Sistema di Ges+one per la Sicurezza delle Informazioni Università degli Studi di Udine Polo Scientifico dei Rizzi Udine, 13 Aprile 2015

Transcript

1 Sistema di Ges+one per la Sicurezza delle Informazioni Università degli Studi di Udine Polo Scientifico dei Rizzi Udine, 13 Aprile

2 About me Attilio Rampazzo Information Systems Master IS Sr Consultant & Auditor Lead Auditor ISO/IEC ISO/IEC Member of Board CISA Coordinator Member team SC 27 Information Security Member of Board CISA Certified Information Systems Auditor (ISACA) CRISC Certified in Risk and Information Systems Control (ISACA) C CISO Certified Chief Information Security Officer (EC-Council) CMC Certified Management Consultant (APCO) Iscritto ai registri AICQ Sicev: Valutatore Sistema di Gestione della Sicurezza delle Informazioni RGVI Valutatore Sistema di Gestione dei Servizi IT RGVI Valutatore Modello Organizzativo 231 RGVI Valutatore Sistema di Gestione della Qualità RGVI (settori EA 32a, 33, 35, 37) Cobit 5 found., ITIL v.3 found., Mistery Auditor, ISO/IEC Pratictioner, ISO LA Trainer APMG Cobit 5 found., ITIL v.3 found., ISO/IEC Trainer riconosciuto AICQ Sicev ISO/IEC 27001, ISO/IEC 20000, ISO

3 Agenda Scenario Sicurezza Informazioni ISO/IEC family ISO/IEC ISO/IEC

4 Scenario 4

5 Cosa sta succedendo nel mondo (in questo preciso istante) 5

6 Cosa sta succedendo in Italia? e nel nord Est? 6

7 Il Rapporto 2015 analizza gli even+ di cyber- crime e inciden+ informa+ci più significa+vi del 2014 e le tendenze per il

8 Rapporto Clusit 2015 Si s%ma che nel 2014 gli a2acchi in supporto ad a9vità militari e terroris%che sono aumenta% nel mondo del 68%, mentre cala l'hack%vism, cioè gli a2acchi per a9vismo poli%co (quello che possiamo definire l'origine dell'haking). Un quarto degli a2acchi nel mondo colpisce i Governi per rubare informazioni di rilevanza strategica o anche semplicemente per "defacciare" o bloccare si% is%tuzionali. "È in afo una corsa ai cyber armamenh 60% di afacchi informahci è cybercrime 8

9 Rapporto Clusit 2015 I servizi cloud, le banche, la sanità (se2ore che ha subito un incremento del 190% rispe2o al 2013), fanno registrare il maggiore tasso di crescita nel numero e nella gravità degli a2acchi. Clusit s%ma in nove 9 miliardi di euro i danni complessivi causa% dal cyber- crimine (compresi quelli di ripris%no del sistema), denuncia il furto di segre% industriali ai danni delle piccole e medie imprese nostrane (e a vantaggio di organizzazioni straniere) e accusa le is%tuzioni di non aver ancora predisposto un centro per raccogliere le segnalazioni di a2acchi e coordinare le difese. Nel nostro paese come al solito siamo indietro quando si parla di sicurezza e potrebbe essere una buona idea indirizzare le proprie forze sull'eliminazione di queste vulnerabilità. Ovviamente è molto più conveniente inves%re an%cipatamente sulla sicurezza, che rime2erci tempo e denaro dopo! 9

