La sicurezza e la qualità dei dati. Domenico Natale Commissione UNINFO SC7

Documenti analoghi

La circolare AgID 2/2015

Requisiti sulla qualità del software secondo lo standard ISO/IEC 25010

La qualità della comunicazione web

The information contained in this document belongs to ignition consulting s.r.l. and to the recipient of the document. The information is strictly

La qualità della comunicazione web

Gli 8 principi della Qualità

FORMAZIONE AVANZATA IL CONSERVATORE DEI DOCUMENTI DIGITALI

Bureau Veritas. 23 gennaio Maurizio Giangreco (Team Leader Qualità) For the benefit of business and people

υ Verifica della completezza di una definizione υ Identificazione dei requisiti del software υ Identificazione degli obiettivi del progetto

Associazione Italiana Information Systems Auditors

La valutazione economico-tecnica del software contabile

L'accessibilità e la qualità del software, dei dati e del sistema nell'iso Convegno L evoluzione dell accessibilità informatica

Gli studi dell HCI si concentrano spesso sull interfaccia

1- Corso di IT Strategy

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER

LEADERSHIP,KNOWLEDGE,SOLUTIONS, WORLDWIDE SEGI REAL ESTATE

L AZIENDA Competenza e qualità per la soddisfazione del cliente

Gli standard ISO e UNI per l efficienza energetica: opportunità, benefici e ritorni degli investimenti

03. Il Modello Gestionale per Processi

Comprendere il Cloud Computing. Maggio, 2013

Lezione 1. Introduzione e Modellazione Concettuale

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

IL MODELLO SCOR. Agenda. La Supply Chain Il Modello SCOR SCOR project roadmap. Prof. Giovanni Perrone Ing. Lorena Scarpulla. Engineering.

Policy. L Information Management

Infrastruttura di produzione INFN-GRID

Sistemi Qualità e normativa

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

airis consulting Via Domenichino, Milano Tel: Fax: info@airisconsulting.it web:

I contratti cloud: cosa chiedere, come scegliere

INFORMATICA. Prof. MARCO CASTIGLIONE ISTITUTO TECNICO STATALE TITO ACERBO - PESCARA

Audit & Sicurezza Informatica. Linee di servizio

L'evoluzione delle norme della serie ISO sulla gestione ambientale. Stefano Sibilio

LE NORME E LA CERTIFICAZIONE

Governance assistenziale

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Sessione A - La variabile ambiente: banche e impatti. Introduzione alla sessione e presentazione del Global Compact Italian Network Marco Frey

PROFILO DI GRUPPO 2015

Perché le regole e come

Programmazione per la disciplina Informatica PROGRAMMAZIONE DI MATERIA: INFORMATICA SECONDO BIENNIO AMMINISTRAZIONE FINANZA E MARKETING

Gartner Group definisce il Cloud

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

COMUNICAZIONE PER L INNOVAZIONE DELLA PUBBLICA AMMINISTRAZIONE

Università di Macerata Facoltà di Economia

INTRODUZIONE ALLA QUALITÀ. LE ISO Serie 9000

Stato delle pratiche ed esigenze degli Utenti: Opportunità oggi a disposizione e criticità ancora presenti

Corso di Amministrazione di Sistema Parte I ITIL 1

Quality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard

MANUALE DELLA QUALITÀ Pag. 1 di 6

Allegato alla delibera n. 75GC/2012 COMUNE DI CORNELIANO D ALBA PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

Politica per la Sicurezza

Sistemi di gestione integrati Come la ISO/IEC può essere di supporto alla ISO/IEC 27001

QUALITÀ E SICUREZZA PER I NOSTRI PAZIENTI

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING

Corso di Alta Formazione Comunicazione per l innovazione della Pubblica Amministrazione

REGOLE REGOLE. Comunicazione. Economia reale e monetaria. Competenze. Concorrenza. Mercati creditizi e finanziari. Tecnologia BANCA IMPRESA

SCHEDA PER LA PROGRAMMAZIONE DELLE ATTIVITA DIDATTICHE. Dipartimento di INFORMATICA Classe 3 Disciplina INFORMATICA

L impatto della Pianificazione Strategica nell Ente Locale. Dal Programma di mandato alle azioni operative

FORMAZIONE AVANZATA LA GESTIONE E VALUTAZIONE DEI CONTRATTI, PROGETTI E SERVIZI ICT NELLA PA

VALUTAZIONE DEL LIVELLO DI SICUREZZA

La platea dopo la lettura del titolo del mio intervento

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Piattaforma Informatica di Knowledge Risk. Gestione del Sistema Qualità, Sicurezza e Ambiente di CANTIERE

Certificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica

Innovazione Servizi cloud Reti di nuova generazione. Intersezioni per una sintesi ottimale

Norme per l organizzazione - ISO serie 9000

L IT Governance e la gestione del rischio

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

Il sistema di gestione dei dati e i processi aziendali. Introduzione ai Processi aziendali

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

ISO 14001:2015 Le nuove prospettive dei Sistemi di Gestione ambientali. Roma 22/10/15 Bollate 05/11/15

PROFILO AZIENDALE NET STUDIO 2015

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Sistemi di misurazione e valutazione delle performance

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

Novità 2015 ARE YOU READY FOR ISO 9001:2015?

PROFILO AZIENDALE 2011

CERTIFICATO N. CERTIFICATE No /06/S FIORINI PACKAGING S.P.A. ISO 9001:2008 VIA GIAMBATTISTA FIORINI SENIGALLIA (AN) ITA

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

Manuale della qualità. Procedure. Istruzioni operative

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

Policy. Le nostre persone

L implementazione del modello CAF nell ambito dell Autorità di Audit della Regione Puglia

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

CHI SIAMO. BeOn è una società di consulenza italiana ad alta specializzazione in ambito di valutazione, sviluppo e formazione delle risorse umane.

MANDATO INTERNAL AUDIT

ETICA pubblica nel sud

Seminario DATI APERTI DI QUALITA OPEN DATA E QUALITA DEI DATI

La certificazione CISM

Telex telecomunicazioni. Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali

Base di dati e sistemi informativi

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

CATALOGO SERVIZI

Transcript:

La sicurezza e la qualità dei dati Domenico Natale Commissione UNINFO SC7

Agenda Il mondo ISO 2012 Le linee guida dei siti web delle PA Raccomandazioni sul Cloud nella PA La qualità del sw ISO 25010 La qualità dei dati ISO 25012 IT Service quality model ISO 25011 Conclusione Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 2

Il mondo ISO 2012 L ISO (International Organization for Standardization) è la più grande organizzazione del mondo per lo sviluppo di standard internazionali. Ha sviluppato 19.000 standard e ne pubblica ogni anno circa 1.000 ISO è un network di istituti nazionali di 164 Paesi con un segretariato centrale a Ginevra che coordina il sistema. Gli esperti lavorano su internet e si riuniscono due volte l anno www.iso.org e www.uni.com www.jtc1-sc7.org e www.uninfo.polito.it Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 3

ISO Plenary meeting 2012 Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 4

UNINFO: TECNOLOGIE INFORMATICHE E LORO APPLICAZIONI ENTE di NORMAZIONE FEDERATO all'uni Information Technology Mpeg Sicurezza/Security Ingegneria del Software Open Source Accessibilità Applicazioni distribuite Smart Cards Biometrica Sistemi Bancari E-business Telematica per i trasporti - ITS Codifiche - RFID Applicazioni Informazioni Geografiche Telecomunicazioni Automazione Industriale Linguaggi Learning Technologies Apparecchiature e Supporti Documenti ed elementi di informazione Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 5

Orientamenti standard ISO 2012 Standard di processo Standard di prodotto ISO/IEC 9001 ISO/IEC 12207 ISO/IEC 15288 ISO/IEC 27001 ISO/IEC 14143 ISO/IEC 15939 ISO/IEC 20000 (è focalizzato su requisiti e linee guida per l IT Service management system con una prospettiva di processo più che con un intento di valutazione della performance finale; fornisce un ottima base per la qualità del servizio, ma non l assicura) ISO/IEC 25000, 25010*, 25012** ISO/IEC 25021, 25022*, 25023*, 25024** ISO/IEC 25011*** (caratteristiche di qualità del servizio) Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 6

Sicurezza: il punto comune della qualità Web e Cloud Linee guida raccomand. Servizi Iso 25011 Sicurezza Software ISO 25010 Dati Iso 25012 Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 7

Priorità della sicurezza La sicurezza informatica è causa ed effetto della qualità dei dati ed è una priorità data la pervasività dell informatica nei settori della pubblica utilità Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 8

Le linee guida dei siti web delle PA Pubblicate su www.digitpa.gov.it/fruibilita-deldato/accessibilita per il 2011 Integrate con il CAD 2010 e Delibere CiVIT (Commissione per la Valutazione, la Trasparenza e l Integrità delle Amministrazioni pubbliche) Finalizzate al processo di sviluppo dei servizi online e all offerta di informazioni di qualità rivolte al cittadino Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 9

Le linee guida dei siti web delle PA Principi di usabilità Percezione Comprensibilità Declinazioni (sintesi) Informazioni e comandi sempre disponibili e percettibili Informazioni e comandi facili da capire e da usare Operabilità Coerenza Tutela della salute Consentire scelte immediate necessarie al raggiungimento dell obiettivo I simboli, i messaggi e le azioni devono avere lo stesso significato in tutto il sito Salvaguardare il benessere psico-fisico dell utente Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 10

Le linee guida dei siti web delle PA Principi Sicurezza Trasparenza Facilità di apprendimento Aiuto e documentazione Tolleranza agli errori Gradevolezza Flessibilità Declinazioni (sintesi) Fornire transazioni e dati affidabili, gestiti con adeguati livelli di sicurezza Comunicare all utente lo stato, gli effetti delle azioni compiute Utilizzo di facile e rapido apprendimento Le funzionalità di aiuto devono essere di facile reperimento e collegate alle azioni svolte Fare in modo di prevenire gli errori e poter porvi rimedio Mantenere l interesse dell utente Tener conto delle preferenze individuali e dei contesti Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 11

Raccomandazioni sul Cloud nella PA mantenimento del controllo sui dati del titolare del trattamento (data protection) individuazione dei dati adeguati per il cloud controllo della ridondanza e allineamento garanzia riservatezza (dati sensibili e giudiziari) crittografia backup competenze di territorialità (europea e extraeuropea) accordi negoziali-contrattuali e responsabilità (Pubblicate su www.digitpa.gov.it) Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 12

Progetto ISO serie 25000 Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 13

La qualità ISO 25010 Definita nello standard ISO come: Qualità interna, verificabile con ispezioni o strumenti di proprietà statiche sul codice informatico Qualità esterna, verificabile da tecnici con test dinamici esclusivamente in ambienti simulati Qualità in uso, verificabile in ambiente reali (o anche simulati) con la partecipazione di utenti (primari, secondari, indiretti) che enfatizzano le difficoltà o la facilità di interazione utentecomputer Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 14

La qualità ISO 25010 ISO Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 15

Qualità interna/esterna ISO 25010 Applicativa Idoneità funzionale Manutenibilità Usabilità Tecnica Efficienza Compatibilità Affidabilità Sicurezza * Portabilità Sicurezza* Riservatezza, integrità, non ripudio, tracciabilità, autenticità Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 16

Sicurezza ISO 25010 Security degree to which a product or system protects information and data so that persons or other products or systems have the degree of data access appropriate to their types and levels of authorization: confidentiality degree to which a product or system ensures that data are accessible only to those authorized to have access integrity degree to which a system, product or component prevents unauthorized access to, or modification of, computer programs or data non-repudiation degree to which actions or events can be proven to have taken place, so that the events or actions cannot be repudiated later accountability degree to which the actions of an entity can be traced uniquely to the entity authenticity degree to which the identity of a subject or resource can be proved to be the one claimed Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 17

