La sicurezza informatica deve pervadere tutti i livelli di un sistema, ad esempio amministrativo, di conduzione, di gestione dei rapporti con le terze parti (cioè a livello contrattuale): le BS7799 cercano di coprire tutti gli aspetti all’ interno della struttura fornendo il modello organizzativo e la soluzione alle problematiche che si presentano nella fase di sviluppo. Partendo dagli obiettivi di sicurezza che il sistema si pone rispetto ai diversi settori nell’ ambito della gestione e della conduzione, si pongono delle linee guida inerenti la sicurezza da osservare e da attuare che sono poi alla base delle procedure operative del trattamento dei dati sensibili. Ciò posto, si comincia con il delineare all’ interno delle BS7799, le cosiddette linee guida da rispettare nel progetto di sicurezza, si procede poi con l’analisi conoscitiva della situazione e successivamente l’ analisi dei siti del sistema. Le BS7799 sono distinte in due parti separate: le BS7799-1 e le BS779-2. La prima parte riporta le linee guida sulla sicurezza delle informazioni e quindi sono di carattere generale, cioè accortezze di cui bisogna tenere conto nell’ implementazione di un sistema di sicurezza per la gestione delle informazioni proponendo anche delle possibili soluzioni. La seconda parte rappresenta, invece, lo standard vero e proprio e illustra come devono essere utilizzate le linee guida fornite al primo punto per poter applicare lo standard delle BS7799-2. La certificazione delle BS7799 è una certificazione ISO perché ha recepito entrambi i moduli delle BS7799: il primo modulo delle BS7799, cioè le linee guida, è stato recepito per intero da ISO con la regola ISO/IEC 17799 del 2005; il secondo modulo è stato recepito recentemente nella norma ISO/IEC 270001:2005. Infatti la norma 2700 rappresenta il codice dello standard per la sicurezza di tutte le informazioni. Poiché la tecnologia è in continuo cambiamento, anche gli standard subiscono delle modifiche nel tempo, soprattutto per quello che concerne la gestione della sicurezza: anche le BS7799 hanno subito perciò delle modifiche passando da quelle che erano inizialmente le ISO/IEC 17799:2000 alle ISO/IEC 1799:2005.
La struttura della BS7799-1 è suddivisa in sezioni , cioè in linee guida e relative modifiche apportate nel corso degli anni.
Section 0: Introduction
Section 1: Scope
Section 2: Terms and definitions
Section 3 Structure of this standard
Le prime sono sezioni generali che forniscono definizioni generali di sicurezza e la struttura dello standard.
Section 4: Risk assessment and treatment
E’ una sezione nuova e quindi ancora poco sviluppata. Definisce la gestione dei rischi. I questa sezione i rischi devono essere identificati e classificati per effettuare poi l’ amministrazione della sicurezza delle informazioni. Per classificazione dei rischi si intende differenziarli evidenziandone il livello ad esso assegnato. Ovviamente bisogna tenere maggiormente in considerazione i rischi più probabili e quelli che recano un danno maggiore. Infatti tramite una opportuna classificazione dei rischi si può assegnare un peso a ciascuno di essi e andare a trattare quei rischi che presentano un peso così assegnato oltre un certo valore di soglia.
Section 5: Security policy
In questa sezione tramite le politiche di sicurezza si definiscono gli obiettivi da perseguire di carattere generale. Infatti le specifiche modalità di perseguimento di tali obiettivo sono demandate alle sezioni successive.
Section 6: Organizaton of information security
Si suddivide in organizzazione interna e organizzazione rispetto alle terze parti. La prima definisce i ruoli e le responsabilità interne, dai direttori al personale operativo, e i ruoli di coordinamento. Si pone anche l’ attenzione sulle modalità di assegnazione dei ruoli alle singole persone. Infatti bisogna porre attenzione che ruoli di gestione e ruoli di controllo non ricadano sulla stessa persona.
Per quanto riguarda il ruolo della sicurezza per le terze parti, essa può riguardare o la cooperazione nell’utilizzo di servizi oppure l’utilizzo di prodotti di sicurezza di altri soggetti (ad esempio prodotti software). Inoltre se si necessita di un servizio esterno, esso deve essere reso disponibile in quanto ciò dipende anche dal contesto di riferimento. A livello contrattuale si può richiedere quindi alla terza parte delle regole di qualità imponendo che il servizio sia sempre disponibile e che il livello di servizio sia relativamente basso. Quando si interagisce con terze parti bisogna anche capire dove arrivano le responsabilità dei soggetti e quale è la modalità di interfacciamento tra le due parti. Per specificare meglio questo aspetto si può portare avanti l’ esempio di un utente che vuole accedere ad una risorsa esterna quale ad esempio la rete Internet. La responsabilità della sicurezza delle informazioni è demandata al soggetto che invia tali informazioni nella rete (garantendo ad esempio che il messaggio arrivi correttamente cifrato alla sua destinazione). Invece per quanto concerne la continuità dell’informazione, cioè la disponibilità del servizio di collegamento alla rete, la responsabilità è invece del provider che fornisce la connettività alla rete. Per quanto concerne la modalità di interfacciamento con la rete, chi predispone l’ informazione deve prevedere la possibilità di una comunicazione cifrata attraverso una modalità opportuna che rispetti determinati protocolli, quali ad esempio https. Queste problematiche vanno affrontate nella fase in cui ci si sta accordando con la terza parte, definendo i servizi a cui si può accedere e assegnando le responsabilità.
