La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Indice degli argomenti MiBAC – Corso sulla Sicurezza Informatica 17/12/2008 1.Lattenzione della P.A. alla Sicurezza Informatica 2.Concetti di Sicurezza.

Presentazioni simili


Presentazione sul tema: "Indice degli argomenti MiBAC – Corso sulla Sicurezza Informatica 17/12/2008 1.Lattenzione della P.A. alla Sicurezza Informatica 2.Concetti di Sicurezza."— Transcript della presentazione:

1 Indice degli argomenti MiBAC – Corso sulla Sicurezza Informatica 17/12/ Lattenzione della P.A. alla Sicurezza Informatica 2.Concetti di Sicurezza Informatica 3.Il processo per la gestione della sicurezza 4.Modello Organizzativo per la P.A. 1

2 Lattenzione della P.A. alla Sicurezza Informatica MiBAC – Corso sulla Sicurezza Informatica 17/12/ Le informazioni gestite dai sistemi informativi pubblici costituiscono una risorsa di valore strategico per il governo del Paese. Questo patrimonio deve essere efficacemente protetto e tutelato al fine di prevenire possibili alterazioni sul significato intrinseco delle informazioni stesse. E' noto infatti che esistono minacce di intrusione e possibilità di divulgazione non autorizzata di informazioni, nonché di interruzione e di distruzione del servizio. Lo stesso processo di innovazione tecnologica produce da un lato strumenti più sofisticati di "attacco", ma d'altro lato idonei strumenti di difesa e protezione. PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO PER L'INNOVAZIONE E LE TECNOLOGIE DIRETTIVA 16 gennaio 2002 Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni.(G.U. 22 marzo 2002, n. 69)

3 Lattenzione della P.A. alla Sicurezza Informatica Linformatica a servizio del cittadino MiBAC – Corso sulla Sicurezza Informatica 17/12/ La P.A. eroga i servizi alla collettività sempre più tramite le tecnologie informatiche. Decreto legislativo 12/02/ 1993, n Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche, a norma Decreto legislativo 30/06/2003, n Codice in materia di protezione dei dati personali. Direttiva 27/11/ Direttiva per limpiego della posta elettronica nelle pubbliche amministrazioni. Direttiva 18/12/ Linee guida in materia di digitalizzazione dellamministrazione per lanno Legge 9/1/2004, n. 4 - Disposizioni per favorire laccesso dei soggetti disabili agli strumenti informatici. D.P.R. 2/3/2004, n Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dellarticolo 27, comma 8, lettera b), della legge 16 gennaio 2003, n. 3. D.P.R. 11/2/2005, n Regolamento recante disposizioni per lutilizzo della posta elettronica certificata a norma dellarticolo 27 della legge 16 gennaio 2003, n. 3. D.P.R. 1/3/2005 n Regolamento di attuazione della legge 9 gennaio 2004, n. 4 per favorire laccesso dei soggetti disabili agli strumenti informatici. Decreto legislativo 7 /3/2005, n Codice dellamministrazione digitale.

4 Lattenzione della P.A. alla Sicurezza Informatica Obiettivo prioritario MiBAC – Corso sulla Sicurezza Informatica 17/12/ I processi della P.A. per la missione istituzione a servizio del Cittadino necessitano della massima garanzia di affidabilità, integrità e correttezza delle informazioni e dei loro trattamenti. La sicurezza informatica e delle comunicazioni (S-ICT) è uno egli obiettivi di massima rilevanza per assicurare servizi efficaci ed efficienti, attraverso: - Utilizzo di tecnologie sicure (PEC) - Reti dedicate con alte prestazioni e elevati livelli di sicurezza (SPC) - Garanzia delle informazioni personali (Codice Privacy) - Conformità agli standard internazionali - Promozione della cultura della sicurezza - Attuazione di un Modello organizzativo per la sicurezza Il raggiungimento degli obiettivi richiede di operare con professionalità e consapevolezza anche in materia di Sicurezza ICT.

