• Chi Siamo

    Chi Siamo

    La G.E.N.I. S.r.l. è una società con sede a Palermo formata da professionisti, qualificati dal CEPAS, FITA CONFINDUSTRIA, ANGQ, BSI, EARA, RiNA Industry, AICQ.
  • I nostri clienti

    I nostri clienti

    I nostri clienti si collocano nel settore del commercio, della produzione e dei servizi, oltre che tra gli Enti della Pubblica Amministrazione
  • Risorse Aziendali

    Risorse Aziendali

    Con la G.E.N.I. Srl collaborano Ingegneri Gestionali, Ingegnere Ambientale, Ingegnere Meccanico, Ingegnere Elettronico, Ragioniere Commercialista, Revisore Contabile, Agente e Rappresentante di Commercio, Tecnico competente in Rilevazioni Ambientali.
  • 1
  • 2
  • 3

ISO 27001

Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (Information Security Management System - ISMS).

Caratteristiche:

Lo standard è stato creato e pubblicato nell'ottobre 2005 a fini certificativi , in modo da costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione ha sostituito la norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio), che fino ad allora rappresentava la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Il nuovo standard ha assorbito entrambe le parti: la linea guida è diventata ISO 17799:1 (Information Technology -Security Techniques - Code of practice for information security management), mentre la seconda parte, lo standard vero e proprio, è divenuto nell'ottobre 2005 ISO 27001:05. Volendo essere più precisi, ISO 177991 prescrive la conservazione e la difesa delle risorse informative di un'impresa; ISO 27001:05 è il documento normativo di certificazione al quale un'azienda deve fare riferimento.

 

Dal momento che l'informazione è un bene che aggiunge valore all' impresa , e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L'obiettivo del nuovo standard ISO 27001:2005 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell'azienda.

La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi.

L'impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 ed il Risk management , basandosi sull'approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell'ottica del miglioramento continuo.

Controlli:

Di fondamentale importanza è l'Annex A "Control objectives and controls" che contiene i 133 "controlli" a cui, l'organizzazione che intende applicare la norma , deve attenersi.

Essi vanno dalla politica e l'organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane , dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell' operativo , dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni).

La gestione della Business Continuity e il rispetto normativo , completano l'elenco degli obiettivi di controllo.

L'organizzazione deve motivare quali di questi controlli non sono applicabili all'interno del suo ISMS, per esempio un organizzazione che non attua al suo interno 'commercio elettronico' può dichiarare non applicabili i controlli 1-2-3 del A.10.9 che si riferiscono appunto all' e-commerce .

Privacy-Safety:

La conformità alla ISO27001, pur accreditata da un organismo autorizzato, non solleva l'organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla Privacy , il controllo A.15.1.4 richiede infatti che "La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali".

La differenza sostanziale tra legge sulla Privacy e la norma ISO27001 è che la legge sulla privacy tutela dati personali , sensibili, ... dei cittadini mentre la ISO27001 pur richiedendo che ciò sia fatto, s'interessa anche, se non principalmente, dei dati di business dell'organizzazione che devono essere salvaguardati per l'interesse stesso dell'organizzazione.

Il D.Lgs.81/2008 , che in Italia regolamenta la sicurezza sui luoghi di lavoro, viene in genere individuato tra quelle normative la cui osservanza deve essere esplicitamente definita e documentata, come previsto nel controllo A.15.1.1 che parla appunto della legislazione applicabile.

Vale la pena di ricordare, a mò di esempio, che un impianto anti-incendio posto a salvaguardia di un ambiente in cui sono installati dei server o dei client , che contengono informazioni incluse nel dominio di certificazione che soddisfi i requisiti di legge non è automaticamente ok per l'esigenze che esprime la norma ISO27001, che si preoccupa anche della 'salvezza' dei 'dati' contenuti nei server e nei client cosa non automaticamente garantita da un sistema anti-incendio conforme alle leggi dello stato.

ICT E DIRITTO

La sicurezza delle informazioni e le Norme ISO 27000

1. INTRODUZIONE

Il 5 aprile scorso è entrata in vigore la Legge 18 marzo 2008 n. 48, con la quale l’Italia ratifica la Convenzione del Consiglio d’Europa sulla criminalità informatica firmata a Budapest il 23 novembre 2001; tale accordo internazionale riguardante i crimini commessi attraverso internet o altre reti informatiche, rappresentò il primo tentativo di realizzare una politica comune fra gli Stati membri, attraverso l’adozione di una legislazione appropriata, che consenta di combattere il crimine informatico in maniera coordinata.

La legge citata introduce importanti modifiche al Codice penale, al Codice di procedura penale, al D.Lgs. 231/2001 sulla responsabilità amministrativa delle persone giuridiche e al D.Lgs. 196/2003 sul trattamento dei dati personali.

Si aggiunge così un nuovo tassello alla legislazione applicabile in materia di sicurezza delle informazioni già corposa ed articolata.

Il quadro normativo è in costante e rapida evoluzione, in funzione ovviamente della crescente importanza che il bene “informazione” sta assumendo non solo in ambito economico, ma anche in ambito sociale e politico.

Di conseguenza per le aziende, le pubbliche amministrazioni e gli enti “no profit” diventa sempre più complesso gestire in modo efficiente, efficace e soprattutto economico la crescente mole di informazioni in appropriata sicurezza e rispettando la normativa applicabile.

Termini come Information Security Compliance ma meglio Information Security Governance sono all’ordine del giorno.

L’International Organization for Standardization (ISO), sempre attenta alle evoluzioni, da alcuni anni ha costituito un gruppo che sta emanando una serie di norme nell’ambito della Sicurezza delle Informazioni che tendono ad aiutare le organizzazioni a ben cimentarsi nell’Information Security Governance e a migliorare la fiducia nelle relazioni tra azienda e azienda (B2B - Business to Business) o tra azienda e cliente (B2C - Business to Consumer).

Pertanto da alcuni anni sono aumentate in maniera significativa le disposizioni, seppur sempre volontarie, che prospettano una nuova visione di Gestione dell’Information Tecnology come elemento dominante del Business dell’organizzazione.

La capostipite di queste norme è la ISO/IEC 27001:2005 – Tecnologia delle informazioni -Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni - Requisiti.

2. ORIGINE ED EVOLUZIONE DELLA NORMA ISO/IEC 27001

La realizzazione della norma risale agli inizi degli anni ‘90 quando il Department of Trade and Industry (DTI) britannico istituì un gruppo di lavoro finalizzato a fornire alle aziende una guida per la gestione della sicurezza del loro patrimonio informativo.

Il gruppo pubblicò nel 1993 una raccolta di best practice (intitolata Code of practice for information security management) che costituì la base per lo standard vero e proprio pubblicato dal British Standard Institution (BSI) nel 1995. Questo standard, essendo opera del BSI, è stato identificato con la sigla BS 7799.

Nel 1998 fu aggiunta una seconda parte allo standard (intitolata Specification for information security mangement systems) che fu poi sottoposta a una revisione complessiva conclusasi con la pubblicazione, nell'aprile del 1999, di una nuova versione delle sue due parti.

Nel 1999 lo standard BS7799 viene sottoposto all’approvazione dell’ISO/IEC per farlo diventare standard internazionale.

La parte prima dello standard BS7799 diventa standard internazionale ISO/IEC 17799 alla fine del 2000.

La parte seconda viene sottoposta a nuova revisione nel 2002 al fine di armonizzarla rispetto agli altri Sistemi di Gestione certificati (ISO 9001, ISO 14001).

Nel frattempo, il 15 luglio 2005, la ISO/IEC 17799 viene aggiornata ed implementata mentre anche la seconda parte del BS7799 viene presa in considerazione dall’ISO.

Il 15 ottobre 2005 vede l’approvazione la ISO/IEC 27001 da alcune modifiche della BS 7799-2:2002 ed In luglio2007 la ISO 17799:2005 è stata rinumerata ISO 27002.

Si dà vita così a una nuova famiglia, la ISO 27000 series che tratterà tutti gli standard sulla Gestione dei Sistemi di Sicurezza delle Informazioni.

Lo standard ISO/IEC 27001 è entrato in vigore e pubblicato in Italia in data 28/03/2006 come UNI CEI ISO/IEC 27001:2006 Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni – Requisiti.

Nell’autunno 2007 l’UNI pubblica la versione in lingua italiana della norma curata da UNINFO, ente di formazione federato all’UNI che si interessa di tecnologie informatiche e loro applicazioni.

3. ISO/IEC 27001:2005 E ISO/IEC 27002:2005

La differenza tra le due norme è data dai differenti obiettivi.

La Norma ISO/IEC 27002 ha l’obiettivo di fornire delle regole di buon comportamento sulla gestione della sicurezza nell’organizzazione:

- usa sempre il verbo should (dovresti) e mai shall (devi) nel condurre un’azione per raggiungere la conformità al requisito normativo.

La ISO/IEC 27001, invece, ha l’obiettivo di specificare i requisiti per la realizzazione di un Sistema di Gestione della Sicurezza delle Informazioni:

- usa sempre il verbo shall (devi).

La ISO/IEC 27001:2005 è la norma utilizzata per certificare il Sistema della Sicurezza delle Informazioni (SGSI) degli Enti e delle aziende.

4. LA NORMA ISO/IEC 27001:2005

La Norma copre tutte le tipologie di Organizzazioni (imprese commerciali, agenzie governative, organizzazioni senza scopo di lucro).

Lo sviluppo di un Sistema di Gestione per la Sicurezza delle Informazioni secondo la ISO/IEC 27001 consente tra le altre cose di gestire al meglio i requisiti della normativa applicabile allo specifico caso aziendale, contribuendo a salvaguardare l'organizzazione stessa da eventuali conseguenze negative di carattere giuridico, economico e di immagine.

La ISO/IEC 27001 non pretende di essere il rimedio a tutti mali della Sicurezza delle Informazioni, ma costituisce il punto di partenza per impostare un efficace Sistema Organizzativo che comprenda tutti gli aspetti della Sicurezza e che si inserisca in un contesto di IT Governance.

Quando si parla di sicurezza delle informazioni si pensa subito alla sicurezza informatica: antivirus, firewall, backup, password ecc..

Si corre quindi il rischio di considerare la sicurezza delle informazioni, e le norme di riferimento quali la Norma ISO 27001, come un’attività tecnica, o come una norma “tecnica”, di esclusiva competenza degli “informatici”.

Contrariamente, invece, la Norma ISO/IEC 27001 propone un modello organizzativo, più che uno standard tecnico: _ Non “come” fare, ma “cosa” fare.

Per evitare pericolosi fraintendimenti, le caratteristiche in sintesi sono le seguenti:

- La ISO/IEC 27001 è uno standard gestionale (e non tecnico) nel campo del “management” e non dell’”ingegneria”. I sistemi di gestione della sicurezza delle informazioni considerano infatti, oltre agli aspetti informatici, anche (e soprattutto) gli aspetti inerenti la gestione delle risorse umane, la gestione dei processi organizzativi e la gestione degli spazi fisici. Paradossalmente un’organizzazione potrebbe essere dotata di sistemi informatici di ultima generazione, ma non aver sensibilizzato il proprio personale a non lasciare scritta sul post-it in bella vista la password di accesso ai sistemi oppure a non discutere per cellulare di argomenti delicati;

- La ISO/IEC 27001 riguarda la gestione in sicurezza di tutto il patrimonio informativo aziendale, indipendentemente dai supporti utilizzati per immagazzinare i documenti e i dati, supporti che possono essere elettronici ma anche cartacei;

- La ISO/IEC 27001 definisce la sicurezza delle informazioni in termini di preservazione di integrità, disponibilità e riservatezza delle stesse.

Ciò premesso, la ISO/IEC 27001 ha una struttura molto agile e gli aspetti “burocratici” di sistema sono ridotti al minimo.

La norma eredita i nove principi dell’OCSE [Organizzazione per la Cooperazione e lo Sviluppo Economico] ,emessi in occasione della sessione del Consiglio dell’OCSE del 25 luglio 2002, nei quali si afferma che:

- I Governi hanno il compito di diffondere la cultura della sicurezza;

- Tutti (anche gli utenti occasionali) devono contribuire all’attuazione ed alla gestione della sicurezza;

- Rispetto dei principi etici e democratici, libera circolazione delle informazioni, protezione adeguata dei dati personali, apertura e trasparenza.

[L'OCSE è stata istituita con la Convenzione sull'Organizzazione per la Cooperazione e lo Sviluppo Economico, firmata il 14 dicembre 1960, sostituendo l'OECE, creata nel 1948 per amministrare il cosiddetto "Piano Marshall" per la ricostruzione postbellica dell'economia europea. Ne fanno parte 30 Paesi (Australia, Austria, Belgio, Canada, Danimarca, Finlandia, Francia, Germania, Giappone, Gran Bretagna, Grecia, Irlanda, Islanda, Italia, Lussemburgo, Messico, Norvegia, Nuova Zelanda, Paesi Bassi, Polonia, Portogallo, Repubblica Ceca, Repubblica di Corea, Repubblica Slovacca, Spagna, Stati Uniti, Svezia, Svizzera, Turchia, Ungheria). L'OCSE mantiene stretti contatti con oltre 70 Paesi non membri, economie in via di sviluppo e in transizione (che possono partecipare come osservatori ai lavori dei Comitati o a determinati programmi dell'Organizzazione) e con le altre Organizzazioni Internazionali. L'OCSE, che ha sede a Parigi, è composta da un Segretariato strutturato in Direzioni Generali che corrispondono alle attività di oltre 200 tra Comitati, sotto-Comitati, Gruppi di lavoro e Gruppi di esperti. La sua funzione è principalmente di preparare il lavoro dell'Organizzazione, che viene essenzialmente svolto nei Comitati dai delegati nazionali e finalizzato nel Consiglio].

