Analisi dei rischi e gestione della sicurezza ICT

Documenti analoghi
Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Politica per la Sicurezza

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Audit & Sicurezza Informatica. Linee di servizio

VALUTAZIONE DEL LIVELLO DI SICUREZZA

5.1.1 Politica per la sicurezza delle informazioni

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

MANUALE DELLA QUALITÀ Pag. 1 di 6

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

Esternalizzazione della Funzione Compliance

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Modello dei controlli di secondo e terzo livello

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

Dai sistemi documentari al knowledge management: un'opportunità per la pubblica amministrazione

LA CONSERVAZIONE DELLA MEMORIA DIGITALE FIGURE PROFESSIONALI E RESPONSABILITÀ

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Continuità operativa e disaster recovery nella pubblica amministrazione

V.I.S.A. VoiP Infrastructure Security Assessment

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

Banche e Sicurezza 2015

I SISTEMI DI GESTIONE DELLA SICUREZZA

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Presidenza del Consiglio dei Ministri

Associazione Italiana Information Systems Auditors

NOTIFICAZIONE E PUBBLICITÀ LEGALE DEGLI ATTI NELL AMMINISTRAZIONE PUBBLICA DIGITALE

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Gestione della Sicurezza Informatica

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS ISO/IEC 17799

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

STANDARD OHSAS 18001:2007 E CORRISPONDENZE CON IL MODELLO ORGANIZZATIVO DEL DECRETO LEGISLATIVO N. 81/2008

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

DOCUMENTO INFORMATICO E FIRME ELETTRONICHE, PAGAMENTI, LIBRI E SCRITTURE

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

INDICAZIONI OPERATIVE PER VALUTARE E PROMUOVERE L ORGANIZZAZIONE AZIENDALE DELLA SICUREZZA

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

La platea dopo la lettura del titolo del mio intervento

LA FORMAZIONE E LA CONSERVAZIONE DELLA MEMORIA DIGITALE

REGOLAMENTO PER LA GESTIONE DELLE SEGNALAZIONI E DEI RECLAMI

Comune di San Martino Buon Albergo

Esperienze di analisi del rischio in proggeti di Information Security

1- Corso di IT Strategy

MANDATO INTERNAL AUDIT

CAMERA DI COMMERCIO INDUSTRIA ARTIGIANATO E AGRICOLTURA DI PISA

Allegato A: Regole tecniche per la gestione dell identità.

DPCM 31 OTTOBRE 2000 (G. U , SERIE GENERALE, N. 272) REGOLE TECNICHE PER IL PROTOCOLLO INFORMATICO DI CUI AL DECRETO DEL PRESIDENTE DELLA

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI

Gli aggiornamenti della normativa italiana e Il Codice dell Amministrazione digitale dlgs 82/05

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

Università di Macerata Facoltà di Economia

I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

L amministratore di sistema. di Michele Iaselli

Fatturazione elettronica adempimento degli obblighi fiscali e tenuta delle scritture contabili mediante strumenti digitali

Roma, 25/07/2013. e, per conoscenza, Circolare n. 113

MANUALE DI CONSERVAZIONE

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

Politica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE)

SISTEMA DI GESTIONE INTEGRATO. Audit

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre Sicurezza dei dati

ISO/IEC : 2005 per i Laboratori di Prova

DAMA DEMOLIZIONI E SMONTAGGI S.R.L.

La Giunta Comunale. Visto il D.P.R n. 223 Regolamento Anagrafico e sue modifiche;

Obiettivi generali del revisore

Fatturazione Elettronica e CAD

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Il protocollo informatico

L integrazione dei sistemi qualità, sicurezza, ambiente

SGSL UN SISTEMA PER LA GESTIONE DELLA SICUREZZA SUL LAVORO NELLA SCUOLA

DOCUMENTI INFORMATICI, POSTA CERTIFICATA E DEMATERIALIZZAZIONE

GLOSSARIO/DEFINIZIONI

R E G I O N E U M B R I A GIUNTA REGIONALE. Direzione Affari Generali della Presidenza e della Giunta regionale. Servizio Segreteria della Giunta

Le strumentazioni laser scanning oriented per i processi di censimento anagrafico dei patrimoni

