L'esigenza di sicurezza informatica



Documenti analoghi
Security Network. Certificazione dei. istituti di vigilanza. Certificazione delle centrali operative e di telesorveglianza

Certificazione Sistemi di Gestione della Sicurezza delle Informazioni. Norma ISO 27001

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS

Servizi per la sostenibilità

Istituto Italiano del Marchio di Qualità

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

IMQ Funzione Sistemi di Gestione Area Security ICT. Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6

attività da loro intraprese.

5.1.1 Politica per la sicurezza delle informazioni

Sistemi Qualità e normativa

La certificazione della sicurezza ICT

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

Politica per la Sicurezza

Una scelta etica ad alto valore

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

LA f i rma DIGITALE: Firma la tua polizza fidejussoria con un click

Il Ministro dello Sviluppo Economico

MINISTERO DELL'ECONOMIA E DELLE FINANZE

MANUALE DELLA QUALITÀ Pag. 1 di 6

Continuità operativa e disaster recovery nella pubblica amministrazione

Dal Protocollo alla Conservazione Sostitutiva anorma

Presidenza del Consiglio dei Ministri

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

LA VALIDAZIONE DEL PROGETTO

Il Ministro dello Sviluppo Economico

PROTOCOLLO D INTESA. Per la realizzazione di interventi di sviluppo dei sistemi informativi della Giustizia Amministrativa

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

* Creare un documento unico di iscrizione in formato tessera (card) per tutti gli iscritti all Ordine dei Consulenti del Lavoro che:

LA CERTIFICAZIONE VOLONTARIA

LA FIRMA DIGITALE. di Vincenzo Rodolfo Dusconi, Esperto in Marketing e Comunicazione Legale

Legge accesso disabili agli strumenti informatici

CATALOGO FORMAZIONE 2016 METODOLOGIA DIDATTICA L'APPROCCIO DIDATTICO OFFERTO DA IMQ FORMAZIONE INTEGRA DIFFERENTI INFORMAZIONI E ISCRIZIONI PAG.

making things simpler

LE NORME DELLA SERIE EN 45000

Identità certa nei processi online Identity & Service Provider SPID

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

DISPOSIZIONI DELL AUTORITA PER L ENERGIA ELETTRICA E IL GAS IN TEMA DI STANDARD DI COMUNICAZIONE

Fatturazione elettronica adempimento degli obblighi fiscali e tenuta delle scritture contabili mediante strumenti digitali

Disposizioni per favorire l accesso dei soggetti disabili agli strumenti informatici

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

Centro di Taratura accreditato Accredia (LAT n. 21)

SCHEMA DI DELIBERAZIONE

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

La libera circolazione dei prodotti e le problematiche della sicurezza Dal Nuovo Approccio al New Legal Framework (NFL)

Progetto Atipico. Partners

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

Allegato A: Regole tecniche per la gestione dell identità.

DOCUMENTO INFORMATICO E FIRME ELETTRONICHE, PAGAMENTI, LIBRI E SCRITTURE

DISPOSIZIONI DELL AUTORITA PER L ENERGIA ELETTRICA E IL GAS IN TEMA DI STANDARD DI COMUNICAZIONE

Firma Digitale di Flussi di Fatture Elettroniche

1- Corso di IT Strategy

PRESCRIZIONI PARTICOLARI PER LA CERTIFICAZIONE DI PERSONE AI SENSI DELLA NORMA UNI 11558

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Roma,.. Spett.le. Società Cooperativa EDP La Traccia. Recinto II Fiorentini, n Matera (MT)

WORKSHOP AERANTI-CORALLO 13 MAGGIO Sintesi della relazione dell avv. Marco Rossignoli, coordinatore AERANTI-CORALLO e presidente AERANTI


della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Da Desenzano Del Garda a Milano Funzionalità del D.I.C.A. 20 Marzo 2015 CONVEGNO UN.I.O.N. MILANO MADE EXPO. Fiera Milano Rho

DELIBERAZIONE N. 30/7 DEL

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.

PO 01 Rev. 0. Azienda S.p.A.

