Nella prima parte di questa serie di articoli abbiamo esaminato il quadro di riferimento per quanto riguarda le nuove Istruzioni di vigilanza (pdf, 145 K per ora in bozza) sulla Compliance.

Come ci era già stato anticipato dall’ing. Luisa Franchina, Direttore Generale dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCOM), è stato pubblicata una nuova linea guida dal titolo “Risk Analysis Approfondimenti” (pdf,1,20 M)

di Manlio Torquato, ANESC 
In questi giorni, in ambito bancario, si parla molto di "Compliance".
Nell’aprile del 2005 la Bank for International Settlements (BIS) ha pubblicato “Compliance and the Compliance function in banks” (pdf, 62 K); il tema è stato “prepotentemente” rilanciato da governatore della Banca D’Italia nelle sue considerazioni del 31 maggio 2006 (pdf, 83 K); infine il 25 agosto 2006 la stessa Banca d’Italia ha pubblicato sul proprio sito, in bozza, il “Documento di consultazione concernente la normativa di vigilanza in materia di conformità alle norme (Compliance)” (pdf, 145 K), qui commentata, i cui contenuti erano già stati ampiamente anticipati nel convegno dell’Associazione Italiana Compliance (AICOM) del 28 giugno 2006.

La versione originale, in lingua inglese, è stata pubblicata sul numero di agosto 2006 di Crypto-Gram.
Traduzione di Agatino Grillo.

Sono sempre stato contrario alle certificazioni: ho spesso avuto a che fare sia con professionisti della sicurezza non capaci ma dotati di certificazioni sia con bravi professionisti senza nessuna certificazione.

La Computer Security Division (CSD) del NIST, National Institute of Standards and Technology, ha pubblicato le bozze di quattro nuove guide di sicurezza:

1. SP 800-45A, Guidelines on Electronic Mail Security ( PDF , 1,912 KB e  Zipped PDF 1,068 KB)
2. SP 800-94, Guide to Intrusion Detection and Prevention (IDP) Systems (PDF, 2,333 KB e  Zipped PDF 1,844 KB)
3. SP 800-95, Guide to Secure Web Services (PDF , 1,253 KB e Zipped PDF, 879 KB) 
4. SP 800-101, Guidelines on Cell Phone Forensics (PDF, 1,289 KB e Zipped PDF 1,005 KB)

nonché annunciato la release definitiva di:

(English version)

IsacaRoma: Salve professor Anderson e grazie per la collaborazione. Alcuni giorni fa lei ha ottenuto l’autorizzazione dall’editore per rendere disponibile sul web la versione elettronica del suo libro "Security Engineering" che quindi può adesso essere scaricato liberamente. Quali i motivi della sua decisione?

(Italian version)

IsacaRoma: Hello, Professor Anderson and thanks for speaking to us too. Some days ago, you persuaded your publisher to let you put your book "Security Engineering" online for free download. What was you goal?

Traduzione in italiano a cura di IsacaRoma dell’articolo “A Users' Guide: How to Raise Information Security Awareness" di Isabella Santa, pubblicato da ENISA in "ENISA Quarterly" num. 5, giugno 2006 (pdf, 1.4 M, pagg. 9-10)

Traduzione in italiano a cura di IsacaRoma dell’articolo “A word from the Executive Director” di Andrea Pirotti, pubblicato da ENISA in "ENISA Quarterly" num. 5, giugno 2006 (pdf, 1.4 M, pag. 1)

Per gentile concessione dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione pubblichiamo un altro paragrafo della nuova linea guida sulle certificazioni di sicurezza i cui contenuto ci sono stati anticipati dall’ ing. Luisa Franchina, Direttore Generale di ISCOM. Si tratta del paragrafo che affronta il tema della certificazione secondo i Common Criteria (CC). In questa seconda parte dell’articolo si analizzeranno vantaggi e svantaggi dell’utilizzo dei CC mentre nella prima parte sono state presentate le caratteristiche generale dei CC. Ricordiamo che sono stati già pubblicati sia l'indice completo della linea guida sia il paragrafo relativo alle certificazioni delle competenze del personale.