Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
I concetti base
Riservatezza
Integrità
Disponibilità
Conformità
Costi tangibili
• Perdite :
– di materiale (danno fisico);
– dovute alla indisponibilità delle informazioni;
– dovute alla clientela che insoddisfatta si rivolge ai concorrenti;
– di produttività del personale (non IT) che si trova a lavorare in
condizioni degradate, (o nel caso peggiore non lavora proprio),
durante le operazioni di ripristino;
• Lavoro
– per il rilevamento, il contenimento, la riparazione e la ricostruzione
dei danni ai dati;
– per la corretta raccolta dei dati e il mantenimento delle prove.
Costi intangibili
Pag. 7
2011 – Verona Natale Prampolini
Standard 27000: 8
Cosa ?
Pag. 8
2011 – Verona Natale Prampolini
Standard 27000: 9
Cosa ?
Costituire stabilmente un
Sistema di Gestione della Sicurezza delle Informazioni : SGSI
Pag. 9
2011 – Verona Natale Prampolini
Standard 27000: 10
Cosa ?
Un SGSI è un insieme di :
PoliticA della sicurezza delle informazioni
PoliticHE,
Procedure,
Standard
Linee guida
Soluzioni tecniche
Pag. 10
2011 – Verona Natale Prampolini
Standard 27000: 11
la famiglia
27004 Measurements
Pag. 11
2011 – Verona Natale Prampolini
Standard 27000: 12
la famiglia
Pag. 12
12
2011 – Verona Natale Prampolini
Gestione della sicurezza: 13
Pag. 13
13
2011 – Verona Natale Prampolini
27001:05 14
L’approccio ciclico
Parti
Parti
interessate Progettare
Implementare interessate
(Stakeholders) l’SGSI (PLAN)
l’SGSI (DO) (Stakeholders)
Pag. 14
2011 – Verona Natale Prampolini
Gestione della sicurezza: 15
Standard 27001:2005
Pag. 15
2011 – Verona Natale Prampolini
27001:05 16
Modulo 3 Pag. 16
2011 – Verona Natale Prampolini
27001:05 17
CHECK Valutare e, ove applicabile, misurare le prestazioni del processo a fronte della politica del Sistema di
Monitorare e riesaminare il Gestione per la Sicurezza delle Informazioni, degli obiettivi e delle esperienze pratiche, quindi riportare i
S.G.S.I. risultati alla direzione ai fini del riesame
ACT Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del S.G.S.I. e sul riesame
Mantenere attivo, aggiornato e da parte della direzione o sulle altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del
migliorare il S.G.S.I. S.G.S.I.
Modulo 3 Pag. 17
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 18
Pag. 18
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 19
Un esempio
La politica
INDICE tipo
Motivazione
Obiettivi di sicurezza
Indicazioni
Ruoli e responsabilità
Applicabilità
Conformità
Politiche specifiche
Divulgazione
Riesame
Pag. 19
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 20
Le fasi
Pag. 20
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 21
Le fasi
Probabilità
Pag. 21
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 22
Le fasi
Pag. 22
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 23
Le fasi
Pag. 23
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 24
Le fasi
11 PIANIFICAZIONE.
Pag. 24
2011 – Verona Natale Prampolini
Il piano della sicurezza: 25
Indice CNIPA
SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
Pag. 25
2011 – Verona Natale Prampolini
Il piano della sicurezza: 26
Indice CNIPA
SISTEMA DI SICUREZZA
•Sicurezza fisica Soluzioni di sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
Indice CNIPA
SISTEMA DI SICUREZZA
•Sicurezza fisica Sicurezza perimetrale
•Sicurezza logica Sicurezza degli apparati
•Sicurezza organizzativa Sistemi antivirus
Soluzioni crittografiche
Sicurezza delle trasmissioni su rete
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
Controllo accessi logici :
Sistema di autenticazione e autorizzazione
Firma digitale
PIANO OPERATIVO Token
Indice CNIPA
SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
L’organizzazione della sicurezza
•Sicurezza organizzativa Ruoli e responsabilità
La politica della sicurezza
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE Le politiche di sicurezza
Fisiche e tecnologiche
Organizzative
PIANO OPERATIVO Le procedure di sicurezza
Indice CNIPA
SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
Indice CNIPA
SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
Indice CNIPA
….e il DPS ?
ANALISI DEI RISCHI
Trattamento dei dati
personali e sensibili SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
PIANO OPERATIVO
Standard 27001:2005
Modulo 3
2011 – Verona Natale Prampolini Pag. 33
27001:05 34
Misurare l’efficacia
Misurare l’efficacia
AREA INDICATORE
Sicurezza delle Percentuale di personale del SGSI che ha seguito
risorse umane corsi di formazione specifica sulla sicurezza.
Percentuale degli incidenti alla Sicurezza causati da
una scarsa formazione del personale.
Controllo degli Numero di riattivazioni delle credenziali di accesso
accessi rispetto al numero di utenti del sistema.
Percentuale di sistemi che seguono una politica di
gestione delle password.
Numero di account con privilegi da amministratore
utilizzati per le normali attività .
Numero di account non associati a utenti specifici.
Gestione degli Percentuale di incidenti per Area / Unità complessa.
incidenti di
sicurezza delle
informazioni
Misurare l’efficacia
Standard 27001:2005
AUDIT
(*) UNI EN ISO 19011:2003 Linea guida per ogni tipologia di audit sui sistemi di gestione ISO.
Definizione
Finalità
Standard 27001:2005
Modulo 3
2011 – Verona Natale Prampolini Pag. 47
27001:05 48
Mantenere attivo, aggiornare e
migliorare
“non conformità”
“azioni correttive”
Può impattare sulle fasi “Progettare” “Implementare” “Utilizzare”.
BEST
A.15 Conformità
PRACTICES A.8 Sicurezza delle A.9 Sicurezza fisica
risorse umane e ambientale
Area Descrizione
A.5 Politica
ISO27002:2005 è un
framework per A.6 Organizzazione
implementare controlli A.7 Gestione degli asset
di tipo:
A.8 Risorse umane
• organizzativo,
• tecnico, A.9 Fisica e ambientale
• fisico, A.10 Operatività e comunicazioni
A.11 Controllo accessi
I controlli proposti sono
133 raggruppati in 39 A.12 Requisiti di sicurezza dei SI
obiettivi e 11 aree. A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 64
65
27002:2005
Politica per la sicurezza
Area Descrizione
Fornire gli indirizzi ed il supporto A.5 Politica
della Direzione per la sicurezza
delle informazioni, in conformità A.6 Organizzazione
ai requisiti del business e alle A.7 Gestione degli asset
leggi e regolamenti pertinenti.
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 65
66
27002:2005
Organizzazione della sicurezza
Area Descrizione
• Istituzione del Comitato della A.5 Politica
Sicurezza delle Informazioni
A.6 Organizzazione
• Nomina dello RSI A.7 Gestione degli asset
(Responsabile della Sicurezza
delle Informazioni) A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 66
67
27002:2005
Gestione dei beni
Area Descrizione
• Classificazione delle A.5 Politica
informazioni A.6 Organizzazione
• Conseguire e mantenere attiva
un’adeguata protezione dei beni A.7 Gestione degli asset
dell’organizzazione A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 67
68
27002:2005
Sicurezza delle risorse umane
Area Descrizione
A.5 Politica
•Prima dell’assunzione A.6 Organizzazione
•Durante il rapporto di lavoro A.7 Gestione degli asset
A.8 Risorse umane
•Alla cessazione del rapporto di
lavoro A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 68
27002:2005 69
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
•Controllo accessi fisici
A.8 Risorse umane
•Controllo sistemi ambientali A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 69
27002:2005 70
Area Descrizione
A.5 Politica
A.6 Organizzazione
•Procedure operative A.7 Gestione degli asset
•Servizi di terze parti
•Progettazione dei sistemi A.8 Risorse umane
•Protezione contro software A.9 Fisica e ambientale
maligno
•Backup A.10 Operatività e comunicazioni
•Sicurezza delle rete A.11 Controllo accessi
•Scambio dati
•Gestione supporti A.12 Requisiti di sicurezza dei SI
•On-line A.13
•Monitoraggio
Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 70
27002:2005 71
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
• Controllo accessi A.8 Risorse umane
• Gestione accessi dell’utente
A.9 Fisica e ambientale
• Responsabilità degli utenti
A.10 Operatività e comunicazioni
• Accesso alla Rete
• Accesso al Sistema A.11 Controllo accessi
Operativo A.12 Requisiti di sicurezza dei SI
• Accesso alle Applicazioni A.13 Incidenti di sicurezza
• Uso di dispositivi portatili A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 71
27002:2005
72
Acquisizione, sviluppo e
manutenzione dei S.I.
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
• Requisiti di sicurezza A.8 Risorse umane
• Corretta elaborazione delle
applicazioni A.9 Fisica e ambientale
• Controlli crittografici A.10 Operatività e comunicazioni
• Sicurezza dei file di sistema
A.11 Controllo accessi
• Sicurezza nei processi di
sviluppo e supporto A.12 Requisiti di sicurezza dei SI
• Gestione delle vulnerabilità
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 72
73
27002:2005
Incidenti di sicurezza
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
• Segnalazione degli Incidenti A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
• Gestione degli Incidenti
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 73
27002:2005 74
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
Soluzioni per garantire la
continuità delle attività A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 74
75
ISO/IEC 27002: Conformità
Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
• Rispetto dei requisiti di legge A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
• Rispetto degli standard di
sicurezza A.13 Incidenti di sicurezza
A.14 Continuità operativa
• Aspetti degli audit di sicurezza
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 75
78
La continuità operativa: Business
Continuity Plan e Disaster
Recovery Plan
Software Infrastrutture
Hardware
Collegamenti Impianti
Personale CED
Disaster Norme
Sito Alternativo
Recovery Plan
Basi Dati Documenti
Logistica
Documentazione Persone
Organizzazione Comunicazioni
Strumenti Informatici
La continuità operativa
(*) CNIPA quaderno 23 “Linee guida per la sicurezza ICT nelle Pubbliche Amministrazioni”
Le componenti
Business Continuity
Ha come obiettivo la continuità dei servizi istituzionali di
un’Amministrazione. Adotta tutti i metodi che consentono
di eliminare o ridurre gli effetti negativi di situazioni
disastrose.
