La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) La sicurezza ICT nella.

Presentazioni simili


Presentazione sul tema: "Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) La sicurezza ICT nella."— Transcript della presentazione:

1 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) La sicurezza ICT nella pubblica amministrazione: strategie ed azioni Roma – CNR 17 gennaio 2006 La certificazione della sicurezza ICT nella PA Franco Guida Fondazione Ugo Bordoni

2 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) La certificazione della sicurezza ICT nella PA (1) Possibili benefici Può consentire notevoli risparmi –agevolando la sostituzione dei costosi e inefficienti trattamenti tradizionali delle informazioni anche quando vi siano rilevanti esigenze di sicurezza –incrementando la fiducia del cittadino nel fruire telematicamente di servizi della PA Può fornire un contributo importante in tutti i casi in cui sia impossibile o insufficiente il ripristino dopo un incidente informatico e si debba perciò garantire che è stato fatto il possibile per evitarlo e minimizzarne i danni (ad esempio nei casi in cui lincidente possa compromettere lincolumità o la salute di persone)

3 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) La certificazione della sicurezza ICT nella PA (2) Possibili benefici (2) Può tutelare chi, allinterno della PA, ha la responsabilità di gestire informazioni che richiedono adeguata protezione Possibili svantaggi Richiede una spesa aggiuntiva che può risultare non trascurabile se la certificazione non viene eseguita in modo appropriato Possono essere necessari tempi di certificazione piuttosto lunghi, soprattutto nei casi di utilizzo inappropriato

4 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) La sicurezza ICT in unOrganizzazione Processo di gestione della sicurezza ICT (ISMS) Certificabile BS7799 Informazioni/beni da proteggere Pluralità di soggetti con diversi compiti e responsabilità Competenza certificabile secondo criteri quali CISSP/SSCP, CISA/CISM, ecc.) Politiche di sicurezza (modello organizzativo, definizione requisiti per le contromisure tecniche e non tecniche, ecc.) Analisi e gestione dei rischi Sistemi/prodotti ICT Contromisure tecniche Certificabili ISO/IEC (Common Criteria) Contromisure fisiche

5 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) Tipi di certificazione Oggetto certificato Norme di riferimento Processo di gestione della sicurezza ICT (ISMS) BS7799:2 Sistema/prodotto ICTCommon Criteria (ISO/IEC IS15408) ITSEC Competenza del personaleCISSP/SSCP, CISA/CISM, ecc.

6 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) Le entità in gioco OGGETTO DA CERTIFICARE NORMA DI RIFERIMENTO ACCREDITATORE CERTIFICATORE CERTIFICATO FORNITORE/TITOLARE OGG. DA CERTIFICARE FRUITORE DEI SERVIZI FORNITI DALLOGGETTO CERTIFICATO VALUTATORE Common Criteria/ITSEC BS7799

7 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) Le certificazioni in Italia regolate da DPCM Certificazione di prodotto/sistema ICT –Schema Nazionale del 1995 aggiornato nel 2002 (DPCM 11 aprile 2002 – GU n. 131 del 6 giugno 2002) applicabile nel contesto della sicurezza interna e esterna dello Stato Ente di Certificazione/Accreditamento (EC): ANS/UCSi –Centri di Valutazione (Ce.Va.): 3 privati, 2 pubblici (tra cui ISCOM ex ISCTI) –Schema Nazionale del 2003 (DPCM 30 ottobre 2003 – GU n. 98 del 27 aprile 2004) applicabile in tutti i contesti non coperti dal primo Schema Organismo di Certificazione/Accreditamento (OCSI): ISCOM ex ISCTI (Ministero Comunicazioni) che si avvale del supporto della FUB –Laboratori di Valutazione (LVS): da accreditare nei prossimi mesi

8 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) Principi generali alla base dei Common Criteria (1) Verifiche di tipo 1 (ad alto livello) –controllano che vi siano tutte le funzioni di sicurezza necessarie, che siano in grado di cooperare efficacemente e che la robustezza dichiarata sia confermabile teoricamente Verifiche di tipo 2 – controllano, con una severità dipendente dal livello di garanzia, che il sw/hw con cui le funzioni sono realizzate esibisca nelle effettive condizioni di utilizzo il comportamento teorico previsto, sia a fronte di eventi accidentali o sia di veri e propri attacchi

9 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) Principi generali alla base dei Common Criteria (2) Verifiche di tipo 1 –Hanno lo scopo di controllare che non vi siano errori già nella fase di impostazione della progettazione delle funzionalità di sicurezza del sistema ICT Ad esempio: lassenza di una funzione Verifiche di tipo 2 –Controllano che non siano stati introdotti errori nella fase di sviluppo e realizzazione delle funzionalità di sicurezza, né nella definizione della loro modalità dimpiego operativo

10 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) La strategia dellOCSI (1) Tutelare lutilizzatore del sistema certificato: 1)evidenziando la necessità di eseguire la certificazione dellintero sistema ICT 2)sollecitando il mantenimento nel tempo delle certificazioni, senza il quale la certificazione perde ben presto la sua utilità effettiva 3)convincendo che è consigliabile fermarsi anche il primo livello di certificazione (EAL1) pur di realizzare quanto indicato ai punti 1) e 2); già il livello EAL1, infatti, garantisce la rimozione della causa più frequente degli incidenti informatici (vulnerabilità note sfruttabili)

11 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) La strategia dellOCSI (2) Lapproccio differisce notevolmente da quello seguito generalmente in altri paesi. Infatti: –allestero vengono prevalentemente eseguite certificazioni di prodotti su richiesta dei grossi produttori di SW, che le utilizzano soprattutto a fini pubblicitari –le certificazioni raramente vengono mantenute nel tempo –conseguentemente lutilizzatore finale risulta scarsamente tutelato

12 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) La strategia dellOCSI (3) Per consentire unampia diffusione del servizio di certificazione e la gestione del mantenimento nel tempo dei certificati: –sono stati eliminati tutti i fattori che potrebbero rendere laccreditamento degli LVS più oneroso del necessario, quali obbligo di frequenza di corsi di formazione per i valutatori verifiche di competenza non differenziate per livello e per profilo possesso, già nella fase di accreditamento, di approfondite conoscenze su numerose piattaforme hw/sw obbligo di realizzazione di costose infrastrutture quali sale schermate, porte e armadi blindati, sofisticati sistemi di allarme, ecc. –viene incoraggiata labilitazione degli Assistenti, il cui costo è molto limitato –è stato ulteriormente consigliato lutilizzo del primo livello di certificazione, in virtù dei costi e dei tempi di certificazione non eccessivi che lo caratterizzano

13 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) Conclusioni La certificazione della sicurezza ICT costituisce unopportunità importante per la Pubblica Amministrazione Qualora venga colta tale opportunità potrà esservi un significativo incremento delle richieste di certificazione Se ciò avverrà, sarà auspicabile che sviluppo e dimensionamento delle strutture di certificazione riescano a procedere in modo da garantire il soddisfacimento della domanda

14 Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) Grazie dellattenzione


Scaricare ppt "Franco Guida Fondazione Ugo Bordoni Responsabile Area Operativa dellOrganismo di Certificazione della Sicurezza Informatica (OCSI) La sicurezza ICT nella."

Presentazioni simili


Annunci Google