Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013"

Abele Venturini
8 anni fa
Visualizzazioni

1 Sottotitolo Sinergie tra standard e cenni alla ISO/IEC Autore Fabio Guasconi

2 Lo standard ISO/IEC Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile ad organizzazioni di ogni dimensione Ambito definibile a piacimento Approccio ciclico (PDCA) Orientata ai processi Costituisce un framework completo Dice cosa fare ma non come farlo Volta al miglioramento continuo E un riferimento universale e certificabile

3 Origini BS :1995 BS :1998 BS :1999 BS :1999 ISO/IEC 17799:2000 ISO/IEC 17799: Giugno 2005 Code of practice for information security management ISO/IEC 27001:2005 ISMS requirements 15 Ottobre

4 ISO/IEC 27001:2005 Risk Assessment Policy & Requisiti Contromisure Annex A Plan Do Act Check Miglioramento Efficacia Audit

5 Contromisure contemplate

6 Famiglia ISO Requisiti Linee Guida Di Settore 27001:2005 ISMS requirements 27006:2007 Requirements for audit & cert. bodies 27000:2009 Vocabulary 27002:2005 Code of practice 27003:2010 Implementation guidance 27004:2009 Measurements 27005:2008 Risk Management Inter-sector communications 27011:2008 Telecommunications ISO/IEC and ISO/IEC Security governance Financial and insurance ISMS auditing Audit on ISMS controls 2701X ISM Economics

7 Relazioni con ISO/IEC ISO/IEC Risk Assessment ISO/IEC Policy & Requisiti Contromisure Annex A ISO/IEC 2701X Plan Do ISO/IEC Act Check Miglioramento Efficacia ISO/IEC Audit ISO/IEC

8 Dati statistici In Italia sono oggi attivi oltre 130 certificati, con la progressione seguente Nel mondo sono oltre 6000, con in testa Giappone, India, UK e Cina

9 ISO/IEC e Opportunità Gestione centralizzata della sicurezza Ritorno d immagine Governo della sicurezza Riduzione dei costi Ottimizzazione delle risorse Strategia possibile Rispetto ai Clienti Rispetto agli investitori Due diligence Copertura dei requisiti legali Consapevolezza Coinvolgimento della Direzione

Le due norme e la sicurezza ISO/IEC 27001 Protegge gli asset informativi di un organizzazione che possono essere parte di un servizio Focus su CIA ISO/IEC 20000-1 Abilita l erogazione di servizi

10 Le due norme e la sicurezza ISO/IEC Protegge gli asset informativi di un organizzazione che possono essere parte di un servizio Focus su CIA ISO/IEC Abilita l erogazione di servizi secondo SLA definiti, la sicurezza è uno dei processi di gestione necessari Focus su A Benefici principali per l integrazione dei due sistemi: Migliorare la sicurezza della struttura che eroga i servizi e dei servizi stessi (27001 verso 20000) Migliorare l efficacia delle misure legate alla gestione dell IT (20000 verso 27001) Attuare sinergie in ottica di ottimizzazione costi/benefici 10

Come Farlo Cosa Fare Come abbinare 27001 e 20000?

anche la 27002 e la serie 27000 Bisogna tenere presenti le differenze di scope E necessario un

11 Come Farlo Cosa Fare Come abbinare e 20000? Non sono norme allo stesso livello ISO/IEC ISO/IEC Ambito E opportuno considerare anche la e la serie Bisogna tenere presenti le differenze di scope E necessario un linguaggio comune condiviso Si crea un SISTEMA INTEGRATO che prenda intelligentemente il meglio tra le due norme, senza metterle in competizione 11

12 Come abbinare e 20000? Fonte: ITILv3 and Information Security Whitepaper 12

La soluzione del Sistema Integrato Tutti i Sistemi di Gestione hanno dei requisiti in comune, ISO infatti sta impostando una struttura unica da usare per tutti (v. nuova 27001).

