La certificazione della sicurezza ICT



Похожие документы
La valutazione della sicurezza

LE NORME DELLA SERIE EN 45000

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

IMPIANTI INDUSTRIALI. I Sistemi di gestione per la qualità secondo norma UNI EN ISO 9001:2008 Di Andrea Chiarini andrea.chiarini@chiarini.

A cura di Giorgio Mezzasalma

PROCEDURA SCR_PG Prestazione del servizio di certificazione del Sistema di Gestione della Qualità in organizzazioni multisite.

Il Ministro dello Sviluppo Economico

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

CERTIFICAZIONE DI QUALITA

I sistemi di gestione: modelli e certificazioni

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Standard per la Certificazione della Sicurezza dell Informazione

REGOLAMENTO PARTICOLARE


Regolamento per la certificazione di Sistemi di Gestione Ambientale

Marcatura CE. Controllo di produzione in fabbrica - FPC. Segnaletica stradale. Caratteristiche energetiche prodotti per edilizia

ISO/IEC : 2005 per i Laboratori di Prova

Contributo di INAIL alla diffusione dell adozione di un SGSL. INAIL-DR Toscana-CONTARP

LA CERTIFICAZIONE DI SISTEMA NELLA FILIERA DEL GRANO DURO IN SICILIA

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

Politica per la Sicurezza

Prospettive per l EGE: legge 4/2013. Michele Santovito. 9 maggio 2014

Sigla/Reference Revisione/Revision 07 Data/Date

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE DELL ENERGIA (S.G.E.)

Security Network. Certificazione dei. istituti di vigilanza. Certificazione delle centrali operative e di telesorveglianza

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

-CERTIFICAZIONE DI SISTEMA UNI EN ISO STRUMENTO DI QUALIFICAZIONE DELLE IMPRESE NEGLI APPALTI PUBBLICI

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Regolamento per la certificazione di Sistemi di Gestione Ambientale

Il valore sinergico delle Certificazioni dei Sistemi di Gestione per la Qualità e di servizio rilasciate sotto Accreditamento.

Test di Apprendimento

Assicurazione di qualità dei dati di monitoraggio ecologico delle acque superficiali interne

Io mediatore familiare oggi: mi certifico o non mi certifico?

ISO 9001:2000: COME UTILIZZARE LA NORMA PER GESTIRE I FORNITORI

CONTROLLO DOCUMENTALE E CONTROLLO OPERATIVO DEI PROGETTI E DEI PROCESSI IN EDILIZIA. Ing. Davide Natuzzi

GESTIONE DELLE NON CONFORMITÀ E RECLAMI

Regolamento per la certificazione di Sistemi di Gestione Ambientale

La gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe

Servizi di certificazione per le costruzioni

CARTA DEI SERVIZI. Premessa:

LA CONSERVAZIONE DELLA MEMORIA DIGITALE FIGURE PROFESSIONALI E RESPONSABILITÀ

La Certificazione di qualità in accordo alla norma UNI EN ISO 9001:2000


5.1.1 Politica per la sicurezza delle informazioni

Autore: Flavio Banfi Organizzazione: ITALCERT S.r.l. Intervento: Valutatori per la Certificazione CE di prodotto 2

CitySoftware PROTOCOLLO. Info-Mark srl

UNI (U ) Apparecchiature di estinzione di incendi - Estintori di incendio

Il Sistema di qualità. delle Unità di raccolta Avis

REGOLAMENTO COMUNALE PER IL SERVIZIO DI TRASPORTO SOCIALE

DISPOSITIVI PER LE USCITE ANTIPANICO E PER LE USCITE DI EMERGENZA

CARTA DEI SERVIZI MEDEA

STANDARD OHSAS 18001:2007 E CORRISPONDENZE CON IL MODELLO ORGANIZZATIVO DEL DECRETO LEGISLATIVO N. 81/2008

SISTEMI DI GESTIONE QUALITA UNI EN ISO Maggio 2011

La prestazione di servizi nell Unione europea

di consulenza legale in diritto di famiglia e mediazione familiare

GESTIONE QUALITA : DAL TQM ALLE CERTIFICAZIONI ISO 9000

SENATO DELLA REPUBBLICA

LA NORMA OHSAS E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO

solidarietà familiare

I riferimenti ai sistemi di gestione ambientale negli appalti pubblici

Sistemi Qualità Certificazione ISO9001

MANUALE DELLA QUALITÀ

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO

Applicazione della norma ISO 9001:2008 al Sistema Gestione per la Qualità del Gruppo Ricerca Fusione. Claudio Nardi Frascati 24 novembre 2009

Domanda di Certificazione CE Insiemi/Attrezzature Direttiva PED

SISTEMA DI GESTIONE AMBIENTALE

Sistema di gestione della Responsabilità Sociale

LA VALIDAZIONE DEL PROGETTO

COMUNE DI CASORATE PRIMO OBBLIGHI E RESPONSABILITA DEL COMMITTENTE NELL EDILIZIA PRIVATA

Particolarità nell applicazione del DPR 462/01

ACCREDIA L Ente Italiano di Accreditamento. Accreditation process for abilitation/notification: experiences and criticalities

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

Regolamento per lo svolgimento di attività di ispezione in qualità di Organismo di Ispezione di Tipo A.

INTRODUZIONE ALLA QUALITÀ. LE ISO Serie 9000

APPALTO N. 517 DISCIPLINARE DI QUALIFICAZIONE

LA QUALITÀ. Prof. Vincenzo Leo - Trasformazione dei prodotti- ITA Emilio Sereni

LE NORME E LA CERTIFICAZIONE

LABORATORIO METROLOGICO. Descrizione del Servizio

TENUTA SOTTO CONTROLLO DELLE REGISTRAZIONI

Certificazione ISO Il sistema di gestione per la qualità

DOCUMENTO INFORMATICO E FIRME ELETTRONICHE, PAGAMENTI, LIBRI E SCRITTURE

IL MINISTRO DEL LAVORO E DELLE POLITICHE SOCIALI di concerto con IL MINISTRO DELLA SALUTE

POLITICA DEL SISTEMA DI GESTIONE INTEGRATA POLITICA PER LA QUALITÀ E PER LA SICUREZZA

Verifica Firma Digitale dei documenti

CRITERI PER IL RICONOSCIMENTO DEGLI ORGANISMI DI ABILITAZIONE

DIREZIONE GENERALE CULTURA FORMAZIONE LAVORO Servizio Formazione Professionale

LA PEC (POSTA ELETTRONICA CERTIFICATA)

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Транскрипт:

La certificazione della sicurezza ICT Roma CNIPA, 30 maggio 2005 Le entità in gioco Common Criteria/ITSEC ACCREDITATORE NORMA DI RIFERIMENTO FORNITORE/TITOLARE OGG. DA CERTIFICARE FRUITORE DEI SERVIZI FORNITI DALL OGGETTO CERTIFICATO BS7799 VALUTATORE CERTIFICATORE OGGETTO DA CERTIFICARE CERTIFICATO

Quando si può parlare di certificazione La certificazione deve essere eseguita in modo da garantire l imparzialità, l oggettività, la ripetibilità e la riproducibilità dell intero processo di certificazione. A tal fine: l accreditatore, il certificatore ed il valutatore (qualora sia presente) devono essere terza parte indipendente rispetto al: Fornitore/titolare dell oggetto da certificare Fruitore della certificazione la certificazione deve basarsi su criteri o standard di riferimento comunemente accettati deve essere verificata la competenza di chi applica la norma di riferimento (valutatore/certificatore) Soggetto di riferimento Per facilitare il mutuo riconoscimento delle certificazioni in vari Paesi, normalmente chi accredita i certificatori/valutatori è un Organismo pubblico o un Associazione altamente rappresentativa

La sicurezza ICT in un Organizzazione Processo di gestione della sicurezza ICT (ISMS) Certificabile BS7799 Informazioni/beni da proteggere Sistemi/prodotti ICT Contromisure tecniche Certificabili ISO/IEC 15408 (Common Criteria) Analisi e gestione dei rischi Politiche di sicurezza (modello organizzativo, definizione requisiti per le contromisure tecniche e non tecniche, ecc.) Contromisure fisiche Pluralità di soggetti con diversi compiti e responsabilità Competenza certificabile secondo criteri quali CISSP/SSCP, CISA/CISM, ecc.) Tipi di certificazione Oggetto certificato Processo di gestione della sicurezza ICT (ISMS) Sistema/prodotto ICT Competenza del personale Norme di riferimento BS7799:2 Common Criteria (ISO/IEC IS15408) ITSEC CISSP/SSCP, CISA/CISM, ecc.

