1 Il percorso della certificazione BS7799 per la Gestione della Sicurezza delle Informazioni (SGSI) ITIS Fauser Novara - 16 Novembre 2004 Gianfranco Sarpero.

Slides:



Advertisements
Presentazioni simili
Certificazioni Infrastrutture IT di Telecom Italia
Advertisements

INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library
CENTRO RETE QUALITA' UMBRA
Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente bancario EUROS Consulting.
La progettazione secondo la norma internazionale ISO 9001
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
La firma digitale e il protocollo da Word in un click
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
OMAT VoiceCom - Roma 11, novembre 2003 Francesco Arciprete La Qualità e la Sicurezza delle TLC fattori abilitanti dell E-Government OMAT VoiceCom – Roma,
Qualità nei laboratori di ricerca e albo laboratori altamente specializzati Workshop, Genova 11 luglio 2002 G.B. Rossi: Considerazioni sulla qualità nei.
Information Technology
Componenti del modello
CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
Le certificazioni La Sapienza Università di Roma AA
SISTEMI DI GESTIONE DELLA SALUTE E DELLA SICUREZZA SUL LAVORO (SGSL)
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
Control and Risk Self Assessment – CRSA. Il caso Telecom.
05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.
1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.
Gli enti ed uffici del Sistema statistico nazionale uniformano la propria attività ai seguenti principi.
Posizione di Telecom Italia sullAnno Indice Organizzazione del Progetto Anno 2000 Aree di Presidio Piano di Adeguamento Test di Interoperabilità
PROGETTO SECURITY ROOM
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
OFFERING CERTIFICAZIONI SAB Consulting S.r.l.. Dettaglio Servizi Dettaglio Servizi UNI EN ISO 9001:2008 La certificazione dei sistemi di gestione è il.
ORSS Web 2012.
Il ruolo dei LVS nella sicurezza di prodotti e sistemi ICT
senza l’autorizzazione scritta della società X-Consulting Srl
PRESENTAZIONE AL NUOVO CONSIGLIO Alessandro Barzanti STUDIO SYSTEM IL SISTEMA DI GESTIONE PER LA QUALITA' DELL'ORDINE DEGLI INGEGNERI DELLA PROVINCIA DI.
14 Aprile 2005 Presentazione v. 6 - Tutti I diritti riservati. Vietata la duplicazione e la distribuzione parziale o totale Presentazione della Società
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Identificazione, cause dei problemi e scelta delle priorità
SAM - Guida all'autoformazione dei Rivenditori - edizione Aprile 2004
Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
SISTEMI DI GESTIONE AMBIENTALE E MODELLO EX D. L.GS. 231/01
Chi è Ecosquare Società che gestisce il mercato telematico dei rifiuti, sottoprodotti industriali e derivati Tipologia clienti: produttori,
_________________________________________________________________ Trade System Srl - Viale Gran Sasso Corropoli (TE) Tel: Fax:
Alessandro Luzietti 11 dicembre 2007
L’information security e la governance
Struttura Complessa per la gestione dei Sistemi Informativi Aziendali e Progettazione Reti Informatiche LInformation Technology nel settore sanitario,
Diritti di Riproduzione La legge (633/1941 modificata e aggiornata dalla legge 248/2000, dal dl 68/2003 e dalla legge 128/2004) tutela il diritto d'autore.
Ogni cosa che facciamo influisce sull’ambiente
IShared Security Service (S 3 ) La nostra filosofia, il nostro approccio, le nostre soluzioni… al VOSTRO servizio.
RISK MANAGEMENT NELLA LOGISTICA
FESR Consorzio COMETA Giuseppe Andronico Industry Day Catania, 30 Giugno 2011 IaaS, PaaS e SaaS: cosa significano per le aziende.
La Conservazione Sostitutiva e la Soluzione Una-Doc.
INDICE Introduzione Cosa si intende per Sistema di Gestione Perché adottare un Sistema di Gestione in azienda Logica e struttura Sistema di Gestione e.
CERTIFICAZIONE DI QUALITA’ Un valore aggiunto per la vostra attività.
L’evoluzione del risk assessment & Management nella logistica: soluzioni operative Vincenzo-Ithao De Carlo Responsabile Area Consulting Gruppo Infoteam.
Dott. Giorgio Martiny Direttore Generale ASL4 Chiavarese Regione Liguria ForumPa 2004 Roma, 12/05/2004.
We make it 1 L’ infrastruttura Virtuale e la gestione Dinamica Fabiano Finamore Infrastructure Optimization Sales Brain Force Italia.
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
Storo 30 ottobre 2006 – Pierluigi Roberti Problemi legati al software e possibili soluzioni ReadyServices sas Pierluigi Roberti.
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
COS’E’ L’ARCHIVIAZIONE SOSTITUTIVA
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
Cloud SIA V anno.
Progetto Speciale Multiasse “Sistema Sapere e Crescita” P.O. FSE Abruzzo Piano degli interventi Intervento A) promozione della conoscenza.
5 marzo Come affrontare il problema Contromisure organizzative e tecnologiche.
Assocostieri Servizi, società di ASSOCOSTIERI, dispone della certificazione UNI EN ISO 9001 per offrire consulenza qualificata nel settore della Logistica.
Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.
SISTEMI DI QUALITA’ INTEGRATI: GMP e ISO 9001
1 IL SISTEMA DI GESTIONE DELLA QUALITA’ AZIENDALE G.Attioli- Il Sistema Qualità
DIPARTIMENTO DISTU METODI QUANTITATIVI PER IL CONTROLLO DELLA QUALITA’ Laurea Magistrale in: Comunicazione pubblica, d’impresa e pubblicità DOCENTE EMILIO.
Prof.ssa Cecilia Silvestri - A.A. 2014/2015. Punti Norma ISO 9001 Prof.ssa Cecilia Silvestri - A.A. 2014/2015.
Comunicazione sociale d’impresa: SA8000
Torna alla prima pagina Gestire le Informazioni nelle Organizzazioni Oltre i sistemi per la Qualità Aziendale ing. Alessandro Gallo Responsabile Assicurazione.
Transcript della presentazione:

