Standards di Sicurezza e Percorsi di Certificazione Firenze 19, 20 Maggio 2005 XIX Convegno Nazionale di Information System Auditing
Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 2
Cos è uno standard di sicurezza IT? (per l utente) Un modo per definire i requisiti di sicurezza IT per alcune classi di prodotti IT: - Hardware - Software - Combinazione dei due (per lo sviluppatore/produttore) Un modo per descrivere le caratteristiche/potenzialità di sicurezza dei propri prodotti (per il valutatore) Uno strumento per misurare il livello di assicurazione/garanzia che può essere associato ad un particolare prodotto/servizio di sicurezza 3
Tipologie di standards di sicurezza (1/3) Per quanto riguarda gli aspetti tecnici: - TCSEC - ITSEC (1991) - ISO/IEC 15408 o Common Criteria (1999) - NIST-FIPS (per apparati crittografici) - NIST-HIPAA (per i sistemi informatici in ambito sanitario) Per quanto riguarda gli aspetti organizzativi: - ISO/IEC TR 13335 (GMITS) Guidelines for the Management of IT Security - BS 7799 - ISO/IEC 17799 - BS ISO/IEC 90003:2004 Software engineering. Guidelines for the application of ISO 9001:2000 to computer software 4
Tipologie di standards di sicurezza (2/3) ITSEC e ISO/IEC 15408 Tengono in considerazione tre aspetti fondamentali: In diretta relazione con gli obiettivi di riservatezza, integrità, disponibilità. E la logica applicazione delle politiche di sicurezza tecnica specifiche individuate. In pratica si realizza attraverso misure tecniche che contrastano le minacce. Funzionalità piano della garanzia Correttezza Efficacia E' il grado di rispondenza dell'implementazione della soluzione ICT ai requisiti espressi dalle Funzionalità. Indipendente dall'efficacia e dalle minacce. Strettamente dipendente dalla qualità della realizzazione e quindi dalla bontà del processo che l'ha governata. E' il grado in cui le misure tecniche contrastano le minacce da cui il sistema o prodotto si propone di difendersi. Ha significato solo in relazione ad un ben determinato insieme di minacce. 5
Tipologie di standards di sicurezza (3/3) Nel 1995 è stato definito lo standard BS7799.. ripreso nel 2000, nella sua prima parte, dalla norma ISO/IEC17799:... nel 2002 rivista la parte 2 ed introdotto l approccio Plan/Do/Check/Act Obiettivo BS7799: ottimizzazione rapporto costi/benefici delle misure di sicurezza. BS7799 parte I should Elenca le best practice suggerite per implementare un programma per la sicurezza delle informazioni BS 7799 parte II shall Elenca i processi ed i controlli per implementare e certificare un sistema di gestione della sicurezza delle informazioni 6
Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 7
Business Consulting Services Standard Tecnici vs Standard Organizzativi ITSEC & ISO/IEC 15408 Criteri di valutazione formale della sicurezza IT di sistemi e prodotti - - - non sono norme ma criteri: identificano le verifiche da eseguire nel corso della valutazione. formale: cioè basata su azioni note, imparziali, ripetibili, riproducibili (metodologie). hanno come oggetto le contromisure IT, anche se il contesto dell'ambiente di esercizio deve essere descritto con tutte le contromisure anche di altro genere. Valutare significa dare garanzia (assurance) per le funzionalità definita nel Target di Sicurezza 8 ISO/IEC 1:7799 Standard organizzativo per la Gestione della Sicurezza delle Informazioni Non fornisce elementi di valutazione oggettiva della sicurezza del sistema ICT, poiché: utilizza spesso termini come appropriato, adeguato e forme verbali condizionali quali dovrebbe, non richiede necessariamente che tutte le aree d'intervento, e le relative misure, siano soddisfatte. La valutazione è demandata alla competenza dell'auditor nello stabilire, per ogni punto d'intervento, se le relative misure siano appropriate.
Business Consulting Services Complementarietà degli standards BS7799 ISO/IEC 17799 Infrastruttura organizzativa 9 ITSEC ISO 15408 (CC) Standard di valutazione e metodologie Aspetti Tecnici Test d intrusione / vulnerabilità
Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 10
Il percorso evolutivo degli standard ISO 15408 Canadian Initiatives 89-93 NSA e NIST CTCPEC 3 93 US TCSEC 83, 85 NIST s MSFR 90 Federal Criteria 92 Common Criteria Project 93-- Common Criteria 1.0 96 Common Criteria 2.1 99 = Versione definitiva TCSEC 1985 European National & Regional Initiatives 89-93 Avvio attività ISO 1990 ITSEC 1.2 91 ISO Initiatives 92-- UE sponsor di ITSEC 1995 ISO IS 15408 99 standard ISO (ISO 15408) 1999 11
Il percorso evolutivo degli standard ISO 17799 Riferimento Sicurezza risorse informative Primi 90s Standard britannico BS7799 1995 Standard ISO (ISO 17799) 2000 Pubblicazione Best Practice 1993 Specifiche sistema di gestione della sicurezza delle informazioni (part 2) 1998 Nuova parte 2 (BS7799-2/2002) Plan-Do- Check-Act 2002 12
TCSEC Trusted Computer Systems Evaluation Criteria INTRODUCE IL CONCETTO DI "POLITICA DELLA SICUREZZA" COME GUIDA FORMALE, ESPLICITA E CONOSCIUTA ALLA ESECUZIONE DELLE CONTROMISURE Impatto implementativo ALTO LEGENDA classe D : Protezione minimale classe C 1 : Protezione discrezionale classe C 2 : Controllo accessi (discrezionale) classe B 1 : Classificazione degli oggetti (discrezionale) classe B 2 : Protezione strutturata (mandatoria) classe B 3 : Dominio sicuro (mandatoria) classe A 1 : Protezione verificabile (certificata) INTRODUCE IL CONCETTO DI "CONTROMISURA" COME ATTO A PROTEZIONE DEL BENE ADEGUATO AL VALORE DEL BENE E AL LIVELLO DI RISCHIO DELL'AGGRESSIONE Approccio basato sull analisi del disegno, dell implementazione, della documentazione e delle procedure Enfasi sui requisiti di Confidenzialita Pensato per sistemi operativi BASSO D B2 B1 C2 C1 B3 A1 Requisiti 13
ITSEC Information Technology Security Evaluation Criteria ORIENTATO ALLA VALUTAZIONE DI SISTEMI O DI PRODOTTI SPECIFICI INTRODUCE IL CONCETTO DI T.O.E. (TARGET OF EVALUATION): insieme del prodotto/sistema e la relativa documentazione utente soggetta a valutazione T. INTRODUCE IL CONCETTO DI SECURITY TARGET in cui il produttore stabilisce i criteri di sicurezza funzionale (Non forniti da ITSEC) FUNZIONALITA' DI SICUREZZA PREVISTE O. T. E. LIVELLO DI FIDUCIA (ASSURANCE) Valutazione "DISACCOPPIATA" tra le funzioni di sicurezza previste e il grado di fiducia, CONOSCENZA, sulla correttezza e sulla idoneità delle funzioni realizzate 14
ITSEC - Funzionalità di sicurezza (security requirements) e Livelli di Fiducia (assurance level) CLASSI FUNZIONALI : CRITERI DI VALUTAZIONE : Identification and authentication Access control { COSTRUZIONE EFFECTIVENESS OPERATIVITA' ROBUSTEZZA... FACILTA' D'USO... Audit Object reuse Accuracy Reliability of service Data exchange CORRECTNESS COSTRUZIONE {OPERATIVITA' AMBIENTE SVILUPPO LINGUAGGI... DOCUMENTAZIONE... C110 livelli di classificazionea E1 E6 Discrezionale Certificata 6 LIVELLI GERARCHICI E1-E6 15
Common Criteria Cos é un Common Criteria? Una struttura e un linguaggio comune per esprimere requisiti di sicurezza per prodotti/servizi IT (Parte 1) Raccolta di componenti e set di requisiti di sicurezza per prodotti/servizi IT (Parte 2 & 3) Come utilizzare un Common Criteria? Sviluppo di Profili di Protezione e di Target di Sicurezza, requisiti di sicurezza specifici per prodotti e sistemi IT Criterio di scelta di prodotti/sistemi IT da parte dell utilizzatore/acquirente Valutare prodotti e sistemi a fronte di requisiti conosciuti e accettati ( CONFIDENZA) IS 15408-1: Criteri di Valutazione per la Sicurezza IT - Parte 1: Introduzione e modello generale, 1999. IS 15408-2: Criteri di Valutazione per la Sicurezza IT - Parte 2: Requisiti di sicurezza funzionali, 1999. IS 15408-3: Criteri di Valutazione per la Sicurezza IT - Parte 3: Requisiti di assicurazione della sicurezza, 1999. 16
Common Criteria - Tipologie dei requisiti 1. Requisiti funzionali (risponde alla domanda: cosa è in grado di fare un prodotto/sistema?) - fondamentali per definire i comportamenti in materia di sicurezza dei prodotti e sistemi informatici. I requisiti effettivamente implementati diventano così funzioni di sicurezza. 2. Requisiti di assicurazione (risponde alla domanda: è il prodotto/sistema costruito in maniera corretta/affidabile?) - fondamentali per stabilire la fiducia che si può riporre nelle funzioni di sicurezza sia in termini di correttezza di implementazione sia in termini di efficacia di soddisfare gli obiettivi propri delle stesse funzioni di sicurezza. 17
Comparazione tra ITSEC e Common Criteria I Common Criteria attingono agli standard precedenti prendendo i punti di forza dei vari standard. I Common Criteria abbandonano la flessibilità totale dell ITSEC e dei Federal Criteria nell utilizzo dei protection profile e delle classi di sicurezza predefinita. Per guidare gli utenti la definizione delle classi contiene informazioni circa gli obiettivi di sicurezza, i razionali, le minaccie, etc. La maggiore flessibilità dell ITSEC lo rende di più semplice utilizzo nel caso di valutazione di un sistema, mentre i Common Criteria sono più orientati alla valutazione di un prodotto I Common Criteria rimpiazzeranno l ITSEC 18
Tabella di corrispondenza TCSEC, ITSEC e CC TCSEC D - C1 C2 B1 B2 B3 A1 ITSEC E0 - E1 E2 E3 E4 E5 E6 CC - EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 19
Standard BS7799 BS7799-1 Utilizzare un framework condiviso da tutti per sviluppare, implementare e monitorare le modalità di gestione della sicurezza per migliorare la fiducia nelle relazioni interaziendali BS7799-2 Indica i requisiti per la certificazione di un.. sistema di gestione per la sicurezza delle informazioni 1. Politica di sicurezza 2. Organizzazione di sicurezza Pianificazione 3. Controllo e classificazione asset 127 controlli Obiettivi di controllo 4. Sicurezza personale 5. Sicurezza fisica 6. Operations and communication 7. Controllo accessi Valutazione ISMS Implementazione 8. Sviluppo e manutenzione sistemi 9. Business Continuity Management 10. Compliance Verifica 20
Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 21
Il processo di Certificazione ISO 15408 Problem Report TOE Definition Developer /Sponsor Fornitore/Committente Deliverables CLEF/LVS Problem Report Evaluation Technical Report Certification Body Organismo Certificazione Certification Report Sponsor Il processo di certificazione dei CC e dell ITSEC è simile CLEF Commercial Evaluation Facility LVS Laboratorio per la Valutazione della Sicurezza TOE Target of Evaluation ODV Oggetto Della Valutazione ISCTI ( Istituto Superiore delle Comunicazioni e delle Tecnologie delle Informazioni) Organismo Certificatore 22