Qualità in uso ISO 25010 Efficacia Efficienza Soddisfazione Assenza e attenuazione rischi Copertura del contesto Efficacia Efficienza Utilità Economici Completezza Fiducia Per le persone Flessibilità Piacere Comodità Danno ambientale Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 18

Assenza e attenuazione dei rischi Quality in use model Quality in use is the degree to which a product or system can be used by specific users to meet their needs to achieve specific goals with effectiveness, efficiency, freedom from risk and satisfaction in specific contexts of use: freedom from risk degree to which a product or system mitigates the potential risk to economic status, human life, health, or the environment economic risk mitigation degree to which a product or system mitigates the potential risk to financial status, efficient operation, commercial property, reputation or other resources in the intended contexts of use health and safety risk mitigation degree to which a product or system mitigates the potential risk to people in the intended contexts of use environmental risk mitigation degree to which a product or system Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 19

Qualità dei dati ISO 25012 Caratteristiche della qualità dei dati Inerenti Inerenti e dipendenti dal sistema Dipendenti dal sistema F A T T I Dati Accuratezza Attualità Coerenza Completezza Credibilità A R T E F A T T I Dati Sw Hw Sys H C I S U P P O R T O Accessibilità Comprensibilità Conformità Efficienza Precisione Riservatezza Tracciabilità Disponibilità Portabilità Ripristinabilità Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 20

Sicurezza nella qualità dei dati Integrity property of safeguarding the accuracy and completeness of assets Compliance The degree to which data has attributes that adhere to standards, conventions or regulations in force and similar rules relating to data quality in a specific context of use. Confidentiality The degree to which data has attributes that ensure that it is only accessible and interpretable by authorized users in a specific context of use. Traceability The degree to which data has attributes that provide an audit trail of access to the data and of any changes made to the data in a specific context of use. Recoverability The degree to which data has attributes that enable it to maintain and preserve a specified level of operations and quality, even in the event of failure, in a specific context of use. Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 21

IT service quality model ISO 25011 Partecipano al progetto: Cina (National Body propositore) Giappone Lussemburgo Usa Italia Stato di avanzamento NWI approvato in Korea dopo: ricerca di mercato, studio di precedenti standard ISO, test in 9 città della Cina, confronto «face to face» in Mumbai nel 2011 Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 22

Termini e definizioni Servizio: mezzo per fornire un valore per il cliente, facilitando i risultati che il cliente vuole raggiungere [ISO 20000] Servizio IT: servizio basato su applicazione IT che usa strumenti per sostenere le attività commerciali e amministrative dei clienti Qualità: totalità delle caratteristiche di un entità che soddisfa la capacità di soddisfare esigenze esplicite o implicite [ISO 8402] Qualità Servizio IT: grado in cui le caratteristiche inerenti il servizio IT soddisfano le esigenze dell utente Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 23

Detailed IT Service Quality Metrics (Draft ISO) urstudy result on ITSQ IT Service Quality Metrics Security Reliability Responsiveness Tangibility Empathy Confidentiality Integrity Availability Completeness Continuity Stability Effectiveness Traceability Timeliness Interactiveness Visibility Professional Compliance Flexibility Courtesy Proactiveness Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 24

Detailed IT Service Quality Metrics (Draft ISO) Security Confidentiality Integrity Availability Reliability Responsiveness Tangibility Empaty Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 25

Conclusione Il concetto di sicurezza va esaminato da un punto di vista non solo del processo, ma anche del prodotto già trattato in diversi standard e linee guida tra cui: Linee guida dei siti web della PA Raccomandazioni sul Cloud computing nella PA ISO/IEC 25010 «Software and System quality model» ISO/IEC 25012 «Data quality Model» NWI ISO/IEC 25011 «IT Service quality model» Seminario Inforav - Roma, 12 giugno 2012 - D. Natale 26