Analisi dei rischi: esercizi (esercizio 1)

Documenti analoghi
Analisi dei rischi: esercizi (esercizio 2)

Analisi dei rischi: esercizi (esercizio 2)

Informazioni legali dell intestatario del sito internet WEB EURO SERVICE di Manuel Maccarino, via Manzoni,

Servizio Calcolo e Reti

L informativa è resa solo per il sito in oggetto e non anche per altri siti web eventualmente consultati dall utente tramite link.

CRAMM. Fase 2 Analisi di vulnerabilità, misura del rischio

PERCORSO FORMATIVO 1 MODULO. Normativa e Gestione dei Trattamenti

Settore delle carte di pagamento (PCI) Standard di protezione dei dati

Cloud enablement Agenda

UML I diagrammi implementativi

Gestione della configurazione Input/Output PLC Cosa c'è di nuovo?

Contenuto del rilascio

Una metodologia per la specifica di software a componenti

Privacy Policy Web

Informativa ai sensi del Regolamento UE 2016/679 ( GDPR ) - Studio Ambiente

I Suoi dati personali non saranno oggetto di diffusione, tuttavia, se necessario, potranno essere comunicati:

Modulo 3 - Elaborazione Testi Presentazione del corso

NOTE OPERATIVE DI RELEASE

Circolare fine anno OGGETTO: ATTIVITA E VERIFICHE PER CHIUSURA ANNO 2015 ED INIZIO ANNO 2016 PER I CLIENTI CHE UTILIZZANO ANTHEA SERVICES.

Obblighi di controllo dei Fornitori esterni. Rischio tecnologico

Standard di protezione dei dati (DSS)

Informativa breve (per minori)

Servizio di Firma Elettronica Avanzata BMW Bank GmbH Succursale Italiana Caratteristiche tecniche e conformità

Uso dell'inchiostro arancione CMP IT

Università di Bergamo Dip. di Ingegneria gestionale, dell'informazione e della produzione INGEGNERIA DEL SOFTWARE. Paolo Salvaneschi A6_2 V3.

System Analysis (SA) MGT MiGiocoTutto

Note di fine anno. Applicativo Dylog Manager. Dicembre 2015 rel. 01

Comune di Gussago. Provincia di Brescia MODALITA DI UTILIZZO DEL SERVIZIO CITTADINO ATTIVO

Dall esperienza della Porta di Dominio italiana, l API Gateway conforme alle normative della Pubblica Amministrazione.

Advertising / Communication / Web Agency

Le basi di dati. Definizione 1. Lezione 2. Bisogna garantire. Definizione 2 DBMS. Differenza

PAC Indicom PRIMA ATTIVAZIONE CLIENTI

Guida Accesso Atti Notai -Presenze

Analisi dei rischi: esercizi (esercizio 4)

Applicativo PAGHE PROJECT

Ministero dell Istruzione, dell Università e della Ricerca. Servizio di collaudo

Per le istruzioni operative vedere il manuale 770 allegato.

Un'Interfaccia per il Monitoraggio dei Guasti in un'applicazione per il Controllo del Traffico Aereo


Simple Social: implementazione di una

Tipologia di dati trattati e finalità del trattamento

2. Modellazione dei casi d uso

SDS (Scarico informazioni di dettaglio Basi Dati Sanità) Manuale Utente. SDS (Scarico informazioni di dettaglio Basi Dati Sanità) Manuale Utente

IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI: DA OBBLIGO A OPPORTUNITÀ

Ostuni, Spett.le MP SOLUZIONI INFORMATICHE di Pasquale Mummolo Via Tito Minniti, 22/C Part. IVA: BRINDISI

Guida Accesso Atti Notai - Presenze

IS357_03_04 Lettera aggiornamento SUAP vers

IL NUOVO REGOLAMENTO Analisi e impatto sul sistema informatico

Note di rilascio 'Agg. HR Portal v ' Applicazioni HR

AGID: Le misure minime di sicurezza ICT per la PA. Documento di sintesi della Circolare AGID

SISTEMA DI GESTIONE INTEGRATO Ambiente e Sicurezza. Gestione dei documenti e delle registrazioni INDICE

Contenuto del rilascio

Non rischiate, scegliete la miglior soluzione per client desktop e portatili CLIENT SECURITY

Manuale di Aggiornamento BOLLETTINO. Rel B. DATALOG Soluzioni Integrate a 32 Bit

privacy LA PRIVACY POLICY DI QUESTO SITO PERCHE' QUESTO AVVISO privacy, Officina Meccanica Fabio Bottesi, Trentino

Dall esperienza della Porta di Dominio italiana, l API Gateway conforme alle normative della Pubblica Amministrazione. Govlet Fatturazione passiva

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

CLOUD COMPUTING E CLOUD STORAGE PROF. MAURIZIO NALDI ABILITÀ INFORMATICHE

Guida all attivazione

Manuale di Aggiornamento BOLLETTINO. Rel F. DATALOG Soluzioni Integrate a 32 Bit

Gestione del protocollo informatico con OrdineP-NET

Quadro di riferimento per la redazione e lo svolgimento della seconda prova scritta dell esame di Stato ISTITUTI TECNICI SETTORE TECNOLOGICO

ITI M. FARADAY. Programmazione a. s

Scritto da m l Venerdì 20 Febbraio :31 - Ultimo aggiornamento Sabato 21 Febbraio :37

NOTE OPERATIVE PER L UTILIZZO DEL SOFTWARE REGIONALE

Se volete ricevere una ricevuta dell avvenuto accredito del bonifico sul conto corrente del beneficiario scegliete Richiesta Esito (CRO).

Manuale Utente Questionario GEI-FTV

PROGRAMMAZIONE DISCIPLINARE ANNO SCOLASTICO 2018/2019

Privacy e tutela dei dati personali: il Regolamento Europeo 679/2016 Gli obblighi per i Comuni

TRASPORTI ECCEZIONALI ON LINE

Unione di Comuni Terre di Castelli (Provincia di Modena)

Unione di Comuni Terre di Castelli (Provincia di Modena)

Axitea. Integrated Security Solutions. Axitea Integrated Security Solutions

IL PROCESSO di PROGETTAZIONE

Gestione del cambiamento dei Servizi IT Infrastrutturali SPC Cloud

HOSTING ASICT. Servizio piattaforme software e identità digitale Roberto Gaffuri - 27 marzo 2017

Consultazione preliminare di mercato - Servizi di assistenza specialistica prodotti Micro Focus (C027/17). AVVISO CONSULTAZIONE PRELIMINARE DI MERCATO

sistemapiemonte ProDis Prospetto Disabili Manuale d'uso sistemapiemonte.it

nome di un menu per visualizzarlo e poi selezionate facendo clic sul comando che vi interessa.

AGYO PRIVACY. GDPR senza pensieri? Scegli il software in cloud Agyo Privacy

Università di Bergamo Facoltà di Ingegneria INGEGNERIA DEL SOFTWARE. Paolo Salvaneschi A6_3 V2.1. Gestione

Università di Bergamo Facoltà di Ingegneria INGEGNERIA DEL SOFTWARE. Paolo Salvaneschi A4_3 V2.1. Progettazione. Metodi e Linguaggi

Gestire le Proposte di Vendita

DIAGRAMMI DEI PACKAGE

Studio del linguaggio TROPOS per la modellazione dei requisiti orientata agli agenti

ACO Archiviazione Elettronica e Conservazione sostitutiva

Modulo Gestione Malattie

Se l efficienza è il problema, la Organization Intelligence può essere la soluzione? Giovanni Marrè Amministratore Delegato, it Consult

Cos'è una PRIVACY POLICY

Unione di Comuni Terre di Castelli (Provincia di Modena)

UML Introduzione a UML Linguaggio di Modellazione Unificato. Corso di Ingegneria del Software Anno Accademico 2012/13

Basi di dati (Sistemi Informativi)

Cybersecurity e PA. AgID per la sicurezza ICT delle Pubbliche amministrazioni. Corrado Giustozzi Agenzia per l Italia Digitale CERT-PA

Ski Ways Piano di Testing

Manuale di Aggiornamento BOLLETTINO. Rel F2. DATALOG Soluzioni Integrate a 32 Bit

Prova Scritta di Basi di Dati

Transcript:

