Sicurezza e criteri diSicurezza e criteri di valutazione di valutazione.pdfSicurezza e criteri...

Sicurezza e criteri diSicurezza e criteri di valutazionevalutazione

Ing. Michela Cancellaro Ing. Federica Battisti

Utilizzatore e fornitore

• Nel contesto dei sistemi IT si possono considerare due figure

fondamentali:fondamentali:

– l'utilizzatore del sistema (inteso come persona o ente proprietario

d l i d i d i i l b i)del sistema e dei dati in esso elaborati);

– il fornitore del sistema (inteso come l'entità responsabile del sistema

finale consegnato all'utilizzatore).

Utilizzatore

• L'utilizzatore dispone, in genere, di una propria politica disicurezza (politica di sicurezza dell'ente) o almeno di unasicurezza (politica di sicurezza dell ente) o, almeno, di unaraccolta di obiettivi.

• Ha l'esigenza di verificare se un dato sistema che gli viene offertoè in grado di soddisfare tale politica o tali obiettivi nell'ambienteg pin cui dovrà operare.

• Per far ciò ha inoltre bisogno di paragonare sistemi diversi perpoter decidere quale può rispondere nel modo migliore alle sueesigenze.

Fornitore

• Il fornitore di sistemi ha l'esigenza di produrre sistemi versatili• Il fornitore di sistemi ha l'esigenza di produrre sistemi versatili,ossia sistemi in grado di fornire le funzionalità necessarie asoddisfare le politiche di sicurezza degli utilizzatori.soddisfare le politiche di sicurezza degli utilizzatori.

• Ha l'obiettivo di convincere l'utilizzatore dell'adeguatezza delleHa l obiettivo di convincere l utilizzatore dell adeguatezza dellefunzioni fornite dal sistema e di cautelarsi, da un punto di vistalegale, qualora l'utilizzatore di un sistema subisca danni cheimputa a cattivo funzionamento del sistema dal punto di vistadella sicurezza.

Certificazione

• L'utilità di una certificazione è tanto maggiore quanto più vasto è l'ambito nel

quale è riconosciutaquale è riconosciuta.

• E' pertanto fondamentale che essa:

i b t it i t d d di if i t d i d f t di– sia basata su criteri o standard di riferimento, de iure o de facto, di

riconosciuta validità;

sia rilasciata a seguito di una valutazione tecnica effettuata da laboratori di– sia rilasciata a seguito di una valutazione tecnica effettuata da laboratori di

comprovata competenza;

– avvenga nell'ambito di uno schema di certificazione che garantisca laavvenga nell ambito di uno schema di certificazione, che garantisca la

competenza tecnica dei laboratori e assicuri che l'intero processo di

certificazione avvenga nel rispetto dei fondamentali principi d'imparzialità,

oggettività, ripetibilità e riproducibilità.

Ruoli nella certificazione

• il gestore dello schema definisce e mantiene i criteri di riferimento per la

certificazione, specifica tutte le regole che le altre parti in gioco devono

rispettare e negozia eventuali accordi di mutuo riconoscimento con i gestori

di schemi analoghi in altri paesi;di schemi analoghi in altri paesi;

• il certificatore rilascia i certificati sulla base dei risultati delle verifiche

tecniche condotte da laboratori o ispettori accreditati e vigila sulla correttatecniche condotte da laboratori o ispettori accreditati e vigila sulla corretta

applicazione dello schema caso per caso;

• il laboratorio di verifica o gli ispettori costituiscono il braccio operativo del

certificatore;

• l'ente accreditatore si occupa dell'accreditamento iniziale dei certificatori e

dei laboratori di verifica (o degli ispettori) e del controllo periodico del

mantenimento dei requisiti da parte di tali organismi;

il i d ll ifi i• il committente della certificazione.

Mappa concettuale (CC)

La valutazione

Valutazione della sicurezza:accenni storici

1980

TCSEC

DoD Usa

Fr De1985

1990ITSEC

Fr, De,Nd, UK NIST, NSA

UsaCanada

1990

1995

ITSEC

CTCPECFC

1995

20002000

Trusted Computer Systems Evaluation Criteria

• Nell'ambito dei Trusted Computer Systems Evaluation Criteria il problemadella riservatezza dell'informazione è visto come primario rispetto a quellop p qdell'integrità e della disponibilità, seguendo un approccio adottato tipicamentein campo militare, almeno all'epoca della pubblicazione di tali criteri.

• Sono definite sette classi di sistemi• Sono definite sette classi di sistemi

– D, C1, C2, B1, B2, B3, A1.

• L'assegnazione di un sistema ad una delle sette classi suddette avveniva sullabase

– della politica di sicurezza adottata dal sistema,

d ll ità d l i t di t t i d ll tti ità d ll i tità– della capacità del sistema di tenere traccia delle attività delle varie entità(accountability),

– della fiducia che si poteva riporre nel livello di sicurezza fornito dalsistema (assurance)

– della qualità della documentazione.


• Ciascuna classe specificava i requisiti sia di funzionalità che di affidabilità.

• Tali requisiti diventavano di classe in classe sempre più stringenti secondo unagerarchia in cui D risultava essere la classe più bassa e A1 la più alta.

• Un sistema apparteneva ad una di queste classi solo se era in grado disoddisfare i predefiniti requisiti di funzionalità e di affidabilità checaratterizzavano quella classe.


l D• classe D

– sistemi che a seguito di una valutazione non erano risultati in grado disoddisfare i requisiti di sicurezza delle classi più elevate.q p

• classe C

– sistemi che offrivano un controllo degli accessi di tipo discrezionale(Discretionary Access Control).

– Questo tipo di controllo presente nella maggior parte dei sistemiQuesto tipo di controllo, presente nella maggior parte dei sistemiinformatici tradizionali, si basa sull'identità dei soggetti e sulla loronecessità di conoscere le informazioni contenute negli oggetti ed èdefinito discrezionale poiché sono i soggetti stessi se in possesso didefinito discrezionale poiché sono i soggetti stessi, se in possesso dideterminati diritti sugli oggetti, che forniscono diritti ad altri soggetti.


• classe B:

– sistemi che imponevano il rispetto di una rigoroso insieme di regole per il controllodegli accessi (Mandatory Access Control, MAC) basato sulla classifica disicurezza (sensitivity) dell'informazione contenuta negli oggetti e sul livello diautorizzazione dei soggetti.

– Tale controllo è obbligatorio (mandatory) poiché il controllo è effettuato su tuttigli accessi, indipendentemente dal contenuto degli oggetti coinvolti e dalla volontàdel loro proprietario.

– In ogni caso, questi sistemi devono fornire ai singoli utenti anche la possibilità direndere più stringente lo schema delle protezioni utilizzando funzionalità di tipodiscrezionale.

