> > > SEC111 Contenuti dettagliati

L'organizzazione della Sicurezza delle informazioni (SEC111)

Contenuti dettagliati del Corso

Basi dell’Information Security management

  • Integrità
  • Riservatezza
  • Disponibilità

Panoramica legislativa e regolamentare

  • Dlgs 196/2003 testo unico privacy
  • Legge 231/2001 responsabilità amministrativa aziende
  • Legge 633/1941 tutela diritti d’autore
  • Legge 547/1993 criminalità informatica
  • Legge 300/1970 Statuto dei lavoratori
  • Dlgs 70/2003 commercio e pagamenti elettronici
  • Firma elettronica decreti e regolamenti
  • Direttive comunitarie
  • Legislazione statunitense
  • Sarabanes-Oxley trasparenza finanziaria
  • Gramm-Leach-Bliley Act 1999 sicurezza dati clienti per il sistema finanziario
  • Privacy Act 1974
  • Computer Security Act 1987
  • National Infrastructure Act 1996
  • Government Information Security Reform Act del 2001
  • HIPAA tutela dati personali sistema sanitario statunitense
  • CFR 21-11 sicurezza nell’industria farmaceutica statunitense
  • Leggi penali contro la criminalità informatica in Europa e nel mondo
  • Basilea 2 rischio operativo per il sistema finanziario internazionale
  • E-Gov e sicurezza nelle PA

Gli standard della sicurezza informatica

  • ISO 20000 IT Service Management (ISO/IEC 20000:2005) e ITIL (Information technology Infrastructure Library)
  • ISO 27000:2 Information technology. Code of practice for information security management
  • ISO/IEC TR 13335 Information technology Guidelines for the management of IT Security
  • GMP e PIC/S e metodologie per l’industria (Annex 11 sui sistemi informatici)
  • ISO/IEC IS 15408 Information technology (Security techniques and Evaluation criteria for IT security) noti come common criteria ITSEC
  • ISO TR 17944 -- Framework for Security in Financial Systems
  • ISO/IEC 18028-3:2005 Information technology -- Security techniques -- IT network security -- Part 3: Securing communications between networks using security gateways
  • ISO/IEC 18028-4:2005 Information technology -- Security techniques -- IT network security -- Part 4: Securing remote access
  • ISO/IEC TR 18044:2004 Information technology -- Security techniques -- Information security incident management

La raccolta e l’analisi delle informazioni

  • Verifiche e sopralluoghi
  • Le interviste conoscitive
  • Il documento riepilogativo

L’analisi del rischio

  • In cosa consiste l’analisi dei rischi
  • Caratteristiche della metodologia
  • I concetti essenziali
  • Evento
  • Vulnerabilità
  • Minaccia
  • Valore
  • Entità del rischio
  • Impatto
  • Le relazioni tra i diversi fattori
  • Le metodologie più diffuse
  • Personalizzare il metodo o accettarlo
  • La raccolta delle informazioni
  • Le interviste conoscitive
  • La ricostruzione di uno storico
  • L’organizzazione dei dati
  • Valutazione dei risultati
  • Definizione del livello di accettabilità del rischio
  • Definizione delle strategie di contrasto (accettare, trasferire, contrastare)
  • Definizione delle priorità e dell’allocazione delle risorse

Definizione delle policy

  • Valutazione dell’impatto sull’azienda
  • Valutazione delle resistenze interne e tecnologiche
  • Definizione e scelta dell’organizzazione e delle procedure compatibili
  • Redazione del documento strategico

Adozione e messa in pratica delle policy

  • Individuazione delle priorità
  • Stesura dei documenti operativi
  • Stesura delle procedure destinate alle diverse figure aziendali
  • Implementazione delle misure di prevenzione fisiche

Il business Continuity Plan

  • Le premesse alla redazione del piano: gli obiettivi
  • Individuzaione dello staff destinato al mantenimento ed esecuzione del piano.
  • Individuzaione delle situazione che portano all’attivazione di tutto o parte del piano.
  • Le procedure che definiscono le attività da compiere qualora un incidente comprometta le operazioni dell’attività aziendale,
  • Le procedure di emergenza, per trasferire le attività essenziali in sedi temporanee al fine di non compromettere la continuità dell’attività aziendale; e quelle per ripristinare la normale attività aziendale entro i tempi previsti,
  • Il programma di verifica e manutenzione del piano stesso,
  • Le attività di sensibilizzazione e formazione del personale in merito al Business Continuity Plan,
  • Le responsabilità specifiche in capo ai diversi soggetti coinvolti nel Business Continuity Plan.