2016FRAMEWORK NAZIONALEBALDONIXWEB

Roberto Baldoni @robertobaldoni

Cyberspace Economia

IoT

Industry 4.0

Robotics

Smart Cities Big Data

Drones Agricolture 4.0

Digital Currency

Il concetto di velocità •  La trasformazione economica sarà

sempre più veloce, inarrestabile, implacabile cambierà il lavoro, uccidendo vecchi posti e creandone di nuovi

•  Cambierà pesantemente gli equilibri tra

stati, tra aziende e tra stati e aziende

Chi non saprà intercettare

questa rivoluzione diventerà terzo mondo del

terzo millennio

Cyberspace Economia

Agenda Digitale al centro dello sviluppo del Paese

Protezione del cyberspace condizione necessaria per la

prosperità economica

Cyberspace Economia

Unicità del Cyberspace •  Non esiste divisione tra pubblico e

privato, tra militare e civile. Un ambiente dove tutto è duale!

•  Vulnerabilità non numerabili, attacchi in costante aumento per precisione e potenza

•  Nessuno può pensare di gestire questa complessità in isolamento

Risposta come sistema paese alla protezione del

cyberspace nazionale

Cyberspace Economia

Architettura Nazionale di Cyber Security

•  Asset nazionale strategico •  Deve acquisire velocità!

DPCM 24/1/2013

Ricerca e Privato devono aiutare a dare velocità

all’architettura nazionale cyber

PPP innovative acceleratore del piano strategico

nazionale di cyber security

“The Italian way” per accelerare

Pubblico

Privato

PPP innovativa

Ric

erca

PPP innovativa

PPP innovativa

Privati

Architettura Nazionale Governativa di Cyber

Security

Il “Framework Nazionale per la Cyber Security” è uno strumento definito in un contesto PPP che serve per aumentare la velocità di i m p l e m e n t a z i o n e d e l p i a n o strategico nazionale

Realizzato da:

Tavolo di lavoro:

In collaborazione con:

e:

Con il supporto del Dipartimento delle Informazioni per la Sicurezza della PresidenzaDel Consiglio

dei ministri

>1000 Registrazioni alla consultazione pubblica >500

emendamenti ricevuti

•  Rischio cyber come un rischio economico aziendale (parte del risk management e del DNA aziendale)

•  Portare il rischio cyber nei CDA (non rimanere confinato nell’ambiente tecnico)

Framework Nazionale per la Cyber Security: obiettivi

•  Considerare lo scenario economico italiano (dominato dalla presenza di PMI) ed i diversi settori produttivi

•  Non reinventare la ruota (il framework non è tecnologia è metodologia)

Indice

1 Introduzione e guida alla lettura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

I PARTE I - Il Framework Nazionale

2 La necessità di un Framework Nazionale . . . . . . . . . . . . . . . . . . . . . . . . 9

2.1 I vantaggi per il panorama italiano: PMI, Grandi Imprese e regolatori disettore 10

2.2 Il Framework e la gestione del rischio cyber 11

2.3 I vantaggi per il sistema paese: verso una international due diligence 12

3 I concetti di base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3.1 Framework Core, Profile e Implementation Tier 14

3.2 I livelli di priorità 15

3.3 I livelli di maturità 17

3.4 Come contestualizzare il Framework 19

3.5 Come aggiornare il Framework 20

4 Linee guida per l’applicazione del Framework . . . . . . . . . . . . . . . . . 23

4.1 Piccole-Medie Imprese 23

4.2 Grandi Imprese 25

4.3 Infrastrutture Critiche 27

4.4 Regolatori di settore 27

II PARTE II - Documenti di supporto al Framework

5 Framework Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

6 Una contestualizzazione del Framework per PMI . . . . . . . . . . . . . . . . 41

6.1 Selezione delle Subcategory 416.2 Livelli di priorità 426.3 Livelli di maturità 526.4 Guida all’implementazione delle Subcategory a priorità alta 58

7 Raccomandazioni per le Grandi Imprese . . . . . . . . . . . . . . . . . . . . . . 69

7.1 Il ruolo del top management nella gestione del rischio cyber 707.2 Il processo di cyber security risk management 737.3 Computer Emergency Readiness Team (CERT) 76

III PARTE III - Aspetti legati al contesto di applicazione

8 L’Enterprise Risk Management: il contesto di riferimento . . . . . . . . 81

8.1 L’analisi del rischio 828.2 I vantaggi dell’applicazione di un processo di ERM 85

9 Le polizze cyber risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

9.1 Percezione del rischio e diffusione delle polizze cyber 899.2 Guida all’implementazione di una copertura assicurativa cyber risk 91

10 Aspetti di privacy legati al Framework . . . . . . . . . . . . . . . . . . . . . . . . . 93

10.1 Il Codice della Privacy 9310.2 Informazioni classificate e segreto di Stato 97

11 Regolatori di settore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

11.1 Pubbliche Amministrazioni 9911.2 Settore bancario e finanziario 10111.3 Aziende quotate in mercati regolamentati 103


5 Framework Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31














Il framework nazionale è uno strumento (ad adozione volontaria) di auto-analisi di una organizzazione

•  Implementation tiers •  Framework core •  Profiles

NIST Framework for Improving Critical Infrastructure

Cybersecurity

14 Capitolo 3. I concetti di base

3.1 Framework Core, Profile e Implementation Tier

Il Framework Nazionale eredita le tre nozioni fondamentali del Framework NIST: FrameworkCore, Profile e Implementation Tier. Di seguito ne diamo una breve descrizione autocontenuta,rimandando al documento originale [15] per maggiori dettagli.

Framework Core. Il core rappresenta la struttura del ciclo di vita del processo di gestione dellacyber security, sia dal punto di vista tecnico sia organizzativo. Il core è strutturato gerarchicamentein Function, Category e Subcategory. Le Function, concorrenti e continue, sono: Identify, Protect,Detect, Respond, Recover e costituiscono le principali tematiche da affrontare per operare unaadeguata gestione del rischio cyber in modo strategico. Il Framework quindi definisce, per ogniFunction, Category e Subcategory, le quali forniscono indicazioni in termini di specifiche risorse,processi e tecnologie da mettere in campo per gestire la singola Function. Infine, la struttura delFramework core presenta degli informative reference, dei riferimenti informativi che legano lasingola Subcategory a una serie di pratiche di sicurezza note utilizzando gli standard di settore (ISO,SP800-53r4, COBIT-5, SANS20 e altri). La struttura del Framework Core del NIST è riportata inFigura 3.1.

Functions Categories Subcategories InformativeReferences

IDENTIFY

PROTECT

DETECT

RESPOND

RECOVER

Figura 3.1: Struttura del Framework Core del NIST(da [15]).

Di seguito è riportata una breve descrizione delle 5 Function:Identify. La Function Identify è legata alla comprensione del contesto aziendale, degli asset chesupportano i processi critici di business e dei relativi rischi associati. Tale comprensione permetteinfatti a un’organizzazione di definire risorse e investimenti in linea con la strategia di gestionedel rischio e con gli obiettivi aziendali. Le Category all’interno di questa Function sono: AssetManagement; Ambiente di business; Governance; Valutazione del rischio; Strategia di gestione delrischio.

Protect. La Function Protect è associata all’implementazione di quelle misure volte alla protezionedei processi di business e degli asset aziendali, indipendentemente dalla loro natura informati-ca. Le Category all’interno di questa Function sono: Access Control; Awareness and Training;Data Security; Information Protection Processes and Procedures; Maintenance; and ProtectiveTechnology.

Detect. La Function Detect è associata alla definizione e attuazione di attività appropriate peridentificare tempestivamente incidenti di sicurezza informatica. Le Category all’interno di questaFunction sono: Anomalies and Events; Security Continuous Monitoring; and Detection Processes

•  Implementation tiers •  Framework core •  Profiles Abbiamo Aggiunto: •  Livelli Priorità •  Livelli di Maturità •  Contestualizzazioni •  Linee Guida

Framework Nazionale per la Cybersecurity

3.3 I livelli di maturità 17

Da notare che le Subcategory assumono priorità specifica per la contestualizzazione adottataoppure assumono priorità specifica al contesto dell’organizzazione (eventualmente basati sullavalutazione del rischio associato), pertanto ogni organizzazione, nell’adozione del Framework onel corso dell’attività di contestualizzazione, potrebbe ridefinire specifici livelli di priorità per ogniSubcategory.L’appendice 6 presenta una contestualizzazione del Framework per le PMI, con la definizione dellivello di priorità per ogni Subcategory e una guida all’implementazione.

