La metodologia IT-Grundschutz

• Descrizione dello standard del BSI
• Analisi del sistema ICT
• Modellizzazione del sistema ICT
• Tutela dei dati personali
• Analisi del livello di sicurezza
• Strumenti per implementare la metodologia

La gestione della sicurezza dei sistemi informatici viene generalmente impostata seguendo criteri che sono stati emanati da alcuni enti di standardizzazione internazionale quali il British Standard 7799 al quale hanno fatto seguito i lavori dell'ISO 17799 e i più recenti ISO 27001.

Gli standard citati si propongono di instaurare un sistema di gestione della sicurezza informatica, che introduce una metodologia di verifica, controllo e aggiornamento, certificabile dagli enti preposti a titolo di garanzia sulle procedure e misure di sicurezza implementate.

L'Ufficio Federale per la Sicurezza Informatica della Repubblica Tedesca ha sviluppato ed emanato una serie di standard, assolutamente compatibili con quelli internazionali, che sviluppano metodologie e criteri per impostare un Sistema per la Gestione della Sicurezza Informatica (SGSI) e per condurre un'analisi del rischio. A differenza degli organismi di standardizzazione internazionale, l'Ufficio Federale (BSI) ha reso pubblici e gratuiti i propri standard, definendo un percorso di sviluppo dell'SGSI che propone una fase di autocertificazione del sistema ICT che può essere condotta in proprio e non richiede l'intervento di un ente di certificazione.

Una delle emanazione del BSI è un manuale, chiamato IT-Grundschutz Manual, che contiene la descrizione della procedura che consente di applicare la metodologia definita per l'implementazione del SGSI. In particolare ciò che distingue la metodologia IT-Grundschutz dagli altri standard e la rende adatta all'autocertificazione è la proposta di una serie di misure di sicurezza ritenute sufficienti al raggiungimento di un livello di base di sicurezza adatto a numerosi contesti differenti, riservando, ove ritenuto necessario, l'approfondimento a tecniche più raffinate per contesti critici.

La metodologia prevede una prima analisi che consiste nella raccolta di informazioni e schemi per rappresentare il sistema ICT secondo un criterio modulare che consente di isolare gli elementi di importanza per la procedura. Durante questa fase vengono raccolte informazioni relative alla criticità dei vari elementi componenti il sistema ICT e quindi predisposta la documentazione necessaria allo sviluppo di un modello del sistema ICT che segua gli schemi dell'IT-Grundschutz Manual.

La modellizzazione del sistema è necessaria per ricondurre l'insieme di apparati costituenti l'infrastruttura ICT a blocchi semplici ai quali è possibile applicare le misure di sicurezza previste dalla metodologia. A seconda dei casi è possibile verificare la presenza delle misure o l'urgenza con la quale queste dovranno essere impostate, sulla base del livello di criticità e dei requisiti di sicurezza individuati nella prima fase per i singoli moduli.

Il risultato di questa analisi è un documento che contiene una valutazione del livello di sicurezza in riferimento alle misure previste dalla metodologia IT-Grundschutz.

Sulla base di questi risultati è possibile definire le attività che è necessario intraprendere per elevare il livello di sicurezza del sistema impostando specifiche misure di sicurezza o corredando i risultati dell'analisi secondo il metodo del BSI con analisi di sicurezza condotti con metodologie più rigorose.

Periodicamente è prevista la revisione della procedura per aggiornare il SGSI ed elevare il livello di sicurezza dell'infrastruttura.

Nel seguito viene brevemente descritta la metodologia e fornito un esempio di implementazione attraverso la produzione di un modello di documento, ma la descrizione non vuole e non può sostituirsi allo studio necessario per comprendere la strategia IT-Grundschutz, attraverso l'approfondimento del manuale fornito dal BSI tedesco.

La misura del livello di sicurezza

È importante sottolineare che lo studio svolto sulla metodologia non porterà esclusivamente alla sua applicazione, ma descriverà una soluzione originale per ottenere, in fase di analisi del livello di sicurezza, uno strumento per misurare il livello raggiunto e fornire informazioni facilmente comprensibili da personale non tecnico e quindi immediatamente utilizzabili come report sulla sicurezza informatica anche in contesti tipicamente poco specializzati come collegi della direzione aziendale.

La soluzione, costituita semplicemente da un foglio elettronico opportunamente organizzato per fornire una rappresentazione intuitiva dei risultati, è descritta nella sezione di Analisi del livello di sicurezza.