ISCOM – Anteprima della linea guida sulla "Certificazione della Sicurezza ICT": l’indice del volume
Inserito da Redazione il Lun, 2006-07-31 14:48
Certificazioni professionali | ISCOM | Luglio 2006 | Security
060731-Iscom-NuovelineeguidaSicurezza-Indice
Per gentile concessione dell’Istituto Superiore delle
Comunicazioni e delle Tecnologie dell’Informazione
pubblichiamo l’indice della nuova linea guida sulle
certificazioni di sicurezza i cui contenuto ci sono stati anticipati
dall’ ing. Luisa
Franchina, Direttore Generale di ISCOM.
Modelli e metodi per il governo della sicurezza: le certificazioni di sicurezza
Introduzione
Guida alla lettura
1 La certificazione di sicurezza
1.1 Quadro normativo attuale
1.2 Il valore aggiunto della certificazione di sicurezza
1.3 Ambiti di applicazione della certificazione di sicurezza
2 Schemi di certificazione e di accreditamento
2.1 La sicurezza ICT in un organizzazione
2.2 Gli Schemi di certificazione della sicurezza in Italia
2.3 Schema di certificazione e accreditamento ISO27001
2.3.1 Lo schema di accreditamento di SINCERT
2.3.2 Le competenze del personale di valutazione
2.3.3 L’iter di certificazione
2.4 Schema di certificazione e accreditamento secondo i Common Criteria (e ITSEC)
2.4.1 L’iter di certificazione
2.4.2 Validità dei certificati emessi dall’OCSI in ambito internazionale
3 Le tipologie di certificazione di sicurezza
3.1 Certificazione di processo secondo gli standard tipo ISO27001
3.1.1 Storia
3.1.2 Lo standard ISO/IEC 27001:2005 e il modello PDCA
3.1.3 Best Practices per l’introduzione dell’ISMS in una Organizzazione
3.1.4 Lo standard ISO/IEC 17799-1:2005 (dal 2007 ISO/IEC 27002)
3.1.5 Le principali differenze tra BS7799-2:2002 e ISO/IEC 27001:2005
3.2 Valutazione e Certificazione di sistema/prodotto secondo lo standard ISO 15408 (Common Criteria)
3.2.1 Generalità sui Common Criteria
3.2.2 Vantaggi e svantaggi dei Common Criteria
3.2.3 La strategia dell’OCSI per la certificazione CC
3.3 Certificazione di competenza del personale
3.3.1 Certificazioni professionali nazionali: la tendenza nel contesto italiano
3.4 Certificazioni di sicurezza fisica
3.4.1 Lo standard BS7799 (ISO/IEC 17799:2005 e ISO/IEC 27001:2005) e la sicurezza fisica
3.4.2 Certificazioni di prestazione nel cablaggio strutturato
3.4.3 Standard
3.4.4 Sicurezza
3.4.5 Compatibilità elettromagnetica
3.4.6 Competenza dell’installatore
3.4.7 Collaudi e certificazioni
3.4.8 Assicurazione delle prestazioni del cablaggio
3.4.9 Garanzia
4 Appendice A: Applicazione degli standard tipo BS7799
4.1 Introduzione
4.2 Organizzazione dei documenti presenti in Appendice
4.3 Information Security policy
4.3.1 Ente emittente
4.3.2 ACME BCRS South Leader
4.3.3 Information Security Manager
4.3.4 Proprietario dell’asset
4.3.5 Information Security Steering Forum BCRS
4.3.6 Information Security Commitee BCRS
4.3.7 Security Referent
4.3.8 Utenti
4.3.9 Organizzazione di sicurezza
4.3.10 Inventario e classificazione degli asset
4.3.11 Personale
4.3.12 Sicurezza fisica
4.3.13 Gestione operativa e delle comunicazioni
4.3.14 Controllo accessi logici
4.3.15 Progettazione e sviluppo prodotti/servizi
4.3.16 Continuità del business
4.3.17 Conformità
4.4 Politiche di sicurezza Fisica
4.4.1 Protezione delle risorse umane
4.4.2 Individuazione dei perimetri di sicurezza
4.4.3 Controlli degli accessi fisici
4.4.4 Protezione delle apparecchiature informatiche
4.4.5 Protezione dei cablaggi
4.5 Procedura di accesso fisico alla sala macchine
4.5.1 Procedura di Controllo accessi alla sala macchine
4.6 BCRS Risk Management
4.6.1 Premessa
4.6.2 Responsabilità Operative
4.6.3 Introduzione al concetto di rischio
4.6.4 Attivazione del processo (trigger )
4.6.5 Individuazione degli asset
4.6.6 Individuazione delle minacce
4.6.7 Individuazione delle vulnerabilità
4.6.8 Individuazione degli impatti sugli asset
4.6.9 Calcolo del rischio totale
4.6.10 Calcolo del valore effettivo delle minacce
4.6.11 Calcolo del rischio effettivo
4.6.12 Determinazione del livello di rischio accettabile
4.6.13 Strategia di gestione del rischio
4.6.14 Selezione dei controlli
4.6.15 Verifica del livello di rischio effettivo
4.6.16 Valutazione dei controlli da implementare
4.6.17 Modalità di selezione dei controlli
4.7 Manuale della Sicurezza IT
4.7.1 Information security infrastructure
4.7.2 Physical and environmental security
4.7.3 Equipment security
4.7.4 General controls
4.8 Statement of applicability (SOA)
5 Appendice B: Codici deontologici delle certificazioni di competenza del personale
5.1 ISACA® Code of Professional Ethics (www.isaca.org/codeofethics.htm)
5.2 (ISC)² Code of Professional Ethics (https://www.isc2.org/cgi/content.cgi?category=12#code)
6 Appendice C: Case Studies sulla sicurezza fisica
6.1 Case study: sicurezza dell alimentazione elettrica e condizioni ambientali in un data center
6.2 Case Study : Sicurezza del cablaggio di un data center
7 Appendice D: Lo standard ITSEC
7.1 Fondamenti dei criteri ITSEC
7.2 Impiego, vantaggi e svantaggi dei criteri ITSEC
8 Glossario
8.1 Glossario di riferimento nel contesto delle certificazioni BS7799/ISO27001
8.2 Glossario di riferimento nel contesto delle certificazioni Common Criteria (ISO15408)
9 Bibliografia
Indice
Modelli e metodi per il governo della sicurezza: le certificazioni di sicurezza
Introduzione
Guida alla lettura
1 La certificazione di sicurezza
1.1 Quadro normativo attuale
1.2 Il valore aggiunto della certificazione di sicurezza
1.3 Ambiti di applicazione della certificazione di sicurezza
2 Schemi di certificazione e di accreditamento
2.1 La sicurezza ICT in un organizzazione
2.2 Gli Schemi di certificazione della sicurezza in Italia
2.3 Schema di certificazione e accreditamento ISO27001
2.3.1 Lo schema di accreditamento di SINCERT
2.3.2 Le competenze del personale di valutazione
2.3.3 L’iter di certificazione
2.4 Schema di certificazione e accreditamento secondo i Common Criteria (e ITSEC)
2.4.1 L’iter di certificazione
2.4.2 Validità dei certificati emessi dall’OCSI in ambito internazionale
3 Le tipologie di certificazione di sicurezza
3.1 Certificazione di processo secondo gli standard tipo ISO27001
3.1.1 Storia
3.1.2 Lo standard ISO/IEC 27001:2005 e il modello PDCA
3.1.3 Best Practices per l’introduzione dell’ISMS in una Organizzazione
3.1.4 Lo standard ISO/IEC 17799-1:2005 (dal 2007 ISO/IEC 27002)
3.1.5 Le principali differenze tra BS7799-2:2002 e ISO/IEC 27001:2005
3.2 Valutazione e Certificazione di sistema/prodotto secondo lo standard ISO 15408 (Common Criteria)
3.2.1 Generalità sui Common Criteria
3.2.2 Vantaggi e svantaggi dei Common Criteria
3.2.3 La strategia dell’OCSI per la certificazione CC
3.3 Certificazione di competenza del personale
3.3.1 Certificazioni professionali nazionali: la tendenza nel contesto italiano
3.4 Certificazioni di sicurezza fisica
3.4.1 Lo standard BS7799 (ISO/IEC 17799:2005 e ISO/IEC 27001:2005) e la sicurezza fisica
3.4.2 Certificazioni di prestazione nel cablaggio strutturato
3.4.3 Standard
3.4.4 Sicurezza
3.4.5 Compatibilità elettromagnetica
