la sicurezza informatica:dal risk analysis al risk management, … siemens.pdf · 2015-08-20 ·...

Copyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.

La Sicurezza Informatica:dal risk analysis al riskmanagement, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria

Catania 22 Settembre 2006

22 Settembre 2006 Siemens Business ServicesCopyright © Siemens Business Services GmbH & Co. OHG 2006. All rights reserved.

Presentazione Relatore

Nome: Ombretta PalmaAzienda: Siemens Informatica

Divisione: SOL ISSe-mail: [email protected]: Project Manager Principali esperienze maturate nell’IS:

Consulenza specialistica in ambito Sicurezza Informatica per Clienti Enterprise (Telco Operator, Industry, Utilities, Pubblica Amministrazione, etc.)Certificazioni CISA, CISM, Lead Assessor BS7799Esperienza consolidata nell’Information Security maturata attraverso la conduzione e la partecipazione a progetti di analisi dei rischi, realizzazione di Sistemi di Gestione della Sicurezza delle Informazioni e supporto alla loro CertificazioneBS7799-2:2002, definizione ed implementazione di CorporateInformation Security Policy, Departmental Security Policy, etc., Consulenza su Business Continuity e Disaster Recovery


Sicurezza delle Informazioni

L’informazione è un asset di vitale importanza per il business, in ogni Organizzazione sia che si tratti di una grandeimpresa privata che di una PMI o di una Pubblica AmministrazioneL’informazione, quindi, deve essere opportunamente protetta.Per “Sicurezza delle Informazioni” si intende la salvaguardia di

Riservatezza (assicurare che l’informazione sia accessibile solo agli utenti autorizzati)Integrità (assicurare che l’informazione venga modificata solo da utenti e processi autorizzati salvaguardando l’accuratezza e la completezza dei dati e dei metodi di elaborazione)Disponibilità (assicurare che gli utenti autorizzati abbiano accesso all’informazione quando richiesto)


Introduzione allo standard

Che cos’è l’ISO/IEC 27001:2005?E’ uno standard internazionale derivante dal riconoscimento da parte dell’ISO/IEC dello standard de facto BS (BritishStandard) 7799 Parte 2 in materia di sicurezza delle informazioni (Information Security) pubblicato, prima del riconoscimento ISO, dal British Standard Institute (BSI) in collaborazione con diversi rappresentanti del mondo imprenditoriale

Il British Standard si suddivide in due parti:BS 7799 Parte 1: “Code of practice for information security management”BS 7799 Parte 2: “Specification for Information Security Management Systems”


Introduzione allo standard

La parte 1 del BS 7799 è stata standardizzata nel 2000 dall’Ente Internazionale ISO/IEC:

International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 17799:2000(E) – “Code of Practice for Information Security Management”

La parte 2, è stata standardizzata dal medesimo ente nel 2005:

International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 27001:2005 “Information Technology - Security techniques - Information security management systems - Requirements”


SGSI o ISMS

Che cos’è un SGSI?Un Sistema per la Gestione della Sicurezza delle Informazioni (SGSI) o Information Security Management System (ISMS) è un processo per la gestione delle informazioni aziendali (interne e dei propri Clienti e Business Partner) finalizzato a garantirne i requisiti di riservatezza, integrità e disponibilità


In cosa consiste un SGSI

Un SGSI non è un semplice insieme di controlli di sicurezza ma è un Sistema di Gestione che, con un insieme di feedback loops, permette di controllare e monitorare la sicurezza dei sistemi e, più in generale, la sicurezza del patrimonio informativo aziendale

Un SGSI si compone, quindi, di:ruoli e responsabilità organizzativepolitiche di sicurezzaprocedure operativeistruzioni controlli fisici (relativi all’ambiente di lavoro ed alle attrezzature...)controlli logici (relativi ai servizi ICT...)cultura


SGSI Certificabile

Un SGSI può essere certificatoSGSI può essere certificato secondo lo standard ISO/IEC 27001:2005

Ma prima occorre implementarlo ed assicurarsi che funzioni in modo efficace ed efficiente seguendo le indicazioni dello standard ISO/IEC 27001 e dello standard ISO/IEC 17799!


Il Processo di Information Security Management

Fonte: ISO/IEC 27001:2005


SGSI:Le Fasi del Processo

1. Fase Plan (Establish the ISMS)definizione ambito, scopo del SGSI, analisi dei rischi e scelta dei controlli di sicurezza da implementare

2. Fase Do (Implement and Operate the ISMS)3. Fase Check (Monitor and Review the ISMS)4. Fase Act (Maintain and Improve the ISMS)


SGSI: Fase Plan

Definire lo scopo e l’ambito del SGSI in funzione delle caratteristiche del business, tecnologia, organizzazione, etc.Definire la Politica di SicurezzaDefinire un approccio sistematico al Risk Assessment, adeguato ai requisiti di business, legali, etc.Analisi e Gestione del Rischio:

identificare i rischivalutare i rischiidentificare e valutare le opzioni per il trattamento del rischioidentificare le strategie per il trattamento del rischiselezionare i controlli di sicurezza che riducano l’esposizione al rischio


Definizione dell’Ambito di Applicazione

Il primo step per la definizione di un SGSI è la definizione dell’ambito di applicazione (scope) del SGSIBisogna delimitare con maggiore precisione possibile l’ambito fisico, logico ed organizzativo del SGSIAi fini della Certificazione ISO/IEC 27001 del SGSI deve essere predisposto un documento che descriva l’ambito di applicazione identificato e le interfacce dell’ambito verso l’interno e verso l’esterno dell’Organizzazione stessa.


