Framework Nazionale per la Cybersecurity e la Data Protection estratti (da documentazione CINI Cybersecurity National Lab Consorzio Interuniversitario Nazionale per l’Informatica)
Elementi fondamentali del Framework
Il Framework eredita le tre nozioni fondamentali del Cybersecurity Framework NIST: Framework Core, Profile e Implementation Tier. Di seguito ne diamo una breve descrizione, rimandando al documento originale per maggiori dettagli.
Framework Core – Il core rappresenta la struttura del ciclo di vita del processo di gestione
della cybersecurity, sia dal punto di vista tecnico sia organizzativo. Il core è strutturato gerar-
chicamente in function, category e subcategory. Le function, concorrenti e continue, sono:
IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER e costituiscono le principali tematiche da
affrontare per operare una adeguata gestione del rischio cyber in modo strategico. Il Fra-
mework quindi definisce, per ogni function, category e subcategory, le attività abilitanti, quali
processi e tecnologie, da mettere in campo per gestire la singola function. Il Framework Core
presenta inoltre delle informative reference, dei riferimenti che legano la singola subcategory
alle pratiche di sicurezza note previste da standard di settore (ISO, SP800-53r4, COBIT-5,
SANS20 e altri) o da regolamentazioni generali vigenti (Regolamento UE 2016/679 General
Data Protection Regulation, Direttiva UE 2016/1148 NIS). Tali riferimenti hanno principal-
mente uno scopo illustrativo e non devono essere interpretati come esaustivi.
Di seguito è riportata una breve descrizione delle 5 function:
IDENTIFY - La function IDENTIFY è legata alla comprensione del contesto aziendale, degli asset
che supportano i processi critici di business e dei relativi rischi associati. Tale compren-
sione permette a un’organizzazione di definire risorse e investimenti in linea con la stra-
tegia di gestione del rischio e con gli obiettivi aziendali. Le category all’interno di questa
function sono: Asset Management, Business Environment; Governance, Risk Assessment,
Risk Management Strategy, Supply Chain Risk Management e Data Management.
PROTECT - La function PROTECT è associata all’implementazione di quelle misure volte alla
protezione dei processi di business e degli asset aziendali, indipendentemente dalla loro
natura informatica. Le category all’interno di questa function sono: Identity Management,
Authentication and Access Control, Awareness and Training, Data Security, Information
Protection Processes and Procedures, Maintenance, Protective Technology.
DETECT - La function DETECT è associata alla definizione e attuazione di attività appropriate
per identificare tempestivamente incidenti di sicurezza informatica. Le category all’in-
terno di questa function sono: Anomalies and Events, Security Continuous Monitoring,
Detection Processes.
RESPOND - La function RESPOND è associata alla definizione e attuazione delle opportune
attività per intervenire quando un incidente di sicurezza informatica sia stato rilevato.
L’obiettivo è contenere l’impatto determinato da un potenziale incidente di sicurezza in-
formatica. Le category all’interno di questa function sono: Response Planning, Commu-
nications, Analysis, Mitigation, Improvements.
RECOVER - La function RECOVER è associata alla definizione e attuazione delle attività per la
gestione dei piani e delle attività per il ripristino dei processi e dei servizi impattati da un
incidente. L’obiettivo è garantire la resilienza dei sistemi e delle infrastrutture e, in caso
di incidente, supportare il recupero tempestivo delle business operations. Le category
all’interno di questa function sono: Recovery Planning, Improvements, Communications.
La versione del Framework presentata in questo documento incorpora nel core nuovi elementi riguardanti la protezione dei dati personali che non sono erano sufficientemente colti
dalle subcategory già presenti nel Framework originale. In particolare, vengono introdotte
delle nuove category e subcategory evidenziate in giallo nella tabella seguente ed identificate
dal prefisso “DP-“.
Tabella 1: Nuove category e subcategory introdotte nel Framework Nazionale per la Cybersecurity e la Data Protection.
