Risk Management - sintesi requisiti ISO 27001

Page 1

ISO 27001 - RISK MANAGEMENT SINTESI REQUISITI NORMATIVI Roberto DE SORTIS roberto.desortis@bl4ckswan.com

30/10/2017

Versione 1

GESTIONE DEL RISCHIO REQUISITI NORMA ISO 27001 PIANIFICAZIONE

FASE DI VALUTAZIONE

I requisiti normativi relativi alla gestione del rischio sono specificati AL: • capitolo 6 Pianificazione e • capitolo 8 Attività Operative

FASE DI TRATTAMENTO

I processi di valutazione e trattamento de rischio relativo alla sicurezza delle informazioni riportati nella norma sono allineati con i principi e le linee guida generali fornite dalla: ISO 31000 – Risk Management Principles and Guidelines Nota: ISO 27005 rappresenta un framework derivato dalla ISO 31000 specificatamente applicato all’Information Security.

VALUTAZIONE PERIODICA

ATTIVITA’ OPERATIVE

© BL4CKSWAN S.r.l. – ISO 27001 REQUISITI RISK MANAGEMENT

TRATTAMENTO PERIODICO

OBIETTIVI DI SICUREZZA

PIANIFICAZIONE VALUTAZIONE DEL RISCHIO E OPPORTUNITA’ VALUTAZIONE – REQ 6.1.2 L’organizzazione deve definire e applicare un processo di valutazione del rischio relativo alla sicurezza delle informazioni che includa: a) Stabilisca e mantenga i criteri di rischio relativo alla sicurezza delle informazioni che includano: 1) I criteri per l’accettazione del rischio; e 2) I criteri per effettuare valutazione del rischio relativo alla sicurezza delle informazioni b) Assicuri che ripetute valutazioni del rischio relativo alla sicurezza delle informazioni producano risultati coerenti, validi e confrontabili tra loro; c) Identifichi i rischi relativi alla sicurezza delle informazioni 1) Applicando il processo di valutazione del rischio relativo alla sicurezza delle informazioni per identificare i rischi associati alla perdita di riservatezza, di integrità e di disponibilità delle informazioni incluse nel campo di applicazione del sistema di gestione per la sicurezza delle informazioni e 2) Identificando i responsabili dei rischi

© BL4CKSWAN S.r.l. – ISO 27001 REQUISITI RISK MANAGEMENT

d) analizzi i rischi relativi alla sicurezza delle informazioni: 1) Valutando le possibili conseguenze che risulterebbero se i rischi identificati al punto 6.1.2.c) 1) si concretizzassero; 2) Valutando la verosimiglianza realistica del concretizzarsi dei rischi identificati ai punti 6.1.2.c) e 3) Determinando i livelli di rischio; e) Ponderi i rischi relativi alla sicurezza delle informazioni: 1) Comparando i risultati dell’analisi del rischio con i criteri di rischio stabiliti al punto 6.1.2.a) e 2) Stabilendo la priorità dei rischi analizzati per il trattamento del rischio L’organizzazione deve conservare informazioni documentate sul processo di valutazione del rischio relativo alla sicurezza delle informazioni

PAG 3

PIANIFICAZIONE TRATTAMENTO DEL RISCHIO RELATIVO ALLA SICUREZZA DELLE INFORMAZIONI TRATTAMENTO – REQ. 6.1.3 L’organizzazione deve definire e applicare un processo di trattamento del rischio relativo alla sicurezza delle informazioni per: a) Selezionare le adeguate opzioni per il trattamento del rischio relativo alla sicurezza delle informazioni, tenendo in considerazione i risultati della valutazione del rischio; b) Determinare tutti i controlli necessari per attuare le opzioni selezionate per il trattamento del rischio relativo alla sicurezza delle informazioni [Nota]: Le organizzazioni possono progettare i controlli come richiesto o identificarli da qualsiasi fonte c) Confrontare i controlli determinati al punto 6.1.3 b) con quelli nell’appendice A e verificare che non siano stati omessi controlli necessari. Nota 1: l’appendice A riporta un’ampia lista di obiettivi di controllo e di controlli. Gli utilizzatori di questa norma internazionale sono indirizzati nell’Appendice A per assicurare che non siano trascurati controlli necessari. Nota 2: Gli obiettivi di controllo sono implicitamente inclusi nei controlli scelti. La lista di obiettivi di controllo e di controlli riportati nell’appendice A non è esaustiva e ulteriori obiettivi e controlli potrebbero essere necessari.

