Sistem dell norm Reltore Ginluc Visentini
Sistem Sistem dell dell norm norm Informzione: il risultto dell rccolt e dell elborzione dti elementri, significtivi e utili l processo decisionle. Le informzioni possono essere stmpte o scritte su crt, gestite con strumenti informtici, trsmesse vi post o con mezzi elettronici, presentte in film o dette in converszioni Informzione è Conoscenz Conoscenz è Potere
Sistem Sistem dell dell norm norm L'informzione è elemento inspensbile per il successo e l crescit ogni ziend e perciò deve essere considert un risors inestimbile vlore che richiede, nzi impone un'degut tutel.
Sistem Sistem dell dell norm norm L'informzione Mettere l sicuro le proprie informzioni previene versi tipi rischi e soprttutto contribuisce mntenere l continuità opertiv I sistemi ccesso lle informzioni che utilizzno in lrg misur le reti informtiche sono sottoposte vri tipi ggressioni volte perseguire fini illeciti rendendo potenzilmente più vulnerbili le ziende ed esponendo il loro vlore
Sistem Sistem dell dell norm norm Esigenze conformità, l evoluzione legisltiv e l umento incidenti, hnno reso le Orgnizzzioni conspevoli dell necessità dotrsi un pproccio strutturto ll sicurezz informzioni - Le Orgnizzzioni sono sempre più pendenti loro sset informtivi - Gli utenti dell informzione (interni ed esterni) ne chiedono sempre mggiore sponibilità - Il numero incidenti che minccino l continuità dei servizi è in crescit Distruggere l immgine ziendle Un brecci sicurezz può: Ridurre il vlore del business Compromettere futuri introiti
Sistem Sistem dell dell norm norm L Informzione deve essere protett lungo tutto il suo ciclo vit: - Crezione - Elborzione - Archivizione - Distribuzione L Informzione deve essere protett inpendentemente dl suo formto o me Non solo IT - Documenti crtcei (sull scrivni, nel cestino, vicino ll fotocopitrice) - Comuniczioni verbli - Converszioni in luoghi pubblici - Gente
Sistem Sistem dell dell norm norm Informzione Un sset che, come ltri importnti sset ziendli, è essenzile per il il business un Orgnizzzione e conseguenz deve essere degutmente protetto Fonte: /IEC 27002:2007, Sezione 0.1 Definizione Asset qulunque entità bbi vlore per un Orgnizzzione Fonte: /IEC :2005, Sezione 3.1
Sistem Sistem dell dell norm norm informzioni: l'ttività volt definire, conseguire e mntenere : > l riservtezz > l integrità > l sponibilità informzioni
Sistem Sistem dell dell norm norm Definizioni I tre spetti fondmentli dell sicurezz informzioni sono quin : > l riservtezz: (o confidenzilità) le informzioni devono poter essere ccedute solo d persone utorizzte > l integrità: i dti e le informzioni devono essere protette d mofiche non utorizzte > l sponibilità: i sistemi e le ppliczioni devono essere sponibili qundo necessrio
Sistem Sistem dell dell norm norm
Sistem Sistem dell dell norm norm Nel Business, vere le informzioni giuste l momento giusto può fre l fferenz tr profitto e perte. L dell iut controllre e proteggere le informzioni ziendli d mofiche volontrie e/o involontrie o d ccessi non utorizzti Un SGSI (Sistem ) serve : - ssicurre l continuità del business dei servizi - minimizzre i dnni derivnti d eventuli incidenti - mssimizzre : Il renmento del cpitli investito Le opportunità migliormento
Sistem dell norm Definizioni - Sistem - Sistem ( 9000) : insieme elementi tr loro correlti o intergenti Sistem : insieme politiche, procedure e linee guid e risorse d esse collegte volte rggiungere gli obiettivi dell orgnizzzione ( 9000: sistem per stbilire politiche e obiettivi e per rggiungere tli obietti) Sistem per l (SGSI): Quell prte del sistem gestione complessivo, bst su un pproccio rivolto l rischio reltivo l business, volt stbilire, tture, condurre, monitorre,riesminre, mntenere ttivo, ggiornto e migliorre l sicurezz informzioni.