In aggiunta a tali elementi, il Framework integra i cambiamenti apportati al core del Cybersecurity Framework NIST con l’introduzione della versione 1.1 .di cui parleremo nel prossimo articolo estratto.
Il Framework eredita le tre nozioni fondamentali del Cybersecurity Framework NIST: Framework Core, Profile e Implementation Tier. Di seguito ne diamo una breve descrizione, rimandando al documento originale per maggiori dettagli.
Framework Core – Il core rappresenta la struttura del ciclo di vita del processo di gestione della cybersecurity, sia dal punto di vista tecnico sia organizzativo. Il core è strutturato gerar- chicamente in function, category e subcategory. Le function, concorrenti e continue, sono: IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER e costituiscono le principali tematiche da affrontare per operare una adeguata gestione del rischio cyber in modo strategico. Il Fra- mework quindi definisce, per ogni function, category e subcategory, le attività abilitanti, quali processi e tecnologie, da mettere in campo per gestire la singola function. Il Framework Core presenta inoltre delle informative reference, dei riferimenti che legano la singola subcategory alle pratiche di sicurezza note previste da standard di settore (ISO, SP800-53r4, COBIT-5, SANS20 e altri) o da regolamentazioni generali vigenti (Regolamento UE 2016/679 General Data Protection Regulation, Direttiva UE 2016/1148 NIS). Tali riferimenti hanno principal- mente uno scopo illustrativo e non devono essere interpretati come esaustivi.
Di seguito è riportata una breve descrizione delle 5 function:
IDENTIFY - La function IDENTIFY è legata alla comprensione del contesto aziendale, degli asset che supportano i processi critici di business e dei relativi rischi associati. Tale compren- sione permette a un’organizzazione di definire risorse e investimenti in linea con la stra- tegia di gestione del rischio e con gli obiettivi aziendali. Le category all’interno di questa function sono: Asset Management, Business Environment; Governance, Risk Assessment, Risk Management Strategy, Supply Chain Risk Management e Data Management.
PROTECT - La function PROTECT è associata all’implementazione di quelle misure volte alla protezione dei processi di business e degli asset aziendali, indipendentemente dalla loro natura informatica. Le category all’interno di questa function sono: Identity Management, Authentication and Access Control, Awareness and Training, Data Security, Information Protection Processes and Procedures, Maintenance, Protective Technology.
DETECT - La function DETECT è associata alla definizione e attuazione di attività appropriate per identificare tempestivamente incidenti di sicurezza informatica. Le category all’in- terno di questa function sono: Anomalies and Events, Security Continuous Monitoring, Detection Processes.
RESPOND - La function RESPOND è associata alla definizione e attuazione delle opportune attività per intervenire quando un incidente di sicurezza informatica sia stato rilevato. L’obiettivo è contenere l’impatto determinato da un potenziale incidente di sicurezza in- formatica. Le category all’interno di questa function sono: Response Planning, Commu- nications, Analysis, Mitigation, Improvements.
RECOVER - La function RECOVER è associata alla definizione e attuazione delle attività per la gestione dei piani e delle attività per il ripristino dei processi e dei servizi impattati da un incidente. L’obiettivo è garantire la resilienza dei sistemi e delle infrastrutture e, in caso di incidente, supportare il recupero tempestivo delle business operations. Le category all’interno di questa function sono: Recovery Planning, Improvements, Communications.
La versione del Framework presentata in questo documento incorpora nel core nuovi elementi riguardanti la protezione dei dati personali che non sono erano sufficientemente colti dalle subcategory già presenti nel Framework originale. In particolare, vengono introdotte delle nuove category e subcategory evidenziate in giallo nella tabella seguente ed identificate dal prefisso “DP-“.
Tabella 1: Nuove category e subcategory introdotte nel Framework Nazionale per la Cybersecurity e la Data Protection.
In aggiunta a tali elementi, il Framework integra i cambiamenti apportati al core del Cybersecurity Framework NIST con l’introduzione della versione 1.1 .di cui parleremo nel prossimo articolo estratto.
Commenti