Sistema di di Gestione della Sicurezza delle Informazioni a norma ISO ISO 27001. Relatore Gianluca Visentini

Documenti analoghi
Policy L integrità nelle nostre operations

Più intelligenza nella rete grazie all analisi in tempo reale dei dati provenienti da sistemi SCADA Mariano Marciano IBM GBS Senior Consultant

Desk CSS-KPMG Innovare la PA. Presentazione del progetto di ricerca Organization Review. Luciano Hinna

CORSO DI RAGIONERIA A.A. 2013/2014

Corso di Laurea in Chimica Regolamento Didattico

SAP Business One Top 10

COMUNICAZIONE PER VARIAZIONE BIVACCHI FISSI (Legge regionale 18 febbraio 2010, n. 8)

RIChIestA di BORsA di studio UNIVeRsItà O IstItUtI equipollenti

DBGTXPA. struttura tecnica di supporto del CISIS CPSG. 18 Conferenza Nazionale ASITA Sessione speciale del CISIS. Firenze 16 ottobre 2014

RIChIestA di BORsA di studio UNIVeRsItà O IstItUtI equipollenti

DESCRIZIONE PROGETTO. Free Software e Didattica

Catalogo dettagliato delle prestazioni 2015 (cfr. art. 14 del regolamento del fondo)

Più in alto voli, più lontano vedi. GCERTI ITALY ENTE DI CERTIFICAZIONE ACCREDITATO ACCREDIA

Modulo 6. La raccolta bancaria e il rapporto di conto corrente. Unità didattiche che compongono il modulo. Tempo necessario

Imparare: cosa, come, perché.

Stabilità dei sistemi di controllo in retroazione

Questionario Richiesta per il rilascio di un certificato successorio tedesco

CSQ: la certificazione dei sistemi di gestione TOGETHER TOWARD EXCELLENCE

SANITASSICURA AL SERVIZIO DELLE AZIENDE SANITARIE PRIVATE NEL NUOVO SCENARIO GENERATO DALLA LEGGE GELLI

D.A.M.S. Legge sulla privacy D.Lgs 196/2003 e Codice della Privacy in merito alle misure di sicurezza per la protezione dei dati personali

Allegato alla D.G. n. 20 del 20 febbraio 2012 PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA C.C.I.A.A. DI ASCOLI PICENO TRIENNIO

DIPARTIMENTO DI IGIENE E SANITA PUBBLICA UNIVERSITA DEGLI STUDI DI PERUGIA. Criteri di Qualità per la Promozione della Salute nei Luoghi di Lavoro

DICHIARAZIONE SOSTITUTIVA DI ATTO NOTORIO (D.P.R N. 445) in qualità di...dell Impresa

1. Indicare se le seguenti affermazioni sono VERE o FALSE VERO FALSO

CSQ: la certificazione dei sistemi di gestione TOGETHER TOWARD EXCELLENCE

10. L accessibilità dei servizi

Ordinanza concernente la legge sul credito al consumo

Alcune nostre realizzazioni

Siano α(x), β(x) due funzioni continue in un intervallo [a, b] IR tali che. α(x) β(x).

Equivalenza tra equazioni di Lagrange e problemi variazionali

Politica per la Sicurezza

COMPUTO METRICO ESTIMATIVO

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

ELEMENTI ESSENZIALI DEL PROGETTO LEGGERE IL TERRITORIO, ABITARE I TEMPI

Domanda n. del Pensione n. cat. abitante a Prov. CAP. via n. DICHIARA, sotto la propria responsabilità, che per gli anni:

TABELLA DELLE INDENNITA

PROBLEMATICHE LEGATE ALL ENERGIA

Introduzione all algebra

UDA N 2 Scienze e Tecnologie Applicate: Indirizzo INFORMATICA

FORMULE DI AGGIUDICAZIONE

AMMORTAMENTO PERDITE ESERCIZIO

Il Dirigente scolastico

5.1.1 Politica per la sicurezza delle informazioni

- Ufficio Unico PIT2 - Progetto Integrato Territoriale NORD BARESE

REGOLAMENTO SULLA CONCESSIONE DELLA PROTEZIONE GIURIDICA

Protocollo di intesa tra :

ISTANZA DI PARTECIPAZIONE A PROCEDURA APERTA PER L APPALTO DEI SERVIZI DI ASSISTENZA GERIATRICA E ALTRI NELLA COMUNITA ALLOGGIO PER ANZIANI

Oggetto: SOGGETTI IRES - LA RILEVAZIONE CONTABILE DELLE IMPOSTE DI ESERCIZIO

PUBBLICHIAMO LA SEGUENTE DOCUMENTAZIONE

FOGLIO INFORMATIVO SERVIZIO DI ACQUISIZIONE PAGAMENTI CON CARTA INFORMAZIONI SULL ACQUIRER

Lo diceva Douglas Adams ;) adesso è tempo di sofware libero

Tassi di cambio, prezzi e

% di copertur CONTRIBUTO - TIT. II. inferiore: ,97) completi di accessori, vetri e pannelli; arredamento zona ufficio, mensa e un mobile bagno.

Regime di interesse semplice

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

PRESENTAZIONE AL QUESTIONARIO DI AUTOVALUTAZIONE DELLA MEMORIA (Everyday Memory Questionnaire - EMQ)

Da 9.500,01 a ,00 > , ,00 COSTO PASTO 1,15 2,30 3,45 4,60

Sintesi del Programma Operativo F. S. E

Titolazione Acido Debole Base Forte. La reazione che avviene nella titolazione di un acido debole HA con una base forte NaOH è:

a a a a a a a-- REGOLAMENTO D GRADUAZONE DEGU NCARKH DllRftGENZAU Aree veterinaria sanitaria, profession&e, tecnica ed amministrathia

Data. Da inviare tramite pec a: Io sottoscritto / a

Al Dirigente Scolastico I.C. 5 MODENA

d.bisogno c. mi ss io ne iso gni Valorizzare la Villa reale 1 Rendere nuovamente la Villa Reale polo di attrazione e di promozione della città

BANDO PUBBLICO PER IL SOSTEGNO AL REDDITO PER PERSONE E/O FAMIGLIE IN SITUAZIONE DI CRISI PER LA PERDITA DEL LAVORO

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Transazioni al di fuori della normale gestione. Emissione del Prestito Obbligazionario 02/11/2010. Analisi della trasparenza Giovanni Andrea Toselli

REGOLAMENTO PER L USO DEL MARCHIO

1 b a. f(x) dx. Osservazione 1.2. Se indichiamo con µ il valore medio di f su [a, b], abbiamo che. f(x) dx = µ(b a) =

REGOLAMENTO PER L USO DEL MARCHIO

UNITÀ DI APPRENDIMENTO II QUADRIMESTRE SCUOLE PRIMARIE CLASSI SECONDE

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

FOGLIO INFORMATIVO SERVIZIO DI ACQUISIZIONE PAGAMENTI CON CARTA INFORMAZIONI SULL ACQUIRER

Data. Da inviare tramite raccomandata a/r o via pec a: Io sottoscritto / a

FOGLIO COMPARATIVO SULLE TIPOLOGIE DI MUTUO IPOTECARIO / FONDIARIO PER L ACQUISTO DELL ABITAZIONE PRINCIPALE

LCA e prevenzione dei rifiuti: caso di studio sull acqua da bere

AUTOVALORI ED AUTOVETTORI. Sia V uno spazio vettoriale di dimensione finita n.

3. Funzioni iniettive, suriettive e biiettive (Ref p.14)

FOGLIO INFORMATIVO SERVIZIO DI ACQUISIZIONE PAGAMENTI CON CARTA INFORMAZIONI SULL ACQUIRER

RIDURRE I COSTI ENERGETICI!

ISTANZA DI AMMISSIONE ALLA GARA D'APPALTO PER SERVIZIO RISTORAZIONE SCOLASTICA NELL' ANNO SCOLASTICO Il sottoscritto/a.