Sistem dell norm Informtion Security Mngement System (ISMS) L prte del Sistem ziendle, bst su un pproccio rischio, volt definire, implementre, gestire, monitorre, riesminre, mntenere e migliorre l informtion security E un processo gestionle e non un processo tecnologico E il frutto un decisione strtegic dell orgnizzzione - Progettzione ed implementzione Esigenze ed obiettivi Requisiti sicurezz Processi coinvolti Dimensioni e struttur dell orgnizzzione - Commisurt lle esigenze
Sistem dell norm Pubbliczione del Code of prctice for informtion security mngement nell industri 1995 Revisione dell BS 7799 (prti 1 e 2) 2000 Prim revisione dell BS 7799-2 2005 /IEC 17799 vent /IEC 27002 1992 1999 2002 Code of prctice pubblicto come BS 7799 (prti 1 e 2) BS 7799 emesso dll come /IEC 17799 Prim revisione dell /IEC 17799 Emissione /IEC 2007
Sistem Sistem dell dell norm norm /IEC 27000:2009 Principi e Vocbolrio /IEC :2005 Requisiti per gli ISMS /IEC 27002:2005 Code of Prctice per l implementzione ISMS (corrisponde /IEC 17799:2005) /IEC 27003:2010 Guid ll implementzione un ISMS /IEC 27004:2009 Metriche e Misurzione /IEC 27005:2011 Risk Mngement /IEC 27006:2011 Requisiti x l ccretmento degli Orgnismi certificzione ISMS /IEC 27007:2011 Linee guid per I sistemi Aut in mbito sicurezz /IEC 27035:2011 degli incidenti
Sistem Sistem dell dell norm norm
Sistem Sistem dell dell norm norm
Sistem Sistem dell dell norm norm
Sistem Sistem dell dell norm norm
Sistem Sistem dell dell norm norm Requisiti sistem: > Stbilire politiche e obiettivi > Condurre il Risk Assessment e pinificre il trttmento del rischio > Gestire l documentzione e le registrzioni > Gestire le risorse umne > Gestire l implementzione, l opertività e l mnutenzione dei controlli sicurezz > Gestire gli cquisti > Gestire le Non Conformità e gli incidenti > Effetture riesmi dell Direzione > Condurre ut interni > Elborre dti sull efficci del ISMS > Gestire i processi migliormento Controlli sicurezz: > 133 controlli tipo mministrtivo, tecnico, gestionle Cstello Sove
Sistem Sistem dell dell norm norm L h dottto un pproccio per processi, che implic l identificzione e l gestione orgnic ttività ll nterno del cmpo ppliczione, l fine ottenere l mssim efficci Ogni ttività che utilizz risorse ed è gestit con lo scopo trsformre Input in Output, può essere considert un Processo Input >>>>>>> Processo >>>>>>> Output* * Spesso gli output un processo costituiscono l input un ltro L pproccio per processi un ISMS spinge gli utenti d enftizzre l importnz : - Comprendere i requisiti ziendli in termini Informtion security e l necessità stbilire un POLICY e degli OBIETTIVI per l informtion security - Implementre e tenere in esercizio deguti CONTROLLI per gestire i rischi specifici per l informtion security nel contesto un Risk Mngement più generle - Monitorre e riesminre performnce ed efficci del ISMS - MIGLIORAMENTO CONTINUO bsto su misurzioni oggettive
Sistem Sistem dell dell norm norm Le continue evoluzioni ziendli, tecnologiche ed mbientli richiedono un processo vlutzione continu dell efficci e dell efficienz tutti i controlli sicurezz, insieme ll dttmento del sistem requisiti in cmbimento. Ciò si trduce in un percorso circolre noto come modello PDCA: Pinific ed implement i controlli sicurezz Mntieni in esercizio i controlli sicurezz Monitor il sistem sicurezz ed il mondo circostnte Impost le necessrie mofiche l sistem sicurezz
Sistem Sistem dell dell norm norm Stbilire e gestire il ISMS Cmpo ppliczione e perimetri Policy e Obiettivi Definire l metodologi risk ssessment Identificre i rischi Anlizzre e vlutre i rischi Identificre e vlutre le opzioni per il trttmento dei rischi Selezionre gli obiettivi controllo ed i controlli (nell Annex A) Ottenere l pprovzione del mngement dei rischi residui inviduti Ottenere l utorizzzione del mngement d introdurre e impiegre il ISMS Preprre lo Sttement of Applicbility
Sistem Sistem dell dell norm norm Introdurre ed impiegre il ISMS Formulre il Pino trttmento del rischio Introdurre il Pino trttmento del rischio Definire come misurre l efficci dei controlli selezionti Introdurre i controlli selezionti per rggiungere gli obiettivi controllo Introdurre formzione e conspevolezz Gestire le Opertion e le risorse Introdurre procedure ed ltri controlli
Sistem Sistem dell dell norm norm Monitorre e riesminre il ISMS Effetture procedure ed ltri controlli monitorggio Svolgere riesmi perioci dell efficci del ISMS Misurre l efficci dei controlli Riesminre il risk ssessment d intervlli pinificti Riesminre il livello rischio residuo identificto Effetture Aut interni del ISMS / Riesme dell Direzione Aggiornre i Pini sicurezz Registrre zioni ed eventi
Sistem Sistem dell dell norm norm Mntenere e migliorre il ISMS Implementre i migliormenti identificti Adottre pproprite zioni correttive e preventive Comunicre zioni e migliormenti Assicurre che i migliormenti rggiungno gli obiettivi posti
Sistem Sistem dell dell norm norm Flusso dell'informtion Security 1 2 3 4 5 6 DEFINIZIONE DELLO SCOPO DEL ISMS DEFINIZIONE DELLA POLICY EFFETTUAZIONE DEL RISK ASSESSMENT DEFINIZIONE METRICHE ED INDICATORI ( del Rischio) SCELTA DEGLI OBIETTIVI DI CONTROLLO E DEI CONTROLLI REDAZIONE DELLO STATEMENT OF APPLICABILITY STATEMENT OF APPLICABILITY SCOPO DEL ISMS SECURITY POLICY RISK ASSESSMENT
Sistem Sistem dell dell norm norm
Sistem Sistem dell dell norm norm
Sistem Sistem dell dell norm norm
Sistem Sistem dell dell norm norm Il Il rischio un incidente informtion security è funzione dell probbilità che si mnifesti un mincci e del dnno d ess custo R = f (P,D) Anlisi dei rischi (metodologi) Inventrio degli sset legti i processi compresi nel ISMS (informzioni, sistemi, documenti, persone) ed ttribuzione un vlore correlto ll importnz/sensibilità informzioni supportte Identificzione mincce per l sponibilità, integrità e riservtezz informzioni lle quli sono esposti gli sset Identificzione vulnerbilità (intrinseche gli sset) che possono essere sfruttte dlle mincce Vlutzione dell probbilità che tli mincce si mnifestino Clcolo del dnno che tli mincce possono produrre nel cso in cui si concretizzino
Sistem Sistem dell dell norm norm L nlisi inizile dei rischi deve essere sviluppt considerndo: le ttuli conzioni del sistem l situzione seguito dell dozione contromisure ipotizzte Il risultto dell fferenz è il rischio residuo, che l Direzione deve vlutre ed ccettre, per implementre l ISMS Il Risk Assessment è un processo itertivo, come previsto dl ciclo Deming.
Sistem Sistem dell dell norm norm Requisiti sistem: Tutti i punti norm nell /IEC sono obbligtori Il Pino trttmento del rischio è bsto sul Risk ssessment L documentzione support versi requisiti Lo Sttement of pplicbility giustific l dozione dei controlli L Annex A fornisce un list dei controlli obbligtori Deve essere fornit un vlid motivzione per l esclusione un controllo I controlli inviduti devono essere documentti L certificzione richiede che tutti i requisiti sino implementti
Sistem Sistem dell dell norm norm
Sistem Sistem dell dell norm norm Iter certificzione comprende : definizione del contrtto; verific preliminre (su richiest): nlisi eventuli lcune e vlutzione dell ttule conformità del ISMS rispetto i requisiti normtivi; initil ut (FASE 1): verific volt vlutre l implementzione dei principi e dell struttur del Sistem (legislzione e normtiv pplicbile, policy dell sicurezz, nlisi dei rischi, Sttement of Applicbility, definizione chir e coerente dello scopo, pino trttmento dei rischi); min ut (FASE 2): verific volt vlutre l degut ed efficce implementzione del Sistem, ttrverso tecniche che prevedono l nlisi dei documenti, osservzioni, interviste l personle. Tle verific è finlizzt ll emissione del certificto; visite sorveglinz per controllre il migliormento continuo; rinnovo dell certificzione dopo tre nni seguito un verific complet o un vlutzione continu nel tempo.
Sistem Sistem dell dell norm norm Flsi miti Sono flsi miti... > io sono certificto -> sono l sicuro > il mio fornitore è certificto -> è sicuro nche secondo i miei stndrd, nche se non glieli ho detti > ricerco un fornitore -> non ho bisogno comunicrgli i miei requisiti sicurezz perché tnto lui è sicuro -> non ho nenche bisogno cpire cos c'è scritto sul suo certificto > compro un prodotto d un fornitore -> il prodotto è sicuro > il mio cliente, fornitore o prtner è -> tutto ciò che ce è buono e giusto Ricordrsi, fronte un certificto: > leggere qule ziend si trtt, quli siti sono coinvolti e quli ttività sono coperte > chiedere, se necessrio, dettgli sull relizzzione misure sicurezz (p.e. l sponibilità un sito lterntivo e i tempi ripristino)
Sistem Sistem dell dell norm norm Richiedere un certificto In molte gre o richieste offert si richiede l certificzione /IEC. Cos chiedere: > che l certificzione si sull versione in vigore dell /IEC, secondo i regolmenti dell Ente Accretmento > che l certificzione copr completmente l mbito oggetto dell gr o dell richiest offert > che i servizi oggetto dell gr o dell offert vengno erogti siti coperti dl certificto (o che questo verrà esteso qunto prim quei siti) > che il certificto si rilscito d un Orgnismo Certificzione ccretto L Itli è pien esempi come NON fre un bndo (nominno /IEC 17799, BS 7799, vecchie versioni dell norm, settori merceologici ssur; non fnno riferimento ll mbito, i siti e ll ccretmento).
Sistem Sistem dell dell norm norm GRAZIE PER L'ATTENZIONE www.gvconsult.it