La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.

PubblicatoRomano Roberti Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone."— Transcript della presentazione:

1 BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone

2 Agenda Lefficacia dei sistemi informatici e la sicurezza Cosè la sicurezza informatica? Lo standard BS 7799 –Part I –Part II Altri standard Le norme che richiamano ladozione dello standard BS 7799 BS 7799: dove è consigliato Note conclusive Lefficacia dei sistemi informatici e la sicurezza Cosè la sicurezza informatica? Lo standard BS 7799 –Part I –Part II Altri standard Le norme che richiamano ladozione dello standard BS 7799 BS 7799: dove è consigliato Note conclusive

3 Lefficacia dei sistemi informatici e la sicurezza informatica Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. INPUT OUTPUT

4 Lefficacia dei sistemi informatici e la sicurezza informatica Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. INPUT OUTPUT ALTERAZIONE OUTPUT ALTERATO OUTPUT ALTERATO

5 Lefficacia dei sistemi informatici e la sicurezza informatica Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. INPUT OUTPUT OUTPUT ALTERATO OUTPUT

6 …evidenza La sicurezza è quindi uno degli elementi di garanzia dellefficacia e dellefficienza dei sistemi informativi!

7 Cosè quindi la sicurezza informatica? La sicurezza è un sistema complesso che coinvolge lintera organizzazione e che è basato su un processo continuo di analisi dei rischi e di organizzazione delle risorse attraverso la definizione di responsabilità, di procedure e con luso di strumenti specifici

8 Problemi Dove investire in sicurezza? Quanto investire in sicurezza? Dove investire in sicurezza? Quanto investire in sicurezza?

9 Dove investire in sicurezza? Indagini di mercato dimostrano che le maggiori spese in tema di sicurezza informatica riguardano tecnologie di supporto… … ma gli esperti avvisano che senza gli aspetti organizzativi e di formazione le spese in tecnologia rischiano di essere inutili Indagini di mercato dimostrano che le maggiori spese in tema di sicurezza informatica riguardano tecnologie di supporto… … ma gli esperti avvisano che senza gli aspetti organizzativi e di formazione le spese in tecnologia rischiano di essere inutili

10 Quanto investire in sicurezza? Sicurezza 100% Costo in A B C

11 Un metodo: BS 7799 Un possibile metodo, per poter identificare e dimensionare correttamente le attività e le soluzioni in termini di sicurezza, viene fornito dallo standard britannico BS 7799

12 BS 7799: un po di storia Creato nel 1995 dal British Standards Institution per definire gli elementi chiave di controllo ed il processo di gestione della sicurezza delle informazioni È stato successivamente integrato nel 1998 ed è stato aggiornato sia nel 1999 sia nel 2002 Creato nel 1995 dal British Standards Institution per definire gli elementi chiave di controllo ed il processo di gestione della sicurezza delle informazioni È stato successivamente integrato nel 1998 ed è stato aggiornato sia nel 1999 sia nel 2002

13 BS 7799: in cosa consiste Il BS 7799 è uno standard orientato al processo piuttosto che al prodotto, ovvero non fornisce indicazioni specifiche sulle misure da intraprendere, ma indica le attività da organizzare in tema di sicurezza Lo standard si compone di due parti –Part I –Part II Il BS 7799 è uno standard orientato al processo piuttosto che al prodotto, ovvero non fornisce indicazioni specifiche sulle misure da intraprendere, ma indica le attività da organizzare in tema di sicurezza Lo standard si compone di due parti –Part I –Part II

14 BS 7799: Part I Denominata Code of practice for Information Security ha lo scopo di: fornire raccomandazioni nellambito della sicurezza informatica ad uso di coloro che allinterno di unorganizzazione sono responsabili della progettazione, dello sviluppo e del mantenimento dei livelli di sicurezza La parte è suddivisa in 10 sezioni ed identifica per ciascuna di esse gli obiettivi dei controlli e i controlli stessi da implementare (per un totale di 127 controlli) Denominata Code of practice for Information Security ha lo scopo di: fornire raccomandazioni nellambito della sicurezza informatica ad uso di coloro che allinterno di unorganizzazione sono responsabili della progettazione, dello sviluppo e del mantenimento dei livelli di sicurezza La parte è suddivisa in 10 sezioni ed identifica per ciascuna di esse gli obiettivi dei controlli e i controlli stessi da implementare (per un totale di 127 controlli)