5 Concetti di Sicurezza Informatica Concetti base – Obiettivi di sicurezza 1 MiBAC – Corso sulla Sicurezza Informatica 17/12/ )Disponibilità di risorse Le risorse informatiche (elaboratori, reti di comunicazione, dati) dovoono essere disponibili alluso quando sono necessari. Indisponibilità controllate (aggiornamento, manutenzione preventiva) Sono necessarie e devono essere gestite Indisponibilità incontrollate (cause non volontarie) Devono essere adottati gli accorgimenti per evitarle e per minimizzare limpatto sulle operazioni quando si verificano 2) Integrità dellinformazione 3) Riservatezza dellinformazione. La tutela che le informazioni (i dati) non siano alterati. La prevenzione dellaccesso alle informazioni alle persone che non ne hanno titolo. E necessario preventivamente classificare le informazioni, determinare chi ha titolo allaccesso (per norma di legge, contratto fra le parti), quali trattamenti può effettuare. Gli obiettivi di sicurezza sono esprimibili con i criteri RID

6 Concetti di Sicurezza Informatica Concetti base – Obiettivi di sicurezza 2 MiBAC – Corso sulla Sicurezza Informatica 17/12/ Lutilizzo della Firma Digitale e delle tecniche crittografiche ha aggiunto due nuovi concetti, applicabili allintegrità di una transazione telematica o di un messaggio (es ). 5)Autenticità Certezza del legittimo autore di un messaggio o documento digitale. 6)Non Ripudio Certezza dellorigine del documento o della transazione e prevenzione del disconoscimento da parte dellautore.

7 Concetti di Sicurezza Informatica Crittografia MiBAC – Corso sulla Sicurezza Informatica 17/12/ La crittografia è utilizzata per rendere incomprensibile un messaggio a chi non è in possesso della chiave Algoritmometodo di cifratura Chiaveelemento utilizzato per cifrare / decifrare il testo Testo in chiaro CIFRATURA CHIAVE Testo cifrato Il processo deve essere REVERSIBILE, chi conosce la chiave deve ricostruire il messaggio originale DECIFRATURA Lalgoritmo può essere pubblico La sicurezza del processo crittografico è costituita dalla segretezza della chiave (Principio di Kerchoff) Testo in chiaro

8 Concetti di Sicurezza Informatica Crittografia MiBAC – Corso sulla Sicurezza Informatica 17/12/ TIPI di ALGORITMI CRITTOGRAFICI SIMMETRICI ASIMMETRICI HASH la chiave è unica E nota sia al Mittente che al Destinatario Per garantire RISERVATEZZA 2 coppie di chiavi diverse Mittente Destinatario Per garantire INTEGRITA Funzioni univoche e unidirezionali (non possono essere invertite) Trasformano un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata, strettamente dipendente dal testo. Piccole variazione del testo producono un hash diverso L hash rappresenta l impronta digitale che identifica il testo in chiaro. Per garantire RISERVATEZZA AUTENTICITA Utilizzati anche per lo scambio di chiavi simmetriche

9 Concetti di Sicurezza Informatica Crittografia Simmetrica – Chiave MiBAC – Corso sulla Sicurezza Informatica 17/12/ OTP (One Time Pad) utilizzando una chiave: di lunghezza uguale al messaggio casuale usata una sola volta Caso teorico non applicabile in pratica. Occorre trovare il compromesso fra Facile utilizzo per gli utenti legittimi Utilizzabile sui computer reali (potenza di calcolo limitata) Piu corta del messaggio Difficile decifratura per il possibile attaccante Problematiche legate alla chiave Creazione di sequenze casuali Numero delle chiavi Distribuzione N=100 N utilizzatori N*(N-1)/2 Chiavi Utilizzo di canali paralleli Key

10 Concetti di Sicurezza Informatica Crittografia Asimmetrica – Generazione delle chiavi MiBAC – Corso sulla Sicurezza Informatica 17/12/ In fase di creazione si utilizzano funzioni matematiche che richiedono potenza di calcolo limitata (computabili) ma per le quali non è ancora stato dimostrato che esista un metodo pratico di risoluzione inversa La soluzione inversa non è possibile tramite algoritmo, ma solo per tentativi (forza bruta) quasi impossibili da computare Fattorizzazione numeri primi Dati due numeri primi tra loro è semplice e veloce calcolarne il prodotto Dato il prodotto è molto difficile risalire a uno dei fattori primi Pur conoscendo la chiave pubblica è impossibile risalire a quella privata Le chiavi sono create dallo stesso algoritmo e sono correlate Non possono essere ricavate luna dallaltra

