Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS :2002 in logica di Loss Prevention

Transcript

1 Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS :2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information Risk 0 Global Network KPMG nel mondo KPMG è presente in 152 Paesi... più di professionisti... un fatturato superiore a 10,72 miliardi di dollari nel 2003 oltre 750 uffici in diverse città. KPMG offre servizi di consulenza globali grazie alla competenza maturata in diversi settori.

2 Agenda Differenze tra standard BS 7799 e il Testo Unico sulla Privacy ISO17799:2000 BS7799-2:2002 I I controlli dell ISO17799 La Privacy all interno del BS Confronto tra i controlli previsti dallo Standard e quelli basati sul Testo Unico Vantaggi dell integrazione dei Modelli di Gestione della Sicurezza e della Privacy 2 Differenze fra Privacy e BS 7799 PRIVACY BS 7799 Cosa protegge Tutte le banche dati personali/particolari così come definite dal D.lg.196/03 L ambito di applicazione (scope) può essere specificato liberamente (l intera azienda, un solo un processo o sistema, ecc.) Criteri di riferimento per la protezione dei dati Misure minime di sicurezza definite dall Allegato B Controlli elencati in dettaglio nell ISO17799 più eventuali nuovi controlli (altri standard, riferimenti normativi, ecc.)

3 Descrizione degli standard di sicurezza I principali standard di sicurezza possono essere distinti a seconda degli ambiti di applicazione in cui sono maggiormente utilizzati (Prodotto / Sistema) e del tipo di norme in essi contenute (Tecniche / Non tecniche) Prodotto Sistema Tecnici ITSEC TCSEC COMMON CRITERIA ISO TR ISO BS Non tecnici 4 ISO17799:2000 ISO/IEC Information Technology - Code of practice for information security management: è un set di controlli completo comprendente best practices dell Information Security L obiettivo dello standard è di fornire delle raccomandazioni (recommendations) sulla gestione della sicurezza ad uso di chi è responsabile per lo start-up, l implementazione o la manutenzione della sicurezza nell organizzazione Sono elencati 127 controlli e 36 obiettivi di controllo, suddivisi in 10 sezioni relative a differenti aree di controllo Gli obiettivi di controllo forniscono un indicazione sintetica di ciò che si vuole ottenere attraverso l implementazione dei controlli elencati I controlli all interno dello standard sono descritti come fattori abilitanti (enablers)

4 BS :2002 Information security management systems - Specification with guidance for use La parte 2 del BS 7799: specifica i requisiti per la costruzione di un Information Security System (ISMS) specifica i requisiti per le misure di sicurezza da implementare in accordo ai bisogni di una specifica realtà aziendale forma la base per la valutazione di un ISMS Tale norma (standard) è utilizzata per certificare le aziende in tema di sicurezza informatica Lo standard promuove l adozione di un approccio per processi al fine di pianificare, implementare, rendere operativo, monitorare e migliorare l ISMS La nuova versione dello standard è stata realizzata armonizzandola rispetto ad altri Sistemi di Gestione certificati (ISO 9001:2000, ISO 14001:1996) 6 BS :2002 Il modello Plan-Do-Check-Act Plan Pianificazione SGSI SGSI Do Implementazione ed ed esercizio SGSI SGSI Allocazione risorse Training Awareness Implementazione delle misure di sicurezza Preparazione Security Policy Definizione dell ambito del SGSI Identificazione di rischi e impatti Pianificazione del trattamento dei rischi (adozione delle misure di sicurezza controls ) Monitoraggio e Review SGSI SGSI Verifica procedure Confronto con altre organizzazioni Internal Audit review (consigliato 1 volta l anno) Act Mantenimento ed ed accrescimento SGSI SGSI Emissione di NON CONFORMITA Azioni correttive e preventive Ispirarsi ai principali contenuti nella pubblicazione OECD Guide Lines for Security of Information System And Networks July 2002

5 BS :2002 Il modello di gestione Analogamente a quanto accade nel Quality System, tutte le operazioni e le attività previste dall Information Security System devono essere documentate secondo una struttura di riferimento. INDIRIZZARE DOCUMENTARE PIANIFICARE GESTIONE DELLA SECURITY MIGLIORARE IMPLEMENTARE CONTROLLARE 8 I controlli dell ISO17799 Le misure di sicurezza individuate dallo standard sono raggruppate in 10 categorie: 1. Politiche di sicurezza 2. Organizzazione della sicurezza 3. Classificazione e controllo dei beni 4. Aspetti gestionali del personale 5. Sicurezza fisica ed ambientale 6. Gestione delle comunicazioni e dell operatività 7. Controllo accessi 8. Sviluppo e manutenzione dei sistemi 9. Gestione della Business Continuity 10. Conformità

6 BS e ISO17799 Lo standard BS7799-2, all interno dell annex A, riporta in forma sintetica tutti i 127 controlli dell ISO Lo standard ISO17799 non spiega nel dettaglio come i controlli debbano essere effettivamente implementati, ma semplicemente indica come questi siano necessari Lo standard BS7799 non richiede necessariamente che tutti i controlli in elenco (ovvero quelli dettagliati all interno dell ISO17799), vengano implementati: l azienda può scegliere, sulla base di un analisi dei rischi, solo alcuni tra tali punti o misure, oppure ne può inserire altri non elencati dalla norma stessa (quali ad esempio quelli previsti dalla Legge sulla Privacy) 10 La Privacy all interno del BS L Annex A del BS al punto 12 riporta i controlli previsti nello standard ISO relativamente alla COMPLIANCE L obiettivo di controllo di questa sezione dello standard è di verificare e garantire la presenza di politiche e procedure che non violino regole penali, civili, statutarie o derivanti da obbligazioni contrattuali. In particolare lo standard elenca una serie di controlli relativamente ai diritti di proprietà intellettuale ed alla protezione dei dati personali. In particolare, il controllo riguarda la tutela dei dati personali e suggerisce una serie di best practice premettendo come ogni nazione possegga una propria legislazione di riferimento in materia che va ovviamente rispettata (per l Italia T.U. 196/2003 All. B. Disciplinare tecnico in materia di misure minime di sicurezza).

7 La Privacy all interno del BS Data protection and privacy of personal information A number of countries have introduced legislation placing controls on the processing and transmission of personal data (generally information on living individuals who can be identified from that information). Such controls may impose duties on those collecting, processing and disseminating personal information, and may restrict the ability to transfer that data to other countries. Riferimento alle diverse realtà nazionali in tema di legislazione sulla tutela dei dati personali Compliance with data protection legislation requires appropriate management structure and control. Often this is best achieved by the appointment of a data protection officer who should provide guidance to managers, users and service providers on their individual responsibilities and the specific procedures that should be followed. It should be the responsibility of the owner of the data to inform the data protection officer about any proposals to keep personal information in a structured file, and to ensure awareness of the data protection principles defined in the relevant legislation. Suggerimento di una best practice per la gestione degli aspetti legati alla tutela dei dati personali in azienda. Si suggerisce la creazione di un apposita figura (data protection officer) che si occupi di tutti questi aspetti 12 Il D.Lgs. n.196/2003 Il Testo Unico nel Titolo V Sicurezza dei dati e dei sistemi, Capo II, individua quelle che sono le misure minime di sicurezza (artt.33-36) L Allegato B, Disciplinare tecnico in materia di misure minime di sicurezza, identifica le modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell incaricato in caso di trattamento con strumenti elettronici e senza l ausilio degli stessi Tale allegato riporta una serie di misure relative al sistema di autenticazione informatica al sistema di autorizzazione alla redazione del Documento Programmatico sulla Sicurezza dei Dati ad ulteriori misure in caso di trattamento di dati sensibili o giudiziari e alle misure di tutela e garanzia

8 BS e Testo Unico sulla Privacy Il BS :2002 è uno standard che specifica i requisiti per la costruzione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Lo standard è focalizzato sulla infrastruttura organizzativa responsabile della sicurezza delle informazioni in tutti i suoi aspetti, e non sugli specifici controlli adottati. La costruzione di un ISMS, ovviamente, non si limita solo agli aspetti dei controlli previsti dalla Legge Privacy, ma ha un ambito più esteso, tuttavia l implementazione di un ISMS in maniera corretta presuppone obbligatoriamente il rispetto della Legge e l adozione di controlli specifici a riguardo. L adozione dello standard BS comporta il rispetto degli adempimenti previsti dalla Legge sulla Privacy. 14 Confronto tra i controlli previsti dal BS :2002 e quelli basati sul D. Lgs 196/03: un esempio I controlli previsti per l utilizzo delle password: Password use BS :2002 Occorre informare gli utenti affinchè: d) Utilizzino password con una lunghezza minima di 6 caratteri d.2) Scelgano una password che non possa essere facilmente ottenuta da altri utilizzando informazioni relative all individuo Punto 5 Allegato B del D.Lgs 196/2003 La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno 8 caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito La parola chiave non contiene riferimenti agevolmente riconducibili all incaricato f) Cambino le password temporanee al primo log-on La parola chiave è modificata dall incaricato al primo utilizzo e, successivamente, almeno ogni 6 mesi. In caso di dati e) Cambino le password ad intervalli regolari o basandosi sul sensibili o giudiziari la parola chiave è modificata almeno numero degli accessi ogni tre mesi

9 Confronto tra i controlli previsti dal BS :2002 e quelli basati sul D. Lgs 196/03: tabella di sintesi A.9 Access Control A.8 Communications and operationsmanagement A.7 Physical and environmentalsecurity A Securing offices, rooms and facilities A.6 PersonnelSecurity BS :2002 A Access control policy: gli accessi devono essere ristretti secondo quanto definito nella policy A.9.2.1/A User registration/user identification and authentication: procedura formale di registrazione/deregistrazione utenti; univocità degli UserID A Review of user access rights:revisione periodica diritti accesso A Password use:scelta accurata delle password, tenerla segreta, minimo 6 caratteri, ecc A Unattended user equipment: assicurare adeguata protezione ai dispositivi incustoditi A Segregation of duties A Controls against malicious software A Information back-up: eseguire e testare regolarmente i backup A of removable media: controllo sulla gestione dei supporti rimovibili A Information security education and training Allegato B del D.Lgs 196/2003 Punto 13: Configurazione profili di autorizzazione solo per dati necessari a trattamento Punto 3: Assegnazione univoca degli identificativi utente Punto 14: Verifica periodica profili di autorizzazione Punto 5: Parola chiave: no riferimenti all incaricato, modifica primo utilizzo, minimo 8 caratteri, ecc Punto 9: vanno impartite istruzioni per non lasciare incustodito e accessibile lo strumento elettronico Punto 19.2: documentare distribuzione compiti e responsabilità nel DPSS Punto 16: protezione dati personali con antivirus da aggiornare almeno ogni 6 mesi Punto : salvataggio dati almeno ogni 7 gg; descrizione criteri per il ripristino nel DPSS; adozione misure per garantire ripristino entro 7 gg Punto 21: impartite istruzioni per custodia e uso supporti rimovibili Punto 19.4: documentare misure per protezione aree in DPSS Punto 19.6: DPSS deve contenere informazioni su formazione 16 Il futuro del modello di gestione Missione Missione Obiettivi Obiettivi di di business business Rischi Rischi di di business business BS ISO 9001 D.Lgs.. 231/01 Rischi Rischi applicabili applicabili Controlli Controlli Interni Interni Revisione Revisione D.Lgs. n.196/2003

10 Modello di integrazione dei sistemi di gestione Privacy/Security Monitoraggio dei rischi Risk Assessment Cambiamenti esterni, tecnici, normativi, ecc. Gestione dei rischi Controllo rischi residui Procedure di contingency Piani di gestione ordinaria Piani di DR Prevenzione Ripristino di processi e servizi Gestione delle emergenze Definizione degli SLA 18 Riassumendo - Una visione complessiva

11 La Privacy integrata nel governo della sicurezza Privacy & Sicurezza Indirizzi (Policy) Privacy o Sicurezza Sicurezza Privacy Attività (Pianificare, Implementare, Controllare, Migliorare) Documenti (Sistema documentale) 20 Vantaggi dell integrazione dei Modelli di Gestione della Sicurezza e della Privacy Convergenza nella gestione di processi sinergici + Convergenza di metodologie e approcci similari + Monitoraggio efficiente + Governo accentrato dei processi aziendali + Gestione univoca del Change management = Recuperi complessivi di efficienza dei processi Riduzione dei costi di gestione complessivi

12 Domande 22