La sicurezza dell informazione



Похожие документы
La Sicurezza dell Informazione nel Web Information System La metodologia WISS

Politica per la Sicurezza

5.1.1 Politica per la sicurezza delle informazioni

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Piano di gestione della qualità

Audit & Sicurezza Informatica. Linee di servizio

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

MANUALE DELLA QUALITÀ Pag. 1 di 6

AUDIT. 2. Processo di valutazione

Organizzazione, marketing interno e cultura del servizio

VALUTAZIONE DEL LIVELLO DI SICUREZZA

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

IL SISTEMA DI CONTROLLO INTERNO

ISO/IEC : 2005 per i Laboratori di Prova

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

GESTIONE DELLE TECNOLOGIE AMBIENTALI PER SCARICHI INDUSTRIALI ED EMISSIONI NOCIVE LEZIONE 10. Angelo Bonomi

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Ministero dell istruzione, dell università e della ricerca. Liceo Tecnologico. Indirizzo Elettrico Elettronico

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO )

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

MANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ

La gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe

Le competenze per la gestione e lo sviluppo delle risorse umane nelle università e negli enti di ricerca

Economia e gestione delle imprese - 05

IL SISTEMA INFORMATIVO

Norme per l organizzazione - ISO serie 9000

Test di Apprendimento

Project Management. Modulo: Introduzione. prof. ing. Guido Guizzi

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

COMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE

Procedura n. 03 (Ed. 02) TENUTA SOTTO CONTROLLO DEI DOCUMENTI E DELLE REGISTRAZIONI

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

LA CERTIFICAZIONE. Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona

Manuale della qualità. Procedure. Istruzioni operative

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING

Il Bilancio di esercizio

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001

Sistema di Gestione Integrata Qualità/Ambiente/Sicurezza Doc.3 Politiche aziendale. Qualità/Ambiente

03. Il Modello Gestionale per Processi

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

Analisi e sviluppo del call center e del servizio di customer care

CICLO DI LEZIONI per Progetto e Gestione della Qualità. Facoltà di Ingegneria INTRODUZIONE. Carlo Noè

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

GUIDA - Business Plan Piano d impresa a 3/5 anni

ƒ Gli standard e la gestione documentale

La manutenzione come elemento di garanzia della sicurezza di macchine e impianti

Sistemi di gestione per la qualità Requisiti

GESTIONE AVANZATA DEI MATERIALI

Tecnologie dell informazione e della comunicazione per le aziende

ISO 9000:2000 Assicurazione della qualità Parte della gestione per la qualità mirata a dare fiducia che i requisiti per la qualità saranno

NUOVI APPROCCI PER UN MANAGER ALLENATORE : IL PROCESSO DI COACHING

SCHEDA PRODOTTO PAG. 1 J O B T I M E W F. Variazioni mensili al cartellino presenze. Versione 6.1. JOBTIME Work Flow

IL MARKETING E QUELLA FUNZIONE D IMPRESA CHE:

RACCOMANDAZIONE N. R (91) 10 DEL COMITATO DEI MINISTRI AGLI STATI MEMBRI SULLA COMUNICAZIONE A TERZI DI DATI PERSONALI DETENUTI DA ORGANISMI PUBBLICI

Associazione Italiana Information Systems Auditors

Protezione delle informazioni in SMart esolutions

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

Orientamenti. sulla serie di scenari da utilizzare nei piani di risanamento ABE/GL/2014/ luglio 2014

La Qualità il Controllo ed il Collaudo della macchina utensile. Dr. Giacomo Gelmi

MANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

GESTIONE DELLE NON CONFORMITÀ E RECLAMI

INCREMENTARE LE QUOTE DI MERCATO E LA REDDITIVITÀ

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

COMUNE DI PERUGIA AREA DEL PERSONALE DEL COMPARTO DELLE POSIZIONI ORGANIZZATIVE E DELLE ALTE PROFESSIONALITA

Otto Principi sulla Gestione per la Qualità previsti dalla ISO 9000:2005

Qualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)

Area Marketing. Approfondimento

Azione su un prodotto-servizio NC, per renderlo conforme ai requisiti

La disciplina della Consulenza Finanziaria nella Mifid 2

Città di Desio REGOLAMENTO PER L ISCRIZIONE E LA TENUTA ALBO DELLE ASSOCIAZIONI

CONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA

ISO 9001:2015 e ISO 14001:2015

Sistemi di misurazione e valutazione delle performance

1- Corso di IT Strategy

La Metodologia adottata nel Corso

Rev. 00. AUDIT N DEL c/o. Auditor Osservatori DOCUMENTI DI RIFERIMENTO. Legenda: C = Conforme NC = Non conforme Oss = Osservazione.