Le spese di ricerca e sviluppo: gestione contabile ed iscrizione in bilancio *

Il quadro di riferimento. Modalità, criteri e aspetti fiscali per la stipula dei contratti di ricerca e borse di studio

COMUNE DI SUELLI. Settore Tecnico SETTORE : Cirina Sergio. Responsabile: 514 NUMERAZIONE SETTORIALE N. 268 NUMERAZIONE GENERALE N. 10/07/2015.

Piano di formazione per l ordinanza sulla formazione professionale di base Specialista in fotografia

Conversione A/D e D/A. Quantizzazione

ANALISI REALE E COMPLESSA a.a

Temi speciali di bilancio

INFORMATIVA ex art. 13 Regolamento europeo n. 679 del 2016

La gestione della qualità nelle aziende aerospaziali

Il volume del cilindro è dato dal prodotto della superficie di base per l altezza, quindi

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Il sistema italiano dei confidi: tra storia ed evoluzione

INNOVAZIONI INTRODOTTE DALLE LEGGI FINANZIARIE NAZIONALI SPEC. IN MATERIA DI BILANCIO, TRIBUTI, PATRIMONIO

SISTEMA DI GESTIONE PER LA QUALITÀ DELL ISTITUTO TECNICO VIGANÒ

DUOSTEEL GD. Canne Fumarie Doppia Parete Grandi Diametri Coibentazione 50 mm. Canne fumarie in acciaio Inox

1) In una equazione differenziale del tipo y (t)=a y(t), con a > 0, il tempo di raddoppio, cioè il tempo T tale che y(t+t)=2y(t) è:

AL DIRETTORE GENERALE

ISO 9001:2015 e ISO 14001:2015

Transcript:

Sistem dell norm Reltore Ginluc Visentini

Sistem Sistem dell dell norm norm Informzione: il risultto dell rccolt e dell elborzione dti elementri, significtivi e utili l processo decisionle. Le informzioni possono essere stmpte o scritte su crt, gestite con strumenti informtici, trsmesse vi post o con mezzi elettronici, presentte in film o dette in converszioni Informzione è Conoscenz Conoscenz è Potere

Sistem Sistem dell dell norm norm L'informzione è elemento inspensbile per il successo e l crescit ogni ziend e perciò deve essere considert un risors inestimbile vlore che richiede, nzi impone un'degut tutel.

Sistem Sistem dell dell norm norm L'informzione Mettere l sicuro le proprie informzioni previene versi tipi rischi e soprttutto contribuisce mntenere l continuità opertiv I sistemi ccesso lle informzioni che utilizzno in lrg misur le reti informtiche sono sottoposte vri tipi ggressioni volte perseguire fini illeciti rendendo potenzilmente più vulnerbili le ziende ed esponendo il loro vlore

Sistem Sistem dell dell norm norm Esigenze conformità, l evoluzione legisltiv e l umento incidenti, hnno reso le Orgnizzzioni conspevoli dell necessità dotrsi un pproccio strutturto ll sicurezz informzioni - Le Orgnizzzioni sono sempre più pendenti loro sset informtivi - Gli utenti dell informzione (interni ed esterni) ne chiedono sempre mggiore sponibilità - Il numero incidenti che minccino l continuità dei servizi è in crescit Distruggere l immgine ziendle Un brecci sicurezz può: Ridurre il vlore del business Compromettere futuri introiti

Sistem Sistem dell dell norm norm L Informzione deve essere protett lungo tutto il suo ciclo vit: - Crezione - Elborzione - Archivizione - Distribuzione L Informzione deve essere protett inpendentemente dl suo formto o me Non solo IT - Documenti crtcei (sull scrivni, nel cestino, vicino ll fotocopitrice) - Comuniczioni verbli - Converszioni in luoghi pubblici - Gente

Sistem Sistem dell dell norm norm Informzione Un sset che, come ltri importnti sset ziendli, è essenzile per il il business un Orgnizzzione e conseguenz deve essere degutmente protetto Fonte: /IEC 27002:2007, Sezione 0.1 Definizione Asset qulunque entità bbi vlore per un Orgnizzzione Fonte: /IEC :2005, Sezione 3.1

Sistem Sistem dell dell norm norm informzioni: l'ttività volt definire, conseguire e mntenere : > l riservtezz > l integrità > l sponibilità informzioni

Sistem Sistem dell dell norm norm Definizioni I tre spetti fondmentli dell sicurezz informzioni sono quin : > l riservtezz: (o confidenzilità) le informzioni devono poter essere ccedute solo d persone utorizzte > l integrità: i dti e le informzioni devono essere protette d mofiche non utorizzte > l sponibilità: i sistemi e le ppliczioni devono essere sponibili qundo necessrio

Sistem Sistem dell dell norm norm

Sistem Sistem dell dell norm norm Nel Business, vere le informzioni giuste l momento giusto può fre l fferenz tr profitto e perte. L dell iut controllre e proteggere le informzioni ziendli d mofiche volontrie e/o involontrie o d ccessi non utorizzti Un SGSI (Sistem ) serve : - ssicurre l continuità del business dei servizi - minimizzre i dnni derivnti d eventuli incidenti - mssimizzre : Il renmento del cpitli investito Le opportunità migliormento

Sistem dell norm Definizioni - Sistem - Sistem ( 9000) : insieme elementi tr loro correlti o intergenti Sistem : insieme politiche, procedure e linee guid e risorse d esse collegte volte rggiungere gli obiettivi dell orgnizzzione ( 9000: sistem per stbilire politiche e obiettivi e per rggiungere tli obietti) Sistem per l (SGSI): Quell prte del sistem gestione complessivo, bst su un pproccio rivolto l rischio reltivo l business, volt stbilire, tture, condurre, monitorre,riesminre, mntenere ttivo, ggiornto e migliorre l sicurezz informzioni.

Sistem dell norm Informtion Security Mngement System (ISMS) L prte del Sistem ziendle, bst su un pproccio rischio, volt definire, implementre, gestire, monitorre, riesminre, mntenere e migliorre l informtion security E un processo gestionle e non un processo tecnologico E il frutto un decisione strtegic dell orgnizzzione - Progettzione ed implementzione Esigenze ed obiettivi Requisiti sicurezz Processi coinvolti Dimensioni e struttur dell orgnizzzione - Commisurt lle esigenze

Sistem dell norm Pubbliczione del Code of prctice for informtion security mngement nell industri 1995 Revisione dell BS 7799 (prti 1 e 2) 2000 Prim revisione dell BS 7799-2 2005 /IEC 17799 vent /IEC 27002 1992 1999 2002 Code of prctice pubblicto come BS 7799 (prti 1 e 2) BS 7799 emesso dll come /IEC 17799 Prim revisione dell /IEC 17799 Emissione /IEC 2007

Sistem Sistem dell dell norm norm /IEC 27000:2009 Principi e Vocbolrio /IEC :2005 Requisiti per gli ISMS /IEC 27002:2005 Code of Prctice per l implementzione ISMS (corrisponde /IEC 17799:2005) /IEC 27003:2010 Guid ll implementzione un ISMS /IEC 27004:2009 Metriche e Misurzione /IEC 27005:2011 Risk Mngement /IEC 27006:2011 Requisiti x l ccretmento degli Orgnismi certificzione ISMS /IEC 27007:2011 Linee guid per I sistemi Aut in mbito sicurezz /IEC 27035:2011 degli incidenti

Sistem Sistem dell dell norm norm

Sistem Sistem dell dell norm norm

Sistem Sistem dell dell norm norm

Sistem Sistem dell dell norm norm

Sistem Sistem dell dell norm norm Requisiti sistem: > Stbilire politiche e obiettivi > Condurre il Risk Assessment e pinificre il trttmento del rischio > Gestire l documentzione e le registrzioni > Gestire le risorse umne > Gestire l implementzione, l opertività e l mnutenzione dei controlli sicurezz > Gestire gli cquisti > Gestire le Non Conformità e gli incidenti > Effetture riesmi dell Direzione > Condurre ut interni > Elborre dti sull efficci del ISMS > Gestire i processi migliormento Controlli sicurezz: > 133 controlli tipo mministrtivo, tecnico, gestionle Cstello Sove

Sistem Sistem dell dell norm norm L h dottto un pproccio per processi, che implic l identificzione e l gestione orgnic ttività ll nterno del cmpo ppliczione, l fine ottenere l mssim efficci Ogni ttività che utilizz risorse ed è gestit con lo scopo trsformre Input in Output, può essere considert un Processo Input >>>>>>> Processo >>>>>>> Output* * Spesso gli output un processo costituiscono l input un ltro L pproccio per processi un ISMS spinge gli utenti d enftizzre l importnz : - Comprendere i requisiti ziendli in termini Informtion security e l necessità stbilire un POLICY e degli OBIETTIVI per l informtion security - Implementre e tenere in esercizio deguti CONTROLLI per gestire i rischi specifici per l informtion security nel contesto un Risk Mngement più generle - Monitorre e riesminre performnce ed efficci del ISMS - MIGLIORAMENTO CONTINUO bsto su misurzioni oggettive

Sistem Sistem dell dell norm norm Le continue evoluzioni ziendli, tecnologiche ed mbientli richiedono un processo vlutzione continu dell efficci e dell efficienz tutti i controlli sicurezz, insieme ll dttmento del sistem requisiti in cmbimento. Ciò si trduce in un percorso circolre noto come modello PDCA: Pinific ed implement i controlli sicurezz Mntieni in esercizio i controlli sicurezz Monitor il sistem sicurezz ed il mondo circostnte Impost le necessrie mofiche l sistem sicurezz

Sistem Sistem dell dell norm norm Stbilire e gestire il ISMS Cmpo ppliczione e perimetri Policy e Obiettivi Definire l metodologi risk ssessment Identificre i rischi Anlizzre e vlutre i rischi Identificre e vlutre le opzioni per il trttmento dei rischi Selezionre gli obiettivi controllo ed i controlli (nell Annex A) Ottenere l pprovzione del mngement dei rischi residui inviduti Ottenere l utorizzzione del mngement d introdurre e impiegre il ISMS Preprre lo Sttement of Applicbility

Sistem Sistem dell dell norm norm Introdurre ed impiegre il ISMS Formulre il Pino trttmento del rischio Introdurre il Pino trttmento del rischio Definire come misurre l efficci dei controlli selezionti Introdurre i controlli selezionti per rggiungere gli obiettivi controllo Introdurre formzione e conspevolezz Gestire le Opertion e le risorse Introdurre procedure ed ltri controlli

Sistem Sistem dell dell norm norm Monitorre e riesminre il ISMS Effetture procedure ed ltri controlli monitorggio Svolgere riesmi perioci dell efficci del ISMS Misurre l efficci dei controlli Riesminre il risk ssessment d intervlli pinificti Riesminre il livello rischio residuo identificto Effetture Aut interni del ISMS / Riesme dell Direzione Aggiornre i Pini sicurezz Registrre zioni ed eventi

Sistem Sistem dell dell norm norm Mntenere e migliorre il ISMS Implementre i migliormenti identificti Adottre pproprite zioni correttive e preventive Comunicre zioni e migliormenti Assicurre che i migliormenti rggiungno gli obiettivi posti

Sistem Sistem dell dell norm norm Flusso dell'informtion Security 1 2 3 4 5 6 DEFINIZIONE DELLO SCOPO DEL ISMS DEFINIZIONE DELLA POLICY EFFETTUAZIONE DEL RISK ASSESSMENT DEFINIZIONE METRICHE ED INDICATORI ( del Rischio) SCELTA DEGLI OBIETTIVI DI CONTROLLO E DEI CONTROLLI REDAZIONE DELLO STATEMENT OF APPLICABILITY STATEMENT OF APPLICABILITY SCOPO DEL ISMS SECURITY POLICY RISK ASSESSMENT