10 Rapporto Clusit 2015 Sono quafro le tendenze per il 2015, nel mondo: La collaborazione tra gruppi cyber- criminali e gruppi terroris%ci o paramilitari con%nuerà a crescere, con a9vità di estorsione per ragioni poli%che ed economiche, "con impa2o sulle is%tuzioni e Pubblica Amministrazione, aziende e infrastru2ure cri%che". Ci si a2ende inoltre che le organizzazioni terroris%che (tra cui l'isis) u%lizzino sempre più frequentemente le pia2aforme di social networking come veri e propri campi di ba2aglia nei confron% dei governi. "Gli stessi social network con%nueranno - come tra l'altro già ampiamente documentato lo scorso anno - a essere facili ve2ori di a2acco per la diffusione di malware e per le frodi basate su social engineering". "A causa della loro intrinseca fragilità, i sistemi Pos saranno invece sempre più bersaglia% da criminali e la possibilità di a2acchi malware sarà molto elevata anche nei singoli esercizi commerciali. Le banche saranno chiamate in prima linea nella prevenzione delle frodi e a fornire supporto ai clien%". Infine, i cellulari saranno un bersaglio facile: c'è "una crescente a2enzione da parte di agenzie governa%ve, spie mercenarie e criminali nei confron% di pia2aforme quali ios e Windows Phone (finora ritenute più prote2e di Android, ndr). I produ2ori di device mobili, gli sviluppatori di applicazioni e gli uten% dovranno rivedere le proprie strategie e i propri inves%men% in materia di mobile, ponendo al centro la sicurezza, e non più solo sugli aspe9 marke%ng o di business". 10

11 Sicurezza delle Informazioni 11

12 Sicurezza delle Informazioni Sicurezza dell Organizzazione Sicurezza dell Informazione Sicurezza InformaHca Sistema 12 di Gestione per la Sicurezza delle Informazioni 12

13 Sicurezza delle Informazioni Costo Costo complessivo Punto di ottimo economico Costo della sicurezza Costo di Esposizione Livello di sicurezza Sistema 13 di Gestione per la Sicurezza delle Informazioni 13

14 Sicurezza delle Informazioni Aumento con%nuo esponenziale della quan%tà di da% da ges%re Richieste formali (e legali) di mantenimento dei da% per storicizzazione Per essere compe%%vi i da% devono essere accessibili online Come le aziende approcciano il problema problema percepito in modo parziale ed incompleto problema impostato in maniera non corre2a problema affrontato ex- post (ossia a fronte di una necessità effe9vamente intervenuta) emergenza affrontata da un punto di vista esclusivamente tecnico 14 14

15 Sicurezza delle Informazioni CriHcità La crescente dipendenza dalle informazioni, dai sistemi e dai canali di comunicazione I malfunzionamen% dell IT impa2ano sempre di più sull immagine e sulla affidabilità dell azienda Le tecnologie propongono nuove soluzioni che cambiano dramma%camente le organizzazioni e le procedure, creando nuove opportunità e riducendo i cos% 15 15

16 Sicurezza delle Informazioni Introduzione al Problema ElemenH significahvi: Informazione, bene da proteggere le risorse di supporto all informazione gli evenh che hanno influenza sulle risorse Sistema 16 di Gestione per la Sicurezza delle Informazioni 16

17 Sicurezza delle Informazioni Introduzione al Problema Risorse a Supporto dell Informazione le risorse umane le facili+es (ossia i si% fisici e tu2e le a2rezzature a supporto delle stru2ure) la tecnologia (hardware, sogware, network, etc ) La tecnologia, da sola, non è sufficiente Cri%cità delle risorse umane Sistema 17 di Gestione per la Sicurezza delle Informazioni 17

18 Sicurezza delle Informazioni Introduzione al Problema EvenH che hanno impav significahvi: obie9vi ed opportunità di business focalizzano l ambito di applicazione e servono a determinare le priorità requisi% esterni e leggi vigen% potrebbero risultare un vincolo alle possibili soluzioni ado2ate rischi rappresentano gli even% più difficili da iden%ficare e prevedere Sistema 18 di Gestione per la Sicurezza delle Informazioni 18

19 Sicurezza delle Informazioni Necessità di definire un sistema di ges%one della sicurezza delle informazioni, comprendente aspe9 organizza%vi e ges%onali, oltre ad aspe9 tecnici Non solo la applicazione di strumen% più appropria% al singolo obie9vo di protezione (introduzione di firewall, an%virus, backup, ecc.) Necessità di implementare modalità di ges%one complessiva della sicurezza informa%ca in azienda 19 19

