Convegno Annuale AISIS

Slides:

Advertisements

Presentazioni simili

A che punto siamo in Italia

Advertisements

Certificazioni Infrastrutture IT di Telecom Italia

INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.

11 Settembre 2008 ore 9.00 Sala Consiliare Municipio di San Donato Milanese Via Cesare Battisti, 2 Carte dei servizi sociali nel nuovo welfare: una giornata.

Forum Comunicazione Unificata ® Forum Comunicazione Unificata FORUM CU in BarCamp Servizi di Comunicazione Unificata, esigenze ed esperienze Giovedì 15.

Ministero dell’Istruzione, dell’Università e della Ricerca

Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:

TechNet Management European Expert Tour Milano, 4 ottobre 2005BENVENUTI TechNet Management European Expert Tour Milano, 4 ottobre 2005BENVENUTI Davide.

A. M. Tammaro Bibliocomm 2003 Linee guida per la digitalizzazione Perché ne abbiamo bisogno? Anna Maria Tammaro.

Gestione della Dispositivo Vigilanza: un’esperienza regionale

BIBLIOCOM ROMA 16 ottobre 2002

Le norme tecniche La norma tecnica è una specifica approvata da un organismo riconosciuto, abilitato ad emanare atti di normalizzazione, che descrive le.

AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.

Stato avanzamento lavori

Daniela Corsaro Università Cattolica del Sacro Cuore di Milano

Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.

CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.

Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.

Item of the presentation optionale 2nd line Subtitle of the presentation City, date, author Roberto Terrone Torino, 16_09_2009 Bilancio di Sostenibilità

Adalberto Casalboni, CISE

SICUREZZA E SALUTE DEI LAVORATORI

L’esperienza di Reggio Emilia: rete cure territoriale percorsi di cura

1 Lo Sportello Unico e la comunicazione Arezzo, 27 gennaio 2005.

La gestione documentale aperta e flessibile dellASL 20 di Alessandria e Tortona Convegno: Dal Protocollo alla Conservazione Sostitutiva: la gestione efficace.

Control and Risk Self Assessment – CRSA. Il caso Telecom.

1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.

1 Dai principi all'effettiva misurazione e valutazione dei risultati Giornata della trasparenza – CCIAA Prato 19 luglio 2012.

Comitato Europeo per la Normazione. Il è cosituito da: un sistema per gestire processi formali suddiviso fra: un sistema per gestire processi formali.

PROGETTO SECURITY ROOM

BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.

Il futuro dei programmi comunitari per i giovani 2014 / 2020 Varese, 8 ottobre 2012 IL PROGRAMMA DELLUE PER LISTRUZIONE, LA FORMAZIONE, LA GIOVENTU, LO.

La vigilanza nelle indagini cliniche con dispositivi medici

Il ruolo dei LVS nella sicurezza di prodotti e sistemi ICT

Come riconoscere gli operatori della ICT Security SMAU ottobre 2002.

Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Convegno Annuale AISIS.

A.SS.2 Isontina III CONFERENZA REGIONALE HPH 5 maggio 2011 Monfalcone La rete HPH e il guadagno di salute in tutte le politiche : il valore della rete.

Le difficoltà dell’integrazione socio-sanitaria in uno scenario di forte presenza della sanità privata nel sistema pubblico. Il caso del Lazio. Cristina.

III Convegno Nazionale

“Osservare per Conoscere”: un’indagine sullo stato di salute della

Ministero dellIstruzione, dellUniversità e della Ricerca Servizio per lAutomazione Informatica e lInnovazione Tecnologica – Ufficio di Statistica -VII.

Dal Disaster Recovery alla Business Continuity Prepare for the worst, don't hope for the best Villa d Este Cernobbio 28 ottobre 2008 Convegno organizzato.

SICUREZZA E SALUTE DEI LAVORATORI NORME TECNICHE.

Convegno Annuale AISIS

Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.

Certificazioni di Sicurezza Informatica”

Scuola Nazionale dell’Amministrazione

La pianificazione e la gestione di progetti complessi a finanziamento pubblico Dott.ssa Luisella Bianco Responsabile Business Division: Project Management.

UNIVERSITA’ DEGLI STUDI DI NAPOLI FEDERICO II

Forum regionale sulleLearning – Udine, 15 giugno 2004 LeLearning nelle P.A., Mirella Schaerf CNIPA Le linee guida e il vademecum per leLearning nelle P.A.

Ornella Cilona, Presidente Commissione Tecnica Uni sulla responsabilità sociale 15/09/2009Ornella Cilona - Incontro soci Anima.

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.

IL PROCESSO DI ASSISTENZA AEROPORTUALE Misurazione della performance

Progetto per il servizio triennale

Adolfo Bertani Presidente Cineas Politecnico di Milano, 10 dicembre 2013 Inaugurazione Anno Accademico Cineas Anno Accademico Cineas2013/2014 What are.

International Co-operation European Integration Internationalisation Un caso di successo Un approccio partecipativo allinnovazione 1Francesco Natale, Bologna.

QUALITÀ ISO 9001: Sistemi di gestione per la qualità - Requisiti ScopoUsoLivelloVersioneData Illustrare le normative ISO per la certificazione della qualitàInternoBase /11/2013.

Convegno Annuale AISIS

Il macro ambito “Organisation performance”. Allegato 1: Organisation Performance 1. Il macro ambito “Organisation Performance” Il modello (framework)

Certificazione delle Competenze digitali se pensate che la formazione sia costosa provate con l’ignoranza - Derek Bok-

Copyright - Revisione Maggio 2014

Webinar Certi W La nuova ISO 9001 Tutto sulle novità in arrivo

Percorso Diagnostico-Terapeutico (PDT)

INDICE Introduzione Cosa si intende per Sistema di Gestione Perché adottare un Sistema di Gestione in azienda Logica e struttura Sistema di Gestione e.

Servizi per la sicurezza delle informazioni e dei sistemi informativi IMPRESA 2.0.

AICA È AICA L’importanza delle competenze digitali in Sanità Fulvia Sala Roma, 16 settembre 2014.

EHealthAcademy 2015: Un percorso di qualificazione delle competenze e formazione per Chief Information Officer (e aspiranti tali) in Sanità Organizzato.

PROGETTAZIONE DEI PERCORSI (PDTA – PCA – PAI) STRUMENTI E METODI PER PROGETTARE, GESTIRE E MONITORARE UN PERCORSO 30 OTTOBRE 2014 Caterina E. Amoddeo Direttore.

Prof.ssa Cecilia Silvestri - A.A. 2014/2015. I Sistemi di Gestione Ambientale (SGA) Norma Iso Emas Ecolabel Prof.ssa Cecilia Silvestri - A.A. 2014/2015.

Transcript della presentazione:

Convegno Annuale AISIS SANITÀ E NORME SULLA SICUREZZA DELLE INFORMAZIONI Fabio Guasconi - CLUSIT Firenze, 15 novembre 2013 Hilton Hotel Gruppo di lavoro n°2 : 2013

Relatore Fabio Guasconi Direttivo CLUSIT Direttivo di UNINFO Presidente del ISO/IEC JTC1 SC27 di UNINFO CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001 Partner e co-founder Bl4ckswan S.r.l.

Agenda Sanità, Information Security, Sicurezza delle informazioni Vocabolario comune Vincoli e regulation Principali standard sulla Sicurezza delle Informazioni NIST SP800 PCI-DSS ISO/IEC 27001/2 ISO 27799, ISM in health using ISO/IEC 27002 Specifiche aggiuntive Controlli dedicati

Nato nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano Rappresenta oltre 500 organizzazioni di tutti i settori Mission Diffondere la cultura della sicurezza informatica Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza informatica Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle figure professionali del settore Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza

Introduzione all'attività normativa Il sottocomitato 27 (SC27), da cui nascono tutte le norme della famiglia 27000 e anche altre degne di nota, è delegato ad occuparsi, in seno al Joint Technical Committee (JTC1) di ISO/IEC, della sicurezza delle informazioni. Alle attività del SC27 partecipano 50 nazioni con diritto di voto e 19 nazioni come osservatori, per un totale di 69 paesi più 35 enti, soggetti e progetti internazionali attraverso liaison. L'Italia ha diritto di voto ed è rappresentata da UNINFO, Ente federato di UNI per l'intero settore delle tecnologie informatiche. NWI - New work item proposal WD - Working draft(s) CD - Committee draft(s) DIS - Enquiry draft FDIS - Final draft IS - International Standard

Punto di partenza comune: vocaboli SICUREZZA DELLE INFORMAZIONI (information security) Conservazione della riservatezza, dell’integrità e della disponibilità delle informazioni SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI (information security management system) Quella parte del sistema di gestione complessivo, basata su un approccio rivolto al rischio relativo al business, volta a stabilire, attuare, condurre, monitorare, riesaminare, mantenere e migliorare la sicurezza delle informazioni Fonte: ISO/IEC 27000:2012

Vincoli e regulation di settore

Sicurezza delle informazioni e standard Interna-zionali ISO/IEC 27001 ISO/IEC 27002 ISO 27799 Nazionali NIST SP800 Settoriali PCI-DSS G S G Generici S Specifici

PCI-DSS Si applica ai sistemi che trattano dati di carte di pagamento Insieme prescrittivo di oltre 200 controlli a tutto tondo

NIST Special Publications Serie 800 Guide verticali sui principali temi relativi alla sicurezza delle informazioni e non solo, tra cui: 800-153 Securing WLAN 800-125 Security in Virtualization 800-123 Server security 800-92 Log management 800-63 Electronic authentication 800-53 Security controls 800-40 Patch management 800-34 Contingency plans 800-30 Risk assessment

ISO/IEC 27001 Norma applicabile a realtà di ogni dimensione Dice cosa fare, non come farlo Ambito definibile a piacimento Approccio ciclico (PDCA) Costituisce un framework completo Rivolto al miglioramento continuo E’ un riferimento universale e certificabile Facilmente integrabile con gli altri sistemi di gestione (9001, 14001, 180001) Appena aggiornata (ottobre 2013) e di prossima pubblicazione in italiano

performance evaluation ISO/IEC 27001 4 context 5 leadership 6 planning 7 support P 8 operation D 9 performance evaluation C 10 improvement A Annex A

ISO/IEC 27002 La ISO/IEC 27001 definisce i processi per la gestione della sicurezza delle informazioni, la ISO/IEC 27002 offre un catalogo di contromisure (controlli) di sicurezza da applicare a valle dell'analisi del rischio e le indicazioni su come applicarle 5 Information Security Policies 6 Organisation of Information Security 7 Human Resources Security 8 Asset Management 9 Access control 10 Cryptography 11 Physical and environmental Security 12 Operations Security 13 Communications Security 14 Systems acquisition, development and maintenance 15 Supplier relationships 16 Information Security Incident Management 17 IS aspects of Business Continuity 18 Compliance

ISO 27799: ISM in health using 27002 Norma complementare alla ISO/IEC 27002 rivolta a tutto il settore sanitario Pubblicata nel 2008 da ISO/TC 215 mantenendo forti legami con ISO/IEC JTC1 SC27 Include linee guida di interpretazione anche della ISO/IEC 27001 e dei processi relativi alla sicurezza delle informazioni Introduce considerazioni aggiuntive per i controlli della ISO/IEC 27002 (v. slides successive) Indica criteri di scelta per gli elementi di supporto alla gestione della sicurezza nel settore sanitario E' attualmente in corso di aggiornamento

Caratteristiche specifiche ISO 27799 Information Security Management Forum interfunzionale come struttura centrale di coordinamento per la sicurezza delle informazioni Accortezze da impiegare per una corretta gestione del rischio in ambito sanitario: peculiarità del personale (volontari, tecnici …) minacce più comuni in ambito sanitario spostamento di focus dagli impatti economici ai pazienti considerazione dei principali protocolli sanitari apparecchiature mediche informatizzate soglie di accettabilità del rischio non solo basate su requisiti economici

Controlli dedicati nella ISO 27799 Sono fornite indicazioni specifiche per ben 64 controlli (rispetto ai 133 della ISO/IEC 27002 del 2005), inerenti ad esempio: la classificazione delle informazioni la separazione delle aree ad accesso pubblico dalle altre la segregazione delle responsabilità collegate all'approvazione di procedure cliniche la cancellazione sicura e la cifratura delle informazioni lo scambio di informazioni tra enti sanitari la predisposizione delle informazioni di log anche in ottica di indagini sanitarie gli accessi di emergenza ai sistemi

Conclusioni L'uso degli standard permette di non "reinventare" tutte le volte la ruota ma di beneficiare delle esperienze già maturate In altri contesti la sicurezza delle informazioni si è sviluppata prima che nella sanità ma non ha la stessa importanza I principali sistemi socio-sanitari italiani si stanno già muovendo verso l'adozione di standard per la sicurezza delle informazioni

Riferimenti e Contatti Quaderni CLUSIT http://www.clusit.it/download/ UNINFO http://www.uninfo.it ISO http://www.iso.org fguasconi@clusit.it