la sicurezza informatica:dal risk analysis al risk management, … siemens.pdf · 2015-08-20 ·...
TRANSCRIPT
Copyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
La Sicurezza Informatica:dal risk analysis al riskmanagement, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria
Catania 22 Settembre 2006
Page 2 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Presentazione Relatore
Nome: Ombretta PalmaAzienda: Siemens Informatica
Divisione: SOL ISSe-mail: [email protected]: Project Manager Principali esperienze maturate nell’IS:
Consulenza specialistica in ambito Sicurezza Informatica per Clienti Enterprise (Telco Operator, Industry, Utilities, Pubblica Amministrazione, etc.)Certificazioni CISA, CISM, Lead Assessor BS7799Esperienza consolidata nell’Information Security maturata attraverso la conduzione e la partecipazione a progetti di analisi dei rischi, realizzazione di Sistemi di Gestione della Sicurezza delle Informazioni e supporto alla loro CertificazioneBS7799-2:2002, definizione ed implementazione di CorporateInformation Security Policy, Departmental Security Policy, etc., Consulenza su Business Continuity e Disaster Recovery
Page 3 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Sicurezza delle Informazioni
L’informazione è un asset di vitale importanza per il business, in ogni Organizzazione sia che si tratti di una grandeimpresa privata che di una PMI o di una Pubblica AmministrazioneL’informazione, quindi, deve essere opportunamente protetta.Per “Sicurezza delle Informazioni” si intende la salvaguardia di
Riservatezza (assicurare che l’informazione sia accessibile solo agli utenti autorizzati)Integrità (assicurare che l’informazione venga modificata solo da utenti e processi autorizzati salvaguardando l’accuratezza e la completezza dei dati e dei metodi di elaborazione)Disponibilità (assicurare che gli utenti autorizzati abbiano accesso all’informazione quando richiesto)
Page 4 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Introduzione allo standard
Che cos’è l’ISO/IEC 27001:2005?E’ uno standard internazionale derivante dal riconoscimento da parte dell’ISO/IEC dello standard de facto BS (BritishStandard) 7799 Parte 2 in materia di sicurezza delle informazioni (Information Security) pubblicato, prima del riconoscimento ISO, dal British Standard Institute (BSI) in collaborazione con diversi rappresentanti del mondo imprenditoriale
Il British Standard si suddivide in due parti:BS 7799 Parte 1: “Code of practice for information security management”BS 7799 Parte 2: “Specification for Information Security Management Systems”
Page 5 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Introduzione allo standard
La parte 1 del BS 7799 è stata standardizzata nel 2000 dall’Ente Internazionale ISO/IEC:
International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 17799:2000(E) – “Code of Practice for Information Security Management”
La parte 2, è stata standardizzata dal medesimo ente nel 2005:
International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 27001:2005 “Information Technology - Security techniques - Information security management systems - Requirements”
Page 6 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI o ISMS
Che cos’è un SGSI?Un Sistema per la Gestione della Sicurezza delle Informazioni (SGSI) o Information Security Management System (ISMS) è un processo per la gestione delle informazioni aziendali (interne e dei propri Clienti e Business Partner) finalizzato a garantirne i requisiti di riservatezza, integrità e disponibilità
Page 7 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
In cosa consiste un SGSI
Un SGSI non è un semplice insieme di controlli di sicurezza ma è un Sistema di Gestione che, con un insieme di feedback loops, permette di controllare e monitorare la sicurezza dei sistemi e, più in generale, la sicurezza del patrimonio informativo aziendale
Un SGSI si compone, quindi, di:ruoli e responsabilità organizzativepolitiche di sicurezzaprocedure operativeistruzioni controlli fisici (relativi all’ambiente di lavoro ed alle attrezzature...)controlli logici (relativi ai servizi ICT...)cultura
Page 8 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI Certificabile
Un SGSI può essere certificatoSGSI può essere certificato secondo lo standard ISO/IEC 27001:2005
Ma prima occorre implementarlo ed assicurarsi che funzioni in modo efficace ed efficiente seguendo le indicazioni dello standard ISO/IEC 27001 e dello standard ISO/IEC 17799!
Page 9 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Il Processo di Information Security Management
Fonte: ISO/IEC 27001:2005
Page 10 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI:Le Fasi del Processo
1. Fase Plan (Establish the ISMS)definizione ambito, scopo del SGSI, analisi dei rischi e scelta dei controlli di sicurezza da implementare
2. Fase Do (Implement and Operate the ISMS)3. Fase Check (Monitor and Review the ISMS)4. Fase Act (Maintain and Improve the ISMS)
Page 11 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI: Fase Plan
Definire lo scopo e l’ambito del SGSI in funzione delle caratteristiche del business, tecnologia, organizzazione, etc.Definire la Politica di SicurezzaDefinire un approccio sistematico al Risk Assessment, adeguato ai requisiti di business, legali, etc.Analisi e Gestione del Rischio:
identificare i rischivalutare i rischiidentificare e valutare le opzioni per il trattamento del rischioidentificare le strategie per il trattamento del rischiselezionare i controlli di sicurezza che riducano l’esposizione al rischio
Page 12 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Definizione dell’Ambito di Applicazione
Il primo step per la definizione di un SGSI è la definizione dell’ambito di applicazione (scope) del SGSIBisogna delimitare con maggiore precisione possibile l’ambito fisico, logico ed organizzativo del SGSIAi fini della Certificazione ISO/IEC 27001 del SGSI deve essere predisposto un documento che descriva l’ambito di applicazione identificato e le interfacce dell’ambito verso l’interno e verso l’esterno dell’Organizzazione stessa.
