Continua evoluzione degli standard di Sicurezza e della Continuità dei Servizi
Attilio RampazzoVice Presidente Comitato AICQ “Qualità del Software e dei Servizi IT”
Consigliere AICQ Triveneta
SESSIONE DI STUDIO AIEASEC SERVIZI - Sala ConvegniPadova – 13 Novembre 2008
Che cos'è l'Associazione Italiana per la Qualità
L'Associazione Italiana per la Qualità (AICQ) è un'associazione, senza fini di lucro, che si propone di diffondere in Italia la cultura della Qualità e i metodi per pianificare, costruire, controllare e certificare i Sistemi di Gestione.Costituita a Milano l'11 maggio 1955, l'AICQ è dal 10 gennaio 1982, una Federazione di Associazioni per la Qualità: è strutturata su una Federazione Nazionale e su 8 Associazioni Territoriali Aderenti.
Tra queste, AICQ Triveneta è una delle più grandi.
L'AICQ è "Full Member" della European Organization for Quality (EOQ)
L'AICQ è altresì Federata della Federmanagement - Federazione delle Associazioni di Management e della FAST - Federazione Associazioni Tecniche
Scientifiche.
AICQ – Associazione Italiana Cultura Qualità
Comitato per la Qualità del Software e dei Servizi IT
Il Comitato si prefigge lo scopo di promuovere, coordinare e favorire in Italia, su tutto il territorio nazionale, l’analisi, lo studio, lo sviluppo, l’applicazione e la diffusione delle metodologie per la Qualità del Software e dei Servizi informatici in tutte le fasi del loro ciclo di vita. Si prefigge inoltre di studiare le normative cogenti o volontarie, di diffondere la loro corretta interpretazione e di suggerire coerenti metodologie applicative.A tal fine si prefigge di realizzare le necessarie sinergie con le Organizzazioni operanti nel Settore dell’ICT (Information & Communication Technology), coinvolgendole nella vita del Comitato.Si prefigge altresì lo studio e l’approfondimento di modelli avanzati per la qualità, relativi all’ICT.
AICQ – Associazione Italiana Cultura Qualità
Continua evoluzione degli standard di Sicurezza
e della Continuità dei Servizi
Security
Best Practice
Standards Risk Manag.
Governace
B C M
L’IT aziendale si trova sempre più a dover affrontare sfide complesse, gestendo tecnologie in continua evoluzione con budget talvolta limitati e comunque sempre sotto osservazione.Il management è chiamato ad allineare i servizi erogati dalla funzione ICT alle esigenze di Business, gestendo tutti i rischi correlati, dimostrando il valore delle attività/progetti svolti ed erogando il tutto a costi contenuti.
In questo contesto diventano importanti gli standard relativi alla Sicurezza e alla Continuità Operativa.
I bivi della Governance ICT
Governance
Company Codes of Practice
Private Standard
Publicly Available Specification
National Standard
European Standard
ISO
Norme / Standard
Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998:"norma“ o “standard” è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa per applicazione ripetuta o continua, la cui osservanza non sia obbligatoria e che appartenga ad una delle seguenti categorie:
• norma internazionale (ISO) • norma europea (EN) • norma nazionale
Le norme, quindi, sono documenti che definiscono le caratteristiche (dimensionali, prestazionali, ambientali, di sicurezza, di organizzazione ecc.) di un prodotto, processo o servizio, secondo lo stato dell'arte e sono il risultato del lavoro di decine di migliaia di esperti.
L’attività di normazione consiste nell’elaborare - attraverso la partecipazione volontaria, la consensualità e procedure di trasparenza - documenti tecnici che, pur essendo di applicazione volontaria, forniscano riferimenti certi agli operatori e possano pertanto avere una chiara rilevanza.
