Convegno Annuale AISIS SANITÀ E NORME SULLA SICUREZZA DELLE INFORMAZIONI Fabio Guasconi - CLUSIT

1. Convegno Annuale AISIS  SANITÀ E NORME SULLA SICUREZZA DELLE INFORMAZIONI Fabio Guasconi - CLUSIT Firenze, 15 novembre 2013 Hilton Hotel Gruppo di lavoro n°2 : 2013

2. Relatore Fabio Guasconi • Direttivo CLUSIT • Direttivo di UNINFO • Presidente del ISO/IEC JTC1 SC27di UNINFO • CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001 • Partner e co-founder Bl4ckswan S.r.l.

3. Agenda

4. Nato nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano • Rappresenta oltre 500 organizzazionidi tutti i settori Mission • Diffondere la cultura della sicurezza informatica • Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza informatica • Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle figure professionali del settore • Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza

5. Introduzione all'attività normativa Il sottocomitato 27 (SC27), da cui nascono tutte le norme della famiglia 27000 e anche altre degne di nota, è delegato ad occuparsi, in seno al Joint Technical Committee (JTC1) di ISO/IEC, della sicurezza delle informazioni. Alle attività del SC27 partecipano 50 nazioni con diritto di voto e 19 nazioni come osservatori, per un totale di 69 paesi più 35 enti, soggetti e progetti internazionali attraverso liaison. L'Italia ha diritto di voto ed è rappresentata da UNINFO, Ente federato di UNI per l'intero settore delle tecnologie informatiche.

6. Punto di partenza comune: vocaboli SICUREZZA DELLE INFORMAZIONI (information security) Conservazione della riservatezza, dell’integritàe della disponibilitàdelle informazioni SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI (information security management system) Quella parte del sistema di gestione complessivo, basata su un approccio rivolto al rischio relativo al business, volta a stabilire, attuare, condurre, monitorare, riesaminare, mantenere e migliorare la sicurezza delle informazioni Fonte: ISO/IEC 27000:2012

7. Vincoli e regulation di settore

8. Sicurezza delle informazioni e standard Settoriali Nazionali Interna-zionali PCI-DSS NIST SP800 ISO/IEC 27001 ISO/IEC 27002 ISO 27799 G S G Generici S Specifici

9. PCI-DSS • Si applica ai sistemi che trattano dati di carte di pagamento • Insieme prescrittivo di oltre 200 controlli a tutto tondo

10. NIST Special Publications Serie 800 • Guide verticali sui principali temi relativi alla sicurezza delle informazioni e non solo, tra cui:

11. ISO/IEC 27001 • Norma applicabile a realtà di ogni dimensione • Dice cosa fare, non come farlo • Ambito definibile a piacimento • Approccio ciclico (PDCA) • Costituisce un framework completo • Rivolto al miglioramento continuo • E’ un riferimento universale e certificabile • Facilmente integrabile con gli altri sistemidi gestione (9001, 14001, 180001) • Appena aggiornata (ottobre 2013) e diprossima pubblicazione in italiano

12. ISO/IEC 27001 4 context 5 leadership 6 planning 7 support P 8 operation D 9 performance evaluation C 10 improvement A Annex A

13. ISO/IEC 27002 • La ISO/IEC 27001 definisce i processi per la gestione della sicurezza delle informazioni, la ISO/IEC 27002 offre un catalogo di contromisure (controlli) di sicurezza da applicare a valle dell'analisi del rischio e le indicazioni su come applicarle

14. ISO 27799: ISM in health using 27002 • Norma complementare alla ISO/IEC 27002 rivolta a tutto il settore sanitario • Pubblicata nel 2008 da ISO/TC 215 mantenendo forti legami con ISO/IEC JTC1 SC27 • Include linee guida di interpretazione anche della ISO/IEC 27001 e dei processi relativi alla sicurezza delle informazioni • Introduce considerazioni aggiuntive per i controlli della ISO/IEC 27002 (v. slides successive) • Indica criteri di scelta per gli elementi di supporto alla gestione della sicurezza nel settore sanitario • E' attualmente in corso di aggiornamento

15. Caratteristiche specifiche ISO 27799 • Information Security Management Forum interfunzionale come struttura centrale di coordinamento per la sicurezza delle informazioni • Accortezze da impiegare per una corretta gestione del rischio in ambito sanitario: • peculiarità del personale (volontari, tecnici …) • minacce più comuni in ambito sanitario • spostamento di focus dagli impatti economici ai pazienti • considerazione dei principali protocolli sanitari • apparecchiature mediche informatizzate • soglie di accettabilità del rischio non solo basate su requisiti economici

16. Controlli dedicati nella ISO 27799 • Sono fornite indicazioni specifiche per ben 64 controlli (rispetto ai 133 della ISO/IEC 27002 del 2005), inerenti ad esempio: • la classificazione delle informazioni • la separazione delle aree ad accesso pubblico dalle altre • la segregazione delle responsabilità collegate all'approvazione di procedure cliniche • la cancellazione sicura e la cifratura delle informazioni • lo scambio di informazioni tra enti sanitari • la predisposizione delle informazioni di log anche in ottica di indagini sanitarie • gli accessi di emergenza ai sistemi

17. Conclusioni

18. Riferimenti e Contatti • Quaderni CLUSIT http://www.clusit.it/download/ • UNINFO http://www.uninfo.it • ISO http://www.iso.org fguasconi@clusit.it