Lo studio professionale quale microimpresa?

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

GUIDA AL CALCOLO DEI COSTI DELLE ATTIVITA DI RICERCA DOCUMENTALE

Archivi e database. Prof. Michele Batocchi A.S. 2013/2014

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation

Sistema di gestione per la qualità

BILANCIARSI - Formazione e Consulenza per la legalità e la sostenibilità delle Organizzazioni

1 La politica aziendale

Транскрипт:

La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio corrente, spesso si confonde con il dato. Nell ambito della comunicazione il dato che ha carattere numerico o alfanumerico possiede l attitudine a essere elaborato ed è una descrizione non interpretata o elaborata di un evento. L informazione è la sintesi dei fatti, assunta a fondamento di decisioni; si riferisce a un insieme di uno o più dati, memorizzati, classificati, messi in relazione fra loro e interpretati in un contesto globale ed è il significato, che attraverso una convenzione, viene assegnato ad un dato o ad un insieme di dati. Le informazioni si trovano sotto diverse forme e si basano su dati memorizzati nei computer, trasmessi via fax o via rete, stampate o scritte su carta, memorizzate su dischi, dischetti, bobine, registrate in microfilm o pellicole, espresse in una conversazione telefonica o in una conferenza. I mezzi che permettono a un organizzazione di essere competitiva e di fare business, sono in primo luogo i suoi prodotti e i suoi servizi, nonché le sue capacità di creare valore per i suoi clienti. Quello che supporta questi mezzi e il business stesso sono i dati e le informazioni di vario genere e la loro relativa importanza. Le informazioni del business e i sistemi che le supportano sono beni per l organizzazione. Si trovano alla pari di altri capitali aziendali e hanno un valore per l impresa e necessitano, quindi, di una protezione adeguata. La sicurezza ha lo scopo di tutelare le informazioni contro una vasta gamma di minacce allo scopo di assicurare la continuità del business, di minimizzare le perdite attraverso la prevenzione, di minimizzare l impatto degli eventuali incidenti sulla sicurezza e di massimizzare il ritorno dell investimento e le opportunità di business. 2 Il concetto di sicurezza dell informazione Ogni organizzazione ha le proprie informazioni dalle quali essa dipende; esse, come è stato detto, costituiscono fattori essenziali per il proprio business. Più l informazione è critica, più suscita interesse. Cresce comunque la consapevolezza che queste informazioni possono essere scoperte e divulgate, modificate, rese non disponibili o addirittura distrutte attraverso comportamenti errati, il rubare o l utilizzo improprio. Un sistema per il trattamento automatico e per la conservazione dell'informazione è una combinazione di molteplici entità che, in un ambiente operativo ben definito, cooperano nello 1 Ioanis Tsiouras è Managing Director della TS Consulting di Novara (Italia), società di consulenza e formazione per l ICT finalizzata all eccellenza nel business. Pagina 1 di 1