3.3 I livelli di maturitàI livelli di maturità permettono di fornire una misura della maturità di un processo di sicurezza, dellamaturità di attuazione di una tecnologia specifica o una misura della quantità di risorse adeguateimpiegate per l’implementazione di una data Subcategory.

I livelli di maturità forniscono un punto di riferimento in base al quale ogni organizzazione puòvalutare la propria implementazione delle Subcategory e fissare obiettivi e priorità per il loromiglioramento. I livelli devono essere in progressione, dal minore al maggiore. Ogni livello deveprevedere pratiche e controlli incrementali rispetto al livello di maturità inferiore. Un’organizza-zione valuterà la soddisfazione dei controlli per identificare il livello di maturità raggiunto (Figura3.3). Per alcune Subcategory potrebbe non essere possibile definire livelli di maturità (si veda laSubcategory ID.GV-3 in 6.3 come esempio).

M1 M2 M3 M4GuideLinesMaturityLevels InformativeReferencesFunctions Categories Subcategories PriorityLevels

PROTECT

RECOVER

DETECT

RESPOND

IDENTIFY

Figura 3.3: Framework Nazionale con introduzione dei livelli di maturità.

Nelle Tabelle 3.1 e 3.2 sono forniti due esempi di livelli di maturità per due Subcategory delFramework, mentre nella Sezione 6.3 sono riportati i livelli di maturità per tutte le Subcategory apriorità alta della contestualizzazione per PMI fornita.

– Top Management Awareness – Un aiuto a definire piani a risorse sostenibili di

gestione del rischio cyber (anche attraverso lo strumento assicurativo)

– Gestione della catena di approvvigionamento – Un aiuto nell’approntare un processo evoluto di

gestione del rischio cyber

Framework Nazionale per la Cyber Security: Vantaggi grandi imprese

Framework come insieme di pratiche di un

Duty-of-care per mitigare rischi cyber

– Una contestualizzazione del framework dedicata a loro •  Livelli di priorità •  Livelli di maturità •  Guida all’implementazione dei controlli a priorità

alta

– 20 quick-win – Come adottare il framework

Framework Nazionale per la Cyber Security: Vantaggi per le PMI

– Fornire una quadro comune a diverse autorità che regolamentano il settore in modo da regolamentare in modo coerente e.g.,Garante Privacy, AGID, PCM, ecc.) – International due diligence

Framework Nazionale per la Cyber Security: Vantaggi per la nazione

Func

tion

Cat

egor

ySu

bcat

egor

yPr

iori

tàIn

form

ativ

e R

efer

ence

s

Ass

et M

anag

emen

t (ID

.AM

): I

dat

i, il

pers

onal

e, i

disp

ositi

vi e

i si

stem

i e le

fa

cilit

ies

nece

ssar

i all'

orga

nizz

azio

ne

sono

iden

tific

ati e

ges

titi i

n co

eren

za c

on

gli o

biet

tivi d

i bus

ines

s e

con

la s

trat

egia

di

ris

chio

del

l'org

aniz

zazi

one

ALT

AID

.AM

-1: S

ono

cens

iti i

sist

emi e

gli

appa

rati

fisic

i in

uso

nel

l'org

aniz

zazi

one

IDE

NT

IFY

(I

D)

·

CC

S C

SC 9

·

CO

BIT

5 A

PO07

.03

·

ISA

624

43-2

-1:2

009

4.3.

2.4.

2·

I

SO/IE

C 2

7001

:201

3 A

.6.1

.1, A

.7.2

.2,

·

NIS

T SP

800

-53

Rev

. 4 A

T-3,

PM

-13

·

CC

S C

SC 9

·

CO

BIT

5 A

PO07

.03

·

ISA

624

43-2

-1:2

009

4.3.

2.4.

2·

I

SO/IE

C 2

7001

:201

3 A

.6.1

.1, A

.7.2

.2,

·

NIS

T SP

800

-53

Rev

. 4 A

T-3,

PM

-13

·

CC

S C

SC 1

7·

C

OB

IT 5

APO

01.0

6, B

AI0

2.01

, BA

I06.

01, D

SS06

.06

·

ISA

624

43-3

-3:2

013

SR 3

.4, S

R 4

.1·

I

SO/IE

C 2

7001

:201

3 A

.8.2

.3·

N

IST

SP 8

00-5

3 R

ev. 4

SC

-28

· D

a es

egui

rsi p

er c

olor

o ch

e tr

atta

no in

form

azio

ni c

lass

ifica

te a

i sen

si d

el D

PCM

6

nove

mbr

e 20

15 e

dei

rel

ativ

i dec

reti

n. 4

/201

5 e

n.5/

2015

·

Obb

ligat

oria

in c

aso

di tr

atta

men

to d

i dat

i per

sona

li m

edia

nte

stru

men

ti el

ettr

onic

i (a

i sen

si d

ell'A

ll. B

) D. L

gs. 1

96/2

003

Reg

ole

16,1

7, 2

0)·

C

CS

CSC

17

·

CO

BIT

5 A

PO01

.06,

DSS

06.0

6·

I

SA 6

2443

-3-3

:201

3 SR

3.1

, SR

3.8

, SR

4.1

, SR

4.2

·

ISO

/IEC

270

01:2

013

A.8

.2.3

, A.1

3.1.

1, A

.13.

2.1,

A.1

3.2.

3, A

.14.

1.2,

A.1

4.1.

3·

N

IST

SP 8

00-5

3 R

ev. 4

SC

-8·

Obb

ligat

oria

in c

aso

di tr

atta

men

to d

i dat

i per

sona

li m

edia

nte

stru

men

ti el

ettr

onic

i (a

i sen

si d

ell'A

ll. B

) D. L

gs. 1

96/2

003)

·

CO

BIT

5 B

AI0

9.03

·

ISA

624

43-2

-1:2

009

4. 4

.3.3

.3.9

, 4.3

.4.4

.1·

I

SA 6

2443

-3-3

:201

3 SR

4.2

·

ISO

/IEC

270

01:2

013

A.8

.2.3

, A.8

.3.1

, A.8

.3.2

, A.8

.3.3

, A.1

1.2.

7·

N

IST

SP 8

00-5

3 R

ev. 4

CM

-8, M

P-6,

PE-

16·

C

OB

IT 5

APO

13.0

1·

I

SA 6

2443

-3-3

:201

3 SR

7.1

, SR

7.2

·

ISO

/IEC

270

01:2

013

A.1

2.3.

1·

N

IST

SP 8

00-5

3 R

ev. 4

AU

-4, C

P-2,

SC

-5·

C

CS

CSC

17

·

CO

BIT

5 A

PO01

.06

·

ISA

624

43-3

-3:2

013

SR 5

.2·

I

SO/IE

C 2

7001

:201

3 A

.6.1

.2, A

.7.1

.1, A

.7.1

.2, A

.7.3

.1, A

.8.2

.2, A

.8.2

.3, A

.9.1

.1,

A.9

.1.2

, A.9

.2.3

, A.9

.4.1

, A.9

.4.4

, A.9

.4.5

, A.1

3.1.

3, A

.13.

2.1,

A.1

3.2.

3, A

.13.

2.4,

A.1

4.1.

2,

A.1

4.1.

3·

N

IST

SP 8

00-5

3 R

ev. 4

AC

-4, A

C-5

, AC

-6, P

E-19

, PS-

3, P

S-6,

SC

-7, S

C-8

, SC

-13,

SC

-31

, SI-

4·

O

bblig

ator

ia in

cas

o di

trat

tam

ento

di d

ati p

erso

nali

med

iant

e st

rum

enti

elet

tron

ici

(ai s

ensi

del

l'All.

