+39 075 609699 info@lusios.it

ENISA: Standard di Gestione del Rischio

Lusios S.r.l.

ENISA, Agenzia dell’Unione europea per la cyber sicurezza, ha appena pubblicato un documento: “RISK MANAGEMENT STANDARDS, Analysis of standardisation requirements in support of cybersecurity policy”, in cui fornisce una panoramica degli standard pubblicati che affrontano aspetti della gestione del rischio e successivamente descrivono metodologie e strumenti che possono essere utilizzati per conformarsi o implementare tali standard.

La gestione del rischio consiste nell’identificare e proteggere le risorse preziose di un’organizzazione.

Le procedure di gestione del rischio sono processi fondamentali per preparare le organizzazioni a futuri attacchi informatici e per valutare prodotti e servizi per evitarli o quantomeno limitarne i danni.

La gestione del rischio prevede dei passaggi chiave:

  1. identificazione delle minacce
  2. valutazione delle minacce
  3. valutazione del rischio
  4. mitigazione del rischio
  5. valutazione dei controlli di sicurezza implementati e ulteriori mitigazioni

 

L’obiettivo principale della gestione del rischio all’interno di un’organizzazione è determinare possibili incertezze o minacce, proteggere dalle conseguenze che ne derivano e consentire il raggiungimento degli obiettivi aziendali.

Il processo di gestione del rischio è il modo individuale in cui un’organizzazione affronta il concetto di rischio e i relativi tipi di rischio al suo interno. Il processo di gestione del rischio è una parte fondamentale di qualsiasi organizzazione e deve essere integrato in tutti i processi e le attività.

 

Cos’è una metodologia?

Una metodologia è un insieme di principi e metodi (almeno uno) che aderiscono alle buone pratiche utilizzate per svolgere una particolare attività. È uno schema coerente e logico che guida le scelte degli utenti della metodologia.

 

Qual è la relazione tra standard e metodologie?

Alcune metodologie sono (pubblicate come) standard e alcuni standard includono metodologie.

Nel documento redatto da ENISA, su tematiche di sicurezza informatica e la sicurezza delle informazioni, questi tipi di rischi devono essere valutati in combinazione con i tre aspetti che devono essere garantiti della sicurezza delle informazioni: riservatezza, integrità e disponibilità. Ad esempio, le conseguenze possono derivare per il rischio di mercato da una perdita di integrità, o quali conseguenze possono derivare per il rischio della catena di approvvigionamento da una perdita di riservatezza.

Tra i sistemi di certificazione per la sicurezza delle informazioni c’è la UNI CEI EN ISO/IEC 27001:2017, Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazioni.

Quando un’organizzazione intende raggiungere la conformità ai requisiti di uno standard del sistema di gestione come quello sopra citato, i requisiti relativi alla gestione del rischio si trovano in queste clausole:

  • Azioni per affrontare rischi e opportunità
  • Valutazione dei rischi per la sicurezza delle informazioni
  • Mitigazione dei rischi per la sicurezza delle informazioni.

Il risultato di un’analisi del rischio è nella maggior parte dei casi un elenco di rischi o minacce per un sistema, insieme alle probabilità corrispondenti. Gli standard internazionali nel campo della gestione del rischio sono utilizzati per supportare l’identificazione di questi rischi o minacce, nonché per valutare le rispettive probabilità.

Ci sono tre opzioni per l’analisi della gestione del rischio delle metodologie:

· Opzione 1: La metodologia viene utilizzata per ottenere la conformità a uno standard (con riferimento in parte o in tutto a un determinato standard e ai suoi requisiti).

· Opzione 2: La metodologia è fornita come standard e può essere utilizzata per ottenere la conformità a uno standard e ai suoi requisiti.

· Opzione 3: La metodologia è un insieme di buone pratiche ma non correlate ad alcuno standard e non utilizzate per ottenere la conformità.

 

Gli standard e le metodologie di gestione del rischio possono essere utilizzati per diversi scopi in un’entità:

  • Impostare o rafforzare un processo di gestione del rischio digitale all’interno di un’organizzazione.
  • Valutare e trattare i rischi relativi a un progetto digitale, in particolare con l’obiettivo di un accreditamento di sicurezza.
  • Definire il livello di sicurezza da raggiungere per un prodotto o servizio in base ai suoi usi particolari e ai rischi da contrastare, ad esempio dal punto di vista della certificazione o dell’accreditamento.

Il diagramma illustra i vari passaggi e la relazione causale tra l’agente di minaccia e l’esposizione dell’asset, che è comunemente noto come “attacco informatico”. La gestione del rischio e la metodologia e gli strumenti associati sono un insieme di requisiti da seguire per stimare il livello di rischio che un’entità sta affrontando.

 

Le misure necessarie che devono essere condotte da qualsiasi entità all’avvio della sua analisi dei rischi possono essere riassunte come segue:

  1. Identificazione dei beni critici (dati, materiale, luogo, persone);
  2. Identificazione delle minacce di questi asset critici;
  3. Definizione dell’evento e dell’importanza di queste minacce per calcolare un tasso di rischio;
  4. Decisione sull’attenuazione dei rischi (ridurre, accettare, trasferire);
  5. Pianificazione del piano di continuità operativa e del piano di ripresa aziendale;
  6. Definizione della cartografia informatica o dell’ambiente di utilizzo del prodotto.

La pubblicazione fornisce in allegato (Annex A) un elenco delle norme e delle specifiche tecniche relative alla gestione dei rischi. Si elencano le principali per quanto riguarda la sicurezza delle informazioni e dati informatici.

