Upload
bertina-graziano
View
217
Download
1
Embed Size (px)
Citation preview
Indice degli argomenti
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
1. L’attenzione della P.A. alla Sicurezza Informatica
2. Concetti di Sicurezza Informatica
3. Il processo per la gestione della sicurezza
4. Modello Organizzativo per la P.A.
1
L’attenzione della P.A. alla Sicurezza Informatica
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
2
“Le informazioni gestite dai sistemi informativi pubblici costituiscono una risorsa di valore strategico per il governo del Paese.”
Questo patrimonio deve essere efficacemente protetto e tutelato al fine di prevenire possibili alterazioni sul significato intrinseco delle informazioni stesse. E' noto infatti che esistono minacce di intrusione e possibilità di divulgazione non autorizzata di informazioni, nonché di interruzione e di distruzione del servizio. Lo stesso processo di innovazione tecnologica produce da un lato strumenti più sofisticati di "attacco", ma d'altro lato idonei strumenti di difesa e protezione.
PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO PER L'INNOVAZIONE E LE TECNOLOGIEDIRETTIVA 16 gennaio 2002 Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni.(G.U. 22 marzo 2002, n. 69)
L’attenzione della P.A. alla Sicurezza Informatica
L’informatica a servizio del cittadino
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
3
“La P.A. eroga i servizi alla collettività sempre più tramite le tecnologie informatiche.”
Decreto legislativo 12/02/ 1993, n. 39 - “Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche, a norma
Decreto legislativo 30/06/2003, n. 196 - “Codice in materia di protezione dei dati personali.”
Direttiva 27/11/2003 - “Direttiva per l’impiego della posta elettronica nelle pubbliche amministrazioni.”
Direttiva 18/12/2003 - “Linee guida in materia di digitalizzazione dell’amministrazione per l’anno 2004.”
Legge 9/1/2004, n. 4 - “Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici.”
D.P.R. 2/3/2004, n. 117 - “Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dell’articolo 27, comma 8, lettera b), della legge 16 gennaio 2003, n. 3.”
D.P.R. 11/2/2005, n. 68 - “Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3.”
D.P.R. 1/3/2005 n. 75 - “Regolamento di attuazione della legge 9 gennaio 2004, n. 4 per favorire l’accesso dei soggetti disabili agli strumenti informatici.”
Decreto legislativo 7 /3/2005, n. 82 - “Codice dell’amministrazione digitale.”
L’attenzione della P.A. alla Sicurezza Informatica
Obiettivo prioritario
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
4
I processi della P.A. per la missione istituzione a servizio del Cittadino necessitano della massima garanzia di affidabilità, integrità e correttezza delle informazioni e dei loro trattamenti .
La sicurezza informatica e delle comunicazioni (S-ICT) è uno egli obiettivi di massima rilevanza per assicurare servizi efficaci ed efficienti, attraverso:
- Utilizzo di tecnologie “sicure” (PEC)- Reti dedicate con alte prestazioni e elevati livelli di sicurezza (SPC)- Garanzia delle informazioni personali (Codice Privacy) - Conformità agli standard internazionali- Promozione della “cultura della sicurezza”- Attuazione di un “Modello organizzativo” per la sicurezza
Il raggiungimento degli obiettivi richiede di operare con professionalità e consapevolezza anche in materia di Sicurezza ICT.
Concetti di Sicurezza Informatica
Concetti base – Obiettivi di sicurezza 1
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
5
1) Disponibilità di risorseLe risorse informatiche (elaboratori, reti di comunicazione, dati) dovoono essere disponibili all’uso quando sono necessari.
Indisponibilità “controllate” (aggiornamento, manutenzione preventiva)Sono necessarie e devono essere gestite
Indisponibilità “incontrollate” (cause non volontarie)Devono essere adottati gli accorgimenti per evitarle e per minimizzare l’impatto sulle operazioni quando si verificano
2) Integrità dell’informazione
3) Riservatezza dell’informazione.
La tutela che le informazioni (i dati) non siano alterati.
La prevenzione dell’accesso alle informazioni alle persone che non ne hanno titolo.
E’ necessario preventivamente classificare le informazioni, determinare chi ha titolo all’accesso (per norma di legge, contratto fra le parti), quali trattamenti può effettuare.
Gli obiettivi di sicurezza sono esprimibili con i criteri RID
Concetti di Sicurezza Informatica
Concetti base – Obiettivi di sicurezza 2
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
6
L’utilizzo della Firma Digitale e delle tecniche crittografiche ha aggiunto due nuovi concetti, applicabili all’integrità di una transazione telematica o di un messaggio (es e-mail).
5) AutenticitàCertezza del legittimo autore di un messaggio o documento digitale.
6) Non Ripudio
Certezza dell’origine del documento o della transazione e prevenzione del disconoscimento da parte dell’autore.
Concetti di Sicurezza Informatica
Crittografia
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
7
La crittografia è utilizzata per rendere incomprensibile un messaggioa chi non è in possesso della chiave
Algoritmo metodo di cifraturaChiave elemento utilizzato per cifrare / decifrare il testo
Testo in chiaro
CIFRATURA
CHIAVE
Testo cifrato
Il processo deve essere REVERSIBILE, chi conosce la chiave deve ricostruire il messaggio originale
DECIFRATURA
L’algoritmo può essere pubblicoLa sicurezza del processo crittografico è costituita dalla segretezza della chiave (Principio di Kerchoff)
Testo in chiaro
Concetti di Sicurezza Informatica
Crittografia
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
8
TIPI di ALGORITMI CRITTOGRAFICI
SIMMETRICI
ASIMMETRICI
HASH
la chiave è unicaE nota sia al Mittente che al Destinatario
Per garantire RISERVATEZZA
2 coppie di chiavi diverse
Mittente
Destinatario
Per garantire INTEGRITA’Funzioni univoche e unidirezionali (non possono essere invertite)Trasformano un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata, strettamente dipendente dal testo.Piccole variazione del testo producono un hash diversoL’hash rappresenta l’ “impronta digitale” che identifica il testo in chiaro.
Per garantireRISERVATEZZA AUTENTICITA’Utilizzati anche per lo scambio di chiavi simmetriche
Concetti di Sicurezza Informatica
Crittografia Simmetrica – Chiave
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
9
OTP (One Time Pad) utilizzando una chiave: • di lunghezza uguale al messaggio• casuale• usata una sola volta
Caso teorico non applicabile in pratica. Occorre trovare il compromesso fra • Facile utilizzo per gli utenti legittimi Utilizzabile sui computer reali (potenza di calcolo limitata)
Piu corta del messaggio• Difficile decifratura per il possibile attaccante
Problematiche legate alla chiave
Creazione di sequenze casuali
Numero delle chiavi
Distribuzione
N=100
N utilizzatori N*(N-1)/2 Chiavi
Utilizzo di canali paralleli
4.950 Key
Concetti di Sicurezza Informatica
Crittografia Asimmetrica – Generazione delle chiavi
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
10
In fase di creazione si utilizzano funzioni matematiche che richiedono potenza di calcolo limitata (computabili) ma per le quali non è ancora stato dimostrato che esista un metodo pratico di risoluzione inversa
La soluzione inversa non è possibile tramite algoritmo, ma solo per tentativi (forza bruta) quasi impossibili da computare
Fattorizzazione numeri primi Dati due numeri primi tra loro è semplice e veloce calcolarne il prodottoDato il prodotto è molto difficile risalire a uno dei fattori primiPur conoscendo la chiave pubblica è impossibile risalire a quella privata
Le chiavi sono create dallo stesso algoritmo e sono correlate
Non possono essere ricavate l’una dall’altra
Concetti di Sicurezza Informatica
Crittografia Asimmetrica – Le Chiavi
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
11
la chiave privata é personale e segreta
la chiave pubblica è distribuita
RISERVATEZZAMittente invia un messaggio cifrato con la chiave pubblica del destinatarioDestinatario possiede la relativa chiave privata è può decifrarlo
AUTENTICITA’Mittente invia un messaggio cifrato con la PROPRIA chiave privataTutti coloro che hanno la chiave pubblica del mittente possono leggerlo
Le chiavi sono create dallo stesso algoritmo e sono correlate
Quello che si cifra con una chiave può essere decifrato solamente con l’altra chiave della coppia
Concetti di Sicurezza Informatica
Crittografia Simmetrica
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
12
CHIAVE BIT
ALGORITMO
40 RC2-40
56 DES
128 RC2-128
56 (x 3) 3DES
256 RC6
DEBOLE
FORTE
Il DES é stato forzato nel 1998, ma è ancora molto utilizzato, perché implementabile con soluzioni hw, economiche e veloci
La robustezza dipende fortemente dalla lunghezza della chiave
Il DES (Data Encryption System) impiega chiavi di 64 bit (56 effettivi + 8 di parità). Suddivide il testo in blocchi di 64 bit ciascuno e li cifra in successione per 16 volte.Ad ogni ciclo la chiave subisce una permutazione.
.
Concetti di Sicurezza Informatica
Crittografia Asimmetrica – RSA
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
13
RSA (Rivest, Shamir, Adleman)Usa operatori esponenziali in aritmetica modulo NEsponente diverso per le funzioni di cifratura / decifratura
Può usare chiavi di diversa lunghezza, consigliabili almeno 1.024 bit.
Ha lo svantaggio che la creazione della coppia di chiavi è complessa
PRO Contro
Key Distribution Più lenta della simmetrica
Key management (fino a 1.000 volte)
Scalabilità (2*n)
Robusto (Key >= 1.024) Richiede potenza di calcolo.
Confidenzialità
Autenticità
Concetti di Sicurezza Informatica
Concetti base – Minaccia
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
14
I beni hanno un valore (anche se immateriali come le informazioni o i servizi) e devono essere protettu per evitare che possano subire una perdita, totale o parziale, del loro valore.ll valore di un bene viene attribuito in rapporto alla sua importanza (dalla normativa, dal proprietario del bene)secondo gli obiettivi fissati con i criteri di RID (Riservatezza, Integrità, Disponibilità).
Fatto o azione che potrebbe provocare la violazione di uno degli obiettivi di sicurezza.Possono avere origine umana, deliberata o accidentale, o avere una causa esterna naturale.Esempi: Fulmine: minaccia naturale
Guasto HW: minaccia accidentaleFurto : minaccia deliberataSw dannoso: può essere deliberato o accidentale
Minaccia
Concetti di Sicurezza Informatica
Concetti base – Vulnerabilità
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
15
Vulnerabilità
Tutti i beni hanno, per loro natura, delle vulnerabilità intrinseche, ovvero dei punti deboli, noti o ignoti.
Se esiste una minaccia che può sfruttare la vulnerabilità, si può verificare una violazione di un obiettivo di sicurezza.
Le vulnerabilità non implicano la certezza della violazione degli obiettivi di sicurezza
Impatto
Esprime le conseguenze, sul sistema informatico, a seguito della concretizzazione di una minaccia.
Dipende dagli obiettivi di sicurezza e dal valore attribuito al bene o al servizio
Concetti di Sicurezza Informatica
Concetti base – Rischio
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
16
Rischio
Quantifica la severità di una minaccia in relazione al sistema che si vuole proteggere.
Si esprime come relazione tra
la probabilità che una minaccia si realizzi P(m)
le conseguenze che può provocare (gravità del possibile impatto) G(i)
R = P(m) * G(i)
I valori associati al Rischio costituiscono l’elemento per sviluppare il processo di analisi e gestione del rischio e sono fondamentali per la progettazione di un sistema di sicurezza.
Concetti di Sicurezza Informatica
Come realizzare un sistema di sicurezza
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
17
quali risorse proteggere?
che importanza (valore) ha la risorsa?
da quali minacce occorre proteggere le risorse?
la probabilità che la minaccia si concretizzi?
quali misure di protezione si possono adottare?
quali sono i costi?
le misure già in atto sono ancora valide?
occorre una verifica periodica degli obiettivi?
Il processo di gestione della Sicurezza Informatica
Come realizzare un sistema di sicurezza
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
18
Il processo (CICLO) della sicurezza
Il processo di gestione della Sicurezza Informatica
Come realizzare un sistema di sicurezza
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
19
Obiettivo:
Definire i principali eventi potenzialmente dannosi Stimare la probabilità di accadimento relativa. Calcolare il rischioIndividuare le contromisure
Metodo:
Individuazione minacce e vulnerabilità
Calcolo del rischio: 1. Applicabilità: la minaccia può compromettere l’asset (0=no 1=si) 2. Impatto: applicabilità x criticità asset 3. Probabilità: che la minaccia si concretizzi (vulnerabilità presenti) 4. Rischio: impatto x probabilità (parametrizzati)
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
20
quali risorse proteggere?
1) Inventario dei beni (Asset)
•Supporti informatici (sistemi, apparati, Applicativi, reti locali, reti geografiche,…)
•Impianti (corrente elettrica, UPS, aria condizionata/riscaldamento,….)•Locali (Sale CED, sale console, archivi)•Persone (manager, sviluppatori, utenti, sistemisti, ….)•Documenti (cartacei o in forma digitale)•Dati
In termini di RID Assegnando un valore numerico o qualitativo (Alto, Medio, Basso)fornisce la stima della gravita dell’Impatto G(I)
2) Classificazione dei beni (Asset)
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
21
3) Individuare le Minacce (Deliberate, Accidentali, ambiEntali)
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
22
4) Individuare le vulnerabilità
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
23
5) Stimare la probabilità dell’evento dannoso
Dipende dalla tipologia della minaccia e
Minacce Deliberate (Fattore Umano)La probabilità é funzione delle Vulnerabilità presenti nel sistema e della Motivazioni del potenziale attaccante
P = f(V,M)
Minacce accidentali e ambientaliLa probabilità é funzione delle Vulnerabilità presenti nel sistema e della probabilità statistica che si verifichi.La probabilità statistica deriva dai rilevamenti di eventi simili avvenuti in precedenza
P = f(V,p)
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
24
6) Stimare il rischio
Applicando la formula di correlazione Probabilità – Gravità dell’impattoR = P(m) * G(i)
Il livello di rischio è rappresentato mediante la “Matrice di rischio”, riportando nelle righe la probabilità che le minacce si concretizzino e nelle colonne l’impatto.
L’incrocio riga/colonna indica il livello di rischio.
1 Basso 2 Medio 3 Alto
3 Alto 3 Medio 6 Alto 9 Alto
2 Medio 2 Basso 4 Medio 6 Alto
1 Basso 1 Basso 2 Basso 4 Medio
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
25
6) Gestire il rischio
scopo• eliminare i rischi• ridurli entro limiti accettabili
I rischi non eliminabili possono essere ceduti a terzi, (polizze di assicurazione)es. furto, incendio e disastri naturali
Il rischio può essere controllo del attraverso opportune contromisure che agiscano sulle due componenti del rischio:
la gravità dell’impatto
la probabilità di attuazione della minaccia
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
26
6) Contromisure
La scelta delle contromisure da mettere in campo è dettata dall’analisi del rischio e dall’analisi costo/benefici delle contromisure.
Se la riduzione del rischio è ampiamente superiore al costo della contromisura, questa è efficace.
Se un certo rischio è di scarsa entità e la contromisura risulterebbe più costosa rispetto ai benefici, si può decidere di accettare il rischio senza alcuna contromisura. Vale anche nei casi in cui il rischio residuo (il rischio che rimane dopo l’adozione delle contromisure) non fosse significativamente inferiore al rischio iniziale.
Si possono classificare le contromisure in tre categorie a seconda che siano di di carattere fisico di tipo procedurale di tipo tecnico informatico
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
27
Contromisure di carattere fisico
Generalmente legate alla prevenzione e al controllo dell’accesso a installazioni, locali, attrezzature, mezzi di comunicazione.
Esempiedificio protetto e accessibile solo dopo il riconoscimento del personale autorizzato la collocazione in zona elevata non soggetta ad alluvioni, rilevatori e pompe per evacuare l’acquasistemi antincendioaccessi blindati e sorvegliati
protezione fisica delle linee di comunicazione contro intercettazioni, disturbi e danneggiamenti. canalizzazioni dei cavi di rete, schermature di vetri e pareti per contenere il campo delle reti
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
28
Contromisure di carattere tecnico informatico - 1
Realizzate attraverso mezzi hardware, firmware e software e prendono anche il nome di funzioni di sicurezza Identificazione e autenticazione di un individuo o un processo e ad autenticarne l’identità. funzione di accesso (login) a un sistema tramite nome utente (per l’identificazione) e password (per l’autenticazione dell’identità).Controllo degli accessiVerificano se il processo o l’utente, di cui è stata autenticata l’identità, ha il diritto di accedere alla risorsa richiesta e di eseguire l’operazione specificata (lettura, esecuzione, modifica, creazione, cancellazione).Rendicontabilità (accountability)permettono di attribuire la responsabilità degli eventi agli individui che li hanno causati.Verifica (audit). registrano gli eventi in un file (log) con informazioni su errori e a violazioni di sicurezza.
Il processo di gestione della Sicurezza Informatica
Gestione del rischio
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
29
Contromisure di carattere tecnico informatico - 2
Accuratezza delle informazioni.Esempio, la registrazione temporale (time stamp) dell’evento perché i file di logging forniscano informazioni attendibili, Affidabilità del servizio. contromisure per mantenere condizioni di alimentazione elettrica stabile, filtrata e senza interruzione (gruppi di continuità)difese dai malfunzionamenti hardware (monitoraggio e manutenzione preventiva)difese dai malfunzionamenti software (monitoraggio delle prestazioni, rollback delle transazioni non andate a buon fine, ripristino di uno stato precedente del sistema operativo, ripristino delle partizioni di disco a uno stato integro precedente). Scambio dati sicuro.destinate a garantire la sicurezza delle trasmissioni. autenticazione - controllo dell’accesso - riservatezzaintegrità (dell’hardware, dei dati e dei flussi di pacchetti TCP trasmessi) non ripudio.Esempio di contromisura in questa area é l’uso di crittografia
Il processo di gestione della Sicurezza informatica
Contromisure di carattere procedurale - 1
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
30
Definiscono le operazioni per eseguire un compito oppure regolano il comportamento degli addetti e degli utenti per gli aspetti che riguardano la sicurezza delle informazioni e delle risorse.
Mentre le contromisure fisiche proteggono l’accesso fisico alle risorse e le contromisure informatiche agiscono a livello hardware, firmware e software, le procedure operative e le regole di comportamento si applicano
alle personeScopi evitare che gli addetti ai sistemi informatici e gli utenti causino vulnerabilità e minacce accidentali
Promuovere la consapevolezza delle persone e far si che contribuiscano a mantenere i livelli di sicurezza riducendo i rischi residui lasciati dalle altre contromisure.
Il processo di gestione della Sicurezza informatica
Contromisure di carattere procedurale - 2
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
31
Esempi:
il controllo dell’identità dei visitatori e la limitazione delle aree a cui hanno accesso. Le istruzioni per la sua custodia del badge di riconoscimento così che non venga lasciato a disposizione di altri
Le password sono uno strumento di protezione informatico, ma le regole per la loro assegnazione, durata, utilizzo e custodia fanno parte delle contromisure procedurali per ridurre il rischio del furto d’identità.
norme comuni per le password:
utilizzare password di lunghezza minima prefissata (tipico maggiore di 8 caratteri)Rispondenti ai requisiti di complessità (lettere, maiuscole, numeri e caratteri speciali)Imposizione di modificarle periodicamentebloccare l’accesso dopo un numero limitato di tentativi errati;responsabilizzare gli assegnatari sugli effetti della mancata riservatezza
Il processo di gestione della Sicurezza informatica
Contromisure di carattere procedurale - 3
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
32
Le contromisure di tipo procedurale dovrebbero essere ridotte al minimo, Quando quando possibile è consigliabile utilizzare sistemi automatizzati, meno soggetti agli errori e dimenticanze.
EsempioL’aggiornamento degli antivirus che assicuri che il file di riconoscimento dei virus sia sempre allineato all’ultimo rilascioL’aggiornamento periodico del firmware dei firewall
Possono essere automatizzati tramite un sistema centralizzato
L’uso di determinate funzioni nell’utilizzo di specifici hardware e software, ove si preveda che possa aumentare i rischi per la sicurezza dovrebbe:
essere automatizzato per quanto possibileoggetto di norme procedurali per quanto dipende dal comportamento delle persone
Il processo di gestione della Sicurezza informatica
Contromisure di carattere procedurale - 4
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
33
Le contromisure di tipo procedurale possono integrare e rafforzare i sistemi automatizzati.
EsempioPer l’entità dell’impatto e la frequenza di guasti ai supporti magnetici è assolutamente necessario prevedere un sistema di salvataggio dei dati e dei programmi (backup), garantiscano il ripristino dopo un disastro (disaster recovery) o la continuità operativa (business continuity) a dispetto di qualsiasi evento catastrofico.
I backup possono essere automatizzati
E’ però importante definire una strategia di backup a più livelli (con diverse periodicità) e mettere in atto procedure che verifichino
esecuzione dei salvataggiintegrità e utilizzabilità dei supporti funzionalità del ripristino in caso di necessità seguito di un evento (test periodi)
Il processo di gestione della Sicurezza informatica
Gli standard
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
34
Forniscono una guida per la progettazione e la gestione di un sistema di sicurezza
ISO 2700
27000 - Foundamental and vocabulary27001 - ISMS Requirements27002 - Code of practice of ISMS27003 - ISMS implementation guidance27004 - Measurements27005 - Risk Management27006 - Requirements for the accreditation of certification bodies27007 - Guidelines for ISMS auditing27011 - Information security management guidelines for telecommunications 27031 - ICT readiness for business continuity I27032 - Guidelines for cybersecurity 27033 - IT network security 27034 - Guidelines for application security 27799 - Security Management in Health using ISO/IEC 27002
Modello organizzativo per la PA
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
35
.Direttiva del 16 gennaio 2002 dal titolo: “Sicurezza informatica e delle telecomunicazioni nelle
pubbliche amministrazioni Statali
Obiettivo: adeguare la struttura organizzativa della P.A. coerentemente agli obiettivi fissati In materia di sicurezza dei servizi resi al cittadino tramite gli strumenti informatici
Il modello prevede che sia istituita un’organizzazione che assegna dei ruoli dotati di responsabilitàe di autonomia nonché di conoscenza dell’operatività per prendere decisioni, tenendo fede al principi della “separazione dei compiti”.
Bilanciamento rischio/sicurezzavalutare il bene, il livello di esposizione, definire le misure di protezione,bilanciamento fra gli investimenti per le contromisure e la diminuzione degli accadimenti;
Monitoraggio del sistema:si intende l’attività di controllo continuo degli indicatori di performance, sicurezza e rischio, svolte dalla funzione/ruolo che realizza le misure di sicurezza.
Verifica:attività di controllo saltuaria che si sviluppa attraverso un vero e proprio audit da parte di una funzione/ruolo (ICT auditing) diversa da chi ha realizzato la sicurezza.