• classe A1

– prevedeva l'uso di metodi formali per la verifica che tutte le funzioni di sicurezzaimpiegate dal sistema proteggessero effettivamente le informazioni immagazzinateimpiegate dal sistema proteggessero effettivamente le informazioni immagazzinateo elaborate.

– Dal punto di vista funzionale i sistemi appartenenti alla classe A1 erano equivalentiai sistemi B3ai sistemi B3.

ITSEC (Information Technology Security Evaluation Criteria)

• La Francia, la Germania, i Paesi Bassi ed il Regno Unito ritennero necessarioLa Francia, la Germania, i Paesi Bassi ed il Regno Unito ritennero necessarioaccostarsi al problema in modo concreto, definendo criteri di sicurezza ITcomuni e armonizzati.

L' i ITSEC (1990) l bl d ll l t i d ll i i lt• L'approccio ITSEC (1990) al problema della valutazione della sicurezza risultapiù flessibile ed adattabile.

• I criteri in ITSEC permettono la scelta di arbitrarie funzioni di sicurezza edefiniscono sette livelli (E0,E1,...,E6) di valutazione dell'affidabilità cherappresentano una crescente fiducia nella capacità del sistema di soddisfare lesue specifiche di sicurezza per mezzo delle funzioni suddette. La principalesue spec c e d s cu e a pe e o de e u o sudde e. a p c pa einnovazione di questo approccio è costituita dalla netta separazione tra irequisiti di funzionalità e quelli di affidabilità.

ITSEC (Information Technology Security Evaluation Criteria)

• I criteri ITSEC hanno come obiettivo la valutazione sia di sistemi che diprodotti IT.– un sistema IT è un sistema informatico utilizzato per scopi ben specificati

in un ambiente operativo completamente definito;– un prodotto IT, invece, è un pacchetto software o un dispositivo hardwarep , , p p

progettato per l'uso e l'installazione in una grande varietà di sistemi.• Poiché un sistema è progettato per soddisfare i requisiti di un particolare

gruppo di utenti finali e di un particolare ambiente operativo, lo studio deigruppo di utenti finali e di un particolare ambiente operativo, lo studio deirelativi problemi di sicurezza può essere effettuato con riferimento alle realicondizioni di impiego.

• Al contrario chi progetta un prodotto può solamente cercare di soddisfareAl contrario chi progetta un prodotto può solamente cercare di soddisfarespecifiche di sicurezza di tipo generico non conoscendo a priori l'ambiente incui esso verrà utilizzato.

• L'approccio ITSEC prevede che sistemi e prodotti siano valutati secondo gli• L approccio ITSEC prevede che sistemi e prodotti siano valutati secondo glistessi criteri.

Target Of Evaluation (TOE)

• In ITSEC, l'oggetto (sistema o prodotto) della valutazione è detto Target Ofgg ( p ) gEvaluation (TOE) mentre chi richiede la valutazione (persona odorganizzazione) è detto sponsor.

• La valutazione del TOE viene fatta rispetto al security target, ovvero unp y g ,documento costituito dalle seguenti specifiche:– una System Security Policy (nel caso dei sistemi) o un Product Rationale

(nel caso dei prodotti);(nel caso dei prodotti);– una specifica delle funzioni di sicurezza (Security Enforcing Functions o

SEF) che permettono il conseguimento degli obiettivi individuati;la definizione dei meccanismi di sicurezza richiesti (opzionale);– la definizione dei meccanismi di sicurezza richiesti (opzionale);

– il livello minimo dichiarato di robustezza dei meccanismi (strength ofmechanisms);

– il livello di valutazione desiderato.• I criteri ITSEC considerano le necessità sia del mondo commerciale che di

quello governativo (civile e militare). Per questo motivo hanno un campo diapplicabilità più vasto rispetto a quello dei criteri precedentemente sviluppati.

FC (Federal Criteria)• Nel 1991 il NIST (National Institute for Standard and Technology) e l'NSA

(National Security Agency) hanno avviato un progetto congiunto, denominatoF d l C P h h l di b d l 1992 ll d fi i iFederal Criteria Project, che ha portato, nel dicembre del 1992, alla definizionedei criteri federali per la valutazione della sicurezza dei prodotti per iltrattamento automatico dell’informazione.

• Un protection profile è una specificazione astratta di requisiti di sicurezza per ilprogetto, la realizzazione e l'uso di un prodotto.

• È indipendente dallo specifico prodotto ed è costruito combinando requisiti perle funzioni di sicurezza e requisiti di affidabilità con una descrizione delleminacce previste e delle modalità d'uso del prodotto.

• I requisiti per le funzioni di sicurezza e i requisiti di affidabilità sono descritti inq p qtermini di una serie di componenti funzionali e di componenti di affidabilità perognuna delle quali è previsto un ordinamento gerarchico.

• Il contenuto di un protection profile è in realtà simile a quello di un securityp p f q ytarget come definito in ITSEC.

• Esso deve però risultare, come già accennato, indipendente dal prodotto equindi costituisce una descrizione di requisiti di sicurezza condotta ad un livelloquindi costituisce una descrizione di requisiti di sicurezza condotta ad un livellodi maggiore astrazione.

Common Criteria• L'obiettivo del CCEB (Common Criteria Editorial Board) nel 1993 era quello

di armonizzare i criteri europei ITSEC, i nuovi criteri federali statunitensi e icriteri canadesi CTCPEC attra erso la defini ione di na n o a raccolta dicriteri canadesi CTCPEC attraverso la definizione di una nuova raccolta dicriteri denominata Common Criteria (CC).

• Chi richiede la certificazione di un sistema o prodotto IT deve creare unSecurity Target (ST)Security Target (ST).

• Il ST può essere scritto ex-novo o dichiarare la conformità ad uno o piùProtection Profile (PP).C tt i ti h t ti d l ST• Caratteristiche e contenuti del ST:– È specifico del prodotto o sistema– Descrive l’ambiente (minacce, assunzioni, politiche) in cui opera il

prodotto– Elenca i requisiti di sicurezza (funzionali e di affidabilità) di cui si vuole la

valutazione e certificazione– Contiene il livello di valutazione dell’affidabilità (Evaluation Assurance

Level)• Il ST viene valutato e certificato da un laboratorio di valutazione accreditato.

British Standard 7799• Lo standard ruota intorno ai due concetti di politica di sicurezza e di sistema

di governo della sicurezza.• Lo standard propone un insieme di 127 controlli raggruppati in 10 categorie

realizzati – attraverso meccanismi hardware o software (sistemi di autenticazione (

tramite password e/o smart-card, prodotti per la protezione crittografica dei dati, firewall, ecc.), nel caso dei controlli attuati mediante misure di sicurezza di tipo tecnico;

– attraverso l'installazione di sistemi anti-intrusione, telecamere, casseforti, contenitori ignifughi, ecc. nel caso dei controlli che richiedono misure di sicurezza fisiche;;

– attraverso la creazione di apposite strutture o cariche aziendali e la definizione di precise procedure per la messa in atto dei controlli di tipo procedurale (ad esempio l'istituzione del forum aziendale per la gestione p ( p f p gdella sicurezza dell'informazione, l'affidamento dell'incarico di indottrinamento periodico del personale, le procedure per l'accettazione di visitatori all'interno dell'azienda, ecc.)., )

BS7799

La Parte 1 dello standard è un elenco difunzioni di sicurezza (controlli) di tipoorganizzativo, logico, fisico, checostituiscono la prassi corrente pergarantire la sicurezza dell'informazionegin ambito industriale.La Parte 2 dello standard BS7799propone un modello dinamico nel qualepropone un modello dinamico nel qualevengono individuate 6 fasi di analisi egestione del problema.

PDCA

L’aggiornamento del 2002 delBS7799 oggi ISO/IEC 17799 eBS7799, oggi ISO/IEC 17799 eBS 7799-2, è detto PDCA dalleiniziali delle 4 fasi previste:– Plan

– Do

– Check

– Act

Certificatori

AnalizzanoAnalizzano

Confronto CC-BS7799

• I due approcci alla certificazione della sicurezza non sono alternativi. E'I due approcci alla certificazione della sicurezza non sono alternativi. Esoltanto attraverso una loro saggia integrazione che si possono ottenere imigliori risultati.

• L'approccio BS7799 alla verifica rigorosa e formale prevista dai criteri dai CCper escludere la presenza di vulnerabilità, sostituisce requisiti di tipogestionale, richiedendo, ad esempio, che gli addetti alla sicurezza simantengano costantemente aggiornati.

• Le certificazioni CC, pur non considerando gli aspetti gestionali che sonofondamentali nel caso dei sistemi IT, sono molto rigorose e affidabili sulpiano tecnico e richiedono tempi di esecuzione lunghi e costi elevati.

Normativa italiana

• Con il DPCM 11 aprile 2002 (G.U. n. 131 del 6/6/02) è stato emanato lop ( )schema nazionale per la valutazione e la certificazione della sicurezza delletecnologie dell'informazione, ai fini della tutela delle informazioni classificate,concernenti la sicurezza interna ed esterna dello Stato.

• Il decreto disciplina le linee essenziali per la definizione dei criteri e delleprocedure da osservare, per il funzionamento degli organismi di certificazione,procedure da osservare, per il funzionamento degli organismi di certificazione,e per la valutazione dei prodotti e dei sistemi che gestiscono informazioniclassificate, in conformità ai criteri europei ITSEC e ITSEM o agli standardinternazionali CC ISO/IEC IS-15408, emanati dall'Organizzazione, gInternazionale per la Standardizzazione - ISO.

• Gli organi per la certificazione e la valutazione sono l'Ente di certificazione e i• Gli organi per la certificazione e la valutazione sono l Ente di certificazione e icentri di valutazione.

Autorità Nazionale per la Sicurezza (A.N.S.)

L'E di ifi i i li è l'A i à N i l l Si• L'Ente di certificazione italiano è l'Autorità Nazionale per la Sicurezza

(A.N.S.), che a tal fine si avvale dell'Ufficio Centrale per la Sicurezza della

Segreteria Generale del Comitato esecutivo per i servizi di informazione e diSegreteria Generale del Comitato esecutivo per i servizi di informazione e di

sicurezza (CESIS) presso la Presidenza del consiglio dei ministri.

• L'ente di certificazione è responsabile della certificazione dei prodotti e dei

sistemi informatici nonché dell'accreditamento dei centri di valutazionesistemi informatici, nonché dell accreditamento dei centri di valutazione.

Autorità Nazionale per la Sicurezza (A.N.S.)

• In particolare l'ente di certificazione:

– definisce le regole procedurali per la certificazione dei prodotti o deidefinisce le regole procedurali per la certificazione dei prodotti o deisistemi, sulla base delle norme e delle direttive di riferimento nazionali edinternazionali;

l' dit t d i t i di l t i di l' tti ità– cura l'accreditamento dei centri di valutazione, ne coordina l'attività, netiene l'elenco, vigila sull'attività dei Ce.Va. e ne determina la sospensione ola revoca dell'accreditamento in caso di inadempienze;

– approva i piani di valutazione ed emana i rapporti di certificazione;

– rilascia le certificazioni sulla base delle valutazioni effettuate;

di d i i di t l li t i l d i d tti l t ti– redige ed aggiorna periodicamente la lista nazionale dei prodotti valutati;

– esamina le eventuali controversie sorte tra le parti nell'ambito delleprocedure per favorire una soluzione consensuale delle stesse;

– provvede alla formazione tecnico professionale dei soggetti adibiti allacertificazione e alla valutazione;

cura le relazioni con gli enti di certificazione degli altri paesi– cura le relazioni con gli enti di certificazione degli altri paesi.

Centri di valutazione• I centri di valutazione (Ce.Va.) sono organismi accreditati dall'Ente di

certificazione, competenti per le valutazioni di sicurezza di un prodotto o di unsistemasistema.

• Questi, in particolare, hanno il compito di effettuare le valutazioni secondocriteri di indipendenza e imparzialità, nel rispetto degli obblighi di segretezza edi riservatezza.di riservatezza.

• A tal fine:– assistono il committente ed il fornitore di un prodotto o di un sistema nella

redazione dei documenti di sicurezza;redazione dei documenti di sicurezza;– forniscono all'ente di certificazione gli elementi utili per l'individuazione

delle metodologie più idonee da adottare, informandolo sulle attivitàcompiute ai fini della valutazione;

– assicurano la salvaguardia di tutte le informazioni classificate relative alprodotto o al sistema sottoposto alla loro valutazione, anche quelleconcernenti le informazioni tecniche acquisite nel corso dell'attività di

al ta ionevalutazione.• L'ente pubblico o privato, che intende ottenere l'accreditamento del proprio

laboratorio quale centro di valutazione di prodotti o di sistemi, deve faredomanda all'Ente di certificazione il quale accerterà il possesso dei requisitidomanda all Ente di certificazione, il quale accerterà il possesso dei requisitiprevisti dal dpcm 11 aprile 2002.

