seminario DR 12 marzo 2014 versione finale

Seminario tecnico - Commissione ICT

L’affidabilità delle strutture ICT critiche

Parte 2 - Architetture ICT e soluzioni organizzative

per BC e DR, standard, normativa banche e PA

Alessandro Alessandroni

Lead Auditor ISO 22301

componente Commissione Sicurezza ICT

[email protected]

12 marzo 2014

mailto:[email protected]

12 marzo 2014

Indice degli argomenti:

1. La progettazione delle soluzioni tecniche e organizzative per

BC e DR

2. I principali standard internazionali

3. La normativa per gli intermediari finanziari

4. La normativa per le pubbliche ammnistrazioni


pag. 2

Seminario tecnico “L’affidabilità delle infrastrutture ICT critiche”

12 marzo 2014


1- La progettazione delle soluzioni

tecniche e organizzative

pag. 3


12 marzo 2014


1- La progettazione delle soluzioni

tecniche e organizzative

pag. 4


fasi del processo di BCM

(dalla metodologia ABI-Lab)

12 marzo 2014


pag. 5


analisi dell’impatto (BIA)

• Individuazione dei processi necessari a produrre i beni ed erogare i servizi

della organizzazione

• Valutazione dell’impatto nel tempo della indisponibilità del processo

• Definire i tempi entro i quali ripristinare i diversi processi

• Individuazione delle risorse ICT (data center, linee TLC, server, storage,

applicazioni, personale ICT, ecc.) e dei fornitori terzi di servizi che

supportano i processi

• Definire i requisiti di continuità:

– ripristino sistemi ICT (Recovery Time Obiective, RTO)

– salvaguardia dei dati (Recovery Point Obiective, RPO)

12 marzo 2014


pag. 6


fasi del disastro RPO e RTO

t-1 t2 t1 t0 t3

Operazioni

Normali Servizio

Ripristinato

Dati

persi Ricostruzione dei

Dati persi

Dati

Recuperati

Preparazione

Soluz. Recovery

Diagnosi Fase di Recovery

FUORI USO DEL CED

!

RPO

RTO ICT

RTO

12 marzo 2014


pag. 7


soluzioni di High Availability (HA) nel sito primario

12 marzo 2014


pag. 8


DR

in caso di disastro non basta HA: soluzioni di DR

12 marzo 2014


pag. 9


RTO

costi soluzioni DR in funzione del RTO

12 marzo 2014


pag. 10


soluzioni di DR

In base ai requisiti RPO/RTO e agli scenari di disastro, si sceglie:

la soluzione per l’allineamento dei dati: Trasferimento periodico dei supporti

Trasferimento on-line periodico

Replica asincrona

Replica sincrona

Il tipo di risorse elaborative nel sito di DR: Cold site

Warm site

Hot site

Clustering geografico

il numero di siti (2 o 3) , distanza e localizzazione

le caratteristiche infrastrutturali del DATA CENTER (antismicità, ridondanza impianti

elettrici, condizionamento, …)

le caratteristiche della rete TLC (banda disponibile, ridondanza..)

12 marzo 2014


pag. 11


RTO

livelli di soluzioni di DR (Tier)

12 marzo 2014


pag. 12


trend tecnologici nelle soluzioni di DR

Virtualizzazione

semplifica la replica e il ripristino dei sistemi con minori tempi e

costi

Cloud Computing

per PMI e piccole amministrazioni soluzioni cloud di “DR as a

Service”

Deduplicazione dei dati

replica più efficiente dei dati in rete (minore larghezza di banda,

tempi e costi minori)

12 marzo 2014


pag. 13


costo CED in funzione della disponibilità

(livelli TIA-942)

12 marzo 2014


pag. 14


caso a tre siti con campus

Disastro localizzato

TIER 6

RPO, RTO = 0

Disastro esteso

TIER 4

RPO < 5 min.

RTO < 72 ore

Replica asincrona

> 200 Km

12 marzo 2014


pag. 15


caso a tre siti con sito bunker (1/2)

12 marzo 2014


pag. 16


caso a tre siti con sito bunker (2/2)

12 marzo 2014


pag. 17


struttura organizzativa: compiti

• Predisporre tutte le misure necessarie per ridurre l’impatto di

un’emergenza

• Mettere a disposizione risorse alternative a quelle non disponibili

• Governare il sistema durante l’emergenza

• Gestire il rientro alla normalità

Comitato di gestione della crisi

Gruppo di supporto

Gruppo di assistenza

agli utenti

Gruppo di coordinamento tecnico

12 marzo 2014


pag. 18


componenti del PIANO BC /DR

• Piano di DR, per la gestione della situazione di reale emergenza;

• Piano di Test, per la simulazione periodica del recovery e verifica dell’efficacia della soluzione;

• Piano di Gestione Ordinaria, per la quotidiana manutenzione e controllo della soluzione.

12 marzo 2014


2- I principali standard internazionali

pag. 19


12 marzo 2014


La rilevanza sempre maggiore assunta dalle problematiche relative al processo di

gestione della Business Continuity ha portato recentemente alla pubblicazione di alcuni

standard specifici:

ISO 22301:2012 (“Societal security -- Buisiness continuity management systems –

Requirements”), deriva in grande parte da BS 25999 del 2006

La norma specifica i requisiti per implementare, gestire e migliorare un sistema

documentato di Business Continuity Management (BCMS) per preparare l’azienda a

fronteggiare gli eventi distruttivi quando essi si verificano

ISO 22313:2012 (“Societal security. Business continuity management systems. Guidance”)

La norma fornisce una guida generale basata su best practices mondiali per la

pianificazione, la implementazione, la gestione e il miglioramento costante di un sistema

documentato di gestione della Business Continuity.

pag. 20


standard relativi a BC e DR

12 marzo 2014


ISO/IEC 27031:2011 (“Information technology — Security techniques — Guidelines for

information and communication technology readiness for business continuity”).

La norma del tipo “buone pratiche” emessa nel 2011 è specificatamente dedicata alle

componenti ICT dell’organizzazione, ripercorre quanto previsto nella ISO 22301

contestualizzandolo all’ICT; deriva in grande parte da BS 25777

ISO/IEC 24762 (“Information technology — Security techniques — Guidelines for

information and communications technology disaster recovery services”); uno standard

emesso nel 2008 (del tipo “buone pratiche”) che fornisce le indicazioni per progettare,

realizzare e gestire i servizi di Disaster Recovery dell’ICT


pag. 21

standard relativi a BC e DR (ICT)

12 marzo 2014


SICUREZZA ICT

•ISO/IEC 27001:2013 (“Information technology — Security techniques — Information

security management systems – Requirements”)

• fornisce i requisiti di un sistema di gestione della sicurezza ICT

•include tra gli obiettivi di controllo la “information security continuity”

•ISO/IEC 27002:2013 (“Information technology — Security techniques — Code of practice

for information security management”) standard del tipo “buone pratiche”

GESTIONE SERVIZI ICT

•ISO/IEC 20000-1:2011 (Information technology – Service Management – Part 1:

Specification)

•fornisce i requisiti di un sistema di gestione dei servizi ICT

•include tra i servizi la gestione della continuità dei servizi

•ISO/IEC 20000-2:2012 (Information technology – Service Management – Part 1: Code of

practice) standard del tipo “buone pratiche”

pag. 22


Standard collegati

12 marzo 2014


Contesto della organizzazione

Leadership

Pianificazione

Supporto

Business Impact Analysis (BIA):

Risk Assessment (RA):

Strategia di business continuity

Piani di business continuity e DR:

Esercitazioni e test

valutazione delle prestazioni

Miglioramento

pag. 23


principali punti dello standard ISO 22301

12 marzo 2014


La Banca d’Italia, a partire dal 2004, ha impartito disposizioni che

rendono obbligatorio per gli intermediari finanziari la realizzazione di un

piano di continuità (Business Continuity Plan – BCP)

Il piano deve garantire che, anche in caso di incidenti o disastri, i servizi

aziendali più importanti continuino a funzionare o siano ripristinati in

tempi accettabili.

il piano deve essere aggiornato e, almeno annualmente, è soggetto a

verifiche e controlli da parte sia di funzioni interne (BC Manager,

Compliance, Internal Audit, Collegio Sindacale) sia esterne (Banca

d’Italia). pag. 24


linee guida e Best Practice

12 marzo 2014


Internazionali

(2002) Stati Uniti - Sarbanes-Oxley (SOX): società di capitale quotate negli USA

(2006) Europa - EURO-SOX: società di capitale

(2001) Europa - Basilea 2 e (2007) Basilea 3: banche

Nazionali

(2003) Garante per la protezione dei dati personali per tutti i soggetti che trattano

dati personali

(2004) Banca di Italia per il settore bancario

(2010) Codice Amministrazione digitale per la pubblica amministrazione

pag. 25


norme che richiedono soluzioni di CO e DR

12 marzo 2014


3 - La normativa per gli

intermediari finanziari

pag. 26


12 marzo 2014


pag. 27


iniziative BdI e ABI

• La Banca d’Italia, a partire dal 2004, ha impartito disposizioni che rendono

obbligatorio per gli intermediari finanziari la realizzazione di un piano di

continuità (Business Continuity Plan – BCP)

• Il piano deve garantire che, anche in caso di incidenti o disastri, i servizi

aziendali più importanti continuino a funzionare o siano ripristinati in tempi

accettabili.