Definizione dell’Ambito di Applicazione

Per individuare e descrivere l’ambito di applicazione del SGSI occorre procedere attraverso successive analisi di maggiore dettaglio:

Analisi dei Processi dell’Area d’Intervento: occorre rilevare tutti i processi attivi e le procedure operative utilizzate nell’area d’intervento.Censimento Interazioni ed Interfacce dell’Area d’Intervento: si devono individuare ed analizzare tutte le interazioni e le interfacce logiche e fisiche tra l’area d’intervento considerata e l’esterno.Definizione dell’Ambito Fisico, Logico ed Organizzativo del SGSI: si deve identificare, definire e descrivere in modo puntuale l’ambito operativo di applicazione del Sistema di Gestione della Sicurezza delle Informazioni.


Definizione della Security Policy

L’Organizzazione, in modo rispondente alle esigenze di business, settore di mercato e tipo di offerta, obiettivi, etc. deve definire la propria Politica di SicurezzaLa Politica di Sicurezza non è un documento operativo bensì è una comunicazione breve e chiara che è disponibile a tutto il personale e che illustra gli indirizzi della Direzione/ Management in materia di Information Security


La Secutiy Policy nello standard

Controllo:Al fine di mantenere idonea, adeguata ed efficace la Politica di Sicurezza, essa deve essere revisionata sia periodicamente che in caso di cambiamenti significativi.

Revisione dell’InformationSecurity Policy

A.5.1.2

Controllo:Un documento di Politica di Sicurezza delle Informazioni deve essere approvato dal management. Successivamente, il documento di Politica di Sicurezza deve essere comunicato e pubblicato, nel modo appropriato, a tutti i dipendenti ed alle parti esterne di rilievo.

Documento di Information SecurityPolicy

A.5.1.1

A.5.1 Information Security PolicyObiettivo: Fornire indirizzo gestionale e supporto all’ information security in accordo con i requisiti di business e con le leggi ed i requisiti normativi applicabili.

A.5 Security Policy

In libera traduzione dallo standard:


Security Policy

In dettaglio, la Politica di Sicurezza include:1. framework degli obiettivi, principi di azione sugli

aspetti di information security2. considerazioni circa i requisiti di business, legali e

normativi3. contesto organizzativo per la gestione del rischio4. criteri per la valutazione del rischio

La Politica di Sicurezza deve essere firmata dall’Executive Management


L’Analisi del Rischio

Analisi del Rischio

Gestione del

Rischio

Gestione del rischio: Processo sistematico successivo all’analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello residuo ritenuto accettabile ed accettato

Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell’esposizione al rischio degli asset informativi


Il concetto di Rischio

Che cos’è il RischioRischio?

Il RischioRischio rappresenta la probabilità che una minaccia, sfruttando una vulnerabilità, generi un impatto negativo sugli asset informativi aziendali

Il Rischio può essere espresso come il prodotto scalare dell’Impatto (ovvero della gravità delle conseguenze) di un evento di minaccia per la probabilità di accadimento di tale evento

R = I X P


Il Processo di Analisi del Rischio

I principali step dell’Analisi del Rischio sono:

Identificazione e Valutazione degli Identificazione e Valutazione degli assetasset (rif. Asset Inventory)

Identificazione e Valutazione delle MinacceIdentificazione e Valutazione delle Minacce applicabili agli asset

Identificazione e Valutazione delle VulnerabilitIdentificazione e Valutazione delle Vulnerabilitàà degli asset

Valutazione dellValutazione dell’’esposizione al Rischioesposizione al Rischio


Identificazione degli Asset

Devono essere identificati tutti gli assetasset che costituiscono il patrimonio informativopatrimonio informativo dell’OrganizzazioneLe principali tipologie di asset che devono essere individuate sono:

Asset InformativiAsset Informativi (Dati/Informazioni e Documenti in forma cartacea e/o elettronica) Es.: Appunti con info del cliente, documentazione relativa alle Offerte, documentazione di Progetto, etc.Asset SoftwareAsset Software (applicativi e S.O. di supporto) Es.: Win2000, Linux, SAP R/3, Exchange, etc.AssetAsset FisiciFisici (sistemi hardware di supporto) Es.: e-Mail server, desktop, laptop, router, firewall, etc. ma anche cassettiere, armadiature, locali, etc.


Valutazione degli Asset

Gli asset devono essere valutati tentando di valorizzare in maniera quantitativa o qualitativa l’impatto che deriverebbe da una relativa compromissione in termini di perdita di confidenzialità, integrità e disponibilità.In pratica, bisogna valutare gli eventuali impatti che potrebbero essere determinati qualora:

Gli AssetAsset InformativiInformativi siano pubblicati, modificati, parzialmente corrotti, distrutti, resi indisponibili, etc.Gli AssetAsset SoftwareSoftware siano distrutti, parzialmente corrotti, o ceduti, resi indisponibili, etc.Gli AssetAsset FisiciFisici siano distrutti, parzialmente danneggiati, etc.


