Introduzione alla ISO/IEC 27001

Documenti analoghi
DESTINATARI: Responsabili Qualità, addetti da avviare alla gestione dei Sistemi di Gestione Qualità, impiegati, imprenditori.

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

L impatto della ISO 9001:2015 sulla privacy

ENERGY MANAGEMENT La nostra proposta per un percorso di: efficientamento energetico partecipato

Concetti generali e introduzione alla norma UNI EN ISO 9001/2008

F. GALBIATI LINEE GUIDA PER L APPLICAZIONE DELLA UNI EN ISO 9001

IL MODELLO CAF GENERALITA E STRUTTURA

CAPITOLO 7 GESTIONE DEI PROCESSI

Sicuramente

Syllabus Start rev. 1.03

Il sistema qualità la qualità in un azienda di servizi riflessioni sulla qualità nell attivit attività del Medico Competente

Usare il Cloud in sicurezza: spunti tecnici

LA GESTIONE DELLA SICUREZZA NELLE ORGANIZZAZIONI PRODUTTIVE

Comune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000

I sistemi di certificazione: richiami essenziali

COMUNE DI MONTAIONE Provincia di Firenze. Rel. Fiorenzo Grifoni

"Organizzazione del lavoro, Responsabilità amministrativa degli enti ed efficacia esimente ai sensi dell'art. 30 dlgs 81/08: l'importanza

I contenuti e i vantaggi della certificazione ISO in relazione agli obblighi del Dlgs 102/2014

Norme e documenti di riferimento per l'accreditamento degli Organismi di certificazione e/o ispezione

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

Standard ISO/IEC 270xx. Milano, 10 novembre 2011

Descrizione del fabbisogno e definizione dell oggetto dell incarico

CALENDARIO CORSI 2016

STRUMENTI PER COMPETERE: IL DISCIPLINARE TECNICO CERTIFICATO LINEE GUIDA

Come affrontare le minacce alla sicurezza IT. Roma, 16 Giugno 2010

La certificazione ambientale come opportunità per una gestione partecipata e in qualità delle aree protette

Syllabus start rev. 1.03

PG-SGSL 03 Definizione degli obiettivi e dei programmi

RT-27 Prescrizioni per l'accreditamento degli organizzatori delle prove valutative interlaboratorio

L orientamento della cultura aziendale verso gli obiettivi di compliance.

LA REVISIONE LEGALE DEI CONTI La Pianificazione Ottobre 2013

Ambiente di apprendimento LA SICUREZZA DELLE INFORMAZIONI

Tecnico dei servizi di impresa. Standard della Figura nazionale

Valutazione e Controllo Fornitori

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

Revisione delle norme ISO 9001:2015 e ISO 14001:2015

LA NUOVA NORMA UNI IMPIANTI A RISCHIO DI INCIDENTE RILEVANTE - SISTEMI DI GESTIONE DELLA SICUREZZA- TERMINOLOGIA E REQUISITI ESSENZIALI

PG-SGSL 12 Gestione delle registrazioni

XV Corso - Convegno sull attuazione dei principi di Buona Pratica di Laboratorio. Roma 21 dicembre 2010

Security Conference Milano, 20 Febbraio 2007

3 Le verifiche nel corso dell esercizio di Giovanna Ricci e Giorgio Gentili

DI SEGUITO N. 4 POSIZIONI

La Certificazione Ambientale della CM Valchiavenna. Chiavenna 26 settembre 2008

INDICE. SEDE e STRUTTURA pag. 4 SERVIZI Revisione e Certificazione pag. 5 Controllo Interno pag. 6 OBIETTIVI pag. 7

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Corso di Revisione Aziendale

_ÉÜxàÉ DI aéäxåuüx ECCD. Dottor Valter Papa Direttore Dipartimento dei Servizi ASL2 REGIONE UMBRIA

Diagnosi energetica o certificazione ISO 50001: saper scegliere consapevolmente

Sistema Informativo Unitario Regionale per la Programmazione (S.I.U.R.P.) LA SICUREZZA INFORMATICA

Stazione Unica Appaltante Sezione Osservatorio

SCELTA, VALUTAZIONE E CONTROLLO DEI FORNITORI

Acque potabili: la rete per la qualità

Il Project Management e l Ingegnere di Federico II

DEMATERIALIZZAZIONE DEI DOCUMENTI, DEI PROCESSI E DELLE RELAZIONI

Programma Triennale per la Trasparenza e l Integrità

Business Continuity Experts

Tecnico riparatore di veicoli a motore. Standard formativo minimo regionale

Qualifica in Esperto Gestione dell Energia (E.G.E.) Energy Auditor 56 ore

MANUALE DELLA QUALITÀ SIF CAPITOLO 03 (ED.03) TERMINI E DEFINIZIONI

Giudizio di conformità sugli adempimenti richiesti BOZZA

Percorso strutturato di formazione per operatori di centrale di sterilizzazione

La valutazione di adeguatezza nel servizio di consulenza in materia di investimenti alla luce degli orientamenti dell Esma

RAV perché? Permetterà alla scuola di compiere un autentica autoanalisi dei punti di forza e di criticità, grazie a dati comparabili

UNI EN PEST MANAGEMENT SERVICES

PON GOVERNANCE E AZIONI DI SISTEMA ASSE E

MODULO TECNICO PROFESSIONALE

Corso destinato agli Incaricati per i Sistemi di Gestione Ambientale UNI EN ISO 14001:2004 PROGRAMMA DEL CORSO 24 ORE

SISTEMA DI GESTIONE DELLA SICUREZZA NELLE AZIENDE SANITARIE

Third Party Assurance Reporting

Allegato 1 Profili professionali e contenuti del colloquio intervista

UNIVERSITA' DEGLI STUDI FACOLTA DI MEDICINA E CHIRURGIA C A G L I A R I Corso di laurea in Tecnici della Riabilitazione Psichiatrica

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Il punto di vista della conformità e della certificazione volontaria

AREA PROFESSIONALE DI RIFERIMENTO 14. TECNICO AGRICOLO. Nomenclatura delle Unità Professionali (NUP/ISTAT):

AREA PROFESSIONALE DI RIFERIMENTO 7. TECNICO RIPARATORE DI VEICOLI A MOTORE. Referenziazioni della Nomenclatura delle Unità Professionali (NUP/ISTAT):

Dal protocollo interoperabile alla conservazione degli archivi digitali: la costruzione del sistema

Autorità di bacino del fiume Po

gestione delle imprese Prof. Arturo Capasso

Risultati attività mappatura dei processi tecnico-amministrativi

Calendario Corsi 2012

Backup e Disaster Recovery In Cloud. Basso impatto, elevato valore. 100% Cloud 100% Canale 100% Italia

I modelli di processo

Corso propedeutico alle funzioni di Animatori di Formazione in ambito medico gennaio 2016 FIMP Napoli C.so A. Lucci Napoli

SOGEI E L AGENZIA DELLE ENTRATE

ASSEVERATORE DEL SISTEMA DI GESTIONE DELLA SICUREZZA

ITIL e PMBOK Service management and project management a confronto

GESTIONE DEL SISTEMA SICUREZZA OHSAS CON L UTILIZZO DI QUALIBUS CASO DI STUDIO Q061

PIANIFICAZIONE STRATEGICA REDAZIONE, VERIFICA, APPROVAZIONE STATO DELLE REVISIONI

Seregno, 7 maggio Corso di aggiornamento per amministratori condominiali sui temi dell efficienza energetica negli immobili

Corso di formazione ambientale Introduzione all utilizzo dei modelli previsionali per la valutazione dei livelli di campo elettromagnetico

Il progetto Portale della sicurezza nei sistemi informativi

30/09/2015. Corso di Project Management, Gestione OO.PP e Cantiere - C of. Renato G. Laganà IL PROJECT MANAGER L UTENTE. Prof. arch.

REGIONE TOSCANA REGIONE TOSCANA. Requisiti. Requisiti. Assistenza domiciliare erogata da operatori individuali Assistente familiare

Il sistema di misurazione e di valutazione della Performance dell Università Parthenope del personale responsabile e non di Unità Organizzative

Offerta Formativa. La Norma ISO 9001:2000. Principi, contenuti, applicazioni ed evidenze oggettive

Sommario. Parte I La specializzazione professionale 1 Introduzione alla revisione contabile. 2 I servizi di revisione e attestazione.

PERCORSO DI TECNICO DEI SERVIZI DI ANIMAZIONE TURISTICO SPORTIVA IeFP - ISIS MAMOLI BERGAMO

BUREAU VERITAS ITALIA SPA Divisione Certificazione

Tecnico dell acconciatura. Standard della Figura nazionale

SCHEDA PROGETTO. 1.1 Denominazione progetto Indicare denominazione del progetto. 1.2 Responsabile del progetto Indicare il responsabile del progetto.

Transcript:

Ordine Ingegneri Pavia Introduzione alla ISO/IEC 27001 Cesare Gallotti http://creativecommons.org/licenses/by/4.0/deed.it Pavia, 7 ottobre 2015

Agenda Introduzione > il contesto della sicurezza delle informazioni; > la famiglia degli standard ISO/IEC 27000. La gestione del rischio relativo alla sicurezza delle informazioni; I controlli di sicurezza delle informazioni; Il ciclo PDCA; La certificazione ISO/IEC 27001. 2

Obiettivi dell incontro Sarano fornite risposte alle seguenti domande: Cos è la sicurezza delle informazioni? Cos è un sistema di gestione per la sicurezza delle informazioni? Quali sono le attività dei processi di valutazione e trattamento del rischio? Quali sono i controlli di sicurezza delle informazioni? Quali sono gli standard e le norme relative alla sicurezza delle informazioni? 3

Cesare Gallotti Lavora dal 1999 nel campo della sicurezza delle informazioni, della qualità e della gestione dei servizi IT. Ha condotto numerosi progetti di consulenza per la pubblica amministrazione e per il settore privato. Opera, sia in Italia che all estero, come Lead Auditor ISO/IEC 27001 e ISO 9001. Ha progettato ed erogato corsi di Quality Assurance e di certificazione Lead Auditor ISO/IEC 27001 e ITIL Foundation. Tra gli attestati di studio e i titoli professionali, si segnalano: le certificazioni CEPAS Lead Auditor ISO/IEC 27001, IRCA Lead Auditor 9001:2008, CISA, ITIL Expert e CBCI, la qualifica come Lead Auditor ISO/IEC 20000 e ISO 22301 e il perfezionamento postlaurea in Computer Forensics e investigazioni digitali. E capodelegazione del WG1 del comitato italiano ISO/IEC SC27 in UNINFO. Riferimenti: > Web: www.cesaregallotti.it > Blog: blog.cesaregallotti.it > Twitter: @cesaregallotti 4

Sistema di gestione per la sicurezza delle informazioni La sicurezza si basa sulla buona gestione portano a Buoni processi Buone scelte tecnologiche Processi per: scegliere, attuare, mantenere.

Processi per scegliere

Processi per attuare Ritardi (es. 1386-1965) Prodotti comprati e mai usati

Processi per mantenere (1/2)

Processi per mantenere (2/2) 9

Obiettivi di un sistema di gestione per la sicurezza delle informazioni Ridurre gli incidenti; Ridurre gli impatti degli incidenti; Imparare dall esperienza (propria e altrui) e migliorare.

Due leggi di sicurezza delle informazioni Principio di Schneier: la sicurezza è una catena: è forte come il suo anello più debole. Corollario di Mitnick: l anello più debole sono le persone 11

Sistema di gestione per la sicurezza delle informazioni Parte del sistema di gestione complessivo per stabilire, attuare, supervisionare, riesaminare, mantenere, migliorare la sicurezza delle informazioni. Insieme di elementi interrelati e interagenti per stabilire obiettivi di sicurezza delle informazioni e raggiungerli. 12

Norme di riferimento ISO/IEC 27000: 2014 ISO/IEC 27001: 2013 e UNI CEI ISO/IEC 27001: 2014 ISO/IEC 27002: 2013 e UNI CEI ISO/IEC 27002: 2014 ISO 31000:2009 e UNI ISO 31000:2010 13

Informazioni Informazione: conoscenza o dati che hanno significato e valore. Le informazioni possono esistere in molte forme. Possono essere stampate o scritte su carta, gestite con strumenti informatici, trasmesse via posta o con mezzi elettronici, presentate in film o fotografie o dette in conversazioni. Qual è la differenza tra dati e informazioni? > T. S. Eliot, The rock, 1934 > Where is the wisdom we have lost in knowledge? Where is the knowledge we have lost in information? 14

Sicurezza delle informazioni Il mantenimento della loro (ISO/IEC 27000) > riservatezza (le informazioni non sono rese disponibili o note a individui, entità o processi non autorizzati); > integrità (accuratezza e completezza); > disponibilità (accessibilità e usabilità su richiesta di un entità autorizzata, secondo i tempi previsti). Altre proprietà da preservare (normalmente incluse nella integrità ): > efficacia (utilità per l utilizzatore); > affidabilità (verità e credibilità; anche sinonimo di accuratezza); > autenticità (essere chi o cosa è dichiarato); > conformità (coerente con le normative e i regolamenti applicabili); > non ripudiabilità (capacità di provare che un evento o un azione e le entità che lo hanno originato, se dichiarato è accaduto). 15

Incidenti Incidente di sicurezza delle informazioni: uno o più eventi non voluti o non attesi che hanno una significativa probabilità di compromettere le attività e minacciare la sicurezza delle informazioni. Elenchiamo degli incidenti di sicurezza delle informazioni realmente accaduti. Associamoli ai 3 parametri di sicurezza che hanno subito degli impatti.

Ciclo PDCA e requisiti di sistema Leadership Azioni correttive Azioni di miglioramento Aggiornamenti ACT PLAN Verifiche tecniche CHECK DO Audit interni Riesame di direzione Valutazioni di efficacia Politica di sicurezza delle informazioni Valutazione del rischio Trattamento del rischio Gestire le risorse Gestire documenti Attuare i controlli

Valutazione del rischio Valuazione delle minacce Valutazione delle vulnerabilità Miglioramento Contesto Aspettative delle parti interessate Controlli di sicurezza Supervisione Requisiti normativi 18

Analisi, ponderazione, valutazione Analisi del rischio: Processo di comprensione della natura dei rischi e di determinazione del loro livello. Criteri di rischio: Termini di riferimento a fronte dei quali è valutata la significatività del rischio. Ponderazione del rischio: Processo di comparazione dei risultati dell analisi dei rischi rispetto ai criteri di rischio per determinare se il rischio e/o la sua espressione quantitativa sia accettabile o tollerabile. Valutazione del rischio: Processo complessivo di analisi del rischio e di ponderazione del rischio. Valutazione del rischio (risk assessment) Stabilire il contesto e l ambito Identificazione del rischio Analisi del rischio Ponderazione del rischio (risk evaluation) Trattamento del rischio Monitoraggio 19

Definizioni Minaccia: la possibile causa di un incidente che può portare danni ad un sistema o ad un organizzazione. Vulnerabilità: una debolezza di un bene o di un gruppo di beni che può essere sfruttata da una o più minacce per concretizzarsi. Livello di rischio: Espressione quantitativa di un rischio o combinazione di rischi, espresso in termini di combinazione di conseguenze e della loro verosimiglianza. Formula R P D 20

Trattamento del rischio Evitare il rischio decidendo di non avviare o continuare con l'attività che dà origine al rischio. Assunzione o l aumento del rischio al fine di perseguire un opportunità. Rimozione della fonte di rischio (della minaccia). Cambiamento della verosimiglianza della minaccia. Cambiamento delle conseguenze. Condivisione del rischio con altro soggetto o soggetti (compresi i contratti e il finanziamento dei rischi). Ritenzione del rischio per scelta consapevole. 21

Caratteristiche della valutazione del rischio Ripetibilità. Confrontabilità. Mantenibilità. Coerenza. Completezza. Flessibilità. 22

Alcune domande Quale livello di dettaglio? Valutare le informazioni, i processi o gli asset? Chi e come coinvolgere? I vulnerability assessment rappresentano un analisi del rischio? Analisi qualitative o quantitative? 23

Controlli di sicurezza Politiche Politiche e regole di sicurezza delle informazioni. 24

Controlli di sicurezza Organizzazione interna Responsabilità e poteri per i processi; Responsabilità e poteri per le funzioni; Segregazione dei compiti.

Controlli di sicurezza Gestione delle persone prima; durante > formazione; dopo l impiego.

Controlli di sicurezza Gestione degli asset Classificazione e gestione delle informazioni (formato elettronico e fisico); Inventario e proprietà degli asset; Gestione dispositivi (inclusa dismissione). 27

Controlli di sicurezza Controllo degli accessi Fisici e informatici (rete e sistemi); regole per ogni sistema o archivio; assegnazione, riesame e disabilitazione accessi; amministratori di sistema. Crittografia (non solo per il controllo accessi). 28

Controlli di sicurezza Sicurezza fisica Perimetro di sicurezza; manutenzione impianti. 29

Controlli di sicurezza Attività operative istruzioni; gestione cambiamenti; gestione capacità; separazione ambienti; controllo malware; backup e ripristino; logging; controllo ambiente di produzione; vulnerability assessment; patching. 30

Controlli di sicurezza Comunicazioni Controllo della rete informatica; controllo delle comunicazioni; regole per sistemi di comunicazione. 31

Controlli di sicurezza Acquisizione e sviluppo Regole e processo di sviluppo sicuro (requisiti e test); controllo dell ambiente di sviluppo e test. 32

Controlli di sicurezza Gestione fornitori Regole; contratti (verifiche preliminari, stipula, controllo); controllo della catena di fornitura. 33

Controlli di sicurezza Gestione incidenti comunicazione, diagnosi; trattamento; raccolta prove. Escalation S i Rilevazione e comunicazione Registrazione Categorizzazione Incidente? Si Assegnazione priorità Diagnosi Escalatio n? N Risoluzione o e ripristino Chiusura

Controlli di sicurezza Continuità operativa analisi; attuazione; test.

Controlli di sicurezza Conformità Normativa; procedure interne. 36

Processo di audit di certificazione Stage 1 (Riesame documenti) Stage 2 Audit interni: basati sulle procedure interne; Audit ai fornitori: basati sui contratti; Audit di certificazione: basati su standard. Periodo 3 anni APx Audit periodici RC Audit di ri-certificazione 37

Le norme della serie ISO/IEC 27000 ISO/IEC 27000:2014 - Termini e definizioni. ISO/IEC 27003:2010 Guida all interpretazione (nuova nel 2016). ISO/IEC 27004:2009 Monitoraggi e misurazioni (nuova nel 2016?). ISO/IEC 27005:2011 Gestione del rischio (nuova nel 2017?). ISO/IEC 27006:2001 Per gli OdC (nuova a fine 2015). ISO/IEC 27009 Certificazioni specifiche (nel???). 38

Altre norme di interesse ISO/IEC 27031:2011: relazioni tra ITC e BCP ISO/IEC 27035:2011: Information security incident management ISO/IEC 27037 sulla digital forensics ISO 22301:2012: business continuity ISO/IEC 24762:2008: linee guida sul Disaster Recovery ISO/PAS 22399:2007: sulla preparazione rispetto a incidenti ISO 31000:2009: Risk management Principles and guidelines 39

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back