BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.

Slides:



Advertisements
Presentazioni simili
Seminario: "La nuova frontiera della sicurezza: i sistemi di gestione"
Advertisements

Certificazioni Infrastrutture IT di Telecom Italia
CENTRO RETE QUALITA' UMBRA
EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Reti informatiche: Introduzione AICA © 2005.
La progettazione secondo la norma internazionale ISO 9001
PERCORSO DI SVILUPPO DELL’ECCELLENZA
Le norme tecniche La norma tecnica è una specifica approvata da un organismo riconosciuto, abilitato ad emanare atti di normalizzazione, che descrive le.
Sistemi di Gestione per la Qualità
AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
La valutazione del sistema di controllo interno
SICUREZZA E SALUTE DEI LAVORATORI
Conferenza Economica della Provincia di Ravenna “ L’impresa e il soggetto pubblico per la pianificazione territoriale integrata” Alessandro Lanza PhD,
Provveditorato agli Studi di Palermo
EVOLUZIONE DEI MODELLI DI GESTIONE PER LA QUALITA’ ISO 9000:2000 Mario Pettinicchio (Segretario Tecnico della Commissione UNI “Qualità e affidabilità”
Control and Risk Self Assessment – CRSA. Il caso Telecom.
1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.
La Raccomandazione europea per la garanzia di qualità dellIstruzione e Formazione Professionale Roma, 29 ottobre 2009 Giorgio Allulli - Isfol Coordinatore.
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale Progetto: Consumatori Informati – cod. 310/ giugno 2009 ore.
Anno 2000 Conferenza Nazionale - 17 giugno 1999 La nostra missione Studio, progettazione, sviluppo, realizzazione e fornitura di sistemi e servizi telematici.
Comitato Europeo per la Normazione. Il è cosituito da: un sistema per gestire processi formali suddiviso fra: un sistema per gestire processi formali.
Elaborato F.S. Di Somma V. PROGETTO QUALITA VERSO IL…. MANUALE DELLA QUALITA A.S. 2006/2007 F. S. QUALITA DI SOMMA V.
1. Scopo e campo di applicazione 2. Riferimenti normativi
Come riconoscere gli operatori della ICT Security SMAU ottobre 2002.
14 Aprile 2005 Presentazione v. 6 - Tutti I diritti riservati. Vietata la duplicazione e la distribuzione parziale o totale Presentazione della Società
QUALE IL MODELLO DI RIFERIMENTO ? “CAF“ COMMON ASSESSMENT FRAMEWORK
Nuove Strategie di Sourcing in Asia powered by Mediatex srl.
Silvia Baldo Alessandro Ghigi 24 gennaio 2003 INFORMAZIONE ED ORIENTAMENTO SULLIMMIGRAZIONE LA CARTA DEI SERVIZI.
MODELLI DI ORGANIZZAZIONE E GESTIONE DELLA SICUREZZA,
La qualità dei servizi A cura dell’Ufficio Comunicazione, Marketing e Assicurazione qualità.
La Protezione delle Infrastrutture Critiche in Europa: Conclusioni del Progetto Europeo Dependability Development Support Initiative (DDSI) di Lorenzo.
GENERALITA’ E STRUTTURA
Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.
SISTEMI DI GESTIONE AMBIENTALE E MODELLO EX D. L.GS. 231/01
Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.
Formazione contabilità economico patrimoniale per la gestione dei progetti comunitari Palermo, 19 gennaio 2011 – 10 febbraio 2011 Catania, 16 febbraio.
IL SISTEMA DI GESTIONE QUALITA’
Mercato Privati - RU MERCATO PRIVATI Referente AR Aprile 2014.
Il decentramento della formazione professionale alle Province.
INDICE Introduzione Cosa si intende per Sistema di Gestione Perché adottare un Sistema di Gestione in azienda Logica e struttura Sistema di Gestione e.
Sistemi di Gestione per la Qualità
WorkshopBIOTEC Workshop BIOTEC La qualità alimentare La qualità alimentare La relazione tra alimentazione salute e ambiente 13 Maggio 2004 S. Canese BIOTEC-AGRO.
B-Le norme e la certificazione
ORGANIZZAZIONE AZIENDALE E FORMAZIONE CONTINUA C.d.L. in Scienze dell’Educazione degli Adulti e Formazione Continua Adulti e Formazione Continua 20 Aprile.
L’assicurazione di qualità nel Quadro del Processo di Bologna Carla Salvaterra Trieste 15 dicembre 2007.
IPSIA A. Ferrari - Maranello
Guida alla certificazione
Hotel Italia buongiorno!
Normativa del settore elettrico
SAB Consulting S.r.l. Consulenza informatica Monetica SAB Consulting S.r.l.
Principi di Buona Pratica di Laboratorio
MONITORAGGIO DELLA QUALITA’ IN AMBIENTE SANITARIO
MODELLI DI GESTIONE PECULIARI ALLE ATTIVITA’ DEI LABORATORI NAZIONALI DEL GRANSASSO Ing. DOMENICO BARONE – RGA - Milano Convegno Nazionale: “I Sistemi.
Management e Certificazione della Qualità Prof. Alessandro Ruggieri.
Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.
ECOGEO srl “PRE - AUDIT sui sistemi di sicurezza alimentare secondo gli standard: BRC - IFS - ISO 22000”
UNI EN ISO 9001:2008. Cronistoria della ISO : MIL-Q-9858 (USA): prima norma di sistema qualità 1969: Norme degli alleati AQAP: principio della.
1 IL SISTEMA DI GESTIONE DELLA QUALITA’ AZIENDALE G.Attioli- Il Sistema Qualità
Management e Certificazione della Qualità Prof. Alessandro Ruggieri.
Referenti ICT1 Progetto di Formazione-Intervento® per i Referenti ICT Le linee di Piano.
Management e Certificazione della Qualità Prof. Alessandro Ruggieri.
1 ATTIVITÀ DI VERIFICA E FORMAZIONE “CHEMICALS” REGOLAMENTI REACH E SDS.
Prof.ssa Cecilia Silvestri - A.A. 2014/2015. Punti Norma ISO 9001 Prof.ssa Cecilia Silvestri - A.A. 2014/2015.
Tecniche di Gestione della Qualità Prof. Alessandro Ruggieri Prof. Enrico Mosconi A.A
Lezione Obiettivo della lezione Analizzare il ruolo delle “certificazioni sociali” per dimostrare l’impegno etico-sociale dell’impresa. Struttura della.
Impresa Digitale Politec Ottobre Impresa Digitale Lo scopo del progetto Proporre alle imprese l’opportunità di migliorare le loro prestazioni complessive.
Management e Certificazione della Qualità Prof. Alessandro Ruggieri.
Area Politiche di cittadinanza – Lavoro Garanzia Giovani Associazioni Cristiane Lavoratori Italiani Webinar 18/06/2014.
TQM Consult SpA XXXIX Congresso Nazionale U.G.D.C.TREVISO, marzo 2001 LA CERTIFICAZIONE DI QUALITA’ DELLE PROFESSIONI INTELLETTUALI LA QUALITA’ DEI.
ANMB e Sistema di Gestione Qualità : CERTIFICAZIONE NORME ISO Febbraio 2011 Dott.ssa Daniela Pierluigi.
Transcript della presentazione:

BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone

Agenda Lefficacia dei sistemi informatici e la sicurezza Cosè la sicurezza informatica? Lo standard BS 7799 –Part I –Part II Altri standard Le norme che richiamano ladozione dello standard BS 7799 BS 7799: dove è consigliato Note conclusive Lefficacia dei sistemi informatici e la sicurezza Cosè la sicurezza informatica? Lo standard BS 7799 –Part I –Part II Altri standard Le norme che richiamano ladozione dello standard BS 7799 BS 7799: dove è consigliato Note conclusive

Lefficacia dei sistemi informatici e la sicurezza informatica Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. INPUT OUTPUT

Lefficacia dei sistemi informatici e la sicurezza informatica Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. INPUT OUTPUT ALTERAZIONE OUTPUT ALTERATO OUTPUT ALTERATO

Lefficacia dei sistemi informatici e la sicurezza informatica Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. INPUT OUTPUT OUTPUT ALTERATO OUTPUT

…evidenza La sicurezza è quindi uno degli elementi di garanzia dellefficacia e dellefficienza dei sistemi informativi!

Cosè quindi la sicurezza informatica? La sicurezza è un sistema complesso che coinvolge lintera organizzazione e che è basato su un processo continuo di analisi dei rischi e di organizzazione delle risorse attraverso la definizione di responsabilità, di procedure e con luso di strumenti specifici

Problemi Dove investire in sicurezza? Quanto investire in sicurezza? Dove investire in sicurezza? Quanto investire in sicurezza?

Dove investire in sicurezza? Indagini di mercato dimostrano che le maggiori spese in tema di sicurezza informatica riguardano tecnologie di supporto… … ma gli esperti avvisano che senza gli aspetti organizzativi e di formazione le spese in tecnologia rischiano di essere inutili Indagini di mercato dimostrano che le maggiori spese in tema di sicurezza informatica riguardano tecnologie di supporto… … ma gli esperti avvisano che senza gli aspetti organizzativi e di formazione le spese in tecnologia rischiano di essere inutili

Quanto investire in sicurezza? Sicurezza 100% Costo in A B C

Un metodo: BS 7799 Un possibile metodo, per poter identificare e dimensionare correttamente le attività e le soluzioni in termini di sicurezza, viene fornito dallo standard britannico BS 7799

BS 7799: un po di storia Creato nel 1995 dal British Standards Institution per definire gli elementi chiave di controllo ed il processo di gestione della sicurezza delle informazioni È stato successivamente integrato nel 1998 ed è stato aggiornato sia nel 1999 sia nel 2002 Creato nel 1995 dal British Standards Institution per definire gli elementi chiave di controllo ed il processo di gestione della sicurezza delle informazioni È stato successivamente integrato nel 1998 ed è stato aggiornato sia nel 1999 sia nel 2002

BS 7799: in cosa consiste Il BS 7799 è uno standard orientato al processo piuttosto che al prodotto, ovvero non fornisce indicazioni specifiche sulle misure da intraprendere, ma indica le attività da organizzare in tema di sicurezza Lo standard si compone di due parti –Part I –Part II Il BS 7799 è uno standard orientato al processo piuttosto che al prodotto, ovvero non fornisce indicazioni specifiche sulle misure da intraprendere, ma indica le attività da organizzare in tema di sicurezza Lo standard si compone di due parti –Part I –Part II

BS 7799: Part I Denominata Code of practice for Information Security ha lo scopo di: fornire raccomandazioni nellambito della sicurezza informatica ad uso di coloro che allinterno di unorganizzazione sono responsabili della progettazione, dello sviluppo e del mantenimento dei livelli di sicurezza La parte è suddivisa in 10 sezioni ed identifica per ciascuna di esse gli obiettivi dei controlli e i controlli stessi da implementare (per un totale di 127 controlli) Denominata Code of practice for Information Security ha lo scopo di: fornire raccomandazioni nellambito della sicurezza informatica ad uso di coloro che allinterno di unorganizzazione sono responsabili della progettazione, dello sviluppo e del mantenimento dei livelli di sicurezza La parte è suddivisa in 10 sezioni ed identifica per ciascuna di esse gli obiettivi dei controlli e i controlli stessi da implementare (per un totale di 127 controlli)

BS 7799: Part II Denominata Specification for Information Security Management System (ISMS) ha lo scopo di: fornire un metodo per lapplicazione dei controlli indicati nella Part I dare indicazioni su come implementare, gestire, aggiornare e migliorare il sistema di gestione della sicurezza delle informazioni (ISMS) Denominata Specification for Information Security Management System (ISMS) ha lo scopo di: fornire un metodo per lapplicazione dei controlli indicati nella Part I dare indicazioni su come implementare, gestire, aggiornare e migliorare il sistema di gestione della sicurezza delle informazioni (ISMS)

BS 7799 Part II: il processo 1.Plan Progettare il sistema di gestione della sicurezza delle informazioni (ISMS) 1.Plan Progettare il sistema di gestione della sicurezza delle informazioni (ISMS) 3. Check Verificare lefficacia e lefficienza dellISMS per mezzo di attività di monitoring e di audit 3. Check Verificare lefficacia e lefficienza dellISMS per mezzo di attività di monitoring e di audit 2. Do Implementare e gestire lISMS 2. Do Implementare e gestire lISMS 4. Act Porre in essere i correttivi per le aree di miglioramento e per i problemi riscontrati 4. Act Porre in essere i correttivi per le aree di miglioramento e per i problemi riscontrati

BS 7799 Part II: focus su Plan Definire lambito di applicazione del sistema di gestione della sicurezza delle informazioni (ISMS) Definire le politiche di sicurezza Eseguire un risk assessment con i responsabili operativi Identificare soluzioni per la gestione dei rischi Selezionare gli obiettivi di controllo ed i controlli della Part I Redigere la dichiarazione di applicabilità Definire le politiche di sicurezza Eseguire un risk assessment con i responsabili operativi Identificare soluzioni per la gestione dei rischi Selezionare gli obiettivi di controllo ed i controlli della Part I Redigere la dichiarazione di applicabilità

Altri standard esistenti Al momento lInternational Organization for Standardization (ISO) e lInternational Electrotechnical Commission (IEC) hanno recepito la Part I del BS 7799 e hanno definito lo standard ISO/ IEC 17799

Le norme che richiamano ladozione dello standard BS 7799 Consiglio dellUnione Europea – Risoluzione del 28 gennaio 2002 –Invita i Paesi Membri ad adottare come best practice lo standard ISO/IEC Direttiva Stanca 16 gennaio 2002 –Suggerisce alle Pubbliche Amministrazioni di adottare un processo di analisi e gestione dei rischi conforme a BS 7799 Banca dItalia – Regolamento 29 gennaio 2002 –Impone ladozione di ISO/IEC nellambito dei S.I. operanti con la Centrale di Allarme Interbancaria Consiglio dellUnione Europea – Risoluzione del 28 gennaio 2002 –Invita i Paesi Membri ad adottare come best practice lo standard ISO/IEC Direttiva Stanca 16 gennaio 2002 –Suggerisce alle Pubbliche Amministrazioni di adottare un processo di analisi e gestione dei rischi conforme a BS 7799 Banca dItalia – Regolamento 29 gennaio 2002 –Impone ladozione di ISO/IEC nellambito dei S.I. operanti con la Centrale di Allarme Interbancaria

BS 7799: dove è consigliato Nei Sistemi Informativi della Pubblica Amministrazione (Conformità Direttiva Stanca) Nei Sistemi Informativi che devono fornire ampie garanzie di tutela della gestione della Sicurezza delle Informazioni (es. ambito finanziario; ai sensi della conformità per la tutela della Privacy; etc.) Presso i fornitori di servizi di elaborazione dati (outsourcer) al fine di conferire fiducia e verificabilità ai clienti Nei Sistemi Informativi della Pubblica Amministrazione (Conformità Direttiva Stanca) Nei Sistemi Informativi che devono fornire ampie garanzie di tutela della gestione della Sicurezza delle Informazioni (es. ambito finanziario; ai sensi della conformità per la tutela della Privacy; etc.) Presso i fornitori di servizi di elaborazione dati (outsourcer) al fine di conferire fiducia e verificabilità ai clienti

Note conclusive La sicurezza come elemento integrante per la garanzia dellefficienza e lefficacia dei sistemi informativi Il problema dellorientamento e del dimensionamento della spesa in tema di sicurezza informatica BS 7799 come strumento che indica un metodo per ottenere una gestione efficace della sicurezza informatica in linea con le reali esigenze operative La sicurezza come elemento integrante per la garanzia dellefficienza e lefficacia dei sistemi informativi Il problema dellorientamento e del dimensionamento della spesa in tema di sicurezza informatica BS 7799 come strumento che indica un metodo per ottenere una gestione efficace della sicurezza informatica in linea con le reali esigenze operative

Alessandro Leone Tel.: Alessandro Leone Tel.: