MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Indice degli argomenti
1. L’attenzione della P.A. alla Sicurezza Informatica
2. Concetti di Sicurezza Informatica
3. Il processo per la gestione della sicurezza
4. Modello Organizzativo per la P.A.
1
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
L’attenzione della P.A. alla Sicurezza Informatica
“Le informazioni gestite dai sistemi informativi pubblici costituiscono una
risorsa di valore strategico per il governo del Paese.”
Questo patrimonio deve essere efficacemente protetto e tutelato al fine di prevenire
possibili alterazioni sul significato intrinseco delle informazioni stesse.
E' noto infatti che esistono minacce di intrusione e possibilità di divulgazione non
autorizzata di informazioni, nonché di interruzione e di distruzione del servizio.
Lo stesso processo di innovazione tecnologica produce da un lato strumenti più
sofisticati di "attacco", ma d'altro lato idonei strumenti di difesa e protezione.
PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO PER L'INNOVAZIONE E LE TECNOLOGIE
DIRETTIVA 16 gennaio 2002
Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni.(G.U. 22 marzo 2002, n. 69)
2
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
L’attenzione della P.A. alla Sicurezza Informatica
L’informatica a servizio del cittadino
“La P.A. eroga i servizi alla collettività sempre più tramite le tecnologie
informatiche.”
Decreto legislativo 12/02/ 1993, n. 39 - “Norme in materia di sistemi informativi automatizzati delle
amministrazioni pubbliche, a norma
Decreto legislativo 30/06/2003, n. 196 - “Codice in materia di protezione dei dati personali.”
Direttiva 27/11/2003 - “Direttiva per l’impiego della posta elettronica nelle pubbliche
amministrazioni.”
Direttiva 18/12/2003 - “Linee guida in materia di digitalizzazione dell’amministrazione per l’anno
2004.”
Legge 9/1/2004, n. 4 - “Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti
informatici.”
D.P.R. 2/3/2004, n. 117 - “Regolamento concernente la diffusione della carta nazionale dei servizi, a
norma dell’articolo 27, comma 8, lettera b), della legge 16 gennaio 2003, n. 3.”
D.P.R. 11/2/2005, n. 68 - “Regolamento recante disposizioni per l’utilizzo della posta elettronica
certificata a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3.”
D.P.R. 1/3/2005 n. 75 - “Regolamento di attuazione della legge 9 gennaio 2004, n. 4 per favorire
l’accesso dei soggetti disabili agli strumenti informatici.”
Decreto legislativo 7 /3/2005, n. 82 - “Codice dell’amministrazione digitale.”
3
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
L’attenzione della P.A. alla Sicurezza Informatica
Obiettivo prioritario
I processi della P.A. per la missione istituzione a servizio del Cittadino
necessitano della massima garanzia di affidabilità, integrità e correttezza
delle informazioni e dei loro trattamenti .
La sicurezza informatica e delle comunicazioni (S-ICT) è uno egli obiettivi di
massima rilevanza per assicurare servizi efficaci ed efficienti, attraverso:
-
Utilizzo di tecnologie “sicure” (PEC)
Reti dedicate con alte prestazioni e elevati livelli di sicurezza (SPC)
Garanzia delle informazioni personali (Codice Privacy)
Conformità agli standard internazionali
Promozione della “cultura della sicurezza”
Attuazione di un “Modello organizzativo” per la sicurezza
Il raggiungimento degli obiettivi richiede di operare con professionalità e
consapevolezza anche in materia di Sicurezza ICT.
4
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Concetti base – Obiettivi di sicurezza 1
Gli obiettivi di sicurezza sono esprimibili con i criteri RID
1) Disponibilità di risorse
Le risorse informatiche (elaboratori, reti di comunicazione, dati) dovoono essere
disponibili all’uso quando sono necessari.
Indisponibilità “controllate” (aggiornamento, manutenzione preventiva)
Sono necessarie e devono essere gestite
Indisponibilità “incontrollate” (cause non volontarie)
Devono essere adottati gli accorgimenti per evitarle e per minimizzare l’impatto sulle
operazioni quando si verificano
2) Integrità dell’informazione
La tutela che le informazioni (i dati) non siano alterati.
