Gli standard e la certificazione di sicurezza ICT

Транскрипт

1 Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione di sicurezza La sicurezza non è un prodotto ma un processo i cui scopi sono: evidenziare i possibili casi di deragliamento del processo produttivo fondamentale, nei quali cioè esso esce dai binari normali prevedere soluzioni alternative per evitare il verificarsi di tali casi limitare i danni

2 Lo schema di riferimento Casi anomali non previsti Casi anomali previsti Processo normale Gestione dell ordinario Gestione dello straordinario Gestione dell ignoto La politica di sicurezza Contrasto e recupero Misure preventive Processo normale Zona trattegiata: casi anomali per i quali è stata prevista una contromisura

3 Un processo si dice sicuro quando Vengono previsti i possibili eventi dannosi (rischi) Per alcuni di essi si attivano opportune iniziative per limitare la probabilità che avvengano (contromisure) Si fa in modo di ridurre le conseguenze negative per quelli che comunque sopravvengono (contrasto e recupero) Un prodotto si dice sicuro quando Non presenta vulnerabilità significative per il fatto che ha la capacità intrinseca di resistere ad un insieme predefinito di attacchi dispone di funzioni che possono essere attivate per incrementare tale capacità è stato progettato, prodotto e gestito con processi sicuri, ossia capaci di ridurre sensibilmente la probabilità che esistano vulnerabilità inattese

4 Verifica, valutazione formale e certificazione Tre diverse esigenze: Conoscere le caratteristiche di sicurezza Valutare il livello di sicurezza Ottenere un attestato relativo alle caratteristiche ed al livello di sicurezza Verifica della sicurezza (auditing) Valutazione del livello di sicurezza con metodi formali Certificazione della sicurezza Motivazioni per la verifica della sicurezza Accertare il raggiungimento degli obiettivi definiti nella fase di valutazione dei rischi Controllare l efficacia del sistema di sicurezza Far emergere possibili lacune di sicurezza Decidere le azioni e gli investimenti economici per ridurre l esposizione ai rischi

5 La pianificazione della sicurezza nel caso di un sistema esistente Sistema informatico Studio di fattibilità Preparazione Fase di regime Verifica Miglioramento Analisi dei requisiti Progettazione Esercizio Assessment Manutenz.evolutiva Valutazione dei rischi Verifica della sicurezza I percorsi per la pianificazione della sicurezza Nuovo sistema informativo Sistema informativo esistente Esperienza e buon senso (best practices) Requisiti (metodi di valutazione dei rischi) Stato attuale (metodi di verifica/valutazione della sicurezza) convenienza distanza da valori di riferimento Azioni per migliorare la sicurezza

6 Le tecniche per la verifica della sicurezza Questionari Checklist Competenza del valutatore (auditor) Standard di riferimento: ISO (già BS 7799 parte 1) La terminologia dei consulenti: security assessment, risk assessment, security auditing, security benchmarking La verifica della sicurezza Valutazione dei rischi Adatta a sistemi nuovi ed esistenti I rischi sono valutati esaminando beni, vulnerabilità e minacce Viene svolta con il supporto di tool specifici Popola una base informativa utile per la fase di gestione Verifica della sicurezza Idonea per sistemi esistenti I rischi sono valutati sulla base di analogie buona prassi esperienza Utilizza principalmente check-list Produce rapporti sul livello di sicurezza e sulle criticità

7 La verifica della sicurezza nella PA La legge sulla privacy prescrive, con cadenza almeno annuale, la revisione del documento programmatico sulla sicurezza ed attività di verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione (DL 196/03 allegato B) Possibilità di auto-valutazione (ad es. con questionario allegato alla Direttiva del Ministro per l'innovazione e le Tecnologie) Possibilità di utilizzo di checklist costruite a partire dai controlli della norma ISO/IEC Le norme della serie ISO ISO vocabolario e definizioni ISO caratteristiche del sistema di gestione della sicurezza informatica ISO (ora ISO 17799) elenco dei controlli per la verifica della sicurezza informatica ISO guida alla realizzazione ISO metriche per la valutazione della sicurezza ISO gestione dei rischi ISO guida al processo di certificazione

8 La norma ISO (27002) La (conosciuta ancora come BS ) normalizza un insieme di controlli basati sull esperienza o buona prassi (best practices) I controlli corrispondono a contromisure, ossia iniziative per gestire di specifici rischi Alcuni controlli possono essere non significativi, per cui la norma prevede di selezionare le verifiche in funzione del contesto Le clausole della norma ISO Politiche di sicurezza Organizzazione Classificazione e controllo dei beni Personale Sicurezza fisica Gestione dei sistemi e delle infrastrutture Controllo accessi Sviluppo e gestione dei sistemi Gestione dei problemi di sicurezza Continuità del servizio Aderenza a norme e direttive

9 Esempi di controlli Accordi di riservatezza i requisiti per la riservatezza o gli accordi di non divulgazione devono essere identificati e regolarmente riesaminati Ruoli e responsabilità i ruoli e le responsabilità di sicurezza di dipendenti, collaboratori e utenti di terze parti devono essere definiti e documentati nel rispetto della politica per la sicurezza delle informazioni dell organizzazione Messaggistica elettronica le informazioni dei servizi di messaggistica elettronica devono essere appropriatamente protette La valutazione formale della sicurezza: motivazioni Misurare il livello di sicurezza in modo oggettivo per verificare il raggiungimento degli obiettivi di sicurezza Sapere fino a che punto è possibile fidarsi di prodotti, sistemi e servizi Confrontare le caratteristiche di sicurezza in una procedura di acquisizione di beni o servizi di tipo competitivo Pubblicizzare le caratteristiche di sicurezza di un prodotto o di un servizio

10 Problemi della valutazione Per misurare qualcosa bisogna prima definirla con precisione Qual è l oggetto della valutazione? prevenzione contrasto recupero problemi operativi criminalità informatica eventi calamitosi analisi del rischio formazione/consapevolezza dei rischi Norme comportamentali Procedure Config./aggiornam. sistemi Sistemi operativi evoluti Controllo accessi Perimetrazione ( Fw ) Sistemi fault tolerant Autenticazione robusta Protezione messaggi in rete Call center/trouble ticketing CERT Quadrature Incident management Sistemi di tracciatura IDS/antivirus Procedure di restore Incident management Indagini (forensic) Analisi e correlazione log Contingency plan Prove Siti di recovery Architetture ridondate Attivazione del piano di DR Gestione del disastro Rientro problemi della valutazione Per valutare il livello di sicurezza occorre definire una metrica Qual è la scala in base cui si può asserire che un oggetto è più sicuro di un altro più contromisure? meno rischi? più attenzione alla sicurezza?

11 Primi standard per i sistemi Unix (TCSEC) Sicurezza Fiducia Un prodotto/sistema è fidato se è dotato di determinate protezioni La scala è determinata dal numero di protezioni presenti Limiti del TCSEC Le protezioni menzionate nello standard sono tipiche di elaboratori non connessi in rete Lo standard non consente flessibilità nella modalità di valutazione: la complessità è proporzionale al livello di sicurezza Ci sono pochi livelli per cui quasi tutti i prodotti sono stati valutati con livello medio-alto (C2) Il processo di valutazione è costoso

12 I miglioramenti dello standard europeo ITSEC Deve essere definito l oggetto della valutazione (Target Of Evaluation) Deve essere definito l obiettivo della valutazione (Security Target) E possibile effettuare la valutazione con diversi livelli di garanzia (Assurance Level) Dall ITSEC ai Common Criteria ITSEC è uno standard europeo mentre i Common Criteria sono uno standard internazionale In ITSEC gli elementi che qualificano la valutazione sono scelti dal committente se non si leggono i documenti della valutazione non si hanno informazioni sulle caratteristiche di sicurezza Nei Common Criteria è possibile fare riferimento a profili di protezione predefiniti e certifciati (Protection profile) relativi a tipologie omogenee di prodotti

13 Federal Information Processing Standards (FIPS) Sono emanati dal NIST (National Institute of Standard and Technology) Normalizzano le caratteristiche di specifici componenti di sicurezza (ad es. algoritmi crittografici, moduli crittografici, ecc.) Non sono riconosciuti dall Unione Europea La situazione attuale Gli standard per la valutazione della sicurezza sono utilizzati principalmente per sistemi operativi, data base e prodotti di sicurezza (firewall, smart card, ecc.) Nonostante i common criteria siano internazionali, prevalgono le certificazioni con standard americani (FIPS) Le norme sulla firma digitale prescrivono la certificazione dei dispositivi di firma con standard ITSEC o common criteria