MODALITÀ E CRITERI PER IL RINNOVO DELLA CERTIFICAZIONE NEL SETTORE SECURITY

Audit & Sicurezza Informatica. Linee di servizio

NOTE DI PRESENTAZIONE DELLA MALAVOLTA CONSULTING S.a.s.

RISOLUZIONE N. 220/E. Con l interpello specificato in oggetto, concernente l interpretazione del D.M. 23 gennaio 2004, è stato esposto il seguente

CARTA DEI SERVIZI. Premessa:

-CERTIFICAZIONE DI SISTEMA UNI EN ISO STRUMENTO DI QUALIFICAZIONE DELLE IMPRESE NEGLI APPALTI PUBBLICI

Quadro normativo di riferimento. Avv. Marco Scialdone - marcoscialdone@gmail.com scialdone@pec.studiolegalefd.it BLOG:

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

PRESENTAZIONE PER COMPARTI INDUSTRIA

CORSO DI FORMAZIONE SISTEMI DI GESTIONE AZIENDALE E NORMATIVA ITALIANA

Allegato A al CCNL 2006/2009 comparto Ministeri

LA FORMAZIONE E LA CONSERVAZIONE DELLA MEMORIA DIGITALE

Autorità per l'informatica nella pubblica amministrazione Deliberazione n. 42/2001

SERVIZI GRATUITI PER LE AZIENDE ASSOCIATE

il CLOUD a norma di legge

Documento informatico e firme elettroniche

SISTEMI DI GESTIONE AZIENDALE E NORMATIVA ITALIANA

CATALOGO SEMINARI COFINANZIATI DA FONDOPROFESSIONI Anno 2014/2015 (in corso di accreditamento)

Servizi La Techno Security svolge attività di progettazione, installazione e manutenzione di impianti elettronici.

Seminario formativo. Firma Digitale

Progect Management. Management. Project MC TEAM - Riproduzione vietata 1/1

e-government La Posta Elettronica Certificata

La Posta Elettronica Certificata - Pec

PROMOZIONE DELL OFFERTA FORMATIVA RIVOLTA AI TUTOR AZIENDALI DEGLI APPRENDISTI IN APPRENDISTATO PROFESSIONALIZZANTE

IL MINISTRO DELLE POSTE E DELLE TELECOMUNICAZIONI

visto il trattato sul funzionamento dell Unione europea,

Titolo I Definizioni ed ambito di applicazione. Articolo 1 Definizioni

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

Presidenza del Consiglio dei Ministri

RISOLUZIONE N. 81/E. Direzione Centrale Normativa Roma, 25 settembre 2015

Il documento informatico nel Comune di Cuneo. Francesca Imperiale Settore Segreteria Generale Servizio Archivio Comune di Cuneo

Regolamento sull ordinamento e l organizzazione dell Ufficio Relazioni con il Pubblico della Provincia di Lecce

FEDERAZIONE AUTONOMA BANCARI ITALIANI

Qualità e Certificazione certificazione di prodotto - Marcantonio Catelani Facoltà di Ingegneria Firenze

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

LA FORMAZIONE CONTINUA: NON SOLO UN OBBLIGO MA UNA OPPORTUNITA

Transcript:

ICT Security

ICT Security L'esigenza di sicurezza informatica Il laboratorio IMQ LPS è accreditato negli schemi nazionali per la valutazione e certificazione della sicurezza dei sistemi e prodotti ICT. IMQ è l'unico organismo di certificazione accreditato da Accredia, operante in Italia, ad aver raggiunto l'obiettivo di avere al suo interno un laboratorio accreditato per effettuare valutazioni formali della sicurezza di sistemi e prodotti IT negli schemi nazionali gestiti da DIS/UCSe e OCSI secondo gli standard internazionalmente risconosciuti. (DIS: Dipartimento Informazioni Sicurezza / OCSI: Organismo di Certificazione della Sicurezza Informatica - www.ocsi.isticom.it). La sicurezza ha assunto un ruolo rilevante e spesso vitale in tutti i settori della società. Tutte le aziende che ricorrono a sistemi informatici per prestare o supportare i servizi verso la clientela o per gestire dati critici hanno esigenze di sicurezza, intesa come security, ed in particolare di: confidenzialità: per consentire solo a chi è autorizzato di accedere a specifici dati/servizi nel rispetto dei diritti che gli sono accordati; integrità: per impedire che i servizi/dati critici per l'azienda siano compromessi/alterati senza autorizzazione e che ciò non sia facilmente rilevabile; disponibilità: per garantire, quando necessario, l'accesso a dati/servizi da parte di chi è autorizzato nel rispetto di tempi e modi prefissati. Per soddisfare i requisiti di sicurezza vengono normalmente adottate misure di natura fisica e procedurale oltre a quelle relative alla gestione del personale. In continuo aumento sono, tuttavia, la tendenza e la necessità di impiegare la sicurezza tecnica realizzata con meccanismi hardware, firmware e software, ossia quel tipo di sicurezza che viene principalmente considerato quando si parla di sicurezza informatica di sistemi e prodotti IT. Questo crescente interesse per le problematiche di sicurezza IT è testimoniato inoltre da un intensificarsi, negli ultimi anni, di atti legislativi. A titolo di esempio si ricorda la legge sulla criminalità informatica n. 547/93, la pubblicazione di Regole Tecniche per la firma digitale e la posta elettronica certificata sul documento elettronico da parte del CNIPA (ex AIPA) e del Decreto Legislativo 30.06.2003 n. 196: Codice di Protezione dei Dati Personali. Sempre più urgente è dunque la necessità di avere garanzie che un sistema o prodotto IT soddisfi i suoi obiettivi di sicurezza, ovvero una stima della fiducia che può essere riposta nelle misure di sicurezza adottate. Per soddisfare le necessità di imparzialità, oggettività, ripetibilità e riproducibilità, tali garanzie devono essere frutto di osservazione con metodo e valutazione in base a criteri formali internazionalmente riconosciuti validi, come, ad esempio, i criteri ITSEC e i Common Criteria.

ICT Security Il Laboratorio Prove di Sicurezza informatica (LPS) di IMQ Il laboratorio di Informatica IMQ è nato nel 1987 con la missione di fornire servizi di prove di Terza Parte e di certificazione di prodotti e sistemi informatici. Nel corso degli anni si è successivamente specializzato anche nel campo della sicurezza informatica divenendo all'interno di IMQ il Laboratorio Prove di Sicurezza (LPS). Parallelamente all'attività di valutazione della sicurezza il personale di IMQ/LPS, facente parte dell'area Security ICT svolge attività di (tra parentesi sono riportate alcune referenze): risk assessment (Infocamere); assessment della sicurezza di sistemi IT per la gestione di informazioni critiche (Vodafone); audit di sicurezza intesi come verifica del rispetto di determinati requisiti espressi dal Cliente (PAthNet). Da segnalare in questo ambito le attività di verifica svolte per attestare la rispondenza di sistemi di Disaster Recovery a requisiti derivati da Business Impact Analisys del Cliente (CIM Italia e SECE- TI); verifiche di conformità a specifiche norme di settore, come ad esempio le norme CEI 79-5/1 e CEI 79-5/2 che definiscono il protocollo di comunicazione per il trasferimento di informazioni di sicurezza (allarmi), rispetto alle quali è stata valutata la conformità del sistema di concentrazione degli allarmi di Banca d'italia. IMQ/LPS ha inoltre svolto attività di divulgazione ed approfondimento dei criteri di valutazione della sicurezza, prevalentemente indirizzate ai fornitori o a società di consulenza interessati a progettare prodotti e sistemi valutabili con i criteri ITSEC/Common Criteria o sistemi di gestione per la sicurezza delle informazioni secondo la ISO/IEC 27001. Tra gli altri, sono stati erogati interventi al personale di: Istituto Superiore per le Comunicazioni e la Tecnologia dell'informazione, EIS, C&A, Stato Maggiore Esercito, BNL Multiservizi, FST, IPM, Incard, Eutron, Arthur Andersen MBA, Intesis, Alenia Marconi Systems, Elsag, Getronics, TIM, Garante per la protezione dei dati personali.

