I Cataloghi per la protezione di base IT (in inglese IT Baseline Protection Catalogs, in tedesco IT-Grundschutz-Kataloge) dell'istituto federale Ufficio Federale per la sicurezza informatica della Repubblica tedesca sono una collezione unitaria di misure che permette di dare attuazione ad una pianificazione della sicurezza IT in modo semplice ed economico.
Prima del 2005 l'opera si chiamava Manuale per la protezione di base IT (IT Baseline Protection Manual o IT-Grundschutzhandbuch).
Il catalogo è periodicamente oggetto di revisione: la versione corrente è la numero 13 (dicembre 2013).
Approccio
[modifica | modifica wikitesto]Con l'approccio tradizionale di valutazione del rischio si devono prima di tutto identificare le minacce e assegnare loro una probabilità di accadimento. Il risultato di questa analisi viene usato per valutare il rischio (a cui viene assegnato un valore che tiene conto della probabilità della realizzazione di determinate minacce e del valore del bene minacciato) e quindi selezionare le misure di sicurezza appropriate, in modo da minimizzare il rischio residuale.
L'approccio adottato nel manuale BSI per la protezione di base invece consiste in un confronto tra le misure raccomandate dal modello e quelle effettivamente attuate dal soggetto che effettua la pianificazione/valutazione del rischio. Le debolezze/criticità nella sicurezza che devono essere eliminate attraverso l'adozione delle misure raccomandate si concretizzano nell'elenco delle misure di sicurezza mancanti e non ancora applicate. Solo quando i requisiti di sicurezza sono significativamente più alti può essere necessario effettuare un'analisi ulteriore, pesando il costo effettivo di adozione di misure addizionali rispetto a quelle base elencate nel catalogo del manuale BSI. Tuttavia è generalmente sufficiente aggiungere alle raccomandazioni contenute nel manuale BSI alcune misure appropriate ritagliate sul caso specifico e più stringenti. Le misure di sicurezza elencate nel manuale sono misure standard, cioè misure che andrebbero implementate per i moduli contenuti nel manuale usando le migliori tecnologie per ottenere un ragionevole livello di sicurezza. In qualche caso le misure offrono anche un livello maggiore di protezione rispetto alla protezione base, tuttavia di norma sono le precauzioni minime che è ragionevole adottare nelle aree di competenza.
Procedimento
[modifica | modifica wikitesto]La metodologia di individuazione delle misure di sicurezza mancanti e quindi di valutazione concreta del rischio residuo procede nel modo seguente. Innanzitutto si effettua una inventariazione delle risorse che compongono il sistema oggetto della protezione (ad esempio: dati, applicazioni, dispositivi informatici, siti di collocazione dei dispositivi). Le risorse vengono classificate e raggruppate in modo da rendere più semplice la scelta dei moduli contenuti nel catalogo del manuale BSI da applicare ai singoli gruppi di risorse. Ogni modulo consiste in un insieme di minacce (cause potenziali di rischio) e di contromisure applicabili ad una particolare categoria di risorse informatiche (ad esempio: server, sistemi operativi, stanze server) a cui il modulo è dedicato. La valutazione/misurazione del rischio residuo consiste nel confronto tra le misure suggerite da ogni singolo modulo contenuto nel catalogo del manuale con le misure già applicate. Le misure mancanti rappresentano il rischio residuo per quel particolare gruppo di risorse. La pianificazione dei tempi di adeguamento del sistema alle misure non ancora attuate e dei costi e benefici delle diverse alternative proposte rappresenta la fase di gestione del rischio.
Certificazione
[modifica | modifica wikitesto]Il metodo descritto nel Catalogo del BSI rappresenta l'applicazione pratica dello standard denominato BSI-Standard 100-2:IT-Grundschutz Methodology. Va quindi considerato a pieno titolo uno standard di sicurezza informatica e le misure suggerite sono compatibili con lo standard ISO 27001 per cui è ottenibile la certificazione ISO.
Voci correlate
[modifica | modifica wikitesto]- Valutazione del rischio
- Gestione del rischio
- Valutazione dell'esposizione
- Standard di sicurezza informatica
Collegamenti esterni
[modifica | modifica wikitesto]- (EN) IT-Grundschutz, su bsi.bund.de. URL consultato il 28 gennaio 2020 (archiviato dall'url originale il 28 gennaio 2020).