Magerit versione 2. MAGERIT - versione 2 Metodologia di analisi e gestione dei rischi dei sistemi informativi. l - Metodo

Transcript

1 r MAGERIT - versine 2 Metdlgia di analisi e gestine dei rischi dei sistemi infrmativi l - Metd

2 GRUPPO RESPONSABILE DEL PROGETTO MAGERIT versine 2 Direttre: Francisc López Cresp Minister della Pubblica Amministrazine Miguel Angel Amuti Gómez Minister della Pubblica Amministrazine Javier Candau Centr Crittgrafic Nazinale Cnsulente estern: Jsé Antni Mañas Prfessre Università Plitecnica di Madrid Traduzine in italian: Fabi Mediaservice.net

3 Smmari 1. Intrduzine a Magerit Obiettivi di Magerit Intrduzine all'analisi e alla gestine dei rischi L'analisi e gestine dei rischi nel su cntest Organizzazine delle guide Per chi ha lavrat cn Magerit v Valutazine, certificazine, audit e accreditament Quand ccrre analizzare e gestire i rischi? Realizzazine dell'analisi e della gestine Analisi dei rischi Gestine dei rischi Strutturazine del prgett Partecipanti Svilupp del prgett Prcess P1: Pianificazine Prcess P2: Analisi dei rischi Prcess P3: Gestine dei rischi Svilupp di sistemi infrmativi Inizializzazine dei prcessi Cicl di vita delle applicazini Analisi dei rischi Gestine dei rischi "Metrica" versine Riferimenti Cnsigli pratici Per identificare gli asset Per individuare e mdellizzare le dipendenze tra asset Per valrizzare gli asset Per identificare le minacce Per valrizzare le minacce Per selezinare le cntrmisure Apprssimazini successive Riferimenti 90 Appendice 1. Glssari Termini in italian Termini anglsassni ISO/IEC Guide 73: Riferimenti 99 Appendice 2. Riferimenti 101 Appendice 3. Ambit legale 102 Appendice 4. Ambit di valutazine e certificazine Sistemi di gestine della sicurezza delle infrmazini (SGSI) Cmmn Criteria (CC) 109 Appendice 5. Strumenti PILAR 116

4 5.2. Riferimenti 117 Appendice 6. Evluzine rispett a Magerit versine Appendice 7. Cas pratic La stria Prcess P2: Analisi dei rischi Prcess P3: Gestine dei rischi 135

5 1. Intrduzine a Magerit Il CSAE 1 ha elabrat e prmuve Magerit in rispsta alla cnsapevlezza che l'amministrazine (ed in genere tutta la scietà) dipende in md crescente dalla tecnlgie infrmatiche per il raggiungiment dei sui biettivi di servizi. La ragin d'essere di Magerit è direttamente legata alla generalizzazine dell'us dei mezzi elettrnici, infrmatici e telematici, che cmprta benefici evidenti per i cittadini; ma dà anche lug a rischi che si devn ridurre a prprzini minime cn misure di sicurezza che cntribuiscan a generare fiducia nell'us di tali mezzi. Nel perid trascrs dalla pubblicazine della prima versine di Magerit (1997) fin alla data dierna, l'analisi dei rischi si è venuta cnslidand cme un passaggi necessari per la gestine della sicurezza. Csì afferma chiaramente la guida dell'ocde che, nel su principi 6 riprta: 6) Valutazini del rischi. I partecipanti devn prtare a termine valutazini del rischi. Questa metdlgia interessa tutti quelli che impiegan infrmazini trattate in md autmatizzat ed i sistemi infrmatici ad esse legati. Se tali infrmazini i servizi prestati grazie ad esse sn prezisi, questa metdlgia permetterà di sapere quant di quest valre è a rischi ed aiuterà a prteggerl. Cnscere il rischi a cui sn sttpsti gli elementi utilizzati è, semplicemente, indispensabile per pterli gestire ed è per quest mtiv che sn cmparse una mltitudine di guide infrmali, apprssimazini metdiche e strumenti di supprt, tutti mirati ad ggettivare l'analisi per determinare quant sicuri ( insicuri) si è in maniera certa. La grande sfida di tutte queste apprssimazini è la cmplessità del prblema che affrntan; cmplessità nel sens che ci sn mlti elementi da cnsiderare e, se nn si è rigrsi, le cnclusini di tale esame sarann inevitabilmente pc affidabili. È per ciò che è necessari seguire un'apprssimazine metdica che nn lasci lug all'imprvvisazine, né dipenda dell'arbitrarietà dell'analista. Malgrad si sian messe nelle mani dei sistemi infrmativi gravi respnsabilità per raggiungere gli biettivi delle rganizzazini, la preccupazine per la lr sicurezza nn cessa di essere un argment ricrrente. Gli interessati, che spess nn sn tecnici, si dmandan se questi sistemi meritan la lr fiducia, fiducia che diminuisce ad gni incnveniente e, sprattutt, quand gli investimenti in misure di difesa del mezz di lavr nn si traducn nell'assenza cmpleta di incnvenienti. L'ideale sarebbe che i sistemi nn avesser mai alcun prblema ma è vvi che si accetta di cnvivere cn sistemi che ne hann. Il punt nn è tant l'assenza di incidenti quant la fiducia che essi sian stt cntrll: si sa che può succedere e si sa che csa fare quand succede. Il timre di ciò che è ignt è la principale rigine della sfiducia e, in cnseguenza, in questa sede l apprcci è di cnscere per avere fiducia: cnscere i rischi per pterli affrntare e cntrllare Obiettivi di Magerit Magerit mira ai seguenti biettivi: Diretti: 1. rendere cnsapevle il respnsabile dei sistemi infrmativi dell'esistenza dei rischi e del bisgn di cnsiderarli in temp; 2. ffrire un metd sistematic per analizzare tali rischi; 3. aiutare a scprire e a pianificare le misure pprtune per mantenere i rischi stt cntrll. 1 CSAE: Cnsigli Superire dell Amministrazine Elettrnica.

6 Indiretti: 4. preparare l'rganizzazine per prcessi di valutazine, audit, certificazine accreditament, a secnda dell'esigenza Si è anche cercata l'unifrmità delle relazini che racclgn le scperte e le cnclusini di un prgett di analisi e gestine dei rischi: Mdell dei valri Caratterizzazine del valre che hann gli asset per l'rganizzazine csì cme le dipendenze tra i differenti asset. Mappa dei rischi Relazine delle minacce a cui sn espsti gli asset. Valutazine delle cntrmisure Valutazine dell'efficacia delle cntrmisure esistenti in relazine al rischi che affrntan. Stat di rischi Caratterizzazine degli asset per il lr rischi residu; ciè, per quell che può succedere avend già pres in cnsiderazine le cntrmisure realizzate. Relazine delle deblezze Assenza deblezza delle cntrmisure che appain cme pprtune per ridurre i rischi vers il sistema. Pian di sicurezza Insieme di prgrammi di sicurezza che permettn di cncretizzare le decisini di gestine dei rischi 1.2. Intrduzine all'analisi e alla gestine dei rischi La sicurezza è la capacità delle reti dei sistemi infrmativi di resistere, cn un determinat livell di cnfidenza, agli incidenti alle azini illecite ppure ai malintenzinati che cmprmettan dispnibilità, autenticità, integrità e riservatezza dei dati immagazzinati trasmessi e dei servizi che dette reti e sistemi ffrn rendn accessibili. L'biettiv da prteggere è la missine dell'rganizzazine, tenend in cnsiderazine le differenti dimensini della sicurezza: Dispnibilità: dispsizine dei servizi ad essere utilizzati quand sia necessari. La carenza di dispnibilità può causare un'interruzine del servizi. La dispnibilità riguarda direttamente la prduttività delle rganizzazini. Integrità: manteniment delle caratteristiche di cmpletezza e crrettezza dei dati. Cnsiderand l'integrità, le infrmazini pssn apparire maniplate, crrtte incmplete. L'integrità riguarda direttamente il crrett svlgiment delle funzini di un'rganizzazine. Riservatezza: che le infrmazini arrivin slamente alle persne autrizzate. In detriment alla riservatezza al segret pssn esserci fughe e perdite di infrmazini, csì cme accessi nn autrizzati. La riservatezza è una prprietà difficile da ripristinare, ptendsi cmprmettere la fiducia di altri nell'rganizzazine nn diligente nel manteniment del segret, e può causare l'inadempiment di leggi e requisiti cntrattuali relativi alla custdia dei dati.

7 Autenticità (di chi fa us di dati servizi): che nn esista dubbi di chi è respnsabile di una infrmazine della prestazine di un servizi, tant al fine di avere fiducia di lui cme di pterl perseguire dp eventuali inadempimenti errri. In detriment all'autenticità pssn esserci sstituzini ed inganni mirati a realizzare una frde. L'autenticità è la base per pter lttare cntr il ripudi e, in quant tale, fndament per il cmmerci elettrnic per l'amministrazine elettrnica, permettend di avere fiducia senza bisgn di dcumenti cartacei né di presenzia fisica. Tutte queste caratteristiche pssn essere richieste men a secnda del cas. Quand sn richieste, nn è evidente che si cnseguan immediatamente. E' nrmale che sian necessari mezzi e temp per cnseguirle. A razinalizzare quest sfrz si dedican le metdlgie di analisi e gestine dei rischi che cmincian da una definizine: Rischi: stima del grad di espsizine per cui una minaccia si cncretizza su un più asset causand danni prblemi all'rganizzazine. Il rischi indica quell che può accadere agli asset se nn si prteggn adeguatamente. È imprtante sapere quali caratteristiche sn di interesse in gni asset, csì cme sapere in che misura queste caratteristiche sn a rischi, in altre parle è imprtante analizzare il sistema: Analisi dei rischi: prcess sistematic per stimare la grandezza dei rischi ai quali è espsta un'rganizzazine. Sapend quell che ptrebbe succedere, si devn prendere delle decisini: Gestine dei rischi: selezine e realizzazine di cntrmisure per individuare, prevenire, impedire, ridurre cntrllare i rischi identificati. Si nti che un'pzine legittima è quella di accettare il rischi. È frequente sentir dire che la sicurezza assluta nn esiste; infatti si deve sempre accettare un rischi che però deve essere nt e subrdinat al livell di qualità che si richiede al servizi. Siccme tutt quest è mlt delicat, nn è meramente tecnic ed include la decisine di accettare un cert livell di rischi. Diviene quindi necessari sapere in che cndizini si lavra csì da pter cnscere la fiducia che merita il sistema. Perciò csa c'è di megli che un'apprssimazine metdica la quale permetta di prendere decisini mtivate e di spiegare razinalmente le decisini prese? 1.3. L'analisi e gestine dei rischi nel su cntest Le attività di analisi e gestine dei rischi nn sn fini a sé stesse ma fann parte della gestine cntinua della sicurezza. L'analisi dei rischi permette di determinare quali sn, quant valgn e cme sn prtetti gli asset. In cmbinazine cn gli biettivi, la strategia e le plitiche dell'rganizzazine, le attività di gestine dei rischi permettn di elabrare un pian di sicurezza che, impstat e realizzat, sddisfi gli biettivi impstati attravers il livell di rischi accettat dalla direzine. La realizzazine delle cntrmisure di sicurezza richiede un'rganizzazine gestita e la partecipazine infrmata di tutt il persnale che lavra cn i sistemi infrmativi. È quest persnale il respnsabile dell'peratività girnaliera, della reazine agli incidenti e del mnitraggi in genere del sistema per determinare se sddisfa cn efficacia ed efficienza gli biettivi prepsti. Quest schema di lavr deve essere ciclic perché i sistemi infrmativi sn raramente immutabili; sn piuttst sggetti ad evluzine cntinua tant prpria (nuvi asset) quant dell'ambiente (nuve minacce), csa che esige una revisine peridica di ciò che si impara dall'esperienza e si adatta al

8 nuv cntest. L'analisi dei rischi frnisce un mdell del sistema in termini di asset, minacce e cntrmisure, ed è fndamentale per cntrllare tutte le attività cn un fndament. La gestine dei rischi è l'rganizzazine delle azini di sicurezza per sddisfare le necessità evidenziate dall'analisi Cnsapevlezza e frmazine Il miglire pian di sicurezza si vedrebbe seriamente cmprmess senza una cllabrazine attiva delle persne prepste ai sistemi infrmativi, specialmente se l'atteggiament è negativ, cntrari di "lttare cntr le misure di sicurezza". È per ciò che si richiede la creazine di una "cultura della sicurezza" che, emanandsi dall'alta direzine, cnsapevlizzi tutti gli interessati della sua necessarietà e pertinenza. Sn due i pilastri fndamentali per la creazine di questa cultura: una plitica di sicurezza aziendale cmprensibile (emanata da clr i quali nn sn esperti della materia), che sia diffusa e che sia mantenuta aggirnata una frmazine cntinua a tutti i livelli, ricrdand le misure di cautela abitudinarie e le attività specialistiche, secnd la respnsabilità assciata ad gni pst di lavr al fine che queste attività riescan nell'rganizzazine, è necessari che la sicurezza sia minimamente intrusiva: che nn renda inutilmente difficile l'attività girnaliera né cmprmetta il raggiungiment degli biettivi di prduttività prpsti, "naturale": che nn dia rigine ad errri gratuiti, che faciliti l'adempiment delle bune prassi prpste, praticata dalla direzine: che dia esempi nell'attività girnaliera e reagisca cn sllecitudine a cambiamenti ed incidenti Incidenti e ripristin All stess temp, le persne interessate devn essere cnsce del lr rul e della sua rilevanza cntinua per prevenire prblemi e per reagire quand capitin. È imprtante creare una cultura di respnsabilità dve i ptenziali prblemi, scperti da quelli che stann vicini all'asset interessat, pssn essere incanalati vers i punti di decisine. In quest md il sistema di cntrmisure rispnderà alla realtà. Quand capita un incidente, il temp cmincia a crrere a sfavre del sistema: la sua spravvivenza dipende della tempestività e dalla crrettezza delle attività di ntifica e reazine. Qualsiasi errre, imprecisine ambiguità in questi mmenti critici, si vede amplificat trasfrmand quell che pteva essere un semplice incidente in un disastr. E' cnveniente imparare tant dai successi cme dai fallimenti ed incrprarli al prcess di analisi e gestine dei rischi. La maturità di un'rganizzazine si riflette nell'accuratezza e nel realism del su mdell di valrizzazine e, di cnseguenza, nell'idneità delle cntrmisure di gni tip, dalle misure tecniche fin ad un'ttima rganizzazine Organizzazine delle guide Questa versine 2 di Magerit è strutturata in tre libri: il presente, che descrive "il metd", un "catalg degli elementi" ed una "guida alle tecniche". Questa guida descrive la metdlgia da tre punti di vista: Il capitl 2 descrive i passi per realizzare un'analisi dell stat del rischi e per gestire la

9 sua mitigazine. È una presentazine chiaramente cncettuale. Il capitl 3 descrive i cmpiti basilari per realizzare un prgett di analisi e gestine dei rischi, sttlineand che nn basta avere chiari i cncetti, ma che è pprtun definire ruli, attività, milestnes e dcumentazine affinché la realizzazine del prgett di analisi e gestine dei rischi sia stt cntrll in gni mment. Il capitl 4 applica la metdlgia a un cas di svilupp di sistemi infrmativi, nella prspettiva in cui i prgetti di svilupp dei sistemi devn tenere in cnsiderazine i rischi dal prim mment, tant quelli ai quali sn espsti direttamente, quant quelli che le stesse applicazini intrducn nel sistema. Cme cnclusine, il capitl 5 tratta una serie di aspetti pratici, derivati dell'esperienza accumulata nel temp, per la realizzazine di un'analisi ed una gestine realmente efficaci. Le appendici racclgn materiale di cnsultazine: 1. un glssari, 2. riferimenti bibligrafici cnsiderati per l svilupp di questa metdlgia, 3. riferimenti alla crnice legale che inquadra i cmpiti di analisi e gestine dei rischi, 4. la crnice nrmativa di valrizzazine e certificazine, 5. le caratteristiche che si richiedn agli strumenti, presenti futuri, per supprtare il prcess di analisi e gestine dei rischi, 6. una guida cmparativa di cme Magerit versine 1 si è evluta in questa versine 2. Infine, si sviluppa un cas pratic cme esempi Md di impieg I lettri nuvi alla materia sn invitati a cminciare dal capitl 2. Se si ha già una familiarità dei cncetti, l'esempi aiuta ad inquadrare idee e terminlgia. Se si sta iniziand un prgett di analisi e gestine dei rischi, il capitl 3 aiuta a strutturarl e a pianificarl. Se il sistema infrmativ è semplice e ridtt ppure se si richiede sl una prima apprssimazine, può bastare un'impstazine infrmale; ma quand il prgett prende imprtanza è pprtun essere metdici. Se si sta realizzand un prgett di analisi e gestine dei rischi, il capitl 5 aiuta ad inquadrare l'attività immediatamente. Se si cllabra ad un prgett di svilupp di un nuv sistema infrmativ, ad un cicl di manutenzine, è pprtun ricrrere al capitl 4. Se si prevede di lavrare cn sistemi mlgati, sia perché interessa cme meccanism per specificare quell di cui si ha bisgn, sia perché interessa cme meccanism per specificare quell che si ha, è pprtun ricrrere all'appendice 4. Nell'impstazine di queste guide si è seguit un criteri "di massima", cnsiderand tutti i tipi di asset, tutti gli aspetti di sicurezza, tutti i tipi di situazini definitivamente parland. Nella pratica, l'utente può trvarsi davanti a situazini dve l'analisi è più ristretta. Segun alcuni casi pratici frequenti: si richiede sl un studi degli archivi elettrnici interessati dalla legislazine sui dati di carattere persnale; si richiede sl un studi delle garanzie di riservatezza delle infrmazini;

10 si richiede sl un studi sulla dispnibilità dei servizi (tipic perché si cerca l svilupp di un pian di cntinuità); etc. Queste situazini, frequentemente, si racclgn frmalmente nell'attività A1.2, mentre infrmalmente si cnsidera che è cstruttiv cncentrarsi in un ambit ridtt e prcedere cn il su ampliament a secnda dei requisiti, anziché affrntare subit tutt insieme Il catalg degli elementi In un libr a parte, si prpne un catalg, apert ad ampliamenti, che individua alcune linee guida circa: tipi di asset; dimensini di valrizzazine degli asset; criteri di valrizzazine degli asset; minacce tipiche sui sistemi infrmativi; cntrmisure da cnsiderare per prteggere i sistemi infrmativi. Si persegun due biettivi: 1. Facilitare il lavr delle persne che lavran al prgett, ffrend lr elementi standard cn cui si pssa familiarizzare rapidamente, cncentrandsi nell specific del sistema ggett dell'analisi. 2. Omgeneizzare i risultati dell'analisi, prmuvend una terminlgia ed alcuni criteri unifrmi che permettan di paragnare ed integrare analisi realizzate per differenti sistemi. Ogni sezine include una ntazine XML che si utilizzerà per pubblicare reglarmente gli elementi in un frmat standard capace di essere elabrat autmaticamente da strumenti di analisi e gestine. Se il lettre usa un strument di analisi e gestine dei rischi, quest catalg sarà parte dell stess; se l'analisi si realizza a man, quest catalg frnirà un'amplia base di partenza per avanzare rapidamente senza distrazini né dimenticanze La guida alle tecniche In un libr a parte, si apprta maggire chiarezza e guida su alcune tecniche che si impiegan abitualmente per prtare a termine prgetti di analisi e gestine dei rischi: tecniche specifiche per l'analisi dei rischi; analisi mediante tavle; analisi algritmica; alberi di attacc. tecniche generali; analisi di csti-benefici; diagrammi di fluss di dati; diagrammi di prcessi; tecniche grafiche; pianificazine di prgetti;

11 sessini di lavr: interviste, riunini e presentazini; valrizzazine Delphi. Si tratta di una guida per la cnsultazine. Man a man che il lettre avanza per le attività del prgett, si gli raccmanderà l'us di certe tecniche specifiche, delle quali questa guida cerca di essere un'intrduzine, csì cme di frnire riferimenti affinché il lettre apprfndisca autnmamente le tecniche presentate Per chi ha lavrat cn Magerit v1.0 A clr i quali hann lavrat cn Magerit v1.0, tutti i cncetti risulterann familiari, sebbene ci sia una certa evluzine. In particlare si ricnscerà quell che si chiamava sttmdell di elementi: asset, minacce, vulnerabilità, impatti, rischi e cntrmisure. Questa parte cncettuale è stata aggirnata a causa del trascrrere del temp e cntinua ad essere l'asse intrn al quale si articlan le fasi fndamentali di analisi e gestine. Si è crrett ed ampliat ciò che si chiamava "sttstati di sicurezza" dandgli il nuv nme di "dimensini" ed intrducend nuve unità di misura per dare un valre agli aspetti di interesse degli asset. Il sttmdell di prcessi appare stt l'epigrafe di "strutturazine del prgett di analisi e gestine dei rischi". Sebbene Magerit v1.0 abbia resistit bene al passare del temp dal lat cncettuale, nn si può dire l stess dei dettagli tecnici dei sistemi infrmativi cn i quali si lavra. Si effettua un aggirnament ma innanzi tutt si vule differenziare quell che è essenziale (e permanente) da quell che è cngiunturale e cambierà cn il temp. Quest si traduce in una parametrizzazine del metd di lavr, cllegandl a catalghi esterni di minacce e cntrmisure che si ptrann aggirnare, adattandsi al passare del temp, tant per il prgress tecnlgic quant per il prgredire dell ambiente, perché è cert tant che i sistemi cambin quant che l faccian le entità al lr intrn, in megli e in peggi. Inltre, quant più success hann i sistemi, tanti più utenti avrann anche simultaneamente, quindi tanti più sggetti sarann interessati nel lr abus, semplicemente, nella lr distruzine. Csì quindi, resta il metd: apert. In md che, restand chiar che csa si deve fare e cme, si pssan adattare i dettagli ad gni mment. In pratica, il paragraf precedente si traduce nel fatt che si sn islati in un libr allegat, il "catalg degli elementi", i tipi di asset, le dimensini e i criteri di valrizzazine, il catalg delle minacce ed il catalg delle cntrmisure, in md che pssn evlvere. L'appendice 6 è più precisa stabilend le crrispndenze tra la versine 1.0 e questa Valutazine, certificazine, audit e accreditament L'analisi dei rischi è un punt fcale dei prcessi di valutazine, certificazine, audit ed accreditament che dann frma ufficiale alla fiducia che merita un sistema infrmativ. Dat che nn esistn due sistemi infrmativi uguali, la valutazine di gni sistema cncret richiede di adattarsi ai cmpnenti che l cstituiscn. Un'analisi dei rischi frnisce una visine singlare di cm'è gni sistema, che valre pssiede, a quali minacce è espst e di che cntrmisure è dtat. L'analisi dei rischi è quindi un passaggi bbligat per ptere prtare a termine tutti i cmpiti menzinati, messi in relazine secnd il seguente schema:

12 In questa sezine si presentan cncettualmente le attività citate. Il lettre trverà nell'appendice 4 un trattament specific degli ambiti nrmativi relativi ai sistemi di gestine ed ai prdtti di sicurezza. Valutazine È sempre più frequente la valutazine della sicurezza dei sistemi infrmativi, tant internamente cme parte dei prcessi di gestine, quant attravers periti indipendenti esterni. Le valutazini permettn di misurare il grad di fiducia che un sistema infrmativ merita. Certificazine La valutazine può prtare ad una certificazine ufficiale della sicurezza del sistema. Nella pratica si certifican prdtti e si certifican sistemi di gestine della sicurezza. La certificazine di prdtti è, in un cert sens, impersnale: "quest ha queste caratteristiche tecniche". Tuttavia, la certificazine di sistemi di gestine ha a che vedere cn il "cmpnente uman" delle rganizzazini cercand l'analisi di cme si utilizzan i sistemi. Certificare è assicurare in md respnsabile e per iscritt un cmprtament. Quell che si certifica, prdtt sistema, è sttpst ad una serie di valutazini rientate vers un biettiv individuabile dal quesit "perché l si vule?". Un certificat dice che un sistema è capace di prteggere alcuni dati di alcune minacce cn una certa qualità (capacità di prtezine), affermandl in base all'sservazine dell'esistenza e del funzinament di una serie di cntrmisure. Il tutt per dire che dietr ad un certificat nn vi sn altr che gli stessi cncetti di un'analisi dei rischi. Prima di prcedere alla certificazine, deve essersi realizzata un'analisi dei rischi a fine di cnscere i rischi e di cntrllarli mediante l'adzine di cntrmisure adeguate. Questa, inltre, rappresenta un punt di cntrll imprtante della gestine del prdtt sistema. Accreditament Alcune certificazini hann cme ggett l'accreditament del prdtt del sistema.

13 L'accreditament è un prcess specific il cui biettiv è legittimare il sistema a essere parte di sistemi più ampi. L si può vedere cme una certificazine per un prpsit specific. Audit Sebbene nn sia la stessa csa, nn sn mlt lntani da quest mnd gli audit, interni esterni, a cui si sttpngn i sistemi infrmativi: alcune vlte richiesti dalla legge per pter perare in un cert settre, altre vlte richiesti dalla stessa direzine dell'rganizzazine, altre vlte richiesti da entità cn cui si cllabra che hann il prpri livell di rischi legat al nstr. Un'audit può servirsi di un'analisi dei rischi che gli permetta (1) di sapere che csa c'è in gic, (2) sapere a che csa è espst il sistema e (3) valutare l'efficacia e l'efficienza delle cntrmisure. Frequentemente gli auditr partn da un'analisi dei rischi, implicita esplicita, che realizzan lr stessi sttpngn ad audit. Nelle prime fasi dell'audit è sempre difficile discrrere di quell che nn si cnsce. A partire dall'analisi dei rischi si può analizzare il sistema ed infrmare la direzine se il sistema è stt cntrll; ciè, se le misure di sicurezza adttate sn giustificate, realizzate e mnitrate in md che si pssa avere fiducia nel sistema di indicatri di cui dispne la direzine per gestire la sicurezza dei sistemi. La cnclusine dell'audit è una relazine di deblezze scperte, che nn sn altr che le incnsistenze tra le necessità individuate nell'analisi dei rischi e la realtà scperte durante l'ispezine del sistema durante l peratività qutidiana. Il rapprt di audit dvrà dare un parere sull'adeguatezza delle misure e dei cntrlli del presente reglament, identificare le sue deficienze e prprre le misure crrettive cmplementari necessarie. Dvrà, ugualmente, includere i dati, fatti ggettivi e le sservazini su cui si fndin i dettami raggiunti e le raccmandazini prpste. [RD 994/1999, articl 17.2] Nel cas della pubblica amministrazine spagnla, esistn alcuni riferimenti fndamentali rispett ai quali si può e si deve realizzare un audit: Real Decret 994/1999, dell' 11 di giugn, per il quale si apprva il reglament di misure di sicurezza dei file autmatizzati che cntengan dati di carattere persnale. "Criteri di sicurezza, nrmalizzazine e cnservazine delle applicazini utilizzate per l'esercizi di ptestà", MAP, 2004 Gli audit devn ripetersi reglarmente tant per seguire l'evluzine dell'analisi dei rischi (che si deve aggirnare reglarmente) quant per seguire l svilupp del pian di sicurezza determinat dalle attività di gestine dei rischi Quand ccrre analizzare e gestire i rischi? Realizzare un'analisi dei rischi è labris e csts. Creare una mappa degli asset e valrizzarli richiede la cllabrazine di mlti prfili all'intern dell'rganizzazine, dai livelli di direzine fin a quelli tecnici. E nn è sl necessari cinvlgere mlte persne, ma si deve ttenere un'unifrmità di criteri tra tutti perché, se è imprtante quantificare i rischi, più imprtante ancra è renderli cmparabili. Quest perché è nrmale che in un'analisi dei rischi appaian una mltitudine di dati. L'unic md di affrntare la cmplessità è cncentrarsi sui più imprtanti (massim impatt, massim rischi) ed vviare quell che è secndari addirittura trascurabile. Ma se i dati nn sn bene rdinati in termini relativi, la lr interpretazine è impssibile. Riassumend, un'analisi dei rischi nn è un cmpit secndari che realizza chiunque nei sui

14 mmenti liberi. È un'attività primaria che richiede impegn e crdinazine. Pertant deve essere adeguatamente pianificata e giustificata. Un analisi dei rischi è raccmandabile in qualsiasi rganizzazine che dipenda da sistemi infrmativi e di cmunicazini per il raggiungiment dei sui biettivi. In particlare in qualsiasi ambiente dve si effettuin trasmissini elettrniche di beni e servizi, sia in ambit pubblic che privat. L'analisi dei rischi permette di prendere decisini su investimenti in tecnlgia, dall'acquist di apparecchiature di prduzine fin all'allestiment di un centr alternativ per assicurare la cntinuità perativa, passand per le decisini di acquist di cntrmisure tecniche e di selezine ed abilitazine del persnale. L'analisi dei rischi è un strument di gestine che permette di prendere decisini. Le decisini pssn essere prese prima di realizzare un servizi prima di metterl in funzine. È mlt desiderabile farl prima, in md che le misure da prendere si incrprin nel disegn del servizi, nella scelta di cmpnenti, nell svilupp delle applicazini e nei manuali utente. Tutt quell che è crreggere rischi imprevisti è csts sia in temp prpri che altrui, il che può andare a dann dell'immagine dell'rganizzazine e può cmprtare, in casi estremi, la perdita di fiducia nelle sue capacità. Si è sempre dett che è megli prevenire che curare e qui si applica in md dirett: nn si aspetti che un servizi faccia acqua; l si deve prevenire ed essere preparati. Per mtivi legali L'analisi dei rischi può venire richiesta per mtivi legali. Quest è il cas del Real Decret 263/1996, del 16 di febbrai, per quell che riguarda l'utilizzazine di tecniche elettrniche, infrmatiche e telematiche per l'amministrazine generale dell stat. Nel su articl 4 (garanzie generali dell'utilizzazine di supprti, mezzi ed applicazini elettrniche, infrmatiche e telematiche) dice csì: 2. Quand si utilizzin supprti, mezzi ed applicazini riferiti nel paragraf precedente, si adtterann le misure tecniche ed rganizzative necessarie ad assicurare autenticità, riservatezza, integrità, dispnibilità e cnservazine delle infrmazini. Tali misure di sicurezza dvrann tenere in cnsiderazine l stat della tecnlgia ed essere prprzinate alla natura dei dati e dei trattamenti ed ai rischi a cui sn espsti. In frma simile, la Legge Organica 15/1999, di 13 di dicembre, di prtezine di dati di carattere persnale, nel su articl 9 (sicurezza dei dati) dice csì: 1. Il respnsabile dei file, e, nel su cas, l'incaricat del trattament, dvrann adttare le misure di natura tecnica ed rganizzativa necessarie a garantire la sicurezza dei dati di carattere persnale ed evitare la lr alterazine, perdita, trattament access nn autrizzat, cnsiderand l stat della tecnlgia, la natura dei dati immagazzinati e i rischi a cui sn espsti, che prvengn dall'azine umana da agenti fisici ppure naturali. Test che si riprende ancra nel preambl al Real Decret 994/1999, dell'11 di giugn, per il quale si apprva il reglament di misure di sicurezza dei file autmatizzati che cntengn dati di carattere persnale. In quest decret si raccglie l'bblig di elabrare un dcument di sicurezza: 1. Il respnsabile del file elabrerà e realizzerà la nrmativa di sicurezza mediante un dcument di rispett bbligatri per il persnale cn access ai dati autmatizzati di carattere persnale ed ai sistemi infrmativi. Difficilmente si può sviluppare dett dcument senza un'analisi previa dei rischi sui dati, analisi che prti a determinare le misure di sicurezza pertinenti. N.d.T.: In ambit italian si fa riferiment al cmma 3 dell art.19 dell allegat B al d.lgs 196/2003 per la prtezine dei dati persnali, il quale richiede l'analisi dei rischi che incmbn sui dati.

15 Certificazine ed accreditament Se il sistema aspira ad una certificazine, l'analisi dei rischi è un requisit preventiv che sarà richiest dal valutatre. È la fnte di infrmazini per determinare la relazine di cntrmisure rilevanti per il sistema e che quindi devn essere esaminate. Si veda l'appendice 4.1 sulle certificazine dei sistemi di gestine della sicurezza delle infrmazini (SGSI). L'analisi dei rischi è essa stessa un requisit nei prcessi di accreditament di sistemi. Questi prcessi sn necessari quand si va a trattare un sistema infrmativ militare classificat su base nazinale, UE, NATO di altri rganismi internazinali. Il prim pass del prcess è la realizzazine dell'analisi dei rischi che identifichi minacce e cntrmisure e gestisca in md sddisfacente i rischi del sistema. Infine, è rilevante menzinare l'impieg di prfili di prtezine cme meccanism di cntrattazine. I prfili di prtezine (ISO/IEC-15408) nascn cn la dppia missine di pter definire a priri i requisiti di sicurezza di un sistema (per il su acquist per il su svilupp) e di pter sfruttare il valre internazinale del significat di una certificazine. Nell'un nell'altr cas, stabilisce l'unità di misura rispett a cui si qualificherà l'idneità della sicurezza del sistema. Si veda l'appendice 4.2 sui Cmmn Criteria. In cnclusine Occrre analizzare e gestire i rischi quand quest sia stabilit direttamente indirettamente da un requisit legale ed gni vlta che l richieda un attività di prtezine respnsabile degli asset di un'rganizzazine.