Enti di standardizzazione

• ITU (International Telecommunication Union)• ITU (International Telecommunication Union)

ISO (I t ti l O i ti f St d di ti )• ISO (International Organization for Standardization)

IETF (I E i i T k F )• IETF (Internet Engineering Task Force)

CEN (C i E di N li i )• CEN (Comitato Europeo di Normalizzazione)

• ETSI (European Telecommunications Standards Institute)

Requisiti per l'accreditamento• I requisiti per l’accreditamento sono:

– svolgimento dell'attività in locali adeguati e con mezzi idonei ad effettuareg gle valutazioni dei prodotti o dei sistemi;

– esistenza di un'organizzazione interna in grado di assicurare il controllo edil rispetto delle misure di sicurezza prescritte e di operare in pienap p p pautonomia di giudizio, indipendenza e imparzialità;

– possesso delle abilitazioni di sicurezza industriali prescritte;– presenza di personale in possesso delle capacità professionali necessarie– presenza di personale in possesso delle capacità professionali necessarie

per la valutazione di prodotti o di sistemi di sicurezza, in conformità aicriteri in vigore;possesso da parte del personale impiegato delle abilitazioni di sicurezza– possesso da parte del personale impiegato delle abilitazioni di sicurezzarichieste dall'ente di certificazione;

– conformità ai parametri definiti dalla "european norm (EN) 45001".• L'Ente di certificazione richiederà, ai fini dell'accreditamento, una valutazione

di prova. Il rilascio o il diniego del certificato di accreditamento deve avvenireentro 90 giorni dalla ricezione della domanda. L'accreditamento ha validità tre

ianni.

COMMON CRITERIACOMMON CRITERIA

Common Criteria• I Common Criteria contengono essenzialmente i principi tecnici fondamentali

di validità generale, per descrivere i requisiti di sicurezza per i prodotti og p q p psistemi informatici in modo chiaro e flessibile.

T li i iti d itti i d i t tt t d ti l i di• Tali requisiti sono descritti in modo organico e strutturato per due tipologie disituazioni:

– i Protection Profile (PP) — Si riferiscono a famiglie o categorie diprodotti e ambienti generici senza riferimenti a specifici prodotti o sistemi.

– i Security Target (ST) — Si riferiscono ad uno specifico prodotto osistema di cui si conoscono le specifiche di sicurezza.

Common Criteria

• Tutti i requisiti di sicurezza (specifiche, descrizione, collegamenti,Tutti i requisiti di sicurezza (specifiche, descrizione, collegamenti,interdipendenze, ecc.) che possono essere inseriti nei PP e negli ST sonocontenuti in un catalogo dei requisiti funzionali della sicurezza.

• Allo stesso tempo i Common Criteria contengono i principi fondamentali pervalutare i dispositivi di sicurezza dei prodotti o sistemi informatici.

• Per ottenere ciò ci si avvale di un catalogo dei requisiti di affidabilitàt tt t i tt li lli di l t i d ll ffid bilità (EAL)strutturato in sette livelli di valutazione della affidabilità (EAL).

Tipologie dei requisiti • Requisiti funzionali:

– Sono fondamentali per definire i comportamenti in materia di sicurezzaSono fondamentali per definire i comportamenti in materia di sicurezza dei prodotti e sistemi informatici.

– I requisiti effettivamente implementati diventano così funzioni di isicurezza.

• Requisiti di affidabilità:Requisiti di affidabilità:

– sono fondamentali per stabilire la fiducia che si può riporre nelle funzioni di sicurezza, sia in termini di correttezza di implementazione, sia in termini di ffi i l ddi f li bi tti i i d ll t f i i didi efficacia nel soddisfare gli obiettivi propri delle stesse funzioni di sicurezza.

Protection Profile (PP)• Il modello costruttivo su cui si basano i CC fa riferimento essenzialmente a

due elementi: i PP e il ST.

• I Protection Profile (PP) definiscono un insieme organico di obiettivi ei iti di i i bili t i di d tti i t i i f ti irequisiti di sicurezza associabili a categorie di prodotti o sistemi informatici

che soddisfano le necessità di sicurezza degli utenti.

• I PP non devono fare riferimento a specifici prodotti realmente realizzati.

• Ad esempio, i PP possono essere applicati ai Firewall, per un sistema tipoutilizzato in ambiente commerciale, ai sistemi multi-user basati su sistemioperativi di normale commercio o ad un sistema di controllo accessi basato suregole predefinite.

Security Target (ST)

• Il Security Target (ST) è un insieme organico di requisiti e specifiche diIl Security Target (ST) è un insieme organico di requisiti e specifiche disicurezza associate ad uno specifico prodotto o sistema informatico, a sua voltachiamato Target Of Evaluation (TOE) oggetto di valutazione.

• Esempi

– Security Target per Oracle v9,Security Target per Oracle v9,

– Security Target per il Firewall XYZ

• Un ST può includere uno o più Protection Profile già descritti e valutati.

Target Of Evaluation (TOE)• Al TOE sono associati

– la TOE Security Policy (TSP), cioè l’insieme di regole che governano lemodalità con cui i beni (assets) informatici sono gestiti, protetti edi t ib iti ll’i t d l d tt i t h è tt di l t idistribuiti all’interno del prodotto o sistema che è oggetto di valutazione;

– le TOE Security Functions (TSF); ossia tutte quelle parti del prodotto ole TOE Security Functions (TSF); ossia tutte quelle parti del prodotto osistema informatico oggetto di valutazione dalle quali dipende la garanziadella corretta esecuzione delle Politiche di Sicurezza (TSP).

Gerarchia delle componenti dei CC

• componenti

– sono l’insieme minimo e non divisibile che può essere utilizzato ed inseritosono l insieme minimo e non divisibile che può essere utilizzato ed inseritonei PP o negli ST (ad esempio, Access Control.1 raggruppa le funzioni dicontrollo accessi di livello 1).

f i li• famiglie

– insiemi organici di componenti che perseguono un obiettivo di sicurezzacomune, ma che possono differire nel rigore o nell’intensità (ad esempio,la famiglia Access Control Policy raggruppa tutte le componenti chesvolgono questa funzione).

• classi• classi

– insiemi organici di famiglie che perseguono uno scopo comune (unesempio può essere la classe User Data Protection o la Classe Audit).

Classi dei requisiti funzionali della sicurezza

Classe Nome

FAU Audit

FCO Communications

FCS Cryptographic Support

FDP User Data Protection

FIA Id tifi ti & A th ti tiFIA Identification & Authentication

FMT Security Management

FPR PrivacyFPR Privacy

FPT Protection of TOE Security Functions

FRU Resource Utilization

FTA TOE Access

FTP Trusted Path/Channels


• FAU:

– la classe Security Auditing comprende il riconoscimento, la registrazione,la conservazione e l’analisi delle informazioni connesse con le piùsignificative attività che coinvolgono la sicurezza.

Le registrazioni così ottenute possono essere esaminate per determinare– Le registrazioni così ottenute possono essere esaminate per determinarequali attività di sicurezza sono avvenute e chi le ha attivate.


• FCO:

– la classe Communications è formata da due famiglie cha hanno ilcompito di assicurare l’identità delle parti che sono coinvolte nelloscambio di dati;

queste famiglie garantiscono l’identità di chi origina le informazioni– queste famiglie garantiscono l identità di chi origina le informazionitrasmesse (proof of origin) e l’identità di chi riceve le informazionitrasmesse (proof of receipt);

– assicurano inoltre che chi origina il messaggio non possa negare diaverlo spedito ed il ricevente non possa negare di averlo ricevuto.averlo spedito ed il ricevente non possa negare di averlo ricevuto.


