Iso 17799: Standard per la Sicurezza Informatica

ATTENZIONE: il 15 ottobre è stata pubblicata ufficialmente la ISO 27001 quindi la BS7799- 2:2002 non è più in vigore. Le aziende certificate BS7799 dovranno gradatamente convertire la loro certificazione (verrà definito a breve il periodo di transizione). A tal scopo a breve pubblicheremo il programma completamente rivisto delle nuove ISO 27001:2005 e ISO 17799:2005.

Iso 17799: Standard per la Sicurezza Informatica

L' ISO 17799 è la norma più ampiamente riconosciuta di sicurezza per l'informazione tecnologica. 

È basata sulla BS7799 della quale,  nel mese di maggio 1999, è stata pubblicata un'edizione che in se ha incluso aggiunte e miglioramenti sulle versioni precedenti. La prima versione dell'ISO 17799 è stata pubblicata nel mese di dicembre del 2000.

ISO17799 è comprensiva all'interno delle sue parti, di un numero notevole di requisiti di controllo, alcuni dei quali estremamente complessi. La conformità all'ISO 17799, è lungi dall'essere un iter semplice ed insignificante, cosa che invece crede la maggior parte delle organizzazioni. C'è da segnalare che ancora non è presente la versione tradotta in italiano, per cui faremo riferimento alla terminologia originale in inglese.

Il suggerimento verso le aziende è quello di avvicinarsi allo standard "step to step", ossia un passo alla volta, con una prosecuzione delle fasi che avvenga per gradi. Il punto di partenza migliore è spesso una valutazione dell'attuale posizione aziendale, seguita dalla identificazione dei punti critici e/o cambiamenti che sono necessari per ISO 17799. Da questo punto si può partire con la pianificazione ed implementazione.

E' nostro intento fornire alcune utili informazioni che potrebbero essere utilizzate come guida per migliorare l'approccio alla certificazione di sicurezza secondo questo standard di riferimento.  

 

Che cosa è  ISO 17799 ?

ISO 17799, è una norma completa di standardizzazione per la sicurezza. È organizzata in dieci sezioni importanti, ogni sezione è dedicata ad una parte specifica.

Per maggiori informazioni è possibile consultare il sito relativo alla norma ISO 19977

1. Business Continuity Planning

 

Per neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari, dagli effetti dei guasti. 

2. System Access Control


Il controllo dell'accesso al sistema e l'obiettivo di questa sezione: a) per controllare l'accesso alle informazioni; b) per impedire l'accesso non autorizzato ai sistemi d'informazione; c) per accertare la protezione dei servizi in rete; d) per impedire l'accesso non autorizzato nel calcolatore; e) per rilevare le attività non autorizzate; f) per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili rete e tele rete.

3. System Development and Maintenance

Gli obiettivi di questa sezione sono: a) accertare che la sicurezza sia stata costruita all'interno delle operazioni di sistema; b) per impedire la perdita,la modifica o il cattivo utilizzo dei dati dell'utente all'interno dei sistemi di applicazione; c) per proteggere riservatezza, autenticità e l'integrità delle informazioni; d) per accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro; e) per mantenere la sicurezza del software e dei dati di sistema.

4. Physical and Environmental Security

In questa sezione gli obiettivi sono: a) impedire l'accesso, il danneggiamento e l'interferenza dei no autorizzati all'interno del flusso delle informazioni del business; b) impedire perdita, danni o l'assetto del sistema e la interruzione delle attività economiche; c) impedire la manomissione o il furto delle informazioni.

5. Compliance

Gli obiettivi di questa sezione sono: a) evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza; b)  per elevare l'efficacia e minimizzare l'interferenza da/per il processo di verifica del sistema.

6. Personnel Security

Gli obiettivi di questa sezione sono: a) Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori; b) accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro normale; c) per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti.

7. Security Organisation

Gli obiettivi di questa sezione sono: a) controllare la sicurezza delle informazioni in seno all'azienda; b) mantenere la sicurezza e la facilità dei processi organizzativi delle informazioni anche quando accedono le terze parti; c) monitorare la sicurezza delle informazioni quando la responsabilità dell'elaborazione dell'informazione è stata conferita in outsource.

8. Computer & Network Management

Gli obiettivi di questa sezione sono: a) accertarsi del corretto funzionamento e facilità di elaborazione dell'informazione; b)minimizzare il rischio di guasti dei sistemi; c) proteggere l'integrità dei software e delle informazioni; d) mantenere l'integrità e la validità dei processi di elaborazione dell'informazione e della comunicazione; e)  garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto; f) prevenire danni ai beni e le interruzioni alle attività economiche; g) impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni.

9. Asset Classification and Control

L'obiettivo di questa sezione è di mantenere la protezione dell'assetto organizzativo e garantire che l'assetto delle informazioni riceva un appropriato livello di protezione.

10. Security Policy

L'obiettivo è quello di fornire le direttive di gestione ed il supporto per le informazioni di sicurezza.


 

Copyright (c) 2000-3000 by Ing. Eduardo Palena - Napolifirewall.com