(dal sito www.uni.com)
ISO/IEC JTC1/SC27
Information Technology – Security Techniques
JTC1
SC27
WG1ISMS Standard
WG2Crypthography
WG3Security Evaluation
Criteria
WG4Security Controls &
Services
WG5Privacy, Biometric,
IAM
La Sicurezza delle Informazioni è frutto del lavoro del Comitato ISO/IEC JTC 1/SC27 WG1
ISO 27000Vocabolario
ISO 27001SGSI Requisiti
ISO 27002SGSI Best practice
ISO 27004SGSI
Misurazioni
ISO 27003SGSI Guida
Implementazione
ISO 27005Gestione del
Rischio
ISO 27006
SGSI RequisitiEnti Certificazione
ISO 27007Guida Audit
ISO 27000 family – Sistemi di Gestione della Sicurezza delle Informazioni
Norme pubblicateNorme pubblicateNorme in pubblicazione
Norme in sviluppo
ISO 27000 family – Sistemi di Gestione della Sicurezza delle Informazioni
UNI CEI ISO/IEC 27001:2006
Da ottobre 2007 la norma ISO/IEC 27001 è disponibile in lingua italiana
La traduzione è stata curata da UNINFO (ente di normazione sulle tecnologie
informatiche) federato all’UNI
Certificazioni Sistemi di Gestione della Sicurezza delle Informazioni
Fonte www.iso27001certificates.comagg. Vers. 185 october 2008
Nel mondo sono state emesse
4848 certificazioni ISMS
55DNV34IMQ13CERTIQUALITY
Totale certificati 2124CERMET5 LLOYD’s13RINA
88TUVUNI EN ISO/IEC 27001:2006
Organismo di Certificazione
Fonte SINCERT al 30.09.2008
Certificazioni SGSI in Italia sotto accreditamento SINCERT
Ulteriori 7 aziende (11 site) sono certificate da B.S.I.sotto accreditamento UKAS
A queste norme della famiglia se ne aggiunge una nutrita schiera composta da linee guida per l’implementazione dei Sistemi di Gestione della Sicurezza delle Informazioni espressamente sviluppate per specifici settori di interesse.
Tale gruppo collocherà la sua numerazione tra la ISO 27010 e la ISO 27020.
Attualmente è inoltre allo studio l’uso della numerazione tra la ISO 27021 e laISO 27040 per altri standard legati alla sicurezza delle informazioni ma non facenti strettamente parte del gruppo “S.G.S.I.”, alcuni dei quali sono già esistenti (IDS, Incident Management, Cybersecurity, Disaster Recovery, …).
ISO 27000 family – Sistemi di Gestione della Sicurezza delle Informazioni
Standard pubblicati nel primo semestre 2008
ISO/IEC 27005
Information Security RiskManagement
ISO/IEC 24762
Guidelines for information and communications technology disasterrecovery services
ISO27999
Information Security management in health using ISO/IEC 27002
ISO 27999 Information Security Management in health using ISO/IEC 27002
In data 01-07-2008 è stata pubblicata la norma ISO 27799 – Health informatics -Information security management in health using ISO/IEC 27002curata dal comitato tecnico ISO / TC 215 WG4.
L’ISO 27799:2008 definisce le linee guida per supportare l'interpretazione e l'attuazione in materia di informatica sanitaria della norma ISO 27002.
L’ ISO 27799:2008 specifica una serie di controlli dettagliati per la gestione della sicurezza delle informazioni sanitarie. Fornisce gli orientamenti sulle migliori pratiche di sicurezza per le informazioni sanitarie. Copre in particolare le esigenze di gestione della sicurezza in questo settore, per quanto riguarda la particolare natura dei dati trattati. L’implementazione della norma da parte di organizzazioni di assistenza sanitaria ed altri detentori di informazioni sanitarie sarà in grado di garantire un livello adeguato minimo di sicurezza richiesto per mantenere la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie personali.
L’ ISO 27799:2008 si applica alle informazioni sanitarie in tutti gli aspetti: qualsiasi forma prendano (parole e numeri, registrazioni audio, disegni, video e immagini mediche), indipendentemente dal mezzo utilizzato per la memorizzazione (stampa o scrittura su supporto cartaceo o elettronico) ed indipendentemente dal mezzo utilizzato per trasmetterle (a mano, via fax, e-mail o per posta ordinaria, … ), e come devono essere sempre adeguatamente protette.
ISO 27999 Information Security Management in health using ISO/IEC 27002
contenuti
The Information Security Management System
15
La ISO/IEC 24762:2008 fornisce le linee guida per il Servizio di Disaster Recoverycome parte dei servizi di continuità del business, applicabili sia all’interno dell’organizzazione sia in Outsourcing.
La Norma ISO/IEC 24762:2008 definisce:
• i requisiti per l’attuazione, l’esercizio, il controllo ed il mantenimento di servizi e strutture di Disaster Recovery;
• la capacità che i fornitori di Servizi di Disaster Recovery dovrebbero possedere e le metodologie che dovrebbero seguire in modo da facilitare le organizzazioni nello sforzo di Gestione della Business Continuity;
• la guida e la selezione del sito di Disaster Recovery;• la guida per migliorare continuamente i servizi di Disaster Recovery.
In data 01-02-2008 è stata pubblicata la Norma ISO/IEC 24762 – Guidelines forInformation and Communications Technology Disaster Recovery Services
ISO/IEC 24762 Guidelines for ICT Disaster Recovery Services
16
I 9 Capitoli che compongono la norma trattano:
1. Scopo2. Riferimenti Normativi3. Termini e Definizioni4. Termini abbreviati5. ICT Disaster Recovery6. ICT Disaster Recovery facilities7. Capability dei Servizi di Outsorcing8. Selezione del sito di Recovery9. Miglioramento Continuo
Appendice A: Corrispondenza tra la ISO IEC 24762 e la ISO/IEC 27002.
ISO/IEC 24762 Guidelines for ICT Disaster Recovery Services
6. ICT disaster recovery facilities
9. Continuous Improvement
8. Selection of recovery sites
7. Outsourcing service provider’s capability
5. ICT disaster recovery
ISO 24762:2008 ICT DR Services
ISO 27002:2005 Obiettivo di controllo 14.1Aspetti di sicurezza delle informazioni per la gestione della continuità operativa
Contrastare interruzioni alle attività di business, proteggere i processi critici di business dagli effetti diavarie considerevoli dei sistemi informativi o disastri e garantire il loro tempestivo ripristino.
ISO/IEC 24762 Guidelines for ICT Disaster Recovery Services
Corrispondenza tra la ISO IEC 24762 e la ISO/IEC 27002
BCMISO 27002ISO 27002
Control 14.1Control 14.1Information ContinuityInformation Continuity
ManagementManagement
ISO 24762ICT DR Services
Telecom
PowerSupply
DR siteAssetMgmt
FireProtection
VendorMgmt Logical
AccessControl
DR plan
PhysicalAccessControl
RiskMitigation
ISO 27005Risk Assessment
ICT Disaster Recoveryintegrato nella Gestione della
Business Continuity
ISO/IEC 24762 Guidelines for ICT Disaster Recovery Services
Gestione della Continuità dei Servizi e del Business
La Gestione della Continuità Operativa o Continuità dei Servizi meglio conosciuta come Business Continuity si trova a ricoprire ormai un ruolo importante nel mondo della Governance.
La garanzia della continuità operativa e la capacità di rispondere in modo adeguato a situazioni di disastro sono due elementi vitali per le aziende.
Il nostro secolo, appena iniziato, con nuove minacce (terrorismo, fenomeni naturali di elevato livello, epidemie, … ) ha visto gli enti normatori predisporre una serie di norme e framework in aiuto a chi vuole approcciare l’argomento in modo organico.
Fuoco
Black Out
Minacce alla Continuità dei Servizi o del Business
Terrorismo
Innondazioni
Uragani
Tsounami
Virus / Hacking
Pandemie
È ormai una consuetudine che le norme innovative arrivino dal British Standard Institute
l'ente normatore inglese, e forse quello più vicino alle esigenze del mercato ed ai lavori dei centri di competenza (in questo caso il BCI - Business Continuity Institute)
BS 25999 – Business Continuity Management
BS 25999 – Business Continuity Management
BS 25999 – “Business continuity is strategic and tactical capability of the organization to plan for and respond toincidents and business disruptions in order to continue business operations at an acceptabe pre-defined level”
BS 25999 – part 1 – Code of Practice for Business Continuity Management• Definisce i processi di BCM (Business Continuity Management), i principi e la terminologia (es. Incident
Management Plan, Business Continuity Plan
• Stabilisce i criteri condivisi per disegnare, sviluppare e realizzare la continuità operativa nell’ambito di un’organizzazione, al di là delle dimensioni e del settore di appartenenza
• Fornisce una metodologia completa basata sulle best practices di BCM e sull’intero ciclo di vita del BCM
• È basata sui processi di Business
BS 25999 – part 2 – Specification• Formalizza i requisiti (verificabili) per definire, realizzare, esercitare, monitorare/controllare, mantenere nel
tempo e adattare un sistema documentato per la BC (Business Continuity Management System) nell’ambito dei rischi in cui un’organizzazione può incorrere
• Formalizza i requisiti per definire e implementare i controlli di continuità operativa adattati alle necessità di una singola organizzazione
• È auditabile, ossia prevede registrazioni, audit interni e audit di terze parti
BS 25999 – part 1 – Code of Practice for Business Continuity Management
GestioneBusiness
Continuity
Conoscere l’Organizzazione
Determinare la Strategia
della Gestione della Business Continuity
Mettere in pratica,
mantenere e revisionare
Sviluppare e implementare
la Gestione della Business Continuity
Il ciclo di vita della BCM comprende sei elementi:
• Programma della Gestione della Business Continuity
• Comprendere l’attività / analizzare l’organizzazione
• Determinare la strategia della Gestione della Business Continuity
• Sviluppare e implementare la Gestione della Business Continuity
• Mettere in pratica, mantenere e revisionare la Gestione della Business Continuity
• Incorporare la Gestione della Business Continuity nella cultura dell’organizzazione
BS 25999 – part 2 – Specification
BusinessContinuity
gestita
Part
i in
tere
ssat
e
Requisiti e aspettative
per la BusinessContinuity
Part
i in
tere
ssat
eStabilire Il BCMS
Monitorare e riesaminare il
BCMS
Attuare e condurre il BCMS
Mantenere attivo, aggiornato e
migliorare il BCMS
PLAN
CHECK
DO ACT
BusinessContinuity
gestita
Continuo miglioramento del sistema di gestione della Business Continuity (BCMS)
Lo standard BS 25999-2 adotta il ciclo PDCA o ciclo di Deming come modello di riferimento per la descrizione dei processi e dei requisiti dello standard.