svolgimento di svariate operazioni come: l'archiviazione, l'elaborazione e il trasferimento dei dati. I sistemi dell information technology, dai più semplici costituiti da un singolo Personal Computer o Work Station, fino a quelli più complessi che includono numerosi elaboratori collegati tra loro mediante reti di comunicazione (intranet, extranet, internet), possono presentare problemi rilevanti di sicurezza. Si parla dunque, secondo il caso, della sicurezza logica dell informazione o della sicurezza fisica. L'obiettivo generale della sicurezza delle informazioni consiste nella protezione delle informazioni stesse dalla perdita di: Riservatezza: assicurare che le informazioni siano accessibili solo alle persone autorizzate. Integrità: tutelare l esattezza e la completezza delle informazioni e dei metodi con cui vengono elaborate e/o processate. Disponibilità: assicurare che gli utenti autorizzati possano accedere alle informazioni e ai beni associati, quando è richiesto. Un sistema informatico può essere considerato sicuro, quando protegge adeguatamente le proprie informazioni relative alle tre caratteristiche indicate. Occorre precisare a tale proposito che la sicurezza assoluta non esiste in quanto le protezioni, comunque robuste, possono essere abbattute disponendo di adeguate risorse per attaccarle. La questione è quindi di definire quando le protezioni sono da ritenersi adeguate. Per risolvere tale problema le organizzazioni devono identificare dei riferimenti per la sicurezza che devono essere la base della progettazione del sistema di protezione e di rispetto dei quali si ne dovrà verificare l adeguatezza. 3 I requisiti per la sicurezza dell informazione La sicurezza è legata ad un bisogno psicologico strettamente connesso alla conservazione del proprio stato. La definizione dei requisiti di sicurezza e del livello di protezione, percepito come adeguato, viene influenzata da diversi fattori. Le principali fonti per la definizione dei requisiti sono: la missione, la politica e la strategia dell azienda, nonché i valori, gli atteggiamenti e le esigenze aziendali per il processamento dell informazione che l organizzazione ha sviluppato per supportare le proprie attività. La valutazione del rischio cui l organizzazione è soggetta e che consente di identificare le minacce e le vulnerabilità (punti deboli) nei confronti dei beni e la probabilità di avvenimento per cui viene stimato il potenziale impatto sulle attività e sul business dell azienda. I requisiti contrattuali che un organizzazione, i suoi partner e i suoi fornitori di beni e servizi devono soddisfare e i requisiti di norme e di regolamenti esterni all azienda (leggi, direttive, ecc.) a cui è soggetta la sua attività. Pagina 2 di 2

4 Schema generale della sicurezza La BS 7799 propone lo schema concettuale della seguente figura che illustra il contesto generale della sicurezza e del rischio; definisce le correlazioni tra i rischi per la sicurezza, i beni e i potenziali impatti, le minacce, le vulnerabilità, i requisiti e le contromisure di protezione da applicare. Minacce Individuano Vulnerabilità Proteggono dalle Espongono Controlli per la sicurezza Riducono Rischi per la sicurezza Beni Soddisfati dai Indicano Hanno Requisiti per la sicurezza Valore dei Beni e Potenziali impatti Il valore dei beni e il potenziale impatto Allo scopo di identificare l appropriata protezione per i beni, è necessario stimare il loro valore in funzione della loro importanza nel business o il loro valore potenziale attribuito in certe occasioni. Il valore è espresso in funzione del potenziale impatto al business di un incidente non desiderato in termini di riservatezza, integrità e disponibilità, che potrebbe provocare perdite finanziarie, economiche, quota di mercato o di immagine. Per una valutazione efficace e coerente occorre creare, per i beni, una scala di valore. Per ogni bene e per ogni possibile perdita sarà assegnato un valore. Le minacce La minaccia possiede il potenziale per causare un incidente non desiderato da chi lo subisce, capace di arrecare danni al sistema, all organizzazione o ai suoi beni. Questo danno può avvenire attraverso attacchi diretti o indiretti all informazione dell organizzazione. Le minacce possono provenire da eventi o sorgenti deliberati o accidentali e hanno bisogno di sfruttare una vulnerabilità (punto critico) del sistema, delle applicazioni o dei servizi utilizzati dall organizzazione per provocare un danno ai beni (esempi di minacce: accessi Pagina 3 di 3

