INFORMATION SECURITY MANAGEMENT SYSTEM …lia.deis.unibo.it/Courses/SicurezzaM1213/Rischio.pdf ·...
Transcript of INFORMATION SECURITY MANAGEMENT SYSTEM …lia.deis.unibo.it/Courses/SicurezzaM1213/Rischio.pdf ·...
INFORMATION SECURITY
MANAGEMENT SYSTEM - ISMS
GETSOLUTION Via Ippolito Rosellini 12
I – 20124 Milano
Tel: + 39 (0)2 39661701
Fax: + 39 (0)2 39661800
www.getsolution.it
AGENDA
Overview ISO 27001:2005
Approccio per processi
Plan-Do-Check-Act
Scopo e perimetro dell’ISMS
Identificazione e valutazione del rischio
Piano di gestione del rischio
Risk Management
Accenno alla Certificazione BS25999:2007
Dichiarazione di applicabilità
Verifiche e controlli
Azioni correttive e preventive
Figure professionali
Overview ISO 27001:2005
La Norma è stata creata e pubblicata a fini certificativi, in modo da costituire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security Management System)
Include aspetti relativi alla sicurezza logica, fisica ed organizzativa. Vuole dimostrare la conformità e l’efficacia delle scelte organizzative e delle attività operative poste in atto per garantire la:
delle INFORMAZIONI
Riservatezza
Integrità
Disponibilità
Autenticazione / Non Ripudio
Overview ISO 27001:2005
ISO 27000
introduzione agli standard ISO27k
ISO 27001
ISO 27002
Codice delle Best Practice
ISO 27003
Guida per l'implementazione
ISO 27004
Standard di misure per la gestione
ISO 27005
Risk Management
ISO 27006
Guida per la certificazione
La famiglia ISO27000 è in continua evoluzione e
cerca di ricoprire tutti gli aspetti necessari,
fornendo standard correlati tra loro.
Approccio per processi
La ISO 27001 promuove l’approccio per processi per pianificare, realizzare, mantenere in opera, controllare e migliorare l’efficacia dell’ ISMS.
Un processo è un’attività che usa risorse e viene gestita per trasformare elementi in entrata in elementi in uscita
In un processo bisogna sempre descrivere le risorse , input, le attività o fasi, output, interdipendenze tra attività, controllo di gestione.
Gestione non conformità
Azioni preventive
Azioni correttive
Manutenzione
Miglioramento
Allocare le risorse
Redigere la documentazione
Realizzare le misure di: sicurezza personale, sicurezza
fisica, gestione delle comunicazione, controllo
accessi, sviluppo manutenzione, continuità del
business
Controlli tecnici
Visite ispettive
Riesame della direzione
Analisi indicatori di processo
Plan-Do-Check-Act
Politiche per la sicurezza delle iformazioni
Scopo-dominio dell'ISMS
Valutazione del rischio
Gestione del rischio PLAN DO
CHECK ACT
Scopo e perimetro
PLAN
DEFINIRE LO SCOPO Serve per definire i confini del progetto Contiene informazioni per l’organizzazione, la location, gli assets, technology, e include le limitazioni.
DEFINIRE IL PERIMETRO
Identificazione e valutazione del rischio
RISK ANALYSIS
Significa valutare l'impatto sulla vulnerabilità delle informazioni (fisiche / logiche) e dell’elaborazione delle informazioni, la loro probabilità nel verificarsi.
PLAN
QUANTITATIVA
QUALITATIVA
DATA CENTRICA
Identificazione e valutazione del rischio
Information Gathering Si raccolgono le informazioni Tecnologiche, Fisiche e Organizzative necessarie all’analisi degli assets aziendali
PLAN
Identificazione dei “Data Asset” L’analisi dei processi aziendali ha permesso di identificare i dati che sono utilizzati all’interno del processo stesso per lo svolgimento delle varie attività. Successivamente, i dati raccolti sono stati aggregati in “data asset”, utilizzando diversi criteri di aggregazione.
Asset Modeling E’ possibile identificare con quale apparato hardware e con quale software vengono gestiti i diversi data asset rilevati, le “location” in cui si trovano gli hardware, gli utenti che li utilizzano, la tipologia di supporto cartaceo sui quali si trovano e la “location” nella quale si trovano i diversi supporti cartacei.