Page 13 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Definizione dell’Ambito di Applicazione
Per individuare e descrivere l’ambito di applicazione del SGSI occorre procedere attraverso successive analisi di maggiore dettaglio:
Analisi dei Processi dell’Area d’Intervento: occorre rilevare tutti i processi attivi e le procedure operative utilizzate nell’area d’intervento.Censimento Interazioni ed Interfacce dell’Area d’Intervento: si devono individuare ed analizzare tutte le interazioni e le interfacce logiche e fisiche tra l’area d’intervento considerata e l’esterno.Definizione dell’Ambito Fisico, Logico ed Organizzativo del SGSI: si deve identificare, definire e descrivere in modo puntuale l’ambito operativo di applicazione del Sistema di Gestione della Sicurezza delle Informazioni.
Page 14 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Definizione della Security Policy
L’Organizzazione, in modo rispondente alle esigenze di business, settore di mercato e tipo di offerta, obiettivi, etc. deve definire la propria Politica di SicurezzaLa Politica di Sicurezza non è un documento operativo bensì è una comunicazione breve e chiara che è disponibile a tutto il personale e che illustra gli indirizzi della Direzione/ Management in materia di Information Security
Page 15 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
La Secutiy Policy nello standard
Controllo:Al fine di mantenere idonea, adeguata ed efficace la Politica di Sicurezza, essa deve essere revisionata sia periodicamente che in caso di cambiamenti significativi.
Revisione dell’InformationSecurity Policy
A.5.1.2
Controllo:Un documento di Politica di Sicurezza delle Informazioni deve essere approvato dal management. Successivamente, il documento di Politica di Sicurezza deve essere comunicato e pubblicato, nel modo appropriato, a tutti i dipendenti ed alle parti esterne di rilievo.
Documento di Information SecurityPolicy
A.5.1.1
A.5.1 Information Security PolicyObiettivo: Fornire indirizzo gestionale e supporto all’ information security in accordo con i requisiti di business e con le leggi ed i requisiti normativi applicabili.
A.5 Security Policy
In libera traduzione dallo standard:
Page 16 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Security Policy
In dettaglio, la Politica di Sicurezza include:1. framework degli obiettivi, principi di azione sugli
aspetti di information security2. considerazioni circa i requisiti di business, legali e
normativi3. contesto organizzativo per la gestione del rischio4. criteri per la valutazione del rischio
La Politica di Sicurezza deve essere firmata dall’Executive Management
Page 17 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
L’Analisi del Rischio
Analisi del Rischio
Gestione del
Rischio
Gestione del rischio: Processo sistematico successivo all’analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello residuo ritenuto accettabile ed accettato
Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell’esposizione al rischio degli asset informativi
Page 18 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Il concetto di Rischio
Che cos’è il RischioRischio?
Il RischioRischio rappresenta la probabilità che una minaccia, sfruttando una vulnerabilità, generi un impatto negativo sugli asset informativi aziendali
Il Rischio può essere espresso come il prodotto scalare dell’Impatto (ovvero della gravità delle conseguenze) di un evento di minaccia per la probabilità di accadimento di tale evento
R = I X P
Page 19 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Il Processo di Analisi del Rischio
I principali step dell’Analisi del Rischio sono:
Identificazione e Valutazione degli Identificazione e Valutazione degli assetasset (rif. Asset Inventory)
Identificazione e Valutazione delle MinacceIdentificazione e Valutazione delle Minacce applicabili agli asset
Identificazione e Valutazione delle VulnerabilitIdentificazione e Valutazione delle Vulnerabilitàà degli asset
Valutazione dellValutazione dell’’esposizione al Rischioesposizione al Rischio
Page 20 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Identificazione degli Asset
Devono essere identificati tutti gli assetasset che costituiscono il patrimonio informativopatrimonio informativo dell’OrganizzazioneLe principali tipologie di asset che devono essere individuate sono:
Asset InformativiAsset Informativi (Dati/Informazioni e Documenti in forma cartacea e/o elettronica) Es.: Appunti con info del cliente, documentazione relativa alle Offerte, documentazione di Progetto, etc.Asset SoftwareAsset Software (applicativi e S.O. di supporto) Es.: Win2000, Linux, SAP R/3, Exchange, etc.AssetAsset FisiciFisici (sistemi hardware di supporto) Es.: e-Mail server, desktop, laptop, router, firewall, etc. ma anche cassettiere, armadiature, locali, etc.
Page 21 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Valutazione degli Asset
Gli asset devono essere valutati tentando di valorizzare in maniera quantitativa o qualitativa l’impatto che deriverebbe da una relativa compromissione in termini di perdita di confidenzialità, integrità e disponibilità.In pratica, bisogna valutare gli eventuali impatti che potrebbero essere determinati qualora:
Gli AssetAsset InformativiInformativi siano pubblicati, modificati, parzialmente corrotti, distrutti, resi indisponibili, etc.Gli AssetAsset SoftwareSoftware siano distrutti, parzialmente corrotti, o ceduti, resi indisponibili, etc.Gli AssetAsset FisiciFisici siano distrutti, parzialmente danneggiati, etc.
Page 22 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Asset Inventory
L’Asset inventory è, quindi, il primo step dell’Analisi dei Rischi
Il documento di Asset Inventory è di fondamentale importanza ai fini della Certificazione ISO/IEC 27001
Il doc dei cespiti aziendali (componente dell’Asset Inventory) deve essere costantemente mantenuto aggiornato!
Page 23 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Valutazioni di criticità
Le figure aziendali coinvolte nei processi censiti dovranno effettuare le valutazioni di criticità degli asset informativi in termini di:
Criticità (importanza dell’asset all’interno del processo)RiservatezzaIntegritàDisponibilità
Page 24 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Identificazione delle Minacce
Occorre identificare l’insieme delle possibili minacce che si possono considerare (possono verificarsi) per gli asset del sistema ad esempio minacce:
Naturali (es. terremoti, uragani, allagamenti, etc.);Tecnologiche (es. virus, malfunzionamenti, etc.);Sociali (es. scioperi, manifestazioni, etc.);Umane:
Interne:Volontarie (es. frodi da interni, intercettazione documenti, etc.);Involontarie (es. manipolazioni dei dati, etc.);
Esterne:Volontarie (es. frodi da esterni, attacchi informatici, etc.);Involontarie (es. virus, etc.).
Page 25 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Identificazione delle Vulnerabilità
Le Vulnerabilità sono le debolezze proprie degli asset e/o dei relativi sistemi di supporto.Esempi di vulnerabilità nei tre domini sono:
Dominio Logico: assenza di patch e/o di hotfix nei S.O., password di bassa complessità degli utenti e degli Amministratori, etc.Dominio Fisico: assenza di un controllo degli accessi (tornelli con badge) per la sala CED, assenza di allarmi anti-intrusione perimetrale negli uffici, etc.Dominio Organizzativo: sovrapposizione di ruoli e/o responsabilità in materia di IS, mancanza di formalizzazione delle procedure di Business Continuity, etc.
Page 26 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Valutazione delle Minacce e delle Vulnerabilità
Occorre effettuare una valutazione del Livello di Minaccia che può essere espresso come la probabilità che la Minaccia si concretizzi impattando sull’asset
Le Vulnerabilità devono essere valutate in funzione della facilità con cui una Minaccia può impattare sugli assetsfruttando la presenza di tale VulnerabilitàAnche questa è una valutazione di tipo probabilistico
Page 27 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Valutazione del rischio
In funzione dei valori determinati precedentemente si determina con un opportuno algoritmo (semplice o complesso) la misura di esposizione al RischioLa Misura di esposizione al Rischio o livello di esposizione al Rischio è indice di quali asset siano critici e maggiormente vulnerabili, in tal modo si potrà intervenire efficacemente (Gestione del Rischio) per identificare i migliori controlli di sicurezza
Page 28 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Esempio di applicazione Step 1
Identificazione Asset:Id0001: Documento di offerta (standard aziendale)Id0011: Server di Archiviazione dei Documenti (serverdoc01)Id0013: Software S.O. Ms Windows Server 2003 (1 licenza)Id0018: Software Applicativo Ms Office (1 licenza)
Valutazione Asset:Id0001: Valore AltoId0011: Valore AltoId0013: Valore BassoId0018: Valore Basso
Page 29 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Esempio di Applicazione Step 2
Identificazione Minacce:Lista delle Minacce Applicabili per asset Id0001:
Mi0001: Spionaggio industrialeMi0009: Perdita d’integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk)
Valutazione Minacce:Valutazione delle Minacce Applicabili per asset Id0001:
Mi0001: Spionaggio industriale: Valore Medio (Docabbastanza competitivo)Mi0009: Perdita d’integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk): Valore Basso (Raid 5 implementato)
Page 30 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Esempio di Applicazione Step 3
Identificazione Vulnerabilità:Lista delle Vulnerabilità per asset Id0001:
Vu0008: Assenza del Label di Classificazione (Documento Confidenziale)…
Valutazione Vulnerabilità:Valutazione delle Vulnerabilità per asset Id0001:
Vu0008: Assenza del Label di Classificazione (Documento Confidenziale): Valore Alto…
Page 31 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Esempio di Applicazione: Output
LivelloMinaccia
Basso(0)
Medio (1)
Alto(2)
Livello Vulnerabilità
B0
M1
A2
B0
M1
A2
B0
M1
A2
ValoreAsset
Basso(0)
0 1 2 1 2 3 2 3 4
Medio(1)
1 2 3 2 3 4 3 4 5
Alto(2)
2 3 4 3 4 5 4 5 6
Il valore di esposizione al rischio è 5 (Alto)!Legenda: 0-2 Rischio basso; 3-4 Rischio medio; 5-6 Rischio alto
Valore Asset Id0001: alto Valore Minaccia Mi0001: medioValore Vulnerabilità Vu0008: alto
Page 32 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Gestione dei Rischi
Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell’esposizione al rischio degli asset informativi
Analisi del Rischio
Gestione del
Rischio
Gestione del rischio: Processo sistematico successivo all’analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello ritenuto accettabile e accettato
Page 33 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Gestione del Rischio
Il processo di Gestione del Rischio consiste nell’identificazione delle contromisure di sicurezza (fisica, logica ed organizzativa) che consentano di ridurre il livello diRischio ad un livello che è ritenuto accettabile dall’Organizzazione
Il Rischio può essere gestito:implementando opportuni contromisure / controlli di sicurezza trasferendo il rischio (con opportune di polizze, con contratti di outsourcing, etc.)…
Page 34 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Selezione delle Contromisure
Le Contromisure possono abbassare il livello di rischio agendo su:
Riduzione della probabilità di attacco e/o d’incidenteRiduzione delle vulnerabilità del sistemaRiduzione dell’impatto di un attacco e/o incidenteIdentificazione tempestiva dell’occorrenza di un attacco e/o incidenteAgevolazione del Recovery in seguito all’occorrenza di un attacco e/o incidente di sicurezza
Page 35 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Scelta delle Contromisure
Nella Scelta delle Contromisure bisognerà procedere con cognizione facendo opportune valutazioni di tipo Costi/Benefici
Se l’implementazione di una contromisura ha un costo di 100.000 Euro ma riduce l’esposizione al rischio (con un impatto stimato da 50.000 Euro a 45.000 Euro), si potrebbe ritenere che tale implementazione non risulta conveniente!