1 Il percorso della certificazione BS7799 per la Gestione della Sicurezza delle Informazioni (SGSI) ITIS Fauser Novara - 16 Novembre 2004 Gianfranco Sarpero Secure Group Information Security Consultant La Certificazione BS7799

2 BS 7799 ISO Linee guida BS 7799:2 Controlli Con quali strumenti?

3 Conoscere costantemente il livello di rischio presente Applicare puntualmente i controlli utili a ridurlo Applicare puntualmente i controlli utili a ridurlo Quali obiettivi?

4 Agenda Business Risk I Rischi correlati alla sicurezza delle informazioni : Rischio d’impresa e rischio sicurezza La BS7799 in 10 punti Il Metodo Le fasi di realizzazione del processo Organizzazione Impostazione procedure e analisi tecnica Definizione processo e implementazione Verifica di processo

5 CUMMULATIVE GROWTH WORLDWIDE SINCE 1998 Business Risk

6 Skill Tempo Complessità Attacchi password guessing password cracking exploiting know vulnerabilities back doors hijacking sessions packet forging spoofing anti detection Business Risk

7 Rischi correlati alla sicurezza delle informazioni : Rischio d’impresa e rischio sicurezza Strategic Risks Financial Risks Hazard Risks Operational Risks Capital Investment Revenue Stream Business Interruption Cost Overruns for fixing an event Amortization Damage to Reputation Business Interruption Protection Computer Fraud Theft of Information Physical Damage to Equipment Release of Private Information Contractually Assumed Liabilities Advertising Injury Copyright Infringements Service Outages and Interruptions Security Breaches Worm Attacks Hackers Software Failures System Overloads Failure of Third Party Systems Loss of Data System Upgrades Programming Errors / Human Error Systems Adequacy and Expansion Competition Regulatory and Fiscal Requirements Dependent Businesses e-ventures B-2-B Extranets Damage to Reputation Source: Marsh

