La certificazione della sicurezza di sistemi e prodotti ICT

Documenti analoghi
L ISCOM e la certificazione

Il Piano Nazionale per la Sicurezza ICT nella PA

La certificazione della sicurezza ICT

Istituto Superiore delle Comunicazioni e delle Tecnologie dell informazione (ISCTI) Italian Ministry of Communication Direttore: ing.

Lo Schema nazionale di valutazione e certificazione della sicurezza ICT. Forum PA - maggio 2011

Identità digitale e relativi servizi: sicurezza e verifiche sui sistemi ICT

Ministero dello Sviluppo Economico Comunicazioni Istituto Superiore delle Comunicazioni e Tecnologie dell Informazione

Abstract: the Italian Certification Body in the field

La sicurezza globale delle informazioni e la certificazione: ambiti di applicazione

Proposta per l organizzazione della Sicurezza Informatica dell ISTI

Servizio Calcolo e Reti

Attività conto terzi dell Organismo di Certificazione della Sicurezza Informatica Indicazioni economiche

AGID: Le misure minime di sicurezza ICT per la PA. Documento di sintesi della Circolare AGID

La Politica del Sistema di Gestione Integrato Qualità, Ambiente e Sicurezza delle Informazioni POLITICA DEL SISTEMA DI GESTIONE INTEGRATO 2019 CREVAL

Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati

Le Misure Minime di sicurezza ICT per le Pubbliche Amministrazioni

La valutazione della sicurezza

La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

I rischi legali connessi alle attività di certificazione

Università di Bergamo Facoltà di Ingegneria INGEGNERIA DEL SOFTWARE. Paolo Salvaneschi A6_3 V2.1. Gestione

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Nota Informativa dello Schema N. 2/13

I sistemi di certificazione: richiami essenziali

La famiglia ISO 9000: il gruppo coerente

DI GESTIONE E CONSERVAZIONE DEI DOCUMENTI

Presidenza del Consiglio dei Ministri Autorità Nazionale per la Sicurezza CESIS III Reparto U.C.Si.

Comune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Scarica il Bando :

Gestione dello sviluppo software Modelli Base

La CyberSecurity nel modello ICT per la PA

Questa pagina è lasciata intenzionalmente vuota

Valutazione e certificazione della sicurezza informatica ( D.P.C.M , G.U )

La valutazione comparativa dei prodotti fitosanitari contenenti sostanze attive candidate alla sostituzione

La definizione è molto generica e lascia grandi spazi all'interpretazione (ed alle polemiche dei più esperti...).

CORSO DI AUDITOR INTERNO ED ESTERNO

PERFORMANCE ANNO 2012 PIANO INTEGRATO DEL DIPARTIMENTO SERVIZI TECNOLOGICI E FUNZIONE AQ

Linea Guida ISCOM CERTIFICAZIONE DELLA SICUREZZA ICT. Silvano Bari ALITALIA, AIEA

Ministero dell Istruzione, dell Università e della Ricerca. Servizio di collaudo

PROVINCIA DI VICENZA

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Ordinanza sulle certificazioni in materia di protezione dei dati

Abstract: the most industrialized countries

Identità e ruolo del responsabile dell incarico di revisione

XV Corso - Convegno sull attuazione dei principi di Buona Pratica di Laboratorio. Roma 21 dicembre 2010

Schema di Attestazione per l Attenuazione del Rischio

Prot. DC2019SSV044 Milano,

Cybersecurity e PA. AgID per la sicurezza ICT delle Pubbliche amministrazioni. Corrado Giustozzi Agenzia per l Italia Digitale CERT-PA

L organizzazione. disposizione ed alla combinazione delle risorse da. necessarie per l ordinato svolgimento della gestione.

Virtualizzazione Infrastrutture ICT. A chi è rivolto. Vantaggi per il Cliente. Perchè Luganet. Partner Commerciale

Sezioni: Scopo Funzioni coinvolte. Responsabilità Raccomandazioni Istruzioni operative Flow chart 10.

PROCEDURE DI AUDIT PRESSO IL TEST CENTRE

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Guida al Programma. Politica del Web Signage Partner Program

La gestione di un progetto BMS distribuito nell era del Cloud Computing. Filippo Cubattoli PcVue Srl

PROCEDURA Documentazione Tecnica

Politica per la Qualità, la Sicurezza delle Informazioni e la Sicurezza sul lavoro

L Ente Italiano di Accreditamento. Il ruolo dell accreditamento

LABORATORIO di VALUTAZIONE della SICUREZZA

Guida ai servizi

REGIONE PIEMONTE SIFOR MODALITA DI ACCESSO AI SERVIZI SOMMARIO

La Certificazione dei Valutatori Immobiliari, secondo Inarcheck. La certificazione base (VIMCA) La certificazione avanzata (VIPRO)

HOSTING ASICT. Servizio piattaforme software e identità digitale Roberto Gaffuri - 27 marzo 2017

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

L ACCREDITAMENTO ISO DEI LABORATORI MEDICI 29/30 ottobre 11/12/13 e 25/26/27 novembre 2014 Aula CUGAS, via Jappelli 1/A - Padova

Intervento 10 CERTIFICAZIONE APPRENDIMENTI NON FORMALI E INFORMALI

Sicurezza informatica: ottenere il livello ottimale con una politica di gestione che punti sull utente

Certificazione delle competenze

Ministero dello Sviluppo Economico

SCHEMA CERTIFICAZIONE SERVIZI ESCO UNI CEI EN SCPE ESCO15900

Assemblatore e riparatore di personal computer e installatore di reti locali

INDICE. Che cosa è SPID - Sistema Pubblico di Identità Digitale. L adesione della Provincia autonoma di Trento: la Convenzione

CONTRATTO DI CONCESSIONE DI LICENZA D'USO DEL SOFTWARE DESCRIZIONE DEL PRODOTTO

GE1412. Specifiche Tecniche del Servizio di Manutenzione. Hardware e Software

La norma ISO Salute e sicurezza sui luoghi di lavoro

SPECIFICHE DEL SERVIZIO

QUALITA QUALITA GARANZI A

Sezione 1 - Gestione e governance della protezione dei dati

Questa pagina è lasciata intenzionalmente vuota

UNI EN ISO 19011:2012

PROCEDURA Documentazione Tecnica per l esame UE del tipo

Introduzione. Sommario. Il software. Definizione di Ingegneria del software

SEMINARIO AICQ SICEV - SICEP

La Politica del Sistema di Gestione Integrato Qualità, Ambiente e Sicurezza delle Informazioni

SCHEMA PER LA CERTIFICAZIONE DEL PERSONALE

Industria 4.0: opportunità dell'iperammortamento

CPRP. CODICE DEI CONTRATTI PUBBLICI D.Lgs. 50/2016. VERIFICA/VALIDAZIONE DEI PROGETTI PUBBLICI (Art. 26 D.Lgs. 50/2016)

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Piano Triennale Offerta Formativa Sintesi Progetti / Attività

Infrastrutture IT. Il Cloud della PA

COMITATO DI ACCREDITAMENTO

IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI: DA OBBLIGO A OPPORTUNITÀ

Transcript:

La certificazione della sicurezza di sistemi e prodotti ICT Infosecurity 2007 Milano 7 febbraio 2007

La sicurezza ICT in un Organizzazione Processo di gestione della sicurezza ICT (ISMS) Certificabile ISO/IEC 27001 Informazioni/beni da proteggere Sistemi/prodotti ICT Contromisure tecniche Certificabili ISO/IEC 15408 (Common Criteria) Analisi e gestione dei rischi Politiche di sicurezza (modello organizzativo, definizione requisiti per le contromisure tecniche e non tecniche, ecc.) Contromisure fisiche Pluralità di soggetti con diversi compiti e responsabilità Competenza certificabile secondo criteri quali CISSP/SSCP, CISA/CISM, ecc.)

Tipi di certificazione Oggetto certificato Processo di gestione della sicurezza ICT (ISMS) Sistema/prodotto ICT Competenza del personale Norme di riferimento ISO/IEC 27001 ISO/IEC 15408 (Common Criteria) ITSEC CISSP/SSCP, CISA/CISM, ecc.

Le entità in gioco ISO/IEC 15408 (Common Criteria) ACCREDITATORE NORMA DI RIFERIMENTO FORNITORE/TITOLARE OGG. DA CERTIFICARE FRUITORE DEI SERVIZI FORNITI DALL OGGETTO CERTIFICATO ISO/IEC 27001 VALUTATORE CERTIFICATORE OGGETTO DA CERTIFICARE CERTIFICATO

Le certificazioni in Italia regolate da DPCM Certificazione di prodotto/sistema ICT Schema Nazionale del 1995 aggiornato nel 2002 (DPCM 11 aprile 2002 GU n. 131 del 6 giugno 2002) applicabile nel contesto della sicurezza interna e esterna dello Stato Ente di Certificazione/Accreditamento (EC): ANS/UCSi Centri di Valutazione (Ce.Va.): 3 privati, 2 pubblici (tra cui ISCOM) Schema Nazionale del 2003 (DPCM 30 ottobre 2003 GU n. 98 del 27 aprile 2004) applicabile in tutti i contesti non coperti dal primo Schema Organismo di Certificazione/Accreditamento (OCSI): ISCOM (Ministero Comunicazioni) coadiuvato dalla (FUB) Laboratori di Valutazione (LVS): 4 privati Assistenti: 5

I principali compiti dell OCSI Accreditare i Laboratori di valutazione (LVS) e abilitare gli Assistenti (ad oggi 4 LVS accreditati e 5 Assistenti abilitati) Revisionare e approvare i rapporti di valutazione sviluppati dagli LVS Emettere i certificati Gestire lo schema di mantenimento dei certificati Produrre e aggiornare la normativa di riferimento nell ambito dello Schema Nazionale di certificazione Mantenere i rapporti con gli Organismo di certificazione esteri anche ai fini del mutuo riconoscimento internazionale

La certificazione dei sistemi e prodotti ICT Oggetto della valutazione (ODV) Sistema Una specifica installazione ICT, caratterizzata da una completa definizione dei servizi svolti e dell ambiente operativo Prodotto Una componente software, firmware e/o hardware, che fornisce funzionalità di sicurezza utilizzabili in una molteplicità di sistemi

Livelli di garanzia Approccio generale Verifiche di tipo 1 (ad alto livello) controllano che vi siano tutte le funzioni di sicurezza necessarie, che siano in grado di cooperare efficacemente e che la robustezza dichiarata sia confermabile teoricamente Verifiche di tipo 2 controllano, con una severità dipendente dal livello di garanzia, che il sw/hw con cui le funzioni sono realizzate esibisca nelle condizioni di utilizzo dichiarate il comportamento teorico previsto a fronte di eventi accidentali o di attacchi

Adeguatezza teorica funzioni di sicurezza Obiettivi di sicurezza Controm. non ICT Funzioni di sicurezza dell ODV Funz. di altri apparati ICT Ambiente di sicurezza Minacce caratteristiche dell attaccante (conoscenze, risorse disponibili e motivazione), metodi di attacco (con eventuali vulnerabilità sfruttate), ecc

Violazione diretta o indiretta delle funzioni Obiettivi di sicurezza Controm. non ICT Funzioni di sicurezza dell ODV Funz. di altri apparati ICT Ambiente di sicurezza Minacce caratteristiche dell attaccante (conoscenze, risorse disponibili e motivazione), metodi di attacco (con eventuali vulnerabilità sfruttate), ecc

Livello di garanzia EAL7 EAL6 EAL5 EAL4 EAL3 EAL2 EAL1 Analisi basate su descrizioni delle funzioni F SF SF I I I I F SF SF I I I SF SF I I ST ST C P Modalità di verifica inviolabilità funzioni (1) Prove funzionali Prove d intrusione L1 L2 L3 L4 Dettaglio descrizioni L1: Specif. funzionali L2: Progetto architetturale L3: Prog. dettagliato L4: Implementaz. Mod. descritt. I: inform. SF: semiform. F: formale P: parziale C: completa ST: struttur. Prove funzionali e d intrusione eseguite da V: valutatore S: sviluppatore V V V V V V V S S S S S S V V V V V V Document. Ut. e Ammin. Complet. Stati insicuri

Modalità di verifica inviolabilità funzioni (2) Gestione versioni dell ODV Consegna e installaz. dell ODV Sicurezza amb. svilup. dell ODV Strumenti di sviluppo dell ODV Correzione difetti dopo la certificaz. Mantenimen. certificazione EAL7 EAL6 Livello di garanzia EAL5 EAL4 EAL3 EAL2 EAL1 Le ultime due modalità di verifica non sono obbligatorie per nessun livello di garanzia ma ne viene raccomandato l utilizzo

Alcuni parametri del potenziale d attacco Qualifica dell attaccante dal punto di vista delle sue conoscenze tecniche layman (profano, privo di conoscenze specifiche), proficient (competente, in possesso di conoscenze relative al comportamento di sicurezza del tipo di sistema/prodotto), expert (esperto, conosce approfonditamente il tipo di sistema/prodotto) Tipo di apparato necessario per condurre un attacco con successo standard (facilmente reperibile), specialised (reperibile ma con difficoltà), bespoke (realizzato specificamente per l attacco)

Modalità di utilizzo della certificazione: le raccomandazioni di OCSI

Gli obiettivi prioritari Fare tesoro delle esperienze non del tutto positive delle certificazioni eseguite negli schemi esteri Tenere in grande considerazione gli interessi dell utilizzatore finale dei sistemi ICT e non solo quelli dei fornitori di prodotti Individuare soluzioni utilizzabili anche dai numerosi integratori di sistema esistenti in Italia