• il piano deve essere aggiornato e, almeno annualmente, è soggetto a verifiche

e controlli da parte sia di funzioni interne (BC Manager, Compliance, Internal

Audit, Collegio Sindacale) sia esterne (Banca d’Italia).

12 marzo 2014


pag. 28


le norme di BdI

• Banca d’Italia, “Continuità operativa in casi di emergenza”, in Bollettino di Vigilanza Numero 7, luglio 2004 in

http://www.bancaditalia.it/vigilanza/pubblicazioni/bollvig/04/Bolvig_07_04.pdf (pagg. 7 -13)

• Banca d’Italia, “Linee guida per la continuità di servizio delle infrastrutture qualificate dei sistemi di pagamento”,

2004, in http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/linee/Linee_guida_SSP.pdf

• Banca d’Italia , “Linee guida per la continuità di servizio dei mercati all’ingrosso e dei sistemi di supporto”, ottobre

2004, in http://www.bancaditalia.it/sispaga/sms/docum/prinstasorv/guidelines/Linee_Guida_B_C_28ottobre2004.pdf

• Banca d’Italia, “Disposizioni di vigilanza - requisiti particolari per la continuità operativa dei processi a rilevanza

sistemica”, marzo 2007, in

http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/requisiti_processi_rilevanza_sistemica.pdf

• Banca d’Italia, “Terms of Reference (ToR) per la continuità operativa”, 4 dicembre 2007, in

http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/tor/TOR_Business_continuityt.pdf

• Nuove disposizioni di vigilanza prudenziale per le banche (Circ. n. 263 del 27 dicembre 2006) – 15° aggiornamento

“Sistema dei controlli interni, sistema informativo e continuità operativa”

https://www.bancaditalia.it/vigilanza/normativa/norm_bi/circ-reg/vigprud/agg_15_del_02072013/263CIRC_15AGG.pdf

http://www.bancaditalia.it/vigilanza/pubblicazioni/bollvig/04/Bolvig_07_04.pdf

http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/linee/Linee_guida_SSP.pdf

http://www.bancaditalia.it/sispaga/sms/docum/prinstasorv/guidelines/Linee_Guida_B_C_28ottobre2004.pdf

http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/requisiti_processi_rilevanza_sistemica.pdf

http://www.bancaditalia.it/sispaga/sms/infrastrutture/bi/tor/TOR_Business_continuityt.pdf




12 marzo 2014


pag. 29


scenari di crisi

• distruzione o inaccessibilità di strutture nelle quali sono allocate

unità operative o apparecchiature critiche;

• indisponibilità di sistemi informativi critici;

• indisponibilità di personale essenziale per il funzionamento dei

processi aziendali;

• interruzione del funzionamento delle infrastrutture (tra cui energia

elettrica, reti di telecomunicazione, reti interbancarie, mercati

finanziari);

• alterazione dei dati o indisponibilità dei sistemi a seguito di attacchi

perpetrati dall'esterno attraverso reti telematiche;

12 marzo 2014


pag. 30


contenuti principali del piano di CO

• modalità per:

– la dichiarazione dello stato di emergenza,

– l'organizzazione e le procedure da seguire in situazione di crisi,

– l'iter per la ripresa della normale operatività

• tempo massimo accettabile di ripartenza di sistemi e processi critici

• individuazione dei siti alternativi

• indicazione di spazi e infrastrutture logistiche e di comunicazione adeguate

per il personale coinvolto nell'emergenza

• regole di conservazione delle copie dei documenti importanti (ad es.

contratti) in luoghi remoti rispetto ai documenti originali.

12 marzo 2014


pag. 31


siti di recovery

• I siti di recovery dei processi a rilevanza sistemica sono situati a congrua distanza dai siti

primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti.

• In generale, i siti di recovery sono ubicati all’esterno dell’area metropolitana nella quale

sono presenti i siti primari; inoltre, essi utilizzano servizi (telecomunicazioni, energia, acqua,

ecc.) distinti da quelli impiegati in produzione.

• Laddove ciò non avvenga è necessaria una valutazione rigorosa, supportata da pareri di

parti terze qualificate (ad es. Protezione Civile, accademici, professionisti) e compiutamente

documentata, che il rischio di indisponibilità contemporanea dei siti primari e

secondari è trascurabile.

12 marzo 2014


pag. 32


la normativa sui requisiti sistemici

Provvedimento del 20 marzo 2007

Aggiornamento n. 15 luglio 2013 circolare BdI n.236/2006

1. Definizione dei criteri per la individuazione dei soggetti coinvolti

– Banche/gruppi con quote di mercato (FINT) > 5%

– Rilevanza nei servizi di pagamento/regolamento

2. Elencazione dei processi a rilevanza sistemica da tutelare con misure di continuità rafforzate

– Sistemi di pagamento

– Accesso ai mercati rilevanti per la liquidità

– Servizi di compensazione e regolamento

3. Requisiti particolari aggiuntivi a quelli previsti per la generalità degli intermediari

– Il tempo di ripartenza per i processi a rilevanza sistemica < 2ore

– Il tempo di ripristino (comprende tempi di analisi e decisione) per i processi a rilevanza sistemica < 4 ore

– sono considerate adeguate le soluzioni basate su architetture tecnologiche che effettuino la duplicazione in linea dei dati

operativi in modo da eliminare o ridurre al minimo la perdita di informazioni.

– l’intervallo di tempo che intercorre fra il punto di ripristino e il momento dell’incidente (RPO) è pari o prossimo a zero.

12 marzo 2014


4- La normativa per la pubblica

amministrazione

pag. 33


12 marzo 2014


pag. 34


prima dell’obbligo introdotto dall’art.50 bis del nuovo CAD (2010)

•Iniziative prevalentemente limitate alle organizzazioni più critiche e complesse quali ad es. Ministero Finanze, Istituti previdenziali e assicurativi

•attenzione soprattutto alle soluzioni tecniche

•2005 – istituzione del Centro di competenza sulla continuità operativa presso CNIPA

•2006 Linee guida alla continuità operativa nella PA – Quaderno CNIPA n.28

•2008 La Continuità operativa nella PA: Casi di studio – Quaderno n. 35 (MEF/Sogei, Min. P.I., Min. Trasporti, Istituti Previdenziali e assicurativi, CSI Piemonte)

12 marzo 2014


pag. 35


continuità Operativa Nuovo Codice dell’Amministrazione Digitale (CAD)

l’articolo 50-bis (Continuità operativa) Dlgs 30.12.2010, n.235

1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.

2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.

12 marzo 2014


pag. 36


continuità Operativa Nuovo Codice dell’Amministrazione Digitale (CAD) (segue)

3.A tali fini, le pubbliche amministrazioni definiscono :

a) il piano di continuità operativa: fissa gli obiettivi e i principi da perseguire,

descrive le procedure per la gestione della continuità operativa, anche affidate a

soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse

umane, strutturali, tecnologiche e contiene idonee misure preventive. Le

amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa

con cadenza biennale;

b) il piano di disaster recovery: stabilisce le misure tecniche e organizzative per

garantire il funzionamento dei centri di elaborazione dati e delle procedure

informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il

Garante per la protezione dei dati personali, definisce le linee guida per le

soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni

informatiche, verifica annualmente il costante aggiornamento dei piani di disaster

recovery delle amministrazioni interessate e ne informa annualmente il Ministro per

la pubblica amministrazione e l’innovazione.

4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA.

12 marzo 2014


pag. 37


Ruoli e funzioni per attuazione art. 50-bis del CAD

AGID : Emette le Linee Guida (LG)

prima versione novembre 2011 seconda versione settembre 2013

AGID: emette pareri su SFT

(ad oggi oltre 900)

PP.AA*. : Predispongono e

sottopongono al parere di AID studi di fattibilità tecnica (SFT),

(ad oggi oltre 1050)

AGID:

verifica annualmente i’aggiornamento dei piani di DR

PP.AA.:

Implementano le soluzioni e predi-spongono i piani di CO e di DR sulla base dello SFT e del parere di AGID;

Verificano con cadenza biennale la funzionalità del Piano di CO ;

Garantiscono la manutenzione della soluzione e informando AGID

Inviano a AGID annualmente l’aggiornamento del piano di DR

Il Ministro assicura l’omogeneità delle soluzioni informando con cadenza annuale il Parlamento

* PAC e PAL (Regioni, Province, Comuni, ASL e AO, Università, Istituti scolastici, Camere Commercio, Società controllate

TierTier 1 1

MediaMediaBassaBassa AltaAlta CriticaCritica

Network

CRITICITÀ

TierTier 2 2

TierTier 3 3

TierTier 44

TierTier 66

TierTier 55

TierTier 1 1

MediaMediaBassaBassa AltaAlta CriticaCritica

NetworkNetwork

CRITICITÀ

TierTier 2 2

TierTier 3 3

TierTier 44

TierTier 66

TierTier 55Tier 3: soluzione simile a quella di Tier 2 ma il trasferimento dei dati tra il sito primario e quello di DR avviene attraverso un collegamento di rete tra i due siti.

