BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone

Agenda Lefficacia dei sistemi informatici e la sicurezza Cosè la sicurezza informatica? Lo standard BS 7799 –Part I –Part II Altri standard Le norme che richiamano ladozione dello standard BS 7799 BS 7799: dove è consigliato Note conclusive Lefficacia dei sistemi informatici e la sicurezza Cosè la sicurezza informatica? Lo standard BS 7799 –Part I –Part II Altri standard Le norme che richiamano ladozione dello standard BS 7799 BS 7799: dove è consigliato Note conclusive

Lefficacia dei sistemi informatici e la sicurezza informatica Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. INPUT OUTPUT

Lefficacia dei sistemi informatici e la sicurezza informatica Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. INPUT OUTPUT ALTERAZIONE OUTPUT ALTERATO OUTPUT ALTERATO

Lefficacia dei sistemi informatici e la sicurezza informatica Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. Cosa può succedere ad un sistema informatico efficace e ben collaudato: –Manomesso o alterato (colpa o dolo) –Bloccato (incidente o atto volontario) –Violato –Etc. INPUT OUTPUT OUTPUT ALTERATO OUTPUT

…evidenza La sicurezza è quindi uno degli elementi di garanzia dellefficacia e dellefficienza dei sistemi informativi!

Cosè quindi la sicurezza informatica? La sicurezza è un sistema complesso che coinvolge lintera organizzazione e che è basato su un processo continuo di analisi dei rischi e di organizzazione delle risorse attraverso la definizione di responsabilità, di procedure e con luso di strumenti specifici

Problemi Dove investire in sicurezza? Quanto investire in sicurezza? Dove investire in sicurezza? Quanto investire in sicurezza?

Dove investire in sicurezza? Indagini di mercato dimostrano che le maggiori spese in tema di sicurezza informatica riguardano tecnologie di supporto… … ma gli esperti avvisano che senza gli aspetti organizzativi e di formazione le spese in tecnologia rischiano di essere inutili Indagini di mercato dimostrano che le maggiori spese in tema di sicurezza informatica riguardano tecnologie di supporto… … ma gli esperti avvisano che senza gli aspetti organizzativi e di formazione le spese in tecnologia rischiano di essere inutili

Quanto investire in sicurezza? Sicurezza 100% Costo in A B C

Un metodo: BS 7799 Un possibile metodo, per poter identificare e dimensionare correttamente le attività e le soluzioni in termini di sicurezza, viene fornito dallo standard britannico BS 7799

BS 7799: un po di storia Creato nel 1995 dal British Standards Institution per definire gli elementi chiave di controllo ed il processo di gestione della sicurezza delle informazioni È stato successivamente integrato nel 1998 ed è stato aggiornato sia nel 1999 sia nel 2002 Creato nel 1995 dal British Standards Institution per definire gli elementi chiave di controllo ed il processo di gestione della sicurezza delle informazioni È stato successivamente integrato nel 1998 ed è stato aggiornato sia nel 1999 sia nel 2002

BS 7799: in cosa consiste Il BS 7799 è uno standard orientato al processo piuttosto che al prodotto, ovvero non fornisce indicazioni specifiche sulle misure da intraprendere, ma indica le attività da organizzare in tema di sicurezza Lo standard si compone di due parti –Part I –Part II Il BS 7799 è uno standard orientato al processo piuttosto che al prodotto, ovvero non fornisce indicazioni specifiche sulle misure da intraprendere, ma indica le attività da organizzare in tema di sicurezza Lo standard si compone di due parti –Part I –Part II

BS 7799: Part I Denominata Code of practice for Information Security ha lo scopo di: fornire raccomandazioni nellambito della sicurezza informatica ad uso di coloro che allinterno di unorganizzazione sono responsabili della progettazione, dello sviluppo e del mantenimento dei livelli di sicurezza La parte è suddivisa in 10 sezioni ed identifica per ciascuna di esse gli obiettivi dei controlli e i controlli stessi da implementare (per un totale di 127 controlli) Denominata Code of practice for Information Security ha lo scopo di: fornire raccomandazioni nellambito della sicurezza informatica ad uso di coloro che allinterno di unorganizzazione sono responsabili della progettazione, dello sviluppo e del mantenimento dei livelli di sicurezza La parte è suddivisa in 10 sezioni ed identifica per ciascuna di esse gli obiettivi dei controlli e i controlli stessi da implementare (per un totale di 127 controlli)

BS 7799: Part II Denominata Specification for Information Security Management System (ISMS) ha lo scopo di: fornire un metodo per lapplicazione dei controlli indicati nella Part I dare indicazioni su come implementare, gestire, aggiornare e migliorare il sistema di gestione della sicurezza delle informazioni (ISMS) Denominata Specification for Information Security Management System (ISMS) ha lo scopo di: fornire un metodo per lapplicazione dei controlli indicati nella Part I dare indicazioni su come implementare, gestire, aggiornare e migliorare il sistema di gestione della sicurezza delle informazioni (ISMS)

BS 7799 Part II: il processo 1.Plan Progettare il sistema di gestione della sicurezza delle informazioni (ISMS) 1.Plan Progettare il sistema di gestione della sicurezza delle informazioni (ISMS) 3. Check Verificare lefficacia e lefficienza dellISMS per mezzo di attività di monitoring e di audit 3. Check Verificare lefficacia e lefficienza dellISMS per mezzo di attività di monitoring e di audit 2. Do Implementare e gestire lISMS 2. Do Implementare e gestire lISMS 4. Act Porre in essere i correttivi per le aree di miglioramento e per i problemi riscontrati 4. Act Porre in essere i correttivi per le aree di miglioramento e per i problemi riscontrati

BS 7799 Part II: focus su Plan Definire lambito di applicazione del sistema di gestione della sicurezza delle informazioni (ISMS) Definire le politiche di sicurezza Eseguire un risk assessment con i responsabili operativi Identificare soluzioni per la gestione dei rischi Selezionare gli obiettivi di controllo ed i controlli della Part I Redigere la dichiarazione di applicabilità Definire le politiche di sicurezza Eseguire un risk assessment con i responsabili operativi Identificare soluzioni per la gestione dei rischi Selezionare gli obiettivi di controllo ed i controlli della Part I Redigere la dichiarazione di applicabilità

Altri standard esistenti Al momento lInternational Organization for Standardization (ISO) e lInternational Electrotechnical Commission (IEC) hanno recepito la Part I del BS 7799 e hanno definito lo standard ISO/ IEC 17799

Le norme che richiamano ladozione dello standard BS 7799 Consiglio dellUnione Europea – Risoluzione del 28 gennaio 2002 –Invita i Paesi Membri ad adottare come best practice lo standard ISO/IEC Direttiva Stanca 16 gennaio 2002 –Suggerisce alle Pubbliche Amministrazioni di adottare un processo di analisi e gestione dei rischi conforme a BS 7799 Banca dItalia – Regolamento 29 gennaio 2002 –Impone ladozione di ISO/IEC nellambito dei S.I. operanti con la Centrale di Allarme Interbancaria Consiglio dellUnione Europea – Risoluzione del 28 gennaio 2002 –Invita i Paesi Membri ad adottare come best practice lo standard ISO/IEC Direttiva Stanca 16 gennaio 2002 –Suggerisce alle Pubbliche Amministrazioni di adottare un processo di analisi e gestione dei rischi conforme a BS 7799 Banca dItalia – Regolamento 29 gennaio 2002 –Impone ladozione di ISO/IEC nellambito dei S.I. operanti con la Centrale di Allarme Interbancaria

BS 7799: dove è consigliato Nei Sistemi Informativi della Pubblica Amministrazione (Conformità Direttiva Stanca) Nei Sistemi Informativi che devono fornire ampie garanzie di tutela della gestione della Sicurezza delle Informazioni (es. ambito finanziario; ai sensi della conformità per la tutela della Privacy; etc.) Presso i fornitori di servizi di elaborazione dati (outsourcer) al fine di conferire fiducia e verificabilità ai clienti Nei Sistemi Informativi della Pubblica Amministrazione (Conformità Direttiva Stanca) Nei Sistemi Informativi che devono fornire ampie garanzie di tutela della gestione della Sicurezza delle Informazioni (es. ambito finanziario; ai sensi della conformità per la tutela della Privacy; etc.) Presso i fornitori di servizi di elaborazione dati (outsourcer) al fine di conferire fiducia e verificabilità ai clienti

Note conclusive La sicurezza come elemento integrante per la garanzia dellefficienza e lefficacia dei sistemi informativi Il problema dellorientamento e del dimensionamento della spesa in tema di sicurezza informatica BS 7799 come strumento che indica un metodo per ottenere una gestione efficace della sicurezza informatica in linea con le reali esigenze operative La sicurezza come elemento integrante per la garanzia dellefficienza e lefficacia dei sistemi informativi Il problema dellorientamento e del dimensionamento della spesa in tema di sicurezza informatica BS 7799 come strumento che indica un metodo per ottenere una gestione efficace della sicurezza informatica in linea con le reali esigenze operative

Alessandro Leone Tel.: Alessandro Leone Tel.: