Gestione della sicurezza e della conformità. Approccio olistico alla gestione di ISO/IEC 27001, data protection, privacy e PCI DSS

Documenti analoghi
Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

Swascan for GDPR SWASCAN. Il servizio di GDPR Chiavi in mano REGISTRATI E ACCEDI AL FREE TRIAL. In collaboration with CISCO

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Privacy by Design: evoluzione e implicazioni

GDPR Strumenti di supporto per la Governance. Davide Benvenga Roma 27/03/2018

Da una protezione perimetrale ad una user centric Security Summit Verona

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

15 Aprile 2016, Trento

Il nuovo modello di gestione della privacy Davide Grassano

GDPR General Data Protection Regulation

PRIVACY 2018 DATA PROTECTION REGOLAMENTO UE 2016/679 SICUREZZA UE CENSIMENTO OBLIO DATABREACH REGOLAMENTO PSEUDONOMIZZAZIONE CONSENSO ESTRAZIONE

NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY APPROCCIO METODOLOGICO PER LE ATTIVITÀ DI ADEGUAMENTO. AL GDPR 20 Febbraio 2019

COBIT 5 for Information Security

Fintech District. The First Testing Cyber Security Platform. In collaboration with CISCO. Cloud or On Premise Platform

Le iniziative Consip a supporto

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

SWASCAN THE FIRST CLOUD CYBER SECURITY PLATFORM

Le iniziative Consip a supporto

Cybersecurity per la PA: approccio multicompliance Sogei

PERCORSO DI ALTA FORMAZIONE E QUALIFICA GDPR (REG. UE 2016/679) RICONOSCIUTO AICQ SICEV

Da una protezione perimetrale ad una user centric Security Summit Treviso

Processi, Tool, Servizi Professionali

SGSI CERT CSP POSTE ITALIANE

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

Alessandro D Ascenzio

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Crime Risk Insurance System

OVERVIEW DEL GDPR: I CONCETTI CHIAVE

Il Regolamento generale sulla protezione dei dati (GDPR) MODULO 1

Approccio alla gestione del rischio

IL CANTIERE GDPR APPROCCIO PER VALUTARE L ADEGUAMENTO ALLE NORME REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.

General Data Protection Regulation (GDPR) Andrea Agosti Mariangela Fierro

IL NUOVO MODELLO ORGANIZZATIVO PRIVACY

Information & Cyber Security Strategy: cosa fare. Alessio L.R. Pennasilico

Il Regolamento Europeo per la Data Protection

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

G DP R - Cy b e r - Li fe P rotection

SWASCAN REGISTRATI E ACCEDI AL FREE TRIAL

Abbiamo investito tanto nel GDPR: e la sicurezza? Luca Bechelli

Privacy e requisiti per la Cybersecurity nella PA

Sicuramente

Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

The First Cloud Cyber Security & GDPR Platform REGISTRATI E ACCEDI AL FREE TRIAL SWASCAN. In collaboration with CISCO NETWORK SCAN

Scelta del DPO e valutazione d impatto organizzativo

La nuova normativa. Maggiori diritti a tutela della privacy. Maggiori doveri a chi deve proteggere i dati. Obbligo di segnalazione per le violazioni

Regolamento UE sulla protezione dei dati Analisi e valutazioni di impatto per le aziende

Come adeguare il tuo sito web e la tua attività alle normative

LA PROPOSTA OPERATIVA

IL SISTEMA DI NORMAZIONE E L EMISSIONE DELLA NORMA ISO 9001:2015: VERSO LA GESTIONE DEL RISCHIO E DELLE OPPORTUNITA Bari, 02 ottobre 2015

Allegato A) Servizio 1 Convenzione CONFINDUSTRIA CH-PE

ISO 9001:2015 LA STRUTTURA DELLA NORMA

LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI A TUTELA DEL PATRIMONIO AZIENDALE

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Sezione 1 - Gestione e governance della protezione dei dati

Regolamento UE 2016/679 in materia di protezione dei dati personali

GDPR. Regolamento Europeo Protezione Dati Personali

Approfondimento. Avv. Antonella Alfonsi. Partner Deloitte Legal. GDPR: impatti operativi e opportunità Milano, 9 novembre

RISK MANAGEMENT ISO GESTIRE I RISCHI DI IMPRESA

La nuova normativa. Maggiori diritti a tutela della privacy. Maggiori doveri a chi deve proteggere i dati. Obbligo di segnalazione per le violazioni

Cos è il GDPR? General Data Protection Regulation

Your Reliable IT Solution Partner.

La UNI EN ISO 9001:2015 e il Risk Based Thinking

"Organizzazione del lavoro, Responsabilità amministrativa degli enti ed efficacia esimente ai sensi dell'art. 30 dlgs 81/08: l'importanza

Alessandra Peverini Milano 19 ottobre 2015 LA NUOVA NORMA ISO 9001:2015 E I RISCHI GESTIONALI

La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

Politica per la Gestione del Servizio

La information security integrata nel management system aziendale. Eugenio Marogna 6 dicembre 2002

Protection Regulation Italia

Cybersecurity e Hardware: che cosa prevede il GDPR

UNI ISO Il nuovo standard internazionale. Ing. Nadia Mogavero

La Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect

IN REGOLA CON IL (GDPR) UE 679/2016 REGOLAMENTO GENERALE PER LA PROTEZIONE DEI DATI

MIL-QOD /MGadg. Agyo Privacy. Overview

L esperienza del DPO dopo un anno di attività

ELEMENTI DI RISK MANAGEMENT & ICT GOVERNANCE HIGHLIGHTS L analisi e la gestione dei rischi nel contesto della Information Security

CERTIND ITALIA. G-SAFE S.r.l.

LA NUOVA ISO 9001:2015

CORSI DI FORMAZIONE DELLA PRIVACY

Sezione Trattamento Dati

ORGANIZZAZIONE Un modello organizzativo per l efficacia e l efficienza dello Studio

ISO Comprendere il nuovo standard internazionale per salute e sicurezza sul lavoro. Mapping Guide. Standard finale

INNOVAZIONE E RICERCA AL SERVIZIO DELLE AZIENDE E DELLE PERSONE

Come scegliere il giusto QSA per la propria azienda

PIANO OPERATIVO PER LA VALUTAZIONE DELL ADEGUAMENTO ALLE NORME DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.

LA CYBERSECURITY NELLA FABBRICA DIGITALE LE NORME ISO Milano, 22 marzo 2018

TÜV Rheinland Italia

SYAC TB - DigiEye & Privacy. DigiEye & Privacy

introduzione Sandro Storelli CNA Padova, 4 maggio 2016

LA STRUTTURA DELL ISO 9001:2015

Cybersecurity, come difendersi dal furto dati

Valutazione d impatto e gestione integrata dei rischi

GDPR La sicurezza e la tutela dei dati sensibili GDPRTUTOR

Transcript:

Gestione della sicurezza e della conformità tramite un SGSI Approccio olistico alla gestione di ISO/IEC 27001, data protection, privacy e PCI DSS

Introduzione Lo scopo del presente documento è quello di fornire un approfondimento su come un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) possa essere utilizzato per applicare un approccio olistico alla gestione degli standard di sicurezza e degli obblighi di conformità, come ISO/IEC 27001, PCI DSS e privacy. Grazie all utilizzo di un solo sistema per la gestione degli obblighi di conformità normativi e legislativi per la sicurezza delle informazioni, le organizzazioni possono contare sull identificazione di requisiti comuni, maggiore efficienza, visibilità e fiducia. Per ottenere tutto questo, consigliamo l adozione del modello riconosciuto a livello internazionale ISO/IEC 27001 Sistemi di Gestione per la Sicurezza delle Informazioni. ISO/IEC 27001 ISO/IEC 27001 come SGSI ISO/IEC 27001 è un sistema di gestione riconosciuto a livello internazionale per la gestione dei rischi legati alla sicurezza delle informazioni. Lo standard fornisce un framework comune, descrivendo I requisiti chiave per implementare un efficace SGSI. I requisiti fanno riferimento alla governance e alla buona gestione del sistema e intendono assicurare: Conoscenza e comprensione continua del contesto organizzativo e delle necessità delle parti interne ed esterne coinvolte Leadership e coinvolgimento da parte del senior management per garantire il rispetto delle policy e la corretta allocazione di risorse e responsabilità Pianificazione in linea con il SGSI e con gli obiettivi dell organizzazione Supporto e risorse disponibili per il corretto funzionamento del sistema Gestione dei rischi appropriata rispetto al rischio aziendale e ai fattori di rischio interni ed esterni all organizzazione Monitoraggio e miglioramento continuo del sistema L Annex A dello standard, contiene 114 controlli che possono essere utilizzati per indirizzare le azioni di gestione dei rischi per la sicurezza delle informazioni. Utilizzare un SGSI ISO/IEC 27001 per gestire una gamma più ampia di requisiti normativi e legali di settore In aggiunta ai controlli suggeriti, ISO/IEC 27001 richiede che gli obblighi in materia normativa e legale siano compresi e incorporati nel sistema di gestione. In questo caso, vengono presi in considerazione la data protection e il PCI DSS. Il presente documento contiene un analisi approfondita rispetto a tale connessione. Privacy Il nuovo Regolamento UE in materia di Data Protection (General Data Protection Regulation - GDPR) avrà valore esecutivo entro maggio 2018. La normativa fonda le sue radici nell attuale direttiva per la protezione dei dati e, sebbene non presenti molte differenze rispetto agli attuali principi di data protection, introduce nuovi concetti che devono essere integrati all interno dei programmi di conformità delle organizzazioni. 2 Gestione della sicurezza e della conformità tramite un SGSI

La normativa si applica nello specifico nelle seguenti aree: Processi di gestione del rischio rinforzati, che includono la privacy tra le principali preoccupazioni Obblighi e responsabilità Comunicazione con clienti e personale Diritto alla privacy e procedure di supporto Richieste di cambiamento degli accessi Consenso e basi legali Gestione dei dati dei minori Notifica di violazione dei dati Privacy Impact Assessment (PIA) e Privacy by design Data Protection Officer (DPO) Trasferimento di dati a livello internazionale È comunemente accettato che il GDPR sia uno strumento complesso e abbia un peso non indifferente date le basi normative su cui si fonda. Non è semplice interpretare il GDPR in azioni concrete. L approccio comunemente adottato dalle organizzazioni è allineare il proprio sistema rispetto ad uno standard internazionale per la privacy. Standard come ISO 29001 e BS 10012 forniscono un robusto modello di riferimento per la gestione della privacy*. In questo contesto, affidarsi al SGSI ISO/IEC 27001 incorporando i controlli di riferimento degli standard sopra elencati, può portare ad una maggiore efficienza e a un modello centralizzato di conformità. * Si tenga in considerazione le eccezioni implicite nelle normative come il GDPR, dove specificato, e che la sola certificazione rispetto ad uno standard non costituisce di per sè evidenza di conformità alla normativa. Sono da considerare ad esempio le tempistiche necessarie per notificare le violazioni dei dati, particolari categorie di dati personali sensibili, ruoli e responsabilità del DPO, sanzioni, ecc. Managing security and compliance through an ISMS 3

Payment Card Industry Data Security Standard (PCI DSS v3.2) Il Payment Card Industry Data Security Standard, comunemente conosciuto come PCI DSS, fornisce un set di controlli specifici obbligatori per la protezione delle informazioni legate alle carte di credito. Questo tipo di controlli è allineato a quelli dell Annex A di ISO/IEC 27001 ma ha un valore maggiormente prescrittivo, includendo requisiti molto dettagliati, opposti all utilizzo dell approccio risk based per la selezione dei rischi applicabili. Utilizzare il sistema di gestione ISO/IEC 27001 per la gestione del PCI DSS rappresenta una soluzione relativamente continuativa, grazie alla sovrapposizione dei requisiti dell Annex A. Molte organizzazioni conformi al PCI DSS scelgono la certificazione ISO/IEC 27001, dato che l implementazione dei suoi requisiti non comporta praticamente costi aggiuntivi e può essere gestita insieme al PCI DSS. Lo scopo è un fattore chiave Lo scopo è un fattore chiave quando si tratta di certificare un sistema rispetto ad uno standard. In molti casi, le organizzazioni avranno uno specifico servizio, reparto o insieme di sistemi certificati rispetto ad uno standard, piuttosto che l intera organizzazione. Questo è spesso dovuto ai costi e alle risorse necessarie al mantenimento dei processi di governance, così come ai costi associati ai software e alle licenze dei sistemi di sicurezza. È consigliabile definire un livello minimo di sicurezza per tutta l organizzazione, però tale livello dovrebbe essere maggiore nel caso di asset/sistemi/servizi in cui i livelli di rischio sono più alti. Questo serve tipicamente in tutti quegli ambiti che: Generano revenue Sono soggetti a controlli normativi Interagiscono con le informazioni personali o le informazioni legate alle carte di credito Contengono proprietà intellettuale Sono gestiti in internet Quindi, quando si considera lo scopo del sistema di gestione, le organizzazioni dovrebbero allocare le giuste risorse necessarie al buon funzionamento del sistema. ISO 27001 consente la gestione di tale processo, attraverso il controllo dell asset management, dove l inventario e la classificazione di informazioni e servizi gioca un ruolo fondamentale. Attraverso la comprensione delle informazioni a disposizione, dove e con che strumenti gestirle, è possibile identificare e classificare i sistemi che hanno un ruolo chiave nell organizzazione. L inventario degli asset diventa la principale fonte per determinare le priorità del sistema di gestione, mentre la classificazione delle policy definisce il modo in cui questi sistemi devono essere protetti. Ad esempio, tutti i sistemi possono avere un livello di sicurezza minimo definito, ma nel caso in cui un sistema immagazzina dati relativi a carte di credito o informazioni sensibili, la policy per la classificazione può stabilire che questo tipo di informazione deve essere crittata. Questo tipo di controllo è presente in numerosi requisiti di conformità, inclusi: 1. ISO 27001 A 8.1.1 Inventory of Assets A 8.2.1 Classification of Information 2. PCI DSS v3.2 Executive Summary Section 3, 4.3, (2.4) Maintain an inventory of system components that are in scope for PCI DSS. 3. GDPR Articolo 30 Nello scenario sopra indicato, le policy di classificazione e inventario possono essere utilizzate per soddisfare i requisiti di inventario nelle tre aree di conformità sopra citate. Forniscono: Un unica fonte per l inventario di sistemi e informazioni Un approccio consistente per gestire:. La classificazione delle informazioni. La gestione delle informazioni. Il mantenimento delle informazioni. La cancellazione delle informazioni 4 Gestione della sicurezza e della conformità tramite un SGSI

