Sicurezza dei dati: requisiti e gestione

Transcript

1 Sicurezza dei dati: requisiti e gestine Rma, 19 ttbre 2011 GdL Clienti Finali 0

2 Obiettivi e Requisiti di Sicurezza del SII Il SII deve garantire : Riservatezza / Cnfidenzialità Integrità Dispnibilità L infrmazine deve essere accessibile sl a chi è autrizzat, difesa da manmissini e mdifiche, dispnibile quand richiest... nel rispett dei criteri di sicurezza specificati nell Allegat A della delibera AEEG del 17 nvembre 2010 ARG/cm 201/10 Requisiti: Identificazine e Autenticazine delle entità Autrizzazine delle entità Manteniment dell Integrità dei dati Assicurazine della Riservatezza / Cnfidenzialità dei dati Nn Ripudi a livell di richiesta e di rispsta Tracciatura/Certificazine e Registrazine degli eventi Rma, 19 ttbre 2011 GdL Clienti Finali 1

3 Mdell della Sicurezza del SII La plitica di sicurezza del SII si basa su una chiara separazine delle respnsabilità dei singli Attri e del Gestre del SII: Respnsabilità dei singli Attri: gestisce le misure rganizzative, tecniche e prcedurali nel rispett della Plitica di Sicurezza del SII, cn particlare riguard alla gestine delle PdC e alle interfacce vers i sistemi infrmatici interni. In particlare, assicura i livelli minimi di sicurezza stabiliti dal Gestre SII all intern del prpri dmini ed eventualmente adtta cntrmisure aggiuntive. Ciascun Attre è respnsabile della crrettezza e veridicità dei dati frniti. Respnsabilità del Gestre: stabilisce e pubblica le misure minime di sicurezza che gni Attre del SII deve applicare e verifica gli esiti degli audit di sicurezza sui prpri sistemi e sulle PdC degli altri Attri; gestisce i servizi di sicurezza infrastrutturali di prpria cmpetenza. Aspetti Tecnlgici Aspetti Organizzativi e di Gestine Rma, 19 ttbre 2011 GdL Clienti Finali 2

4 Requisiti di Sicurezza: Identificazine e Autenticazine L ergazine e la fruizine di un servizi applicativ richiede che sian effettuate perazini di identificazine univca e autenticazine delle entità: utentie e cmpnenti sftware. Credenziali per gli utenti: UserID e Passwrd. Smart Card nminative cntenenti certificati digitali e PIN. Credenziali per i cmpnenti sftware: URI e certificati digitali (firma digitale). Servizi di Sicurezza Servizi PKI Prtale Web SII IdentificazineA utenticazine Autrizzazine PdC Web SSL TLS Attre Web Attre A2A PdC PdC Gestre Gestine Messaggi Firma e cifratura Verifica e Autrizzazini Messaggi PdC Internet Rma, 19 ttbre 2011 GdL Clienti Finali 3

5 Requisiti di Sicurezza: Autrizzazine L autrizzazine delle entità (utenti ed applicazini) alla fruizine dei servizi applicativi deve seguire le regle stabilite per ciascun prcess applicativ del SII, specificate e pubblicate dal Gestre del SII nel Catalg dei Prcessi e dei Servizi. I prfili di autrizzazine di ciascun fruitre sn registrati dal Gestre del SII nel Catalg dei Prfili di access al mment della qualificazine del sggett alla fruizine dei servizi di un specific prcess applicativ. Servizi infrastrutturali per la gestine dei prcessi Servizi di Catalg Catalg dei Prcessi e dei Servizi Catalg dei Prfili di access Servizi di Sicurezza Servizi PKI PdC Gestre Gestine Messaggi Firma e cifratura Verifica e Autrizzazini Prtale Web SII Identificazine Autenticazine Autrizzazine PdC Web Messaggi PdC SSL TLS Attre Web Attre A2A PdC Internet Rma, 19 ttbre 2011 GdL Clienti Finali 4

6 Requisiti di Sicurezza: Manteniment dell Integrità dei dati Il cntrll dell integrità si applica in md sistematic ai messaggi scambiati attravers il SII ed al lr cntenut mediante firma digitale e SSL\TLS. Il cntrll dell integrità può essere altresì effettuata sui messaggi archiviati dal Sistema di Certificazine e Archiviazine, attravers la verifica della cnsistenza delle tracce dei messaggi memrizzati. Il cntrll dell'integrità si ptrà applicare anche ai dati cntenuti nel Registr Ufficiale secnd mdalità che sarann Attre Web stabilite dal Gestre del SII. Prtale Web SII Servizi infrastrutturali per la gestine dei prcessi Archiviazine e Certificazine Flussi Archiviazine MessaggiPdC Certificazine dei flussi Bilanciament messaggi scambiati Archivi MessaggiPdC Servizi di Sicurezza Servizi PKI PdC Gestre Gestine Messaggi Firma e cifratura Verifica e Autrizzazini Identificazine Autenticazine Autrizzazine PdC Web Messaggi PdC SSL TLS Attre A2A PdC Internet Rma, 19 ttbre 2011 GdL Clienti Finali 5

7 Requisiti di Sicurezza: Assicurazine della Riservatezza Cnfidenzialità dei dati Il Gestre, secnd gli indirizzi di AEEG, prvvede alla classificazine delle infrmazini e dei dati cntenuti nei messaggi scambiati, nel Registr ufficiale e negli altri archivi del SII: dat pubblic, dat intern, dat persnale, dat sensibile, dat sggett al segret d uffici. Per i dati sensibili e quelli sggetti al segret d uffici sarà garantita la riservatezza sia durante l archiviazine sia in fase di scambi dei messaggi. In particlare, durante l scambi dei messaggi Attre Web la cnfidenzialità sarà garantita a livell Prtale Web SII di messaggi di cnnessine. Servizi di Sicurezza Servizi PKI Identificazine Autenticazine Autrizzazine PdC Web SSL TLS Attre A2A PdC PdC Gestre Gestine Messaggi Firma e Cifratura Verifica e Autrizzazini Messaggi PdC Internet Rma, 19 ttbre 2011 GdL Clienti Finali 6

8 Requisiti di Sicurezza: Nn Ripudi a livell di richiesta e di rispsta Ogni messaggi scambiat nell ambit del SII deve cntenere la prva che è stat emess da una determinata entità, in un determinat cntest spazi/temprale di esecuzine. Il nn ripudi del messaggi è assicurat a diversi livelli, attravers la firma digitale de: l intestazine del messaggi; Attre il messaggi applicativ; Web Prtale Web SII gli allegati. Servizi di Sicurezza Servizi PKI Identificazine Autenticazine Autrizzazine PdC Web SSL TLS Attre A2A PdC PdC Gestre Gestine Messaggi Firma e cifratura Verifica e Autrizzazini Messaggi PdC Internet Rma, 19 ttbre 2011 GdL Clienti Finali 7

9 Requisiti di Sicurezza: Tracciatura Certificazine e Registrazine degli eventi Obiettiv: Assicurare di pter sempre risalire alle perazini effettuate, a chi le ha effettuate, dve e quand. In particlare: I requisiti di Tracciatura / Certificazine cnsentn di memrizzare e verificare i dati relativi alle perazini che sn state effettuate sulle PdC del Gestre e di tutti gli Attri. Verifica della firma digitale dei messaggi e della validità frmale degli stessi. Verifica dell autrizzazine alla perazine richiesta. Archiviazine delle tracce dei messaggi sulle PdC degli Attri. Archiviazine i i dei messaggi PdC da parte del Gestre. Verifica peridica della crrispndenza di tutti i messaggi scambiati tra le PdC. Firma dell elenc girnalier dei messaggi PdC. I requisiti di Registrazine degli eventi cnsentn di memrizzare tutti i lg rilevanti in termini di sicurezza. Sistema di mnitraggi centralizzat che raccglie, verifica, crrela e analizza le ntifiche e gli allarmi di sicurezza generati internamente al Gestre prvenienti dalle PdC dei singli Attri. Il Gestre deve assicurare la cnservazine dei dati racclti (messaggi PdC e lg) per almen 5 anni. Rma, 19 ttbre 2011 GdL Clienti Finali 8

10 Sicurezza infrastrutturale: Sicurezza Perimetrale e di Sistema Sicurezza Perimetrale: Firewall Filtraggi del traffic di rete a livell applicativ (Gateway XML) secnd un insieme di regle definite, aggirnabili e verificabili stt la respnsabilità del Gestre SII. Appliance installati e cnfigurati in Alta Dispnibilità. Netwrk IDS Rilevazine H24 dei tentativi di intrusine diretti vers le PdC all scp di ttenere l access di acquisire il cntrll del Centr Servizi del SII. Sensri installati e cnfigurati in Alta Dispnibilità. Sicurezza di Sistema: Hst IDS Antivirus Rilevazine H24 dei tentativi di intrusine che miran a cmprmettere l'integrità dei dati e dei file di sistema memrizzati sui server di frntiera. Eliminazine di virus infrmatici eventualmente presenti nei messaggi e nei lr allegati. Rma, 19 ttbre 2011 GdL Clienti Finali 9