BS 25999 – part 2 – Specification
Mantenere attivo, aggiornato e migliorato il BCMS intraprendendo azioni correttive e preventive, basate sui risultati delle verifiche/riesame e sulla rivalutazione del campo di applicazione, della politica e degli obiettivi del BCMS
ACTMantenere attivo, aggiornato e migliorare il BCMS
Valutare e, ove applicabile, misurare le prestazioni a fronte della politica della Business Continuity, degli obiettivi e delle esperienze pratiche, quindi riportare i risultati alla direzione ai fini del riesame e del miglioramento
CHECKMonitorare e riesaminare il BCMS
Attuare e rendere operativa la politica della Business Continuity, I controlli, I processi e le procedure
DOAttuare/condurre il BCMS
Stabilire la politica di Business Continuity, gli obiettivi, i controlli, i processi e le procedure pertinenti per gestire i rischi e migliorare la Business Continuity al fine di produrre risultati conformi alle politiche e agli obiettivi generali dell’organizzazione
PLANPianificare il BCMS
Pianificare il Sistema di Gestione della
Business Continuity
3
Implementare e gestire il Sistema di Gestione
della Business Continuity
4
Monitorare e revisionare il Sistema
di Gestione della Business Continuity
5
Mantenere e migliorare il Sistema
di Gestione della Business Continuity
6
PLANPLAN DODO CHECKCHECK ACTACT
I requisiti applicativi della BS 25999-2:• cap. 3 contiene la fase di pianificazione del BCMS (PLAN)• cap. 4 contiene la fase di attuazione e funzionamento del BCMS (DO)• cap. 5 contiene la fase di monitoraggio e riesame del BCMS (CHECK)• cap. 6 contiene la fase del mantenimento e miglioramento del BCMS (ACT)
Certificazioni Sistemi di Gestione della Business Continuity
Le attuali certificazioni sono rilasciate da BSI sotto accreditamento UKAS
Fonte : The British Standard Institution 31/10/2008
Certificate
25 aziende(43 site)
N° aziendeNazione
1Spain
1Netherlands
1Italy
1Brasil
2USA
2Taiwan
2South Korea
2Japan
2India
11UK United Kingdom
In Italia il primo certificato BS 25999-2 è stato rilasciato a ICCREA da BSI Italia
BS 25777 – Code of Practice for Information and Communications TechnologyContinuity
in pubblicazioneA fine settembre 2008 BSI ha pubblicato la versione draft di una nuova norma con “consigli pratici per la continuità delle tecnologie dell'informazione e della comunicazione” per organizzazioni sia pubbliche che private.
La nuova proposta nasce dalla necessità di nuove specifiche di continuità per le organizzazioni con dipendenza dalle tecnologie dell'informazione e della comunicazione (ICT).La nuova BS 25777 che dovrebbe essere pubblicata entro l’anno 2008 mira a colmare questa lacuna individuata da BSI e sostituirà la PAS 77, che è stata pubblicata nel 2006 per fornire un orientamento sulla continuità IT.
BS 25777 – Code of Practice for Information and Communications TechnologyContinuity
• Programma della Gestione della ICT Continuity
• Comprendere i requisiti ICT per la Business Continuity
• Determinare la strategia della Gestione della ICT Continuity
• Sviluppare e implementare la Gestione della ICT Continuity
• Mettere in pratica, mantenere e revisionare la Gestione della ICT Continuity
• Incorporare la Gestione della ICT Continuity nella cultura dell’organizzazione
Il ciclo di vita della ICT Continuitycomprende i seguenti elementi:
AICQ Triveneta vi invita il 19 dicembre 2008 alle ore 14.30
per la presentazione del
Quaderno n. 28La Gestione della Continuità Operativa
la norma BS 25999 requisiti, interpretazione e applicabilità
che si terrà presso ilDipartimento di Informatica
Università Cà Foscari – Mestre
Grazie per l’attenzione
Attilio RampazzoVice Presidente Comitato AICQ Qualità del Software dei Servizi IT
Valutatore Sistemi di Gestione della Sicurezza delle Informazioni R.G.V.I. (AICQ SICEV cert.n.3)
IT Senior Consultant – IT Security Consultant