Sistem Sistem dell dell norm norm

Sistem Sistem dell dell norm norm

Sistem Sistem dell dell norm norm

Sistem Sistem dell dell norm norm Il Il rischio un incidente informtion security è funzione dell probbilità che si mnifesti un mincci e del dnno d ess custo R = f (P,D) Anlisi dei rischi (metodologi) Inventrio degli sset legti i processi compresi nel ISMS (informzioni, sistemi, documenti, persone) ed ttribuzione un vlore correlto ll importnz/sensibilità informzioni supportte Identificzione mincce per l sponibilità, integrità e riservtezz informzioni lle quli sono esposti gli sset Identificzione vulnerbilità (intrinseche gli sset) che possono essere sfruttte dlle mincce Vlutzione dell probbilità che tli mincce si mnifestino Clcolo del dnno che tli mincce possono produrre nel cso in cui si concretizzino

Sistem Sistem dell dell norm norm L nlisi inizile dei rischi deve essere sviluppt considerndo: le ttuli conzioni del sistem l situzione seguito dell dozione contromisure ipotizzte Il risultto dell fferenz è il rischio residuo, che l Direzione deve vlutre ed ccettre, per implementre l ISMS Il Risk Assessment è un processo itertivo, come previsto dl ciclo Deming.

Sistem Sistem dell dell norm norm Requisiti sistem: Tutti i punti norm nell /IEC sono obbligtori Il Pino trttmento del rischio è bsto sul Risk ssessment L documentzione support versi requisiti Lo Sttement of pplicbility giustific l dozione dei controlli L Annex A fornisce un list dei controlli obbligtori Deve essere fornit un vlid motivzione per l esclusione un controllo I controlli inviduti devono essere documentti L certificzione richiede che tutti i requisiti sino implementti

Sistem Sistem dell dell norm norm

Sistem Sistem dell dell norm norm Iter certificzione comprende : definizione del contrtto; verific preliminre (su richiest): nlisi eventuli lcune e vlutzione dell ttule conformità del ISMS rispetto i requisiti normtivi; initil ut (FASE 1): verific volt vlutre l implementzione dei principi e dell struttur del Sistem (legislzione e normtiv pplicbile, policy dell sicurezz, nlisi dei rischi, Sttement of Applicbility, definizione chir e coerente dello scopo, pino trttmento dei rischi); min ut (FASE 2): verific volt vlutre l degut ed efficce implementzione del Sistem, ttrverso tecniche che prevedono l nlisi dei documenti, osservzioni, interviste l personle. Tle verific è finlizzt ll emissione del certificto; visite sorveglinz per controllre il migliormento continuo; rinnovo dell certificzione dopo tre nni seguito un verific complet o un vlutzione continu nel tempo.

Sistem Sistem dell dell norm norm Flsi miti Sono flsi miti... > io sono certificto -> sono l sicuro > il mio fornitore è certificto -> è sicuro nche secondo i miei stndrd, nche se non glieli ho detti > ricerco un fornitore -> non ho bisogno comunicrgli i miei requisiti sicurezz perché tnto lui è sicuro -> non ho nenche bisogno cpire cos c'è scritto sul suo certificto > compro un prodotto d un fornitore -> il prodotto è sicuro > il mio cliente, fornitore o prtner è -> tutto ciò che ce è buono e giusto Ricordrsi, fronte un certificto: > leggere qule ziend si trtt, quli siti sono coinvolti e quli ttività sono coperte > chiedere, se necessrio, dettgli sull relizzzione misure sicurezz (p.e. l sponibilità un sito lterntivo e i tempi ripristino)

Sistem Sistem dell dell norm norm Richiedere un certificto In molte gre o richieste offert si richiede l certificzione /IEC. Cos chiedere: > che l certificzione si sull versione in vigore dell /IEC, secondo i regolmenti dell Ente Accretmento > che l certificzione copr completmente l mbito oggetto dell gr o dell richiest offert > che i servizi oggetto dell gr o dell offert vengno erogti siti coperti dl certificto (o che questo verrà esteso qunto prim quei siti) > che il certificto si rilscito d un Orgnismo Certificzione ccretto L Itli è pien esempi come NON fre un bndo (nominno /IEC 17799, BS 7799, vecchie versioni dell norm, settori merceologici ssur; non fnno riferimento ll mbito, i siti e ll ccretmento).

Sistem Sistem dell dell norm norm GRAZIE PER L'ATTENZIONE www.gvconsult.it