IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS ISO/IEC 17799

Transcript

1 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS ISO/IEC Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione Bologna, Villa Guastavillani, 4 Febbraio 2002 Ing. Franco Tessarollo - Senior Consultant _ Certificazione: Atto mediante il quale una terza parte indipendente dichiara che un prodotto, processo o servizio è conforme ad una specifica o ad altro documento normativo la Certificazione si basa su Standard (nazionali, internazionali) viene effettuata da un Ente Accreditato Indipendente l Accreditamento degli Enti di Certificazione garantisce il mutuo riconoscimento del certificato che questi rilasciano La Certificazione di sicurezza consente di avere un riscontro oggettivo del livello di sicurezza e affidabilità dei propri sistemi informativi. Bologna, Villa Guastavillani, 4 Febbraio 2002 Ing. Franco Tessarollo 1

2 _ lo Standard BS ISO/IEC BS 7799:parte 1 Come esigenza di un gruppo di compagnie inglesi BS 7799:parte 1 Prima edizione BS 7799:parte 2 ISMS BS 7799:parte 1&2 BS ISO/IEC 17799:2000 BS Code of practice for information security management definisce i requisiti e le linee guida di riferimento per i responsabili dello sviluppo, del mantenimento e dell amministrazione della sicurezza nel sistema informativo di un azienda. Specifica, inoltre, una serie di controlli che possono essere implementati a livello tecnologico e organizzativo per la realtà aziendale. Information Security Management System BS Specification for Information Security Management Systems specifica i requisiti per l implementazione e la documentazione del Sistema di Gestione per la Sicurezza Informatica (ISMS) e identifica gli elementi necessari per l ottenimento della Certificazione da parte degli Organismi preposti. _ i passi per definire un ISMS Fase 1 Definizione della politica Politica Fase 2 Definizione ambito ISMS Ambito ISMS Fase 3 Fase 4 Fase 5 Risorse Informatiche Pericoli, vulnerabilità, impatti Approccio alla gestione del rischio Grado di assicurazione richiesto Sezione 4 dello Standard BS 7799 Eventuali controlli addizionali Analisi di rischio Risultati e conclusioni Gestione del rischio Opzioni di controllo scelte Selezione dei controlli e degli obiettivi da implementare Analisi di rischio Fase 6 Controlli ed obiettivi scelti BS : Stabilire una infrastruttura di gestione Stesura della dichiarazione di applicabilità Dichiarazione di applicabilità Bologna, Villa Guastavillani, 4 Febbraio 2002 Ing. Franco Tessarollo 2

3 _l approccio Aziendale alla Sicurezza Aspetti Legali Aspetti Economici Politica La sicurezza è un processo, non un prodotto! Strategia Pianificazione Obiettivi Definizione Budget Team per la sicurezza Organizzazione Ruoli e Responsa bilità Program mi For mativi Classifi cazione Risorse Docum entazio ne Proced ure Applica zione Proced ure Automazione della gestione dei rischi Verifiche Tecnologia Sicurezza infrastrutture IT Gestione vulnerabilità Gestione minacce 4.1 Politica di sicurezza Politica di sicurezza informatica > Documentazione della politica per la sicurezza informatica > Revisione e Valutazione 4.2 Organizzazione della sicurezza Infrastruttura della sicurezza informatica > Gruppo (Forum) di gestione della sicurezza informatica > Coordinamento della sicurezza informatica > Assegnazione delle responsabilità di sicurezza informatica > Processo di autorizzazione per le attrezzature informatiche > Consulenza specializzata in sicurezza informatica > Cooperazione tra organizzazioni > Verifica indipendente della sicurezza informatica Sicurezza dell accesso da parte di terzi > Identificazione di rischi derivanti dall accesso da parte di terzi > Clausole relative alla sicurezza nei contratti con terzi Outsourcing > requisiti di sicurezza nei contratti di outsourcing Bologna, Villa Guastavillani, 4 Febbraio 2002 Ing. Franco Tessarollo 3

4 4.3 Classificazione e controllo delle risorse Responsabilità delle risorse > Inventario delle risorse Classificazione delle informazioni > Linee guida per la classificazione > Identificazione e gestione dei dati 4.4 Sicurezza del Personale Sicurezza nella definizione dei ruoli e delle risorse > Inclusione della sicurezza nelle responsabilità delle mansioni > Controllo e politica del Personale > Accordi di confidenzialità > Termini e condizioni di impiego Addestramento degli utenti > Educazione ed addestramento sulla sicurezza informatica Risposta ad episodi di insicurezza e malfunzionamenti > Riferimento di episodi di insicurezza > Riferimento di vulnerabilità di sicurezza > Riferimento di malfunzionamenti dei programmi > Apprendimento dagli episodi di insicurezza > Processo disciplinare 4.5 Sicurezza fisica ed ambientale Aree sicure > Perimetro di sicurezza fisica > Controlli fisici di accesso > Sicurezza di uffici, stanze e strutture > Lavoro in aree sicure > Aree isolate di carico e consegna dei materiali Sicurezza delle apparecchiature > Protezione e posizionamento delle apparecchiature > Alimentazione elettrica > Sicurezza del cablaggio > Manutenzione degli apparati > Sicurezza degli apparati fuori dagli edifici Aziendali > Smaltimento e riutilizzo sicuro delle apparecchiature Controlli generici > Politica di scrivania pulita e schermo pulito > Asporto di proprietà Bologna, Villa Guastavillani, 4 Febbraio 2002 Ing. Franco Tessarollo 4

