Implementazione del sistema
- Introduzione
- Il processo di gestione della sicurezza
- La documentazione sulle politiche di sicurezza
- Implementazione del sistema
Sulla base delle politiche di sicurezza definite si realizza un sistema che risponda alle caratteristiche implementative richieste e si procede alla traduzione delle politiche nella configurazione di tutti i dispositivi coinvolti. La configurazione di ogni singolo dispositivo risponde non soltanto all'esigenza di rispecchiare una ben precisa politica, ma anche a quella di rispettare uno standard definito che elimini le eventuali vulnerabilità note dei sistemi.
Per documentare l'implementazione del sistema si producono relazioni di installazione dei sistemi con allegate le configurazioni che vengono verificate con cadenza prefissata e aggiornate in caso di modifica delle politiche di sicurezza.
Nelle relazioni prodotte per singolo sistema vengono annotate le politiche di sicurezza alle quali si fà riferimento e tenuta traccia delle revisioni periodiche del sistema e delle configurazioni, individuando i responsabili dell'attività.
In tale fase è anche prevista l'attivazione degli strumenti di monitoraggio dell'architettura e di rilevamento delle intrusioni, configurati in funzione delle politiche, per risultare estremamente sensibili ad eventuali violazioni del sistema di sicurezza.
Come già indicato, il processo per l'implementazione di un SGSI è definito in standard emanati dall'ISO quali il 27001, erede dell'ISO 17799, o in standard quali quelli emanati da organismi governativi quali il NIST statunitense o il BSI (Bundesamt für Sicherheit in der Informationstechnik) della Repubblica Federale di Germania.
In particolare, il BSI ha sviluppato uno standard, completamente compatibile con l'ISO 27001, per la definizione di un SGSI per il quale offre un manuale che descrive una metodologia completa per la sua implementazione, definendo tutte le misure di sicurezza di tipo tecnologico o organizzativo che è necessario implementare in funzione del livello di sicurezza che è necessario raggiungere.
Una descrizione della metodologia proposta dall'agenzia tedesca è stata esposta nell'articolo intitolato "La metodologia IT-Grundschutz".
Eccetto dove diversamente specificato,
i contenuti di questo sito sono rilasciati sotto Licenza Creative
Commons Attribuzione 2.5