacaroma.it Risk Analyisis: Il problema Perdita di riservatezza Perdita di fiducia Perdita di disponibilità Perdita
DettagliGestione della Sicurezza Informatica
Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliSicurezza Aziendale: gestione del rischio IT (Penetration Test )
Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato
DettagliSICUREZZA INFORMATICA
SICUREZZA INFORMATICA IL CRESCENTE RICORSO ALLE TECNOLOGIE DELL'INFORMAZIONE E DELLA COMUNICAZIONE INTRAPRESO DALLA P.A. PER LO SNELLIMENTO L'OTTIMIZZAZIONE UNA MAGGIORE EFFICIENZA DEI PROCEDIMENTI AMMINISTRATIVI
DettagliCLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.
CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliMANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA
Pagina: 1 di 5 SISTEMA DI GESTIONE PER LA QUALITA 4.0 SCOPO DELLA SEZIONE Illustrare la struttura del Sistema di Gestione Qualità SGQ dell Istituto. Per gli aspetti di dettaglio, la Procedura di riferimento
DettagliLa valutazione della sicurezza
La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più
DettagliPiano di gestione della qualità
Piano di gestione della qualità Pianificazione della qualità Politica ed obiettivi della qualità Riferimento ad un eventuale modello di qualità adottato Controllo della qualità Procedure di controllo.
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
Dettaglipenetration test (ipotesi di sviluppo)
penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni
DettagliCORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES
1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliManuale della qualità. Procedure. Istruzioni operative
Unione Industriale 19 di 94 4.2 SISTEMA QUALITÀ 4.2.1 Generalità Un Sistema qualità è costituito dalla struttura organizzata, dalle responsabilità definite, dalle procedure, dai procedimenti di lavoro
DettagliA cura di Giorgio Mezzasalma
GUIDA METODOLOGICA PER IL MONITORAGGIO E VALUTAZIONE DEL PIANO DI COMUNICAZIONE E INFORMAZIONE FSE P.O.R. 2007-2013 E DEI RELATIVI PIANI OPERATIVI DI COMUNICAZIONE ANNUALI A cura di Giorgio Mezzasalma
DettagliTECNICO SUPERIORE DEI TRASPORTI E DELL INTERMODALITÀ
ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE TRASPORTI TECNICO SUPERIORE DEI TRASPORTI E DELL INTERMODALITÀ STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI TECNICO SUPERIORE DEI TRASPORTI E
DettagliIT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
_ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione
DettagliINFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it
INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it redatto ai sensi del decreto legislativo n 196/2003 2 GENNAIO 2014 documento pubblico 1 PREMESSA 3 SEZIONE
DettagliGestione dei documenti e delle registrazioni Rev. 00 del 11.11.08
1. DISTRIBUZIONE A tutti i membri dell organizzazione ING. TOMMASO 2. SCOPO Descrivere la gestione della documentazione e delle registrazioni del sistema di gestione 3. APPLICABILITÀ La presente procedura
DettagliGestire il rischio di processo: una possibile leva di rilancio del modello di business
Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura
DettagliStrategie e Operatività nei processi di backup e restore
Strategie e Operatività nei processi di backup e restore ver. 3.0-2014 Linee Guida + Do You Backup Your Invaluable Data? Now You Can with DuBackup! NSC s.r.l. Tutti i diritti riservati. Tutti i materiali
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito
ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta
DettagliEsperienze di analisi del rischio in proggeti di Information Security
INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile
DettagliV.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
DettagliINDICAZIONI GENERALI
INDICAZIONI GENERALI PER LA VALUTAZIONE, L ACQUISTO O LA REALIZZAZIONE IN PROPRIO DI SOFTWARE GESTIONALI PER LE SOCIETA DI RICERCA E SELEZIONE DEL PERSONALE, LE SOCIETA DI RICERCA DIRETTA E LE DIREZIONI
DettagliA.O. MELLINO MELLINI CHIARI (BS) GESTIONE DELLE RISORSE 1. MESSA A DISPOSIZIONE DELLE RISORSE...2 2. RISORSE UMANE...2 3. INFRASTRUTTURE...