16 2. Realizzazine dell'analisi e della gestine Quest capitl espne cncettualmente in che csa cnsiste l'analisi dei rischi e la sua gestine, che csa si ricerca in gni su mment e quali cnclusini si derivan. Ci sn due cmpiti principali da realizzare: I. analisi dei rischi, che permette di determinare ciò che l'rganizzazine pssiede e di stimare quell che ptrebbe succedere. Elementi: 1. asset, che sn gli elementi dei sistemi infrmativi ( strettamente relazinati cn questi) che dann valre all'rganizzazine 2. minacce, che sn ciò che può succedere all'asset causand un dann all'rganizzazine 3. cntrmisure ( cntrlli), che sn gli elementi di difesa realizzati affinché le minacce nn causin [tant] dann. Cn questi elementi si può stimare: 1. l'impatt: quell che ptrebbe succedere 2. il rischi: quell che prbabilmente succederà L'analisi dei rischi permette di analizzare questi elementi in md metdic per giungere a cnclusini fndate II. gestine dei rischi, che permette di rganizzare la difesa in md cscienzis e prudente, perand affinché nn succeda niente di negativ ed al temp cntribuend ad affrntare le emergenze, a spravvivere agli incidenti e a cntinuare ad perare nelle migliri cndizini; dat che niente è perfett, si dichiara che il rischi è ridtt ad un livell residu che la direzine accetta. Infrmalmente, si può dire che la gestine della sicurezza di un sistema infrmativ è la gestine dei sui rischi e che l'analisi permette di razinalizzare detta gestine Analisi dei rischi L'analisi dei rischi è un'apprssimazine metdica per determinare il rischi seguend alcuni passi prgrammati: 1. determinare gli asset rilevanti per l'rganizzazine, le lr interrelazini ed il lr valre, nel sens del dann (cst) che causa una lr cmprmissine; 2. determinare a quali minacce sn espsti quegli asset; 3. determinare quali cntrmisure sn implementate e quant sn efficaci rispett al rischi 4. stimare l'impatt, definit cme il dann sull'asset derivante dalla cncretizzazine della minaccia; 5. stimare il rischi, definit cme l'impatt pnderat cn la frequenza di ccrrenza ( aspettativa di cncretizzazine) della minaccia. Cn l'biettiv di rganizzare la presentazine degli argmenti si cnsideran prima i passi 1, 2, 4 e 5, cnsiderand quindi che le stime di impatt e rischi sian "ptenziali": casi in cui nn si ha cntrmisura alcuna dispiegata. Una vlta ttenut quest scenari teric, si aggiungn le

17 cntrmisure del pass 3, derivand stime realistiche di impatt e rischi. La seguente figura riassume quest prim percrs, i cui passi sn dettagliati nelle seguenti sezini: Pass 1: Asset Sn definiti asset le risrse prprie del sistema infrmativ ad ess cllegate, necessarie affinché l'rganizzazine peri crrettamente e raggiunga gli biettivi prepsti dalla sua direzine. L'asset centrale sn le infrmazini trattate dal sistema; ciè i dati. Intrn ad essi si pssn identificare altri asset rilevanti: I servizi che si pssn prestare grazie ai dati, ed i servizi di cui si ha bisgn per pter gestire detti dati. Le applicazini infrmatiche (sftware) che permettn di trattare i dati. Le apparecchiature infrmatiche (hardware) che permettn di memrizzare e impiegare dati, applicazini e servizi. I supprti di memrizzazine che sn dispsitivi di immagazzinament di dati. Le apparecchiature ausiliarie che supprtan il materiale infrmatic. Le reti di cmunicazini che permettn di scambiare dati. I siti che acclgn le apparecchiature infrmatiche e di cmunicazine. Il persnale che impiega d pera gli elementi precedentemente citati. Tipi di asset Nn tutti gli asset sn dell stess tip. A secnda del tip di asset, le minacce e le cntrmisure sn differenti. Il capitl 2 del "catalg degli elementi" presenta un schema dei tipi di asset. Se il sistema tratta dati di carattere persnale, questi slgn essere imprtanti di per sé stessi e richiedn una serie di cntrmisure, spess definite per legge. Per questi asset interessa determinare che mdalità di trattament si devn imprre. Il fatt che un dat sia di carattere persnale impatta tutti gli asset cinvlti nel su trattament.

18 L stess avviene cn i dati sttpsti ad una classificazine di riservatezza. Quand si dice che un cert dcument è classificat cme "riservat", nel sens che le cpie sn numerate, pssn sl arrivare a certe persne, nn devn uscire dall'azienda e devn essere distrutte in md cntrllat etc. si stann impnend una serie di cntrmisure perché l richiede il reglament, settriale specific dell'rganizzazine. Dipendenze Gli asset che richiaman più immediatamente l'attenzine slgn essere le infrmazini ed i servizi; ma questi asset dipendn di altri più tradizinali cme pssn essere le apparecchiature, le cmunicazini le frequentemente dimenticate persne che lavran cn essi. Per quest è imprtante il cncett di "dipendenze tra asset" la misura in cui un asset superire si vede influenzat da un incidente di sicurezza in un asset inferire. Si dice che un "asset superire" dipende da un altr "asset inferire" quand i requisiti di sicurezza del superire si riflettn nei requisiti di sicurezza dell'inferire. Dett cn altre parle, quand la cncretizzazine di una minaccia sull'asset inferire ha cme cnseguenza un dann sull'asset superire. Infrmalmente si può cnsiderare che gli asset inferiri sn i pilni su cui si appggia la sicurezza degli asset superiri. Sebbene in gni cas ci si deve adattare all'rganizzazine ggett dell'analisi, spess si può strutturare l'insieme degli asset in livelli, dve i livelli superiri dipendn dagli inferiri, secnd quant segue: livell 1: l'ambiente: asset che peran a garanzia dei seguenti livelli servizi infrastrutturali: energia, climatizzazine, cmunicazini persnale: di direzine, perativ, di svilupp, etc. altri: edifici, mbili, etc. livell 2: il sistema infrmativ prpriamente dett apparecchiature infrmatiche (hardware) applicazini (sftware) cmunicazini supprti di memrizzazine: dischi, nastri, etc. livell 3: le infrmazini dati meta-dati: strutture, indici, chiavi di cifratura, etc. livell 4: le funzini dell'rganizzazine, che giustifican l'esistenza del sistema infrmativ e gli dann un fine biettivi e missine beni e servizi prdtti livell 5: altri asset credibilità e buna immagine cnscenza accumulata indipendenza di giudizi di azine privacy delle persne

19 inclumità delle persne Valrizzazine Perché interessa un asset? Per quell che vale. Nn si sta parland di quell che cstan gli asset, ma di quell che valgn. Se qualcsa nn serve a nulla l si può trascurare. Se nn si può fare a men di un asset senza incrrere in cnseguenze è perché ess ha un valre. Si deve verificare quest aspett in quant un asset cn valre è ciò che si deve prteggere. Il valre può essere prpri, può essere cumulativ. Si può affermare che gli asset inferiri in un schema di dipendenze accumulan il valre degli asset che si appggian su di lr. Il valre centrale è slit stare nelle infrmazini ( dati) che il sistema tratta, lasciand gli altri asset relegati all sfruttament e alla prtezine delle infrmazini. D'altrnde, i sistemi infrmativi sfruttan i dati per frnire servizi, interni all'rganizzazine destinati a terzi, basandsi su di una serie di infrmazini necessarie. Senza entrare in dettagli tecnici di cme si fa qualcsa, l'insieme di infrmazini e servizi finali permette di caratterizzare funzinalmente un'rganizzazine. Le dipendenze tra asset permettn di mettere in relazine gli altri asset cn infrmazini e servizi. Dimensini Di un asset può essere d'interesse cnsiderare differenti dimensini: la sua autenticità: che dann causerebbe nn sapere esattamente chi fa ha fatt gni azine? Questa valrizzazine è tipica dei servizi (autenticità dell'utente) e dei dati (autenticità di chi accede ai dati in scrittura, semplicemente, in lettura) la sua riservatezza: che dann causerebbe il fatt che l cnscesse chi nn dvrebbe? Questa valrizzazine è tipica dei dati. la sua integrità: che dann causerebbe il su danneggiament crruzine? Questa valrizzazine è tipica dei dati, che pssn essere maniplati, essere ttalmente parzialmente falsi incmpleti. la sua dispnibilità: che dann causerebbe nn averl più nn pterl utilizzare? Questa valrizzazine è tipica dei servizi. In sistemi dedicati all'amministrazine al cmmerci elettrnic, la cnscenza degli attri in gic è fndamentale per pter prestare il servizi crrettamente e pter ricstruire gli errri (casuali deliberati) che ptrebber verificarsi. In questi asset, ltre all'autenticità, interessa cnsiderare: la tracciabilità dell'us del servizi: che dann causerebbe nn sapere a chi si presta tale servizi? ciè, chi fa che csa e quand? i tracciabilità dell'access ai dati: che dann causerebbe nn sapere chi accede a quali dati e che csa fa cn essi? Si ricnscn abitualmente le dimensini basilari di: autenticità, riservatezza, integrità e dispnibilità. In questa metdlgia si è raffinat il cncett di autenticità per distinguere tra l'us di un servizi e l'access ai dati. Si è inltre intrdtt il cncett di tracciabilità (dall'inglese accuntability) pres delle guide ISO/IEC 13335, ugualmente divis tra la tracciabilità del servizi e dei dati. Gli aspetti di autenticità e tracciabilità dei dati sn critici per sddisfare le misure reglamentari su archivi elettrnici che cntengan dati di carattere persnale.

20 Il capitl 3 del "catalg degli elementi" presenta una relazine delle dimensini di sicurezza. In un alber di dipendenze, dve gli asset superiri dipendn da quelli inferiri, è irrinunciabile valutare gli asset superiri, quelli che sn imprtanti di per sé stessi. Quest valre si accumula autmaticamente sugli inferiri, il che nn è un impediment al fatt che pssan avere, in aggiunta, una lr valrizzazine prpria. quant vale la "salute" degli asset? Una vlta determinat quali dimensini (di sicurezza) sn rilevanti per un asset si deve prcedere a valrizzarle. La valrizzazine è legata alla determinazine del cst necessari al recuper da un incidente che cmprmetta l'asset. Ci sn mlti fattri da cnsiderare: cst di rimpiazzament: acquist ed installazine; cst di man d'pera (specializzata) impiegata per recuperare (il valre) dell'asset; cessazine di prfitt: perdita di entrate; capacità perativa: fiducia degli utenti e dei frnitri che si traduce in una perdita di attività in peggiri cndizini ecnmiche; sanzini per inadempiment della legge bblighi cntrattuali; danni ad altri asset, prpri altrui; danni a persne; danni ambientali; La valrizzazine può essere quantitativa (cn una quantità pecuniaria) qualitativa (cn una scala di livelli). I criteri più imprtanti da rispettare sn: mgeneità: è imprtante pter paragnare i valri sebbene sian assciati a differenti dimensini al fine di pter cmbinare valri prpri e valri cumulativi, csì cme per pter determinare se il dann è più grave in una dimensine in un'altra relatività: è imprtante pter nrmalizzare il valre di un asset rispett ad altri asset Tutti questi criteri si sddisfan usand valutazini ecnmiche (cst pecuniari richiest per "curare" l'asset) ed è frequente la tentazine di dare un valre a tutt. Se si riesce, eccellente. E' facile assciare un prezz agli aspetti più tangibili (apparecchiature, re di lavr, etc.); ma entrand in valutazini più astratte (asset intangibili cme la credibilità dell'rganizzazine) la valrizzazine ecnmica esatta può essere ingannevle e mtiv di disputa tra esperti. Il capitl 4 del "catalg degli elementi" presenta alcune linee guida per la valrizzazine sistematica degli asset. Valrizzazine qualitativa Le scale qualitative permettn di avanzare cn rapidità, psizinand il valre di gni asset in un rdine relativ rispett ad altri. È frequente impstare queste scale cme "rdini di grandezza" e, di cnseguenza, derivarne stime sull'rdine di grandezza del rischi. La limitazine delle valrizzazini qualitative è che nn permettn di paragnare valri più in là del lr rdine relativ. Nn si pssn smmare valri. Il capitl 8.1 del "guida alle tecniche" presenta un mdell di analisi basat su valrizzazini qualitative.

21 Valrizzazine quantitativa Le valrizzazini numeriche asslute necessitan mlt impegn, ma nn sffrn dei prblemi delle valrizzazini qualitative. Smmare valri numerici è asslutamente "naturale" e l'interpretazine delle smme nn è mai mtiv di cntrversia. Se la valrizzazine è pecuniaria, inltre si pssn fare studi ecnmici paragnand quell che si rischia cn quell che csta la sluzine rispndend quindi alle dmande: vale la pena investire tant denar in questa cntrmisura? che insieme di cntrmisure ttimizza l'investiment? in quant temp si ricupera l'investiment? quant è raginevle che csti il premi di un'assicurazine? Il capitl 8.2 del "guida alle tecniche" presenta un mdell di analisi basat su valrizzazini quantitative. Il valre dell'interruzine del servizi Quasi tutte le dimensini menzinate precedentemente permettn una valrizzazine semplice, qualitativa quantitativa ma c'è un'eccezine: la dispnibilità. Nn è l stess interrmpere un servizi per un'ra, per un girn per un mese. Può darsi che un'ra di interruzine sia irrilevante, mentre un girn senza servizi causi un dann mderat; ma un mese di blcc ptrebbe cmprtare la chiusura dell'attività. Il fattre negativ è che nn esiste una prprzinalità tra il temp di interruzine e le cnseguenze. Cnseguentemente, per valutare l'interruzine della dispnibilità di un asset si deve usare una struttura più cmplessa che si può riassumere visivamente cme segue: Nel graf sn evidenti una serie di sglie di interruzine che terminan cn la distruzine ttale permanente dell'asset. Nell'esempi illustrat, interruzini fin a 6 re si pssn sstenere senza cnseguenze. Alle 6 re però si diraman allarmi che aumentan se il ferm supera i 2 girni. e se quest supera il mese, si può dire che l'rganizzazine ha perdut la sua capacità perativa: è finita. Dal punt di vista dei rimedi, la grafica dice direttamente che nn si deve spendere nemmen un eur per evitare fermi di men di 6 re. Vale invece una certa spesa impedire che un ferm superi le 6 re i 2 girni. Quand si valuta quell che csta impedire che il ferm superi il mese, si deve mettere sulla bilancia tutt il valre dell'rganizzazine a frnte del cst delle cntrmisure. Ptrebbe anche essere che nn ne valga la pena.

22 Pass 2: Minacce Il seguente pass cnsiste nel determinare le minacce che pssn interessare gni asset. Le minacce sn "cse che accadn", e, di tutt quell che può accadere, è rilevante sl quell che può succedere al nstr asset e causargli un dann. Esistn incidenti naturali (terremti, inndazini...) e disastri industriali (cntaminazine, sbalzi di tensine elettrica...) a frnte dei quali il sistema infrmativ è una vittima passiva; nn per quest si deve però rimanere indifesi. Ci sn minacce causate dalle persne, errri, attacchi intenzinali. Il capitl 5 del "catalg degli elementi" presenta una relazine delle minacce tipiche. Nn tutte le minacce riguardan tutti gli asset, ma c'è una certa relazine tra il tip di asset e quell che gli può accadere. Valrizzazine delle minacce Quand un asset è vittima di una minaccia, nn si vede influenzat in tutte le sue dimensini, né nell stess md all intern di esse. Una vlta determinat che una minaccia può danneggiare un asset, si deve stimare quant è vulnerabile l'asset, stt due aspetti: cmprmissine: cme risulta danneggiat l'asset frequenza: gni quant si cncretizza la minaccia La cmprmissine misura il dann causat da un incidente suppnend che accada. La cmprmissine sule essere rappresentata cme una frazine del valre dell'asset e in quest md appain espressini del tip che un asset si è vist "ttalmente cmprmess", "cmprmess in minima parte". Quand le minacce nn sn intenzinali, basta cnscere la frazine fisicamente danneggiata di un asset per calclare la perdita prprzinale di valre. Ma quand la minaccia è intenzinale, nn si può pensare in termini di prprzinalità alcuna perché l'attaccante può causare mlti danni in md selettiv. La frequenza pne in prspettiva una cmprmissine, perché una minaccia può avere terribili cnseguenze ma essere di imprbabile cncretizzazine; mentre un'altra minaccia può avere cnseguenze mlt basse, ma essere tant frequente da finire per creare un dann cnsiderevle. La frequenza si rappresenta cme un tass annuale di ccrrenza, cn i seguenti valri tipici 100 mlt frequente gni girn 10 frequente Mensile 1 nrmale una vlta all'ann 1/10 pc frequente gni vari anni Pass 4: Determinazine dell'impatt Si denmina impatt la misura del dann sull'asset derivat della cncretizzazine di una minaccia. Cnscend il valre dell'asset (in svariate dimensini) e la cmprmissine che gli può causare una minaccia, è immediat derivare l'impatt che questa può avere sul sistema. L'unica cnsiderazine che resta da fare è relativa alle dipendenze tra asset. È frequente che il valre del sistema infrmativ sia incentrat sui servizi che presta e sui dati che tratta, e al temp stess che le minacce si materializzin sui mezzi.

23 Impatt cumulativ È calclat su di un asset tenend in cnsiderazine il su valre cumulativ (il prpri più quell degli asset che dipendn da lui) le minacce a cui è espst L'impatt cumulativ si calcla per gni asset, per gni minaccia ed in gni dimensine di valrizzazine, essend una funzine del valre cumulativ e della cmprmissine causata. L'impatt è tant più grande quant maggire è il valre prpri cumulativ di un asset. L'impatt è tant più grande quant maggire è la cmprmissine dell'asset attaccat. L'impatt cumulativ, calclat sugli asset che sstengn il pes del sistema infrmativ, permette di determinare le cntrmisure di cui gli strumenti di lavr devn essere dtati: prtezine delle apparecchiature, cpie di backup, etc. Impatt rifless È calclat su di un asset tenend in cnsiderazine il su valre prpri le minacce a cui sn espsti gli asset dai quali dipende L'impatt rifless si calcla per gni asset, per gni minaccia ed in gni dimensine di valrizzazine, essend una funzine del valre prpri e della cmprmissine causata. L'impatt è tant più grande quant maggire è il valre prpri di un asset. L'impatt è tant più grande quant maggire è la cmprmissine dell'asset attaccat. L'impatt è tant più grande quant maggire è la dipendenza dell'asset attaccat. L'impatt rifless, calclat sugli asset che hann valre prpri, permette di determinare le cnseguenze degli incidenti tecnici sulla missine del sistema infrmativ. Offre quindi una visine gestinale che aiuta a prendere una delle decisini più critiche di un'analisi dei rischi: accettare un cert livell di rischi. Aggregazine di valri di impatt I paragrafi precedenti determinan l'impatt che una minaccia ha su un asset in una certa dimensine. Questi impatti singlari pssn essere aggregati stt certi cndizini: si può aggregare l'impatt rifless su differenti asset, si può aggregare l'impatt cumulativ su asset che nn sn dipendenti tra di lr, né dipendn da nessun asset superire cmune, nn si deve aggregare l'impatt cumulativ su asset a men che sian indipendenti, perché ciò prterebbe a spravvalutare l'impatt includend svariate vlte il valre cumulativ di asset superiri, si può aggregare l'impatt di differenti minacce su di un stess asset, sebbene sia pprtun cnsiderare in che misura le differenti minacce sian indipendenti e pssan essere cncrrenti, si può aggregare l'impatt di una minaccia in differenti dimensini.

24 Pass 5: Determinazine del rischi Si denmina rischi la misura del dann prbabile su un sistema. Cnscend l'impatt delle minacce sull'asset, è immediat derivare il rischi senza cnsiderare altr che la frequenza di ccrrenza. Il rischi cresce cn l'impatt e cn la frequenza. Rischi cumulativ È calclat su di un asset tenend in cnsiderazine l'impatt cumulativ su di un asset dvut ad una minaccia e la frequenza della minaccia. Il rischi cumulativ si calcla per gni asset, per gni minaccia ed in gni dimensine di valrizzazine, essend una funzine del valre cumulativ, della cmprmissine causata e della frequenza della minaccia. Il rischi cumulativ, calclat sugli asset che sstengn il pes del sistema infrmativ, permette di determinare le cntrmisure di cui gli strumenti di lavr devn essere dtati: prtezine delle apparecchiature, cpie di backup, etc. Rischi rifless È calclat su di un asset tenend in cnsiderazine l'impatt rifless su di un asset dvut ad una minaccia e la frequenza della minaccia. Il rischi rifless si calcla per gni asset, per gni minaccia ed in gni dimensine di valrizzazine, essend una funzine del valre prpri, la cmprmissine causata e la frequenza della minaccia. Il rischi rifless, calclat sugli asset che hann valre prpri, permette di determinare le cnseguenze degli incidenti tecnici sulla missine del sistema infrmativ. Offre quindi una visine gestinale che aiuta a prendere una delle decisini più critiche di un'analisi dei rischi: accettare un cert livell di rischi. Aggregazine di rischi I paragrafi precedenti determinan il rischi che una minaccia genera su di un asset in una certa dimensine. Questi rischi singli pssn aggregare si stt certi cndizini: si può aggregare il rischi rifless su differenti asset, si può aggregare il rischi cumulativ su asset che nn sn dipendenti tra lr, né dipendn da nessun asset superire cmune, nn si deve aggregare il rischi cumulativ su asset a men che sian indipendenti, perché ciò prterebbe a spravvalutare il rischi, includend svariate vlte il valre cumulativ di asset superiri, si può aggregare il rischi di differenti minacce su di un stess asset, sebbene sia pprtun cnsiderare in che misura le differenti minacce sian indipendenti e pssan essere cncrrenti, si può aggregare il rischi di una minaccia in differenti dimensini Pass 3: Cntrmisure Nei passi precedenti nn sn tenute in cnsiderazine le cntrmisure dispiegate. Si misuran,

25 pertant, gli impatti e i rischi a cui sn espsti gli asset se nn si prteggesser affatt. In pratica nn è frequente trvare sistemi senza prtezine: i valri calclati finra indican quell che accadrebbe se si disattivasser le cntrmisure presenti. Si definiscn le cntrmisure cntrlli le prcedure e i mezzi tecnlgici che riducn il rischi. Esistn minacce che pssn essere scngiurate semplicemente rganizzandsi adeguatamente, altre richiedn elementi tecnici (prgrammi apparecchiature), altre sicurezza fisica e, infine, c'è la frmazine del persnale. Il capitl 6 del "catalg degli elementi" presenta una serie di cntrmisure adeguate per gni tip di asset. Le cntrmisure rientran nel calcl del rischi in due mdi: Riducend la frequenza delle minacce Si chiaman cntrmisure preventive. Idealmente arrivan ad impedire cmpletamente che la minaccia si cncretizzi. Limitand il dann causat Esistn cntrmisure che limitan direttamente la pssibile cmprmissine, mentre altre permettn di scprire immediatamente l'attacc per frenare l'avanzament della cmprmissine. Alcune cntrmisure si limitan a permettere il rapid ripristin del sistema quand la minaccia l distrugge. In tutti i casi precedenti, la minaccia si materializza ma le cnseguenze sn limitate. Le cntrmisure sn caratterizzate, ltre che dalla lr esistenza, dalla lr efficacia a frnte del rischi che miran a scngiurare. La cntrmisura ideale è efficace al 100%, vver: è tericamente idnea; è perfettamente dcumentata, cnfigurata e mantenuta;

26 viene impiegata sempre; esistn prcedure chiare di us nrmale ed in cas di incidenti; gli utenti sn frmati e cnsapevlizzati; esistn cntrlli che avvisan dei pssibili errri. Tra un'efficacia dell 0% per quelle di carattere "decrativ" e del 100% per quelle che sn perfette, si stimerà un grad di efficacia reale della cntrmisura in gni cas cncret Revisine del pass 4: impatt residu Se si sn eseguite tutte le perazini alla perfezine, l'impatt residu deve essere trascurabile. Se si sn fatte le cse a metà (nrme imprecise, prcedure incmplete, cntrmisure inadeguate insufficienti, cntrlli che nn cntrllan) allra si dice che il sistema rimane sggett ad un impatt residu. Il calcl dell'impatt residu è semplice. Vist che nn è cambiat l'asset, né le sue dipendenze, ma slamente l'entità della cmprmissine, si ripetn i calcli di impatt cn quest nuv livell di cmprmissine. L'entità della cmprmissine prendend in cnsiderazine l'efficacia delle cntrmisure è la differenza che resta tra l'efficacia perfetta e l'efficacia reale. L'impatt residu può essere calclat in md cumulativ sull'asset inferire, rifless sugli asset superiri Revisine del pass 5: rischi residu Se si sn eseguite tutte le perazini alla perfezine, il rischi residu deve essere trascurabile. Se si sn fatte le cse a metà (nrme imprecise, prcedure incmplete, cntrmisure inadeguate insufficienti, cntrlli che nn cntrllan) allra si dice che il sistema rimane sggett ad un rischi residu. Il calcl del rischi residu è semplice. Vist che nn è cambiat l'asset, né le sue dipendenze, ma slamente l'entità della cmprmissine e la frequenza di accadiment, si ripetn i calcli di rischi cn questi due nuvi dati. L'entità della cmprmissine si prende in cnsiderazine nel calcl dell'impatt residu. L'entità della frequenza prendend in cnsiderazine l'efficacia delle cntrmisure è la differenza che resta tra l'efficacia perfetta e l'efficacia reale. Il rischi residu può essere calclat in md cumulativ sull'asset inferire, rifless sugli asset superiri Gestine dei rischi L'analisi dei rischi definisce impatti e rischi. Gli impatti includn danni assluti, indipendentemente da ciò che è più men prbabile che accada. Invece il rischi pndera la prbabilità per cui quest accada. L'impatt riflette il dann pssibile, mentre il rischi il dann prbabile. Se l'impatt ed il rischi residu risultan trascurabili, si ha terminat. Se n, si deve prcedere ulterirmente L'interpretazine dei valri di impatt e rischi residui Impatt e rischi residu sn una misura dell stat presente, tra l'insicurezza ptenziale (senza

27 cntrmisura alcuna) e le misure adeguate che riducn impatt e rischi a valri trascurabili. Rappresentan quindi una misurazine delle carenze. I paragrafi seguenti si riferiscn cntempraneamente ad impatti e rischi. Se il valre residu è uguale al valre ptenziale, le cntrmisure esistenti nn servn a nulla, tipicamente nn perché nn ci sia niente di fatt, ma perché ci sn elementi fndamentali trascurati. Se il valre residu è trascurabile, ecc fatt. Quest nn vule dire abbassare il livell di guardia; ma pter affrntare la girnata cn una certa fiducia. Infine, se il valre residu è più alt rispett alla sglia di trascurabilità, esiste una certa espsizine. È imprtante capire che un valre residu è sl un numer. Per la sua crretta interpretazine deve venire accmpagnat della relazine di quell che si deve fare e nn si è fatt. I respnsabili della presa di decisini dvrann prestare mlta attenzine a questa relazine di cmpiti pendenti, denminata relazine delle deblezze Selezine di cntrmisure Le minacce devn essere scngiurate, per principi e nel cas che nn si giustifichi il cntrari. Si deve pianificare l'insieme di cntrmisure rilevanti per mitigare tant l'impatt quant il rischi, riducend sia la cmprmissine dell'asset (minimizzand il dann), sia riducend la frequenza della minaccia (minimizzand l'ccrrenza). Qualsiasi minaccia deve essere scngiurata in md prfessinale, il che vule dire che si deve: 1. stabilire una plitica dell'rganizzazine a riguard; vver nrme generali che definiscn chi è respnsabile di che csa; 2. stabilire una nrma; vver alcuni biettivi da sddisfare per ptere dire a ragin veduta che la minaccia è stata scngiurata; 3. stabilire alcune prcedure; vver istruzini pass a pass di csa si deve fare 4. realizzand cntrmisure tecniche che effettivamente faccian frnte vers le minacce cn pssibilità di scngiurarle; 5. realizzand cntrlli che permettan di sapere che tutt quant definit in precedenza stia funzinand secnd le previsini. Quest insieme di elementi si individua abitualmente stt il nme di sistema di gestine della sicurezza delle infrmazini (SGSI), sebbene si stia perand nn sl gestend ma anche agend. Il paragraf precedente può trarre in ingann se il lettre interpreta che si devn prtare a termine tutti i punti per gni minaccia. N. Nella pratica quant dett si traduce nell svilupp di una plitica, di alcune nrme ed alcune prcedure assieme alla realizzazine di una serie di cntrmisure e cntrlli e, a quest punt sì, verificare che tutte le minacce abbian avut una rispsta adeguata. Dei punti precedenti, il più "apert" è quell di determinazine delle cntrmisure apprpriate. È realmente un'arte che richiede persnale specializzat, sebbene in pratica le situazini più abituali sian perfettamente dcumentate nella letteratura e sia sufficiente scegliere tra un catalg in funzine della grandezza del rischi. Tipi di cntrmisure Un sistema deve cnsiderare priritarie le cntrmisure di tip preventiv mirate a fare in md che la minaccia nn accada da rendere il su dann trascurabile. Ovver impedire incidenti attacchi. In pratica nn tutt è prevedibile, né tutt quell che è prevedibile è ecnmicamente raginevle da

28 mitigare sul nascere. Sia per prepararsi ad affrntare l'ignt che per prteggersi da ciò a cui si rimane espsti, bisgna disprre di elementi che individuin il principi di un incidente e permettan di reagire cn sllecitudine impedend che ess si trasfrmi in un disastr. Tant le misure preventive quant quelle di emergenza ammettn una certa cmprmissine degli asset, quindi si dvrà disprre infine di misure di ripristin che restituiscan il valre perdut dagli asset. E' bun sens cmune tentare di agire in md preventiv affinché le cse pssan nn accadere pssan nn causare mlt dann; ma nn sempre è pssibile e si deve essere preparati a quand queste accadn. Quell che nn deve succedere asslutamente è che un attacc passi insservat: è necessari individuarl, esaminarl e reagire prima cn un pian di emergenza (che blcchi e limiti l'incidente) e dp cn un pian di cntinuità e ripristin per ritrnare ad un stat di nrmalità. Infine, senza vlntà di anniare il lettre, ci si deve ricrdare che è pprtun arrivare ad un cert equilibri tra: cntrmisure tecniche: in applicazini, apparecchiature e cmunicazini; cntrmisure fisiche: di prtezine per l'ambiente di lavr, per le persne e per le apparecchiature; misure rganizzative: di prevenzine e gestine delle incidenti; plitica del persnale: che, a fine di cnti, è un anell indispensabile e mlt delicat: plitica di assunzine, frmazine permanente, rganizzazine di rispsta agli incidenti, pian di reazine e misure disciplinari Perdite e guadagni Fa parte del bun sens l'idea di nn investire in cntrmisure ltre il valre dei prpri asset da prteggere. Grafici cme il seguente appain in pratica, mettend una frnte all'altr il cst dell'insicurezza (quell che csterebbe nn sta prtetti) ed il cst delle cntrmisure. Quest tip di rappresentazini grafiche tentan di riflettere cme superare un grad di sicurezza

29 dell 0% vers un grad di sicurezza del 100%, il cst dell'insicurezza (il rischi) diminuisce, mentre il cst dell'investiment in cntrmisure aumenta. È intenzinale la rappresentazine che il rischi si abbatta di mlt cn piccli investimenti e che il cst cresca in md espnenziale per raggiungere livelli di sicurezza vicini al 100%. La curva centrale smma il cst per l'rganizzazine, derivat dal rischi (sicurezza) e dall'investiment in prtezine. In una certa frma esiste un punt di equilibri tra quell che si rischia e quell che si investe in difesa, punt a cui si deve tendere se l'unic vincl è ecnmic. Prtare il sens cmune alla pratica nn però csì è evidente, né per la parte del calcl del rischi, né per la parte del calcl del cst delle cntrmisure. In altri parle, la curva precedente è cncettuale e nn si può disegnare a partire da un cas reale. In pratica, quand ci si deve prteggere da un rischi che si cnsidera significativ, appain vari scenari iptetici: E0: se nn si è fatt niente; E1: se si applica un cert insieme di cntrmisure; E2: se si applica un altr insieme di cntrmisure; e csì N scenari cn differenti cmbinazini di cntrmisure. L'analisi ecnmica avrà cme missine decidere tra queste pzini, essend E0 (nn fare niente) un'pzine pssibile, che ptrebbe essere giustificata ecnmicamente. In gni scenari si deve stimare nel temp i csti annessi. Per ptere aggregare i csti, si registran cme valri negativi le perdite di denar e cme valri psitivi le entrate di denar. Cnsiderand i seguenti cmpnenti: (ricrrente) rischi residu; (una vlta) cst delle cntrmisure; (ricrrente) cst annuale di manutenzine delle cntrmisure; + (ricrrente) miglirament nella prduttività; + (ricrrente) miglirament nella capacità dell'rganizzazine di prestare nuvi servizi, cnseguire cndizini più favrevli dai frnitri, entrare in scietà cn altre rganizzazini, etc. L scenari E0 è mlt semplice: tutti gli anni si affrnta una spesa definita per il rischi, che si accumula ann dp ann.

30 Negli altri scenari, ci sn cse che si smman e cse che si sttraggn, dand lug a differenti situazini: E0 E1 E2 E3 In E0 si sa ( si stima) quell che gni ann si perde. L scenari E1 sembra una cattiva idea, perché cmprta una spesa aggiuntiva il prim ann; ma questa spesa nn si recupera in anni successivi. Nn è csì nell scenari E2 che, pur cmprtand un esbrs iniziale, cmincia ad essere redditizi a partire dal quart ann. Più attraente ancra è l scenari E3 nel quale, a frnte di un maggire esbrs iniziale, si cmincia a risparmiare al terz ann e si arrivan ad ttenere benefici perativi a partire del quint ann. Si può dire che nell scenari E3 si è fatt un bun investiment L'atteggiament della direzine La direzine dell'rganizzazine sttpsta all'analisi dei rischi deve determinare i livelli di impatt e rischi accettabili. Dett più precisamente, accettare la respnsabilità delle insufficienze. Questa decisine nn è tecnica. Può essere una decisine plitica gestinale può venire determinata per legge da requisiti cntrattuali cn frnitri utenti. Questi livelli di accettabilità si pssn stabilire per asset per gruppi di asset (in un determinat dipartiment, in un determinat servizi, in una determinata dimensine...) Qualsiasi livell di impatt e/ rischi è accettabile se l cnsce e l accetta frmalmente la direzine. Se l'impatt e/ il rischi sn al di spra di quant accettabile, si può: 1. eliminare l'asset; suna mlt frte, ma alle vlte ci sn asset che, semplicemente, nn vale la pena mantenere; 2. intrdurre nuve cntrmisure miglirare l'efficacia di quelle presenti Revisine del pass 1: asset Alcune cntrmisure, in particlar md quelle di tip tecnic, si traducn nel dispiegament di più apparecchiature che si trasfrman alla lr vlta in asset del sistema. Questi asset supprtan parte del valre del sistema e sn a lr vlta sggetti a minacce che pssn danneggiare gli asset di valre.

31 C'è quindi da ripetere l'analisi dei rischi, ampliandla cn il nuv spiegament di mezzi e, naturalmente, accertarsi che il rischi del sistema ampliat sia minre di quell del sistema riginale; ciè, che le cntrmisure diminuiscan effettivamente l stat di rischi dell'rganizzazine.

