La cybersecurity nella fabbrica digitale le norme iso 27001
Download as PPTX, PDF0 likes324 views
Il documento tratta della norma ISO/IEC 27001 e della sua importanza nella cybersecurity per la fabbrica digitale, mettendo in evidenza le specifiche e l'evoluzione della norma. Viene sottolineata l'importanza della sicurezza delle informazioni, della gestione del rischio e della certificazione, nonché il contesto in cui tali norme vengono applicate. Sono inclusi dettagli riguardanti i relatori e le organizzazioni coinvolte nella diffusione e nell'implementazione di queste norme.
La cybersecurity nella fabbrica digitale le norme iso 27001
- 1. LA CYBERSECURITY NELLA FABBRICA DIGITALE LE NORME ISO 27001 Milano, 22 marzo 2018
- 2. Agenda e relatori 2 Introduzione su: UNINFO La norma ISO/IEC 27001
- 3. Relatore 3 Domenino «Mimmo» SQUILLACE Presidente di UNINFO Coordinatore dei Presidenti degli Enti Federati UNI Membro di Giunta Esecutiva UNI Rappresentante italiano in CEN/CENELEC BT WG «ICT Standardization Policy» Technical Relations Manager IBM Italia
- 4. Sicurezza di cosa? Intendiamoci ... 4 Sicurezza delle informazioni Preservazione della riservatezza, dell’integrità e della disponibilità delle informazioni Disponibilità Proprietà di essere accessibile e usabile a richiesta di un’entità autorizzata Integrità Proprietà relativa all’accuratezza e alla completezza Riservatezza Proprietà delle informazioni di non essere rese disponibili o divulgate a individui, entità o processi non autorizzati
- 5. Chi sviluppa le norme in Italia 5
- 6. Chi sviluppa le norme in Italia 6 CIG (Gas) CTI (Termotecnico) CUNA (Automobilistico) UNISIDER (Metallurgico) UNIPLAST (Materie plastiche) UNICHIM (Chimico) UNINFO (ICT)
- 7. Informatica Medica Ingegneria del SW Sicurezza informatica eBSF “Traffico” “MPEG” Automazione Ind. Tecnologie Additive APNR-ICT Blockchain Industria 4.0
- 8. UNI CT/510 “Sicurezza Informatica” 8 Norme del sottocomitato 27 di ISO/IEC JTC 1 (150+) • Sistemi di gestione per la sicurezza delle informazioni (27001, 27002) • Linee guida per i sistemi di gestione (2700X) • Linee guida di settore (2701X) • Linee guida per la sicurezza (2703X-2704X) • Certificazione della sicurezza dei prodotti (15408, 18045) • Autenticazione e biometria (2476X) • Protezione dei dati personali (291XX) • Crittografia (979X, 18033) • Modelli di maturità ICT (21827)
- 9. Agenda e relatori 9 Introduzione su: UNINFO La norma ISO/IEC 27001
- 10. Relatore 10 Luciano QUARTARONE Lead Auditor ISO/IEC 27001 Lead Implementer ISO/IEC 27001 Trainer certificato ISO/IEC 27001 LA & LI presso il PCI QSA, ITIL Membro del CT 510 di UNINFO "Sicurezza" Senior Information Security consultant at BL4CKSWAN S.r.l.
- 11. Si parla in genere di famiglia delle norme ISO 2700x intendendo un set ampio di standard, non tutti ugualmente certificabili. ISO/IEC 2700x 11 Fonte: ISO/IEC 27000:2018
- 12. Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). • Applicabile a realtà di ogni dimensione • Quasi 20 anni di esistenza sul mercato • Ambito definibile a piacimento • Approccio ciclico (PDCA) • Costituisce un framework completo • Dice cosa fare, non come farlo • Rivolto al miglioramento continuo • E’ un riferimento universale ISO/IEC 27001 12
- 13. Evoluzione della ISO/IEC 27001 13 1990 Code of best practices (pubblicato da un consorio di aziende) 1995 BS7799-1 Code of best practices 1998 BS7799-2 Schema di certificazione 2000 ISO 17799 Best Practices Code 2005 Nuova versione ISO 17799 Pubblicazione ISO/IEC 27001 2007 ISO/IEC 27006 Certification organization requirements 2008- 2012 Pubblicazione di vari standard ISO/IEC 2700x Revisione della ISO/IEC 27001 e ISO/IEC 27002 2013 Attuale edizione della ISO/IEC 27001 e ISO/IEC 27002
- 14. Diffusione della ISO/IEC 27001 in Italia 14 Fonte: Accredia, andamento delle aziende certificate 0 50 100 150 200 250 300 350 400 450 500 Jan-06 Jul-06 Jan-07 Jul-07 Jan-08 Jul-08 Jan-09 Jul-09 Jan-10 Jul-10 Jan-11 Jul-11 Jan-12 Jul-12 Jan-13 Jul-13 Jan-14 Jul-14 Jan-15 Jul-15 Jan-16 475
- 15. La norma è strutturata in due «macro aree» • «Parte Alta» – Specifica i requisiti per il SGSI (clausole da 4 a 10) – I requisiti sono scritti usando l’imperativo (SHALL) • «Parte Bassa» – L’annex A riporta un insieme di controlli di sicurezza (114), organizzati in 35 obiettivi di controllo a loro volta raggruppati in 14 clausole ISO/IEC 27001 15
- 16. PDCA e ISO/IEC 27001 16 Plan Do Check Act 4 contesto 5 leadership 6 pianificazione 7 supporto 8 attività operative 9 valutazione prestazioni 10 miglioramento Appendice A
- 17. Relazioni con altri standard 17
- 18. Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla sicurezza delle informazioni, così specificato genericamente nella ISO 31000: Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può essere considerata come un esteso catalogo. Analisi del rischio secondo ISO/IEC 27001:2013 18 Definizione del contesto Valutazione del rischio Trattamento del rischio
- 20. E’ possibile, ma assolutamente non obbligatorio, raggiungere una certificazione di terza parte una volta che si è adottata la norma. La certificazione, oltre a essere utile per partecipare a gare, permette un ritorno d’immagine per gli investimenti effettuati. Certificazione di un SGSI 20
- 21. Certificazione di un SGSI 21 Check ActPlan Do 1° Anno 2° Anno 3° Anno Audit di Certificazione Audit di Mantenimento Check ActPlan DoCheck ActPlan DoCheck ActPlan Do Impostazione Audit di Mantenimento Audit di Certificazione
- 22. 22
- 23. 23 Contatti e ringraziamenti UNINFO http://www.uninfo.it/ [email protected] Via Sanfront 1/C - 10123 Torino Tel. +39 011501027 Relatori: Domenico SQUILLACE [email protected] [email protected] Luciano QUARTARONE [email protected] https://www.facebook.com/UNINFO.it https://twitter.com/uninfo_it http://www.slideshare.net/uninfoit