I settori di interesse Settore difesa Il comparto della Difesa ha la necessità di garantire l'attendibilità dei sistemi di massima sicurezza e la riservatezza dei dati trattati. Per questo motivo il comparto della Difesa risulta fortemente interessato all'applicazione dei criteri di valutazione ITSEC e alla Valutazione di sicurezza di Sistemi e Prodotti. Settore industria Tutte le organizzazioni industriali gestiscono una quantità di informazioni sensibili di varia natura (progettuale, organizzativa, etc), che devono essere protette. L'obiettivo di ogni Azienda è, pertanto, assicurarsi che: alle informazioni abbia sempre l'accesso garantito solo il personale abilitato a gestirle; il sistema nello stesso tempo controlli e tenga traccia di chi accede alle procedure ed alle informazioni e di come costoro gestiscono i dati riservati e che le informazioni non possano essere modificate da chi non è autorizzato. Settore finanziario Tutto il settore della finanza impiega o dovrebbe impiegare sistemi di sicurezza nella gestione delle proprie attività. Molti incidenti che avvengono nelle banche o in organizzazioni ad esse collegate richiedono competenze specifiche di persone tecnicamente preparate. Questo suggerisce che è particolarmente importante per queste organizzazioni proteggere le proprie reti e sistemi da un vasto numero di attacchi. Attraverso prodotti/sistemi certificati è così possibile offrire maggiori garanzie di sicurezza a tutti i Clienti e utenti. Settore sanità Le aziende ospedaliere gestiscono informazioni riservate sulle condizioni di salute dei pazienti e sulle loro patologie. Tutti gli operatori sanitari sono tenuti a rispettare la riservatezza, l'integrità e la disponibilità dei dati dei pazienti. A queste informazioni deve avere accesso solo il personale abilitato a conoscere tali dati. Settore pubblica amministrazione La Pubblica Amministrazione ha necessità di garantire la sicurezza dei dati trattati elettronicamente (ma non solo). Deve pertanto garantire l'applicazione della legge sulla privacy, l'adeguamento alla normativa relativa alla firma digitale e della carta di identità elettronica. E' dunque importante adottare Sistemi/Prodotti Valutati o utilizzare un Profilo di Protezione per formalizzare i requisiti di sicurezza di sistemi/prodotti IT da utilizzare e/o dotarsi di un Sistema di Gestione per la Sicurezza delle Informazioni conforme allo standard ISO/IEC 27001.

ICT Security Panorama normativo e legislativo per la sicurezza delle informazioni La legislazione italiana, che disciplina il trattamento dei dati personali, l'individuazione delle misure minime di sicurezza, il diritto d'autore, la tutela giuridica dei programmi per elaboratore, la firma digitale e l'utilizzo della posta elettronica certificata è riassunta nei seguenti principali atti: decreto legislativo 23 febbraio 2002, n. 10 Decreto del Presidente della Repubblica 11/2/2005, n. 68 (G.U. n. 97 del 28/4/2005) Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, norma dell'articolo 27 della legge 16 gennaio 2003, n. 3. Decreto del Presidente del Consiglio dei Ministri 2 novembre 2005 (G.U. n 266 del 15/11/2005) Regole Tecniche per la formazione, la trasmissione e la validazione anche temporale della posta elettronica certificata. Legge n. 48 del 18 marzo 2008 (GU n. 80 del 4 /05/2008 - s.o. n. 79) Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell ordinamento interno. D.P.C.M. 30 marzo 2009 - Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici. Pubblicato nella Gazz. Uff. 6 giugno 2009, n. 129. Legge 28 Gennaio 2009, n. 2 (G.U. 28 Gennaio 2009, n. 22, supplemento ordinario 14/L) Decreto del Presidente del Consiglio dei ministri del 6 maggio 2009 - Disposizioni in materia di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini. Decreto Legislativo n. 518 del 29/12/1992 che modifica il Regio Decreto n. 633 del 1941, relativo al diritto d'autore, integrandolo con norme relative alla tutela giuridica dei programmi per elaboratore. Legge n. 547 del 23/12/1993 che modifica il Codice Penale italiano introducendo il tema di criminalità informatica (cosiddetti computer crimes ). D.Lgs. n. 82 del 7/3/2005 (G.U. n. 112 del 16/5/2005 - s.o. n. 93) Codice dell Amministrazione Digitale. D.Lgs. n. 10 del 23/1/2002 (G.U. n. 39 del 15/2/2002) Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche. Decreto del Presidente della Repubblica n. 137 del 7/4/2003 (G.U. n. 138 del 17/6/2003) Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'articolo 13 del decreto legislativo 23 gennaio 2002, n. 10. Decreto legislativo n. 196 del 30/6/2003 (Codice in materia di protezione dei dati personali). Decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003 - Approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell informazione, ai sensi dell art. 10, comma 1, del Ricordiamo inoltre la normativa CEE in materia di sicurezza Direttiva 97/66/CE del 15/12/1997 sul trattamento dei Dati Personali e sulla tutela della vita privata nel settore delle Telecomunicazioni. Direttiva 96/9/CE del 11/03/1996 relativa alla "Tutela giuridica delle banche di dati". Direttiva 95/46/CE del 24/10/1995 relativa alla "Tutela delle persone fisiche con riguardo al trattamento dei Dati Personali, nonché alla libera circolazione di tali Dati. Standard di riferimento per certificazioni volontarie ISO/IEC 27001 (ex BS7799 - Parte 2) Information Technology - Security Techniques - Information Security Management Systems - Requirements. ISO/IEC 15408 (Common Criteria) Information Technology- - Security Techniques - Evaluation Criteria for IT Security. BS 25999-2 Specification for business continuity management ISO/IEC 20000-1 Service Management - Specification

CHI È IMQ Il Gruppo IMQ rappresenta la più importante realtà italiana nel settore della valutazione della conformità (certificazione, prove, verifiche, ispezioni). Forte della sinergia tra le società che lo compongono, dell'autorevolezza acquisita in oltre 50 anni di esperienza, della completezza dei servizi offerti, il Gruppo IMQ si pone infatti come punto di riferimento e partner delle aziende che hanno come obiettivo la sicurezza e la qualità. I settori di riferimento sono molteplici spaziando dall'elettrotecnica all'elettronica, dalle telecomunicazioni all'automotive, dal gas all'impiantistica, dai prodotti da costruzione all'agroalimentare e così via. Per ogni categoria merceologica, il Gruppo IMQ è in grado di offrire, a seconda dei casi, servizi di tipo orizzontale o mirato: certificazione di prodotto, certificazione secondo le direttive CE, certificazione di sistemi di gestione aziendale, verifiche su impianti ed immobili, prove di laboratorio e per l'ottenimento di omologazioni internazionali, supporto all'esportazione, sorveglianza di produzioni all'estero, assistenza tecnico-normativa e formazione. La completezza dei servizi erogati è assicurata grazie alla competenza maturata in molteplici aree merceologiche dalle società del Gruppo IMQ che è composto da: IMQ S.p.A. - CSI S.p.A. - IMQ Primacontrol S.r.l. - IMQ Clima S.p.A. - ICILA S.r.l. - Elcolab S.r.l. - IMQ Iberica S.L. - IMQ Kraków R.O. (Ufficio di rappresentanza in Polonia) - IMQ Certification Shanghai Co. Ltd. Il Gruppo IMQ vanta inoltre una partecipazione nell'istituto Giordano S.p.A., in CISQCERT S.p.A. e in Icube S.A. (Argentina). Mod. 476/5 2010/09-1000 Med. Per ulteriori informazioni fsitse@imq.it - tel: +39 025073417 - fax: +39 0250991540 Segreteria commerciale: tel. +39 025073201 - fax: +39 0250991544 Italia - Milano - Sede principale Via Quintiliano 43, 20138 - Milano Tel. +39 0250731 - Fax +39 0250991500 - info@imq.it - www.imq.it Polonia- Kraków IMQ Krakow Rep. Office - ul. Kraszewskiego 36-30-110 Kraków Spagna - Madrid IMQ Iberica - c/diego de Léon, 69-5a plta - 28006 - Madrid Cina - Shanghai IMQ Certification Shanghai Co. Ltd.. Office Room 6a, Zhao Feng World Trade Building - 369, Jiangsu Road - 200050 Shanghai Argentina - Buenos Aires Icube - Av. Belgrano 500 (1092AAR) - Buenos Aires MILANO - ROMA - BARCELLONA - MADRID - KRAKÓW - SHANGHAI - BUENOS AIRES

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back