Gestione della Sicurezza Informatica

Documenti analoghi
Esperienze di analisi del rischio in proggeti di Information Security

L amministratore di sistema. di Michele Iaselli

Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Associazione Italiana Information Systems Auditors

Analisi del Rischio. Approccio alla valutazione del rischio Informatico. Contromisure. Giorgio Giudice

Il nuovo codice in materia di protezione dei dati personali

CHECK LIST PER INDAGINI EFFETTUATE CON METODOLOGIA SOCIAL MEDIA RESEARCH Ottobre 2015 A) CHECK LIST (PARTE GENERALE)

PROGRAMMAZIONE MODULARE DI INFORMATICA CLASSE QUINTA - INDIRIZZO MERCURIO SEZIONE TECNICO

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

SICUREZZA ARCHIVI DIGITALI DISASTER RECOVERY

Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

Economia e gestione delle imprese - 05

I dati : patrimonio aziendale da proteggere

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Ministero dell Istruzione, dell Università e della Ricerca. Acquisizione Beni e Servizi

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

Sistema di gestione della Responsabilità Sociale

Progettaz. e sviluppo Data Base

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Norme per la sorveglianza e la prevenzione degli incidenti domestici

LA REALIZZAZIONE DEL DVR CON IL SOFTWARE STR.A.DI.VA.RI.

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Direzione Regionale Lazio «Analisi delle dinamiche incidentali e identificazione delle cause: la metodologia Infor.MO e l applicativo gestionale»

REGOLAMENTO PER LA MISURAZIONE E LA VALUTAZIONE DEL PERSONALE DEI LIVELLI

Business Process Management

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

NOTIFICAZIONE E PUBBLICITÀ LEGALE DEGLI ATTI NELL AMMINISTRAZIONE PUBBLICA DIGITALE

Sicurezza informatica in azienda: solo un problema di costi?

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Corso di Valutazione Economica dei Progetti e dei Piani. Marta Berni AA

I dati in cassaforte 1

Il Rappresentante dei lavoratori per la sicurezza R.L.S. nel Decreto Legislativo 81/08 e 106/09 Articoli 48 e 50

SISTEMA DI GESTIONE INTEGRATO. Audit

PS_01 PROCEDURA PER LA GESTIONE DEI DOCUMENTI E DELLE REGISTRAZIONI

Presidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico

Allegato 2 Modello offerta tecnica

SICUREZZA INFORMATICA

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Data protection. Cos è

CARTA DEI SERVIZI MEDEA

TAURUS INFORMATICA S.R.L. Area Consulenza

03. Il Modello Gestionale per Processi

Procedure di lavoro in ambienti confinati Livello specialistico

TECNICO SUPERIORE DELLA LOGISTICA INTEGRATA

TECNICO SUPERIORE DEI TRASPORTI E DELL INTERMODALITÀ

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

Gli accordi definiscono la durata, i contenuti e le modalità della formazione da svolgere.

La valutazione dei rischi. La valutazione dei rischi -- Programma LEONARDO

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

TECNICO SUPERIORE PER L AUTOMAZIONE INDUSTRIALE

D. LGS 81/2008. Rappresentante dei lavoratori per la sicurezza

MANUALE DELLA QUALITÀ Pag. 1 di 6

Sistemi Informativi e Sistemi ERP

PROCEDURA DI GESTIONE DELLE PRESCRIZIONI LEGALI

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

Basi di Dati Relazionali

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre Sicurezza dei dati

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

Gestione in qualità degli strumenti di misura

A.O. MELLINO MELLINI CHIARI (BS) GESTIONE DELLE RISORSE 1. MESSA A DISPOSIZIONE DELLE RISORSE RISORSE UMANE INFRASTRUTTURE...

POLITICA INTEGRATA QUALITÀ, AMBIENTE E SICUREZZA

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

La Metodologia adottata nel Corso

Aziendalista un nuovo modo di essere Commercialista.