: la soluzione prevede che le risorse elaborative, garantite coerenti con quelle del centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in tempi rapidi

: la soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi

aggiornamenti.

: la soluzione prevede che nel sito di DR le risorse elaborative, oltre ad essere sempre attive, siano funzionalmente speculari a quelle del sito primario, rendendo così possibile ripristinare l’operatività dell’IT in tempi molto rapidi

Le soluzioni di DR nelle linee guida

: backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza

soluzione simile a quella di Tier 1 ma le risorse elaborative, già presenti, possono essere disponibili in tempi più brevi

12 marzo 2014


pag. 39


normativa in materia di razionalizzazione dei CED della PA

▪ D.L. 18 Ottobre 2012 n.179 convertito nella legge 221/12 , Art. 33 septies: “Consolidamento dei

siti e delle infrastrutture digitali del paese”

▪ L’Agenzia per l’Italia Digitale elabora le linee guida, basate sulle principali metriche di efficienza

internazionalmente riconosciute, finalizzate alla definizione di un piano triennale di

razionalizzazione dei CED delle PP.AA.

▪ Il Piano di razionalizzazione dovrà:

– portare alla diffusione di standard comuni di interoperabilità

– a crescenti livelli di efficienza e di sicurezza

– a una più rapida erogazione dei servizi ai cittadini e alle imprese

▪ Entro il 30 Settembre 2013, AGID trasmette al Presidente del Consiglio dei Ministri dopo una

consultazione pubblica :

– I risultati del censimento effettuato

– Le linee guida per la razionalizzazione dell’infrastruttura digitale della PA

▪ Entro i successivi novanta giorni, il Governo, adotta il piano triennale di razionalizzazione dei

CED delle pubbliche amministrazioni di cui al comma 1, aggiornato annualmente

Ricognizione dei CED della PP.AA

Elaborazione e trasmissione alla PCM delle linee

guida

Decreto di Adozione del

Piano triennale

12 marzo 2014


pag. 40


risultati del censimento

In assenza di interventi di razionalizzazione, i CED delle Regioni non sono in grado di ospitare tutto il fabbisogno pubblico dei propri territori

La distribuzione

geografica CED

evidenzia una

eccessiva

frammentazione

986 CED Censiti

12 marzo 2014


pag. 41


l’infrastruttura nei CED delle PA

L’adeguamento puntuale di tutti i CED censiti è ovviamente diseconomico, è urgente procedere al piano di razionalizzazione per la conservazione efficiente e sicura dei dati pubblici.

L’adeguamento puntuale di tutti i CED censiti è ovviamente diseconomico, è urgente procedere al piano di razionalizzazione per la conservazione efficiente e sicura dei dati pubblici.

12 marzo 2014


pag. 42


le Linee Guida: direttrici di intervento

Il processo di razionalizzazione richiede che i CED della PA rispondano a

requisiti:

1) Infrastrutturali: caratteristiche minime Data Center TIER III secondo lo

standard TIA-942

2) Relativi all’ICT, Hardware e Software (% virtualizzazione, aggiornamento

tecnologico HW e SW, NAS e SAN, connessioni FO)

3) miglioramento delle caratteristiche infrastrutturali IT e di tipo energetico

da raggiungere nel corso dei tre anni del piano (PUE < 1,6)

12 marzo 2014


pag. 43


il Piano Triennale di Razionalizzazione: obiettivi

finalizzato a razionalizzazione e consolidamento dei CED della PA verso i

nuovi Data Center conformi almeno al TIER III secondo lo standard TIA-942

La razionalizzazione, il consolidamento, il risparmio energetico e la scalabilità

delle infrastrutture informatiche prevedono 3 step fondamentali:

1) Razionalizzazione degli spazi

2) Razionalizzazione degli apparati

3) Razionalizzazione degli applicativi

Il Piano Triennale si pone l’obiettivo di completare i primi due punti e verifica la

conformità degli applicativi in uso, rispetto al Cloud

PAC: Individuazione di alcuni poli nazionali per il consolidamento di CED,

razionalizzazione e migrazione

PAL: in ogni regione consolidamento e migrazione in uno o più siti

dell’infrastruttura IT di tutto il relativo territorio

Documents

seminario DR 12 marzo 2014 versione finale