Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.

Slides:



Advertisements
Presentazioni simili
VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Advertisements

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
E-GOVERNMENT IN FORTE CRESCITA IN ITALIA
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Virus Informatici.
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Sistemi Operativi Menù: 1) Introduzione al sistema operativo
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Amministrazione di una rete con Active Directory.
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
Ordine dei Dottori Commercialisti e degli Esperti Contabili di Ivrea, Pinerolo, Torino1 effettuate le operazioni di generazione dell'Ambiente di sicurezza.
PROGETTO:Verona Aziende Sicure 2006 Verona, 23 marzo 2007 APPALTI E MANUTENZIONE Teoria e pratica.
GESTIONE DEI SISTEMI INFORMATIVI IN AZIENDA
Architettura Three Tier
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
Art.13 legge 328/2000 La Carta dei Servizi Sociali definisce i criteri per l’accesso ai servizi, le modalità del relativo funzionamento, le condizioni.
Introduzione alla sicurezza informatica
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Ing. Andrea.
Supervisione e Gestione Sassuolo, 27 Novembre 2008.
Security & Safety - GCSL - Supporto Formativo CHIEF OPERATING OFFICE e CHIEF NETWORK AND SALES OFFICE Fabbisogno formativo in materia di igiene e sicurezza.
L'azienda associata accedendo dal portale dellassociazione si trova di fronte la seguente pagina web. La prima volta effettuerà la registrazione inserendo.
Una nota per voi Abbiamo creato questa presentazione appositamente per voi che siete dipendenti sempre attenti al tema della sicurezza informatica. Vogliamo.
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
SICUREZZA INFORMATICA
Ottobre 2007 Predisposizione e presentazione della domanda di nullaosta.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Norman Endpoint Protection Sicurezza all'avanguardia in tutta facilità!
INTEGRAZIONE, RILASCIO
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
SISECO Soluzioni Informatiche Metodologie Metodologie By SISECO Progetti Software.
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
Introduzione Il processo di software selection che precede il cambio del sistema informativo aziendale è fondamentale e complesso Esso richiede alcune.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
La sicurezza delle reti informatiche : la legge sulla Privacy
ECDL per TUTTI con I Simpson Azzurra & Silvia.
Configurazione di una rete Windows
BPR-T Business Process Reengineering – Information Technology
La gestione dei rifiuti secondo la normativa vigente
Gestione spese e trasferte Riepilogo scenario
Active Directory e Gestione Utenti di Valerio Di Bacco.
Universita’ degli Studi Roma Tre
Formattazione, Partizioni e dischi
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Sezione F Pianificazione di progetto
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
Sistemi operativi di rete Ing. A. Stile – Ing. L. Marchesano – 1/18.
Storo 30 ottobre 2006 – Pierluigi Roberti Problemi legati al software e possibili soluzioni ReadyServices sas Pierluigi Roberti.
Sicurezza e attacchi informatici
Cloud SIA V anno.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
ECDL European Computer Driving Licence
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Analisi di sicurezza della postazione PIC operativa
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
31 Ottobre Cosa intende Etica Sgr per investimento socialmente responsabile? 2  Adottare nei processi di selezione dei titoli e di gestione dei.
Risultati Leapfrog IP per una comunicazione sicura e affidabile Cristiano Novelli ENEA, XML-Lab.
Eprogram SIA V anno. La sicurezza informatica Sicurezza Con la diffusione dei computer e della rete Internet, il problema della sicurezza nei sistemi.
21 giugno Illecito e rischio Un approccio diverso: aumentare il rischio per chi commette l’illecito.
LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle politiche di sicurezza Smau ottobre 2002

Paolo Da Ros 2 L importanza della information security policy 1.Cio che la policy non deve essere: Una serie di ovvieta Un bel binder dietro la poltrona del security manager 2.Cio che la policy puo essere (low-level policy): Linee guida sull uso dell Regole tecniche per l uso di un sistema particolare 3.Cio che qui intendiamo per security policy La documentazione delle decisioni relative alla information security

Paolo Da Ros 3 Lo scopo delle politiche per la sicurezza delle informazioni della Societa XYZ e di proteggere risorse vitali quali le informazioni e le risorse informatiche aziendali consentendo simultaneamente: 1)Comunicazioni via sia all interno che all esterno della Societa; 2)Trasferimento di informazioni all interno ed all esterno della Societa e 3)Accesso al portale ed ai server aziendali ai Clienti, Partners e utenti interni secondo I criteri dettagliati nel seguito. Inoltre essa definisce le politiche per la protezione dei dati all interno della Societa, il rispetto delle Leggi vigenti, e risponde alle esigenze di Confidenzialita, Integrita e disponibilita dei dati, di Responsabilita e di verificabilita di cui ogni Collaboratore della Societa deve essere consapevole e che chiunque, all interno della Societa, deve rispettare e far rispettare. La security Policy di alto livello (un esempio)

Paolo Da Ros 4 Dalla policy di alto livello alle politiche operative:

Paolo Da Ros 5 L output della Risk Analisys 1…. 2Di minima rilevanza 3…. 4di media rilevanza 9….. 10 uscita dal business 1 …. 2Mette in crisi il processo 3…. 4Mette in crisi più processi 9….. 10 mette in crisi loperatività dellazienda

Paolo Da Ros 6 Come e fatta una Security Policy, e cosa Contiene (di solito)? (1) 1.Obiettivo. Descrive l importanza che l Organizzazione attribuisce alle informazioni e la volonta dell organizzazione di difenderne confidenzialita, integrita, disponibilita. 2.Applicabilita. Definisce I beni aziendali regolati ed i soggetti tenuti al rispetto della Policy (dipendenti, consulenti, partner commerciali…) 3.Responsabilita. Definisce quanto gli utenti (dipendenti, dirigenti, addetti alla sicurezza) sono tenuti a fare per ottemperare alla SP. Puo contenere indicazioni relative alle responsabilita di un reparto particolare dell Azienda, o di un Dirigente

Paolo Da Ros 7 Come e fatta una Security Policy, e cosa Contiene (di solito)? (2) 4.Sicurezza fisica. Definisce il modo in cui l Azienda protegge I propri beni materiali. Potrebbe contenere la descrizione delle modalita e dei criteri di accesso alle aree riservate; potrebbe descrivere I doveri del responsabile della sicurezza 5.Sicurezza della rete. Definisce le modalita di protezione degli assets accessibili via rete. 6.Sicurezza del software. Definisce le modalita di utilizzo di software commerciale e non commerciale, responsabilita di installazione e manutenzione su PC, server e sulla rete; potrebbe contenere le regole che stabiliscono modalita di download da Internet

Paolo Da Ros 8 Come e fatta una Security Policy, e cosa Contiene (di solito)? (3) 7.Business Continuity / Disaster Recovery. Definisce il modo in cui l Azienda garantisce la continuita delle proprie attivita legate al trattamento delle informazioni. Puo contenere la lista delle persone che costituiscono l Emergency Response Team, il cui intervento e previsto in caso di disastri o di attacchi 8.Uso accettabile. Definisce gli utilizzi accettabili delle risorse aziendali; potrebbe contenere una descrizione dei contenuti inviabili via al di fiuori dell azienda, o la liceita di utilizzare il PC aziendale a scopo ludico.

Paolo Da Ros 9 Come e fatta una Security Policy, e cosa Contiene (di solito)? (4) 9.Consapevolezza degli utenti. Descrive le modalita di istruzione degli utenti sulla security policy, e le modalita di verifica della conoscenza della SP. 10.Rispetto della policy. Descrive le modalita adottate dall Azienda per fare rispettare la SP. Potrebbe specificare le sanzioni per coloro che non ottemperano alla SP

Paolo Da Ros Alcuni esempi(1): Gestione dei virus ( Basso livello di rischio) : Gli utenti saranno informati sulle attivita che comportano il rischio di importare malicious code; Se non sara stato possibile rimuovere il virus, tutto il software necessario all uso della macchina andra reinstallato da media sicuri. Ogni macchina sospettata di essere infettata da un virus va immediatamente sconnessa dalla rete; la macchina non potra essere connessa alla rete finche il virus non sia stato rimosso; Gli utenti devono riferire agli amministratori di rete di ogni virus rilevato, di cambiamenti avvertiti nel comportamento del computer; in caso di rilevamento di un virus, tutti gli utenti che hanno accesso allo stesso programma o agli stessi dati verranno informati del rischio che corrono e delle azioni da intraprendere per verificare la presenza di un virus sulla loro macchina e nel caso, rimuoverlo; gli utenti informeranno gli amministratori dell; esito dei test effettuati;

Paolo Da Ros Alcuni esempi (2): Gestione dei virus ( Medio livello di rischio) : L addestramento degli utenti dei sistemi a medio livello di rischiosita includera l approfondimento delle problematiche legate ai virus; Un computer su cui venga rilevata la presenza di virus dovra essere immediatamente sconnesso da tutte le reti cui sia collegato I log prodotti dagli antivirus verranno memorizzati ed esaminati dagli amministratori di rete; Per contenere il rischio di diffusione dei virus il software antivirus andra installato sui file server; l esecuzione dell antivirus verra effettuata giornalmente; le postazioni di lavoro disporranno di sw antivirus che controllera tutti i files mano a mano che arrivano sul PC; verranno controllate tutti i messaggi ; i programmi non potranno essere eseguiti, ed i files sucettibili di includere macro virus non potranno essere aperti senza essere preventivamente controllati.

Paolo Da Ros 12 Conclusioni E importante documentare le politiche sia di alto livello che di livello operativo La politica deve rispondere alle domande Cosa devo proteggere, e da cosa? Non esiste security policy senza assegnare responsabilita (e budget) E importante formalizzare gli usi accettabili Formazione e verifica della conoscenza della SP Sanzioni per chi non ottempera

Paolo Da Ros 13 Grazie!!