IT Security: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ Intervento al Master MTI AlmaWeb 4/2/2002
IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell’Informazione Bologna, Villa Guastavillani, 4 Febbraio 2002
Ing. Franco Tessarollo - Senior Consultant
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ Certificazione: “Atto mediante il quale una terza parte indipendente dichiara che un prodotto, processo o servizio è conforme ad una specifica o ad altro documento normativo” ➨ la Certificazione si basa su Standard (nazionali, internazionali) ➨ viene effettuata da un Ente Accreditato Indipendente ➨ l’Accreditamento degli Enti di Certificazione garantisce il mutuo riconoscimento del certificato che questi rilasciano
La Certificazione di sicurezza consente di avere un riscontro oggettivo del “livello” di sicurezza e affidabilità dei propri sistemi informativi.
Intervento al Master AlmaWeb in Management e Tecnologie dell’Informazione Bologna, Villa Guastavillani, 4 Febbraio 2002
Ing. Franco Tessarollo
1
IT Security: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ lo Standard BS 7799 - ISO/IEC 17799 1990
1995
1998
1999
BS 7799:parte 1 Come esigenza di BS 7799:parte 1 BS 7799:parte 2 un gruppo di Prima edizione ISMS compagnie inglesi
BS7799-1 Code of practice for information security management definisce i requisiti e le linee guida di riferimento per i responsabili dello sviluppo, del mantenimento e dell’amministrazione della sicurezza nel sistema informativo di un’azienda. Specifica, inoltre, una serie di controlli che possono essere implementati a livello tecnologico e organizzativo per la realtà aziendale.
• • • •
2000
BS 7799:parte 1&2
Information Security Management System
BS ISO/IEC 17799:2000
BS7799-2 Specification for Information Security Management Systems specifica i requisiti per l’implementazione e la documentazione del Sistema di Gestione per la Sicurezza Informatica (ISMS) e identifica gli elementi necessari per l’ottenimento della Certificazione da parte degli Organismi preposti .
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ i passi per definire un ISMS Fase 1
Definizione della politica
Politica
Definizione ambito ISMS
Fase 2
Fase 3 Pericoli,
Ambito ISMS
Risorse Informatiche
vulnerabilità, impatti
Risultati e conclusioni
Fase 4 Approccio alla gestione del rischio Grado di assicurazione richiesto
Gestione del rischio Opzioni di controllo scelte
Sezione 4 dello Standard BS 7799
Fase 5 Eventuali controlli addizionali
Analisi di rischio
Analisi di rischio
Selezione dei controlli e degli obiettivi da implementare Controlli ed obiettivi scelti
Fase 6
BS 7799-2: “Stabilire una infrastruttura di gestione”
Intervento al Master AlmaWeb in Management e Tecnologie dell’Informazione Bologna, Villa Guastavillani, 4 Febbraio 2002
Stesura della dichiarazione di applicabilità
Dichiarazione di applicabilità
Ing. Franco Tessarollo
2
IT Security: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
© 2002 Gruppo Webegg S.p.A.
Security Approach
_l’approccio Aziendale alla Sicurezza
•Aspetti Legali •Aspetti Economici
La sicurezza è un processo, non un prodotto!
Politica Pianificazione Obiettivi
Strategia
Definizione Budget
Team per la sicurezza
Organizzazione
Ruoli e Responsa bilità
Program Classifi mi For cazione mativi Risorse
Docum entazio ne Proced ure
Applica zione Proced ure
Verifiche
Automazione della gestione dei rischi
Sicurezza infrastrutture IT
Gestione vulnerabilità
Gestione minacce
Tecnologia
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ controlli dettagliati (BS 7799-2 Sezione 4) 4.1 Politica di sicurezza 4.1.1 Politica di sicurezza informatica > Documentazione della politica per la sicurezza informatica > Revisione e Valutazione
4.2 Organizzazione della sicurezza 4.2.1 Infrastruttura della sicurezza informatica > Gruppo (Forum) di gestione della sicurezza informatica > Coordinamento della sicurezza informatica > Assegnazione delle responsabilità di sicurezza informatica > Processo di autorizzazione per le attrezzature informatiche > Consulenza specializzata in sicurezza informatica > Cooperazione tra organizzazioni > Verifica indipendente della sicurezza informatica
4.2.2 Sicurezza dell’accesso da parte di terzi > Identificazione di rischi derivanti dall’accesso da parte di terzi > Clausole relative alla sicurezza nei contratti con terzi
4.2.3 Outsourcing > requisiti di sicurezza nei contratti di outsourcing
Intervento al Master AlmaWeb in Management e Tecnologie dell’Informazione Bologna, Villa Guastavillani, 4 Febbraio 2002
Ing. Franco Tessarollo
3
IT Security: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ controlli dettagliati (BS 7799-2 Sezione 4) 4.3 Classificazione e controllo delle risorse 4.3.1 Responsabilità delle risorse > Inventario delle risorse
4.3.2 Classificazione delle informazioni > Linee guida per la classificazione > Identificazione e gestione dei dati
4.4 Sicurezza del Personale 4.4.1 Sicurezza nella definizione dei ruoli e delle risorse > Inclusione della sicurezza nelle responsabilità delle mansioni > Controllo e politica del Personale > Accordi di confidenzialità > Termini e condizioni di impiego
4.4.2 Addestramento degli utenti > Educazione ed addestramento sulla sicurezza informatica
4.4.3 Risposta ad episodi di insicurezza e malfunzionamenti > Riferimento di episodi di insicurezza > Riferimento di vulnerabilità di sicurezza > Riferimento di malfunzionamenti dei programmi > Apprendimento dagli episodi di insicurezza > Processo disciplinare
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ controlli dettagliati (BS 7799-2 Sezione 4) 4.5 Sicurezza fisica ed ambientale 4.5.1 Aree sicure > Perimetro di sicurezza fisica > Controlli fisici di accesso > Sicurezza di uffici, stanze e strutture > Lavoro in aree sicure > Aree isolate di carico e consegna dei materiali
4.5.2 Sicurezza delle apparecchiature > Protezione e posizionamento delle apparecchiature > Alimentazione elettrica > Sicurezza del cablaggio > Manutenzione degli apparati > Sicurezza degli apparati fuori dagli edifici Aziendali > Smaltimento e riutilizzo sicuro delle apparecchiature
4.5.3 Controlli generici > Politica di “scrivania pulita” e “schermo pulito” > Asporto di proprietà
Intervento al Master AlmaWeb in Management e Tecnologie dell’Informazione Bologna, Villa Guastavillani, 4 Febbraio 2002
Ing. Franco Tessarollo
4
IT Security: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ controlli dettagliati (BS 7799-2 Sezione 4) 4.6 Gestione delle comunicazioni e delle operazioni (1/2) 4.6.1 Procedure e responsabilità operative > Procedure d’utilizzo documentate > Controllo dei cambiamenti operativi > Procedure di gestione degli eventi di insicurezza > Separazione delle mansioni > Separazione tra sistemi di sviluppo e di produzione > Gestione esterna di sistemi
4.6.2 Pianificazione ed approvazione dei sistemi > Pianificazione delle risorse > Approvazione dei sistemi
4.6.3 Protezione da programmi dannosi > Verifica su programmi dannosi
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ controlli dettagliati (BS 7799-2 Sezione 4) 4.6 Gestione delle comunicazioni e delle operazioni (2/2) 4.6.4 Operazioni ausiliarie > Copia di sicurezza dei dati > Registrazione dell’attività dell’operatore > Registrazione dei guasti
4.6.5 Gestione della rete > Controlli sulla rete
4.6.6 Gestione e sicurezza dei supporti > Gestione dei supporti rimovibili > Smaltimento dei supporti > Procedure di gestione dei dati > Sicurezza della documentazione dei sistemi
4.6.7 Scambio di informazioni e programmi > Accordi di scambio di informazioni e programmi > Sicurezza dei supporti in transito > Sicurezza del commercio elettronico > Sicurezza della posta elettronica > Sicurezza delle attrezzature da ufficio elettroniche > Sistemi pubblicamente disponibili > Altre forme di scambio d’informazioni
Intervento al Master AlmaWeb in Management e Tecnologie dell’Informazione Bologna, Villa Guastavillani, 4 Febbraio 2002
Ing. Franco Tessarollo
5
IT Security: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ controlli dettagliati (BS 7799-2 Sezione 4) 4.7 Controllo degli accessi (1/2) 4.7.1 Necessità Aziendali di controllo degli accessi > Politica di controllo degli accessi
4.7.2 Gestione dell’accesso utenti > Registrazione utente > Gestione dei privilegi > Gestione delle password degli utenti > Revisione dei diritti utente
4.7.3 Responsabilità dell’utente > Utilizzo delle password > Apparecchiature non presidiate
4.7.4 Controllo degli accessi alla rete > Politica dell’uso dei servizi di rete > Percorso forzato > Autenticazione degli utenti per connessioni esterne > Autenticazione del nodo > Protezione delle porte di diagnosi remote > Separazione delle reti > Controllo delle connessioni di rete > Controllo dell’instradamento di rete > Sicurezza dei servizi di rete
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ controlli dettagliati (BS 7799-2 Sezione 4) 4.7 Controllo degli accessi (2/2) 4.7.5 Controllo dell’accesso al sistema operativo > Identificazione automatica dei terminali > Procedure di logon ai terminali > Identificazione utente ed autenticazione > Sistema di gestione delle password > Utilizzo di utilità di sistema > Allarmi anti costrizione per la salvaguardia degli utenti > Scadenza (time-out) per i terminali > Limitazione del tempo di connessione
4.7.6 Controllo dell’accesso alle applicazioni > Restrizioni sull’accesso ai dati > Isolamento dei dati sensibili
4.7.7 Monitoraggio dell’accesso e uso dei sistemi > Tracciamento degli eventi > Monitoraggio dell’uso dei sistemi > Sincronizzazione degli orologi
4.7.8 Elaboratori portatili (mobile computing) e telelavoro > Elaboratori portatili (mobile computing) > Telelavoro
Intervento al Master AlmaWeb in Management e Tecnologie dell’Informazione Bologna, Villa Guastavillani, 4 Febbraio 2002
Ing. Franco Tessarollo
6
IT Security: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ controlli dettagliati (BS 7799-2 Sezione 4) 4.8 Sviluppo e manutenzione dei sistemi 4.8.1 Requisiti di sicurezza dei sistemi > Analisi e definizione dei requisiti di sicurezza
4.8.2 Sicurezza nei sistemi applicativi > Convalida dei dati inseriti > Controllo dell’elaborazione interna > Autenticazione del messaggio > Convalida dei dati in uscita
4.8.3 Controlli di crittografia > Politica dei controlli di crittografia in uso > Crittazione > Firme digitali > Servizi di non-ripudio > Gestione delle chiavi
4.8.4 Sicurezza dei file di sistema > Controllo dei programmi operativi > Protezione dei dati di collaudo dei sistemi > Controllo dell’accesso all’archivio dei sorgenti dei programmi
4.8.5 Sicurezza dei processi di sviluppo e supporto > Procedure di controllo delle modifiche > Revisione tecnica delle modifiche ai sistemi operativi > Limitazioni alle modifiche dei programmi > Canali nascosti e codice dannoso (Covert channel and Tojan code) > Sviluppo di software affidato a terzi
© 2002 Gruppo Webegg S.p.A.
Security Approach
_ controlli dettagliati (BS 7799-2 Sezione 4) 4.9 Gestione della continuità delle attività Aziendali 4.9.1 Aspetti della gestione della continuità delle attività Aziendali > Processi di gestione della continuità delle attività Aziendali > Analisi della continuità e dell’impatto delle attività (Business continuity and impact analysis) > Stesura ed implementazione dei piani di continuità > Infrastruttura e pianificazione della continuità delle attività > Verifica, manutenzione e ri-valutazione dei piani di continuità delle attività
4.10 Conformità 4.10.1 Conformità ai requisiti legali > Identificazione delle leggi applicabili > Diritti di proprietà intellettuale (IPR) > Salvaguardia degli archivi dell’organizzazione > Protezione dei dati e riservatezza delle informazioni personali > Prevenzione dell’uso improprio degli apparati di elaborazione dati > Disciplinamento dei controlli crittografici > Raccolta di prove legali
4.10.2 Revisione della politica di sicurezza e conformità tecnica > Conformità con la politica di sicurezza > Verifica della conformità tecnica
4.10.3 Considerazione delle verifiche di sistema > Controlli di System Audit > Protezione dei tool di System Audit
Intervento al Master AlmaWeb in Management e Tecnologie dell’Informazione Bologna, Villa Guastavillani, 4 Febbraio 2002
Ing. Franco Tessarollo
7