11 Concetti di Sicurezza Informatica Crittografia Asimmetrica – Le Chiavi MiBAC – Corso sulla Sicurezza Informatica 17/12/ la chiave privata é personale e segreta la chiave pubblica è distribuita RISERVATEZZA Mittente invia un messaggio cifrato con la chiave pubblica del destinatario Destinatario possiede la relativa chiave privata è può decifrarlo AUTENTICITA Mittente invia un messaggio cifrato con la PROPRIA chiave privata Tutti coloro che hanno la chiave pubblica del mittente possono leggerlo Le chiavi sono create dallo stesso algoritmo e sono correlate Quello che si cifra con una chiave può essere decifrato solamente con laltra chiave della coppia

12 Concetti di Sicurezza Informatica Crittografia Simmetrica MiBAC – Corso sulla Sicurezza Informatica 17/12/ CHIAVE BIT ALGORITMO 40RC DES 128RC (x 3)3DES 256RC6 DEBOLE FORTE Il DES é stato forzato nel 1998, ma è ancora molto utilizzato, perché implementabile con soluzioni hw, economiche e veloci La robustezza dipende fortemente dalla lunghezza della chiave Il DES (Data Encryption System) impiega chiavi di 64 bit (56 effettivi + 8 di parità). Suddivide il testo in blocchi di 64 bit ciascuno e li cifra in successione per 16 volte. Ad ogni ciclo la chiave subisce una permutazione..

13 Concetti di Sicurezza Informatica Crittografia Asimmetrica – RSA MiBAC – Corso sulla Sicurezza Informatica 17/12/ RSA (Rivest, Shamir, Adleman) Usa operatori esponenziali in aritmetica modulo N Esponente diverso per le funzioni di cifratura / decifratura Può usare chiavi di diversa lunghezza, consigliabili almeno bit. Ha lo svantaggio che la creazione della coppia di chiavi è complessa PROContro Key DistributionPiù lenta della simmetrica Key management(fino a volte) Scalabilità (2*n) Robusto (Key >= 1.024)Richiede potenza di calcolo. Confidenzialità Autenticità

14 Concetti di Sicurezza Informatica Concetti base – Minaccia MiBAC – Corso sulla Sicurezza Informatica 17/12/ I beni hanno un valore (anche se immateriali come le informazioni o i servizi) e devono essere protettu per evitare che possano subire una perdita, totale o parziale, del loro valore. ll valore di un bene viene attribuito in rapporto alla sua importanza (dalla normativa, dal proprietario del bene)secondo gli obiettivi fissati con i criteri di RID (Riservatezza, Integrità, Disponibilità). Fatto o azione che potrebbe provocare la violazione di uno degli obiettivi di sicurezza. Possono avere origine umana, deliberata o accidentale, o avere una causa esterna naturale. Esempi:Fulmine: minaccia naturale Guasto HW:minaccia accidentale Furto :minaccia deliberata Sw dannoso:può essere deliberato o accidentale Minaccia

15 Concetti di Sicurezza Informatica Concetti base – Vulnerabilità MiBAC – Corso sulla Sicurezza Informatica 17/12/ Vulnerabilità Tutti i beni hanno, per loro natura, delle vulnerabilità intrinseche, ovvero dei punti deboli, noti o ignoti. Se esiste una minaccia che può sfruttare la vulnerabilità, si può verificare una violazione di un obiettivo di sicurezza. Le vulnerabilità non implicano la certezza della violazione degli obiettivi di sicurezza Impatto Esprime le conseguenze, sul sistema informatico, a seguito della concretizzazione di una minaccia. Dipende dagli obiettivi di sicurezza e dal valore attribuito al bene o al servizio

16 Concetti di Sicurezza Informatica Concetti base – Rischio MiBAC – Corso sulla Sicurezza Informatica 17/12/ Rischio Quantifica la severità di una minaccia in relazione al sistema che si vuole proteggere. Si esprime come relazione tra la probabilità che una minaccia si realizzi P(m) le conseguenze che può provocare (gravità del possibile impatto) G(i) R = P(m) * G(i) I valori associati al Rischio costituiscono lelemento per sviluppare il processo di analisi e gestione del rischio e sono fondamentali per la progettazione di un sistema di sicurezza.

17 Concetti di Sicurezza Informatica Come realizzare un sistema di sicurezza MiBAC – Corso sulla Sicurezza Informatica 17/12/ quali risorse proteggere? che importanza (valore) ha la risorsa? da quali minacce occorre proteggere le risorse? la probabilità che la minaccia si concretizzi? quali misure di protezione si possono adottare? quali sono i costi? le misure già in atto sono ancora valide? occorre una verifica periodica degli obiettivi?

18 Il processo di gestione della Sicurezza Informatica Come realizzare un sistema di sicurezza MiBAC – Corso sulla Sicurezza Informatica 17/12/ Il processo (CICLO) della sicurezza

19 Il processo di gestione della Sicurezza Informatica Come realizzare un sistema di sicurezza MiBAC – Corso sulla Sicurezza Informatica 17/12/ Obiettivo: Definire i principali eventi potenzialmente dannosi Stimare la probabilità di accadimento relativa. Calcolare il rischio Individuare le contromisure Metodo: Individuazione minacce e vulnerabilità Calcolo del rischio: 1. Applicabilità: la minaccia può compromettere lasset (0=no 1=si) 2. Impatto: applicabilità x criticità asset 3. Probabilità: che la minaccia si concretizzi (vulnerabilità presenti) 4. Rischio: impatto x probabilità (parametrizzati)

20 Il processo di gestione della Sicurezza Informatica Gestione del rischio MiBAC – Corso sulla Sicurezza Informatica 17/12/ quali risorse proteggere? 1) Inventario dei beni (Asset) Supporti informatici (sistemi, apparati, Applicativi, reti locali, reti geografiche,…) Impianti (corrente elettrica, UPS, aria condizionata/riscaldamento,….) Locali (Sale CED, sale console, archivi) Persone (manager, sviluppatori, utenti, sistemisti, ….) Documenti (cartacei o in forma digitale) Dati In termini di RID Assegnando un valore numerico o qualitativo (Alto, Medio, Basso) fornisce la stima della gravita dellImpatto G(I) 2) Classificazione dei beni (Asset)

21 Il processo di gestione della Sicurezza Informatica Gestione del rischio MiBAC – Corso sulla Sicurezza Informatica 17/12/ ) Individuare le Minacce (Deliberate, Accidentali, ambiEntali)

22 Il processo di gestione della Sicurezza Informatica Gestione del rischio MiBAC – Corso sulla Sicurezza Informatica 17/12/ ) Individuare le vulnerabilità

23 Il processo di gestione della Sicurezza Informatica Gestione del rischio MiBAC – Corso sulla Sicurezza Informatica 17/12/ ) Stimare la probabilità dellevento dannoso Dipende dalla tipologia della minaccia e Minacce Deliberate (Fattore Umano) La probabilità é funzione delle Vulnerabilità presenti nel sistema e della Motivazioni del potenziale attaccante P = f(V,M) Minacce accidentali e ambientali La probabilità é funzione delle V ulnerabilità presenti nel sistema e della probabilità statistica che si verifichi. La probabilità statistica deriva dai rilevamenti di eventi simili avvenuti in precedenza P = f(V,p)

24 Il processo di gestione della Sicurezza Informatica Gestione del rischio MiBAC – Corso sulla Sicurezza Informatica 17/12/ ) Stimare il rischio Applicando la formula di correlazione Probabilità – Gravità dellimpatto R = P(m) * G(i) 1 Basso2 Medio3 Alto 3 Medio6 Alto9 Alto 2 Medio2 Basso4 Medio6 Alto 1 Basso 2 Basso4 Medio

25 Il processo di gestione della Sicurezza Informatica Gestione del rischio MiBAC – Corso sulla Sicurezza Informatica 17/12/ ) Gestire il rischio scopo eliminare i rischi ridurli entro limiti accettabili I rischi non eliminabili possono essere ceduti a terzi, (polizze di assicurazione) es. furto, incendio e disastri naturali Il rischio può essere controllo del attraverso opportune contromisure che agiscano sulle due componenti del rischio: la gravità dellimpatto la probabilità di attuazione della minaccia

26 Il processo di gestione della Sicurezza Informatica Gestione del rischio MiBAC – Corso sulla Sicurezza Informatica 17/12/ ) Contromisure La scelta delle contromisure da mettere in campo è dettata dallanalisi del rischio e dallanalisi costo/benefici delle contromisure. Se la riduzione del rischio è ampiamente superiore al costo della contromisura, questa è efficace. Se un certo rischio è di scarsa entità e la contromisura risulterebbe più costosa rispetto ai benefici, si può decidere di accettare il rischio senza alcuna contromisura. Vale anche nei casi in cui il rischio residuo (il rischio che rimane dopo ladozione delle contromisure) non fosse significativamente inferiore al rischio iniziale. Si possono classificare le contromisure in tre categorie a seconda che siano di di carattere fisico di tipo procedurale di tipo tecnico informatico

27 Il processo di gestione della Sicurezza Informatica Gestione del rischio MiBAC – Corso sulla Sicurezza Informatica 17/12/ Contromisure di carattere fisico Generalmente legate alla prevenzione e al controllo dellaccesso a installazioni, locali, attrezzature, mezzi di comunicazione. Esempi edificio protetto e accessibile solo dopo il riconoscimento del personale autorizzato la collocazione in zona elevata non soggetta ad alluvioni, rilevatori e pompe per evacuare lacqua sistemi antincendio accessi blindati e sorvegliati protezione fisica delle linee di comunicazione contro intercettazioni, disturbi e danneggiamenti. canalizzazioni dei cavi di rete, schermature di vetri e pareti per contenere il campo delle reti

28 Il processo di gestione della Sicurezza Informatica Gestione del rischio MiBAC – Corso sulla Sicurezza Informatica 17/12/ Contromisure di carattere tecnico informatico - 1 Realizzate attraverso mezzi hardware, firmware e software e prendono anche il nome di funzioni di sicurezza Identificazione e autenticazione di un individuo o un processo e ad autenticarne lidentità. funzione di accesso (login) a un sistema tramite nome utente (per lidentificazione) e password (per lautenticazione dellidentità). Controllo degli accessi Verificano se il processo o lutente, di cui è stata autenticata lidentità, ha il diritto di accedere alla risorsa richiesta e di eseguire loperazione specificata (lettura, esecuzione, modifica, creazione, cancellazione). Rendicontabilità (accountability) permettono di attribuire la responsabilità degli eventi agli individui che li hanno causati. Verifica (audit). registrano gli eventi in un file (log) con informazioni su errori e a violazioni di sicurezza.

29 Il processo di gestione della Sicurezza Informatica Gestione del rischio MiBAC – Corso sulla Sicurezza Informatica 17/12/ Contromisure di carattere tecnico informatico - 2 Accuratezza delle informazioni. Esempio, la registrazione temporale (time stamp) dellevento perché i file di logging forniscano informazioni attendibili, Affidabilità del servizio. contromisure per mantenere condizioni di alimentazione elettrica stabile, filtrata e senza interruzione (gruppi di continuità) difese dai malfunzionamenti hardware (monitoraggio e manutenzione preventiva) difese dai malfunzionamenti software (monitoraggio delle prestazioni, rollback delle transazioni non andate a buon fine, ripristino di uno stato precedente del sistema operativo, ripristino delle partizioni di disco a uno stato integro precedente). Scambio dati sicuro. destinate a garantire la sicurezza delle trasmissioni. autenticazione - controllo dellaccesso - riservatezza integrità (dellhardware, dei dati e dei flussi di pacchetti TCP trasmessi) non ripudio. Esempio di contromisura in questa area é luso di crittografia

30 Il processo di gestione della Sicurezza informatica Contromisure di carattere procedurale - 1 MiBAC – Corso sulla Sicurezza Informatica 17/12/ Definiscono le operazioni per eseguire un compito oppure regolano il comportamento degli addetti e degli utenti per gli aspetti che riguardano la sicurezza delle informazioni e delle risorse. Mentre le contromisure fisiche proteggono laccesso fisico alle risorse e le contromisure informatiche agiscono a livello hardware, firmware e software, le procedure operative e le regole di comportamento si applicano alle persone Scopi evitare che gli addetti ai sistemi informatici e gli utenti causino vulnerabilità e minacce accidentali Promuovere la consapevolezza delle persone e far si che contribuiscano a mantenere i livelli di sicurezza riducendo i rischi residui lasciati dalle altre contromisure.

31 Il processo di gestione della Sicurezza informatica Contromisure di carattere procedurale - 2 MiBAC – Corso sulla Sicurezza Informatica 17/12/ Esempi: il controllo dellidentità dei visitatori e la limitazione delle aree a cui hanno accesso. Le istruzioni per la sua custodia del badge di riconoscimento così che non venga lasciato a disposizione di altri Le password sono uno strumento di protezione informatico, ma le regole per la loro assegnazione, durata, utilizzo e custodia fanno parte delle contromisure procedurali per ridurre il rischio del furto didentità. norme comuni per le password: utilizzare password di lunghezza minima prefissata (tipico maggiore di 8 caratteri) Rispondenti ai requisiti di complessità (lettere, maiuscole, numeri e caratteri speciali) Imposizione di modificarle periodicamente bloccare laccesso dopo un numero limitato di tentativi errati; responsabilizzare gli assegnatari sugli effetti della mancata riservatezza

32 Il processo di gestione della Sicurezza informatica Contromisure di carattere procedurale - 3 MiBAC – Corso sulla Sicurezza Informatica 17/12/ Le contromisure di tipo procedurale dovrebbero essere ridotte al minimo, Quando quando possibile è consigliabile utilizzare sistemi automatizzati, meno soggetti agli errori e dimenticanze. Esempio Laggiornamento degli antivirus che assicuri che il file di riconoscimento dei virus sia sempre allineato allultimo rilascio Laggiornamento periodico del firmware dei firewall Possono essere automatizzati tramite un sistema centralizzato Luso di determinate funzioni nellutilizzo di specifici hardware e software, ove si preveda che possa aumentare i rischi per la sicurezza dovrebbe: essere automatizzato per quanto possibile oggetto di norme procedurali per quanto dipende dal comportamento delle persone

33 Il processo di gestione della Sicurezza informatica Contromisure di carattere procedurale - 4 MiBAC – Corso sulla Sicurezza Informatica 17/12/ Le contromisure di tipo procedurale possono integrare e rafforzare i sistemi automatizzati. Esempio Per lentità dellimpatto e la frequenza di guasti ai supporti magnetici è assolutamente necessario prevedere un sistema di salvataggio dei dati e dei programmi (backup), garantiscano il ripristino dopo un disastro (disaster recovery) o la continuità operativa (business continuity) a dispetto di qualsiasi evento catastrofico. I backup possono essere automatizzati E però importante definire una strategia di backup a più livelli (con diverse periodicità) e mettere in atto procedure che verifichino esecuzione dei salvataggi integrità e utilizzabilità dei supporti funzionalità del ripristino in caso di necessità seguito di un evento (test periodi)

34 Il processo di gestione della Sicurezza informatica Gli standard MiBAC – Corso sulla Sicurezza Informatica 17/12/ Forniscono una guida per la progettazione e la gestione di un sistema di sicurezza ISO Foundamental and vocabulary ISMS Requirements Code of practice of ISMS ISMS implementation guidance Measurements Risk Management Requirements for the accreditation of certification bodies Guidelines for ISMS auditing Information security management guidelines for telecommunications ICT readiness for business continuity I Guidelines for cybersecurity IT network security Guidelines for application security Security Management in Health using ISO/IEC 27002

35 Modello organizzativo per la PA MiBAC – Corso sulla Sicurezza Informatica 17/12/ Direttiva del 16 gennaio 2002 dal titolo: Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni Statali Obiettivo: adeguare la struttura organizzativa della P.A. coerentemente agli obiettivi fissati In materia di sicurezza dei servizi resi al cittadino tramite gli strumenti informatici Il modello prevede che sia istituita unorganizzazione che assegna dei ruoli dotati di responsabilità e di autonomia nonché di conoscenza delloperatività per prendere decisioni, tenendo fede al principi della separazione dei compiti. Bilanciamento rischio/sicurezza valutare il bene, il livello di esposizione, definire le misure di protezione, bilanciamento fra gli investimenti per le contromisure e la diminuzione degli accadimenti; Monitoraggio del sistema: si intende lattività di controllo continuo degli indicatori di performance, sicurezza e rischio, svolte dalla funzione/ruolo che realizza le misure di sicurezza. Verifica: attività di controllo saltuaria che si sviluppa attraverso un vero e proprio audit da parte di una funzione/ruolo (ICT auditing) diversa da chi ha realizzato la sicurezza. Fonte: CNIPA Quaderno 23 – Cap. 4 Lorganizzazione di sicurezza delle amministrazioni

36 Modello organizzativo per la PA Gli standard MiBAC – Corso sulla Sicurezza Informatica 17/12/

37 Modello organizzativo per la PA MiBAC – Corso sulla Sicurezza Informatica 17/12/ Il Ministro: Rappresenta il vertice dellorganizzazione per la sicurezza ed ha il compito di individuare e sancire lorganizzazione della sicurezza idonea al proprio dicastero. Consigliere tecnico per la sicurezza ICT: E il consulente strategico del Ministro, svolge anche il ruolo di collegamento tra il Comitato e il titolare del Dicastero Comitato per la sicurezza ICT Organo che definisce gli obiettivi e le politiche di sicurezza delle infrastrutture tecnologiche e del patrimonio informativo gestito prevalentemente con soluzioni automatizzate. Aapprova le norme in materia di sicurezza devono essere approvate Responsabile della Sicurezza ICT È il soggetto responsabile della definizione delle soluzioni tecniche ed organizzative in attuazione delle direttive impartite dal Ministro direttamente o su indicazione del Comitato per la sicurezza ICT. Fonte: CNIPA Quaderno 23 – Cap. 4 Lorganizzazione di sicurezza delle amministrazioni

38 Modello organizzativo per la PA MiBAC – Corso sulla Sicurezza Informatica 17/12/ Responsabile del Sistema Informativo Automatizzato Istituito dal decreto legislativo 39/93, gli compete la pianificazione degli interventi di automazione, ladozione delle cautele e delle misure di sicurezza, la committenza delle attività da affidare allesterno. Gestore Esterno (outsourcer) È il fornitore di servizi che opera sotto il controllo del responsabile dei sistemi informativi Referente locale per la sicurezza informatica Funge da elemento di contatto verso gli organismi del Ministero e nazionali che si occupano della materia. Computer Emergency Response Team dellAmministrazione - CERT-AM Specifici gruppi o uffici per la prevenzione e la gestione dei problemi causati da incidenti o attacchi al sistema informatico Fonte: CNIPA Quaderno 23 – Cap. 4 Lorganizzazione di sicurezza delle amministrazioni

39 Modello organizzativo per la PA Codice Privacy MiBAC – Corso sulla Sicurezza Informatica 17/12/ Il decreto legislativo 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (c.d. Codice Privacy) disciplina la normativa in materia di tutela dei dati personali Contempla listituzione di figure specifiche per la realizzazione e la gestione di un sistema di sicurezza indirizzato allo specifico aspetto del trattamento dei dati personali TITOLARE Incaricati Responsabile del trattamento Distribuzione dei compiti e delle responsabilità

40 Modello organizzativo per la PA Codice Privacy MiBAC – Corso sulla Sicurezza Informatica 17/12/ TITOLO IV SOGGETTI CHE EFFETTUANO IL TRATTAMENTO Art. 28 (Titolare del trattamento) 1-Quando il trattamento è effettuato da …, da una pubblica amministrazione …… titolare del trattamento è lentità nel suo complesso o lunità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Art. 29 (Responsabile del trattamento) 1 - Il responsabile è designato dal titolare facoltativamente. 2 - Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

41 Modello organizzativo per la PA Codice Privacy MiBAC – Corso sulla Sicurezza Informatica 17/12/ TITOLO IV SOGGETTI CHE EFFETTUANO IL TRATTAMENTO Art. 30 (Incaricati del trattamento) 1.Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmente lambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, lambito del trattamento consentito agli addetti allunità medesima.

42 Modello organizzativo per la PA Codice Privacy MiBAC – Corso sulla Sicurezza Informatica 17/12/ Art. 31 (Obblighi di sicurezza) Art. 33 (Misure minime) … i titolari del trattamento sono comunque tenuti ad adottare le misure minime ….. Art. 34 (Trattamenti con strumenti elettronici) 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nellallegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

43 Modello organizzativo per la PA Codice Privacy MiBAC – Corso sulla Sicurezza Informatica 17/12/ Nell ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA Sono indicate le Regole Tecniche per i Trattamenti con strumenti elettronici Regola 1 - procedura di autenticazione Regola 3 - credenziali per lautenticazione assegnate individualmente Regola 5 - La parola chiave è composta da almeno otto caratteri, è modificata al primo utilizzo e almeno ogni sei mesi (tre mesi per trattamento di dati sensibili e giudiziari) Regola 16 - protezione contro il rischio di intrusione e dellazione di programmi di cui allart. 615-quinquies del codice penale (codice maligno), mediante lattivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. Regola 17 - Gli aggiornamenti periodici dei programmi a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente (6 mesi per trattamento di dati sensibili o giudiziari )