32 3. Strutturazine del prgett Se nel capitl precedente si è espst in md teric cme prtare a termine l'analisi e la gestine dei rischi, in quest capitl si definiscn gli stessi cncetti calati nelle cmpnenti di un prgett di analisi e gestine dei rischi (AGR). I passi si rganizzan in tre grandi prcessi (preparazine, analisi e gestine). Ogni prcess si rganizza in attività che, alla fine, si strutturan in cmpiti da realizzare. In gni cmpit si indica quell che si deve fare csì cme le pssibili difficltà per espletarl nnché il md di affrntarle cn success. In gni prcess si indican i traguardi che vann segnand il prgress del prgett fin alla sua cnclusine. Magerit cpre un spettr mlt ampi degli interessi dei sui utenti. Nell'impstazine di queste guide si è seguit un criteri "di massima", cnsiderand tutti i tipi di asset, tutti i tipi di aspetti di sicurezza, tutti i tipi di situazini.. Nella pratica, l'utente può trvarsi di frnte a situazini dve l'analisi è più ristretta. Segun alcuni casi pratici frequenti: si richiede sl un studi dei file di sggetti alla legislazine sui dati di carattere persnale; si richiede sl un studi delle garanzie di riservatezza delle infrmazini; si richiede sl un studi della sicurezza delle cmunicazini; si richiede sl un studi della sicurezza perimetrale; si richiede sl un studi del dispnibilità dei servizi (tipic perché si cerca l svilupp di un pian di cntinuità); si cerca un'mlgazine accreditament del sistema di un prdtt; si cerca di lanciare un prgett di metriche di sicurezza, dvend identificare quali punti interessa cntrllare e cn che grad di peridicità e dettagli; etc. Queste situazini, frequentemente, sn racclte in md frmale nei cmpiti dell'attività A1.2 e in md infrmale cmmentand che è cstruttiv cncentrarsi su un ambit ridtt, ampliandl successivamente a secnda della necessità, invece di affrntare subit la ttalità del prblema. Oltre a cprire un ambit più men estes, pssn capitare situazini in cui si richiedn analisi in ttiche differenti: un'analisi urgente per determinare gli asset critici; un'analisi glbale per determinare le misure generali; un'analisi di dettagli per determinare cntrmisure specifiche per certi elementi del sistema infrmativ; un'analisi quantitativa di dettagli per determinare l'pprtunità di una spesa elevata;... Riassumend, i cmpiti che si dettaglian nel seguit devn essere adattati: 1. rizzntalmente all'biettiv che si richiede (attività A1.2); 2. verticalmente alla prfndità pprtuna Partecipanti Durante l svilupp del prgett di AGR, dal su inizi alla sua cnclusine, si identifican i seguenti

33 rgani cllegiali: Cmitat di direzine Il prfil richiest per quest grupp di partecipanti include persne cn un alt livell nella direzine dell'rganizzazine, cnscenza degli biettivi strategici e di business che si persegun ed autrità per cnvalidare ed apprvare gnun dei prcessi realizzati durante l svilupp del prgett. Le respnsabilità di quest cmitat cnsistn in assegnare le risrse necessarie per l'esecuzine del prgett; apprvare i risultati finali di gni prcess. Il cmitat di direzine ha le sue funzini frmalizzate nel cmpit T Cmitat di attenzine E' cstituit dal respnsabile delle unità perative incluse nel prgett, csì cme dai respnsabili dell'infrmatica e della gestine all'intern di tali unità. Sarà anche imprtante la partecipazine dei servizi interni all'rganizzazine (pianificazine, cntabilità, persnale, amministrazine, etc.) In gni cas la cmpsizine del cmitat dipende delle caratteristiche delle unità perative interessate. Le respnsabilità di quest cmitat cnsistn in: rislvere gli incidenti durante l svilupp del prgett; assicurare la dispnibilità di persnale cn i prfili adeguati e la sua partecipazine nelle attività dve è necessaria la sua cllabrazine; apprvare le relazini prvvisrie e finali di gni prcess; elabrare le relazini finali per il cmitat di direzine; Il cmitat di attenzine è creat nel cmpit T1.1.1 e le sue funzini sn definite in T Grupp di prgett E frmat da persnale espert in tecnlgie e sistemi infrmativi e persnale tecnic qualificat sull ambit interessat, cn nzini sulla gestine della sicurezza in generale e sull'applicazine della metdlgia di analisi e gestine dei rischi in particlare. Se il prgett è eseguit cn assistenza tecnica esterna, tale persnale specializzat in sicurezza di sistemi infrmativi si integrerà in quest grupp di prgett. Le respnsabilità di quest grupp cnsistn in: prtare a termine i cmpiti del prgett; cmpilare, elabrare e cnslidare i dati; elabrare le relazini. Il grupp di prgett è definit nel cmpit T Gruppi di interlcutri Sn frmati da utenti rappresentativi delle unità perative interessate dal prgett. Li cstituiscn vari pssibili sttgruppi: respnsabili di servizi, cscienti della missine dell'rganizzazine e le sue strategie a medi e lung termine; respnsabili di servizi interni; persnale di ergazine ed perazine dei servizi infrmatici, cscienti dei mezzi

34 impiegati (di prduzine e cntrmisure) e degli incidenti abituali. Le unità perative interessate si determinan nei cmpiti T1.2.2 e T Gli interlcutri si identifican nel cmpit T Oltre a detti rgani, si devn identificare alcuni ruli puntuali: Prmtre È una figura individuale che cnduce i primi cmpiti del prgett, definend la sua pprtunità e l'ambit su cui lanciare il prgett di AGR prpriamente dett. Deve essere una persna cn visine glbale dei sistemi infrmativi e del lr rul nelle attività dell'rganizzazine, senza necessità di cnscere i dettagli tecnici, ma pssibilmente quelli relativi agli incidenti. Il prmtre ha il su rul definit nel cmpit T Direttre del prgett Deve essere un dirigente di alt livell, cn respnsabilità in sicurezza all'intern dell'rganizzazine, di sistemi infrmativi di pianificazine, di crdinazine di risrse, servizi aree smiglianti. È il cap visibile del grupp di prgett. Il direttre del prgett è designat nel cmpit T Cllegament perativ Sarà una persna dell'rganizzazine cn buna cnscenza delle persne e delle unità cinvlte nel prgett di AGR, che abbia capacità per cllegare il grupp di prgett cn il grupp di utenti. È l'interlcutre visibile del cmitat di attenzine. Il cllegament perativ è designat nel cmpit T È pprtun ricrdare che un prgett di AGR è sempre mist per la sua prpria natura; richiede ciè la cllabrazine permanente di specialisti ed utenti tant nelle fasi preparatrie cme nel su svilupp. La figura del cllegament perativ acquista una rilevanza permanente che nn è abituale in altri tipi di prgetti più tecnici Svilupp del prgett In questa sezine si rdinan e frmalizzan le azini da realizzare durante un prgett di AGR, stabilend una traccia nrmalizzata per il su svilupp. Questa traccia di lavr definisce: 1. una strutturazine del prgett che serva da guida al grupp di lavr e che permetta di inserirvi il respnsabile e gli utenti; 2. un insieme di prdtti da ttenere; 3. un insieme di tecniche per ttenere i prdtti; 4. le funzini e le respnsabilità dei diversi partecipanti. Il prgett si divide in tre grandi prcessi, rganizzati a lr vlta in una serie di attività che cntengn un insieme di cmpiti cn il grad di dettagli pprtun. Ogni cmpit specifica i seguenti cncetti: azini da realizzare;

35 dati in ingress; dati in uscita: prdtti e dcumenti da ttenere cme risultat delle azini; tecniche raccmandate per prtare a bun fine gli biettivi del cmpit; partecipanti che intervengn sn interessati nel cmpiment delle attività. Un prgett di AGR si cmpne di tre prcessi principali: Prcess P1: Pianificazine Si stabiliscn le cnsiderazini necessarie per iniziare il prgett AGR. Si investiga l'pprtunità di realizzarl. Si definiscn gli biettivi che deve cmpiere ed l ambit (ambit) che includerà. Si pianifican le risrse materiali ed umane per la sua realizzazine. Si prcede al lanci del prgett. Prcess P2: Analisi dei rischi Si identifican gli asset interessati, le relazini tra di essi e la valrizzazine che gli cmpete. Si identifican le minacce significative sugli asset e si valrizzan in termini di frequenza di ccrrenza e di cmprmissine causata rispett al valre dell'asset interessat. Si identifican le cntrmisure esistenti e si valuta l'efficacia della lr realizzazine. Si stiman l'impatt ed il rischi a cui sn espsti gli asset del sistema. Si interpreta il significat dell'impatt e del rischi. Prcess P3: Gestine dei rischi Si sceglie una strategia per mitigare impatt e rischi. Si determinan le cntrmisure pprtune per raggiungere l'biettiv precedente. Si determina la qualità necessaria di dette cntrmisure. Si definisce un pian di sicurezza (pian di azine pian maestr) per prtare l'impatt ed il rischi a livelli accettabili. Si prta a termine il pian di sicurezza. Questi tre prcessi nn sn necessariamente sequenziali. Il prcess P1 è chiaramente l'iniziatre del prgett. Il prcess P2 funzina cme sstegn del prcess P3 nel sens che la gestine dei rischi (P3) è un cmpit cntinu spprtat dalle tecniche di analisi (P2). La gestine dei rischi suppne sempre l'alterazine dell'insieme delle cntrmisure, sia perché appain nuve cntrmisure, sia perché si sstituiscn alcune di esse per altre, sia perché si migliran quelle esistenti. La gestine dei rischi può supprre l'alterazine dell'insieme di asset, tant perché appain nuvi asset (elementi di cntrmisura che vengn a far parte del sistema) quant perché sn eliminati asset dal sistema. In definitiva, durante il prcess P3 si ricrrerà a cmpiti del prcess P2. Durante questi prcessi si generan una serie di dcumenti di interesse generale:

36 P1: Pianificazine Tiplgia degli asset Dimensini di sicurezza rilevanti Criteri di valrizzazine P2: Analisi dei rischi Mdell dei valri Mappa dei rischi Valrizzazine delle cntrmisure Stat del rischi Relazine delle deblezze P3: Gestine dei rischi Pian di sicurezza Visine glbale Senza precludere un'espsizine dettagliata successiva, si mstra nel seguit l'alber cmplet di prcessi, attività e cmpiti che frman un prgett di AGR. Prcessi, attività e cmpiti Prcess P1: Pianificazine Attività A1.1: Studi dell'pprtunità Cmpit T1.1.1: Determinazine dell'pprtunità Attività A1.2: Determinazine dell'ambit del prgett Cmpit T1.2.1: Obiettivi e restrizini generali Cmpit T1.2.2: Determinazine dell ambit e dei limiti Cmpit T1.2.3: Identificazine dell'ambiente Cmpit T1.2.4: Stima di dimensini e csti Attività A1.3: Pianificazine del prgett Cmpit T1.3.1: Valrizzazine dei ruli e pianificazine delle interviste Cmpit T1.3.2: Organizzazine dei partecipanti Cmpit T1.3.3: Pianificazine del lavr Attività A1.4: Lanci del prgett Cmpit T1.4.1: Adattament dei questinari Cmpit T1.4.2: Criteri di valrizzazine Cmpit T1.4.3: Risrse necessarie Cmpit T1.4.4: Sensibilizzazine Prcess P2: Analisi dei rischi Attività A2.1: Caratterizzazine degli asset Cmpit T2.1.1: Identificazine degli asset Cmpit T2.1.2: Dipendenze tra asset Cmpit T2.1.3: Valrizzazine degli asset Attività A2.2: Caratterizzazine delle minacce Cmpit T2.2.1: Identificazine delle minacce Cmpit T2.2.2: Valrizzazine delle minacce Attività A2.3: Caratterizzazine delle cntrmisure Cmpit T2.3.1: Identificazine delle cntrmisure esistenti Cmpit T2.3.2: Valrizzazine delle cntrmisure esistenti

37 Attività A2.4: Stima dell stat di rischi Cmpit T2.4.1: Stima dell'impatt Cmpit T2.4.2: Stima del rischi Cmpit T2.4.3: Interpretazine dei risultati Prcess P3: Gestine dei rischi Attività A3.1: Presa di decisini Cmpit T3.1.1: Qualificazine dei rischi Attività A3.2: Pian di sicurezza Cmpit T3.2.1: Prgrammi di sicurezza Cmpit T3.2.2: Pian di esecuzine Attività A3.3: Esecuzine del pian Cmpit T3.3.*: Esecuzine di gni prgramma di sicurezza 3.3. Prcess P1: Pianificazine L'biettiv principale di quest prcess è stabilire la traccia generale di riferiment per tutt il prgett. Cme biettivi cmplementari si pssn identificare i seguenti: Mtivare, cnsapevlizzare ed inserire la direzine gerenza dell'rganizzazine. Raginare sull'pprtunità di realizzare un prgett di AGR. Affermare e far cnscere la vlntà della direzine della sua realizzazine. Creare le cndizini umane e materiali per il bun svilupp del prgett. Quest prcess si sviluppa attravers le seguenti attività e cmpiti: Attività A1.1: Studi dell'pprtunità Si dà un fndament all'pprtunità della realizzazine, in quest mment, del prgett di AGR, inquadrandl nell svilupp delle altre attività dell'rganizzazine. Il risultat di questa attività è la relazine csiddetta "preliminare". Cmpiti: Cmpit T1.1.1: Determinazine dell'pprtunità Attività A1.2: Determinazine dell'ambit del prgett Si definiscn gli biettivi finali del prgett, il su ambit ed i sui limiti. Si realizza una prima identificazine dell'ambiente e delle restrizini generali da cnsiderare. Si stima infine il cst che il prgett va a cmprtare. Il risultat di questa attività è un prfil di prgett AGR. Cmpiti: Cmpit T1.2.1: Obiettivi e restrizini generali Cmpit T1.2.2: Determinazine dell ambit e dei limiti Cmpit T1.2.3: Identificazine dell'ambiente Cmpit T1.2.4: Stima di dimensini e csti

38 Attività A1.3: Pianificazine del prgett Si determinan i carichi di lavr necessari per la realizzazine del prgett. Si pianifican le intervistate che si vann a realizzare per la racclt di infrmazini e chi deve essere intervistat. Si elabra il pian di lavr per la realizzazine del prgett. In questa attività si determinan i partecipanti e si strutturan i differenti gruppi e cmitati per prtare a termine il prgett. Il risultat di questa attività è cstituit da: Cmpiti: un pian di lavr per il prgett di AGR; prcedure di gestine delle infrmazini create. Cmpit T1.3.1: Valrizzazine dei ruli e pianificazine delle interviste Cmpit T1.3.2: Organizzazine dei partecipanti Cmpit T1.3.3: Pianificazine del lavr Attività A1.4: Lanci del prgett Si adattan i questinari per la racclta di infrmazini al prgett presente. Si scelgn le tecniche principali di valrizzazine di rischi da utilizzare e si assegnan le risrse necessarie per l'inizi del prgett. Si realizza inltre una campagna infrmativa di sensibilizzazine per gli interessati sulle finalità e sui requisiti della lr partecipazine. Il risultat di questa attività è cstituit da: Cmpiti: i questinari per le interviste; il pian delle interviste; il catalg dei tipi di asset; la relazine delle dimensini di sicurezza e; i criteri di valrizzazine. Cmpit T1.4.1: Adattament dei questinari Cmpit T1.4.2: Criteri di valrizzazine Cmpit T1.4.3: Risrse necessarie Cmpit T1.4.4: Sensibilizzazine Attività A1.1: Studi dell'pprtunità Cnsta di un unic cmpit: T1.1.1: Determinazine dell'pprtunità P1: Pianificazine A1.1: Studi dell'pprtunità T1.1.1: Determinazine dell'pprtunità

39 Obiettivi Identificare suscitare l'interesse della direzine dell'rganizzazine nella realizzazine di un prgett di AGR Elementi in ingress Elementi in uscita Relazine preliminare che raccmanda l'elabrazine del prgett di AGR Sensibilizzazine ed appggi della direzine alla realizzazine del prgett di AGR Creazine del cmitat di attenzine Tecniche, cnsuetudini e linee guida Interviste (vedere "guida alle tecniche" 3.6.1) Riunini (vedere "guida alle tecniche" 3.6.2) Partecipanti Il prmtre La direzine è di nrma mlt csciente dei vantaggi che apprtan le tecnlgie elettrniche, infrmatiche e telematiche al su funzinament, ma nn altrettant dei nuvi prblemi di sicurezza che queste tecnlgie implican, ppure degli bblighi legali reglamentari che le riguardan. In tutte le rganizzazini, pubbliche private, è imprtante trasfrmare in misure cncrete la crescente attenzine vers la mancanza di sicurezza dei sistemi infrmativi, direttamente e nell'ambiente che li include, piché i sui effetti nn riguardan sl tali sistemi, ma l'inter funzinament dell'rganizzazine e, nelle situazini critiche, la sua stessa missine capacità di spravvivenza. Svilupp L'iniziativa per la realizzazine di un prgett di AGR parte da un prmtre intern estern all'rganizzazine, csciente dei prblemi legati alla sicurezza dei sistemi infrmativi, cme per esempi: Incidenti cntinui legati alla sicurezza. Inesistenza di previsini sulla valutazine di necessità e mezzi per raggiungere un livell accettabile di sicurezza dei sistemi infrmativi cmpatibile cn l'adempiment crrett della missine e delle funzini dell'rganizzazine. Ristrutturazini nei prdtti nei servizi frniti. Cambiamenti nella tecnlgia utilizzata. Svilupp di nuvi sistemi infrmativi. Il prmtre può elabrare un questinari-traccia (dcumentare pc generalizzabile che dvrà creare per gni cas cncret) per prvcare la riflessine su aspetti della sicurezza dei sistemi infrmativi da parte di: Respnsabili delle unità perative (respnsabili di servizi). Il questinari permette di cndurre un esame infrmale della situazine per quant cncerne la sicurezza dei sui sistemi infrmativi; i respnsabili devn ptere esprimere la lr pinine sui prgetti di sicurezza finra realizzati (cn il lr grad di sddisfazine cn le limitazini di questi), csì cme le lr aspettative a frnte dell'elabrazine di un prgett AGR. Questa apprssimazine di alt livell permette di ttenere una prima visine degli biettivi cncreti e delle pzini che devn sttstare all'elabrazine del prgett. Respnsabile dei servizi infrmativi. Il questinari permette di ttenere una panramica tecnica per l'elabrazine del prgett e

40 semplifica l apprcci all studi dell'pprtunità di realizzazine, dp aver integrat le pzini precedenti. Dalle rispste al questinari-traccia e dalle interviste tenute cn il respnsabile e i sui clleghi anterirmente, il prmtre ttiene una prima apprssimazine sulle funzini, i servizi ed i prdtti implicati in questini di sicurezza dei sistemi infrmativi, l'ubicazine gegrafica degli stessi, i mezzi tecnlgici, le risrse umane, etc. Cn questi elementi il prmtre realizza la relazine preliminare raccmandand l'elabrazine del prgett di AGR e includend in essa questi elementi: Espsizine degli argmenti di base. Relazine su antecedenti sulla sicurezza dei sistemi infrmativi (pian strategic, pian d azine, etc.). Prima apprssimazine all ambit da includere nel prgett in funzine di: finalità delle unità dei dipartimenti; rientamenti direttivi e tecnici; struttura dell'rganizzazine; ambiente tecnlgic. Prima apprssimazine delle risrse, tant umane quant materiali, per la realizzazine del prgett di AGR. Il prmtre presenta questa relazine preliminare alla direzine che può decidere se: apprvare il prgett, ppure mdificare il su ambit e/ i sui biettivi, ppure ritardare il prgett Attività A1.2: Determinazine dell'ambit del prgett Una vlta che si è cnstatata l'pprtunità di realizzare il prgett di AGR e si è ttenut l'appggi della direzine, questa attività prende in caric la stima degli elementi di pianificazine del prgett, ciè i partecipanti ed i carichi di lavr. In detta stima si deve tenere in cnsiderazine la pssibile esistenza di altri piani (per esempi un pian strategic dei sistemi infrmativi di sicurezza generale nelle unità perative interessate nell'rganizzazine) ed il termine di temp stimat per la cnclusine del prgett di AGR. In particlare, l'esistenza di un pian strategic dei sistemi infrmativi per le unità perative può determinare in grande misura l'ambit e l'estensine delle attività che si realizzin in questa attività. Questa attività cnsta di quattr cmpiti: T1.2.1: Obiettivi e restrizini generali T1.2.2: Determinazine dell ambit e dei limiti T1.2.3: Identificazine dell'ambiente T1.2.4: Stima di dimensini e csti P1: Pianificazine A1.2: Determinazine dell'ambit del prgett T1.2.1: Obiettivi e restrizini generali

41 Obiettivi Determinare gli biettivi del prgett, differenziati secnd rizznti temprali a crt e medi termine Determinare le restrizini generali che si impngn sul prgett Elementi in ingress Racclta della dcumentazine pertinente dell'rganizzazine Elementi in uscita Specifica dettagliata degli biettivi del prgett Relazine sulle restrizini generali Tecniche, cnsuetudini e linee guida Interviste (vedere "guida alle tecniche" 3.6.1) Riunini (vedere "guida alle tecniche" 3.6.2) Partecipanti Il cmitat di attenzine Un prgett di AGR può perseguire biettivi a mlt breve termine cme l'assicurazine di un cert sistema di un cert prcess di business può includere biettivi più ampi quali l'analisi glbale della sicurezza dell'rganizzazine. In gni cas quest punt deve essere definit. Sprattutt al mment di intraprendere azini crrettive, si deve tenere in cnsiderazine che nn "tutt va bene", ma che il prgett avrà a che fare cn una serie di restrizini, nn necessariamente tecniche, che traccian dei cnfini. Per incrprare le restrizini all'analisi e gestine dei rischi, queste si raggruppan per diversi cncetti tipici: Restrizini plitiche direttive Tipiche di rganizzazini gvernative mlt relazinate cn rganismi gvernativi, sia cme frnitri che cme ergatri di servizi. Restrizini strategiche Derivanti dall'evluzine prevista della struttura dagli biettivi dell'rganizzazine. Restrizini gegrafiche Derivanti dell'ubicazine fisica dell'rganizzazine dalla sua dipendenza da mezzi fisici di cmunicazini. Isle, sedi furi delle frntiere, etc. Restrizini temprali Che prendn in cnsiderazine situazini cngiunturali: cnflittualità lavrativa, crisi internazinali, cambi della prprietà, reingegnerizzazine dei prcessi, etc. Restrizini strutturali Prendend in cnsiderazine l'rganizzazine interna: prcedure di presa di decisini, dipendenza da scietà di cntrll internazinali, etc. Restrizini funzinali Che tengn in cnsiderazine gli biettivi dell'rganizzazine. Restrizini legali Leggi, reglamenti, nrmative settriali, cntratti esterni ed interni, etc. Restrizini relative al persnale Prfili lavrativi, accrdi cntrattuali, accrdi sindacali, carriere prfessinali, etc.

42 Restrizini metdlgiche Derivanti dalla natura dell'rganizzazine ed dalle sue abitudini abilità di lavr che pssn imprre un cert md di fare le cse. Restrizini culturali La "cultura" md intern di lavr può essere incmpatibile cn certe cntrmisure tericamente ideali. Restrizini pecuniarie La quantità di denar è imprtante; ma anche il md di pianificare la spesa e di usare tale budget. P1: Pianificazine A1.2: Determinazine dell'ambit del prgett T1.2.2: Determinazine dell ambit e dei limiti Obiettivi Determinare l ambit perimetr del prgett di AGR Elementi in ingress Risultati del cmpit T1.2.1, biettivi e restrizini generali Prfil generale delle unità cmprese nell ambit del prgett Elementi in uscita Relazine di unità dell'rganizzazine che si vedrann cinvlte cme parte del ambit del prgett Lista di ruli rilevanti nelle unità cmprese nell ambit Designazine del direttre del prgett Tecniche, cnsuetudini e linee guida Diagrammi dei prcessi (vedere "guida alle tecniche" 3.3) Partecipanti Respnsabili delle unità perative dell'rganizzazine Il cmitat di attenzine Quest cmpit identifica le unità perative ggett del prgett di AGR e specifica le caratteristiche generali di suddette di unità in quant a respnsabili, servizi ergati ed ubicazini gegrafiche. Identifica inltre le principali relazini delle unità ggett del prgett cn altre entità, per esempi l scambi di infrmazini su diversi supprti, l'access a strumenti infrmatici cmuni, etc. Il cmpit presume un principi basilare: l'analisi e la gestine dei rischi devn essere cncentrate su un ambit limitat, che può includere svariate unità mantenersi all'intern di una sla unità (a secnda della cmplessità e del tip di prblematiche in questine), giacché un prgett dall'ambit trpp ampi indeterminat può risultare infattibile, vver eccessivamente generic ppure trpp estes nel temp, cn ripercussini sulle stime degli elementi dell'analisi. P1: Pianificazine A1.2: Determinazine dell'ambit del prgett T1.2.3: Identificazine dell'ambiente estern Obiettivi Definire il perimetr dell ambit Definire le relazini tra l'intern dell ambit e l'ambiente estern Elementi in ingress

43 Risultati del cmpit T1.2.1, biettivi e restrizini generali Risultati del cmpit T1.2.2, determinazine dell ambit e limiti Schema delle relazini delle unità dell ambit cn l'ambiente estern Diagrammi di fluss dei dati Elementi in uscita Relazine delle unità dell'rganizzazine che si vedrann incluse nel perimetr dell ambit Lista dei ruli rilevanti in altre unità, da cnsiderare per la definizine dell'ambiente Tecniche, cnsuetudini e linee guida Diagrammi di fluss dei dati (vedere "guida alle tecniche" 3.2) Diagrammi di prcess (vedere "guida alle tecniche" 3.3) Interviste (vedere "guida alle tecniche" 3.6.1) Riunini (vedere "guida alle tecniche" 3.6.2) Partecipanti Respnsabili delle unità incluse nell ambit Il cmitat di attenzine Quest cmpit realizza un studi glbale dei sistemi infrmativi delle unità cmprese nell ambit del prgett, per identificare le lr funzini e le lr finalità principali nnché le lr relazini cn l'ambiente estern, csì cme le lr tendenze evlutive. Il prfil generale delle unità, ttenut nel cmpit precedente, si amplia in quest cmpit cn le infrmazini frnite dal respnsabile delle diverse aree di tali unità. P1: Pianificazine A1.2: Determinazine dell'ambit del prgett T1.2.4: Stima di dimensini e csti Obiettivi Determinare la quantità di risrse necessarie per l'esecuzine del prgett di AGR: umane, temprali e finanziarie Elementi in ingress Risultati del cmpit T1.2.1, biettivi e restrizini generali Risultati del cmpit T1.2.2, determinazine dell ambit e limiti Risultati del cmpit T1.2.3, identificazine dell'ambiente estern Elementi in uscita Dimensine del prgett Csti e benefici del prgett Tecniche, cnsuetudini e linee guida Analisi dei csti-benefici (vedere "guida alle tecniche" 3.1) Pianificazine di prgett (vedere "guida alle tecniche" 3.5) Partecipanti Il direttre di prgett Il cmpit facilita il dimensinament (estensine, cmplessità, aree di incertezza) del prgett a partire della cnscenza degli biettivi del prgett, dell ambit e del prfil delle unità perative cmprese nell studi. In funzine della dimensine stimata e degli biettivi del prgett si scelgn alcune delle tecniche da utilizzare nel prgett. Per esempi, se il prgett ha cme biettiv la realizzazine di un'analisi iniziale generica, la tecnica di calcl del rischi si rienta ad una discriminazine dictmica (in due blcchi) dei rischi, a secnda che esigan men altri cicli più dettagliati di analisi.

44 D'altrnde quest cmpit dimensina anche il prgett nel su cst e nei ritrni benefici che può cmprtare, affinché la direzine pssa valutare fndatamente la decisine di intraprenderl ed assegnare il mezzi necessari per il su eventuale svilupp. L studi del cst del prgett si realizza stimand i tempi e i prfili del persnale assegnat alle tappe del prgett dimensinate precedentemente. L studi dei benefici può nn essere mlt precis in quest prcess iniziale, perché nn può tenere in cnsiderazine ancra il ver ritrn di un prgett di sicurezza, che è precisamente il cst di nn avere tale sicurezza nell ambit interessat vver il risultat finale del prgett di AGR Attività A1.3: Pianificazine del prgett In questa attività si determinan i partecipanti al prgett, definend la distribuzine del lavr, la lr rganizzazine in gruppi ed le mdalità di azine. Questa attività cnsta di tre cmpiti: T1.3.1: Valutare la distribuzine del lavr e pianificare le interviste T1.3.2: Organizzare i partecipanti T1.3.3: Pianificare il lavr P1: Pianificazine A1.3: Pianificazine del prgett T1.3.1: Valutare la distribuzine del lavr e pianificare interviste Obiettivi Definire i gruppi di interlcutri: utenti interessati in gni unità perativa Pianificare le interviste di racclta delle infrmazini Elementi in ingress Risultati dell'attività A1.2, determinazine dell'ambit del prgett Elementi in uscita Relazine dei partecipanti nei gruppi di interlcutri Pian di interviste Relazine di distribuzine del lavr Tecniche, cnsuetudini e linee guida Pianificazine di prgetti (vedere "guida alle tecniche" 3.5) Partecipanti Il direttre di prgett Il cmitat di attenzine Il pian di interviste deve riprtare chi si va ad intervistare, quand e cn che biettiv. Quest pian permette di determinare il caric di lavr che il prgett va a cmprtare per le unità interessate, sia appartenenti all ambit, sia esterne. Il pian di interviste è particlarmente imprtante quand i sggetti da intervistare si trvan in differenti lcazini gegrafiche e l'intervista richiede l spstament di una di ambedue le parti. È pprtun anche rdinare le interviste in md che si ttengan prima le infrmazini più tecniche e successivamente quelle gestinali, in md che l'intervistatre pssa far evlvere le dmandate prendend in cnsiderazine fatti (esperienza strica) anziché valutazini e prspettive di terzi.

45 P1: Pianificazine A1.3: Pianificazine del prgett T1.3.2: Organizzare i partecipanti Obiettivi Determinare gli rganismi partecipanti alla gestine, alla realizzazine e alla manutenzine del prgett Definire le funzinati e respnsabilità degli rganismi partecipanti Stabilire le regle e le mdalità perative Stabilire la classificazine delle infrmazini generate Elementi in ingress Risultati dell'attività A1.2, determinazine dell'ambit del prgett Elementi in uscita Frmalizzazine del cmitat di direzine Frmalizzazine del cmitat di attenzine Criteri e prcedure di classificazine e gestine delle infrmazini generate Designazine del cllegament perativ Creazine del grupp di lavr Tecniche, cnsuetudini e linee guida nn applicabile Partecipanti Cmitat di attenzine Direttre del prgett Sebbene tutti i prgetti di AGR incrprin fndamentalmente gli stessi cmitati, in quest cmpit si avvicina l apprcci generic al cas particlare, ptendsi attenere al cas generale particlare. È particlarmente rilevante determinare la classificazine dei dcumenti che si prducan durante il prgett. Se esiste una nrma di classificazine, è pprtun attenersi ad essa per apprfittare delle prcedure già stabilite di trattament dei dcumenti. Se nn esiste, bisgna elabrare tant i criteri di classificazine quant le prcedure di trattament. La classificazine di default sarà "cnfidenziale", essend di particlare imprtanza preservare la riservatezza dei dcumenti di valrizzazine delle cntrmisure e delle deblezze. P1: Pianificazine A1.3: Pianificazine del prgett T1.3.3: Pianificare il lavr Obiettivi Elabrare il calendari cncret di realizzazine delle diverse tappe, attività e cmpiti del prgett Stabilire un calendari di attenzine che racclga le date di riunine prpste del cmitat di direzine, il pian di cnsegna dei prdtti del prgett, le pssibili mdifiche negli biettivi selezinati, etc. Elementi in ingress Risultati dell'attività A1.2, determinazine dell'ambit del prgett Risultati del cmpit T1.3.1, valutare la distribuzine del lavr e pianificare interviste Risultati del cmpit T1.3.2, rganizzare i partecipanti Elementi in uscita Crnlgia del prgett Cmpiti dei partecipanti Specifica dettagliata delle risrse materiali necessarie

46 Descrizine dei punti di cntrll Tecniche, cnsuetudini e linee guida Pianificazine di prgetti (vedere "guida alle tecniche" 3.5) Partecipanti Il grupp di prgett Attività A1.4: Lanci del prgett Questa attività cmpleta i cmpiti prpedeutici al lanci del prgett: cminciand dalla selezine e adattament dei questinari da utilizzare nella racclta di dati, prseguend cn la specifica dei criteri e delle tecniche pratiche da impiegare; terminand cn l'assegnazine delle risrse necessarie per la realizzazine del prgett e per il cmpletament della campagna infrmativa di sensibilizzazine vers gli interessati. Questa attività cnsta di quattr cmpiti: T1.4.1: Adattare i questinari T1.4.2: Criteri di valrizzazine T1.4.3: Risrse necessarie T1.4.4: Sensibilizzazine P1: Pianificazine A1.4: Lanci del prgett T1.4.1: Adattare i questinari Obiettivi Identificare le infrmazini rilevanti da ttenere, raggruppate cerentemente alla struttura delle unità perative e ai ruli dei partecipanti Elementi in ingress Risultati dell'attività A1.3, Pianificazine del prgett Elementi in uscita Questinari adattati Tecniche, cnsuetudini e linee guida Questinari (vedere "catalg degli elementi" in generale e l'appendice 2 in particlare) Partecipanti Il grupp di prgett Il cmpit adatta i questinari da utilizzare nella racclta di infrmazini all'intern del prcess P1 in funzine degli biettivi del prgett, dell ambit e dei temi da apprfndire cn gli utenti. I questinari devn essere adattati cn l'biettiv di identificare crrettamente gli elementi di lavr: asset, minacce, vulnerabilità, impatti, cntrmisure esistenti, restrizini generali, etc. in previsine dei requisiti delle attività A2.1 (caratterizzazine degli asset), A2.2 (caratterizzazine delle minacce) e A2.3 (caratterizzazine delle cntrmisure). Il bisgn di un qualche adattament esiste sempre (dvut all'ampi spettr dei prblemi di sicurezza che Magerit può e deve trattare). Un grad maggire minre di adattament dipende però dalle cndizini in cui si realizza l'impieg di detti questinari. Nn ci sarà la stessa prfndità di adattament nelle interviste guidate dall specialista in sicurezza rispett ai questinari autgestiti dal respnsabile dell ambit dagli utenti dei sui sistemi infrmativi.