Fonte: CNIPA Quaderno 23 – Cap. 4 L’organizzazione di sicurezza delle amministrazioni
Modello organizzativo per la PA
Gli standard
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
36
.
Modello organizzativo per la PA
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
37
.Il Ministro:Rappresenta il vertice dell’organizzazione per la sicurezza ed ha il compito di individuare esancire l’organizzazione della sicurezza idonea al proprio dicastero.
Consigliere tecnico per la sicurezza ICT:E’ il consulente strategico del Ministro, svolge anche il ruolo di collegamento tra il Comitato e il titolare del Dicastero
Comitato per la sicurezza ICTOrgano che definisce gli obiettivi e le politiche di sicurezza delle infrastrutture tecnologiche e del patrimonio informativo gestito prevalentemente con soluzioni automatizzate. Aapprova le norme in materia di sicurezza devono essere approvate
Responsabile della Sicurezza ICTÈ il soggetto responsabile della definizione delle soluzioni tecniche ed organizzative in attuazione delle direttive impartite dal Ministro direttamente o su indicazione del Comitato per la sicurezza ICT.
Fonte: CNIPA Quaderno 23 – Cap. 4 L’organizzazione di sicurezza delle amministrazioni
Modello organizzativo per la PA
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
38
. Responsabile del Sistema Informativo AutomatizzatoIstituito dal decreto legislativo 39/93, gli compete la pianificazione degli interventi di automazione, l’adozione delle cautele e delle misure di sicurezza, la committenza delle attività da affidare all’esterno.
Gestore Esterno (outsourcer)È il fornitore di servizi che opera sotto il controllo del responsabile dei sistemi informativi
Referente locale per la sicurezza informatica Funge da elemento di contatto verso gli organismi del Ministero e nazionali che si occupano della materia.
Computer Emergency Response Team dell’Amministrazione - CERT-AM Specifici gruppi o uffici per la prevenzione e la gestione dei problemi causati da incidenti o attacchi al sistema informatico
Fonte: CNIPA Quaderno 23 – Cap. 4 L’organizzazione di sicurezza delle amministrazioni
Modello organizzativo per la PA
Codice Privacy
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
39
.Il decreto legislativo 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (c.d. Codice Privacy) disciplina la normativa in materia di tutela dei dati personali
Contempla l’istituzione di figure specifiche per la realizzazione e la gestione di un sistema di sicurezza indirizzato allo specifico aspetto del trattamento dei dati personali
TITOLARE
Incaricati
Responsabile del trattamento
Distribuzione dei compiti e delle responsabilità
Modello organizzativo per la PA
Codice Privacy
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
40
.
TITOLO IV SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
Art. 28 (Titolare del trattamento)
1-Quando il trattamento è effettuato da …, da una pubblica amministrazione …… titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Art. 29 (Responsabile del trattamento)
1 - Il responsabile è designato dal titolare facoltativamente. 2 - Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Modello organizzativo per la PA
Codice Privacy
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
41
.
TITOLO IV SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
Art. 30 (Incaricati del trattamento)
1.Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.
Modello organizzativo per la PA
Codice Privacy
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
42
.Art. 31 (Obblighi di sicurezza) Art. 33 (Misure minime) … i titolari del trattamento sono comunque tenuti ad adottare le misure minime …..
Art. 34 (Trattamenti con strumenti elettronici) 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Modello organizzativo per la PA
Codice Privacy
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
43
.Nell’ ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
Sono indicate le Regole Tecniche per i Trattamenti con strumenti elettronici
Regola 1 - procedura di autenticazione
Regola 3 - credenziali per l’autenticazione assegnate individualmente
Regola 5 - La parola chiave è composta da almeno otto caratteri, è modificata al primo utilizzo e almeno ogni sei mesi (tre mesi per trattamento di dati sensibili e giudiziari)
Regola 16 - protezione contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale (codice maligno), mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
Regola 17 - Gli aggiornamenti periodici dei programmi a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente (6 mesi per trattamento di dati sensibili o giudiziari )
Modello organizzativo per la PA
Codice Privacy
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
44
Nell’ ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
Sono indicate le Regole Tecniche per i Trattamenti con strumenti elettronici
Regola 18 - salvataggio dei dati con frequenza almeno settimanale.
