Il documento tratta di analisi dei rischi nell’ambito della protezione delle informazioni aziendali, al fine di assicurarne l’integrità, la disponibilità ed evitarne indebiti utilizzi. In particolare ci si riferisce agli aspetti di protezione delle informazioni, come elemento specifico del patrimonio aziendale, quando queste vengono elaborate, conservate e trasmesse attraverso strumenti ICT.
Riportimao, per gentile concessione di ISCOM, l'indice e la guida alla lettura del documento.
Indice del documento
Introduzione
Guida alla Lettura
Parte Prima
Capitolo 1: Generalità
Genesi e storia dell’analisi del rischio nel contesto delle aziende e delle organizzazioni
L’analisi e la gestione dei rischi nel contesto più ampio della Security Governance
Vantaggi di un processo di analisi dei rischi in azienda
L’analisi dei rischi e lo scenario normativo
Capitolo 2: Peculiarità e similitudini delle metodologie e degli strumenti di analisi del rischio
Approccio all’analisi dei rischi
Concetti comuni
Rischio
Minaccia
Vulnerabilità
Danno
Impatto
Fasi e passi dell’analisi dei rischi
Preparazione e pianificazione
Identificazione e stima dei rischi
Valutazione dei rischi
Capitolo 3: L’analisi dei rischi in pratica
Gli strumenti per l’analisi dei rischi
Grado di maturità delle organizzazioni e self-assessment
Ambito, ruoli e responsabilità
Modellizzazione e valutazione in pratica
Risultati dell’analisi
Strategie di gestione del rischio
Parte seconda - schede descrittive 31
AS/NZS 4360:2004 RISK MANAGEMENT
BSA – Baseline Security Assessment
Ce.TRA - Continuous e.Business Threat and Risk Analysis
CRAMM
Defender Manager
EBIOS
ERAM - Enterprise Risk Assessment and Management
FIRM (Fundamental Information Risk Management)
ISA – Information Security Assessment
ISO/IEC 21827 - System Security Engineering, Capability Maturity Model
NET.RISK
NORA - Network Oriented Risk Analysis methodology
OCTAVE® - Operationally Critical Threat, Asset, and Vulnerability EvaluationSM
OSSTMM – Open Source Security Testing Methodology Manual
PRA – Psychological Risk Assessment
RAF - Risk Analyis Facility
RISKWATCH (versione per l’Italia)
SARA - Simple to Apply Risk Analysis
SPRINT – Simplified Process for Risk Identification
SSM - Scalable Security Model
Guida alla lettura
Questo documento tratta di analisi dei rischi nell’ambito della protezione delle informazioni aziendali, al fine di assicurarne l’integrità, la disponibilità ed evitarne indebiti utilizzi. In particolare ci si riferirà agli aspetti di protezione delle informazioni, come elemento specifico del patrimonio aziendale, quando queste vengono elaborate, conservate e trasmesse attraverso strumenti ICT.
Il documento nasce dalla condivisione di esperienze maturate nell’applicazione dell’analisi dei rischi e parte dall’esame e dalla descrizione delle metodologie e, più in generale, degli strumenti utilizzati in tale ambito. Le metodologie e gli strumenti considerati sono pertanto quelli che ricadono in tali specifiche esperienze e non intendono esaurire il panorama di quanto disponibile e neanche essere necessariamente rappresentative dell’intero quadro metodologico nazionale e internazionale. Tuttavia il numero delle metodologie e degli strumenti analizzati, nonché la varietà in termini di approcci a effettive esperienze applicative di origine concettuale, hanno consentito di trarre alcune indicazioni generali sull’argomento.
Il documento si compone pertanto di due parti:
la prima parte contiene le indicazioni generali emerse dalle attività sopradescritte e si pone l’obiettivo di fornire elementi utili a chi volesse avvicinarsi all’analisi dei rischi in ambito ICT, sia fornendo una panoramica generale della materia, sia esponendo alcune nozioni di base e indicazioni pratiche derivanti dall’esperienza nell’applicazione delle metodologie di analisi;
la successiva seconda parte, composta da schede che descrivono le metodologie e gli strumenti considerati, vuole invece porsi come punto iniziale di approfondimento di alcune tra le diverse alternative disponibili per l’attuazione di una analisi dei rischi.
IsacaRoma link
ISCOM
- Intervista a Luisa Franchina Direttore Generale dell’Istituto Superiore delle Comunicazioni e della Tecnologia dell’Informazione [4]
- Centro di formazione dei dipendenti della PA nel campo della sicurezza ICT [5]
- ISCOM - L'analisi e la gestione del rischio: principi e metodi [6]
- "Futuro Semplice": una nuova iniziativa di ISCOM [7]
- L’OCSI e la certificazione della sicurezza ICT [8]
- Fattori critici per lo sviluppo delle certificazioni di sicurezza secondo i Common Criteria [9]
- ISCOM: Anteprima sulle nuove linee guida sulla sicurezza e la qualità dei servizi - prima parte [10] e seconda parte [11]
Nuova linea guida sulla “Certificazione della Sicurezza ICT”
- Anteprima della linea guida sulla "Certificazione della Sicurezza ICT": l’indice del volume [12]
- Anteprima della linea guida sulla “Certificazione della Sicurezza ICT”: le certificazioni del personale [13]
- ISCOM – Anteprima della linea guida sulla “Certificazione della Sicurezza ICT”: ISO 15408 Common Criteria – prima parte [14] e seconda parte [15]