La normativa e le iniziative internazionali in materia di sicurezza ICT

Transcript

1 La normativa e le iniziative internazionali in materia di sicurezza ICT Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Agenda Generalità sulle iniziative internazionali in tema di sicurezza ICT Quadro della normativa europea Le risoluzioni sulla sicurezza L agenzia ENISA Le linee guida dell OCSE

2 Caratteristica delle iniziative internazionali Quasi tutte le iniziative si rivolgono, spesso in modo implicito, a INTERNET Alcune iniziative del settore privato mirano ad estendere all informatica le garanzie proprie dei sistemi tradizionali Il problema di Internet Internet: è governata da tanti gestori non ha posti di blocco assume sempre maggiore importanza nel settore industriale modifica i concetti tradizionali di tempo e spazio le norme del diritto internazionale spesso si dimostrano inefficaci

3 Due filosofie: Possibili approcci per la sicurezza di Internet lasciare Internet in uno stato anarchico ed aumentare la consapevolezza degli utenti azioni per migliorare la cultura della sicurezza introdurre strumenti tecnici e normativi per il governo di Internet norme per coloro che forniscono l accesso ad Internet (ISP) OCSE APEC G8 GAC Panoramica delle iniziative per Internet Linee guida per la sicurezza delle comunicazioni Gruppo di lavoro sul problema dello SPAM Mutuo riconoscimento dei sistemi di autenticazione nazionali Cooperazione tra le polizie Riforma di ICANN (Internet Corporation for Assigned Names and Numbers) WSIS Working Group on Internet Governance Unione Europea Varie risoluzioni indirizzate agli Stati Membri Norme su settori che usano Internet (firma elettronica, commercio elettronico, diritto d autore, ecc.) Creazione dell agenzia Enisa

4 Altre iniziative per la sicurezza Accordi internazionali che comprendono aspetti di sicurezza informatica ICAO - documento di viaggio elettronico Accordi relativi a settori specifici Settore finanziario - Basilea 2 Il quadro delle iniziative europee Attività normativa Risoluzioni Direttive Regolamenti Cooperazione con organismi internazionali per linee guida Cooperazione con il settore privato ed il mondo accademico Ricerca, promozione di standard, sviluppo di applicazioni prototipali

5 L attività normativa sulla sicurezza ICT Commissione Direzione Società dell informazione Consiglio Working party su telecomunicazioni e servizi della società dell informazione Parlamento europeo Commissioni parlamentari Finanziamenti: piano d azione eeurope W.P. telecomunicazione e servizi della società dell informazione Temi trattati Proposta di direttiva per il riutilizzo dei documenti pubblici esafe (Internet sicura) Cyber-security task force Sicurezza delle reti e delle informazioni Gestione di Internet la riforma di ICANN MODINIS (Monitoraggio del piano d azione eeurope)

6 La sicurezza ICT nella normativa europea Direttiva 1999/93/CE del Parlamento europeo e del Consiglio del 13 dicembre 1999 relativa ad un quadro comunitario per le firme elettroniche Direttiva 2002/77/CE della Commissione, del 16 settembre 2002 relativa alla concorrenza nei mercati delle reti e dei servizi di comunicazione elettronica Decisione n. 1151/2003/CE del parlamento europeo e del consiglio del 16 giugno 2003 che modifica la decisione n. 276/1999/CE che adotta un piano pluriennale d'azione comunitario per promuovere l'uso sicuro di Internet attraverso la lotta alle informazioni di contenuto illegale e nocivo diffuse attraverso le reti globali la sicurezza ICT nella normativa europea Direttiva 2003/98/CE del Parlamento Europeo e del Consiglio del 17 novembre 2003 relativa al riutilizzo dell'informazione del settore pubblico Regolamento (CE) N. 460/2004 del Parlamento Europeo e del Consiglio del 10 marzo 2004 che istituisce l'agenzia europea per la sicurezza delle reti e dell'informazione Regolamento (CE) N. 874/2004 della commissione del 28 aprile 2004 che stabilisce le disposizioni applicabili alla messa in opera e alle funzioni del dominio di primo livello.eu e i principi relativi alla registrazione Regolamento (CE) N. 2252/2004 del Consiglio del 13 dicembre 2004 relativo alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri

7 La direttiva sul commercio elettronico (2000/31/CE) La direttiva disciplina la prestazione dei servizi della società dell informazione nel mercato interno europeo. Principi base: assenza di autorizzazione preventiva obbligo di informativa da parte del prestatore di servizi limiti di responsabilità per i fornitori dei servizi di trasporto, cashing ed hosting possibilità di risoluzione delle controversie per via telematica Non sono presenti norme specifiche sulla sicurezza, ma nel considerato si rimanda all'articolo 5 della direttiva 97/66/CE Gli Stati membri devono vietare qualsiasi forma di intercettazione o di sorveglianza non legalmente autorizzata da parte di chi non sia il mittente o il destinatario La direttiva è stata recepita dal Decreto legislativo 9 aprile 2003, n. 70 La convenzione di Budapest La Convenzione del Consiglio di Europa sulla Criminalità informatica (STE n. 185) è stata sottoscritta a Budapest il da 30 paesi, tra cui l'italia La Convenzione è stata poi ratificata da 5 Stati, per cui è divenuta esecutiva nel luglio dello scorso anno E prevista l introduzione di specifiche norme per contrastare la criminalità informatica (in Italia molte di esse sono state introdotte con la la legge , n.547) Uno dei temi più dibattuti riguarda la conservazione dei dati di traffico

8 Caratteristiche della normativa europea Attenzione allo sviluppo del mercato interno le regole di sicurezza non devono precludere la libertà di iniziative commerciali (assenza di autorizzazione preventiva) Gli Stati Membri possono vigilare sul rispetto dei principi di sicurezza Promozione dei codici di autoregolamentazione Ricorso all arbitrato per la risoluzione delle controversie Qualche incongruenza tra la normativa volta a garantire i diritti della personalità e quella per facilitare la lotta alla criminalità Risoluzione del 28/1/2002 su un approccio comune ed azioni specifiche per la sicurezza Obiettivi Garantire la disponibilità di servizi e dati Impedire interruzioni e intercettazioni non autorizzate delle comunicazioni Confermare che i dati trasmessi, ricevuti o archiviati sono completi e invariati Assicurare la riservatezza dei dati Proteggere i SI dall accesso non autorizzato Proteggere dagli attacchi in cui siano implicati software maligni Garantire l affidabilità dell autrenticazione

9 Risoluzione del Consiglio UE compiti degli Stati membri Campagne di informazione ed educazione Adozione di best practices, soprattutto nelle piccole e medie imprese Sicurezza nella formazione informatica CERT Interoperabilità delle soluzioni sulla sicurezza (tra cui open source) nei servizi pubblici di e- government e firma elettronica Cooperazione su sistemi di identificazione elettronica e/o biometrica Risoluzione del Consiglio UE compiti della Commissione Facilitare lo scambio di best practices Predisporre un inventario delle misure nazionali Rafforzare la cooperazione con altre organizzazioni internazionali Proporre una struttura per la gestione delle componenti critiche della rete Internet (nomi di dominio) Redigere un rapporto sullo stato dell arte delle tecnologie di identificazione elettronica e/o biometria

10 Risoluzione del Consiglio UE la cyber-security task force La commissione è invitata a proporre, per la metà dell anno 2002, la costituzione di una cyber-security task force, composta da rappresentanti tecnici degli Stati membri, con il compito di coordinare i lavori in materia di sicurezza Attuazione della risoluzione del Consiglio (risultati del questionario) Tutti gli stati hanno avviato campagne informative Best practices basate su ISO Carenza di temi di sicurezza nella formazione informatica Limitato coordinamento tra i CERT Attenzione alle problematiche di interoperabilità delle protezioni basate su firma Gruppi di lavoro su firma elettronica e smart card

11 La proposta della Commissione: compiti della task force Promozione di metodologie uniformi di Risk assessment Raccolta ed analisi di dati sulla sicurezza delle reti e delle informazioni Attività di coordinamento dei diversi attori che operano nel settore Centro di competenza I lavori sulla costituzione della cyber-security task force Iniziati a giugno 2002 Proposta iniziale della Commissione ritenuta insufficiente Discussioni su ruolo della task force e relazioni con altri organismi Organismo forte / organismo debole Proposta di trasformazione in agenzia per la sicurezza

12 Proposta per un approccio europeo alla cultura della sicurezza ICT Le linee guida dell OCSE sono considerate un valido modello per lo sviluppo delle politiche di sicurezza E fondamentale l attribuzione delle responsablità della sicurezza delle reti e delle informazioni E necessaria maggiore trasparenza e cooperazione tra gli Stati, le istituzioni comunitarie ed il settore privato proposta di risoluzione Gli stati membri devono promuovere la sicurezza incoraggiando l assegnazione delle responsabilità preparare adeguati piani di formazione attuare contromisure per prevenire e contrastare i problemi di sicurezza La Commissione deve formare un gruppo di lavoro interdisciplinare per i lavori preparatori della Cyber-Security Task force

13 L agenzia per la sicurezza (European Network and Information Security Agency) E il risultato della proposta iniziale per la Cybersecurity task force Costituita da circa 30 esperti (2 per ogni Stato membro) Budget di 24,3 M per 5 anni, incrementato di 9 M nel caso di ingresso di altri 10 stati in UE Avviata nel 2004 I lavori preparatori sono stati finanziati dal programma Modinis La struttura ed i compiti dell agenzia sono definiti dal regolamento (CE) N. 460/2004 (Non) compiti della nuova agenzia per la sicurezza L'assolvimento dei compiti dell'agenzia non dovrebbe interferire con le competenze né costituire pregiudizio, ostacolo o sovrapposizione alle pertinenti competenze e mansioni assegnate: alle autorità di regolamentazione nazionali agli enti di normalizzazione europei, agli enti di normalizzazione nazionali e al comitato permanente alle autorità di vigilanza degli Stati membri nel settore della protezione delle persone per quanto riguarda il trattamento dei dati personali e la libera circolazione di tali dati (premessa 12) è necessario che l'agenzia analizzi i rischi attuali ed emergenti e che a tale scopo essa abbia la possibilità di raccogliere le informazioni appropriate, in particolare tramite questionari, senza imporre nuovi obblighi al settore privato o agli Stati membri di produrre dati (premessa 13) gli obiettivi e i compiti dell'agenzia lasciano impregiudicate le competenze degli Stati membri per quanto riguarda la sicurezza delle reti e dell'informazione (articolo 1.3)

14 Compiti della nuova agenzia per la sicurezza Contribuire al buon funzionamento del mercato interno assistendo la Commissione e gli Stati Membri su problematiche di sicurezza ICT (art. 1.1, 1.2) sviluppando competenze di alto profilo (art. 2.3) fornendo, su richiesta, consulenza nei lavori preparatori delle norme sulla sicurezza ICT (art. 2.4) raccogliendo le informazioni appropriate per analizzare rischi attuali ed emergenti... (art. 3) favorendo la cooperazione in tema di sicurezza ICT tra Commissione, Stati Membri, settore privato e mondo accademico (art. 3) Altre iniziative europee Applicazioni che utilizzano smart card carta di identità carta sanitaria documenti di viaggio/passaporti visti Gestione dell identità Prodotti/filtri per l uso sicuro di Internet

15 Comitati e gruppi di lavoro per firma elettronica CEN/CENELEC (Workshops) ETSI (Workgroups) ISO/IEC JTC1/SC17/WG4 EESSI (Comitato guida) Article 9 Commitee ESIGN (CEN) European Algo Workgroup Direttiva Europea WGAA (applicaz.) WGD2 (PP per crypto modules) WGDF (PP per SSCD) WGGF (Signature creation env.) WGK (Smart card per SSCD) Leggi nazionali eeurope smart Cards (eesc) Comitati e gruppi di lavoro High level group Steering Committee TB8 TB10 e-government TB5 e-payments TB11 Health TB9 Public Transp. TB3 User requirements TB1 Public Identity GIF Global Interoperability Framework TB2 Id & Authentication TB2 Multi application platform TB12 e Signature Security PP TB4 Card readers TB6 Contactless

16 I lavori dell OCSE sulla sicurezza ICT Il tema della sicurezza ICT è seguito dal gruppo di lavoro sulla sicurezza e privacy (Working Party for Information Security and Privacy) Nel 2002 il gruppo di lavoro ha prodotto il documento linee guida per la sicurezza dell informazione e delle reti - verso la cultura della sicurezza Attualmente il gruppo di lavoro sta seguendo i seguenti temi monitoraggio dell attuazione delle indicazioni presenti nelle linee guida il problema dello SPAM sistemi di autenticazione elettronica le problematiche di sicurezza e privacy nei documenti elettronici Le linee guida dell OCSE 9 principi essenziali I governi hanno il compito di diffondere la cultura della sicurezza Tutti (anche gli utenti occasionali) devono contribuire all attuazione e gestione della sicurezza Rispetto dei principi etici e democratici, libera circolazione delle informazioni, protezione adeguata dei dati personali, apertura e trasparenza

17 Punti salienti delle linee guida dell OCSE Coinvolgimento degli utenti Cultura della sicurezza Sensibilizzazione e responsabilità Cooperazione Etica e democrazia Aspetti operativi (Valutazione dei rischi, Progettazione e realizzazione, Gestione della sicurezza, Riesame) Il nuovo modello di sicurezza Ciò che caratterizza i sistemi odierni è la frequenza e l importanza degli scambi informativi con le realtà esterne I sistemi informativi non possono più essere gestiti con logica feudale Occorre modificare il modello di sicurezza basato sulla chiusura e sviluppare nuove forme di garanzie e tutele con il coinvolgimento di tutti coloro che partecipano a processi informatici

18 Per maggiori informazioni