non autorizzati, virus, errori e malfunzionamenti nel software, modifiche non autorizzate alle informazioni, incendi, errori dello staff, il rubare, ecc). Le vulnerabilità Le vulnerabilità costituiscono i punti deboli associati ai beni o a un gruppo di beni o a una specifica parte del sistema che ne compromette la sicurezza per come è stata specificata negli obiettivi. Questi punti deboli potrebbero essere sfruttati da una minaccia, provocando incidenti non desiderati. Una vulnerabilità di per sé non provoca un danno; costituisce una condizione o un insieme di condizioni che possono permettere a una minaccia ad avere un impatto su un bene (esempi: protezione fisica non adeguata, definizione e uso errato delle password, trasmissione dati via internet, conservazione di documenti senza protezione, addestramento insufficiente del personale sulla sicurezza dell informazione, ecc.). 5 Valutazione dei rischi e le misure di protezione Si può definire il rischio come la possibilità che una minaccia, rivolta ad un bene o a un gruppo di beni o a una specifica parte del sistema, possa sfruttare le vulnerabilità del sistema e provocare perdite o danni ai beni e per l azienda. Lo scenario del rischio descrive come una particolare minaccia o gruppo di minacce possono sfruttare una particolare vulnerabilità o un gruppo di vulnerabilità che espongono i beni al pericolo. Il rischio è caratterizzato dalla combinazione di due fattori: la probabilità che un incidente indesiderato avvenga e il suo impatto sul business dell organizzazione. La misura del rischio è determinata dalla combinazione del valore del bene, dai livelli delle minacce e dalle vulnerabilità associate. Il processo ha l obiettivo di identificare i rischi per la sicurezza, determinando la loro ampiezza e identificando le aree che necessitano protezione è definito come analisi del rischio. Una volta che il rischio è stato analizzato e valutato occorre procedere con la sua gestione. Il processo di identificazione, controllo, eliminazione o riduzione degli eventi incerti che possono avere un impatto sulle risorse del sistema è definito come processo di gestione del rischio. Il rischio normalmente non viene eliminato del tutto, ma viene mitigato parzialmente attraverso l uso delle contromisure. Maggiore è la riduzione del rischio, maggiori sono i costi. Questo significa che per eliminare del tutto il rischio i costi crescono. Si può in ogni modo accettare un livello di rischio, definito come rischio residuo che corrisponde al rischio che rimane dopo l attuazione delle contromisure di protezione. In ogni caso occorre trovare il punto di equilibrio tra il rischio residuo e il danno ammissibile. Il rischio residuo che corrisponde al danno ammissibile costituisce il rischio residuo ammissibile. Il management di ogni impresa dovrebbe essere consapevole del rischio residuo in termini di impatto e di probabilità che un evento possa avvenire. La decisione di accettare il rischio residuo dovrebbe essere preso, da persone che sono in posizione di accettare le conseguenze dell impatto degli incidenti indesiderati che possono avvenire e da chi può autorizzare contromisure addizionali se i livelli del rischio residuo non sono accettabili. Pagina 4 di 4

6 Come costruire il Sistema di Gestione per la Sicurezza dell Informazione (SGSI) Ogni organizzazione dovrebbe stabilire e manutenere un Sistema di Gestione per la Sicurezza dell Informazione allo scopo di proteggere adeguatamente i suoi Beni. L approccio per la realizzazione del SGSI e la sua certificazione è suddiviso nei seguenti Step: Step Titolo 1 Definizione della Politica per la sicurezza dell informazione 2 Definizione del Sistema di Gestione per la Sicurezza dell Informazione (SGSI) 3 Analisi e Valutazione del Rischio 4 Gestione del Rischio 5 Valutazione periodica della sicurezza dell informazione (Audit) 6 Certificazione 7 Bibliografia [1] I. Tsiouras, Guida alla certificazione ISO 9000 per le organizzazioni utenti e le aziende d informatica, FrancoAngeli, Milano, 1998. [2] BS 7799-1: 1999 Information security management part 1: code of practice for information security management [3] BS 7799-1: 1999 Information security management part 2: specification for information security systems [4] Merike Kaeo, Designing Network Security, Macmillan Technical Publishing, 1999 [5] G. Carducci, La tutela dei dati aziendali, FrancoAngeli, Milano, 1999. [6] M. Morelli, La comunicazione in rete, FrancoAngeli, Milano, 1999. [7] M. Cinotti, Internet Security, Hoepli, Milano, 1999 Pagina 5 di 5

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back