Disaster Recovery
Attività necessarie per ripristinare – in tutto o in parte – le
funzionalità del sistema informatico (hardware, software
e servizi di comunicazione).
.
Le sole funzioni vitali
Identifica gli impatti tangibili e intangibili sui processi di business nel caso di
indisponibilità delle risorse :
• Tecnologiche
• Umane
• Fisiche
Identifica
• Chi e cosa è vitale per la sopravvivenza del business.
• Le priorità e i tempi necessari per il ripristino.
Identifica gli impatti tangibili e intangibili sui processi di business nel caso di
indisponibilità delle risorse :
• Tecnologiche
• Umane
• Fisiche
Richiede :
Fornisce alla Direzione le informazioni necessarie a disegnare una strategia
• secondo
di ripristino un supporto consistente
un preciso della
ordine Direzione
di priorità.
• una visione chiara dei processi aziendali
Identifica • un ampio coinvolgimento di personale IT e di utenti.
• Chi e cosa è vitale per la sopravvivenza del business.
• Le priorità e i tempi necessari per il ripristino.
Situazione Servizio
Normale CED fuori uso Ripristinato
Dati
Ricostruzione dei
Orfani
Dati Orfani
Preparazione Dati
Sito Recovery Recuperati
t1 t2 t3 t4 t5
Indice tipo
Introduzione
Obiettivi
Ruoli e Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
Contenuti minimi
•Response Team
• Da chi è formato,
• Ruolo e responsabilità di ciascun componente
• Chi ne è responsabile e lo coordina
•Sito secondario
• Individuazione della sede
• Equipaggiamento
• Procedure di continuità
• Per i processi critici
• Per le funzioni vitali
Aspetti tecnici
• Come recuperare tempestivamente i dati di backup
• Come recuperare le informazioni per cui potrebbe non esistere backup
• Realizzazione di siti alternativi
• Reti di comunicazione alternative
• Realizzazione del passaggio dal primario al secondari
Aspetti organizzativi
• Assegnazione delle responsabilità
• Mobilitazione e spostamenti del personale
o Chi decide di avviare la procedura di DR?
o Chi opera nel sito secondario? Come può raggiungerlo?
o Chi si deve avvisare?
• Formazione e sensibilizzazione Il DRP viene progettato ipotizzando un evento
• Test del DRP che, nella maggior parte dei casi, non si è
ancora mai verificato.
Indice tipo
Introduzione
Obiettivi
Ruoli e Responsabilità Prima che accada un incidente
Esercitazione e manutenzione deve essere chiaro chi fa che cosa.
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
Indice tipo
Introduzione
Obiettivi
Ruoli e Responsabilità
Esercitazione e manutenzione Quando, come e chi testa il piano.
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
Indice tipo
Introduzione
Obiettivi
Ruoli e Responsabilità
Esercitazione e manutenzione
Attivazione del piano Chi può dichiarare il disastro.
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
Indice tipo
Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team Interno o del gestore del servizio.
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti
Indice tipo
Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure Mix di interventi di tipo organizzativo
Centro di Emergenza o Crisi e di tipo tecnico
Comunicazioni Cosa fare (ripristinare, riconfigurare,
Soggetti da informare
riavviare,…..)
Contatti
Messaggi Dove andare (sito secondario?)
Fornitori Chi avvertire.
Lista dei fornitori di recovery
Dettagli dei contratti
Indice tipo
Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Incaricare qualcuno delle comunicazioni
Fornitori con l’esterno.
Lista dei fornitori di recovery
Dettagli dei contratti
Indice tipo
Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti Definire accuratamente i termini del
servizio.
2011 – Verona 2 Natale Prampolini Pag. 96
101
Grafico dei costi per
problemi di sicurezza
costi
0 10 100 1.000
costi
0 10 100 1.000
costi
Curva dei costi totali
costo
minimo
livello di sicurezza
livello di sicurezza ottimale
I costi sociali
costi
Curva dei costi totali
costo
minimo
livello di sicurezza
livello minimo di sicurezza
per norme cogenti livello di sicurezza ottimale
costi
Curva dei costi totali
costo
sociale
costo
ottimale
livello di sicurezza
livello minimo di sicurezza
per norme cogenti
prampolini@ordine.ingegneri.vi.it