Sicurezza Enti Locali

Transcript

1 Sicurezza Enti Locali 1/11

2 INDICE Indice INTRODUZIONE Scopo del documento A chi si rivolge Contenuti Riferimenti Componenti interessate Adempimenti di sicurezza Normativa di riferimento Impiego di protocolli di comunicazione sicurierrore. Il segnalibro non è definito Sicurezza della comunicazione XML-SAIA Client Porta di Accesso Sicurezza della comunicazione WSAPP XML-SAIA Client Integrazione con sistemi di sicurezza già presenti Metodologie di certificazione della postazione Autenticazione per connessione al CNSD Modalità sincrona/asincrona per comunicazione WSAPP XML-PCCSA Sicurezza in rete locale Sicurezza fisica della Postazione Certificata ed individuazione del responsabile Controllo degli accessi per la Postazione di Lavoro Certificata...11 Adempimenti Per Enti Locali /11

3 1 INTRODUZIONE 1.1 Scopo del documento Illustrare le relazioni tra le componenti del sistema in ambito comunale, in particolare dal punto di vista della sicurezza. 1.2 A chi si rivolge I destinatari del documento saranno gli enti coinvolti nello sviluppo delle componenti software legate alle anagrafi comunali. 1.3 Contenuti Il presente documento è focalizzato sugli adempimenti di sicurezza da adottare nell ambito comunale per l utilizzo delle applicazioni che si collegano alla Porta di Accesso comunale per inviare richieste al sistema, e sulle responsabilità delle singole componenti. 1.4 Riferimenti Il riferimento primario per questo documento è costituito dal DM del 2 Agosto 2005con i suoi allegati A Linee guida e metodologia per la redazione del piano e B Regole tecniche e di sicurezza per l accesso ai domini applicativi del CNSD Per quanto riguarda le problematiche di sicurezza della connessione verso il CNSD, per maggiori dettagli si rimanda al documento del Ministero dell Interno: Porta di Accesso ai Domini Applicativi.doc. Per una visione complessiva del sistema si faccia riferimento ad _Documento di Sintesi.doc ed a _Architettura del sistema.doc. Il glossario è posto in _Glossario di Progetto.doc. 3/11

4 2 COMPONENTI INTERESSATE A titolo riassuntivo riportiamo il diagramma che rappresenta le componenti interessate all interazione con il sistema in ambito comunale. Figura 1: L elenco delle componenti coinvolte nello scambio di informazioni fra un applicazione di anagrafe ed il sistema SAIA Nel presente documento si prenderanno in esame le specifiche di sicurezza da dottare in ambito comunale fra le differenti componenti coinvolte: - Applicazioni di anagrafe - WSAPP: componenti di traslazione (da sviluppare da parte delle software house) dai formati utilizzati dall anagrafe del Comune ai formati XML, forniti dal Ministero dell Interno, attesi come input dalla componente XML-SAIA client. - XML-SAIA Client, componente client applicativa residente presso il comune del sistema SAIA, che riceve i dati dalle componenti WSAPP ed invia alla Porta di Accesso i dati nel formato XML, la cui descrizione è fornita dal Ministero dell Interno, su protocollo di SSL con mutua autenticazione. 4/11

5 - Porta di Accesso ai domini applicativi del CNSD (la porta di accesso che in figura 1 è nel box denominato Comune ) che, quando riceve richieste dalla componente XML-SAIA Client le invia, tramite Busta di E.gov del CNSD e protocollo di sicurezza Backbone del CNSD, alla Porta dei domini applicativi del CNSD che provvede alla loro distribuzione, nel dominio applicativo del CNSD, agli specifici Application Server che erogano i servizi richiesti. Per la descrizione approfondita delle componenti, e dei loro ruoli e funzionalità si rimanda a _Architettura del sistema.doc. 5/11