Asset Inventory

L’Asset inventory è, quindi, il primo step dell’Analisi dei Rischi

Il documento di Asset Inventory è di fondamentale importanza ai fini della Certificazione ISO/IEC 27001

Il doc dei cespiti aziendali (componente dell’Asset Inventory) deve essere costantemente mantenuto aggiornato!


Valutazioni di criticità

Le figure aziendali coinvolte nei processi censiti dovranno effettuare le valutazioni di criticità degli asset informativi in termini di:

Criticità (importanza dell’asset all’interno del processo)RiservatezzaIntegritàDisponibilità


Identificazione delle Minacce

Occorre identificare l’insieme delle possibili minacce che si possono considerare (possono verificarsi) per gli asset del sistema ad esempio minacce:

Naturali (es. terremoti, uragani, allagamenti, etc.);Tecnologiche (es. virus, malfunzionamenti, etc.);Sociali (es. scioperi, manifestazioni, etc.);Umane:

Interne:Volontarie (es. frodi da interni, intercettazione documenti, etc.);Involontarie (es. manipolazioni dei dati, etc.);

Esterne:Volontarie (es. frodi da esterni, attacchi informatici, etc.);Involontarie (es. virus, etc.).


Identificazione delle Vulnerabilità

Le Vulnerabilità sono le debolezze proprie degli asset e/o dei relativi sistemi di supporto.Esempi di vulnerabilità nei tre domini sono:

Dominio Logico: assenza di patch e/o di hotfix nei S.O., password di bassa complessità degli utenti e degli Amministratori, etc.Dominio Fisico: assenza di un controllo degli accessi (tornelli con badge) per la sala CED, assenza di allarmi anti-intrusione perimetrale negli uffici, etc.Dominio Organizzativo: sovrapposizione di ruoli e/o responsabilità in materia di IS, mancanza di formalizzazione delle procedure di Business Continuity, etc.


Valutazione delle Minacce e delle Vulnerabilità

Occorre effettuare una valutazione del Livello di Minaccia che può essere espresso come la probabilità che la Minaccia si concretizzi impattando sull’asset

Le Vulnerabilità devono essere valutate in funzione della facilità con cui una Minaccia può impattare sugli assetsfruttando la presenza di tale VulnerabilitàAnche questa è una valutazione di tipo probabilistico


Valutazione del rischio

In funzione dei valori determinati precedentemente si determina con un opportuno algoritmo (semplice o complesso) la misura di esposizione al RischioLa Misura di esposizione al Rischio o livello di esposizione al Rischio è indice di quali asset siano critici e maggiormente vulnerabili, in tal modo si potrà intervenire efficacemente (Gestione del Rischio) per identificare i migliori controlli di sicurezza


Esempio di applicazione Step 1

Identificazione Asset:Id0001: Documento di offerta (standard aziendale)Id0011: Server di Archiviazione dei Documenti (serverdoc01)Id0013: Software S.O. Ms Windows Server 2003 (1 licenza)Id0018: Software Applicativo Ms Office (1 licenza)

Valutazione Asset:Id0001: Valore AltoId0011: Valore AltoId0013: Valore BassoId0018: Valore Basso


Esempio di Applicazione Step 2

Identificazione Minacce:Lista delle Minacce Applicabili per asset Id0001:

Mi0001: Spionaggio industrialeMi0009: Perdita d’integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk)

Valutazione Minacce:Valutazione delle Minacce Applicabili per asset Id0001:

Mi0001: Spionaggio industriale: Valore Medio (Docabbastanza competitivo)Mi0009: Perdita d’integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk): Valore Basso (Raid 5 implementato)


Esempio di Applicazione Step 3

Identificazione Vulnerabilità:Lista delle Vulnerabilità per asset Id0001:

Vu0008: Assenza del Label di Classificazione (Documento Confidenziale)…

Valutazione Vulnerabilità:Valutazione delle Vulnerabilità per asset Id0001:

Vu0008: Assenza del Label di Classificazione (Documento Confidenziale): Valore Alto…


Esempio di Applicazione: Output

LivelloMinaccia

Basso(0)

Medio (1)

Alto(2)

Livello Vulnerabilità

B0

M1

A2

B0

M1

A2

B0

M1

A2

ValoreAsset

Basso(0)

0 1 2 1 2 3 2 3 4

Medio(1)

1 2 3 2 3 4 3 4 5

Alto(2)

2 3 4 3 4 5 4 5 6

Il valore di esposizione al rischio è 5 (Alto)!Legenda: 0-2 Rischio basso; 3-4 Rischio medio; 5-6 Rischio alto

Valore Asset Id0001: alto Valore Minaccia Mi0001: medioValore Vulnerabilità Vu0008: alto


Gestione dei Rischi

Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell’esposizione al rischio degli asset informativi

Analisi del Rischio

Gestione del

Rischio

Gestione del rischio: Processo sistematico successivo all’analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello ritenuto accettabile e accettato


Gestione del Rischio

Il processo di Gestione del Rischio consiste nell’identificazione delle contromisure di sicurezza (fisica, logica ed organizzativa) che consentano di ridurre il livello diRischio ad un livello che è ritenuto accettabile dall’Organizzazione

