La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1 Il percorso della certificazione BS7799 per la Gestione della Sicurezza delle Informazioni (SGSI) ITIS Fauser Novara - 16 Novembre 2004 Gianfranco Sarpero.

PubblicatoCarlo Brunetti Modificato 9 anni fa

Presentazioni simili

Presentazione sul tema: "1 Il percorso della certificazione BS7799 per la Gestione della Sicurezza delle Informazioni (SGSI) ITIS Fauser Novara - 16 Novembre 2004 Gianfranco Sarpero."— Transcript della presentazione:

1 1 Il percorso della certificazione BS7799 per la Gestione della Sicurezza delle Informazioni (SGSI) ITIS Fauser Novara - 16 Novembre 2004 Gianfranco Sarpero Secure Group Information Security Consultant La Certificazione BS7799

2 2 BS 7799 ISO 17799 Linee guida BS 7799:2 Controlli Con quali strumenti?

3 3 Conoscere costantemente il livello di rischio presente Applicare puntualmente i controlli utili a ridurlo Applicare puntualmente i controlli utili a ridurlo Quali obiettivi?

4 4 Agenda Business Risk I Rischi correlati alla sicurezza delle informazioni : Rischio d’impresa e rischio sicurezza La BS7799 in 10 punti Il Metodo Le fasi di realizzazione del processo Organizzazione Impostazione procedure e analisi tecnica Definizione processo e implementazione Verifica di processo

5 5 CUMMULATIVE GROWTH WORLDWIDE SINCE 1998 Business Risk

6 6 Skill 19801985199019952000 Tempo Complessità Attacchi password guessing password cracking exploiting know vulnerabilities back doors hijacking sessions packet forging spoofing anti detection Business Risk

7 7 Rischi correlati alla sicurezza delle informazioni : Rischio d’impresa e rischio sicurezza Strategic Risks Financial Risks Hazard Risks Operational Risks Capital Investment Revenue Stream Business Interruption Cost Overruns for fixing an event Amortization Damage to Reputation Business Interruption Protection Computer Fraud Theft of Information Physical Damage to Equipment Release of Private Information Contractually Assumed Liabilities Advertising Injury Copyright Infringements Service Outages and Interruptions Security Breaches Worm Attacks Hackers Software Failures System Overloads Failure of Third Party Systems Loss of Data System Upgrades Programming Errors / Human Error Systems Adequacy and Expansion Competition Regulatory and Fiscal Requirements Dependent Businesses e-ventures B-2-B Extranets Damage to Reputation Source: Marsh

8 8 La BS7799 in 10 punti E’ una norma internazionale che permette di realizzare un processo utile a garantire un adeguato livello di sicurezza delle informazioni Politiche di sicurezzaPolitiche di sicurezza Organizzazione della sicurezzaOrganizzazione della sicurezza Classificazione e controllo dei beniClassificazione e controllo dei beni Sicurezza del personaleSicurezza del personale Sicurezza fisicaSicurezza fisica Gestione delle operazioni e delle comunicazioniGestione delle operazioni e delle comunicazioni Controllo accessi logiciControllo accessi logici Sviluppo e mantenimentoSviluppo e mantenimento Piano di continuitàPiano di continuità Conformità (legale, contrattuale, ecc.)Conformità (legale, contrattuale, ecc.) i 10 Punti della Norma

9 9 La Certificazione in Italia Enti di certificazione IMQ-CSQRINADNV Aziende italiane certificate Alcune aziende certificate Aziende certificate nel mondo NoicomSTT Telecom Italia SIA BNL Multiservizi Ist.Banc.San Paolo GFI OIS SEPELSAGItaltel Secure Group 16 16 773 773

10 10 garantire la Sicurezza delle Informazioni richiede un approccio globale che porta alla definizione di un vero e proprio strumento di identificazione dei Processi, definizione degli Asset Aziendali e controllo dei Rischi, ovvero l’adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), coerente con lo standard BS7799 standard BS7799 Con quale metodo?

11 11 Il Metodo Definizione della politica aziendale Definzione dei responsabili e partecipanti al forum Definizione dell’ambito Definizione della formazione Impostazione del Framework Analisi delle minacce Analisi delle vulnerabilità Analisi degli impatti Analisi del rischio Individuazione contromisure Implementazione contromisure Gestione incidenti Misurazione efficacia delle contromisure Gestione del rischio Auditing Riesame finale

12 12 Le fasi di realizzazione del processo ORGANIZZAZIONE REALIZZAZIONE DOC ANALISI DI RISCHIO DEFINIZIONE DOC IMPLEMENTAZIONE CICLO COMPLETO AUDIT INTERNO Fase4 1mese Fase3 - 1,5 mesiFase2 - 3 mesi Fase1 - 15gg FFFFFF

13 13 Organizzazione – fase1 PRESENTAZIONE REALIZZAZIONE AMBITO REALIZZAZIONE FORUM SULLA SICUREZZA REALIZZAZIONE POLITICA DI SICUREZZA FF 15gg

14 14 Impostazione procedure e analisi tecnica – fase 2 REALIZZAZIONE PROCEDURE OPERATIVE n Personale Personale n Documentale Documentale n Incidenti Incidenti n Politica Politica n Analisi dei rischi Analisi dei rischi REALIZZAZIONE ISTRUZIONI DI LAVORO ANALISI DEI RISCHI LISTA LAVORI PER MESSA IN SICUREZZA F INVENTARIO DELLE RISORSE 3 mesi

15 15 DOCUMENTO DI APPROVAZIONE DEFINIZIONE ISTRUZIONI DI LAVORO DEFINIZIONE PROCEDURE OPERATIVE DEFINIZIONE ANALISI DEI RISCHI DEFINIZIONE CONTRATTI IMPLEMENTAZIONE CONTROMISURE INIZIO CICLO COMPLETO AUDIT INTERNO FORMAZIONE FFFF 1mese1,5 mesi Definizione, implementazione e verifica fase 3 e 4 34

16 16 OrganizzazioneTempo Stimato DocumentazioneRealizzazione Fase iniziale di impostazione del lavoro complessivo 15 giorni Politica aziendale Dichiarazione di ambito Costituzione del Forum Politica AziendaleDichiarazione di Ambito Costituzione del forum Dichiarazione di intenti Definizione della politica generale Clausole di rispetto di norme e leggi Definizione ambito di certificazione Dettaglio dell’ambito Definizione di outsourcer e fornitori Rapp. Direzione Resp. SGSI Rapp. Ufficio Personale Rapp. Direzioni coinvolte Rapp. Sicurezza fisica Rapp. Qualità Realizzazione del processo - fase 1

17 17 Realizzazione DOC Analisi di Rischio Tempo Stimato DocumentazioneRealizzazione (Analisi del Rischio) Fase di impostazione procedure e analisi tecnica 3 mesi Procedure Operative Interne Istruzioni di lavoro Analisi dei rischi Lista lavori per messa in sicurezza Procedure Operative Interne Istruzioni di lavoroAnalisi dei rischi Personale Documentale Incidenti Politica Analisi dei rischi Specifiche operative relative alle Procedure Operative Interne Inventario risorse Classificazione degli asset Definizione di MINACCE, VULNERABILITA’, CONTROMISURE Definizione del rischio residuo Definizione contromisure Realizzazione del processo - fase 2

18 18 Consolidamento DOC Implementazione Ciclo Completo Tempo Stimato DocumentazioneRealizzazione (Gestione Rischio) Fase di definizione della sezione precedente e di implementazione 1,5 mesi Consolidamento e approvazione POI Consolidamento e approvazione Istruzioni di lavoro Implementazione Contromisure Lista lavori per messa in sicurezza Implementazione Contromisure Formazione Inizio Ciclo Completo Piano di lavoro Mitigazione rischi maggiori Implementazione Processo continuo Introduzione per la direzione Spiegazione capisaldi della normativa Realizzazione del processo - fase 3

19 19 Audit InternoTempo Stimato Auditing InternoRevisione e test del processo Fase di verifica del processo realizzato 1 mese Auditing InternoRevisione e test Certificazione Simulazione auditing di certificazione Eventuali modifiche documentali e realizzative gestione del processo Spiegazione capisaldi della normativa Realizzazione del processo - fase 4

20 20 BIA Identificazione degli asset Analisi delle minacce e vulnerabilità Determinazione del livello di rischio Standard di riferimento Analisi del Rischio

21 21 Hardware Software/applicazioni Comunicazioni Documenti End User Services Personale Dati/Informazioni Identificazione degli Asset

22 22 Analisi delle minacce

23 23 Connessioni non protette Utenti non esperti Nessun controllo di accesso Copie cartacee non controllate Analisi delle Vulnerabilità

24 24 software patch spesso già disponibili ma non applicate Software release giorni mesi anni Tempo Rischio Vulnerability found exploit distributed software patch giorni mesi anni IDS proactive Monitoring & Managed Service (SOC) Rischio e Vulnerabilità VKB Vulnerability Knowlegde Base (SOC) Punto 17 Allegato B

25 25 Implementazione delle contromisure Gestione degli incidenti Individuazione delle contromisure Misurazione dell’efficacia delle contromisure Gestione del rischio

26 26 GENERALI Politiche e Gestione sicurezza IT Verifiche di compatibilità Gestione degli incidenti Personale Istruzioni operative Business Continuity Planning Sicurezza fisica SPECIFICHE DELL’IT Identificazione e autenticazione Controllo di accesso e audit Protezione contro malicious code Gestione della rete Crittografia Identificazione contromisure

27 27 Valutazione del costo totale delle contromisure Progettazione Delivery Implementazione Collaudo Efficienza a livello di costi / benefici Implementazione contromisure

28 28 Strumento indispensabile per: Misurare l’efficienza del SGSI e proporre miglioramenti Misurare l’efficacia delle contromisure Ottenere dati utili per il riesame Gestione incidenti

29 29 2 Implementazione 3 Controllo e Risposta 4 Informazione e testing 5 Gestione e miglioramento 1) Corporate Security Policy SGSI: un processo dinamico Ciclo Completo

30 30 Alcuni Vantaggi Trasmettere fiducia a Clienti/Partner/Dipendenti Ottemperare agli obblighi delle vigenti leggi Ottenere una maggior tutela del patrimonio aziendale Ridurre i costi per la IS Ottenere una migliore qualificazione in gare CERTIFICAZIONE La Certificazione

31 31 Grazie per l’attenzione a Vostra disposizione per ulteriori approfondimenti Grazie per l’attenzione a Vostra disposizione per ulteriori approfondimenti Gianfranco Sarpero Information Security Consultant Secure Group gianfranco.sarpero@securegroup.it La Certificazione BS7799

Scaricare ppt "1 Il percorso della certificazione BS7799 per la Gestione della Sicurezza delle Informazioni (SGSI) ITIS Fauser Novara - 16 Novembre 2004 Gianfranco Sarpero."

Presentazioni simili

Certificazioni Infrastrutture IT di Telecom Italia

Certificazioni Infrastrutture IT di Telecom Italia
INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library

INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library
CENTRO RETE QUALITA' UMBRA

CENTRO RETE QUALITA' UMBRA
Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente bancario EUROS Consulting.

Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente bancario EUROS Consulting.
La progettazione secondo la norma internazionale ISO 9001

La progettazione secondo la norma internazionale ISO 9001
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:

Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
La firma digitale e il protocollo da Word in un click

La firma digitale e il protocollo da Word in un click
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.

Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
OMAT VoiceCom - Roma 11, novembre 2003 Francesco Arciprete La Qualità e la Sicurezza delle TLC fattori abilitanti dell E-Government OMAT VoiceCom – Roma,

OMAT VoiceCom - Roma 11, novembre 2003 Francesco Arciprete La Qualità e la Sicurezza delle TLC fattori abilitanti dell E-Government OMAT VoiceCom – Roma,
Qualità nei laboratori di ricerca e albo laboratori altamente specializzati Workshop, Genova 11 luglio 2002 G.B. Rossi: Considerazioni sulla qualità nei.

Qualità nei laboratori di ricerca e albo laboratori altamente specializzati Workshop, Genova 11 luglio 2002 G.B. Rossi: Considerazioni sulla qualità nei.
Information Technology

Information Technology
Componenti del modello

Componenti del modello
CNIPA 10 maggio 2006 1 Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.

CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
Le certificazioni La Sapienza Università di Roma AA

Le certificazioni La Sapienza Università di Roma AA
SISTEMI DI GESTIONE DELLA SALUTE E DELLA SICUREZZA SUL LAVORO (SGSL)

SISTEMI DI GESTIONE DELLA SALUTE E DELLA SICUREZZA SUL LAVORO (SGSL)
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.

Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
Control and Risk Self Assessment – CRSA. Il caso Telecom.

Control and Risk Self Assessment – CRSA. Il caso Telecom.
05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.

05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.
1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.

1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.

Presentazioni simili

Annunci Google