Identificazione e valutazione del rischio
PLAN
Il rischio è definito come il prodotto scalare tra il valore atteso dei danni causati da un evento pericoloso (minaccia) e la probabilità che tale evento si realizzi: R = E(D) X P
E(D): esprime l’entità del danno atteso che si verrebbe a produrre nel caso in cui i dati perdessero di Integrità, di Riservatezza e di Disponibilità.
Valutazione della criticità
Identificazione e valutazione del rischio
PLAN
Valutazione della criticità
E(x)
Si assegna un valore da 1 a 30
• New Business
• Linea CORE BUSINESS 1
• Amministrazione
• tesoreria
PERDITA D’IMMAGINE
• New Business
• Linea CORE BUSINESS 1
• Amministrazione
• Finanzia
BUSINESS OPERATIONS
RISERVATEZZA
INTEGRITA’ DISPONIBILITA’ (Assegno valori da 1 a 20)
Possibili scenari d’impatto
Identificazione e valutazione del rischio
PLAN
Definizione delle minacce e delle vulnerabilità Si identificano quindi minacce Tecnologiche, Organizzative/procedurali e Fisiche che incombono sul sistema informativo: per ogni minaccia è stata assegnata una frequenza di accadimento f(X) che è la media delle frequenze di accadimento attribuite ad ogni vulnerabilità rilevata per quella minaccia.
Frequenza di
Accadimento
F(x)
Identificazione e valutazione del rischio
PLAN
Minacce e vulnerabilità che possono colpire i Data Asset E’ necessario definire il corretto profilo di rischio dei singoli data asset mettendo in correlazione le singole minacce identificate e i parametri di sicurezza R.I.D.
Data Asset
Parametro
Minaccia
• Clienti
•INTEGRITA’ [Valore f=0,7 ]
• Clienti
•DISPONIBILITA’ [Valore f=0,7]
R= 13 x 0,7=
(9,1) 9 R= 3 x 0,7=
(2,1) 2 R= 24x 0,7=
(16,8) 17 R = E(x) x F(x)
Profili di
Rischio
Accesso alla rete
da parte di persone
non autorizzate
[Valore=13]
Accesso alla rete
da parte di persone
non autorizzate
[Valore=24]
• Clienti
•RISERVATEZZA [Valore f=0,7 ]
Accesso alla rete
da parte di persone
non autorizzate
[Valore=3]
B asso B asso Medio Alto
Piano di gestione del rischio
PLAN
Risk Management Attività che descrivono i passi per il susseguente trattamento del rischio, vale a dire: identificare e valutare le opzioni di gestione del rischio (mitigare, prevenire, trasferire, accettare), riconducibili a: • Ridurre il rischio: applicare appropriati controlli • Prevenire il rischio • Trasferire il rischio (cessioni ad assicurazioni). • Accettare il rischio, se tale analisi dei rischi soddisfa le politiche e i criteri di accettazione
Obiettivi Profili di rischio
Contromisure
Identificazione e valutazione del rischio
GAP ANALYSIS è volta ad individuare la distanza (il Gap) tra la situazione “AS IS” e una norma, una legge o un qualsiasi insieme di requisiti ed è rivolta a:
o Persone o Processi o Tecnologie
PLAN
Individuazione degli obiettivi Sulla base dei profili di rischio, si identificano gli obiettivi per poter implementare e gestire le contromisure, stabilendo un ordine di priorità.
Risk Management
DO
Realizzazione delle Policy (comprendenti le contromisure da implementare) Creazione delle procedure necessarie per rendere effettive le contromisure studiate
Fisiche Organizzative Tecnologiche
Controllo accessi fisici Policy e Procedure Firewall
Sistemi di rilevamento e spegnimento incendi
Formazione del personale Sistemi di Identificazione ed Autenticazione
IT Room IDS
URL Filtering
Business Continuty Plan
Disaster Recovery Plan
Implementazione delle contromisure
Formulare un Piano di Trattamento del Rischio che identifichi: a. Azioni della Direzione b. Risorse necessarie (umane ed economiche) c. Responsabilità e priorità
Accenno alla Certificazione BS25999:2007
Definisce i requisiti per la gestione della continuità nel business per ogni organizzazione e ne permette la certificazione.
BIA
(Business Impact Analysis)
DO
Esempio di Policy per POLITICA DI SICUREZZA
Xxxxxxxx Xxxxxx S.r.l. dichiara il proprio impegno a realizzare e mantenere un Sistema di Gestione per la Sicurezza delle Informazioni, i cui rischi siano
sottoposti a gestione controllata per prevenire e limitare i danni sulle informazioni circolanti all’interno dell’ impresa, con l’obiettivo tra l’altro di:
• Garantire la massima sicurezza delle informazioni dei clienti, in termini di riservatezza, disponibilità e integrità delle informazioni stesse fornendo così
un servizio ad alto valore aggiunto, in particolare grazie alla segregazione dei dati di clienti che per industry, prodotto e/o servizio, si trovino in
competizione.
• Dare continuità operativa ai servizi critici anche a seguito di gravi incidenti potenzialmente capaci di compromettere la sopravvivenza dell’azienda
stessa.
• Tutelare i diritti e gli interessi di tutti coloro che interagiscono con l’azienda (cosiddetti stakeholder: clienti, fornitori, dipendenti, collaboratori, terze parti,
ecc…);
• Salvaguardare gli interessi degli investitori e dei partner;
• Garantire un livello di servizio eccellente.
Xxxxxxxx Xxxxxx S.r.l. si impegna, anche attraverso la partecipazione dei propri dipendenti ad assicurare la conformità alle disposizioni legislative di
sicurezza e protezione dei dati, alla Politica del Gruppo, e a ogni altro accordo sottoscritto con le parti interessate.
Xxxxxxxx Xxxxxx S.r.l. persegue il miglioramento continuo del suo sistema di Gestione per la Sicurezza delle Informazioni, individuando i seguenti
principi:
Fornire un servizio di supporto fondamentale al Core Business dell’impresa attraverso strumenti e mezzi tecnologicamente in linea con il progresso e
mantenendoli in perfetto stato di efficienza;
Definire ruoli e responsabilità del personale coinvolto nella gestione della Sicurezza delle Informazioni;
Identificare in modo periodico e sistematico le minacce incombenti sui dati, valutandone le esposizioni ai rischi e provvedendo ad attuare idonee azioni
preventive;
Formare il personale allo svolgimento delle attività in modo da proteggere gli asset aziendali nel rispetto della vigente normativa;
Incoraggiare la diffusione della cultura e sensibilizzazione alla sicurezza e protezione dei dati e delle informazioni, in particolare alla riservatezza,
integrità e disponibilità dei dati e delle informazioni, tra i propri dipendenti, collaboratori, partner e terze parti in merito ai loro ruoli e responsabilità in
quest’ambito;
Far fronte con rapidità, efficacia e scrupolo a emergenze o incidenti che possano verificarsi nello svolgimento delle attività, collaborando anche con
terze parti o Enti preposti;
Rispettare le leggi e i regolamenti in vigore in tale contesto, e comunque attenersi a standard individuati con senso di responsabilità e consapevolezza,
basati su principi scientifici e da valutazione dei rischi;
Effettuare attività di controllo e riesame sulle attività, a partire da quelle più critiche, per aggiornare i programmi di sicurezza pianificati per il
raggiungimento e l’assicurazione di tale politica.
La Direzione di
XXXXXXXXXXXXXXX S.r.l.
DO
Esempio di Procedura Modifica dei profili di accesso agli asset e agli strumenti di lavoro
DO
L’attività di modifica dell’account associato ad un utente può avvenire in caso di:
attribuzione di mansioni aggiuntive o differenti, che comportino l’accesso a directory aggiuntive e/o differenti rispetto a quelle attribuite
in precedenza;
attribuzione di diverse mansione per cambio di gruppo di appartenenza che comportino l’accesso a directory totalmente differenti da
quelli attribuite in precedenza;
cambio di ruolo di un dipendente;
necessità operative temporanee inerenti specifiche mansione attribuite al dipendente.