5 4.6 Gestione delle comunicazioni e delle operazioni (1/2) Procedure e responsabilità operative > Procedure d utilizzo documentate > Controllo dei cambiamenti operativi > Procedure di gestione degli eventi di insicurezza > Separazione delle mansioni > Separazione tra sistemi di sviluppo e di produzione > Gestione esterna di sistemi Pianificazione ed approvazione dei sistemi > Pianificazione delle risorse > Approvazione dei sistemi Protezione da programmi dannosi > Verifica su programmi dannosi 4.6 Gestione delle comunicazioni e delle operazioni (2/2) Operazioni ausiliarie > Copia di sicurezza dei dati > Registrazione dell attività dell operatore > Registrazione dei guasti Gestione della rete > Controlli sulla rete Gestione e sicurezza dei supporti > Gestione dei supporti rimovibili > Smaltimento dei supporti > Procedure di gestione dei dati > Sicurezza della documentazione dei sistemi Scambio di informazioni e programmi > Accordi di scambio di informazioni e programmi > Sicurezza dei supporti in transito > Sicurezza del commercio elettronico > Sicurezza della posta elettronica > Sicurezza delle attrezzature da ufficio elettroniche > Sistemi pubblicamente disponibili > Altre forme di scambio d informazioni Bologna, Villa Guastavillani, 4 Febbraio 2002 Ing. Franco Tessarollo 5

6 4.7 Controllo degli accessi (1/2) Necessità Aziendali di controllo degli accessi > Politica di controllo degli accessi Gestione dell accesso utenti > Registrazione utente > Gestione dei privilegi > Gestione delle password degli utenti > Revisione dei diritti utente Responsabilità dell utente > Utilizzo delle password > Apparecchiature non presidiate Controllo degli accessi alla rete > Politica dell uso dei servizi di rete > Percorso forzato > Autenticazione degli utenti per connessioni esterne > Autenticazione del nodo > Protezione delle porte di diagnosi remote > Separazione delle reti > Controllo delle connessioni di rete > Controllo dell instradamento di rete > Sicurezza dei servizi di rete 4.7 Controllo degli accessi (2/2) Controllo dell accesso al sistema operativo > Identificazione automatica dei terminali > Procedure di logon ai terminali > Identificazione utente ed autenticazione > Sistema di gestione delle password > Utilizzo di utilità di sistema > Allarmi anti costrizione per la salvaguardia degli utenti > Scadenza (time-out) per i terminali > Limitazione del tempo di connessione Controllo dell accesso alle applicazioni > Restrizioni sull accesso ai dati > Isolamento dei dati sensibili Monitoraggio dell accesso e uso dei sistemi > Tracciamento degli eventi > Monitoraggio dell uso dei sistemi > Sincronizzazione degli orologi Elaboratori portatili (mobile computing) e telelavoro > Elaboratori portatili (mobile computing) > Telelavoro Bologna, Villa Guastavillani, 4 Febbraio 2002 Ing. Franco Tessarollo 6

7 4.8 Sviluppo e manutenzione dei sistemi Requisiti di sicurezza dei sistemi > Analisi e definizione dei requisiti di sicurezza Sicurezza nei sistemi applicativi > Convalida dei dati inseriti > Controllo dell elaborazione interna > Autenticazione del messaggio > Convalida dei dati in uscita Controlli di crittografia > Politica dei controlli di crittografia in uso > Crittazione > Firme digitali > Servizi di non-ripudio > Gestione delle chiavi Sicurezza dei file di sistema > Controllo dei programmi operativi > Protezione dei dati di collaudo dei sistemi > Controllo dell accesso all archivio dei sorgenti dei programmi Sicurezza dei processi di sviluppo e supporto > Procedure di controllo delle modifiche > Revisione tecnica delle modifiche ai sistemi operativi > Limitazioni alle modifiche dei programmi > Canali nascosti e codice dannoso (Covert channel and Tojan code) > Sviluppo di software affidato a terzi 4.9 Gestione della continuità delle attività Aziendali Aspetti della gestione della continuità delle attività Aziendali > Processi di gestione della continuità delle attività Aziendali > Analisi della continuità e dell impatto delle attività (Business continuity and impact analysis) > Stesura ed implementazione dei piani di continuità > Infrastruttura e pianificazione della continuità delle attività > Verifica, manutenzione e ri-valutazione dei piani di continuità delle attività 4.10 Conformità Conformità ai requisiti legali > Identificazione delle leggi applicabili > Diritti di proprietà intellettuale (IPR) > Salvaguardia degli archivi dell organizzazione > Protezione dei dati e riservatezza delle informazioni personali > Prevenzione dell uso improprio degli apparati di elaborazione dati > Disciplinamento dei controlli crittografici > Raccolta di prove legali Revisione della politica di sicurezza e conformità tecnica > Conformità con la politica di sicurezza > Verifica della conformità tecnica Considerazione delle verifiche di sistema > Controlli di System Audit > Protezione dei tool di System Audit Bologna, Villa Guastavillani, 4 Febbraio 2002 Ing. Franco Tessarollo 7