GESTIONE DEL RISCHIO NEI DISPOSITIVI MEDICI: DALLA CLASSIFICAZIONE ALLA COMMERCIALIZZAZIONE

La certificazione CISM

Comune di San Martino Buon Albergo

AMMINISTRARE I PROCESSI

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Continuità operativa e disaster recovery nella pubblica amministrazione

Violazione dei dati aziendali

TITOLO III USO DELLE ATTREZZATURE DI LAVORO E DEI DISPOSITIVI DI PROTEZIONE INDIVIDUALE N 3 CAPI - N 19 articoli (da art. 69 a art.

IL DOCUMENTO DI VALUTAZIONE DEI RISCHI

La Giunta Comunale. Visto il D.P.R n. 223 Regolamento Anagrafico e sue modifiche;

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

SISTEMA INFORMATIVO INPDAP SERVIZI E PROGETTI PER L'INTEGRAZIONE DEL SISTEMA STANDARD DI PRODOTTO PIANO DI QUALITA' DI PROGETTO

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

Padova, 13 gennaio Il cruccio del Provider: ci sono o ci faccio? Marisa Sartori e Mauro Zaniboni

Dr. Giovanni MACORETTA Tecnico della Prevenzione nell Ambiente e nei Luoghi di Lavoro Dipartimento di Sanità Pubblica

Corso RSPP Modulo C. Ing. Vincenzo Staltieri

Valutazione dei Rischi. Normativa e documenti di riferimento. Definizioni (UNI EN ISO 12100)

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

I vantaggi del nuovo sistema: qualità dell output e burden sulle imprese

SISTEMA DI GESTIONE AMBIENTALE

TECNICO SUPERIORE DELLE INFRASTRUTTURE LOGISTICHE

TECNICO SUPERIORE PER L INFORMATICA INDUSTRIALE

BANCHE DATI. Informatica e tutela giuridica

PRIVACY POLICY DEL SITO WEB

3. APPLICABILITÀ La presente procedura si applica nell organizzazione dell attività di Alac SpA.

MANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO

5.1.1 Politica per la sicurezza delle informazioni

PRINCIPALI ATTIVITA TECNICHE PER LA MISURA DEL GAS

Decreto Interministeriale del Attuazione di quanto previsto dall art. 29 comma 5 del D.L.vo 81/08

1. DISTRIBUZIONE Direzione, RSPP, RLS, preposti 2. SCOPO

Transcript:

Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un piano di sicurezza aziendale: piano di sicurezza strategico (pluriennale) un piano di sicurezza operativo (annuale)

Redazione di un Piano di Sicurezza Non esiste un piano di sicurezza che copra tutte le tipologie di aziende ed i relativi obiettivi: è però possibile adottare una metodologia comune nel creare il piano aziendale. In letteratura e nella pratica esistono diverse metodologie. Tutte possono però essere ricondotte, alle fasi elencate in figura:

Fasi Metodologiche: Analisi del Contesto Struttura dell organizzazione e finalità (distribuzione geografica delle sedi, unità organizzative, ruoli, competenze, responsabilità, processi) Elementi fondamentali per l analisi del contesto sono : rilevazione e documentazione del modello del sistema informativo analisi del contesto normativo e legislativo vigente

Analisi del Contesto (2.) Rilevazione e documentazione del modello del sistema informativo con identificazione dei flussi informativi (informatici e non): informazioni in azienda informazioni scambiate con l esterno processi che le utilizzano definizione dei requisiti di sicurezza per ogni processo In questa fase si prescinde dal supporto informatico fornito ai diversi flussi informativi del sistema

Analisi del Contesto (3.) Analisi del contesto normativo vigente: molte norme degli ultimi anni hanno implicazioni (dirette o indirette)hanno forti implicazioni sull attuazione delle misure di sicurezza aziendali tra gli obiettivi fondamentali del piano di sicurezza aziendale vi è quello di garantire il rispetto formale degli obblighi normativi da parte dell azienda e dei suoi responsabili richiede un analisi del quadro normativo, delle sue implicazioni, del livello di responsabilità individuale ed aziendale, dei poteri e dei limiti di delega,dei rischi e delle sanzioni amministrative, civili e penali