47 P1: Pianificazine A1.4: Lanci del prgett T1.4.2: Criteri di valrizzazine Obiettivi Determinare il catalg dei tipi di asset Determinare le dimensini di valrizzazine degli asset Determinare i livelli di valrizzazine degli asset, includend una guida unificatrice di criteri per assegnare un cert livell ad un cert asset Determinare i livelli di valrizzazine delle minacce: frequenza e cmprmissine Elementi in ingress Catalg degli elementi Risultati dell'attività A1.3, pianificazine del prgett Elementi in uscita Catalg dei tipi di asset Relazine delle dimensini di sicurezza Criteri di valrizzazine Tecniche, cnsuetudini e linee guida Vedere "catalg degli elementi" capitli 2, 3 e 4 Partecipanti Il grupp di prgett Quest cmpit, preparatri del prcess P2 (analisi dei rischi), stabilisce la selezine dei criteri e delle tecniche che si manterrann per tutta la durata del prcess. In effetti, la gestine dei rischi del prcess P3 sarà cndizinata dal tip di analisi realizzat nel prcess P2: se si sn scelti criteri e tecniche per valutare i rischi, è raccmandabile applicare gli stessi per valutare la riduzine dei rischi e per realizzare le cntrmisure prpste. La scelta di questi criteri e tecniche è in funzine: degli biettivi del prgett (T1.2.1) dell ambit del prgett (T1.2.2) Si raccmanda di attenersi a quant suggerit nel libr "catalg degli elementi" allegat a questa guida. P1: Pianificazine A1.4: Lanci del prgett T1.4.3: Risrse necessarie Obiettivi Assegnare le risrse necessarie (umane, rganizzative, tecniche, etc.) per la realizzazine del prgett di AGR Elementi in ingress Risultati dell'attività A1.3, pianificazine del prgett Elementi in uscita Cmunicazine di assegnazine al prgett rivlta al persnale partecipante Dispnibilità delle risrse materiali necessarie Tecniche, cnsuetudini e linee guida Pianificazine dei prgetti (vedere "guida alle tecniche" 3.5) Partecipanti Il cmitat di attenzine

48 P1: Pianificazine A1.4: Lanci del prgett T1.4.4: Sensibilizzazine Obiettivi Infrmare le unità interessate Creare una cnsapevlezza generale sugli biettivi, sui respnsabili del prgett e sui termini Elementi in ingress Risultati dell'attività A1.3, pianificazine del prgett Elementi in uscita Nta infrmativa della direzine Materiale e relazine di presentazine del prgett Tecniche, cnsuetudini e linee guida Presentazini (vedere "guida alle tecniche" 3.6.3) Partecipanti Il direttre del prgett Il cmitat di attenzine Il cllegament perativ Il grupp di prgett Quest cmpit infrma le unità perative interessate del lanci del prgett di AGR attravers diversi mezzi, ma cme minim tramite: Una nta infrmativa della direzine, diretta alle unità perative interessate e dichiarativa del su appggi alla realizzazine del prgett. La presentazine del prgett, dei sui biettivi e della metdlgia da impiegare, realizzata nelle unità implicate da parte del grupp di prgett Sintesi del prcess P Punt di cntrll Punt di cntrll H1.1: La direzine prcederà all'apprvazine men della realizzazine del prgett di AGR, basandsi sull studi di pprtunità realizzat dal prmtre. Punt di cntrll H1.2: Il cmitat di direzine del prgett cnvaliderà la relazine di "pianificazine del prgett di analisi e gestine dei rischi" che cnterrà una sintesi dei prdtti ttenuti nelle attività realizzate nel prcess P Risultati Dcumentazine intermedia Risultati delle interviste. Dcumentazine da altri fnti: statistiche, sservazini di esperti ed sservazini degli analisti.

49 Dcumentazine ausiliaria: piani, rganigrammi, requisiti, specifiche tecniche, analisi funzinali, quaderni di allcazine, manuali utente, manuali d'us, diagrammi di fluss delle infrmazini e dei prcessi, mdelli di dati, etc. Analisi dei risultati, cn il rilevament delle aree critiche chiave. Infrmazini esistenti utilizzabili per il prgett (per esempi un inventari di asset) Risultati pssibili dell'applicazine di metdi di analisi e gestine dei rischi realizzati precedentemente (per esempi catalgazine, raggruppament e valrizzazine di asset, minacce, vulnerabilità, impatti, rischi, meccanismi di prtezine, etc.). Dcumentazine finale Tiplgie degli asset Dimensini di sicurezza rilevanti Criteri di valrizzazine Relazine di "pianificazine del prgett di analisi e gestine dei rischi" che cnterrà una sintesi dei prdtti ttenuti dalle attività realizzate nel prcess P Lista di cntrll del prcess P1 Organizzazine del prgett: Apprvazine della direzine (P1) Impegn esplicit della direzine (P1) Appggi della direzine (P1) Cmitat di attenzine (T1.3.2) Grupp di prgett (T1.3.2) Direttre del prgett (T1.2.2) Cllegament perativ (T1.3.2) Gruppi di interlcutri (T1.3.1) Funzini e metd di lavr (T1.3.2) Criteri di classificazine della dcumentazine e prcedure per trattarla (T1.3.2) Pianificazine del prgett: Relazine preliminare di raccmandazine e giustificazine dell'pprtunità di lanciare un prgett di AGR (T1.1.1) Obiettivi espressi e nn ambigui (T1.2.1) Stima di dimensini e csti (T1.2.4) Pian di interviste: persne e date (T1.4.3) Pian di lavr: punti di cntrll (T1.3.3) Assegnazine delle risrse (T1.4.3) Sensibilizzazine dell'rganizzazine (T1.4.4) Pian di prgett di Analisi e Gestine dei Rischi (P1) Aspetti tecnici:

50 Limitazini generali del prgett (T1.2.1) Ambit del prgett: unità perative cmprese nell'analisi (T1.2.2) Ambiente del prgett: altre unità perative cllegate in qualche md (T1.2.3) Questinari adattati (T1.4.1) Catalg dei tipi di asset (T1.4.2) Relazine delle dimensini di sicurezza rilevanti (T1.4.2) Criteri di valrizzazine (T1.4.2) 3.4. Prcess P2: Analisi dei rischi Quest prcess cstituisce il nucle centrale di Magerit e la sua crretta applicazine cndizina la validità e l utilità di tutt il prgett. L'identificazine e la stima degli asset e delle pssibili minacce che li interessan rappresenta una cmpit cmpless. Quest prcess ha i seguenti biettivi: Creare un mdell dei valri del sistema, identificand e valutand gli asset rilevanti. Creare una mappa dei rischi del sistema, identificand e valutand le minacce sugli asset. Creare una base di cnscenza dell stat attuale delle cntrmisure. Valutare l'impatt pssibile sul sistema in esame, tant l'impatt ptenziale (senza cntrmisure), quant l'impatt residu (includend l'effett delle cntrmisure implementate se si tratta di un sistema reale, nn di un sistema previst). Valutare il rischi del sistema in esame, tant il rischi ptenziale (senza cntrmisure), quant il rischi residu (includend l'effett delle cntrmisure implementate se si tratta di un sistema reale, nn di un sistema previst). Mstrare al cmitat di direzine le aree del sistema cn maggire impatt e/ rischi. Il punt di partenza di quest prcess è la dcumentazine di quell precedente relativamente agli biettivi del prgett, ai piani di interviste, alla valrizzazine dei carichi di lavr, alla cmpsizine e alle regle di azine del grupp dei partecipanti, al pian di lavr e alla relazine di presentazine del prgett. Quest prcess si sviluppa attravers le seguenti attività e cmpiti: Attività 2.1: Caratterizzazine degli asset Questa attività mira ad identificare gli asset rilevanti all'intern del sistema da analizzare, caratterizzandli per tip, identificand le relazini tra lr, determinand in che dimensini di sicurezza sn imprtanti e valrizzand tale imprtanza. Il risultat di questa attività è la relazine denminata "Mdell dei valri". Cmpiti: Cmpit T2.1.1: Identificazine degli asset Cmpit T2.2.2: Dipendenze tra asset Cmpit T2.3.3: Valrizzazine degli asset Attività 2.2: Caratterizzazine delle minacce Questa attività mira ad identificare le minacce rilevanti per il sistema da analizzare,

51 caratterizzandle cn la frequenza stimata di ccrrenza e cn la stima del dann (cmprmissine) che causerebber sugli asset. Il risultat di questa attività è la relazine denminata "Mappa dei rischi". Cmpiti: Cmpit T2.2.1: Identificazine delle minacce Cmpit T2.2.2: Valrizzazine delle minacce Attività 2.3: Caratterizzazine delle cntrmisure Questa attività mira ad identificare le cntrmisure dispiegate nel sistema da analizzare, qualificandle per la lr efficacia di frnte alle minacce che sn vlte a mitigare. Il risultat di questa attività è la relazine denminata "Valrizzazine delle cntrmisure". Cmpiti: Cmpit T2.3.1: Identificazine delle cntrmisure esistenti Cmpit T2.3.2: Valrizzazine delle cntrmisure esistenti Attività 2.4: Stima dell stat di rischi Questa attività elabra tutti i dati racclti nelle attività precedenti per Cmpiti: realizzare un relazine dell stat di rischi: stima di impatt e rischi; realizzare un relazine delle deblezze: mancanze deblezze nel sistema di cntrmisure. Cmpit T2.4.1: Stima dell'impatt Cmpit T2.4.2: Stima del rischi Cmpit T2.4.3: Interpretazine dei risultati Questa attività cnsta di tre cmpiti: T2.1.1: Identificazine degli asset T2.1.2: Dipendenze tra asset T2.1.3: Valrizzazine degli asset Attività A2.1: Caratterizzazine degli asset L'biettiv di questi cmpiti è di ricnscere gli asset che cmpngn i prcessi e di definire le dipendenze tra di essi. A partire da quest e dalle infrmazini cmpilate nell'attività precedente, l attività apprfndisce l studi degli asset mirand ad ttenere le infrmazini necessarie per realizzare le stime di rischi. È frequente che i cmpiti relazinati cn gli asset si realizzin parallelamente ai cmpiti relazinati cn le minacce su detti asset (A2.2) e cn l'identificazine delle cntrmisure attuali (A2.3), semplicemente perché le persne rilevanti slgn cincidere ed è difficile che l'interlcutre nn tenda in md naturale a trattare gni asset "verticalmente", vedend tutt quell che l riguarda prima di passare al seguente.

52 P2: Analisi dei rischi A2.1: Caratterizzazine degli asset T2.1.1: Identificazine degli asset Obiettivi Identificare gli asset che cmpngn l ambit, determinandne le caratteristiche, gli attributi e la classificazine nei tipi determinati Elementi in ingress Inventari dei dati trattati dall'rganizzazine Prcessi di business Diagrammi di utilizz Diagrammi di fluss di dati Inventari di apparecchiature lgiche Inventari di apparecchiature fisiche Caratterizzazine funzinale dei psti di lavr Lcali e sedi dell'rganizzazine Elementi in uscita Relazine degli asset da cnsiderare Caratterizzazine degli asset Tecniche, cnsuetudini e linee guida Diagrammi di fluss di dati (vedere "guida alle tecniche" 3.2) Diagrammi dei prcessi (vedere "guida alle tecniche" 3.3) Interviste (vedere "guida alle tecniche" 3.6.1) Riunini (vedere "guida alle tecniche" 3.6.2) Vedere anche la sezine Partecipanti Il grupp di prgett I gruppi di interlcutri Quest cmpit è critic. Una buna identificazine è imprtante stt vari punti di vista: cncretizza cn precisine l'ambit del prgett; permette l'interazine cn i gruppi di utenti: tutti parlan l stess linguaggi; permette di determinare le dipendenze precise tra gli asset; permette di valutare gli asset cn precisine; permette di identificare e valrizzare le minacce cn precisine. Caratterizzazine degli asset Per gni asset si devn determinare una serie di caratteristiche che l definiscn: cdice, tipicamente prveniente dall'inventari; nme (crt); descrizine (lunga); tip ( tipi) che caratterizzan l'asset; unità perativa respnsabile. Alle vlte c'è più di un'unità. Per esempi, nel cas di applicazini è pssibile distinguere tra l'unità che la mantiene e quella che la impiega;

53 persna respnsabile. Particlarmente rilevante nel cas dei dati. Alle vlte c'è più di un respnsabile. Per esempi, in cas di dati persnali c'è da differenziare tra il respnsabile del dat e l'peratre gli peratri che l trattan; ubicazine, tecnica (asset intangibili) gegrafica (asset materiali); quantità, cme può essere nel cas dell'infrmatica persnale (per esempi 350 elabratri desktp); altre caratteristiche specifiche del tip di asset. P2: Analisi dei rischi A2.1: Caratterizzazine degli asset T2.1.2: Dipendenze tra asset Obiettivi Identificare e valrizzare le dipendenze tra asset, ciè la misura in cui un asset di rdine superire si può vedere danneggiat per una minaccia cncretizzatasi su di un asset di rdine inferire Elementi in ingress Risultati del cmpit T1.2.1, identificazine Prcessi di business Diagrammi di fluss di dati Diagrammi di utilizz Elementi in uscita Diagramma delle dipendenze tra asset Tecniche, cnsuetudini e linee guida Diagrammi di fluss di dati (vedere "guida alle tecniche" 3.2) Diagrammi dei prcessi (vedere "guida alle tecniche" 3.3) Interviste (vedere "guida alle tecniche" 3.6.1) Riunini (vedere "guida alle tecniche" 3.6.2) Valrizzazine Delphi (vedere "guida alle tecniche" 3.7) Vedere anche la sezine Partecipanti Il grupp di prgett I gruppi di interlcutri Per gni dipendenza è cnveniente anntare le seguenti infrmazini: stima del grad di dipendenza: fin ad un massim del 100%; spiegazine della valrizzazine della dipendenza; interviste realizzate da cui si sn dedtte le stime precedenti. P2: Analisi dei rischi A2.1: Caratterizzazine degli asset T2.1.3: Valrizzazine degli asset Obiettivi Identificare in che dimensine ha valre l'asset Valutare il cst che cmprta la distruzine dell'asset per l'rganizzazine Elementi in ingress Risultati del cmpit T1.4.2, criteri di valrizzazine

54 Risultati del cmpit T2.1.1, identificazine degli asset Risultati del cmpit T2.1.2, dipendenze tra asset Elementi in uscita Mdell dei valri: relazine dei valri degli asset Tecniche, cnsuetudini e linee guida Interviste (vedere "guida alle tecniche" 3.6.1) Riunini (vedere "guida alle tecniche" 3.6.2) Valrizzazine Delphi (vedere "guida alle tecniche" 3.7) Vedere anche la sezine Partecipanti Il grupp di prgett I gruppi di interlcutri Il cmitat di attenzine La direzine Per acquisire queste cnscenze può essere necessari intervistare differenti gruppi all'intern dell'rganizzazine: direzine gerenza, che cnscn le cnseguenze rispett alla missine dell'rganizzazine; respnsabili dei servizi, che cnscn le cnseguenze della nn prestazine del servizi di una sua prestazine degradata; respnsabili dei dati, che cnscn le cnseguenze della cmprmissine dei dati; respnsabili dei sistemi infrmativi e respnsabili perativi, che cnscn le cnseguenze di un incidente. Per gni valrizzazine è pprtun esaminare le seguenti infrmazini: dimensini in cui l'asset è rilevante; stima della valrizzazine in gni dimensine; spiegazine della valrizzazine; interviste realizzate da cui si sn dedtte le stime precedenti Attività A2.2: Caratterizzazine delle minacce Questa attività è slitamente svlta parallelamente alle attività A2.1 e A.2.3 dat che i respnsabili da intervistare sn gli stessi. Questa attività cnsta di due cmpiti: T2.2.1: Identificazine delle minacce T2.2.2: Valrizzazine delle minacce P2: Analisi dei rischi A2.2: Caratterizzazine delle minacce T2.2.1: Identificazine delle minacce Obiettivi Identificare le minacce rilevanti per gni asset Elementi in ingress

55 Risultati del cmpit T1.4.2, criteri di valrizzazine Risultati dell'attività A2.1, caratterizzazine degli asset Elementi in uscita Relazine delle minacce pssibili Tecniche, cnsuetudini e linee guida Catalghi di minacce (vedere "catalg degli elementi", capitl 5) Alberi di attacc (vedere "guida alle tecniche" 2.3) Interviste (vedere "guida alle tecniche" 3.6.1) Riunini (vedere "guida alle tecniche" 3.6.2) Valrizzazine Delphi (vedere "guida alle tecniche" 3.7) Vedere anche la sezine Partecipanti Il grupp di prgett i gruppi di interlcutri In quest cmpit si identifican le minacce significative per gli asset identificati, prendend in cnsiderazine: il tip di asset; le dimensini in cui l'asset è valrizzat; l'esperienza dell'rganizzazine. Per gni minaccia su gni asset ccrre registrare le seguenti infrmazini: spiegazine degli effetti della minaccia; interviste realizzate da cui si sn dedtte le stime precedenti; precedenti, se li si ha, sia nella prpria rganizzazine, sia in altre rganizzazini che sian cnsiderate rilevanti. P2: Analisi dei rischi A2.2: Caratterizzazine delle minacce T2.2.2: Valrizzazine delle minacce Obiettivi Stimare la frequenza di cncretizzazine di gni minaccia su gni asset Stimare la cmprmissine che causerebbe la minaccia per gni dimensine dell'asset, se dvesse cncretizzarsi Elementi in ingress Risultati del cmpit T1.4.2, criteri di valrizzazine Risultati del cmpit T2.2.1, identificazine delle minacce Serie striche di incidenti Precedenti: incidenti nell'rganizzazine Elementi in uscita Mappa dei rischi: relazine delle minacce pssibili, caratterizzate dalla lr frequenza di cncretizzazine e dalla cmprmissine che causerebber negli asset Tecniche, cnsuetudini e linee guida Alberi di attacc (vedere "guida alle tecniche" 2.3) Interviste (vedere "guida alle tecniche" 3.6.1) Riunini (vedere "guida alle tecniche" 3.6.2) Valrizzazine Delphi (vedere "guida alle tecniche" 3.7)

56 Vedere anche la sezine Partecipanti Il grupp di prgett I gruppi di interlcutri In quest cmpit si valrizzan le minacce identificate nel cmpit precedente, prendend in cnsiderazine: l'esperienza (strica) universale; l'esperienza (strica) del settre di attività; l'esperienza (strica) dell'ambiente sn ubicati sistemi; l'esperienza (strica) prpria dell'rganizzazine. Cnsiderand che esistn una serie di pssibili aggravanti, cme si descrive nella sezine X. Per gni minaccia su gni asset è pprtun esaminare le seguenti infrmazini: stima della frequenza della minaccia; stima del dann (cmprmissine) che causerebbe la sua cncretizzazine; spiegazine delle stime di frequenza e di cmprmissine; interviste realizzate da cui si sn dedtte le stime precedenti Attività A2.3: Caratterizzazine delle cntrmisure Questa attività è slitamente svlta in parallel alle attività A2.1 e A.2.2 dat che i respnsabili da intervistare sn gli stessi. L'attività cnsta di due cmpiti: T2.3.1: Identificazine delle cntrmisure esistenti T2.3.2: Valrizzazine delle cntrmisure esistenti P2: Analisi dei rischi A2.3: Caratterizzazine delle cntrmisure T2.3.1: Identificazine delle cntrmisure esistenti Obiettivi Identificare le cntrmisure, di qualsiasi tip, che risultan previste dispiegate alla data di realizzazine dell studi Elementi in ingress Inventari delle prcedure perative Inventari di prdtti e/ prgetti di svilupp di hardware sftware a sstegn alla sicurezza dei sistemi Pian di frmazine Definizine dei psti di lavr Cntratti Accrdi di utsurcing di servizi Elementi in uscita Relazine delle cntrmisure dispiegate Tecniche, cnsuetudini e linee guida Catalghi di cntrmisure (vedere "catalg degli elementi" capitl 6)

57 Alberi di attacc (vedere "guida alle tecniche" 2.3) Interviste (vedere "guida alle tecniche" 3.6.1) Riunini (vedere "guida alle tecniche" 3.6.2) Vedere anche la sezine Partecipanti Il grupp di prgett I gruppi di interlcutri Per gni cntrmisura è pprtun esaminare le seguenti infrmazini: descrizine della cntrmisura e del su stat di realizzazine; descrizine delle minacce a cui la cntrmisura vule far frnte; interviste realizzate da cui si sn dedtte le stime precedenti. P2: Analisi dei rischi A2.3: Caratterizzazine delle cntrmisure T2.3.2: Valrizzazine delle cntrmisure esistenti Obiettivi Determinare l'efficacia delle cntrmisure dispiegate Elementi in ingress Inventari delle cntrmisure (catalg degli elementi) Elementi in uscita Valrizzazine delle cntrmisure: relazine delle cntrmisure dispiegate, caratterizzate dal lr grad di efficacia Tecniche, cnsuetudini e linee guida Interviste (vedere "guida alle tecniche" 3.6.1) Riunini (vedere "guida alle tecniche" 3.6.2) Valrizzazine Delphi (vedere "guida alle tecniche" 3.7) Vedere anche la sezine Partecipanti Il grupp di prgett I gruppi di interlcutri Specialisti in cntrmisure In quest cmpit si valuta l'efficacia delle cntrmisure identificate nel cmpit precedente, prendend in cnsiderazine: l'idneità della cntrmisura per il fine perseguit; la qualità della realizzazine; la frmazine dei respnsabili della lr cnfigurazine ed peratività; la frmazine degli utenti, se hann un rul attiv; l'esistenza di cntrlli per la misura della sua efficacia; l'esistenza di prcedure di revisine reglare. Per gni cntrmisura è pprtun esaminare le seguenti infrmazini: stima della sua efficacia per affrntare le specifiche minacce;

58 spiegazine della stima di efficacia; interviste realizzate da cui si sn dedtte le stime precedenti Attività A2.4: Stima dell stat di rischi In questa attività si cmbina quant individuat durante le attività precedenti (A2.1, A2.2 e A2.3) per derivare le stime dell stat di rischi dell'rganizzazine. Questa attività cnsta di tre cmpiti: T2.4.1: Stima dell'impatt T2.4.2: Stima del rischi T2.4.3: Interpretazine dei risultati P2: Analisi dei rischi A2.4: Stima dell stat di rischi T2.4.1: Stima dell'impatt Obiettivi Determinare l'impatt ptenziale a cui è sggett il sistema Determinare l'impatt residu a cui è sggett il sistema Elementi in ingress Risultati dell'attività A2.1, caratterizzazine degli asset Risultati dell'attività A2.2, caratterizzazine delle minacce Risultati dell'attività A2.3, caratterizzazine delle cntrmisure Elementi in uscita Relazine di impatt (ptenziale) per asset Relazine di impatt residu per asset Tecniche, cnsuetudini e linee guida Analisi mediante tavle (vedere "guida alle tecniche" 2.1) Analisi algritmica (vedere "guida alle tecniche" 2.2) Vedere anche la sezine e Partecipanti Il grupp di prgett In quest cmpit si stima l'impatt a cui sn espsti gli asset del sistema: l'impatt ptenziale, a cui è espst il sistema tenend in cnsiderazine il valre dell'asset e la valrizzazine delle minacce ma nn le cntrmisure attualmente dispiegate; l'impatt residu, a cui è espst il sistema tenend in cnsiderazine il valre dell'asset e la valrizzazine delle minacce, csì cme l'efficacia delle cntrmisure attualmente dispiegate. P2: Analisi dei rischi A2.4: Stima dell stat di rischi T2.4.2: Stima del rischi Obiettivi Determinare il rischi ptenziale a cui è sggett il sistema

59 Determinare il rischi residu a cui è sggett il sistema Elementi in ingress Risultati dell'attività A2.1, caratterizzazine degli asset Risultati dell'attività A2.2, caratterizzazine delle minacce Risultati dell'attività A2.3, caratterizzazine delle cntrmisure Elementi in uscita Relazine di rischi (ptenziale) per asset Relazine di rischi residu per asset Tecniche, cnsuetudini e linee guida Analisi mediante tavle (vedere "guida alle tecniche" 2.1) Analisi algritmic (vedere "guida alle tecniche" 2.2) Vedere anche la sezine e Partecipanti Il grupp di prgett In quest cmpit si stima il rischi a cui sn sggetti gli asset del sistema: il rischi ptenziale, a cui è sggett il sistema tenend in cnsiderazine il valre dell'asset e la valrizzazine delle minacce ma nn le cntrmisure attualmente dispiegate; il rischi residu, a cui è sggett il sistema tenend in cnsiderazine il valre dell'asset e la valrizzazine delle minacce, csì cme l'efficacia delle cntrmisure attualmente dispiegate. P2: Analisi dei rischi A2.4: Stima dell stat di rischi T2.4.3: Interpretazine dei risultati Obiettivi Interpretare i risultati precedenti di impatt e di rischi Stabilire relazini di prirità per asset gruppi di asset, sia in rdine di impatt sia in rdine di rischi Elementi in ingress Risultati dell'attività A2.1, caratterizzazine degli asset Risultati dell'attività A2.2, caratterizzazine delle minacce Risultati dell'attività A2.3, caratterizzazine delle cntrmisure Risultati del cmpit T2.4.1, stima dell'impatt Risultati del cmpit T2.4.2, stima del rischi Elementi in uscita Relazine priritizzata degli asset sggetti a maggire impatt Relazine priritizzata degli asset sggetti a maggire rischi Stat del rischi: relazine riassuntiva dell'impatt e del rischi ptenziale e residu a cui è sggett gni asset dell ambit Relazine delle deblezze: relazine che sttlinea il divari tra le cntrmisure di cui si ha bisgn, quelle che esistn, le divergenze tra la grandezza del rischi e infine l'efficacia attuale delle cntrmisure Tecniche, cnsuetudini e linee guida Tecniche grafiche (vedere "guida alle tecniche" 3.4) Riunini (vedere "guida alle tecniche" 3.6.2) Presentazini (vedere "guida alle tecniche" 3.6.3) Vedere anche la sezine

60 Partecipanti Il grupp di prgett Il cmitat di attenzine Sintesi del prcess P Punt di cntrll Punt di cntrll H2.1: Accettazine della relazine "Mdell dei valri ". Punt di cntrll H2.2: Accettazine della relazine "Mappa dei rischi". Punt di cntrll H2.3: Accettazine della relazine "Valrizzazine delle cntrmisure". Punt di cntrll H2.4: Accettazine della relazine "Stat del rischi". Punt di cntrll H2.5: Accettazine della relazine "Relazine delle deblezze" Risultati Dcumentazine intermedia Risultati delle interviste. Dcumentazine di altri fnti: statistiche, sservazini di esperti ed sservazini degli analisti. Infrmazini esistenti utilizzabili per il prgett (per esempi l'inventari degli asset). Dcumentazine ausiliaria: piani, rganigrammi, requisiti, specifiche tecniche, analisi funzinali, quaderni di allcazine, manuali utente, manuali d'us, diagrammi di fluss delle infrmazini e dei prcessi, mdelli di dati, etc. Dcumentazine finale Mdell dei valri Relazine che dettaglia gli asset, le lr dipendenze, le dimensini in cui sn valrizzati e la stima del lr valre in gni dimensine. Mappa dei rischi Relazine che dettaglia le minacce significative su gni asset, caratterizzandle per la lr frequenza di ccrrenza e per la cmprmissine che causerebbe la lr cncretizzazine sugli asset. Valrizzazine delle cntrmisure Relazine che dettaglia le cntrmisure esistenti qualificandle nella lr efficacia nel ridurre il rischi a cui fann frnte.

61 Stat del rischi Relazine che dettaglia per gni asset l'impatt ed il rischi residu a frnte ad gni minaccia. Relazine delle deblezze Relazine che dettaglia le cntrmisure necessarie ma assenti insufficientemente efficaci. Questa dcumentazine è un indice fedele dell stat di rischi e delle ragini per cui quest rischi nn è trascurabile. È fndamentale capire le ragini che prtan ad una determinata valrizzazine del rischi cme passaggi preventiv al prcess seguente, P3, che cercherà di eliminare il rischi mitigarl a livelli accettabili Lista di cntrll del prcess P2 Identificazine di asset (T2.1.1) Caratterizzazine degli asset (T2.1.1) Dipendenze tra asset (T2.1.2) Dimensini rilevanti di sicurezza per asset (T2.1.3) Valrizzazine degli asset (T2.1.3) Mdell dei valri (A2.1) Identificazine delle minacce rilevanti (T2.2.1) Stima della frequenza di ccrrenza (T2.2.2) Stima del dann (cmprmissine) derivat della cncretizzazine di una minaccia (T2.2.2) Mappa dei rischi (A2.2) Identificazine delle cntrmisure esistenti (T2.3.1) Stima dell'efficacia delle cntrmisure esistenti (T2.3.2) Valrizzazine delle cntrmisure (A2.3) Stima dell'impatt e impatt residu (T2.4.1) Stima del rischi e rischi residu (T2.4.2) Stat del rischi (P2) Relazine delle deblezze (P2) 3.5. Prcess P3: Gestine dei rischi Si trattan gli impatti e rischi identificati nel prcess precedente, sia accettandli, sia affrntandli. Per affrntare i rischi che si cnsiderin inaccettabili si prterà a termine un pian di sicurezza che crregga la situazine attuale. Un pian di sicurezza si cncretizza in un insieme di prgrammi di sicurezza. Alcuni prgrammi sarann semplici, mentre altri raggiungerann un livell di cmplessità e di cst tale da cmprtare che la lr esecuzine si cnverta in un prgett ver e prpri. La serie di prgrammi (e prgetti talvlta) si pianifica nel temp per mezz del csiddett Pian di Sicurezza che rdina ed rganizza le azini destinate a prtare l stat di rischi ad un punt accettabile ed accettat frmalmente dalla direzine. Quest prcess si sviluppa attravers le seguenti attività e cmpiti:

62 Attività A3.1: Presa di decisini In questa attività si trasfrman le cnclusini tecniche del prcess P2 in decisini sul md di agire. Cmpiti: Cmpit T3.1.1: Qualificazine dei rischi Attività A3.2: Pian di sicurezza In questa attività si trasfrman le decisini sul md di agire in azini cncrete: prgetti di miglirament della sicurezza pianificati nel temp. Cmpiti: Cmpit T3.2.1: Prgrammi di sicurezza Cmpit T3.2.2: Pian di esecuzine Attività A3.3: Esecuzine del pian Questa attività raccglie la serie di prgetti che cncretizzan il pian di sicurezza e che si vann realizzand secnd tale pian. Cmpiti: Cmpit T3.3.*: Esecuzine di gni prgramma di sicurezza Attività A3.1: Presa di decisini Questa attività cnsta di una sl cmpit: T3.1.1: Qualificazine dei rischi P3: Gestine dei rischi A3.1: Presa di decisini T3.1.1: Qualificazine dei rischi Obiettivi Qualificare i rischi secnd una scala: critic, grave, apprezzabile accettabile Elementi in ingress Risultati del prcess P2, analisi dei rischi Legislazine applicabile, leggi e giurisprudenza Reglament settriale Accrdi e cntratti Relazini ambientali Studi di mercat Elementi in uscita Relazine di qualificazine di impatti e rischi, includend indicazini riguard al termine di temp entr cui devn essere rislti Tecniche, cnsuetudini e linee guida Riunini (vedere "guida alle tecniche" 3.6.2) Valrizzazine Delphi (vedere "guida alle tecniche" 3.7) Vedere anche la sezine Partecipanti Il grupp di prgett

63 Il cmitat di attenzine Il cmitat di direzine A frnte degli impatti e dei rischi a cui è espst il sistema, si devn prendere una serie di decisini di tip direzinale, nn tecnic, cndizinate da diversi fattri: la gravità dell'impatt e/ del rischi; gli bblighi a cui per legge è sggetta l'rganizzazine; gli bblighi a cui per reglamenti settriali è sggetta l'rganizzazine; gli bblighi a cui per cntratt è sggetta l'rganizzazine. All'intern del margine di manvra che permette quest cntest, pssn cmparire cnsiderazini addizinali sulla capacità dell'rganizzazine di accettare certi impatti di natura intangibile tale cme: immagine pubblica della scietà; plitica interna: rapprti cn i prpri impiegati, cme la capacità di assumere persnale idne, la capacità di trattenere i migliri, la capacità di effettuare rtazini di persnale, la capacità di ffrire una carriera prfessinale attraente, etc.; rapprti cn i frnitri, cme la capacità di arrivare ad accrdi vantaggisi a breve, medi lung termine, la capacità di ttenere relazini priritarie, etc.; rapprti cn clienti utenti, cme la capacità di manteniment, la capacità di increment dell'fferta e la capacità di differenziazine dalla cncrrenza; rapprti cn altre rganizzazini, cme la capacità di raggiungiment di accrdi strategici, alleanze, etc.; nuve di pprtunità di business, cme mdalità di recuper dell'investiment in sicurezza; access a certificati qualifiche ricnsciute di sicurezza. Tutte le cnsiderazini precedenti sbccan in una qualificazine di gni rischi significativ, determinand se 1. è critic nel sens che richiede attenzine urgente; 2. è grave nel sens che richiede attenzine; 3. è apprezzabile nel sens che può essere ggett di studi per il su trattament; 4. è accettabile nel sens che nn si intraprendn azini per mitigarl. L'pzine 4, detta accettazine del rischi, è sempre rischisa: si deve cnsiderare cn prudenza e giustificarla. I raginamenti che pssn cndurre a questa accettazine sn: quand l'impatt residu è trascurabile; quand il rischi residu è trascurabile; quand il cst delle cntrmisure pprtune è sprprzinat in cnfrnt all'impatt e al rischi residu. Tutte le decisini sn prpste dal cmitat di attenzine, sentita l'pinine del direttre del prgett. Tutte le decisini sn adttate dal cmitat di direzine. Questa qualificazine avrà cnseguenze nei cmpiti susseguenti, essend un fattre basilare per stabilire la prirità relativa delle differenti azini.

64 Attività A3.2: Elabrazine del pian di sicurezza delle infrmazini Si traducn le decisini sul md di agire in azini cncrete. Questa attività cnsta di due cmpiti: T3.2.1: Prgrammi di sicurezza T3.2.2: Pian di esecuzine P3: Gestine dei rischi A3.2: Elabrazine del pian di sicurezza delle infrmazini T3.2.1: Prgrammi di sicurezza Obiettivi Elabrare un insieme di prgrammi di sicurezza Elementi in ingress Risultati del cmpit T3.1.1, qualificazine dei rischi Nzini di tecniche e prdtti di sicurezza Catalghi di prdtti e servizi di sicurezza Elementi in uscita Relazine di prgrammi di sicurezza Tecniche, cnsuetudini e linee guida Analisi dei rischi (vedere prcess P2) Analisi csti-benefici (vedere "guida alle tecniche" 3.1) Pianificazine dei prgetti (vedere "guida alle tecniche" 3.5) Vedere anche la sezine e Partecipanti Il grupp di prgett Specialisti in sicurezza Specialisti in aree specifiche di sicurezza Fndamentalmente, si prtan a termine due passaggi: 1. Si prenderann in cnsiderazine tutti gli scenari d'impatt e di rischi che si cnsiderin critici gravi cme risultat del cmpit precedente. 2. Si elabrerà un insieme di prgrammi di sicurezza che dian rispsta ad gnun degli scenari precedenti, sapend che un stess prgramma può affrntare differenti scenari e che un scenari può essere affrntat attravers differenti prgrammi. In ultima istanza si tratta di instaurare miglirare l'instaurazine di una serie di cntrmisure che prtin impatt e rischi a livelli residui decisi dalla direzine. Quest trattament delle cntrmisure si cncretizza in una serie di cmpiti da prtare a termine. Un prgramma di sicurezza è un insieme di cmpiti. Quest raggruppament si realizza per cnvenienza: sia perché si tratta di cmpiti che singlarmente mancherebber di efficacia, sia perché si tratta di cmpiti cn un biettiv cmune, sia perché si tratta di cmpiti che cmpetn ad un'unica unità perativa. Ogni prgramma di sicurezza deve dettagliare: Il su biettiv generic. Le cntrmisure cncrete, cnsiderand i lr biettivi di qualità, vlte a instaurare a miglirare efficacia ed efficienza

65 Il rapprt cn gli scenari di impatt e/ rischi che affrnta: asset interessati, tipi di asset, minacce affrntate, valrizzazine di asset, minacce e livelli di impatt e rischi. L'unità perativa respnsabile della sua esecuzine. Una stima dei csti, tant ecnmici quant di impegn per la realizzazine, tenend in cnsiderazine: csti di acquist (di prdtti), di appalt (di servizi), di svilupp (di sluzini del tip "chiavi in man"), ptend essere necessari valutare differenti alternative; csti di installazine iniziale e manutenzine nel temp; csti di frmazine, tant degli peratri cme degli utenti, a secnda del cas; csti di impieg; impatt sulla prduttività dell'rganizzazine. Una relazine dei sttcmpiti da affrntare, tenend in cnsiderazine: cambiamenti nrmativi e svilupp delle prcedure; sluzini tecniche: prgrammi, apparecchiature, cmunicazini ed installazini; pian di dispiegament (delle cntrmisure); pian di frmazine. Una stima del temp di esecuzine dal su avvi fin alla sua messa in funzine. Una stima dell stat di rischi (impatt e rischi residu al su cmpletament). Un sistema di indicatri di efficacia ed efficienza che permettan di cnscere in gni mment la qualità dell svlgiment della funzine di sicurezza che si desidera e la sua evluzine temprale. Le stime precedenti pssn essere mlt precise nei prgrammi semplici ma pssn essere semplicemente rientative nei prgrammi cmplessi che cmprtin la realizzazine di un prgett specific di sicurezza. In quest ultim cas, gni prgett svilupperà i dettagli per mezz di una serie di cmpiti prprietari che, in linea generale, rispnderann ai seguenti punti: Studi dell'fferta del mercat: prdtti e servizi. Cst di un svilupp specific, prpri subappaltat. Se si stima di adeguare un svilupp specific si deve determinare: il cnt dettagliat funzinale e nn funzinale dell svilupp; il metd di svilupp che garantisca la sicurezza del nuv cmpnente; i meccanismi di misura (cntrlli) che devn essere già integrati; i criteri di accettazine; il pian di manutenzine: incidenti ed evluzine. P3: Gestine dei rischi A3.2: Elabrazine del pian di sicurezza delle infrmazini T3.2.2: Pian di esecuzine Obiettivi Ordinare crnlgicamente i prgrammi di sicurezza

66 Elementi in ingress Risultati del cmpit T3.1.1, qualificazine dei rischi Risultati del cmpit T3.2.1, prgrammi di sicurezza Elementi in uscita Diagramma temprale di esecuzine del pian Pian di sicurezza Tecniche, cnsuetudini e linee guida Analisi dei rischi (vedere prcess P2) Pianificazine di prgetti (vedere "guida alle tecniche" 3.5) Partecipanti Divisine svilupp Divisine acquisti Si devn rdinare nel temp i prgrammi di sicurezza tenend in cnsiderazine i seguenti fattri: la criticità, gravità cnvenienza degli impatti e/ rischi che si affrntan, tenend in massima cnsiderazine i prgrammi che affrntin situazini critiche; il cst del prgramma; la dispnibilità del persnale intern per acquisire respnsabilità sulla direzine (ed eventualmente sull'esecuzine) dei cmpiti prgrammati; altri fattri: cme pssn essere l'elabrazine del budget annuale dell'rganizzazine, le relazini cn altre rganizzazini, l'evluzine del cntest legale, reglamentare cntrattuale, etc. Tipicamente un pian di sicurezza è articlat su tre livelli di dettagli: Pian principale (un). Spess denminat "pian di azine", lavra su un perid lung (tipicamente tra 3 e 5 anni), stabilend le linee di azine principali. Pian annuale (una serie di piani annuali). Opera su un perid medi (tipicamente tra 1 e 2 anni), stabilend la pianificazine dei prgrammi di sicurezza. Pian di prgett (un insieme di prgetti cn la lr pianificazine). Lavra nel breve termine (tipicamente men di 1 ann), stabilend il pian dettagliat di esecuzine di gni prgramma di sicurezza. Si deve sviluppare un (1) pian principale unic, che è quell che dà prspettiva ed unità di biettivi a ciascuna azine. Quest pian di principale permette di sviluppare piani annuali che, all'intern dell'ambit strategic, vann strutturand l'assegnazine di risrse per l'esecuzine dei cmpiti, in particlare spese budgetarie. Ci sarà infine una serie di prgetti che cncretizzan i prgrammi di sicurezza Attività A3.3: Esecuzine del pian Questa attività cnsta di un numer di cmpiti che dipende dal pian di sicurezza determinat nell'attività A3.2, perché si tratta eseguire i prgrammi ivi pianificati. Questa attività cnsta di n cmpiti, tanti quanti sn previsti nel pian di sicurezza: T3.3.*: Esecuzine di gni prgramma di sicurezza

67 P3: Gestine dei rischi A3.3: Esecuzine del pian T3.3.*: Esecuzine di gni prgramma di sicurezza Obiettivi Raggiungere gli biettivi previsti nel pian di sicurezza per gni prgramma pianificat Elementi in ingress Risultati dell'attività A3.2, pian di sicurezza Prgramma di sicurezza di cui ci si ccupa Analisi dei rischi prima dell'esecuzine del pian Elementi in uscita Cntrmisure dispiegate Nrme d'us e di peratività Sistema di indicatri di efficacia ed efficienza del raggiungiment degli biettivi di sicurezza prefissati Mdell dei valri aggirnat Mappa dei rischi aggirnata Stat del rischi aggirnat (impatt e rischi residui). Tecniche, cnsuetudini e linee guida Analisi dei rischi (vedere prcess P2) Pianificazine dei prgetti (vedere "guida alle tecniche" 3.5) Partecipanti Il grupp di prgett: evluzine dell'analisi dei rischi Persnale specializzat nelle cntrmisure in questine Sintesi del prcess P Punt di cntrll Punt di cntrll H3.1: La direzine prcederà all'apprvazine men del pian di sicurezza, includend la relazine dei prgrammi di sicurezza ed il diagramma temprale prpst per la sua esecuzine. Punt di cntrll H3.*: Cmpletament di gni prgramma di sicurezza, sddisfacend i criteri di accettazine impsti nel Pian di Sicurezza Risultati Dcumentazine intermedia Decisini di qualificazine degli scenari di impatt e rischi Dcumentazine finale Pian di sicurezza Lista di cntrll del prcess P3 Qualificazine dei rischi (T3.1.1) Identificazine dei prgrammi di sicurezza necessari (T3.2.1) Prgrammi di sicurezza

68 biettivi stima dell'impegn stima del cst pian di accettazine pian d'us pian di manutenzine pian di frmazine sistema di cntrlli di efficacia sistema di cntrlli di efficienza stima di impatt e rischi residu Calendari di esecuzine (T3.2.2) Pian di sicurezza strategica: lung termine (A3.2) Pian di sicurezza tattica: medi termine (A3.2) Piani perativi: prgetti singli (A3.2)

69 4. Svilupp di sistemi infrmativi Le applicazini (sftware) cstituiscn un tip di asset frequente e di tip atmic per quant cncerne il trattament delle infrmazini e per la prestazine di servizi basati su di esse. La presenza di applicazini in un sistema infrmativ è sempre una fnte di rischi nel sens che cstituisce un punt vers il quale si pssn cncretizzare minacce. Alle vlte, inltre, le applicazini sn anche parte della sluzine nel sens che cstituiscn una cntrmisura di frnte a rischi ptenziali. In qualsiasi cas è necessari che il rischi derivat della presenza delle applicazini sia stt cntrll. L'analisi dei rischi cstituisce una parte fndamentale del disegn e dell svilupp di sistemi infrmativi sicuri. È pssibile, ed imperativ, incrprare nella fase di svilupp le funzini e i meccanismi che rinfrzan la sicurezza del nuv sistema nnché quelle del prpri prcess di svilupp, assicurand la sua cnsistenza e la sua sicurezza, cmpletand il pian di sicurezza vigente nell'rganizzazine. È un fatt ricnsciut che prendere in cnsiderazine la sicurezza del sistema prima e durante il su svilupp è più efficace ed ecnmic che prenderla in cnsiderazine a psteriri. La sicurezza deve essere parte integrante del sistema dalla sua prima cncezine. Si pssn identificare due tipi di attività differenziate: SSI: attività relative alla prpria sicurezza del sistema infrmativ. SPD: attività relative alla sicurezza del prcess di svilupp del sistema infrmativ. Dietr una prima espsizine sull svilupp di applicazini in genere, la sezine 4.5 apprfndisce nella sua applicazine a "Metrica" versine 3. "Metrica" è stat sviluppat dal CSAE cme la "Metdlgia di Pianificazine, Svilupp e Manutenzine dei sistemi infrmativi" Inizializzazine dei prcessi Ci sn svariate ragini che pssn prtare ad iniziare l svilupp di una nuva applicazine alla mdifica di una già esistente: Nuvi servizi e/ dati. Richiede l svilupp di nuve applicazini la mdifica di applicazini perative. Può implicare la scmparsa di applicazini in prduzine. L'iniziativa è presa dal respnsabile di svilupp, mentre il respnsabile di sicurezza agisce cme attre secndari. Evluzine tecnlgica. Le tecnlgie di TLC sn in cntinua evluzine, pssn presentarsi cambiamenti nelle tecniche di svilupp di sistemi, nei linguaggi nelle piattafrme di svilupp, nelle piattafrme nei servizi d'impieg, nei servizi di cmunicazini, etc. Richiede l svilupp di nuve di applicazini la mdifica di applicazini in prduzine. Può implicare la scmparsa di applicazini in prduzine. L'iniziativa è presa dal respnsabile di svilupp, mentre il respnsabile di sicurezza agisce cme attre secndari. Mdifica della qualificazine di sicurezza di servizi dati. Tipicamente richiede la mdifica di applicazini in prduzine. Implica di rad l svilupp di nuve di applicazini la scmparsa di applicazini in prduzine. L'iniziativa è presa dal respnsabile di sicurezza, il respnsabile di sistemi agisce cme attre secndari. Cnsiderazine di nuve minacce. L'evluzine delle tecnlgie e dei servizi di cmunicazine

70 pssn prre nuve minacce trasfrmare minacce che eran trascurabili nel passat in minacce rilevanti nel futur. Tipicamente richiede la mdifica di applicazini in prduzine, sia nella lr cdifica, sia, più frequentemente, nella lr cndizine d'impieg. Implica di rad l svilupp di nuve di applicazini la scmparsa di applicazini in prduzine. L'iniziativa è presa dal respnsabile di sicurezza, il respnsabile di sistemi agisce cme attre secndari. Mdifica dei criteri di qualificazine di rischi. Può venire indtta da criteri di qualità perativa, da nvità nella legislazine applicabile, nel reglament settriale da accrdi cntratti cn terzi. Tipicamente richiede la mdifica di applicazini in prduzine. Implica di rad l svilupp di nuve applicazini la scmparsa di applicazini in prduzine. L'iniziativa è presa dal respnsabile di sicurezza, il respnsabile di sistemi agisce cme attre secndari Cicl di vita delle applicazini Tipicamente, un'applicazine segue un cicl di vita cmpst da svariate fasi: Specifica. In questa fase si determinan i requisiti che l'applicazine deve sddisfare e si elabra un pian per le seguenti fasi. Acquisizine svilupp. Per trasfrmare delle specifiche in realtà, si può acquistare un prdtt, se ne può sviluppare un, internamente per appalt estern. Accettazine. Che si tratti di un'applicazine nuva della mdifica di un'applicazine precedente, un'applicazine nn deve mai entrare in prduzine senza essere stata frmalmente accettata. Distribuzine. Cnsiste nell'installazine del cdice nel sistema e nella sua cnfigurazine per entrare in prduzine. Operatività. L'applicazine è usata da parte degli utenti, prestand attenzine agli incidenti rilevati

71 dagli utenti e/ dagli peratri. Manutenzine. Sia perché appain nuvi requisiti, sia perché si è scpert un errre, l'applicazine può richiedere un manutenzine che bblighi a ritrnare a una qualsiasi delle tappe precedenti, in ultima istanza alla specifica iniziale Pian dei sistemi Le applicazini infrmatiche sn una cmpnente dei sistemi infrmativi. Si prenda in cnsiderazine il cntest di un sistema infrmativ dve le differenti applicazini si intreccian per farsi caric dei servizi richiesti. Un pian dei sistemi determina il cntest di svilupp e sfruttament delle applicazini infrmatiche, e per la precisine: I servizi richiesti, tant dagli utenti interni, quant i servizi di sstegn a utenti applicazini interne. I dati funzinali che si utilizzan. Le applicazini che gestiscn detti dati. Le apparecchiature: elabratri e servizi di cmunicazine. Dal punt di vista di sicurezza, un pian dei sistemi permette identificare e valutare i servizi essenziali; identificare, classificare e valrizzare i dati essenziali; determinare la plitica di sicurezza dell'rganizzazine; ciè: il cntest legale in cui pera l'rganizzazine; i criteri di eccellenza nella prestazine dei servizi; i ruli del persnale relazinat ai sistemi infrmativi. Il pian dei sistemi permette di stabilire il mdell dei valri; ciè, i punti principali (asset) e le prime valutazini di quell che finirà per essere un'analisi dei rischi dettagliata Analisi dei rischi Cme parte di un sistema infrmativ, i rischi assciati ad un'applicazine devn essere nti e venire gestiti. Quest sia nel cas sian rischi che gravan sull'applicazine, sia nel cas sian rischi riflessi su asset superiri, se sn rischi accumulati su asset inferiri. Magerit permette di mdellare direttamente l'applicazine cme un asset, stabilend le sue dipendenze, sia per asset superiri che dipendn di lei, sia per asset inferiri che la supprtan. Il metd permette di identificare e valutare minacce e cntrmisure, derivand infrmazini di impatt e rischi sulla stessa applicazine e sugli asset relazinati ad essa. AGR autcntenuta. Se l'rganizzazine nn ha ancra realizzat un prgett di AGR, sarà crrett prtarl a termine includend gli asset direttamente indirettamente relazinati cn l'applicazine. AGR marginale. Se l'rganizzazine ha già realizzat un prgett di AGR, basta rivedere i risultati di tale prgett includend i nuvi asset. L'apparizine di una nuva applicazine può implicare nuvi servizi, nuvi dati, nuve apparecchiature, nuvi lcali e nuv persnale. Può anche implicare la scmparsa di vecchi asset che vengn superati dalla nuva applicazine e dalle sue funzinalità. In gni cas cncret si deve determinare ciò che deve essere aggiunt e ciò che deve essere eliminat, seguend le attività A2.1, A2.2 e A2.3 del prcess P2, analisi dei rischi.

72 Che si sia seguit il prim apprcci il secnd, al termine si dispne di una relazine di impatti e rischi, sia sull'applicazine sia sul su ambiente. Per derivare questi dati si segun i passi dell'attività A2.4 del prcess P2. Per interpretare i risultati si ricrre al cmpit A2.4.3 del prcess P2, interpretazine dei risultati Gestine dei rischi Il prcess P3 di gestine dei rischi raccmanda le cntrmisure da dispiegare e valuta l'effett delle cntrmisure già dispiegate sull'impatt e sul rischi. Le decisini effettuate dipenderann dei criteri stabiliti nella plitica di sicurezza dell'rganizzazine e da altre cnsiderazini specifiche per gni cas. Sebbene la plitica di sicurezza stabilisca un punt di riferiment che nn può essere ignrat, è abituale che nn preveda tutti i dettagli tecnici e rganizzativi del servizi utili a prendere decisini precise. A causa dell'interrelazine tra gli elementi che cstituiscn un sistema, nn è sufficiente prteggere un cert tip di asset per prteggere tutt l'insieme. Ciò nnstante, quest capitl si cncentra sulle cntrmisure che devn essere realizzate all'intern delle applicazini affinché queste nn diminuiscan la sicurezza del sistema. Sempre cndtti su iniziativa e sstegn del prcess di gestine dei rischi, si devn tenere in cnsiderazine i seguenti aspetti: Durante la specifica: Dimensinament. Prfili degli utenti. Requisiti di identificazine ed autenticazine degli utenti. Requisiti di cifratura. Requisiti di mnitraggi (cntrll) ed esame (lg): di dati in ingress; di dati in uscita; di dati intermedi; di access all'applicazine; di attività (us). Se si acquista sftware standard... Cntratti di acquist e manutenzine. Se si subappalta l svilupp di sftware... Cntratti di acquist e manutenzine. Ambiente di svilupp: lcali, persnale, piattafrma ed strumenti. Tecniche di prgrammazine sicura. Gestine del cdice srgente: cntrll degli accessi; cntrll delle versini. Se si sviluppa sftware in casa... Cndizini di manutenzine.

73 Ambiente di svilupp: lcali, persnale, piattafrma ed strumenti. Tecniche di prgrammazine sicura. Gestine del cdice srgente: cntrll degli accessi; cntrll delle versini. Per realizzare l'accettazine: Prve di accettazine dati di prva; se nn sn reali, devn essere realistici; se nn si può evitare che sian reali, si devn cntrllare cpie ed access; prve funzinali (dei servizi di sicurezza); simulazine di attacchi; prve di caric; intrusine cntrllata (ethical hacking); ispezine di servizi/ispezine del cdice; fughe di infrmazini: canali nascsti, attravers i lg, etc.; "back dr" di access; scalata dei privilegi; prblemi di riempiment della memria (buffer verflw); accreditamenti. Per realizzare la distribuzine: Inventari delle applicazini in prduzine; Gestine dei cambiamenti: nrmativa e prcedure; Creazine di chiavi. Durante l'perazine: Nrmativa e prcedure di... gestine degli utenti; gestine delle chiavi; gestine dei lg; gestine degli incidenti: registr delle evidenze, escalatin, pian di emergenza e di ripristin. Analisi dei lg: strumenti, criteri, prcedure,... Manuali d us: amministratri, peratri ed utenti. Frmazine: iniziale e cntinua per amministratri, peratri ed utenti Nei cicli di manutenzine: Nrmativa e prcedure di...

74 Cnclusine richiesta di manutenzine; apprvazine, includend l'analisi differenziale dei rischi, apprvazine nel cas di nuve cntrmisure. Distruzine dei dati di prduzine. Cpia e custdia dei dati, quand richiesta per legge per plitica interna. Eliminazine del cdice: eseguibili, dati di cnfigurazine e accunt degli utenti. Revisine delle cpie di sicurezza "Metrica" versine 3 La metdlgia "Metrica" versine 3 ffre alle rganizzazini un strument utile per rendere sistematiche le attività a supprt del cicl di vita del sftware all'intern dell'ambit di analisi, permettend di raggiungere i seguenti biettivi: Frnire definire sistemi infrmativi che aiutin a cnseguire gli biettivi dell'rganizzazine mediante la definizine di un ambit strategic per l svilupp degli stessi. Dtare l'rganizzazine di prdtti sftware che sddisfin i requisiti degli utenti dand una maggire imprtanza all'analisi dei requisiti. Miglirare la prduttività dei dipartimenti dei sistemi, delle tecnlgie delle infrmazini e delle cmunicazini, permettend una maggire capacità di adattament ai cambiamenti e tenend in cnsiderazine quant pssibile il rius. Facilitare la cmunicazine e la cmprensine tra i partecipanti nella prduzine di sftware lung il cicl di vita del prgett, tenend in cnsiderazine il lr rul e le lr respnsabilità, csì cme i requisiti di gnun. Facilitare l'peratività, la manutenzine e l'us dei prdtti sftware ttenuti. Nel cas l svilupp dell'applicazine si attenga alla metdlgia Metrica versine 3, gli aspetti precedentemente trattati per assicurare che la nuva applicazine nn alteri in md incntrllat l stat di rischi dell'rganizzazine dvrann essere tenuti in cnsiderazine durante il prcess di svilupp. "Metrica" versine 3 identifica 3 prcessi, 5 sttprcessi e 4 interfacce:

75 PSI-pianificazine del sistema infrmativ EVS-studi di fattibilità del sistema ASI-analisi del sistema infrmativ DSI-prgettazine del sistema infrmativ. CSI-cstruzine del sistema infrmativ IAS-installazine ed accettazine del sistema MSI-manutenzine del sistema infrmativ L'interfaccia di sicurezza permette la cmunicazine tra i cmpiti di svilupp ed i cmpiti di analisi e gestine dei rischi. La direzine apprta i servizi necessari e la qualità della sicurezza desiderata. Il grupp di svilupp apprta gli elementi tecnici che realizzan l'applicazine. Il grupp di analisi dei rischi apprta un giudizi critic sulla sicurezza del sistema. Ovver si cnsideran simultaneamente differenti requisiti: di servizi, prvenienti dalla direzine; tecnici, prvenienti dal grupp di svilupp; di sicurezza, prvenienti dal grupp di analisi dei rischi. Quest dà rigine ad un'interrelazine cntinua tra il grupp di svilupp e il grupp di sicurezza che, attravers l'interfaccia della sicurezza, vann eseguend gni passaggi presente in Metrica. È imprtante sttlineare che il cnseguiment di un livell di sicurezza può richiedere mdifiche nei cmpnenti tecnici del sistema; all stess md i dettagli tecnici pssn alterare l'analisi di sicurezza. In qualsiasi cas, il punt di accrd tra i cmpnenti (asset) e l stat di sicurezza (impatt e rischi) deve essere apprvat dalla direzine dell'rganizzazine. Cme indicat precedentemente, si può distinguere tra la sicurezza del prcess di svilupp (cmpiti di SPD) e la sicurezza del sistema infrmativ (SSI). I cmpiti dell'interfaccia si rganizzan secnd la sua pertinenza ad un all'altr biettiv di sicurezza SPD-sicurezza del prcess di svilupp Quell che si tratta in questa sezine riguarda a tutti i prcessi e sttprcessi di Metrica: PSI, EVS, ASI, DSI, CSI, IAS e MSI. L'interfaccia di sicurezza di Metrica identifica fin a 4 cmpiti che sn ripetuti in gni prcess. Qui di seguit sn trattati in md cmpatt: Cmpiti inclusi nell'interfaccia di sicurezza di Métrica v3 PSI: Pianificazine del sistema infrmativ SEG 1: Pianificazine della sicurezza richiesta nel prcess di PSI PSI-SEG 1.1: Studi della sicurezza richiesta nel prcess di PSI PSI-SEG 1.2: Organizzazine e pianificazine SEG 4: Catalgazine degli utput generati durante il prcess di PSI PSI-SEG 4.1: Classificazine e catalgazine degli utput generati durante il prcess di PSI EVS: Studi di fattibilità del sistema SEG 1: Studi della sicurezza richiesta nel prcess di EVS

76 EVS-SEG 1.1: Studi della sicurezza richiesta nel prcess EVS SEG 2: Selezine del grupp di sicurezza EVS-SEG 2.1: Selezine del grupp di sicurezza SEG 6: Catalgazine degli utput generati durante il prcess di EVS SEG 6.1: Classificazine e catalgazine degli utput generati durante il prcess di EVS ASI: Analisi del sistema infrmativ SEG 1: Studi della sicurezza richiesta nel prcess di ASI ASI-SEG 1.1: Studi della sicurezza richiesta nel prcess ASI SEG 4: Catalgazine degli utput generati durante il prcess di ASI ASI-SEG 4.1: Classificazine e catalgazine degli utput generati durante il prcess di ASI DSI: Prgettazine del sistema infrmativ SEG 1: Studi della sicurezza richiesta nel prcess di DSI DSI-SEG 1.1: Studi della sicurezza richiesta nel prcess DSI SEG 5: Catalgazine degli utput generati durante il prcess di DSI DSI-SEG 5.1: Classificazine e catalgazine degli utput generati durante il prcess di DSI CSI: Cstruzine del sistema infrmativ SEG 1: Studi della sicurezza richiesta nel prcess di CSI CSI-SEG 1.1: Studi della sicurezza richiesta nel prcess CSI CSI SEG 4: Classificazine degli utput generati durante il prcess di CSI CSI-SEG 4.1: Classificazine e catalgazine degli utput generati durante il prcess di CSI IAS: Installazine ed accettazine del sistema SEG 1: Studi della sicurezza richiesta nel prcess di IAS SEG 1.1: Studi della sicurezza richiesta nel prcess IAS SEG 4: Catalgazine degli utput generati durante il prcess di IAS SEG 4.1: Classificazine e catalgazine degli utput generati durante il prcess di IAS MSI: Manutenzine del sistema infrmativ SEG 1: Studi della sicurezza richiesta nel prcess di MSI MSI-SEG 1.1: Studi della sicurezza richiesta nel prcess MSI MSI-SEG 3: Catalgazine degli utput generati durante questa fase SEG 3.1: Classificazine e catalgazine degli utput generati durante questa fase Asset da cnsiderare In gni prcess si richiede un analisi dei rischi specifica che cntempli: i dati trattati: specifiche e dcumentazine dei sistemi; cdice srgente; manuali dell'peratre e dell'utente; dati di prva. l'ambiente sftware di svilupp: strumenti di trattament della dcumentazine: generazine, pubblicazine, cntrll di dcumentazine, etc.; strumenti di trattament del cdice: generazine, cmpilazine, cntrll delle versini, etc. l'ambiente hardware di svilupp: apparecchiature centrali, psti di lavr, apparecchiature di archiviazine, etc.

77 Attività l'ambiente di cmunicazini di svilupp; i siti; il persnale cinvlt: sviluppatri, persnale di manutenzine ed utenti (di prve). Si segun questi passi: 1. il grupp di svilupp espne attravers il cap prgett gli elementi cinvlti; 2. il grupp di analisi dei rischi riceve attravers il direttre di sicurezza le infrmazini degli asset cinvlti; 3. il grupp di analisi dei rischi realizza l'analisi; 4. il grupp di analisi dei rischi espne attravers il su direttre l stat di rischi, prpnend una serie di misure da prendere; 5. il grupp di svilupp elabra un relazine del cst che supprrebber le misure raccmandate, includend csti di svilupp e deviazini nei termini di cnsegna; 6. la direzine qualifica il rischi e decide le cntrmisure da instaurare sentend la relazine cngiunta di analisi dei rischi e il cst delle sluzini di prpste; 7. il grupp di analisi dei rischi elabra le relazini crrispndenti alle sluzini adttate; 8. il grupp di sicurezza elabra la nrmativa di sicurezza pertinente; 9. la direzine apprva il pian per eseguire il prcess cn la sicurezza richiesta. Risultati dell'analisi e della gestine dei rischi In tutti i casi: cntrmisure raccmandate; nrme e prcedure di trattament delle infrmazini. Altre cnsiderazini Sebbene gni prcess richieda la sua analisi dei rischi specifica, è cert che si tratta di mdelli estremamente simili per cui il maggir impegn sarà richiest nell'elabrare il prim, essend gli altri adattamenti successivi. Nei primi prcessi, particlarmente in PSI, pssn apparire cntribuzini di alt livell che riguardan la nrmativa di sicurezza dell'rganizzazine e finanche la plitica di sicurezza aziendale. Tra le nrme e le prcedure generate è da sttlineare la necessità di una nrmativa di classificazine della dcumentazine e delle prcedure per il su trattament. In tutti i prcessi si deve prestare una speciale attenzine al persnale inserit. Di base è pprtun: identificare i ruli e le persne; determinare i requisiti di sicurezza di gni rul ed incrprarli ai criteri di selezine e alle cndizini cntrattuali; limitare l'access alle infrmazini: sl in base alla necessità; segregare i cmpiti; in particlare evitare la cncentrazine in una sla persna di quelle applicazini parti di applicazini sggette ad un frte rischi;

78 SSI-sicurezza del sistema infrmativ Tutta la vita di un sistema infrmativ può essere vista cme un'insieme di fasi di cncretizzazine crescente, da una prspettiva mlt glbale durante i prcessi di pianificazine fin ad una visine in dettagli durante l svilupp e l'impieg. Ciò nnstante, quest cicl di vita nn è lineare, ma frequentemente deve valutare pzini alternative e rivedere decisini prese. L'analisi dei rischi deve fndare le sue stime di impatt e di rischi nella realtà dei sistemi, cncretizzata nei sui asset. Di cnseguenza, si può cncepire il mdell dei valri cme evlutiv, raccgliend in gni mment il livell di dettagli di cui si dispne. Magerit, cme metdlgia, permette un trattament sistematic ed mgene che è essenziale per pter paragnare pzini alternative e per gestire l'evluzine dei sistemi. L'utilizzazine di strumenti di supprt deve permettere di: 1. definire un mdell iniziale (PSI), 2. studiarne le variazini (EVS e ASI), 3. passare dal generale al cncret, prevenend minacce ptenziali e preparand meccanismi di rilevament e reazine (DSI e CSI), 4. dirigere la lr accettazine e i lr impieg (ASI), 5. rivedere peridicamente i cambiamenti che avvengn (MSI). Us dei cmpiti della metdlgia Magerit Prcess P1: Pianificazine Attività A1.1: Studi dell'pprtunità Cmpit T1.1.1: Determinazine dell'pprtunità Quest cmpit si riduce alla decisine, interna, di sviluppare il sistema infrmativ tenend in cnsiderazine la sicurezza. Attività A1.2: Determinazine dell'ambit del prgett Cmpit T1.2.1: Obiettivi e restrizini generali Quelli del sistema infrmativ in svilupp. Cmpit T1.2.2: Determinazine di ambit e limiti Quelli del sistema infrmativ in svilupp. Cmpit T1.2.3: Identificazine dell'ambiente estern Quelli del sistema infrmativ in svilupp. Cmpit T1.2.4: Stima di dimensini e csti Parte di prgett ( dei prgetti) di svilupp del sistema infrmativ. Attività A1.3: Pianificazine del prgett Cmpit T1.3.1: Valutare la distribuzine del lavr e pianificare le interviste Quest cmpit è prtat a termine cme in qualsiasi prgett AGR. Quest cmpit si deve realizzare cn il prim prcess, PSI, cnservand la relazine delle interviste per il rest dei prcessi, salv aggiustamenti puntuali che emergan cme necessari. Cmpit T1.3.2: Organizzare i partecipanti

79 Quest cmpit è prtat a termine cme in qualsiasi prgett AGR. durante il prim prcess, PSI, deve stabilirsi la relazine dei partecipanti da intervistare, senza precisare ltre il rul che svlgn. Cn l'avanzare dell svilupp del sistema, si andrann identificand le persne che svlgn i ruli previsti. Cmpit T1.3.3: Pianificare il lavr Parte di prgett ( dei prgetti) di svilupp del sistema infrmativ. Attività A1.4: Lanci del prgett Cmpit T1.4.1: Adattare i questinari Quest cmpit è prtat a termine cme in qualsiasi prgett AGR. Si deve realizzare cn il prim prcess, PSI, mantenendl fiss per il rest dei prcessi, salv aggiustamenti puntuali. Cmpit T1.4.2: Criteri di valrizzazine Quest cmpit si prta a termine cme in qualsiasi prgett AGR. Si deve realizzare cn il prim prcess, PSI, mantenend i criteri stabiliti per il rest dei prcessi. Cmpit T1.4.3: Mezzi necessari Parte di prgett ( dei prgetti) di svilupp del sistema infrmativ. Cmpit T1.4.4: Sensibilizzazine Parte di prgett ( dei prgetti) di svilupp del sistema infrmativ. Prcess P2: Analisi dei rischi Attività A2.1: Caratterizzazine degli asset Cmpit T2.1.1: Identificazine degli asset Nei primi prcessi, PSI, si identifican asset generici. Avanzand nell svilupp, questa identificazine si fa più precisa in md che gli l'asset generici si trasfrman in asset cncreti. La cncretizzazine deve essere massima una vlta giunti al prcess di CSI. Cmpit T2.1.2: Dipendenze tra asset Nei primi prcessi, PSI, appain cnscenze generiche. Avanzand nell svilupp, le dipendenze si vann specificand mentre gli asset generici si trasfrman in asset cncreti. La cncretizzazine deve essere massima una vlta giunti al prcess di CSI. Cmpit T2.1.3: Valrizzazine degli asset La valrizzazine dei servizi finali e dei dati essenziali si può realizzare praticamente dal prim prcess di PSI, sebbene durante l'avanzament i servizi e/ i dati pssan frazinarsi, richiedend una valrizzazine particlare che mai dvrà supprre il superament della valrizzazine dei servizi dei dati d'insieme. Si pssn quindi disgregare i servizi e/ i dati in frazini di minre valre. Tipicamente la valrizzazine del rest degli asset si può analizzare cme semplice valre cumulativ dagli asset superiri, sfruttand le relazini di dipendenza. Attività A2.2: Caratterizzazine delle minacce Cmpit T2.2.1: Identificazine delle minacce Le minacce su asset generici pssn essere incluse dal prim prcess di PSI; ma man man che si va cncretizzand l'insieme dettagliat dei cmpnenti deve includere minacce specifiche della tecnlgia che si impiega.

80 Cmpit T2.2.2: Valrizzazine delle minacce Quest cmpit è prtat a termine cme in qualsiasi prgett AGR. Attività A2.3: Caratterizzazine delle cntrmisure Cmpit T2.3.1: Identificazine delle cntrmisure esistenti Buna parte delle cntrmisure pssn essere incluse fin dal prim prcess di PSI. Ciò nnstante, le cntrmisure di carattere tecnic dvrann farsi più precise cn il cncretizzarsi dell'insieme dettagliat dei cmpnenti e delle tecnlgie che si impiegan. Cmpit T2.3.2: Valrizzazine delle cntrmisure esistenti Quest cmpit è prtat a termine cme in qualsiasi prgett AGR. Attività A2.4: Stima dell stat del rischi Cmpit T2.4.1: Stima dell'impatt Quest cmpit è prtat a termine cme in qualsiasi prgett AGR. Cmpit T2.4.2: Stima del rischi Quest cmpit è prtat a termine cme in qualsiasi prgett AGR. Cmpit T2.4.3: Interpretazine dei risultati Quest cmpit è prtat a termine cme in qualsiasi prgett AGR. Prcess P3: Gestine dei rischi Attività A3.1: Presa di decisini Cmpit T3.1.1: Qualificazine dei rischi Quest cmpit è prtat a termine cme in qualsiasi prgett AGR. Alla presa di decisini deve partecipare tant il grupp di svilupp quant il grupp di analisi dei rischi. Attività A3.2: Elabrazine del pian principale di sicurezza delle infrmazini Cmpit T3.2.1: Prgrammi di sicurezza Quest cmpit resta inclus nei cmpiti di svilupp. Cmpit T3.2.2: Pian di esecuzine Quest cmpit resta inclus nei cmpiti di svilupp. Attività A3.3: Esecuzine del pian Cmpit T3.3.*: Esecuzine di gni prgramma di sicurezza Questi cmpiti restan inclusi nei cmpiti di svilupp. Altre cnsiderazini È imprtante prtare a termine le differenti analisi dei rischi in md evlutiv, includend maggire dettagli cn l'avanzare dell svilupp; ma mai ricminciand da zer. Nei primi prcessi, particlarmente in PSI, pssn apparire cntribuzini di alt livell che riguardin la nrmativa di sicurezza dell'rganizzazine e persin la stessa plitica di sicurezza aziendale. Le nrme e le prcedure che sn derivate da gni prcess vann cstituend l'insieme di nrme e prcedure che si impiegan durante l'us del sistema.

81 Tipicamente la nrmativa deve essere chiusa nei primi prcessi: PSI, EVS e ASI, essend infrequente la sua mdifica nei prcessi seguenti. Al cntrari, le prcedure nn si pssn ttenere fin a nn aver cncretizzat il dettagli nei prcessi di DSI, CSI e IAS. Nn si devn pi mdificare, salv aggiustamenti e crrezini, nei prcessi seguenti. Il prcess IAS prta nrme e prcedure all'impieg pratic. Il prcess di MSI può includere la mdifica di nrme prcedure errnee, la cancellazine di nrme prcedure incmplete che nn abbian cntemplat tutte le circstanze pratiche. Il cnt dettagliat delle cntrmisure deve includere sia i meccanismi di azine sia i meccanismi di cnfigurazine, mnitraggi e cntrll della lr efficacia ed efficienza. È frequente che appaian alcuni sviluppi specificamente destinati a cnfigurare l'insieme di cntrmisure e a mnitrare la lr peratività. Cmpiti inclusi nell'interfaccia di sicurezza di Métrica v3 PSI: Pianificazine del sistema infrmativ SEG 2: Valutazine del rischi per l'architettura tecnlgica PSI-SEG 2.1: Studi e valrizzazine del rischi delle alternative per l'architettura tecnlgica PSI-SEG 2.2: Revisine della valrizzazine del rischi delle alternative per l'architettura tecnlgica SEG 3: Determinazine della sicurezza nel pian di azine PSI-SEG 3.1: Determinazine della sicurezza nel pian di azine EVS: Studi di fattibilità del sistema SEG 3: Raccmandazini addizinali di sicurezza per il sistema infrmativ EVS-SEG 3.1: Elabrazine di raccmandazini di sicurezza SEG 4: Valutazine della sicurezza delle sluzini alternative EVS-SEG 4.1: Valrizzazine e valutazine della sicurezza delle sluzini alternative SEG 5: Valutazine dettagliata della sicurezza della sluzine prpsta EVS-SEG 5.1: Descrizine dettagliata della sicurezza della sluzine prpsta ASI: Analisi del sistema infrmativ SEG 2: Descrizine delle funzini e dei meccanismi di sicurezza ASI-SEG 2.1: Studi delle funzini e dei meccanismi di sicurezza da realizzare SEG 3: Definizine dei criteri di accettazine della sicurezza ASI-SEG 3.1: Aggirnament del pian delle prve DSI: Prgettazine del sistema infrmativ SEG 2: Specifica dei requisiti di sicurezza dell'ambiente tecnlgic DSI-SEG 2.1: Analisi dei rischi dell'ambiente tecnlgic SEG 3: Requisiti di sicurezza dell'ambiente di svilupp DSI-SEG 3.1: Identificazine dei requisiti di sicurezza dell'ambiente di svilupp SEG 4: Prgettazine delle prve di sicurezza DSI-SEG 4.1: Prgettazine delle prve di sicurezza CSI: Cstruzine del sistema infrmativ SEG 2: Valutazine dei risultati delle prve di sicurezza CSI-SEG 2.1: Valutazine dei risultati delle prve di sicurezza SEG 3: Elabrazine del pian di frmazine di sicurezza CSI-SEG 3.1: Elabrazine del pian di frmazine di sicurezza ASI: Installazine ed accettazine del sistema SEG 2: Revisine delle misure di sicurezza nell'ambiente perativ ASI-SEG 2.1: Revisine delle misure di sicurezza nell'ambiente perativ

82 SEG 3: Valutazine dei risultati delle prve di sicurezza di installazine del sistema ASI-SEG 3.1: Studi dei risultati delle prve di sicurezza di installazine del sistema SEG 5: Revisine delle misure di sicurezza nell'ambiente di prduzine ASI-SEG 5.1: Revisine delle misure di sicurezza nell'ambiente di prduzine MSI: Manutenzine del sistema infrmativ SEG 2: Specifica e identificazine delle funzini e dei meccanismi di sicurezza MSI-SEG 2.1: Studi delle necessità MSI-SEG 2.2: Analisi delle funzini e di meccanismi di sicurezza interessati nuvi 4.6. Riferimenti NIST Special Publicatin , "Security Cnsideratins in the Infrmatin System Develpment Life Cycle", Rev.1. June NIST Special Publicatin Rev. A, "Engineering Principles fr Infrmatin Technlgy Security (A Baseline fr Achieving Security)", Rev. A, June "Seguridad de las Tecnlgías de la Infrmación. La cnstrucción de la cnfianza para una sciedad cnectada E.Fernández-Medina e R.Mya (editri). AENOR, Metdlgia di Pianificazine, Svilupp e Manutenzine dei sistemi infrmativi. Métrica v3. Cnsej Superir de Infrmática y para el Impuls de la Administración Electrónica, 2000.

83 5. Cnsigli pratici Tutta l'impstazine precedente può risultare alquant astratta e nn permettere all'analista di prgredire cn prfitt attravers i passi indicati. Per quest si è cnsiderat pprtun includere alcuni cmmenti che pssan servire cme guida. Si raccmanda anche la cnsultazine del "catalg degli elementi" che raccglie tiplgie di asset, dimensini di valrizzazine, guide di valutazine, catalghi di minacce e di cntrmisure Per identificare gli asset È pprtun ripetere che interessan sl le risrse dei sistemi infrmativi che hann un valre per l'rganizzazine, sia in sé stessi, sia perché su di lr si appggian asset di valre. A titl di esempi, un web server di presentazine è un asset cn un scars valre prpri. Quest si può verificare perché nn è nrmale che un'rganizzazine dispieghi un server web di presentazine a men che ne abbia bisgn per prestare un servizi. Tutt il su valre è imputabile a: l'indispnibilità del server causa l'interruzine del servizi; il cst che cmprta l'interruzine del servizi è il valre di dispnibilità che si imputerà al server; l'access nn cntrllat al server mette a rischi la segretezza dei dati che presenta; il cst che cmprta la perdita di riservatezza dei dati è il valre di riservatezza che si imputerà al server;... e csì via per le differenti dimensini prese in cnsiderazine. Gli intangibili Certi elementi di valre per le rganizzazini sn di natura intangibile: credibilità buna immagine; cnscenza accumulata; indipendenza di criteri md di agire; privacy delle persne; integrità fisica delle persne. Questi elementi pssn essere aggiunti all'analisi dei rischi cme asset cme elementi di valrizzazine. La quantificazine di questi cncetti è spess difficile, ma in un md nell'altr nn ci si può dimenticare che quell che si deve prteggere in ultima istanza è la missine dell'rganizzazine ed il valre di questa risiede appunt negli asset intangibili, cme già si cnsiderava in Magerit versine 1.0. Identificazine degli asset Frse la miglire apprssimazine per identificare gli asset è dmandare direttamente: Quali asset sn fndamentali per raggiungere gli biettivi? Esistn più asset da prteggere per bblighi di legge? Esistn asset cllegati ai precedenti? Nn sempre è evidente che csa un asset rappresenti singlarmente. Se per esempi in una unità ci sn 300 pstazini di lavr basate su PC, tutte identiche agli effetti della cnfigurazine e dati che

84 trattan, nn è cnveniente analizzare 300 asset identici. Basta analizzare un PC generic le cui prblematiche rappresentan quelle di tutti. Raggruppare semplifica il mdell. Altre vlte si presenta il cas cntrari, un server centrale che asslve mille funzini: file server, server di messaggistica, di intranet, del sistema di gestine dcumentale e... In quest cas è pprtun segregare i servizi prestati cme servizi (interni) indipendenti. Sl quand si arriva al livell di grupp fisic si devn far cnfluire in un unic grupp tutti i servizi. Se nel futur si riuscirà a separare i servizi tra più server, allra sarà facile rivedere il mdell dei valri e delle dipendenze Per individuare e mdellizzare le dipendenze tra asset A vlte è più difficile di quant ci si aspetti perché i respnsabili degli asset slgn essere più preccupati per il cllegament funzinale tra asset che per la dipendenza nel sens di prpagazine del valre. Bisgna far capire all'interlcutre che nn si cerca csa serve affinché il sistema funzini, ma, al cntrari, si cerca dve può fallire il sistema, più precisamente, dve può essere cmprmessa la sicurezza degli asset. Se alcuni dati sn imprtanti per la lr riservatezza, è necessari sapere in quali psti risiedn detti dati e per quali ambienti circlan: in questi punti pssn essere rivelati. Se alcuni dati sn imprtanti per la lr integrità, è necessari sapere in quali psti risiedn detti dati e per quali ambienti circlan: in questi punti pssn essere alterati. Se un servizi è imprtante per la sua dispnibilità, è necessari sapere quali elementi si usan per prestare tale servizi: il falliment di tali elementi può arrestare il servizi. Queste cnsiderazini pssn essere impstate attravers argmenti del tip: Vlend accedere a questi dati, dve si attaccherebbe? Vlend arrestare quest servizi, dve si attaccherebbe? Questa impstazine di "mettersi al pst dell'attaccante" è quella che dà fndament alle tecniche denminate "alberi di attacc" che sn cllegate a quell che in questa metdlgia sn le dipendenze. In effetti, un asset può essere attaccat direttamente indirettamente attravers un altr asset da cui dipenda. Le precedenti cnsiderazini pssn sfciare in un diagramma "piatt" di dipendenze che si può (ed è pprtun ad effetti pratici) cnvertire in un alber più cmpatt. Csì, è nrmale dire che i servizi dipendn dal grupp, che dipende a sua vlta dai lcali dve sn situate le apparecchiature, senza bisgn di esplicitare i servizi che dipendn dai lcali. È frequente identificare "servizi interni" "servizi rizzntali" quelli che sn insiemi di asset vtati ad una certa funzine. Questi servizi intermedi sn efficaci per cmpattare il graf di dipendenze, perché le dipendenze di detti di servizi si interpretan senza ambiguità cme dipendenze di tutti gli elementi che prestan il servizi. Quand si usin diagrammi di fluss di dati diagrammi di prcessi, nn deve preccupare tant il percrs che segun i dati quant l'insieme (disrdinat) di elementi che intervengn. Un prcess dipende da tutti gli asset che appain nel su diagramma. Alcuni dati dipendn da tutti gli ambienti per cui transitan. Tant in alcuni cme in altri diagrammi è frequente trvare descrizini gerarchizzate dve un prcess si suddivide in livelli di maggir dettagli. Queste gerarchie di diagrammi pssn aiutare ad elabrare il graf delle dipendenze. Errri tipici Nn è crrett dire che un'applicazine dipende dai dati che tratta. Il raginament di clr che afferman ciò è che "l'applicazine nn funzina senza dati", che è crrett; ma nn è quell che interessa cnsiderare. Piuttst è tutt il cntrari: i dati dipendn dell'applicazine. In termini di

85 valre, si può assicurare che l'applicazine nn vale niente senza dati. Siccme il valre è una prprietà dei dati, è cdest valre quell che l'applicazine eredita. Pi i dati dipendn dell'applicazine. Da un altr punt di vista, attravers l'applicazine si può accedere ai dati, cnvertend l'applicazine nella via di attacc ai dati. Dat che dati ed applicazini slgn riunirsi per la prestazine di un servizi, il valre del servizi si trasmette tant ai dati quant alle applicazini che intervengn. male servizi applicazine applicazine dati bene servizi dati dati applicazine servizi applicazine Nn è crrett dire che un'applicazine dipende dall'apparecchiatura su cui si esegue. Il raginament di clr che afferman che "l'applicazine nn funzinare senza apparecchiature" è crrett; ma nn è quell che interessa cnsiderare. Se tant l'applicazine quant le apparecchiature sn necessarie per prestare un servizi, l si deve dire chiaramente, senza cercare cammini cntrti. male servizi applicazine applicazine apparecchiatura bene servizi applicazine servizi apparecchiatura Gli errri illustrati alle vlte passan insservati fintant che il sistema è mlt ridtt (se c'è sl un servizi, un'applicazine e un'apparecchiatura); ma appain immediatamente appena il sistema cresce. Per esempi, un'applicazine X può essere eseguita su differenti apparecchiature cn differenti dati per prestare differenti servizi. Risulta allra impssibile mettere in relazine l'applicazine cn un più apparecchiature, salv cnsiderare gni cas. sn ben mdellizzate le dipendenze? Stabilire le dipendenze è un cmpit delicat che può finire male. Prima di dare per bun un mdell di dipendenze si devn individuare per gni asset tutti gli asset da cui dipende direttamente

86 indirettamente e si deve rispndere psitivamente alle dmande: Ci sn tutti quelli che devn? Ciè, si sn identificati tutti gli asset attravers i quali può essere attaccat indirettamente l'asset in esame? Devn esserci tutti quelli che ci sn? Ciè, se realmente l'asset in esame può essere attaccat attravers tutti questi asset da cui dipende? Vist che la relazine di dipendenza prpaga il valre cumulativ, trvare un asset senza valre cumulativ è sintm che le dipendenze sn mal mdellizzate, semplicemente, che l'asset è irrilevante Per valrizzare gli asset E' sempre pprtun valrizzare le infrmazini i dati che cstituiscn la ragin d'essere del sistema infrmativ. Se si sn mdellizzati servizi finali (prestati ad utenti esterni all ambit di analisi), è pprtun valutarli all stess md. È facile identificare asset di tip dat infrmazine e valrizzarli seguend le classificazini guidate in base alle lr caratteristiche individuali alla lr classificazine di sicurezza. E' cmunque mlt più delicat valrizzare dati di tip cmmerciale d perativ perché si deve guardare alle cnseguenze del dann subit. Il rest degli asset può frequentemente nn essere valrizzat, perché il lr valre più imprtante è supprtare i dati e/ i servizi e quest calcl l frniscn i valri delle dipendenze. Nnstante ciò, si cnsidera pprtun valrizzare altri tipi di asset... Gli asset più semplici da valrizzare sn quelli che si acquistan in cmmerci. Se subisce un dann a un di essi, se ne deve mettere un altr. Quest csta denar e temp (quindi, più denar). Si parla di un cst di rimpiazzament. Salv eccezini, frequentemente accade che il cst degli asset fisici risulti trascurabile a frnte di altri csti, ptend essere trascurat. E' difficile valrizzare le persne, in genere; ma se un rul suppne una frmazine lenta e faticsa, si deve tenere in cnsiderazine che la si persna che si disimpegna da quest rul si cnverte in una risrsa mlt prezisa, perché il su "cst di rimpiazzament" è ntevle. In qualsiasi cas, per valrizzare un asset, si deve identificare il respnsabile, che sarà la persna adeguata per valrizzare l'asset. Si deve aiutare tale respnsabile tramite tavle di valrizzazine cme quelle del capitl 4 del "catalg degli elementi" che, adattate al cas cncret, permettn di tradurre la percezine del valre in una misura qualitativa quantitativa dell stess. Spess nn esiste un respnsabile unic e individuale di un asset e/ servizi, ma varie persne al'intern dell'rganizzazine hann un'pinine qualificata a riguard. Le si deve ascltare tutte ed arrivare ad un cnsens. Se il cnsens nn è vvi, è pssibile richiedere: un cnfrnt: riunend quelli che divergn tentand di farli arrivare ad un'pinine cmune; un Delphi: inviand questinari a quelli che divergn e fare in md che cnvergan su di una psizine cmune. Nei prcessi di valrizzazine degli asset è frequente ricrrere a persne differenti per valrizzare asset differenti. E' frequente che gni intervistat cnsideri il su asset cme della massima imprtanza; tant più frequentemente quant più specializzat è l'intervistat. Siccme mlte valrizzazini sn stime del valre, ci si deve assicurare che tutti usin la stessa scala di stima. Per quest è imprtante usare una tavla cme quella del capitl 4 del "catalg degli elementi", direttamente adattata al cas cncret. E' infine imprtante che, dp aver dmandat a quelli che si ccupan di gni asset, tutti ricevan una cpia della valrizzazine glbale del sistema affinché

87 stimin il valre relativ del "lr asset" e frmulin delle pinini a prpsit. Dati persnali I dati persnali sn definiti da leggi e reglamenti, richiedend che l'rganizzazine adtti una serie di misure di prtezine indipendenti dal valre dell'asset. La frma più realistica di affrntare gli asset di carattere persnale è caratterizzarli cme tali nel livell che gli crrispnda e, inltre, determinare il lr valre: il dann che cmprterebbe la lr diffusine alterazine indebita. Cn questa apprssimazine, l'analisi di impatti e rischi permetterà di prteggere i dati sia per bblig di legge sia per il lr prpri valre Per identificare le minacce Quest cmpit può sembrare impssibile: identificare le minacce per gni asset, in gni dimensine. Si può partire dell'esperienza passata, prpria di rganizzazini simili. Quell che è accadut può ripetersi e, in qualunque cas, è impensabile nn tenerl in cnsiderazine. Inltre, un catalg di minacce cme quell presente nel "catalg degli elementi" aiuta a circscrivere quell che è pprtun cnsiderare in funzine del tip di asset e delle dimensini in cui ha un valre prpri cumulativ. Spess si finisce per ideare scenari di attacc che nn sn altr che iptesi di cme un attaccante affrnterebbe i nstri sistemi. Questa tecnica è quella che alle vlte si denmina "alberi di attacc". Ci si mette nei panni dell'attaccante e si immagina che di agire cn le sue nzini e la sue capacità ecnmiche. Può darsi che sia necessari impstare differenti situazini a secnda del prfil tecnic dell'attaccante dei sui mezzi tecnici ed umani. Queste iptesi sn interessanti per pter calclare impatti e rischi, ma sarann anche mlt utili all'ra di cnvincere l'alta direzine e gli utenti sul perché una minaccia nn sia sl terica ma ben reale. In più, quand si valutan le cntrmisure, questi scenari di attacc pssn essere cnvenientemente riveduti Per valrizzare le minacce Quest cmpit può sembrare scraggiante: determinare la cmprmissine che causerebber e la frequenza prbabile di ccrrenza delle minacce, per gni asset e in gni dimensine. Ogni vlta che sia pssibile è pprtun partire da dati standard. Nel cas di disastri naturali di incidenti industriali, si può disprre di serie striche, generiche del lug in cui sn situate le apparecchiature del sistema infrmativ in esame. Prbabilmente si dispne anche di una crnlgia che riprti quell che è frequente e quell che "nn succede mai". Più cmplicat è qualificare gli errri umani; ma l'esperienza permette di andare apprssimand valri realistici. Il più difficile è qualificare gli attacchi intenzinali perché dipendn della srte, buna cattiva. Esistn mlti mtivi che acuiscn il pericl di una minaccia: che nn richieda grandi nzini tecnica da parte dell'attaccante; che nn richieda grandi investimenti in apparecchiature da parte dell'attaccante; che ci sia un enrme benefici ecnmic in gic (l'attaccante può arricchirsi); che ci sia un enrme benefici in gic (l'attaccante può guadagnare frtemente nella sua reputazine, nella sua ntrietà...); per quest mtiv si evitin le sfide e nn si faccia mai sfggi che il sistema infrmativ è invulnerabile: nn l è e nn si ha interesse che si l dimstri;

88 che ci sia un cattiv ambiente di lavr, fmentatre di impiegati scntenti che si vendican attravers i sistemi, semplicemente per causare dann; che ci sia una cattiva relazine cn gli utenti esterni, che si vendican attravers i nstri sistemi. Partend da un valre standard, si devn aumentare diminuire le sue valrizzazini di frequenza e di cmprmissine fin a riflettere il più fedelmente pssibile il cas cncret. Spess nn è evidente determinare il valre crrett e bisgna ricrrere a simulazini che dian un'indicazine. L'us di certi tipi di strumenti è mlt utile per studiare le cnseguenze di un cert valre, quell che alcuni autri denminan la sensibilità del mdell vers un cert dat. Se si stima che i risultati cambin radicalmente a frnte di piccle alterazini di una stima di frequenza cmprmissine, si deve (1) essere realisti e (2) prestare mlta attenzine vers il mtiv per cui il sistema è tant sensibile a qualcsa di csì pc cncret e prendere misure rientate a rendere indipendente il sistema, ciè, a nn rendere critica una certa minaccia. Si ricrdi che la frequenza nn riguarda l'impatt, mtiv per cui studiand l'impatt si può mdificare la cmprmissine e, successivamente, studiand il rischi, si può rivedere la frequenza. Nn si deve mai accettare un valre ingiustificat di cmprmissine nella speranza di cmpensarl cn la frequenza, perché la stima dell'impatt è imprtante in sé stessa, ltre che per il rischi. Quale che sia la decisine finale che si prenda per stimare un valre, la si deve dcumentare perché prima pi sarann richieste spiegazini, sprattutt se cme cnseguenza si raccmandan cntrmisure cstse Per selezinare le cntrmisure Prbabilmente l'unic md è quell di scegliere dal catalg. Si usi un (sistema) espert che aiuti a valutare quale sluzine è adeguata per gni cmbinazine di: tip di asset; minaccia a cui è espst; dimensine del valre che è mtiv di attenzine; livell di rischi. Spess si trverann mlte sluzini per un singl prblema, cn differenti livelli di qualità. In questi casi si deve scegliere una sluzine prprzinata ai livelli di impatt e di rischi calclati. Mlte cntrmisure sn di bass cst, essend sufficiente cnfigurare adeguatamente i sistemi rganizzare regle affinché il persnale faccia le cse in md adeguat. Alcune cntrmisure sn invece realmente cstse (per il lr acquist, dispiegament, manutenzine peridica, frmazine del persnale incaricat...). In questi casi cnviene pnderare se il cst della cntrmisura nn supera il rischi ptenziale; ciè, effettuare sempre decisini di spesa che suppngan un risparmi nett. Infine, e nn men imprtante, all'ra di dispiegare le cntrmisure si deve cnsiderare la lr facilità d us. L'ideale è che la cntrmisura sia trasparente in md che l'utente nn debba fare niente, nell impssibilità di ciò, men cse pssibili. Quest semplicemente perché una cntrmisura di cmpless impieg richiede persnale specializzat ed aggiunge alle minacce che già aveva il sistema la minaccia derivante da un su errne impieg Apprssimazini successive Il lettre si sarà già res cnt che l'analisi dei rischi può essere mlt labrisa, richiedend temp e sfrzi. Inltre, si devn intrdurre mlti elementi che nn sn biettivi, ma stime dell'analista, il che

89 implica che ci sia da spiegare e da creare un cnsens su quell che significa gni csa per nn restare espsti ad impatti rischi che si ignran si sttvalutan, né trasfrmare la parania in un dispendi di risrse ingiustificat. Se si deve essere pratici ed efficaci, è pprtun realizzare apprssimazini successive. Si cmincia da un analisi smmaria, di alt livell, identificand rapidamente ciò che è più critic: asset di grande valre, vulnerabilità manifeste, semplicemente, raccmandazini da manuale perché nn c'è niente di più prudente che imparare apprfittand dell'esperienza di altri. Quest analisi dei rischi è imperfetta, evidentemente, ma ha sens cnfidare nel fatt che prta nella direzine crretta. I paragrafi seguenti dann indicazini di cme rientarsi prest vers l'biettiv finale: avere impatti e rischi stt cntrll. Si nti che queste apprssimazini imperfette permettn di realizzare rapidamente sistemi raginevlmente prtetti quand nn c'è temp per un analisi dei rischi in tutta la sua pienezza. Quand, cn il temp, si arriverà alla fase di gestine dei rischi dp un analisi esauriente, mlt prbabilmente accadrà che mlte cntrmisure sian già realizzate, essendci bisgn sl più dell'intrduzine di alcune nuve e/ il miglirament dell'efficacia di quelle esistenti. Nn è quindi lavr sprecat seguire queste apprssimazini infrmali Prtezine di base È frequente sentir parlare di misure basilari di prtezine (baseline) che devn essere instaurate in tutti i sistemi, a men che si dimstri che nn sn pertinenti al cas particlare. Nn si discute né si dubita che ai sistemi infrmativi nn può accedere chiunque in qualsiasi mment. Si pssn prteggere dal lat fisic lgic, mettendli in una sala dve nn può entrare chiunque, impnend un'identificazine di access lgic. Questi tipi di raginamenti si pssn applicare cn frequenza e prtan a dispiegare un minim di cntrmisure "di bunsens cmune". Una vlta raggiunt quell che è vvi e nn si dvrebbe mai discutere, si pssn raggiungere livelli più elabrati, specifici per gni sistema. Per applicare un trattament di base è necessari un catalg di cntrmisure. Esistn numersi fnti, tra cui sn da segnalare: nrme internazinali, per esempi ISO/IEC 27002:2005; nrme nazinali; nrme settriali; nrme aziendali, particlarmente frequenti in piccli dipartimenti di grandi rganizzazini. I vantaggi di prteggersi secnd un catalg sn: è mlt rapid; nn cmprta mlt sfrz; si ttiene un livell mgene cn altre rganizzazini simili. Gli incnvenienti di prteggersi per catalg sn: il sistema può essere prtett a frnte di minacce che nn subisce, il che causa una spesa ingiustificata; il sistema può essere inadeguatamente prtett a frnte di minacce reali. In genere, cn la prtezine di base nn si sa quell che si è fatt e, sebbene prbabilmente si sia ancra sulla giusta via, nn c'è alcun indicatre di csa manca di csa è svrabbndante. Ciò nnstante, può essere un punt di partenza utile da raffinare in seguit. La prtezine per catalg può essere raffinata mlt cnsiderand il valre degli asset

90 quantificand le minacce. In base alla tiplgia degli asset Se ci sn dati di carattere persnale qualificat di alt livell, devn essere crittgrafati. Se ci sn dati classificati cme cnfidenziali, dn essere etichettati e crittgrafati. A parte il rispett di legislazine e nrme specifiche, si è prtata a termine una specie di "vaccinazine preventiva" di asset che di sicur sn imprtanti. Se c è una rete lcale cnnessa all'estern, deve esserci un firewall nel punt di cnnessine. In base al valre degli asset Se ci sn tutti i dati perativi su spprt infrmatic, devn essere fatte cpie di sicurezza. Se ci sn apparecchiature infrmatiche, devn essere mantenute allineate cn gli aggirnamenti del prduttre. Quell che ha valre deve essere prtett, nel cas gli succedesse qualcsa, senza entrare nel dettagli su ciò che può succedere esattamente. In base alle minacce Se si tratta di un sistema della csiddetta amministrazine elettrnica (una pratica amministrativa nn cartacea) se i sistemi si usan per cmmerciare elettrnicamente (acquisti e vendite nn cartacee), si registri accuratamente chi fa che csa in gni mment perché se mess di frnte a prblemi cn gli utenti, si deve pter determinare chi ha ragine e chi paga i danni. Ci sarà anche chi vule usare i servizi senza avere diritt a ciò (frde). Tutt ciò di cui si può avere bisgn è necessari, e parte delle respnsabilità del respnsabile della sicurezza è di disprre delle infrmazini crrette quand sia il cas. In base alle vulnerabilità Se c è una rete di apparecchiature datate e si cnnette ad Internet, devn essere installati dei firewall. Se c è un'applicazine in prduzine, deve essere mantenuta aggirnata applicand miglirie e crreggend i difetti resi nti dal prduttre. Quand si viene a sapere che i sistemi infrmativi sn vulnerabili, è necessari prteggerli Riferimenti ISO/IEC 27002:2005, "Infrmatin technlgy - Security techniques - Cde f practice fr infrmatin security management", giugn " Criteris de seguridad, nrmalización y cnservación de las aplicacines utilizadas para el ejercici de ptestades", MAP, 2004 C. Alberts and a Drfee, "Managing infrmatin Security Risks. The OCTAVE Apprach", Addisn Wesley, United States General Accunting Office, Accunting and Infrmatin Management Divisin, "Infrmatin Security Risk Assessment - GAO Practices f Leading Organizatins. Ministeri de Administracines Públicas, Metdlgía de Análisis y Gestión de Riesgs de ls Sistemas de Infrmación, MAP, versión 1.0, 1997.

91 Appendice 1. Glssari Differenti autri d rganizzazini definiscn gli stessi termini in diverse frme e maniere. Le seguenti tavle riprtan definizini riguardanti l accezine nella quale sn impiegati i termini in questa guida metdlgica, sia in italian sia in inglese. Delle mlteplici definizini si è selezinata quella preferita in Magerit v2, evidenziandla in grassett. Quand la definizine prviene da qualche fnte, essa è citata. L'assenza di fnte indica che è definizine prpria di questa guida. Salv casi per cui sussistevan particlari ragini avverse, si è sempre preferit mantenere la definizine prpsta in Magerit v1 (1997) Termini in italian Accreditament Asset AGR Minaccia Azine di dare facltà a un sistema rete di infrmazini affinché tratti dati sensibili, determinand il grad cn cui la prgettazine e la realizzazine di tale sistema sddisfa I requisiti di Sicurezza tecnica prestabiliti [CESID:1997] Accreditatin: Frmal declaratin by the respnsible management apprving the peratin f an autmated system in a particular security mde using a particular set f safeguards. Accreditatin is the fficial authrizatin by management fr the peratin f the system, and acceptance by that management f the assciated residual risks. Accreditatin is based n the certificatin prcess as well as ther management cnsideratins. [ :2005] Risrse del sistema infrmativ cllegate ad ess, necessarie affinché l'rganizzazine peri crrettamente e raggiunga gli biettivi fissati dalla sua direzine. [Magerit:1997] Asset: Anything that has value t the rganizatin. [ :2004] Asset: A cmpnent r part f the ttal system. Assets may be f fur types: physical, applicatin sftware, data, r end user services. [CRAMM:2003] Asset: Smething f value t the enterprise. [Octave:2003] Asset: Any infrmatin resurce with value that is wrth prtecting r preserving. [TDIR:2003] Assets: Infrmatin r resurces t be prtected by the cuntermeasures f a Target f Evaluatin. [CC:1999] Analisi e Gestine dei Rischi Event che può causare un incidente nell'rganizzazine, prducend danni materiali d immagine nei sui asset. [Magerit:1997] Threat: A ptential cause f an incident which may result in harm t a system r rganizatin. [17799:2005][ :2004] Threat: Any circumstance r event with the ptential t adversely impact agency peratins (including missin, functins, image, r reputatin), agency assets, r individuals thrugh an infrmatin system via unauthrized access, destructin, disclsure, mdificatin f infrmatin, and/r denial f service. [800-53:2004] Threat: Any circumstance r event with the ptential t adversely impact an infrmatin system thrugh unauthrized access, destructin, disclsure, mdificatin f data, and/r denial f service. [CNSS:2003] Threat: An activity, deliberate r unintentinal, with the ptential fr causing harm t an autmated infrmatin system r activity. [TDIR:2003] Threat: Any circumstance r event that culd harm a critical asset thrugh unauthrized access, cmprmise f data integrity, denial r disruptin f

92 Analisi d impatt Analisi dei rischi Attacc Audit di sicurezza Autenticità service, r physical destructin r impairment. [CIAO:2000] A threat is an indicatin f a ptential undesirable event. [NSTISSI:1998] Threat: A ptential vilatin f security. [7498-2:1989]service, r physical destructin r impairment. [CIAO:2000] A threat is the indicatin f a ptential undesirable event. [NSTISSI:1998] Threat: a ptential vilatin f security. [7498-2:1989] Studi delle cnseguenze che avrebbe un ferm di x temp sull'rganizzazine. Prcess sistematic per stimare la grandezza dei rischi a cui è espsta un'rganizzazine. Identificazine delle minacce che gravan sui diversi cmpnenti appartenenti cllegati al sistema infrmativ (nti cme 'asset'); per determinare la vulnerabilità del sistema rispett a cdeste minacce e per stimare l'impatt il grad di cmprmissine che una sicurezza insufficiente può avere per l'rganizzazine, ttenend certa cnscenza del rischi che si crre. [Magerit:1997] Risk analysis: Systematic use f infrmatin t identify surces and t estimate the risk. [17799:2005][Guide 73:2002] Risk assessment: Prcess f evaluating the risks f infrmatin lss based n an analysis f threats t, and vulnerabilities f, a system, peratin r activity. [OPSEC] Risk analysis: The systematic prcess f estimating the magnitude f risks. [ :2004] Risk Analysis: Examinatin f infrmatin t identify the risk t an infrmatin system. [CNSS:2003] Risk Assessment:: Prcess f analyzing threats t and vulnerabilities f an infrmatin system, and the ptential impact resulting frm the lss f infrmatin r capabilities f a system. This analysis is used as a basis fr identifying apprpriate and cst-effective security cuntermeasures. [CNSS:2003] Risk Analysis: An analysis f system assets and vulnerabilities t establish an expected lss frm certain events based n estimated prbabilities f ccurrence. [TDIR:2003] Risk Assessment: A study f vulnerabilities, threats, likelihd, lss r impact, and theretical effectiveness f security measures. The prcess f evaluating threats and vulnerabilities, knwn and pstulated, t determine expected lss and establish the degree f acceptability t system peratins. [TDIR:2003] Qualsiasi azine deliberata vlta a vilare i meccanismi di sicurezza di un sistema infrmativ. [CESID:1997] Studi ed esame indipendente della stria ed attività di un sistema infrmativ, cn il fine di valutare l'idneità dei cntrlli del sistema, assicurare la sua cnfrmità cn la struttura di sicurezza e cn le prcedure perative stabiliti, al fine di scprire falle nella sicurezza e di raccmandare cambiamenti nelle prcedure, nei cntrlli e nelle strutture di sicurezza. Assicurazine dell'identità della prvenienza. Autenticazine: Caratteristica che prevede il dare e il ricnscere l'autenticità degli asset dell ambit (di tip infrmazine ) e/ l'identificazine degli attri e/ l'autrizzazine da parte di chi autrizza, csì cme la verifica di questi tre punti. [Magerit:1997] Authenticity: Having an undisputed identity r rigin. [OPSEC] Authenticity: The prperty f being genuine and being able t be verified

93 Certificazine Cmprmissine Cntrll Cntrmisura Dimensine Dispnibilità Dcument di selezine di cntrlli and trusted; cnfidence in the validity f a transmissin, a message, r message riginatr. [800-53:2004] Authenticity: The prperty that ensures that the identity f a subject r resurce is the ne claimed. Authenticity applies t entities such as users, prcesses, systems, and infrmatin. [ :2004] Cnferma del risultat di una valrizzazine, e che i criteri di valrizzazine utilizzati sn stati crrettamente applicati. Perdita di valre di un asset cme cnseguenza della cncretizzazine di una minaccia. Vedere cntrmisura. Prcedura meccanism tecnlgic che riduce il rischi. Cntrl: Means f managing risks, including plicies, prcedures, guidelines, practices r rganizatinal structures, which can be f administrative, technical, management r legal nature. [17799:2005] Cuntermeasure: Anything which effectively negates r mitigates an adversary's ability t explit vulnerabilities. [OPSEC] Safeguard: Prtective measures prescribed t meet the security requirements (i.e., cnfidentiality, integrity, and availability) specified fr an infrmatin system. Safeguards may include security features, management cnstraints, persnnel security, and security f physical structures, areas, and devices. [800-53:2004] Safeguard: a practice, prcedure r mechanism that treats risk. [ :2004] Cuntermeasure: Actin, device, prcedure, technique, r ther measure that reduces the vulnerability f an infrmatin system. [CNSS:2003] Security safeguard: Prtective measures and cntrls prescribed t meet the security requirements specified fr an infrmatin system. Safeguards may include security features, management cnstraints, persnnel security, and security f physical structures, areas, and devices. [CNSS:2003] Cuntermeasure: Any actin, device, prcedure, technique, r ther measure that mitigates risk by reducing the vulnerability f, threat t, r impact n a system. [TDIR:2003] (di sicurezza) Un aspett, differente da altri pssibili aspetti, rispett a cui si può misurare il valre di un asset per il dann che causerebbe la sua perdita di valre. Garanzia che gli utenti autrizzati abbian access alle infrmazini e agli asset assciati quand l richiedn. [17799:2002] Caratteristica che previene la negazine nn autrizzata di access ad asset dell ambit. [Magerit:1997] Availability: The assurance that data transmissins, cmputer prcessing systems, and/r cmmunicatins are nt denied t thse wh are authrized t use them (JCS 1997) [OPSEC] Availability: Ensuring timely and reliable access t and use f infrmatin. [800-53:2004] Availability: The extent t which, r frequency with which, an asset must be present r ready fr use. [Octave:2003] Availability: Timely, reliable access t data and infrmatin services fr authrized users. [CNSS:2003] [TDIR:2003] [CIAO:2000] Availability: The prperty f being accessible and usable upn demand by an authrized entity. [7498-2:1989] Dcument frmale in cui, per un insieme di cntrmisure, si indica se sn da applicare nel sistema infrmativ in esame se, al cntrari, nn ne ha

94 ragine. Frequenza Tass di ccrrenza di una minaccia. Gestine dei rischi Selezine e realizzazine di cntrmisure per cnscere, prevenire, impedire, ridurre cntrllare i rischi identificati. Selezine e realizzazine delle misure "cntrmisure" di sicurezza adeguate per cnscere, prevenire, impedire, ridurre cntrllare i rischi identificati e csì ridurre al minim la lr ptenzialità i lr pssibili danni. La gestine dei rischi si basa sui risultati ttenuti nell'analisi dei rischi. [Magerit:1997] Risk treatment: prcess f selectin and implementatin f measures t mdify risk. [17799:2005][ :2004][Guide 73:2002] Risk management: A security philsphy which cnsiders actual threats, inherent vulnerabilities, and the availability and csts f cuntermeasures as the underlying basis fr making security decisins (JSCR 1994). [OP-SEC] Risk management: Prcess f identifying and applying cuntermeasures cmmensurate with the value f the assets prtected based n a risk assessment. [CNSS:2003] The identificatin, assessment, and mitigatin f prbabilistic security events (risks) in infrmatin systems t a level cmmensurate with the value f the assets prtected. [CIAO:2000] Impatt Cnseguenza che la cncretizzazine di una minaccia ha su di un asset. [Magerit:1997] Impact: The result f an infrmatin security incident. [ :2004] Impact: The effect f a threat n an rganizatin's missin and business bjectives. [Octave:2003] Impact: The effect n the rganizatin f a breach in security. [CRAMM:2003] Impatt residu Impatt rimanente nel sistema dp la realizzazine delle cntrmisure determinate nel pian di sicurezza delle infrmazini. Incidente Event cn cnseguenze dannse per la sicurezza del sistema infrmativ. Infrmatin security event: An identified ccurrence f a system, service r netwrk state indicating a pssible breach f infrmatin security plicy r failure f safeguards, r a previusly unknwn situatin that may be security relevant. [17799:2005] Infrmatin security incident: Any unexpected r unwanted event that might cause a cmprmise f business activities r infrmatin security. [ :2004] Incident: A successful r unsuccessful actin attempting t circumvent technical cntrls, rganizatinal plicy r law. This is ften called an attack. [TDIR:2003] Integrità Garanzia dell'esattezza e della cmpletezza delle infrmazini e dei metdi impiegati nel lr trattament. [17799:2002] Caratteristica che previene la mdifica la distruzine nn autrizzata di asset dell ambit [Magerit:1997]. Infrmatin integrity: The state that exists when infrmatin is unchanged frm its surce and has nt been accidentally r intentinally mdified, altered, r destryed (NSC EO 1995; JCS 1997). [OPSEC] Integrity: Guarding against imprper infrmatin mdificatin r destructin, and includes ensuring infrmatin nn-repudiatin and authenticity. [800-53:2004] Integrity: the prperty f safeguarding the accuracy and cmpleteness f

95 Mappa dei rischi Mdell dei valri Pian di sicurezza Prgramma di sicurezza Prgett di sicurezza Relazine delle deblezze Rischi assets. [ :2004] Integrity: the authenticity, accuracy, and cmpleteness f an asset. [Octave:2003] Data integrity: A cnditin existing when data is unchanged frm its surce and has nt been accidentally r maliciusly mdified, altered, r destryed. [CNSS:2003] [TDIR:2003] [CIAO:2000] Data integrity: The data quality that exists as lng as accidental r malicius destructin, alteratin, r lss f data des nt ccur. [CRAMM:2003] Integrity: Cnditin existing when an infrmatin system perates withut unauthrized mdificatin, alteratin, impairment, r destructin f any f its cmpnents. [CIAO:2000] Relazine: Relazine delle minacce a cui gli asset sn espsti. Threat Analysis: The examinatin f all actins and events that might adversely affect a system r peratin. [TDIR:2003] Threat Assessment: An evaluatin f the nature, likelihd, and cnsequence f acts r events that culd place sensitive infrmatin and assets as risk. [TDIR:2003] Relazine: Caratterizzazine del valre che gli asset rivestn per l'rganizzazine csì cme delle dipendenze tra i differenti asset. Insieme dei prgrammi di sicurezza che permettn di cncretizzare le decisini di gestine dei rischi. Insieme di cmpiti rientati ad affrntare il rischi del sistema. Il raggruppament si realizza per cnvenienza, sia perché si tratta di cmpiti che singlarmente sarebber pc efficaci, sia perché si tratta di cmpiti cn un biettiv cmune, sia perché si tratta di cmpiti che cncrrn ad un'unicità di azine. Prgramma di sicurezza la cui imprtanza è tale da richiedere una pianificazine specifica. Relazine: Assenze deblezze delle cntrmisure che appain cme pprtune per ridurre il rischi sul sistema. Stima del grad di espsizine alla cncretizzazine di una minaccia su un più asset causand danni prblemi all'rganizzazine. Pssibilità che si prduca un impatt determinat in un asset, in un ambit in tutta l'rganizzazine. [Magerit:1997] Prbabilità che una vulnerabilità prpria di un sistema infrmativ sia sfruttata dalle minacce a tale sistema, cn l'biettiv di penetrarl. [CESID:1997] Risk: cmbinatin f the prbability f an event and its cnsequence. [17799:2005][Guide 73:2002] Risk: A measure f the ptential degree t which prtected infrmatin is subject t lss thrugh adversary explitatin. [OPSEC] Risk: the ptential that a given threat will explit vulnerabilities f an asset r grup f assets and thereby cause harm t the rganizatin. [ :2004] Risk: Pssibility that a particular threat will adversely impact an infrmatin system by expliting a particular vulnerability. [CNSS:2003] Risk: A cmbinatin f the likelihd that a threat will ccur, the likelihd that a threat ccurrence will result in an adverse impact, and the severity f the resulting adverse impact. Reducing either the threat r the vulnerability reduces the risk. [TDIR:2003] Ttal risk: The ptential fr the ccurrence f an adverse event if n mitigating actin is taken (i.e., the ptential fr any applicable threat t explit a system vulnerability). [TDIR:2003]

96 Sicurezza Risk: A measure f the expsure t which a system r ptential system may be subjected. [CRAMM:2003] Rischi residu Rischi rimanente nel sistema dp la realizzazine delle cntrmisure determinate nel pian di sicurezza delle infrmazini. Rischi che si definisce dp l'applicazine delle cntrmisure dispste in un scenari di simulazine nel mnd reale. [Magerit:1997] Residual risk: The risk that remains after risk treatment. [ :2004] Residual risk: Prtin f risk remaining after security measures have been applied. [CNSS:2003] [CRAMM:2003] Residual Risk: The ptential fr the ccurrence f an adverse event after adjusting fr the impact f all in-place safeguards. [TDIR:2003] Rischi cumulativ Dat calclat prendend in cnsiderazine il valre prpri di un asset ed il valre degli asset che dipendn da ess. Quest valre si cmbina cn la cmprmissine causata da una minaccia e cn la frequenza stimata della stessa. Rischi rifless Dat calclat prendend in cnsiderazine sl il valre prpri di un asset. Quest valre è cmbinat cn la cmprmissine causata da una minaccia e dalla frequenza stimata della stessa, misurate ambedue sugli asset da cui dipende. Riservatezza Garanzia che le infrmazini sn accessibili sl dalle entità autrizzate ad avere access. [17799:2002] Caratteristica che previene la divulgazine nn autrizzata di asset dell ambit. [Magerit:1997] Cnfidentiality: An assurance that infrmatin is nt disclsed t unauthrized entities r prcesses (DOD JP 1994; JCS 1997) [OPSEC] Cnfidentiality: Preserving authrized restrictins n infrmatin access and disclsure, including means fr prtecting persnal privacy and prprietary infrmatin. [800-53:2004] Cnfidentiality: The requirement f keeping prprietary, sensitive, r persnal infrmatin private and inaccessible t anyne that is nt authrized t see it. [Octave:2003] Cnfidentiality: Assurance that infrmatin is nt disclsed t unauthrized persns, prcesses, r devices. [CNSS:2003] [TDIR:2003] Cnfidentiality: The prperty that infrmatin is nt made available r disclsed t unauthrized individuals, entities, r prcesses. [7498-2:1989] La capacità delle reti dei sistemi infrmativi di resistere, cn un determinat livell di fiducia, agli incidenti alle azini illecite malevle che cmprmettan la dispnibilità, autenticità, integrità e riservatezza dei dati immagazzinati trasmessi e dei servizi che detti reti e sistemi ffrn rendn accessibili. Infrmatin System Security: Prtectin f infrmatin systems against unauthrized access t r mdificatin f infrmatin, whether in strage, prcessing r transit, and against the denial f service t authrized users, including thse measures necessary t detect, dcument, and cunter such threats. [CNSS:2003] Sistema infrmativ Gli elabratri e le reti di cmunicazini elettrniche, csì cme i dati elettrnici immagazzinati, trattati, recuperati trasmessi dagli stessi nella lr peratività, us, prtezine e manutenzine. Insieme di elementi fisici, lgici, elementi di cmunicazine, dati e persnale che permettn l'immagazzinament, trasmissine e trattament delle infrmazini. [Magerit:1997] Qualsiasi sistema prdtt destinat ad immagazzinare, trattare

97 trasmettere infrmazini. [CESID:1997] Infrmatin System: Set f infrmatin resurces rganized fr the cllectin, strage, prcessing, maintenance, use, sharing, disseminatin, dispsitin, display, r transmissin f infrmatin. [CNSS:2003] Infrmatin System: Any prcedure r prcess, with r withut IT supprt, that prvides a way f acquiring, string, prcessing r disseminating infrmatin. Infrmatin systems include applicatins and their supprting infrastructure. [CRAMM:2003] Stat del rischi Relazine: Caratterizzazine degli asset per il lr rischi residu; ciè quell che può succedere cnsiderand le cntrmisure dispiegate. Tracciabilità Assicurazine del fatt che si ptrà sempre determinare chi ha fatt csa e in quale mment l ha fatt. Respnsabilità: Caratteristica che permette che tutte le azini realizzate su un sistema di tecnlgia infrmatica sian assciate in md inequivcabile ad un individu entità. [CESID:1997] Accuntability: The prperty that ensures that the actins f an entity may be traced uniquely t the entity. [ :2004] Accuntability: Prcess f tracing infrmatin system activities t a respnsible surce. [CNSS:2003] Valre Di un asset. È una stima del cst indtt dalla cncretizzazine di una minaccia. Caratteristica che pssiedn alcune realtà, cnsiderate beni, per la quale pssn essere valutate. [DRAE] Valre cumulativ Cnsidera tant il valre prpri di un asset quant il valre degli asset che dipendn da ess. Valrizzazine delle Relazine: Valrizzazine dell'efficacia delle cntrmisure esistenti in cntrmisure rapprt al rischi che mitigan. Vulnerabilità Stima dell'espsizine effettiva di un asset ad una minaccia. Si determina tramite due misurazini: frequenza di ccrrenza e cmprmissine causata. La vulnerabilità di un'asset è la ptenzialità pssibilità di ccrrenza della cncretizzazine di una minaccia su dett asset. [Magerit:1997] Deblezza nella sicurezza di un sistema infrmativ. [CESID:1997] Vulnerability: A weakness f an asset r grup f assets that can be explited by ne r mre threats. [17799:2005][ :2004] Vulnerability: The susceptibility f infrmatin t explitatin by an adversary. [OPSEC] Vulnerability: Weakness in an infrmatin system, system security prcedures, internal cntrls, r implementatin that culd be explited. [CNSS:2003] Vulnerability: A weakness r lack f cntrls that wuld allw r facilitate a threat actuatin against a specific asset r target. [CRAMM:2003] 1.2. Termini anglsassni Breve dizinari di inglese-italian di termini abituali nell analisi e gestine dei rischi: Accuntability Tracciabilità ALE Annual Lss Expectancy ARO Annual Rate f Occurrence

98 Authenticity Autenticità Availability Dispnibilità Asset Asset BIA Business Impact Analysis Business Impact Analysis Analisi d impatt Cnfidentiality Riservatezza Cuntermeasure Cntrmisura Frequency Frequenza Impact Impatt Integrity Integrità Residual risk Rischi residu Risk Rischi Risk analysis Analisi dei rischi Risk assessment Valutazine dei rischi Risk management Gestine dei rischi Risk map Mappa dei rischi Risk treatment Trattament dei rischi Safeguard Cntrmisura Security Sicurezza Statement f applicability Dichiarazine di applicabilità Traceability Tracciabilità Threat Minaccia Value Valre Vulnerability Vulnerabilità 1.3. ISO/IEC Guide 73:2002 La guida 73 della ISO [2002] rganizza i cncetti di gestine dei rischi nel seguente md: Risk management: crdinated activities t direct and cntrl an rganizatin with regard t risk. Risk assessment: verall prcess f risk analysis and risk evaluatin. Risk analysis: systematic use f infrmatin t identify surces and t estimate risk. Surce identificatin: prcess t find, list and characterize surces 2. Risk estimatin: prcess used t assign values t the prbability 3 and cnsequences f a risk. Risk evaluatin: prcess f cmparing the estimated risk against given risk criteria t determine the significance f the risk. 2 Surce: item r activity having a ptential fr a cnsequence. Cnsequence: utcme f an event. Event: ccurrence f a particular set f circumstances. 3 Prbability: extend t which an event is likely t ccur.

99 Risk treatment: prcess f selectin and implementatin f measures t mdify risk. La seguente tabella riassume il rapprt tra la terminlgia identificata nella Guida 73 e in Magerit: Guide 73:2002 Magerit v2 Risk management Analisi e gestine dei rischi P1 + P2 + P3 Risk assessment Risk analysis Analisi dei rischi P2 Surce identificatin Risk estimatin Risk evaluatin A3.1 Risk treatment Gestine dei rischi A3.2 + A Riferimenti [DRAE] Real Academia Españla. Diccinari de la Lengua Españla. 22.ª edición, [OPSEC] OPSEC Glssary f Terms, [17799:2005] ISO/IEC 17799:2005, Infrmatin technlgy -- Cde f practice fr infrmatin security management, (N.d.T. ra ISO/IEC 27002:2005) [ :2005] ISO/IEC TR 15443:2005, Infrmatin technlgy -- Security techniques -- A framewrk fr IT security assurance -- Part 1: Overview and framewrk, [800-53:2004] NIST, Recmmended Security Cntrls fr Federal Infrmatin Systems, Natinal Institute f Standards and Technlgy, special publicatin , [ :2004] ISO/IEC :2004, Infrmatin technlgy -- Security techniques -- Management f infrmatin and cmmunicatins technlgy security -- Part 1: Cncepts and mdels fr infrmatin and cmmunicatins technlgy security management, [CRAMM:2003] CCTA Risk Analysis and Management Methd (CRAMM), Versin 5.0, [Octave:2003] C. Alberts and A. Drfee, Managing infrmatin Security Risks. The OCTAVE Apprach, Addisn Wesley, [TDIR:2003] Texas Department f Infrmatin Resurces, Practices fr Prtecting Infrmatin Resurces Assets, Revised September 2003.

100 [CNSS:2003] Cmmittee n Natinal Security Systems, Instructin N. 4009, Natinal Infrmatin Assurance (IA) Glssary, May [Guide 73:2002] ISO/IEC Guide 73:2002, Risk management Vcabulary Guidelines fr use in Standards, [17799:2002] UNE ISO/IEC:2002, Tecnlgía de la Infrmación Códig de Buenas Prácticas para la Gestión de la Seguridad de la Infrmación, [CIAO:2000] Critical Infrastructure Assurance Office, Practices fr Securing Critical Infrmatin Assets, January [CC:1999] ISO/IEC 15408:1999, Infrmatin technlgy Security techniques Evaluatin criteria fr IT security, [NSTISS:1998] Natinal Security Telecmmunicatins and Infrmatin Systems Security Cmmittee, Index f Natinal Security Telecmmunicatins Infrmatin Systems Security Issuances, NSTISSI n. 4014, NSTISSC Secretariat, [CESID:1997] Centr Superir de Infrmación de la Defensa, Glsari de Términs de Criptlgía, Ministeri de Defensa, 3ª edición, [Magerit:1997] Ministeri de Administracines Públicas, Metdlgía de Análisis y Gestión de Riesgs de ls Sistemas de Infrmación, MAP, versión 1.0, [Ribagrda:1997] A. Ribagrda, Glsari de Términs de Seguridad de las T.I., Edicines CODA, [7498-2:1989] ISO :1989, Infrmatin prcessing systems -- Open Systems Intercnnectin -- Basic Reference Mdel -- Part 2: Security Architecture, 1989.

101 Appendice 2. Riferimenti Sebbene i capitli e le appendici includan riferimenti bibligrafici specifici all argment che trattan, in quest'appendice si riprtan i riferimenti a metdi e metdlgie che affrntan l'analisi e la gestine dei rischi cme attività integrale. I riferimenti sn rdinati tempralmente: dai più recenti ai più datati. Federal Office fr Infrmatin Security (BSI). IT Baseline Prtectin Manual, Octber Germany. The Vulnerability Assessment and Mitigatin Methdlgy, P.S. Antón et al., RAND Natinal Defense Research Institute, MR-1601-DARPA, Managing Infrmatin Security Risks: The OCTAVE Apprach, C.J. Alberts and A.J. Drfee, Addisn-Wesley Pub C; 1st editin (July 9, 2002) Infrmatin Security Risk Analysis, T.R. Peltier, Auerbach Pub; 1st editin (January 23, 2001) Risk Management: Multiservice Tactics, Techniques, and Prcedures fr Risk Management, Air Land Sea Applicatin Center, FM , MCRP C, NTTP , AFTTP(I) February Air Frce Pamphlet , Operatinal Risk Management (ORM) Guidelines and Tls, December KPMG Peat Marwick LLP, Vulnerability Assessment Framewrk 1.1, Octber Magerit, Metdlgía de Análisis y Gestión de Riesgs de ls Sistemas de Infrmación, MAP, versión 1.0, GMITS, ISO/IEC TR :1997, Infrmatin technlgy - Security techniques - Guidelines fr the management f IT security - Part 2: Managing and planning IT security. Infine si deve citare un strument che prta cn sé implicitamente una metdlgia. Essend un prdtt, la data si limita ad indicare quella dell'ultima versine sul mercat al mment della pubblicazine del presente libr. CRAMM, CCTA Risk Analysis and Management Methd (CRAMM), Versin 5.0, 2003.

102 Appendice 3. Ambit legale In quest appendice si raccglie la legislazine, nazinale ed internazinale, rilevante al cas dell'analisi e gestine dei rischi, sia per esigerla, sia per rispettarla, sia per essere di utilità in un prgett AGR. La relazine nn pretende di essere cmpletamente esauriente, essend ltretutt riferita ad un prcess legislativ in cstante divenire, per cui resta un bblig del respnsabile mantenersi infrmat sulle nvità. La dcumentazine aggirnata si può trvare nelle pagine web del SSISTAD e del CSAE: Infine, si sn inclusi alcuni riferimenti ad accrdi di carattere plitic di altr natura che è pprtun tenere in cnsiderazine. Ad esempi le guide dell'ocde (Guide dell'ocde per la sicurezza dei sistemi infrmativi e reti. Vers una cultura di sicurezza.) N.d.T. Nn si è ritenut pprtun includere in quest dcument i riferimenti alla legislazine spagnla in merit.

103 Appendice 4. Ambit di valutazine e certificazine La cmplessità dei sistemi infrmativi cmprta un grande sfrz per determinare la qualità delle misure di sicurezza di cui sn stati dtati e la fiducia che meritan. È frequente l'apparizine di terze parti che emettn giudizi indipendenti a prpsit di tali aspetti, giudizi che arrivan dp una valutazine rigrsa e che si cncretizzan in un dcument frmale. In quest capitl si ripassan brevemente due ambiti all intern dei quali è stat frmalizzat il prcess di valutazine e certificazine: nei sistemi di gestine per la sicurezza delle infrmazini; nei prdtti di sicurezza. Di gnun di questi ambiti si indica l pprtunità, il md di rganizzarsi per raggiungere la certificazine e l ambit amministrativ e nrmativ in cui si sviluppa l'attività Sistemi di gestine della sicurezza delle infrmazini (SGSI) I prblemi di sicurezza dei sistemi infrmativi hann un'rigine tecnica ma sn tant cmplessi che la sluzine nn può essere sltant su quel lat. La tecnlgia è trpp ricca di pprtunità e pertant deve essere mantenuta stt cntrll garantend che peri nella direzine degli biettivi dell'rganizzazine. Sicurezza significa essere previdenti (prima); è essere preparati per reagire alle emergenze, previste impreviste; ed è sapersi riprendere dp il disastr. Tutt quest nn è gratis: csta denar, temp e sfrz. Per quest mtiv bisgna razinalizzare, cn criteri ecnmic, una sluzine equilibrata tra quell che si evita che accada, quell che si mette in piedi per individuare gli errri, e quell che si mantiene prnt per quand accade quell che, tericamente, nn sarebbe dvut mai accadere. Tutt quest senza dimenticare la dimensine di temp, perché si devn razinalizzare spese ed investimenti sia per quell che sappiam ggi sia per quell che scprirem dmani. Cmpare quindi una cmpnente di gestine, tant necessaria quant le cmpnenti tecniche. Sistema di gestine per la sicurezza delle infrmazini È un sistema di gestine che cmprende le plitiche, la struttura rganizzativa, le prcedure, i prcessi e le risrse necessarie per instaurare la gestine della sicurezza delle infrmazini. Il sistema è l strument di cui la direzine delle rganizzazini dispne per prtare a cmpiment le plitiche e gli biettivi di sicurezza (integrità, riservatezza e dispnibilità, assegnazini di respnsabilità, autenticazine, etc.). Ess frnisce meccanismi per la salvaguardia degli asset infrmativi e dei sistemi che li trattan, in accrd cn le plitiche di sicurezza e cn i piani strategici dell'rganizzazine. [UNE 71502:2004] Questa è l'essenza del mdell PDCA (dall inglese Plan, D, Check, Act) che si usa anche nei mdelli di gestine della qualità.

104 La pianificazine (p di Plan) deve includere una plitica di sicurezza che definisca gli biettivi ed un analisi dei rischi che mdellizzi il valre del sistema, la sua espsizine alle minacce e quell di cui si dispne ( che si necessita) per mantenere il rischi stt cntrll. È naturale che cn queste basi si generi un pian di sicurezza pensat per la gestine dei rischi. L'azine (d di D) è l'esecuzine del pian, nei sui aspetti tecnici e rganizzativi, cinvlgend le persne che si sn fatte caric del sistema che sn legate ad ess. Un pian ha success quand cnduce ad ttenere un peratività girnaliera senza srprese. Il mnitraggi (c di Check) delle perazini del sistema parte dal fatt che nn si può cnfidare ciecamente nell'efficacia delle cntrmisure, ma che si deve valutare cntinuamente se queste rispndan alle attese cn l'efficacia desiderata. Si deve misurare sia quell che accade sia quell che accadrebbe se nn si fsser realizzate cntrmisure. A vlte si parla del "cst dell'insicurezza" cme giustificazine del fatt che la spesa di denar e la prfusine di impegn hann fndament. Si deve inltre prestare attenzine alle nvità che si vengn a creare, tant in merit alle mdifiche al sistema infrmativ, quant a nuve minacce. La reazine (a di Act) è saper derivare cnsiderazini dall'esperienza, prpria e di sistemi simili, ripetend e miglirand il cicl di PDCA. La valutazine di un sistema di gestine della sicurezza parte dalla suppsizine che l schema precedente struttura le mdalità di azine dell'rganizzazine in materia di sicurezza e giudica l'efficacia dei cntrlli instaurati per raggiungere gli biettivi prepsti La certificazine Certificare un sistema di gestine per la sicurezza cnsiste nel fatt che qualcun, adeguatamente cmpetente, affermi che un sistema sia san e impegni in ciò la su parla (per iscritt). Il tutt cmpletata dalle cautele di cnseguiment e di temp che si cnsiderin pprtune e sapend che quant si garantisce ggi l si deve rivedere a medi termine perché tutt evlve. Per ttenere un certificat si devn seguire una serie di frmalismi. Senza entrare in eccessivi dettagli ci si cncentrerà su csa viene valutat dal grupp che invia l'rganism di certificazine a giudicare l'rganizzazine. La prima csa che si deve fare è delimitare l ambit di quell che si va a valutare cme "sistema di gestine per la sicurezza delle infrmazini". Questa è una delimitazine prpria di gni rganizzazine, che riflette la sua missine e la sua struttura interna. È imprtante delimitare ciò cn chiarezza. Se il perimetr è sfumat nn rimarrà chiar che csa si deve fare nei passi seguenti; in particlare, nn si saprà bene a quali persne e dipartimenti dirigersi per raccgliere le infrmazini pertinenti; si nti che quest può nn essere evidente. Attualmente è rar trvare un'rganizzazine chiusa dal punt di vista dei sui sistemi infrmativi: l'utsurcing di servizi, l'amministrazine elettrnica ed il cmmerci elettrnic hann diluit le frntiere. D'altrnde, l'rganigramma intern raramente rispecchia le respnsabilità di sicurezza.

105 Successivamente, ciò che deve essere chiar, scritt e manutenut è la plitica di sicurezza aziendale. Spess la plitica di sicurezza include riferimenti alla legislazine che rispetta ed è asslutamente necessari delimitare l ambit legislativ e reglamentare a cui attenersi. Tutt deve essere scritt, e scritt bene: in md cmprensibile, cerente, pprtunamente divulgat e nt agli interessati, ltre che mantenut aggirnat. Un prcess di certificazine ha sempre una frte cmpnente di revisine della dcumentazine. Prima che giunga il grupp di valutazine, si deve avere una ftgrafia dell stat di rischi dell'rganizzazine. Ciè, si deve fare un analisi dei rischi identificand asset, valrizzandli, identificandli e valrizzand le minacce significative. In quest prcess si determina quali cntrmisure e di che qualità le richiede il sistema. Ogni cas è un mnd a parte: né tutti hann l stess asset, né hann l stess valre, né sn ugualmente intercnnessi, né tutti sn sggetti alle medesime minacce, né tutti adttan la stessa strategia per prteggersi. E il cas di avere una strategia, definita dalla plitica e il dettagli della mappa di rischi. L'analisi dei rischi è un strument (irrinunciabile) di gestine. Facend smettend di fare un analisi dei rischi nn si è né più né men sicuri: semplicemente, si sa men a che punt si è. I risultati dell'analisi dei rischi permettn di elabrare un dcument di selezine di cntrlli, csì cme una giustificazine della qualità che questi devn avere. Tutt ciò dvrà essere verificat dal grupp di valutazine che, restand sddisfatt, avallerà il cnferiment del certificat. Il grupp di valutazine ispezina il sistema infrmativ che si desidera certificare cnfrntandl cn una riferiment ricnsciut che gli permette di ggettivare la valrizzazine cn il fine di evitare qualsiasi tip di arbitrarietà sggettività e di permettere l'utilizzazine universale delle attestazini emesse. Si utilizza per quest un "schema di certificazine" (per esempi, in Spagna, si dispne della nrma UNE 71502). La nrma UNE 71502:2004 ha cme ggett la specifica dei "requisiti per stabilire, instaurare, dcumentare e valutare un sistema di gestine della sicurezza delle infrmazini in cnfrmità cn la nrma UNE ISO/IEC 17799:2002 all intern del cntest dei rischi identificati per le rganizzazini. Specifica i requisiti dei cntrlli di sicurezza rispett ai requisiti delle rganizzazini indipendentemente dal su tip, dimensine area di attività." La nrma UNE 71502:2004 parte da una relazine di cntrlli basati sulla nrma UNE-ISO/IEC 17799:2002, relazine che si deve adattare all'rganizzazine sggetta a valutazine, tralasciand gli elementi che nn sn pertinenti. Se si cnsidera necessari si pssn selezinare cntrlli addizinali, furi dall'une-iso/iec 17799, per gni rganizzazine, adeguati al su mdell particlare di business, csì cme gli biettivi che si pretende di raggiungere cn gli stessi, giustificand in quest md la selezine. La relazine di base è la seguente: Plitica di sicurezza Revisine e valrizzazine peridica della plitica di sicurezza Cntrll e gestine della dcumentazine Aspetti rganizzativi per la sicurezza Assegnazine delle respnsabilità per la sicurezza delle infrmazini Identificazine dei rischi derivanti dall'access di terzi Cntrattualizzazine dei servizi Cntrattualizzazine dell utsurcing Cntrattualizzazine cn imprese cllabratrici

106 Classificazine e cntrll degli asset Inventari degli asset Classificazine degli asset Classificazine delle infrmazini Revisine e classificazine peridica degli asset Revisine peridica dell'analisi dei rischi Etichettatura e trattament delle infrmazini Sicurezza legata al persnale Cntrattualizzazine cn il persnale Frmazine Cmunicazine degli incidenti Sicurezza fisica e dell ambit Installazine e prtezine delle apparecchiature Manutenzine delle apparecchiature Gestine delle cmunicazini e dell peratività Prcessi perativi Cntrll dei cambiamenti Gestine degli incidenti Misure e cntrlli cntr il sftware danns Ripristin delle infrmazini Gestine dei supprti rimvibili Eliminazine dei supprti Sicurezza della psta elettrnica Dispnibilità dei sistemi pubblici Cntrll di ingress, immagazzinament ed uscita di infrmazini Analisi e gestine dei lg Pianificazine della capacità del sistema Scambi fisic di infrmazini Scambi lgic di infrmazini Autrizzazine di uscita di materiale e/ infrmazini Cpie di backup e ripristin Cntrll degli accessi Identificazine ed autenticazine degli utenti Restrizine dell access alle infrmazini Cntrll degli accessi alla rete Cntrll degli accessi ai sistemi perativi

107 Cntrll degli accessi lgici alle infrmazini Gestine delle passwrd Gestine remta delle apparecchiature Svilupp e manutenzine dei sistemi Cntrll del passaggi dall svilupp al test Cntrll del passaggi dal test alla prduzine Cntrll dei cambiamenti ai sistemi perativi Cntrll dei cambiamenti nel sftware Selezine, cntrll ed apprvazine di sftware estern Cntrll della prgettazine delle applicazini Specifica dei requisiti di sicurezza Cntrll del sftware perativ Gestine della cntinuità perativa Gestine della cntinuità perativa Manutenzine e valutazine dei piani di cntinuità perativa Cnfrmità Identificazine della legislazine applicabile Revisine del rispett della legislazine Audit interni L'accreditament dell ente certificatre La credibilità del certificat è legata alla fiducia di cui gde il certificatre. Cme si cstruisce questa fiducia? Un cmpnente essenziale è la credibilità dell schema di certificazine. Un secnd cmpnente è la credibilità dell'rganizzazine che emette i certificati. Questa rganizzazine è respnsabile della cmpetenza del grupp di valutazine e dell'esecuzine del prcess di valutazine stess. Per certificare che queste respnsabilità sian asslte si prcede al "prcess di accreditament" dve una terza rganizzazine valuta il valutatre stess. In Spagna, l'rganizzazine incaricata dell accreditament di rganismi di valutazine è ENAC, che si attiene alle nrme internazinali di mutu ricnsciment dei certificati emessi da differenti enti in differenti paesi. N.d.T. In Italia tale rul è asslt dal SINCERT Terminlgia Si racclgn di seguit i termini impiegati nelle attività di certificazine dei sistemi infrmativi, csi e cme si intendn in quest cntest. Accreditament Prcedura mediante la quale un rganism autrizzat ricnsca frmalmente che un'rganizzazine è cmpetente per la realizzazine di una determinata attività di valutazine della cnfrmità. Audit Vedere "valutazine".

108 Certificazine L'biettiv della certificazine è di "dichiarare pubblicamente che un prdtt, prcess servizi è cnfrme ai requisiti stabiliti". Certificatin: A cmprehensive assessment f the management, peratinal, and technical security cntrls in an infrmatin system, made in supprt f security accreditatin, t determine the extent t which the cntrls are implemented crrectly, perating as intended, and prducing the desired utcme with respect t meeting the security requirements fr the system. [NIST SP ] Dcument di certificazine ( certificat) Dcument che afferma che il sistema di gestine per la sicurezza delle infrmazini (SGSI) di un'rganizzazine è cnfrme alla nrma di riferiment adattata alla singlarità dell'rganizzazine certificata. Dcument di selezine dei cntrlli Dcument che descrive gli biettivi di cntrll e i cntrlli rilevanti ed applicabili al sistema di gestine della sicurezza delle infrmazini dell'rganizzazine. Quest dcument deve essere basat sui risultati e sulle cnclusini del prcess di analisi e gestine dei rischi. Schema di certificazine Ambit tecnic ed amministrativ che stabilisce il riferiment a frnte del quale si verifica il grad di adempiment dell'rganizzazine sggetta a valutazine, si emette il certificat e l si mantiene aggirnat e valid. Valutazine Insieme di attività che permette di determinare se l'rganizzazine sddisfa i criteri applicabili all intern dell schema di certificazine. Include attività preparatrie, di revisine della dcumentazine, di ispezine del sistema infrmativ e la preparazine della dcumentazine pertinente per l'emissine del certificat di cnfrmità, se pprtun. Organism di certificazine Entità che, a frnte della relazine di valutazine, certifica per l'rganizzazine il raggiungiment dei requisiti stabiliti nell schema di certificazine. Organismi di valutazine della cnfrmità Sn incaricati di valutare e realizzare una dichiarazine biettiva riguard al fatt che i servizi e i prdtti sddisfin alcuni requisiti specifici, che sian del settre reglamentare vlntari. Plitica di sicurezza Insieme di nrme reglatrici, regle e prassi che determinan il md in cui gli asset, incluse le infrmazini identificate cme sensibili, siam gestiti, prtetti e distribuiti all intern di un'rganizzazine Riferimenti ISO/IEC 17799:2005, Infrmatin technlgy - Cde f practice fr infrmatin security management, UNE 71502:2004, Especificacines para ls Sistemas de Gestión de la Seguridad de la Infrmación (SGSI), UNE-ISO/IEC 17799:2002, Tecnlgía de la Infrmación. Códig de Buenas Prácticas de la Gestión de la Seguridad de la Infrmación, 2002.

109 ISO Guide 72:2001, Guidelines fr the justificatin and develpment f management system standards, Eurpean C-Operatin fr Accreditatin, Guidelines fr the Accreditatin f Bdies Operating Certificatin / Registratin f Infrmatin Security Management Systems, EA-7/03, February Cmmn Criteria (CC) Il bisgn di valutare la sicurezza di un sistema infrmativ appare mlt preccemente da parte dei prcessi di acquist di apparecchiature del dipartiment della difesa degli Stati Uniti che, nel 1983, pubblica il "libr arancine" (TCSEC-Trusted Cmputer System Evaluatin Criteria). L'biettiv è specificare senza ambiguità ciò di cui si ha bisgn da parte di chi richiede (e cmpara) e che si ffre da parte del venditre, in md che nn ci sian fraintendimenti ma un schema trasparente di valutazine, garantend quindi l'ggettività degli acquisti. L stess bisgn prta all'apparizine di iniziative eurpee cme ITSEC (Infrmatin Technlgy Security Evaluatin Criteria). A metà degli anni 90, esiste nel mnd una prliferazine di criteri di valutazine che rende mlt difficile il cmmerci internazinale, arrivand ad un accrd di cnvergenza che riceve il nme di "Cmmn Criteria fr Infrmatin Technlgy Security Evaluatin", nrmalmente nti cme "Cmmn Criteria", in breve, CC. I CC, ltre al bisgn di un intendiment universale, catturan la natura mutevle delle tecnlgie delle infrmazini che, nel perid dal 1980, sn passate da essere cncentrate sulle apparecchiature per l elabrazine, ad includere sistemi infrmativi mlt più cmplessi. I CC permettn: 1. di definire le funzini di sicurezza dei prdtti e dei sistemi (in tecnlgie delle infrmazini) e 2. di determinare i criteri per valutare la qualità di suddette funzini. È essenziale la pssibilità che i CC aprn affinché la valutazine sia biettiva e pssa essere realizzata da una terza parte (né dal frnitre, né dall'utente) in md che la scelta di cntrmisure adeguate si veda particlarmente semplificata per le rganizzazini che hann bisgn di mitigare i lr rischi. L'amministrazine spagnla, e mlte altre, ricnscn le certificazini di sicurezza emesse in altri paesi in base all "accrd sul ricnsciment dei certificati di CC nel camp della tecnlgia delle infrmazini". La valutazine di un sistema è la base per la sua certificazine. Per certificare bisgna disprre di: 1. alcuni criteri, che definiscn il significat degli elementi che si vann a valutare; 2. una metdlgia, che indichi cme prtare a termine la valutazine; 3. un schema di certificazine che fissi l ambit amministrativ e reglamentare stt il quale si realizza la certificazine.

110 In quest md si può garantire l'ggettività del prcess; cstruire ciè la fiducia sul fatt che i risultati di un prcess di certificazine sn validi universalmente, indipendentemente da dve è realizzata la certificazine. Dat che la qualità della sicurezza richiesta a un sistema nn è sempre la stessa, ma che dipende da per che csa la si vule impiegare, i CC stabiliscn una scala di livelli di assicurazine: EAL0: senza garanzie. EAL1: prvat funzinalmente. EAL2: prvat strutturalmente. EAL3: prvat e verificat metdicamente. EAL4: prgettat, prvat e rivedut metdicamente. EAL5: prgettat e prvat semi-frmalmente. EAL6: prgettat, prvat e verificat semi-frmalmente. EAL7: prgettat, prvat e verificat frmalmente. I livelli superiri richiedn un maggir sfrz di svilupp e di valutazine, ffrend in ritrn alcune grandi garanzie agli utenti. Per esempi, nell'ambit della firma elettrnica, i dispsitivi sicuri di firma slgn essere certificati cn un prfil di livell EAL Beneficiari I CC si dirign ad un'amplia pletra di ptenziali beneficiari della frmalizzazine dei cncetti e degli elementi di valutazine: i cnsumatri (utenti dei prdtti di sicurezza), gli sviluppatri e i valutatri. Un linguaggi cmune tra tutti lr si traduce in vantaggi apprezzabili: Per i cnsumatri che pssn esprimere i lr requisiti, prima di acquistare i servizi prdtti che li sddisfin; quest passaggi può risultare utile tant per acquisti individuali, quant nell'identificazine di requisiti per gruppi di utenti; che pssn analizzare le caratteristiche dei servizi dei prdtti che ffre il mercat; che pssn paragnare differenti fferte;

111 Per gli sviluppatri che sann quell che verrà richiest e cme si valuterann i lr prdtti; che sann, biettivamente, quell che richiedn gli utenti; che pssn esprimere senza ambiguità quell che fann i lr prdtti. Per i valutatri che dispngn di un cntest frmalizzat per sapere che csa devn valutare e cme devn qualificarl. Per tutti che dispngn di determinati criteri biettivi che permettn di accettare le certificazini realizzate in qualsiasi lug. Tutti questi partecipanti cnfluiscn su un ggett da valutare denminat TOE (Target Of Evaluatin), che altr nn è se nn il servizi il prdtt (di sicurezza) le cui caratteristiche (di sicurezza) si vglin valutare. Quand un analisi dei rischi espne la relazine di cntrmisure adeguate, queste pssn venire espresse usand la terminlgia dei CC, il che permette di sfruttare i vantaggi citati, trasfrmandsi in una specifica frmale nrmalizzata Requisiti di sicurezza Dat un sistema si pssn determinare, attravers un analisi dei rischi, quali cntrmisure sn richieste e cn che qualità. Quest analisi può essere effettuata su un sistema generic su un sistema specific. Nei CC, l'insieme dei requisiti che si richiedn ad un sistema generic si denmina prfil di prtezine (PP - Prtectin Prfile). Se nn si sta parland di un sistema generic, ma di un sistema specific, l'insieme di requisiti si definisce cme dichiarazine di sicurezza (ST - Security Target). I PP, dat il lr carattere generic, cprn differenti prdtti cncreti. Slgn essere preparati per gruppi di utenti rganismi internazinali che vglin dar frma al mercat. I ST, dat il lr carattere specific, cprn un sl prdtt cncret. Slgn essere preparati dai prpri prduttri che in questa maniera dann frma legale alla lr fferta. I CC determinan i punti su cui deve articlarsi un PP un ST. L'indice di questi dcumenti è un bun indicatre del su scp: PP - prfil di prtezine Intrductin TOE descriptin Security envirnment assumptins threats rganizatinal security plicies Security bjectives fr the TOE fr the envirnment Security requirements fr the envirnment TOE functinal requirements ST - dichiarazine di sicurezza Intrductin TOE descriptin Security envirnment assumptins threats rganizatinal security plicies Security bjectives fr the TOE fr the envirnment Security requirements fr the envirnment TOE functinal requirements

112 TOE assurance requirements Applicatin ntes Ratinale TOE assurance requirements TOE summary specificatin PP claims PP reference PP tailring PP additins Ratinale I PP e i ST pssn essere a lr vlta sttpsti ad una valutazine frmale che verifichi la lr cmpletezza ed integrità. I PP csì valutati pssn passare a registri pubblici per essere cndivisi da differenti utenti. Nell'elabrazine di un ST si fa riferiment ai PP su cui quest si basa Creazine di prfili di prtezine La generazine di un PP ST è fndamentalmente un prcess di analisi dei rischi dve l'analista ha determinat l ambit dell'analisi (il TOE nella terminlgia dei CC), identifica minacce e determina, attravers gli indicatri di impatt e rischi, le cntrmisure necessarie. Nella terminlgia dei CC, le cntrmisure richieste sn denminate requisiti di sicurezza e sn suddivise in due grandi gruppi: requisiti funzinali di sicurezza (functinal requirements) che csa si deve fare? definiscn il cmprtament funzinale del TOE requisiti di garanzia della funzine di sicurezza (assurance requirements) il TOE è ben cstruit? è efficace? sddisfa l'biettiv per ciò che si richiede? è efficiente? raggiunge i sui biettivi cn un impieg raginevle di risrse? È imprtante sttlineare che i CC stabiliscn un linguaggi cmune per esprimere gli biettivi funzinali e di assicurazine. E quindi necessari che l'analisi dei rischi utilizzi questa terminlgia nella selezine delle cntrmisure. La nrma dei CC frnisce nella sua parte 2 il catalg standardizzat di biettivi funzinali, mentre nella sua parte 3 frnisce il catalg standardizzat di biettivi di assicurazine. Parte 2: Requisiti funzinali FAU: Security audit FCO: Cmmunicatin FCS: Cryptgraphic supprt FDP: User data prtectin FIA: Identificatin and authenticatin FMT: Security management FPR: Privacy FPT: Prtectin f the TOE security functins FRU: Resurce utilisatin FTA: TOE access FTP: Trusted path / channels Parte 3: Requisiti di garanzia ACM: Cnfiguratin management ADO: Delivery and peratin ADV: Develpment AGD: Guidance dcuments ALC: Life cycle supprt ATE: Tests AVA: Vulnerability assessment APE: PP evaluatin ASE: ST evaluatin

113 Us di prdtti certificati Quand un TOE è stat certificat in accrd ad un PP ad un ST, a secnda di quant è pprtun in gni cas, si può avere la certezza che dett TOE sddisfi i requisiti ed inltre li sddisfi cn la qualità richiesta (ad esempi, EAL4). La certificazine di un sistema di un prdtt nn è una garanzia cieca di idneità: bisgna accertarsi del fatt che il PP il ST rispett a cui è certificat sddisfi i requisiti del sistema. L'analisi dei rischi permette di elabrare il PP il ST, talvlta, di selezinare un insieme apprpriat ad una mappa dei rischi. Ma l essenziale è che dall analisi dei rischi si sian ttenuti alcuni requisiti di sicurezza la cui sddisfazine permetterà di mantenere impatt e rischi residu stt cntrll. Nella misura in cui un prdtt certificat si attiene ad un PP ST che sddisfa i requisiti, la gestine dei rischi si riduce ad acquistare il prdtt, installarl ed impiegarl nelle cndizini adeguate. È imprtante sttlineare che tant il PP quant il ST includn una sezine csiddetta di "iptesi" (assumptins) in cui si stabiliscn una serie di prerequisiti che l'ambiente perativ in cui si installa il TOE deve sddisfare. Il miglire prdtt, inadeguatamente installat impiegat, è incapace di garantire la sddisfazine degli biettivi glbali di sicurezza. Per quest i prdtti certificati sn cmpnenti mlt slidi di un sistema; ma si deve inltre garantire lr un adeguat ambiente per assicurare il sistema nella sua cmpletezza Terminlgia Vist che il lr biettiv è quell di servire da riferiment internazinale e sstenere valutazini e certificazini, i CC devn essere mlt precisi nella terminlgia. Nel test precedente si sn intrdtti i termini a secnda della necessità; questi termini si racclgn frmalmente nel seguit: Assurance (garanzia) Base della fiducia in cui un'entità raggiunge i sui biettivi di sicurezza. Evaluatin (valutazine) Valutazine di un PP, ST TOE a frnte di criteri definiti. Evaluatin Assurance Level (EAL) (livell di garanzia di valutazine) Pacchett che cnsiste in cmpnenti di garanzia della parte 3 e che rappresenta un livell nella scala di garanzia predefinita di CC. Evaluatin authrity (autrità di valutazine) Organism che implementa i CC per un area specifica mediante un schema di valutazine attravers il quale si stabiliscn le nrme e si sprintende alla qualità delle valutazini realizzate da rganismi di tale area. Evaluatin scheme (schema di valutazine) Ambit amministrativ e reglamentare attravers il quale un'autrità di valutazine applica i CC in un area specifica. Frmale Espress in un linguaggi dalla sintassi ristretta cn una semantica definita basata su cncetti matematici bene stabiliti. Infrmale Espress in linguaggi naturale.

114 Organisatinal security plicies (plitiche di sicurezza rganizzativa) Una più regle di sicurezza, prcedure, prassi nrme di impste da un'rganizzazine sulle sue perazini. Prduct (prdtt) Pacchett sftware, firmware e/ hardware IT che frnisce una funzinalità, prgettat per il su impieg per la sua incrprazine in una grande varietà di sistemi. Prtectin Prfile (PP) (prfil di prtezine) Insieme di requisiti di sicurezza, indipendente dell'implementazine, per una categria di TOEs che sddisfan alcuni requisiti specifici del cnsumatre. Security bjective (biettiv di sicurezza) Dichiarazine dell'intenzine di cntrastare le minacce identificate e/ di rispettare le plitiche e iptesi di sicurezza identificate dall'rganizzazine. Security Target (ST) (dichiarazine di sicurezza) Insieme di requisiti di sicurezza e specifiche utilizzati cme base della valrizzazine di un TOE identificat. Semifrmal Espress in un linguaggi dalla sintassi ristretta cn una semantica definita. System (sistema) Installazine specifica IT cn un prpsit ed in un ambiente particlare. Target f Evaluatin (TOE) (ggett da valutare) Prdtt sistema IT, unit ai sui manuali dell amministratre e dell utente, che si sttpne a valutazine. TOE Security Functins (TSF) (funzini di sicurezza del TOE) Insieme cmpst da tutt l hardware, il firmware e il sftware del TOE sul quale si deve fare riferiment per la crretta applicazine del TSP. TOE Security Plicy (TSP) (plitica di sicurezza del TOE) Insieme di regle che reglan cme si gestiscn, prteggn e distribuiscn gli asset nel TOE Riferimenti Arregl sbre el Recncimient de ls Certificads de Criteris Cmunes en el camp de la Seguridad de las Tecnlgías de la Infrmación, May, CC, Cmmn Criteria fr Infrmatin Technlgy Security Evaluatin, Versin 2.3, Part 1: Intrductin and general mdel Part 2: Security functinal requirements Part 3: Security assurance requirements Anche pubblicati cme nrma ISO/IEC 15408:2005, parti 1, 2 e 3. ITSEC, Eurpean Cmmissin, Infrmatin Technlgy Security Evaluatin Criteria, versin 1.2, TCSEC, Department f Defence, Trusted Cmputer System Evaluatin Criteria, DOD STD, Dec

115 Appendice 5. Strumenti La realizzazine di un prgett di AGR cmprta il dver lavrare cn una quantità di asset che raramente è nell rdine delle decine e più nrmalmente è in quell delle centinaia. Il numer di minacce tipicamente si cllca nell'rdine delle decine, mentre il numer di cntrmisure sta nelle migliaia. Tutt ciò ci indica che si deve trattare una mltitudine di dati e di cmbinazini tra lr, il che prta lgicamente a cercare appggi in strumenti autmatici. Cme requisiti generali, un strument di appggi ai prgetti di AGR deve: permettere di lavrare cn un insieme ampi di asset, minacce e cntrmisure; permettere un trattament flessibile dell'insieme di asset per raggiungere un mdell vicin alla realtà dell'rganizzazine; essere utilizzat durante i tre prcessi che cstituiscn il prgett, specialmente cme supprt al prcess P2, analisi dei rischi e nn nascndere all'analista il raginament che prta alle cnclusini. Gli strumenti pssn effettuare un trattament qualitativ quantitativ delle infrmazini. La scelta tra l una e l altra impstazine è mtiv di lunghi dibattiti. I mdelli qualitativi ffrn risultati utili prima dei mdelli quantitativi, semplicemente perché la racclta di dati qualitativi è più facile che quella di dati quantitativi. I mdelli qualitativi sn efficaci relativizzand ciò che è più imprtante rispett a quell che nn è mlt imprtante; ma raggruppan le cnclusini in grandi insiemi. I mdelli quantitativi, al cntrari, cnsentn un'ubicazine precisa di gni aspett. Impatti e rischi residui pssn essere qualitativi finché nn si devn effettuare grandi investimenti e si deve determinare la lr razinalità su base ecnmica: cs è ciò che interessa di più? A quest punt si ha bisgn dei numeri. Un'pzine mista fa cmd: un mdell qualitativ per il sistema infrmativ cmplet, cn capacità di entrare in un mdell quantitativ per quelle cmpnenti la cui prtezine va a richiedere frti investimenti. E cert che il mdell dei valri di un'rganizzazine deve ptersi impiegare per un temp relativamente lung, almen per gli anni che dura il pian di sicurezza, per analizzare l'effett dell'esecuzine dei prgrammi. È decisamente più difficlts generare un mdell dei valri da zer che va adattand un mdell esistente all'evluzine degli asset del sistema e all'evluzine dei servizi che frnisce l'rganizzazine. In questa evluzine cntinua si può affrntare la prgressiva migrazine di un mdell qualitativ iniziale vers un mdell gni vlta più quantitativ. E da sttlineare che i dati di caratterizzazine delle pssibili minacce sarann dei tentativi di apprssimazine nei primi mdelli; ma l'esperienza permetterà di andare avvicinand le valutazini alla realtà. Che sian strumenti qualitativi quantitativi, devn: Trattare un catalg raginevlmente cmplet di tipi di asset. Su questa linea si rienta il capitl 2 del "catalg degli elementi". Trattare un catalg raginevlmente cmplet di dimensini di valrizzazine. Su questa linea si rienta il capitl 3 del "catalg degli elementi". Aiutare a valrizzare gli asset ffrend dei criteri di valrizzazine. Su questa linea si rienta il capitl 4 del "catalg degli elementi". Trattare un catalg raginevlmente cmplet di minacce. Su questa linea si

116 incammina il capitl 5 del "catalg degli elementi". Trattare un catalg raginevlmente cmplet di cntrmisure. Su questa linea si rienta il capitl 6 del "catalg degli elementi". Valutare l'impatt ed il rischi residui. È interessante che gli strumenti pssan imprtare ed esprtare i dati che trattan in frmati facilmente prcessabili da altri strumenti, per esempi: 5.1. PILAR XML - Extended Markup Language che è l'pzine cnsiderata in questa guida, la quale stabilisce frmati XML di scambi. CSV - Cmma Separated Values PILAR, acrnim di "Prcedura Infrmatic Lgica per l'analisi dei Rischi" è un strument sviluppat dietr specifica del centr nazinale di intelligence per supprtare l'analisi dei rischi di sistemi infrmativi seguend la metdlgia Magerit. L strument supprta tutte le fasi della metdlgia Magerit: Caratterizzazine degli asset: identificazine, classificazine, dipendenze e valrizzazine. Caratterizzazine delle minacce. Valrizzazine delle cntrmisure. L strument incrpra i catalghi del "catalg degli elementi" permettend un'mgeneità nei risultati dell'analisi: tipi di asset; dimensini di valrizzazine; criteri di valrizzazine; catalg delle minacce. Per incrprare quest catalg, PILAR differenzia tra il mtre di calcl dei rischi e la bibliteca degli elementi, che può essere sstituita per mantenere il pass cn l'evluzine nel temp dei catalghi di elementi. L strument valuta l'impatt ed il rischi, cumulativ e rifless, ptenziale e residu, presentandli in md da permettere l'analisi del perché si assegna un cert impatt un cert rischi. Le cntrmisure sn valrizzate per fasi, permettend l'incrprazine in un stess mdell di differenti situazini temprali. Tipicamente si può includere il risultat dei differenti prgrammi di sicurezza durante l'esecuzine del pian di sicurezza, mnitrand il miglirament del sistema. I risultati sn presentati in vari frmati: relazini RTF, grafici e tabelle facilmente esprtabili e fgli di calcl. In quest md è pssibile elabrare differenti tipi di relazini e presentazini dei risultati. Infine, l strument calcla le qualificazini di sicurezza seguend i punti di nrme de iure de fact di us cmune. Tra queste: Criteri di sicurezza, nrmalizzazine e cnservazine. UNE-ISO/IEC 17799:2002: sistemi di gestine della sicurezza. RD 994/1999: dati di carattere persnale.

117 Infine si deve sttlineare che PILAR include tant i mdelli qualitativi quant quelli quantitativi, ptend alternare l un cn l altr per ttenere il massim benefici dalle pssibilità teriche di gnun di essi Riferimenti CARVER Criticality, Accessibility, Recuperability, Vulnerability, Effect, and Recgnizability, Natinal Infrastructure Institute s Center fr Infrastructure Expertise, USA. COBRA Security Risk Analysis & Assessment, and ISO / BS7799 Cmpliance, C&A Systems Security Ltd, UK. CRAMM CCTA Risk Analysis and Management Methd. Insight Cnsulting. UK. The CRAMM Risk Analysis and Management Methd is wned, administered and maintained by the Security Service n behalf f the UK Gvernment. EBIOS Méthde pur l Expressin des Besins et l Identificatin des Objectifs de Sécurité. Service Central de la Sécurité des Systèmes d'infrmatin. France. RIS2K Supprt a Magerit v1.0. Minister della Pubblica Amministrazine. España. PILAR Prcedimient Infrmátic-Lógic para el Análisis de Riesgs. Centr Nazinale di Intelligence. Minister della Difesa. Spagna.

118 Appendice 6. Evluzine rispett a Magerit versine 1.0 La versine 1.0 di Magerit, pubblicata nel 1997, ha resistit nella sua maggir parte al passare del temp, mdificandsi nelle parti fndamentali. Ciò nnstante, il temp passat permette di miglirare particlarmente quella prima versine. Questa secnda versine nn parte cn vlntà di rttura, ma si impsta cn intenzini di miglirament, aggirnand la metdlgia al presente ed aggiungend l'esperienza di questi anni. Le seguenti sezini servirann cme guida nella versine 2 ai prfessinisti che hann già familiarità cn la versine 1. N.d.T. Nn si è ritenut pprtun includere in quest dcument la traduzine di questa appendice in quant la versine 2.0 è la prima ad essere tradtta in italian.

119 Appendice 7. Cas pratic A titl di esempi, quest'appendice analizza il cas di un'unità amministrativa che utilizza sistemi infrmativi prpri e di terzi per i sui cmpiti interni e per prestare servizi di attenzine ai cittadini (amministrazine elettrnica). L'esempi pretende sl di essere illustrativ, senza che il lettre debba derivarne cnseguenze cnclusini di natura vinclante. Anche davanti agli stessi impatti e rischi, le sluzini pssn essere differenti, senza pter essere estraplate ciecamente dall'una all'altra circstanza. In particlare si sttlinea il rul della direzine dell'rganizzazine cme ultim punt di decisine rispett a quale plitica adttare per mantenere impatti e rischi stt cntrll. Buna parte del test che segue presenta la situazine in parle "nrmali", csi cme può giungere nella realtà al grupp di lavr a seguit delle interviste. È la missine di quest grupp tradurre la cnscenza acquistata nei termini frmali definiti per questa metdlgia La stria L'unità ggett di studi nn è di nuva di creazine, ma è da anni che inltra incartamenti in md lcale, dapprima a man e adess per mezz di un sistema infrmatic prpri. A quest sistema infrmatic si è aggiunta recentemente una cnnessine ad un archivi centrale che funzina cme "memria strica": permette di recuperare dati e cnservare gli incartamenti chiusi. L'ultima nvità cnsiste nell'ffrire un servizi prpri di amministrazine elettrnica, all'intern del quale gli utenti pssn realizzare le lr transazini via web, usand il numer della lr CI per l'identificazine, più una passwrd persnale. L stess sistema di trasmissine è usat lcalmente da un funzinari che presta assistenza ai cittadini che si presentan nei lcali dell'unità. Il respnsabile del prgett di amministrazine elettrnica, allarmat dalle ntizie apparse sui mass media sull'insicurezza di Internet, e sapend che un errre nel servizi cmprterebbe un seri dann all'immagine della sua unità, assume il rul di prmtre. In quest rul scrive una relazine interna, diretta al direttre dell'unità, in cui si tiene cnt di: i mezzi infrmatici cn cui si sta lavrand e quelli che si andrann ad installare; gli incidenti accaduti da quand l'unità esiste; le incertezze che causa l'us di Internet per la prestazine del servizi. In base a detta relazine sstiene la necessità di lanciare un prgett di AGR. La direzine, cnvinta del bisgn di prendere cntrmisure prima che accada una disgrazia, crea un cmitat di attenzine frmat dal respnsabile dei servizi interessati: assistenza agli utenti, cnsulenza giuridica, servizi infrmatici e sicurezza fisica. Si determina che l ambit del prgett (attività A1.2) sarà il servizi di trasmissine elettrnica, lcale e remta. Si studierà anche la sicurezza delle infrmazini che si impiegan: gli incartamenti. Rispett alle attrezzature, si analizzerann apparecchiature e reti di cmunicazini. Si prende la decisine di lasciare furi dell studi gli elementi che ptrebber essere rilevanti in un'analisi più dettagliata cme i dati di identificazine ed autenticazine degli utenti dei sistemi, le aree di lavr del persnale che li impiega, la sala macchine (centr di elabrazine di dati) e le persne cllegate al prcess. E' previst lanciare un futur prgett di AGR più dettagliat che apprfndisca detti aspetti. Si escluderà esplicitamente la valrizzazine della sicurezza dei servizi sussidiari impiegati. L'analisi è lcale, circscritta all'unità che ci cmpete. Detti servizi remti si cnsideran, agli effetti di questa analisi, "pachi"; nn verrà analizzat cme sn prestati. Il lanci del prgett (attività A1.4) include una riunine della direzine cn il cmitat di attenzine in

120 cui si espngn i punti principali dell'analisi preliminare realizzata dal prmtre che rimane incaricat cme direttre del prgett di AGR, nel quale parteciperann due persne del su staff cngiuntamente ad un cnsulente estern. Un dei membri dell staff intern avrà un prfil tecnic: ingegnere di sistemi. Al cnsulente estern si richiede di identificare nminalmente le persne che parteciperann e di firmare un accrd di riservatezza. Il prgett si annuncia internamente mediante cmunicazine generale a tutt il persnale dell'unità e ntifica persnale alle persne che si vedrann direttamente cinvlte. In queste cmunicazini si identifican le persne respnsabili del prgett Prcess P2: Analisi dei rischi La fase di analisi dei rischi si mette in mt cn una serie di interviste ai respnsabili designati dal cmitat di attenzine, interviste in cui partecipan: la persna di cllegament, per intrdurre le parti; il persnale del cnsulente estern cme direttre dell'intervista; il persnale intern nel rul di verbalizzante: relazine della riunine e racclta di dati. Servizi di trasmissine Il servizi di trasmissine si presta attravers un'applicazine infrmatica sviluppata in passat su alcune base di dati. A questa applicazine si accede attravers un'identificazine lcale dell'utente che cntrlla i sui privilegi di access. Nell'ambit di una trasmissine lcale, è la persna che sta prestand attenzine all'utente finale quella che si autentica al sistema. Nel cas di una trasmissine remta, è l amministrazine che si identifica. Tutte la trasmissini includn una fase di richiesta (ed inseriment di dati) ed una fase di rispsta (e cnsegna di dati). L'utente realizza la sua richiesta ed aspetta una ntifica per ricevere la rispsta. La ntifica è per psta, raccmandata nel cas di trasmissine lcale, ed elettrnica nel cas di trasmissine remta. Iniziare una trasmissine presuppne l'apertura di un incartament che si immagazzina lcalmente nell'uffici, ltre all'tteniment di una serie di dati dall'archivi centrale di infrmazini, dati che si cpian lcalmente. Alla chiusura dell'incartament, i dati ed una relazine delle azini intraprese sn spedite all'archivi centrale per la custdia, eliminand le infrmazini dalle apparecchiature lcali. Il persnale dell'unità si identifica attravers il su accunt, mentre gli utenti remti si identifican cn il lr numer di CI. In entrambi i casi il sistema richiede una passwrd per autenticarli. Infine, si deve sttlineare il rul che la messaggistica elettrnica ricpre in tutt il prcess di trasmissine, usata tant cme mezz intern di cmunicazine tra il persnale, quant cme meccanism di ntifica agli utenti esterni. Di nrma, nn si deve impiegare la psta per il trasprt di dcumenti; questi sarann sempre serviti mediante accessi web. Servizi di archivi centrale Attravers una intranet si presta un servizi centralizzat di archiviazine e ripristin di dcumenti. Gli utenti accedn attravers un'interfaccia web lcale, che si cnnette attravers una rete privata virtuale cn il server remt, identificandsi cn il su numer di CI. Quest servizi è a dispsizine sl del persnale dell'unità e dell'impiegat virtuale che presta il servizi di trasmissine remta. Apparecchiature infrmatiche L'unità dispne di varie apparecchiature persnali di tip PC situate all'intern dei lcali. Queste

121 macchine dispngn di un web brwser, di un client di psta elettrnica senza memrizzazine lcale dei messaggi ed un pacchett di applicazine di uffici standard (editr di testi e fgli di calcl). Esiste una capacità di memrizzazine lcale di infrmazini sul disc del PC, del quale nn sn realizzate cpie di sicurezza; in più, esiste una prcedura di installazine/aggirnament che cancella il disc lcale e reinstalla il sistema ex nv. Le macchine nn dispngn di unità disc rimvibili di nessun tip: dischetti, cd,dvd, USB, etc. Si dispne di un server mid-range, di impieg generic, dedicat ai cmpiti di: file server; server di messaggistica elettrnica, cn memrizzazine lcale ed access via web; server di base di dati: incartamenti in crs ed identificazine di utenti; server web per la trasmissine remta e per l'intranet lcale. Cmunicazini Si dispne di una rete lcale che cpre i lcali di lavr e la sala macchine. E' esplicitamente pribita l'installazine di mdem di access remt e di reti senza fili, ed è attiva una prcedura reglare d'ispezine in materia. Esiste una cnnessine ad Internet ADSL cn un peratre cmmerciale. Su quest cllegament si prestan mlteplici servizi: servizi (prpri) di trasmissine remta; servizi di psta elettrnica (cme parte del servizi di trasmissine remta); servizi (prpri) di access alle infrmazini; rete privata virtuale cn l'archivi centrale. La cnnessine ad Internet si realizza unicamente ed esclusivamente attravers un firewall che limita le cmunicazini a livell di rete, permettend sltant: l scambi di psta elettrnica cn il server di psta; l scambi di traffic web cn il server web. La rete privata virtuale cn l'archivi centrale utilizza un'applicazine sftware. La rete si stabilisce all'inizi della girnata, chiudendsi autmaticamente all'ra di chiusura. Durante la cnnessine i terminali si ricnscn reciprcamente e stabiliscn una chiave di sessine per la girnata. Nn c'è intervent di nessun peratre lcale. C'è la percezine che mlti servizi dipendan dalla cnnessine ad Internet. Inltre nel passat ci sn stati incidenti tali cme caduta del servizi dvuta a lavri municipali ad una carente prestazine del servizi per parte del frnitre. Per tutt ciò: 1. si è definit un cntratt di servizi che stabilisce un cert livell di qualità, al di stt del quale l'peratre deve accreditare alcuni indennizzi cncrdati anticipatamente in prprzine al perid di interruzine alla lentezza (insufficiente vlume di dati trasmessi in peridi determinati di temp) del cllegament. 2. si è cntrattualizzat cn un'altr frnitre un cllegament digitale (RDSI ISDN) di backup, cllegament che abitualmente nn è attiv, ma che si attiva autmaticamente quand il l'adsl si interrmpe per più di 10 minuti Durante l'intervista si è scpert che questi cllegamenti sn prestati sull stess segment di rete

122 telefnica che supprta i servizi di vce dell'unità. Sicurezza fisica Il persnale lavra nei lcali dell'unità, principalmente in zne interne, salv una serie di terminali nei punti di assistenza al pubblic. L'access alle zne interne è limitat alle re di uffici, restand chius a chiave al di furi di dett rari. In rari di uffici c'è un cntrll di access che identifica gli impiegati e memrizza la lr ra di entrata e di uscita. La sala macchine è semplicemente una stanza interna che rimane chiusa a chiave, la quale è custdita dall'amministratre dei sistemi. La sala dispne di un sistema di rilevament ed estinzine di incendi che si revisina annualmente. Questa sala dista 50 metri della canalizzazine di acqua più vicina. I lcali dell'unità ccupan interamente il 4 pian di un edifici di uffici di 12 piani. I cntrlli di access sn prpri dell'unità, nn dell'edifici, che è di us cndivis cn altre attività. Nn c'è nessun cntrll su ciò che si trva nei lcali al pian di spra di stt Cmpit T Identificazine degli asset A seguit delle precedenti interviste si decide di lavrare cn il seguente insieme di asset: Il sistema descritt è, evidentemente, più cmpless; ma il numer di asset significativi è stat ridtt drasticamente affinché l'esempi sia realmente semplice, centrat nella casistica tipica che si desidera illustrare.

123 S_T_lcale S_T_remta D_incartamenti archivi SW_exp PC SRV firewall LAN ADSL Magerit versine Cmpit T2.1.2: Dipendenze Tenend in cnsiderazine le dipendenze per perare (dispnibilità) e di immagazzinament di dati (integrità e riservatezza), si è determinata la seguente matrice di dipendenze tra asset: S_T_lcale S_T_remta D_ incartamenti archivi SW_incartamenti PC SRV firewall LAN ADSL Queste tavle si pssn rappresentare graficamente, facend attenzine che nn ci sia una saturazine di dipendenze; ciè, raramente si può rappresentare tutt il sistema in un sl graf. Per il cas dei dati di incartamenti aperti, il graf delle dipendenze è csì: