La crescente interconnessione e complessità dei sistemi informatici aumenta la vulnerabilità agli attacchi informatici. Con la versione 2.1 dello standard minimo (MST) per la registrazione e il rilevamento degli attacchi informatici, l'Ufficio federale per la sicurezza informatica (BSI) presenta una linea guida centrale per i requisiti di sicurezza nell'amministrazione federale. Tuttavia, data la crescente importanza della difesa informatica e dei requisiti legali, anche le aziende possono trarre aspetti chiave dall'MST.
Significato dello standard minimo
Lo standard si basa sui requisiti dell'IT Security Act 2.0 e della Sezione 8 BSIG ed è rivolto ai responsabili IT, ai responsabili della sicurezza e al personale operativo IT. L'obiettivo è garantire un livello di sicurezza uniforme per difendersi dagli attacchi informatici.
L'MST definisce i requisiti minimi per la registrazione degli eventi rilevanti per la sicurezza (SRE) e il loro rilevamento, al fine di riconoscere tempestivamente gli incidenti di sicurezza e avviare le contromisure adeguate.
L'obiettivo è garantire la riservatezza, l'integrità e la disponibilità dei sistemi informatici. Si tiene conto di requisiti legali come il Regolamento generale sulla protezione dei dati (GDPR).
Registrazione: pianificazione, raccolta, documentazione
La registrazione costituisce la base per il riconoscimento degli attacchi informatici. Il processo comprende l'identificazione delle fonti di dati, la raccolta dei dati rilevanti degli eventi e la loro documentazione strutturata. I requisiti centrali sono
- -Fonti di dati: Tutti i sistemi IT che possono fornire informazioni rilevanti per la sicurezza, come firewall, sistemi operativi o applicazioni, devono essere inclusi.
- Eventi da registrare: Si tratta di login, modifiche ai dati di accesso, installazioni e processi critici del sistema.
- Documentazione: i dati raccolti devono essere archiviati in un'infrastruttura di registrazione centralizzata, protetta sia fisicamente che logicamente.
Suggerimento di lettura: Rapporto sulla situazione BSI 2024 - Questa è la situazione attuale delle minacce
Rilevamento: calibrare, rilevare, analizzare
Il rilevamento si basa sulla registrazione e comprende l'analisi automatica e manuale degli eventi rilevanti per la sicurezza. L'obiettivo è identificare tempestivamente le attività sospette.
- Calibrazione: i sistemi sono impostati in condizioni normali per ridurre al minimo i falsi allarmi.
- Rilevamento automatico: sistemi come i sistemi di rilevamento delle intrusioni (IDS) o la gestione delle informazioni e degli eventi di sicurezza (SIEM) aiutano ad analizzare gli eventi in tempo reale.
- Valutazione manuale: gli incidenti di sicurezza qualificati vengono esaminati da esperti per avviare misure di risposta adeguate.
Inoltre, i meccanismi di sicurezza e i sistemi di rilevamento devono essere adattati alle nuove situazioni di minaccia.
Aree di responsabilità e condizioni quadro organizzative
Il PD MST divide le responsabilità tra diverse aree:
- Sicurezza informatica operativa: pianificazione e gestione dell'infrastruttura di registrazione e rilevamento.
- Operazioni IT: garantire il buon funzionamento dell'infrastruttura IT.
- Audit: verifica periodica della conformità alle specifiche e alle misure di protezione.
Ogni organizzazione deve inoltre garantire la formazione dei dipendenti e la disponibilità di risorse adeguate per l'attuazione.
Sfide legali e tecniche
La conformità allo standard minimo richiede la considerazione del quadro normativo. Ciò include la determinazione dei periodi di archiviazione consentiti per i dati di log, che possono variare a seconda dei requisiti di protezione. Inoltre, le specifiche dell'MST devono essere regolate contrattualmente quando si integrano fornitori terzi o fornitori di servizi IT.
Lo standard minimo per la registrazione e il rilevamento degli attacchi informatici è una linea guida centrale per la sicurezza delle informazioni nell'amministrazione federale. I suoi requisiti rigorosi non solo forniscono un quadro giuridico, ma contribuiscono anche a migliorare la resilienza contro le minacce informatiche. Tuttavia, un'implementazione efficace richiede una stretta collaborazione tra tutte le parti interessate e un continuo adattamento ai nuovi scenari di minaccia.
Fonte: Standard minimo BSI per la registrazione e il rilevamento di attacchi informatici, versione 2.1 dell'11/11/2024.