La certificazione della sicurezza
ICT nella PA
Franco Guida
Fondazione Ugo Bordoni
La sicurezza ICT nella pubblica amministrazione: strategie ed azioni
Roma – CNR 17 gennaio 2006
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
La certificazione della
sicurezza ICT nella PA (1)
Possibili benefici
• Può consentire notevoli risparmi
– agevolando la sostituzione dei costosi e inefficienti trattamenti tradizionali delle
informazioni anche quando vi siano rilevanti esigenze di sicurezza
– incrementando la fiducia del cittadino nel fruire telematicamente di servizi della
PA
• Può fornire un contributo importante in tutti i casi in cui sia
impossibile o insufficiente il ripristino dopo un incidente
informatico e si debba perciò garantire che è stato fatto il
possibile per evitarlo e minimizzarne i danni
(ad esempio nei casi in cui l’incidente possa compromettere l’incolumità o la
salute di persone)
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
La certificazione della
sicurezza ICT nella PA (2)
Possibili benefici (2)
• Può tutelare chi, all’interno della PA, ha la responsabilità di
gestire informazioni che richiedono adeguata protezione
Possibili svantaggi
• Richiede una spesa aggiuntiva che può risultare non
trascurabile se la certificazione non viene eseguita in modo
appropriato
• Possono essere necessari tempi di certificazione piuttosto
lunghi, soprattutto nei casi di utilizzo inappropriato
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
La sicurezza ICT in
un’Organizzazione
Processo di gestione
della sicurezza ICT (ISMS)
Certificabile BS7799
Informazioni/beni da proteggere
Analisi e gestione
dei rischi
Sistemi/prodotti ICT
Contromisure tecniche
Certificabili ISO/IEC 15408
(Common Criteria)
Pluralità di soggetti
con diversi compiti
e responsabilità
Contromisure fisiche
Competenza certificabile
secondo criteri quali
CISSP/SSCP,
Politiche di sicurezza
CISA/CISM, ecc.)
(modello organizzativo, definizione
requisiti per le contromisure tecniche e
non tecniche, ecc.)
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
Tipi di certificazione
Oggetto
certificato
Norme di
riferimento
Processo di gestione della
sicurezza ICT (ISMS)
BS7799:2
Sistema/prodotto ICT
Competenza del personale
Common Criteria (ISO/IEC IS15408)
ITSEC
CISSP/SSCP,
CISA/CISM, ecc.
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
Le entità in gioco
Common Criteria/ITSEC
ACCREDITATORE
NORMA DI
RIFERIMENTO
FORNITORE/TITOLARE
OGG. DA CERTIFICARE
FRUITORE DEI SERVIZI
FORNITI DALL’OGGETTO
CERTIFICATO
BS7799
OGGETTO DA
CERTIFICARE
VALUTATORE
CERTIFICATORE
CERTIFICATO
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
Le certificazioni in Italia
regolate da DPCM
• Certificazione di prodotto/sistema ICT
– Schema Nazionale del 1995 aggiornato nel 2002 (DPCM 11 aprile 2002
– GU n. 131 del 6 giugno 2002) applicabile nel contesto della sicurezza
interna e esterna dello Stato
• Ente di Certificazione/Accreditamento (EC): ANS/UCSi
– Centri di Valutazione (Ce.Va.): 3 privati, 2 pubblici (tra cui ISCOM ex
ISCTI)
– Schema Nazionale del 2003 (DPCM 30 ottobre 2003 – GU n. 98 del 27
aprile 2004) applicabile in tutti i contesti non coperti dal primo Schema
• Organismo di Certificazione/Accreditamento (OCSI): ISCOM ex ISCTI
(Ministero Comunicazioni) che si avvale del supporto della FUB
– Laboratori di Valutazione (LVS): da accreditare nei prossimi mesi
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
Principi generali alla base
dei Common Criteria (1)
•
Verifiche di tipo 1 (ad alto livello)
– controllano che vi siano tutte le funzioni di sicurezza
necessarie, che siano in grado di cooperare
efficacemente e che la robustezza dichiarata sia
confermabile teoricamente
•
Verifiche di tipo 2
– controllano, con una severità dipendente dal livello di
garanzia, che il sw/hw con cui le funzioni sono
realizzate esibisca nelle effettive condizioni di utilizzo il
comportamento teorico previsto, sia a fronte di eventi
accidentali o sia di veri e propri “attacchi”
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
Principi generali alla base
dei Common Criteria (2)
• Verifiche di tipo 1
– Hanno lo scopo di controllare che non vi siano errori
già nella fase di impostazione della progettazione
delle funzionalità di sicurezza del sistema ICT
• Ad esempio: l’assenza di una funzione
• Verifiche di tipo 2
– Controllano che non siano stati introdotti errori nella
fase di sviluppo e realizzazione delle funzionalità di
sicurezza, né nella definizione della loro modalità
d’impiego operativo
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
La strategia dell’OCSI (1)
Tutelare l’utilizzatore del sistema certificato:
1) evidenziando la necessità di eseguire la certificazione dell’intero
sistema ICT
2) sollecitando il mantenimento nel tempo delle certificazioni, senza il
quale la certificazione perde ben presto la sua utilità effettiva
3) convincendo che è consigliabile fermarsi anche il primo livello di
certificazione (EAL1) pur di realizzare quanto indicato ai punti 1) e 2);
già il livello EAL1, infatti, garantisce la rimozione della causa più
frequente degli incidenti informatici (vulnerabilità note sfruttabili)
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
La strategia dell’OCSI (2)
L’approccio differisce notevolmente da quello
seguito generalmente in altri paesi. Infatti:
– all’estero vengono prevalentemente eseguite certificazioni
di prodotti su richiesta dei grossi produttori di SW, che le
utilizzano soprattutto a fini pubblicitari
– le certificazioni raramente vengono mantenute nel tempo
– conseguentemente l’utilizzatore finale risulta scarsamente
tutelato
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
La strategia dell’OCSI (3)
Per consentire un’ampia diffusione del servizio di certificazione e la
gestione del mantenimento nel tempo dei certificati:
– sono stati eliminati tutti i fattori che potrebbero rendere l’accreditamento degli
LVS più oneroso del necessario, quali
• obbligo di frequenza di corsi di formazione per i valutatori
• verifiche di competenza non differenziate per livello e per profilo
• possesso, già nella fase di accreditamento, di approfondite conoscenze su
numerose piattaforme hw/sw
• obbligo di realizzazione di costose infrastrutture quali sale schermate, porte e
armadi blindati, sofisticati sistemi di allarme, ecc.
– viene incoraggiata l’abilitazione degli Assistenti, il cui costo è molto limitato
– è stato ulteriormente consigliato l’utilizzo del primo livello di certificazione, in
virtù dei costi e dei tempi di certificazione non eccessivi che lo caratterizzano
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
Conclusioni
• La certificazione della sicurezza ICT costituisce
un’opportunità importante per la Pubblica
Amministrazione
• Qualora venga colta tale opportunità potrà esservi
un significativo incremento delle richieste di
certificazione
• Se ciò avverrà, sarà auspicabile che sviluppo e
dimensionamento delle strutture di certificazione
riescano a procedere in modo da garantire il
soddisfacimento della domanda
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)
Grazie dell’attenzione
www.ocsi.gov.it
Franco Guida
Fondazione Ugo Bordoni
Responsabile Area Operativa dell’Organismo di
Certificazione della Sicurezza Informatica (OCSI)