Piano di gestione del rischio informatico: utility di supporto

Slides:



Advertisements
Presentazioni simili
Aggiornamento attività gruppo Windows Gian Piero Siroli, Dip. di Fisica, Univ. di Bologna e INFN CCR, Giugno 2009.
Advertisements

La nuova Classificazione dei rifiuti Seminario DPT Politiche Ambientali 30 luglio 2015.
PIANIFICAZIONE STRATEGICA è orientata alla formulazione e alla valutazione delle strategie aziendali e alla definizione dei piani operativi è teso ad accertare.
Stato Costruzione/Integrazione P. Migliozzi 7/12/2012.
OR9: Realizzazione e trasformazione di servizi applicativi Infomobilità e Videosorveglianza Fabrizio Lanari Daniela Vasari OCP CTS, 09/10/2015.
EduMeter Sistema per la valutazione della didattica dell’Università degli Studi di Torino.
IL SISTEMA INFORMATIVO IN OSPEDALE. IL SISTEMA INFORMATIVO: Un sistema informativo è un sistema che organizza e gestisce in modo efficace ed efficiente.
PREVENZIONE CADUTE IN CASA ANZIANI GRUPPO P.I.P.A PREVENZIONE CADUTE IN CASA ANZIANI.
Attività per la formazione
HTML5 Tools Pearson
Guida alla compilazione dell’Application Form
Documenti informatici nuove modalità operative
Vulnerability Assessment
Office WPC049 Strumenti di supporto e analisi per Office 365
Pensiero Computazionale
GPOI - L’organizzazione aziendale -
CRR ANTIDOTI EMILIA ROMAGNA Il Nuovo Database Intossicazioni
DEFINIZIONI DA UTILIZZARE PER L'ANALISI DI RISCHIO
E. Bovo – Servizio Affari Legali INFN
G.RETooo -Gestione Requisiti E Test OOo Strumento integrato per la gestione dei Requisiti e dei Test Aprile 2006 Guido Moretto -
I CODICI COLORE (TRIAGE)
FlowLineXL Flowline XL e' il sistema integrato per la gestione del recruitment tramite web per enti e societa' di selezione Fornito in modalita' ASP (application.
Nuovo sito della Commissione Calcolo e Reti
1 Metodologia per la gestione dei colori e forma del prodotto attraverso l’analisi di scenari di tendenza Metodologia per la gestione dei colori e forma.
Relazione finale su [nome del progetto]
Raccolta ed Analisi dei Requisiti nella Progettazione
ACNP e NILDE: insieme per un sistema integrato dei periodici Bologna, 30 Settembre 2011 Save the time of the reader and of the librarian L'integrazione.
SELEZIONE DEI CONCETTI
I vincoli di integrità Alcuni aspetti della realtà NON possono essere modellati solamente con entità, attributi e relazioni, per esempio i vincoli di integrità.
G.RET_OOo -Gestione Requisiti E Test OOo Strumento integrato per la gestione dei Requisiti e dei Test Maggio 2007 Guido Moretto
LE BANCHE DATI PER LE RICERCHE BIBLIOGRAFICHE
Workflow creazione account
Evoluzione degli sportelli: la centralizzazione
Come si acquisiscono queste informazioni?
Situazione attuale CSN4
INTERVENTO EDUCATIVO SUL COMPORTAMENTO PROBLEMA - 1
SAS® OnDemand for Academics SAS Studio
Modulo N.2: Business plan, Budget e Competenze Manageriali
Andrea Paladin, PM CINECA
Dalla programmazione dell’allenamento al
Excel - Corso Avanzato DOCENTE Massimo Ferro
Marzo 2017.
Legame fra orario della pubblicazione e ciclo di vita dei post sui social network esiste un momento ideale per la promo-comunicazione? Claudio Rossi.
CRM per PMI Attualmente, molte PMI italiane non utilizzano strumenti a supporto del processo di Customer Relationship Management (CRM), rendendo non strutturata.
Informatica - Prof. Gregorio Cosentino
La piattaforma che mette le relazioni in primo piano
[Nome progetto] Relazione finale
Piano di Emergenza Comunale della Protezione Civile
INTRODUZIONE A EXCEL Il foglio elettronico o foglio di calcolo è una tabella che contiene parole e numeri che possono essere elaborati applicando formule.
Lavorare con Excel. Corso Base
Gestione del Progetto Processi Aziendali Processo Aziendale
SI SpA: il piano industriale e le prossime realizzazioni
Il disegno della valutazione
Sistemi informativi statistici
[Nome progetto] Relazione finale
Il disegno della valutazione
Corsi di Laurea in Biotecnologie
Sistema di archiviazione e consultazione schede bibliografiche on-line
Fogli elettronici e videoscrittura
Excel 3 - le funzioni.
La rivoluzione del BIM e del BMS nella progettazione impiantistica
Lavorare con Excel - Corso Base
Il disegno della valutazione
Fogli di Calcolo Elettronici
Come la crisi ha cambiato il mercato
Università degli studi di Modena e Reggio Emilia
Mobilità internazionale e conversione dei voti Maria Sticchi Damiani febbraio
Il protocollo informatico e il Manuale di Gestione
per il controllo del rischio chimico
Competenze Informatiche Avanzate
Transcript della presentazione:

Piano di gestione del rischio informatico: utility di supporto Alessandro Brunengo CCR Workshop - Rimini - 12 giugno 2018

GDPR PDGR PGR: cos’e’ Il piano di gestone del rischio e’ un documento che descrive la procedura operativa per l’identificazione dei rischi informatici definisce i criteri per gestirli (annullarli, mitigarli, accettarli) Le misure minime AGID impongono la definizione di un PGR che: identifichi i rischi informatici assegni ad ogni rischio un valore in funzione di: importanza dei valori a rischio tipologia del sistema vulnerabile pericolosita’ della minaccia definisca il criterio di gestione di tali rischi, da applicare in ordine decrescente di valore del rischio CCR Workshop - Rimini - 12 giugno 2018

PGR: la sua funzione Il PGR ha principalmente due scopi: definire di una procedura per identificare i rischi definire cosa fare: risolvere o mitigare, ove possibile e conveniente, accettare consapevolmente gli altri conseguentemente, acquisire consapevolezza di: quali siano i valori del proprio Ente e dove siano collocati quali siano le minacce che mettono a rischio questi valori CCR Workshop - Rimini - 12 giugno 2018

PGR dal punto di vista operativo identificazione dei valori dell’ente sulla propria rete locale, identificati e valutati in base ai criteri definiti nel PGR assegnazione di un “valore” a ciascun sistema presente sulla propria rete locale, in funzione dei valori esposti a pericolo in funzione di una ipotetica violazione di quel sistema identificazione delle minacce informatiche a cui ciascun sistema della rete e’ vulnerabile assegnazione di un valore assoluto di pericolosita’ a tali vulnerabilita’ (come definito nel PGR) per ciascuno di questi rischi, definiti dalla combinazione di sistema-minaccia, assegnare un valore del rischio come definito dal PGR stilare un elenco ordinato dei rischi definire cosa fare per ciasun rischio, in ordine decrescente di valore, nei limiti definiti dal PGR CCR Workshop - Rimini - 12 giugno 2018

Utility a supporto: PGRlist Questa utlity ha lo scopo di realizzare l’elenco dei sistemi presenti sulla rete locale assegnare a ciascuno di questi un valore in R, I e D in funzione dei dati a cui tali sistemi hanno accesso l’implementazione attuale e’ fatta tramite documento Excel macro per l’automatizzare dei calcoli mantenimento di uno storico degli elenchi su fogli dedicati banale export in formato CSV (vedi altra utility) Demo: https://proxy01.ge.infn.it/PGRlist.xls CCR Workshop - Rimini - 12 giugno 2018

PGRlist.xls: uso PGRlist.xls e’ un documento excel in tre fogli, con i quali e’ possibile elencare le categorie di dati, assegnando i relativi valori in R, I e D elencare le tipologie di sistema, associando a ciascuna di queste le categorie di dati a cui hanno accesso: una macro calcolera’ il valore in R, I e D delle tipologie di sistema elencare i sistemi presenti sulla rete locale, identificati via FQDN (supporto di wildcard) o IP (supporto di subnet), associando ciascuno di questi alle tipologie di sistema: una macro calcolera’ automaticamente il valore in R, I e D di ciascun sistema CCR Workshop - Rimini - 12 giugno 2018

PGRlist.xls: uso (cont.) PGRlist dispone di una macro attivabile tramite pulsante per generare l’eleco dei sistemi con i loro valori su un foglio dedicato e’ possibile manenere uno storico delle configurazioni e’ possibile esportare tali dati su file CSV per l’utilizzo di PGReval CCR Workshop - Rimini - 12 giugno 2018

Utility a supporto: PGReval Questa utility ha lo scopo di combinare l’elenco dei sistemi e l’output di una scansione OpenVAS, per produrre l’elenco del rischi, ordinato in funzione del valore l’implementazione attuale e’ una applicazione web, tramite la quale e’ possibile fare upload di due documenti CSV e scaricare il risultato del calcolo in diversi formati l’input file dell’elenco dei sistemi deve avere un formato analogo all’export CSV dell’elenco dei sistemi come realizzato tramite PGRlist l’input della scansione OpenVAS e’ un file CSV con il risultato della scansione esportato secondo il formato “results” CCR Workshop - Rimini - 12 giugno 2018

PGReval La web application PGReval mantiene aggiornato un database con le vulnerabilita’ informatiche pubblicate dall’NVE accetta in upload l’elenco dei sistemi e l’output della scansione OpenVAS in formato CSV Integra le informazioni sul valore delle vulnerabilita’ con quelle pubblicate dal NIST sul National Vulnerability Database produce in output l’elenco dei rischi, ordinato come previsto dal PGR produce un log con un feedback sull’elenco dei sistemi Demo: https://proxy01.ge.infn.it National Institute of standard and technology CCR Workshop - Rimini - 12 giugno 2018

Sviluppi PGRlist migliore controllo dell’input e gestione degli errori evoluzione in una applicazione web based backend su database controllo di accesso disponibilita’ di storico CCR Workshop - Rimini - 12 giugno 2018

Sviluppi PGReval aggiunta, automatica o a richiesta, di vulnerabilita’ all’elenco generato da OpenVAS (possibili nuove vulnerabilita’ ancora ignote ad OpenVAS) backend su db, storico consultabile supporto per un ricalcolo specifico del CVE di una vulnerabilita’ discriminare scansioni interne e esterne inserimento di metriche temporali o di ambiente CCR Workshop - Rimini - 12 giugno 2018

Considerazioni sul PGR proposto Il PGR proposto e’ una stesura ragionata, corretta e rivista ma pur sempre la prima che sia stata fatta Non e’ scolpita nella pietra: potra’ subire revisioni migliorare la praticabilita’ operativa coprire eventuali carenze cambiare i criteri di valutazione dei valori e di identificazione delle vulnerabilita’ E’ probabile che la sua applicazione possa fornire indicazioni efficaci CCR Workshop - Rimini - 12 giugno 2018