Il Rischio può essere gestito:implementando opportuni contromisure / controlli di sicurezza trasferendo il rischio (con opportune di polizze, con contratti di outsourcing, etc.)…


Selezione delle Contromisure

Le Contromisure possono abbassare il livello di rischio agendo su:

Riduzione della probabilità di attacco e/o d’incidenteRiduzione delle vulnerabilità del sistemaRiduzione dell’impatto di un attacco e/o incidenteIdentificazione tempestiva dell’occorrenza di un attacco e/o incidenteAgevolazione del Recovery in seguito all’occorrenza di un attacco e/o incidente di sicurezza


Scelta delle Contromisure

Nella Scelta delle Contromisure bisognerà procedere con cognizione facendo opportune valutazioni di tipo Costi/Benefici

Se l’implementazione di una contromisura ha un costo di 100.000 Euro ma riduce l’esposizione al rischio (con un impatto stimato da 50.000 Euro a 45.000 Euro), si potrebbe ritenere che tale implementazione non risulta conveniente!


Classi di Contromisure

Per l’elenco delle contromisure di sicurezza si faccia riferimento all’ISO/IEC 27001 Annex A o all’ISO/IEC 17799 da cui sono tratti i seguenti in libera traduzione:

Security Policy Organizzazione dell’Information SecurityGestione degli Asset Sicurezza delle Risorse UmaneSicurezza Fisica e AmbientaleGestione delle Comunicazioni e dell’e attività di EsercizioControllo AccessiAcquisizione, Sviluppo e Manutenzione di sistemi informativiGestione degli Incidenti di Sicurezza delle InformazioniGestione della Business ContinuityConformità

Tale elenco di controlli non è esaustivo, né tutti i controlli risultano mandatori


Cosa fare e non come fare!

Ciascuno dei controlli ISO/IEC 27001 definisce l’obiettivo da perseguire ➜ “COSA FARE”

Viene lasciata all’Organizzazione piena libertà di implementazione dei controlli ➜ “COME FARE”

Del resto, la tecnologia dei controlli di sicurezza cambia velocemente e sarebbe stato limitante vincolare l’Organizzazione ad implementare una soluzione di sicurezza secondo una particolare tecnologia e/o propria di un particolare Produttore...


Risultati della Gestione del Rischio

I Risultati della Gestione del Rischio devono essere esposti in modo sintetico, efficace ed adeguato al target cui sono rivolti

Il Management deve avallare il livello di rischio residuoche diverrà il livello di rischio accettato dall’Organizzazione

L’attività di Analisi e Gestione del Rischio dovrà essere ripetuta periodicamente e all’occorrenza nel caso in cui si verifichino cambiamenti sostanziali negli obiettivi di business, infrastruttura tecnologica, etc. secondo il noto approccio ciclico Plan – Do – Check – Act


Statement of Applicability

Lo “Statement of Applicability” (Dichiarazione di Applicabilità) è un documento di rilevante importanza ai fini della Certificazione BS 7799 del SGSI in essere nell’Organizzazione

Tale documento, che deve essere costantemente mantenuto aggiornato, indica per ciascuno dei controlli ISO/IEC 27001

se applicatose non applicabile (e perché) se risulta non applicato (e perché)

In particolare, un controllo ISO/IEC 27001 potrebbe risultare:Non applicabile ad es. a causa di problemi tecnologici (l’”event logging” potrebbe non essere supportato da un applicativo legacy)Non applicato ad es. a causa del costo d’implementazione (ci sono reali problemi di budget)


SGSI: Fase Do

1. Fase Plan (Establish the ISMS)2. Fase Do (Implement and operate the ISMS)

implementazione dei controlli di sicurezza identificati (ambiti logico, fisico ed organizzativo)

3. Fase Check (Monitor and Review the ISMS): 4. Fase Act (Maintain and improve the ISMS)


Security Controls e Tecnologie di Sicurezza

L’ISO/IEC 27001 è svincolato dai prodotti di sicurezza (fornisce delle raccomandazioni su cosa fare) e dai relativi Produttori (non entra nel merito di come fare). Sarà cura del Responsabile del SGSI opportunamente supportato dalla collaborazione di Security Architect, System Administrator, Network Administrator, etc. ad identificare le tecnologie che riescono a garantire i controlli di sicurezza identificati nel rispetto del budget assegnato

In genere, un prodotto di sicurezza fornisce, nello stesso tempo, più controlli di sicurezza ma necessita di un’opportuna configurazione. Ad es., Ms Win 2000 è un sw, esattamente un S.O. che implementa il log-on, logging, controllo d’integrità dei dati in input, etc.


SGSI: Framework Documentale

Il SGSI deve essere strutturato in un insieme di documenti, politiche, procedure, report, modulistica, etc. di facile consultazione. In particolare, le procedure che sono rivolte ai dipendenti durante l’espletamento delle normali attività lavorative devono essere concise ed efficaci


SGSI: Documenti Formali

Il SGSI certificabile secondo la norma ISO 27001 deve avere i principali documenti formali di seguito elencati:

Ambito di applicazione del SGSIManuale del SGSIPolitica di SicurezzaPiano di Gestione del RischioPiano di Gestione dei LogStatement of Applicability (SoA)...

N.B.: l’elenco non è esaustivo!


SGSI:Procedure

Il SGSI certificabile secondo la norma BS 7799 deve avere, se applicabili, le principali procedure gestionali come quelle di seguito elencate:

Procedura utenteFormazione e Addestramento utenteAmministrazione dei server di produzione e dei sistemi di sicurezza di supportoBack-upBusiness Continuity/Disaster RecoveryIncident HandlingGestione degli AccessiVerifiche Ispettive...



SGSI: Ulteriori Documenti

Il SGSI certificabile secondo la norma BS 7799 deve avere l’ulteriore documentazione relativa a:

Comunicazioni interne relative alle decisioni prese e alle nomine effettuateVerbali delle riunioni degli organi di controllo Modulistica per Verifiche IspettiveManuale di QualitàContratti di Outsourcing con la definizione degli SLA di sicurezzaLog forniti dall’OutsourcerLog dei sistemi di produzione amministratiRegistrazioni varie (Accessi, utilizzo delle macchine di lab, etc.) ...



Sicurezza Organizzativa

L’infrastruttura Organizzativa ha un peso rilevante in tutte le Aziende Private e Pubblica Amministrazione ed essenziale per il raggiungimento degli obiettivi di Business

L’ISO/IEC 27001 sancisce che l’infrastruttura Organizzativa deve rendersi responsabile della Sicurezza delle Informazioni e più precisamente deve essere coinvolta attivamente nel continuo processo di Information Securitydell’Organizzazione


Gli attori coinvolti

I vari attori coinvolti nel processo di IS sono:Struttura Organizzativa di ISExecutive ManagementResponsabili di B.U. e/o DivisioniSystem Administrator, Network Administrator, DB Administrator, etc.DipendentiOutsourcer / Fornitori / Business Partner

Ciascuno ha un ruolo cruciale nel mantenere elevato il livello di sicurezza perché il livello di sicurezza di una Catena èdeterminato dal livello di sicurezza del più debole degli anelli: in un SGSI il fattore umano è quello più debole


SGSI:Fase Check

1. Fase Plan (Establish the ISMS)2. Fase Do (Implement and Operate the ISMS)3. Fase Check (Monitor and Review the ISMS):

misurazione delle performance del SGSI:Management ReviewRaccolta ed Analisi delle “registrazioni/log”Monitoring degli Incidenti di Sicurezza (IncidentHandling)

4. Fase Act (Maintain and Improve the ISMS)


Fase Check: Management Review

Management review su una base regolare (almeno una volta l’anno) per assicurare che lo scopo rimanga adeguato ed i miglioramenti del SGSI siano identificati

Deve, altresì, essere rivisto il livello di rischio residuo e ritenuto accettabile dall’organizzazione, anche, a seguito di modifiche sostanziali nell’Organizzazione, tecnologie, minacce identificate, etc.


SGSI Fase Check:Raccolta e analisi delle registrazioni

Si devono regolarmente raccogliere le registrazioni e log che daranno le indicazioni sul reale funzionamento e sull’efficacia del SGSI implementato.L’analisi di registrazioni e log e lo sviluppo di appositi indicatori di performance, aiuterà l’identificazione delle misure correttive e migliorative


SGSI Fase Check: Monitoring degli incidenti di sicurezza

Un’importante fonte di informazioni che non deve essere assolutamente trascurata è costituita dallo storico degli incidenti di sicurezza che sono stati rilevati:

falsi positiviincidenti di sicurezza chiusiincidenti di sicurezza aperti

...


Verifiche Periodiche

Il sistema dovrà essere sottoposto a verifiche periodiche:ai processi da parte del responsabile e/o proprietario del processo al fine di verificare l’efficacia dei controlli rispettoalle normative di sicurezza e alla politica di sicurezzaalle nuove tecnologie che sono introdotte (almeno ogni seimesi) o al momento dell’introduzione di tecnologie checomportino innovazioni rilevantiispettive interne (“audit”): devono essere condotteindagini, soprattutto, sugli aspetti organizzativi del SGSI (l’ispettore pur essendo interno all’azienda deve condurrela verifica in autonomia e deve essere esterno rispetto al settore o al processo da valutare e indipendente dallepersone che ci lavorano)


SGSI:Miglioramento delle prestazioni

Fase Plan (Establish the ISMS)Fase Do (Implement and Operate the ISMS)Fase Check (Monitor and Review the ISMS): Fase Act (Maintain and Improve the ISMS)

implementazione di eventuali azioni correttive e migliorative


SGSI:Fase Act

Implementare i miglioramenti identificatiIntraprendere tutte le azioni preventive e correttive, apprendendo dal passato e dagli errori commessiComunicare e condividere con le parti interessate le azioni intrapreseAssicurare che vengano raggiunti gli obiettivi dichiarati


Start dell’Iter di Certificazione

Dopo aver revisionato ed affinato opportunamente il SGSI l’organizzazione può fare domanda di certificazione ad un OdC (Organismo di Certificazione) che sia accreditato, in Italia, dal SINCERTNella domanda di certificazione l’organizzazione deve specificare l’ambito di applicazione del SGSI e fornire tutte le informazioni necessarie all’OdC affinché possa essere effettuata una relativa stima dei costi


Processo di Certificazione

Rilascio Certificazione

Esame da parte del Comitato tecnico

Ricezione Domanda

Apertura Pratica

Esame Documentale

Effettuazione Valutazione

Rapporto Verifica Ispettiva

Invio Programma di Valutazione

OK

SI

NO Verifiche supplementari

SI

NOOK

Proposta di Certificazione

Verifiche supplementari

Fonte: Sincert


Approfondimenti

BS 7799 Parte 1: “Code of practice for information security management”BS 7799 Parte 2: “Specification for Information Security Management Systems”ISO/IEC 17799:2000(E) – “Code of Practise for Information Security Management”BSI, “Guide to BS 7799 Risk Assessment and Management”, ISBN 0580295516BSI, “Guide on the selection of BS 7799 controls”, ISBN 0580330117BSI, “Guide to BS 7799 Auditing”, ISBN 0580295532BSI, “Preparing for BS 7799-2 certification”


Link

BS 7799 URL: http://www.bsi-global.comISO/IEC 17799 URL: http://www.iso.org/iso/en/prods-

services/popstds/popstdsindex.htmlEuropean co-operation for Accreditation URL: http://www.european-

accreditation.orgSINCERT URL: http://www.sincert.itRINA URL: itservices.rina.org/iso/CLUSIT URL: http://www.clusit.it/


“La sicurezza nel settore della tecnologia dell’informazione consiste nella protezione della riservatezza, integrità e disponibilità delle informazioni mediante il contrasto delle minacce originate dall’uomo o dall’ambiente, al fine di impedire, a coloro che non siano stati autorizzati, l’accesso, l’utilizzo, la divulgazione, la modifica delle informazioni stesse, e di garantirne l’accesso e l’utilizzo a coloro che siano stati autorizzati.”

Certificazione della Sicurezza nel settore della tecnologia dell’Informazione secondo ITSEC o Common Criteria

Fonte: LGP1 - Descrizione dello Schema Nazionale


Certificazione della Sicurezza nel settore della tecnologia dell’Informazione secondo ITSEC o Common Criteria

Il Decreto del Ministro per l'innovazione e le tecnologie e del Ministrodelle comunicazioni (17/02/2005) ha identificato le: "Linee guidaprovvisorie per l'applicazione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologiadell'informazione“(LGP), che entro 12 mesi dovranno essere pubblicate nella versione definitiva di Linee Guida Definitive (LGD) dall’OCSI.

L’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCTI) del Ministero delle Comunicazioni èl’Organismo di Certificazione della Sicurezza nel settore della tecnologia dell’Informazione (OCSI).

Lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione si compone dell’insieme delle procedure e delle regole necessarie per la valutazione e la certificazione, in conformità ai criteri europei ITSEC o ai Common Criteria (CC).


Ambito della Certificazione

La Certificazione nello Schema Nazionale ha come ambito un identificato “Oggetto di Valutazione (ODV), ovvero il sistema o prodotto sottoposto alla valutazione”.L’ODV può essere valutato sulla base di un “Traguardo di Sicurezza (TDS) ovvero il Documento che specifica le funzioni di sicurezza che l’ODV dovrebbe svolgere , l’ambiente operativo in cui l’ODV è destinato ad operare ed il livello di garanzia al quale l’ODV viene valutato”.L’ODV può anche essere valutato sulla base di un “Profilo di Protezione (PP) ovvero del Documento che descrive per una certa categoria di ODV ed in modo indipendente dalla realizzazione, gli obiettivi di sicurezza, le minacce, l’ambiente ed i requisiti funzionali e di garanzia, definiti secondo i Common Criteria”.

Fonte: LGP1 – Descrizione Generale dello Schema Nazionale


Gli Attori Coinvolti

OCSIOCSI

LVSLVS LVSLVS LVSLVS

Commissione garanzia

Commissione garanzia

CommittenteCommittente FornitoreFornitore


L’Organismo di Certificazione

OC è l’ ISCTI che essenzialmente si occupa di:

mantenimento dello Schema Nazionale

predisposizione, aggiornamento e divulgazione delle Linee Guida

emissione e revoca dei Certificati

accreditamento e mantenimento dell’elenco aggiornato degli LVS

mantenimento dell’elenco dei Certificatori, Assistenti e Valutatori

…

L’Organismo di Certificazione deve inoltre garantire che le informazioni a cui hanno accesso non siano divulgate a soggetti non autorizzati.


La Commissione di Garanzia

La Commissione di Garanzia si occupa di dirimere ogni controversia nata in seno allo Schema Nazionale.

E’ presieduta da un membro prescelto dal Dipartimento per l’Innovazione e le Tecnologie della Presidenza del Consiglio deiMinistri sono rappresentati al suo interno:

i Ministeri interessati (Innovazione e le Tecnologie, Comunicazioni, Attività Produttive, Economia e delle Finanze, altri Ministeri etc.)

l’ISCTI;

gli LVS;

i Fornitori;

le Associazioni dei Consumatori.


I Laboratori di Valutazione della Sicurezza

I LVS sono accreditati dall’Organismo di Certificazione ed effettuano le valutazioni di ODV (Oggetto di Valutazione) o di PP (Profilo di Protezione) secondo lo Schema Nazionale e sotto il controllo dell’Organismo di Certificazione.

I requisiti che devono essere soddisfatti dagli LVS sono:

imparzialità, indipendenza, riservatezza e obiettività

disponibilità di locali e mezzi adeguati

organizzazione adeguata per il controllo

disponibilità di personale con adeguate competenze tecniche e iscritto nell’elenco dell’organismo di certificazione

conformità a UNI CEI EN ISO/IEC 17025 e UNI CEI EN 45011

capacità di mantenere nel tempo i requisiti.

Anche i LVS devono garantire che le informazioni a cui hanno accesso non siano divulgate a soggetti non autorizzati.


Le principali attività dei LVS

Le attività svolte dagli LVS possono essere:

Valutazione di prodotti e servizi nell’ambito della tecnologia dell’informazione

Consulenza al Committente:

Supporto e feedback circa la stesura della documentazione di sicurezza durante la preparazione della valutazione

la determinazione della valutabilità del TDS, ODV o Profilo di Protezione

le attività connesse con la gestione e il mantenimento dei Certificati.

Formazione sulle tematiche di sicurezza e sulle tecniche di valutazione


Il Committente

Il Committente è chi commissiona la valutazione al LVS e può coincidere con il Fornitore dell’oggetto della valutazione.

Il Committente stipula il contratto con il LVS.

Il Committente e il Fornitore si impegnano a fornire tutte le informazioni e la documentazione necessaria.


L’Assistente

“L'Assistente è una persona formata, addestrata e abilitata dall’Organismo di Certificazione per fornire supporto tecnico al Committente o al Fornitore che ne faccia richiesta.”

Il rilascio dell’abilitazione è subordinato al superamento di un test di valutazione, propostogli dalla Sezione Accreditamento dell’OC, sulla competenza tecnica. Tale abilitazione dura 3 anni.

La Sezione Accreditamento dei Laboratori dell’OC si riserva la facoltà di effettuare delle verifiche sul mantenimento dei requisiti.



Il Fornitore

Il Fornitore è il soggetto che fornisce l’ODV o parti e componenti di quest’ultimo, e coopera con il Committente nel processo di valutazione e certificazione, fornendo informazioni tecniche e documentazione di riferimento.A volte il Fornitore può coincidere con il Committente della valutazione.


La Certificazione secondo lo Schema Nazionale

La Certificazione secondo lo Schema Nazionale può avvenire in riferimento allo standard ISO/IEC15408 (Common Criteria) oppure allo standard ITSEC e relativa metodologia ITSEM e può avere come oggetto un Protection Profile oppure un Security Target.Nelle Linee Guida provvisorie per l’applicazione dello schema nazionale vengono descritti per la valutazione quattro Livelli di Garanzia (EAL) definiti:

EAL1EAL 2EAL 3EAL 4


La Certificazione secondo lo Schema Nazionale

Sia che la Certificazione avvenga sulla base dello standard ITSEC che sulla base dei Common Criteria occorre considerare che tali standard non si configurano come norme ma come principi che definiscono le verifiche che devono essere eseguite nel corso della valutazione.

In particolare “la Certificazione stabilisce che la valutazione è stata condotta conformemente ai criteri necessari a verificare il soddisfacimento del livello di garanzia, della robustezza dei meccanismi o delle funzioni di sicurezza dichiarati e conseguentemente garantisce i risultati della valutazione stessa”. Fonte: LGP1 - Descrizione dello Schema Nazionale


Il Profilo di Protezione

Un Profilo di Protezione è un Documento che descrive le caratteristiche di sicurezza di una tipologia di prodotti o sistemi IT, e, come tale ha il compito di identificare i requisiti di sicurezza IT che, sotto le ipotesi formulate, permettono di contrastare le minacce che sono state individuate nell’ambiente operativo previsto e di attuare le politiche di sicurezza dell’organizzazione.La Valutazione di un PP si prefigge gli obiettivi di determinare se quest’ultimo documento è:

Completo, in quanto i requisiti di sicurezza descritti contrastana ciascuna minaccia e attuano ciascuna politica di sicurezza dell’organizzazione,Sufficiente, in quanto i requisiti di sicurezza IT sono adeguati a contrastare le minacce e ad attuare le politiche di sicurezza dell’Organizzazione,Robusto, nel senso che il Profilo di Protezione stesso deve essere internamente congruente

Fonte: LGP4 – Attività di valutazione secondo i Common Criteria


Il Traguardo di Sicurezza

Un Traguardo di Sicurezza è un Documento che descrive le caratteristiche di sicurezza di uno specifico prodotto o sistema IT e come tale ha il compito:

di identificare le funzioni di sicurezza e, ove praticabile, i meccanismi di sicurezza che, sotto le ipotesi formulate, permettono di contrastare le minacce che sono state individuate nell’ambiente operativo previsto e di attuare le politiche di sicurezza dell’organizzazione,di definire le misure di garanzia che devono ingenerare il grado di fiducia richiesto circa il fatto che l’ODV possa effettivamente contrastare in modo efficace le minacce individuate e attuare lepolitiche di sicurezza dell’organizzazione.



Il Traguardo di Sicurezza

La Valutazione di un ST si prefigge gli obiettivi di determinare se quest’ultimo documento è:

completo, in quanto le funzioni di sicurezza descritte contrastano ciascuna minaccia e attuano ciascuna politica di sicurezza dell’organizzazione;sufficiente, in quanto

le funzioni di sicurezza sono adeguate a contrastare le minacce e ad attuare le politiche di sicurezza dell’organizzazionele misure di garanzia forniscono garanzie sufficienti circa il fatto che le funzioni di sicurezza siano realizzate in modo corretto

internamente congruentecostituisca un raffinamento accurato di tutti gli eventuali Profili di Protezione che sono indicati come riferimento da una o più dichiarazioni di conformità



I livelli di Valutazione

EAL1:

“Una valutazione di livello EAL1 si prefigge gli obiettivi di fornire delle prove del fatto che il comportamento di un ODV è conforme a quanto affermato nella documentazione dell’ODV stesso, e che quest’ultimo fornisce una utile protezione nei confronti delle minacce che sono state identificate e caratterizzate nel Traguardo di Sicurezza”. Fonte LGP4: Attività di Valutazione secondo i Common Criteria



EAL2:Il Soddisfacimento da parte di un ODV, dei requisiti di livelloEAL2 consente di valutare, ance se ad un livello base, altri aspetti relativi all’ODV oltre la conformità alle specifiche richiedendo:

la valutazione di ulteriori aspetti come le attività di test eseguite dal Fornitore e le attività di analisi di vulnerabilitàl’esecuzione nel corso della valutazione di operazioni di test indipendente



EAL3:Il Soddisfacimento da parte di un ODV, dei requisiti di livelloEAL3 consente di estendere la valutazione delle pratiche ingegneristiche di sicurezza adottate e quindi del processo di sviluppo dell’ODV pur senza richiedere una rivisitazione delle buone prassi di sviluppo adottate e senza richiedere una riprogettazione dell’ODV.


I Livelli di Valutazione

EAL4:“Il Soddisfacimento da parte di un ODV, dei requisiti di livelloEAL4 fornisce un livello di garanzia medio-alto, che può essere raggiunto da un sistema o prodotto IT commerciale, rispettando alcune pratiche ingegneristiche di sicurezza che, pur comportando per il Fornitore dei costi di sviluppo aggiuntivi, non richiedono il ricorso sistematico a tecniche, conoscenze o altrerisorse di tipo specialistico”. Fonte: LGP4 – Attività di valutazione secondo i Common Criteria


Fase di Preparazione della Valutazione di un ODV

Il Committente identifica l’esigenza di effettuare la valutazione e certificazione della sicurezza di un determinato ODV

L’Organismo di certificazione comunica l’esito della domanda di iscrizione

L’LVS presenta la Domanda di iscrizione allo Schema presentando il Piano di Valutazione all’Organismo di Certificazione

L’LVS stima l’adeguatezza del Traguardo di Sicurezza e prepara un Piano di Valutazione

Il Committente prende contatto con un LVS per iniziare la valutazione

Il Committente individua il Traguardo di Sicurezza e tutta la documentazione necessaria per la valutazione

Preparazione della Valutazione



Fase di Conduzione e Conclusione della Valutazione di un ODV

Conduzione e Conclusione della Valutazione

Esito Positivo di iscrizione allo schema

L’LVS produce i Rapporti di Attività

Il Committente risponde al Rapporto di

Osservazione

L’LVS produce un Rapporto di

Osservazione

L’LVS valuta l’ODV in accordo con il Piano di Valutazione presentato

L’LVS produce il Rapporto Finale di Valutazione e lo sottopone all’Organismo di Certificazione e

al Committente



Fase di Certificazione di un ODV

L’Organismo di Certificazione analizza l’RFV e stabilisce se costituisce una base adeguata per l’emissione del rapporto di Certificazione

Vengono rilasciati formalmente il Rapporto di Certificazione e il Certificato

Certificazione



Riferimenti

Linee guida provvisorie per l'applicazione dello schema nazionaleper la valutazione e certificazione di sicurezza nel settore dellatecnologia dell'informazione:

LGP1 - Descrizione generale dello Schema nazionale divalutazione e certificazione della sicurezza (LGP1_v12-04_Descrizione_generale_schema_nazionale.pdf)

LGP2 - Accreditamento degli LVS e abilitazione degliAssistenti (LGP2_v12-04_Accreditamento_LVS_e_abilitazione_degli_assistenti.pdf)

LGP3 - Procedure di valutazione (LGP3_v12-04_Procedura_di_valutazione.pdf)

LGP4 – Attività di valutazione secondo i Common Criteria (LGP4_v12-04_Attività_di_valutazione_secondo_i_comman_criteria.pdf)


Riferimenti

LGP5 - Il Piano di Valutazione: indicazioni generali(LGP5_v12-04_Il_piano_di_valutazione.pdf)

LGP6 – Guida alla scrittura dei Profili di Protezione e dei Traguardi di Sicurezza (LGP6_v12-04_Guida_per_il_rispetto_dei_comman_criteria_.pdf)

LGP7 - Glossario e terminologia di riferimento (LGP7-v12-04_Glossario.pdf)

la sicurezza informatica:dal risk analysis al risk management, … siemens.pdf · 2015-08-20 ·...

Documents