Conoscere le vulnerabilità di un sistema informativo è necessario ma non sufficiente. Per una protezione efficace, le organizzazioni hanno bisogno di una visione completa della situazione di rischio: vulnerabilità, misure, minacce, impatti. Questa visione completa è fornita dai metodi di analisi del rischio e di valutazione della sicurezza. Il punto di riferimento metodologico globale in questo campo ruota attorno agli standard ISO 2700x: ISO 27001, ISO 27002 e ISO 27005.

EGERIE utilizza una serie di metodi di analisi del rischio standardizzati, descritti di seguito.

GLI STANDARD

Lo standard ISO 27001

EGERIE supporta l’implementazione di un approccio ISO 27001 attraverso il suo Gestore del rischio soluzione Risk Manager.

La norma ISO 27001 descrive lo sviluppo di un ISMS (Information Security Management System) come un processo, allo stesso modo in cui la norma ISO 9001 descrive il processo di qualità. Come la ISO 9001, la ISO 27001 si basa sul modello PDCA (Plan-Do-Check-Act), ampiamente utilizzato. Questo modello incorpora il fatto che la sicurezza è un processo iterativo che consiste nella preparazione e nella pianificazione dell’ISMS in sequenza. La ISO 27001 riflette anche i principi delle linee guida dell’OCSE sulla sicurezza dei sistemi e delle reti informatiche. La certificazione ISO 27001 dimostra che l’ISMS soddisfa la sicurezza dell’azienda

Gli standard ISO 27005 e 27002

Lo standard ISO 27005 descrive i contorni della gestione del rischio dal punto di vista dell’implementazione di un sistema di gestione della sicurezza delle informazioni. Allineata alle norme ISO 27001 e ISO 27002 e utilizzando il vocabolario definito nella norma ISO 27000, la norma ISO 27005 è il punto di riferimento per condurre un’analisi del rischio informatico e impostare un processo di gestione del rischio basato su un sistema di gestione che incorpora l’approccio di miglioramento continuo PDCA (Plan, Do, Check, Act):

A complemento della norma ISO 27005, la ISO 27002 fornisce una serie di raccomandazioni di best practice per la sicurezza. Queste “Business Best Practices” consentono alle aziende di rispondere in modo rapido ed efficace a qualsiasi circostanza, senza dover reinventare da zero i principi di sicurezza e le soluzioni tecniche

METODI

Il metodo EBIOS Risk Manager

EBIOS Risk Manager è il nuovo metodo di valutazione e trattamento dei rischi digitali pubblicato dall’Agenzia nazionale francese per la sicurezza dei sistemi informativi (ANSSI) con il supporto del Club EBIOS.

EBIOS Risk Manager consente di identificare e valutare i rischi e di determinare le misure di sicurezza per affrontarli. Inoltre, consente agli utenti di approvare i livelli di rischio accettati e di adottare un approccio di miglioramento continuo a lungo termine. Infine, fornisce le funzionalità necessarie per la comunicazione e il processo decisionale all’interno dell’organizzazione e con i partner.

  • Implementare o rafforzare un processo di gestione del rischio digitale all’interno di un’organizzazione;
  • Valutare e affrontare i rischi relativi a un progetto digitale, spesso con l’obiettivo dell’approvazione della sicurezza;
  • Definire il livello di sicurezza da raggiungere per un prodotto o un servizio in base ai casi d’uso previsti e ai rischi da contrastare, magari con l’obiettivo di una certificazione o di un’approvazione, ad esempio.

Il metodo EBIOS

Il software EGERIE Risk Manager è compatibile con tutte le versioni del metodo EBIOS (V2, 2010 e la versione futura in fase di sviluppo). Il metodo EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité – espressione dei bisogni e identificazione degli obiettivi di sicurezza) viene utilizzato per valutare e affrontare i rischi legati alla sicurezza dei sistemi informatici. Può essere utilizzato anche per comunicare questi rischi all’interno dell’organizzazione e con i partner, nell’ambito del processo di gestione dei rischi per la sicurezza informatica. Creato dall’ANSSI nel 1995 e aggiornato regolarmente, il metodo EBIOS si basa su 15 anni di esperienza nel campo della gestione del rischio.

Il metodo MEHARI

MEHARI, pubblicato da CLUSIF, è un metodo di analisi del rischio che copre sia gli aspetti organizzativi che quelli tecnici della sicurezza informatica. MEHARI fornisce il quadro di riferimento per un audit di sicurezza che porta a una valutazione dei livelli di rischio in una serie di aree: organizzazione generale, sicurezza fisica, sicurezza logica, sicurezza delle applicazioni, ecc. Questa valutazione può essere utilizzata per selezionare le misure di sicurezza per colmare le lacune nel modo più efficace possibile, portando il grado di rischio in ogni area a un livello standard accettabile.

Il metodo CRAMM

IlCRAMM è un metodo di gestione del rischio utilizzato dal governo britannico. È ampio e completo (oltre 3.000 punti di controllo) e quindi, ancora una volta, adatto solo alle grandi organizzazioni (ha 550 clienti in tutto il mondo). In seguito alla creazione della versione 2002 della BS 7799-2, Siemens (ex Insight Consulting) ha creato una nuova versione (CRAMM versione 5.0), che mira alla certificazione BS 7799.

CONFORMITÀ E DIRETTIVE

Conformità LPM per gli Operatori di importanza vitale

EGERIE consente alle aziende industriali e alle autorità della difesa di preparare i documenti essenziali per i processi di approvazione della sicurezza.

La direttiva NIS

La direttiva sulla sicurezza delle reti e dell’informazione (NIS) mira a garantire un elevato livello di sicurezza condiviso per le reti e i sistemi informativi nell’Unione europea. È stata adottata il 6 luglio 2016. Mira all’attuazione di un’efficace cooperazione europea e alla protezione delle attività economiche e sociali critiche come risposta collettiva al rischio di attacchi informatici.

REGOLAMENTI

Il Regolamento generale sulla protezione dei dati (GDPR)

Il Regolamento generale sulla protezione dei dati (GDPR) è un testo normativo europeo che fornisce un quadro per il trattamento dei dati in modo equo in tutta l’Unione europea. È entrato in vigore il 25 maggio 2018. Il GDPR si basa sulla legge francese sulla protezione dei dati del 1978, che stabilisce le regole per la raccolta e l’utilizzo dei dati in Francia. È stato concepito per raggiungere tre obiettivi