Page 36 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Classi di Contromisure
Per l’elenco delle contromisure di sicurezza si faccia riferimento all’ISO/IEC 27001 Annex A o all’ISO/IEC 17799 da cui sono tratti i seguenti in libera traduzione:
Security Policy Organizzazione dell’Information SecurityGestione degli Asset Sicurezza delle Risorse UmaneSicurezza Fisica e AmbientaleGestione delle Comunicazioni e dell’e attività di EsercizioControllo AccessiAcquisizione, Sviluppo e Manutenzione di sistemi informativiGestione degli Incidenti di Sicurezza delle InformazioniGestione della Business ContinuityConformità
Tale elenco di controlli non è esaustivo, né tutti i controlli risultano mandatori
Page 37 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Cosa fare e non come fare!
Ciascuno dei controlli ISO/IEC 27001 definisce l’obiettivo da perseguire ➜ “COSA FARE”
Viene lasciata all’Organizzazione piena libertà di implementazione dei controlli ➜ “COME FARE”
Del resto, la tecnologia dei controlli di sicurezza cambia velocemente e sarebbe stato limitante vincolare l’Organizzazione ad implementare una soluzione di sicurezza secondo una particolare tecnologia e/o propria di un particolare Produttore...
Page 38 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Risultati della Gestione del Rischio
I Risultati della Gestione del Rischio devono essere esposti in modo sintetico, efficace ed adeguato al target cui sono rivolti
Il Management deve avallare il livello di rischio residuoche diverrà il livello di rischio accettato dall’Organizzazione
L’attività di Analisi e Gestione del Rischio dovrà essere ripetuta periodicamente e all’occorrenza nel caso in cui si verifichino cambiamenti sostanziali negli obiettivi di business, infrastruttura tecnologica, etc. secondo il noto approccio ciclico Plan – Do – Check – Act
Page 39 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Statement of Applicability
Lo “Statement of Applicability” (Dichiarazione di Applicabilità) è un documento di rilevante importanza ai fini della Certificazione BS 7799 del SGSI in essere nell’Organizzazione
Tale documento, che deve essere costantemente mantenuto aggiornato, indica per ciascuno dei controlli ISO/IEC 27001
se applicatose non applicabile (e perché) se risulta non applicato (e perché)
In particolare, un controllo ISO/IEC 27001 potrebbe risultare:Non applicabile ad es. a causa di problemi tecnologici (l’”event logging” potrebbe non essere supportato da un applicativo legacy)Non applicato ad es. a causa del costo d’implementazione (ci sono reali problemi di budget)
Page 40 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI: Fase Do
1. Fase Plan (Establish the ISMS)2. Fase Do (Implement and operate the ISMS)
implementazione dei controlli di sicurezza identificati (ambiti logico, fisico ed organizzativo)
3. Fase Check (Monitor and Review the ISMS): 4. Fase Act (Maintain and improve the ISMS)
Page 41 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Security Controls e Tecnologie di Sicurezza
L’ISO/IEC 27001 è svincolato dai prodotti di sicurezza (fornisce delle raccomandazioni su cosa fare) e dai relativi Produttori (non entra nel merito di come fare). Sarà cura del Responsabile del SGSI opportunamente supportato dalla collaborazione di Security Architect, System Administrator, Network Administrator, etc. ad identificare le tecnologie che riescono a garantire i controlli di sicurezza identificati nel rispetto del budget assegnato
In genere, un prodotto di sicurezza fornisce, nello stesso tempo, più controlli di sicurezza ma necessita di un’opportuna configurazione. Ad es., Ms Win 2000 è un sw, esattamente un S.O. che implementa il log-on, logging, controllo d’integrità dei dati in input, etc.
Page 42 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI: Framework Documentale
Il SGSI deve essere strutturato in un insieme di documenti, politiche, procedure, report, modulistica, etc. di facile consultazione. In particolare, le procedure che sono rivolte ai dipendenti durante l’espletamento delle normali attività lavorative devono essere concise ed efficaci
Page 43 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI: Documenti Formali
Il SGSI certificabile secondo la norma ISO 27001 deve avere i principali documenti formali di seguito elencati:
Ambito di applicazione del SGSIManuale del SGSIPolitica di SicurezzaPiano di Gestione del RischioPiano di Gestione dei LogStatement of Applicability (SoA)...
N.B.: l’elenco non è esaustivo!
Page 44 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI:Procedure
Il SGSI certificabile secondo la norma BS 7799 deve avere, se applicabili, le principali procedure gestionali come quelle di seguito elencate:
Procedura utenteFormazione e Addestramento utenteAmministrazione dei server di produzione e dei sistemi di sicurezza di supportoBack-upBusiness Continuity/Disaster RecoveryIncident HandlingGestione degli AccessiVerifiche Ispettive...
