Sicurezza delle reti nell Amministrazione federale

Transcript

1 Dipartimento federale delle finanze DFF Organo direzione informatica della Confederazione ODIC Sicurezza TIC Versione 1.0, Sicurezza delle reti nell Amministrazione federale del 19 dicembre 2013 Visti i numeri 3.2 e 4 delle Istruzioni del 14 agosto del Consiglio federale sulla sicurezza TIC nell Amministrazione federale, l ODIC emana la seguente direttiva. La presente direttiva entra in vigore il 1 gennaio Cfr.

2 Indice 1 Definizioni generali e direttive per la sicurezza delle reti Sistemi Linee e reti Domini di rete Comunicazioni Firewall Linea di condotta (policy) applicabile al dominio di rete blu Basi Competenze Linea di condotta (policy) applicabile al dominio di rete Gestione dei firewall Linea di condotta (policy) per i servizi web blu Basi Comunicazione tra servizi web Firewall per i servizi web Fruitori di servizi web Fornitori di servizi web /17

3 1 Definizioni generali e direttive per la sicurezza delle reti 1.1 Sistemi Definizioni 1 Un sistema è un unità fisica o virtualizzata che memorizza dati ed è in grado di eseguire applicazioni. Esso disciplina i diritti di accesso ai propri dati. 2 I sistemi vengono esplicitamente distinti dai sistemi firewall. Il termine «sistema» non comprende qui di seguito i sistemi firewall Direttive 1 Per ogni sistema devono essere stabiliti i seguenti attributi: a) identità: nome del sistema; b) contenuto: numero di applicazioni e quantità di dati che possono girare sul sistema; c) responsabilità: responsabile del sistema; d) bisogno di protezione: il bisogno di protezione di un sistema risulta principalmente dal bisogno di protezione delle sue applicazioni e dei relativi oggetti; e) diritti di accesso ai dati del sistema. 2 I sistemi sono oggetto di due tipi di misure: a) le misure che riguardano i sistemi, da attuare sui sistemi in funzione di condizioni quadro esterne, indipendenti dalla rete (ad es. basi legali, istruzioni ecc.); b) le misure di dominio, da attuare sui sistemi prima che questi siano collegati a una rete gestita da un dominio di rete. Queste misure sono definite o referenziate nella pertinente linea di condotta applicabile al dominio di rete. 1.2 Linee e reti Definizioni 1 Una linea collega tra loro almeno due sistemi (o sistemi firewall) in modo tale da consentire loro di scambiare qualsiasi dato senza passare da sistemi (o sistemi firewall) intercalari. Si dice che una linea e i relativi sistemi (o sistemi firewall) sono detti «direttamente collegati tra loro». 2 Una rete è costituita da sistemi (o sistemi firewall) ramificati, direttamente collegati tra loro attraverso una serie di linee. Una rete serve a permettere la comunicazione tra questi sistemi (o sistemi firewall) Direttive 1 Per ogni linea è stabilito un preciso dominio di rete. In assenza di indicazioni tale dominio è «rosso». Nella fattispecie la linea è anche semplicemente detta «rossa», «blu» ecc. 2 Per ogni rete devono essere stabiliti i seguenti attributi: a) linee e sistemi; 3/17

4 b) un dominio di cui la rete fa parte. Il titolare del dominio di rete integra tutte le reti non rosse in un dominio di rete associandole a tale dominio. Un dominio di rete può contenere diverse reti; c) il numero di servizi (ad es. PKI, DNS) che la rete mette a disposizione dei sistemi. 3 Sono applicabili le seguenti condizioni: a) tutte le linee di una rete devono appartenere allo stesso dominio di cui fa parte la rete; b) tutti i sistemi di una rete devono essere compatibili con i domini della rete e non possono appartenere ad altri domini. Essi appartengono automaticamente al dominio di cui fa parte la rete. 1.3 Domini di rete Definizioni 1 Un dominio di rete è un unione logica a cui sottostanno tutti i collegamenti e gli elementi della normativa (linea di condotta applicabile al dominio di rete) (n. 1.3 lett. f Istruzioni sulla sicurezza TIC). Un dominio di rete è una proprietà che può essere attribuita a un sistema, a una linea o a una rete. 2 Un dominio di rete della Confederazione è un dominio di cui è titolare un unità amministrativa o un organo della Confederazione. 3 Sono compatibili con un dominio di rete i sistemi che soddisfano i requisiti del relativo dominio di rete. 4 Un sottodominio di rete riprende automaticamente tutti i requisiti del proprio dominio-madre. Il sottodominio è considerato un dominio proprio. 5 Il dominio di rete rosso contiene i sistemi e le reti «sconosciuti». Non ha né un titolare né una linea di condotta applicabile al dominio di rete Attributi dei domini di rete 1 Per ogni dominio di rete devono essere stabiliti i seguenti attributi: a) un nome univoco; b) il titolare del dominio di rete; c) l operatore del dominio di rete; d) i requisiti che un sistema deve soddisfare per essere compatibile con il dominio (requisiti del dominio di rete); e) i requisiti che devono soddisfare le comunicazioni tra sistemi terzi e sistemi propri del dominio (requisiti del firewall del dominio di rete); f) i requisiti minimi di accordi bilaterali con domini di rete partner, purché tali accordi siano previsti; e g) il contenuto del dominio di rete. 2 I sistemi compatibili con un dominio di rete possono accedere a tale dominio. Un sistema può appartenere a un solo dominio di rete per volta Contenuto dei domini di rete 1 Il contenuto del dominio di rete comprende: a) le reti del dominio di rete; b) i firewall tra queste reti e le reti di altri domini; c) i gestori dei firewall; d) gli accordi bilaterali con altri domini di rete. 4/17

5 2 I titolari dei domini di rete definiscono e aggiornano il contenuto del proprio dominio. Essi possono delegare tali compiti. 3 Con i firewall elencati deve sussistere una relazione come client o di transito Linea di condotta applicabile al dominio di rete 1 La linea di condotta applicabile al dominio di rete disciplina le condizioni per la connessione e i requisiti per la comunicazione di diverse reti e diversi sistemi (n. 1.3 lett. g Istruzioni del Consiglio federale sulla sicurezza TIC nell Amministrazione federale). 2 Per ogni dominio deve essere formulata una linea di condotta applicabile al dominio di rete che comprenda almeno i seguenti punti: a) i requisiti minimi del dominio di rete che i sistemi devono adempiere prima di poter essere collegati a reti del relativo dominio; b) le condizioni del firewall dei domini di rete che fungono da gateway tra le reti proprie e le reti di terze parti, purché non esistano accordi bilaterali specifici con domini di terze parti; c) i requisiti minimi degli accordi bilaterali con domini di rete partner, purché tali accordi siano previsti Accordi bilaterali tra domini di rete 1 Le linee di condotta applicabili al dominio di rete possono autorizzare accordi bilaterali tra titolari di domini in vista dell adeguamento condizioni per i firewall alle reciproche esigenze. 2 In questo caso la linea di condotta definisce le condizioni quadro minime, le quali devono comprendere almeno i seguenti aspetti: a) requisiti minimi di sistema e per i firewall dei domini di rete partner; b) direttive minime degli accordi bilaterali tra domini di rete partner e domini di terzi. 3 Negli accordi bilaterali devono essere disciplinati i seguenti ambiti: diritti e obblighi, processi operativi, verifica, escalation, ripartizione dei costi, reporting, utilizzo reciproco di servizi e capacità di rete. a) Reporting: nella misura in cui sono compresi nelle prestazioni / nei processi soggetti al reporting, le prestazioni e gli obblighi delegati a terzi fanno parte anch essi della responsabilità propria (prestazione, informazione, sorveglianza, verifica) e devono essere anch essi trattati nei rapporti; b) processi operativi: i processi operativi sono eseguiti e reciprocamente coordinati da entrambi i gestori. Questi processi disciplinano in particolare le segnalazioni tecniche (notifiche di stato, eventi, allarmi) e la comunicazione operativa; c) il processo di apertura dei servizi (ad es. apertura di porte, servizi web ecc.) deve essere disciplinato. I due gestori possono procedere all apertura di porte d intesa reciproca. L apertura deve essere eseguita applicando il summenzionato processo e comunicata a entrambi i titolari del dominio di rete. Nel rapporto periodico devono essere inclusi anche le modifiche delle configurazioni effettuate durante il funzionamento; d) verifica: il titolare di un dominio di rete può esigere a proprie spese in qualsiasi momento una verifica interna o esterna dal titolare dell altro dominio di rete oppure effettuare direttamente un controllo o farlo effettuare da terzi incaricati. La verifica può comprendere le prestazioni concordate nel Service Level Agreement (SLA) e deve limitarsi a tali prestazioni; e) utilizzo reciproco delle capacità di rete: l utilizzo concreto delle capacità di rete, comprese le specifiche e la definizione delle priorità e dell indennizzo, presuppone un relativo accordo della prestazione. Tale accordo tra i gestori del dominio di rete deve definire i sistemi di destinazione e i sistemi sorgente, la portata dell utilizzo, i requisiti della prestazione e la prestazione promessa; f) utilizzo reciproco di servizi: l utilizzo reciproco di servizi presuppone l esistenza di un relativo accordo di prestazione. L utilizzo operativo dei servizi è autorizzato soltanto 5/17

6 dopo la conclusione dell accordo distinto. Sono fatte salve le applicazioni pilota, i PoC o i prototipi, che possono essere allestiti e utilizzati temporaneamente d intesa reciproca. 1.4 Comunicazioni Definizione 1 Una comunicazione consiste nello scambio limitato nel tempo di pacchetti di dati tra almeno due partecipanti (peer). Una comunicazione collega i peer e i sistemi peer e le relative reti. 2 Una comunicazione è descritta dai seguenti elementi: a) il chiamante, che inizia la comunicazione; b) uno o più chiamati; c) un protocollo; d) un percorso di comunicazione, ossia il numero totale di sistemi (o sistemi firewall) attraverso i quali confluiscono i pacchetti di dati; e) le autenticazioni del chiamante e di tutti i chiamati su tutti i firewall intercalari Autenticazione 1 L autenticazione consente di verificare l identità dei peer di una comunicazione e serve al firewall per autorizzare una richiesta di comunicazione. 2 Il tipo di autenticazione definisce la procedura utilizzata. È possibile applicare uno o più dei seguenti tipi di autenticazione: a) autenticazione forte: un hacker che ascolta un autenticazione effettuata con successo su una delle reti non ne può trarre informazioni in vista di un mascheramento non autorizzato; b) autenticazione a due fattori: sono necessari almeno due dei seguenti tre fattori di autenticazione: conoscenza, ad es. password o PIN, possesso, ad es. certificato, token o telefono cellulare (carta SIM), persona, ad es. impronta digitale, scansione della retina o riconoscimento vocale. Nota: l autenticazione a due fattori è sempre un tipo di autenticazione forte; c) autenticazione isolata: un hacker che si trova su uno dei sistemi peer e dispone di privilegi di sistema non ne può trarre informazioni finalizzate a un mascheramento non autorizzato; questa autenticazione è automaticamente forte; d) autenticazione debole: ogni tipo di autenticazione che non rientra tra le autenticazioni forti; e) autenticazione implicita: autenticazione che non necessita di un interazione dell utente. 3 Il luogo dell autenticazione indica se l autenticazione è effettuata da un firewall o se è delegata a un sistema di dominio di rete interno. 4 Il contesto dell autenticazione indica in che modo il firewall assegna i pacchetti di dati in entrata a una comunicazione autorizzata in precedenza. Le condizioni contestuali importanti possono essere ad esempio: a) il contesto di indirizzo: tutti i pacchetti di dati scambiati tra determinati indirizzi sono assegnati a un autenticazione tra tali indirizzi effettuata con successo in precedenza; b) il contesto di collegamento: i pacchetti devono inoltre essere numerati a partire da un numero iniziale aleatorio; c) contesto creato a livello di applicazione: ID della sessione, cookies ecc.; 6/17

7 d) il contesto crittografico: procedure crittografiche proteggono i pacchetti di dati contro le falsificazioni. 5 L oggetto dell autenticazione indica se e quali persone, gruppi di persone, processi, gruppi di processi, sistemi (o sistemi firewall) o insiemi di sistemi (o sistemi firewall) devono essere autenticati. 6 Gli strumenti di autenticazione da impiegare sono disciplinati nelle disposizioni di esecuzione «Matrice di accesso» Autorizzazione della comunicazione 1 Ogni comunicazione è preceduta nel tempo da una richiesta di comunicazione del chiamante, che deve essere approvata implicitamente o esplicitamente da tutti i firewall intercalari. 2 Se durante una comunicazione si aggiungono altri partecipanti (multicasting), essi devono essere ulteriormente autenticati e autorizzati da tutti i firewall intercalari in funzione del loro ruolo di chiamanti o di chiamati e del dominio di rete di appartenenza. 1.5 Firewall Definizioni Un firewall attua la linea di condotta applicabile al dominio ai confini di una rete. Il livello di rete o di applicazione al quale la linea di condotta viene attuata è irrilevante. Oltre ai classici firewall, ad esempio, possono svolgere funzione di firewall anche servizi proxy, gateway per i servizi web ecc Direttive 1 Un firewall è definito dai seguenti attributi: a) una serie di sistemi firewall; b) gestore dei sistemi firewall. Si tratta di un gruppo di persone conosciute per nome, note a tutti i client del firewall e da loro accettate; c) un numero di reti client. I domini corrispondenti sono detti domini client; d) a titolo opzionale, un determinato numero di reti di transito. I domini corrispondenti sono detti domini di transito. Le reti di transito servono a collegare reti client geograficamente separate da una rete di transito remota (VPN); e) a titolo opzionale, un certo numero di firewall di transito. 2 Nei limiti delle possibilità tecniche, nei confronti dei suoi domini client il gestore dei firewall ha l obbligo di autorizzare comunicazioni oltre i firewall soltanto se queste rispettano le relative linee di condotta di dominio. 3 Se tutti i clienti interessati sono d accordo, i firewall di diversi gestori possono essere raggruppati in un unico firewall nell ambito di un accordo di cooperazione. Il nuovo firewall che ne risulta deve soddisfare tutte le condizioni dei firewall originario (firewall cooperanti). 4 I firewall ai confini di un dominio di rete devono operare su sistemi fisici e pertanto non possono essere virtualizzati Linea di condotta (policy) dei firewall e piano operativo 1 I requisiti per le comunicazioni oltre i firewall, che sono più restrittivi di quelli previsti nelle linee di condotta applicabili ai domini client di un firewall devono essere definiti in una linea di condotta dei firewall. 7/17

