Mi occupo di sicurezza informatica a livello procedurale, sulla base delle linee guida ISO 27001:2005 e alle tecniche di prevenzione e profilassi dei pericoli informatici.

Lo standard ISO 2700X stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità.

Le linee guida sono organizzate in diverse sezioni, ogni sezione è dedicata ad una parte specifica:

  • politiche di sicurezza (Security Policy), forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza.
  • sicurezza organizzativa (Security Organization):
    controllo della sicurezza delle informazioni in seno all’azienda;
    monitorare la sicurezza delle informazioni quando la responsabilità dell’elaborazione dell’informazione è stata conferita in outsource.
  • Controllo e classificazione dei beni (Asset Classification and Control):
    mantenere la protezione dell’assetto organizzativo e garantire che l’assetto delle informazioni riceva un appropriato livello di protezione.
  • Sicurezza del personale (Personnel Security):
    Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori;
    accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro normale;
    per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti.
  • sicurezza fisica e ambientale (Physical and Environmental Security):
    impedire l’accesso, il danneggiamento e l’interferenza dei non autorizzati all’interno del flusso delle informazioni del business;
    impedire perdita, danni o l’assetto del sistema e la interruzione delle attività economiche;
    impedire la manomissione o il furto delle informazioni.
  • Gestione di comunicazioni e operazioni (Communications and Operations Management):
    accertarsi del corretto funzionamento e facilità di elaborazione dell’informazione;
    minimizzare il rischio di guasti dei sistemi;
  • Controllo di accesso (Access Control):
    per controllare l’accesso alle informazioni;
    per impedire l’accesso non autorizzato ai sistemi d’informazione;
    per rilevare le attività non autorizzate;
  • Sviluppo e manutenzione di sistemi (System Development and Maintenance):
    mantenere la sicurezza del software e dei dati di sistema.
  • Gestione continuità operativa (Business Continuity Management):
  • Adeguatezza (Compliance):
    evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;

MISURE MINIME DI SICUREZZA ICT
PER LE PUBBLICHE AMMINISTRAZIONI

(Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015)

agid

La nuova Circolare AgID 1/2017, pubblicata in Gazzetta Ufficiale il 17.03.2017, con successivo adeguamento del 18.04.2017 nr. 2/2017, contiene tutte le misure minime di sicurezza ICT per le Pubbliche Amministrazioni, basata sulla “Direttiva del Presidente del Consiglio dei ministri del 1° agosto 2015”, la quale impone ad ogni Pubblica Amministrazione rientrante nella definizione ex. art. 1 c.2 d.Lgs. 165/2001 di attestare il livello di adozione delle misure minime di sicurezza del proprio Sistema Informatico al fine di conservare tale attestazione da trasmettere al CERT-PA (l’acronimo di Computer Emergency Response Team Pubblica Amministrazione) in caso di incidente informatico.

Consulta il PDF per avere maggiori informazioni

pdf-icon-png-pdf-zum-download-2CONSULENZA ICT ADEGUAMENTO MISURE SICUREZZA ABSC

Fonti Ufficiali: