INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

Transcript

1 INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I Milano Tel: + 39 (0) Fax: + 39 (0) info@getsolution.it

2 AGENDA Overview ISO 27001:2005 Approccio per processi Plan-Do-Check-Act Scopo e perimetro dell ISMS Identificazione e valutazione del rischio Piano di gestione del rischio Risk Management Accenno alla Certificazione BS25999:2007 Dichiarazione di applicabilità Verifiche e controlli Azioni correttive e preventive Figure professionali

3 Overview ISO 27001:2005 La Norma è stata creata e pubblicata a fini certificativi, in modo da costituire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security Management System) Include aspetti relativi alla sicurezza logica, fisica ed organizzativa. Vuole dimostrare la conformità e l efficacia delle scelte organizzative e delle attività operative poste in atto per garantire la: Riservatezza Integrità Disponibilità Autenticazione / Non Ripudio delle INFORMAZIONI

4 Overview ISO 27001:2005 La famiglia ISO27000 è in continua evoluzione e cerca di ricoprire tutti gli aspetti necessari, fornendo standard correlati tra loro. ISO Codice delle Best Practice ISO Guida per l'implementazione ISO introduzione agli standard ISO27k ISO ISO Standard di misure per la gestione ISO Risk Management ISO Guida per la certificazione

5 Approccio per processi La ISO promuove l approccio per processi per pianificare, realizzare, mantenere in opera, controllare e migliorare l efficacia dell ISMS. Un processo è un attività che usa risorse e viene gestita per trasformare elementi in entrata in elementi in uscita In un processo bisogna sempre descrivere le risorse, input, le attività o fasi, output, interdipendenze tra attività, controllo di gestione.

6 Approccio per processi Esempio: Processo di New Hire

7 Plan-Do-Check-Act Politiche per la sicurezza delle iformazioni Scopo-dominio dell'isms Valutazione del rischio Gestione del rischio PLAN DO Allocare le risorse Redigere la documentazione Realizzare le misure di: sicurezza personale, sicurezza fisica, gestione delle comunicazione, controllo accessi, sviluppo manutenzione, continuità del business Gestione non conformità Azioni preventive Azioni correttive Manutenzione Miglioramento ACT CHECK Controlli tecnici Visite ispettive Riesame della direzione Analisi indicatori di processo

8 Scopo e perimetro DEFINIRE LO SCOPO Serve per definire i confini del progetto Contiene informazioni per l organizzazione, la location, gli assets, technology, e include le limitazioni. DEFINIRE IL PERIMETRO PLAN

9 Identificazione e valutazione del rischio RISK ANALYSIS Significa valutare l'impatto sulla vulnerabilità delle informazioni (fisiche / logiche) e dell elaborazione delle informazioni, la loro probabilità nel verificarsi. QUALITATIVA QUANTITATIVA DATA CENTRICA PLAN

10 Identificazione e valutazione del rischio Information Gathering Si raccolgono le informazioni Tecnologiche, Fisiche e Organizzative necessarie all analisi degli assets aziendali Identificazione dei Data Asset L analisi dei processi aziendali ha permesso di identificare i dati che sono utilizzati all interno del processo stesso per lo svolgimento delle varie attività. Successivamente, i dati raccolti sono stati aggregati in data asset, utilizzando diversi criteri di aggregazione. PLAN Asset Modeling E possibile identificare con quale apparato hardware e con quale software vengono gestiti i diversi data asset rilevati, le location in cui si trovano gli hardware, gli utenti che li utilizzano, la tipologia di supporto cartaceo sui quali si trovano e la location nella quale si trovano i diversi supporti cartacei.

11 Identificazione e valutazione del rischio Asset Modelling PLAN

12 Identificazione e valutazione del rischio Il rischio è definito come il prodotto scalare tra il valore atteso dei danni causati da un evento pericoloso (minaccia) e la probabilità che tale evento si realizzi: R = E(D) X P E(D): esprime l entità del danno atteso che si verrebbe a produrre nel caso in cui i dati perdessero di Integrità, di Riservatezza e di Disponibilità. PLAN Valutazione della criticità

13 Identificazione e valutazione del rischio Possibili scenari d impatto Valutazione della criticità E(x) Si assegna un valore da 1 a 30 PERDITA D IMMAGINE BUSINESS OPERATIONS New Business Linea CORE BUSINESS 1 Amministrazione tesoreria New Business Linea CORE BUSINESS 1 Amministrazione Finanzia RISERVATEZZA INTEGRITA DISPONIBILITA (Assegno valori da 1 a 20) PLAN

14 Identificazione e valutazione del rischio Definizione delle minacce e delle vulnerabilità Si identificano quindi minacce Tecnologiche, Organizzative/procedurali e Fisiche che incombono sul sistema informativo: per ogni minaccia è stata assegnata una frequenza di accadimento f(x) che è la media delle frequenze di accadimento attribuite ad ogni vulnerabilità rilevata per quella minaccia. Frequenza di Accadimento F(x) PLAN

15 Identificazione e valutazione del rischio Minacce e vulnerabilità che possono colpire i Data Asset E necessario definire il corretto profilo di rischio dei singoli data asset mettendo in correlazione le singole minacce identificate e i parametri di sicurezza R.I.D. Data Asset Clienti Clienti Clienti Profili di Rischio Parametro RISERVATEZZA [Valore f=0,7 ] INTEGRITA [Valore f=0,7 ] DISPONIBILITA [Valore f=0,7] Minaccia Accesso alla rete da parte di persone non autorizzate [Valore=3] Accesso alla rete da parte di persone non autorizzate [Valore=13] Accesso alla rete da parte di persone non autorizzate [Valore=24] PLAN R = E(x) x F(x) R= 3 x 0,7= (2,1) 2 R= 13 x 0,7= (9,1) 9 R= 24x 0,7= (16,8) 17 B asso Medio B asso Alto

16 Piano di gestione del rischio Risk Management Attività che descrivono i passi per il susseguente trattamento del rischio, vale a dire: identificare e valutare le opzioni di gestione del rischio (mitigare, prevenire, trasferire, accettare), riconducibili a: Ridurre il rischio: applicare appropriati controlli Prevenire il rischio Trasferire il rischio (cessioni ad assicurazioni). Accettare il rischio, se tale analisi dei rischi soddisfa le politiche e i criteri di accettazione PLAN Obiettivi Profili di rischio Contromisure

17 Identificazione e valutazione del rischio GAP ANALYSIS è volta ad individuare la distanza (il Gap) tra la situazione AS IS e una norma, una legge o un qualsiasi insieme di requisiti ed è rivolta a: o Persone o Processi o Tecnologie Individuazione degli obiettivi PLAN Sulla base dei profili di rischio, si identificano gli obiettivi per poter implementare e gestire le contromisure, stabilendo un ordine di priorità.

18 Risk Management Implementazione delle contromisure Fisiche Organizzative Tecnologiche Controllo accessi fisici Policy e Procedure Firewall Sistemi di rilevamento e spegnimento incendi IT Room Formazione del personale Formulare un Piano di Trattamento del Rischio che identifichi: a. Azioni della Direzione b. Risorse necessarie (umane ed economiche) c. Responsabilità e priorità Sistemi di Identificazione ed Autenticazione IDS URL Filtering Business Continuty Plan Disaster Recovery Plan DO Realizzazione delle Policy (comprendenti le contromisure da implementare) Creazione delle procedure necessarie per rendere effettive le contromisure studiate

19 Accenno alla Certificazione BS25999:2007 BIA (Business Impact Analysis) DO Definisce i requisiti per la gestione della continuità nel business per ogni organizzazione e ne permette la certificazione.

20 Esempio di Policy per POLITICA DI SICUREZZA Xxxxxxxx Xxxxxx S.r.l. dichiara il proprio impegno a realizzare e mantenere un Sistema di Gestione per la Sicurezza delle Informazioni, i cui rischi siano sottoposti a gestione controllata per prevenire e limitare i danni sulle informazioni circolanti all interno dell impresa, con l obiettivo tra l altro di: Garantire la massima sicurezza delle informazioni dei clienti, in termini di riservatezza, disponibilità e integrità delle informazioni stesse fornendo così un servizio ad alto valore aggiunto, in particolare grazie alla segregazione dei dati di clienti che per industry, prodotto e/o servizio, si trovino in competizione. Dare continuità operativa ai servizi critici anche a seguito di gravi incidenti potenzialmente capaci di compromettere la sopravvivenza dell azienda stessa. Tutelare i diritti e gli interessi di tutti coloro che interagiscono con l azienda (cosiddetti stakeholder: clienti, fornitori, dipendenti, collaboratori, terze parti, ecc ); Salvaguardare gli interessi degli investitori e dei partner; Garantire un livello di servizio eccellente. Xxxxxxxx Xxxxxx S.r.l. si impegna, anche attraverso la partecipazione dei propri dipendenti ad assicurare la conformità alle disposizioni legislative di sicurezza e protezione dei dati, alla Politica del Gruppo, e a ogni altro accordo sottoscritto con le parti interessate. Xxxxxxxx Xxxxxx S.r.l. persegue il miglioramento continuo del suo sistema di Gestione per la Sicurezza delle Informazioni, individuando i seguenti principi: Fornire un servizio di supporto fondamentale al Core Business dell impresa attraverso strumenti e mezzi tecnologicamente in linea con il progresso e mantenendoli in perfetto stato di efficienza; Definire ruoli e responsabilità del personale coinvolto nella gestione della Sicurezza delle Informazioni; Identificare in modo periodico e sistematico le minacce incombenti sui dati, valutandone le esposizioni ai rischi e provvedendo ad attuare idonee azioni preventive; Formare il personale allo svolgimento delle attività in modo da proteggere gli asset aziendali nel rispetto della vigente normativa; Incoraggiare la diffusione della cultura e sensibilizzazione alla sicurezza e protezione dei dati e delle informazioni, in particolare alla riservatezza, integrità e disponibilità dei dati e delle informazioni, tra i propri dipendenti, collaboratori, partner e terze parti in merito ai loro ruoli e responsabilità in quest ambito; Far fronte con rapidità, efficacia e scrupolo a emergenze o incidenti che possano verificarsi nello svolgimento delle attività, collaborando anche con terze parti o Enti preposti; Rispettare le leggi e i regolamenti in vigore in tale contesto, e comunque attenersi a standard individuati con senso di responsabilità e consapevolezza, basati su principi scientifici e da valutazione dei rischi; Effettuare attività di controllo e riesame sulle attività, a partire da quelle più critiche, per aggiornare i programmi di sicurezza pianificati per il raggiungimento e l assicurazione di tale politica. DO La Direzione di XXXXXXXXXXXXXXX S.r.l.

21 Esempio di Procedura Modifica dei profili di accesso agli asset e agli strumenti di lavoro L attività di modifica dell account associato ad un utente può avvenire in caso di: attribuzione di mansioni aggiuntive o differenti, che comportino l accesso a directory aggiuntive e/o differenti rispetto a quelle attribuite in precedenza; attribuzione di diverse mansione per cambio di gruppo di appartenenza che comportino l accesso a directory totalmente differenti da quelli attribuite in precedenza; cambio di ruolo di un dipendente; necessità operative temporanee inerenti specifiche mansione attribuite al dipendente. Qualora fosse necessario modificare il profilo di un utente: Il diretto responsabile definisce quali sono le modifiche ai permessi dell utente, avendo cura, nel caso di utenti coinvolti nel processi aziendali oggetto della certificazione ISO/IEC 27001:05, di non assegnare all utente clienti competitor. Si sottolinea che qualora all utente deve essere concesso l accesso ad applicativi xxxxx a cui in precedenza non accedeva ed in ogni caso per le modifiche d accesso ai sistemi xxxxxxxx, il diretto responsabile deve provvedere alla compilazione del modulo Y e quindi è necessario attenersi alla procedura di Attivazione dei profili di autorizzazione e accesso agli strumenti di lavoro descritta al paragrafo 2 del presente documento; in questo specifico caso è demandata al diretto responsabile la compilazione della Sezione 1 e 2 del modulo Y. I Responsabili che hanno la facoltà di definire i profili d utenza dei propri collaboratori sono: Xxxxxxx Xxxxxxxxx Xxxx Xxx XxxxxxxxXxxxxx Nel caso in cui le modifiche da apportare al profilo d utenza possano comportare scostamenti dalle politiche ISO il diretto responsabile deve richiedere preventiva approvazione all ISMS Manager. Successivamente il diretto responsabile richiede le modifiche a Amministratore di SISTEMA, inviando un all indirizzo XXX@XXXXXXXXXXX.it, mettendo in copia Resp.Proc.ISO27k (XXX@XXXXXXXXXX.it). Si sottolinea che nella mail per la richiesta di modifica dei profili degli applicativi media devono essere inserite puntualmente e chiaramente le informazioni relative a Società, Xxxxx, Xxxxxxx, Xxxxxxxx. Amministratore di SISTEMA comunica l avvenuta modifica e archivia i documenti. Resp.Proc.ISO27k, ricevuta la comunicazione di modifica dell utenza da Amministratore di DO SISTEMA aggiorna il file Gruppi di Lavoro (Analisi dei processi - All. C).

22 Statement of Applicabiliy DO Statement of Applicabiliy (SOA) Il SOA rappresenta la dichiarazione di adeguatezza o meno ai controlli previsti dalla ISO Il SOA deve essere periodicamente aggiornato, infatti è il documento preso in considerazione dall auditor nelle attività di mantenimento della certificazione.

23 Policy e Procedure Inoltre si definisce: Minaccia Accesso alla rete da parte di persone non autorizzate Risk Treatment Plan Contromisure Organization of information security Internal Organization External Parties Security Policy Information Security Policy (Sempre per ogni banca dati) Implementazioni Ruoli Responsabilità Tempi Test Controllo d efficacia Ruoli Responsabilità Tempi Test Controllo d efficacia Ruoli Responsabilità Tempi Test Controllo d efficacia Risk Acceptance ha lo scopo di evidenziare i criteri che la Direzione determina per stabilire il trattamento del rischio e quindi la sua eventuale accettazione. DO Formazione del personale

24 Verifiche e controlli Indicatori di efficacia Per esempio: disponibilità dei sistemi statistiche sugli incidenti (tra cui i tentativi di accesso, errori,) Livello di maturità rispetto alle best practices quali ISO (Spice, Cobit, CMMI, SSE-CMM) Audit interni Audit interni periodici, secondo criteri di pianificazione, conduzione e riporto. Audit Interni Non Conformità Azioni correttive e preventive CHECK Riesame della direzione aree di miglioramento attenzione sull evoluzione delle tecnologie, delle attività aziendali e di possibili nuove minacce e vulnerabilità;

25 Azioni correttive e preventive In questa fase l Ente di Certificazione accreditato a livello mondiale compie la verifica: Documentale Verifiche ispettive Per rilasciare la certificazione ISO ACT

26 Figure professionali Security Manager Compliance Manager IT Manager Internal Auditor Auditor di Terze parti

27 Per informazioni Dott.ssa Paola Generali Managing Director cell: GETSOLUTION Via Ippolito Rosellini 12 I Milano Tel: + 39 (0) Fax: + 39 (0) info@getsolution.it