Analisi dei rischi: esercizi (esercizio 1) Marco Domenico Aime < m.aime @ polito.it > Politecnico di Torino Dip. di Automatica e Informatica 1 Esercizio 1.1 per ridurre i costi IT, l'organizzazione ACME potrebbe avvalersi di un gestore esterno per i servizi di posta elettronica data la criticità del servizio è stato deciso di condurre un'accurata analisi dei rischi in particolare, la gestione delle caselle di posta da parte degli utenti (MUA) sarà erogato via un'applicazione web mail identificate i beni a rischio riferiti all'applicazione web mail costruendo un modello DFD elencate in forma tabellare i principali requisiti di sicurezza 2 Marco Domenico Aime (2009) 1

riferimenti su DFD: Esercizio 1.1 http://www.yourdon.com/strucanalysis/wiki/index.php? title=chapter_9 http://yourdon.com/strucanalysis/wiki/index.php? title=chapter_19 il gestore esterno è incaricato della configurazione dei vari componenti del servizio potete omettere la modellazione delle funzioni di amminstrazione del servizio da parte di ACME per i requisiti limitatevi alle dimensioni CIA 3 Esercizio quali sono le entità principali che interagiscono nel servizio? quali sono le principali informazioni persistenti e temporanee gestite dal servizio di web mail? quali sono le operazioni fondamentali eseguite sulle informazioni? quale entità è autorizzata ad eseguire le varie operazioni? quale entità è autorizzata richiedere l'esecuzione delle varie operazioni? quali livelli di criticità e/o fiducia si possono individuare? 4 Marco Domenico Aime (2009) 2

Esercizio 1.2 identificate le principali componenti software (applicazioni, dati, protocolli) utilizzati dal servizio web mail ACME costruite un diagramma delle dipendenze tra processi/informazioni e componenti software potete usare (impropriamente) un fault diagram elencate in formato tabellare le possibili vulnerabilità associate ai componenti della piattaforma modellata 5 Esercizio 1.2 dovete scegliere una piattaforma applicativa meglio scegliere quella che più conoscete potete fare riferimento a una specifica implementazione, ad esempio: http://squirrelmail.org/ per le dipendenze limitatevi a dipendenze di tipo AND per le vulnerabilità scegliete una fonte di informazioni sulle vulnerabilità ad esempio potete usare nvd.nist.gov e owasp.org potete considerare errori nel software o nella configurazione 6 Marco Domenico Aime (2009) 3

Esercizio 1.3 create un modello per descrivere l'infrastruttura (dispositivi, rete, sistemi di supporto, siti) in grado di erogare il servizio web mail ACME aggiornate il diagramma delle dipendenze costruito all'esercizio 1.2 rappresentando le dipendenze dovute a una possibile configurazione del servizio web mail sull'infrastruttura disponibile usate un network diagram elencate in formato tabellare eventuali ulteriori controlli di sicurezza che è possibile attivare 7 Esercizio 1.3 per l'infrastruttura potete considerare la seguente modificandola via applicazione di specifici controlli e configurazioni INET 8 Marco Domenico Aime (2009) 4

Esercizio 1.4 costruite almeno un paio di attack tree indipendenti per il servizio di web mail che includano elementi a livello servizio, componenti software, e infrastruttura che coinvolgano entità diverse 9 usate un fault diagram Esercizio 1.4 per ogni attack tree considerate la violazione di uno solo dei requisiti di sicurezza identificati per ogni attack tree considerate una sola delle vulnerabilità identificate documentazione su attack tree: www.schneier.com/paper-attacktrees-ddj-ft.html 10 Marco Domenico Aime (2009) 5

Esercizio 1.4 come tipi di minacce potete prendere in considerazione: il metodo STRIDE: http://msdn.microsoft.com/enus/magazine/cc163519.aspx definirle e descriverle in termini di cambiamenti di parti del modello strutturato del sistema (aggiunta / modifica / rimozione di insiemi di elementi) categorie STRIDE / elementi DFD agenti esterni X X S T R I D E flussi di dati X X X archivi X X* X X processi X X X X X X 11 Esercizio 1.5 per uno degli attack tree costruiti al passo precedente identificate un paio di contromisure (dall'insieme selezionato al passo 3) con un effetto diverso sull'albero selezionato evidenziate le parti dell'albero modificate dalla presenza dei controlli selezionati estendete il diagramma dell'albero usando colori diversi per: elementi non modificati / elementi aggiunti / elementi cancellati 12 Marco Domenico Aime (2009) 6

Marco Domenico Aime (2009) 7

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back