44 Modello organizzativo per la PA Codice Privacy MiBAC – Corso sulla Sicurezza Informatica 17/12/ Nell ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA Sono indicate le Regole Tecniche per i Trattamenti con strumenti elettronici Regola 18 - salvataggio dei dati con frequenza almeno settimanale. Regola 19 - documento programmatico sulla sicurezza Regola analisi dei rischi che incombono sui dati Regola le misure da adottare per garantire lintegrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità

45 Modello organizzativo per la PA Codice dell'amministrazione digitale MiBAC – Corso sulla Sicurezza Informatica 17/12/ Decreto legislativo 7 marzo 2005, n. 82 Codice dell'amministrazione digitale. Articolo 51 - Sicurezza dei dati Le norme di sicurezza definite nelle regole tecniche di cui all'articolo 71 garantiscono l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.. Articolo 71 - Regole tecniche Le regole tecniche previste nel presente codice sono dettate [omissis] in modo da garantire la coerenza tecnica con le regole tecniche sul sistema pubblico di connettività e con le regole di cui al disciplinare pubblicato in allegato B al decreto legislativo 30 giugno 2003, n. 196.

46 Modello organizzativo per la PA Codice dell'amministrazione digitale MiBAC – Corso sulla Sicurezza Informatica 17/12/ Istituzione di SPC Articolo 73 - Sistema pubblico di connettività (SPC) il Sistema pubblico di connettività (SPC), al fine di assicurare il coordinamento informativo e informatico dei dati tra le amministrazioni centrali, regionali e locali e promuovere lomogeneità nella elaborazione e trasmissione dei dati stessi, finalizzata allo scambio e diffusione delle informazioni tra le pubbliche amministrazioni e alla realizzazione di servizi integrati linsieme di infrastrutture tecnologiche e di regole tecniche, per lo sviluppo, la condivisione, lintegrazione e la diffusione del patrimonio informativo e dei dati della pubblica amministrazione, necessarie per assicurare linteroperabilità di base ed evoluta e la cooperazione applicativa dei sistemi informatici e dei flussi informativi, garantendo la sicurezza, la riservatezza delle informazioni, nonché la salvaguardia e lautonomia del patrimonio informativo di ciascuna pubblica amministrazione

47 Modello organizzativo per la PA Sistema Pubblico di Connettività MiBAC – Corso sulla Sicurezza Informatica 17/12/ Lorganizzazione del Sistema di Sicurezza del SPC, ispirata al modello proposto dallInternational Standard Organisation (ISO) Fonte: CNIPA Sistema Pubblico di connettività - Organizzazione di sicurezza

48 Modello organizzativo per la PA Sistema Pubblico di Connettività MiBAC – Corso sulla Sicurezza Informatica 17/12/ Comitato strategico sicurezza SPC Struttura collegiale che si occupa dellindirizzo strategico generale della sicurezza SPC Struttura di Coordinamento di SPC (SC-SPC) indirizzo operativo e controllo sullintero sistema, facendo in modo che vengano assicurati i livello di sicurezza stabiliti. Centro di gestione della sicurezza SPC (CG-SIC) realizza la componente centrale del sistema di sicurezza distribuito SPC dedicata al antenimento e alla verifica del livello di sicurezza minimo garantito sul SPC. provider qualificati secondo le regole di qualità e di sicurezza definite in ambito SPC Ogni PA dovrà rispettare i requisiti minimi di sicurezza SPC anche allinterno del proprio dominio di competenza, la sicurezza del SPC dipende dalla sicurezza di tutti i suoi componenti Unità locale di Sicurezza SPC struttura organizzativa in ciascun Dominio di una Pubblica Amministrazione, e per ogni provider che gestisce gli aspetti relativi alla sicurezza dellinfrastruttura I&T connessa al SPC che si trova nel proprio dominio di amministrazione Fonte: CNIPA Sistema Pubblico di connettività - Organizzazione di sicurezza


Scaricare ppt "Indice degli argomenti MiBAC – Corso sulla Sicurezza Informatica 17/12/2008 1.Lattenzione della P.A. alla Sicurezza Informatica 2.Concetti di Sicurezza."

Presentazioni simili


Annunci Google