L'esigenza di sicurezza informatica

Transcript

1 ICT Security

2

3 ICT Security L'esigenza di sicurezza informatica Il laboratorio IMQ LPS è accreditato negli schemi nazionali per la valutazione e certificazione della sicurezza dei sistemi e prodotti ICT. IMQ è l'unico organismo di certificazione accreditato da Accredia, operante in Italia, ad aver raggiunto l'obiettivo di avere al suo interno un laboratorio accreditato per effettuare valutazioni formali della sicurezza di sistemi e prodotti IT negli schemi nazionali gestiti da DIS/UCSe e OCSI secondo gli standard internazionalmente risconosciuti. (DIS: Dipartimento Informazioni Sicurezza / OCSI: Organismo di Certificazione della Sicurezza Informatica - La sicurezza ha assunto un ruolo rilevante e spesso vitale in tutti i settori della società. Tutte le aziende che ricorrono a sistemi informatici per prestare o supportare i servizi verso la clientela o per gestire dati critici hanno esigenze di sicurezza, intesa come security, ed in particolare di: confidenzialità: per consentire solo a chi è autorizzato di accedere a specifici dati/servizi nel rispetto dei diritti che gli sono accordati; integrità: per impedire che i servizi/dati critici per l'azienda siano compromessi/alterati senza autorizzazione e che ciò non sia facilmente rilevabile; disponibilità: per garantire, quando necessario, l'accesso a dati/servizi da parte di chi è autorizzato nel rispetto di tempi e modi prefissati. Per soddisfare i requisiti di sicurezza vengono normalmente adottate misure di natura fisica e procedurale oltre a quelle relative alla gestione del personale. In continuo aumento sono, tuttavia, la tendenza e la necessità di impiegare la sicurezza tecnica realizzata con meccanismi hardware, firmware e software, ossia quel tipo di sicurezza che viene principalmente considerato quando si parla di sicurezza informatica di sistemi e prodotti IT. Questo crescente interesse per le problematiche di sicurezza IT è testimoniato inoltre da un intensificarsi, negli ultimi anni, di atti legislativi. A titolo di esempio si ricorda la legge sulla criminalità informatica n. 547/93, la pubblicazione di Regole Tecniche per la firma digitale e la posta elettronica certificata sul documento elettronico da parte del CNIPA (ex AIPA) e del Decreto Legislativo n. 196: Codice di Protezione dei Dati Personali. Sempre più urgente è dunque la necessità di avere garanzie che un sistema o prodotto IT soddisfi i suoi obiettivi di sicurezza, ovvero una stima della fiducia che può essere riposta nelle misure di sicurezza adottate. Per soddisfare le necessità di imparzialità, oggettività, ripetibilità e riproducibilità, tali garanzie devono essere frutto di osservazione con metodo e valutazione in base a criteri formali internazionalmente riconosciuti validi, come, ad esempio, i criteri ITSEC e i Common Criteria.

4 ICT Security Il Laboratorio Prove di Sicurezza informatica (LPS) di IMQ Il laboratorio di Informatica IMQ è nato nel 1987 con la missione di fornire servizi di prove di Terza Parte e di certificazione di prodotti e sistemi informatici. Nel corso degli anni si è successivamente specializzato anche nel campo della sicurezza informatica divenendo all'interno di IMQ il Laboratorio Prove di Sicurezza (LPS). Parallelamente all'attività di valutazione della sicurezza il personale di IMQ/LPS, facente parte dell'area Security ICT svolge attività di (tra parentesi sono riportate alcune referenze): risk assessment (Infocamere); assessment della sicurezza di sistemi IT per la gestione di informazioni critiche (Vodafone); audit di sicurezza intesi come verifica del rispetto di determinati requisiti espressi dal Cliente (PAthNet). Da segnalare in questo ambito le attività di verifica svolte per attestare la rispondenza di sistemi di Disaster Recovery a requisiti derivati da Business Impact Analisys del Cliente (CIM Italia e SECE- TI); verifiche di conformità a specifiche norme di settore, come ad esempio le norme CEI 79-5/1 e CEI 79-5/2 che definiscono il protocollo di comunicazione per il trasferimento di informazioni di sicurezza (allarmi), rispetto alle quali è stata valutata la conformità del sistema di concentrazione degli allarmi di Banca d'italia. IMQ/LPS ha inoltre svolto attività di divulgazione ed approfondimento dei criteri di valutazione della sicurezza, prevalentemente indirizzate ai fornitori o a società di consulenza interessati a progettare prodotti e sistemi valutabili con i criteri ITSEC/Common Criteria o sistemi di gestione per la sicurezza delle informazioni secondo la ISO/IEC Tra gli altri, sono stati erogati interventi al personale di: Istituto Superiore per le Comunicazioni e la Tecnologia dell'informazione, EIS, C&A, Stato Maggiore Esercito, BNL Multiservizi, FST, IPM, Incard, Eutron, Arthur Andersen MBA, Intesis, Alenia Marconi Systems, Elsag, Getronics, TIM, Garante per la protezione dei dati personali.

5 I settori di interesse Settore difesa Il comparto della Difesa ha la necessità di garantire l'attendibilità dei sistemi di massima sicurezza e la riservatezza dei dati trattati. Per questo motivo il comparto della Difesa risulta fortemente interessato all'applicazione dei criteri di valutazione ITSEC e alla Valutazione di sicurezza di Sistemi e Prodotti. Settore industria Tutte le organizzazioni industriali gestiscono una quantità di informazioni sensibili di varia natura (progettuale, organizzativa, etc), che devono essere protette. L'obiettivo di ogni Azienda è, pertanto, assicurarsi che: alle informazioni abbia sempre l'accesso garantito solo il personale abilitato a gestirle; il sistema nello stesso tempo controlli e tenga traccia di chi accede alle procedure ed alle informazioni e di come costoro gestiscono i dati riservati e che le informazioni non possano essere modificate da chi non è autorizzato. Settore finanziario Tutto il settore della finanza impiega o dovrebbe impiegare sistemi di sicurezza nella gestione delle proprie attività. Molti incidenti che avvengono nelle banche o in organizzazioni ad esse collegate richiedono competenze specifiche di persone tecnicamente preparate. Questo suggerisce che è particolarmente importante per queste organizzazioni proteggere le proprie reti e sistemi da un vasto numero di attacchi. Attraverso prodotti/sistemi certificati è così possibile offrire maggiori garanzie di sicurezza a tutti i Clienti e utenti. Settore sanità Le aziende ospedaliere gestiscono informazioni riservate sulle condizioni di salute dei pazienti e sulle loro patologie. Tutti gli operatori sanitari sono tenuti a rispettare la riservatezza, l'integrità e la disponibilità dei dati dei pazienti. A queste informazioni deve avere accesso solo il personale abilitato a conoscere tali dati. Settore pubblica amministrazione La Pubblica Amministrazione ha necessità di garantire la sicurezza dei dati trattati elettronicamente (ma non solo). Deve pertanto garantire l'applicazione della legge sulla privacy, l'adeguamento alla normativa relativa alla firma digitale e della carta di identità elettronica. E' dunque importante adottare Sistemi/Prodotti Valutati o utilizzare un Profilo di Protezione per formalizzare i requisiti di sicurezza di sistemi/prodotti IT da utilizzare e/o dotarsi di un Sistema di Gestione per la Sicurezza delle Informazioni conforme allo standard ISO/IEC

6 ICT Security Panorama normativo e legislativo per la sicurezza delle informazioni La legislazione italiana, che disciplina il trattamento dei dati personali, l'individuazione delle misure minime di sicurezza, il diritto d'autore, la tutela giuridica dei programmi per elaboratore, la firma digitale e l'utilizzo della posta elettronica certificata è riassunta nei seguenti principali atti: decreto legislativo 23 febbraio 2002, n. 10 Decreto del Presidente della Repubblica 11/2/2005, n. 68 (G.U. n. 97 del 28/4/2005) Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, norma dell'articolo 27 della legge 16 gennaio 2003, n. 3. Decreto del Presidente del Consiglio dei Ministri 2 novembre 2005 (G.U. n 266 del 15/11/2005) Regole Tecniche per la formazione, la trasmissione e la validazione anche temporale della posta elettronica certificata. Legge n. 48 del 18 marzo 2008 (GU n. 80 del 4 /05/ s.o. n. 79) Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell ordinamento interno. D.P.C.M. 30 marzo Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici. Pubblicato nella Gazz. Uff. 6 giugno 2009, n Legge 28 Gennaio 2009, n. 2 (G.U. 28 Gennaio 2009, n. 22, supplemento ordinario 14/L) Decreto del Presidente del Consiglio dei ministri del 6 maggio Disposizioni in materia di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini. Decreto Legislativo n. 518 del 29/12/1992 che modifica il Regio Decreto n. 633 del 1941, relativo al diritto d'autore, integrandolo con norme relative alla tutela giuridica dei programmi per elaboratore. Legge n. 547 del 23/12/1993 che modifica il Codice Penale italiano introducendo il tema di criminalità informatica (cosiddetti computer crimes ). D.Lgs. n. 82 del 7/3/2005 (G.U. n. 112 del 16/5/ s.o. n. 93) Codice dell Amministrazione Digitale. D.Lgs. n. 10 del 23/1/2002 (G.U. n. 39 del 15/2/2002) Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche. Decreto del Presidente della Repubblica n. 137 del 7/4/2003 (G.U. n. 138 del 17/6/2003) Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'articolo 13 del decreto legislativo 23 gennaio 2002, n. 10. Decreto legislativo n. 196 del 30/6/2003 (Codice in materia di protezione dei dati personali). Decreto del Presidente del Consiglio dei Ministri 30 ottobre Approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell informazione, ai sensi dell art. 10, comma 1, del Ricordiamo inoltre la normativa CEE in materia di sicurezza Direttiva 97/66/CE del 15/12/1997 sul trattamento dei Dati Personali e sulla tutela della vita privata nel settore delle Telecomunicazioni. Direttiva 96/9/CE del 11/03/1996 relativa alla "Tutela giuridica delle banche di dati". Direttiva 95/46/CE del 24/10/1995 relativa alla "Tutela delle persone fisiche con riguardo al trattamento dei Dati Personali, nonché alla libera circolazione di tali Dati. Standard di riferimento per certificazioni volontarie ISO/IEC (ex BS Parte 2) Information Technology - Security Techniques - Information Security Management Systems - Requirements. ISO/IEC (Common Criteria) Information Technology- - Security Techniques - Evaluation Criteria for IT Security. BS Specification for business continuity management ISO/IEC Service Management - Specification

7

8 CHI È IMQ Il Gruppo IMQ rappresenta la più importante realtà italiana nel settore della valutazione della conformità (certificazione, prove, verifiche, ispezioni). Forte della sinergia tra le società che lo compongono, dell'autorevolezza acquisita in oltre 50 anni di esperienza, della completezza dei servizi offerti, il Gruppo IMQ si pone infatti come punto di riferimento e partner delle aziende che hanno come obiettivo la sicurezza e la qualità. I settori di riferimento sono molteplici spaziando dall'elettrotecnica all'elettronica, dalle telecomunicazioni all'automotive, dal gas all'impiantistica, dai prodotti da costruzione all'agroalimentare e così via. Per ogni categoria merceologica, il Gruppo IMQ è in grado di offrire, a seconda dei casi, servizi di tipo orizzontale o mirato: certificazione di prodotto, certificazione secondo le direttive CE, certificazione di sistemi di gestione aziendale, verifiche su impianti ed immobili, prove di laboratorio e per l'ottenimento di omologazioni internazionali, supporto all'esportazione, sorveglianza di produzioni all'estero, assistenza tecnico-normativa e formazione. La completezza dei servizi erogati è assicurata grazie alla competenza maturata in molteplici aree merceologiche dalle società del Gruppo IMQ che è composto da: IMQ S.p.A. - CSI S.p.A. - IMQ Primacontrol S.r.l. - IMQ Clima S.p.A. - ICILA S.r.l. - Elcolab S.r.l. - IMQ Iberica S.L. - IMQ Kraków R.O. (Ufficio di rappresentanza in Polonia) - IMQ Certification Shanghai Co. Ltd. Il Gruppo IMQ vanta inoltre una partecipazione nell'istituto Giordano S.p.A., in CISQCERT S.p.A. e in Icube S.A. (Argentina). Mod. 476/5 2010/ Med. Per ulteriori informazioni fsitse@imq.it - tel: fax: Segreteria commerciale: tel fax: Italia - Milano - Sede principale Via Quintiliano 43, Milano Tel Fax info@imq.it - Polonia- Kraków IMQ Krakow Rep. Office - ul. Kraszewskiego Kraków Spagna - Madrid IMQ Iberica - c/diego de Léon, 69-5a plta Madrid Cina - Shanghai IMQ Certification Shanghai Co. Ltd.. Office Room 6a, Zhao Feng World Trade Building - 369, Jiangsu Road Shanghai Argentina - Buenos Aires Icube - Av. Belgrano 500 (1092AAR) - Buenos Aires MILANO - ROMA - BARCELLONA - MADRID - KRAKÓW - SHANGHAI - BUENOS AIRES