Presidenza del Consiglio dei MinistriLa certificazione consiste nello studio e ... Una descrizione...

Presidenza del Consiglio dei MinistriAutorità Nazionale per la Sicurezza

CESIS III Reparto – U.C.Si.

“Schema Nazionale di Certificazione per prodotti classificati”

____________________________________

Workshop on “Network and Information Security.

Political and technical challenges”Rome, 2-4 November 2005

Rome, 2-4 November 20052

La diffusione dei sistemi e delle reti IT Incrementa lo scambio nazionale ed internazionaledi informazioni

Ma, allo stesso tempo ….

La crescente connettività fra reti sicure e reti non sicure crea nuove opportunità per intrusioni non autorizzate in reti sensibili e in sistemi informatici

IntroduzioneIntroduzione


Terroristi, trafficanti di droga ed organizzazioni criminali si avvantaggiano delle nuove tecnologie per lo scambiodi informazioni


La complessità di sistemi e reti cresce piùvelocementedella capacità di studiare tali tecnologie e di proteggerle identificando i nodi critici, verificando la sicurezza e controllando le attivitàed i tentativi di intrusione.

ComplessitComplessitàà dei Sistemi e delle Retidei Sistemi e delle Reti


• Hacker

• Attivisti

• Hacker su commissione

• Terroristi

AttoriAttori


HackerTerroristi

TERRORISTI ADDESTRATIPER DIVENIRE HACKER

HACKERS PAGATI COME CYBERMERCENARI

HACKER CHE SI UNISCONO ATERRORISTI O GRUPPI/ATTIVISTI

CYBER TERRORISMOHacker che diventano Terroristi o Terroristi che diventanoHacker ?


Tipologia di Tipologia di HackerHacker

Simplice –nonstrutturato

Avanzato -strutturato

Complesso -coordinato

Ha la capacità di condurre attacchi di basso livellocontro sistemi individuali utilizzando strumenti creatida qualcun altro. L'Organizzazione possiede analisi dell'obiettivo di basso profilo, bassa capacità ditecnica.

Ha la capacità di condurre attacchi più sofisticaticontro sistemi o reti utilizzando strumenti creatiin proprio. L'Organizzazione possiede minima conoscenza dell'obiettivo, media capacità tecnica.

Ha la capacità di condurre attacchi coordinati e di causare danni gravi a sistemi o reti eterogenee utilizzando strumenti creatiin proprio. L'Organizzazione possiede sofisticate conoscenze dell'obiettivo, alta conoscenza tecnica.


1. Catturare i dati relativi alla sicurezza industriale, militare e nazionale

2. distruggere o controllare i sistemi informatici che gestiscono infrastrutture critiche, oer esempio gli aereoporti

3. Alterare le informazioni

Minacce alle reti e ai sistemiMinacce alle reti e ai sistemi


CosaCosa èè la la sicurezzasicurezza IT ?IT ?

CertificazioneCertificazione / / OmologazioneOmologazione deidei sistemisistemi IT IT cheche trattanotrattano informazioniinformazioni classificateclassificate

SicurezzaSicurezza IT IT neinei programmiprogrammi e e progettiprogettiinternazionaliinternazionali

CertificazioneCertificazione deidei prodottiprodotti didi sicurezzasicurezza IT IT utilizzandoutilizzando I I critericriteri internazionalmenteinternazionalmentericonosciutiriconosciuti

AccordoAccordo didi riconoscimentoriconoscimento deidei Common Common CriteriaCriteria

Sicurezza ITSicurezza IT


La sicurezza può essere definita come:

“un modo per eliminare ogni rischio inaccettabile relativo ad un sistema IT ".

I rischi sono relativi alle seguenti categorie:

RiservatezzaRiservatezza delledelle informazioniinformazioni

IntegritIntegritàà delledelle informazioniinformazioni

DisponibilitDisponibilitàà didi datidati e e ServiziServizi

Definizione di sicurezza ITDefinizione di sicurezza IT


Garanzia che le informazioni vengano utilizzateGaranzia che le informazioni vengano utilizzateunicamente dalle persone o dalle organizzazioniunicamente dalle persone o dalle organizzazioniautorizzate.autorizzate.

Falle nella riservatezza possono verificarsiFalle nella riservatezza possono verificarsiquando i dati non vengono gestiti in maniera adeguata.quando i dati non vengono gestiti in maniera adeguata.

Queste minacce possono verificarsi attraverso diverseQueste minacce possono verificarsi attraverso diverseazioni: voce, stampa, copiatura, azioni: voce, stampa, copiatura, emailemail, ecc. , ecc.

La classifica delle informazioni deve determinare la La classifica delle informazioni deve determinare la relativa riservatezza e di conseguenza le contromisure relativa riservatezza e di conseguenza le contromisure appropriate per proteggerle.appropriate per proteggerle.

RiservatezzaRiservatezza


La La garanziagaranzia che le informazioni non vengano modificate che le informazioni non vengano modificate da persone non autorizzateda persone non autorizzate

IntegritIntegritàà


La garanzia che La garanzia che cheche le informazioni ed i servizi siano le informazioni ed i servizi siano disponibili solo agli utenti autorizzati disponibili solo agli utenti autorizzati

DisponibilitDisponibilitàà


La certificazione consiste nello studio e La certificazione consiste nello studio e nellnell’’approvazione della Politica di Sicurezza approvazione della Politica di Sicurezza (descritta in una documentazione specifica) per il (descritta in una documentazione specifica) per il sistema informatico sotto analisi sistema informatico sotto analisi

CertificazioneCertificazione


EE’’ un insieme di regole attentamente definite che un insieme di regole attentamente definite che stabilisce le azioni da intraprendere per la stabilisce le azioni da intraprendere per la protezione delle risorse IT (includendo anche il protezione delle risorse IT (includendo anche il personale che vi lavora). personale che vi lavora).

Politica di sicurezza ITPolitica di sicurezza IT


Una descrizione dellUna descrizione dell’’organizzazione di sicurezza organizzazione di sicurezza informaticainformatica

Una descrizione del sistema, che include: Una descrizione del sistema, che include: -- Il massimo livello delle informazioni classificate elaborate daIl massimo livello delle informazioni classificate elaborate dal l sistema;sistema;

-- La descrizione delle misure di sicurezza adottate,basate sui riLa descrizione delle misure di sicurezza adottate,basate sui risultati sultati di una analisi del rischio; di una analisi del rischio;

-- Le mappe di installazione.Le mappe di installazione.

Le procedure operative di sicurezza (Le procedure operative di sicurezza (SecOpsSecOps) )

Documentazione e CertificazioneDocumentazione e Certificazione


Incaricato per la sicurezza IT



Incaricato per la sicurezza


...

...

Differenti sedi di una societDifferenti sedi di una societàà


...

...



Legale

Representante

Organizzazione di sicurezza ITOrganizzazione di sicurezza IT


Massimo Massimo livellolivello delledelle informazioniinformazioni gestitegestite daldal sistemasistema

DescrizioneDescrizione delledelle misuremisure didi sicurezzasicurezza adottateadottate, , basatebasatesuisui risultatirisultati delldell’’analisianalisi del del rischiorischio

MappaMappa delldell’’installazioneinstallazione

Descrizione del sistemaDescrizione del sistema


DeterminareDeterminare

IndividuareIndividuare

DeterminareDeterminare

I beni da proteggereI beni da proteggere

Le minacceLe minacce

Le vulnerabilitàLe vulnerabilità

StabilireStabilire Le misure di sicurezza da adottare per ridurre

le vulnerabilità

Le misure di sicurezza da adottare per ridurre

le vulnerabilità

AnalisiAnalisi del del rischiorischio


La vulnerabilitLa vulnerabilitàà di un sistema IT può essere definita di un sistema IT può essere definita come una debolezza o carenza nelle procedure di come una debolezza o carenza nelle procedure di sicurezza nel progetto, nella implementazione, nei sicurezza nel progetto, nella implementazione, nei controlli interni di un sistema IT che può essere controlli interni di un sistema IT che può essere sfruttato per violare un sistema aggirando la sua sfruttato per violare un sistema aggirando la sua politica di sicurezza. politica di sicurezza.

per minaccia si intende qualsiasi azione o evento per minaccia si intende qualsiasi azione o evento che possa pregiudicare la sicurezza determinando la che possa pregiudicare la sicurezza determinando la distruzione, la divulgazione, la modifica non distruzione, la divulgazione, la modifica non autorizzata delle informazioni o rendendo non autorizzata delle informazioni o rendendo non disponibili le informazioni ai legittimi destinatari.disponibili le informazioni ai legittimi destinatari.

azioni, tecniche, strumenti e procedure che riducono azioni, tecniche, strumenti e procedure che riducono le vulnerabilitle vulnerabilitàà di un sistema ITdi un sistema IT

AnalisiAnalisi del del rischiorischio


ResponsabilitResponsabilitàà e controllo;e controllo;

Sicurezza fisica;Sicurezza fisica;

Sicurezza del Personale;Sicurezza del Personale;

Sicurezza della documentazione e dei dati;Sicurezza della documentazione e dei dati;

Sicurezza dellSicurezza dell’’installazione;installazione;

Sicurezza dellSicurezza dell’’Hardware;Hardware;

Sicurezza del Software;Sicurezza del Software;

Procedure di Procedure di BackupBackup;;

Piano dPiano d’’emergenza.emergenza.

Procedure operative Procedure operative didi sicurezzasicurezza


GestioneGestione del del RischioRischio

Effettuare una analisi del rischio

Implementare le contromisure individuate

Effettuare nuovamente l’analisi del rischio per verificare il rischio residuo dopo

l’implementazione delle contromisure


Autorizzazione all’uso operativo rilasciato sui risultati della Certificazione di sicurezza e su verifiche / ispezioni delle misure di sicurezza

applicate

OmologazioneOmologazione


Restricted Areas

Authorized personnel

Hardware / Software

Certified

Internal Security rules

Restricted Areas

Authorized personnel

Hardware / Software

Certified

Internal Security rules

ImplementazioneImplementazione delledelle misuremisure didisicurezzasicurezza

Fisica

Personale

Tecnica

Procedurale

Fisica

Personale

Tecnica

Procedurale

Mis

ure

di s

icur

ezza

Aree ad accesso limitato

Personale autorizzato

Hardware / Software certificato

Procedure di sicurezza

Aree ad accesso limitato

Personale autorizzato

Hardware / Software certificato

Procedure di sicurezza


Sicurezza IT dell’ambiente di sviluppo

Sicurezza del sistema d’arma

INFOSEC INFOSEC neinei programmiprogrammi delladella difesadifesa


Requisiti di sicurezza

Requisiti operativi

Contratti

Selezione dello sviluppatore

Invio della documentazione allo sviluppatore

Ente di certificazione

Cliente

Sviluppatore

Selezione del centro di valutazione (CE.VA.)

Bozza dei documenti di sicurezza per la valutazione

Costruzione del TOE

Invio della documentazione per la valutazione ai Centri di valutazione (CE.VA.)

approvazione

approvazione

*

Schema Schema italianoitaliano didi ValutazioneValutazione e e CertificazioneCertificazione



Piano di valutazione Ente di certificazione

approvazione

Centro di valutazione (CE.VA.)

Valutazione

Rapporto finale di valutazione (EFR)

Rapporto finale di certificazione

RFV positivo

Atto di approvazione

Centro di valutazione (CE.VA.)

Consumatore

SviluppatoreAutorità

Nazionale per la Sicurezza

Si

NoInvio con commenti

*




Sviluppo del TOE

(sistema / prodotto)

Fase di valutazione

sistema: TOE requisiti

prodotto: funzionalità di sicurezzaElenco dei prodotti valutati

Sistema certificato

Criteri di valutazione:

ITSEC,

Common Criteria

Omologazione del sistema

Prodotto

Sistema

Prodotto certificato



Storia dei Common Criteria

TCSEC (USA)1983 - 1985

Canada, first initiative1989 - 1993

NIST - MSFR1990

Federal Criteria1992

Common CriteriaProject, 1993

Common Criteriaver. 1.0, 1996

Common Criteriaver. 2.0, 1998

ISO 1540808/06/1999

CTCPEC 31993

National and RegionalEuropean Initiatives,

1989 – 1993

ISO Initiatives

1992

ITSEC 1992


8 Giugno 1999

CC è approvato come

Standard internazionale ISO 15408

Storia dei Common Criteria


Common Criteria Accordo di riconoscimento

Nel maggio 2000 venne stilato, a Baltimora, l’accordo di riconoscimento dei Certificati dei Common Criteria nel settore della sicurezza IT e venne firmato

da rappresentati di U.S.A., Regno Unito, Canada, France, Germany, Olanda, Spagna, Italia, Israele,

Grecia, Norvegia, Finlandia, ecc. con l’obiettivo primario di assicurare che le valutazioni dei prodotti IT

e dei “Protection profiles” venissero effettuati utilizzando elevati standard di riferimento e fossero

riconosciuti a livello mondiale.


Nazioni che prendono parteall’accordo di riconoscimento

Australia Canada

Germania Grecia

Finlandia Francia

Israele Italia

Olanda Nuova Zelanda Norvegia

Spagna U.S.A.Regno Unito


Mutuo riconoscimento

Ciascun sistema / prodotto certificato mostra questo logo

che certifica la sua corrispondenza con i criteri

adottati

Ciascun sistema / prodotto certificato Common Criteria

mostra questo logo che certifica la sua corrispondenza con i

Common Criteria

Presidenza del Consiglio dei MinistriLa certificazione consiste nello studio e ... Una descrizione...

Documents

Transcript of Presidenza del Consiglio dei MinistriLa certificazione consiste nello studio e ... Una descrizione...