Verona 24 Marzo 2011 Pranpolini

La sicurezza ICT:
Introduzione ai concetti e lo standard

ISO27001
a cura di Natale Prampolini,

LA ISO27001, CISA, CISM, ITIL, ISO20000, CMMI v1.2 DEV
2011 – Verona Natale Prampolini Pag. 1

Obiettivi della presentazione
 Introduzione sulla sicurezza ICT:

 Riservatezza, Integrità, Disponibilità, Conformità;
 ISO27001 Sistemi di Gestione della Sicurezza delle Informazione:

 Sistema di Processo;
 Analisi del Rischio, definizione di Bene, Impatto, Minaccia,
Vulnerabilità;
 Aspetti organizzativi, tecnologici e fisici;
 Le 11 Aree, i 34 obiettivi di controllo, i 133 Controlli, e la
Dichiarazione di applicabilità;
 PDCA, Il modello di Miglioramento Continuo.

3
La Sicurezza delle Informazioni
I concetti base
Riservatezza
Integrità
Disponibilità
Conformità

Standard 27000: 4
Perché?
Approccio largamente condiviso sul mercato, che vanta anni di

applicazioni pratiche in diversi settori.
È un insieme di “best practices” utilizzate da migliaia di esperti e
costituisce uno strumento PRATICO che consente di tenere sotto
controllo i diversi aspetti che impattano sulla sicurezza delle
informazioni.
È un approccio olistico, cioè a livello di sistema globale. Non si
risponde alle richieste singole, ma si guarda all’insieme : si possono
ridurre i costi, evitando controlli tecnologici ridondanti e facilitando il
processo di gestione.
Standard 27000: 5
Costi tangibili
• Perdite :
– di materiale (danno fisico);
– dovute alla indisponibilità delle informazioni;
– dovute alla clientela che insoddisfatta si rivolge ai concorrenti;
– di produttività del personale (non IT) che si trova a lavorare in
condizioni degradate, (o nel caso peggiore non lavora proprio),
durante le operazioni di ripristino;
• Lavoro
– per il rilevamento, il contenimento, la riparazione e la ricostruzione
dei danni ai dati;
– per la corretta raccolta dei dati e il mantenimento delle prove.

Standard 27000: 6
Costi intangibili
• Perdita di fiducia dei clienti;
• Rallentamento, e/o arretramento, della propria

posizione di mercato, in seguito a cattiva
pubblicità;
• Accesso dei concorrenti a informazioni

confidenziali o riservate.

Standard 27000: 7
Come ?
Utilizzata da un GRUPPO di esperti di sicurezza come un AIUTO

PRATICO per valutare se si sono presi in considerazione “tutti gli
aspetti possibili”.
La norma non pretende di fornire tutto quello che serve al nostro

Sistema di Gestione della Sicurezza delle Informazioni,
ma tutto quello che è previsto dalle “best practices” internazionali.
Pag. 7
2011 – Verona Natale Prampolini
Standard 27000: 8
Cosa ?
Non esiste garanzia di sicurezza al 100%
 Non si è consapevoli di tutte le possibili minacce.

 In fase di progettazione, non si è tenuto conto dei criteri di sicurezza.
 Non ci sono le risorse per implementare (subito) tutte le contromisure
ipotizzabili.
 Le condizioni al contorno cambiano.
 Le modalità e le tipologie di attacco si perfezionano.
 …….
Occorre mettere in piedi un sistema di gestione e controllo continuo
Pag. 8
Standard 27000: 9
Cosa ?
 Valutare e gestire i possibili rischi.
 Tenere sotto controllo TUTTI gli aspetti che influenzano la sicurezza

delle informazioni.
 Controllare costantemente l’efficacia delle misure adottate.
 Dare una chiara classificazione alle informazioni.

 Controllare l’intero PROCESSO che tratta le informazioni.
 Identificare chiaramente il PERSONALE responsabile della gestione

della sicurezza
Costituire stabilmente un
Sistema di Gestione della Sicurezza delle Informazioni : SGSI
Pag. 9
Standard 27000: 10
Cosa ?
Un SGSI è un insieme di :
 PoliticA della sicurezza delle informazioni
 PoliticHE,
 Procedure,
 Standard
 Linee guida
 Soluzioni tecniche
progettato per uno specifico sistema in modo da preservarne i

requisiti di Riservatezza, Integrità e Disponibilità delle informazioni.
Pag. 10
Standard 27000: 11
la famiglia
27000 Foundamental and vocabulary

27001 ISMS Requirements Il modello
27002 Code of practice of ISMS I controlli
27003 ISMS implementation guidance
27004 Measurements
27005 Risk Management
27006 Requirements for the accreditation of certification bodies
27007 Guidelines for ISMS auditing
Pag. 11
Standard 27000: 12
la famiglia
ISO 27011 - Information security management guidelines for telecommunications
ISO 27031 - ICT readiness for business continuity
ISO 27032 - Guidelines for cybersecurity
ISO 27033 - IT network security
ISO 27034 - Guidelines for application security
ISO 27799 - Security Management in Health using ISO/IEC 27002
Pag. 12
12
Gestione della sicurezza: 13
Standard 27001 :2005
UNI CEI ISO/IEC 27001:2006
Tecnologia delle informazioni -

Tecniche di sicurezza - Sistemi di
gestione della sicurezza delle
informazioni - Requisiti
Pag. 13
13
27001:05 14
L’approccio ciclico
Parti
Parti
interessate Progettare
Implementare interessate
(Stakeholders) l’SGSI (PLAN)
l’SGSI (DO) (Stakeholders)
Requisiti e Mantenere Sicurezza

aspettative per
Monitorare
Migliorare delle
la sicurezza Revisionare
l’SGSI (ACT)
delle l’ SGSI informazioni
informazioni (CHECK) gestita
Pag. 14
Standard 27001:2005
Analisi dei rischi
Pag. 15
27001:05 16
Il modello per processi

PLAN Stabilire la politica del Sistema di Gestione per la
Stabilire Sicurezza delle Informazioni, gli obiettivi, i processi e le
il S.G.S.I. procedure pertinenti per gestire i rischi e migliorare la
sicurezza delle informazioni al fine di produrre risultati
conformi alle politiche ed agli obiettivi generali
dell’organizzazione
DO Attuare e rendere operativa la politica del Sistema di
Attuare e condurre il Gestione per la Sicurezza delle Informazioni, i controlli, i
S.G.S.I. processi e le procedure
CHECK Valutare e, ove applicabile, misurare le prestazioni del

Monitorare e processo a fronte della politica del Sistema di Gestione
riesaminare il per la Sicurezza delle Informazioni, degli obiettivi e delle
S.G.S.I. esperienze pratiche, quindi riportare i risultati alla
direzione ai fini del riesame
ACT Intraprendere azioni correttive e preventive, basate sui
Mantenere attivo, risultati degli audit interni del S.G.S.I. e sul riesame da
aggiornato e migliorare parte della direzione o sulle altre informazioni pertinenti,
il S.G.S.I. al fine di ottenere il miglioramento continuo del S.G.S.I.
Modulo 3 Pag. 16
27001:05 17

PLAN
Stabilire Stabilire perInformazioni,
Sicurezza delle lo SGSI :
gli obiettivi, i processi e
il S.G.S.I. le–procedure
la politica,pertinenti per gestire i rischi e migliorare
Stabilire la sicurezza delle informazioni al fine di produrre
– gli obiettivi,
risultati conformi alle politiche ed agli obiettivi
lo – i processi
generali e le procedure,
– le misure di sicurezza delle informazioni
S.G.S.I. DO
Attuare e condurre il S.G.S.I.
Attuare e rendere operativa la politica del Sistema di Gestione per la Sicurezza delle Informazioni, i
controlli, i processi e le procedure
CHECK Valutare e, ove applicabile, misurare le prestazioni del processo a fronte della politica del Sistema di
Monitorare e riesaminare il Gestione per la Sicurezza delle Informazioni, degli obiettivi e delle esperienze pratiche, quindi riportare i
S.G.S.I. risultati alla direzione ai fini del riesame
ACT Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del S.G.S.I. e sul riesame
Mantenere attivo, aggiornato e da parte della direzione o sulle altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del
migliorare il S.G.S.I. S.G.S.I.
Modulo 3 Pag. 17
L’Analisi dei Rischi: 18
LA politicA della sicurezza
È la “dichiarazione di intenti “ dell’alta Direzione che stabilisce

e ratifica :
 Gli obiettivi strategici del management sulla sicurezza delle

informazioni che ritiene “critiche”.
 Le regole con cui gestire e proteggere queste informazioni.
 Il comportamento degli utenti.
 Gli attori coinvolti e relative responsabilità.
 Le regole di interazione con i fornitori e gli utenti.
 I criteri e le modalità di valutazione dei rischi.
Pag. 18
Un esempio
La politica
INDICE tipo
Motivazione
Obiettivi di sicurezza
Indicazioni
Ruoli e responsabilità
Applicabilità
Conformità
Politiche specifiche
Divulgazione
Riesame
Pag. 19
Le fasi
PIANIFICAZIONE dell’analisi e rilevazione dello scenario

1
o Costituzione gruppo di lavoro
o Individuazione proprietari dei dati
o Individuazione referente applicativo della sicurezza
o Individuazione referente di infrastruttura
o Definizione tempistica delle attività
2 INVENTARIO DEI BENI

(tutto quanto contribuisce/supporta il trattamento delle informazioni e costituisce
un bene per l’Azienda):
o Supporti informatici (sistemi, apparati, Applicativi, reti locali, reti geografiche,…)
o Documenti (cartacei e non)
o Impianti (corrente elettrica, UPS, aria condizionata/riscaldamento,….)
o Persone (manager, sviluppatori, utenti, sistemisti, ….)
o Immagine aziendale, ….
o ……..
Pag. 20
Le fasi
3 CLASSIFICAZIONE delle informazioni da proteggere :

o Dati ES.
o Documenti • Pubblico
o Immagini • Aziendale
o Sw • Riservato
• Confidenziale
4 VALUTAZIONE DEL RISCHIO che incombe su ogni asset.

Minacce
Vulnerabilità
Non si può parlare di “calcolo” del rischio.
Impatto
Probabilità
Pag. 21
Le fasi
INDIVIDUAZIONE delle possibili CONTROMISURE :

5 • Fisiche
• Tecniche
• Organizzative
6 PREPARAZIONE DEL REPORT al management

• Lista di priorità dei rischi da affrontare
• Elenco di priorità delle contromisure
• Costi delle contromisure per ciascun rischio
• Tempo
• Persone
• Denaro
• Valutazione del rischio residuo
Pag. 22
Le fasi
7 PRESENTAZIONE del report al management
8 DECISIONI POSSIBILI relative al rischio valutato :

• Ridotto
Si adottano tutte o parte delle contromisure individuate.
• Trasferito
Si trasferisce il rischio a un altro soggetto, come un’assicurazione.
• Accettato
Si decide di assorbire il costo in caso di rischio andato a buon fine.
• Evitato
Si decide di evitare l’attività che comporta un rischio troppo alto.
Pag. 23
Le fasi
9 VALUTAZIONE DEL NUOVO VALORE DEL RISCHIO RESIDUO

Se il management da parte del management e autorizzazione
formale ad implementare le contromisure.
10 ACCETTAZIONE FORMALE RISCHIO RESIDUO da parte del

management e autorizzazione formale ad implementare le
contromisure.
11 PIANIFICAZIONE.
Pag. 24
Il piano della sicurezza: 25
Indice CNIPA
ANALISI DEI RISCHI
SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
PIANO DI CONTINUITA’ OPERATIVA
ADERENZA ALLA NORMATIVA
Pag. 25
Indice CNIPA
ANALISI DEI RISCHI
•Sicurezza fisica Soluzioni di sicurezza fisica
•Sicurezza logica
PIANO OPERATIVO

Indice CNIPA
ANALISI DEI RISCHI
•Sicurezza fisica Sicurezza perimetrale
•Sicurezza logica Sicurezza degli apparati
•Sicurezza organizzativa Sistemi antivirus
Soluzioni crittografiche
Sicurezza delle trasmissioni su rete
Controllo accessi logici :
Sistema di autenticazione e autorizzazione
Firma digitale
PIANO OPERATIVO Token

Indice CNIPA
ANALISI DEI RISCHI
•Sicurezza fisica
•Sicurezza logica
L’organizzazione della sicurezza
•Sicurezza organizzativa Ruoli e responsabilità
La politica della sicurezza
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE Le politiche di sicurezza
Fisiche e tecnologiche
Organizzative
PIANO OPERATIVO Le procedure di sicurezza

Indice CNIPA
ANALISI DEI RISCHI
•Sicurezza fisica
•Sicurezza logica
PIANO OPERATIVO Quando

Come
Chi

Indice CNIPA
ANALISI DEI RISCHI
•Sicurezza fisica
•Sicurezza logica
PIANO OPERATIVO
ADERENZA ALLA NORMATIVA 196/2003

Indice CNIPA
….e il DPS ?
ANALISI DEI RISCHI
Trattamento dei dati
personali e sensibili SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
PIANO OPERATIVO

Standard 27001:2005

33
27001:05
Stabilire Sicurezza delle Informazioni, gli obiettivi, i processi e le
il S.G.S.I. procedure pertinenti per gestire i rischi e migliorare la
sicurezza delle informazioni al fine di produrre risultati
conformi alle politiche ed agli obiettivi generali
DO
DO Attuare e rendere
Attuare e rendere operativa la operativi per di lo
politica del Sistema
Attuare
Attuare e e SGSI
Gestione : per la Sicurezza delle Informazioni, i controlli,
condurre il lo •la politica, i processi e le procedure
condurre
S.G.S.I.
S.G.S.I. •i controlli,
CHECK Valutare e, ove applicabile, misurare le prestazioni del
•iprocesso
processia fronte della politica del Sistema di Gestione
Monitorare e
riesaminare il •le
per procedure
la Sicurezza delle Informazioni, degli obiettivi e
S.G.S.I. delle esperienze pratiche, quindi riportare i risultati alla
direzione ai fini del riesame
ACT Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del S.G.S.I. e sul riesame da
Mantenere attivo, aggiornato parte della direzione o sulle altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del
e migliorare il S.G.S.I. S.G.S.I.
Modulo 3
27001:05 34
Attuare e condurre il SGSI (Do)
• Attuare il piano di trattamento del rischio
• Eseguire i controlli selezionati per conseguire gli obiettivi di controllo
• Definire come misurare l’efficacia dei controlli
• Attuare i programmi di formazione e la consapevolezza
• Gestire operativamente il SGSI
• Gestire le risorse per il SGSI
• Istituire procedure e altri controlli capaci di :

• rilevare tempestivamente
• rispondere adeguatamente agli incidenti relativi alla sicurezza

Gestione della sicurezza : 35
Misurare l’efficacia
MISURA di efficacia delle contromisure effettivamente adottate
INDICATORI indicazione sintetica in grado di definire lo stato

di un sistema o processo rispetto all’obiettivo di
sicurezza.
Ha un valore di soglia fissato.

Attuare e condurre il SGSI (Do): 36
AREA INDICATORE
Sicurezza delle Percentuale di personale del SGSI che ha seguito
risorse umane corsi di formazione specifica sulla sicurezza.
Percentuale degli incidenti alla Sicurezza causati da
una scarsa formazione del personale.
Controllo degli Numero di riattivazioni delle credenziali di accesso
accessi rispetto al numero di utenti del sistema.
Percentuale di sistemi che seguono una politica di
gestione delle password.
Numero di account con privilegi da amministratore
utilizzati per le normali attività .
Numero di account non associati a utenti specifici.
Gestione degli Percentuale di incidenti per Area / Unità complessa.
incidenti di
sicurezza delle
informazioni

Attuare e condurre il SGSI (Do): 37
Per ciascuna metrica adottata devono essere definiti i seguenti campi:

Controllo degli accessi
Indicatore Numero di riattivazioni delle credenziali di accesso rispetto al
numero di utenti del sistema
Descrizione Indica la percentuale delle riattivazione delle credenziali
Codice IP1101
Dati in input Nriatt = Numero di riattivazioni delle credenziali
Ntotut = Numero totale di utenti
Formula IP1101
N riatt
100
N totut
Valore Percentuale
Frequenza Annuale
Responsabile Responsabile Sicurezza
Criteri È accettabile quando 0% IP1101 20%
È inaccettabile quando 20% IP1101 100 %

Standard 27001:2005

39
27001:05
PLAN Stabilire la politica del Sistema di Gestione per la Sicurezza delle Informazioni, gli obiettivi, i processi e le
Stabilire procedure pertinenti per gestire i rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati
il S.G.S.I. conformi alle politiche ed agli obiettivi generali dell’organizzazione
DO Attuare e rendere operativa la politica del Sistema di

Attuare e Gestione per la Sicurezza delle Informazioni, i
condurre il controlli, i processi e le procedure
CHECKS.G.S.I.Valutare lo SGSI e, ove applicabile,
misurarne
Valutare e, ovele prestazioni
applicabile, a
misurare fronte
le di :
prestazioni del
Monitorare
CHECK
– politica,
processo a fronte della politica del Sistema di
Monitorare e
e il
riesaminare –
Gestione per la Sicurezza delle Informazioni, degli
obiettivi,
obiettivi e delle esperienze pratiche, quindi riportare i
riesaminare risultati
S.G.S.I. – esperienze
alla direzionepratiche,
ai fini del riesame
il S.G.S.I.
ACT Intraprendere azioni correttive e preventive, basate
Mantenere Riportare i risultati
sui risultati degli alla
audit interni del direzione
S.G.S.I. e sul per il
attivo, riesame da parte della direzione o sulle altre
riesame
informazioni pertinenti, al fine di ottenere il
aggiornato e
migliorare il miglioramento continuo del S.G.S.I.
S.G.S.I.
Modulo 3
27001:05 40
Monitorare e riesaminare SGSI (Check)
Eseguire procedure di monitoraggio

• Svolgere riesami regolari sull’efficacia dell’SGSI
• Registrare azioni ed eventi
• Misurare l’efficacia dei controlli
• Riesaminare le valutazioni del rischio residuo ed i rischi
accettabili tenendo in considerazione i cambiamenti
• Condurre audit interni dell’SGSI ad intervalli pianificati
• Effettuare un riesame da parte della Direzione
• Aggiornare i piani per la sicurezza

27001:05 41
In questa fase si verifica se :
– i controlli sono effettivamente operativi come previsto,

– lo SGSI è efficace.
- Non siano state modificate le assunzioni o l’ambito tanto
da dover riprendere l’analisi del rischio per individuare
controlli più adeguati alla situazione attuale ed eventuali
azioni correttive.
L’efficacia dei controlli deve essere misurata secondo la
metrica definita nella fase precedente.

27001:05 42
AUDIT
Potente strumento per la dimostrazione dell’efficacia e della conformità

dello SGSI.
È necessaria una procedura documentata per assicurare l’efficace

gestione degli audit interni, ivi inclusa l’assicurazione dell’indipendenza di
giudizio degli auditor utilizzati.
(*) UNI EN ISO 19011:2003 Linea guida per ogni tipologia di audit sui sistemi di gestione ISO.

Audit di sicurezza: 43
Definizione
È uno strumento di monitoraggio del livello di sicurezza del sistema.
È un'indagine strutturata e metodica che mira a individuare eventuali

vulnerabilità o il mancato rispetto di normative e leggi specifiche.
È un processo sistematico, indipendente e documentato che mira a

ottenere evidenze oggettive che, valutate con obiettività, consentano di
determinare il grado di conformità alla politica di sicurezza, alle
procedure o ai requisiti presi come riferimento, da parte del
servizio/sistema/organizzazione esaminato.(*)
(*) CNIPA quaderno 23 cap. 6

Audit di sicurezza
Audit di prima parte

È condotto con personale interno alla stessa organizzazione cui
appartiene il sistema da verificare.
Audit di seconda parte

È condotto dalla stessa organizzazione cui appartiene il sistema da
verificare con consulenti di sua scelta
Audit di terza parte

È condotto da un ente esterno autorizzato dotato delle opportune
caratteristiche di affidabilità e imparzialità.

Audit di sicurezza: 45
Finalità
PRIMA PARTE SECONDA PARTE TERZA PARTE

Verificare il rispetto dei Qualificare un fornitore Iscrivere lo SGSI della
requisiti di una norma o azienda valutata in un
di altre prescrizioni apposito registro
stabilite dall’azienda
Forniscono Determinano Forniscono confidenza

informazioni per azioni l’affidabilità del fornitore ad un numero elevato
correttive, preventive, di di potenziali clienti
miglioramento

Standard 27001:2005

47
27001:05
PLAN Stabilire la politica del Sistema di Gestione per la Sicurezza delle
Stabilire Informazioni, gli obiettivi, i processi e le procedure pertinenti per gestire i
il S.G.S.I. rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati
conformi alle politiche ed agli obiettivi generali dell’organizzazione
DO Attuare e rendere operativa la politica del Sistema di Gestione per la

Attuare e condurre il Sicurezza delle Informazioni, i controlli, i processi e le procedure
S.G.S.I.
CHECK Valutare e, ove applicabile, misurare le prestazioni del processo a fronte

Monitorare e della politica del Sistema di Gestione per la Sicurezza delle Informazioni,
riesaminare il S.G.S.I. degli obiettivi e delle esperienze pratiche, quindi riportare i risultati alla
ACT Intraprendere azioni
direzione ai fini del riesame correttive e
Mantenere preventive, basate su :
attivo,
ACT
Mantenere attivo,
Intraprendere azioni correttive e preventive, basate sui risultati degli audit
interni del S.G.S.I. e sul riesame da parte della direzione o sulle altre
aggiornato
aggiornato e
e migliorare – risultati degli audit interni
informazioni pertinenti, al fine di ottenere il miglioramento continuo del
il S.G.S.I.
migliorare il – riesame da parte della direzione
S.G.S.I.
S.G.S.I. – altre informazioni pertinenti
Modulo 3
27001:05 48
Mantenere attivo, aggiornare e
migliorare
• Attuare i miglioramenti individuati

• Intraprendere le appropriate azioni correttive e preventive.
• Applicare gli insegnamenti acquisiti dalle esperienze
• Comunicare le azioni e i miglioramenti a tutte le parti interessate
• Assicurarsi che i miglioramenti conseguano gli obiettivi prefissati
È diretta conseguenza dei risultati della fase precedente
“non conformità”
“azioni correttive”
Può impattare sulle fasi “Progettare” “Implementare” “Utilizzare”.

63
Gestione della sicurezza
Approfondimenti
UNI CEI ISO/IEC 27001:06 Organizzazione

REQUISITI
A.5 Politica per la sicurezza

ISO/IEC 27002:05 A.6 Organizzazione della Sicurezza
A.11 Controllo degli

A.7 Gestione dei beni
accessi
BEST
A.15 Conformità
PRACTICES A.8 Sicurezza delle A.9 Sicurezza fisica
risorse umane e ambientale
A.12 Acquisizione, A.13 Gestione A.14 Gestione A.10 Gestione delle

sviluppo e Incidenti di della continuità comunicazioni e
manutenzione dei Sicurezza operativa Dell’operatività
sistemi
APPROFONDIMENTI ISO /IEC 12207 BS25599 ISO/IEC 24762

ISO 20000
Operatività

64
27002:2005
Area Descrizione
A.5 Politica
ISO27002:2005 è un
framework per A.6 Organizzazione
implementare controlli A.7 Gestione degli asset
di tipo:
A.8 Risorse umane
• organizzativo,
• tecnico, A.9 Fisica e ambientale
• fisico, A.10 Operatività e comunicazioni
A.11 Controllo accessi
I controlli proposti sono
133 raggruppati in 39 A.12 Requisiti di sicurezza dei SI
obiettivi e 11 aree. A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
65
27002:2005
Politica per la sicurezza
Area Descrizione
Fornire gli indirizzi ed il supporto A.5 Politica
della Direzione per la sicurezza
delle informazioni, in conformità A.6 Organizzazione
ai requisiti del business e alle A.7 Gestione degli asset
leggi e regolamenti pertinenti.
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.15 Conformità
66
27002:2005
Organizzazione della sicurezza
Area Descrizione
• Istituzione del Comitato della A.5 Politica
Sicurezza delle Informazioni
A.6 Organizzazione
• Nomina dello RSI A.7 Gestione degli asset
(Responsabile della Sicurezza
delle Informazioni) A.8 Risorse umane
A.15 Conformità
67
27002:2005
Gestione dei beni
Area Descrizione
• Classificazione delle A.5 Politica
informazioni A.6 Organizzazione
• Conseguire e mantenere attiva
un’adeguata protezione dei beni A.7 Gestione degli asset
dell’organizzazione A.8 Risorse umane
A.15 Conformità
68
27002:2005
Sicurezza delle risorse umane
Area Descrizione
A.5 Politica
•Prima dell’assunzione A.6 Organizzazione
•Durante il rapporto di lavoro A.7 Gestione degli asset
A.8 Risorse umane
•Alla cessazione del rapporto di
lavoro A.9 Fisica e ambientale
A.15 Conformità
27002:2005 69
Sicurezza fisica ed ambientale
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
•Controllo accessi fisici
A.8 Risorse umane
•Controllo sistemi ambientali A.9 Fisica e ambientale
A.15 Conformità
27002:2005 70
Gestione della operatività
Area Descrizione
A.5 Politica
A.6 Organizzazione
•Procedure operative A.7 Gestione degli asset
•Servizi di terze parti
•Progettazione dei sistemi A.8 Risorse umane
•Protezione contro software A.9 Fisica e ambientale
maligno
•Backup A.10 Operatività e comunicazioni
•Sicurezza delle rete A.11 Controllo accessi
•Scambio dati
•Gestione supporti A.12 Requisiti di sicurezza dei SI
•On-line A.13
•Monitoraggio
Incidenti di sicurezza
A.15 Conformità
27002:2005 71
Controllo degli accessi
Area Descrizione
A.5 Politica
A.6 Organizzazione
• Controllo accessi A.8 Risorse umane
• Gestione accessi dell’utente
• Responsabilità degli utenti
• Accesso alla Rete
• Accesso al Sistema A.11 Controllo accessi
Operativo A.12 Requisiti di sicurezza dei SI
• Accesso alle Applicazioni A.13 Incidenti di sicurezza
• Uso di dispositivi portatili A.14 Continuità operativa
A.15 Conformità
27002:2005
72
Acquisizione, sviluppo e
manutenzione dei S.I.
Area Descrizione
A.5 Politica
A.6 Organizzazione
• Requisiti di sicurezza A.8 Risorse umane
• Corretta elaborazione delle
applicazioni A.9 Fisica e ambientale
• Controlli crittografici A.10 Operatività e comunicazioni
• Sicurezza dei file di sistema
• Sicurezza nei processi di
sviluppo e supporto A.12 Requisiti di sicurezza dei SI
• Gestione delle vulnerabilità
A.15 Conformità
73
27002:2005
Incidenti di sicurezza
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.8 Risorse umane
• Segnalazione degli Incidenti A.11 Controllo accessi
• Gestione degli Incidenti
A.15 Conformità
27002:2005 74
Gestione della continuità operativa
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.8 Risorse umane
Soluzioni per garantire la
continuità delle attività A.13 Incidenti di sicurezza
A.15 Conformità
75
ISO/IEC 27002: Conformità
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.8 Risorse umane
• Rispetto dei requisiti di legge A.11 Controllo accessi
• Rispetto degli standard di
sicurezza A.13 Incidenti di sicurezza
• Aspetti degli audit di sicurezza
A.15 Conformità
78
La continuità operativa: Business
Continuity Plan e Disaster
Recovery Plan
Business Continuity Plan

Finanze
Software Infrastrutture
Hardware
Collegamenti Impianti
Personale CED
Disaster Norme
Sito Alternativo
Recovery Plan
Basi Dati Documenti
Logistica
Documentazione Persone
Organizzazione Comunicazioni
Strumenti Informatici
2011 – Verona 2 Natale Prampolini Pag. 78

La continuità operativa
Misura preventiva atta a garantire la continuità dei processi

dell’Organizzazione in funzione del loro valore e della qualità dei prodotti/servizi
erogati tramite il supporto dell’infrastruttura di ICT, prevenendo e minimizzando
l’impatto di incidenti intenzionali o accidentali e dei conseguenti possibili danni.
(*)
Non riguarda soltanto le risorse informatiche, ma anche quelle fisiche,

organizzative e le persone necessarie per il funzionamento del sistema.
Il settore pubblico deve proteggere e mantenere accessibili i dati gestiti, che

giuridicamente appartengono ai cittadini e sono soltanto “affidati in gestione”
all’Amministrazione.
(*) CNIPA quaderno 23 “Linee guida per la sicurezza ICT nelle Pubbliche Amministrazioni”

Continuità operativa: 81
Le componenti
Business Continuity
Ha come obiettivo la continuità dei servizi istituzionali di
un’Amministrazione. Adotta tutti i metodi che consentono
di eliminare o ridurre gli effetti negativi di situazioni
disastrose.
Disaster Recovery
Attività necessarie per ripristinare – in tutto o in parte – le
funzionalità del sistema informatico (hardware, software
e servizi di comunicazione).
.
Le sole funzioni vitali

La continuità operativa: 82
Business Impact Analysis
 Identifica gli impatti tangibili e intangibili sui processi di business nel caso di
indisponibilità delle risorse :
• Tecnologiche
• Umane
• Fisiche
 Fornisce alla Direzione le informazioni necessarie a disegnare una strategia

di ripristino secondo un preciso ordine di priorità.
 Identifica
• Chi e cosa è vitale per la sopravvivenza del business.
• Le priorità e i tempi necessari per il ripristino.
 Valuta i costi in caso di disastro.

• Diretti
• Indiretti

 Identifica gli impatti tangibili e intangibili sui processi di business nel caso di
indisponibilità delle risorse :
• Tecnologiche
• Umane
• Fisiche
Richiede :
 Fornisce alla Direzione le informazioni necessarie a disegnare una strategia
• secondo
di ripristino un supporto consistente
un preciso della
ordine Direzione
di priorità.
• una visione chiara dei processi aziendali
 Identifica • un ampio coinvolgimento di personale IT e di utenti.
• Chi e cosa è vitale per la sopravvivenza del business.
• Le priorità e i tempi necessari per il ripristino.
 Valuta i costi in caso di disastro.

• Diretti
• Indiretti

Identificare le funzioni critiche per

il raggiungimento degli obiettivi
istituzionali / aziendali.
RTO “Recovery Time Objective”,
Tempo massimo per recuperare il servizio.
Identificare le risorse che Intervallo di tempo entro il quale il servizio
supportano le funzioni critiche deve essere ripristinato per non causare
danni irreversibili.
Ipotizzare gli scenari di possibili RPO “Recovery Point Objective”,

evenienze o i disastri Intervallo di tempo all’interno del quale la
perdita di dati non causa danni irreparabili.
Intervallo tra il verificarsi dell’emergenza e
Scegliere le strategie di l’ultimo salvataggio utile e ripristinabile dei
contingency planning dati.


La continuità operativa : 86
Disaster Recovery Plan
Situazione Servizio
Normale CED fuori uso Ripristinato
Dati
Ricostruzione dei
Orfani
Dati Orfani
Preparazione Dati
Sito Recovery Recuperati
Diagnosi Fase di Recovery
t1 t2 t3 t4 t5

Indice tipo
Introduzione
Obiettivi
Ruoli e Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti

Contenuti minimi
•Response Team
• Da chi è formato,
• Ruolo e responsabilità di ciascun componente
• Chi ne è responsabile e lo coordina
•Sito secondario
• Individuazione della sede
• Equipaggiamento
• Procedure di continuità
• Per i processi critici
• Per le funzioni vitali

Aspetti tecnici
• Come recuperare tempestivamente i dati di backup
• Come recuperare le informazioni per cui potrebbe non esistere backup
• Realizzazione di siti alternativi
• Reti di comunicazione alternative
• Realizzazione del passaggio dal primario al secondari
Aspetti organizzativi
• Assegnazione delle responsabilità
• Mobilitazione e spostamenti del personale
o Chi decide di avviare la procedura di DR?
o Chi opera nel sito secondario? Come può raggiungerlo?
o Chi si deve avvisare?
• Formazione e sensibilizzazione Il DRP viene progettato ipotizzando un evento
• Test del DRP che, nella maggior parte dei casi, non si è
ancora mai verificato.

Indice tipo
Introduzione
Obiettivi
Ruoli e Responsabilità Prima che accada un incidente
Esercitazione e manutenzione deve essere chiaro chi fa che cosa.
Procedure
Comunicazioni
Contatti
Messaggi
Fornitori

Indice tipo
Introduzione
Obiettivi
Esercitazione e manutenzione Quando, come e chi testa il piano.
Procedure
Comunicazioni
Contatti
Messaggi
Fornitori

Indice tipo
Introduzione
Obiettivi
Attivazione del piano Chi può dichiarare il disastro.
Procedure
Comunicazioni
Contatti
Messaggi
Fornitori

Indice tipo
Introduzione
Obiettivi
Responsabilità
Attivazione del team Interno o del gestore del servizio.
Procedure
Comunicazioni
Contatti
Messaggi
Fornitori

Indice tipo
Introduzione
Obiettivi
Responsabilità
Procedure Mix di interventi di tipo organizzativo
Centro di Emergenza o Crisi e di tipo tecnico
Comunicazioni Cosa fare (ripristinare, riconfigurare,
riavviare,…..)
Contatti
Messaggi Dove andare (sito secondario?)
Fornitori Chi avvertire.

Indice tipo
Introduzione
Obiettivi
Responsabilità
Procedure
Comunicazioni
Contatti
Messaggi
Incaricare qualcuno delle comunicazioni
Fornitori con l’esterno.

Indice tipo
Introduzione
Obiettivi
Responsabilità
Procedure
Comunicazioni
Contatti
Messaggi
Fornitori
Dettagli dei contratti Definire accuratamente i termini del
servizio.
101
Grafico dei costi per
problemi di sicurezza
costi
0 10 100 1.000
livello di sicurezza (n. casi anomali gestiti)

102
Grafico dei costi per
problemi di sicurezza
costi
0 10 100 1.000
livello di sicurezza (n. casi anomali gestiti)

103
I costi complessivi
costi
Curva dei costi totali
costo
minimo
livello di sicurezza
livello di sicurezza ottimale

104
I costi sociali
costi
costo
minimo
livello minimo di sicurezza
per norme cogenti livello di sicurezza ottimale

I costi sociali
costi
costo
sociale
costo
ottimale
livello minimo di sicurezza
per norme cogenti

Conclusioni
• Abbiamo parlato di organizzazione della sicurezza delle

informazioni.
• Abbiamo visto come strutturare un sistema per la gestione
della sicurezza delle informazioni secondo una norma
internazionale [ISO 27001] e tutta una serie di norme
correlate attraverso l’applicazione di controlli o
contromisure.
• Abbiamo dato priorità alla gestione / organizzazione della
gestione rispetto all’applicazione della tecnologia, che è
importante e necessaria ma non sufficiente a garantire un
buona sicurezza (= basso rischio o rischio accettabile).

Ricorsività della gestione
• La norma indica spesso la necessità di assicurare risultati

misurabili, comparabili e riproducibili
• Ciò implica un continuo riesame che deve partire dalla
rivalutazione del rischio
• La sicurezza non è un prodotto ma un processo.
• Occorre operare in concreto al fine di ridurre al minimo i
rischi mediante l’utilizzazione di controlli/sistemi di
sicurezza costantemente adeguati nel tempo

Ricorsività della gestione
• In ciò sta il concetto di “Sistema di gestione per la sicurezza delle

Informazioni”
• In ciò sta il concetto che la sicurezza è un concetto organizzativo e non
tecnico
• In ciò sta il concetto di applicare in ogni fase della norma il PDCA
La ISO 27001 è una norma di gestione.

Attraverso poi la scelta dei controlli (Appendice A della norma e quindi ISO
27002)
creo i collegamenti con le norme tecniche

Grazie per l’attenzione
prampolini@ordine.ingegneri.vi.it

Verona 24 Marzo 2011 Pranpolini

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Verona 24 Marzo 2011 Pranpolini

Caricato da

Copyright:

Formati disponibili

La sicurezza ICT:

Introduzione ai concetti e lo standard

a cura di Natale Prampolini,

2011 – Verona Natale Prampolini Pag. 1

 Introduzione sulla sicurezza ICT:

 ISO27001 Sistemi di Gestione della Sicurezza delle Informazione:

2011 – Verona Natale Prampolini Pag. 2

2011 – Verona Natale Prampolini Pag. 3

Approccio largamente condiviso sul mercato, che vanta anni di

2011 – Verona Natale Prampolini Pag. 5

• Perdita di fiducia dei clienti;

• Rallentamento, e/o arretramento, della propria

• Accesso dei concorrenti a informazioni

2011 – Verona Natale Prampolini Pag. 6

Utilizzata da un GRUPPO di esperti di sicurezza come un AIUTO

La norma non pretende di fornire tutto quello che serve al nostro

Non esiste garanzia di sicurezza al 100%

 Non si è consapevoli di tutte le possibili minacce.

Occorre mettere in piedi un sistema di gestione e controllo continuo

 Valutare e gestire i possibili rischi.

 Tenere sotto controllo TUTTI gli aspetti che influenzano la sicurezza

 Dare una chiara classificazione alle informazioni.

 Identificare chiaramente il PERSONALE responsabile della gestione

progettato per uno specifico sistema in modo da preservarne i

27000 Foundamental and vocabulary

27002 Code of practice of ISMS I controlli

27003 ISMS implementation guidance

27005 Risk Management

27006 Requirements for the accreditation of certification bodies

27007 Guidelines for ISMS auditing

ISO 27011 - Information security management guidelines for telecommunications

ISO 27031 - ICT readiness for business continuity

ISO 27032 - Guidelines for cybersecurity

ISO 27033 - IT network security

ISO 27034 - Guidelines for application security

ISO 27799 - Security Management in Health using ISO/IEC 27002

Standard 27001 :2005

UNI CEI ISO/IEC 27001:2006

Tecnologia delle informazioni -

Requisiti e Mantenere Sicurezza

Analisi dei rischi

Il modello per processi

CHECK Valutare e, ove applicabile, misurare le prestazioni del

Il modello per processi

LA politicA della sicurezza

È la “dichiarazione di intenti “ dell’alta Direzione che stabilisce

 Gli obiettivi strategici del management sulla sicurezza delle

 Le regole con cui gestire e proteggere queste informazioni.

 Il comportamento degli utenti.

 Gli attori coinvolti e relative responsabilità.

 Le regole di interazione con i fornitori e gli utenti.

 I criteri e le modalità di valutazione dei rischi.

PIANIFICAZIONE dell’analisi e rilevazione dello scenario

2 INVENTARIO DEI BENI

3 CLASSIFICAZIONE delle informazioni da proteggere :

4 VALUTAZIONE DEL RISCHIO che incombe su ogni asset.

INDIVIDUAZIONE delle possibili CONTROMISURE :

6 PREPARAZIONE DEL REPORT al management

7 PRESENTAZIONE del report al management

8 DECISIONI POSSIBILI relative al rischio valutato :

9 VALUTAZIONE DEL NUOVO VALORE DEL RISCHIO RESIDUO

10 ACCETTAZIONE FORMALE RISCHIO RESIDUO da parte del

ANALISI DEI RISCHI

PIANO DI CONTINUITA’ OPERATIVA