Sistemi di Gestione della Sicurezza delle
Informazioni (ISO 27001 / ISO 17799)
Cos’è il SGSI
L’esigenza di implementare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS - Information Security Management System) è sempre più avvertita in ambito aziendale, in quanto vi è la consapevolezza dell’aumento dei rischi che derivano dal fatto che la tecnologia dell’informazione è più che mai il pilastro dei processi produttivi aziendali.
Tre sono gli aspetti che devono essere focalizzati nello sviluppo di un SGSI:
-
RISERVATEZZA: le informazioni devono essere rese disponibili solo agli utenti autorizzati che ne necessitano per la loro operatività e l’accesso deve essere sottoposto a controllo. Le informazioni caratterizzate da un elevato livello di riservatezza devono essere protette, sia nel momento della trasmissione, mediante la crittografia, sia quando vengono archiviate, mediante crittografia o utilizzando un controllo degli accessi.
-
INTEGRITÀ: le informazioni devono essere gestite con modalità adeguate per impedirne manomissioni e/o modifiche non autorizzate. Soltanto il personale autorizzato può intervenire sulla configurazione di un sistema o sulle informazioni trasmesse attraverso reti aziendali o mediante internet. Un SGSI, al fine di garantire l’integrità delle informazioni, deve essere predisposto in modo che rimanga traccia di ogni eventuale modifica apportata – intenzionalmente o involontariamente – ai dati.
-
DISPONIBILITÀ: le informazioni devono essere sempre disponibili agli utenti autorizzati. Il sistema informatico può essere compromesso - in toto o parzialmente – da attacchi nei confronti dei quali possono essere adottate contromisure automatizzate, quali l’autenticazione e la crittografia, o particolari azioni fisiche, anche a carattere preventivo.
Gli standard di riferimento
I riferimenti per implementare un SGSI sono i seguenti:
- ISO/IEC 17799: 2005: è la linea guida forse più famosa sull’argomento, anche perché strettamente legata alla ex BS 7799, attraverso la cui seconda parte, ora ISO 27001:2005
- ISO/IEC 27001: 2005: riporta i requisiti attraverso cui le aziende – anche italiane -
possono certificare il SGSI. Questa norma è correlata con la 17799, infatti la
27001 riporta nell'Allegato A i 134 controlli indicati nell' ISO 17799:2005;
essi saranno utilizzati nello Statement of Applicability per descrivere le
decisioni prese in merito al trattamento del rischio.
ISO/IEC TR 13335-1: 1996 Information technology - Guidelines for the management of IT Security (GMITS) è una linea guida per la gestione della sicurezza nel settore informatico. - ITSEC: stabilisce dei livelli di sicurezza e le relative specifiche a cui si possono conformare i programmi software ed i sistemi operativi.
- ISO/IEC 15408 (Common Criteria): i cosiddetti "Common Criteria", invece, sono stati recepiti dall'ISO nella ISO/IEC 15408: 99 Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model, Part 2: Security functional requirements, Part 3: Security assurance requirements.
È disponibile sul Web anche il documento Usernet Whitepaper (Unione per la Sicurezza E la Riservatezza dei NETworks) che riporta una sintesi degli aspetti trattati nelle norme, anche nell'ottica del commercio elettronico.
La differenza di approccio sostanziale nei documenti sopraelencati è la seguente:
-
mentre gli standard ISO/IEC TR 13335 e ISO/IEC 17799 e 27001 presentano un approccio rivolto all'organizzazione ed ai processi,
-
gli standard ITSEC e ISO/IEC 15408 sono rivolti a strumenti e procedure per conseguire la sicurezza.
I requisiti cogenti nel campo dell'Information Technology sono in continua evoluzione e si sviluppano nell'ottica della regolamentazione del mercato e della tutela del consumatore e della privacy. Oltre a ciò va menzionata la legislazione vigente relativa alla firma digitale.