Il processo di Certificazione BS7799 Definizione delle Politiche Definizione dell Ambito Inventario Asset Classificazione Asset Risk Assessment Risk Management Selezione Controlli Allineamento e integrazione col Sistema Qualità SOA Redazione documentazione ISMS Risk treatment Plan Organizzazione di Sicurezza Procedure Business Continuity Plan Implementazione tecnologica Realizzazione Azienda Riesame della documentazione Creazione Creazione della della consapevolezza consapevolezza Prevalutazione Auditor(s) AI, Fase 1 Audit iniziale <13 settimane Gruppo di Audit Esperti tecnici (ev.) Mantenimento (chiusura NC) Mantenimento (chiusura NC) AI, Fase 2 Audit periodici < 13 settimane Certificato 23
Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 24
DPCM 30 Ottobre 2003 G.U. n.98 del 27/4/2004 Approvazione dello Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dell informazione Normativa di Riferimento: ITSEC (Giugno 1991); ITSEM (Information Technology Security Evaluation Manual Settembre 1993); Raccomandazione del Consiglio dell UE (95/144/CE): concernente l applicazione dei criteri per la valutazione della sicurezza della tecnologia dell informazione (Aprile 1995); ISO/IEC 15408 (ver. 2.1 dei Common Criteria for Information Technology Security Evaluation ); ISO/IEC n. 17799: Codice di buona pratica per la gestione della sicurezza dell informazione (2000); UNI CEI EN ISO/IEC 17025:2000 concernente i requisiti generali per la competenza dei laboratori di prova e di taratura; UNI CEI EN 45011: concernente i requisiti generali relativi agli organismi che gestiscono sistemi di certificazione di prodotti 25
Dettagli sulla normativa Introduzione di uno SCHEMA NAZIONALE per la valutazione e certificazione di sistemi e prodotti informatici, in conformità con gli standard ITSEC e ISO/IEC 15408; Lo schema nazionale reca l insieme delle procedure e regole nazionali per la valutazione e la certificazione in conformità ai criteri europei ITSEC o standard ISO/IEC 15408 (Common Criteria); Identificazione nell Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione (ISCTI) come Ente avente facoltà di accreditare i LVS (Laboratori per la Valutazione della Sicurezza); Identificazione negli ODV (Oggetti di Valutazione) degli elementi per i quali verrà richiesta la valutazione/certificazione; Descrizione del processo di richiesta, valutazione e certificazione degli ODV; Lo SCHEMA NAZIONALE non si applica per i sistemi e prodotti che trattino informazioni classificate (cfr. DPCM 11/4/2002). 26
DPCM 11/4/2002 G.U. n.131 del 6/6/2002 Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato Normativa di Riferimento: P.C.M - A.N.S. Normativa Unificata per la Tutela del Segreto di Stato Atto della Commissione europea del giugno 1991 con il quale sono stati stabiliti i criteri di valutazione della sicurezza dei sistemi informatici denominati "ITSEC Atto del Comitato di gestione dell'iso che recepisce quale International Standard ISO/IEC IS n. 15408, la versione 2.1 dei "Common Criteria" L ente di certificazione è l A.N.S (Autorità Nazionale per la Sicurezza) Centro di Valutazione Ce.Va. Competente per le valutazioni di sicurezza di un prodotto o un sistema. Viene accreditato dall A.N.S. 27
D. Lgs. 196/ 03 T.U. Privacy - Misure minime di sicurezza MISURE DI SICUREZZA I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta (cfr. art. 31) Nel quadro dei più generali obblighi di sicurezza di cui all art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. (cfr. art. 33) Responsabilità civile Responsabilità penale 28
Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 29
Lo stato dell arte dei prodotti certificati La lista dei prodotti certificati Common Criteria è in costante aggiornamento e può essere consultata all indirizzo: - http://www.commoncriteriaportal.org/ I prodotti certificati ad oggi sono 241, suddivisi nelle seguenti tipologie: Access Control Devices and Systems 3 Boundary Protection Devices and Systems 42 Data Protection 13 Databases 13 Detection Devices and Systems 3 ICs, Smart Cards and Smart Card related Devices and Systems 61 Key Management Systems 16 Network and Network related Devices and Systems 16 Operating systems 31 Other Devices and Systems 43 Prodotti certificati nel 2004 56 Prodotti certificati nel 2005 18 30
Lo stato dell arte dei prodotti IBM certificati La lista dei prodotti IBM certificati è in costante aggiornamento e può essere consultata all indirizzo: - http://www.ibm.com/security/standards/st_evaluations.shtml - Di seguito alcuni dei prodotti certificati: - IBM Cryptographic chip for PC CC EAL3 - IBM 4758 Cryptographic Co-Processor NIST FISP 140-1 Level 4 - Tivoli Access Manager for e-business CC EAL3+ - Tivoli Identity Manager for e-business on going (3Q) - Tivoli Amos on going (2Q) - IBM Directory Server CC EAL3 - IBM DB2 UDB CC EAL4 + - IBM DB2 Content Manager CC EAL3 - AIX 5L CC EAL4+ - ZSeries Logical Partition LPAR zseries 900 PR/SM CC EAL5 31
Le aziende che raggiungono la Certificazione BS7799 sono in rapida crescita Country Argentina Australia Austria Belgium Brazil China Colombia Czech Republic Denmark Egypt Finland Germany Greece Hong Kong Hungary Iceland India Ireland Isle of Man Italy Lebanon Lithuania n 2 11 5 2 3 11 1 1 2 1 13 36 3 17 13 4 91 11 2 23 1 1 Le società certificate: situazione 2003 vs 2005 Country Luxemburg Japan Korea Macau Macedonia Malaysia Mexico Morocco Netherlands Norway Poland Qatar Romania Saudi Arabia Singapore Slovakia Slovenia South Africa Spain Sweden Switzerland Taiwan UAE UK USA Fonte: www.xisec.com (dati aggiornati al 8.04.05) n 1 587 31 1 1 2 3 1 18 9 5 1 1 3 11 1 1 1 3 7 5 45 3 185 16 305 30/9/03 TOTALE società certificate nel mondo 890 30/9/04 1190 8/4/05 Società appartenenti al gruppo IBM certificate: IBM BCRS Italia (dicembre 2004) IBM BCRS Cina (ottobre 2004) 32
Le capabilities IBM in ambito Certificazione L IBM possiede due laboratori di Valutazione (Commercial Evaluation Facility CLEF) in UK ed in Canada per la preparazione del processo di certificazione sia per prodotti interni che esterni (ITSEC e Common Criteria). La Practice internazionale di Security&Privacy offre supporto metodologico e specialistico alle aziende per il percorso di Certificazione verso la norma BS7799-2. 33
Riferimenti Common Criteria http://www.commoncriteriaportal.org INFOSEC http://www.cordis.lu/infosec/home.html Raccomandazione CE del 7/4/1995 http://www.cordis.lu/infosec/src/itserec.htm Computer Security Resource Center (CSRC) NIST http://csrc.nist.gov/index.html 34
Struttura gerarchica dei Common Criteria: un esempio di Gerarchia La gerarchia dei requisiti funzionali e di assicurazione dei CC rappresenta una logica costruttiva che organizza i costituenti dei requisiti di sicurezza nei seguenti elementi: - Classe (ad es. FDP Protezione dei dati utente): un insieme di famiglie che condividono uno stesso focus. - Famiglia (ad. es. FDP_ACC Politica di Controllo Accessi): un gruppo di componenti che condividono obiettivi di sicurezza ma che possono differire in termini di enfasi e/o rigore. - Componente (ad. Es. FDP_ACC.1 Sottoinsieme di Controllo Accessi): l insieme elementare di sottoelementi che possono essere inclusi in un PP,ST o package. (Req. funzionali o di assicurazione) FAMIGLIA CLASSE FAMIGLIA Componente Componente Componente Flessibilità nel definire i requisiti PP o ST PP Project Profile (generico) ST Security Target (specifico) 35