Presidenza del Consiglio dei MinistriLa certificazione consiste nello studio e ... Una descrizione...
Transcript of Presidenza del Consiglio dei MinistriLa certificazione consiste nello studio e ... Una descrizione...
Presidenza del Consiglio dei MinistriAutorità Nazionale per la Sicurezza
CESIS III Reparto – U.C.Si.
“Schema Nazionale di Certificazione per prodotti classificati”
____________________________________
Workshop on “Network and Information Security.
Political and technical challenges”Rome, 2-4 November 2005
Rome, 2-4 November 20052
La diffusione dei sistemi e delle reti IT Incrementa lo scambio nazionale ed internazionaledi informazioni
Ma, allo stesso tempo ….
La crescente connettività fra reti sicure e reti non sicure crea nuove opportunità per intrusioni non autorizzate in reti sensibili e in sistemi informatici
IntroduzioneIntroduzione
Rome, 2-4 November 20053
Terroristi, trafficanti di droga ed organizzazioni criminali si avvantaggiano delle nuove tecnologie per lo scambiodi informazioni
Rome, 2-4 November 20054
La complessità di sistemi e reti cresce piùvelocementedella capacità di studiare tali tecnologie e di proteggerle identificando i nodi critici, verificando la sicurezza e controllando le attivitàed i tentativi di intrusione.
ComplessitComplessitàà dei Sistemi e delle Retidei Sistemi e delle Reti
Rome, 2-4 November 20055
• Hacker
• Attivisti
• Hacker su commissione
• Terroristi
AttoriAttori
Rome, 2-4 November 20056
HackerTerroristi
TERRORISTI ADDESTRATIPER DIVENIRE HACKER
HACKERS PAGATI COME CYBERMERCENARI
HACKER CHE SI UNISCONO ATERRORISTI O GRUPPI/ATTIVISTI
CYBER TERRORISMOHacker che diventano Terroristi o Terroristi che diventanoHacker ?
Rome, 2-4 November 20057
Tipologia di Tipologia di HackerHacker
Simplice –nonstrutturato
Avanzato -strutturato
Complesso -coordinato
Ha la capacità di condurre attacchi di basso livellocontro sistemi individuali utilizzando strumenti creatida qualcun altro. L'Organizzazione possiede analisi dell'obiettivo di basso profilo, bassa capacità ditecnica.
Ha la capacità di condurre attacchi più sofisticaticontro sistemi o reti utilizzando strumenti creatiin proprio. L'Organizzazione possiede minima conoscenza dell'obiettivo, media capacità tecnica.
Ha la capacità di condurre attacchi coordinati e di causare danni gravi a sistemi o reti eterogenee utilizzando strumenti creatiin proprio. L'Organizzazione possiede sofisticate conoscenze dell'obiettivo, alta conoscenza tecnica.
Rome, 2-4 November 20058
1. Catturare i dati relativi alla sicurezza industriale, militare e nazionale
2. distruggere o controllare i sistemi informatici che gestiscono infrastrutture critiche, oer esempio gli aereoporti
3. Alterare le informazioni
Minacce alle reti e ai sistemiMinacce alle reti e ai sistemi
Rome, 2-4 November 20059
CosaCosa èè la la sicurezzasicurezza IT ?IT ?
CertificazioneCertificazione / / OmologazioneOmologazione deidei sistemisistemi IT IT cheche trattanotrattano informazioniinformazioni classificateclassificate
SicurezzaSicurezza IT IT neinei programmiprogrammi e e progettiprogettiinternazionaliinternazionali
CertificazioneCertificazione deidei prodottiprodotti didi sicurezzasicurezza IT IT utilizzandoutilizzando I I critericriteri internazionalmenteinternazionalmentericonosciutiriconosciuti
AccordoAccordo didi riconoscimentoriconoscimento deidei Common Common CriteriaCriteria
Sicurezza ITSicurezza IT
Rome, 2-4 November 200510
La sicurezza può essere definita come:
“un modo per eliminare ogni rischio inaccettabile relativo ad un sistema IT ".
I rischi sono relativi alle seguenti categorie:
RiservatezzaRiservatezza delledelle informazioniinformazioni
IntegritIntegritàà delledelle informazioniinformazioni
DisponibilitDisponibilitàà didi datidati e e ServiziServizi
Definizione di sicurezza ITDefinizione di sicurezza IT
Rome, 2-4 November 200511
Garanzia che le informazioni vengano utilizzateGaranzia che le informazioni vengano utilizzateunicamente dalle persone o dalle organizzazioniunicamente dalle persone o dalle organizzazioniautorizzate.autorizzate.
Falle nella riservatezza possono verificarsiFalle nella riservatezza possono verificarsiquando i dati non vengono gestiti in maniera adeguata.quando i dati non vengono gestiti in maniera adeguata.
Queste minacce possono verificarsi attraverso diverseQueste minacce possono verificarsi attraverso diverseazioni: voce, stampa, copiatura, azioni: voce, stampa, copiatura, emailemail, ecc. , ecc.
