Piano di Sicurezza del Sistema Informativo CDS

Giuseppe Specchio, Henry Meregalli, Stefano Rosati

Corso di Laurea Specialistica in InformaticaEsame di Sicurezza dei Sistemi Informativi

Il Dato e l'Informazione● Questi due concetti di base sono così importanti

che l'organizzazione internazionale OECD (Organization for Economic Co-Operation and Development) nel documento “Giudelines for the Security of Information Systems" ha fornito le seguenti definizioni:

● il dato è la rappresentazione oggettiva di un fatto o evento che consenta la sua trasmissione oppure interpretazione da parte di un soggetto umano o di uno strumento informatico.

● L'informazione è l'interpretazione e il significato assegnato a uno o più dati.

Sistema Informativo Informatizzato

Sistema

InformaticoInformativo

s'intende invece l'insieme delle tecnologie a supporto

della parte automatizzata del sistema informativo.

comprende le attività di elaborazione manuale e automatizzata dei dati, i processi informativi, le relative risorse umane e

tecnologiche e l'infrastruttura fisica di riferimento.

sistema informativo automatizzato

IT & ICT

Sistema

ICTInformation and Communication Technology

ITInformation Technology

indicano quelle parti di un'azienda in cui si gestiscono tali tecnologie (con macroprocessi, processi, asset nonché persone

ed asset) e consentono agli altri settori il trattamento automatizzato delle informazioni.

Requisiti di Sicurezza per un Sistema Informativo Automatizzato● Autenticazione : è il processo che verifica l’identità di

un’entità coinvolta nella transazione. Può essere implementato come una semplice username+password o con un più complicato riconoscimento biometrico

● Disponibilità : una volta determinata l’autenticità di un’entità, bisogna verificarne i permessi, vedere quali attività è abilitata a svolgere e a quali risorse può accedere.

● Integrità : è il processo che assicura che i messaggi non possono essere intercettati e alterati durante lo scambio fra entità.

● Riservatezza : dati non solo non devono essere alterati,ma devono essere letti solo da chi ha il permesso di accedervi.

Il DPS – Aspetti Legislativi● Il Documento Programmatico per la Sicurezza è un obbligo

previsto dalla Legge n. 675 del 31 dicembre 1996, nota come legge sulla privacy, per tutti i soggetti che trattano dati c.d. sensibili con strumenti elettronici.

● Il documento va predisposto ed aggiornato annualmente entro il 31 Marzo affinché se ne possa dare comunicazione nella relazione allegata al Bilancio d'esercizio.

● Viene redatto sulla base dello standard ISO 27001:2005, il quale nell'ottobre 2005 ha sostituito lo standard britannico BS7799.

● direttiva “Stanca” sulla Sicurezza nelle tecnologie dell'informazione e della comunicazione.

● “Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione” redatto dal C.N.I.P.A. - “Comitato tecnico Nazionale sulla sicurezza Informatica e delle telecomunicazioni nelle Pubbliche Amministrazioni”

Attuazione del DPS

● Il processo di attuazione del DPS prevede, in modo strettamente sequenziale, le seguenti quattro fasi:

● Plan: definizione piano di sicurezza versione alfa● Do: prima implementazione ed attuazione del

piano versione alfa● Check: monitoraggio e validazione● Act: manutenzione ed evoluzione, rilascio

versione beta del piano.

Attuazione del DPS

Definizione del DPS

SistemaInformativo

Automatizzato

Macroprocesso 1Macroprocesso 2 Macroprocesso n...

Processo 1Processo 2 Processo n...

AttivitàElementare 1 Attività

Elementare 2Attività

Elementare n...

Controllo 1 Controllo n... Asset nAsset 1

...

I Macroprocessi

1.Acquisizione, inizializzazione e consegna della smartcard;

2.Caricamento della BDSP;3.Emissione della CDS;4.Uso della CDS. 5.Attività di vendita on-line.6.Attività di spedizione.7.Consegna o ritiro CDS.8.Ricarica credito CDS.

Macroprocesso di acquisizione, inizializzazione e consegna della smartcard

1. L'Università di Roma – Tor Vergata, tramite il Rettorato crea un bando di concorso per la fornitura di un numero di smartcard ISO7810 più che sufficiente da fornire sia ai propri studenti che ai propri dipendenti.

2. L'Università di Roma – Tor Vergata, tramite personale tecnico del CDC concorda con la società appaltatrice le specifiche tecniche del sistema operativo (APDU) e della struttura interna della carta (file system) della smartcard in modo tale da garantire la compatibilità con altre smartcard.

3. La società di outsourcing esegue le fasi di produzione ed inizializzazione seguendo le specifiche definite al punto precedente.

4. Le carte sono consegnate in modalità protetta all’Università di Roma – Tor Vergata, presso il Rettorato.

Macroprocesso di acquisizione, inizializzazione e consegna della smartcard

Macroprocesso di caricamento della BDSP

1.Acquisizione delle “quantità di sicurezza, attivazione e certificazione”

2.Predisposizione Porta di Accesso ai domini Applicativi del CUSD

3.Allineamento dei codici fiscali con gli archivi dell’Anagrafe Tributaria

4.Primo caricamento della BDSP5.Aggiornamento continuo della BDSP.

Macroprocesso di caricamento della BDSP

Macroprocesso di emissione della CDS

1. Nomina del Responsabile della CDS.

2. Predisposizione delle Postazioni di Emissione.

3. Attivazione delle Postazioni di Emissione ai servizi applicativi di emissione CDS del CUSD

4. Acquisizione delle quantità di sicurezza.

5. Acquisizione delle CDS inizializzate.

6. Rilascio della CDS agli studenti:

1.Richiesta emissione CDS. 2.Acquisizione autorizzazione di emissione CDS e stampa

della CDS.3.Attivazione CDS. 4.Rilascio allo studente.

Macroprocesso di emissione della CDS

Macroprocesso di emissione della CDS

Macroprocesso di uso della CDS

1.Abilitazione di una postazione di lavoro all’identificazione in rete della CDS;

2.Abilitazione di un server universitario per l’identificazione in rete dello studente tramite CDS.

Macroprocesso di uso della CDS

Macroprocesso attività di ricarica credito CDS

1.Produzione richiesta di ricarica e Stampa del Cedolino

2.Pagamento del Cedolino ad uno sportello ( reale o virtuale) della Banca di Roma

Macroprocesso attività di ricarica credito CDS

Macroprocesso attività di vendita

1.Calcolo e comunicazione della lista dei libri2.Selezione dei libri da acquistare3.Conferma del carrello 4.Conferma dell’acquisto

Macroprocesso attività di vendita

Macroprocesso attività di spedizione

1.Richiesta a SAVOL della lista dei libri da inviare ( da parte del magazzino).

2.Stampa delle buste abbinate alle richieste e confezionamento dei libri.

3.Spostamento dei libri imbustati nel “Deposito libri già confezionati”.

4.Consegna dei libri al corriere.5.Attribuzione dei codici di tracciabilità ad ogni pacco.6.Comunicazione codici al magazziniere.7.Comunicazione codici a SAVOL.

Macroprocesso attività di spedizione

Macroprocesso attività di consegna e ritiro della CDS

1. Lo studente si identifica con un valido documento di riconoscimento e consegna la CDS al momento della presentazione della domanda di Laurea;

2. Lo studente si identifica con un valido documento di riconoscimento e consegna la CDS al momento della presentazione della domanda di sospensione degli studi;

3. Lo studente si identifica con un valido documento di riconoscimento e consegna la CDS al momento della presentazione della domanda di ritiro degli studi;

4. Lo studente si identifica con un valido documento di riconoscimento e consegna la CDS poiché danneggiata e non più funzionante;

5. Lo studente contatta il Call Center della CDS al momento della constatazione dello smarrimento/furto della CDS, per effettuare il blocco della stessa;

6. 6.Lo studente si identifica con un valido documento di riconoscimento e consegna copia conforme all'originale della denuncia di smarrimento/furto della CDS al fine di potere avere una nuova CDS;

7. 7.Lo studente consegna la CDS ritrovata/riconsegnata precedentemente denunciata;

8. 8.La Segreteria:

1. revoca la CDS consegnata o ritrovata o smarrita o rubata.