6 3 ADEMPIMENTI DI SICUREZZA 3.1 Normativa di riferimento Visto il D.M. 2 Agosto 2005 e i relativi allegati A e B Visto il D.M. 2 Agosto 2005, Art.12 comma 2 Visto il D.M. 2 Agosto 2005, Allegato B Regole tecniche e di sicurezza per l accesso ai domini applicativi del CNSD par.3, pag.207 Visto il D.M. 2 Agosto 2005, Allegato A Allegato2 par.3.1, pag.39 Visti il D.M. 2 Agosto 2005, Allegato A Allegato3 par pag.87 e le definizioni nell Art.1 comma 1 lettere (u) e (aa), Vista la Circolare Ministeriale n.23 del 2005 Visto l allegato tecnico alla circolare Ministeriale n.23 del 2005 Visti i documenti ufficiali sopra elencati e in conformità al Piano di sicurezza Comunale CIE richiesto dal DM del 2 Agosto 2005, il meccanismo di comunicazione tra i sistemi comunali e la Porta di Accesso avviene tramite Post XML su http o protocollo XML/SOAP. Il sistema prevede, come è possibile notare in Figura1, due moduli, che assieme compongono il sistema fornito dal Ministero dell Interno per la comunicazione al CNSD. Il primo, la Porta di Accesso ai domini applicativi del CNSD, si occupa di rendere sicura e identificabile univocamente la trasmissione dei dati al CNSD come descritto al paragrafo Il secondo, il modulo XML-SAIA Client, è la parte che si interfaccia direttamente con il sistema comunale per l invio delle richieste SAIA e per la ricezione delle risposte. La modalità standard prevede che il modulo sia installato sul server delle applicazioni di anagrafe (quindi senza la necessità di una macchina dedicata). E possibile il ricorso ad una macchine dedicata.il modulo XML-SAIA Client, riceve dal WSAPP un file con i tracciati record e i dati da inviare alla Porta di Accesso Comunale. 3.2 Collegamento della postazione di lavoro alla Porta di Accesso Comunale La postazione di lavoro che ospita il modulo XML-SAIA è abilitata alle comunicazioni con il CNSD attraverso la porta di accesso comunale che richiede l utilizzo di un certificato client SSL rilasciato con le QSAC, coerentemente alle politiche di sicurezza del CNSD, e l impiego di protocolli di comunicazione sicuri. 6/11

7 Anche se per mantenere elevati standard di sicurezza è corretto ritenere insicure tutte le reti di comunicazione coinvolte, riteniamo utile distinguere la sicurezza sulla base dell utilizzo di reti pubbliche o private Sicurezza della comunicazione XML-SAIA Client Porta di Accesso Visto il D.M. 2 Agosto 2005, Art.11 comma 2 lettera (a) Visto il D.M. 2 Agosto 2005, Art.12 comma 1 lettera (a) Vista la Circolare Ministeriale n.23 del 2005 Visto l allegato tecnico alla circolare Ministeriale n.23 del 2005 Tutti gli accessi ai servizi applicativi del CNSD devono passare attraverso la Porta di Accesso Comunale. Per tutti gli accessi è prevista l adozione di protocolli standard e sicuri di trasporto dell informazione. Utilizzando la notazione standard OSI per indicare gli specifici livelli del protocollo di comunicazione utilizzato vale quanto segue: - a livello application e superiore si utilizzano i protocolli HTTP e XML/SOAP - livello presentation i protocolli SSL o TLS con mutua autenticazione. La sicurezza delle comunicazioni uscenti dalla Porta di Accesso verso la corrispondente porta del CNSD è garantita utilizzando il protocollo Backbone del CNSD Sicurezza della comunicazione WSAPP XML-SAIA Client Non è previsto per il momento nessun sistema di crittografia imposto, per le trasmissioni tra le componenti WSAPP e le componenti XML-SAIA Client. Si tratta di una rete interna all Ente su cui transitano dati anagrafici e, comunque, dati sensibili diretti verso la Porta di Accesso Comunale e poi verso il CNSD. La gestione in sicurezza di tale rete rientra quindi negli specifici trattamenti della sicurezza che il Comune deve indicare nel proprio Piano per la Sicurezza Comunale CIE. In particolare, la comunicazione tra le componenti WSAPP e le componenti XML-SAIA Client, ove l installazione fosse prevista su due macchine differenti, dovrà essere opportunamente protetta (IPSEC, router crittografati) al fine di essere coerente a piano di sicurezza Comunale CIE.. Dovrà essere inoltre segnalata la minaccia per la sicurezza, dovuta alla presenza di reti intermedie non sotto lo stretto controllo dell Ente o altre specifiche vulnerabilità (presenza di reti wireless non crittografate, condivisione della rete comunale con altre amministrazioni, ), nella documentazione da produrre per il Piano di Sicurezza CIE, previsto dal D.M. 2 Agosto 2005 ovvero come aggiornamento al piano stesso da inviare immediatamente in Prefettura per l approvazione. 7/11

8 3.3 Integrazione con sistemi di sicurezza già presenti Visto il D.M. 2 Agosto 2005, Allegato B, par.2.2 Requisiti di connettività della Porta di Accesso ai domini applicativi del CNSD, alle pagine 204/205 Visto il D.M. 2 Agosto 2005, Allegato B, par.3.1 Accesso al dominio applicativo INA del CNSD Requisiti, alle pagine 208/209 Visto il D.M. 2 Agosto 2005, Allegato B, par.4.1 Accesso al dominio applicativo CIE del CNSD Requisiti, alle pagine 211/212 Vista la Circolare Ministeriale n.23 del 2005 Visto l allegato tecnico alla circolare Ministeriale n.23 del 2005 Sono completamente specificate le regole e i requisiti di connettività tra le parti in gioco. È chiaramente scritto in calce ad ogni tabella di specifiche: la comunicazione deve avvenire in assenza di proxy http intermedi.. I protocolli di comunicazione devono essere conformi a quanto richiesto/previsto dalle specifiche tecniche del CNSD. 3.4 Metodologie di certificazione della postazione Visto il D.M. 2 Agosto 2005, Allegato B, par.2 pagina 202 Vista la Circolare Ministeriale n.23 del 2005 Visto l allegato tecnico alla circolare Ministeriale n.23 del 2005 È stabilito che il sistema di certificazione della postazione si basa sull impiego di certificati digitali rilasciati da una CA (Certificate Authority) interna al CNSD che permettono di autenticare la postazione comunale nei confronti della Porta di accesso ai domini applicativi del CNSD. Tutte le postazioni (sistemi) comunali abilitate alla comunicazione con il CNSD devono, quindi, essere dotate di certificato SSL client riconosciuto dalla Porta di Accesso. A sua volta la Porta di accesso è identificata da un proprio certificato SSL emesso sempre dalla CA del CNSD. Il responsabile comunale della sicurezza degli accessi al CNSD abilita attraverso l uso delle QSAC (Quantità di Sicurezza, Attivazione e Certificazione) il sistema comunale che deve accedere ai servizi del CNSD. In fase di abilitazione di un sistema comunale, la Porta di Accesso rende disponibile il certificato SSL necessario alla comunicazione tra il Sistema comunale stesso e la Porta di Accesso La Porta di accesso certifica la sola postazione comunale con cui comunica direttamente. Qualora il modulo XML-SAIA client sia installato su una postazione diversa rispetto al sistema anagrafico comunale (WSAPP), tra le due postazioni non è previsto un sistema di certificazione delle postazioni. 8/11

9 3.5 Autenticazione per connessione al CNSD Il sistema di certificazione della postazione unito a provvedimenti di carattere organizzativo (controllo e denuncia di azioni pericolose per la sicurezza della postazione con Porta di Accesso ), sono considerati sufficienti a garantire la sicurezza degli accessi al CNSD dalle postazioni comunali autorizzate. È prevista la gestione di una coppia username e password per l invocazione del client XML-PCCSA. Trattandosi di un unica password valida anche per l accesso ai servizi esposti via web è previsto che sia allineato alle funzionalità di cambio password accessibili come servizio esposto dal CNSD. Non sono previsti meccanismi di autenticazione forte (smartcard, certificati digitali dell operatore, etc.), La Porta di Accesso garantisce l origine della comunicazione e quindi la password può essere usata solo nell ambito dei sistemi comunali autorizzati al colloqui con la Porta di Accesso comunale. Per tale motivo la soluzione è ammissibile in quanto la Porta stessa risolve il problema, prima esistente, di un possibile uso della password al di fuori del contesto comunale. La responsabilità della gestione della password rimane di responsabilità del comune secondo le procedure definite nel Piano di sicurezza Comunale CIE richiesto dal DM del 2 Agosto Modalità sincrona/asincrona per comunicazione WSAPP XML-PCCSA Client La comunicazione tra il sistema comunale e modulo XML-SAIA Client, per sua natura: file con i dati da trasmettere e file di risposta su filesystem, prevede l impiego della modalità di comunicazione asincrona. In questo modo la componente del sistema comunale WSAPP deposita i dati in un posto preciso sul file system, punto da cui il traduttore XML- SAIA Client legge i dati e li invia alla Porta di accesso su protocollo SSL, mantenendo lo stato della comunicazione per la successiva richiesta di conferma asincrona da parte del WSAPP. 9/11

10 Figura 2 la modalità di interscambio dati via File System con XML-SAIA Client e Porta di Accesso ai Domini applicativi del CNSD L architettura prevista assicura inoltre la possibilità di impiego della soluzione presso i Comuni, senza costringere alla costituzione di infrastrutture complesse di rete, affitto di indirizzi IP pubblici,. Si tratta quindi di una soluzione relativamente semplice e economica. Come già detto la Porta di Accesso rappresenta il punto di separazione delle responsabilità e di presa in carico delle informazioni per l invio in sicurezza delle stesse al CNSD. La responsabilità di tutti i sistemi che trattano i dati anagrafici e la responsabilità dei dati stessi rimane in capo al comune fino a che la Porta di Accesso non li abbia presi in carico. 3.7 Sicurezza in rete locale La necessità di separare la postazione con funzioni di Porta di Accesso dalla rete Comunale creando apposite sottoreti tramite sistemi di sicurezza (firewall, ), dipende dall organizzazione dell ente comunale e dal grado di sicurezza delle reti comunali. Gli Enti potranno valutare la reale necessità di adottare misure di sicurezza aggiuntive di sicurezza (non proxy) e controllo. Viene lasciata quindi ai singoli Enti questa decisione, che maturerà anche dai risultati dell analisi dei rischi derivante dalla compilazione del Piano di Sicurezza CIE, previsto dal D.M. 2 Agosto Il comune è comunque tenuto a gestire in sicurezza tutti i sistemi comunali coinvolti nei flussi applicativi (server anagrafico, applicazione anagrafica, ). 10/11

11 3.8 Sicurezza fisica della Postazione Certificata ed individuazione del responsabile. Chiaramente il furto della postazione (che contiene anche il certificato SSL presente nelle quantità di sicurezza, attivazione e certificazione ) e/o il furto della Porta di accesso (che contiene il certificato SSL server e gli altri elementi di sicurezza forniti con quantità di sicurezza, attivazione e certificazione ) potrebbe mettere in serio pericolo il sistema di trasmissione dati in sicurezza. È per questo che nel D.M. 2 Agosto 2005, per la costituzione e l attuazione del Piano di Sicurezza CIE, sono previsti specifici responsabili, possibili minacce e trattamenti del rischi al fine di denunciare con tempestività alla Prefettura e al Ministero dell Interno, violazioni dei meccanismi di sicurezza. Queste contromisure di carattere organizzativo, unitamente al sistema di monitoraggio e vigilanza informatica del Ministero presente sulla Porta di accesso che, a seguito dell individuazione dell evento, consente di disabilitare la singola postazione comunale e/o la Porta di accesso stessa, costituiscono il meccanismo necessario per fronteggiare il furto della postazione e/o della Porta di Accesso. Il comune è comunque tenuto a gestire in sicurezza tutti i sistemi comunali coinvolti nei flussi applicativi (server anagrafico, applicazione anagrafica, ) con la definizione dei relativi responsabili. Controllo degli accessi per la Postazione di Lavoro Certificata Sulla base della procedura operativa di controllo degli accessi che il Comune e tenuto a compilare per la redazione del piano di sicurezza CIE, il comune deve chiarire nel proprio piano di sicurezza e, nel caso lo abbia gia inviato in prefettura deve inviare un aggiornamento al piano, in che modo controlla gli accessi e traccia i relativi nominativi del personale che accede alla postazione di lavoro certificata per le comunicazioni con il CNSD. Tali accorgimenti dovranno essere attuati anche per la Porta di accesso se la stessa è installata sulla postazione di lavoro già esistente e dedicata all applicativo anagaire su Backbone AIRE. Adempimenti Per Enti Locali La Circolare Ministeriale n.23 del 2005 ed il D.M. 2 Agosto 2005, forniscono indicazioni per tutto l iter di gestione necessario per: costituire le connessioni con il CNSD, popolare ed aggiornare il database INA, emettere ed utilizzare le CIE. 11/11