INFORMATION SECURITY

MANAGEMENT SYSTEM - ISMS

GETSOLUTION Via Ippolito Rosellini 12

I – 20124 Milano

Tel: + 39 (0)2 39661701

Fax: + 39 (0)2 39661800

info@getsolution.it

www.getsolution.it

AGENDA

Overview ISO 27001:2005

Approccio per processi

Plan-Do-Check-Act

Scopo e perimetro dell’ISMS

Identificazione e valutazione del rischio

Piano di gestione del rischio

Risk Management

Accenno alla Certificazione BS25999:2007

Dichiarazione di applicabilità

Verifiche e controlli

Azioni correttive e preventive

Figure professionali

Overview ISO 27001:2005

La Norma è stata creata e pubblicata a fini certificativi, in modo da costituire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security Management System)

Include aspetti relativi alla sicurezza logica, fisica ed organizzativa. Vuole dimostrare la conformità e l’efficacia delle scelte organizzative e delle attività operative poste in atto per garantire la:

delle INFORMAZIONI

Riservatezza

Integrità

Disponibilità

Autenticazione / Non Ripudio

Overview ISO 27001:2005

ISO 27000

introduzione agli standard ISO27k

ISO 27001

ISO 27002

Codice delle Best Practice

ISO 27003

Guida per l'implementazione

ISO 27004

Standard di misure per la gestione

ISO 27005

Risk Management

ISO 27006

Guida per la certificazione

La famiglia ISO27000 è in continua evoluzione e

cerca di ricoprire tutti gli aspetti necessari,

fornendo standard correlati tra loro.

Approccio per processi

La ISO 27001 promuove l’approccio per processi per pianificare, realizzare, mantenere in opera, controllare e migliorare l’efficacia dell’ ISMS.

Un processo è un’attività che usa risorse e viene gestita per trasformare elementi in entrata in elementi in uscita

In un processo bisogna sempre descrivere le risorse , input, le attività o fasi, output, interdipendenze tra attività, controllo di gestione.

Approccio per processi

Esempio:

Processo di New Hire

Gestione non conformità

Azioni preventive

Azioni correttive

Manutenzione

Miglioramento

Allocare le risorse

Redigere la documentazione

Realizzare le misure di: sicurezza personale, sicurezza

fisica, gestione delle comunicazione, controllo

accessi, sviluppo manutenzione, continuità del

business

Controlli tecnici

Visite ispettive

Riesame della direzione

Analisi indicatori di processo

Plan-Do-Check-Act

Politiche per la sicurezza delle iformazioni

Scopo-dominio dell'ISMS

Valutazione del rischio

Gestione del rischio PLAN DO

CHECK ACT

Scopo e perimetro

PLAN

DEFINIRE LO SCOPO Serve per definire i confini del progetto Contiene informazioni per l’organizzazione, la location, gli assets, technology, e include le limitazioni.

DEFINIRE IL PERIMETRO

Identificazione e valutazione del rischio

RISK ANALYSIS

Significa valutare l'impatto sulla vulnerabilità delle informazioni (fisiche / logiche) e dell’elaborazione delle informazioni, la loro probabilità nel verificarsi.

PLAN

QUANTITATIVA

QUALITATIVA

DATA CENTRICA

Identificazione e valutazione del rischio

Information Gathering Si raccolgono le informazioni Tecnologiche, Fisiche e Organizzative necessarie all’analisi degli assets aziendali

PLAN

Identificazione dei “Data Asset” L’analisi dei processi aziendali ha permesso di identificare i dati che sono utilizzati all’interno del processo stesso per lo svolgimento delle varie attività. Successivamente, i dati raccolti sono stati aggregati in “data asset”, utilizzando diversi criteri di aggregazione.

Asset Modeling E’ possibile identificare con quale apparato hardware e con quale software vengono gestiti i diversi data asset rilevati, le “location” in cui si trovano gli hardware, gli utenti che li utilizzano, la tipologia di supporto cartaceo sui quali si trovano e la “location” nella quale si trovano i diversi supporti cartacei.

Identificazione e valutazione del rischio

Asset Modelling

PLAN

Identificazione e valutazione del rischio

PLAN

Il rischio è definito come il prodotto scalare tra il valore atteso dei danni causati da un evento pericoloso (minaccia) e la probabilità che tale evento si realizzi: R = E(D) X P

E(D): esprime l’entità del danno atteso che si verrebbe a produrre nel caso in cui i dati perdessero di Integrità, di Riservatezza e di Disponibilità.

Valutazione della criticità

Identificazione e valutazione del rischio

PLAN

Valutazione della criticità

E(x)

Si assegna un valore da 1 a 30

• New Business

• Linea CORE BUSINESS 1

• Amministrazione

• tesoreria

PERDITA D’IMMAGINE

• New Business

• Linea CORE BUSINESS 1

• Amministrazione

• Finanzia

BUSINESS OPERATIONS

RISERVATEZZA

INTEGRITA’ DISPONIBILITA’ (Assegno valori da 1 a 20)

Possibili scenari d’impatto

Identificazione e valutazione del rischio

PLAN

Definizione delle minacce e delle vulnerabilità Si identificano quindi minacce Tecnologiche, Organizzative/procedurali e Fisiche che incombono sul sistema informativo: per ogni minaccia è stata assegnata una frequenza di accadimento f(X) che è la media delle frequenze di accadimento attribuite ad ogni vulnerabilità rilevata per quella minaccia.

Frequenza di

Accadimento

F(x)

Identificazione e valutazione del rischio

PLAN

Minacce e vulnerabilità che possono colpire i Data Asset E’ necessario definire il corretto profilo di rischio dei singoli data asset mettendo in correlazione le singole minacce identificate e i parametri di sicurezza R.I.D.

Data Asset

Parametro

Minaccia

• Clienti

•INTEGRITA’ [Valore f=0,7 ]

• Clienti

•DISPONIBILITA’ [Valore f=0,7]

R= 13 x 0,7=

(9,1) 9 R= 3 x 0,7=

(2,1) 2 R= 24x 0,7=

(16,8) 17 R = E(x) x F(x)

Profili di

Rischio

Accesso alla rete

da parte di persone

non autorizzate

[Valore=13]

Accesso alla rete

da parte di persone

non autorizzate

[Valore=24]

• Clienti

•RISERVATEZZA [Valore f=0,7 ]

Accesso alla rete

da parte di persone

non autorizzate

[Valore=3]

B asso B asso Medio Alto

Piano di gestione del rischio

PLAN

Risk Management Attività che descrivono i passi per il susseguente trattamento del rischio, vale a dire: identificare e valutare le opzioni di gestione del rischio (mitigare, prevenire, trasferire, accettare), riconducibili a: • Ridurre il rischio: applicare appropriati controlli • Prevenire il rischio • Trasferire il rischio (cessioni ad assicurazioni). • Accettare il rischio, se tale analisi dei rischi soddisfa le politiche e i criteri di accettazione

Obiettivi Profili di rischio

Contromisure

Identificazione e valutazione del rischio

GAP ANALYSIS è volta ad individuare la distanza (il Gap) tra la situazione “AS IS” e una norma, una legge o un qualsiasi insieme di requisiti ed è rivolta a:

o Persone o Processi o Tecnologie

PLAN

Individuazione degli obiettivi Sulla base dei profili di rischio, si identificano gli obiettivi per poter implementare e gestire le contromisure, stabilendo un ordine di priorità.

Risk Management

DO

Realizzazione delle Policy (comprendenti le contromisure da implementare) Creazione delle procedure necessarie per rendere effettive le contromisure studiate

Fisiche Organizzative Tecnologiche

Controllo accessi fisici Policy e Procedure Firewall

Sistemi di rilevamento e spegnimento incendi

Formazione del personale Sistemi di Identificazione ed Autenticazione

IT Room IDS

URL Filtering

Business Continuty Plan

Disaster Recovery Plan

Implementazione delle contromisure

Formulare un Piano di Trattamento del Rischio che identifichi: a. Azioni della Direzione b. Risorse necessarie (umane ed economiche) c. Responsabilità e priorità

Accenno alla Certificazione BS25999:2007

Definisce i requisiti per la gestione della continuità nel business per ogni organizzazione e ne permette la certificazione.

BIA

(Business Impact Analysis)

DO

Esempio di Policy per POLITICA DI SICUREZZA

Xxxxxxxx Xxxxxx S.r.l. dichiara il proprio impegno a realizzare e mantenere un Sistema di Gestione per la Sicurezza delle Informazioni, i cui rischi siano

sottoposti a gestione controllata per prevenire e limitare i danni sulle informazioni circolanti all’interno dell’ impresa, con l’obiettivo tra l’altro di:

• Garantire la massima sicurezza delle informazioni dei clienti, in termini di riservatezza, disponibilità e integrità delle informazioni stesse fornendo così

un servizio ad alto valore aggiunto, in particolare grazie alla segregazione dei dati di clienti che per industry, prodotto e/o servizio, si trovino in

competizione.

• Dare continuità operativa ai servizi critici anche a seguito di gravi incidenti potenzialmente capaci di compromettere la sopravvivenza dell’azienda

stessa.

• Tutelare i diritti e gli interessi di tutti coloro che interagiscono con l’azienda (cosiddetti stakeholder: clienti, fornitori, dipendenti, collaboratori, terze parti,

ecc…);

• Salvaguardare gli interessi degli investitori e dei partner;

• Garantire un livello di servizio eccellente.

Xxxxxxxx Xxxxxx S.r.l. si impegna, anche attraverso la partecipazione dei propri dipendenti ad assicurare la conformità alle disposizioni legislative di

sicurezza e protezione dei dati, alla Politica del Gruppo, e a ogni altro accordo sottoscritto con le parti interessate.

Xxxxxxxx Xxxxxx S.r.l. persegue il miglioramento continuo del suo sistema di Gestione per la Sicurezza delle Informazioni, individuando i seguenti

principi:

Fornire un servizio di supporto fondamentale al Core Business dell’impresa attraverso strumenti e mezzi tecnologicamente in linea con il progresso e

mantenendoli in perfetto stato di efficienza;

Definire ruoli e responsabilità del personale coinvolto nella gestione della Sicurezza delle Informazioni;

Identificare in modo periodico e sistematico le minacce incombenti sui dati, valutandone le esposizioni ai rischi e provvedendo ad attuare idonee azioni

preventive;

Formare il personale allo svolgimento delle attività in modo da proteggere gli asset aziendali nel rispetto della vigente normativa;

Incoraggiare la diffusione della cultura e sensibilizzazione alla sicurezza e protezione dei dati e delle informazioni, in particolare alla riservatezza,

integrità e disponibilità dei dati e delle informazioni, tra i propri dipendenti, collaboratori, partner e terze parti in merito ai loro ruoli e responsabilità in

quest’ambito;

Far fronte con rapidità, efficacia e scrupolo a emergenze o incidenti che possano verificarsi nello svolgimento delle attività, collaborando anche con

terze parti o Enti preposti;

Rispettare le leggi e i regolamenti in vigore in tale contesto, e comunque attenersi a standard individuati con senso di responsabilità e consapevolezza,

basati su principi scientifici e da valutazione dei rischi;

Effettuare attività di controllo e riesame sulle attività, a partire da quelle più critiche, per aggiornare i programmi di sicurezza pianificati per il

raggiungimento e l’assicurazione di tale politica.

La Direzione di

XXXXXXXXXXXXXXX S.r.l.

DO

Esempio di Procedura Modifica dei profili di accesso agli asset e agli strumenti di lavoro

DO

L’attività di modifica dell’account associato ad un utente può avvenire in caso di:

attribuzione di mansioni aggiuntive o differenti, che comportino l’accesso a directory aggiuntive e/o differenti rispetto a quelle attribuite

in precedenza;

attribuzione di diverse mansione per cambio di gruppo di appartenenza che comportino l’accesso a directory totalmente differenti da

quelli attribuite in precedenza;

cambio di ruolo di un dipendente;

necessità operative temporanee inerenti specifiche mansione attribuite al dipendente.

Qualora fosse necessario modificare il profilo di un utente:

Il diretto responsabile definisce quali sono le modifiche ai permessi dell’utente, avendo cura,

nel caso di utenti coinvolti nel processi aziendali oggetto della certificazione ISO/IEC

27001:05, di non assegnare all’utente clienti competitor.

Si sottolinea che qualora all’utente deve essere concesso l’accesso ad applicativi xxxxx a cui

in precedenza non accedeva ed in ogni caso per le modifiche d’accesso ai sistemi xxxxxxxx,

il diretto responsabile deve provvedere alla compilazione del modulo Y e quindi è necessario

attenersi alla procedura di “Attivazione dei profili di autorizzazione e accesso agli strumenti di

lavoro” descritta al paragrafo 2 del presente documento; in questo specifico caso è

demandata al diretto responsabile la compilazione della Sezione 1 e 2 del modulo Y.

I Responsabili che hanno la facoltà di definire i profili d’utenza dei propri collaboratori sono:

Xxxxxxx Xxxxxxxxx

Xxxx Xxx

XxxxxxxxXxxxxx

Nel caso in cui le modifiche da apportare al profilo d’utenza possano comportare

scostamenti dalle politiche ISO 27001 il diretto responsabile deve richiedere preventiva

approvazione all’ISMS Manager.

Successivamente il diretto responsabile richiede le modifiche a Amministratore di

SISTEMA, inviando un e-mail all’indirizzo XXX@XXXXXXXXXXX.it, mettendo in copia

Resp.Proc.ISO27k (XXX@XXXXXXXXXX.it).

Si sottolinea che nella mail per la richiesta di modifica dei profili degli applicativi media

devono essere inserite puntualmente e chiaramente le informazioni relative a Società, Xxxxx,

Xxxxxxx, Xxxxxxxx.

Amministratore di SISTEMA comunica l’avvenuta modifica e archivia i documenti.

Resp.Proc.ISO27k, ricevuta la comunicazione di modifica dell’utenza da Amministratore di

SISTEMA aggiorna il file Gruppi di Lavoro (Analisi dei processi - All. C).

Statement of Applicabiliy

DO

Statement of Applicabiliy (SOA) Il SOA rappresenta la dichiarazione di adeguatezza o meno ai controlli previsti dalla ISO27001. Il SOA deve essere periodicamente aggiornato, infatti è il documento preso in considerazione dall’auditor nelle attività di mantenimento della certificazione.

Policy e Procedure

DO

Risk Treatment Plan (Sempre per ogni banca dati)

Risk Acceptance ha lo scopo di evidenziare i criteri che la Direzione determina per stabilire il trattamento del rischio e quindi la sua eventuale accettazione.

Inoltre si definisce:

Formazione del personale

Implementazioni

Contromisure

Minaccia Accesso alla rete da parte di persone non

autorizzate

Organization of information security

Internal Organization

Ruoli

Responsabilità

Tempi

Test

Controllo d’efficacia

External Parties

Ruoli

Responsabilità

Tempi

Test

Controllo d’efficacia

Security Policy

Information Security Policy

Ruoli

Responsabilità

Tempi

Test

Controllo d’efficacia

Verifiche e controlli

Audit interni Audit interni periodici, secondo criteri di pianificazione, conduzione e riporto.

CHECK Riesame della direzione aree di miglioramento attenzione sull’evoluzione delle tecnologie, delle attività aziendali e di possibili nuove minacce e vulnerabilità;

Indicatori di efficacia Per esempio: disponibilità dei sistemi statistiche sugli incidenti (tra cui i tentativi di accesso, errori,) Livello di maturità rispetto alle best practices quali ISO 15504 (Spice, Cobit, CMMI, SSE-CMM)

Non Conformità Azioni correttive e preventive

Audit Interni

Azioni correttive e preventive

ACT

In questa fase l’Ente di Certificazione accreditato a livello mondiale compie la verifica: Documentale Verifiche ispettive Per rilasciare la certificazione ISO 27001

Figure professionali

Security Manager

Compliance Manager

IT Manager

Internal Auditor

Auditor di Terze parti

GETSOLUTION Via Ippolito Rosellini 12

I – 20124 Milano

Tel: + 39 (0)2 39661701

Fax: + 39 (0)2 39661800

info@getsolution.it

www.getsolution.it

Per informazioni

paola.generali@getsolution.it cell: +39 335 5366986

Managing Director Dott.ssa Paola Generali