8 La BS7799 in 10 punti E’ una norma internazionale che permette di realizzare un processo utile a garantire un adeguato livello di sicurezza delle informazioni Politiche di sicurezzaPolitiche di sicurezza Organizzazione della sicurezzaOrganizzazione della sicurezza Classificazione e controllo dei beniClassificazione e controllo dei beni Sicurezza del personaleSicurezza del personale Sicurezza fisicaSicurezza fisica Gestione delle operazioni e delle comunicazioniGestione delle operazioni e delle comunicazioni Controllo accessi logiciControllo accessi logici Sviluppo e mantenimentoSviluppo e mantenimento Piano di continuitàPiano di continuità Conformità (legale, contrattuale, ecc.)Conformità (legale, contrattuale, ecc.) i 10 Punti della Norma

9 La Certificazione in Italia Enti di certificazione IMQ-CSQRINADNV Aziende italiane certificate Alcune aziende certificate Aziende certificate nel mondo NoicomSTT Telecom Italia SIA BNL Multiservizi Ist.Banc.San Paolo GFI OIS SEPELSAGItaltel Secure Group

10 garantire la Sicurezza delle Informazioni richiede un approccio globale che porta alla definizione di un vero e proprio strumento di identificazione dei Processi, definizione degli Asset Aziendali e controllo dei Rischi, ovvero l’adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), coerente con lo standard BS7799 standard BS7799 Con quale metodo?

11 Il Metodo Definizione della politica aziendale Definzione dei responsabili e partecipanti al forum Definizione dell’ambito Definizione della formazione Impostazione del Framework Analisi delle minacce Analisi delle vulnerabilità Analisi degli impatti Analisi del rischio Individuazione contromisure Implementazione contromisure Gestione incidenti Misurazione efficacia delle contromisure Gestione del rischio Auditing Riesame finale

12 Le fasi di realizzazione del processo ORGANIZZAZIONE REALIZZAZIONE DOC ANALISI DI RISCHIO DEFINIZIONE DOC IMPLEMENTAZIONE CICLO COMPLETO AUDIT INTERNO Fase4 1mese Fase3 - 1,5 mesiFase2 - 3 mesi Fase1 - 15gg FFFFFF

13 Organizzazione – fase1 PRESENTAZIONE REALIZZAZIONE AMBITO REALIZZAZIONE FORUM SULLA SICUREZZA REALIZZAZIONE POLITICA DI SICUREZZA FF 15gg

14 Impostazione procedure e analisi tecnica – fase 2 REALIZZAZIONE PROCEDURE OPERATIVE n Personale Personale n Documentale Documentale n Incidenti Incidenti n Politica Politica n Analisi dei rischi Analisi dei rischi REALIZZAZIONE ISTRUZIONI DI LAVORO ANALISI DEI RISCHI LISTA LAVORI PER MESSA IN SICUREZZA F INVENTARIO DELLE RISORSE 3 mesi

15 DOCUMENTO DI APPROVAZIONE DEFINIZIONE ISTRUZIONI DI LAVORO DEFINIZIONE PROCEDURE OPERATIVE DEFINIZIONE ANALISI DEI RISCHI DEFINIZIONE CONTRATTI IMPLEMENTAZIONE CONTROMISURE INIZIO CICLO COMPLETO AUDIT INTERNO FORMAZIONE FFFF 1mese1,5 mesi Definizione, implementazione e verifica fase 3 e 4 34

16 OrganizzazioneTempo Stimato DocumentazioneRealizzazione Fase iniziale di impostazione del lavoro complessivo 15 giorni Politica aziendale Dichiarazione di ambito Costituzione del Forum Politica AziendaleDichiarazione di Ambito Costituzione del forum Dichiarazione di intenti Definizione della politica generale Clausole di rispetto di norme e leggi Definizione ambito di certificazione Dettaglio dell’ambito Definizione di outsourcer e fornitori Rapp. Direzione Resp. SGSI Rapp. Ufficio Personale Rapp. Direzioni coinvolte Rapp. Sicurezza fisica Rapp. Qualità Realizzazione del processo - fase 1

17 Realizzazione DOC Analisi di Rischio Tempo Stimato DocumentazioneRealizzazione (Analisi del Rischio) Fase di impostazione procedure e analisi tecnica 3 mesi Procedure Operative Interne Istruzioni di lavoro Analisi dei rischi Lista lavori per messa in sicurezza Procedure Operative Interne Istruzioni di lavoroAnalisi dei rischi Personale Documentale Incidenti Politica Analisi dei rischi Specifiche operative relative alle Procedure Operative Interne Inventario risorse Classificazione degli asset Definizione di MINACCE, VULNERABILITA’, CONTROMISURE Definizione del rischio residuo Definizione contromisure Realizzazione del processo - fase 2

18 Consolidamento DOC Implementazione Ciclo Completo Tempo Stimato DocumentazioneRealizzazione (Gestione Rischio) Fase di definizione della sezione precedente e di implementazione 1,5 mesi Consolidamento e approvazione POI Consolidamento e approvazione Istruzioni di lavoro Implementazione Contromisure Lista lavori per messa in sicurezza Implementazione Contromisure Formazione Inizio Ciclo Completo Piano di lavoro Mitigazione rischi maggiori Implementazione Processo continuo Introduzione per la direzione Spiegazione capisaldi della normativa Realizzazione del processo - fase 3

19 Audit InternoTempo Stimato Auditing InternoRevisione e test del processo Fase di verifica del processo realizzato 1 mese Auditing InternoRevisione e test Certificazione Simulazione auditing di certificazione Eventuali modifiche documentali e realizzative gestione del processo Spiegazione capisaldi della normativa Realizzazione del processo - fase 4

20 BIA Identificazione degli asset Analisi delle minacce e vulnerabilità Determinazione del livello di rischio Standard di riferimento Analisi del Rischio

21 Hardware Software/applicazioni Comunicazioni Documenti End User Services Personale Dati/Informazioni Identificazione degli Asset

22 Analisi delle minacce

23 Connessioni non protette Utenti non esperti Nessun controllo di accesso Copie cartacee non controllate Analisi delle Vulnerabilità

24 software patch spesso già disponibili ma non applicate Software release giorni mesi anni Tempo Rischio Vulnerability found exploit distributed software patch giorni mesi anni IDS proactive Monitoring & Managed Service (SOC) Rischio e Vulnerabilità VKB Vulnerability Knowlegde Base (SOC) Punto 17 Allegato B

25 Implementazione delle contromisure Gestione degli incidenti Individuazione delle contromisure Misurazione dell’efficacia delle contromisure Gestione del rischio

26 GENERALI Politiche e Gestione sicurezza IT Verifiche di compatibilità Gestione degli incidenti Personale Istruzioni operative Business Continuity Planning Sicurezza fisica SPECIFICHE DELL’IT Identificazione e autenticazione Controllo di accesso e audit Protezione contro malicious code Gestione della rete Crittografia Identificazione contromisure

27 Valutazione del costo totale delle contromisure Progettazione Delivery Implementazione Collaudo Efficienza a livello di costi / benefici Implementazione contromisure

28 Strumento indispensabile per: Misurare l’efficienza del SGSI e proporre miglioramenti Misurare l’efficacia delle contromisure Ottenere dati utili per il riesame Gestione incidenti

29 2 Implementazione 3 Controllo e Risposta 4 Informazione e testing 5 Gestione e miglioramento 1) Corporate Security Policy SGSI: un processo dinamico Ciclo Completo

30 Alcuni Vantaggi Trasmettere fiducia a Clienti/Partner/Dipendenti Ottemperare agli obblighi delle vigenti leggi Ottenere una maggior tutela del patrimonio aziendale Ridurre i costi per la IS Ottenere una migliore qualificazione in gare CERTIFICAZIONE La Certificazione

31 Grazie per l’attenzione a Vostra disposizione per ulteriori approfondimenti Grazie per l’attenzione a Vostra disposizione per ulteriori approfondimenti Gianfranco Sarpero Information Security Consultant Secure Group La Certificazione BS7799

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.