B) D

. Lgs

. 196

/200

3)·

I

SA 6

2443

-3-3

:201

3 SR

3.1

, SR

3.3

, SR

3.4

, SR

3.8

·

ISO

/IEC

270

01:2

013

A.1

2.2.

1, A

.12.

5.1,

A.1

4.1.

2, A

.14.

1.3

·

NIS

T SP

800

-53

Rev

. 4 S

I-7

·

CO

BIT

5 B

AI0

7.04

·

ISO

/IEC

270

01:2

013

A.1

2.1.

4·

N

IST

SP 8

00-5

3 R

ev. 4

CM

-2

BA

SSA

BA

SSA

BA

SSA

ME

DIA

ME

DIA

Dat

a Se

curi

ty (P

R.D

S): I

dat

i son

o m

emor

izza

ti e

gest

iti in

acc

ordo

alla

st

rate

gia

di g

estio

ne d

el r

isch

io

dell'

orga

nizz

azio

ne, a

l fin

e di

gar

antir

e l'i

nteg

rità

, la

conf

iden

zial

ità e

la

disp

onib

ilità

del

le in

form

azio

ni.

ALT

A

NO

N

SEL

EZ

ION

ATA

ME

DIA

ME

DIA

PR.D

S-7:

Gli

ambi

enti

di s

vilu

ppo

e te

st s

ono

sepa

rati

dall'

ambi

ente

di p

rodu

zion

e

PR.A

T-4:

I d

irig

enti

ed i

vert

ici a

zien

dali

com

pren

dono

ruo

li e

resp

onsa

bilit

à

PR.A

T-5:

Il p

erso

nale

add

etto

alla

sic

urez

za fi

sica

e

delle

info

rmaz

ioni

com

pren

de i

ruol

i e le

re

spon

sabi

lità

PR.D

S-1:

I d

ati e

le in

form

azio

ni m

emor

izza

te s

ono

prot

ette

PR.D

S-2:

I d

ati s

ono

prot

etti

dura

nte

la

tras

mis

sion

e

PR.D

S-3:

Il tr

asfe

rim

ento

fisi

co,

la r

imoz

ione

e la

di

stru

zion

e de

i dis

posi

tivi a

tti a

lla m

emor

izza

zion

e di

dat

i son

o ge

stiti

att

rave

rso

un p

roce

sso

form

ale

PR.D

S-4:

I s

iste

mi h

anno

ade

guat

e ri

sors

e a

disp

osio

ne p

er p

oter

gar

antir

e la

dis

poni

bilit

à

PR.D

S-5:

Son

o im

plem

enta

te te

cnic

he d

i pr

otez

ione

(es.

con

trol

lo d

i acc

esso

) con

tro

la

sott

razi

one

dei d

ati (

data

leak

).

PR.D

S-6:

Ven

gono

impl

emen

tate

tecn

iche

di

cont

rollo

del

l'int

egri

tà d

ei d

ati p

er v

erifi

care

l'a

uten

ticità

di s

oftw

are,

firm

war

e e

delle

PRO

TE

CT

(PR

)

46 Capitolo 6. Una contestualizzazione del Framework per PMI

Func

tion

Cat

egor

ySu

bcat

egor

yPr

iori

tàIn

form

ativ

e R

efer

ence

s

Ass

et M

anag

emen

t (ID

.AM

): I

dat

i, il

pers

onal

e, i

disp

ositi

vi e

i si

stem

i e le

fa

cilit

ies

nece

ssar

i all'

orga

nizz

azio

ne

sono

iden

tific

ati e

ges

titi i

n co

eren

za c

on

gli o

biet

tivi d

i bus

ines

s e

con

la s

trat

egia

di

ris

chio

del

l'org

aniz

zazi

one

ALT

AID

.AM

-1: S

ono

cens

iti i

sist

emi e

gli

appa

rati

fisic

i in

uso

nel

l'org

aniz

zazi

one

IDE

NT

IFY

(I

D)

·

CC

S C

SC 9

·

CO

BIT

5 A

PO07

.03

·

ISA

624

43-2

-1:2

009

4.3.

2.4.

2·

I

SO/IE

C 2

7001

:201

3 A

.6.1

.1, A

.7.2

.2,

·

NIS

T SP

800

-53

Rev

. 4 A

T-3,

PM

-13

·

CC

S C

SC 9

·

CO

BIT

5 A

PO07

.03

·

ISA

624

43-2

-1:2

009

4.3.

2.4.

2·

I

SO/IE

C 2

7001

:201

3 A

.6.1

.1, A

.7.2

.2,

·

NIS

T SP

800

-53

Rev

. 4 A

T-3,

PM

-13

·

CC

S C

SC 1

7·

C

OB

IT 5

APO

01.0

6, B

AI0

2.01

, BA

I06.

01, D

SS06

.06

·

ISA

624

43-3

-3:2

013

SR 3

.4, S

R 4

.1·

I

SO/IE

C 2

7001

:201

3 A

.8.2

.3·

N

IST

SP 8

00-5

3 R

ev. 4

SC

-28

· D

a es

egui

rsi p

er c

olor

o ch

e tr

atta

no in

form

azio

ni c

lass

ifica

te a

i sen

si d

el D

PCM

6

nove

mbr

e 20

15 e

dei

rel

ativ

i dec

reti

n. 4

/201

5 e

n.5/

2015

·

Obb

ligat

oria

in c

aso

di tr

atta

men

to d

i dat

i per

sona

li m

edia

nte

stru

men

ti el

ettr

onic

i (a

i sen

si d

ell'A

ll. B

) D. L

gs. 1

96/2

003

Reg

ole

16,1

7, 2

0)·

C

CS

CSC

17

·

CO

BIT

5 A

PO01

.06,

DSS

06.0

6·

I

SA 6

2443

-3-3

:201

3 SR

3.1

, SR

3.8

, SR

4.1

, SR

4.2

·

ISO

/IEC

270

01:2

013

A.8

.2.3

, A.1

3.1.

1, A

.13.

2.1,

A.1

3.2.

3, A

.14.

1.2,

A.1

4.1.

3·

N

IST

SP 8

00-5

3 R

ev. 4

SC

-8·

Obb

ligat

oria

in c

aso

di tr

atta

men

to d

i dat

i per

sona

li m

edia

nte

stru

men

ti el

ettr

onic

i (a

i sen

si d

ell'A

ll. B

) D. L

gs. 1

96/2

003)

·

CO

BIT

5 B

AI0

9.03

·

ISA

624

43-2

-1:2

009

4. 4

.3.3

.3.9

, 4.3

.4.4

.1·

I

SA 6

2443

-3-3

:201

3 SR

4.2

·

ISO

/IEC

270

01:2

013

A.8

.2.3

, A.8

.3.1

, A.8

.3.2

, A.8

.3.3

, A.1

1.2.

7·

N

IST

SP 8

00-5

3 R

ev. 4

CM

-8, M

P-6,

PE-

16·

C

OB

IT 5

APO

13.0

1·

I

SA 6

2443

-3-3

:201

3 SR

7.1

, SR

7.2

·

ISO

/IEC

270

01:2

013

A.1

2.3.

1·

N

IST

SP 8

00-5

3 R

ev. 4

AU

-4, C

P-2,

SC

-5·

C

CS

CSC

17

·

CO

BIT

5 A

PO01

.06

·

ISA

624

43-3

-3:2

013

SR 5

.2·

I

SO/IE

C 2

7001

:201

3 A

.6.1

.2, A

.7.1

.1, A

.7.1

.2, A

.7.3

.1, A

.8.2

.2, A

.8.2

.3, A

.9.1

.1,

A.9

.1.2

, A.9

.2.3

, A.9

.4.1

, A.9

.4.4

, A.9

.4.5

, A.1

3.1.

3, A

.13.

2.1,

A.1

3.2.

3, A

.13.

2.4,

A.1

4.1.

2,

A.1

4.1.

3·

N

IST

SP 8

00-5

3 R

ev. 4

AC

-4, A

C-5

, AC

-6, P

E-19

, PS-

3, P

S-6,

SC

-7, S

C-8

, SC

-13,

SC

-31

, SI-

4·

O

bblig

ator

ia in

cas

o di

trat

tam

ento

di d

ati p

erso

nali

med

iant

e st

rum

enti

elet

tron

ici

(ai s

ensi

del

l'All.

B) D

. Lgs

. 196

/200

3)·

I

SA 6

2443

-3-3

:201

3 SR

3.1

, SR

3.3

, SR

3.4

, SR

3.8

·

ISO

/IEC

270

01:2

013

A.1

2.2.

1, A

.12.

5.1,

A.1

4.1.

2, A

.14.

1.3

·

NIS

T SP

800

-53

Rev

. 4 S

I-7

·

CO

BIT

5 B

AI0

7.04

·

ISO

/IEC

270

01:2

013

A.1

2.1.

4·

N

IST

SP 8

00-5

3 R

ev. 4

CM

-2

BA

SSA

BA

SSA

BA

SSA

ME

DIA

ME

DIA

Dat

a Se

curi

ty (P

R.D

S): I

dat

i son

o m

emor

izza

ti e

gest

iti in

acc

ordo

alla

st

rate

gia

di g

estio

ne d

el r

isch

io

dell'

orga

nizz

azio

ne, a

l fin

e di

gar

antir

e l'i

nteg

rità

, la

conf

iden

zial

ità e

la

disp

onib

ilità

del

le in

form

azio

ni.

ALT

A

NO

N

SEL

EZ

ION

ATA

ME

DIA

ME

DIA

PR.D

S-7:

Gli

ambi

enti

di s

vilu

ppo

e te

st s

ono

sepa

rati

dall'

ambi

ente

di p

rodu

zion

e

PR.A

T-4:

I d

irig

enti

ed i

vert

ici a

zien

dali

com

pren

dono

ruo

li e

resp

onsa

bilit

à

PR.A

T-5:

Il p

erso

nale

add

etto

alla

sic

urez

za fi

sica

e

delle

info

rmaz

ioni

com

pren

de i

ruol

i e le

re

spon

sabi

lità

PR.D

S-1:

I d

ati e

le in

form

azio

ni m

emor

izza

te s

ono

prot

ette

PR.D

S-2:

I d

ati s

ono

prot

etti

dura

nte

la

tras

mis

sion

e

PR.D

S-3:

Il tr

asfe

rim

ento

fisi

co,

la r

imoz

ione

e la

di

stru

zion

e de

i dis

posi

tivi a

tti a

lla m

emor

izza

zion

e di

dat

i son

o ge

stiti

att

rave

rso

un p

roce

sso

form

ale

PR.D

S-4:

I s

iste

mi h

anno

ade

guat

e ri

sors

e a

disp

osio

ne p

er p

oter

gar

antir

e la

dis

poni

bilit

à

PR.D

S-5:

Son

o im

plem

enta

te te

cnic

he d

i pr

otez

ione

(es.

con

trol

lo d

i acc

esso

) con

tro

la

sott

razi

one

dei d

ati (

data

leak

).

PR.D

S-6:

Ven

gono

impl

emen

tate

tecn

iche

di

cont

rollo

del

l'int

egri

tà d

ei d

ati p

er v

erifi

care

l'a

uten

ticità

di s

oftw

are,

firm

war

e e

delle

PRO

TE

CT

(PR

)

46 Capitolo 6. Una contestualizzazione del Framework per PMI

Profilocybera,uale

•  La singola azienda. Questo prevede che l’azienda sia abbastanza matura da poter gestire un modello di gestione del rischio associato;

•  Una associazione di settore produttivo, per rendere la contestualizzazione del Framework disponibile a tutte le aziende del settore;

•  Un regolatore di settore per rendere la contestualizzazione del Framework disponibile a tutte le organizzazioni del settore;

•  Un qualsiasi attore che definisce una contestualizzazione del Framework in funzione di una o più caratteristiche che accomunano delle aziende, come ad esempio, dislocazione geografica, dimensione, tipologia del personale ecc.

Chi può contestualizzare il framework

Il Framework come lingua comune intersettoriale della

cyber


5 Framework Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31














•  Per la messa in sicurezza del cyberspace

nazionale attraverso approccio intersettoriale

•  Per la creazione di competenze domestiche

•  Per il rafforzamento del mercato della sicurezza informatica

•  Per la generazione di nuovi posti di lavoro

Framework come fattore di accelerazione

Ringraziamenti: Autori A cura di Roberto Baldoni e Luca Montanari

Autori in ordine alfabetico:

Luca Albertini

Stefano Armenia

Roberto Baldoni

Fabio Battelli

Luca Boselli

Stefano Buschi

Alfredo Caputi

Salvatore Carrino

Francesco Ceccarelli

Ludovica Coletta

Romina Colciago

Cosimo Comella

Fabrizio d’Amore

Ciro Di Carluccio

Rita Forsi

Luisa Franchina

Corrado Giustozzi

Davide Grassano

Michele Kidane Mariam

Alberto Marchetti Spaccamela

Carlo Mauceli

Antonino Mazzeo

Fabio Merello

Guido Milana

Luca Montanari

Paolo Prinetto

Leonardo Querzoni

Alfio Rapisarda

Andrea Rigoni

Massimo Rocca

Valeria Risuglia

Lorenzo Russo

Federico Ruzzi

Mario Terranova

Toto Zammataro

Andrea Zapparoli Manzoni

A cura di Roberto Baldoni e Luca Montanari


Luca Albertini

Stefano Armenia

Roberto Baldoni

Fabio Battelli

Luca Boselli

Stefano Buschi

Alfredo Caputi

Salvatore Carrino


Ludovica Coletta

Romina Colciago

Cosimo Comella

Fabrizio d’Amore

Ciro Di Carluccio

Rita Forsi

Luisa Franchina

Corrado Giustozzi

Davide Grassano



Carlo Mauceli

Antonino Mazzeo

Fabio Merello

Guido Milana

Luca Montanari

Paolo Prinetto

Leonardo Querzoni

Alfio Rapisarda

Andrea Rigoni

Massimo Rocca

Valeria Risuglia

Lorenzo Russo

Federico Ruzzi

Mario Terranova

Toto Zammataro




Luca Albertini

Stefano Armenia

Roberto Baldoni

Fabio Battelli

Luca Boselli

Stefano Buschi

Alfredo Caputi

Salvatore Carrino


Ludovica Coletta

Romina Colciago

Cosimo Comella

Fabrizio d’Amore

Ciro Di Carluccio

Rita Forsi

Luisa Franchina

Corrado Giustozzi

Davide Grassano



Carlo Mauceli

Antonino Mazzeo

Fabio Merello

Guido Milana

Luca Montanari

Paolo Prinetto

Leonardo Querzoni

Alfio Rapisarda

Andrea Rigoni

Massimo Rocca

Valeria Risuglia

Lorenzo Russo

Federico Ruzzi

Mario Terranova

Toto Zammataro




Luca Albertini

Stefano Armenia

Roberto Baldoni

Fabio Battelli

Luca Boselli

Stefano Buschi

Alfredo Caputi

Salvatore Carrino


Ludovica Coletta

Romina Colciago

Cosimo Comella

Fabrizio d’Amore

Ciro Di Carluccio

Rita Forsi

Luisa Franchina

Corrado Giustozzi

Davide Grassano



Carlo Mauceli

Antonino Mazzeo

Fabio Merello

Guido Milana

Luca Montanari

Paolo Prinetto

Leonardo Querzoni

Alfio Rapisarda

Andrea Rigoni

Massimo Rocca

Valeria Risuglia

Lorenzo Russo

Federico Ruzzi

Mario Terranova

Toto Zammataro


Ringraziamenti •  Coloro che hanno partecipato alla

revisione nella consultazione pubblica •  Società che hanno supportato questo

evento

Come aggiornare il framework

•  Documento vivo •  Chiediamo endorsment

governativo •  Pillar Italiano nelle

relazioni internazionali

2016FRAMEWORK NAZIONALEBALDONIXWEB

Documents

Transcript of 2016FRAMEWORK NAZIONALEBALDONIXWEB