8 2 I requisiti previsti nelle linee di condotta applicabili ai domini client sono vincolanti per la linea di condotta dei firewall. 3 La linea di condotta dei firewall è definita come insieme di regole. Una regola comprende: a) un gruppo di chiamanti; b) un gruppo di chiamati; c) un gruppo di protocolli; d) un indicazione che specifica se le comunicazioni con peer e protocolli conformi sono o non sono autorizzate. 4 Inoltre, la linea di condotta di firewall definisce un meccanismo decisionale che consente di accettare o respingere inequivocabilmente ogni richiesta di comunicazione con un semplice sì o no e stabilisce i requisiti applicabili all autenticazione necessaria per la verifica delle regole. 5 La linea di condotta dei firewall comprende almeno i seguenti punti: a) descrizione delle modalità di ottenimento delle credenziali di autenticazione (perlopiù certificati) da parte degli oggetti da autenticare, ad esempio ottenimento mediante rinvio a PKI accettate; b) descrizione delle modalità di ottenimento delle informazioni per l autorizzazione degli oggetti da parte dei gestori di firewall, ad esempio ottenimento su mandato da un detentore di collezioni di dati; c) descrizione di tutti i requisiti dei firewall che esulano da quelli previsti dalla linea di condotta applicabile al dominio di rete; d) descrizione di tutti i requisiti dei firewall previsti dalla linea di condotta applicabile al dominio di rete ma non attuate; e) descrizione di tutti i requisiti dei firewall che divergono da quelle della linea di condotta di dominio; f) indicazioni sugli accordi di cooperazione con altri firewall che proteggono reti proprie; g) elenco di tutte le reti di altri domini utilizzate come reti di transito, con riferimento a eventuali accordi di transito; h) elenco di tutte le reti di transito proprie che mettono servizi di transito a disposizione di reti terze in cooperazione con il firewall; i) elenco degli elementi che vengono registrati e del periodo di conservazione; j) descrizione della procedura di approvazione per le regole dei firewall. 6 Ogni gestore di firewall deve definire un piano operativo che descriva nei dettagli l attuazione tecnica della linea di condotta dei firewall. Il piano operativo comprende anche le misure previste dalle presenti istruzioni in materia di verifica, registrazione, backup ecc. 7 Il piano operativo di un firewall comprende almeno i seguenti punti: a) organizzazione e responsabilità del gestore dei firewall; b) indicazioni sulla disponibilità e misure in materia di sicurezza; c) procedure tecniche per l attuazione di tutti i punti della linea di condotta applicabile ai firewall; d) indicazioni sull attuazione dei requisiti di sicurezza dei firewall; e) indicazioni sulla registrazione centrale e analisi delle registrazioni Accordi di transito Ogni firewall è tenuto a concludere con tutti i titolari dei suoi domini di transito accordi di transito che disciplinino i punti seguenti: a) valori di disponibilità a disposizione del firewall sulle reti di transito (larghezza di banda, routing in direzione dei punti di uscita ecc.), purché tali valori siano richiesti dal gestore dei firewall; b) impegno del gestore dei firewall a non autorizzare comunicazioni che colleghino le reti di transito con altre reti se è richiesto dal titolare del dominio di transito. 8/17

9 2 Linea di condotta (policy) applicabile al dominio di rete blu 2.1 Basi 1 La linea di condotta (policy) applicabile al dominio di rete blu definisce i requisiti e le prescrizioni di sicurezza per il dominio di rete blu. 2.2 Competenze 1 L Organo direzione informatica della Confederazione (ODIC) è titolare del dominio blu. Esso provvede all aggiornamento del contenuto del dominio. 2 L ODIC ha le seguenti competenze: a) lavori preparatori e di accompagnamento per le richieste menzionate nella presente linea di condotta provenienti dalle unità amministrative; b) verifica delle autorizzazioni in caso di modifiche rilevanti delle condizioni quadro; c) gestione del contenuto del dominio di rete blu, ad esempio tenuta degli elenchi di tutte le reti, sottodomini e firewall appartenenti al dominio di rete blu. L ODIC può delegare l aggiornamento di questi elenchi (ad es. agli operatori di reti e ai gestori di firewall); d) gestione degli accordi bilaterali con i domini di rete partner; e) richiesta ed esame dei rapporti di controllo sull infrastruttura firewall. 2.3 Linea di condotta (policy) applicabile al dominio di rete Misure riferite al dominio di rete 1 Un sistema è considerato compatibile con il dominio di rete blu (e può dunque essere collegato a una rete blu) se è adempiuta una delle seguenti condizioni: a) il sistema soddisfa i requisiti di sicurezza definiti dall ODIC nelle Direttive del 19 dicembre 2013 sulla protezione di base TIC nell Amministrazione federale per i domini di rete blu; b) il sistema è stato sottoposto a un analisi del bisogno di protezione conformemente alle istruzioni dell ODIC sulla sicurezza dell informatica, le ulteriori misure per la protezione di base sono state attuate e la responsabilità relativa al sistema è chiaramente disciplinata. 2 I sistemi compatibili con il dominio di rete blu con connettività blu attiva possono partecipare contemporaneamente anche ad altre reti soltanto se per tutte è adempiuta una delle seguenti condizioni: a) si tratta di reti che appartengono a un sottodominio del dominio blu; b) si tratta di reti utilizzate come reti di transito per accedere a una rete blu (ad es. collegamenti VPN tramite gateway da una rete estranea a una rete blu). L inoltro automatico di dati tra questi passaggi non è autorizzato; c) si tratta di un firewall autorizzato. 9/17