Qualora fosse necessario modificare il profilo di un utente:
Il diretto responsabile definisce quali sono le modifiche ai permessi dell’utente, avendo cura,
nel caso di utenti coinvolti nel processi aziendali oggetto della certificazione ISO/IEC
27001:05, di non assegnare all’utente clienti competitor.
Si sottolinea che qualora all’utente deve essere concesso l’accesso ad applicativi xxxxx a cui
in precedenza non accedeva ed in ogni caso per le modifiche d’accesso ai sistemi xxxxxxxx,
il diretto responsabile deve provvedere alla compilazione del modulo Y e quindi è necessario
attenersi alla procedura di “Attivazione dei profili di autorizzazione e accesso agli strumenti di
lavoro” descritta al paragrafo 2 del presente documento; in questo specifico caso è
demandata al diretto responsabile la compilazione della Sezione 1 e 2 del modulo Y.
I Responsabili che hanno la facoltà di definire i profili d’utenza dei propri collaboratori sono:
Xxxxxxx Xxxxxxxxx
Xxxx Xxx
XxxxxxxxXxxxxx
Nel caso in cui le modifiche da apportare al profilo d’utenza possano comportare
scostamenti dalle politiche ISO 27001 il diretto responsabile deve richiedere preventiva
approvazione all’ISMS Manager.
Successivamente il diretto responsabile richiede le modifiche a Amministratore di
SISTEMA, inviando un e-mail all’indirizzo [email protected], mettendo in copia
Resp.Proc.ISO27k ([email protected]).
Si sottolinea che nella mail per la richiesta di modifica dei profili degli applicativi media
devono essere inserite puntualmente e chiaramente le informazioni relative a Società, Xxxxx,
Xxxxxxx, Xxxxxxxx.
Amministratore di SISTEMA comunica l’avvenuta modifica e archivia i documenti.
Resp.Proc.ISO27k, ricevuta la comunicazione di modifica dell’utenza da Amministratore di
SISTEMA aggiorna il file Gruppi di Lavoro (Analisi dei processi - All. C).
Statement of Applicabiliy
DO
Statement of Applicabiliy (SOA) Il SOA rappresenta la dichiarazione di adeguatezza o meno ai controlli previsti dalla ISO27001. Il SOA deve essere periodicamente aggiornato, infatti è il documento preso in considerazione dall’auditor nelle attività di mantenimento della certificazione.
Policy e Procedure
DO
Risk Treatment Plan (Sempre per ogni banca dati)
Risk Acceptance ha lo scopo di evidenziare i criteri che la Direzione determina per stabilire il trattamento del rischio e quindi la sua eventuale accettazione.
Inoltre si definisce:
Formazione del personale
Implementazioni
Contromisure
Minaccia Accesso alla rete da parte di persone non
autorizzate
Organization of information security
Internal Organization
Ruoli
Responsabilità
Tempi
Test
Controllo d’efficacia
External Parties
Ruoli
Responsabilità
Tempi
Test
Controllo d’efficacia
Security Policy
Information Security Policy
Ruoli
Responsabilità
Tempi
Test
Controllo d’efficacia
Verifiche e controlli
Audit interni Audit interni periodici, secondo criteri di pianificazione, conduzione e riporto.
CHECK Riesame della direzione aree di miglioramento attenzione sull’evoluzione delle tecnologie, delle attività aziendali e di possibili nuove minacce e vulnerabilità;
Indicatori di efficacia Per esempio: disponibilità dei sistemi statistiche sugli incidenti (tra cui i tentativi di accesso, errori,) Livello di maturità rispetto alle best practices quali ISO 15504 (Spice, Cobit, CMMI, SSE-CMM)
Non Conformità Azioni correttive e preventive
Audit Interni
Azioni correttive e preventive
ACT
In questa fase l’Ente di Certificazione accreditato a livello mondiale compie la verifica: Documentale Verifiche ispettive Per rilasciare la certificazione ISO 27001
Figure professionali
Security Manager
Compliance Manager
IT Manager
Internal Auditor
Auditor di Terze parti
GETSOLUTION Via Ippolito Rosellini 12
I – 20124 Milano
Tel: + 39 (0)2 39661701
Fax: + 39 (0)2 39661800
www.getsolution.it
Per informazioni
[email protected] cell: +39 335 5366986
Managing Director Dott.ssa Paola Generali