I livelli di Sicurezza

Transcript

1 Appendice Allegato D Allegato Tecnico I livelli di Sicurezza TC.Marketing ICT Appendice Allegato Tecnico 1

2 Indice del documento 1 La sicurezza dei Data Center di Telecom Italia Sicurezza dei processi di gestione Sicurezza nell accesso ai servizi dall esterno Protezione dei Dati Personali (D. Lgs. 196/03)... 7 Allegato 1: Certificato ISO/IEC Data Center e SOC... 8 Allegato 2: Certificato ISO/IEC Control Room... 8 TC.Marketing ICT Appendice Allegato Tecnico 2

3 1 La sicurezza dei Data Center di Telecom Italia La sicurezza della piattaforma di erogazione dei servizi di Housing di Telecom Italia è articolata su più livelli: - Sicurezza dei processi di gestione; - Sicurezza nellaccesso ai servizi dall esterno. 1.1 Sicurezza dei processi di gestione La struttura ICT Operations di telecom Italia, tra gli obiettivi strategici, ha posto un peso rilevante sull ottenimento della certificazione ISO27001, sensibilizzando il proprio personale in merito alle motivazioni ed alle implicazioni, anche comportamentali, confacenti l adozione di un programma di gestione e di controllo continuo della sicurezza. Il Management di ICT Operations, per esigenze: a. interne, inerenti: o responsabilità finanziarie; o massimizzazione del profitto; o erogazione di servizi di Qualità con elevato livello di disponibilità; o tutela del Know-how; o minacce interne; b. esterne riguardanti: o minacce in rete; o immagine dell Azienda; o vincoli normativi; o sicurezza delle informazioni; ha definito il proprio ISMS Framework con gli obiettivi di: garantire la robustezza e la congruenza dell architettura di sicurezza posta a tutela degli Asset critici attraverso i quali eroga i servizi di sicurezza gestita ai propri Clienti; consolidare, attraverso l accreditamento di un organismo esterno riconosciuto dalla comunità internazionale, la capacità di erogare servizi tra i più innovativi nel campo della ICT security ed in linea allo standard di sicurezza ISO27001; normalizzare l infrastruttura interna attraverso la strutturazione programmata di controlli di natura organizzativi e procedurali; acquisire un elemento distintivo e di vantaggio rispetto alla concorrenza e come tale migliorare la penetrazione sul mercato della proposizione commerciale; tutelare gli interessi propri e dei propri clienti, ponendo particolare attenzione agli aspetti di: o riservatezza o confidenzialità: attraverso lo sviluppo e l implementazione di meccanismi e contromisure atte a impedire che l informazione sia disponibile o venga rivelata a individui, entità o processi non autorizzati; o integrità: attraverso lo sviluppo e l implementazione di meccanismi e contromisure atte a impedire che l informazione sia modificata o distrutta in maniera non autorizzata; o disponibilità: attraverso lo sviluppo e l implementazione di meccanismi che consentono all informazione di essere accessibile e usabile quando richiesta da un entità autorizzata; o livello di servizio: attraverso lo sviluppo e l implementazione di meccanismi che garantiscano la continuità del servizio erogato nel rispetto dei dati di targa e degli SLA definiti; o legali: rispetto dei requisiti e dei vincoli di natura legale, normativa o contrattuale. L ambito di applicazione dell ISMS è rappresentato dai processi di provisioning-delivery e assurance relativi alla erogazione dei servizi housing & hosting standard. TC.Marketing ICT Appendice Allegato Tecnico 3