La ISO/IEC 27001 è strutturata microscopicamente in tre blocchi di requisiti:

- Fino al capitolo 3 - requisiti introduttivi e di spiegazione della norma (come quasi tutte le Norme ISO);

- Dal capitolo 4 al capitolo 8 - requisiti applicativi del SGSI;

- Appendici (o allegati) normativi e descrittivi a supporto di quanto citato nei capitoli precedenti.

I capitoli compongono la parte alta che contiene i requisiti che armonizzano la norma con gli altri schemi di certificazione (ISO9001, ISO14001 ) utilizzando il ciclo Plan-Do-Check-Act (o di Deming).

Gli appendici o allegati sono tre:

- L’Allegato A ricopre un ruolo fondamentale nelle fasi di implementazione operativa e audit;

- L’Allegato B(informativo) contiene integrazione dei principi OECD rispetto al modello PDCA;

- L’Allegato C indica la corrispondenza tra ISO 9001:2000, ISO 14001:2004 e questo standard.

Essenzialmente la Norma ISO 27001 prende in considerazione, oltre agli aspetti di sistema, i seguenti aspetti inerenti la Gestione della Sicurezza delle Informazioni:

- Identificazione del perimetro aziendale che il S.G.S.I. deve proteggere. Il perimetro può essere di natura fisica (per esempio, sito o siti aziendali), di natura organizzativa (per esempio, funzioni aziendali) o di natura logica (reti informatiche e sistemi informativi);

- Definizione di Politica e Obiettivi per la sicurezza delle informazioni, ovviamente in funzione della missione strategica aziendale e del relativo assetto organizzativo;

- Identificazione dei beni (per esempio, relativi a sistemi informativi, sistemi informatici, sistemi di comunicazione, archivi cartacei ecc.) entro i confini del perimetro da proteggere nonché valutazione del valore dei beni stessi per l’Azienda;

- Identificazione delle vulnerabilità inerenti i beni (per esempio, carenza di controlli, insufficiente formazione del personale, accessi fisici incustoditi, luoghi soggetti a incendi e inondazioni ecc.);

- Identificazione delle minacce che possono sfruttare le vulnerabilità (per esempio, furti, avarie, incendi, inondazioni, picchi o interruzioni di energia elettrica, errori umani, atti dolosi ecc.);

- Stima delle probabilità del verificarsi delle minacce individuate (eventi);

- Stima della gravità dell’impatto delle minacce sui beni in termini di integrità, disponibilità e riservatezza delle informazioni;

- Calcolo del rischio in funzione delle probabilità e degli impatti;

- Scelta di come affrontare il rischio calcolato. Si può scegliere di accettarlo consapevolmente, di evitarlo, di eluderlo mediante trasferimento a soggetti terzi, per esempio, con contratti di assicurazione, oppure di ridurlo mediante applicazione di opportuni controlli;

- Scelta ed attuazione dei controlli per diminuire il rischio. I controlli possono essere di natura organizzativa, fisica o logico-informatica.

L’allegato A della ISO/IEC 27001 si sviluppa in 11 sezioni (clausole,dominio aree di intervento), identificando per ciascuna gli obiettivi del controllo (in totale 39, ove il termine “controllo” va inteso in senso lato come “strumento di gestione”) e i controlli stessi da implementare (per un totale di 133).

Contatti

G.E.N.I. srl

Via Cav. di Vittorio Veneto, 45

90146 Palermo

+39 091 68894835

+39 347 5955507

info@genisrl.it

Lun-Ven: 9.30 - 18.00

Settori

Qualità

Ambiente

Sicurezza

Shipping

Agroalimentare

Certificazioni di prodotto

Adeguamenti alla normativa CE

About Us

La G.E.N.I. S.r.l. è una società con sede a Palermo formata da professionisti qualificati

La società esercita da diversi anni ed ha eseguito consulenze e progetti relative all'implementazione dei Sistemi Qualità, Ambiente, Sicurezza, progettazione Impianti Elettrici, Certificazione di Prodotti e Perizie Tecniche secondo le varie normative e leggi vigenti ( ISO 9000, ISO 14001, D.Lgs 81/08, legge 37/08 etc..)

Copyright © 2019 G.E.N.I. srl - All Rights Reserved