Fasi Metodologiche: Analisi del Sistema Informatico In questa fase si provvede al censimento delle risorse hardware e software impiegate, al fine di: individuare i punti di potenziale debolezza individuare le responsabilità di gestione ed esercizio di ciascun componente o aggregato di componenti Analisi risorse fisiche, logiche, dipendenze tra risorse

Analisi del Sistema Informatico (2.) Infrastrutture fisiche: censimento di locali, cavedi, cablaggi, sistemi di protezione e produzione di una base dati varie informazioni (caratteristiche edilizie -dimensioni, disposizione, mappe,..., caratteristiche impianti, ) Apparati e cablaggi: censimento di sistemi hw e apparati di rete e produzione di una base dati varie informazioni (dati identificativi del sistema, luogo di ubicazione, responsabile, piano di manutenzione del sistema,..)

Analisi del Sistema Informatico (3.) Ambienti e procedure: censimento di ambienti sw e procedure predisposte per realizzare i servizi applicativi Dati e Archivi: Prevede il censimento e la mappatura dell organizzazione logica dei repository dati dell organizzazione (modelli concettuali delle basi di dati (ad es. E-R), definizione dei requisiti di sicurezza necessari, a livello di repository e/o a livello di singoli oggetti) Per ogni risorsa dati si devono definire: contesti operativi (procedure che li adoperano, DBMS interessati, server su cui risiedono, utenti che vi possono accedere) requisiti di sicurezza (classificazione dei diritti di accesso) politiche di back-up (supporti da usare, modalità di back-up (totale, incrementale, ecc.), frequenza di aggiornamento e tempi di conservazione

Fasi Metodologiche: Analisi e Valutazione del Rischio Associare un rischio a ciascuno degli eventi indesiderati individuati. Rischio esprime la probabilità che un evento accada e il danno che arreca al sistema se accade La valutazione del rischio richiede: Individuazione delle vulnerabilità Stima della probabilità di occorrenza Stima della perdita economica

Individuazione dei Data Asset In questa fase, prendendo come riferimento la descrizione e schematizzazione dei flussi ottenuta nella fase precedente, vengono censiti tutti i dati utilizzati dal processo oggetto dell analisi. I dati individuati vengono poi raggruppati in Data Asset secondo determinati criteri (il loro utilizzo, i processi nei quali vengono utilizzati, gli user, etc )

Stima delle Probabilità di Occorrenza Ad ogni classe di evento è fondamentale associare una probabilità di occorrenza, la cui stima è basata su: dati statistici generali da fonti pubbliche o da società di consulenza dati tecnici di apparati MTBF: Mean Time Between Failure MTTR: Mean Time To Repair osservazioni e analisi statistiche stime soggettive sulla base dell esperienza L output di tale analisi è, per ogni vulnerabilità individuata, la probabilità di occorrenza annuale. La probabilità di occorrenza annuale può anche essere >1, nel caso di vulnerabilità che mediamente accadono più di una volta all anno.

Stima della Perdita Economica Per ogni tipo di vulnerabilità individuata, si determina il costo del danno arrecato contabilizzando: costi diretti: costi di intervento, di ripristino, ecc. costi indiretti: danni economici e finanziari conseguenti al blocco dei sistemi (ad es. perdite finanziarie per ritardata fatturazione, perdita di immagine, violazione di obblighi di legge) Il valore della perdita economica per evento (L) per la probabilità di occorrenza P determinano la perdita annuale attesa o ALE (Annual Loss Expectancy): ALE = L * P