3) Riservatezza dell’informazione.
La prevenzione dell’accesso alle informazioni alle persone che non ne hanno titolo.
E’ necessario preventivamente classificare le informazioni, determinare chi ha titolo
all’accesso (per norma di legge, contratto fra le parti), quali trattamenti può effettuare.
5
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Concetti base – Obiettivi di sicurezza 2
L’utilizzo della Firma Digitale e delle tecniche crittografiche ha aggiunto
due nuovi concetti, applicabili all’integrità di una transazione telematica o
di un messaggio (es e-mail).
5) Autenticità
Certezza del legittimo autore di un messaggio o documento digitale.
6) Non Ripudio
Certezza dell’origine del documento o della transazione e prevenzione del
disconoscimento da parte dell’autore.
6
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Crittografia
La crittografia è utilizzata per rendere incomprensibile un messaggio
a chi non è in possesso della chiave
Algoritmo
Chiave
metodo di cifratura
elemento utilizzato per cifrare / decifrare il testo
Il processo deve essere REVERSIBILE, chi conosce la chiave deve
ricostruire il messaggio originale
Testo in
chiaro
CIFRATURA
Testo
cifrato
CHIAVE
DECIFRATURA
Testo in
chiaro
L’algoritmo può essere pubblico
La sicurezza del processo crittografico è costituita dalla
segretezza della chiave (Principio di Kerchoff)
7
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Crittografia
TIPI di ALGORITMI
CRITTOGRAFICI
Per garantire
RISERVATEZZA
la chiave è unica
E nota sia al Mittente
che al Destinatario
SIMMETRICI
2 coppie di chiavi diverse
ASIMMETRICI
HASH
Per garantire
RISERVATEZZA
Mittente
AUTENTICITA’
Destinatario
Utilizzati anche per lo
scambio di chiavi simmetriche
Per garantire INTEGRITA’
Funzioni univoche e unidirezionali (non possono essere invertite)
Trasformano un testo di lunghezza arbitraria in una stringa di lunghezza fissa,
relativamente limitata, strettamente dipendente dal testo.
Piccole variazione del testo producono un hash diverso
L’hash rappresenta l’ “impronta digitale” che identifica il testo in chiaro.
8
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Crittografia Simmetrica – Chiave
OTP (One Time Pad) utilizzando una chiave:
• di lunghezza uguale al messaggio
• casuale
• usata una sola volta
Caso teorico non applicabile in pratica. Occorre trovare il compromesso fra
• Facile utilizzo per gli utenti legittimi
Utilizzabile sui computer reali (potenza di calcolo limitata)
Piu corta del messaggio
• Difficile decifratura per il possibile attaccante
Problematiche legate alla chiave
Creazione di sequenze casuali
Numero delle chiavi
N utilizzatori
N=100
N*(N-1)/2 Chiavi
4.950 Key
Distribuzione
Utilizzo di canali paralleli
9
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Crittografia Asimmetrica – Generazione delle chiavi
Le chiavi sono create dallo stesso algoritmo e sono correlate
Non possono essere ricavate l’una dall’altra
In fase di creazione si utilizzano funzioni matematiche che richiedono potenza di
calcolo limitata (computabili) ma per le quali non è ancora stato dimostrato
che esista un metodo pratico di risoluzione inversa
La soluzione inversa non è possibile tramite algoritmo, ma solo per tentativi
(forza bruta) quasi impossibili da computare
Fattorizzazione numeri primi
Dati due numeri primi tra loro è semplice e veloce calcolarne il prodotto
Dato il prodotto è molto difficile risalire a uno dei fattori primi
Pur conoscendo la chiave pubblica è impossibile risalire a quella privata
10
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Crittografia Asimmetrica – Le Chiavi
la chiave privata é personale e segreta
la chiave pubblica è distribuita
Le chiavi sono create dallo stesso algoritmo e sono correlate
Quello che si cifra con una chiave può essere decifrato solamente
con l’altra chiave della coppia
RISERVATEZZA
Mittente invia un messaggio cifrato con la chiave pubblica del destinatario
Destinatario possiede la relativa chiave privata è può decifrarlo
AUTENTICITA’
Mittente invia un messaggio cifrato con la PROPRIA chiave privata
Tutti coloro che hanno la chiave pubblica del mittente possono leggerlo
11
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Crittografia Simmetrica
La robustezza dipende fortemente dalla lunghezza della chiave
Il DES (Data Encryption System) impiega chiavi di 64 bit (56 effettivi + 8 di
parità). Suddivide il testo in blocchi di 64 bit ciascuno e li cifra in successione
per 16 volte.