• FCS:

– la classe Cryptographic Support fornisce le funzionalità crittografichenel caso in cui ciò sia richiesto, per soddisfare obiettivi di sicurezza piùseveri.

Fanno parte di questa classe molte funzioni tra cui:– Fanno parte di questa classe molte funzioni tra cui:

• identificazione ed autenticazione,

• non-ripudio,p ,

• percorsi e canali fidati,

• separazione dei dati


• FDP:

– questa classe è composta da quattro famiglie che hanno il compito didefinire i requisiti di protezione dei dati utente.

– Tali famiglie indirizzano la protezione dei dati utente all’interno delTOE durante l’importazione e l’esportazione nella fase diTOE, durante l importazione e l esportazione, nella fase dimemorizzazione e ne gestiscono gli attributi di sicurezza.


• FIA:

l l di Id f d A i l f i li d i– la classe di Identificazione ed Autenticazione, contiene la famiglia deirequisiti incentrati sulle funzioni che stabiliscono e verificano l’identitàdegli utenti.

– Tali funzioni sono richieste per garantire che ogni utente sia associatocon un appropriato profilo di sicurezza (attributi di sicurezza, ad esempioidentità gruppo di appartenenza regole di riferimento livello diidentità, gruppo di appartenenza, regole di riferimento, livello diriservatezza, ecc.).

– Un’identificazione non ambigua degli utenti autorizzati ed una correttai i d i l ti i tt ib ti di i lli d i d ti ttiassociazione dei relativi attributi di sicurezza con quelli dei dati e oggetti

informatici è un elemento critico per garantire che le politiche disicurezza volute siano rispettate.

– Le famiglie appartenenti a questa classe permettono di determinare everificare l’identità degli utenti, determinarne la specifica autorità perinteragire con il TOE secondo specifici profili di sicurezza.interagire con il TOE secondo specifici profili di sicurezza.


• FMT:

l l S M è ifi l l di– la classe Security Management è preposta a specificare le regole digestione delle molteplici funzioni di sicurezza presenti nel TOE, inclusigli attributi di sicurezza ed i dati essenziali al funzionamento delle stessefunzioni.

– Sono specificate differenti regole di gestione, di interrelazioni tra lefunzioni e le aree di competenza Tra i molteplici obiettivi di questafunzioni e le aree di competenza. Tra i molteplici obiettivi di questaclasse si ricordano:

• la gestione dei dati relativi al funzionamento delle stesse funzioni diisicurezza;

• la gestione degli attributi di sicurezza (ad esempio, le liste di accessoe le liste delle potenzialità);p );

• la gestione delle funzioni di sicurezza (ad esempio, la selezione dellefunzioni attivabili, le regole o le condizioni di funzionamento);

d fi i i d ll l di i• definizione delle regole di sicurezza.


• FPR:

l i i i i i l P i i– questa classe contiene i requisiti per la Privacy, intesa come protezioneper ogni utente contro la possibilità che un altro utente possaindividuarne l’identità e farne un uso improprio. Le famiglie adisposizione sono:

• Anonimity : garantisce che un utente possa utilizzare una risorsa odun servizio certo che la propria identità non venga rivelata ad altriun servizio certo che la propria identità non venga rivelata ad altriutenti.

• Pseudonymity: offre in più rispetto a Anonimity la possibilità did t ( bl ) d ll tti ità itrendere conto (accountable) delle attività eseguite.

• Unlinkability: garantisce che un utente possa accedere più volte allerisorse ed ai servizi senza che altri utenti possano ricostruire questip qpassaggi.

• Unobservability: garantisce che un utente possa utilizzare una risorsaod un servizio senza che altri utenti possano osservare quale serviziood un servizio senza che altri utenti possano osservare quale servizioo risorsa egli stia utilizzando.


• FPT:

– questa classe comprende famiglie di requisiti funzionali che fannoquesta classe comprende famiglie di requisiti funzionali che fannoriferimento all’integrità e alla gestione dei meccanismi che compongono lefunzioni di sicurezza del TOE e all’integrità dei dati delle stesse funzionidi sicurezzadi sicurezza.

– Le famiglie di questa classe potrebbero apparire come una duplicazionedella classe FDP (protezione dei dati utente) ed utilizzare anche gli stessimeccanismi.

– Mentre le funzioni incluse nella classe FDP si occupano della sicurezza deidati utente, le famiglie incluse nella classe FTP si occupano dellada u e e, e a g e c use e a c asse s occupa o de aprotezione dei dati che sono essenziali al funzionamento delle stessefunzioni di sicurezza del sistema o prodotto oggetto di valutazione (TSF).


• FRU:

– questa classe fornisce tre famiglie che supportano la disponibilità dellequesta classe fornisce tre famiglie che supportano la disponibilità dellerisorse necessarie per il funzionamento del TOE, quali per esempio lecapacità elaborative e/o di memorizzazione.

L f i li F lt T l f i l t i t l• La famiglia Fault Tolerance fornisce la protezione contro laindisponibilità delle risorse elaborative per effetto di inconvenienti oguasti al TOE stesso.

• La famiglia chiamata Priority of Service assicura che le risorse sianoallocate alle attività più critiche o importanti e non venganomonopolizzate da attività a bassa priorità.o opo a e da a v à a bassa p o à.

• La famiglia Resource Allocation permette di porre dei limitiall’utilizzo delle risorse per evitare che un utente le monopolizzi.


• FTA:

l i l f i li h di i li l’ ll– questa classe contiene le famiglie che disciplinano l’accesso allo stessoTOE definendo i requisiti per controllare l’esecuzione delle sessioniutente.

– Le famiglie a disposizione sono:

• inizio delle sessioni;

li i i i ll i i l i l i i• limitazioni nelle sessioni multiple concomitanti;

• limitazioni negli scopi degli attributi di sicurezza utilizzabili;

• blocco delle sessioni;blocco delle sessioni;

• storia degli accessi;

• simboli (banners) degli accessi.


• FTP:

l f i li i l f i i i i i di i– le famiglie comprese in questa classe forniscono i requisiti di sicurezzaper un percorso fidato (trusted) di comunicazione tra gli utenti e le stessefunzioni di sicurezza (TSF) e per un canale fidato di comunicazione trale TSF e gli altri prodotti informatici.

– Il percorso di comunicazione deve garantire che l’utente sia incomunicazione con le corrette TSF e che le TSF siano in comunicazionecomunicazione con le corrette TSF e che le TSF siano in comunicazionecol corretto utente.