© BL4CKSWAN S.r.l. – ISO 27001 REQUISITI RISK MANAGEMENT

d) e) f)

Redigere una dichiarazione di applicabilità che riporti i controlli necessari e la giustificazione per l’inclusione, che siano attuati o meno e per l’esclusione dei controlli nell’Appendice A. Formulare un piano di trattamento dei rischi relativo alla sicurezza delle informazioni e Ottenere l’approvazione del piano di trattamento del rischio relativo alla sicurezza delle informazioni e l’accettazione dei rischi residui relativi alla sicurezza delle informazioni da parte dei responsabili dei rischi.

L’organizzazione deve conservare informazioni documentate sul processo di valutazione del rischio relativo alla sicurezza delle informazioni

PAG 4

METODOLOGIA PER IL RISK ASSESSMENT CRITIERI METODOLOGICI Qualsiasi metodologia di Risk Assessment è accettabile ai fini certificativi (anche auto sviluppata) a patto che raggiunga i requisiti minimi previsti dalla norma ISO 27001.

APPROCCIO PER ITERAZIONI SUCCESSIVE (2 o Più)

High Level Assessment:

QUALITATIVO

QUANTITATIVO

• Compatibile con i requisiti ISO (31000 – 27005); • Pragmatico • Comprensibilità di linguaggio

condotto per identificare i rischi principali e indirizzare analisi di maggior dettaglio

Detailed Assessment:

approfondimenti e integrazioni con metodologie quantitative per analizzaredeterminati scenari.

• Costi di analisi sostenibili • Presenza di tool consolidati • Documentazione e skill presenti all’interno dell’organizzazione • Esistenza di materiale comparativo (es. case studies, metriche ..) © BL4CKSWAN S.r.l. – ISO 27001 REQUISITI RISK MANAGEMENT

NO SODDISFACENTE?

SI

Risk Treatment

PROCESSO DI GESTIONE DEL RISCHIO OVERVIEW Risk Assessment IDENTIFICAZIONE RISCHI

C O N T E S T O

IDENTIFICAZIONE ASSET

ANALISI DEI RISCHI

VALUTAZIONE DEI RISCHI

TRATTAMENTO DEI RISCHI

OPZIONI TRATTAMENTO RISCHI

ANALISI DELLE CONSEGUENZE

IDENTIFICAZIONE MINACCE IDENTIFICAZIONE CONTROLLI IN ESSERE

ANALISI DELLE PROBABILITA’ DI ACCADIMENTO INCIDENTI

VALUTAZIONE DEL LIVELLO DEI RISCHI BASATO SUI CRITERI SELEZIONATI

IDENTIFICAZIONE CONSEGUENZE

© BL4CKSWAN S.r.l. – ISO 27001 REQUISITI RISK MANAGEMENT

ACCETTAZIONE PIANO TRATTAMENTO

PIANO TRATTAMENTO RISCHI

IDENTIFICAZIONE VULNERABILITA’ DETERMINAZIONE DEL LIVELLODI RISCHIO

ACCETTAZIONE DEI RISCHI

VALUTAZIONE RISCHIO RESIDUALE

ACCETTAZIONE RISCHIO RESIDUALE

IDENTIFICAZIONE ASSET .. QUALSIASI COSA CHE ABBIA VALORE PER L’AZIENDA

PRIMARY ASSET

SUPPORTING ASSET Basato su definizione ISO 27005

• BUSINESS PROCESS • INFORMATION ASSET

• HARDWARE • SOFTWARE • NETWORK • PERSONALE • SITI • STRUTTURE ORGANIZZATIVE

© BL4CKSWAN S.r.l. – ISO 27001 REQUISITI RISK MANAGEMENT

RISK ANALYSIS ISO 9001

BUSINESS IMPACT ANALYSIS BUSINESS CONTINUITY DISASTER RECOVERY

PIANO TRATTAMENTO RISCHI ELEMENTI PRINCIPALI La norma ISO 31000 fornisce nel requisito 5.5.3 alcune indicazioni per la stesura di un Piano di Trattamento ritenuto esaustivo per quanto riguarda gli elementi descrittivi: ‣ Identificazione univoca del Rischio ‣ Livello di rischio associato ‣ Priorità di intervento ‣ Opzioni di trattamento ‣ Dettagli sulle opzioni di trattamento compresa la descrizione dei benefici che si vuole ottenere ‣ Responsabile dell’approvazione ‣ Responsabile dell’implementazione ‣ Risorse alocate ‣ Misure di Performance e vincoli ‣ Reporting ‣ Tempistiche © BL4CKSWAN S.r.l. – ISO 27001 REQUISITI RISK MANAGEMENT

ROBERTO DE SORTIS roberto.desortis@bl4ckswan.com

30/10/2017

Versione 1

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.