15 BS 7799: Part II Denominata Specification for Information Security Management System (ISMS) ha lo scopo di: fornire un metodo per lapplicazione dei controlli indicati nella Part I dare indicazioni su come implementare, gestire, aggiornare e migliorare il sistema di gestione della sicurezza delle informazioni (ISMS) Denominata Specification for Information Security Management System (ISMS) ha lo scopo di: fornire un metodo per lapplicazione dei controlli indicati nella Part I dare indicazioni su come implementare, gestire, aggiornare e migliorare il sistema di gestione della sicurezza delle informazioni (ISMS)

16 BS 7799 Part II: il processo 1.Plan Progettare il sistema di gestione della sicurezza delle informazioni (ISMS) 1.Plan Progettare il sistema di gestione della sicurezza delle informazioni (ISMS) 3. Check Verificare lefficacia e lefficienza dellISMS per mezzo di attività di monitoring e di audit 3. Check Verificare lefficacia e lefficienza dellISMS per mezzo di attività di monitoring e di audit 2. Do Implementare e gestire lISMS 2. Do Implementare e gestire lISMS 4. Act Porre in essere i correttivi per le aree di miglioramento e per i problemi riscontrati 4. Act Porre in essere i correttivi per le aree di miglioramento e per i problemi riscontrati

17 BS 7799 Part II: focus su Plan Definire lambito di applicazione del sistema di gestione della sicurezza delle informazioni (ISMS) Definire le politiche di sicurezza Eseguire un risk assessment con i responsabili operativi Identificare soluzioni per la gestione dei rischi Selezionare gli obiettivi di controllo ed i controlli della Part I Redigere la dichiarazione di applicabilità Definire le politiche di sicurezza Eseguire un risk assessment con i responsabili operativi Identificare soluzioni per la gestione dei rischi Selezionare gli obiettivi di controllo ed i controlli della Part I Redigere la dichiarazione di applicabilità

18 Altri standard esistenti Al momento lInternational Organization for Standardization (ISO) e lInternational Electrotechnical Commission (IEC) hanno recepito la Part I del BS 7799 e hanno definito lo standard ISO/ IEC 17799

19 Le norme che richiamano ladozione dello standard BS 7799 Consiglio dellUnione Europea – Risoluzione del 28 gennaio 2002 –Invita i Paesi Membri ad adottare come best practice lo standard ISO/IEC 17799 Direttiva Stanca 16 gennaio 2002 –Suggerisce alle Pubbliche Amministrazioni di adottare un processo di analisi e gestione dei rischi conforme a BS 7799 Banca dItalia – Regolamento 29 gennaio 2002 –Impone ladozione di ISO/IEC 17799 nellambito dei S.I. operanti con la Centrale di Allarme Interbancaria Consiglio dellUnione Europea – Risoluzione del 28 gennaio 2002 –Invita i Paesi Membri ad adottare come best practice lo standard ISO/IEC 17799 Direttiva Stanca 16 gennaio 2002 –Suggerisce alle Pubbliche Amministrazioni di adottare un processo di analisi e gestione dei rischi conforme a BS 7799 Banca dItalia – Regolamento 29 gennaio 2002 –Impone ladozione di ISO/IEC 17799 nellambito dei S.I. operanti con la Centrale di Allarme Interbancaria

20 BS 7799: dove è consigliato Nei Sistemi Informativi della Pubblica Amministrazione (Conformità Direttiva Stanca) Nei Sistemi Informativi che devono fornire ampie garanzie di tutela della gestione della Sicurezza delle Informazioni (es. ambito finanziario; ai sensi della conformità per la tutela della Privacy; etc.) Presso i fornitori di servizi di elaborazione dati (outsourcer) al fine di conferire fiducia e verificabilità ai clienti Nei Sistemi Informativi della Pubblica Amministrazione (Conformità Direttiva Stanca) Nei Sistemi Informativi che devono fornire ampie garanzie di tutela della gestione della Sicurezza delle Informazioni (es. ambito finanziario; ai sensi della conformità per la tutela della Privacy; etc.) Presso i fornitori di servizi di elaborazione dati (outsourcer) al fine di conferire fiducia e verificabilità ai clienti

21 Note conclusive La sicurezza come elemento integrante per la garanzia dellefficienza e lefficacia dei sistemi informativi Il problema dellorientamento e del dimensionamento della spesa in tema di sicurezza informatica BS 7799 come strumento che indica un metodo per ottenere una gestione efficace della sicurezza informatica in linea con le reali esigenze operative La sicurezza come elemento integrante per la garanzia dellefficienza e lefficacia dei sistemi informativi Il problema dellorientamento e del dimensionamento della spesa in tema di sicurezza informatica BS 7799 come strumento che indica un metodo per ottenere una gestione efficace della sicurezza informatica in linea con le reali esigenze operative

22 Alessandro Leone email: alessandro.leone@it.ey.com Tel.: 02 806691 Alessandro Leone email: alessandro.leone@it.ey.com Tel.: 02 806691

Scaricare ppt "BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone."

Presentazioni simili

Seminario: La nuova frontiera della sicurezza: i sistemi di gestione

Seminario: "La nuova frontiera della sicurezza: i sistemi di gestione"
Certificazioni Infrastrutture IT di Telecom Italia

Certificazioni Infrastrutture IT di Telecom Italia
CENTRO RETE QUALITA' UMBRA

CENTRO RETE QUALITA' UMBRA
EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Reti informatiche: Introduzione AICA © 2005.

EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Reti informatiche: Introduzione AICA © 2005.
La progettazione secondo la norma internazionale ISO 9001

La progettazione secondo la norma internazionale ISO 9001
PERCORSO DI SVILUPPO DELL’ECCELLENZA

PERCORSO DI SVILUPPO DELL’ECCELLENZA
Le norme tecniche La norma tecnica è una specifica approvata da un organismo riconosciuto, abilitato ad emanare atti di normalizzazione, che descrive le.

Le norme tecniche La norma tecnica è una specifica approvata da un organismo riconosciuto, abilitato ad emanare atti di normalizzazione, che descrive le.
Sistemi di Gestione per la Qualità

Sistemi di Gestione per la Qualità
AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.

AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.

Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
La valutazione del sistema di controllo interno

La valutazione del sistema di controllo interno
SICUREZZA E SALUTE DEI LAVORATORI

SICUREZZA E SALUTE DEI LAVORATORI
Conferenza Economica della Provincia di Ravenna “ L’impresa e il soggetto pubblico per la pianificazione territoriale integrata” Alessandro Lanza PhD,

Conferenza Economica della Provincia di Ravenna “ L’impresa e il soggetto pubblico per la pianificazione territoriale integrata” Alessandro Lanza PhD,
Provveditorato agli Studi di Palermo

Provveditorato agli Studi di Palermo
EVOLUZIONE DEI MODELLI DI GESTIONE PER LA QUALITA’ ISO 9000:2000 Mario Pettinicchio (Segretario Tecnico della Commissione UNI “Qualità e affidabilità”

EVOLUZIONE DEI MODELLI DI GESTIONE PER LA QUALITA’ ISO 9000:2000 Mario Pettinicchio (Segretario Tecnico della Commissione UNI “Qualità e affidabilità”
Control and Risk Self Assessment – CRSA. Il caso Telecom.

Control and Risk Self Assessment – CRSA. Il caso Telecom.
1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.

1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.
La Raccomandazione europea per la garanzia di qualità dellIstruzione e Formazione Professionale Roma, 29 ottobre 2009 Giorgio Allulli - Isfol Coordinatore.

La Raccomandazione europea per la garanzia di qualità dellIstruzione e Formazione Professionale Roma, 29 ottobre 2009 Giorgio Allulli - Isfol Coordinatore.
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale Progetto: Consumatori Informati – cod. 310/2008 10 giugno 2009 ore.

Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale Progetto: Consumatori Informati – cod. 310/ giugno 2009 ore.
Anno 2000 Conferenza Nazionale - 17 giugno 1999 La nostra missione Studio, progettazione, sviluppo, realizzazione e fornitura di sistemi e servizi telematici.

Anno 2000 Conferenza Nazionale - 17 giugno 1999 La nostra missione Studio, progettazione, sviluppo, realizzazione e fornitura di sistemi e servizi telematici.

Presentazioni simili

Annunci Google