IT Baseline Protection Manual
Da Wikipedia, l'enciclopedia libera.
Il Manuale per la protezione di base IT (in inglese IT Baseline Protection Manual, in tedesco IT-Grundschutzhandbuch) dell'istituto federale Ufficio Federale per la sicurezza informatica della Repubblica tedesca permette di dare attuazione ad una pianificazione della sicurezza IT in modo semplice ed economico.
Con l'approccio tradizionale di valutazione del rischio si devono prima di tutto identificare le minacce e assegnare loro una probabilità di accadimento. Il risultato di questa analisi viene usato per valutare il rischio (assegnando una probabilità alla realizzazione di determinate minacce) e quindi selezionare le misure di sicurezza appropriate, in modo da minimizzare il rischio residuale.
L'approccio adottatto nel manuale BSI per la protezione di base invece consiste in un confronto tra le misure raccomandate dal modello e quelle effettivamente attuate dal soggetto che effettua la pianificazione/valutazione del rischio. Le debolezze/criticità nella sicurezza che devono essere eliminate attraverso l'adozione delle misure raccomandate si concretizzano nell'elenco delle misure di sicurezza mancanti e non ancora applicate. Solo quando i requisiti di sicurezza sono significativamente più alti può essere necessario effettuare una analisi ulteriore, pesando il costo effettivo di adozione di misure addizionali rispetto a quelle base elencate nel catalogo del manuale BSI. Tuttavia è generalmente sufficiente aggiungere alle raccomandazioni contenute nel manuale BSI alcune misure appropriate ritagliate sul caso specifico e più stringenti. Le misure di sicurezza elencate nel manuale sono misure standard, cioè misure che andrebbero implementate per i moduli contenuti nel manuale usando le migliori tecnologie per ottenere un ragionevole livello di sicurezza. In qualche caso le misure offrono anche un livello maggiore di protezione rispetto alla protezione base, tuttavia di norma sono le precauzioni minime che è ragionevole adottare nelle aree di competenza.
La metodologia di individuazione delle misure di sicurezza mancanti e quindi di valutazione concreta del rischio residuo procede nel modo seguente. Innanzitutto si effettua una inventariazione delle risorse che compongono il sistema oggetto della protezione (ad esempio: dati, applicazioni, dispositivi informatici, siti di collocazione dei dispositivi). Le risorse vengono classificate e raggruppate in modo da rendere più semplice la scelta dei moduli contenuti nel catalogo del manuale BSI da applicare ai singoli gruppi di risorse. Ogni modulo consiste in un insieme di minacce (rischi potenziali) e di contromisure applicabili ad una particolare categoria di risorse informatiche (ad esempio: server, sistemi operativi, stanze server) a cui il modulo è dedicato. La valutazione/misurazione del rischio rischio residuo consiste nel confronto tra le misure suggerite da ogni singolo modulo contenuto nel catalogo del manuale con le misure già applicate. Le misure mancanti rappresentano il rischio residuo per quel particolare gruppo di risorse. La pianificazione dei tempi di adeguamento del sistema alle misure non ancora attuate e dei costi e beneifici delle diverse alternative proposte rappresenta la fase di gestione del rischio.
Il metodo descritto nel IT Baseline Protection Manual rappresenta l'applicazione pratica dello standard denominato BSI-Standard 100-2:IT-Grundschutz Methodology. Va quindi considerato a pieno titolo uno standard di sicurezza informatica e le misure suggerite sono compatibili con lo standard ISO 27001:2005 per cui è ottenibile la certificazione ISO.
