BS 7799
Certificazione
della sicurezza
delle informazioni
Alessandro Leone
Agenda
• L’efficacia dei sistemi informatici e la sicurezza
• Cos’è la sicurezza informatica?
• Lo standard BS 7799
– Part I
– Part II
• Altri standard
• Le norme che richiamano l’adozione dello standard
BS 7799
• BS 7799: dove è consigliato
• Note conclusive
L’efficacia dei sistemi informatici e la
sicurezza informatica
• Cosa può succedere ad
un sistema informatico
efficace e ben collaudato:
– Manomesso o alterato (colpa
o dolo)
– Bloccato (incidente o atto
volontario)
– Violato
– Etc.
INPUT
Utente
OUTPUT
L’efficacia dei sistemi informatici e la
sicurezza informatica
• Cosa può succedere ad
un sistema informatico
efficace e ben collaudato:
– Manomesso o alterato (colpa
o dolo)
– Bloccato (incidente o atto
volontario)
– Violato
– Etc.
ALTERAZIONE
INPUT
OUTPUT
ALTERATO
Hacker
Utente
L’efficacia dei sistemi informatici e la
sicurezza informatica
• Cosa può succedere ad
un sistema informatico
efficace e ben collaudato:
– Manomesso o alterato (colpa
o dolo)
– Bloccato (incidente o atto
volontario)
– Violato
– Etc.
OUTPUT
INPUT
OUTPUT
Hacker
OUTPUT ALTERATO
Utente
…evidenza
La sicurezza è quindi uno degli elementi di
garanzia dell’efficacia e dell’efficienza dei
sistemi informativi!
Cos’è quindi la sicurezza informatica?
• La sicurezza è un sistema complesso che
coinvolge l’intera organizzazione e che è
basato su un processo continuo di analisi
dei rischi e di organizzazione delle risorse
attraverso la definizione di responsabilità, di
procedure e con l’uso di strumenti specifici
Problemi
• Dove investire in sicurezza?
• Quanto investire in sicurezza?
Dove investire in sicurezza?
• Indagini di mercato dimostrano che le maggiori
spese in tema di sicurezza informatica
riguardano tecnologie di supporto…
• … ma gli esperti avvisano che senza gli aspetti
organizzativi e di formazione le spese in
tecnologia rischiano di essere inutili
Quanto investire in sicurezza?
Sicurezza
100%
C
B
A
Costo in €
Un metodo: BS 7799
• Un possibile metodo, per poter identificare e
dimensionare correttamente le attività e le
soluzioni in termini di sicurezza, viene fornito
dallo standard britannico BS 7799
BS 7799: un po’ di storia
• Creato nel 1995 dal British Standards
Institution per definire gli elementi chiave di
controllo ed il processo di gestione della
sicurezza delle informazioni
• È stato successivamente integrato nel 1998 ed
è stato aggiornato sia nel 1999 sia nel 2002
BS 7799: in cosa consiste
• Il BS 7799 è uno standard orientato al
processo piuttosto che al prodotto, ovvero non
fornisce indicazioni specifiche sulle misure da
intraprendere, ma indica le attività da
organizzare in tema di sicurezza
• Lo standard si compone di due parti
– “Part I”
– “Part II”
BS 7799: Part I
Denominata “Code of practice for Information Security”
ha lo scopo di:
• fornire raccomandazioni nell’ambito della sicurezza
informatica ad uso di coloro che all’interno di
un’organizzazione sono responsabili della
progettazione, dello sviluppo e del mantenimento dei
livelli di sicurezza
La parte è suddivisa in 10 sezioni ed identifica per
ciascuna di esse gli obiettivi dei controlli e i controlli
stessi da implementare (per un totale di 127 controlli)
BS 7799: Part II
Denominata “Specification for Information
Security Management System (ISMS)” ha lo
scopo di:
• fornire un metodo per l’applicazione dei
controlli indicati nella Part I
• dare indicazioni su come implementare,
gestire, aggiornare e migliorare il sistema di
gestione della sicurezza delle informazioni
(ISMS)
BS 7799 Part II: il processo
2. Do
Implementare e gestire l’ISMS
3. Check
Verificare l’efficacia e l’efficienza
dell’ISMS per mezzo di attività
di monitoring e di audit
1. Plan
Progettare il sistema di gestione
della sicurezza delle informazioni (ISMS)
4. Act
Porre in essere i correttivi per le
aree di miglioramento e per i problemi
riscontrati
BS 7799 Part II: focus su “Plan”
• Definire l’ambito di applicazione
del sistema di gestione della
sicurezza delle informazioni
(ISMS)
• Definire le politiche di sicurezza
• Eseguire un risk assessment con i responsabili
operativi
• Identificare soluzioni per la gestione dei rischi
• Selezionare gli obiettivi di controllo ed i controlli
della Part I
• Redigere la dichiarazione di applicabilità
Altri standard esistenti
• Al momento l’International Organization for
Standardization (ISO) e l’International
Electrotechnical Commission (IEC) hanno
recepito la Part I del BS 7799 e hanno definito
lo standard ISO/ IEC 17799
Le norme che richiamano l’adozione
dello standard BS 7799
• Consiglio dell’Unione Europea – Risoluzione del 28
gennaio 2002
– Invita i Paesi Membri ad adottare come best practice lo standard
ISO/IEC 17799
• Direttiva “Stanca” 16 gennaio 2002
– Suggerisce alle Pubbliche Amministrazioni di adottare un processo di
analisi e gestione dei rischi conforme a BS 7799
• Banca d’Italia – Regolamento 29 gennaio 2002
– Impone l’adozione di ISO/IEC 17799 nell’ambito dei S.I. operanti con la
Centrale di Allarme Interbancaria
BS 7799: dove è consigliato
• Nei Sistemi Informativi della Pubblica
Amministrazione (Conformità Direttiva Stanca)
• Nei Sistemi Informativi che devono fornire
ampie garanzie di tutela della gestione della
Sicurezza delle Informazioni (es. ambito
finanziario; ai sensi della conformità per la
tutela della Privacy; etc.)
• Presso i fornitori di servizi di elaborazione dati
(outsourcer) al fine di conferire fiducia e
verificabilità ai clienti
Note conclusive
• La sicurezza come elemento integrante per
la garanzia dell’efficienza e l’efficacia dei
sistemi informativi
• Il problema dell’orientamento e del
dimensionamento della spesa in tema di
sicurezza informatica
• BS 7799 come strumento che indica un
metodo per ottenere una gestione efficace
della sicurezza informatica in linea con le
reali esigenze operative
Alessandro Leone
email: [email protected]
Tel.: 02 806691
Scarica

BS 7799: Part I