Analisi degli standard BS7799 ed il ruolo che essi assumono per l’implementazione e l’attuazione di una infrastruttura di sicurezza presso un sistema ICT

Guzzo Antonio 12/11/09
Scarica PDF Stampa
Le principali forme di certificazione riconosciute sia a livello nazionale che internazionale sono le BS7799. Il BS7799, British Standard 7799, è uno standard nato in Inghilterra che si è posto per primo il problema di gestione della sicurezza delle informazioni ad alto livello cioè astraendo dalla tecnologia e concentrandosi sul modello organizzativo, sulla procedura e sulle accortezze da implementare nell’ ambito del sistema informatico. La sicurezza informatica deve pervadere tutti i livelli di un sistema, ad esempio amministrativo, di conduzione, di gestione dei rapporti con le terze parti (cioè a livello contrattuale): le BS7799 cercano di coprire tutti gli aspetti all’ interno della struttura fornendo il modello organizzativo e la soluzione alle problematiche che si presentano nella fase di sviluppo. Partendo dagli obiettivi di sicurezza che il sistema si pone rispetto ai diversi settori nell’ ambito della gestione e della conduzione, si pongono delle linee guida inerenti la sicurezza da osservare e da attuare che sono poi alla base delle procedure operative del trattamento dei dati sensibili. Ciò posto, si comincia con il delineare all’ interno delle BS7799,  le cosiddette linee guida da rispettare nel progetto di sicurezza, si procede poi con l’analisi conoscitiva della situazione e successivamente l’ analisi dei siti del sistema. Le BS7799 sono distinte in due parti separate: le BS7799-1 e le BS779-2. La prima parte riporta le linee guida sulla sicurezza delle informazioni e quindi sono di carattere generale, cioè accortezze di cui bisogna tenere conto nell’ implementazione di un sistema di sicurezza per la gestione delle informazioni proponendo anche delle possibili soluzioni. La seconda parte rappresenta, invece, lo standard vero e proprio e illustra come devono essere utilizzate le linee guida fornite al primo punto per poter applicare lo standard delle BS7799-2. La certificazione delle BS7799 è una certificazione ISO perché ha recepito entrambi i moduli delle BS7799: il primo modulo delle BS7799, cioè le linee guida, è stato recepito per intero da ISO con la regola ISO/IEC 17799 del 2005; il secondo modulo è stato recepito recentemente nella norma ISO/IEC 270001:2005. Infatti la norma 2700 rappresenta il codice dello standard per la sicurezza di tutte le informazioni. Poiché la tecnologia è in continuo cambiamento, anche gli standard subiscono delle modifiche nel tempo, soprattutto per quello che concerne la gestione della sicurezza: anche le BS7799 hanno subito perciò delle modifiche passando da quelle che erano inizialmente le ISO/IEC 17799:2000 alle ISO/IEC 1799:2005.
 
 
a cura del Dottor Antonio Guzzo
Responsabile CED – Sistemi Informativi del Comune di Praia a Mare

Guzzo Antonio

Scrivi un commento

Accedi per poter inserire un commento