Contributo di INAIL alla diffusione dell adozione di un SGSL. INAIL-DR Toscana-CONTARP

LA f i rma DIGITALE: Firma la tua polizza fidejussoria con un click

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO

PIANO PER L UTILIZZO DEL TELELAVORO

La gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

I dati in cassaforte 1

SISTEMA DI GESTIONE AMBIENTALE

Gestione dei documenti e delle registrazioni Rev. 00 del

L importanza di una corretta impostazione delle politiche di sicurezza

COMUNE DI MELITO DI NAPOLI Provincia di Napoli

GLOSSARIO/DEFINIZIONI

NUMERICA RISK STP FUNZIONI FONDAMENTALI SII

Transcript:

Analisi dei rischi e gestione della sicurezza ICT Relatore - Dr. Oreste Romei

I driver della sicurezza ICT In ragione della sua natura di Pubblica Amministrazione al servizio del cittadino, di altre pubbliche amministrazioni e di organizzazioni private, la Regione detiene informazioni pubblicamente accessibili ed informazioni riservate ai fini della privacy : la modifica non autorizzata delle informazione pubblicate e la diffusione di quelle riservate sono azioni che hanno come conseguenza la perdita di immagine, la violazione delle norme sulla custodia di dati riservati, il danno per organizzazioni e persone che a vario titolo si associano alle attività dell Ente. Un efficace sistema di gestione della sicurezza ICT deve quindi supportare i processi di intermediazione tra Ente ed utenza, garantendo, nel corso del tempo ed in presenza di situazioni mutevoli, le condizioni di sicurezza necessarie alla realizzazione della missione istituzionale dell Ente attraverso l uso delle tecnologie ICT.

I driver della sicurezza ICT L adozione di un sistema di gestione della sicurezza ICT si basa su due driver principali: la sicurezza ICT come fattore abilitate l attuazione del Codice dell Amministrazione digitale e quindi il compimento della missione dell Ente anche mediante l uso di tecnologie ICT; il quadro normativo, alla costruzione del quale hanno concorso il Governo (decretazione e strategie per l innovazione), la PAC (deliberazioni attuative negli ambiti di competenza dei Ministeri) ed il CNIPA (authority tecnica). La necessità di definire un quadro unitario della sicurezza ICT nella PA, ha portato all istituzione del "Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni presso il CNIPA (decreto interministeriale siglato il 24 luglio 2002 tra il Ministro per l Innovazione e le Tecnologie e il Ministro delle Comunicazioni), che ha redatto e pubblicato nel 2004 la prima versione delle Linee guida per la sicurezza ICT delle pubbliche amministrazioni, documento introduttivo al Piano Nazionale e al Modello organizzativo della sicurezza ICT per la PA.

I driver della sicurezza ICT Altro tema che ha contribuito ad ampliare la base normativa riguardante la sicurezza ICT nella PA, è quello del documento informatico e della sua archiviazione in relazione ad aspetti quali la privacy, la protocollazione, la firma digitale, la PEC ed in generale il Codice dell Amministrazione Digitale. Queste iniziative, insieme alle deliberazioni dei vari dicasteri negli ambiti di competenza, hanno generato un notevole corpus normativo di cui riportiamo alcune delle disposizioni di maggiore rilievo ai fini della sicurezza: D.Lgs. 7 marzo 2005, n. 82, Codice dell Amministrazione digitale D.Lgs. 30 giugno 2003 n. 196, Codice in Materia di Protezione dei Dati Personali Direttiva MIT del 16 gennaio 2002, Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni DPR 10 novembre 1997, n. 513, Regolamento contenente criteri e modalità per la formazione, l archiviazione e la trasmissione di documenti con strumenti informatici e telematici DPCM 8 febbraio 1999, Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell art. 3, comma 1, del DPR 10 novembre 1997, n. 513 DPR 11 febbraio 2005, n. 68, Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3 Deliberazione CNIPA n. 4/2005, Regole per il riconoscimento e la verifica del documento informatico Deliberazione CNIPA n. 11/2004, Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali

ISMS: standard di riferimento per la PA ISMS (Information Security Management System) : sistema di gestione che include struttura organizzativa, policy, pianificazione delle attività, responsabilità, pratiche, procedure, processi, risorse e documentazione. A partire da una politica di sicurezza (policy) che riflette le esigenze operative e le finalità dell organizzazione, un ISMS deve cogliere i seguenti obiettivi di carattere generale: individuare le informazioni e i servizi da sottoporre a protezione; quantificare le esigenze di sicurezza in relazione alle esigenze di riservatezza, integrità, disponibilità e autenticità; individuare adeguati meccanismi di mantenimento della sicurezza; individuare le persone responsabili del mantenimento del sistema di sicurezza. Il MIT ha recepito con la Direttiva del 16 gennaio 2002 Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni i principi ispiratori degli standard ISO/IEC IS 17799:2005 (Code of Practice) e ISO/IEC IS 27001:2005 (ISMS), che divengono pertanto gli standard di riferimento nella PA ai fini dell adozione di un ISMS e di una sua eventuale certificazione presso terzi. Quale relazione esiste tra i due standard? Sostanzialmente, ISO 27001 definisce un modello di ISMS finalizzato alla realizzazione e al mantenimento dei controlli di sicurezza specificati dalla ISO17799 e riportati nell Annex A.

ISMS: standard di riferimento per la PA ISO 27001 Lo standard definisce un processo ciclico di gestione basato sull approccio PDCA (Plan-Do-Check-Act). La valutazione del rischio comprende una attenta valutazione costo/beneficio che discrimina la modalità di trattamento del rischio. Identificazione dei rischi Evitamento, accettazione, trasferimento Security Policy Ambito operativo Risk Analisys Valutazione del rischio ISO17799 ed altri controlli Mitigazione e selezione dei controlli Implementazione dei controlli

ISMS: standard di riferimento per la PA ISO 17799:2005 Lo standard definisce i controlli necessaria a mitigare o eliminare il rischio in relazione agli attributi di confidenzialità, integrità, disponibilità: confidenzialità: prevenzione dalla divulgazione non autorizzata delle informazioni, accesso controllato alla informazione da tutelare e limitazione della sua diffusione; danno economico diretto legato al valore proprio delle informazioni e la possibilità di azioni legali quando l organizzazione è tenuta a garantire la privacy delle informazioni detenute; integrità: prevenzione da modifiche non autorizzate, conservazione del formato (integrità fisica) e del contenuto (integrità semantica) delle informazioni; possibilità di frode, stime e decisioni sbagliate; disponibilità: protezione da sovraccarichi e malfunzionamenti di rete, sistemi ed applicazioni, possibilità di accesso in tempo utile ad informazioni, servizi e risorse; perdita di produttività degli utenti e la riduzione degli introiti derivanti dall erogazione dei servizi medesimi.

ISMS: standard di riferimento per la PA La ISO 17799 riporta 133 controlli organizzati in 12 sezioni: 1: Risk Assessment 2: Security policy - management direction 3: Organization of information security - governance of information security 4: Asset management - inventory and classification of information assets 5: Human resources security - security aspects for employees joining, moving and leaving an organization 6: Physical and environmental security - protection of the computer facilities 7: Communications and operations management - management of technical security controls in systems and networks 8: Access control - restriction of access rights to networks, systems, applications, functions and data 9: Information systems acquisition, development and maintenance - building security into applications 10: Information security incident management - anticipating and responding appropriately to information security breaches 11: Business continuity management - protecting, maintaining and recovering business-critical processes and systems 12: Compliance - ensuring conformance with standards, laws and regulations

ISMS: standard di riferimento per la PA Il FISMA (Federal Information Security Management Act) è il framework di gestione del NIST (National Institute for Standard and Technologies), di riferimento per le organizzazioni governative e federali USA. La serie SP 800 è il riferimento documentale del FISMA.