10 2.3.2 Condizioni dei firewall Autenticazione 1 Le autenticazioni operate mediante firewall si suddividono in a) autenticazioni di persone: ID personale (assegnata a una persona fisica) ID impersonale (assegnata a un gruppo di persone fisiche); b) autenticazioni del sistema (autenticazioni delle macchine): un sistema indica soltanto che appartiene a un determinato gruppo (ad es. a un sistema gestito dalla Confederazione). L autenticazione del sistema non sostituisce l autenticazione delle persone o dei processi; c) autenticazioni dei processi: un processo che gira su un sistema provvede all autenticazione (utente batch o account del processo dietro il quale non vi sono identità di persone). 2 Determinate credenziali possono essere impiegate unicamente per il tipo di autenticazione previsto a tal fine (per un autenticazione dei processi non si possono dunque impiegare credenziali personali). 3 Le autenticazioni delle persone rappresentano la norma. L autenticazione dei processi è ammessa unicamente se l ODIC ne ha autorizzato l impiego 2. L autorizzazione è rilasciata su richiesta del responsabile dell applicazione del dominio blu alla quale si intende accedere. Una tale richiesta deve contenere almeno le seguenti indicazioni: a) il dominio di rete al quale si intende accedere; b) l applicazione alla quale si intende accedere e i relativi sistemi; c) il metodo di autenticazione; d) il tempo limite oltre il quale il firewall interrompe la comunicazione. 4 Dopo il rilascio dell autorizzazione, le modifiche degli elementi per i quali essa è stata chiesta devono essere notificate all ODIC. Quest ultimo può revocare un autorizzazione già concessa. 5 L autenticazione deve soddisfare le seguenti condizioni: a) sul sistema chiamante deve sussistere un interazione in tempo reale tra il processo chiamante (applicazione client) e il soggetto autorizzato (processo/persona); b) l interazione in tempo reale deve durare per tutto il tempo di comunicazione; c) le credenziali utilizzate (certificati, ID utente/password ecc.) sono assegnate a tale soggetto; d) il firewall di autenticazione riconosce l autenticazione come autenticazione della persona, del sistema o del processo; e) la comunicazione autenticata viene conclusa dal firewall al più tardi dopo un tempo limite stabilito. 6 I mezzi di autenticazione da utilizzare dipendono in particolare dal livello di protezione necessario per l oggetto al quale si intende accedere e sono disciplinati nelle disposizioni di e- secuzione «Matrice di accesso» Comunicazione in entrata 1 È effettuata una comunicazione in entrata oltre il firewall quando il sistema chiamante è situato in una rete terza e almeno uno dei sistemi chiamati è situato in una rete blu. Occorre distinguere tra a) accesso illimitato alla rete (full network access): il sistema chiamante ha pieno accesso alle reti del dominio blu; 2 L autenticazione dei processi non è dunque vietata per principio. L obbligo di autorizzazione è inteso a evitare una proliferazione incontrollata di questo tipo di autenticazione e a motivare gli sviluppatori di applicazioni a utilizzare gateway standardizzati quali ad esempio il webservice gateway. 10/17

11 b) accesso limitato alla rete (restricted network access): accesso circoscritto a un numero limitato di sistemi di destinazione definiti (ad es. il reverse proxy e l accesso ad applicazioni tramite tunneling o servizi web). 2 Il firewall garantisce che la comunicazione si svolga nel contesto dell autenticazione/autorizzazione di accesso precedentemente effettuata (cfr. n cpv. 4). 3 Il soggetto richiedente è noto al gestore dei firewall ed è stato da questi autorizzato ad accedere ai sistemi chiamati situati nel dominio blu. 4 Gli accessi sono protocollati, memorizzati centralmente e sottoposti in tempi brevi all analisi di eventuali irregolarità nel rispetto della legislazione sulla protezione dei dati. Il periodo di conservazione è di due anni. 5 I mezzi di autenticazione da utilizzare dipendono in particolare dal livello di protezione necessario per l oggetto al quale si intende accedere e sono disciplinati nelle disposizioni di e- secuzione «Matrice di accesso». 6 Per un accesso illimitato alla rete devono essere adempiute le seguenti condizioni: a) il sistema chiamante si identifica come sistema gestito dalla Confederazione (ad es. mediante un autenticazione del sistema); b) all ingresso del firewall, la comunicazione è sottoposta a un autenticazione di persona; l autenticazione di processo non è ammessa. 7 Per un accesso limitato alla rete devono essere adempiute le seguenti condizioni: a) all ingresso del firewall, la comunicazione è sottoposta a un autenticazione delle persone o dei processi; b) se rispetta la «webservice policy blu», la comunicazione è dispensata dall obbligo di autorizzazione previsto per l autenticazione dei processi Comunicazione in uscita 1 È effettuata una comunicazione in uscita oltre il firewall quando il sistema chiamante è situato in una rete blu e almeno uno dei sistemi chiamati è situato in una rete terza. 2 Il sistema chiamante soddisfa i requisiti minimi di sicurezza definiti nelle istruzioni dell ODIC sulla sicurezza dell informatica (protezione di base TIC nell Amministrazione federale). 3 La comunicazione in uscita deve avvenire tramite un servizio proxy centrale. Il gestore dei firewall definisce un processo di autorizzazione per le deroghe a questo principio. 4 È applicabile la «web proxy blocking policy dell ODIC». 5 Gli accessi tramite sistemi proxy o altri sistemi firewall vengono protocollati, memorizzati centralmente e sottoposti in tempi brevi all analisi di eventuali irregolarità nel rispetto della legislazione sulla protezione dei dati. Il periodo di conservazione è di due anni Accordi bilaterali 1 Gli accordi bilaterali con domini di rete partner devono soddisfare i requisiti definiti al numero e devono essere sottoposte all ODIC per approvazione. 2 Essi devono contenere almeno le prescrizioni minime seguenti: a) le condizioni in materia di firewall definite nella linea di condotta applicabile al dominio di rete del dominio partner devono per analogia essere almeno altrettanto restrittive come quelle definite dalla linea di condotta applicabile al dominio di rete blu; b) il dominio di rete partner non può concludere accordi bilaterali con domini non blu; c) il dominio partner può creare sottodomini. Deve però informarne anticipatamente il dominio di rete blu e divulgare tutte le linee di condotta. In caso di divergenze in merito ai sottodomini, il dominio di rete blu ha in particolare il diritto di rinegoziare o disdire l accordo bilaterale. 3 Si rimanda specialmente ai seguenti punti: a) nel caso particolare l ODIC decide in merito alla conclusione di un accordo bilaterale. 11/17

12 Non è riconosciuto alcun automatismo. In presenza di fondati motivi l ODIC può sostituire le raccomandazioni di cui sopra con altri elementi equivalenti (ad es. nel caso dei domini di gestione di un operatore di reti blu); b) l ODIC può rinegoziare o disdire un accordo bilaterale alle condizioni quadro ivi definite. Questo principio vale anche per la controparte; c) gli accordi bilaterali non rendono superflui i firewall tra i partner. Essi definiscono unicamente gateway agevolati (a livello individuale) e consentono quindi di predisporre firewall meno restrittivi. Tuttavia, di norma le reti dei due domini non possono essere direttamente collegate Sottodomini di rete 1 I sottodomini di rete servono a inasprire le regole del dominio di rete blu per una determinata parte del dominio in essi compresa. 2 All interno del dominio di rete blu possono essere previsti più sottodomini di rete. 3 Ogni sottodominio di rete dispone di una policy propria, ma riprende tutte le prescrizioni previste dalla policy del dominio blu ed è a questa assoggettato. 4 L accesso a un sottodominio di rete è sempre controllato da un firewall. 5 Un sottodominio di rete è sempre assegnato a un unico dominio di rete (nel caso presente al dominio blu). 6 All interno di un sottodominio di rete non sono ammessi ulteriori sottodomini. 7 Un sottodominio di rete deve essere privo di gateway propri verso reti terze. 8 La creazione di un sottodominio di rete deve essere notificata all ODIC. 2.4 Gestione dei firewall Autorizzazione alla gestione di un firewall 1 Ogni firewall per la protezione di reti blu dalle reti terze deve soddisfare le seguenti condizioni: a) il firewall è gestito direttamente dall unità amministrativa richiedente oppur da terzi da essa incaricati; b) l ODIC ha autorizzato l unità amministrativa a gestire il firewall per la protezione di reti blu dalle reti terze. 2 La procedura di autorizzazione si articola come segue: a) [fase opzionale]: l unità amministrativa ha la possibilità di presentare all ODIC una richiesta consultiva per la gestione di un firewall. La richiesta illustra le necessità dell unità amministrativa ed è accompagnata dal preavviso dell incaricato della sicurezza informatica dei dipartimenti competenti per la richiesta; b) [solo se è stata effettuata la fase a]: se le necessità non possono essere soddisfatte in modo più semplice mediante un firewall già esistente, l ODIC decide in merito alla richiesta e in caso di decisione positiva raccomanda all unità amministrativa di fornire una descrizione dettagliata del sistema firewall e di sottoporglielo a scopo di autorizzazione. In tal caso, l ODIC deve definire le conseguenze in caso di mancato rispetto della scadenza e le condizioni per la concessione di un eventuale proroga del termine; c) l unità amministrativa elabora una descrizione dettagliata del sistema firewall e la sottopone all ODIC in forma di proposta per la gestione del firewall. La presentazione è effettuata dagli incaricati della sicurezza informatica dei dipartimenti competenti, i quali procedono a una prima valutazione di massima dell adeguatezza del progetto. L ODIC può respingere la richiesta soltanto se è adempiuta una delle seguenti condizioni: 12/17