2. riversa il credito sulla nuova CDS;

3. restituisce il credito sotto forma di assegno bancario;

Macroprocesso attività di consegna e ritiro della CDS

Politiche di Sicurezza del DPS● Dallo standard BS7799 si ricavano le seguenti dieci categorie:

1. Politica e standard di sicurezza;2. Organizzazione per la sicurezza;3. Controllo e classificazione delle risorse;4. Sicurezza del personale;5. Sicurezza materiale e ambientale;6. Gestione operativa e comunicazione;7. Controllo degli accessi;8. Sviluppo e manutenzione dei sistemi;9. Gestione della business continuity;10.Conformità.

Politica e standard di sicurezza (Security Policy)

● L’obiettivo è quello di dare direttive per la gestione delle informazioni di sicurezza.

● Ad esempio, la Facoltà deve attenersi ai seguenti principi generali:

● a)Tutti gli accessi ai servizi applicativi del CUSD devono avvenire tramite la porta di accesso della Facoltà ai domini applicativi del CUSD;

● b)Tutte le informazioni (dati, documenti, archivi, …) devono essere protette e mantenute;

● c)Per la riservatezza dei contenuti scambiati, la sicurezza deve essere garantita anche a livello delle reti di comunicazioni dati;

● ...

Organizzazione per la sicurezza (Security Organization)

● Definizione e costituzione di un settore preposto a sovrintendere e controllare i processi e le attività legate alla sicurezza dell’infrastruttura di acquisizione, emissione ed utilizzo della CDS.

Classificazione e Controllo delle risorse

(Asset Classification and Control)● Le risorse da considerare sono:

– Sistemi informativi;– Sistemi di rete tra le varie sedi (intranet,

internet);– Postazioni di lavoro;– Postazioni di Front Office;– Postazioni di Back Office;– Porta di accesso ai domini applicativi del CUSD;– Punti di accesso multimediali aperti al pubblico.

Sicurezza materiale e ambientale (Physical and Environmental Security)● Gli obiettivi sono:

– impedire l’accesso non autorizzato, il danneggiamento e l’interferenza all’interno del flusso delle informazioni;

– impedire la perdita o il danneggiamento dei dati necessari alla corretta esecuzione dei processi di emissione ed uso della CDS;

– impedire l’interruzione delle attività.

Gestione dei sistemi e delle reti (Computer and Network Management)● Gli obiettivi sono:

– assicurare il corretto e sicuro funzionamento sistemi di elaborazione e delle reti;

– minimizzare il rischio di guasti dei sistemi;– proteggere l’integrità del software di base e delle

informazioni;– assicurare la disponibilità dei processi di

elaborazione dell’informazione e di comunicazione;– garantire la salvaguardia delle informazioni in rete e

la protezione delle infrastrutture di rete;– evitare la perdita, modifica o uso improprio delle

informazioni scambiate in rete.

Controllo degli accessi (System Access Control)

● Gli obiettivi di questa sezione sono:– controllare l’accesso alle informazioni;– prevenire l’accesso non autorizzato alle informazioni;– assicurare la protezione dei servizi in rete;– prevenire l’accesso non autorizzato alle postazioni di

emissione sia di front office che di back office ed alla Porta di accesso ai domini applicativi del CUSD;

– rilevare attività non autorizzate;– garantire la sicurezza delle informazioni quando sono

utilizzate da eventuali postazioni mobili in rete;– garantire un adeguato controllo degli accessi ai locali

universitari che ospitano le postazioni di front office, di back office, la Porta di accesso al CUSD, nonché tutto il materiale impiegato nei processi di rilascio della CDS.

Sviluppo e manutenzione dei sistemi (System Development and Maintenance)

● Gli obiettivi sono:– garantire che le regole di sicurezza siano

realmente attuate nei sistemi informatici in esercizio;

– assicurare che la conduzione dei progetti informatici e le relative attività di supporto siano eseguite secondo le regole riportate nel presente piano di sicurezza.

Gestione della continuità del servizio (Business Continuity Management) [1/4]

● Gli obiettivi di questa sezione sono di contrastare le interruzioni delle attività di servizio e dei processi di servizio critici, causati da malfunzionamenti o da eventuali avvenimenti straordinari.

Gestione della continuità del servizio (Business Continuity Management) [2/4]

● Di seguito è sintetizzata una classificazione di eventi straordinari:

– Un disastro di primo livello su un ufficio può causare, in alcuni casi, la parziale ma non completa distruzione delle operazioni svolte giornalmente. La situazione può essere risolta usando personale dell’ufficio stesso ed effettuando localmente attività di ripristino.

– Un disastro di secondo livello può coinvolgere diversi uffici. Le operazioni di routine possono essere distrutte ed i processi critici dovranno essere eseguiti in altri uffici. Il personale dell’ufficio potrebbe avvalersi dell’assistenza di soggetti esterni. Il coordinamento delle persone avviene attraverso un centro di operazioni di emergenza appositamente costituito dalla Facoltà.

– Un disastro di terzo livello può coprire una vastissima zona, ad esempio una regione; tipici esempi di questi eventi straordinari sono: inondazioni, terremoti o uragani. In questo caso sono richieste risorse esterne ed assistenza, ma il ripristino completo può richiedere settimane o mesi. Generalmente un disastro di questo livello comporta il blocco dell’operatività dei sistemi.

Gestione della continuità del servizio (Business Continuity Management) [3/4]

● I sistemi devono essere classificati secondo le definizioni seguenti:

– Critici :Le relative funzioni non possono essere eseguite senza essere sostituite da strumenti (mezzi) di caratteristiche identiche. Le applicazioni critiche non possono essere sostituite con metodi manuali. La tolleranza in caso di interruzione è molto bassa, di conseguenza il costo di una interruzione è molto alto.

– Vitali : Le relative funzioni possono essere svolte manualmente, ma solo per un breve periodo di tempo. Vi è una maggiore tolleranza all'interruzione rispetto a quella prevista per i sistemi critici; conseguentemente il costo di un’interruzione è inferiore, anche perché queste funzioni possono essere riattivate entro un breve intervallo di tempo (generalmente entro cinque giorni).

– Delicati :Queste funzioni possono essere svolte manualmente, a costi tollerabili, per un lungo periodo di tempo. Benché queste funzioni possano essere eseguite manualmente, il loro svolgimento risulta comunque difficoltoso e richiede l'impiego di un numero di persone superiore a quello normalmente previsto in condizioni normali.

– Non-critici : Le relative funzioni possono rimanere interrotte per un lungo periodo di tempo, con un costo modesto, o nullo, e si richiede un limitato sforzo di riattivazione quando il sistema viene ripristinato.

Gestione della continuità del servizio (Business Continuity Management) [4/4]

● A fronte delle precedenti considerazioni, in caso di eventuali avvenimenti straordinari, devono essere rispettate le seguenti regole:– le procedure applicative, il software di sistema e gli archivi che

sono stati classificati e documentati come critici, devono essere ripristinati prioritariamente;

– il piano d'emergenza deve prevedere il ripristino di tutte le funzioni e non solo i servizi informatici centrali;

– per assicurare la continuità dei servizi devono essere valutate le strategie di ripristino più opportune quali:

● siti alternativi;● metodi di back up;● sostituzione dei sistemi hardware di elaborazione;● ruoli e responsabilità dei gruppi tecnici di lavoro.

Conformità (Compliance)

● Gli obiettivi sono:– garantire il rispetto delle leggi civili, penali,

obblighi statutari, regolamentari o contrattuali e di qualsiasi requisito di sicurezza;

– garantire il rispetto di tutte le direttive del Centro di Calcolo;

– assicurare la conformità dei sistemi con i criteri e gli standard di sicurezza nazionali ed internazionali.