Pagina 1 di 6 INDICE 1. MESSA A DISPOSIZIONE DELLE RISORSE...2 2. RISORSE UMANE...2 2.1. GENERALITÀ... 2 2.2. COMPETENZA, CONSAPEVOLEZZA E ADDESTRAMENTO... 2 3. INFRASTRUTTURE...3 4. AMBIENTE DI LAVORO...6
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
DettagliVULNERABILITY ASSESSMENT E PENETRATION TEST
VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo
Dettagli«Gestione dei documenti e delle registrazioni» 1 SCOPO... 2 2 CAMPO DI APPLICAZIONE E GENERALITA... 2 3 RESPONSABILITA... 2 4 DEFINIZIONI...
Pagina 1 di 6 INDICE 1 SCOPO... 2 2 CAMPO DI APPLICAZIONE E GENERALITA... 2 3 RESPONSABILITA... 2 4 DEFINIZIONI... 2 5 RESPONSABILITA... 2 5.3 DESTINATARIO DELLA DOCUMENTAZIONE... 3 6 PROCEDURA... 3 6.1
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliRequisiti di controllo dei fornitori esterni
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema
DettagliIl modello di ottimizzazione SAM
Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per
DettagliCompany Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
DettagliEarly Warning. Bollettino VA-IT-130911-01.A
Early Warning Bollettino VA-IT-130911-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-130911-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliBANCHE DATI. Informatica e tutela giuridica
BANCHE DATI Informatica e tutela giuridica Definizione La banca dati può essere definita come un archivio di informazioni omogenee e relative ad un campo concettuale ben identificato, le quali sono organizzate,
DettagliUniversità di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.
Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 3 Marco Fusaro KPMG S.p.A. 1 IT Governance IT Governance E il processo di
DettagliRISCHIO INQUINAMENTO & SOLUZIONI ASSICURATIVE
RISCHIO INQUINAMENTO & SOLUZIONI ASSICURATIVE Sala delle Colonne BPM Milano 29 aprile 2010 Francesco G. Paparella Presidente AIBA PERCHE IL BROKER Nel 2009 i broker: hanno intermediato il 46,1% dei rami
DettagliCentro Tecnico per la Rete Unitaria della Pubblica Amministrazione
Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione Area Rete Unitaria - Sezione Interoperabilità Linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica
DettagliSistemi informativi aziendali struttura e processi
Sistemi informativi aziendali struttura e processi Concetti generali sull informatica aziendale Copyright 2011 Pearson Italia Prime definizioni Informatica Scienza che studia i principi di rappresentazione
DettagliI dati : patrimonio aziendale da proteggere
Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza
DettagliProject Management. Modulo: Introduzione. prof. ing. Guido Guizzi
Project Management Modulo: Introduzione prof. ing. Guido Guizzi Definizione di Project Management Processo unico consistente in un insieme di attività coordinate con scadenze iniziali e finali, intraprese
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliAnalizzare e gestire il CLIMA e la MOTIVAZIONE in azienda
Analizzare e gestire il CLIMA e la MOTIVAZIONE in azienda tramite lo strumento e la metodologia LA GESTIONE DEL CLIMA E DELLA MOTIVAZIONE La spinta motivazionale delle persone che operano in azienda è
DettagliReti di Telecomunicazione Lezione 8
Reti di Telecomunicazione Lezione 8 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Livello di trasporto Programma della lezione relazione tra lo strato di trasporto e lo strato
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliNOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA
NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA (Documento 1 predisposto ai sensi del DPCM 22.2.2013 2 )
DettagliOLTRE LA BIRRA C E DI PIU : DAL MARKETING AL PACKAGING DI UN BIRRIFICIO ARTIGIANALE
OLTRE LA BIRRA C E DI PIU : DAL MARKETING AL PACKAGING DI UN BIRRIFICIO ARTIGIANALE Fermo, 31 Gennaio 2015 CHE COS E IL MARKETING? Il marketing può intendersi come il complesso di attività che un azienda
Dettaglidella manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.