13 1. l ODIC non è stato preventivamente consultato, ossia le fasi a e b non si sono svolte, 2. nella fase b l ODIC ha rifiutato di formulare una raccomandazione, 3. le scadenze stabilite non sono state rispettate, 4. le condizioni quadro sono radicalmente cambiate, 5. la descrizione del sistema è incompleta o poco chiara, 6. l ODIC non approva il servizio incaricato della verifica, 7. la richiesta crea un rischio eccessivo per il dominio di rete blu. 3 La richiesta consultiva per la gestione di un firewall comprende almeno i punti seguenti: a) illustrazione dettagliata delle necessità ed esame di scenari alternativi con relative stime dei costi e valutazioni dei rischi da parte del richiedente; b) descrizione concettuale delle modalità di attuazione tecnica delle esigenze in materia di firewall previste dalla linea di condotta applicabile al dominio; c) tutte le condizioni in materia di firewall che al momento non soddisfano verosimilmente la linea di condotta applicabile al dominio. L autorizzazione può essere negata se tali condizioni sono rese note soltanto nella richiesta; d) gestore effettivo e condizioni quadro degli accordi esistenti o previsti con il gestore se non è prevista la gestione diretta da parte del richiedente. L autorizzazione può essere negata se il richiedente rende noto soltanto nella richiesta che intende affidare la gestione a terzi. 4 La descrizione del sistema firewall comprende almeno i punti seguenti: a) la prova che il sistema del firewall in quanto tale è stato sottoposto a un analisi del bisogno di protezione conformemente alle presenti istruzioni e che le misure rilevanti sono state attuate; b) la linea di condotta dei firewall; c) il piano operativo; d) il piano di protocollo per la registrazione, l analisi e la conservazione dei dati di protocollo conformemente ai numeri e ; e) indicazioni in merito a un eventuale gestione da parte di terzi, se è prevista; f) illustrazione dettagliata del bisogno ed esame di scenari alternativi con le relative stime dei costi e valutazioni dei rischi da parte del richiedente, purché ciò non sia già stato fatto in sede di richiesta consultiva; g) designazione di un ente indipendente incaricato di effettuare una verifica al più tardi sei mesi dopo l attivazione del firewall. 5 La linea di condotta applicabile ai firewall comprende almeno i punti previsti al numero capoverso 5. 6 Possono essere previste esigenze in materia di firewall che non soddisfano la linea di condotta applicabile al dominio soltanto in via eccezionale e in presenza di fondati motivi. Se non sono già state rese note nella richiesta consultiva, devono essere dichiarate nella richiesta. Esse possono determinare il rifiuto dell autorizzazione. 7 Il piano operativo di un firewall comprende almeno i punti richiesti al numero capoverso 7. 8 I nuovi firewall autorizzati di recente devono essere sottoposti a una verifica realizzata da un servizio indipendente al più tardi sei mesi dopo l attivazione. Il richiedente designa il servizio incaricato della verifica nella descrizione del sistema soggetta ad autorizzazione. 9 La realizzazione della verifica può essere affidata esclusivamente a persone che hanno superato con successo il controllo di sicurezza relativo alle persone effettuato dal Servizio specializzato per i controlli di sicurezza relativi alle persone (nessun rischio). Il compito di avviare il controllo di sicurezza spetta all ente incaricato di realizzare la verifica. 10 L esito della stessa è comunicato all ODIC sotto forma di compendio. 11 Le misure eventualmente definite nell ambito della verifica devono essere tempestivamente attuate. L ODIC deve essere informato al riguardo. 13/17

14 2.4.2 Modifiche nella gestione di un firewall dopo il rilascio dell autorizzazione definitiva 1 La manutenzione corrente dei sistemi di firewall, come ad esempio l amministrazione degli utenti, l installazione di patch di sistema e aggiornamenti, l introduzione di sistemi ridondanti, il potenziamento del materiale informatico e la sua sostituzione con componenti equivalenti ecc. rientra nell ambito della valutazione del gestore dei firewall e non richiede ulteriori interazioni. 2 Su richiesta dell ODIC devono essergli presentate la configurazione attuale in uso e informazioni sulle operazioni di manutenzione pianificate. 3 Tutte le modifiche che esulano da questi lavori, e in particolare le modifiche della linea di condotta e del piano operativo, devono essere presentate all ODIC per informazione. L ODIC ha diritto di veto Obblighi correnti dei gestori dei firewall 1 Il gestore dei firewall è tenuto a comunicare tempestivamente e in forma adeguata le modifiche della propria linea di condotta alle sue reti client. 2 Il gestore dei firewall è tenuto a configurare in modo sicuro l hardware e il software dei sistemi firewall e di mantenerli aggiornati alla versione più recente. 3 I firewall devono essere sottoposti a verifica almeno ogni tre anni. Il gestore dei firewall deve indicare all ODIC con almeno sei mesi di anticipo rispetto alla scadenza prevista il servizio a cui intende affidare l esecuzione della verifica. L ODIC ha diritto di veto. 4 L esecuzione della verifica può essere affidata esclusivamente a persone che hanno superato con successo il controllo di sicurezza relativo alle persone effettuato dal Servizio specializzato per i controlli di sicurezza relativi alle persone (nessun rischio). Il compito di avviare il controllo di sicurezza spetta all ente incaricato di realizzare l audit. 5 L esito della verifica è comunicato all ODIC sotto forma di compendio. 6 Le misure eventualmente definite nell ambito dell audit devono essere tempestivamente attuate. L ODIC deve essere informato al riguardo Autorizzazioni eccezionali 1 Nei limiti delle possibilità tecniche, il gestuire dei firewall è tenuto ad attuare le condizioni in materia di firewall risultanti dalla linea di condotta applicabile al dominio secondo la propria valutazione e sotto la propria responsabilità. Può eventualmente chiedere supporto all ODIC per le questioni di sicurezza. 2 Se il gestore dei firewall deve affrontare progetti di unità amministrative per i quali non riesce a trovare misure adeguate conformi alla linea di condotta applicabile al dominio di rete blu, si applicano per analogia le disposizioni previste al numero Accordi di cooperazione 1 I firewall che proteggono le reti blu possono essere gestiti nell ambito di una cooperazione. Questa deve essere prevista in tutte le linee di condotta applicabili ai firewall e in tutti i piani operativi e deve essere stata ammessa dall ODIC nell ambito delle singole autorizzazioni per la gestione dei firewall. 2 Ulteriori cooperazioni in corso di validità dell autorizzazione sono trattate come modifiche della linea di condotta ai sensi del numero 2.4.2, a prescindere dal fatto che il firewall sia gestito dalla stessa o da un altra unità amministrativa. 14/17

15 2.4.6 Accordi di transito 1 I gestori dei firewall possono concludere accordi di transito con reti terze o l utilizzazione di reti rosse come reti di transito per collegare reti blu geograficamente separate a condizione che la protezione dei dati trasmessi sia garantita conformemente al loro livello di protezione. L utilizzazione di simili servizi di transito è disciplinata dalla linea di condotta dei firewall. Se durante la gestione del firewall vengono aggiunti nuovi servizi di transito, questi sono trattati come modifiche della linea di condotta conformemente al numero I gestori di reti blu possono offrire servizi di transito a reti terze in collaborazione con i gestori dei firewall che proteggono le loro reti. In tal caso tutti i gestori dei firewall interessati devono garantire nelle loro linee di condotta dei firewall che nessuno dei sistemi peer di comunicazione si trova in una rete blu. 15/17

16 3 Linea di condotta (policy) per i servizi web blu 3.1 Basi 1 La linea di condotta (policy) per i servizi web blu definisce i requisiti e le prescrizioni di sicurezza per la comunicazione di servizi web con il dominio di rete blu. Le comunicazioni con servizi web che non rispettano le condizioni definite nella linea di condotta applicabile ai servizi web blu soggiacciono automaticamente alla «linea di condotta applicabile al dominio di rete blu». 2 Per le comunicazioni di servizi web oltre dominio con il dominio di rete blu valgono le seguenti eccezioni rispetto al numero 2 della «linea di condotta applicabile al dominio di rete blu»: a) invece del numero del capitolo 2 della «linea di condotta applicabile al dominio di rete» valgono le direttive previste nel presente capitolo 3; b) per l autenticazione dei processi non sono necessarie autorizzazioni supplementari ai sensi dei numeri capoverso 3 e capoverso 7a del capitolo 2 della «policy di dominio blu»; c) la linea di condotta è applicabile senza restrizioni anche agli accordi bilaterali tra domini di rete 3. Non vengono concesse agevolazioni ai sensi del numero capoverso 3c del capitolo 2 della «linea di condotta applicabile al dominio di rete blu». 3.2 Comunicazione tra servizi web Definizioni 1 Una comunicazione tra servizi web consiste nello scambio di messaggi definiti in un formato specifico tra due interfacce di servizi web. 2 Un servizio web è un applicazione software identificata in modo univoco da un identificatore uniforme di risorse (URI) le cui interfacce possono essere definite, descritte e localizzate. Un servizio web supporta l interazione diretta con altri agenti software per mezzo di messaggi definiti che vengono scambiati attraverso protocolli Internet Condizioni 1 Protocolli e formati di dati ammessi: SOAP/XML, REST/XML, REST/JSON 3.3 Firewall per i servizi web Definizioni 1 Un firewall per i servizi web opera al gateway di una rete blu come punto di controllo tecnico del rispetto della linea di condotta per i servizi web blu. 2 Un firewall per i servizi web può consistere in più sistemi o servizi (specializzati) abbinati che attuano singole condizioni della linea di condotta 4. 3 Questa disposizione fa riferimento agli accordi bilaterali di cui al numero (cfr. Definizioni generali e direttive per la sicurezza delle reti) 4 Autenticazione, antivirus ecc. 16/17

17 3.3.2 Condizioni 1 Il fruitore e il firewall di servizi web devono autenticarsi reciprocamente. L autenticazione reciproca può avvenire mediante firma e crittografia dei messaggi di servizio e/o mediante certificati SSL a livello di trasporto 5. I mezzi di autenticazione ammessi per l utilizzazione di un servizio web vengono definiti dal fornitore di servizi web in funzione del bisogno di protezione del servizio. Questi mezzi sono disciplinati nelle disposizioni di esecuzione «Matrice di accesso». 2 Le richieste di servizi devono essere assegnate a un fruitore di servizi web. 3 I messaggi di servizio devono essere trasmessi tra fruitore e firewall e tra firewall e fornitore mediante https. 4 Il firewall di servizi web costituisce un endpoint crittografico (encryption endpoint) e deve poter verificare il contenuto dei messaggi (per le eccezioni cfr. n ). 5 I messaggi di servizio devono essere definiti da strutture dati predefinite. 6 I messaggi di servizio devono essere convalidati in confronto a definizioni di strutture dati (per le eccezioni cfr. n ). 7 I messaggi di servizio devono essere sottoposti a verifica per escludere contenuti dannosi e all occorrenza respinti (per le eccezioni cfr. n ). 8 Il firewall di servizi web deve essere in grado di riconoscere e respingere le forme di attacco specifiche dei servizi web (per le eccezioni cfr. n ). 3.4 Fruitori di servizi web Definizioni 1 I fruitori di servizi web (webservice consumer) sono interfacce di sistema che inviano a un fornitore di servizi web una richiesta di servizi sotto forma di messaggio di servizio. 3.5 Fornitori di servizi web Definizioni 1 I fornitori di servizi web (webservice provider, WSP) sono interfacce di sistema che ricevono ed elaborano messaggi di servizio. 2 I sistemi WSP sono applicazioni web che operano come fornitori di servizi web Condizioni 1 Si deve tenere conto delle raccomandazioni dell Open Web Application Security Project (OWASP) per i sistemi WSP 6. 2 Se il contenuto di un messaggio non può essere verificato da un firewall di servizio web (ad es. poiché il messaggio è crittografato), il fornitore di servizi web deve garantire il rispetto dei numeri capoverso 6, capoverso 7 e capoverso 8 per mezzo di misure di compensazione documentabili. 5 cosiddetta «autenticazione reciproca» o «autenticazione bidirezionale» /17