14 Caratteristiche della valutazione della sicurezza di prodotti/sistemi Fornisce un istantanea della sicurezza di un prodotto o di un sistema Il risultato è significativo quando il prodotto è utilizzato nelle condizioni in cui è stato valutato Il processo di valutazione ha una durata ed un costo commisurati al livello di garanzia (EAL) La valutazione dei sistemi informatici con livelli elevati di garanzia è complessa I processi di valutazione formale della sicurezza Diffusi soprattutto per prodotti (smart card, sistemi operativi, ecc.) Si basano su metodi rigorosi che devono assicurare la confrontabilità dei risultati Il risultato deve essere esprimibile in una forma sintetica che fornisce l indicazione immediata del grado di sicurezza dell oggetto esaminato Standard di riferimento: ITSEC, Common Criteria

15 Valutazione formale e certificazione La valutazione formale può essere fatta da qualunque laboratorio di valutazione L intervento di una terza parte fidata (ente certificatore) garantisce la trasparenza dei processi l affidabilità dei risultati in termini di imparzialità, obiettività, ripetibilità e riproducibilità della valutazione la visibilità nei confronti di terzi Ciascuna nazione disciplina questi aspetti con un proprio schema di certificazione La certificazione della sicurezza Deve garantire l ufficialità e l oggettività del giudizio sulle caratteristiche di sicurezza Normalmente il soggetto che certifica è diverso da quello che esegue la verifica o la valutazione Standard di riferimento: ITSEC, Common Criteria, ISO 27001

16 La certificazione di processo Per fornire una garanzia di sicurezza compiuta bisognerebbe certificare non solo i prodotti ed i sistemi, ma anche i singoli processi dell organizzazione Si preferisce verificare che nell organizzazione vi siano le condizioni affinché ciascun processo sia condotto con sufficiente attenzione nei confronti della sicurezza In pratica viene certificato il sistema di gestione della sicurezza dell organizzazione (ISMS) Processo e prodotto Processo: successione delle operazioni da compiere per ottenere un determinato risultato Prodotto: risultato di un processo Processo Prodotto Spesso un processo è formato da più processi parziali, e così in cascata

17 La norma ISO Occorre verificare che sia presente un sistema di gestione della sicurezza, che tale sistema sia conosciuto e condiviso dai vertici dell organizzazione e che sia mantenuto costantemente attivo ed aggiornato Vi sono molte analogie tra il processo di gestione della sicurezza e quello di gestione della qualità (ciclo P-D-C-A) La gestione della sicurezza secondo la norma ISO Definire contesto e approccio per la valutazione dei rischi Identificare, analizzare e valutare i rischi Identificare e valutare le opzioni per il trattamento dei rischi Selezionare le iniziative (controlli) Ottenere l approvazione della Direzione in merito ai rischi residui Formulare il piano Attuare il piano

18 Il rischio Il rischio è la probabilità che un evento negativo si verifichi ossia è la probabilità che uno o più beni vengano danneggiati a causa di eventi non desiderati (minacce) che hanno sfruttato vulnerabilità del sistema I rischi residui Contrasto e recupero Misure preventive Processo normale Rischi che l organizzazione decide di accettare

19 Le motivazioni alla base del successo della norma BS 7799 Attenzione agli aspetti organizzativi Semplicità del processo di certificazione Analogia con gli standard di certificazione della qualità (serie ISO 9000) Possibilità di verifica dei presupposti per la corretta gestione della sicurezza nel tempo La certificazione ISO Caratteristiche del sistema di gestione della sicurezza (ISMS) Strategie di sicurezza Definizione del contesto Identificazione dei beni Identificazione delle minacce Identificazione delle vulnerabilità Valutazione dei rischi Identificazione delle aree critiche Gestione dei rischi Identificazione ed attuazione dei controlli appropriati Formalizzazione delle scelte

20 la certificazione ISO Attività di verifica Verifica della conformità alla norma Verifica dell efficacia e correttezza di strategie di sicurezza obiettivi di sicurezza Identificazione di eventuali lacune di sicurezza Primo rapporto con indicazioni per il miglioramento della gestione della sicurezza Verifica del rispetto degli obblighi contrattuali Verifica del rispetto delle norme Altri standard di certificazione CobiT ITIL Sarbanes Oxley CMMI ISO 20000

21 Per maggiori informazioni