Classi di affidabilità della sicurezza

Classe Nome

ACM Configuration Management

ADO Delivery & Operation

ADV Development

AGD Guidance Documents

ALC Life Circle Support

ATE Tests

AVA Vulnerability Assessment

APE Protection Profile Evaluation

ASE Security Target Evaluation

AMA Maintenance of Assurance


• ACM:

L i d ll fi i i i h i l– La gestione della configurazione aiuta a garantire che sia preservata laintegrità del TOE richiedendo che esista adeguata disciplina e controllodei processi di messa a punto e modifica del TOE e dei dati ad essocorrelati.

– Tale disciplina deve prevenire che il TOE venga modificato, che ci sianoaggiunte o cancellazioni di sue parti senza la dovuta autorizzazioneaggiunte o cancellazioni di sue parti senza la dovuta autorizzazione.

– Inoltre, il TOE deve essere fornito di appropriata documentazione sia perla sua distribuzione sia per la valutazione.


• ADO:

l d fi i i i i i l i l d li– questa classe definisce i requisiti per le misure, le procedure e glistandard che si riferiscono alla fasi di spedizione, installazione e diutilizzo sicuro del TOE garantendo che le protezioni di sicurezza offertenon siano compromesse durante le fasi di trasferimento, installazione,start-up e funzionamento.


• ADV:

d fi i i i i i l d l ll f di il– definisce i requisiti per la graduale messa a punto, nella fase di sviluppo,delle funzioni di sicurezza del TOE partendo dalle specifiche generalisino alla effettiva implementazione.


• ADG:

d fi i i i i i fi li i ll ibili à– definisce i requisiti finalizzati alla comprensibilità, copertura ecompletezza della documentazione operativa fornita dallo sviluppatore.Questa documentazione, che è divisa in due categorie, una per gli utentied una per l’amministratore, è uno dei fattori chiave per la sicurezzadell’operatività del TOE.


• ALC:

d fi i i i i i l’ ffid bili à l’ d i di b– definisce i requisiti per l’affidabilità attraverso l’adozione di un bendefinito modello di ciclo di vita per tutti i passi dello sviluppo del TOE,inclusa la politica e le procedure per rimediare ai difetti, il corretto usodei tools, le tecniche e le misure di sicurezza utilizzate per proteggerel’ambiente di sicurezza.


• ATE:

bili i i i i i h di l f i i di– stabilisce i requisiti per i test che dimostrano come le funzioni disicurezza soddisfino i requisiti funzionali del TOE. Vi fanno parte test dicopertura, di profondità e funzionali, così come modalità di testindipendenti.


• AVA:

– definisce i requisiti diretti alla identificazione dei punti deboli sfruttabili. Indefinisce i requisiti diretti alla identificazione dei punti deboli sfruttabili. Inparticolare, quei punti deboli generati nel TOE nelle fasi di costruzione, diutilizzo, di uso improprio o configurazione non corretta.


• APE:

– l’obiettivo della valutazione di un Protection Profile (PP) è di dimostrarel obiettivo della valutazione di un Protection Profile (PP) è di dimostrareche il PP è completo, consistente e tecnicamente corretto. Un PP giàvalutato può essere utilizzato come base per lo sviluppo di Security Target(ST) I PP già valutati possono essere inclusi in appositi registri a(ST). I PP già valutati possono essere inclusi in appositi registri adisposizione degli utenti.


• ASE:

– L’obiettivo della valutazione di un Security Target (ST) è di dimostrareL obiettivo della valutazione di un Security Target (ST) è di dimostrareche l’ST è completo, consistente, tecnicamente corretto e pertantoutilizzabile per essere utilizzato come base per la valutazione di uncorrispondente TOEcorrispondente TOE.


• AMA:

– fornisce i requisiti che devono essere applicati dopo che un TOE sia statofornisce i requisiti che devono essere applicati dopo che un TOE sia statocertificato secondo i Common Criteria.

– Questi requisiti si ripropongono di garantire che il TOE, dopo lal t i ti i ddi f i i S it T t l dvalutazione, continui a soddisfare i propri Security Target malgrado

possibili variazioni allo stesso TOE ed all’ambiente in cui è posto.

– Come cambiamenti vengono considerati la scoperta di nuove minacce opunti deboli e la correzione di errori di codifica.

Livelli di valutazione

• I livelli di valutazione dei CC sono sette e vengono definiti con lasigla EAL (Evaluation Assurance Levels)sigla EAL (Evaluation Assurance Levels).

• I livelli sono stati definiti in modo da essere (grossolanamente)confrontabili con gli equivalenti livelli dei TCSEC e ITSEC.confrontabili con gli equivalenti livelli dei TCSEC e ITSEC.

EAL1• Il livello EAL1 è applicabile quando è richiesta una certa fiducia nella

correttezza delle operazioni, ma le minacce alla sicurezza non appaiono serie.• Ciò potrebbe avere senso dove viene richiesta una generica affidabilità della

sicurezza per dimostrare che un minimo di attenzione sia stata posta nellaprotezione dei dati.

• EAL1 fornisce una valutazione del TOE così come viene reso disponibile aiclienti, inclusi i risultati di test indipendenti e un esame della documentazionedi guida normalmente fornita.

• Si presuppone che la valutazione EAL1 si possa condurre con successo anchesenza il coinvolgimento degli sviluppatori del TOE e con costi contenuti.

• Una valutazione a questo livello dovrebbe fornire la prova che il TOE funzioniUna valutazione a questo livello dovrebbe fornire la prova che il TOE funzionicosì come descritto nella documentazione e che fornisce sufficiente protezionecontro le minacce identificate.

EAL2• Il livello EAL2 richiede la cooperazione degli sviluppatori del TOE in termini

di informazioni sui processi di spedizione e di design e risultati dei test, map p gnon dovrebbe richiedere agli sviluppatori uno sforzo più ampio di quellorichiesto nella normale messa a punto di un buon prodotto.

• In altri termini non ci dovrebbero essere sensibili aggravi di costo e di tempi• In altri termini, non ci dovrebbero essere sensibili aggravi di costo e di tempi.

• EAL2 è applicabile in quelle situazioni dove gli sviluppatori o gli utentirichiedono un basso o moderato livello di affidabilità della sicurezza pur inmancanza di una completa documentazione di sviluppo.

• Tale circostanza si potrebbe avere nel caso di sistemi proprietari o nel caso nonsia facile disporre della necessaria documentazione di sviluppo.s a ac e d spo e de a ecessa a docu e a o e d sv uppo.

EAL3• Il livello EAL3 permette ad uno sviluppatore coscienzioso di raggiungere il

massimo di affidabilità da una appropriata progettazione della sicurezza in fasepp p p gdi design senza comunque alterare in modo sostanziale le corrette procedure disviluppo esistenti.

• EAL3 è applicabile in quelle situazioni dove gli sviluppatori o gli utenti• EAL3 è applicabile in quelle situazioni dove gli sviluppatori o gli utentirichiedono un moderato livello di affidabilità della di sicurezza senza dovereffettuare un sostanziale reingegnerizzazione del TOE stesso per condurre la

l t ivalutazione.

EAL4• Il livello EAL4 permette ad uno sviluppatore di raggiungere il massimo in

termini di affidabilità a partire da una appropriata progettazione della sicurezzap pp p p gbasata su un buon processo di sviluppo tra quelli disponibili in commercio che,basato sul rigore, non richieda specialisti con elevati abilità o particolariconoscenze in materia di tecnologie di sicurezza.conoscenze in materia di tecnologie di sicurezza.

• Attualmente EAL4 è il livello più alto di affidabilità per i prodotticommerciali.

EAL5

• Il livello EAL5 permette ad uno sviluppatore di raggiungere il massimo diaffidabilità da una appropriata progettazione della sicurezza basata su unaffidabilità da una appropriata progettazione della sicurezza basata su unrigoroso processo di sviluppo tra quelli disponibili in commercio che prevedaun utilizzo moderato di specialisti in tecniche di architettura di sicurezza.

• Tali TOE saranno probabilmente progettati e sviluppati col preciso intento di• Tali TOE saranno probabilmente progettati e sviluppati col preciso intento diraggiungere il livello EAL5.

• È altamente probabile che per il fatto di dover soddisfare i requisiti di questolivello ci siano dei costi aggiuntivi che non dovrebbero comunque esserelivello ci siano dei costi aggiuntivi che non dovrebbero comunque essereconsistenti nel caso si utilizzino processi rigorosi di sviluppo senza ricorrerea specializzate tecnologie.EAL5 è t t li bil i ll it i i d li il t i li• EAL5 è pertanto applicabile in quelle situazioni dove gli sviluppatori o gliutenti richiedano un elevato livello di affidabilità della sicurezza in unosviluppo pianificato e condotto in modo rigoroso, evitando di subire elevati enon ragionevoli costi a seguito dell’utilizzo di tecniche specialistiche dinon ragionevoli costi a seguito dell utilizzo di tecniche specialistiche diengineering di sicurezza.

EAL6• Il livello EAL6 permette agli sviluppatori di raggiungere un alto livello di

affidabilità con l’utilizzo di specifiche tecnologie di sicurezza in rigorosip g gambienti di sviluppo per produrre TOE di prima qualità nel caso si debbanoproteggere beni informatici di alto valore contro rischi notevoli.

• EAL6 è pertanto applicabile nei casi in cui si debbano sviluppare dei TOE per• EAL6 è pertanto applicabile nei casi in cui si debbano sviluppare dei TOE perutilizzi in situazioni ad alto rischio, dove il valore dei beni protetti giustifichinotevoli costi addizionali.

EAL7• Il livello EAL7 permette agli sviluppatori di raggiungere un livello di

affidabilità estremamente alto per applicazioni in situazioni di alto rischio op ppqualora l’elevato valore delle attività giustifica gli elevati costi.

Livelli di valutazione dell’affidabilità

Livello Nome TCSEC ITSEC

EAL1EAL1 Functionally TestedEAL1EAL1 Functionally Tested

EAL2EAL2 Structurally TestedC1: Discretionary security

protectionE1: Informal architectural

design

E2 E1 f l d l dEAL3EAL3 Methodically Tested & Checked

C2: Controlled access protection

E2: E1 + informal detailed design & test documentation

M th di ll D i d T t dE3: E2 + Source code or

EAL4EAL4Methodically Designed, Tested

& ReviewedB1: Labeled security protection hardware drawing &

evidence of testing

Semiformally Designed &E4: E3 + Semiformal

architectural design &EAL5EAL5

Semiformally Designed & Tested

B2: Structured protectionarchitectural design & formal model of security policy

Semiformally Verified DesignedE5: E4 + Correspondence

EAL6EAL6Semiformally Verified Designed

& TestedB3: Security domains between detailed design

& source code

EAL7EAL7Formally Verified Designed &

A1: Verified designE6: E5 + Formal description

& detailed architecturalEAL7EAL7Tested

A1: Verified design & detailed architectural design

Il processo di creazione dei PP e degli ST

Protection Profile

Security Target

Componenti• l’introduzione: contiene i dati identificativi del PP o dell’ST ed una breve

descrizione in forma narrativa.

• la TOE description: in questa parte è descritto il sistema o il prodotto che èoggetto di valutazione. Tale descrizione è essenziale per capire i requisiti disicurezza e deve anche definire la tipologia dei prodotti e le caratteristichesicurezza e deve anche definire la tipologia dei prodotti e le caratteristicheinformatiche dello stesso TOE. Nel caso si tratti di un PP, non potendo fareriferimento a specifici prodotti, le varie caratteristiche e specifiche sono fornitecome ipotesi.

• il TOE security environment: in questa sezione devono essere descritti gliaspetti di sicurezza relativi all’ambiente nel quale il TOE si presuppone siausato e la maniera nella quale si intende impiegarlo. Fa parte di questa sezioneun primo capitolo che descrive le ipotesi di base come, ad esempio, le ipotesidi utilizzo, le applicazioni coinvolte, il valore dei beni informatici, lelimitazioni d’utilizzo l’ambiente fisico caratteristiche del personale e lelimitazioni d utilizzo, l ambiente fisico, caratteristiche del personale e letipologie di connessione, ecc. Un altro capitolo descrive le principali minaccea cui è esposto il TOE e dal quale lo si vuole difendere. L’ultimo capitolo diquesta sezione definisce la politica della sicurezza, la relativa organizzazione el l h il d ile regole che il TOE deve rispettare.

Componenti• i Security objectives: in questa sezione si definiscono gli obiettivi di sicurezza

del TOE e del suo ambiente, in modo che siano indirizzati tutti gli aspetti disicurezza che sono stati identificati e conseguentemente predisposte le rispostesicurezza che sono stati identificati e conseguentemente predisposte le rispostealle minacce identificate e coperte tutte le ipotesi di base e le regole previstedalla politica di sicurezza.

• i Security requirements: questa sezione definisce in dettaglio i requisiti disicurezza a cui deve sottostare il TOE ed il suo ambiente. Devono esseredefiniti sia i prerequisiti funzionali sia quelli di affidabilità fornendo le relativeprove che essi soddisfano le necessità previste per soddisfare gli obiettivi disicurezza del TOE stesso.

• la TOE summary specification: questa sezione, caratteristica degli ST, deveprovvedere una descrizione delle funzioni di sicurezza e delle misure diaffidabilità del TOE che soddisfano i requisiti di sicurezza del TOE.

Componenti

• i PP claims: gli ST possono opzionalmente dichiarare la conformità a uno o g p ppiù PP esistenti. Per ogni PP a cui si è dichiarata la conformità va fornita una giustificazione ed una spiegazione.

