La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1 Il percorso della certificazione BS7799 per la Gestione della Sicurezza delle Informazioni (SGSI) ITIS Fauser Novara - 16 Novembre 2004 Gianfranco Sarpero.

Presentazioni simili


Presentazione sul tema: "1 Il percorso della certificazione BS7799 per la Gestione della Sicurezza delle Informazioni (SGSI) ITIS Fauser Novara - 16 Novembre 2004 Gianfranco Sarpero."— Transcript della presentazione:

1 1 Il percorso della certificazione BS7799 per la Gestione della Sicurezza delle Informazioni (SGSI) ITIS Fauser Novara - 16 Novembre 2004 Gianfranco Sarpero Secure Group Information Security Consultant La Certificazione BS7799

2 2 BS 7799 ISO 17799 Linee guida BS 7799:2 Controlli Con quali strumenti?

3 3 Conoscere costantemente il livello di rischio presente Applicare puntualmente i controlli utili a ridurlo Applicare puntualmente i controlli utili a ridurlo Quali obiettivi?

4 4 Agenda Business Risk I Rischi correlati alla sicurezza delle informazioni : Rischio d’impresa e rischio sicurezza La BS7799 in 10 punti Il Metodo Le fasi di realizzazione del processo Organizzazione Impostazione procedure e analisi tecnica Definizione processo e implementazione Verifica di processo

5 5 CUMMULATIVE GROWTH WORLDWIDE SINCE 1998 Business Risk

6 6 Skill 19801985199019952000 Tempo Complessità Attacchi password guessing password cracking exploiting know vulnerabilities back doors hijacking sessions packet forging spoofing anti detection Business Risk

7 7 Rischi correlati alla sicurezza delle informazioni : Rischio d’impresa e rischio sicurezza Strategic Risks Financial Risks Hazard Risks Operational Risks Capital Investment Revenue Stream Business Interruption Cost Overruns for fixing an event Amortization Damage to Reputation Business Interruption Protection Computer Fraud Theft of Information Physical Damage to Equipment Release of Private Information Contractually Assumed Liabilities Advertising Injury Copyright Infringements Service Outages and Interruptions Security Breaches Worm Attacks Hackers Software Failures System Overloads Failure of Third Party Systems Loss of Data System Upgrades Programming Errors / Human Error Systems Adequacy and Expansion Competition Regulatory and Fiscal Requirements Dependent Businesses e-ventures B-2-B Extranets Damage to Reputation Source: Marsh

8 8 La BS7799 in 10 punti E’ una norma internazionale che permette di realizzare un processo utile a garantire un adeguato livello di sicurezza delle informazioni Politiche di sicurezzaPolitiche di sicurezza Organizzazione della sicurezzaOrganizzazione della sicurezza Classificazione e controllo dei beniClassificazione e controllo dei beni Sicurezza del personaleSicurezza del personale Sicurezza fisicaSicurezza fisica Gestione delle operazioni e delle comunicazioniGestione delle operazioni e delle comunicazioni Controllo accessi logiciControllo accessi logici Sviluppo e mantenimentoSviluppo e mantenimento Piano di continuitàPiano di continuità Conformità (legale, contrattuale, ecc.)Conformità (legale, contrattuale, ecc.) i 10 Punti della Norma

9 9 La Certificazione in Italia Enti di certificazione IMQ-CSQRINADNV Aziende italiane certificate Alcune aziende certificate Aziende certificate nel mondo NoicomSTT Telecom Italia SIA BNL Multiservizi Ist.Banc.San Paolo GFI OIS SEPELSAGItaltel Secure Group 16 16 773 773

10 10 garantire la Sicurezza delle Informazioni richiede un approccio globale che porta alla definizione di un vero e proprio strumento di identificazione dei Processi, definizione degli Asset Aziendali e controllo dei Rischi, ovvero l’adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), coerente con lo standard BS7799 standard BS7799 Con quale metodo?

11 11 Il Metodo Definizione della politica aziendale Definzione dei responsabili e partecipanti al forum Definizione dell’ambito Definizione della formazione Impostazione del Framework Analisi delle minacce Analisi delle vulnerabilità Analisi degli impatti Analisi del rischio Individuazione contromisure Implementazione contromisure Gestione incidenti Misurazione efficacia delle contromisure Gestione del rischio Auditing Riesame finale

12 12 Le fasi di realizzazione del processo ORGANIZZAZIONE REALIZZAZIONE DOC ANALISI DI RISCHIO DEFINIZIONE DOC IMPLEMENTAZIONE CICLO COMPLETO AUDIT INTERNO Fase4 1mese Fase3 - 1,5 mesiFase2 - 3 mesi Fase1 - 15gg FFFFFF

13 13 Organizzazione – fase1 PRESENTAZIONE REALIZZAZIONE AMBITO REALIZZAZIONE FORUM SULLA SICUREZZA REALIZZAZIONE POLITICA DI SICUREZZA FF 15gg

14 14 Impostazione procedure e analisi tecnica – fase 2 REALIZZAZIONE PROCEDURE OPERATIVE n Personale Personale n Documentale Documentale n Incidenti Incidenti n Politica Politica n Analisi dei rischi Analisi dei rischi REALIZZAZIONE ISTRUZIONI DI LAVORO ANALISI DEI RISCHI LISTA LAVORI PER MESSA IN SICUREZZA F INVENTARIO DELLE RISORSE 3 mesi

