Standard di sicurezza informatica

Da Wikipedia, l'enciclopedia libera.

Gli standard di sicurezza informatica sono metodologie che permettono alle organizzazioni di attuare tecniche di sicurezza finalizzate a minimizzare la quantità e la pericolosità delle minacce alla sicurezza informatica. Le guide contenute nei documenti che descrivono questi standard offrono indicazioni generali e misure tecniche di dettaglio, che, se bene applicate, possono contribuire a mettere in opera un sistema di sicurezza informatica efficace. Nel caso di certi standard è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla. Tra i vantaggi derivanti dal possesso di una certificazione si può ricordare la maggiore facilità nell'ottenimento di una assicurazione sulla sicurezza informatica.

Storia[modifica | modifica sorgente]

Gli standard di sicurezza informatica sono una recente invenzione perché oggi informazioni sensibili sono spesso memorizzate su computer che sono collegati a Internet. Inoltre molte attività che prima erano condotte manualmente oggi sono svolte dai computer e perciò c'è maggiore bisogno di affidabilità e sicurezza dei sistemi informatici. La sicurezza informatica è importante anche per gli individui che devono proteggersi dal cosiddetto furto di identità. Le aziende hanno bisogno di sicurezza perché devono proteggere i loro segreti industriali e le informazioni sui dati personali dei clienti. Il governo inoltre ha la necessità di assicurare le sue informazioni. Questo crea particolari critiche poiché alcuni atti di terrorismo sono organizzati e facilitati usando Internet.

Uno degli standard di sicurezza più ampiamente usati oggi è l'ISO 27002 del 2007. Questo standard deriva dallo standard BS 7799-1, pubblicato nel 1995 dal BSI (British Standards Institute) ed ora ritirato. Al BS 7799-1 si affiancava il BS 7799-2, ora a sua volta sostituito dall'ISO 27001. Quest'ultimo è la base per la certificazione, mentre l'ISO 27002 può essere inteso come un manuale pratico (Security Code of Practice), in quanto è privo di valore normativo. È quindi una delle svariate metodologie adottabili per soddisfare i requisiti della norma ISO 27001, anche se sicuramente quella più naturalmente compatibile.

Negli Stati Uniti il National Institute of Standards and Technology (NIST) ha pubblicato diversi documenti speciali per la sicurezza del cyberspazio. In particolare tre di questi: l'800-12 ("Computer Security Handbook"), l'800-14 ("Generally Accepted Principals and Practices for Securing Information Technology") e la 800-26 ("Security Self-Assessment Guide for Information Technology Systems").

ISO 27002:2007[modifica | modifica sorgente]

Lo standard ISO 27002 stabilisce che la sicurezza dell'informazione è caratterizzata da integrità, riservatezza e disponibilità. È stato emesso nel 2007, al termine di un lungo percorso di evoluzione iniziato con lo standard britannico BS7799 nel 1995, anche attraverso l'ISO/IEC 17799, ritirato in concomitanza con l'emissione del nuovo documento, meglio armonizzato con la serie ISO 27000 di standard sulla sicurezza delle informazioni.

Il documento è organizzato in 10 aree di controllo, ogni sezione è dedicata ad una parte specifica:

  • politiche di sicurezza (Security Policy):
    • forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza.
  • sicurezza organizzativa (Security Organization):
    • controllo della sicurezza delle informazioni in seno all'azienda;
    • mantenere la sicurezza e la facilità dei processi organizzativi delle informazioni anche quando accedono le terze parti;
    • monitorare la sicurezza delle informazioni quando la responsabilità dell'elaborazione dell'informazione è stata conferita in outsource.
  • controllo e classificazione dei beni (Asset Classification and Control):
    • mantenere la protezione dell'assetto organizzativo e garantire che l'assetto delle informazioni riceva un appropriato livello di protezione.
  • sicurezza del personale (Personnel Security):
    • Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori;
    • accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro normale;
    • per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti.
  • sicurezza fisica e ambientale (Physical and Environmental Security):
    • impedire l'accesso, il danneggiamento e l'interferenza dei non autorizzati all'interno del flusso delle informazioni del business;
    • impedire perdita, danni o l'assetto del sistema e la interruzione delle attività economiche;
    • impedire la manomissione o il furto delle informazioni.
  • gestione di comunicazioni e operazioni (Communications and Operations Management):
    • accertarsi del corretto funzionamento e facilità di elaborazione dell'informazione;
    • minimizzare il rischio di guasti dei sistemi;
    • proteggere l'integrità dei software e delle informazioni;
    • mantenere l'integrità e la validità dei processi di elaborazione dell'informazione e della comunicazione;
    • garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto;
    • prevenire danni ai beni e le interruzioni alle attività economiche;
    • impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni.
  • controllo di accesso (Access Control):
    • per controllare l'accesso alle informazioni;
    • per impedire l'accesso non autorizzato ai sistemi d'informazione;
    • per accertare la protezione dei servizi in rete;
    • per impedire l'accesso non autorizzato nel calcolatore;
    • per rilevare le attività non autorizzate;
    • per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili rete e tele rete.
  • sviluppo e manutenzione di sistemi (System Development and Maintenance):
    • accertare che la sicurezza sia stata costruita all'interno delle operazioni di sistema;
    • per impedire la perdita, la modifica o il cattivo utilizzo dei dati dell'utente all'interno dei sistemi di applicazione;
    • per proteggere riservatezza, autenticità e l'integrità delle informazioni;
    • per accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro; e) per mantenere la sicurezza del software e dei dati di sistema.
  • gestione continuità operativa (Business Continuity Management):
    • neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari, dagli effetti dei guasti.
  • adeguatezza (Compliance):
    • evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;
    • per elevare l'efficacia e minimizzare l'interferenza da/per il processo di verifica del sistema.