3.4.6 Competenza dell’installatore
3.4.7 Collaudi e certificazioni
3.4.8 Assicurazione delle prestazioni del cablaggio
3.4.9 Garanzia
4 Appendice A: Applicazione degli standard tipo BS7799
4.1 Introduzione
4.2 Organizzazione dei documenti presenti in Appendice
4.3 Information Security policy
4.3.1 Ente emittente
4.3.2 ACME BCRS South Leader
4.3.3 Information Security Manager
4.3.4 Proprietario dell’asset
4.3.5 Information Security Steering Forum BCRS
4.3.6 Information Security Commitee BCRS
4.3.7 Security Referent
4.3.8 Utenti
4.3.9 Organizzazione di sicurezza
4.3.10 Inventario e classificazione degli asset
4.3.11 Personale
4.3.12 Sicurezza fisica
4.3.13 Gestione operativa e delle comunicazioni
4.3.14 Controllo accessi logici
4.3.15 Progettazione e sviluppo prodotti/servizi
4.3.16 Continuità del business
4.3.17 Conformità
4.4 Politiche di sicurezza Fisica
4.4.1 Protezione delle risorse umane
4.4.2 Individuazione dei perimetri di sicurezza
4.4.3 Controlli degli accessi fisici
4.4.4 Protezione delle apparecchiature informatiche
4.4.5 Protezione dei cablaggi
4.5 Procedura di accesso fisico alla sala macchine
4.5.1 Procedura di Controllo accessi alla sala macchine
4.6 BCRS Risk Management
4.6.1 Premessa
4.6.2 Responsabilità Operative
4.6.3 Introduzione al concetto di rischio
4.6.4 Attivazione del processo (trigger )
4.6.5 Individuazione degli asset
4.6.6 Individuazione delle minacce
4.6.7 Individuazione delle vulnerabilità
4.6.8 Individuazione degli impatti sugli asset
4.6.9 Calcolo del rischio totale
4.6.10 Calcolo del valore effettivo delle minacce
4.6.11 Calcolo del rischio effettivo
4.6.12 Determinazione del livello di rischio accettabile
4.6.13 Strategia di gestione del rischio
4.6.14 Selezione dei controlli
4.6.15 Verifica del livello di rischio effettivo
4.6.16 Valutazione dei controlli da implementare
4.6.17 Modalità di selezione dei controlli
4.7 Manuale della Sicurezza IT
4.7.1 Information security infrastructure
4.7.2 Physical and environmental security
4.7.3 Equipment security
4.7.4 General controls
4.8 Statement of applicability (SOA)
5 Appendice B: Codici deontologici delle certificazioni di competenza del personale
5.1 ISACA® Code of Professional Ethics (www.isaca.org/codeofethics.htm)
5.2 (ISC)² Code of Professional Ethics (https://www.isc2.org/cgi/content.cgi?category=12#code)
6 Appendice C: Case Studies sulla sicurezza fisica
6.1 Case study: sicurezza dell alimentazione elettrica e condizioni ambientali in un data center
6.2 Case Study : Sicurezza del cablaggio di un data center
7 Appendice D: Lo standard ITSEC
7.1 Fondamenti dei criteri ITSEC
7.2 Impiego, vantaggi e svantaggi dei criteri ITSEC
8 Glossario
8.1 Glossario di riferimento nel contesto delle certificazioni BS7799/ISO27001
8.2 Glossario di riferimento nel contesto delle certificazioni Common Criteria (ISO15408)
9 Bibliografia
IsacaRoma link
- Intervista a Luisa Franchina Direttore Generale dell’Istituto Superiore delle Comunicazioni e della Tecnologia dell’Informazione
- Centro di formazione dei dipendenti della PA nel campo della sicurezza ICT
- ISCOM - L'analisi e la gestione del rischio: principi e metodi
- "Futuro Semplice": una nuova iniziativa di ISCOM
- L’OCSI e la certificazione della sicurezza ICT
- Fattori critici per lo sviluppo delle certificazioni di sicurezza secondo i Common Criteria
- ISCOM: Anteprima sulle nuove linee guida sulla sicurezza e la qualità dei servizi - prima parte e seconda parte
» email this story | printer friendly version | 4212 reads