Le certificazioni in Italia regolate da DPCM Certificazione di prodotto/sistema ICT Schema Nazionale del 1995 aggiornato nel 2002 (DPCM 11 aprile 2002 GU n. 131 del 6 giugno 2002) applicabile nel contesto della sicurezza interna e esterna dello Stato Ente di Certificazione/Accreditamento (EC): ANS/UCSi Centri di Valutazione (Ce.Va.): 3 privati, 2 pubblici (tra cui ISCOM ex ISCTI) Schema Nazionale del 2003 (DPCM 30 ottobre 2003 GU n. 98 del 27 aprile 2004) applicabile in tutti i contesti non coperti dal primo Schema Organismo di Certificazione/Accreditamento (OCSI): ISCOM ex ISCTI (Ministero Comunicazioni) che si avvale del supporto della (FUB) Laboratori di Valutazione (LVS): da accreditare nei prossimi mesi Le altre certificazioni in Italia Certificazione del processo di gestione (ISMS) Schema Sincert per l accreditamento BS7799 Organismo di Accreditamento: Sincert Organismi di certificazione accreditati: 4 privati Certificazione del personale Criteri di verifica della competenza sviluppati per lo più in ambito internazionale (es. CISP/SSCP sviluppati da (ISC) 2, CISA/CISM sviluppati da ISACA, ecc.) Soggetti operanti anche in Italia (es. Clusit, come Education Affiliate nell ambito delle certificazioni CISP/SSCP)

La certificazione di sistema/prodotto ICT Lo Schema Nazionale (DPCM 30/10/2003) OCSI (Certificatore/Accreditatore unico) Laboratori per la Valutazione della Sicurezza (LVS) Assistente Fornitore Committente Utilizzatore Concetti chiave Prodotto/Sistema ICT = Ogg. Della Valutaz. (ODV) Protection Profile Security Target Livello di assurance (EALx) Mantenimento della certificazione

Valutazione della sicurezza dei sistemi/prodotti ICT (1) La valutazione della sicurezza secondo i Common Criteria (CC) ha lo scopo di offrire garanzie (assurances) sulla capacità dell ODV di soddisfare i propri obiettivi di sicurezza nell ambiente di sicurezza per esso ipotizzato In altri termini, viene affermato il principio che non ha senso verificare se un sistema/prodotto è sicuro se non si specifica: sicuro per fare cosa (obiettivi di sicurezza) sicuro in quale contesto (ambiente di sicurezza) Valutazione della sicurezza dei sistemi/prodotti ICT (2) I CC costituiscono uno strumento per offrire garanzie circa l efficacia delle funzioni di sicurezza previste per soddisfare gli obiettivi di sicurezza dell ODV l assenza di errori commessi durante il processo di raffinamento che dalla definizione ad alto livello delle funzioni di sicurezza scelte porta alla loro pratica realizzazione la capacità dell ODV di soddisfare i suoi obiettivi di sicurezza anche nella fase operativa

I CC non si occupano Valutazione della sicurezza dei sistemi/prodotti ICT (3) della verifica che l ambiente di sicurezza dell ODV e, conseguentemente, gli obiettivi di sicurezza riflettano adeguatamente il contesto nel quale il sistema o prodotto sarà usato della valutazione delle misure di sicurezza non ICT che sono tenute in considerazione ma non sono oggetto di valutazione e vengono assunte come perfette (efficaci e correttamente realizzate) di alcuni aspetti ICT (controllo di emissioni elettromagnetiche, robustezza di algoritmi e protocolli crittografici, etc.) Ottenimento delle garanzie (assurance) attraverso la ricerca diretta di vulnerabilità derivanti da possibili errori nelle fasi di progettazione, realizzazione e gestione del TOE attraverso la verifica che nelle suddette fasi sia stato previsto l impiego di strumenti, metodologie e procedure finalizzati alla riduzione della probabilità di errori

Strategia dell OCSI Tutelare l utilizzatore della certificazione attraverso: l esecuzione di certificazioni di sistema invece che di prodotto eventualmente eseguite al primo livello di certificazione (anello debole della catena) il mantenimento della validità della certificazione nel tempo

Grazie dell attenzione e-mail: guida@fub.it Direttore dell OCSI e dell ISCOM ing. Luisa Franchina e-mail: luisa.franchina@comunicazioni.it Sito web dell OCSI: www.ocsi.gov.it

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back