| |
| |
 |
 ISO
17799 (BS 7799) - Standard per la sicurezza informatica.
L' ISO 17799 e' la norma piu' ampiamente
riconosciuta di sicurezza per l'informazione tecnologica.
E' basata sulla BS7799 della quale, nel mese di maggio 1999,
e' stata pubblicata un'edizione che in se ha incluso aggiunte
e miglioramenti sulle versioni precedenti. La prima versione
dell'ISO 17799 e' stata pubblicata nel mese di dicembre
del 2000.
ISO17799 e' comprensiva all'interno delle sue parti, di
un numero notevole di requisiti di controllo, alcuni dei
quali estremamente complessi. La conformità all'ISO 17799,
e' lunga dall'essere un iter semplice ed insignificante,
cosa che invece crede la maggior parte delle organizzazioni.
C'e' da segnalare che ancora non e' presente la versione
tradotta in italiano, per cui faremo riferimento alla terminologia
originale in inglese.
Il suggerimento verso le aziende e' quello di avvicinarsi
allo standard "step to step", ossia un passo alla
volta, con una prosecuzione delle fasi che avvenga per gradi.
Il punto di partenza migliore e' spesso una valutazione
dell'attuale posizione aziendale, seguita dalla identificazione
dei punti critici e/o cambiamenti che sono necessari per
ISO 17799. Da questo punto si può partire con la pianificazione
ed implementazione.
E' nostro intento fornire alcune utili informazioni che
potrebbero essere utilizzate come guida per migliorare l'approccio
alla certificazione di sicurezza secondo questo standard
di riferimento.
Che cosa e' ISO 17799?
ISO 17799, e' una norma completa di standardizzazione per
la sicurezza. E' organizzata in dieci sezioni importanti,
ogni sezione è dedicata ad una parte specifica.
1. Business Continuity Planning
Per neutralizzare le interruzioni alle attività economiche
ed ai processi critici degli affari, dagli effetti dei guasti.
2. System Access Control
Il controllo dell'accesso al sistema e l'obiettivo di questa
sezione:
a) per controllare l'accesso alle informazioni;
b) per impedire l'accesso non autorizzato ai sistemi d'informazione;
c) per accertare la protezione dei servizi in rete;
d) per impedire l'accesso non autorizzato nel calcolatore;
e) per rilevare le attività non autorizzate;
f) per accertarsi sulla sicurezza delle informazioni quando
sono utilizzate le postazioni mobili rete e tele rete.
3. System Development and Maintenance
Gli obiettivi di questa sezione sono:
a) accertare che la sicurezza sia stata costruita all'interno
delle operazioni di sistema;
b) per impedire la perdita,la modifica o il cattivo utilizzo
dei dati dell'utente all'interno dei sistemi di applicazione;
c) per proteggere riservatezza, autenticità e l'integrità
delle informazioni;
d) per accertarsi che le attività di progetto e supporto
alle attività siano condotte in modo sicuro;
e) per mantenere la sicurezza del software e dei dati di
sistema.
4. Physical and Environmental Security
In questa sezione gli obiettivi sono:
a) impedire l'accesso, il danneggiamento e l'interferenza
dei no autorizzati all'interno del flusso delle informazioni
del business;
b) impedire perdita, danni o l'assetto del sistema e la
interruzione delle attività economiche;
c) impedire la manomissione o il furto delle informazioni.
5. Compliance
Gli obiettivi di questa sezione sono:
a) evitare il non rispetto delle leggi civili, penali e
di qualsiasi requisito di sicurezza;
b) per elevare l'efficacia e minimizzare l'interferenza
da/per il processo di verifica del sistema.
6. Personnel Security
Gli obiettivi di questa sezione sono:
a) Ridurre i rischi di errore, di furto, di frode o di abuso
da parte degli operatori;
b) accertarsi che gli utenti siano informati delle possibili
minacce e preoccupazioni sulla sicurezza delle informazioni
e siano dotati a sostenere la politica della società sulla
sicurezza nel corso del loro lavoro normale;
c) per minimizzare i danni dagli avvenimenti e dalle disfunzioni
di sicurezza ed imparare da tali avvenimenti.
7. Security Organisation
Gli obiettivi di questa sezione sono:
a) controllare la sicurezza delle informazioni in seno all'azienda;
b) mantenere la sicurezza e la facilità dei processi organizzativi
delle informazioni anche quando accedono le terze parti;
c) monitorare la sicurezza delle informazioni quando la
responsabilità dell'elaborazione dell'informazione e' stata
conferita in outsource.
8. Computer & Network Management
Gli obiettivi di questa sezione sono:
a) accertarsi del corretto funzionamento e facilità di elaborazione
dell'informazione;
b)minimizzare il rischio di guasti dei sistemi;
c) proteggere l'integrità dei software e delle informazioni;
d) mantenere l'integrità e la validità dei processi di elaborazione
dell'informazione e della comunicazione;
e) garantire la salvaguardia delle informazioni in rete
e la protezione delle infrastrutture a supporto;
f) prevenire danni ai beni e le interruzioni alle attività
economiche;
g) impedire perdita, modifica o abuso delle informazioni
scambiate fra le organizzazioni.
9. Asset Classification and Control
L'obiettivo di questa sezione e' di mantenere la protezione
dell'assetto organizzativo e garantire che l'assetto delle
informazioni riceva un appropriato livello di protezione.
10. Security Policy
L'obiettivo e' quello di fornire le direttive di gestione
ed il supporto per le informazioni di sicurezza. |
|
|
|
|
|
|
