1 / 13

una soluzione integrata, scalabile, orientata alla certificazione Ing. Roberto Ferreri

L’approccio aziendale per la Sicurezza delle Informazioni gli ambiti di intervento e le proposte operative. una soluzione integrata, scalabile, orientata alla certificazione Ing. Roberto Ferreri Milano, 4 dicembre 2001. Le criticità della sicurezza delle informazioni.

yannis
Download Presentation

una soluzione integrata, scalabile, orientata alla certificazione Ing. Roberto Ferreri

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. L’approccio aziendale per la Sicurezza delle Informazionigli ambiti di intervento e le proposte operative una soluzione integrata, scalabile, orientata alla certificazione Ing. Roberto Ferreri Milano, 4 dicembre 2001

  2. Le criticità della sicurezza delle informazioni • L’evoluzione dei sistemi di comunicazione richiede che vengano adottati maggiori sistemi di protezione a livello logico per la tutela delle informazioni ed a quello organizzativo per l’accessibilità ai sistemi informativi: • Il business è sempre più dipendente dall’ICT • L’ambiente ICT è più complesso • L’interruzione di sistemi ICT è immediatamente visibile • Le tecniche tradizionali non sono più sufficienti • Sono necessari strumenti e metodologie efficaci per assicurare • continuità delle attività aziendali • minimizzazione dei danni • massimizzazione della redditività e opportunità di sviluppo • L’informazione deve circolare ed essere disponibile nelle forme e nei tempi attesi (Disponibilità), però deve esserne assicurata la: • Riservatezza - Solo chi è autorizzato può accedere all’informazione • Integrità - devono essere assicurati accuratezza e completezza dei processi e dei trattamenti

  3. La sicurezza come fattore di competitività • La gestione sicura delle informazioni costituisce un differenziale competitivo, basato sulla capacità dell’impresa di assicurare: • Il rispetto di requisiti di processi interni ed anche di filiera • La rintracciabilità delle informazioni lungo tutto il ciclo di vita del processo • L’integrazione di informazioni di fonti diverse • Chi opera con l’impresa (cliente, fornitore, partner, etc.) deve acquisire immediatamente la massima confidenza possibile che il rapporto che sta intrattenendo è protetto al giusto grado di sicurezza nell’interesse di entrambe le parti • La sicurezza delle informazioni non è un fatto interno, ha anche una rilevanza sul brand, e quindi dev’essere reso noto al mercato adottando, se il caso, processi di certificazione per la qualificazione delle soluzioni adottate.

  4. ORGANIZZAZIONE PRIVACY Le aree per la Sicurezza delle Informazioni ISO/IEC 17799 indica …”information systems and networks are faced with security threats from a wide range of sources, including computer-assisted fraud, espionage, sabotage, vandalism, fire or flood.” … norma BS7799 Legge 675/96 (sulla privacy), DPR 318/99 (misure minime di sicurezza) ISO/IEC 15408/1999 Common Criteria for Information Technology Security Evaluation; Normativa di riferimento: DPR 445/00 Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa. Integra e completa le seguenti disposizioni: art. 15, comma 2, legge 59/97 (bassanini ter); DPR 513/97; art. 4, legge 191/98 e relativo DPR 70/99; Delibera AIPA 24/98; DPR428/98; DPCM 8/2/99; Circolare AIPA 22/99 Public Key Infrastructure e Certificati X.509 Standard di prodotto e di processo Raccomandazioni IETF (Internet Engineering Task Force) e W3C (World Wide Web Consortium) specifica per il commercio elettronico

  5. Gli interventi per la Sicurezza delle Informazioni Marchi di prodotto e di processo Sicurezza organizzativa Sicurezza dei siti Internet Privacy e sicurezza dei dati personali Sicurezza ICT - Common Criteria Sicurezza documenti - Firma elettronica

  6. ORGANIZZAZIONE PRIVACY L’integrazione delle procedure di sicurezza Sicurezza organizzativa (“gestire i servizi/processi di business dell’azienda e gestire coloro che utilizzano i sistemi informatici, il software e le reti di telecomunicazione” ) Sicurezza tecnologica Sicurezza dei sistemi informatici, del software, delle reti di telecomunicazione si parla di “ infrastruttura di base IT ” (Information Technology)

  7. Eventuale CERTIFICAZIONE del livello di sicurezza acquisito BS 7799 Gli interventi CONSIEL - RINA Assessment iniziale Qual è lo stato attuale del mio sistema di gestione della sicurezza? Cosa devo fare per adeguare il livello di sicurezza alle esigenze della mia azienda ? Progetto di adeguamento Eseguire gli interventi per la sicurezza Piano di mantenimento Cosa devo fare per mantenere nel tempo il livello di sicurezza che ho acquisito ? Assessment finale Adesso posso stare tranquillo? Come posso comunicare la mia sicurezza?

  8. La segmentazione del contesto di intervento BS7799 / ISO 17799 Common Criteria Strong Authentication  Privacy Assessment iniziale Attività di valutazione Attività di valutazione Attività di valutazione Attività di valutazione Piano di adeguamento Livello a scelta del cliente Checklist dipendente dal livello --- --- Assessment finale Checklist di precertificazione Checklist di precertificazione Checklist degli interventi (3) Checklist di precertificazione (se presente) Piano di mantenimento Attività di accertamento Attività di accertamento Attività di accertamento Attività di accertamento (se presente) Certificazioni BS7799

  9. Il metodo per l’Assessment Iniziale FASI Rilevare le criticità e l’attuale stato della sicurezza Descrivere e pianificare gli interventi di sicurezza Valutare il Rischio della sicurezza • Quali sono gli asset da proteggere • Quali informazioni essi gestiscono • Quali sono le priorità • Quali processi sono supportati e qual è il ruolo SI • Qual è la strategia per la sicurezza • Analizzare i vincoli legali, normativi e contrattuali • Quali soluzioni fisico-logico-organizzative esistono • Comportamenti dei mercati e della concorrenza • Analisi delle possibili minacce • Identificazione di attori, modalità, probabilità • Valutare il danno possibile • Valutare la % di accadimento • Definire i requisiti di sicurezza • Accettare livello di rischio presunto • Definire gli elementi organizzativi per il sistema di gestione della sicurezza delle informazioni • Identificare gli interventi sulla riservatezza dei dati personali • Stabilire gli interventi di protezione dei SI e delle reti • Descrivere gli interventi di protezione del Sito WEB • Stabilire le priorità degli interventi ATTIVITÀ Aree di intervento Priorità di sicurezza Analisi minacce Obiettivi di sicurezza Interventi concordati Funzioni di sicurezza Piano di attuazione PRODOTTI

  10. Fase 1: Rilevare le criticità e l’attuale stato della Sicurezza Definire gli ASSET Identificare Le informazioni • Classificazione delle informazioni da proteggere Analizzare processi e strutture • Necessità di accesso da Terze parti • Processi in Outsourcing Rilevare l’attuale Politica Sicurezza • Responsabilità assegnate • Livelli di coinvolgimento del personale Valutare la rispondenza • FISICO • LOGICO • ORGANIZZATIVO Conoscenza del contesto • PROCESSI • ORGANIZZAZIONE • PERSONALE • ICT Identificare Aree intervento

  11. Fase 1: Struttura dei metodi di analisi ISO 17799 strategia/organizzazione COMMON CRITERIA PRIVACY ORGANIZZAZIONE ICT Dati Personali Processi/Prodotti Rilevazione unica con diversi livelli di approfondimento Risultati riusabili per altri successivi interventi Ricostruibile da interventi precedenti o da documenti esistenti Costruita sulla base della Linea guida ISO 17799 (check list documentali e di verifica) per introdurre la terminologia e l’approccio dello Standard, così da facilitare successive attività di audit e certificazione

  12. ambito legislativo ambito interno Fase 2: Definire i Requisiti di Sicurezza delle Informazioni REQUISITI DI SICUREZZA definiti come raggiunti tramite • “riesaminare il requisito” • “non fare nulla” OBIETTIVI DI CONTROLLO • ridurre il rischio • evitare il rischio (es: non usare Internet) • trasferire il rischio (es: fare una assicurazione o affidare in outsourcing) CONTROLLI • FISICO • LOGICO • ORGANIZZATIVO • assegnazione di responsabilità per la sicurezza • report su incidenti, violazioni e problematiche di sicurezza • gestione della continuità dei processi aziendali • formazione sui temi della sicurezza • privacy (protezione dei dati personali) • protezione dei documenti organizzativi • tutela clausole contrattuali • tutela della proprietà intellettuale

  13. Fase 3: Il sistema di Gestione della Sicurezza delle Informazioni Conformità ai requisiti di processo e workflow procedure di gestione sicura Processi e Servizio Sicurezza delle informazioni Crittografia inalterabilità ininterccettabilità inaccessibilità ISO 17799 Common Criteria ISO 15408 ISO 9000, ISO 14001, EMAS, SA8000 Le Finalità del SGSI • mantenersi aggiornata su nuove minacce e vulnerabilità, • operare in ottica di prevenzione e di miglioramento continuo del sistema • sapere quando policy e procedure non sono implementate, in tempo utile per prevenire danni • implementare politiche e procedure di primaria importanza, in accordo con le “best practice” e un buon risk management

More Related