Ad ogni ciclo la chiave subisce una permutazione.
DEBOLE
.
CHIAVE
BIT
40
RC2-40
56
DES
128
RC2-128
56 (x 3)
FORTE
ALGORITMO
256
3DES
RC6
Il DES é stato forzato nel 1998, ma è ancora molto utilizzato, perché implementabile
con soluzioni hw, economiche e veloci
12
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Crittografia Asimmetrica – RSA
RSA (Rivest, Shamir, Adleman)
Usa operatori esponenziali in aritmetica modulo N
Esponente diverso per le funzioni di cifratura / decifratura
Può usare chiavi di diversa lunghezza, consigliabili almeno 1.024 bit.
Ha lo svantaggio che la creazione della coppia di chiavi è complessa
PRO
Contro
Key Distribution
Più lenta della simmetrica
Key management
(fino a 1.000 volte)
Scalabilità (2*n)
Robusto (Key >= 1.024)
Richiede potenza di calcolo.
Confidenzialità
Autenticità
13
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Concetti base – Minaccia
I beni hanno un valore (anche se immateriali come le informazioni o i
servizi) e devono essere protettu per evitare che possano subire una
perdita, totale o parziale, del loro valore.
ll valore di un bene viene attribuito in rapporto alla sua importanza (dalla
normativa, dal proprietario del bene)secondo gli obiettivi fissati con i
criteri di RID (Riservatezza, Integrità, Disponibilità).
Minaccia
Fatto o azione che potrebbe provocare la violazione di uno degli
obiettivi di sicurezza.
Possono avere origine umana, deliberata o accidentale, o avere una
causa esterna naturale.
Esempi:
Fulmine:
minaccia naturale
Guasto HW:
minaccia accidentale
Furto :
minaccia deliberata
Sw dannoso:
può essere deliberato o accidentale
14
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Concetti base – Vulnerabilità
Vulnerabilità
Tutti i beni hanno, per loro natura, delle vulnerabilità intrinseche, ovvero
dei punti deboli, noti o ignoti.
Se esiste una minaccia che può sfruttare la vulnerabilità, si può verificare
una violazione di un obiettivo di sicurezza.
Le vulnerabilità non implicano la certezza della violazione degli obiettivi
di sicurezza
Impatto
Esprime le conseguenze, sul sistema informatico, a seguito della
concretizzazione di una minaccia.
Dipende dagli obiettivi di sicurezza e dal valore attribuito al bene o al
servizio
15
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Concetti base – Rischio
Rischio
Quantifica la severità di una minaccia in relazione al sistema che si vuole
proteggere.
Si esprime come relazione tra
la probabilità che una minaccia si realizzi P(m)
le conseguenze che può provocare (gravità del possibile impatto) G(i)
R = P(m) * G(i)
I valori associati al Rischio costituiscono l’elemento per sviluppare il
processo di analisi e gestione del rischio e sono fondamentali per la
progettazione di un sistema di sicurezza.
16
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Concetti di Sicurezza Informatica
Come realizzare un sistema di sicurezza
 quali risorse proteggere?
 che importanza (valore) ha la risorsa?
 da quali minacce occorre proteggere le risorse?
 la probabilità che la minaccia si concretizzi?
 quali misure di protezione si possono adottare?
 quali sono i costi?
 le misure già in atto sono ancora valide?
 occorre una verifica periodica degli obiettivi?
17
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Come realizzare un sistema di sicurezza
Il processo (CICLO) della sicurezza
18
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Come realizzare un sistema di sicurezza
Obiettivo:
Definire i principali eventi potenzialmente dannosi
Stimare la probabilità di accadimento relativa.
Calcolare il rischio
Individuare le contromisure
Metodo:
Individuazione minacce e vulnerabilità
Calcolo del rischio:
1. Applicabilità: la minaccia può compromettere l’asset (0=no 1=si)
2. Impatto: applicabilità x criticità asset
3. Probabilità: che la minaccia si concretizzi (vulnerabilità presenti)
4. Rischio: impatto x probabilità (parametrizzati)
19
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
quali risorse proteggere?
1) Inventario dei beni (Asset)
•
•
•
•
•
•
Supporti informatici (sistemi, apparati, Applicativi, reti locali, reti geografiche,…)
Impianti
(corrente elettrica, UPS, aria condizionata/riscaldamento,….)
Locali
(Sale CED, sale console, archivi)
Persone
(manager, sviluppatori, utenti, sistemisti, ….)
Documenti
(cartacei o in forma digitale)
Dati
2) Classificazione dei beni (Asset)
In termini di RID
Assegnando un valore numerico o qualitativo (Alto, Medio, Basso)
fornisce la stima della gravita dell’Impatto G(I)
20
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
3) Individuare le Minacce (Deliberate, Accidentali, ambiEntali)
21
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
4) Individuare le vulnerabilità
22
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
5) Stimare la probabilità dell’evento dannoso
Dipende dalla tipologia della minaccia e
Minacce Deliberate (Fattore Umano)
La probabilità é funzione delle Vulnerabilità presenti nel sistema e
della Motivazioni del potenziale attaccante
P = f(V,M)
Minacce accidentali e ambientali
La probabilità é funzione delle Vulnerabilità presenti nel sistema e
della probabilità statistica che si verifichi.
La probabilità statistica deriva dai rilevamenti di eventi simili avvenuti in precedenza
P = f(V,p)
23
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
6) Stimare il rischio
Applicando la formula di correlazione Probabilità – Gravità dell’impatto
R = P(m) * G(i)


1 Basso 2 Medio
3 Alto
3 Alto
3 Medio
6 Alto
9 Alto
2 Medio
2 Basso
4 Medio
6 Alto
1 Basso
1 Basso
2 Basso
4 Medio
Il livello di rischio è rappresentato mediante la “Matrice di rischio”, riportando
nelle righe la probabilità che le minacce si concretizzino e nelle colonne
l’impatto.
L’incrocio riga/colonna indica il livello di rischio.
24
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
6) Gestire il rischio
scopo
• eliminare i rischi
• ridurli entro limiti accettabili
I rischi non eliminabili possono essere ceduti a terzi, (polizze di assicurazione)
es. furto, incendio e disastri naturali
Il rischio può essere controllo del attraverso opportune contromisure
che agiscano sulle due componenti del rischio:
la gravità dell’impatto
la probabilità di attuazione della minaccia
25
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
6) Contromisure
La scelta delle contromisure da mettere in campo è dettata dall’analisi del rischio e
dall’analisi costo/benefici delle contromisure.
Se la riduzione del rischio è ampiamente superiore al costo della contromisura,
questa è efficace.
Se un certo rischio è di scarsa entità e la contromisura risulterebbe più costosa rispetto
ai benefici, si può decidere di accettare il rischio senza alcuna contromisura.
Vale anche nei casi in cui il rischio residuo (il rischio che rimane dopo l’adozione
delle contromisure) non fosse significativamente inferiore al rischio iniziale.
Si possono classificare le contromisure in tre categorie a seconda che siano di
di carattere fisico
di tipo procedurale
di tipo tecnico informatico
26
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
Contromisure di carattere fisico
Generalmente legate alla prevenzione e al controllo dell’accesso a
installazioni, locali, attrezzature, mezzi di comunicazione.
Esempi
edificio protetto e accessibile solo dopo il riconoscimento del personale autorizzato la
collocazione in zona elevata non soggetta ad alluvioni, rilevatori e pompe per evacuare
l’acqua
sistemi antincendio
accessi blindati e sorvegliati
protezione fisica delle linee di comunicazione contro intercettazioni, disturbi e
danneggiamenti.
canalizzazioni dei cavi di rete,
schermature di vetri e pareti per contenere il campo delle reti
27
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
Contromisure di carattere tecnico informatico - 1
Realizzate attraverso mezzi hardware, firmware e software e prendono anche
il nome di funzioni di sicurezza
Identificazione e autenticazione
di un individuo o un processo e ad autenticarne l’identità.
funzione di accesso (login) a un sistema tramite nome utente (per l’identificazione) e
password (per l’autenticazione dell’identità).
Controllo degli accessi
Verificano se il processo o l’utente, di cui è stata autenticata l’identità, ha il diritto di
accedere alla risorsa richiesta e di eseguire l’operazione specificata (lettura, esecuzione,
modifica, creazione, cancellazione).
Rendicontabilità (accountability)
permettono di attribuire la responsabilità degli eventi agli individui che li hanno causati.
Verifica (audit).
registrano gli eventi in un file (log) con informazioni su errori e a violazioni di sicurezza.
28
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
Contromisure di carattere tecnico informatico - 2
Accuratezza delle informazioni.
Esempio, la registrazione temporale (time stamp) dell’evento perché i file di logging
forniscano informazioni attendibili,
Affidabilità del servizio.
contromisure per mantenere condizioni di alimentazione elettrica stabile, filtrata e senza
interruzione (gruppi di continuità)
difese dai malfunzionamenti hardware (monitoraggio e manutenzione preventiva)
difese dai malfunzionamenti software (monitoraggio delle prestazioni, rollback delle
transazioni non andate a buon fine, ripristino di uno stato precedente del sistema
operativo, ripristino delle partizioni di disco a uno stato integro precedente).
Scambio dati sicuro.
destinate a garantire la sicurezza delle trasmissioni.
autenticazione - controllo dell’accesso - riservatezza
integrità (dell’hardware, dei dati e dei flussi di pacchetti TCP trasmessi)
non ripudio.
Esempio di contromisura in questa area é l’uso di crittografia
29
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza informatica
Contromisure di carattere procedurale - 1
Definiscono le operazioni per eseguire un compito oppure regolano il
comportamento degli addetti e degli utenti per gli aspetti che riguardano la
sicurezza delle informazioni e delle risorse.
Mentre le contromisure fisiche proteggono l’accesso fisico alle risorse e le
contromisure informatiche agiscono a livello hardware, firmware e software,
le procedure operative e le regole di comportamento si applicano
alle persone
Scopi
evitare che gli addetti ai sistemi informatici e gli utenti causino vulnerabilità e
minacce accidentali
Promuovere la consapevolezza delle persone e far si che contribuiscano a
mantenere i livelli di sicurezza riducendo i rischi residui lasciati dalle altre
contromisure.
30
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza informatica
Contromisure di carattere procedurale - 2
Esempi:
il controllo dell’identità dei visitatori e la limitazione delle aree a cui hanno accesso.
Le istruzioni per la sua custodia del badge di riconoscimento così che non venga
lasciato a disposizione di altri
Le password sono uno strumento di protezione informatico, ma le regole per la loro
assegnazione, durata, utilizzo e custodia fanno parte delle contromisure procedurali
per ridurre il rischio del furto d’identità.
norme comuni per le password:
utilizzare password di lunghezza minima prefissata (tipico maggiore di 8 caratteri)
Rispondenti ai requisiti di complessità (lettere, maiuscole, numeri e caratteri speciali)
Imposizione di modificarle periodicamente
bloccare l’accesso dopo un numero limitato di tentativi errati;
responsabilizzare gli assegnatari sugli effetti della mancata riservatezza
31
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza informatica
Contromisure di carattere procedurale - 3
Le contromisure di tipo procedurale dovrebbero essere ridotte al minimo,
Quando quando possibile è consigliabile utilizzare sistemi automatizzati,
meno soggetti agli errori e dimenticanze.
Esempio
L’aggiornamento degli antivirus che assicuri che il file di riconoscimento dei virus sia
sempre allineato all’ultimo rilascio
L’aggiornamento periodico del firmware dei firewall
Possono essere automatizzati tramite un sistema centralizzato
L’uso di determinate funzioni nell’utilizzo di specifici hardware e software, ove si
preveda che possa aumentare i rischi per la sicurezza dovrebbe:
essere automatizzato per quanto possibile
oggetto di norme procedurali per quanto dipende dal comportamento delle persone
32
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza informatica
Contromisure di carattere procedurale - 4
Le contromisure di tipo procedurale possono integrare e rafforzare i sistemi
automatizzati.
Esempio
Per l’entità dell’impatto e la frequenza di guasti ai supporti magnetici è assolutamente
necessario prevedere un sistema di salvataggio dei dati e dei programmi (backup),
garantiscano il ripristino dopo un disastro (disaster recovery) o la continuità operativa
(business continuity) a dispetto di qualsiasi evento catastrofico.
I backup possono essere automatizzati
E’ però importante definire una strategia di backup a più livelli (con diverse
periodicità) e mettere in atto procedure che verifichino
esecuzione dei salvataggi
integrità e utilizzabilità dei supporti
funzionalità del ripristino in caso di necessità seguito di un evento (test periodi)
33
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Il processo di gestione della Sicurezza informatica
Gli standard
Forniscono una guida per la progettazione e la gestione di un sistema di
sicurezza
ISO 2700
27000 - Foundamental and vocabulary
27001 - ISMS Requirements
27002 - Code of practice of ISMS
27003 - ISMS implementation guidance
27004 - Measurements
27005 - Risk Management
27006 - Requirements for the accreditation of certification bodies
27007 - Guidelines for ISMS auditing
27011 - Information security management guidelines for telecommunications
27031 - ICT readiness for business continuity
I27032 - Guidelines for cybersecurity
27033 - IT network security
27034 - Guidelines for application security
27799 - Security Management in Health using ISO/IEC 27002
34
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Direttiva del 16 gennaio 2002 dal titolo: “Sicurezza informatica e delle telecomunicazioni nelle
.
pubbliche
amministrazioni Statali
Obiettivo: adeguare la struttura organizzativa della P.A. coerentemente agli obiettivi
fissati In materia di sicurezza dei servizi resi al cittadino tramite gli strumenti informatici
Il modello prevede che sia istituita un’organizzazione che assegna dei ruoli dotati di responsabilità
e di autonomia nonché di conoscenza dell’operatività per prendere decisioni, tenendo fede al principi
della “separazione dei compiti”.
Bilanciamento rischio/sicurezza
valutare il bene, il livello di esposizione, definire le misure di protezione,
bilanciamento fra gli investimenti per le contromisure e la diminuzione degli accadimenti;
Monitoraggio del sistema:
si intende l’attività di controllo continuo degli indicatori di performance, sicurezza e rischio,
svolte dalla funzione/ruolo che realizza le misure di sicurezza.
Verifica:
attività di controllo saltuaria che si sviluppa attraverso un vero e proprio audit da parte di una
funzione/ruolo (ICT auditing) diversa da chi ha realizzato la sicurezza.
Fonte: CNIPA Quaderno 23 – Cap. 4 L’organizzazione di sicurezza delle amministrazioni
35
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Gli standard
.
36
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Il Ministro:
. Rappresenta il vertice dell’organizzazione per la sicurezza ed ha il compito di individuare e
sancire l’organizzazione della sicurezza idonea al proprio dicastero.
Consigliere tecnico per la sicurezza ICT:
E’ il consulente strategico del Ministro, svolge anche il ruolo di collegamento tra il Comitato e
il titolare del Dicastero
Comitato per la sicurezza ICT
Organo che definisce gli obiettivi e le politiche di sicurezza delle infrastrutture tecnologiche
e del patrimonio informativo gestito prevalentemente con soluzioni automatizzate.
Aapprova le norme in materia di sicurezza devono essere approvate
Responsabile della Sicurezza ICT
È il soggetto responsabile della definizione delle soluzioni tecniche ed organizzative
in attuazione delle direttive impartite dal Ministro direttamente o su indicazione del Comitato
per la sicurezza ICT.
Fonte: CNIPA Quaderno 23 – Cap. 4 L’organizzazione di sicurezza delle amministrazioni
37
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
. Responsabile del Sistema Informativo Automatizzato
Istituito dal decreto legislativo 39/93, gli compete la pianificazione degli interventi di
automazione, l’adozione delle cautele e delle misure di sicurezza, la committenza delle
attività da affidare all’esterno.
Gestore Esterno (outsourcer)
È il fornitore di servizi che opera sotto il controllo del responsabile dei sistemi informativi
Referente locale per la sicurezza informatica
Funge da elemento di contatto verso gli organismi del Ministero e nazionali che si occupano
della materia.
Computer Emergency Response Team dell’Amministrazione - CERT-AM
Specifici gruppi o uffici per la prevenzione e la gestione dei problemi causati da incidenti o
attacchi al sistema informatico
Fonte: CNIPA Quaderno 23 – Cap. 4 L’organizzazione di sicurezza delle amministrazioni
38
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Codice Privacy
Il decreto legislativo 30 giugno 2003, n. 196 recante “Codice in materia di
. protezione dei dati personali” (c.d. Codice Privacy) disciplina la normativa in
materia di tutela dei dati personali
Contempla l’istituzione di figure specifiche per la realizzazione e la gestione di un
sistema di sicurezza indirizzato allo specifico aspetto del trattamento dei dati
personali
TITOLARE
Distribuzione dei compiti e delle responsabilità
Responsabile del trattamento
Incaricati
39
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Codice Privacy
.
TITOLO IV SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
Art. 28 (Titolare del trattamento)
1-Quando il trattamento è effettuato da …, da una pubblica amministrazione …… titolare del
trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere
decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo
della sicurezza.
Art. 29 (Responsabile del trattamento)
1 - Il responsabile è designato dal titolare facoltativamente.
2 - Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed
affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia
di trattamento, ivi compreso il profilo relativo alla sicurezza.
40
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Codice Privacy
.
TITOLO IV SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
Art. 30 (Incaricati del trattamento)
1.Le operazioni di trattamento possono essere effettuate solo da incaricati che
operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle
istruzioni impartite.
2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del
trattamento consentito. Si considera tale anche la documentata preposizione della
persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del
trattamento consentito agli addetti all’unità medesima.
41
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Codice Privacy
Art.
. 31 (Obblighi di sicurezza)
Art. 33 (Misure minime)
… i titolari del trattamento sono comunque tenuti ad adottare le misure minime …..
Art. 34 (Trattamenti con strumenti elettronici)
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono
adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure
minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi
non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati
e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei
a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
42
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Codice Privacy
.
Nell’ ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI
SICUREZZA
Sono indicate le Regole Tecniche per i Trattamenti con strumenti elettronici
Regola 1 - procedura di autenticazione
Regola 3 - credenziali per l’autenticazione assegnate individualmente
Regola 5 - La parola chiave è composta da almeno otto caratteri, è modificata al primo utilizzo
e almeno ogni sei mesi (tre mesi per trattamento di dati sensibili e giudiziari)
Regola 16 - protezione contro il rischio di intrusione e dell’azione di programmi di cui all’art.
615-quinquies del codice penale (codice maligno), mediante l’attivazione di idonei strumenti
elettronici da aggiornare con cadenza almeno semestrale.
Regola 17 - Gli aggiornamenti periodici dei programmi a prevenire la vulnerabilità di
strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente (6 mesi per
trattamento di dati sensibili o giudiziari )
43
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Codice Privacy
Nell’ ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI
SICUREZZA
Sono indicate le Regole Tecniche per i Trattamenti con strumenti elettronici
Regola 18 - salvataggio dei dati con frequenza almeno settimanale.
Regola 19 - documento programmatico sulla sicurezza
Regola 19.1 - analisi dei rischi che incombono sui dati
Regola 19.4 - le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché
la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità
44
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Codice dell'amministrazione digitale
Decreto legislativo 7 marzo 2005, n. 82 “Codice dell'amministrazione digitale.”
Articolo 51 - Sicurezza dei dati
Le norme di sicurezza definite nelle regole tecniche di cui all'articolo 71 garantiscono l'esattezza,
la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati.
I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con
modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non
consentito o non conforme alle finalità della raccolta..
Articolo 71 - Regole tecniche
Le regole tecniche previste nel presente codice sono dettate [omissis] in modo da garantire la
coerenza tecnica con le regole tecniche sul sistema pubblico di connettività e con le regole di cui
al disciplinare pubblicato in allegato B al decreto legislativo 30 giugno 2003, n. 196.
45
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Codice dell'amministrazione digitale
Istituzione di SPC
Articolo 73 - Sistema pubblico di connettività (SPC)
il Sistema pubblico di connettività (SPC), al fine di assicurare il coordinamento informativo e
informatico dei dati tra le amministrazioni centrali, regionali e locali e promuovere l’omogeneità
nella elaborazione e trasmissione dei dati stessi, finalizzata allo scambio e diffusione delle
informazioni tra le pubbliche amministrazioni e alla realizzazione di servizi integrati
l’insieme di infrastrutture tecnologiche e di regole tecniche, per lo sviluppo, la condivisione,
l’integrazione e la diffusione del patrimonio informativo e dei dati della pubblica amministrazione,
necessarie per assicurare l’interoperabilità di base ed evoluta e la cooperazione applicativa dei
sistemi informatici e dei flussi informativi, garantendo la sicurezza, la riservatezza delle
informazioni, nonché la salvaguardia e l’autonomia del patrimonio informativo di ciascuna
pubblica amministrazione
46
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Sistema Pubblico di Connettività
L’organizzazione del Sistema di Sicurezza del SPC, ispirata al
modello proposto dall’International Standard Organisation (ISO)
Fonte: CNIPA Sistema Pubblico di connettività - Organizzazione di sicurezza
47
MiBAC – Corso sulla Sicurezza Informatica
17/12/2008
Modello organizzativo per la PA
Sistema Pubblico di Connettività
Comitato strategico sicurezza SPC
Struttura collegiale che si occupa dell’indirizzo strategico generale della sicurezza SPC
Struttura di Coordinamento di SPC (SC-SPC)
indirizzo operativo e controllo sull’intero sistema, facendo in modo che vengano assicurati i
livello
di sicurezza stabiliti.
Centro di gestione della sicurezza SPC (CG-SIC)
realizza la componente centrale del sistema di sicurezza distribuito SPC dedicata al
antenimento e alla verifica del livello di sicurezza minimo garantito sul SPC.
provider qualificati secondo le regole di qualità e di sicurezza definite in ambito SPC
Ogni PA dovrà rispettare i requisiti minimi di sicurezza SPC anche all’interno del proprio
dominio di competenza, la sicurezza del SPC dipende dalla sicurezza di tutti i suoi componenti
Unità locale di Sicurezza SPC
struttura organizzativa in ciascun Dominio di una Pubblica Amministrazione, e per ogni
provider che gestisce gli aspetti relativi alla sicurezza dell’infrastruttura I&T connessa al
SPC che si trova nel proprio dominio di amministrazione
Fonte: CNIPA Sistema Pubblico di connettività - Organizzazione di sicurezza
48