ISCOM: Anteprima sulle nuove linee guida sulla sicurezza e la qualità dei servizi – seconda parte
Inserito da Redazione il Gio, 2006-07-27 17:37
Certificazioni professionali | ISCOM | Luglio 2006 | Security
060727-ISCOM-Nuovelinee-2
In questa seconda parte dell’articolo, l’ing. Luisa Franchina, Direttore generale di ISCOM,
ci illustra le rimanenti tre nuove linee guida in via di pubblicazione:
qualità dei servizi nelle reti UMTS, qualità dei servizi
nelle reti ICT per le PMI, Certificazione della sicurezza ICT.
Nella prima parte dell’articolo sono state presentate le nuove linee guida su: outsourcing, analisi dei rischi (in pratica), gestione delle emergenze.
IsacaRoma: Parliamo dunque delle rimanenti tre linee guida. Cominciamo con quella dedicata alla qualità dei servizi nelle reti UMTS. Ci può anticipare temi e contenuti?
Luisa Franchina: Una piccola premessa. Ormai da diversi anni è operativo, con il coordinamento dell’ISCOM, un Gruppo di Lavoro che riunisce più di 100 organizzazioni private e pubbliche, con il compito, tra gli altri, di produrre Linee Guida su aspetti specifici riguardanti il settore ICT. Tali Linee Guida hanno lo scopo di diffondere alle PMI, alle organizzazione private, alla PA e anche all’utente domestico, la cultura della qualità e della sicurezza ICT così come deriva dalle esperienze reali delle Organizzazioni che partecipano al Gruppo di Lavoro. Tra queste organizzazioni c’è anche ANIE ICT- CE, l'Associazione Nazionale Telecomunicazioni, Informatica ed Elettronica di Consumo, federata ANIE che riunisce le aziende attive in Italia nella ricerca, sviluppo, fornitura, produzione, commercializzazione ed installazione di prodotti e servizi nel campo dell'Information and Communication Technology e dell'Elettronica di Consumo. La guida sulla qualità dei servizi nelle reti UMTS è stata realizzata in sinergia tra ISCOM e ANIE ICT- CE che già aveva collaborato alla redazione della precedente linea guida sulla “Qualità dei servizi nelle reti ICT”.
IR: Perché una linea guida su tale tematica?
LF: L’Italia, in accordo con il piano di azione e-Europe, sta dando un’attenzione particolare al dispiegamento della prossima generazione di servizi on-line: in particolare mira a stimolare un circolo virtuoso coordinato tra sviluppo delle infrastrutture e maturazione di nuovi servizi, applicazioni e contenuti in aree chiave, quali e-Government, e-Learning, e-Health ed e-Business.
La capacità delle imprese del settore ICT presenti in Italia di essere all’avanguardia nel contesto internazionale è testimoniata da molti casi di eccellenza; tra i più attuali citiamo il contributo fornito alla realizzazione delle infrastrutture di rete della televisione digitale terrestre, il contributo fornito alla realizzazione delle infrastrutture di rete mobile di terza generazione (UMTS/HSDPA).
Questi esempi indicano che l’industria del comparto ICT è pienamente in grado di supportare con successo il Sistema Paese negli investimenti orientati all’innovazione digitale che sono indispensabili all’Italia per recuperare competitività in campo internazionale.
IR: Quali i contenuti del documento?
LF: Viene proposto un modello di riferimento logico per effettuare le rilevazioni necessarie alla individuazione della qualità percepita dall'utente finale di una rete UMTS. Tale modello consente di "mappare" le funzioni di una rete di telecomunicazioni realizzate da diversi attori (ad es. operatori di rete, fornitori di servizio, fornitori di contenuto) e identificare punti necessari per la misura della qualità del servizio, utilizzando anche i parametri descritti nei capitoli seguenti.
IR: Sono affrontate anche problematiche di sicurezza?
LF: La linea guida fornisce una precisa definizione dei parametri di qualità del servizio: supporto agli utenti, disponibilità, fruibilità e sicurezza. Il parametro sicurezza si rifà ai requisiti di autenticazione, affidabilità e riservatezza delle informazioni trasmesse.
IR: Passiamo alla linea guida relativa alla qualità dei servizi nelle reti ICT per le PMI.
LF: Anche questa linea guida è stata realizzata in collaborazione, fra gli altri, con ANIE ICT- CE; simili le finalità e l’approccio; il contenuto, viceversa, è volto alle tecnologie a larga banda in grado di fornire all'utente finale servizi di tipo fisso di tipo wireline (e.g. Xdsl, fibra) e wireless (Wifi, WiMax).
IR: Contenuti?
LF: il libro è strutturato in 5 parti:
IR: Infine la linea guida sulle certificazioni di sicurezza. Esiste già diverso materiale a riguardo. In che si caratterizza questo documento di ISCOM?
LF: Il termine certificazione di sicurezza è attualmente utilizzato in molti contesti diversi e con significati che, a volte, sono addirittura incompatibili tra loro. Per questo motivo abbiamo ritenuto importante definire correttamente il significato del termine certificazione di terza parte che è l’argomento principale del testo.