L 320/8 Gazzetta ufficiale dell Unione europea IT 17.11.2012 REGOLAMENTO (UE) N. 1078/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per il monitoraggio che devono
DettagliPOLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5
Dettagli1. DISTRIBUZIONE Datore di Lavoro Direzione RSPP Responsabile Ufficio Tecnico Responsabile Ufficio Ragioneria (Ufficio Personale) Ufficio Segreteria
Acquedotto Langhe e Alpi Cuneesi SpA Sede legale in Cuneo, corso Nizza 9 acquedotto.langhe@acquambiente.it www.acquambiente.it SGSL Procedura Gestione dei documenti e del 06/05/2013 1. DISTRIBUZIONE Datore
DettagliCOMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)
COMUNE DI RAVENNA Il sistema di valutazione delle posizioni del personale dirigente GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI) Ravenna, Settembre 2004 SCHEMA DI SINTESI PER LA
DettagliSISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA
SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA Sicurezza Network, hardware e software Claudio Giovanzana Direzioni Sistemi Informativi Ospedale H San Raffaele Milano, 18 gennaio 2007 1 Sicurezza: Definizione
DettagliProva di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00
Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 200, ore 1.00 NB: alcune domande hanno risposta multipla: si richiede di identificare TUTTE le risposte corrette. Cognome: Nome:
DettagliAnalisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it
Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi
DettagliI livelli di Sicurezza
Appendice Allegato D Allegato Tecnico I livelli di Sicurezza TC.Marketing ICT Appendice Allegato Tecnico 1 Indice del documento 1 La sicurezza dei Data Center di Telecom Italia... 3 1.1 Sicurezza dei processi
DettagliLa sicurezza dell informazione
La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio
DettagliCorso di. Analisi e contabilità dei costi
Corso di Analisi e Contabilità dei Costi Prof. 1_I costi e il sistema di controllo Perché analizzare i costi aziendali? La CONOSCENZA DEI COSTI (formazione, composizione, comportamento) utile EFFETTUARE
DettagliNorme per l organizzazione - ISO serie 9000
Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al
DettagliReti di Calcolatori. Il software
Reti di Calcolatori Il software Lo Stack Protocollare Application: supporta le applicazioni che usano la rete; Transport: trasferimento dati tra host; Network: instradamento (routing) di datagram dalla
DettagliDiagnosi e Valorizzazione del Potenziale delle Risorse Umane
Diagnosi e Valorizzazione del Potenziale delle Risorse Umane Premessa Nell ambito della gestione delle Risorse Umane, EBC Consulting si affianca alle Aziende nel mettere a punto strumenti e processi coerenti
DettagliLa certificazione della sicurezza ICT
La certificazione della sicurezza ICT Roma CNIPA, 30 maggio 2005 Le entità in gioco Common Criteria/ITSEC ACCREDITATORE NORMA DI RIFERIMENTO FORNITORE/TITOLARE OGG. DA CERTIFICARE FRUITORE DEI SERVIZI
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliBollettino VA-IT-150129-01.A
Early W a r ning Bollettino VA-IT-150129-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-150129-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliSVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007
Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,
DettagliIL MARKETING E QUELLA FUNZIONE D IMPRESA CHE:
IL MARKETING E QUELLA FUNZIONE D IMPRESA CHE:! definisce i bisogni e i desideri insoddisfatti! ne definisce l ampiezza! determina quali mercati obiettivo l impresa può meglio servire! definisce i prodotti
DettagliValutazione dei rischi
Valutazione dei rischi 5 Novembre 2008 Andrea Pellei Il processo di attuazione dell audit Obiettivi della valutazione del rischio L attività di audit effettuata sul Sistema di Gestione e Controllo di un
DettagliAutomazione Industriale (scheduling+mms) scheduling+mms. adacher@dia.uniroma3.it
Automazione Industriale (scheduling+mms) scheduling+mms adacher@dia.uniroma3.it Introduzione Sistemi e Modelli Lo studio e l analisi di sistemi tramite una rappresentazione astratta o una sua formalizzazione
DettagliBollettino VA-IT-131203-01.A
Early Warning Bollettino VA-IT-131203-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - BollettinoVA-IT-131203-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliIn questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.
LE POLICY SULLA PRIVACY DI QUESTO SITO PERCHE QUESTO AVVISO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.
DettagliComune di San Martino Buon Albergo
Comune di San Martino Buon Albergo Provincia di Verona - C.A.P. 37036 SISTEMA DI VALUTAZIONE DELLE POSIZIONI DIRIGENZIALI Approvato dalla Giunta Comunale il 31.07.2012 INDICE PREMESSA A) LA VALUTAZIONE
DettagliINDICAZIONI OPERATIVE PER VALUTARE E PROMUOVERE L ORGANIZZAZIONE AZIENDALE DELLA SICUREZZA
INDICAZIONI OPERATIVE PER VALUTARE E PROMUOVERE L ORGANIZZAZIONE AZIENDALE DELLA SICUREZZA Con il presente documento si precisano le modalità di intervento da adottare da parte degli Spisal per valutare
DettagliALLEGATO 1 (SCHEDA DI ASSEGNAZIONE OBIETTIVI)
ALLEGATO 1 (SCHEDA DI ASSEGNAZIONE OBIETTIVI) me Cognome Categoria Area AP PO, di tipo Anno di riferimento per la valutazione Punteggio conseguito nelle di schede di valutazione della prestazione degli
DettagliLa Metodologia adottata nel Corso
La Metodologia adottata nel Corso 1 Mission Statement + Glossario + Lista Funzionalià 3 Descrizione 6 Funzionalità 2 Schema 4 Schema 5 concettuale Logico EA Relazionale Codice Transazioni In PL/SQL Schema
DettagliAssociazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane
Associazione Italiana Corporate & Investment Banking 02.36531506 www.aicib.it aicib@unicatt.it Presentazione Ricerca Il risk management nelle imprese italiane AICIB Associazione Italiana Corporate & Investment
DettagliDiventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.
ISO 9001 Con la sigla ISO 9001 si intende lo standard di riferimento internazionalmente riconosciuto per la Gestione della Qualità, che rappresenta quindi un precetto universale applicabile all interno
DettagliInformativa ex art. 13 D.lgs. 196/2003
Informativa ex art. 13 D.lgs. 196/2003 Gentile Utente, l Hotel Eurolido (di seguito, Società ) rispetta e tutela la Sua privacy. Ai sensi dell art. 13 del Codice della Privacy (d.lgs. 196 del 30 giugno
DettagliCorso di Amministrazione di Sistema Parte I ITIL 1
Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM
DettagliLa Sicurezza dell Informazione nel Web Information System La metodologia WISS
1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web
DettagliI modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza
1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi
DettagliLa cultura della Sicurezza nelle PMI Ing. Francesco Guatelli Parma, 23 marzo 2006 Unione Parmense degli Industriali
GRUPPO INFOR La cultura della Sicurezza nelle PMI Ing. Francesco Guatelli Parma, 23 marzo 2006 Unione Parmense degli Industriali Definizione La sicurezza è un processo Bruce Schneider Introduzione Le informazioni,
DettagliAccordo sul livello dei servizi per server dedicati
Accordo sul livello dei servizi per server dedicati INFORMAZIONI CONFIDENZIALI INTERNE Luglio 2008 AVVISO SUL COPYRIGHT Copyright Tagadab 2008. Le informazioni contenute nel presente documento sono di
DettagliPO 01 Rev. 0. Azienda S.p.A.
INDICE 1 GENERALITA... 2 2 RESPONSABILITA... 2 3 MODALITA DI GESTIONE DELLA... 2 3.1 DEI NEOASSUNTI... 3 3.2 MANSIONI SPECIFICHE... 4 3.3 PREPOSTI... 4 3.4 ALTRI INTERVENTI FORMATIVI... 4 3.5 DOCUMENTAZIONE
DettagliUTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI
UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI Un utilizzatore a valle di sostanze chimiche dovrebbe informare i propri fornitori riguardo al suo utilizzo delle sostanze (come tali o all
DettagliProgetto di Information Security
Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza
DettagliBusiness Process Management
Business Process Management Comprendere, gestire, organizzare e migliorare i processi di business Caso di studio a cura della dott. Danzi Francesca e della prof. Cecilia Rossignoli 1 Business process Un
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
DettagliINTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.
Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA
DettagliQUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE
QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE Step 1 - Decidere come organizzare e pianificare l autovalutazione (AV) 1.1. Assicurare l impegno e il governo del management per avviare il processo. 1.2. Assicurare
DettagliUniversità di Macerata Facoltà di Economia
Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:
DettagliEarly Warning Bollettino VA-IT-130709-01.A
Early Warning Bollettino VA-IT-130709-01.A C A N D I D A T E CORR ISPONDE NZE VULNERABILITY ALERT INFORMAZIONI GENERALI DELLA VULNERABILITÀ TITOLO Stack Based Buffer Overflow in AutoTrace Data Pubblicazione
DettagliI SISTEMI DI GESTIONE DELLA SICUREZZA
I SISTEMI DI GESTIONE DELLA SICUREZZA ing. Davide Musiani Modena- Mercoledì 8 Ottobre 2008 L art. 30 del D.Lgs 81/08 suggerisce due modelli organizzativi e di controllo considerati idonei ad avere efficacia
Dettagli