Regola 19 - documento programmatico sulla sicurezza
Regola 19.1 - analisi dei rischi che incombono sui dati
Regola 19.4 - le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché
la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità
Modello organizzativo per la PA
Codice dell'amministrazione digitale
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
45
Decreto legislativo 7 marzo 2005, n. 82 “Codice dell'amministrazione digitale.”
Articolo 51 - Sicurezza dei datiLe norme di sicurezza definite nelle regole tecniche di cui all'articolo 71 garantiscono l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non
consentito o non conforme alle finalità della raccolta..
Articolo 71 - Regole tecnicheLe regole tecniche previste nel presente codice sono dettate [omissis] in modo da garantire la coerenza tecnica con le regole tecniche sul sistema pubblico di connettività e con le regole di cui al disciplinare pubblicato in allegato B al decreto legislativo 30 giugno 2003, n. 196.
Modello organizzativo per la PA
Codice dell'amministrazione digitale
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
46
Istituzione di SPC
Articolo 73 - Sistema pubblico di connettività (SPC)
il Sistema pubblico di connettività (SPC), al fine di assicurare il coordinamento informativo e informatico dei dati tra le amministrazioni centrali, regionali e locali e promuovere l’omogeneità nella elaborazione e trasmissione dei dati stessi, finalizzata allo scambio e diffusione delle informazioni tra le pubbliche amministrazioni e alla realizzazione di servizi integrati
l’insieme di infrastrutture tecnologiche e di regole tecniche, per lo sviluppo, la condivisione, l’integrazione e la diffusione del patrimonio informativo e dei dati della pubblica amministrazione, necessarie per assicurare l’interoperabilità di base ed evoluta e la cooperazione applicativa dei sistemi informatici e dei flussi informativi, garantendo la sicurezza, la riservatezza delle informazioni, nonché la salvaguardia e l’autonomia del patrimonio informativo di ciascuna pubblica amministrazione
Modello organizzativo per la PA
Sistema Pubblico di Connettività
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
47
L’organizzazione del Sistema di Sicurezza del SPC, ispirata al modello proposto dall’International Standard Organisation (ISO)
Fonte: CNIPA Sistema Pubblico di connettività - Organizzazione di sicurezza
Modello organizzativo per la PA
Sistema Pubblico di Connettività
MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
48
Comitato strategico sicurezza SPCStruttura collegiale che si occupa dell’indirizzo strategico generale della sicurezza SPC
Struttura di Coordinamento di SPC (SC-SPC)indirizzo operativo e controllo sull’intero sistema, facendo in modo che vengano assicurati i
livellodi sicurezza stabiliti.
Centro di gestione della sicurezza SPC (CG-SIC)realizza la componente centrale del sistema di sicurezza distribuito SPC dedicata al
antenimento e alla verifica del livello di sicurezza minimo garantito sul SPC.
provider qualificati secondo le regole di qualità e di sicurezza definite in ambito SPC
Ogni PA dovrà rispettare i requisiti minimi di sicurezza SPC anche all’interno del proprio dominio di competenza, la sicurezza del SPC dipende dalla sicurezza di tutti i suoi componenti
Unità locale di Sicurezza SPCstruttura organizzativa in ciascun Dominio di una Pubblica Amministrazione, e per ogni
provider che gestisce gli aspetti relativi alla sicurezza dell’infrastruttura I&T connessa al SPC che si trova nel proprio dominio di amministrazione
Fonte: CNIPA Sistema Pubblico di connettività - Organizzazione di sicurezza