IMQ Funzione Sistemi di Gestione Area Security ICT. Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6

Transcript

1 IMQ Funzione Sistemi di Gestione Area Security ICT Servizio di Valutazione della conformità ai protocolli CEI 79-5 e /11 Funzione Sistemi di Gestione - Area Security ICT Settori di competenza dell Area Security ICT Valutazioni Formali della Sicurezza di sistemi e prodotti IT (ISO/IEC 15408) Assessment su Sistemi di Gestione della Sicurezza delle Informazioni (SGSI ISO/IEC 27001) Verifiche di conformità Assistenza tecnico/normativa 2/11 Funzione Sistemi di Gestione - Area Security ICT 1

2 Settore Verifiche di conformità Verifica della conformità di sistemi/prodotti IT a norme di settore specifiche (es. CEI 79-5, CEI 79-6) capitolati tecnici Business Impact Analysis (BIA), Business Continuity Plan 3/11 Funzione Sistemi di Gestione - Area Security ICT Le Norme CEI 79-5 e 79-6 CEI 79-5:1996 livello di trasporto CEI 79-6:1998 livello applicativo protocollo di comunicazione per il trasferimento di informazioni di sicurezza (allarmi antintrusivi, antifurto, antincendio e altri) implementato dagli elementi di un sistema di centralizzazione degli allarmi costituito da uno o più centri di supervisione e controllo (CSC) e centrali di rilevazioni allarmi periferiche (CA), anche di costruttori diversi. Obiettivo: garantire l interoperabilità tra gli elementi componenti un sistema di centralizzazione 4/11 Funzione Sistemi di Gestione - Area Security ICT 2

3 Il progetto condotto per Banca d Italia proprio nel rispetto dello spirito della norma di garantire la massima interoperabilità tra le componenti realizzate anche da costruttori diversi, Banca d Italiad ha commissionato al Laboratorio Prove Sicurezza di IMQ (IMQ/LPS) la verifica della conformità alle norme CEI 79-5 e 79-6 del protocollo utilizzato dalle componenti del proprio sistema di centralizzazione degli allarmi. 5/11 Funzione Sistemi di Gestione - Area Security ICT Metodologia di Valutazione della conformità adottata da IMQ Fase 1 Valutazione della documentazione inerente il sistema integrato di sicurezza (o il CSC o la CA) sottoposto a verifica di conformità Fase 2 Conduzione dei test di valutazione del grado di conformità alle norme CEI 79-5 e 79-6 Fase 3 Chiusura delle attività ed emissione del Rapporto Finale di Valutazione 6/11 Funzione Sistemi di Gestione - Area Security ICT 3

4 Fase 1: Valutazione della documentazione inerente il sistema oggetto di valutazione Documentazione che descrive l architettura HW/SW del sistema di centralizzazione (o del CSC o della CA) e le parti di protocollo implementate, Profili di centrale Interoperabile, EPT definite, evidenze dei test condotti per verificare l implementazione del protocollo Esame accurato della documentazione inerente l implementazione del protocollo, compresa la documentazione dei test condotti. Sopralluogo sull ambiente che sarà utilizzato in fase di test. Output: Rapporto contenente i commenti e le osservazioni inerenti ad eventuali lacune, inconsistenze interne ai documenti consegnati, esplicitando i chiarimenti o le integrazioni necessarie per poter condurre le successive fasi di attività. 7/11 Funzione Sistemi di Gestione - Area Security ICT Fase 2: Conduzione dei test di valutazione del grado di conformità del protocollo implementato alle norme CEI 79-5 e 79-6 Ambiente di test e supporto di personale tecnico messo a disposizione del cliente definizione ed esecuzione da parte del personale di IMQ/LPS delle sessioni di test pianificate nell'ambiente messo a disposizione dal cliente. Nel corso dei test, con strumentazione HW/SW sviluppata ad hoc, IMQ provvede a tracciare tutte le trame scambiate tra i vari elementi del sistema di centralizzazione sottoposti a verifica Output: Rapporti di attività che sintetizzino i principali risultati emersi nel corso delle varie sessioni di test 8/11 Funzione Sistemi di Gestione - Area Security ICT 4

5 Fase 3: Redazione report finale Insieme delle trame tracciate nel corso delle varie sessioni di test Analisi puntuale delle trame tracciate al fine di documentare e giustificare eventuali non conformità riscontrate Output: Rapporto Finale di Valutazione attestante il grado di rispondenza del protocollo implementato nel sistema di centralizzazione verificato e le EPT implementate. 9/11 Funzione Sistemi di Gestione - Area Security ICT Sviluppi futuri Sulla base dell esperienza condotta è in fase di studio e di messa a punto: l attività di certificazione, secondo la nuova versione delle norme CEI 79-5 e 79-6, della rispondenza di una Centrale di Allarme al suo Profilo di Centrale Interoperabile e l attività di assistenza nella redazione di un Profilo di Centrale Interoperabile da considerarsi anche come strumento per l esplicitazione formale, in capitolati tecnici di gara, dei requisiti che si vogliono soddisfatti da un certo tipo di centrale d allarme. 10/11 Funzione Sistemi di Gestione - Area Security ICT 5