La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

AICA Corso IT Administrator: modulo 5 AICA © 2005 1 EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 1 - introduzione.

Presentazioni simili


Presentazione sul tema: "AICA Corso IT Administrator: modulo 5 AICA © 2005 1 EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 1 - introduzione."— Transcript della presentazione:

1 AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 1 - introduzione

2 AICA Corso IT Administrator: modulo 5 AICA © Sicurezza delle informazioni Disciplina antica Esempi: scitala lacedemonica cifrario di Cesare Durante la seconda guerra mondiale vennero poste le basi teoriche matematiche –Alan Turing

3 AICA Corso IT Administrator: modulo 5 AICA © Obiettivi della sicurezza Autenticazione Autenticazione della controparte Autenticazione dei dati Autorizzazione Integrità Riservatezza Non ripudio Disponibilità Tracciabilità Authentication peer authentication data / origin authentication authorization integrity privacy, secrecy non repudiation availability accountability

4 AICA Corso IT Administrator: modulo 5 AICA © Autenticazione Alberto Ciao sono Bob Dimostralo!

5 AICA Corso IT Administrator: modulo 5 AICA © Autenticazione (controparte) Alberto Ciao sono Bob Ciao Bob Banda Bassotti E la banca? Certo, ne dubiti ?

6 AICA Corso IT Administrator: modulo 5 AICA © Autenticazione (dati) Alberto Banda Bassotti Pagare alla banca 1000 Firmato : Banca

7 AICA Corso IT Administrator: modulo 5 AICA © Integrità Tutela dallalterazione dei dati, informazioni o risorse informatiche da parte di non autorizzati –nei dati è compreso anche il software –nelle risorse informatiche è compresa anche la configurazione di un sistema

8 AICA Corso IT Administrator: modulo 5 AICA © Integrità Alberto Banca Pagare alla banca 1000 Firmato : Banca Rete di comunicazione Pagare alla banda bassotti Firmato : Banca

9 AICA Corso IT Administrator: modulo 5 AICA © Non ripudio Prevenzione dal disconoscimento dellorigine di un documento o di un fatto da parte dellautore del documento o del fatto. Implica molti aspetti –autenticazione –integrità –....

10 AICA Corso IT Administrator: modulo 5 AICA © Autorizzazione Alberto Devo prelevare 1000 dal conto di Alice Sei autorizzato da lei? Banca

11 AICA Corso IT Administrator: modulo 5 AICA © Riservatezza Prevenzione dellaccesso alle informazioni da parte di chi non sia autorizzato Attenzione: si proteggono le informazioni non i dati MARIO ROSSI (dato) (dato) MARIO ROSSI è una informazione (numero di telefono di Mario Rossi)

12 AICA Corso IT Administrator: modulo 5 AICA © Disponibilità La prevenzione della non accessibilità, ai legittimi utilizzatori, sia delle informazioni che delle risorse, quando informazioni e risorse servono. Il concetto quindi, oltre che riguardare dati ed informazioni, è esteso a tutte le possibili risorse che costituiscono un sistema informatico, –la banda di trasmissione di un collegamento –la capacità di calcolo di un elaboratore –lo spazio utile di memorizzazione dati –ecc.

13 AICA Corso IT Administrator: modulo 5 AICA © Bene Tutto ciò che deve essere oggetto di protezione perché costituisce un valore –Materiale, immateriale Informazioni Risorse informatiche Privacy.....

14 AICA Corso IT Administrator: modulo 5 AICA © Bene Primario : i beni che effettivamente per noi hanno un valore –Es: i dati sul server Secondario: i beni che contribuiscono alla protezione dei beni primari –Es : elementi di autenticazione per laccesso alle risorse (password) Nellesempio se perdo la password perdo anche laccesso ai miei dati

15 AICA Corso IT Administrator: modulo 5 AICA © Obiettivo Lobiettivo di sicurezza è ciò che ci proponiamo, in termini di sicurezza, per i nostri beni –È in relazione con Riservatezza Disponibilità Integrità Es: le password hanno come obiettivo la riservatezza

16 AICA Corso IT Administrator: modulo 5 AICA © Minaccia Azione, accidentale o deliberata che può portare alla violazione di un obiettivo di sicurezza –Accidentale : Terremoto –Deliberata : Virus informatico

17 AICA Corso IT Administrator: modulo 5 AICA © Vulnerabilità È una debolezza intrinseca del sistema informatico, tale che, qualora esista una minaccia che la sfrutti, si arriverebbe alla violazione di almeno un obiettivo di sicurezza. –Non dipende da fattori esterni –Non comporta automaticamente la violazione di obiettivi di sicurezza

18 AICA Corso IT Administrator: modulo 5 AICA © Impatto Conseguenza che lattuarsi di una minaccia determina. –Diretta relazione con gli obiettivi di sicurezza

19 AICA Corso IT Administrator: modulo 5 AICA © Rischio Prodotto tra la Gravità delle conseguenza di un evento (impatto) e la Probabilità che esso accada (minaccia) R = G x P Minaccia deliberata: P = f(V,M) –Dove V = vulnerabilità M = motivazioni dellattaccante o livello della minaccia

20 AICA Corso IT Administrator: modulo 5 AICA © Rischio Minaccia accidentale: P = f(V,p) –Dove V = vulnerabilità p = probabilità intrinseca di accadimento del sinistro

21 AICA Corso IT Administrator: modulo 5 AICA © Gestione del Rischio Suddivisa in due fasi: Analisi del rischio: 1.Classificazione delle informazioni 2.Identificazioni delle minacce 3.Identificazione del livello di rischio associabile a ciascuna classe di informazioni Controllo del rischio Identificazione delle modalità di gestione dei rischi associati alla perdita di un obiettivo di sicurezza Esempi: trasferimento del rischio a terzi riduzione del valore della informazione riduzione delle vulnerabilità

22 AICA Corso IT Administrator: modulo 5 AICA © FASI DELLA GESTIONE DEL RISCHIO Classificazione delle Informazioni e delle risorse informatiche Identificazione delle minacce Identificazione delle vulnerabilità Identificazione del livello di rischio Controllo del rischio: le contromisure

23 AICA Corso IT Administrator: modulo 5 AICA © Analisi del rischio Classificazione delle informazioni e delle risorse –Determinare quali classi di informazioni hanno valore per lazienda e le relazioni con i dati che compongono linformazione –Risorse informatiche (obiettivo disponibilità) Processi Banda dei canali di comunicazione Potenza di calcolo Supporti per larchiviazione Integrità. Riservatezza, Disponibilità disponibilità

24 AICA Corso IT Administrator: modulo 5 AICA © Identificazione delle minacce MINACCIA=evento potenziale, accidentale o voluto, il cui accadimento produce un danno in termini di violazione degli obiettivi di sicurezza Lelenco delle minacce dovrebbe comprendere –eventi accidentali –eventi umani deliberati (volontari) Involontari (uso improprio degli strumenti)

25 AICA Corso IT Administrator: modulo 5 AICA © Identificazione delle vulnerabilità VULNERABILITA=debolezza intrinseca del sistema informativo/informatico che, sfruttata da una minaccia, produce danno allazienda Esempi: collocazione geografica (centri di calcolo in zone sismica) errori sistematici nellhardware/software –Errori di progettazione malfunzionamenti accidentali dellhardware deficienze nelle procedure di utilizzo da parte degli utenti (mancati o inaccurati back up)

26 AICA Corso IT Administrator: modulo 5 AICA © Identificazione del livello di rischio Elaborazione dei risultati delle fasi precedenti DA : semplice classificazione di tipo qualitativo A: classificazione quantitativa, cui si associa la perdita economica in termini di percentuale di fatturato

27 AICA Corso IT Administrator: modulo 5 AICA © UN ELEMENTO CHIAVE E: La CONSAPEVOLEZZA DEL PROBLEMA DELLA SICUREZZA delle informazioni a tutti i livelli aziendali Chi definisce i beni da proteggere Chi decide le procedure di sicurezza Chi esegue le procedure Chi non ha apparenti responsabilità segretaria che al telefono con unamica digita la password di accesso ripetendola ad alta voce

28 AICA Corso IT Administrator: modulo 5 AICA © Contromisure Si cede a terzi la gestione del rischio –Polizze di assicurazione Eliminare o ridurre il rischio –agire sulla probabilità di un evento –agire sulla gravità delle conseguenze Contromisure di sicurezza –Carattere fisico –Carattere procedurale –Carattere tecnico informatico

29 AICA Corso IT Administrator: modulo 5 AICA © Contromisure di Carattere Fisico Realizzazione di tipo logistico –prevenzione –controllo del diritto di accesso Esempio –centri di calcolo in aree protette, rendere difficile accedere fisicamente alla macchina –Impedire lintercettazione delle onde radio (gabbie di Faraday)

30 AICA Corso IT Administrator: modulo 5 AICA © Contromisure di Carattere Procedurale Regolamentare i comportamenti degli individui –Esempio non scrivere su fogli la propria password un amministratore di sistema deve effettuare regolarmente laggiornamento dellantivirus.... Tentare di automatizzare il più possibile

31 AICA Corso IT Administrator: modulo 5 AICA © Contromisure di Carattere tecnico informatico (funzioni di sicurezza) Realizzate mediante sistemi Hardware, Software e Firmware –Identificazione –Autenticazione –Controllo dellaccesso –Rendicontabilità –Audit –Riuso –Accuratezza –Affidabilità del servizio –Scambio dati sicuro

32 AICA Corso IT Administrator: modulo 5 AICA © Identificazione e Autenticazione Funzioni che consentono di identificare e autenticare –un individuo –un processo Esempio : username e password

33 AICA Corso IT Administrator: modulo 5 AICA © Controllo dellaccesso Controllo delle risorse: –Scrittura –Lettura –Esecuzione Es : –accesso della CPU a indirizzi in memoria non validi –diritti associati ai files

34 AICA Corso IT Administrator: modulo 5 AICA © Rendicontabilità Attribuzione delle responsabilità di avvenimenti allindividuo che li ha generati –Contromisure di identificazione Es: –Il sistema operativo identifica il proprietario di ogni processo in esecuzione

35 AICA Corso IT Administrator: modulo 5 AICA © Riuso degli oggetti Funzioni che permettono di riutilizzare oggetti il cui contenuto era informazione riservata –RAM, supporti magnetici, ecc... Esempio: –Azzerare il contenuto della memoria utilizzate per elaborare password, algoritmi di crittografia, ecc....

36 AICA Corso IT Administrator: modulo 5 AICA © Audit Le operazioni effettuate dall'utente sono tracciate in file di log. Questo processo di monitoraggio delle attività è detto audit

37 AICA Corso IT Administrator: modulo 5 AICA © Accuratezza funzioni atte a garantire lintegrità dei dati funzioni atte a fornire laccuratezza della determinazione del tempo Es: –in un sistema di audit occorre un time server per garantire lunicità di un evento

38 AICA Corso IT Administrator: modulo 5 AICA © Affidabilità del servizio Affidabilità del servizio in condizione critica –Black out (UPS) –Errore software, hardware (roll-back, ripristino) –Errore umano

39 AICA Corso IT Administrator: modulo 5 AICA © Scambio dati sicuro Funzioni relative alla sicurezza delle comunicazioni durante la trasmissione, può essere a sua volta suddivisa in sottoclassi –autenticazione –controllo dellaccesso –riservatezza dei dati –integrità –non ripudio Es: –Crittografia –Meccanismi di autenticazione

40 AICA Corso IT Administrator: modulo 5 AICA © Organizzazione della sicurezza Non è una tecnologia, È un processo –Definito, implementato, gestito e migliorato Coinvolge tutti coloro che appartengono a unorganizzazione –responsabilità ricadono sul singolo individuo –occorre sensibilizzare a tutti i livelli I costi dovranno essere compatibili con il rischio ( il costo della sicurezza non deve superare il valore del bene da proteggere )

41 AICA Corso IT Administrator: modulo 5 AICA © Definizione delle politiche di sicurezza Tre livelli –Politica di sicurezza aziendale Corporate Security Policy: che cosa lazienda desidera proteggere –Politica di sicurezza per il sistema informatico System Security Policy: in che modo proteggere i beni –Politica di sicurezza tecnica Technical Security Policy: implementazione della System Security Policy nello specifico sistema

42 AICA Corso IT Administrator: modulo 5 AICA © Politica di sicurezza aziendale Massimo livello di astrazione –Cosa lazienda desidera proteggere –Verranno indicate le responsabilità connesse con la tutela dei beni –Definizione dellorganizzazione preposta

43 AICA Corso IT Administrator: modulo 5 AICA © Politica di sicurezza per il sistema informatico Come lazienda intende proteggere le informazioni, in modo il più possibile neutro rispetto alla tecnologia –Protezione fisica –Protezione procedurale

44 AICA Corso IT Administrator: modulo 5 AICA © Politica di sicurezza tecnica Traduzione in requisiti funzionali delle contromisure tecniche informatiche

45 AICA Corso IT Administrator: modulo 5 AICA © La gestione degli incidenti Fornire aiuto a chi subisce attacchi e raccogliere informazioni sugli attacchi stessi a scopo preventivo Organizzazioni di tipo volontaristico per fornire informazioni a chi subisce un attacco –CERT (Computer Emergency Response Team) Organizzazione internazionale –FIRST (Forum of Incident Response and Security Teams) In italia –CERT-IT,

46 AICA Corso IT Administrator: modulo 5 AICA © La gestione degli incidenti (segnalazione) 1.Contatto del CERT-IT ( , web server) segnalazione dellattacco se esiste invio del file di log 2.CERT-IT indaga sullattacco se le informazioni sono sufficienti si contatta la vittima per il ripristino o per ridurre gli effetti 3.Chiusura della segnalazione

47 AICA Corso IT Administrator: modulo 5 AICA © Valutazione della garanzia Funzionalità : –insieme di ciò che un prodotto o un sistema informatico fornisce relativamente alla protezione delle informazioni e allaffidabilità dei servizi Efficacia : –Misura di quanto le contromisure annullano le minacce Correttezza : –Misura della qualità della implementazione del sistema Efficacia + Correttezza = GARANZIA

48 AICA Corso IT Administrator: modulo 5 AICA © Normative Norme funzionali (ISO TC 168) –Protocolli di comunicazione –Formato dei dati sulle smartcard. Specifiche tecniche pubbliche –Serie PKCS# pubblicata da RSA Criteri della valutazione della garanzia –TCSEC (Trusted Computing Security Evaluation Criteria, 1985) USA –ITSEC (Information Technology Security Evaluation Criteria, 1991) Europa –ISO/IEC (1999) : noti come common criteria Internazionali

49 AICA Corso IT Administrator: modulo 5 AICA © Normative Linee guida relative al sistema di gestione della sicurezza nellazienda –ISO/IEC (parti 1,2,3,4) –BS 7720 (parte 1,2) –ISO/IEC 17799

50 AICA Corso IT Administrator: modulo 5 AICA © Valutazione della garanzia Tre componenti fondamentali –Funzionalità (cosa deve fare il sistema per la sicurezza) –Efficacia (in che misura le contromisure annullano le minacce) –Correttezza (quanto bene è stato implementato il sistema) Sono criteri e non norme (non stabiliscono requisiti funzionali) TCSEC (Trusted Computing Security Evaluation Criteria) –Criteri statunitensi pubblicati nel 1985 –Rimpiazzati dai common criteria ITSEC (Information Technology Security Evaluation Criteria) –Critei europei pubblicati nel 1991 –Definizione della funzionalità libera

51 AICA Corso IT Administrator: modulo 5 AICA © Valutazione della garanzia ISO/IEC –noti come common criteria, pubblicati nel 1999 –7 livelli di garanzia

52 AICA Corso IT Administrator: modulo 5 AICA © Norme sulla gestione della sicurezza 1995, BS 7799 (code of practice) –norme di comportamento per la gestione della sicurezza delle informazioni –esclude la verifica da parte di terzi (certificazione) 1995, ISO/IEC TR –Modalità per affrontare la gestione della sicurezza –Non prevede la certificazione –Insieme di norme più restrittive 2002 esce lultima versione della BS 7799 in cui il ciclo di vita di un processo è suddiviso in 4 fasi

53 AICA Corso IT Administrator: modulo 5 AICA © SGSI : Sistema di Gestione delle Informazioni

54 AICA Corso IT Administrator: modulo 5 AICA © Modello PDCA Plan ( Pianifica ): Decidere cosa fare, come farlo, in che tempi. Stabilire gli obiettivi ed i processi necessari per fornire risultati conformi ai requisiti del cliente ed alle politiche dell'organizzazione Do ( Fare ): Fare quanto pianificato. Dare attuazione ai processi; Check ( Controllare ): verificare se si è fatto quanto pianificato attraverso dati oggettivi (misurazioni). Monitorare e misurare i processi ed i prodotti a fronte delle politiche, degli obiettivi e dei requisiti relativi ai prodotti e riportarne i risultati; Act ( Agire ): adottare azioni per migliorare in modo continuativo le prestazioni dei processi;

55 AICA Corso IT Administrator: modulo 5 AICA © Plan Definizione dellambito di applicazione del SGSI Definizione di una politica di sicurezza ad alto livello Definizione di un approccio sistematico per lanalisi dei rischi Identificazione dei rischi Valutazione dei rischi Identificazione delle opzioni di trattamento –Eliminazione, cessione a terzi, riduzione delle vulnerabilità Selezione delle contromisure per il controllo dei rischi Redazione della dichiarazione di applicabilità

56 AICA Corso IT Administrator: modulo 5 AICA © Do Formulazione di un piano per il trattamento dei rischi Implementazione del piano Implementazione delle contromisure selezionate Svolgimento di programmi di informazione e formazione Gestione delle operazioni connesse con la fase Gestione delle risorse connesse con la fase Implementazione di procedure e altre misure che assicurino la rilevazione e le opportune azioni in caso di incidenti relativi alla sicurezza

57 AICA Corso IT Administrator: modulo 5 AICA © Check Esecuzione delle procedure di monitoraggio dellSGSI Esecuzione di revisioni del rischio residuo Conduzione di audit interni allSGSI

58 AICA Corso IT Administrator: modulo 5 AICA © Act Implementazione delle azioni migliorativi dellSGSI identificate Implementazione delle azioni correttive e preventive Comunicazione dei risultati Verifica che i miglioramenti raggiungano gli obiettivi identificati alla loro base


Scaricare ppt "AICA Corso IT Administrator: modulo 5 AICA © 2005 1 EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 1 - introduzione."

Presentazioni simili


Annunci Google