ISO 27001:2005[modifica | modifica sorgente]

Exquisite-kfind.png Per approfondire, vedi Standard_ISO_27001:2005.

Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (Information Security Management System - ISMS). Lo standard è stato creato e pubblicato nell'ottobre 2005 a fini certificativi, in modo da costituire, assieme alla sua linea guida ISO/IEC 17799:2005, un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione sostituisce la norma inglese BS 7799 - Information Security Management System ISMS, che sinora è stata la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni.

Standard of good practice[modifica | modifica sorgente]

Nel 1998, l'Information Security Forum (ISF) ha elaborato una lista completa delle migliori pratiche per la sicurezza delle informazioni. Queste sono state raccolte nel cosiddetto Standard of Good Practice (SoGP). Il ISF offre inoltre una valutazione per identificare gli ambienti del segno di riferimento e la conformità di misura al SoGP. Il SoGP è un ciclo biennale di revisione durante il quale le sezioni attuali sono modificate e le nuove sezioni sono aggiunte in accordo coi membri dell'ISF, nella ricerca di pratiche migliori. Originalmente il SoGP era un documento riservato e disponibile soltanto ai membri dell'ISF, ma lo stesso ISF ha, da allora, messo a disposizione il documento completo alla pubblica utilità senza nessun costo[1].

NERC[modifica | modifica sorgente]

Il North America Electric Reliability Council (NERC) ha creato molti standard. Quello maggiormente riconosciuto è il NERC 1300 che è una modifica/aggiornamento del NERC 1200. La versione più recente del NERC 1300 viene chiamata CIP-002-1 dal CIP-009-1 (dove CIP significa Critical Infrastructure Protection). Questi standard sono utilizzato per rendere sicuri dei sistemi elettrici molto grandi sebbene il NERC abbia creato standard anche in altre aree. Gli standard per i sistemi elettrici forniscono anche sicurezza nell'amministrazione di rete nonostante supportino ancora i processi industriali.

Il North America Electric Reliability Council ha creato molti standard. Il più conosciuto è NERC 1300 che è una modifica di NERC 1200. La più rencete versione di NERC 1300 è definita CIP-002/CIP-009. Questi standard sono usati per mettere in sicurezza grandi sistemi elettrici anche se il NERC ha creato standard in altre aree. Lo standard per i grandi sistemi elettrici tratta anche la sicurezza di rete informatica e supporta i processi di tipo best practice industriali.

NIST[modifica | modifica sorgente]

  1. La pubblicazione speciale 800-12 fornisce un'ampia panoramica sulla sicurezza informatica e le aree di controllo. Inoltre pone l'accento sull'importanza dei controlli di sicurezza e sul modo di implementarli. Inizialmente questo documento era indirizzato al governo federale, sebbene molte pratiche contenute in questo documento possano essere applicate anche nel settore privato. Nello specifico, era stato scritto per i responsabili, all'interno del governo federale, della gestione di sistemi sensibili. [2]
  2. La pubblicazione speciale 800-14 descrive i comuni principi di sicurezza utilizzati. Fornisce una descrizione di alto livello di ciò che dovrebbe essere implementato all'interno di una politica di sicurezza informatica. Descrive cosa può essere fatto per migliorare la sicurezza già esistente e come sviluppare nuove pratiche di sicurezza. In questo documento sono descritti otto principi e quattordici pratiche. [3]
  3. La pubblicazione speciale 800-26 fornisce dei consigli sulla gestione della sicurezza informatica. Questo documento pone enfasi sull'importanza dell'auto valutazione e sulla valutazione dei rischi. [4]

BSI IT Baseline Protection Manual[modifica | modifica sorgente]

Exquisite-kfind.png Per approfondire, vedi IT Baseline Protection Manual.

Il Manuale per la protezione di base IT (in inglese IT Baseline Protection Manual, in tedesco IT-Grundschutzhandbuch) dell'istituto federale Ufficio Federale per la sicurezza informatica della Repubblica tedesca permette di dare attuazione a una pianificazione della sicurezza IT in modo semplice ed economico.

ISO 15408[modifica | modifica sorgente]

Questo standard è stato sviluppato come test di verifica comune, viene definito in inglese Common Criteria. Dovrebbe permettere a molte e differenti applicazioni software di essere integrate e testate in modo sicuro. Questo standard non fornisce una lista di requisiti di sicurezza o funzionalità che il sistema deve possedere. Al contrario descrive solo un quadro concettuale al cui interno gli utilizzatori di un sistema informatico possono specificare i loro requisiti di sicurezza, i produttori possono implementare e pubblicizzare le caratteristiche dei loro sistemi e i laboratori di test possono valutare i sistemi per determinare se effettivamente soddisfano i requisiti dichiarati. In altri termini i Common Criteria assicurano che il processo di specificazione, implementazione e valutazione di un sistema rispetto alla sicurezza informatica venga condotto in una maniera rigorosa e standardizzata.

Note[modifica | modifica sorgente]

  1. ^ Information Security Forum : Download the ISF's 2007 Standard of Good Practice for Information Security
  2. ^ National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12.
  3. ^ Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)
  4. ^ Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).