20 Sicurezza delle Informazioni Specificazione ad alto livello degli obie9vi per la sicurezza che l organizzazione si propone di conseguire in termini di volontà di salvaguardare la riservatezza, l integrità e la disponibilità della informazione in presenza di minacce

21 Ma cosa dobbiamo mefere in sicurezza? I beni della azienda (asset) Il sogware proprietario dell azienda Il business della azienda L immagine della azienda La reputazione della azienda Tu2o ciò che ci viene richiesto dai vincoli legali (vedi D. lgs. 196/03: Codice in materia di da% personali) Le informazioni 21 21

22 L'informazione è la moneta del 21 secolo L informazione è elemento indispensabile per il successo e la crescita di ogni organizzazione e perciò deve essere considerata una risorsa di ines%mabile valore che richiede, anzi impone un'adeguata tutela. Ogni %pologia di organizzazione deve essere in grado di contare su informazioni di qualità per supportare decisioni strategiche di qualità! 22

23 Che cosa è la Sicurezza delle Informazioni Le informazioni sono dei beni che, come qualunque altro bene aziendale importante, hanno valore per una organizzazione e quindi necessitano di essere protee in modo adeguato.assicurare la confnuità aziendale, minimizzare i danni aziendali e massimizzare il rendimento del capitale invesfto e le opportunità di miglioramento 23 23

24 La sicurezza delle informazioni significa la salvaguardia di: Riservatezza La proprietà in virtù della quale le informazioni non sono rese disponibili o divulgate a individui, entità o processi che non sono autorizzati (da ISO/IEC 2700:2012). Informazione Disponibilità La proprietà in virtù della quale le informazioni sono rese accessibili e utilizzabili su richiesta di una entità autorizzata (da ISO/IEC 27000:2012). Integrità La proprietà di salvaguardia dell accuratezza e della completezza degli asset (da ISO/IEC 27000:2012). 24

25 La geshone delle informazioni L informazione è un bene Devo definirne il valore (sogge9vo) Devo valutare il rischio associato a tale bene Valutazione delle minacce, dell impa2o, delle vulnerabilità delle informazioni Devo s%mare la probabilità di accadimento di ciascun rischio Devo calcolare il danno s%mato in caso di incidente Analisi dei Rischi 25 25

26 Cos'è il rischio? Sicurezza delle Informazioni Asset Vulnerabilità Minaccia Il rischio è la probabilità che una minaccia nei confronti di un asset si attui sfruttando una vulnerabilità 26

27 Sicurezza delle Informazioni Cos'è il rischio? ASSET MINACCIA VULNERABILITÀ CONTROMISURA (CONTROLLO) Hardware Furto Notebook lasciato incustodito Sensibilizzazione Software Guasto Bug Patch Persone Errore di utilizzo dei sistemi Mancanza di adeguata formazione Formazione 27

28 Cos'è un controllo? Prevenire o ridurre la probabilità di accadimento un evento indesiderato Eliminare le vulnerabilità note Sicurezza delle Informazioni Salvaguardare il patrimonio informativo Identificare se un evento di sicurezza indesiderato si ripete Rispondere o contrastare un incidente di sicurezza Ripristinare la disponibilità, l'integrità e la riservatezza del patrimonio informativo 28

29 Sicurezza delle Informazioni Concetti CHIAVE I conce9 chiave dello standard sono: la valutazione dei rischi il conce2o di asset (o risorsa) con rela%va valorizzazione; gli aspe9 economico- finanziari ineren% la Sicurezza delle Informazioni; l aspe2o organizza%vo (e non solo tecnologico) della Sicurezza delle Informazioni; la valutazione dell efficacia del SGSI e delle contromisure ado2ate per tra2are i rischi. 29

30 una indubbia sensazione di Sicurezza 30

31 I pilastri della Sicurezza delle Informazioni Tecnologia È una componente importante per facilitare e automatizzare la protezione delle informazioni + Persone Sono l elemento fondamentale per la capacità di comprendere, valutare e decidere in situazioni nuove o impreviste + Regole/Processi Sono l elemento essenziale per comunicare quali sono gli obiettivi ed i comportamenti da tenere 31

32 Quattro regole essenziali della SICUREZZA I. Riflessione quotidiana La sicurezza DEVE essere un elemento di riflessione quotidiana II. III. IV. Sforzo collettivo La sicurezza DEVE essere uno sforzo collettivo Focus più elevato Le pratiche di sicurezza DEVONO mantenere un focus diffuso Educazione Le pratiche di sicurezza DEVONO includere una certa dose di formazione per tutti 32

33 Famiglia Standard ISO/IEC

34 Introduzione al ISO/IEC JTC1 SC27 Il so2ocomitato 27 (SC27), da cui nascono tu2e le norme della famiglia e anche altre degne di nota, è delegato ad occuparsi, in seno al Joint Technical Commi2ee (JTC1) di ISO/IEC, della sicurezza delle informazioni. I suoi 5 Working Groups (WG) hanno i seguen% manda%: WG1: sistemi di ges%one per la sicurezza delle informazioni, controlli, accreditamento, cer%ficazione e audit, governance WG2: cri2ografia e meccanismi di sicurezza WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza WG4: servizi di sicurezza collega% all'a2uazione dei sistemi di ges%one per la sicurezza delle informazioni WG5: aspe9 di sicurezza di ges%one delle iden%tà, biometria e privacy 34

35 ISO/IEC JTC1 SC27: i 5 Working Group 35

36 Standard principali pubblicah dal WG1 36

37 Standard principali pubblicah dal WG2 37

38 Standard principali pubblicah dal WG3 38

39 Standard principali pubblicah dal WG4 39

40 Standard principali pubblicah dal WG5 40

41 AVvità del SC27 Italiano Oltre a fornire un costante e ricco contributo italiano ai lavori norma%vi dei WG1, 3, 4 il comitato italiano ha condo2o nel tempo le seguen% inizia%ve: Traduzione in italiano della (2006) Creazione di GdL ver%cali ( ) Organizzazione del mee%ng internazionale del SC27 a Roma (2012) Pubblicazione del quaderno "La ges%one della Sicurezza delle Informazioni e della Privacy (2012) Traduzione allineata delle (in corso), e (pubblicate) Pubblicazione del quaderno "Guida alla realizzazione di una soluzione di firma grafometrica sicura" (in corso) Definizione dei profili professionali lega% alla sicurezza informa%ca (in corso) 41

42 Lo standard ISO/IEC Fornisce una visione ad alto livello dei Sistemi di Ges%one per la Sicurezza delle Informazioni (SGSI) che sono tra2a% dalle norme della famiglia Definisce i termini e le definizioni di cui tu2e le sudde2e norme fanno uso Fornisce inoltre una breve descrizione di tu9 gli standard della famiglia Applicabile a tu9 i %pi di realtà organizza%ve di qualunque dimensione (imprese commerciali, en% governa%vi, organizzazioni no- profit, ecc.) Indispensabile per una piena comprensione dei requisi% della ISO/IEC e dei controlli di sicurezza della ISO/IEC

43 Nuova ISO/IEC Highlights E una norma in con%nuo divenire: da quando è stata approvata la prima versione del 2009 si è iniziato a lavorare a una early revision che è stata pubblicata nel 2012 La norma è stata quindi nuovamente so2oposta a una revisione: dovendo recepire i nuovi termini di tu2e le norme della famiglia è sogge2a a cambiamen% molto frequen% Uscita ad aprile 2014 Future evoluzioni la vedono come accentratore dei glossari di tu2o il SC27 43

44 StruFura 1 Scope 2 Terms and definitions 3 Information Security Management System 4 ISMS familly of standard La stru2ura dalla versione 2012 alla versione 2014 rimane invariata e la norma rimarrà pubblicamente disponibile su: h2p://standards.iso.org/it/publiclyavailablestandards/index.html 44

45 ISO/IEC 27001:

46 Lo standard ISO/IEC Sistema di GesHone per la Sicurezza delle Informazioni (SGSI o ISMS) Cos%tuisce un framework completo Applicabile a realtà di ogni dimensione Quasi 20 anni di esistenza sul mercato Ambito definibile a piacimento Dice cosa fare, non come farlo Approccio di con%nuo miglioramento E un riferimento universale e cer%ficabile 46

47 Diffusione della ISO/IEC nel mondo Fonte ISO Survey

48 Diffusione della ISO/IEC in Italia Fonte Accredia 48

49 Diffusione della ISO/IEC in Italia Fonte Accredia 49

50 Nuova ISO/IEC Highlights U%lizzata la nuova High level structure (HLS) per i sistemi di ges%one (ex ISO Guide 83) richiesta dalle dire9ve Iso dal 2012 Stravolte stru2ura e impostazione rispe2o all edizione del 2005 Aggiun% requisi% derivan% dalla HLS (rischi all ISMA, formalizzazione degli obie9vi, comunicazione) Allineamento alla ISO Aumenta% i requisi% sulla valutazione delle performance Rido9 i requisi% sul risk assessment (no asset, minacce, vulnerabilità) Rimosse le azioni preven%ve (comunque presen% come rischi all ISMS) 50

51 L HIGH Level Structure Nel 2009, il Technical Management Board (TMB) della ISO ha chiesto al Joint Technical Coordina%on Group (JTCG) di stabilire un nuovo standard per sviluppare gli standard sui sistemi di ges%one (management system standards). Si cominciò così a sviluppare il «Common Structure and Iden%cal Text for Management System Standards of the Joint Technical Coordina%on Commi2ee (JTCG)». Nell'o2obre 2010 il testo della common structure fu fa2o circolare e l'sc27 decise di ado2are la common structure per la ISO/IEC Nel 2012 è stato pubblicato come parte dell'allegato SL delle ISO/IEC Direc%ves, Part 1, Consolidated ISO Supplement. Non più una guida, ma una dire9va. È anche noto come Annex SL. Il testo presenta molte innovazioni rispe2o a quanto consolidato negli ul%mi 10 anni a par%re dalla ISO 9001:

52 Perché l HLS? Uniformazione e miglioramento dell efficacia nella redazione degli standard per i Comita% tecnici dell ISO. Migliore allineamento e compa%bilità tra gli standard. Massimo beneficio per le organizzazioni che realizzano un sistema di ges%one integrato E stata pubblicata una nuova versione della BS PAS 99 come linea guida per l interpretazione dell HLS. 52

53 Standard e HLS ISO ISO ISO Business Con%nuity ISO 9001 ISO ISO IT Service man. ISO /IEC ISMS ISO Sustainable event ISO Road Safety management In revisione con adozione HLS Pubblicate con adozione HLS 53

54 Schema dell HLS 54

55 StruFura della ISO/IEC 27001:

56 PLAN StruFura della norma: capitoli dal 4 al 10 4 Contesto dell organizzazione Comprendere l organizzazione e il suo contesto Comprendere le necessità e le aspettative delle parti interessate Determinare il campo di applicazione del sistema di gestione per la sicurezza delle informazioni Sistema di gestione per la sicurezza delle informazioni 5 Guida e direzione (Leadership) Leadership e impegno Politica Ruoli, responsabilità e autorità nell organizzazione 6 Pianificazione Azioni per affrontare rischi e opportunità Obiettivi per la sicurezza delle informazioni e pianificazione per conseguirli 7 Supporto Risorse Competenze Consapevolezza Comunicazione Informazioni documentate DO 8 Attività operative Pianificazione e controlli operativi Valutazione del rischio relativo alla sicurezza delle informazioni Trattamento del rischio relativo alla sicurezza delle informazioni CHECK 9 Valutazione delle prestazioni Monitoraggio, misurazione, analisi e valutazione Audit interno Riesame di Direzione ACT 10 Miglioramento Non conformità e azioni correttive Miglioramento continuo 56

57 4 Contesto dell organizzazione ISO/IEC 27001: Comprendere l organizzazione e il suo contesto L organizzazione deve determinare i fa2ori esterni ed interni per%nen% alle sue finalità e che influenzano la sua capacità di conseguire gli esi% previs% per il proprio sistema di ges%one per la sicurezza delle informazioni. La determinazione di ques% elemen% rilevan% fa riferimento alla definizione del contesto esterno ed interno dell organizzazione considerato al punto della ISO

58 ISO/IEC 27001:

59 ISO/IEC 27001: Leadership Il requisito 5 della norma riassume i requisi% specifici per il ruolo del top management nel SGSI. Al top management sono associate responsabilità del SGSI chiare: la norma delinea modi specifici in cui la ges%one deve dimostrare il suo impegno per il sistema 59

60 ISO/IEC 27001: Pianificazione Nel requisito 6 viene richiesto di definire gli obie9vi strategici e i principi guida per il SGSI nel suo complesso Nella pianificazione del Sistema di Ges%one deve essere preso in considerazione il contesto dell organizzazione a2raverso la valutazione dei rischi e delle opportunità cui l organizzazione è esposta. Gli obie9vi devono essere chiaramente defini% nei piani che sono stabili% per raggiungerli. 60

61 7 Supporto ISO/IEC 27001:2013 Nel requisito 7 sono de2aglia% gli elemen% essenziali per sostenere la definizione, l implementazione, l esercizio ed il mantenimento del Sistema di Ges%one per la Sicurezza delle Informazioni (SGSI) Tra ques%: I requisi% delle risorse coinvolte/u%lizzate Le competenze del personale coinvolto Consapevolezza La sensibilizzazione e le cara2eris%che rela%ve alla comunicazione I requisi% per la ges%one della documentazione La ges%one quo%diana di un efficace Sistema di Ges%one per la Sicurezza delle Informazioni si basa sull u%lizzo di risorse appropriate per ogni a9vità. 61

62 Informazioni documentate ISO/IEC 27001:2013 Documenti Campo di applicazione Politica di sicurezza Metodologia (Processo di valutazione) dei rischi di sicurezza delle informazioni Processo e piano di trattamento del rischio SOA Obiettivi sicurezza delle informazioni Evidenze / Registrazioni Competenze del personale coinvolto Attività risk assessment Risultati trattamento del rischio Attività di monitoraggio e misurazione Attività audit interni Riesame Gestione NC e AC 62

63 8 AVvità operahve ISO/IEC 27001:2013 Dopo aver proge2ato l SGSI, un'organizzazione lo deve me2ere in azione. 8.1 Pianificazione e controllo operahvi L organizzazione deve pianificare, a2uare e controllare i processi necessari a soddisfare i requisi% di sicurezza delle informazioni e ad a2uare le azioni determinate al punto 6.1. L organizzazione deve anche a2uare i piani per conseguire gli obie9vi per la sicurezza delle informazioni determina% al punto 6.2. L organizzazione deve assicurare che i processi affida% all esterno siano determina% e controlla%. 8.2 Valutazione del rischio relahvo alla sicurezza delle informazioni L organizzazione deve effe2uare le valutazioni del rischio rela%vo alla sicurezza delle informazioni a intervalli pianifica% o quando sono propos% o si verificano cambiamen% significa%vi, considerando i criteri stabili% al punto a). 8.3 TraFamento del rischio relahvo alla sicurezza delle informazioni L organizzazione deve a2uare il piano di tra2amento del rischio rela%vo alla sicurezza delle informazioni. 63

64 ISO/IEC 27001: Valutazione delle prestazioni 9.1 Monitoraggio, misurazione, analisi e valutazione L organizzazione deve valutare le prestazioni della sicurezza delle informazioni e l efficacia del sistema di ges%one per la sicurezza delle informazioni. 9.2 Audit interno L organizzazione deve condurre, ad intervalli pianifica%, audit interni per fornire informazioni tali da perme2ere di riconoscere se il sistema di ges%one per la sicurezza delle informazioni: a) è conforme ai 1) requisi% propri dell organizzazione per il suo sistema di ges%one per la sicurezza delle informazioni; e 2) requisi% della presente norma internazionale; b) è efficacemente a2uato e mantenuto. 9.3 Riesame della direzione L alta direzione deve, a intervalli pianifica%, riesaminare il sistema di ges%one per la sicurezza delle informazioni, per assicurarne la con%nua idoneità, adeguatezza ed efficacia. 64

65 10 Miglioramento ISO/IEC 27001: Non conformità e azioni correvve Quando si verifica una non conformità, l organizzazione deve: reagire alla non conformità e, per quanto applicabile: valutare la necessità di azioni per eliminare le cause della non conformità, in modo che non si ripeta o non accada altrove a2uare ogni azione necessaria; riesaminare l efficacia di ogni azione corre9va intrapresa; e effe2uare, se necessario, modifiche al sistema di ges%one per la sicurezza delle informazioni. Le azioni corre9ve devono essere adeguate agli effe9 delle non conformità riscontrate Miglioramento conhnuo L organizzazione deve migliorare in modo con%nua%vo l idoneità, l adeguatezza e l efficacia del sistema di ges%one per la sicurezza delle informazioni. 65

66 StruFura ISO/IEC 27001:2013 e PDCA 66

67 Allegato A (normahvo) ISO Appendice A Area Descrizione A.5 Politiche di Sicurezza A.6 Organizzazione della Sicurezza delle Informazioni A.7 Sicurezza delle risorse umane ISO/IEC 27002:2013 ISO27002:2013 è un framework per implementare controlli di tipo: organizzativo, tecnico, fisico, Legale A.8 Gestione dei Beni A.9 Controllo degli accessi A.10 Crittografia A.11 Sicurezza Fisica ed Ambientale A.12 Sicurezza Operativa A.13 Sicurezza delle comunicazioni A.14 Acquisizione, sviluppo e manutenzione dei sistemi A.15 Relazioni con i fornitori A.16 Gestione degli incidenti relativi alla sicurezza delle informazioni A.17 Aspetti relativi alla sicurezza delle Informazioni nella gestione della Continuità Operativa A.18 Conformità 67

68 Allegato A (normahvo) Gli obiettivi di controllo e i controlli elencati nell allegato A sono ripresi direttamente dalla ISO/IEC (punti da 5 a 18) e allineati ad essi. Gli obiettivi di controllo e i controlli presentati in questa tabella non sono esaustivi e un organizzazione può considerare che siano necessari obiettivi di controllo e controlli aggiuntivi. Gli obiettivi di controllo e i controlli di questa tabella devono essere selezionati nella conduzione dei processi del sistema di gestione per la sicurezza delle informazioni, come specificato al punto I punti dal 5 al 18 della ISO/IEC forniscono consigli e guida sulle migliori prassi a supporto dei controlli specificati nei punti da A.5 a A.18 (i punti da A.0 a A.4 non sono usati per fare in modo che l elenco presentato in tabella sia allineato con i punti della ISO/IEC 27002). 68

69 Allegato A (normahvo) Organizza%vi Poli%che di Sicurezza (2) Organizzazione della Sicurezza delle Informazioni (7) Sicurezza delle risorse umane (6) Fisici Sicurezza Fisica ed Ambientale (15) Tecnici Gestione dei Beni (10) Controllo degli accessi (13) Crittografia (2) Sicurezza Operativa (14) Sicurezza delle comunicazioni (7) Acquisizione, sviluppo e manutenzione dei sistemi (13) Relazioni con i fornitori (15) Gestione degli incidenti relativi alla sicurezza delle informazioni (7) Aspetti relativi alla sicurezza delle Informazioni nella gestione della Continuità Operativa (4) Legali Conformità (8) 14 Aree 35 Obiettivi di controllo 114controlli 69

70 ISO/IEC 27002:

71 ISO/IEC 27002:2013 Il vero "motore" della ISO/IEC è il processo di ges%one del rischio rela%vo alla sicurezza delle informazioni, così specificato genericamente nella ISO 31000: Definizione del Contesto Valutazione del Rischio Tra2amento del Rischio Uno dei modi più dire9 per effe2uare un "tra2amento del rischio" è quello di ridurlo ad un livello acce2abile ado2ando dei controlli di sicurezza, dei quali la può essere considerata come un esteso catalogo. 71

72 ISO/IEC 27002:2013 Highlights Mantenimento come annex A della Ristru2urazione in clauses (aree), control categories (obie9vi) e controls (controlli) Rimozione della parte di risk assessment Passaggio da 133 controlli a 114 accorpando diversi controlli tecnici Aggiunta di controlli su sviluppo sicuro, test di sicurezza, supply chain e project managment Miglioramento sopra2u2o delle implementa%on guidance Revisione della terminologia e ada2amento alle nuove tecnologie 72

73 StruFura ISO/IEC 27002:

74 StruFura ISO/IEC 27002: Aree di controllo. Ogni area e suddivisa in categorie per un totale di 114 controlli A.5 Politica della sicurezza A.6 Organizzazione della sicurezza delle informazioni A.7 Sicurezza delle risorse umane A.8 Gestione dei beni A.9 Controllo degli accessi A.10 Crittografia A.11 Sicurezza fisica e ambientale A.12 Sicurezza operativa 74 A.13 Sicurezza delle comunicazioni A.14 Acquisizione, sviluppo e manutenzione dei sistemi A.15 Relazione con i fornitori A.16 Gestione degli incidenti relative alla sicurezza delle informazioni A.17 Aspetti relative alla sicurezza delle informazioni nella gestione della continuità operativa A.18 Conformità normativa 74

75 ISO/IEC 27002:2013 A.5 PoliHche della Sicurezza delle Informazioni 75

76 ISO/IEC 27002:2013 A.6 Organizzazione della Sicurezza delle Informazioi 76

77 ISO/IEC 27002:2013 A.7 Sicurezza delle risorse umane 77

78 ISO/IEC 27002:2013 A.8 GesHone dei Beni 78

79 ISO/IEC 27002:2013 A.9 Controllo degli accessi 79

80 ISO/IEC 27002:2013 A.10 CriFografia 80

81 ISO/IEC 27002:2013 A.11 Sicurezza fisica ed ambientale 81

82 ISO/IEC 27002:2013 A.12 Sicurezza dei Sistemi OperaHvi 82

83 ISO/IEC 27002:2013 A.13 Sicurezza delle Comunicazioni 83

84 ISO/IEC 27002:2013 A.14 Acquisiszione di Sistemi InformaHvi, Sviluppo e Manutenzione 84

85 ISO/IEC 27002:2013 A.15 Relazioni con i fornitori 85

86 ISO/IEC 27002:2013 A.16 GesHone degli IncidenH della Sicurezza delle Informazioni 86

87 ISO/IEC 27002:2013 A.17 AspeV di Sicurezza delle Informazioni nella geshone della Business ConHnuity Il nostro piano di Continuità Operativa si svolge praticamente così. 87

88 ISO/IEC 27002:2013 A.18 Conformità 88

89 Conclusioni 89

90 Sinergia tra Volontario ed Obbligatorio La norma ISO/IEC 27001, di per sé volontaria, è ormai diventata un modello e strumento per adempiere al meglio gli aspe9 obbligatori, e in tal senso viene scelta dagli Organismi (Ministeri, En%, ecc.) Di contro, l applicazione della norma, senza precisi vincoli obbligatori, garan%sce le migliori pra%che nella ges%one dei sistemi per la sicurezza delle informazioni 90

91 Grazie per l attenzione aelio.rampazzo@gmail.com 91