15 15 DOCUMENTO DI APPROVAZIONE DEFINIZIONE ISTRUZIONI DI LAVORO DEFINIZIONE PROCEDURE OPERATIVE DEFINIZIONE ANALISI DEI RISCHI DEFINIZIONE CONTRATTI IMPLEMENTAZIONE CONTROMISURE INIZIO CICLO COMPLETO AUDIT INTERNO FORMAZIONE FFFF 1mese1,5 mesi Definizione, implementazione e verifica fase 3 e 4 34

16 16 OrganizzazioneTempo Stimato DocumentazioneRealizzazione Fase iniziale di impostazione del lavoro complessivo 15 giorni Politica aziendale Dichiarazione di ambito Costituzione del Forum Politica AziendaleDichiarazione di Ambito Costituzione del forum Dichiarazione di intenti Definizione della politica generale Clausole di rispetto di norme e leggi Definizione ambito di certificazione Dettaglio dell’ambito Definizione di outsourcer e fornitori Rapp. Direzione Resp. SGSI Rapp. Ufficio Personale Rapp. Direzioni coinvolte Rapp. Sicurezza fisica Rapp. Qualità Realizzazione del processo - fase 1

17 17 Realizzazione DOC Analisi di Rischio Tempo Stimato DocumentazioneRealizzazione (Analisi del Rischio) Fase di impostazione procedure e analisi tecnica 3 mesi Procedure Operative Interne Istruzioni di lavoro Analisi dei rischi Lista lavori per messa in sicurezza Procedure Operative Interne Istruzioni di lavoroAnalisi dei rischi Personale Documentale Incidenti Politica Analisi dei rischi Specifiche operative relative alle Procedure Operative Interne Inventario risorse Classificazione degli asset Definizione di MINACCE, VULNERABILITA’, CONTROMISURE Definizione del rischio residuo Definizione contromisure Realizzazione del processo - fase 2

18 18 Consolidamento DOC Implementazione Ciclo Completo Tempo Stimato DocumentazioneRealizzazione (Gestione Rischio) Fase di definizione della sezione precedente e di implementazione 1,5 mesi Consolidamento e approvazione POI Consolidamento e approvazione Istruzioni di lavoro Implementazione Contromisure Lista lavori per messa in sicurezza Implementazione Contromisure Formazione Inizio Ciclo Completo Piano di lavoro Mitigazione rischi maggiori Implementazione Processo continuo Introduzione per la direzione Spiegazione capisaldi della normativa Realizzazione del processo - fase 3

19 19 Audit InternoTempo Stimato Auditing InternoRevisione e test del processo Fase di verifica del processo realizzato 1 mese Auditing InternoRevisione e test Certificazione Simulazione auditing di certificazione Eventuali modifiche documentali e realizzative gestione del processo Spiegazione capisaldi della normativa Realizzazione del processo - fase 4

20 20 BIA Identificazione degli asset Analisi delle minacce e vulnerabilità Determinazione del livello di rischio Standard di riferimento Analisi del Rischio

21 21 Hardware Software/applicazioni Comunicazioni Documenti End User Services Personale Dati/Informazioni Identificazione degli Asset

22 22 Analisi delle minacce

23 23 Connessioni non protette Utenti non esperti Nessun controllo di accesso Copie cartacee non controllate Analisi delle Vulnerabilità

24 24 software patch spesso già disponibili ma non applicate Software release giorni mesi anni Tempo Rischio Vulnerability found exploit distributed software patch giorni mesi anni IDS proactive Monitoring & Managed Service (SOC) Rischio e Vulnerabilità VKB Vulnerability Knowlegde Base (SOC) Punto 17 Allegato B

25 25 Implementazione delle contromisure Gestione degli incidenti Individuazione delle contromisure Misurazione dell’efficacia delle contromisure Gestione del rischio

26 26 GENERALI Politiche e Gestione sicurezza IT Verifiche di compatibilità Gestione degli incidenti Personale Istruzioni operative Business Continuity Planning Sicurezza fisica SPECIFICHE DELL’IT Identificazione e autenticazione Controllo di accesso e audit Protezione contro malicious code Gestione della rete Crittografia Identificazione contromisure

27 27 Valutazione del costo totale delle contromisure Progettazione Delivery Implementazione Collaudo Efficienza a livello di costi / benefici Implementazione contromisure

28 28 Strumento indispensabile per: Misurare l’efficienza del SGSI e proporre miglioramenti Misurare l’efficacia delle contromisure Ottenere dati utili per il riesame Gestione incidenti

29 29 2 Implementazione 3 Controllo e Risposta 4 Informazione e testing 5 Gestione e miglioramento 1) Corporate Security Policy SGSI: un processo dinamico Ciclo Completo

30 30 Alcuni Vantaggi Trasmettere fiducia a Clienti/Partner/Dipendenti Ottemperare agli obblighi delle vigenti leggi Ottenere una maggior tutela del patrimonio aziendale Ridurre i costi per la IS Ottenere una migliore qualificazione in gare CERTIFICAZIONE La Certificazione

31 31 Grazie per l’attenzione a Vostra disposizione per ulteriori approfondimenti Grazie per l’attenzione a Vostra disposizione per ulteriori approfondimenti Gianfranco Sarpero Information Security Consultant Secure Group gianfranco.sarpero@securegroup.it La Certificazione BS7799


Scaricare ppt "1 Il percorso della certificazione BS7799 per la Gestione della Sicurezza delle Informazioni (SGSI) ITIS Fauser Novara - 16 Novembre 2004 Gianfranco Sarpero."

Presentazioni simili


Annunci Google