NORMATIVA TECNICA
ISO 27001
Il patrimonio informativo di un Organizzazione rappresenta un
asset strategico e come tale va protetto adeguatamente. Le
informazioni sono disponibili sia in formato cartaceo che
elettronico. Un modello di gestione della sicurezza delle
informazioni è rappresentato dalla Norma ISO/IEC 27001:2005
Information Technology – Security techiniques – Code of practice
for information security management – Requirements.
La norma
ISO/IEC 27001:2005 fornisce i requisiti per definire,
realizzare, gestire, monitorare, riesaminare, mantenere e
migliorare un sistema di sicurezza delle informazioni. Obiettivi
L’obiettivo di un sistema di gestione della sicurezza
informatica conforme alla ISO/IEC 27001:2005 è quello di
preservare la riservatezza, l’integrità e la disponibilità delle
informazioni dell’Organizzazione. L’adozione di un tale sistema
di gestione può portare, tra l’altro, ai seguenti vantaggi
competitivi:
- rafforzamento della immagine aziendale nei confronti degli stakeholder;
- consapevolezza all’interno dell’Organizzazione sulle tematiche di sicurezza delle informazioni;
- approccio sistematico alle problematiche di sicurezza;
- adozione di uno strumento di miglioramento dei processi aziendali afferenti la sicurezza delle informazioni, infatti la norma è strutturata sul ciclo PDCA (plan-do-check-act)
Alcune delle attività richieste dalla norma riguardano:
- Individuazione dei beni (assets) da proteggere ed i relativi proprietari responsabili;
- Valutazione dei rischi (risk assesment) che incombono sulle informazioni;
- Definizione del livello di rischio accettabile;
- Scelta ed attuazione delle contromisure per ridurre il rischio non accettabile;
- Effettuazione di verifiche ispettive (audit) sul sistema;
- Riesame sistematico del sistema di gestione;
Best Pratices
In ultimo è da segnalare che la ISO/IEC 27002:2007, Information Technology – Security techiniques – Code of practice for information security management fornisce raccomandazioni per tutti coloro che sono responsabili di avviare, realizzare e mantenere il sistema di sicurezza nella loro Organizzazione.
PCI DSS
La sicurezza dei dati dei titolari di carte di credito è diventata un problema di cruciale importanza a livello internazionale.
Infatti in molti paesi del mondo si sono verificati casi di pirateria informatica ai danni di sistemi computerizzati, con il conseguente furto dei dati personali dei titolari di carte di credito e il loro utilizzo a scopo di frode.
In risposta Visa e MasterCard, sostenuti successivamente da tutti i maggiori circuiti internazionali operanti in tale settore, hanno creato il la certificazione “Payment Card Industry Data Security Standards” (PCI DSS) allo scopo di garantire che i dati sensibili riguardanti il titolare della carta siano costantemente protetti.
Settori in cui gli operatori commerciali sono tenuti ad ottemperare ai requisiti della suddetto standard sono, ad esempio:
- commercio on line;
- l’istruzione superiore, ad esempio le università;
- il settore sanitario, ad esempio ospedali e cliniche;
- viaggi e intrattenimenti, ad esempio alberghi e ristoranti;
- energetico, ad esempio stazioni di servizio;
- finanziario, ad esempio banche e compagnie di assicurazione
- Obiettivo dell’adozione di tale standard è quello di evitare sanzioni, azioni legali, perdita di immagine e conseguente perdita d’affari
La struttura della PCI DSS è suddivisa in 12 requisiti di protezione organizzati in sei categorie elencate di seguito:
- Realizzazione e implementazione di una rete sicura;
- Protezione dei dati dei titolari;
- Implementazione di un programma di gestione della vulnerabilità;
- Implementazione di robuste misure di controllo dell’accesso;
- Monitoraggio e test periodico delle reti;
- Implementazione di una politica per la sicurezza dei dati.
NORME CEI
CEI 79 Impianti antieffrazione, antintrusione, antifurto e antiaggressione. Norme particolari per le apparecchiature.
CEI 79 Impianti antieffrazione, antintrusione, antifurto e antiaggressione.Norme particolari per gli impianti antieffrazione e antintrusione.
CEI 79-2 Impianti antieffrazione, antintrusione, antifurto e antiaggressione. Norme particolari per le apparecchiature.
CEI 79-3 Impianti antieffrazione, antintrusione, antifurto e antiaggressione. Norme particolari per gli impianti antieffrazione e antintrusione.
CEI 79-4 Impianti antieffrazione, antintrusione, antifurto e antiaggressione. Norme particolari per il controllo degli accessi.
CEI 79-5 Protocollo di comunicazione per il trasferimento di informazioni di sicurezza (allarmi). Parte 1: livello di trasporto.
CEI 79-6 Protocollo di comunicazione per il trasferimento di informazioni di sicurezza (allarmi). Parte 2: livello applicativo.
CEI 79-7 Protocollo CEI 79-5. Guida all’applicazione.
CEI 79-8 Sistemi di allarme. Parte 4: EMC. Norma per famiglia di prodotto: requisiti di immunità per componenti di sistemi antincendio, antintrusione e di allarme personale.
CEI 79-9 + V1 Sistemi di protezione contro un impiego non autorizzato dei veicoli a motore. Norme particolari per i sistemi di protezione contro il furto degli autoveicoli.
CEI 79-10 Impianti di allarme. Impianti di sorveglianza cctv da utilizzare nelle applicazioni di sicurezza. Parte 7: guide di applicazione
CEI 79-11 Centralizzazione delle informazioni di sicurezza. Requisiti di sistema.
