La sicurezza globale delle informazioni e la certificazione: ambiti di applicazione

Transcript

1 La sicurezza globale delle informazioni e la certificazione: ambiti di applicazione Daniele Perucchini Fondazione Ugo Bordoni OCSI Resp. sezione "Progetti speciali" Check Point Achieves Prominent EAL 4 U.S. Gvt Certification Only Security Company to Provide Government Agencies With a Complete Unified Secure Architecture REDWOOD CITY, Calif., - Oct. 4, Check Point Software Technologies Ltd. today announced that the NGX version of VPN-1 Power and UTM, has been certified against the Common Criteria EAL 4 certification for VPN and IDS/IPS by the National Information Assuance Partnership (NIAP). Check Point has certified all four critical network security categories - firewall, VPN, IDS/IPS, and remote management which provide agencies for governments worldwide with an integrated, proven security solution.

2 Le certificazioni Checkpoint La sicurezza globale Processo di gestione della sicurezza ICT (ISMS) Certificabile BS7799 Informazioni/beni da proteggere Sistemi/prodotti ICT Contromisure tecniche Certificabili ISO/IEC (Common Criteria) Analisi e gestione dei rischi Politiche di sicurezza (modello organizzativo, definizione requisiti per le contromisure tecniche e non tecniche, ecc.) Contromisure fisiche Pluralità di soggetti con diversi compiti e responsabilità Competenza certificabile secondo criteri quali CISSP/SSCP, CISA/CISM, ecc.)

3 I soggetti della certificazione Common Criteria ACCREDITATORE NORMA DI RIFERIMENTO FORNITORE/TITOLARE OGG. DA CERTIFICARE BS7799 VALUTATORE CERTIFICATORE FRUITORE DEI SERVIZI FORNITI DALL OGGETTO CERTIFICATO OGGETTO DA CERTIFICARE CERTIFICATO Le caratteristiche della certificazione La certificazione deve garantire l imparzialità, l oggettività, la ripetibilità e la riproducibilità dell intero processo di certificazione. A tal fine: l accreditatore, il certificatore ed il valutatore (qualora sia presente) devono essere terza parte indipendente rispetto al: Fornitore/titolare dell oggetto da certificare Fruitore della certificazione la certificazione deve basarsi su criteri o standard di riferimento comunemente accettati deve essere verificata la competenza di chi applica la norma di riferimento (valutatore/certificatore)

4 I vantaggi della certificazione (1/3) Il fornitore dell oggetto da certificare (ad es. Checkpoint) può ritenere utile ottenere una certificazione di terza parte in quanto ritiene che tale certificazione possa essere utilizzata come leva di marketing per incrementare le vendite o per uniformarsi allo standard di mercato imposto dai concorrenti I vantaggi della certificazione (2/3) Chi acquista un oggetto certificato (sistema o prodotto) vuole dimostrare anche verso terzi, siano essi i clienti o una autorità statale (ad esempio, la magistratura, o il Garante per la tutela dei dati personali) di aver curato adeguatamente la gestione della sicurezza. In questo contesto, la certificazione di sicurezza assume nel primo caso la valenza di leva di marketing, nel secondo caso rappresenta un modo per dimostrare a terzi, a fronte di eventuali incidenti ICT, la propria diligenza nell attuare in via preventiva tutte le contromisure ritenute necessarie per limitare la probabilità di accadimento dell incidente stesso

5 I vantaggi della certificazione (3/3) Il soggetto titolare (o fruitore) dell oggetto/processo certificato vuole acquisire la consapevolezza della propria sicurezza, affidando a terzi il compito della verifica. Questo non implica una mancanza di fiducia nella competenza del proprio personale incaricato di verificare la sicurezza, ma piuttosto deve essere considerata come l acquisizione di servizi professionali altamente qualificati che, come tali, assicurano all organizzazione che si avvale della certificazione di sicurezza volontaria un valore aggiunto finalizzato all incremento di efficienza dell organizzazione stessa. I contesti dove utilizzare la certificazione (1/2) CNIPA, i Quaderni, n. 23 marzo 2006, Linee Guida per la sicurezza ICT nelle Pubbliche Amministrazioni. Piano Nazionale della sicurezza delle ICT per la PA. Modello organizzativo nazionale di sicurezza ICT per la PA disponibile in formato elettronico

6 I contesti: priorità massima (2/2) Tutela dell incolumità fisica e della salute dei cittadini protezione civile mantenimento dell ordine pubblico infrastrutture critiche quando l eventuale danno, anche solo di tipo economico, può essere molto rilevante sia per il cittadino sia per lo stato quando è in pericolo la gestione della democrazia Le certificazioni in Italia regolate da DPCM Certificazione di prodotto/sistema ICT Schema Nazionale del 1995 aggiornato nel 2002 (DPCM 11/4/2002 GU n. 131 del 6/6/02) applicabile nel contesto della sicurezza interna e esterna dello Stato Ente di Certificazione/Accreditamento (EC): ANS/UCSi Centri di Valutazione (Ce.Va.): 3 privati, 2 pubblici (tra cui ISCOM ex ISCTI) Schema Nazionale del 2003 (DPCM 30/10/2003 GU n. 98 del 27/4/04) applicabile in tutti i contesti non coperti dal primo Schema Organismo di Certificazione/Accreditamento (OCSI): ISCOM (Ministero Comunicazioni) che si avvale del supporto della FUB Laboratori di Valutazione (LVS): 4 già accreditati

7 Le altre certificazioni in Italia Certificazione del processo di gestione (ISMS) Schema Sincert per l accreditamento BS7799 (ISO17799/ISO27001) Organismo di Accreditamento: Sincert Organismi di certificazione accreditati: 5 Certificazione del personale Criteri di verifica della competenza sviluppati per lo più in ambito internazionale (es. CISP/SSCP sviluppati da (ISC) 2, CISA/CISM sviluppati da ISACA, ecc.) Soggetti operanti anche in Italia (es. Clusit, come Education Affiliate nell ambito delle certificazioni CISP/SSCP) L OCSI Gestione dello Schema Nazionale per la certificazione di sicurezza dei Sistemi/Prodotti/Profili di Protezione (ITSEC/Common Criteria) Coordinamento delle attività dello Schema Accreditamento del laboratori di valutazione (LVS) Gestione delle valutazioni/certificazioni Gestione dei Certificati Formazione e addestramento (

8 La strategia dell OCSI Situazione estera attuale Considerazioni Proposta italiana Vantaggi Situazione estera attuale (1/2) Vengono eseguite relativamente poche certificazioni (quasi esclusivamente di prodotto) molto costose e lunghe Sono i grandi produttori di sw a certificare i propri prodotti a livelli medi che, pur essendo già molto onerosi, sono però i livelli minimi che consentono lo sfruttamento a fini pubblicitari della certificazione L'utilizzatore finale del prodotto è spesso vittima di una pubblicità ingannevole, anche a causa dell'atteggiamento non sempre chiaro degli Organismi di certificazione

9 Situazione estera attuale (2/2) E' utilizzata la certificazione dei Protection Profile principalmente per l'uso nella PA USA. Tali certificazioni vengono intese soprattutto come capitolati per la fornitura Sono poco diffuse le certificazioni di sistema, ad eccezione del contesto relativo alla sicurezza nazionale E poco diffusa la procedura di mantenimento del certificato Il mantenimento Il mantenimento nel tempo delle certificazioni, pur essendo essenziale per l'utilizzatore, non viene attualmente eseguito perchè: le certificazioni risulterebbero ancor più costose L'atteggiamento non chiaro degli Organismi di certificazione esteri consente di farne a meno in quanto: ci si limita a precisare che le certificazioni valgono solo nel momento in cui vengono emesse non si revocano né si impedisce l'uso pubblicitario di certificazioni che non hanno più valore a seguito alla scoperta di nuove vulnerabilità, all'installazione di patch, allo sviluppo di nuove versioni del prodotto

10 Considerazioni In Italia, non vi sono i grandi produttori di sw come all'estero. Vi sono invece molti integratori di sistema Seguire lo stesso approccio estero comporterebbe: una diffusione ancor più limitata delle certificazioni (di prodotto) Una scarsa tutela dell'utilizzatore finale Il maggior numero di incidenti informatici deriva da vulnerabilità note per le quali spesso esistono le patch (configurazioni non corrette) Non ha molto senso utilizzare prodotti molto sicuri in sistemi complessivamente molto vulnerabili Il livello di sicurezza del sistema dipende dalla robustezza dell'anello più debole della catena Proposta italiana: priorità Promuovere la certificazione a bassi livelli, soprattutto per i sistemi (vulnerabilità note assenti già a EAL1/EAL2) Promuovere a bassi livelli di assurance il mantenimento dei certificati Stimolare la domanda di sistemi certificati agendo soprattutto sugli utilizzatori Diffondere la certificazione di sistema a bassi livelli di assurance nella PA per innescare un effetto volano, similmente agli USA Promuovere la stesura e la certificazione di Profili di Protezione (capitolati) Sinergia tra Common Criteria e BS7799:2 (sicurezza globale) per certificare la configurazione dei sistemi

11 Vantaggi della certificazione di sistema a bassi livelli (EAL1-2) Risulta sufficientemente agevole mantenere il certificato nel tempo Risulta più economica e più rapida rispetto ai livelli >EAL3 Si può condurre in modo relativamente semplice sull'intero sistema ICT (poca documentazione richiesta) E' possibile individuare una ampia fascia di potenziali Assistenti di sicurezza con le competenze necessarie per svolgere compiti di mantenimento del certificato ai bassi livelli Potrebbero essere certificati molti sistemi ICT Maggiore Sicurezza Globale (sinergia con BS7799)

12 Riferimenti Daniele Perucchini Fondazione Ugo Bordoni ENISA Liaison Officer OCSI Responsabile della sez. "Progetti speciali" tel: Riferimenti OCSI (Organismo per la certificazione della sicurezza informatica) telefono: