Upload
trinhkhanh
View
219
Download
0
Embed Size (px)
Citation preview
Ce
sa
re G
allo
tti
Pa
via
, 7
ott
ob
re 2
01
5
Ord
ine I
ngegneri P
avia
Intr
oduzio
ne a
lla I
SO
/IE
C 2
7001
htt
p:/
/cre
ative
co
mm
on
s.o
rg/lic
en
se
s/b
y/4
.0/d
ee
d.it
Agenda
Intr
oduzi
one
>il
conte
sto d
ella
sic
ure
zza d
elle
info
rmazi
oni;
>la
fam
iglia
degli
standard
ISO
/IEC 2
7000.
La g
est
ione d
el risc
hio
rela
tivo
alla
sic
ure
zza d
elle
info
rmazi
oni;
I co
ntr
olli
di si
cure
zza d
elle
info
rmazi
oni;
Il c
iclo
PD
CA;
La c
ert
ific
azi
one I
SO
/IEC 2
7001.
2
Obie
ttiv
i dell’
inco
ntr
o
Sara
no f
orn
ite r
ispost
e a
lle s
eguenti d
om
ande:
Cos’
è la s
icure
zza d
elle
info
rmazi
oni?
Cos’
è u
n s
iste
ma d
i gest
ione p
er
la s
icure
zza d
elle
info
rmazi
oni?
Quali
sono le a
ttiv
ità d
ei pro
cess
i di va
luta
zione e
tra
ttam
ento
del risc
hio
?
Quali
sono i c
ontr
olli
di si
cure
zza d
elle
info
rmazi
oni?
Quali
sono g
li st
andard
e le n
orm
e r
ela
tive
alla
sic
ure
zza d
elle
info
rmazi
oni?
3
Cesare
Gallo
tti
Lavo
ra d
al 1999 n
el ca
mpo d
ella
sic
ure
zza d
elle
info
rmazi
oni, d
ella
qualit
à e
della
gest
ione d
ei se
rviz
i IT
.
Ha c
ondott
o n
um
ero
si p
rogett
i di co
nsu
lenza
per
la p
ubblic
a a
mm
inis
trazi
one
e p
er
il se
ttore
priva
to.
Opera
, si
a in I
talia
che a
ll’est
ero
, co
me L
ead A
uditor
ISO
/IEC 2
7001 e
ISO
9001.
Ha p
rogett
ato
ed e
rogato
cors
i di Q
ualit
y Ass
ura
nce
e d
i ce
rtific
azi
one L
ead A
uditor
ISO
/IEC 2
7001 e
ITIL
Foundation.
Tra g
li att
est
ati d
i st
udio
e i t
itoli
pro
fess
ionali,
si se
gnala
no:
le c
ert
ific
azi
oni
CEPAS L
ead A
uditor
ISO
/IEC 2
7001,
IRCA L
ead A
uditor
9001:2
008,
CIS
A,
ITIL
Exp
ert
e C
BCI,
la q
ualif
ica c
om
e L
ead A
uditor
ISO
/IEC 2
0000 e
ISO
22301 e
il perf
ezi
onam
ento
post
laure
a in “
Com
pute
r Fo
rensi
cs e
in
vest
igazi
oni dig
itali”
.
E’ ca
podele
gazi
one d
el W
G1 d
el co
mitato
ita
liano I
SO
/IEC S
C27 in U
NIN
FO
.
Riferim
enti:
>W
eb:
ww
w.c
esa
regallo
tti.it
>Blo
g:
blo
g.c
esa
regallo
tti.it
>Tw
itte
r: @
cesa
regallo
tti
4
Sis
tem
a d
i gestione p
er
la s
icure
zza d
elle
info
rmazio
ni
La
sic
ure
zza s
i b
asa
su
lla b
uo
na
ge
stio
ne
Bu
on
i p
roce
ssi
Bu
on
e s
ce
lte
te
cn
olo
gic
he
Pro
cessi per:
sceglie
re,
att
uare
, m
ante
nere
.
port
ano a
Pro
cessi per
sceglie
re
Rita
rdi (e
s. 1
38
6-1
96
5)
Pro
do
tti co
mp
rati e
ma
i u
sa
ti
Pro
cessi per
att
uare
Pro
cessi per
mante
nere
(1/2
)
Pro
cessi per
mante
nere
(2/2
)
9
Ob
iett
ivi d
i u
n s
iste
ma
di g
estio
ne
pe
r la
sic
ure
zza
de
lle
info
rma
zio
ni
Rid
urr
e g
li in
cidenti;
Rid
urr
e g
li im
patt
i degli
inci
denti;
Impara
re d
all’
esp
erienza
(pro
pria e
altru
i) e
mig
liora
re.
Due leggi di sic
ure
zza d
elle
info
rmazio
ni
Princip
io d
i S
chneie
r:
la s
icure
zza è
una c
ate
na:
è
fort
e c
om
e il suo a
nello
più
debole
.
Coro
llario d
i M
itnic
k:
l’anello
più
debole
sono le
pers
one
11
Sis
tem
a d
i gestione p
er
la s
icure
zza d
elle
info
rmazio
ni
Pa
rte
de
lsis
tem
ad
ig
estio
ne
co
mp
lessiv
op
er
•sta
bili
re,
•a
ttu
are
,
•su
pe
rvis
ion
are
,
•ri
esa
min
are
,
•m
an
ten
ere
,
•m
iglio
rare
lasic
ure
zza
de
llein
form
azio
ni.
Insie
me
di
ele
me
nti
inte
rrela
tie
inte
rag
en
tiper
sta
bil
ire
obie
ttiv
idisic
ure
zza
delle
info
rma
zio
nie
rag
giu
ng
erl
i.
12
Norm
e d
i rife
rim
ento
ISO
/IEC 2
7000:
2014
ISO
/IEC 2
7001:
2013 e
UN
I CEI
ISO
/IEC 2
7001:
2014
ISO
/IEC 2
7002:
2013 e
UN
I CEI
ISO
/IEC 2
7002:
2014
ISO
31000:2
009 e
UN
I IS
O 3
1000:2
010
13
Info
rmazio
ni
Info
rmazi
one:
conosc
enza
o d
ati c
he h
anno s
ignific
ato
e v
alo
re.
Le info
rmazi
oni poss
ono e
sist
ere
in m
olte f
orm
e. Poss
ono e
ssere
sta
mpate
o
scritt
e s
u c
art
a, gest
ite c
on s
trum
enti info
rmatici
, tr
asm
ess
e v
ia p
ost
a o
con
mezz
i ele
ttro
nic
i, p
rese
nta
te in f
ilm o
foto
gra
fie o
dett
e in c
onve
rsazi
oni.
Qual è la d
iffe
renza
tra
dati e
info
rmazi
oni?
>T.
S. Elio
t, T
he r
ock
, 1934
>W
here
is
the w
isdom
we h
ave
lost
in k
now
ledge?
Where
is
the k
now
ledge w
e h
ave
lost
in info
rmation?
14
Sic
ure
zza d
elle
info
rmazio
ni
Il m
ante
nim
ento
della
loro
(IS
O/I
EC 2
7000)
>rise
rvate
zza (
le info
rmazi
oni non s
ono r
ese
dis
ponib
ili o
note
a indiv
idui, e
ntità
o
pro
cess
i non a
uto
rizz
ati);
>in
tegrità
(acc
ura
tezz
a e
com
ple
tezz
a);
>dis
ponib
ilità
(acc
ess
ibili
tà e
usa
bili
tà s
u r
ichie
sta d
i un’e
ntità
auto
rizz
ata
, se
condo i
tem
pi pre
vist
i).
Altre
pro
prietà
da p
rese
rvare
(norm
alm
ente
incl
use
nella
“in
tegrità
”):
>effic
aci
a (
utilit
à p
er
l’utiliz
zato
re);
>affid
abili
tà (
verità
e c
redib
ilità
; anch
e s
inonim
o d
i acc
ura
tezz
a);
>aute
ntici
tà (
ess
ere
chi o c
osa
è d
ichia
rato
);
>co
nfo
rmità (
coere
nte
con le n
orm
ative
e i r
egola
menti a
pplic
abili
);
>non r
ipudia
bili
tà (
capaci
tà d
i pro
vare
che u
n e
vento
o u
n’a
zione e
le e
ntità
che lo
hanno o
rigin
ato
, se
dic
hia
rato
è a
ccaduto
).
15
Incid
enti
Ele
nch
iam
o d
egli
inci
denti d
i si
cure
zza d
elle
info
rmazi
oni
realm
ente
acc
aduti.
Ass
oci
am
oli
ai 3 p
ara
metr
i di
sicu
rezz
a c
he h
anno s
ubito d
egli
impatt
i.
Inci
dente
di si
cure
zza d
elle
info
rmazi
oni: u
no o
più
eve
nti n
on v
olu
ti o
non
att
esi
che h
anno u
na s
ignific
ativa
pro
babili
tà d
i co
mpro
mett
ere
le a
ttiv
ità e
m
inacc
iare
la s
icure
zza d
elle
info
rmazi
oni.
Cic
lo P
DC
A e
requis
iti di sis
tem
a
AC
TP
LA
N
CH
EC
KD
O
Po
litic
a d
i sic
ure
zza
de
lle in
form
azio
ni
Va
luta
zio
ne
de
l ri
sch
io
Tra
tta
me
nto
de
l
risch
io
Ve
rifich
e te
cn
ich
e
Au
dit in
tern
i
Rie
sa
me
di d
ire
zio
ne
Va
luta
zio
ni d
i e
ffic
acia
Azio
ni co
rre
ttiv
e
Azio
ni d
i m
iglio
ram
en
to
Ag
gio
rna
me
nti
Ge
stire
le
ris
ors
e
Ge
stire
do
cu
me
nti
Att
ua
re i c
on
tro
lli
Le
ad
ers
hip
Valu
tazio
ne d
el rischio
Mig
liora
mento
Valu
azio
ne
delle
min
acce
Contr
olli
di
sic
ure
zza
Valu
tazio
ne
delle
vuln
era
bili
tà
Aspett
ative
delle
part
i
inte
ressate
Requis
iti
norm
ativi
Superv
isio
ne
Conte
sto
18
Analis
i, p
ondera
zio
ne,
valu
tazio
ne
Analis
i del risc
hio
: Pro
cess
o d
i co
mpre
nsi
one d
ella
natu
ra d
ei risc
hi e d
i dete
rmin
azi
one d
el lo
ro liv
ello
.
Crite
ri d
i risc
hio
: Te
rmin
i di rife
rim
ento
a fro
nte
dei quali
è v
alu
tata
la
signific
ativi
tà d
el risc
hio
.
Pondera
zione d
el risc
hio
: Pro
cess
o d
i co
mpara
zione d
ei risu
ltati d
ell’
analis
i dei
risc
hi risp
ett
o a
i cr
iteri d
i risc
hio
per
dete
rmin
are
se il risc
hio
e/o
la s
ua
esp
ress
ione q
uantita
tiva
sia
acc
ett
abile
o t
olle
rabile
.
Valu
tazi
one d
el risc
hio
: Pro
cess
o c
om
ple
ssiv
o d
i analis
i del risc
hio
e d
i pondera
zione d
el risc
hio
.
Identifica
zione d
el
risc
hio
Sta
bili
reil
conte
sto
e l’a
mbito
Analis
i del risc
hio
Pondera
zione
del
risc
hio
(ris
k ev
aluat
ion)
Tra
ttam
ento
del
risc
hio
Valu
tazi
one
del risc
hio
(ris
k as
sess
men
t)
Monitora
ggio
19
Definiz
ioni
Min
acc
ia:
la p
oss
ibile
causa
di un inci
dente
che p
uò p
ort
are
danni ad u
n
sist
em
a o
ad u
n’o
rganiz
zazi
one.
Vuln
era
bili
tà:
una d
ebole
zza d
i un b
ene o
di un g
ruppo d
i beni ch
e p
uò
ess
ere
sfr
utt
ata
da u
na o
più
min
acc
e p
er
concr
etizz
ars
i.
Live
llo d
i risc
hio
: Esp
ress
ione q
uantita
tiva
di un r
isch
io o
com
bin
azi
one d
i risc
hi, e
spre
sso in t
erm
ini di co
mbin
azi
one d
i co
nse
guenze
e d
ella
loro
ve
rosi
mig
lianza
.
Form
ula
DP
R•
∝
20
Tra
ttam
ento
del rischio
Evi
tare
il risc
hio
deci
dendo d
i non a
vvia
re o
continuare
con l'a
ttiv
ità c
he d
à
origin
e a
l risc
hio
.
Ass
unzi
one o
l’a
um
ento
del risc
hio
al fine d
i pers
eguire u
n’o
pport
unità.
Rim
ozi
one d
ella
fonte
di risc
hio
(della
min
acc
ia).
Cam
bia
mento
della
vero
sim
iglia
nza
della
min
acc
ia.
Cam
bia
mento
delle
conse
guenze
.
Condiv
isio
ne d
el risc
hio
con a
ltro
soggett
o o
soggett
i (c
om
pre
si i c
ontr
att
i e il
finanzi
am
ento
dei risc
hi).
Ritenzi
one d
el risc
hio
per
scelta c
onsa
pevo
le.
21
Cara
tteristiche d
ella
valu
tazio
ne d
el rischio
Rip
etibili
tà.
Confr
onta
bili
tà.
Mante
nib
ilità
.
Coere
nza
.
Com
ple
tezz
a.
Fle
ssib
ilità
.
22
Alc
une d
om
ande
Quale
liv
ello
di dett
aglio
?
Valu
tare
le info
rmazi
oni, i p
roce
ssi o g
li “a
sset”
?
Chi e c
om
e c
oin
volg
ere
?
I vu
lnera
bili
ty a
ssess
ment
rappre
senta
no u
n’a
nalis
i del risc
hio
?
Analis
i qualit
ative
o q
uantita
tive
?
23
Co
ntr
olli
di sic
ure
zza
Po
litic
he
Polit
iche e
regole
di si
cure
zza d
elle
info
rmazi
oni.
24
Co
ntr
olli
di sic
ure
zza
Org
an
izza
zio
ne
in
tern
a
Resp
onsa
bili
tà e
pote
ri p
er
i pro
cess
i;
Resp
onsa
bili
tà e
pote
ri p
er
le f
unzi
oni;
Segre
gazi
one d
ei co
mpiti.
Co
ntr
olli
di sic
ure
zza
Ge
stio
ne
de
lle p
ers
on
e
prim
a;
dura
nte
>fo
rmazi
one;
dopo l’im
pie
go.
Co
ntr
olli
di sic
ure
zza
Ge
stio
ne
de
gli
asse
t
Cla
ssific
azi
one e
gest
ione d
elle
info
rmazi
oni (f
orm
ato
ele
ttro
nic
o e
fis
ico);
Inve
nta
rio e
pro
prietà
degli
ass
et;
Gest
ione d
isposi
tivi
(in
clusa
dis
mis
sione).
27
Co
ntr
olli
di sic
ure
zza
Co
ntr
ollo
de
gli
acce
ssi
Fis
ici e info
rmatici
(re
te e
sis
tem
i);
regole
per
ogni si
stem
a o
arc
hiv
io;
ass
egnazi
one, riesa
me e
dis
abili
tazi
one a
ccess
i;
am
min
istr
ato
ri d
i si
stem
a.
Critt
ogra
fia (
non s
olo
per
il co
ntr
ollo
acc
ess
i).
28
Co
ntr
olli
di sic
ure
zza
Sic
ure
zza
fis
ica
Perim
etr
o d
i si
cure
zza;
manute
nzi
one im
pia
nti.
29
Co
ntr
olli
di sic
ure
zza
Att
ività
op
era
tive
istr
uzi
oni;
gest
ione c
am
bia
menti;
gest
ione c
apaci
tà;
separa
zione a
mbie
nti;
contr
ollo
malw
are
;
back
up e
rip
rist
ino;
loggin
g;
contr
ollo
am
bie
nte
di pro
duzi
one;
vuln
era
bili
ty a
ssess
ment;
patc
hin
g.
30
Co
ntr
olli
di sic
ure
zza
Co
mu
nic
azio
ni
Contr
ollo
della
rete
info
rmatica
;
contr
ollo
delle
com
unic
azi
oni;
regole
per
sist
em
i di co
munic
azi
one.
31
Co
ntr
olli
di sic
ure
zza
Acq
uis
izio
ne
e s
vilu
pp
o
Regole
e p
roce
sso d
i sv
iluppo s
icuro
(re
quis
iti e t
est
);
contr
ollo
dell’
am
bie
nte
di sv
iluppo e
test
.
32
Co
ntr
olli
di sic
ure
zza
Ge
stio
ne
fo
rnito
ri
Regole
;
contr
att
i (v
erifich
e p
relim
inari,
stip
ula
, co
ntr
ollo
);
contr
ollo
della
cate
na d
i fo
rnitura
.
33
Co
ntr
olli
di sic
ure
zza
Ge
stio
ne
in
cid
en
ti
com
unic
azi
one,
dia
gnosi
;
tratt
am
ento
;
racc
olta p
rove
.
Ril
eva
zio
ne
e
co
mu
nic
azio
ne
Re
gis
tra
zio
ne
Inc
ide
nte
?
As
se
gn
azio
ne
p
rio
rità
Dia
gn
os
i
Ch
ius
ura
Ca
teg
ori
zza
zio
ne
Es
ca
lati
on
?
Ris
olu
zio
ne
e
rip
ris
tin
o
Es
ca
lati
on
S i
N oSi
Co
ntr
olli
di sic
ure
zza
Co
ntin
uità
op
era
tiva
analis
i;
att
uazi
one;
test
.
Co
ntr
olli
di sic
ure
zza
Co
nfo
rmità
Norm
ativa
;
pro
cedure
inte
rne.
36
Pro
cesso d
i audit d
i cert
ific
azio
ne
Sta
ge 2
Sta
ge 1
(Rie
sam
e d
ocum
enti)
AP
x
Au
dit p
eri
od
ici
Pe
rio
do
3
an
ni
RC
Au
dit d
i ri
-ce
rtific
azio
ne
Audit inte
rni: b
asa
ti s
ulle
pro
cedure
in
tern
e;
Audit a
i fo
rnitori:
basa
ti s
ui co
ntr
att
i;
Audit d
i ce
rtific
azi
one:
basa
ti s
u
standard
.
37
Le n
orm
e d
ella
serie I
SO
/IE
C 2
7000
ISO
/IEC 2
7000:2
014 -
Term
ini e d
efiniz
ioni.
ISO
/IEC 2
7003:2
010 –
Guid
a a
ll’in
terp
reta
zione (
nuova
nel 2016).
ISO
/IEC 2
7004:2
009 –
Monitora
ggi e m
isura
zioni (n
uova
nel 2016?)
.
ISO
/IEC 2
7005:2
011 –
Gest
ione d
el risc
hio
(nuova
nel 2017?)
.
ISO
/IEC 2
7006:2
001 –
Per
gli
OdC (
nuova
a f
ine 2
015).
ISO
/IEC 2
7009 –
Cert
ific
azi
oni sp
eci
fich
e (
nel ??
?).
38
Altre
norm
e d
i in
tere
sse
ISO
/IEC 2
7031:2
011:
rela
zioni tr
a I
TC e
BCP
ISO
/IEC 2
7035:2
011:
“Info
rmation s
ecu
rity
inci
dent
managem
ent”
ISO
/IEC 2
7037 s
ulla
dig
ital fo
rensi
cs
ISO
22301:2
012:
busi
ness
continuity
ISO
/IEC 2
4762:2
008:
linee g
uid
a s
ul D
isast
er
Reco
very
ISO
/PAS 2
2399:2
007:
sulla
pre
para
zione r
ispett
o a
inci
denti
ISO
31000:2
009:
“Ris
k m
anagem
ent
—Princi
ple
s and g
uid
elin
es”
39