Section 7: Asset management
Questa sezione riguarda il controllo e la classificazione delle risorse. Le risorse all’ interno delle BS vengono divise in due gruppi: le informazioni e le risorse coinvolte nel trattamento delle informazioni. Riguardo questa seconda tipologia, vi è la necessità di predisporre un inventario che oltre a rilevarne la presenza, il numero, le caratteristiche, ne assegni la responsabilità ad un soggetto. Ciò è importante perchè in tutte le strutture organizzative, dalle più piccole alle più grandi, le risorse vengono condivise tra uffici e servizi differenti per cui è importante quindi identificare il responsabile della singola risorsa. Per quanto riguarda il primo gruppo delle risorse, informazioni diverse possono avere privilegi di accesso diversi, trattamenti di sicurezza differenti ed una valenza differente a seconda del contesto. Ad esempio l’informazione fornita da una singola password cambia in base all’utente che ne usufruisce. Infatti le password dei semplici utenti sono in genere più piccole e devono essere cambiate con minor frequenza che non quelle relative agli amministratori di sistema. La classificazione perciò non deve tenere conto soltanto della tipologia dell’informazione ma anche dell’ambito in cui l’informazione viene utilizzata e a seconda del contesto si può scegliere di aumentare o meno il livello di sicurezza da implementare.
Section 8: Prior to employment
Questa sezione riguarda la sicurezza del personale derivante dall’ informazione e dalla sensibilizzazione rispetto alle attività che vengono assegnate. In particolare a tutto il personale deve essere data notifica del ruolo assegnato tramite una lettera in cui si definiscono il ruolo e le competenze. Infatti il personale appone così una firma per presa visione delle condizioni imposte senza possibilità di replica. Ai responsabili viene fatta una notifica evidenziando di che cosa si è responsabili, degli obiettivi che si devono raggiungere e delle risorse messe a disposizione per perseguire tali obiettivi e per gestire il sistema. A differenza del semplice operatore, il responsabile appone la firma per accettazione delle condizioni e se ne assume la responsabilità e se non vi sono le condizioni per cui ciò può avvenire può dibattere eventuali soluzioni alternative. Nell’ ambito delle BS viene posta poi particolare attenzione su ciò che riguarda il ciclo di vita del personale dall’assunzione, alla crescita professionale fino alla risoluzione del rapporto lavorativo. Il profilo del personale assume un ruolo importante in previsione della formazione richiesta per prepararlo ad affrontare il ruolo che deve ricoprire. In fase di assunzione si deve, inoltre, prevedere oltre al ruolo d svolgere, le responsabilità che gli competono e le procedure a cui si deve attenere. Durante il contratto di lavoro devono essere presi in considerazione tutti i possibili spostamenti del personale. Da qui si pone l’esigenza di rivedere tutti i permessi e le autorizzazioni in precedenza rilasciate al personale trasferito. Infatti cambiando il ruolo cambiano anche le risorse a cui ha diritto di accesso e quindi bisogna cancellare i privilegi a cui prima aveva diritto e assegnarne di nuovi. Per quanto riguarda il termine del rapporto lavorativo, devono essere revocati tutti i privilegi, gli account e gli accessi alle risorse e che rientrino all’interno della struttura tutti i beni inerenti la sicurezza, ad esempio dispositivi elettronici su cui risiedono le password (ciò si garantisce predisponendo un inventario delle risorse concesse ai lavoratori durante la loro fase di impiego in modo tale da predisporne successivamente il recupero al termine del rapporto di lavoro). Per quanto riguarda gli account è buona norma che non vangano eliminati subito ma sospesi di modo che si possano recuperare informazioni utili per l’ impiego di altro personale operativo.
Section 9: Physical and environmental security
Riguarda la sicurezza ambientale e materiale dalla sicurezza fisica inerente tutta la catena logistica (stanze, edifici, etc.), dai sistemi di videosorveglianza a quelli di vigilanza, alla sicurezza degli apparati e delle attrezzature.
Section 10: Commuication and operations management
La gestione operativa e della comunicazione riguarda tutte quelle procedure operative che definiscono come devono essere gestite determinate operazioni relative ai singoli passi della gestione della sicurezza cioè come si devono relazionare tra di loro le diverse figure organizzative nei diversi ruoli e come devono utilizzare le risorse ad esse assegnate. Importanza particolare riveste la gestione dei servizi di terza parte. Infatti a livello contrattuale si devono prevedere delle voci inerenti la qualità del servizio monitorando tale servizio anche quando non lo si sta usando.
