L'organizzazione della Sicurezza delle informazioni

del Corso
Basi dell’Information Security management
Integrità
Riservatezza
Disponibilità
Panoramica legislativa e regolamentare
Dlgs 196/2003 testo unico privacy
Legge 231/2001 responsabilità amministrativa aziende
Legge 633/1941 tutela diritti d’autore
Legge 547/1993 criminalità informatica
Legge 300/1970 Statuto dei lavoratori
Dlgs 70/2003 commercio e pagamenti elettronici
Firma elettronica decreti e regolamenti
Direttive comunitarie
Legislazione statunitense
Sarabanes-Oxley trasparenza finanziaria
Gramm-Leach-Bliley Act 1999 sicurezza dati clienti per il sistema finanziario
Privacy Act 1974
Computer Security Act 1987
National Infrastructure Act 1996
Government Information Security Reform Act del 2001
HIPAA tutela dati personali sistema sanitario statunitense
CFR 21-11 sicurezza nell’industria farmaceutica statunitense
Leggi penali contro la criminalità informatica in Europa e nel mondo
Basilea 2 rischio operativo per il sistema finanziario internazionale
E-Gov e sicurezza nelle PA
Gli standard della sicurezza informatica
ISO 20000 IT Service Management (ISO/IEC 20000:2005) e ITIL (Information technology Infrastructure Library)
ISO 27000:2 Information technology. Code of practice for information security management
ISO/IEC TR 13335 Information technology Guidelines for the management of IT Security
GMP e PIC/S e metodologie per l’industria (Annex 11 sui sistemi informatici)
ISO/IEC IS 15408 Information technology (Security techniques and Evaluation criteria for IT security) noti come common criteria ITSEC
ISO TR 17944 -- Framework for Security in Financial Systems
ISO/IEC 18028-3:2005 Information technology -- Security techniques -- IT network security -- Part 3: Securing communications between networks using security gateways
ISO/IEC 18028-4:2005 Information technology -- Security techniques -- IT network security -- Part 4: Securing remote access
ISO/IEC TR 18044:2004 Information technology -- Security techniques -- Information security incident management
La raccolta e l’analisi delle informazioni
Verifiche e sopralluoghi
Le interviste conoscitive
Il documento riepilogativo
L’analisi del rischio
In cosa consiste l’analisi dei rischi
Caratteristiche della metodologia
I concetti essenziali
Evento
Vulnerabilità
Minaccia
Valore
Entità del rischio
Impatto
Le relazioni tra i diversi fattori
Le metodologie più diffuse
Personalizzare il metodo o accettarlo
La raccolta delle informazioni
Le interviste conoscitive
La ricostruzione di uno storico
L’organizzazione dei dati
Valutazione dei risultati
Definizione del livello di accettabilità del rischio
Definizione delle strategie di contrasto (accettare, trasferire, contrastare)
Definizione delle priorità e dell’allocazione delle risorse
Definizione delle policy
Valutazione dell’impatto sull’azienda
Valutazione delle resistenze interne e tecnologiche
Definizione e scelta dell’organizzazione e delle procedure compatibili
Redazione del documento strategico
Adozione e messa in pratica delle policy
Individuazione delle priorità
Stesura dei documenti operativi
Stesura delle procedure destinate alle diverse figure aziendali
Implementazione delle misure di prevenzione fisiche
Il business Continuity Plan
Le premesse alla redazione del piano: gli obiettivi
Individuzaione dello staff destinato al mantenimento ed esecuzione del piano.
Individuzaione delle situazione che portano all’attivazione di tutto o parte del piano.
Le procedure che definiscono le attività da compiere qualora un incidente comprometta le operazioni dell’attività aziendale,
Le procedure di emergenza, per trasferire le attività essenziali in sedi temporanee al fine di non compromettere la continuità dell’attività aziendale; e quelle per ripristinare la normale attività aziendale entro i tempi previsti,
Il programma di verifica e manutenzione del piano stesso,
Le attività di sensibilizzazione e formazione del personale in merito al Business Continuity Plan,
Le responsabilità specifiche in capo ai diversi soggetti coinvolti nel Business Continuity Plan.