• Rationale: questa sezione contiene le prove, che devono essere verificate in fase di valutazione, in modo che si possa essere certi di avere un PP completo e un coerente set di requisiti e che il TOE dispone di un altrettanto completo ee un coerente set di requisiti e che il TOE dispone di un altrettanto completo e coerente set di contromisure.Le sezioni elencate sono comuni sia ai PP sia agli ST. In aggiunta gli ST contengono una sezione di specifiche ed un’altra di richiamo degli eventuali g p gPP che inglobano.

Descrizione dei requisiti di sicurezza

Si consideri un gruppo di utenti (ad esempio, una associazione bancaria oassicurativa, un ente responsabile per l’informatica per un gruppo di aziende,ecc ) che voglia definire un set di caratteristiche di sicurezza:ecc.) che voglia definire un set di caratteristiche di sicurezza:– si identifica il tipo di prodotto o la tipologia di un ipotetico prodotto e le

generiche funzioni informatiche necessarie, successivamente, si consideral’ambiente in cui esso deve operare, con particolare riferimentol ambiente in cui esso deve operare, con particolare riferimentoall’identificazione dei problemi di sicurezza e alle difficoltà da superare.Tale procedura si concretizza in una dichiarazione di esigenze generali e diobiettivi di sicurezza che devono essere rispettati sia dal prodotto ched ll’ bi tdall’ambiente.

– Utilizzando i CC si trasformano questi obiettivi in un set coerente eomogeneo di definizioni di requisiti funzionali di sicurezza e, tenendopresente il livello di affidabilità di sicurezza che si desidera si assegna ilpresente il livello di affidabilità di sicurezza che si desidera, si assegna ilcorrispondente EAL.

– Il documento ottenuto è essenzialmente un PP. Sarebbe bene, dunque,farlo verificare da un ente terzo per essere certi che l’analisi svolta siapcorretta, completa e, soprattutto, coerente. Non è esclusa la possibilità cheil PP, una volta verificato e certificato, potrebbe anche essere riposto in unpubblico registro e messo a disposizione di chiunque sia interessato.

Valutazione della sicurezza di un prodotto

– Un laboratorio di sviluppo SW o HW che voglia verificare lecaratteristiche di sicurezza di uno specifico prodotto costruisce il prodottop p po il sistema facendo riferimento ai requisiti precisati nel PP e a quantoprevisto nelle Parti 2 e 3 dei CC, rispettivamente, per le funzionalità eaffidabilità della sicurezza.affidabilità della sicurezza.

– Una volta che il prodotto o sistema è costruito come previsto dai CC, èpossibile preparare un ST.

– In ultimo, deve essere coinvolto un ente accreditato di valutazione ecertificazione che verifica e testa il tutto

Analisi e gestione del rischio• Rilevamento dello scenario

– Analisi dello scenario– Definizione del modello del Perimetro d’Intervento– Classificazione delle informazioni

• Analisi del rischio• Analisi del rischio– Individuazione delle Minacce/Attacchi/Incidenti– Indicazione del Livello di Esposizione– Calcolo del rischio intrinseco

• Gestione del rischio– Definizione delle misure e della loro graduazione– Definizione delle misure e della loro graduazione– Produzione del Profilo di Protezione Ottimale– Rilevamento dello contromisure presenti– Calcolo del Rischio Residuo– Pianificazione degli interventi

• Mantenimento “ciclico”Mantenimento ciclico

Rilevamento dello scenario• Di solito non è conveniente estendere l’analisi all’intera organizzazione.

• Risulta conveniente dividere l’analisi per Perimetri d’Intervento

• Il Perimetro d’Intervento è costituito dall’insieme delle informazioni daproteggere e delle risorse che cooperano, in ambito fisicamente econcettualmente definibile, al loro trattamentoconcettualmente definibile, al loro trattamento

• Esempi di perimetro di intervento:

– un processo aziendale

– un centro di elaborazione dati

na specifica applica ione (gestione retrib ioni e mail)– una specifica applicazione (gestione retribuzioni, e-mail)

– una specifica infrastruttura (LAN, intranet aziendale, un edificio, il sistemaorganizzativo/procedurale)

Analisi del rischio

Analisi e gestione del rischio

• Fattori base:

– funzionalità: è l’insieme di ciò che un prodotto o un sistema informaticofornisce in relazione alla protezione delle informazioni e di riflesso dellefornisce in relazione alla protezione delle informazioni e, di riflesso, dellerisorse e dei servizi informatici.

– garanzia: esprime il grado in cui l’implementazione di una funzionalitàriduce una vulnerabilità o la possibilità di attuazione di una minaccia:riduce una vulnerabilità o la possibilità di attuazione di una minaccia:

• La correttezza è una proprietà intrinseca del prodotto nell’ambitodelle condizioni d’uso previste; non dipende da fattori esterni, comel’opportunità di utilizzare o meno quel prodotto per soddisfare unal opportunità di utilizzare o meno quel prodotto per soddisfare unaparticolare esigenza.

• L’efficacia è invece una proprietà che mette in relazione lacontromis ra (prodotto proced ra o altro) con il contesto in c i ècontromisura (prodotto, procedura o altro) con il contesto in cui èutilizzata, in particolare le vulnerabilità, la gravità e la probabilità diattuazione delle minacce, le caratteristiche degli agenti che attuano leminacce l’importanza del bene da proteggere e così viaminacce, l importanza del bene da proteggere e così via.

Gestione del rischio

• ProdurreIl Profilo di Protezione Ottimale– Il Profilo di Protezione Ottimale

– Il Livello di Rischio Residuo

– Il Piano degli InterventiIl Piano degli Interventi

A ciascuna contromisura risultante vieneassegnata una priorità. Il Piano degli Interventig p gelenca e documenta le attività necessarie perabbattere il Livello di Rischio Residuoriportando:• riferimenti delle mis re di prote ione che• riferimenti delle misure di protezione chel’intervento realizza;• la priorità;• la descrizione delle modalità con cui siintende condurre l’intervento e del risultatoatteso;• l’impegno previsto in termini di persone,costi e tempicosti e tempi.

Limiti dei CC

• Tempi lunghi: il processo di valutazione richiede molto tempo, anche anni, e nel

frattempo la versione del prodotto valutato può diventare obsoleta.

• Costi molto elevati.

• Scarsa possibilità di riutilizzo dei PP pubblicati (bisogna specificare un preciso

ambiente di lavoro).

• Poco realistica la valutazione di sistemi.

• Il ST viene scritto da chi richiede la valutazione

• Un prodotto certificato come molto sicuro non correttamente installato o inserito in

un contesto non adatto è pressochè inutile.p

• Si valuta una particolare versione del prodotto: ogni modifica rende necessario un

nuovo processo di valutazione.nuovo processo di valutazione.

Sicurezza e criteri diSicurezza e criteri di valutazione di valutazione.pdfSicurezza e criteri...

Documents

Transcript of Sicurezza e criteri diSicurezza e criteri di valutazione di valutazione.pdfSicurezza e criteri...