Certificazione della sicurezza di prodotti/sistemi ICT

Transcript

1 EnterpriseCommunication, Automation& Smart grid, Defence& Cyber security Certificazione della sicurezza di prodotti/sistemi ICT Giacinta Santo, Luglio 2013

2 Indice Protezione dell Informazione e Sicurezza ICT Certificazione della sicurezza Laboratori di valutazione Laboratori di valutazione Selta Schema Nazionale Italiano per la certificazione Processo di certificazione e processo di valutazione Livello di garanzia e di classifica Ambiti esterni alla valutazione Common Criteria ed ITSEC Tempi e costi di valutazione Possibili oggetti di valutazione Accordi di mutuo riconoscimento Vision statement 2012 e prospettive d uso Argomenti di approfondimento

3 Protezione dell Informazione Asset Obiettivi di sicurezza (C, I, D)* Analisi dei processi, delle policy e dell ambiente operativo Minacce Risk Analysis Contromisure tecniche e non tecniche alle minacce Approccio olistico alla sicurezza *Confidenzialità, Integrità, Disponibilità

4 Sicurezza ICT Requisiti funzionali di un prodotto/sistema ICT Requisiti di sicurezza La progettazione deve considerare le esigenze di sicurezza ed individuarne i requisiti fin dall inizio

5 Sicurezza ICT Requisiti Implementazione dell Oggetto Messa in esercizio

6 Certificazione della sicurezza Standard di valutazione di sistemi/prodotti ICT COMMON CRITERIA/ITSEC Applicati da Laboratori Indipendenti LVS e CE.VA. Supervisionati dall Ente/Organismo di Certificazione MSE-OCSI 1 e PCM-DIS 2 Secondo regole di processo dettate dallo Schema Nazionale DPCM 30/10/2003 e DPCM 11/4/ Ministero Sviluppo Economico - Organismo di Certificazione della Sicurezza Informatica 2 Presidenza del Consiglio dei Ministri - Dipartimento Informazioni per la Sicurezza

7 Laboratori di valutazione SELTA CE.VA. accreditato dal 1995 LVS accreditato dal 2006

8 Laboratori di valutazione SELTA Sistemi di Comando e Controllo Prodotti di Message switching Prodotto sw per la gestione di dati sanitari Sistema di registrazione audio di comunicazioni radio Prodotto di Radiolocalizzazione e messaggistica breve

9 Laboratori di valutazione SELTA Sistemi di Comando e Controllo Corsi di formazione per Valutatori e per Fornitori Prodotti di Message switching SAR Satellite per programma dual use Consulenza per individuare requisiti di sicurezza Prodotti di Communication Dispatching

10 Laboratori di valutazione SELTA Analisi di Impatto Prodotto per il controllo accessi fisico Documentazione di Sistemi Documentazione di Prodotti Sistemi di Telecomunicazioni

11 Customer base Laboratori SELTA

12 Requisiti dei Laboratori di Valutazione Princìpi operativi Ripetibilità Riproducibilità Oggettività Indipendenza Personale Qualità ITSEC/ITSEM COMMON CRITERIA (ISO 15408)/CEM Schema Nazionale e relative Linee Guida Normative applicabili (es. DL124/2007 e direttive) Clearance Sistema di Gestione della Qualità ISO (per test e laboratori di prova) Accreditamento Laboratorio e Centro EAD accreditato Centro EAD omologato da EC Organizzazione di Sicurezza

13 Schema Nazionale di certificazione Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti ICT DPCM 11 aprile 2002 per sistemi e prodotti che trattano dati classificati DPCM 30 ottobre 2003 Indica: ruoli/organismi coinvolti procedure del processo di valutazione e certificazione tempi di risposta dell Ente di certificazione

14 Schema Nazionale di certificazione RUOLI Committente determina i requisiti di sicurezza del TOE Fornitore Sviluppatore fornisce il TOE e lo fa certificare realizza il TOE secondo specifiche e requisiti Valutatore valuta il TOE Certificatore sovraintende al processo e certifica il TOE TOE = Target Of Evaluation

15 Valutazione Determina la confidenza che il Target Of Evaluation (TOE), nell ambiente operativo e con le contromisure tecniche e non tecniche indicate, riesca a risolvere il Problema di Sicurezza descritto nel Security Target Analisi di evidenze documentali Test sul TOE a fronte di criteri per funzionalità di sicurezza garanzia di sicurezza Livello di valutazione (EALx, Ex) esprime il grado di dettaglio descrittivo delle evidenze (FO) e di approfondimento dell analisi effettuata (CV)

16 Processo di certificazione

17 Processo di certificazione 1 - Requisiti 5 - Iscrizione TOE Riunione Avvio Lavori 7 - Rapporto di Certificazione Riunione Fine Lavori 8 - Certificato 2 - Piano di Implementazione dei Requisiti 6 - Valutazione 3 - Security Target Evidenze 4 - Piano di Valutazione Security Target

18 Processo di valutazione 5 - Riunione di Controllo Valutazione 4-RROA 3-ROA 1 - Evidenza documentale 6 - Rapporto di Fine Valutazione 2 - Sotto-attività

19 Processo di valutazione FO Security Target CV PDV EC PDV OK sì no CV CV Sotto-attività CC ASE,ADV,ALC,AGD, ATE,AVA RFV Sotto-attività ITSEC Correttezza Efficacia EC RFV OK no EC EC sì Rapporto di certificazione Verdetto RFV OK sì Certificato

20 Sotto-attività di valutazione FO Evidenza di valutazione CV Verifica secondo CC part 3 e CEM Requisiti OK no sì Verdetto positivo Errore sì Preparazione ROE CV no Preparazione ROA Verdetto negativo FO Preparazione correzioni e RROA

21 Livello di garanzia e classifica Livello di valutazione (EALx, Ex) ITSEC da E1 a E6, Common Criteria da EAL1 a EAL7 Indica il grado di confidenza che le funzionalità di sicurezza del TOE, nell ambiente operativo previsto, soddisfano i requisiti di sicurezza del ST. Il livello di valutazione per TOE che trattano dati classificati è indipendente dal livello di classifica dei dati è dipendente dal risultato dell analisi del rischio (TI-002) Nei Common Criteria il livello è collegato al minimo potenziale di attacco che il TOE deve poter fronteggiare TOE = Target Of Evaluation

22 Ambiti esterni alla valutazione La rispondenza del Problema di Sicurezza alle reali esigenze di sicurezza del Committente non èoggetto del processo di valutazione E compito del Committenteprodurre e verificare la rispondenza della documentazione dei Requisiti di Sicurezza del TOE alle esigenze operative di sicurezza

23 Ambiti esterni alla valutazione Committente (DPCM 11/4/2002) riceve in input ST e Rapporto di Certificazione produce e rende operative SecOPs Security Operational Procedures

24 Common Criteria Standard ISO/IEC Part 1: presentazione, terminologia ed introduzione del sistema di rappresentazione e relativa gerarchia Part 2: definizione delle classi, famiglie e componenti dei requisiti funzionali di sicurezza Part 3: definizione delle classi, famiglie e componenti dei requisiti di garanzia di sicurezza CEM: metodologia di uso dei criteri con spiegazione operativa dei requisiti nella parte 3

25 Common Criteria Standard ISO/IEC Package di garanzia da EAL1 a EAL7 Possibile approfondire alcune azioni di valutazione del package EAL con augmentation(ealx+). Es: EAL3+ AVA_VAN.3 vulnerability assessment Dichiarato nel ST il potenziale di attacco dell attaccante che il TOE dev essere in grado di fronteggiare (AVA_VAN.x) Il potenziale di attacco è funzione di tempo, strumentazione, expertise, conoscenza del TOE, disponibilità di accesso al TOE, motivazione

26 Potenziale di attacco CALCOLO PER IL ST Individuare tutti gli scenari di attacco diretto (attaccanti e metodi) che nondevono violare i SFR Per ogni scenario di attacco con successo, individuare il potenziale di attacco come somma dei fattori applicabili nella tabella precedente Scegliere il più alto dei valori di potenziale di attacco Resistenza del TOE >= al massimop attacco per i singoli scenari di attacco Indicare in ST il componente AVA_VAN corrispondente all indice di resistenza del TOE SFR=Security Functional Requirements

27 Potenziale di attacco

28 Common Criteria I Security Functional Requirements (CC part 2) descrivono come il TOE risolve il problema di sicurezza senza dettagli tecnici spinti. FAU: Security audit FCO: Communication FCS: Cryptographic support FDP: User data protection FIA: Identification and authentication FMT: Security management FPR: Privacy FPT: Protection of the TSF FRU: Resource utilization FTA: TOE access FTP: Trusted path/channels FAU_GEN.1.1 The TSF shall be able to generate an audit record of the following auditable events: a) Start-up and shutdown of the audit functions; b) All auditable events for the [minimum] level of audit; and c) [no other specifically defined auditable events].

29 Common Criteria I Security Assurance Requirements (CC part 3) descrivono come determinare la garanzia che il TOE risolva il problema di sicurezza descritto nel ST. ADV: Development AGD: Guidance documentation ALC: Life-cycle support ASE: Security Target evaluation ATE: Tests AVA: Vulnerability assessment APE: Protection Profile Evaluation ACO: Composition ADV_TDS.1.1E The evaluator shall confirm that the information provided meets all requirements for content and presentation of evidence. ADV_TDS.2.2D The developer shall provide a mapping from the TSFI of the functional specification to the lowest level of decomposition available in the TOE design. ADV_TDS.2.1C The design shall describe the structure of the TOE in terms of subsystems.

30 Common Criteria

31 EAL1 - functionally tested EAL2 - structurally tested Common Criteria Evaluation Assurance Level e Potenziale d attacco EAL3 - methodically tested and checked basso moderato EAL4 - methodically designed, tested, and reviewed EAL5 - semiformally designed and tested EAL6 - semiformally verified design and tested EAL7 - formally verified design and tested bassomoderato moderatoalto alto alto, rischio elevato alto, rischio molto elevato

32 Common Criteria Come utilizzare lo standard ISO/IEC Common Criteria part 1: da studiare per impostare bene il Security Target Utile guida per modellare il TOE Common Criteria part 2: da utilizzare nella definizione del Security Target. Utile guida per progettisti di TSF Common Criteria part 3 e CEM: da utilizzare in fase di valutazione e di preparazione della documentazione di valutazione Utile guida per valutatori, fornitori e sviluppatori TOE = Target Of Evaluation TSF = TOE Security Functionalities

33 Common Criteria Parti del TOE

34 ITSEC Information Technology Security Evaluation Criteria Criteri europei (F, D, NL, UK) non più aggiornati Accompagnati dal manuale di metodologia ITSEM e dalle JIL Valutazione della correttezza e dell efficaciadelle Security Enforcing Functions Determinazione della robustezza dei meccanismi critici Evidenze di valutazione con descrizione informale (E1,E2,E3) semiformale (E4,E5) formale (E6) della TSF.

35 ITSEC Sotto-attività I. VERIFICA DEI REQUISITI III. VERIFICA DEL PROGETTO ARCHITETTURALE IV. VERIFICA DEL PROGETTO DI DETTAGLIO V. VERIFICA DELL'IMPLEMENTAZIONE VI. VERIFICA DELL'AMBIENTE DI SVILUPPO VII. VERIFICA DELLA DOCUMENTAZIONE D ESERCIZIO VIII. VERIFICA DELL'AMBIENTE OPERATIVO IX. VERIFICA DELL'ANALISI DI IDONEITÀ X. VERIFICA DELL ANALISI DI INTEGRAZIONE XI. ESAME DELLA ROBUSTEZZA DEI MECCANISMI XII. VALUTAZIONE DELLE VULNERABILITÀ NELLA COSTRUZIONE XIII. VALUTAZIONE DELLA TRANQUILLITÀ D'USO XIV. VALUTAZIONE DELLE VULNERABILITÀ DI ESERCIZIO XV. TEST DI PENETRAZIONE

36 Valutazione Stima di tempi e costi varia in funzione dell ODV. Impegno parametrico, dipendente da: requisiti e funzionalità di sicurezza, interfacce delle funzionalità di sicurezza, numero profili utente, livello di valutazione ed augmentation, potenziale di attacco, scelte del Fornitore nella progettazione e nello sviluppo, esperienza del Fornitore e del team di valutazione Listino dei servizi impossibile

37 Valutazione Report U.S. Government Accountability Office, Marzo 2006 Valori di riferimento validi nel mercato USA.

38 Possibili TOE Cosa si può valutare e certificare Protection Profile delinea un Problema di Sicurezza, per tipologia di prodotto o per tematica, e i tipi di requisiti funzionali di sicurezza atti a soddisfarlo TOE hw, sw, fw con funzionalità di sicurezza proprietarie (EAL1,.., EAL7) TOE senza funzionalità di sicurezza proprietarie (EAL1) con funzionalità di sicurezza mutuate da COTS certificati Sito (ALC) per siti di produzione con modalità invarianti nel ciclo di vita TOE compositi (ACO, mai utilizzato)

39 Accordi di mutuo riconoscimento Fino a livello intermedio (Common Criteria EAL4, ITSEC E3) Common Criteria Recognition Arrangement SOG-IS Mutual Recognition Agreement

40 Vision Statement 2012 Proposta del CCRA Management Committee (sett. 2012) per elevare il grado di sicurezza adottando soluzioni standard Istituite Technical Communities tra stakeholders (agenzie governative degli Stati membri CCRA, vendor e laboratori) per definire Protection Profile collaborativi (cpp) per ogni tipologia di prodotti Mutuo riconoscimento fino ad EAL4se ST conforme a cpp, fino a EAL2 se ST include funzionalità aggiuntive In assenza di cpp, mutuo riconoscimento fino ad EAL2 Possibili eccezioni per requisiti nazionali, accordi bilaterali tra Stati membri, accordi come SOGIS-MRA.

41 Vision Statement 2012 Nei cpp non prevista conformità a schemi nazionali È auspicata, ma non ancora implementata, uniformità della metodologia di valutazione su prodotti crittografici Nei cpp suggerito di attenersi allo standard CC senza estensioni per i Security Assurance Requirements Non tutte le nazioni del CCRA concordi sul Vision Statement

42 Prospettive d uso In Italia Fornitori di sistemi/prodotti di system integration Uso di funzionalità di sicurezza di COTS certificati TOE prodotto vs TOE sistema Scostamenti da configurazione certificata di COTS, con considerazioni caso per caso, legate allo specifico Problema di Sicurezza Scelta del livello di valutazione adeguato al reale potenziale di attacco dell agente di minaccia Orientamento a certificare con livelli di garanzia bassi Omologazione vs Valutazione

43 Prospettive d uso NIST Special Publication rev. 4, April 2013 Security and Privacy Controls for Federal Information Systems and Organizations Elenco di controlli (contromisure / precauzioni) per proteggere C, I, D delle informazioni elaborate, memorizzate e trasmesse in organizzazioni/sistemi informativi federali USA Affidabilità di sistema informativo basata su funzionalità di sicurezza garanzia delle capability di sicurezza Parte di un processo relativo all intera organizzazione Dettati da regole, norme, politiche, standard, esigenze peculiari valide per l organizzazione CC part 2 CC part 3

44 Link utili PCM-DIS OCSI COMMON CRITERIA SOG-IS SELTA

45 Argomenti di approfondimento Definizione del Problema di Sicurezza per un TOE Modello di TOE nei Common Criteria: casi d uso I Common Criteria come supporto alla progettazione

46 Grazie Visitate il nostro sito >>>>>