11 Gestine della Sicurezza: Qualificazine delle PdC Obiettiv: Assicurare la cnfrmità delle Prte di Cmunicazine rispett ai requisiti funzinali, prestazinali e di sicurezza del SII. La Qualificazine delle PdC cstituisce il requisit necessari per l inseriment dell Attre e della sua PdC nel SII. La richiesta di qualificazine di una PdC, presentata da un Attre, è realizzata a partire da un Kit di installazine della PdC frnit dal Gestre del SII e deve cntenere: la dichiarazine di cnfrmità ai requisiti SII; le specifiche di realizzazine della PdC, cntenente la descrizine tecnica di cme viene implementata e gestita la PdC, inclusi gli aspetti di sicurezza; i risultati dei test, cntenente la descrizine dei test effettuati dal Sggett richiedente sulla base di un kit di test t frnit dal Gestre e l evidenza dei risultati ti ttenuti ti nei test t cndtti da persnale espert mess a dispsizine dal gestre del SII. La dcumentazine dvrà essere predispsta secnd le linee guida stabilite dal Gestre del SII, che ha la respnsabilità di verificarne la crrettezza e cmpletezza, e prvvedere alla qualificazine della PdC. Rma, 19 ttbre 2011 GdL Clienti Finali 10

12 Gestine della Sicurezza: Qualificazine dei Servizi Applicativi Obiettiv: Assicurare la crrettezza semantica e sintattica dei messaggi e delle cnversazini previste. La Qualificazine dei Servizi Applicativi cstituisce il requisit necessari per l scambi dei messaggi tra gli Attri ed il Gestre del SII. Il Gestre del SII prvvede alla definizine delle specifiche del prcess applicativ ed alla lr pubblicazine attravers il Catalg dei Prcessi e dei Servizi. E cmpit di ciascun Attre implementare i servizi applicativi da esprre sulla prpria PdC i client per accedere a tali servizi, in cnfrmità alle specifiche del Catalg. Successivamente all implementazine, per pter richiedere la qualificazine, sia i fruitri che gli ergatri di servizi devn prcedere ai test di verifica di quant realizzat. In particlare: l ergatre / fruitre presenta la dichiarazine di cnfrmità e la dcumentazine che attesta il superament dei test previsti (secnd le linee guida stabilite dal Gestre); il Gestre del SII, che ha la respnsabilità di verificare la crrettezza frmale e sstanziale della dcumentazine presentata dall Attre, prvvedend alla qualificazine del Servizi applicativ all abilitazine all utilizz del Servizi. Rma, 19 ttbre 2011 GdL Clienti Finali 11

13 Gestine della Sicurezza: Security Assessment Security Assessment: Obiettiv: misurare il livell ll di sicurezza raggiunt verificand gli aspetti architetturali, lgici e fisici che pssn cmprmettere la sicurezza del SII e individuand le pssibili cntrmisure. Vulnerability Assessment: scansine dei sistemi fisici, alla ricerca di cnfigurazini del sftware di base e applicativ ritenute nn sicure e vulnerabili ad attacchi. Penetratin Testing: valutazine della resistenza dei sistemi del SII a determinati attacchi infrmatici simulati. Verifica delle cndizini di qualificazine: cntrlli eseguiti a seguit dell accertament di anmalie, del mancat rispett dei livelli minimi garantiti su un più servizi, di incidenti infrmatici, al fine di verificare il rispett dei requisiti minimi richiesti agli Attri nell ambit del prpri dmini. Rma, 19 ttbre 2011 GdL Clienti Finali 12

14 Gestine della Sicurezza: Auditing Auditing: Analisi i dei messaggi diagnstici i e degli Alert generati dal sistema di mnitraggi degli eventi di sicurezza. Gestine degli incidenti di sicurezza che causan rallentamenti e difficltà alla nrmale peratività: ità identificazine i del prblema, classificazine i della criticità e rimzine della causa nel minre temp pssibile (ripristin). Ricstruzine e verifica delle perazini svlte da un prcess per la messa a punt dei sistemi, per il recuper di infrmazini sulla mancata effettuazine delle transazini (cntrll e gestine degli errri), e per la risluzine di eventuali cntenzisi. Rma, 19 ttbre 2011 GdL Clienti Finali 13

15 Gestine della Sicurezza: Gestine perativa Gestine perativa: Gestine degli aggirnamenti: patch management evlutiv e crrettiv. Hardening dei sistemi. Gestine dei prfili e dei criteri di access. Gestine rdinaria dei dispsitivi di sicurezza. PKI (emissine, sspensine, revca, rinnv dei certificati digitali X509 v3). Supprt tecnic per l installazine installazine, i test e la qualificazine della PdC. Cllabrazine nel prcess frmativ sulla sicurezza e sulla cnsapevlezza dei rischi tramite seminari ed incntri peridici cn gli Attri. Rma, 19 ttbre 2011 GdL Clienti Finali 14