Controlli di sicurezza
I controlli di sicurezza sono misure di sicurezza o contromisure per evitare, rilevare, neutralizzare o minimizzare i rischi per la sicurezza di proprietà fisiche, informazioni, sistemi informatici o altre risorse.
Possono essere classificati secondo diversi criteri. Ad esempio, in base al momento in cui agiscono, relativamente a un incidente di sicurezza:
- Prima dell’evento, i controlli preventivi hanno lo scopo di evitare che si verifichi un incidente, ad esempio bloccando gli intrusi non autorizzati;
- Durante l’evento, i controlli investigativi hanno lo scopo di identificare e caratterizzare un incidente in corso, ad esempio suonando l’allarme anti-intrusione e avvisando le guardie di sicurezza o la polizia;
- Dopo l’evento, i controlli correttivi mirano a limitare l’entità dei danni causati dall’incidente, ad esempio recuperando l’organizzazione nel normale stato lavorativo nel modo più efficiente possibile.
Secondo la loro natura, ad esempio:
- Controlli fisici ad es. recinzioni, porte, serrature ed estintori;
- Controlli procedurali per es. processi di risposta agli incidenti, supervisione della gestione, consapevolezza della sicurezza e formazione;
- Controlli tecnici ad es. autenticazione dell’utente (accesso) e controlli di accesso logici, software antivirus, firewall;
- Controlli legali e normativi o di conformità, ad es. leggi sulla privacy, politiche e clausole.
Una classificazione simile distingue il controllo che coinvolge persone, tecnologia e operazioni / processi.
Nel campo della sicurezza delle informazioni , tali controlli proteggono la riservatezza , l’ integrità e / o la disponibilità delle informazioni – la cosiddetta Triade della CIA
I sistemi di controllo possono essere indicati come quadri o standard. I framework possono consentire a un’organizzazione di gestire i controlli di sicurezza tra diversi tipi di risorse con coerenza.
Standard di sicurezza delle informazioni e quadri di controllo
Numerosi standard di sicurezza delle informazioni promuovono buone pratiche di sicurezza e definiscono quadri o sistemi per strutturare l’analisi e la progettazione per la gestione dei controlli di sicurezza delle informazioni. Alcuni dei più noti sono descritti di seguito.
Standard internazionali di sicurezza delle informazioni
ISO / IEC 27001: 2013 specifica 114 controlli in 14 gruppi:
- A.5: Politiche di sicurezza delle informazioni
- A.6: Come è organizzata la sicurezza delle informazioni
- A.7: Sicurezza delle risorse umane – controlli applicati prima, durante o dopo l’occupazione.
- A.8: Gestione delle risorse
- A.9: controlli di accesso e gestione dell’accesso utente
- A.10: tecnologia crittografica
- A.11: Sicurezza fisica dei siti e delle attrezzature dell’organizzazione
- A.12: Sicurezza operativa
- A.13: comunicazioni sicure e trasferimento di dati
- A.14: Acquisizione, sviluppo e supporto sicuri dei sistemi di informazione
- A.15: Sicurezza per fornitori e terze parti
- A.16: gestione degli incidenti
- A.17: Business continuity / disaster recovery (nella misura in cui influisce sulla sicurezza delle informazioni)
- A.18: Conformità – con requisiti interni, come le politiche e con requisiti esterni, come le leggi.
Standard di sicurezza delle informazioni del governo federale degli Stati Uniti
Dalla pubblicazione speciale NIST SP 800-53 revisione 4.
- AC Access Control.
- AT consapevolezza e formazione.
- Audit AU e responsabilità.
- CA Security Assessment and Authorization. (abbreviazione storica)
- Gestione della configurazione CM.
- Pianificazione di contingenza CP.
- IA Identificazione e autenticazione.
- Risposta agli incidenti IR.
- Manutenzione MA.
- Protezione multimediale MP.
- PE Protezione fisica e ambientale.
- Pianificazione PL.
- PS Personnel Security.
- RA Risk Assessment.
- Acquisizione di sistemi e servizi SA.
- Sistema SC e protezione delle comunicazioni.
- Sistema SI e integrità delle informazioni.
- Gestione del programma PM.
Standard di sicurezza delle informazioni del Dipartimento della Difesa degli Stati Uniti
Da DoD Instruction 8500.2 [1] ci sono 8 aree Information Assurance (IA) ei controlli sono definiti controlli IA.
- DC Security Design & Configuration
- IA Identificazione e autenticazione
- Enclave EC e ambiente di calcolo
- EB Enclave Boundary Defence
- PE fisico e ambientale
- Personale PR
- CO Continuità
- VI Vulnerabilità e gestione degli incidenti
Il DoD assegna il controllo IA per ogni triade CIA .
Telecomunicazioni
Nelle telecomunicazioni, i controlli di sicurezza sono definiti come servizi di sicurezza come parte del modello di riferimento OSI
- Raccomandazione ITU-T X.800.
- ISO ISO 7498-2
Questi sono tecnicamente allineati. [1] [2] Questo modello è ampiamente riconosciuto [3] [4]
Quadri di controllo aziendale
Vi sono una vasta gamma di quadri e standard che guardano al business interno e controlli inter-aziendali, tra cui:
- SSAE 16
- ISAE 3402
- Standard per la sicurezza dei dati nell’industria delle carte di pagamento
- Legge sulla portabilità e responsabilità delle assicurazioni sanitarie
Vedi anche
- Controllo di accesso
- contromisura
- Progettazione ambientale
- Informazioni di sicurezza
- Modello di riferimento OSI
- Sicurezza fisica
- Rischio
- Sicurezza
- Ingegneria della sicurezza
- Gestione della sicurezza
- Servizi di sicurezza
Riferimenti
- Salta su^ X.800: Architettura di sicurezza per Open Systems Interconnection per applicazioni CCITT
- Salta su^ ISO 7498-2 (Sistemi di elaborazione delle informazioni – Interconnessione di sistemi aperti – Modello di riferimento di base – Parte 2: Architettura di sicurezza)
- Salta su^ William Stallings Crittografia e sicurezza delle reti Seconda edizioneISBN 88-386-6377-7Traduzione Italiana a cura di Luca Salgarelli di Crittografia e sicurezza della rete 4 edizione Pearson 2006
- Salta in alto^ Protezione dei sistemi di informazione e comunicazione: principi, tecnologie e applicazioni Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 – 362 pagine