ISMS: standard di riferimento per la PA Il FISMA individua tre aree del security management. Security Area Management Security Operational Security Security Criteria Assignment of responsibilities Continuity of support Incident response capability Periodic review of security controls Personnel clearance and background investigations Risk assessment Security and technical training Separation of duties System authorization and reauthorization System or application security plan Control of air-borne contaminants (smoke, dust, chemicals) Controls to ensure the quality of the electrical power supply Data media access and disposal External data distribution and labeling Facility protection (e.g., computer room, data center, office) Humidity control Temperature control Workstations, laptops, and stand-alone personal computers Technical Security Communications (e.g., dial-in, system interconnection, routers) Cryptography Discretionary access control Identification and authentication Intrusion detection Object reuse System monitoring and audit

ISMS: standard di riferimento per la PA I controlli di sicurezza sono strutturati in classi e famiglie, dove le classi fanno riferimento alle tre aree del Security Management (Management, Operational, Technical) e le famiglie a gruppi di controlli omologhi per funzione di sicurezza. CLASS FAMILY IDENTIFIER IDENTIFIER Risk Analysis RA Management Planning PL System and Services Acquisition SA Certification, Accreditation, and Security Assessments CA Personnel Security PS Physical and Environmental Protection PE Contingency Planning CP Configuration Management CM Operational Maintenance MA System and Information Integrity SI Media Protection MP Incident Response IR Awareness and Training AT Identification and Authentication IA Technical Access Control AC Audit and Accountability AU System and Communications Protection SC

ISMS: standard di riferimento La certificazione dell ISMS nella PA Contesti a massima priorità (certificazione altamente raccomandata) Per ciò che concerne la criticità dei contesti appare prioritario citare quelli attinenti alla tutela dell incolumità fisica e della salute dei cittadini. Si tratta infatti di contesti per i quali, in settori diversi da quello relativo alle tecnologie ICT, lo Stato ha ritenuto non sufficienti le autocertificazioni o le certificazioni volontarie ed ha quindi introdotto l obbligo di verifiche di terza parte.. L importanza di eseguire certificazioni di sicurezza ICT nei contesti relativi alla tutela dell incolumità fisica e della salute dei cittadini risulta evidente una volta che si consideri il ruolo sempre più centrale che i sistemi ICT stanno assumendo in tali contesti. Un malfunzionamento, accidentale o provocato, di tali sistemi può infatti in molti casi produrre gravissimi danni alle persone, se non addirittura la perdita di numerose vite umane.. Altri contesti a priorità molto elevata dal punto di vista della certificazione di sicurezza sono quelli in cui il danno, pur essendo solo di tipo economico, può essere comunque molto rilevante sia per il cittadino sia per lo stato. (estratto dalla linee guida, CNIPA, marzo 2006)

Metodologia della Risk Analisys Il processo di analisi dei rischi associati all esercizio di un sistema info-telematico, si compone di sei fasi: - Analisi del contesto e valutazione degli asset - Identificazione delle minacce e degli attaccanti - Identificazione delle vulnerabilità - Determinazione della probabilità - Analisi dell impatto - Determinazione del rischio

Metodologia della Risk Analisys 1 - Analisi del contesto e valutazione degli asset La prima fase consiste nell acquisizione delle informazioni necessarie a delineare il contesto operativo da sottoporre a protezione. Tale attività (Information Gathering) ha come obiettivi la rilevazione degli asset da proteggere, le relazioni funzionali tra questi, l individuazione delle utenze, la caratterizzazione dei flussi gestionali ed organizzativi del sistema informativo in termini di accesso a risorse ed informazioni, policy di sicurezza e controlli messi in opera per la loro attuazione. Gli asset sensibili (target) sono classificati in base ai servizi erogati, alle informazioni custodite, alla loro rilevanza ai fini dell operatività aziendale. La classificazione di sicurezza dell asset è descritta in termini di perdita o degradazione di uno dei tre attributi di sicurezza associabili al trattamento dell informazione da parte di un sistema di elaborazione (riservatezza, integrità, disponibilità). Il valore dell asset riferito agli attributi di sicurezza può essere misurato quantitativamente (valore proprio delle informazioni, ad es. brevetti, perdita di introiti in relazione al tempo di fermo del sistema), oppure considerando una scala di valori quali-quantitativa (perdita di immagine, pregiudizio su future attività). In termini generali, possiamo fare riferimento ad una classificazione quali-quantitativa del tipo riportato nella seguente tabella, dove il valore dell asset viene correlato all impatto che la perdita di uno dei suoi attributi di sicurezza produce sull operatività aziendale.

Metodologia della Risk Analisys Livello dell impatto Alto Moderato Basso Definizione dell impatto La perdita di riservatezza, integrità o disponibilità comporta un effetto avverso distruttivo sull operatività, i beni, e sulle persone associati all attività aziendale. L esercizio della vulnerabilità può comportare la distruzione di beni con una perdita di valore economico molto elevato, oppure essere di sostanziale impedimento al compimento della missione aziendale, oppure essere causa di gravi pericoli per la vita e l integrità fisica di persone. La perdita di riservatezza, integrità o disponibilità comporta un rilevante effetto avverso sull operatività, i beni, e sulle persone associati all attività aziendale. L esercizio della vulnerabilità può risultare in una perdita economica, oppure costituire un ostacolo al compimento della missione aziendale, oppure essere causa di pericolo per l integrità fisica di persone. La perdita di riservatezza, integrità o disponibilità comporta un limitato effetto avverso sull operatività, i beni, e sulle persone associati all attività aziendale. L esercizio della vulnerabilità può risultare in una perdita economica limitata, oppure costituire una limitazione marginale al compimento della missione aziendale. Ogni asset informativo o tecnologico viene classificato attribuendo una terna di valori in relazione alle specifiche funzioni ed informazioni trattate: SC asset = [(riservatezza, BASSO), (integrità, BASSO), (disponibilità, ALTO)]

Metodologia della Risk Analisys 2- Identificazione delle minacce e degli attaccanti La seconda fase consiste nell individuazione delle potenziali minacce (threat) cui i target possono essere sottoposti in relazione agli aspetti di riservatezza, integrità e disponibilità, e degli attaccanti (threat-source) che possono esercitare una minaccia ed operare una violazione delle policy di sicurezza. Gli attaccanti possono essere umani o ambientali e possono - consapevolmente o inconsapevolmente nel caso di attaccante umano - attuare un attacco utilizzando una o più vulnerabilità del target, dove per vulnerabilità si intende una debolezza del sistema che può essere sfruttata accidentalmente o intenzionalmente (baco del software, rete di telecomunicazione non ridondata, assenza di gruppi di continuità elettrica, presenza di condutture idriche nei locali ospitanti i sistemi, ecc.). E da evidenziare che la vulnerabilità è il tramite tra attaccante ed esercizio della minaccia, ovvero ove non esistano vulnerabilità sfruttabili da un attaccante questi non può esercitare alcuna minaccia. La caratterizzazione della minaccia deve riportare il suo potenziale impatto in termini di riservatezza, integrità e disponibilità su informazioni o sistemi interessati: Attributi Sicurezza Evento Riservatezza Integrità Disponibilità EA-001 X X TK-034 X

Metodologia della Risk Analisys 3- Identificazione delle vulnerabilità L individuazione delle vulnerabilità di un asset particolare è la terza fase dell analisi. Una vulnerabilità si può definire come una particolare condizione tecnica o organizzativa che consente ad un attaccante di esercitare una minaccia ed operare una violazione delle policy di sicurezza in relazione agli aspetti di riservatezza, integrità e disponibilità. Attaccante Vulnerabilità Minaccia Impiegato licenziato Hacker, cracker, criminali Fuoco, personale negligente Account di sistema di un impiegato licenziato non rimosso. Vulnerabilità del software Sistema di spegnimento degli incendi ad acqua nei locali ospitanti i sistemi Accesso via connessione dial-up alla rete aziendale, accesso non autorizzato ad informazioni aziendali Accesso non autorizzato, site defacement, furto di informazioni. Danneggiamento dei sistemi La caratterizzazione della vulnerabilità deve riportare i sistemi affetti e il suo potenziale impatto in termini di riservatezza, integrità e disponibilità delle informazioni trattate, ovvero deve esplicitare se ed in quale misura un attaccante può utilizzare la vulnerabilità per esercitare una minaccia che comporti la compromissione dei tre attributi di sicurezza. I metodi per rilevare le vulnerabilità di sistemi ICT si possono classificare in tre categorie che coprono gli aspetti tecnici ed organizzativi di un sistema informativo: Security Test and Evaluation (ST&E) Vulnerability scanning tool Penetration test

Metodologia della Risk Analisys 4- Determinazione della probabilità Nella quarta fase si determina le probabilità che una minaccia possa essere esercitata per il tramite di una vulnerabilità. I fattori qualificanti di questa valutazione sono: motivazioni e capacità dell attaccante; natura della vulnerabilità; esistenza ed efficacia dei controlli. Per la grande maggioranza dei sistemi, la valutazione della probabilità che una minaccia possa essere esercitata rientra in una scala quali-quantitativa costituita da tre livelli opportunamente motivati. L esperienza insegna che l adozione di metriche più sofisticate apporta all analisi un contributo marginale, anche in relazione alla difficoltà di quantificare con precisione ed oggettività tutte le componenti che concorrono alla definizione della probabilità. Livello Probabilità Alto Medio Basso Motivazione L attaccante è fortemente motivato e sufficientemente capace, oppure i controlli preposti sono inefficaci. L attaccante è sufficientemente motivato e capace, i controlli preposti sono sufficientemente efficaci. L attaccante non è particolarmente motivato o capace, oppure i controlli preposti eliminano la possibilità che la vulnerabilità possa essere sfruttata.

Metodologia della Risk Analisys 5- Analisi dell impatto La quinta fase consiste nella valutazione delle possibili conseguenze di una minaccia che viene esercitata su un asset tramite una vulnerabilità. L analisi dell impatto parte dalla classificazione degli asset informativi e strumentali in relazione ai tre attributi di sicurezza: riservatezza, integrità, disponibilità. La classificazione viene effettuata nella fase di Identificazione e valutazione degli asset informativi. A titolo di esempio, consideriamo un asset classificato come segue: SC asset = [(riservatezza, BASSO), (integrità, BASSO), (disponibilità, ALTO)] Considerando una specifica minaccia riferita all asset, si valutano gli attributi di sicurezza interessati dalla minaccia: Attributi Sicurezza Minaccia Riservatezza Integrità Disponibilità I-001 X X I-002 X L indice sintetico di impatto riferito all esercizio della minaccia sull asset, sarà quindi il valore più alto tra quelli interessati nella terna SC (high water mark): IM(I-001) asset = ALTO Questo indice, insieme alla probabilità che la minaccia venga esercitata, produce il livello di rischio associato alla minaccia per un particolare asset.

Metodologia della Risk Analisys 6- Determinazione del rischio Nel sesto passaggio si valuta il rischio di una particolare coppia minaccia/vulnerabilità, che può essere espresso come funzione di due valutazioni: probabilità che una data vulnerabilità sia esercitata con successo da un attaccante; magnitudine dell impatto di una minaccia esercitata con successo sfruttando una data vulnerabilità. Nella probabilità che una vulnerabilità sia esercitata con successo da un attaccante, è inclusa la valutazione dei controlli che hanno come scopo la limitazione della vulnerabilità medesima. Il livello del rischio associato all esercizio di una vulnerabilità può essere espresso come prodotto dei valori di probabilità ed impatto, come riportato nella tabella che segue. (Scala del rischio: alto 50-100, medio 10-50, basso 1 10) Impatto Probabilità Basso (10) Medio (50) Alto (100) Alto (1.0) Basso = 10 Medio = 50 Alto = 100 Medio (0.5) Basso = 5 Medio = 25 Alto = 50 Basso (0.1) Basso = 1 Basso = 5 Basso = 10

Metodologia della Risk Analisys L interpretazione del rischio deve avere sempre come riferimento la missione aziendale e i processi che ne determinano il compimento, pertanto i livelli di rischio devono riflettere nella loro qualificazione questo fondamentale assunto. Livello del rischio Alto Azioni necessarie Questo rischio comporta un grave pregiudizio per i processi aziendali vitali, il sistema può continuare ad operare ma bisogna attuare le misure correttive nel minor tempo possibile Medio Questo rischio comporta la possibilità di seri danni all operatività aziendale, senza compromettere la continuità del business. Il sistema può continuare ad operare ma è opportuno attuare le necessarie misure correttive entro un tempo ragionevole. Basso Questo rischio comporta conseguenze marginali, si può porre rimedio con misure correttive o decidere di accettare il rischio. La caratterizzazione del rischio e del suo impatto potenziale sull operatività aziendale, comporta come passaggio successivo l evitazione, l accettazione del rischio, il suo trasferimento (assicurazione, outsourcing), oppure la sua mitigazione.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back