1 / 3

fabio martino de carles 4 TT&E

Il documento NIST SP 800-84, "Guida ai Programmi di Test, Formazione ed Esercizi per<br>i Piani e le Capacitu00e0 delle Tecnologie dell'Informazione," offre una guida dettagliata su<br>come le organizzazioni possono progettare, sviluppare, condurre e valutare eventi di test,<br>formazione ed esercizi (TT&E).

fabiomartinodecarles
Télécharger la présentation

fabio martino de carles 4 TT&E

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tutti i diritti riservati. Fabio martino de carles 2.5 TT&E e MANUTENZIONE Il documento NIST SP 800-84, "Guida ai Programmi di Test, Formazione ed Esercizi per i Piani e le Capacità delle Tecnologie dell'Informazione," offre una guida dettagliata su come le organizzazioni possono progettare, sviluppare, condurre e valutare eventi di test, formazione ed esercizi (TT&E). Tali eventi sono fondamentali per migliorare la capacità delle organizzazioni di prepararsi, rispondere, gestire e recuperare da eventi dannosi o distruttivi. La maggior parte delle attività di TT&E avviene durante la fase di Operazioni/Mantenimento del ciclo di vita del sistema (SDLC), è essenziale che i primi eventi TT&E siano condotti durante la fase di Implementazione/Valutazione. Questo serve a convalidare le procedure di recupero del piano di continuità. Le organizzazioni devono svolgere eventi TT&E regolarmente, specialmente dopo cambiamenti organizzativi o di sistema, o quando vengono emesse nuove linee guida TT&E. L'esecuzione di questi eventi permette di valutare l'efficacia del piano di continuità, assicurando che tutto il personale sia a conoscenza dei propri ruoli durante la gestione di un piano di continuità del sistema informativo. I risultati di ogni attività TT&E devono essere documentati in un rapporto post-azione, e le azioni correttive devono essere utilizzate per aggiornare le informazioni. Il testing del piano di continuità è un elemento cruciale per validare la capacità di contingenza; infatti, i test hanno lo scopo di identificare e risolvere le carenze del piano, convalidando i componenti del sistema e l'operabilità del piano stesso. Questi test devono replicare il sistema nel modo più simile a quello operativo reale, utilizzando obiettivi di test e criteri di successo per valutare l'efficacia del sistema e del piano nel suo complesso. Il piano di test deve includere un programma dettagliato dei tempi per ogni test e i partecipanti coinvolti, oltre che è necessario delineare l'ambito, lo scenario e la logistica del test. Infine, il personale deve essere formato affinché esegua il proprio ruolo senza fare affidamento sul documento di continuità o recupero. Il personale di recupero deve essere formato sui seguenti elementi del piano: •Scopo del piano •Coordinamento e comunicazione tra team •Procedure di segnalazione •Requisiti di sicurezza •Processi specifici del team (Fasi di Attivazione e Notifica, Recupero e 1

  2. Tutti i diritti riservati. Fabio martino de carles Ricostituzione) •Responsabilità individuali (Fasi di Attivazione e Notifica, Recupero e Ricostituzione.) Livello di Tipo di Esercizio Frequenza Descrizione dell'Esercizio Impatto Basso Esercizio da tavolo Definita Simulazione di una dall'organizzazione perturbazione. Include tutti i principali punti di contatto dell'ISCP e viene condotto dal proprietario del sistema o dall'autorità responsabile. Moderato Esercizio Definita Include tutti i punti di funzionale dall'organizzazione contatto dell'ISCP. Facilitato dal proprietario del sistema o dall'autorità responsabile. Le procedure includono il recupero del sistema dai supporti di backup. Alto Esercizio Definita Include un failover del funzionale su larga dall'organizzazione sistema nella posizione scala alternativa, la notifica e la risposta completa del personale chiave alla posizione di recupero, il recupero di un server o di un database dai supporti di backup o dalla configurazione e l'elaborazione da un server in una posizione alternativa. 2

  3. Tutti i diritti riservati. Fabio martino de carles Include un completo recupero e ricostituzione del sistema informativo a uno stato noto. Durante la fase di Operazione/Manutenzione del ciclo di vita dello sviluppo dei sistemi (SDLC), quest’ultimi devono adattarsi ai cambiamenti delle esigenze aziendali, agli aggiornamenti tecnologici ed alle nuove politiche interne o esterne. Per questo motivo, è fondamentale che il Piano di Continuità dei Servizi Informatici (ISCP) sia regolarmente revisionato e aggiornato. Le revisioni del piano devono concentrarsi su vari aspetti chiave: •Requisiti operativi •Requisiti di sicurezza •Procedure tecniche •Hardware, software e altre attrezzature •Informazioni di contatto del team •Informazioni di contatto dei fornitori •Requisiti delle strutture alternative e fuori sede •Documenti vitali Poiché l'ISCP contiene informazioni operative e personali potenzialmente sensibili, è importante che la distribuzione del piano sia opportunamente segnalata e controllata. Solitamente, copie del piano vengono fornite al personale di recupero per la conservazione personale, una copia viene mantenuta nel sito alternativo e un'altra copia viene conservata con i supporti di backup.1 1Cfr. National Institute of Standards and Technology. (2010). Contingency Planning Guide for Federal Information Systems (NIST SP 800-34 Rev. 1). 3

More Related