Modellizzazione del sistema ICT

• Descrizione dello standard del BSI
• Analisi del sistema ICT
• Modellizzazione del sistema ICT
• Tutela dei dati personali
• Analisi del livello di sicurezza
• Strumenti per implementare la metodologia

La raccolta delle informazioni contenute negli allegati è necessaria per descrivere il sistema ICT attraverso il modello suggerito dalla metodologia Grundschutz: ogni elemento costitutivo del sistema informatico viene schematizzato come un insieme di singoli blocchi ai quali vengono associate analisi mirate a verificare la presenza delle misure di sicurezza ritenute minime. Le misure di sicurezza che devono essere predisposte dipendono dal livello di sicurezza al quale ogni elemento è soggetto, secondo le indicazioni raccolte con l'analisi sui “requisiti di sicurezza”, e si dividono in 4 classi che determinano il livello di sicurezza raggiunto e di certificazione al quale si può aspirare. Vengono prese in considerazione le misure individuate dalla classe:

• A. rappresentano le misure di sicurezza di base: è necessario implementarle prima di approfondire l'analisi;
• B. misure di sicurezza di secondo livello: il massimo livello di sicurezza autoceritificabile;
• C. individua le misure di sicurezza necessarie per raggiungere la Certificazione BSI;
• D. indicato nella documentazione come classe “Z”, individua misure non necessarie alla certificazione, ma da predisporre per sistemi con elevati livelli di criticità.

Le informazioni relative alla modellizzazione sono contenute in una scheda complessa che descrive i singoli moduli e individua il codice di ogni misura di sicurezza prevista per il singolo modulo. Sulla stessa scheda è contenuta la valutazione effettuata sullo stato di implementazione di ogni misura prevista, effettuata tramite la classificazione seguente:

1. Non Necessaria: quando la misura può essere trascurata perché sostituita da altro accorgimento oppure perché troppo impegnativa per il contesto di attuazione o ancora perché riferita ad elementi non presenti;
2. Si: quando la misura è completamente implementata
3. Parziale: quando non tutti gli aspetti previsti dalla misura di sicurezza sono stati implementati;
4. No: quando nessuno o solo pochi aspetti della misura sono stati implementati.

La raccolta di queste informazioni consente di definire un quadro preciso dello stato di implementazione delle misure di sicurezza previste dal manuale IT-Grundschutz e fornisce una panoramica di come le stesse sono state implementate su tutto l'insieme degli elementi costitutivi il sistema ICT, modellizzati tramite la metodologia Grundschutz.

L'obiettivo dell'analisi consiste in un documento che, sulla base di tutti i dati raccolti, descriva quali sono le misure di sicurezza non ancora implementate e da predisporre, in quale priorità e possibilmente con quale impegno di risorse economiche e umane.