Le certificazioni eseguite all estero Sono quasi tutte certificazioni di prodotto finanziate dai fornitori che le eseguono per migliorare l immagine del proprio prodotto sono eseguite a livelli di assurance medi o alti (altrimenti l immagine del prodotto non risulterrebbe migliorata) richiedono tempi e costi elevati (quindi poche certificazioni eseguite) spesso vengono eseguite in condizioni piuttosto distanti da quelle tipiche di utilizzo del prodotto non vengono generalmente mantenute valide nel tempo, sia per motivi di costo, sia perché viene di fatto consentito che si continui a pubblicizzarle

Utilizzo delle certificazioni: considerazioni iniziali Il maggior numero di incidenti informatici deriva da vulnerabilità note per le quali spesso esistono le patch Non ha molto senso utilizzare componenti (prodotti) molto sicure in sistemi complessivamente molto vulnerabili Il livello di sicurezza del sistema dipende dalla robustezza dell'anello più debole della catena

Utilizzo delle certificazioni: approccio più frequente (sconsigliato da OCSI) Solo alcune componenti del sistema ICT dell utente finale sono state certificate come prodotti dal fornitore e non è attivo il mantenimento della certificazione Vantaggio per l utente finale: non sono necessari investimenti aggiuntivi Svantaggi per l utente finale: Il livello di sicurezza effettivo può risultare molto scarso anche per le componenti certificate (es: utilizzazione in configurazione non certificata di un OS, assenza di mantenimento della certificazione, utilizzazione non sicura delle funzioni di filtraggio di un firewall, ecc.) Sulle componenti non certificate non esiste alcun tipo di garanzia per cui è molto probabile che siano affette da vulnerabilità note di facile sfruttabilità

Utilizzo delle certificazioni: approccio raccomandato da OCSI (1/2) Certificazione di tutte le componenti del sistema ICT (non è sufficiente quando eseguita indipendentemente su ciascuna componente come certificazione di prodotto finanziata dal fornitore) Certificazione dell integrazione delle componenti Verifica delle effettive configurazioni dei sistemi operativi Verifica delle effettive regole di filtraggio sui firewall ecc. Mantenimento della certificazione nel tempo

Utilizzo delle certificazioni: approccio raccomandato da OCSI (2/2) Svantaggio per l utente finale: richiede un costo aggiuntivo (almeno quello relativo alla certificazione dell integrazione di sistema) Vantaggi per l utente finale: buon livello di sicurezza effettivo del sistema ICT requisiti meno severi sulle competenze di sicurezza ICT del personale che amministrerà e utilizzerà il sistema ICT: configurazioni del sistema già definite e certificate, incluse le eventuali variazioni se è attivo il mantenimento della certificazione Idem per ciò che riguarda le autorizzazioni e I ruoli degli utenti

Le raccomandazioni di OCSI in sintesi Promuovere la certificazione ai livelli iniziali di assurance dell intero sistema (vulnerabilità note sfruttabili assenti anche al primo livello di certificazione EAL1 cfr anche versione 3.0 dei Common Criteria) Promuovere ai livelli iniziali di assurance il mantenimento sistematico dei certificati

Vantaggi della certificazione ai livelli iniziali di assurance EAL1-2 1) Si può condurre in modo relativamente semplice sull'intero sistema ICT, consentendo così di incrementare notevolmente il livello di sicurezza effettivo di verificare la validità delle integrazioni di sistema 2) Risulta sensibilmente più economica e rapida rispetto ai livelli medi e alti di assurance (si parte da poche decine di Keuro e qualche settimana) 3) Risulta sufficientemente agevole mantenere il certificato nel tempo 4) E' possibile individuare una ampia fascia di potenziali Assistenti di sicurezza con le competenze necessarie per svolgere compiti di supporto alla valutazione e di mantenimento del certificato

Gli ulteriori obiettivi dell OCSI Collaborare con i soggetti che gestiscono certificazioni di sicurezza complementari (es: collaborazione con Sincert) Favorire la diffusione delle certificazioni sia in ambito pubblico (es: collaborazione con CNIPA) sia in ambito privato (es: partecipazione a convegni anche in affiancamento agli LVS) Evidenziare e valorizzare il più possibile i pregi principali della certificazione garanzia fornita da una terza parte applicazione di uno standard internazionale

Grazie dell attenzione Per ulteriori informazioni: www.ocsi.gov.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back