ITSEC e ISO Due standard a confronto
Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ITSEC e ISO 17799 Due standard a confronto"

Transcript

1 ITSEC e ISO Due standard a confronto pro e contro ambiti di applicazione aree di sovrapposizione Orsio Romagnoli Getronics Consulting S.p.A. orsio.romagnoli@getronics.com

2 Un fornitore globale di soluzioni e servizi di ICT Getronics - Ricavi 2000: 4,1 miliardi Americas Europe Middle East Africa Asia Pacific dipendenti dipendenti dipendenti in 30 paesi dipendenti Più di tecnici altamente specializzati

3 Assessment di sicurezza Analisi dei rischi Consulenza legale specializzata Auditing di sicurezza Privacy e Legge 675 Organizzazione della sicurezza MAPPA DELL OFFERTA DI SICUREZZA GETRONICS Consulenza Specializzata Strategie e governo della sicurezza (Metodologia Global Security Approach) Consulenza ed assistenza per l avvi o di specifici progetti di miglioramento della sicurezza Interventi di formazione e sensibilizzazione Security manager leasing Assistenza alle certificazioni di sicurezza ITSEC e ISO17799 e di qualità ISO 9000 e EFQM Sicurezza Fisica Tradizionale Sicurezza Enterprise Nuovi servizi Networking Sicurezza E-business Centrali operative Reti di controllo Sicurezza server farm Progetti di integrazione sicurezza Progetti Single Signon Progetti di Amministrazione Centralizzata Progetti sicurezza ambienti Microsoft e NT Progetti di crittografia dati Progetti sicurezza portatili Autenticazione con PKI Autenticazione forte per Workflow Autenticazione forte per Documentale Progetti VPN Progetti di crittografia in rete Autenticazione in rete Monitor delle reti Firewall Notariato Progetti sicurezza dell e -business Progetti sicurezza web Carta Identità Elettronica Citizen Identification Gateway Progetti sicurezza pagamenti elettronici

4 Perché certificare la propria sicurezza? Può garantire i responsabili sul raggiungimento di determinati livelli di sicurezza. Può evidenziare in modo certo e imparziale la necessità di azioni di miglioramento. Può valorizzare la qualità di un particolare lavoro svolto. Può determinare l'atto convincente per stimolare il top management a decisioni propositive in termini di sicurezza. Può rappresentare la base di discussione per atti assicurativi Fondamentale quando il sistema è v enduto (anche all in terno di una corporate) o serve per vendere.

5 LE TAPPE FONDAMENTALI NELLA STORIA DEGLI STANDARD E DELLE METODOLOGIE Criteri nazionali in D, F, NL, UK Avvio attività ISO Code of practice BSI-DTI ISO / IEC ISO / IEC Versione definitiva TCSEC Versione definitiva ITSEC Versione 1.1 ITSEM Common Criteria ( 1 Draft)

6 Il nostro obiettivo.. ISO / IEC CC ITSEC ISO / IEC BS 7799

7 Common Criteria for IT Security ISO / IEC : Gruppo di lavoro USA, Canada, UE; (mancano Giappone, Australia e Italia) Da Ottobre 1998: Standard ufficiale ISO Gennaio 1999: Draft V.0.6. della Common Evaluation Metodology Agosto 1999: V.2.1

8 Common Criteria for IT Security ISO / IEC Una lunga storia alle spalle T.C.S.E.C. Orange Book Information Technology Security Evaluation Criteria

9 T.C.S.E.C. Trusted Computer Systems Evaluation Criteria Department of Defense (USA) INTRODUCE IL CONCETTO DI "POLITICA DELLA SICUREZZA" COME GUIDA, FORMALE, ESPLICITA E CONOSCIUTA ALLA ESECUZIONE DELLE CONTROMISURE INTRODUCE IL CONCETTO DI "CONTROMISURA" COME ATTO A PROTEZIONE DEI BENI ADEGUATO AL VALORE DEI BENI E AL LIVELLO DI RISCHIO DELL'AGGRESSIONE STABILISCE UNA CLASSIFICA DELLE CONTROMISURE

10 Classificazione TCSEC Application impact HIGH B3 A1 D C1 C2 B1 B2 LOW Requirements

11 I.T.S.E.C. Information Technology Evaluation Criteria Security Gruppo di lavoro misto F, UK, D, B, ecc. Directorate General XIII Telecomunications, Information Market and Exploitation of Research