Esempi Evento: allagamento del CED Perdita presunta: L = 600.000 Probabilità di occorrenza: P = 1% = 0,01 Perdita annuale attesa: ALE = 600.000 * 0,01 = 6.000 Evento: infezione di virus alle 300 workstation (PC) aziendali Perdita presunta, per postazione attaccata: L = 125 Probabilità di occorrenza, per postazione: P = 200% = 2 Numero medio di PC interessati per infezione: n = 60% = 0,6 Perdita annuale attesa: ALE = 300 * 125 * 2 * 0,6 = 45.000

Metodologie di Analisi del Rischio

Risk Analysis Quantitativa Esempio di semplice modello di analisi: si basa sulla determinazione, in termini economici, delle perdite che un rischio puo causare nell arco di dodici mesi. I parametri che vengono considerati sono due: 1. Valore del Bene: indica il costo di ogni singolo bene che l organizzazione deve sostenere, nel caso si verifichi la minaccia, per ripristinare tutti i servizi. Sono inclusi anche le possibili perdite derivanti da una perdita di immagine. 2. Frequenza di accadimento: Indica il numero di volte che la minaccia ha luogo nell arco di dodici mesi. Tale valore puo essere ricavato dagli archivi storici della societa, o da analisi statistiche elaborate da organizzazioni pubbliche.

Calcolo del Rischio Annuo Il rischio annuo e calcolato semplicemente moltiplicando il valore dei beni e la frequenza di accadimento. Maggiore e il valore ottenuto piu elevato e il rischio Rischio annuo = Frequenza di accadimento * Valore del bene

Esempio di Calcolo del Rischio Consideriamo ad esempio il rischio di incendio in una sala macchine. Supponiamo che il costo per il ripristino sia di un milione di euro e che un incidente si verifichi una volta ogni dieci anni. Rischio incendio Frequenza di accadimento = 1/10 Valore dei Beni = 1.000.000 Rischio annuo = 100.000

Risk Analysis Qualitativa La metodologia di tipo qualitativo provvede: ad una sistematica analisi della terna : Asset; Minacce; Vulnerabilita. a proporre una serie di contromisure per determinare il miglior rapporto costo-beneficio. E una metodologia dove non vengono definiti valori economici relativi al valore atteso dei danni La Qualitative Risk Analysis e una tecnica che puo essere utilizzata per determinare il livello di protezione richiesto per applicazioni, sistemi e tutti i beni aziendali.

Analisi qualitativa: esempio di misura del rischio Metrica per il rischio definiamo una metrica per la probabilità due valori: bassa e alta definiamo una metrica per l impatto due valori: basso e alto INCROCIANDO LE DUE VARIABILI OTTENGO IL GRADO DI RISCHIO ASSOCIATO AD OGNI ASSET DELL AZIENDA

Fasi Metodologiche individuazione delle contromisure =>analisi di standard e modelli, valutazione del rapporto costo/efficacia, contromisure di carattere organizzativo e tecnico integrazione delle contromisure => individuare sottoinsieme di costo minimo che soddisfi vincoli di completezza, omogeneità, ridondanza controllata, effettiva attuabilità

Esempio di individuazione e valutazione contromisure Evento: infezione di virus alle 300 workstation (PC) aziendali Perdita presunta, per postazione attaccata: L = 125 Probabilità di occorrenza, per postazione: P = 200% = 2 Numero medio di PC interessati per infezione: n = 60% = 0,6 Perdita annuale attesa: ALE = 300 * 125 * 2 * 0,6 = 45.000 Contromisura: installazione di un sw antivirus su tutti i PC Costo di acquisto: Ca = 50 per ogni PC Efficacia: 80% = 0,8 Probabilità di occorrenza in presenza di contromisure: Pc = 2 * (1-0,8) = 0,4 Perdita annuale attesa in presenza di contromisure: ALEc = 300 * 125 * 0,4 * 0,6 = 9.000 Risparmio economico atteso in presenza di contromisure: RE = ALE (Ca + ALEc) = 45.000 ( 50 * 300 + 9.000) = = 45.000-24.000 = 21.000

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back