Di rilievo anche il dimensionamento dell’infrastruttura tecnologica che deve essere opportunamente valutata: In questa sezione vengono descritte le linee guida per la protezione contro codice malevolo (cosiddetto malware), per la predisposizione dei back-up (giornalieri o settimanali o di periodi più lunghi a seconda della classificazione delle informazioni, a seconda del livello di importanza, di variazione e di adeguamento delle stesse), per la sicurezza della rete (definendo i profili di gestione, la configurazione dei firewall dei router…), per l’utilizzo dei supporti sui quali archiviare i dati (verificandone la validità dopo l’ operazione di back-up), per gestire gli scambi delle informazioni, per il monitoraggio e di auditing.
Section 11: Access control
Per quanto riguarda i controlli degli accessi alla rete e ai dati bisogna definire l’ insieme dei profili e per ognuno di essi i privilegi di accesso alle risorse. L’ accesso alle risorse deve essere gestita a livelli: Ad esempio vi potrebbe essere un accesso da rete ottenuto abilitando/disabilitando diversi IP e/o diverse porte di differenti servizi (ad esempio per andare su Internet si può richiedere nome utente e password tramite un proxy, cioè si può applicare una metodologia di accesso tramite server). Si possono definire gli accessi alle singole macchine, stabilendo le password per un gruppo di utenti oppure un dominio di riferimento per più macchine oppure sottoinsiemi di utenti su una singola macchina. Un utente inoltre potrebbe, una volta effettuato l’ accesso ad una macchina, avere a disposizione altri account per accedere ai singoli servizi presenti (ad esempio l’ accesso ad un database). I requisiti di accesso spaziano quindi dalla rete, alle singole macchine, alle applicazioni, alle basi di dati e così via. Le BS prendono in considerazione anche l’ informazione acquisita tramite accessi da apparati mobili e cellulari.
Section 12: Information systems acquisition, development and maintenance
Tratta le caratteristiche di sicurezza dei sistemi di informazione per ciò che riguarda il controllo delle informazioni sensibili tramite procedure manuali o automatizzate che devono essere garantite sia nella fase iniziale di acquisizione che successiva di sviluppo. In questa sezione si definiscono le modalità di autenticazione, le politiche di cifratura in funzione del ruolo ricoperto all’ interno della struttura e le problematiche inerenti le firme digitali e la gestione delle chiavi e dei firmati digitali nonché gli accessi ai files del sistema. Non da ultimo si definiscono gli accessi all’ ambiente di sviluppo (i pacchetti delle applicazioni non dovrebbero poter essere modificati) e la gestione delle vulnerabilità riscontrate (prevedendo la possibilità di fornire opportune patches nel momento in cui vengono rilevate).
Section 13: Information security incident management
Si occupa della gestione degli incidenti nei suoi due aspetti principali: importanza della rilevazione dell’ incidente e della sua comunicazione, trattamento dell’incidente occorso. Attraverso le procedure di tracciamento e di auditing si rileva la violazione all’ interno del sistema. Tale violazione deve essere comunicate a tutte le entità che si relazionano con il sistema per avvisare della sua occorrenza; tale notifica deve anche spiegare le responsabilità dei singoli. La gestione del rischio successivamente consiste nell’ attuazione di tutte quelle misure che consentano di bloccare l’accesso non desiderato alle informazioni, di rimediare ai danni subiti (alterazione, cancellazione,…), di valutare se la violazione può avvenire in altri ambiti del sistema informativo e se le soluzioni adottate in precedenza possono essere trasferite con efficacia anche in tali contesti. Questo ultimo punto consiste in pratica nell’ integrare e nel rafforzare la sicurezza all’ interno dl sistema. Tutte le informazioni acquisite nella fase di rilevamento prima e di analisi e gestione del rischio poi, rappresentano la documentazione acquisita con l’ esperienza della gestione che potrebbe ritornare utile in caso in cui si ripresentano situazioni di violazione simili.
Section 14: Business continuity management
Tratta della continuità delle attività con differenti esigenze a seconda del sistema. In alcuni sistemi può essere sufficiente predisporre di macchine ridondate o di opportuni sistemi di back-up, mentre in altri sistemi complessi con elevati requisiti di sicurezza e di continuità può essere richiesto la duplicazione di interi CED anche dislocati in aree geografiche differenti: anche se il funzionamento è riservato ad uno solo, occorre comunque mantenere aggiornati entrambi in modo che al momento dell’ occorrenza si possa attivare.
Section 15: Compliance
Si parla della conformità rispetto alla normativa vigente, rispetto agli standard e anche alle esigenze interne del sistema.