La classifica delle informazioni deve determinare la La classifica delle informazioni deve determinare la relativa riservatezza e di conseguenza le contromisure relativa riservatezza e di conseguenza le contromisure appropriate per proteggerle.appropriate per proteggerle.
RiservatezzaRiservatezza
Rome, 2-4 November 200512
La La garanziagaranzia che le informazioni non vengano modificate che le informazioni non vengano modificate da persone non autorizzateda persone non autorizzate
IntegritIntegritàà
Rome, 2-4 November 200513
La garanzia che La garanzia che cheche le informazioni ed i servizi siano le informazioni ed i servizi siano disponibili solo agli utenti autorizzati disponibili solo agli utenti autorizzati
DisponibilitDisponibilitàà
Rome, 2-4 November 200514
La certificazione consiste nello studio e La certificazione consiste nello studio e nellnell’’approvazione della Politica di Sicurezza approvazione della Politica di Sicurezza (descritta in una documentazione specifica) per il (descritta in una documentazione specifica) per il sistema informatico sotto analisi sistema informatico sotto analisi
CertificazioneCertificazione
Rome, 2-4 November 200515
EE’’ un insieme di regole attentamente definite che un insieme di regole attentamente definite che stabilisce le azioni da intraprendere per la stabilisce le azioni da intraprendere per la protezione delle risorse IT (includendo anche il protezione delle risorse IT (includendo anche il personale che vi lavora). personale che vi lavora).
Politica di sicurezza ITPolitica di sicurezza IT
Rome, 2-4 November 200516
Una descrizione dellUna descrizione dell’’organizzazione di sicurezza organizzazione di sicurezza informaticainformatica
Una descrizione del sistema, che include: Una descrizione del sistema, che include: -- Il massimo livello delle informazioni classificate elaborate daIl massimo livello delle informazioni classificate elaborate dal l sistema;sistema;
-- La descrizione delle misure di sicurezza adottate,basate sui riLa descrizione delle misure di sicurezza adottate,basate sui risultati sultati di una analisi del rischio; di una analisi del rischio;
-- Le mappe di installazione.Le mappe di installazione.
Le procedure operative di sicurezza (Le procedure operative di sicurezza (SecOpsSecOps) )
Documentazione e CertificazioneDocumentazione e Certificazione
Rome, 2-4 November 200517
Incaricato per la sicurezza IT
Incaricato per la sicurezza IT
Incaricato per la sicurezza IT
Incaricato per la sicurezza
Incaricato per la sicurezza IT
...
...
Differenti sedi di una societDifferenti sedi di una societàà
Incaricato per la sicurezza
...
...
Incaricato per la sicurezza
Incaricato per la sicurezza
Legale
Representante
Organizzazione di sicurezza ITOrganizzazione di sicurezza IT
Rome, 2-4 November 200518
Massimo Massimo livellolivello delledelle informazioniinformazioni gestitegestite daldal sistemasistema
DescrizioneDescrizione delledelle misuremisure didi sicurezzasicurezza adottateadottate, , basatebasatesuisui risultatirisultati delldell’’analisianalisi del del rischiorischio
MappaMappa delldell’’installazioneinstallazione
Descrizione del sistemaDescrizione del sistema
Rome, 2-4 November 200519
DeterminareDeterminare
IndividuareIndividuare
DeterminareDeterminare
I beni da proteggereI beni da proteggere
Le minacceLe minacce
Le vulnerabilitàLe vulnerabilità
StabilireStabilire Le misure di sicurezza da adottare per ridurre
le vulnerabilità
Le misure di sicurezza da adottare per ridurre
le vulnerabilità
AnalisiAnalisi del del rischiorischio
Rome, 2-4 November 200520
La vulnerabilitLa vulnerabilitàà di un sistema IT può essere definita di un sistema IT può essere definita come una debolezza o carenza nelle procedure di come una debolezza o carenza nelle procedure di sicurezza nel progetto, nella implementazione, nei sicurezza nel progetto, nella implementazione, nei controlli interni di un sistema IT che può essere controlli interni di un sistema IT che può essere sfruttato per violare un sistema aggirando la sua sfruttato per violare un sistema aggirando la sua politica di sicurezza. politica di sicurezza.
per minaccia si intende qualsiasi azione o evento per minaccia si intende qualsiasi azione o evento che possa pregiudicare la sicurezza determinando la che possa pregiudicare la sicurezza determinando la distruzione, la divulgazione, la modifica non distruzione, la divulgazione, la modifica non autorizzata delle informazioni o rendendo non autorizzata delle informazioni o rendendo non disponibili le informazioni ai legittimi destinatari.disponibili le informazioni ai legittimi destinatari.
azioni, tecniche, strumenti e procedure che riducono azioni, tecniche, strumenti e procedure che riducono le vulnerabilitle vulnerabilitàà di un sistema ITdi un sistema IT
AnalisiAnalisi del del rischiorischio
Rome, 2-4 November 200521
ResponsabilitResponsabilitàà e controllo;e controllo;
Sicurezza fisica;Sicurezza fisica;
Sicurezza del Personale;Sicurezza del Personale;
Sicurezza della documentazione e dei dati;Sicurezza della documentazione e dei dati;
Sicurezza dellSicurezza dell’’installazione;installazione;
Sicurezza dellSicurezza dell’’Hardware;Hardware;
Sicurezza del Software;Sicurezza del Software;
Procedure di Procedure di BackupBackup;;
Piano dPiano d’’emergenza.emergenza.
Procedure operative Procedure operative didi sicurezzasicurezza
Rome, 2-4 November 200522
GestioneGestione del del RischioRischio
Effettuare una analisi del rischio
Implementare le contromisure individuate
Effettuare nuovamente l’analisi del rischio per verificare il rischio residuo dopo
l’implementazione delle contromisure
Rome, 2-4 November 200523
Autorizzazione all’uso operativo rilasciato sui risultati della Certificazione di sicurezza e su verifiche / ispezioni delle misure di sicurezza
applicate
OmologazioneOmologazione
Rome, 2-4 November 200524
Restricted Areas
Authorized personnel
Hardware / Software
Certified
Internal Security rules
Restricted Areas
Authorized personnel
Hardware / Software
Certified
Internal Security rules
ImplementazioneImplementazione delledelle misuremisure didisicurezzasicurezza
Fisica
Personale
Tecnica
Procedurale
Fisica
Personale
Tecnica
Procedurale
Mis
ure
di s
icur
ezza
Aree ad accesso limitato
Personale autorizzato
Hardware / Software certificato
Procedure di sicurezza
Aree ad accesso limitato
Personale autorizzato
Hardware / Software certificato
Procedure di sicurezza
Rome, 2-4 November 200525
Sicurezza IT dell’ambiente di sviluppo
Sicurezza del sistema d’arma
INFOSEC INFOSEC neinei programmiprogrammi delladella difesadifesa
Rome, 2-4 November 200526
Requisiti di sicurezza
Requisiti operativi
Contratti
Selezione dello sviluppatore
Invio della documentazione allo sviluppatore
Ente di certificazione
Cliente
Sviluppatore
Selezione del centro di valutazione (CE.VA.)
Bozza dei documenti di sicurezza per la valutazione
Costruzione del TOE
Invio della documentazione per la valutazione ai Centri di valutazione (CE.VA.)
approvazione
approvazione
*
Schema Schema italianoitaliano didi ValutazioneValutazione e e CertificazioneCertificazione
Ente di certificazione
Rome, 2-4 November 200527
Piano di valutazione Ente di certificazione
approvazione
Centro di valutazione (CE.VA.)
Valutazione
Rapporto finale di valutazione (EFR)
Rapporto finale di certificazione
RFV positivo
Atto di approvazione
Centro di valutazione (CE.VA.)
Consumatore
SviluppatoreAutorità
Nazionale per la Sicurezza
Si
NoInvio con commenti
*
Ente di certificazione
Schema Schema italianoitaliano didi ValutazioneValutazione e e CertificazioneCertificazione
Rome, 2-4 November 200528
Sviluppo del TOE
(sistema / prodotto)
Fase di valutazione
sistema: TOE requisiti
prodotto: funzionalità di sicurezzaElenco dei prodotti valutati
Sistema certificato
Criteri di valutazione:
ITSEC,
Common Criteria
Omologazione del sistema
Prodotto
Sistema
Prodotto certificato
Schema Schema italianoitaliano didi ValutazioneValutazione e e CertificazioneCertificazione
Rome, 2-4 November 200529
Storia dei Common Criteria
TCSEC (USA)1983 - 1985
Canada, first initiative1989 - 1993
NIST - MSFR1990
Federal Criteria1992
Common CriteriaProject, 1993
Common Criteriaver. 1.0, 1996
Common Criteriaver. 2.0, 1998
ISO 1540808/06/1999
CTCPEC 31993
National and RegionalEuropean Initiatives,
1989 – 1993
ISO Initiatives
1992
ITSEC 1992
Rome, 2-4 November 200530
8 Giugno 1999
CC è approvato come
Standard internazionale ISO 15408
Storia dei Common Criteria
Rome, 2-4 November 200531
Common Criteria Accordo di riconoscimento
Nel maggio 2000 venne stilato, a Baltimora, l’accordo di riconoscimento dei Certificati dei Common Criteria nel settore della sicurezza IT e venne firmato
da rappresentati di U.S.A., Regno Unito, Canada, France, Germany, Olanda, Spagna, Italia, Israele,
Grecia, Norvegia, Finlandia, ecc. con l’obiettivo primario di assicurare che le valutazioni dei prodotti IT
e dei “Protection profiles” venissero effettuati utilizzando elevati standard di riferimento e fossero
riconosciuti a livello mondiale.
Rome, 2-4 November 200532
Nazioni che prendono parteall’accordo di riconoscimento
Australia Canada
Germania Grecia
Finlandia Francia
Israele Italia
Olanda Nuova Zelanda Norvegia
Spagna U.S.A.Regno Unito
Rome, 2-4 November 200533
Mutuo riconoscimento
Ciascun sistema / prodotto certificato mostra questo logo
che certifica la sua corrispondenza con i criteri
adottati
Ciascun sistema / prodotto certificato Common Criteria
mostra questo logo che certifica la sua corrispondenza con i
Common Criteria