4 Il Management di ICT Operations ha definito come ambito della certificazione ISO27001 tali processi in quanto rappresentano le attività che posizionano Telecom Italia quale leader nella proposizione verso Clienti che intendano utilizzare infrastrutture all avanguardia in termini di tecnologia, standard di sicurezza fisica e logica, ampia capacità di banda in uscita ed assistenza, quali gli Internet Data Center di Telecom Italia, al fine di esternalizzare servizi/processi aziendali interni o rivolti alla propria clientela finale. Lo standard ISO27001 si prefigge di proporre un approccio metodologico che ha come obiettivo la salvaguardia delle proprietà di: Riservatezza; Integrità; Disponibilità; del contenuto informativo associato a ciascun servizio o sistema che rientra nell ambito di certificazione. 1.2 Sicurezza nell accesso ai servizi dall esterno Le infrastrutture di rete nei Data Center TI sono predisposte in modo da consentire la realizzazione di diversi modelli di connettività che saranno illustrati di seguito. Servizi di accesso ad Internet Banda Virtuale Banda riservata Volume Traffico Equivalenti a Profili Standard di Banda Disponibilità di banda moltiplicata fino al raggiungimento delle soglie di traffico Profilo Flat per ogni taglio di banda Tagli di Banda Configurabili Profilo Flat per ogni taglio di banda Gestione Picchi On Demand Servizi di accesso VPN IPSEC Il cliente si collega dalla propria rete in VPN IPSec per l amministrazione dei server e/o la fruizione dei servizi. L utente finale accede al servizio puntando all IP privato utilizzato dalle VM e raggiungibile attraverso il tunnel stabilito dalle due teste di ponte. Il cliente si collega dal proprio PC connesso ad Internet, utilizzando un SW VPN client fornito da Telecom Italia, attraverso una connessione VPN IPSec in modalità client-to-lan, alle proprie VM per attività di gestione e/o fruizione di servizi. Servizi di accesso VPN MPLS Con la VPN IP MPLS il Cliente già dispone di garanzie totali di sicurezza, in quanto la rete MPLS non è né visibile né attaccabile dall esterno (non fa uso di indirizzi IP pubblici), rendendo impossibili sia le intrusioni esterne di qualunque tipo, sia la possibilità di catturare pacchetti. TC.Marketing ICT Appendice Allegato Tecnico 4

5 Servizi di accesso Dedicati La predisposizione di accessi dedicati permette di isolare completamente i clienti con infrastrutture fisiche (switch/router) di terminazione sui DC L infrastruttura di rete di NGDC è dotata di due livelli di Firewall, l Outside-FW e l Inside-FW, che svolgono le seguenti funzioni: Inside Firewall: questi firewall, composti fisicamente da un unico cluster di 2 elementi in HA (Hot-Stanby), realizzano la protezione dei diversi livelli di sicurezza (Front End e Back End) con eventuale diversa classificazione di sicurezza. Inoltre garantiscono la possibilità di definire contesti distinti per ciascun cliente, in modo da poter gestire l eventuale sovrapposizione degli indirizzi IP delle reti remote (es. clienti con connettività MPLS Hiperway o connettività dedicate). Un contesto specifico di sicurezza potrà essere assegnato anche ai clienti Internet che ne facessero richiesta. TC.Marketing ICT Appendice Allegato Tecnico 5

6 Outside Firewall: questi Firewall, composti fisicamente da un cluster in HA (hot-stanby), realizzano la protezione da Internet delle Virtual Machine ed effettuano, inoltre, il NAT da indirizzi privati a pubblici per le VM che saranno esposte su Internet. E possibile prevedere anche accessi alla piattaforma per scopi di gestione attraverso connettività VPN IPSEC su Internet del tipo: - Client to LAN - Site to Site Le VPN IPSEC sono configurate con l utilizzo di certificati digitali. TC.Marketing ICT Appendice Allegato Tecnico 6

7 2 Protezione dei Dati Personali (D. Lgs. 196/03) Telecom Italia S.p.A. ha definito e realizzato un impianto organizzativo, tecnico e procedurale in conformità a quanto stabilito dalla normativa vigente in materia di protezione dei dati personali in ottemperanza al D.Lgs. 30 giugno 2003, n A tal fine, nel rispetto del citato D. Lgs., redige annualmente il Documento Programmatico sulla Sicurezza (DPS). TC.Marketing ICT Appendice Allegato Tecnico 7

8 Allegato 1: Certificato ISO/IEC Data Center e SOC Allegato 2: Certificato ISO/IEC Control Room TC.Marketing ICT Appendice Allegato Tecnico 8