Nome Riferimento del documento Tipo di documento Ambito del documento

Nome della pubblicazione

Organizzazione

Breve descrizione
Tecniche di sicurezza — Gestione dei rischi per la sicurezza delle informazioni ISO/IEC 27005:2018 Standard Istruzioni ISO/IEC Questo documento fornisce linee guida per la gestione dei rischi per la sicurezza delle informazioni. Supporta i concetti generali della ISO/IEC 27001 ed è progettato per assistere l’attuazione soddisfacente della sicurezza delle informazioni basata su un approccio di gestione del rischio.
Tecnologia dell’informazione — Tecniche di sicurezza — Requisiti per gli organismi che forniscono audit e certificazione dei sistemi di gestione della sicurezza delle informazioni ISO/IEC 27006:2015 Standard Fabbisogno ISO/IEC ISO/IEC 27006:2015 specifica i requisiti e fornisce indicazioni per gli organismi che forniscono audit e certificazione di un sistema di gestione della sicurezza delle informazioni (ISMS), oltre ai requisiti contenuti in ISO/IEC 17021-1 e ISO/IEC 27001. Ha principalmente lo scopo di supportare l’accreditamento degli organismi di certificazione.
Tecnologia dell’informazione — Tecniche di sicurezza — Guida all’implementazione integrata di ISO/IEC 27001 e ISO/IEC 20000-1 ISO/IEC 27013:2015 Standard Istruzioni ISO/IEC

ISO/IEC 27013:2015 fornisce   indicazioni   sull’implementazione integrata di ISO/IEC 27001 e ISO/IEC 20000-1 per le organizzazioni che intendono:

i)  implementare ISO/IEC 27001 quando ISO/IEC 20000-1 è già implementato, o viceversa,

ii)  applicare insieme ISO/IEC 27001 e ISO/IEC 20000-1,

iii)  integrare i sistemi di gestione esistenti basati su ISO/IEC 27001 e ISO/IEC 20000-1.  ISO/IEC 27013:2015 si concentra esclusivamente sull’implementazione integrata di un sistema di gestione della sicurezza delle informazioni (ISMS) come specificato in ISO/IEC 27001 e di una gestione dei servizi

sistema (SMS) come specificato in ISO/IEC 20000-1.

Tecnologia dell’informazione — Rischio per  la privacy dell’organizzazione

CD ISO /IEC 27557 Standard Fabbisogno ISO/IEC In fase di sviluppo
Tecnologia dell’informazione — Tecniche di sicurezza — Valutazione della sicurezza dei sistemi operativi ISO/IEC TR 19791:2010 Relazione tecnica Istruzioni ISO/IEC Questa relazione tecnica fornisce indicazioni e criteri per la valutazione della sicurezza dei sistemi operativi. Fornisce un’estensione all’ambito di applicazione di ISO/IEC 15408, tenendo conto di una serie di aspetti critici dei sistemi operativi non affrontati nella valutazione ISO/IEC 15408.
Sistemi di gestione della sicurezza delle informazioni — Panoramica e vocabolario EN ISO/IEC 27000:2020 Standard Vocabolario CEN-CLC

EN ISO/IEC 27000 fornisce una panoramica dei sistemi di gestione della sicurezza delle informazioni (ISMS). Fornisce inoltre termini e definizioni comunemente utilizzati nella famiglia di standard ISMS.  Questo documento è applicabile a tutti i tipi e dimensioni di organizzazioni (ad esempio imprese commerciali, agenzie governative, organizzazioni senza scopo di lucro organizzazioni).

Sistemi di gestione della sicurezza delle informazioni — Requisiti EN ISO/IEC 27001:2017 Standard Fabbisogno CEN-CLC EN ISO/IEC 27001 specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell’organizzazione.
Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni sulla privacy – Requisiti e linee guida EN ISO/IEC 27701:2021 Standard Fabbisogno CEN-CLC Questo documento specifica i requisiti e fornisce indicazioni per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione delle informazioni sulla privacy (PIMS) sotto forma di un’estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione della privacy nel contesto dell’organizzazione.
Tecniche di sicurezza — Codice di condotta per i controlli di sicurezza delle  informazioni EN ISO/IEC 27002:2017 Standard Codice di condotta CEN-CLC

EN ISO/IEC 27002 fornisce linee guida per gli standard di sicurezza delle informazioni organizzative e le pratiche di gestione della sicurezza delle informazioni, compresa la selezione, l’implementazione e la gestione dei controlli tenendo conto delle informazioni dell’organizzazione

Requisiti per gli organismi che forniscono audit e certificazione dei sistemi di gestione della sicurezza delle informazioni EN ISO/IEC 27006:2020 Standard Fabbisogno CEN-CLC

EN ISO/IEC 27006 specifica i requisiti e fornisce indicazioni per gli organismi che forniscono audit e certificazione di un sistema di gestione della sicurezza delle informazioni (ISMS), oltre ai requisiti contenuti in ISO/IEC 17021-1 e EN ISO/IEC 27001.   Ha principalmente lo scopo di supportare l’accreditamento degli organismi di certificazione

CYBER; Metodi e protocolli; Parte 1: Metodo e pro forma per l’analisi di minacce, vulnerabilità e rischi (TVRA). ETSI TS 102 165-1 Specifiche tecniche Specifiche tecniche ETSI

L’attuale documento definisce un metodo utilizzato principalmente dagli sviluppatori di standard ETSI per effettuare un’analisi delle minacce, dei rischi e delle vulnerabilità di una tecnologia dell’informazione e della comunicazione