IR: Quali sono le caratteristiche del processo di certificazione così inteso?
LF: Il processo di certificazione deve garantire almeno quattro caratteristiche principali:
IR: Esistono diversi standard e schemi di certificazioni; la linea guida si pronuncia a favore di una in particolare?
LF: Nel documento non si esprimono giudizi o comparazioni tra i vari schemi di certificazione; piuttosto, per ogni schema si è cercato di evidenziare quali dei ruoli sopra citati sono realizzati, con quali modalità e le garanzie poste in essere per cercare di realizzare le desiderate caratteristiche di imparzialità, oggettività, ripetibilità e riproducibilità.
IR: Quali standard avete analizzato?
LF: La linea guida si occupa in dettaglio delle certificazioni di sicurezza che fanno riferimento allo standard ISO 27001, allo standard ISO 15408 (Common Criteria) ed alle certificazioni di competenza del personale.
IR: Ci sono anche suggerimenti pratici su come adottare gli standard nella realtà delle aziende e delle organizzazioni?
LF: Un intero capitolo è dedicato alle applicazioni concrete degli standard tipo BS7799; sono così proposti esempi reali delle attività necessarie per realizzare un ISMS basato su tale standard nonché modelli di “Information Security Policy”, politiche di sicurezza fisica, procedure per l’accesso fisico alla sala macchina, modelli per la gestione del rischio IT e manuale di sicurezza.
IR: Grazie Ingegnere.
LF: Grazie a voi
(Fine seconda ed ultima parte parte)
Leggi la prima parte
Nella prima parte dell’articolo sono state presentate le nuove linee guida su: outsourcing, analisi dei rischi (in pratica), gestione delle emergenze.
IsacaRoma: Parliamo dunque delle rimanenti tre linee guida. Cominciamo con quella dedicata alla qualità dei servizi nelle reti UMTS. Ci può anticipare temi e contenuti?
Luisa Franchina: Una piccola premessa. Ormai da diversi anni è operativo, con il coordinamento dell’ISCOM, un Gruppo di Lavoro che riunisce più di 100 organizzazioni private e pubbliche, con il compito, tra gli altri, di produrre Linee Guida su aspetti specifici riguardanti il settore ICT. Tali Linee Guida hanno lo scopo di diffondere alle PMI, alle organizzazione private, alla PA e anche all’utente domestico, la cultura della qualità e della sicurezza ICT così come deriva dalle esperienze reali delle Organizzazioni che partecipano al Gruppo di Lavoro. Tra queste organizzazioni c’è anche ANIE ICT- CE, l'Associazione Nazionale Telecomunicazioni, Informatica ed Elettronica di Consumo, federata ANIE che riunisce le aziende attive in Italia nella ricerca, sviluppo, fornitura, produzione, commercializzazione ed installazione di prodotti e servizi nel campo dell'Information and Communication Technology e dell'Elettronica di Consumo. La guida sulla qualità dei servizi nelle reti UMTS è stata realizzata in sinergia tra ISCOM e ANIE ICT- CE che già aveva collaborato alla redazione della precedente linea guida sulla “Qualità dei servizi nelle reti ICT”.
IR: Perché una linea guida su tale tematica?
LF: L’Italia, in accordo con il piano di azione e-Europe, sta dando un’attenzione particolare al dispiegamento della prossima generazione di servizi on-line: in particolare mira a stimolare un circolo virtuoso coordinato tra sviluppo delle infrastrutture e maturazione di nuovi servizi, applicazioni e contenuti in aree chiave, quali e-Government, e-Learning, e-Health ed e-Business.
La capacità delle imprese del settore ICT presenti in Italia di essere all’avanguardia nel contesto internazionale è testimoniata da molti casi di eccellenza; tra i più attuali citiamo il contributo fornito alla realizzazione delle infrastrutture di rete della televisione digitale terrestre, il contributo fornito alla realizzazione delle infrastrutture di rete mobile di terza generazione (UMTS/HSDPA).
Questi esempi indicano che l’industria del comparto ICT è pienamente in grado di supportare con successo il Sistema Paese negli investimenti orientati all’innovazione digitale che sono indispensabili all’Italia per recuperare competitività in campo internazionale.
IR: Quali i contenuti del documento?
LF: Viene proposto un modello di riferimento logico per effettuare le rilevazioni necessarie alla individuazione della qualità percepita dall'utente finale di una rete UMTS. Tale modello consente di "mappare" le funzioni di una rete di telecomunicazioni realizzate da diversi attori (ad es. operatori di rete, fornitori di servizio, fornitori di contenuto) e identificare punti necessari per la misura della qualità del servizio, utilizzando anche i parametri descritti nei capitoli seguenti.
IR: Sono affrontate anche problematiche di sicurezza?