13 La soluzione del Sistema Integrato Tutti i Sistemi di Gestione hanno dei requisiti in comune, ISO infatti sta impostando una struttura unica da usare per tutti (v. nuova 27001). Riferimento: BAS PAS = SGI Azioni Preventive e Correttive Riesame della Direzione Act Plan Politiche Valutazione del rischio Requisiti Obiettivi Ruoli & Responsabilità Monitoraggio delle Performance Misurazione dell Efficacia Auditing Check Do Misure Operative Gestione delle Risorse Documentazione Comunicazione 13

Contatti evidenti Norme promulgate dal JTC1 (SC7 ed SC27) Costruite sul paradigma PDCA volto al miglioramento continuo Approccio a processi Necessità di commitment da parte della Direzione Sistemi di

14 Contatti evidenti Norme promulgate dal JTC1 (SC7 ed SC27) Costruite sul paradigma PDCA volto al miglioramento continuo Approccio a processi Necessità di commitment da parte della Direzione Sistemi di Gestione (SMS e ISMS) La ISO/IEC richiama esplicitamente la ISO/IEC Information Security Management NOTE: ISO/IEC 17799, Information technology Security techniques Code of practice for information security management provides guidance on information security management La prossima versione della ISO/IEC farà riferimento alla serie (testo del FCD) 14

15 Sinergie Strutturali 15

16 Oltre alla

17 ISO/IEC 27013, 1 st WD Guidance on the integrated implementation of ISO/IEC and ISO/IEC Editor provenienti da SC27 ma anche da SC7 Termine dei lavori previsto per fine 2012 Contribution possibile via UNINFO 17

18 ISO/IEC 27013, 1 st WD Indice 4. Characteristics of ISO/IEC and ISO/IEC Benefits of implementing a management system based upon both ISO/IEC and ISO/IEC Planning a combined implementation* 7. Advice on combining management systems 7.1 Areas where the standards may work well together 7.2 Areas where confusion may arise * Implement ISO/IEC when ISO/IEC is already adopted, or vice versa; Implement both ISO/IEC and ISO/IEC together; Align existing ISO/IEC and ISO/IEC management system implementations (no scope overlap). 18

19 GdL Serie UNINFO Commenti (tutti) N84XX Coordinatore (uno per norma) Commenti Italiani Presidente SC27 (uno) Meeting (aperti ai soci, meglio se coordinatori) DoC, nuovo testo 19

20 Caso Poste Italiane Fonte: TUV SUD, Fabrizio Cirilli Poste Italiane ha certificato i processi ed i servizi interni: tutta l infrastruttura informatica viene garantita grazie alla ISO 27001, in maniera da mettere in sicurezza i parametri di tutto ciò che ruota intorno ai servizi IT, a loro volta supportati dalla ISO (es. i processi di gestione delle carte di credito, degli sportelli, aspetti ad alto contenuto tecnico e ad elevato rischio finanziario). La forza del modello di gestione sviluppato da Poste Italiane risiede anche nel fatto di aver lavorato per integrare il sistema qualità ISO 9001 (che supporta i processi decisionali e progettuali) con quelli ISO e ISO per la gestione della sicurezza delle informazioni e l erogazione dei servizi. 20

Incident Management Problem Management storico minacce asset ITRM IT Risk

21 IT Risk Management Sul processo centrale per l Information Security Management e le sue relazioni con ITILv3 sta lavorando da tempo un GdL di ITSMF. Incident Management Problem Management storico minacce asset ITRM IT Risk Management SLA Change Management Config. Management rischi vulnerabilità RFC Service Level Management 21

22 Riferimenti Prospettiva 22 ISO/IEC su

Documenti analoghi

Come affrontare le minacce alla sicurezza IT. Roma, 16 Giugno 2010

Come affrontare le minacce alla sicurezza IT Roma, 16 Giugno 2010 Fabio Guasconi Introduzione Presidente del SC27 di UNINFO Chief of Italian Delegation for JTC1/SC27 (ISO/IEC) Socio CLUSIT, ITSMF, ISACA