Continua evoluzione degli standard di Sicurezza e della Continuità dei Servizi

Transcript

1 Continua evoluzione degli standard di Sicurezza e della Continuità dei Servizi Attilio Rampazzo Vice Presidente Comitato AICQ Qualità del Software e dei Servizi IT Consigliere AICQ Triveneta SESSIONE DI STUDIO AIEA SEC SERVIZI - Sala Convegni Padova 13 Novembre 2008

2 AICQ Associazione Italiana Cultura Qualità Che cos'è l'associazione Italiana per la Qualità L'Associazione Italiana per la Qualità (AICQ) è un'associazione, senza fini di lucro, che si propone di diffondere in Italia la cultura della Qualità e i metodi per pianificare, costruire, controllare e certificare i Sistemi di Gestione. Costituita a Milano l'11 maggio 1955, l'aicq è dal 10 gennaio 1982, una Federazione di Associazioni per la Qualità: è strutturata su una Federazione Nazionale e su 8 Associazioni Territoriali Aderenti. Tra queste, AICQ Triveneta è una delle più grandi. L'AICQ è "Full Member" della European Organization for Quality (EOQ) L'AICQ è altresì Federata della Federmanagement - Federazione delle Associazioni di Management e della FAST - Federazione Associazioni Tecniche Scientifiche.

3 AICQ Associazione Italiana Cultura Qualità Comitato per la Qualità del Software e dei Servizi IT Il Comitato si prefigge lo scopo di promuovere, coordinare e favorire in Italia, su tutto il territorio nazionale, l analisi, lo studio, lo sviluppo, l applicazione e la diffusione delle metodologie per la Qualità del Software e dei Servizi informatici in tutte le fasi del loro ciclo di vita. Si prefigge inoltre di studiare le normative cogenti o volontarie, di diffondere la loro corretta interpretazione e di suggerire coerenti metodologie applicative. A tal fine si prefigge di realizzare le necessarie sinergie con le Organizzazioni operanti nel Settore dell ICT (Information & Communication Technology), coinvolgendole nella vita del Comitato. Si prefigge altresì lo studio e l approfondimento di modelli avanzati per la qualità, relativi all ICT.

4 Continua evoluzione degli standard di Sicurezza e della Continuità dei Servizi

5 I bivi della Governance ICT L IT aziendale si trova sempre più a dover affrontare sfide complesse, gestendo tecnologie in continua evoluzione con budget talvolta limitati e comunque sempre sotto osservazione. Il management è chiamato ad allineare i servizi erogati dalla funzione ICT alle esigenze di Business, gestendo tutti i rischi correlati, dimostrando il valore delle attività/progetti svolti ed erogando il tutto a costi contenuti. In questo contesto diventano importanti gli standard relativi alla Sicurezza e alla Continuità Operativa. B C M Security Standards Governance Governace Risk Manag. Best Practice

6 Norme / Standard Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998: "norma o standard è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa per applicazione ripetuta o continua, la cui osservanza non sia obbligatoria e che appartenga ad una delle seguenti categorie: norma internazionale (ISO) norma europea (EN) norma nazionale ISO European Standard National Standard Publicly Available Specification Private Standard Company Codes of Practice Le norme, quindi, sono documenti che definiscono le caratteristiche (dimensionali, prestazionali, ambientali, di sicurezza, di organizzazione ecc.) di un prodotto, processo o servizio, secondo lo stato dell'arte e sono il risultato del lavoro di decine di migliaia di esperti. L attività di normazione consiste nell elaborare - attraverso la partecipazione volontaria, la consensualità e procedure di trasparenza - documenti tecnici che, pur essendo di applicazione volontaria, forniscano riferimenti certi agli operatori e possano pertanto avere una chiara rilevanza. (dal sito

7 ISO/IEC JTC1/SC27 Information Technology Security Techniques JTC1 SC27 WG1 WG2 WG3 WG4 WG5 ISMS Standard Crypthography Security Evaluation Criteria Security Controls & Services Privacy, Biometric, IAM La Sicurezza delle Informazioni è frutto del lavoro del Comitato ISO/IEC JTC 1/SC27 WG1

8 ISO family Sistemi di Gestione della Sicurezza delle Informazioni ISO Vocabolario Norme pubblicate Norme in pubblicazione Norme in sviluppo ISO SGSI Requisiti ISO SGSI Best practice ISO SGSI Guida Implementazione ISO SGSI Misurazioni ISO Gestione del Rischio ISO Guida Audit ISO SGSI Requisiti Enti Certificazione

9 ISO family Sistemi di Gestione della Sicurezza delle Informazioni UNI CEI ISO/IEC 27001:2006 Da ottobre 2007 la norma ISO/IEC è disponibile in lingua italiana La traduzione è stata curata da UNINFO (ente di normazione sulle tecnologie informatiche) federato all UNI

10 Certificazioni Sistemi di Gestione della Sicurezza delle Informazioni Nel mondo sono state emesse 4848 certificazioni ISMS Fonte agg. Vers. 185 october 2008 Organismo di Certificazione TUV DNV IMQ CERTIQUALITY RINA LLOYD s CERMET Certificazioni SGSI in Italia sotto accreditamento SINCERT UNI EN ISO/IEC 27001: Totale certificati Fonte SINCERT al Ulteriori 7 aziende (11 site) sono certificate da B.S.I. sotto accreditamento UKAS

11 ISO family Sistemi di Gestione della Sicurezza delle Informazioni A queste norme della famiglia se ne aggiunge una nutrita schiera composta da linee guida per l implementazione dei Sistemi di Gestione della Sicurezza delle Informazioni espressamente sviluppate per specifici settori di interesse. Tale gruppo collocherà la sua numerazione tra la ISO e la ISO Attualmente è inoltre allo studio l uso della numerazione tra la ISO e la ISO per altri standard legati alla sicurezza delle informazioni ma non facenti strettamente parte del gruppo S.G.S.I., alcuni dei quali sono già esistenti (IDS, Incident Management, Cybersecurity, Disaster Recovery, ).

12 Standard pubblicati nel primo semestre 2008 ISO/IEC Information Security Risk Management ISO/IEC Guidelines for information and communications technology disaster recovery services ISO27999 Information Security management in health using ISO/IEC 27002

13 ISO Information Security Management in health using ISO/IEC In data è stata pubblicata la norma ISO Health informatics - Information security management in health using ISO/IEC curata dal comitato tecnico ISO / TC 215 WG4. L ISO 27799:2008 definisce le linee guida per supportare l'interpretazione e l'attuazione in materia di informatica sanitaria della norma ISO L ISO 27799:2008 specifica una serie di controlli dettagliati per la gestione della sicurezza delle informazioni sanitarie. Fornisce gli orientamenti sulle migliori pratiche di sicurezza per le informazioni sanitarie. Copre in particolare le esigenze di gestione della sicurezza in questo settore, per quanto riguarda la particolare natura dei dati trattati. L implementazione della norma da parte di organizzazioni di assistenza sanitaria ed altri detentori di informazioni sanitarie sarà in grado di garantire un livello adeguato minimo di sicurezza richiesto per mantenere la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie personali. L ISO 27799:2008 si applica alle informazioni sanitarie in tutti gli aspetti: qualsiasi forma prendano (parole e numeri, registrazioni audio, disegni, video e immagini mediche), indipendentemente dal mezzo utilizzato per la memorizzazione (stampa o scrittura su supporto cartaceo o elettronico) ed indipendentemente dal mezzo utilizzato per trasmetterle (a mano, via fax, o per posta ordinaria, ), e come devono essere sempre adeguatamente protette.

14 ISO Information Security Management in health using ISO/IEC contenuti The Information Security Management System

15 ISO/IEC Guidelines for ICT Disaster Recovery Services In data è stata pubblicata la Norma ISO/IEC Guidelines for Information and Communications Technology Disaster Recovery Services La ISO/IEC 24762:2008 fornisce le linee guida per il Servizio di Disaster Recovery come parte dei servizi di continuità del business, applicabili sia all interno dell organizzazione sia in Outsourcing. La Norma ISO/IEC 24762:2008 definisce: i requisiti per l attuazione, l esercizio, il controllo ed il mantenimento di servizi e strutture di Disaster Recovery; la capacità che i fornitori di Servizi di Disaster Recovery dovrebbero possedere e le metodologie che dovrebbero seguire in modo da facilitare le organizzazioni nello sforzo di Gestione della Business Continuity; la guida e la selezione del sito di Disaster Recovery; la guida per migliorare continuamente i servizi di Disaster Recovery. 15

16 ISO/IEC Guidelines for ICT Disaster Recovery Services I 9 Capitoli che compongono la norma trattano: 1. Scopo 2. Riferimenti Normativi 3. Termini e Definizioni 4. Termini abbreviati 5. ICT Disaster Recovery 6. ICT Disaster Recovery facilities 7. Capability dei Servizi di Outsorcing 8. Selezione del sito di Recovery 9. Miglioramento Continuo Appendice A: Corrispondenza tra la ISO IEC e la ISO/IEC

17 ISO/IEC Guidelines for ICT Disaster Recovery Services Corrispondenza tra la ISO IEC e la ISO/IEC ISO 27002:2005 Obiettivo di controllo 14.1 Aspetti di sicurezza delle informazioni per la gestione della continuità operativa Contrastare interruzioni alle attività di business, proteggere i processi critici di business dagli effetti di avarie considerevoli dei sistemi informativi o disastri e garantire il loro tempestivo ripristino. ISO 24762:2008 ICT DR Services 5. ICT disaster recovery 8. Selection of recovery sites 9. Continuous Improvement 6. ICT disaster recovery facilities 7. Outsourcing service provider s capability

18 ISO/IEC Guidelines for ICT Disaster Recovery Services ICT Disaster Recovery integrato nella Gestione della Business Continuity BCM ISO Control 14.1 Information Continuity Management ISO ICT DR Services Vendor Mgmt Power Supply Fire Protection Risk MitigationLogical DR site Access Asset Control Mgmt Physical Telecom Access Control DR plan ISO Risk Assessment

19 Gestione della Continuità dei Servizi e del Business La Gestione della Continuità Operativa o Continuità dei Servizi meglio conosciuta come Business Continuity si trova a ricoprire ormai un ruolo importante nel mondo della Governance. La garanzia della continuità operativa e la capacità di rispondere in modo adeguato a situazioni di disastro sono due elementi vitali per le aziende. Il nostro secolo, appena iniziato, con nuove minacce (terrorismo, fenomeni naturali di elevato livello, epidemie, ) ha visto gli enti normatori predisporre una serie di norme e framework in aiuto a chi vuole approcciare l argomento in modo organico.

20 Minacce alla Continuità dei Servizi o del Business Innondazioni Uragani Fuoco Tsounami Terrorismo Pandemie Virus / Hacking Black Out

21 BS Business Continuity Management È ormai una consuetudine che le norme innovative arrivino dal British Standard Institute l'ente normatore inglese, e forse quello più vicino alle esigenze del mercato ed ai lavori dei centri di competenza (in questo caso il BCI - Business Continuity Institute)

22 BS Business Continuity Management BS Business continuity is strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptabe pre-defined level BS part 1 Code of Practice for Business Continuity Management Definisce i processi di BCM (Business Continuity Management), i principi e la terminologia (es. Incident Management Plan, Business Continuity Plan Stabilisce i criteri condivisi per disegnare, sviluppare e realizzare la continuità operativa nell ambito di un organizzazione, al di là delle dimensioni e del settore di appartenenza Fornisce una metodologia completa basata sulle best practices di BCM e sull intero ciclo di vita del BCM È basata sui processi di Business BS part 2 Specification Formalizza i requisiti (verificabili) per definire, realizzare, esercitare, monitorare/controllare, mantenere nel tempo e adattare un sistema documentato per la BC (Business Continuity Management System) nell ambito dei rischi in cui un organizzazione può incorrere Formalizza i requisiti per definire e implementare i controlli di continuità operativa adattati alle necessità di una singola organizzazione È auditabile, ossia prevede registrazioni, audit interni e audit di terze parti

23 BS part 1 Code of Practice for Business Continuity Management Il ciclo di vita della BCM comprende sei elementi: Mettere in pratica, mantenere e revisionare Conoscere l Organizzazione Gestione Business Continuity Sviluppare e implementare la Gestione della Business Continuity Determinare la Strategia della Gestione della Business Continuity Programma della Gestione della Business Continuity Comprendere l attività / analizzare l organizzazione Determinare la strategia della Gestione della Business Continuity Sviluppare e implementare la Gestione della Business Continuity Mettere in pratica, mantenere e revisionare la Gestione della Business Continuity Incorporare la Gestione della Business Continuity nella cultura dell organizzazione

24 BS part 2 Specification Lo standard BS adotta il ciclo PDCA o ciclo di Deming come modello di riferimento per la descrizione dei processi e dei requisiti dello standard. Continuo miglioramento del sistema di gestione della Business Continuity (BCMS) PLAN Parti interessate DO Stabilire Il BCMS ACT Parti interessate Requisiti e aspettative per la Business Continuity Attuare e condurre il BCMS CHECK Monitorare e riesaminare il BCMS Mantenere attivo, aggiornato e migliorare il BCMS Business Continuity gestita Business Continuity gestita

25 BS part 2 Specification I requisiti applicativi della BS : cap. 3 contiene la fase di pianificazione del BCMS (PLAN) cap. 4 contiene la fase di attuazione e funzionamento del BCMS (DO) cap. 5 contiene la fase di monitoraggio e riesame del BCMS (CHECK) cap. 6 contiene la fase del mantenimento e miglioramento del BCMS (ACT) PLAN DO CHECK ACT Pianificare il Sistema di Gestione della Business Continuity 3 Implementare e gestire il Sistema di Gestione della Business Continuity 4 Monitorare e revisionare il Sistema di Gestione della Business Continuity 5 Mantenere e migliorare il Sistema di Gestione della Business Continuity 6 PLAN Pianificare il BCMS DO Attuare/condurre il BCMS CHECK Monitorare e riesaminare il BCMS ACT Mantenere attivo, aggiornato e migliorare il BCMS Stabilire la politica di Business Continuity, gli obiettivi, i controlli, i processi e le procedure pertinenti per gestire i rischi e migliorare la Business Continuity al fine di produrre risultati conformi alle politiche e agli obiettivi generali dell organizzazione Attuare e rendere operativa la politica della Business Continuity, I controlli, I processi e le procedure Valutare e, ove applicabile, misurare le prestazioni a fronte della politica della Business Continuity, degli obiettivi e delle esperienze pratiche, quindi riportare i risultati alla direzione ai fini del riesame e del miglioramento Mantenere attivo, aggiornato e migliorato il BCMS intraprendendo azioni correttive e preventive, basate sui risultati delle verifiche/riesame e sulla rivalutazione del campo di applicazione, della politica e degli obiettivi del BCMS

26 Certificazioni Sistemi di Gestione della Business Continuity Le attuali certificazioni sono rilasciate da BSI sotto accreditamento UKAS Certificate 25 aziende (43 site) Nazione UK United Kingdom India Japan South Korea Taiwan USA Brasil Italy Netherlands Spain N aziende Fonte : The British Standard Institution 31/10/2008 In Italia il primo certificato BS è stato rilasciato a ICCREA da BSI Italia

27 BS Code of Practice for Information and Communications Technology Continuity in pubblicazione A fine settembre 2008 BSI ha pubblicato la versione draft di una nuova norma con consigli pratici per la continuità delle tecnologie dell'informazione e della comunicazione per organizzazioni sia pubbliche che private. La nuova proposta nasce dalla necessità di nuove specifiche di continuità per le organizzazioni con dipendenza dalle tecnologie dell'informazione e della comunicazione (ICT). La nuova BS che dovrebbe essere pubblicata entro l anno 2008 mira a colmare questa lacuna individuata da BSI e sostituirà la PAS 77, che è stata pubblicata nel 2006 per fornire un orientamento sulla continuità IT.

28 BS Code of Practice for Information and Communications Technology Continuity Il ciclo di vita della ICT Continuity comprende i seguenti elementi: Programma della Gestione della ICT Continuity Comprendere i requisiti ICT per la Business Continuity Determinare la strategia della Gestione della ICT Continuity Sviluppare e implementare la Gestione della ICT Continuity Mettere in pratica, mantenere e revisionare la Gestione della ICT Continuity Incorporare la Gestione della ICT Continuity nella cultura dell organizzazione

29 AICQ Triveneta vi invita il 19 dicembre 2008 alle ore per la presentazione del Quaderno n. 28 La Gestione della Continuità Operativa la norma BS requisiti, interpretazione e applicabilità che si terrà presso il Dipartimento di Informatica Università Cà Foscari Mestre

30 Grazie per l attenzione Attilio Rampazzo Vice Presidente Comitato AICQ Qualità del Software dei Servizi IT Valutatore Sistemi di Gestione della Sicurezza delle Informazioni R.G.V.I. (AICQ SICEV cert.n.3) IT Senior Consultant IT Security Consultant a.rampazzo@almavivaitalia.it