LF: La linea guida fornisce una precisa definizione dei parametri di qualità del servizio: supporto agli utenti, disponibilità, fruibilità e sicurezza. Il parametro sicurezza si rifà ai requisiti di autenticazione, affidabilità e riservatezza delle informazioni trasmesse.
IR: Passiamo alla linea guida relativa alla qualità dei servizi nelle reti ICT per le PMI.
LF: Anche questa linea guida è stata realizzata in collaborazione, fra gli altri, con ANIE ICT- CE; simili le finalità e l’approccio; il contenuto, viceversa, è volto alle tecnologie a larga banda in grado di fornire all'utente finale servizi di tipo fisso di tipo wireline (e.g. Xdsl, fibra) e wireless (Wifi, WiMax).
IR: Contenuti?
LF: il libro è strutturato in 5 parti:
- una parte espositiva che introduce i concetti utili a caratterizzare le connessioni di rete e la relativa qualità, declinando tale analisi secondo le necessità di una pmi alla ricerca di linee guida per orientarsi nell’offerta di servizi di telecomunicazioni;
- una parte teorica che esamina dettagliatamente ognuno dei concetti utilizzati precedentemente a beneficio del lettore non necessariamente addetto ai lavori;
- una parte esemplificativa dedicata all’analisi di un caso pratico nel quale vengono applicate le teorie ed i concetti precedentemente esposti;
- una parte applicativa/sperimentale dedicata ad illustrare come possono essere misurate le grandezze introdotte utilizzate nei passaggi precedenti;
- una appendice ove si descrive il metodo di misura del Key Quality Indicator (KQI) utile al fine di dare un’indicazione sulla qualità, come percepita dall’utente finale e che, pertanto, non dipende unicamente dalle sole componenti di connettività.
IR: Infine la linea guida sulle certificazioni di sicurezza. Esiste già diverso materiale a riguardo. In che si caratterizza questo documento di ISCOM?
LF: Il termine certificazione di sicurezza è attualmente utilizzato in molti contesti diversi e con significati che, a volte, sono addirittura incompatibili tra loro. Per questo motivo abbiamo ritenuto importante definire correttamente il significato del termine certificazione di terza parte che è l’argomento principale del testo.
IR: Quali sono le caratteristiche del processo di certificazione così inteso?
LF: Il processo di certificazione deve garantire almeno quattro caratteristiche principali:
- l’imparzialità: la valutazione deve essere condotta senza pregiudizi e, in particolare, deve essere possibile dimostrare che i valutatori coinvolti non abbiano interessi commerciali o finanziari dipendenti dall’esito della valutazione stessa;
- l’oggettività: le conclusioni del processo di valutazione devono essere motivate da evidenze sperimentali ogni qual volta sia possibile, in modo da limitare il più possibile opinioni e valutazioni soggettive;
- la ripetibilità: la valutazione dello stesso oggetto effettuata con gli stessi requisiti di sicurezza e dallo stesso valutatore deve portare agli stessi risultati;
- la riproducibilità: la valutazione dello stesso oggetto effettuata con gli stessi requisiti di sicurezza da un diverso valutatore deve portare agli stessi risultati.
IR: Esistono diversi standard e schemi di certificazioni; la linea guida si pronuncia a favore di una in particolare?
LF: Nel documento non si esprimono giudizi o comparazioni tra i vari schemi di certificazione; piuttosto, per ogni schema si è cercato di evidenziare quali dei ruoli sopra citati sono realizzati, con quali modalità e le garanzie poste in essere per cercare di realizzare le desiderate caratteristiche di imparzialità, oggettività, ripetibilità e riproducibilità.
IR: Quali standard avete analizzato?
LF: La linea guida si occupa in dettaglio delle certificazioni di sicurezza che fanno riferimento allo standard ISO 27001, allo standard ISO 15408 (Common Criteria) ed alle certificazioni di competenza del personale.
IR: Ci sono anche suggerimenti pratici su come adottare gli standard nella realtà delle aziende e delle organizzazioni?
LF: Un intero capitolo è dedicato alle applicazioni concrete degli standard tipo BS7799; sono così proposti esempi reali delle attività necessarie per realizzare un ISMS basato su tale standard nonché modelli di “Information Security Policy”, politiche di sicurezza fisica, procedure per l’accesso fisico alla sala macchina, modelli per la gestione del rischio IT e manuale di sicurezza.
IR: Grazie Ingegnere.
LF: Grazie a voi
(Fine seconda ed ultima parte parte)
Leggi la prima parte
IsacaRoma link
- Intervista a Luisa Franchina Direttore Generale dell’Istituto Superiore delle Comunicazioni e della Tecnologia dell’Informazione
- Centro di formazione dei dipendenti della PA nel campo della sicurezza ICT
- ISCOM - L'analisi e la gestione del rischio: principi e metodi
- "Futuro Semplice": una nuova iniziativa di ISCOM
- L’OCSI e la certificazione della sicurezza ICT
- Fattori critici per lo sviluppo delle certificazioni di sicurezza secondo i Common Criteria
» email this story | printer friendly version | 2440 reads