N.B.: l’elenco non è esaustivo!
Page 45 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI: Ulteriori Documenti
Il SGSI certificabile secondo la norma BS 7799 deve avere l’ulteriore documentazione relativa a:
Comunicazioni interne relative alle decisioni prese e alle nomine effettuateVerbali delle riunioni degli organi di controllo Modulistica per Verifiche IspettiveManuale di QualitàContratti di Outsourcing con la definizione degli SLA di sicurezzaLog forniti dall’OutsourcerLog dei sistemi di produzione amministratiRegistrazioni varie (Accessi, utilizzo delle macchine di lab, etc.) ...
N.B.: l’elenco non è esaustivo!
Page 46 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Sicurezza Organizzativa
L’infrastruttura Organizzativa ha un peso rilevante in tutte le Aziende Private e Pubblica Amministrazione ed essenziale per il raggiungimento degli obiettivi di Business
L’ISO/IEC 27001 sancisce che l’infrastruttura Organizzativa deve rendersi responsabile della Sicurezza delle Informazioni e più precisamente deve essere coinvolta attivamente nel continuo processo di Information Securitydell’Organizzazione
Page 47 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Gli attori coinvolti
I vari attori coinvolti nel processo di IS sono:Struttura Organizzativa di ISExecutive ManagementResponsabili di B.U. e/o DivisioniSystem Administrator, Network Administrator, DB Administrator, etc.DipendentiOutsourcer / Fornitori / Business Partner
Ciascuno ha un ruolo cruciale nel mantenere elevato il livello di sicurezza perché il livello di sicurezza di una Catena èdeterminato dal livello di sicurezza del più debole degli anelli: in un SGSI il fattore umano è quello più debole
Page 48 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI:Fase Check
1. Fase Plan (Establish the ISMS)2. Fase Do (Implement and Operate the ISMS)3. Fase Check (Monitor and Review the ISMS):
misurazione delle performance del SGSI:Management ReviewRaccolta ed Analisi delle “registrazioni/log”Monitoring degli Incidenti di Sicurezza (IncidentHandling)
4. Fase Act (Maintain and Improve the ISMS)
Page 49 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Fase Check: Management Review
Management review su una base regolare (almeno una volta l’anno) per assicurare che lo scopo rimanga adeguato ed i miglioramenti del SGSI siano identificati
Deve, altresì, essere rivisto il livello di rischio residuo e ritenuto accettabile dall’organizzazione, anche, a seguito di modifiche sostanziali nell’Organizzazione, tecnologie, minacce identificate, etc.
Page 50 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI Fase Check:Raccolta e analisi delle registrazioni
Si devono regolarmente raccogliere le registrazioni e log che daranno le indicazioni sul reale funzionamento e sull’efficacia del SGSI implementato.L’analisi di registrazioni e log e lo sviluppo di appositi indicatori di performance, aiuterà l’identificazione delle misure correttive e migliorative
Page 51 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI Fase Check: Monitoring degli incidenti di sicurezza
Un’importante fonte di informazioni che non deve essere assolutamente trascurata è costituita dallo storico degli incidenti di sicurezza che sono stati rilevati:
falsi positiviincidenti di sicurezza chiusiincidenti di sicurezza aperti
...
Page 52 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Verifiche Periodiche
Il sistema dovrà essere sottoposto a verifiche periodiche:ai processi da parte del responsabile e/o proprietario del processo al fine di verificare l’efficacia dei controlli rispettoalle normative di sicurezza e alla politica di sicurezzaalle nuove tecnologie che sono introdotte (almeno ogni seimesi) o al momento dell’introduzione di tecnologie checomportino innovazioni rilevantiispettive interne (“audit”): devono essere condotteindagini, soprattutto, sugli aspetti organizzativi del SGSI (l’ispettore pur essendo interno all’azienda deve condurrela verifica in autonomia e deve essere esterno rispetto al settore o al processo da valutare e indipendente dallepersone che ci lavorano)
Page 53 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI:Miglioramento delle prestazioni
Fase Plan (Establish the ISMS)Fase Do (Implement and Operate the ISMS)Fase Check (Monitor and Review the ISMS): Fase Act (Maintain and Improve the ISMS)
implementazione di eventuali azioni correttive e migliorative
Page 54 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
SGSI:Fase Act
Implementare i miglioramenti identificatiIntraprendere tutte le azioni preventive e correttive, apprendendo dal passato e dagli errori commessiComunicare e condividere con le parti interessate le azioni intrapreseAssicurare che vengano raggiunti gli obiettivi dichiarati
Page 55 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Start dell’Iter di Certificazione
Dopo aver revisionato ed affinato opportunamente il SGSI l’organizzazione può fare domanda di certificazione ad un OdC (Organismo di Certificazione) che sia accreditato, in Italia, dal SINCERTNella domanda di certificazione l’organizzazione deve specificare l’ambito di applicazione del SGSI e fornire tutte le informazioni necessarie all’OdC affinché possa essere effettuata una relativa stima dei costi
Page 56 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Processo di Certificazione
Rilascio Certificazione
Esame da parte del Comitato tecnico
Ricezione Domanda
Apertura Pratica
Esame Documentale
Effettuazione Valutazione
Rapporto Verifica Ispettiva
Invio Programma di Valutazione
OK
SI
NO Verifiche supplementari
SI
NOOK
Proposta di Certificazione
Verifiche supplementari
Fonte: Sincert
Page 57 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Approfondimenti
BS 7799 Parte 1: “Code of practice for information security management”BS 7799 Parte 2: “Specification for Information Security Management Systems”ISO/IEC 17799:2000(E) – “Code of Practise for Information Security Management”BSI, “Guide to BS 7799 Risk Assessment and Management”, ISBN 0580295516BSI, “Guide on the selection of BS 7799 controls”, ISBN 0580330117BSI, “Guide to BS 7799 Auditing”, ISBN 0580295532BSI, “Preparing for BS 7799-2 certification”
Page 58 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Link
BS 7799 URL: http://www.bsi-global.comISO/IEC 17799 URL: http://www.iso.org/iso/en/prods-
services/popstds/popstdsindex.htmlEuropean co-operation for Accreditation URL: http://www.european-
accreditation.orgSINCERT URL: http://www.sincert.itRINA URL: itservices.rina.org/iso/CLUSIT URL: http://www.clusit.it/
Page 59 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
“La sicurezza nel settore della tecnologia dell’informazione consiste nella protezione della riservatezza, integrità e disponibilità delle informazioni mediante il contrasto delle minacce originate dall’uomo o dall’ambiente, al fine di impedire, a coloro che non siano stati autorizzati, l’accesso, l’utilizzo, la divulgazione, la modifica delle informazioni stesse, e di garantirne l’accesso e l’utilizzo a coloro che siano stati autorizzati.”
Certificazione della Sicurezza nel settore della tecnologia dell’Informazione secondo ITSEC o Common Criteria
Fonte: LGP1 - Descrizione dello Schema Nazionale
Page 60 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Certificazione della Sicurezza nel settore della tecnologia dell’Informazione secondo ITSEC o Common Criteria
Il Decreto del Ministro per l'innovazione e le tecnologie e del Ministrodelle comunicazioni (17/02/2005) ha identificato le: "Linee guidaprovvisorie per l'applicazione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologiadell'informazione“(LGP), che entro 12 mesi dovranno essere pubblicate nella versione definitiva di Linee Guida Definitive (LGD) dall’OCSI.
L’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCTI) del Ministero delle Comunicazioni èl’Organismo di Certificazione della Sicurezza nel settore della tecnologia dell’Informazione (OCSI).
Lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione si compone dell’insieme delle procedure e delle regole necessarie per la valutazione e la certificazione, in conformità ai criteri europei ITSEC o ai Common Criteria (CC).
Page 61 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Ambito della Certificazione
La Certificazione nello Schema Nazionale ha come ambito un identificato “Oggetto di Valutazione (ODV), ovvero il sistema o prodotto sottoposto alla valutazione”.L’ODV può essere valutato sulla base di un “Traguardo di Sicurezza (TDS) ovvero il Documento che specifica le funzioni di sicurezza che l’ODV dovrebbe svolgere , l’ambiente operativo in cui l’ODV è destinato ad operare ed il livello di garanzia al quale l’ODV viene valutato”.L’ODV può anche essere valutato sulla base di un “Profilo di Protezione (PP) ovvero del Documento che descrive per una certa categoria di ODV ed in modo indipendente dalla realizzazione, gli obiettivi di sicurezza, le minacce, l’ambiente ed i requisiti funzionali e di garanzia, definiti secondo i Common Criteria”.
Fonte: LGP1 – Descrizione Generale dello Schema Nazionale
Page 62 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Gli Attori Coinvolti
OCSIOCSI
LVSLVS LVSLVS LVSLVS
Commissione garanzia
Commissione garanzia
CommittenteCommittente FornitoreFornitore
Page 63 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
L’Organismo di Certificazione
OC è l’ ISCTI che essenzialmente si occupa di:
mantenimento dello Schema Nazionale
predisposizione, aggiornamento e divulgazione delle Linee Guida
emissione e revoca dei Certificati
accreditamento e mantenimento dell’elenco aggiornato degli LVS
mantenimento dell’elenco dei Certificatori, Assistenti e Valutatori
…
L’Organismo di Certificazione deve inoltre garantire che le informazioni a cui hanno accesso non siano divulgate a soggetti non autorizzati.
Page 64 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
La Commissione di Garanzia
La Commissione di Garanzia si occupa di dirimere ogni controversia nata in seno allo Schema Nazionale.
E’ presieduta da un membro prescelto dal Dipartimento per l’Innovazione e le Tecnologie della Presidenza del Consiglio deiMinistri sono rappresentati al suo interno:
i Ministeri interessati (Innovazione e le Tecnologie, Comunicazioni, Attività Produttive, Economia e delle Finanze, altri Ministeri etc.)
l’ISCTI;
gli LVS;
i Fornitori;
le Associazioni dei Consumatori.
Page 65 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
I Laboratori di Valutazione della Sicurezza
I LVS sono accreditati dall’Organismo di Certificazione ed effettuano le valutazioni di ODV (Oggetto di Valutazione) o di PP (Profilo di Protezione) secondo lo Schema Nazionale e sotto il controllo dell’Organismo di Certificazione.
I requisiti che devono essere soddisfatti dagli LVS sono:
imparzialità, indipendenza, riservatezza e obiettività
disponibilità di locali e mezzi adeguati
organizzazione adeguata per il controllo
disponibilità di personale con adeguate competenze tecniche e iscritto nell’elenco dell’organismo di certificazione
conformità a UNI CEI EN ISO/IEC 17025 e UNI CEI EN 45011
capacità di mantenere nel tempo i requisiti.
Anche i LVS devono garantire che le informazioni a cui hanno accesso non siano divulgate a soggetti non autorizzati.
Page 66 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Le principali attività dei LVS
Le attività svolte dagli LVS possono essere:
Valutazione di prodotti e servizi nell’ambito della tecnologia dell’informazione
Consulenza al Committente:
Supporto e feedback circa la stesura della documentazione di sicurezza durante la preparazione della valutazione
la determinazione della valutabilità del TDS, ODV o Profilo di Protezione
le attività connesse con la gestione e il mantenimento dei Certificati.
Formazione sulle tematiche di sicurezza e sulle tecniche di valutazione
Page 67 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Il Committente
Il Committente è chi commissiona la valutazione al LVS e può coincidere con il Fornitore dell’oggetto della valutazione.
Il Committente stipula il contratto con il LVS.
Il Committente e il Fornitore si impegnano a fornire tutte le informazioni e la documentazione necessaria.
Page 68 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
L’Assistente
“L'Assistente è una persona formata, addestrata e abilitata dall’Organismo di Certificazione per fornire supporto tecnico al Committente o al Fornitore che ne faccia richiesta.”
Il rilascio dell’abilitazione è subordinato al superamento di un test di valutazione, propostogli dalla Sezione Accreditamento dell’OC, sulla competenza tecnica. Tale abilitazione dura 3 anni.
La Sezione Accreditamento dei Laboratori dell’OC si riserva la facoltà di effettuare delle verifiche sul mantenimento dei requisiti.
Fonte: LGP1 – Descrizione Generale dello Schema Nazionale
Page 69 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Il Fornitore
Il Fornitore è il soggetto che fornisce l’ODV o parti e componenti di quest’ultimo, e coopera con il Committente nel processo di valutazione e certificazione, fornendo informazioni tecniche e documentazione di riferimento.A volte il Fornitore può coincidere con il Committente della valutazione.
Page 70 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
La Certificazione secondo lo Schema Nazionale
La Certificazione secondo lo Schema Nazionale può avvenire in riferimento allo standard ISO/IEC15408 (Common Criteria) oppure allo standard ITSEC e relativa metodologia ITSEM e può avere come oggetto un Protection Profile oppure un Security Target.Nelle Linee Guida provvisorie per l’applicazione dello schema nazionale vengono descritti per la valutazione quattro Livelli di Garanzia (EAL) definiti:
EAL1EAL 2EAL 3EAL 4
Page 71 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
La Certificazione secondo lo Schema Nazionale
Sia che la Certificazione avvenga sulla base dello standard ITSEC che sulla base dei Common Criteria occorre considerare che tali standard non si configurano come norme ma come principi che definiscono le verifiche che devono essere eseguite nel corso della valutazione.
In particolare “la Certificazione stabilisce che la valutazione è stata condotta conformemente ai criteri necessari a verificare il soddisfacimento del livello di garanzia, della robustezza dei meccanismi o delle funzioni di sicurezza dichiarati e conseguentemente garantisce i risultati della valutazione stessa”. Fonte: LGP1 - Descrizione dello Schema Nazionale
Page 72 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Il Profilo di Protezione
Un Profilo di Protezione è un Documento che descrive le caratteristiche di sicurezza di una tipologia di prodotti o sistemi IT, e, come tale ha il compito di identificare i requisiti di sicurezza IT che, sotto le ipotesi formulate, permettono di contrastare le minacce che sono state individuate nell’ambiente operativo previsto e di attuare le politiche di sicurezza dell’organizzazione.La Valutazione di un PP si prefigge gli obiettivi di determinare se quest’ultimo documento è:
Completo, in quanto i requisiti di sicurezza descritti contrastana ciascuna minaccia e attuano ciascuna politica di sicurezza dell’organizzazione,Sufficiente, in quanto i requisiti di sicurezza IT sono adeguati a contrastare le minacce e ad attuare le politiche di sicurezza dell’Organizzazione,Robusto, nel senso che il Profilo di Protezione stesso deve essere internamente congruente
Fonte: LGP4 – Attività di valutazione secondo i Common Criteria
Page 73 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Il Traguardo di Sicurezza
Un Traguardo di Sicurezza è un Documento che descrive le caratteristiche di sicurezza di uno specifico prodotto o sistema IT e come tale ha il compito:
di identificare le funzioni di sicurezza e, ove praticabile, i meccanismi di sicurezza che, sotto le ipotesi formulate, permettono di contrastare le minacce che sono state individuate nell’ambiente operativo previsto e di attuare le politiche di sicurezza dell’organizzazione,di definire le misure di garanzia che devono ingenerare il grado di fiducia richiesto circa il fatto che l’ODV possa effettivamente contrastare in modo efficace le minacce individuate e attuare lepolitiche di sicurezza dell’organizzazione.
Fonte: LGP4 – Attività di valutazione secondo i Common Criteria
Page 74 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Il Traguardo di Sicurezza
La Valutazione di un ST si prefigge gli obiettivi di determinare se quest’ultimo documento è:
completo, in quanto le funzioni di sicurezza descritte contrastano ciascuna minaccia e attuano ciascuna politica di sicurezza dell’organizzazione;sufficiente, in quanto
le funzioni di sicurezza sono adeguate a contrastare le minacce e ad attuare le politiche di sicurezza dell’organizzazionele misure di garanzia forniscono garanzie sufficienti circa il fatto che le funzioni di sicurezza siano realizzate in modo corretto
internamente congruentecostituisca un raffinamento accurato di tutti gli eventuali Profili di Protezione che sono indicati come riferimento da una o più dichiarazioni di conformità
Fonte: LGP4 – Attività di valutazione secondo i Common Criteria
Page 75 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
I livelli di Valutazione
EAL1:
“Una valutazione di livello EAL1 si prefigge gli obiettivi di fornire delle prove del fatto che il comportamento di un ODV è conforme a quanto affermato nella documentazione dell’ODV stesso, e che quest’ultimo fornisce una utile protezione nei confronti delle minacce che sono state identificate e caratterizzate nel Traguardo di Sicurezza”. Fonte LGP4: Attività di Valutazione secondo i Common Criteria
Page 76 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
I livelli di Valutazione
EAL2:Il Soddisfacimento da parte di un ODV, dei requisiti di livelloEAL2 consente di valutare, ance se ad un livello base, altri aspetti relativi all’ODV oltre la conformità alle specifiche richiedendo:
la valutazione di ulteriori aspetti come le attività di test eseguite dal Fornitore e le attività di analisi di vulnerabilitàl’esecuzione nel corso della valutazione di operazioni di test indipendente
Page 77 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
I livelli di Valutazione
EAL3:Il Soddisfacimento da parte di un ODV, dei requisiti di livelloEAL3 consente di estendere la valutazione delle pratiche ingegneristiche di sicurezza adottate e quindi del processo di sviluppo dell’ODV pur senza richiedere una rivisitazione delle buone prassi di sviluppo adottate e senza richiedere una riprogettazione dell’ODV.
Page 78 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
I Livelli di Valutazione
EAL4:“Il Soddisfacimento da parte di un ODV, dei requisiti di livelloEAL4 fornisce un livello di garanzia medio-alto, che può essere raggiunto da un sistema o prodotto IT commerciale, rispettando alcune pratiche ingegneristiche di sicurezza che, pur comportando per il Fornitore dei costi di sviluppo aggiuntivi, non richiedono il ricorso sistematico a tecniche, conoscenze o altrerisorse di tipo specialistico”. Fonte: LGP4 – Attività di valutazione secondo i Common Criteria
Page 79 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Fase di Preparazione della Valutazione di un ODV
Il Committente identifica l’esigenza di effettuare la valutazione e certificazione della sicurezza di un determinato ODV
L’Organismo di certificazione comunica l’esito della domanda di iscrizione
L’LVS presenta la Domanda di iscrizione allo Schema presentando il Piano di Valutazione all’Organismo di Certificazione
L’LVS stima l’adeguatezza del Traguardo di Sicurezza e prepara un Piano di Valutazione
Il Committente prende contatto con un LVS per iniziare la valutazione
Il Committente individua il Traguardo di Sicurezza e tutta la documentazione necessaria per la valutazione
Preparazione della Valutazione
Fonte: LGP1 – Descrizione Generale dello Schema Nazionale
Page 80 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Fase di Conduzione e Conclusione della Valutazione di un ODV
Conduzione e Conclusione della Valutazione
Esito Positivo di iscrizione allo schema
L’LVS produce i Rapporti di Attività
Il Committente risponde al Rapporto di
Osservazione
L’LVS produce un Rapporto di
Osservazione
L’LVS valuta l’ODV in accordo con il Piano di Valutazione presentato
L’LVS produce il Rapporto Finale di Valutazione e lo sottopone all’Organismo di Certificazione e
al Committente
Fonte: LGP1 – Descrizione Generale dello Schema Nazionale
Page 81 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Fase di Certificazione di un ODV
L’Organismo di Certificazione analizza l’RFV e stabilisce se costituisce una base adeguata per l’emissione del rapporto di Certificazione
Vengono rilasciati formalmente il Rapporto di Certificazione e il Certificato
Certificazione
Fonte: LGP1 – Descrizione Generale dello Schema Nazionale
Page 82 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Riferimenti
Linee guida provvisorie per l'applicazione dello schema nazionaleper la valutazione e certificazione di sicurezza nel settore dellatecnologia dell'informazione:
LGP1 - Descrizione generale dello Schema nazionale divalutazione e certificazione della sicurezza (LGP1_v12-04_Descrizione_generale_schema_nazionale.pdf)
LGP2 - Accreditamento degli LVS e abilitazione degliAssistenti (LGP2_v12-04_Accreditamento_LVS_e_abilitazione_degli_assistenti.pdf)
LGP3 - Procedure di valutazione (LGP3_v12-04_Procedura_di_valutazione.pdf)
LGP4 – Attività di valutazione secondo i Common Criteria (LGP4_v12-04_Attività_di_valutazione_secondo_i_comman_criteria.pdf)
Page 83 22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Riferimenti
LGP5 - Il Piano di Valutazione: indicazioni generali(LGP5_v12-04_Il_piano_di_valutazione.pdf)
LGP6 – Guida alla scrittura dei Profili di Protezione e dei Traguardi di Sicurezza (LGP6_v12-04_Guida_per_il_rispetto_dei_comman_criteria_.pdf)
LGP7 - Glossario e terminologia di riferimento (LGP7-v12-04_Glossario.pdf)
Copyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.
Thank you for your attention!