CEI 79-12 Guida per conseguire la conformità alle direttive EC per i sistemi di allarme.
CEI 79-13 Impianti antieffrazione, antintrusione, antifurto e antiaggressione. Norme particolari per le apparecchiature. Linee guida per l’installazione di sistemi di controllo accessi.
CEI 79-14 Sistemi d’allarme – Sistemi controllo d’accesso per l’impiego in applicazioni di sicurezza. Parte 1: requisiti dei sistemi.
CEI 79-15 Sistemi di allarme – Sistemi di allarme intrusione. Parte 1: prescrizioni generali.
CEI 79-16 Requisiti per apparecchiature e sistemi di rilevazione e segnalazione di allarme intrusione, antifurto e antiaggressione “senza fili” che utilizzano collegamenti in radiofrequenza.
CEI 79-17 Sistemi di protezione contro un impiego non autorizzato dei veicoli a motore. Norme particolari per i sistemi di protezione contro il furto dei mezzi adibiti al trasporto merci su strada.
CEI 79-18 Sistemi di allarme – Sistemi ed apparati di trasmissione allarme. Parte 1 – 1: requisiti generali per sistemi di trasmissione allarmi.
CEI 79-19 Sistemi di allarme – Sistemi ed apparati di trasmissione allarme. Parte 1 – 2: requisiti per sistemi che usano collegamenti dedicati.
CEI 79-20 Sistemi di allarme – Sistemi ed apparati di trasmissione allarme. Parte 1 – 3: requisiti per sistemi con dispositivi di comunicazione digitale che usano la rete telefonica pubblica commutata.
CEI 79-21 Sistemi di allarme – Sistemi ed apparati di trasmissione allarme. Parte 1 – 4: requisiti per sistemi con dispositivi di comunicazione vocale che usano la rete pubblica commutata.
CEI 79-22 Sistemi di allarme – Sistemi ed apparati di trasmissione allarme. Parte 2 – 1: requisiti generali per gli apparati di trasmissione allarmi.
CEI 79-23 Sistemi di allarme – Sistemi ed apparati di trasmissione allarme. Parte 2 – 2: requisiti per gli apparati utilizzati in sistemi che usano collegamenti dedicati.
CEI 79-24 Sistemi di allarme – Sistemi ed apparati di trasmissione allarme. Parte 2 – 2: requisiti per gli apparati utilizzati in sistemi con dispositivi di comunicazione digitale che usano la rete telefonica pubblica commutata.
CEI 79-25 Sistemi di allarme – Sistemi ed apparati di trasmissione allarme. Parte 2 – 4: requisiti per gli apparati utilizzati in sistemi con dispositivi di comunicazione vocale che usano la rete telefonica pubblica commutata.
CEI 79-26 Sistemi di allarme – Sistemi di sorveglianza CCTV da utilizzare nelle applicazioni di sicurezza. Parte 2 – 1: telecamere in bianco e nero.
CEI 79-27 Sistemi di allarme – Sistemi di allarme intrusione. Parte 6: alimentatori.
UNI 10459
A.I.P.S.A., UNI – Ente Nazionale Italiano di Unificazione, Università Bocconi,Confindustria, ABI, Confcommercio e AIPROS hanno elaborato una norma licenziata nel 1995 come “Norma Italiana Uni 10459 – Funzioni e profilo del professionista della Security Aziendale“, finalizzata alla valutazione e qualificazione di tale professionista.
Così viene sintetizzato il concetto di Security: “Studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa che possono danneggiare le risorse materiali, immateriali, organizzative e umane di cui l’azienda dispone o di cui necessita per garantirsi una adeguata capacità concorrenziale nel breve, nel medio e nel lungo termine”.
A cura del Comitato di Certificazione, coordinato dal CEPAS, voluto dall’ A.I.P.S.A., e composto dai rappresentanti di nove enti (ABI, AIPROS, AIPSA, APCOD, AIOICI, ANIVIP, CONFINDUSTRIA, ENEA, SPACE BOCCONI), si è arrivati alla compilazione ed alla pubblicazione delle schede contenenti i requisiti qualificanti relativi all’intero percorso di certificazione.
La certificazione professionale, secondo i dettami della Norma UNI 10459 sarà conseguita tramite il CEPAS che è un’organismo di certificazione, accreditato dal SINCERT, che si propone di certificare tutte le principali figure professionali che operano nei sistemi di gestione aziendale orientati a Qualità, Safety, Ambiente, Security, Bilancio ed altre specializzazioni.
La certificazione conseguita presso il CEPAS e la relativa iscrizione nei registri nazionali attestano che una persona possiede i requisiti necessari e sufficienti per operare con competenza e professionalità in un determinato settore dell’attività.
La normativa europea, a cui il sistema di certificazione fa costante riferimento, introduce il concetto innovatore di qualificazione professionale come know-how personale, cioè come accumulo e continuo sviluppo di conoscenze ed esperienze.
Il professionista certificato è pertanto soggetto, ogni tre anni, a verifica da parte dell’organismo di certificazione per accertare che continui a svolgere la propria attività e ad aggiornare le proprie conoscenze.
Sotto le sigle SH39, SH40, SH41, SH42 ed SH43 troverete, presso l’associazione, le schede che riguardano la certificazione di due figure professionali: quella dei security managers e quella dei progettisti/consulenti del sistema di gestione della security. CONTATTACI !