. La sicurezza delle informazioni. Le richieste di accesso Di conseguenza, l organizzazione sarà in grado di rivedere e mantenere un set documentale legato alla governance, garantire la conformità e dimostrare che gli obblighi normativi sono gestiti in modo appropriato. Classificiazione e inventario non sono gli unici ambiti che coinvolgono tutte e tre le aree. Consideriamo inoltre: Governance, ruoli e responsabilità User awareness Controllo degli accessi Logging e monitoring Incident response e notifica di violazione dei dati Change control (privacy by design e privacy impact assessment) Gestione di terza parte Ci sono molte altre aree che si sovrappongono all interno dei tre requisiti, che devono essere gestite singolarmente. Valutazione del rischio Conclusioni La sicurezza delle informazioni è più funzionale se gestita dal board e dai livelli senior executive dell azienda, dove i responsabili hanno una visione di insieme e la possibilità di delegare ruoli e responsabilità. Includendo il senior management nella valutazione di rischi e conformità, possono essere prese decisioni strategiche ragionate per la sicurezza delle informazioni, garantendo una maggiore efficienza del sistema. Un Sistema di Gestione per la Sicurezza delle Informazioni ti aiuta a identificare le opportunità di integrazione dei diversi requisiti e allocare correttamente ruoli e responsabilità. Fornisce solidità e visibilità rispetto all approccio alla gestione dei rischi e alla governance dell organizzazione attraverso una punto di vista centralizzato. Effettua decisioni informate e garantisci la conformità rispetto ai requisiti normativi Risparmia tempo e risorse grazie alla gestione contemporanea di tre diversi programmi di conformità attraverso un unico sistema di gestione. References Data Protection Commissioner: https://www.dataprotection. ie/docs/home/4.htm Information Commisioner s Office: https://ico.org.uk/ International Organization for Standardization: https:// www.iso.org/home.html European Commission: ec.europa.eu/ PCI Security Council: https://www.pcisecuritystandards. org/ Cloud Security Alliance (CSA): https://cloudsecurityalliance. org/ Managing security and compliance through an ISMS 5

Cybersecurity e Information Resilience I nostri servizi in ambito Cybersecurity e Information Resilience consentono alle organizzazioni di mettere in sicurezza le informazioni dagli attacchi informatici, rafforzare l Information Governance e mitigare i rischi agendo sulle vulnerabilità dell infrastruttura critica. Aiutiamo le organizzazioni a gestire le sfide nell ambito della sicurezza delle informazioni: Consulenza Cybersecurity e information resilience, security testing e supporto specialistico Ricerca Ricerche di mercato e progetti di horizon scanning Formazione Corsi di formazione specialistici per la crescita professionale Soluzioni tecniche Soluzioni cloud per supportare la tua organizzazione Our expertise is supported by: Scopri di più T: +39 02 6679091 E: marketing.italy@bsigroup.com W: bsigroup.it BSI Group Italia 6 Gestione della sicurezza e della conformità tramite un SGSI

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back