12 I.T.S.E.C. ORIENTATO ALLA VALUTAZIONE DI SISTEMI O DI PRODOTTI SPECIFICI T. O. E. T.O.E. TARGET OF EVALUATION

13 I.T.S.E.C. FUNZIONALITA' DI SICUREZZA PREVISTE T. O. E. LIVELLO DI FIDUCIA "ASSURANCE" VALUTAZIONE "DISACCOPPIATA" TRA LE FUNZIONI DI SICUREZZA PREVISTE E IL GRADO DI FIDUCIA (CONOSCENZA) SULLA CORRETTEZZA E SULLA IDONEITA' DELLE FUNZIONI REALIZZATE

14 ISO / IEC 15408: Tipologie dei requisiti Obiettivo: Definire i requisiti di sicurezza per sistemi o prodotti informatici 1. Requisiti funzionali - fondamentali per definire i comportamenti in materia di sicurezza dei prodotti e sistemi informatici. I requisiti effettivamente implementati diventano così funzioni di sicurezza. 2. Requisiti di affidabilità - fondamentali per stabilire la fiducia che si può riporre nelle funzioni di sicurezza sia in termini di correttezza di implementazione sia in termini di efficacia di soddisfare gli obiettivi propri delle stesse funzioni di sicurezza.

15 ISO / IEC : Struttura Requisiti Funzionali Requisiti di affidabilità T.O.E. Protection Profile

16 ISO / IEC 15408: Requisiti funzionali di sicurezza FAU FCO FCS FDP FIA FMT FPR FPT FRU FTA FTP Security Audit Communications Cryptographic Support User Data Protection Identification & Authentication Security Management Privacy Protection of the TOE Security Functions Resource Utilisation TOE Access Trusted Path/Channels

17 ISO / IEC 15408: Classi di affidabilità della sicurezza APE ASE ACM ADO ADV AGD ALC ATE AVA AMA Protection Profile Evaluation Security Target Evaluation Configuration Management Delivery & Operation Development Guidance Documents Life Circle Support Tests Vulnerability Assessment Maintenance of Assurance

18 ISO / IEC 15408: Livelli di valutazione dell affidabil ità EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 Functionally Tested Structurally Tested Methodically Tested & Checked Methodically Designed, Tested & Reviewed Semiformally Designed & Tested Semiformally Verified Design & Tested Formally Verified Design & Tested

19 ISO / IEC 15408: Protection Profile e Security Target Protection Profile Introduction TOE description Security environment Assumptions Threats Organizational security Policies Security objectives Security requirements Functional req ts Assurance req ts TOE summary specification PP claims Rationale Security Target

20 British Standards I nstitution BSI è stato costituito dal governo inglese con l'intento di sostenere, indirizzare e mantenere la qualità dell'industria britannica. Si occupa di sviluppo delle normative tecniche, prove e accertamenti dei materiali Lavora a stretto contatto con le organizzazioni Internazionali quali: svolge attività di normazione, certificazione, prove di laboratorio e formazione in 90 P aesi dipendenti ISO CEN

21 BS 7799: un po di storia BS 7799 wordwide: ISO BS 7799:1 & 2 parte BS 7799:2 parte ISMS BS 7799:1 parte Prima edizione 1990 BS 7799:1 parte Come esigenza di un gruppo di compagnie inglesi

22 A CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT "Green Book" U.K. Department of Trade and Industry British Standard Institution D.T.I. B.S.I. GRUPPO DI LAVORO FORMATO DA: BOC Group British Standards Institute British Telcom HMG Central Computing and tlc Agency Marks and Spencer Midland Bank Nationwide Building Society Shell International Shell U.K Unilever

23 ISO/IEC Lo standard è composto da due parti: BS7799-1: standard code of practice, fornisce una guida su come rendere sicuro un Sistema Informativo; BS7799-2: standard specification, descrive in termini di requirement, obiettivi di controllo e framework di riferimento, un sistema completo per la gestione della sicurezza IT (ISMS - Information Security Managent System).

24 ISO/IEC 17799: 10 aree tematiche Compliance Business continuity management Security Policy System develpment and maintenance Communication and Operation Management BS 7799 Securtity Organisation Asset classification and control System Access control Phisical and enviromnental securtity Personnel Security

25 ISO/IEC Security Policy Questa sezione introduttiva sottolinea la necessità di descrivere le politiche di sicurezza in un documento chiaro da distribuire a tutto lo staff che dovrà riguardare i seguenti aspetti: ü Politiche di sicurezza, definizione della sicurezza informativa ü Obiettivi che il Management intende supportare ü Ripartizione delle responsabilità per ogni funzione implementata ü Requisiti specifici da applicare alle politiche di sicurezza ü Modalità di registrazione dei rischi e dei malfunzionamenti ü Nomina del responsabile (o proprietario) del rispetto, della rivisitazione e dell adeguamento dell e politiche

26 ISO/IEC Organizational Security Questa sezione spiega come gestire la sicurezza all'interno dell'organizzazione In particolare si deve: ü Costituire un forum per comunicare, controllare e coordinare gli eventi di sicurezza ü Definire le regole e i ruoli all in terno del forum ü Assegnare le responsabilità per la sicurezza ü Istituire un processo per approvare l acquisto di nuovi hardware e software Inoltre riguarda il processo di autorizzazione e regolamentazione per l a ccesso di una terza parte (es.: outsourcing, consulenti esterni ecc.).

27 ISO/IEC Asset Classification and Control Questa sezione interessa la sicurezza degli assets: ü Tutti gli assets (informazioni, software, hardware, servizi) devono essere opportunamente inventariati e per ognuno si deve definire un responsabile. ü Le informazioni, in particolare, devono essere appropriatamente classificate e per ogni classe bisogna definire il tipo di trattamento e le relative contromisure.

28 ISO/IEC Personnel Security Questa sezione riguarda la protezione di dati e sistemi da azioni umane intenzionali e/o accidentali quali l e rrore, la frode ed il furto. ürendere le responsabilità sulla sicurezza parte della descrizione formale della mansione di lavoro ü Verifiche e controlli sul personale nella fase di selezione: ü precedenti rapporti di lavoro ü controlli sui CV ü controllo di identità üaddestramento del personale per il corretto utilizzo degli assets nel rispetto della sicurezza üstabilire una struttura per accertarsi che gli incidenti e i malfunzionamenti vengano segnalati e attivino i canali giusti

29 ISO/IEC Physical and environmental security Questa sezione riguarda la sicurezza fisica e ambientale ü Stabilire zone sicure, attraverso barriere fisiche, per prevenire accessi non autorizzati ad informazioni riservate. ü Proteggere fisicamente le attrezzature per impedire i furti o i sabotaggi. ü Proteggere la struttura fisica delle reti ü Equipaggiarsi contro il rischio di disastri ambientali, incendi, esplosioni ecc. ü Mantenere l ufficio e gli output cartacei sicuri (tenere in ordine scrivanie, non lasciare documenti in giro ecc...)

30 ISO/IEC Communications and operations management Questa è una sezione molto ampia e si occupa della sicurezza dei sistemi di elaborazione. Definisce le zone principali di rischio di cui si deve essere informati. In particolare si dovranno prendere in considerazione: ü Virus e sw malevoli ü Malfunzionamento del software ü Controllo dei cambiamenti ü Backup ü Conservazione dei log di accesso ü Separazione dei ruoli ü Sicurezza della documentazione del sistema ü Procedure di gestione incidenti ü Protezione ed autenticazione dei dati ü Sicurezza delle ü Ecc.

31 ISO/IEC System Access Control ü Gestione degli accessi: ü Assegnazione user ID e password con attenzione agli utenti privilegiati ü Questa sezione tratta il controllo degli accessi per proteggere il sistema da utenti non autorizzati. In particolare sono previste: Tempo massimo di accesso ed expiration date ü Accesso fisico ai terminali ü Collaborazione da parte degli utenti sulle policy di sicurezza scelte (responsabilizzazione) ü Controllo degli accessi ai servizi di Rete, alle applicazioni e degli accessi da Lap-Top e teleworking ü Monitoraggio del sistema per rendere effettive e controllabili le politiche adottate

32 ISO/IEC System Development and Maintenance Ovvero le regole per assicurarsi che la sicurezza sia una parte integrante nello sviluppo di nuovi sistemi e che essa rimanga integra nel corso del ciclo di vita: ü Procedure per l acquisizione del software ü Procedure per lo sviluppo del software ü Procedure di configuration management ü Procedure di change management ü Protezione dei dati di test ü Tecniche di validazione dei dati di input ü Protezione dei file e dei flussi ü Encription interna ü Ecc.

33 ISO/IEC Business Continuity Management Questa sezione sezione si focalizza sulla protezione del business proteggendo in particolare i processi critici per il business business continuity plan. Sarà necessario quindi identificare i rischi e ridurli, limitare le conseguenze degli incidenti e assicurare un ripristino in tempi brevi delle operazioni essenziali al business. Il piano di continuità dovrà essere quindi: disegnato ü implementato ü testato ü sottoposto a manutenzione

34 ISO/IEC Compliance Un sistema di sicurezza deve prevedere la conformità legale dei dati, del software, dei processi e del personale addetto. Importante quindi essere sempre in contatto con esperti in materia per avere pareri sull utiliz zo del sistema informativo conforme ai regolamenti e alle norme. In particolare l attenzione andrà posta su: Copyrights Salvaguardia dei dati conservati Protezione dei dati personali Evitare l u so delle informazioni per scopi non di business Raccolta delle prove per poter procedere legalmente contro persone od organizzazioni

35 ISO (CC) e ISO17799(BS) a confronto

36 ISO (CC) e ISO17799(BS) a confronto C.C. The ISO/IEC philosophy is to provide assurance based upon an evaluation (active investigation) of the IT product or system that is to be trusted. Evaluation has been the traditional means of providing assurance and is the basis for prior evaluation criteria documents. In aligning the existing approaches, ISO/IEC adopts the same philosophy. ISO/IEC proposes measuring the validity of the documentation and of the resulting IT product or system by expert evaluators with increasing emphasis on scope, depth, and rigour. ISO/IEC : paragrafo B.S. Information security is achieved by implementing a suitable set of controls, which could be policies, practicies, procedures, organizational structures and software functions. These controls need to be estabilished to ensure that the specific security objectives of the organization are met. ISO/IEC 17799: Introduzione page VIII

37 ISO (CC) e ISO17799(BS) a confronto C.C. B.S. Riferito ad un oggetto (TOE): E molto utile definire esattamente un TOE individuandone i confini e separando con precisione ciò che è dentro da e ciò che è fuori Riferito all organizzazione Enfatizza (giustamente) gli aspetti organizzativi ed i fattori umani.

38 ISO (CC) e ISO17799(BS) a confronto C.C. 640 pagine ISO (CC) Information technology Security techniques Evaluation criteria for IT security Part 1: Introduction and general model Part 2: Security functional requirements Part 3: Security assurance requirements (62 pagine) (354 pagine) (222 pagine) B.S. 90 pagine ISO17799(BS) Information technology Code of practice for information security management (77 pagine) Information security management Part 2: Specification for information security management system (11 pagine) Benefici (*) BS CC (*) interni Costi

39 ISO (CC) e ISO17799(BS) a confronto C.C. La scala di classificazione è rigorosa: l obiettivo è quello di valutare i cosiddetti TSF (Toe SecurityFunctions) B.S. Vengono forniti solo dei c omandamenti, abbastanza generici (circa 130 regole) con l obiettivo di costruire un ISMS (Information Security Management Sistem) Rigore CC BS Usabilità

40 ISO (CC) e ISO17799(BS) a confronto C.C. Obiettivo : Valutazione della sicurezza di un sottoinsieme. B.S. Obiettivo: Progettazione della sicurezza del sistema informativo

41 Getronics Consulting come partner per la certificazione di sicurezza Ente certificatore Azienda da certificare Definizione dell ambito della certificazione Pianificazione del processo di certificazione Consegna documentazione ufficiale Assistenza ai valutatori Responsabilità del progetto di certificazione Individuazione preventiva delle non conformità Correzione delle non conformità Reperimento della documentazione necessaria Assistenza alle divisioni operative coinvolte

42 Conclusioni Entrambi validi Contesti differenti Obiettivi differenti Con aree di sovrapposizione E fondamentale scegliere il giusto schema.. Nel dubbio. Il più faci le Grazie.

Documenti analoghi
2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back