IT Baseline Protection Catalogs: differenze tra le versioni

IlI '''ManualeCataloghi per la protezione di base IT''' (in inglese '''IT Baseline Protection ManualCatalogs''', in tedesco '''IT-GrundschutzhandbuchGrundschutz-Kataloge''') dell'istituto federale [[Ufficio Federale per la sicurezza informatica]] della [[Germania|Repubblica tedesca]] sono una collezione unitaria di misure che permette di dare attuazione ad una pianificazione della sicurezza [[Information technology|IT]] in modo semplice ed economico.

Con l'approccio tradizionale di [[valutazione del rischio]] si devono prima di tutto identificare le minacce e assegnare loro una probabilità di accadimento. Il risultato di questa analisi viene usato per valutare il rischio (a cui viene assegnato un valore che tiene conto della probabilità della realizzazione di determinate minacce e del valore del bene minacciato) e quindi selezionare le misure di sicurezza appropriate, in modo da minimizzare il rischio residuale.

L'approccio adottato nel manuale [[Bundesamt für Sicherheit in der Informationstechnik|BSI]] per la protezione di base invece consiste in un confronto tra le misure raccomandate dal modello e quelle effettivamente attuate dal soggetto che effettua la pianificazione/valutazione del rischio. Le debolezze/criticità nella sicurezza che devono essere eliminate attraverso l'adozione delle misure raccomandate si concretizzano nell'elenco delle misure di sicurezza mancanti e non ancora applicate. Solo quando i requisiti di sicurezza sono significativamente più alti può essere necessario effettuare una un'analisi ulteriore, pesando il costo effettivo di adozione di misure addizionali rispetto a quelle base elencate nel catalogo del manuale BSI. Tuttavia è generalmente sufficiente aggiungere alle raccomandazioni contenute nel manuale BSI alcune misure appropriate ritagliate sul caso specifico e più stringenti. Le misure di sicurezza elencate nel manuale sono misure standard, cioè misure che andrebbero implementate per i moduli contenuti nel manuale usando le migliori tecnologie per ottenere un ragionevole livello di sicurezza. In qualche caso le misure offrono anche un livello maggiore di protezione rispetto alla protezione base, tuttavia di norma sono le precauzioni minime che è ragionevole adottare nelle aree di competenza.

La metodologia di individuazione delle misure di sicurezza mancanti e quindi di valutazione concreta del rischio residuo procede nel modo seguente. Innanzitutto si effettua una [[Inventario|inventariazione]] delle risorse che compongono il sistema oggetto della protezione (ad esempio: dati, applicazioni, dispositivi informatici, siti di collocazione dei dispositivi). Le risorse vengono classificate e raggruppate in modo da rendere più semplice la scelta dei moduli contenuti nel catalogo del manuale BSI da applicare ai singoli gruppi di risorse. Ogni modulo consiste in un insieme di minacce (rischicause potenziali di rischio) e di contromisure applicabili ad una particolare categoria di risorse informatiche (ad esempio: [[server]], [[sistema operativo|sistemi operativi]], stanze server) a cui il modulo è dedicato. La valutazione/misurazione del rischio rischio residuo consiste nel confronto tra le misure suggerite da ogni singolo modulo contenuto nel catalogo del manuale con le misure già applicate. Le misure mancanti rappresentano il rischio residuo per quel particolare gruppo di risorse. La pianificazione dei tempi di adeguamento del sistema alle misure non ancora attuate e dei costi e beneificibenefici delle diverse alternative proposte rappresenta la fase di gestione del rischio.

Il metodo descritto nel ITCatalogo Baselinedel Protection ManualBSI rappresenta l'applicazione pratica dello standard denominato '''BSI-Standard 100-2:IT-Grundschutz Methodology'''. Va quindi considerato a pieno titolo uno [[standard di sicurezza informatica]] e le misure suggerite sono compatibili con lo standard [[Standard ISO 27001:2005|ISO 27001:2005]] per cui è ottenibile la [[certificazione]] [[ISO]].