La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

Slides:

Advertisements

Presentazioni simili

Certificazioni Infrastrutture IT di Telecom Italia

Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

La sicurezza dei sistemi informatici

Informatica e Telecomunicazioni

Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:

Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.

OMAT VoiceCom - Roma 11, novembre 2003 Francesco Arciprete La Qualità e la Sicurezza delle TLC fattori abilitanti dell E-Government OMAT VoiceCom – Roma,

INTERNET FIREWALL Bastion host Laura Ricci.

Amministratore di sistema di Educazione&Scuola

Sistema Gestione Progetti

AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.

IL PROCESSO DI REVISIONE AZIENDALE

1 Il servizio di prestito e fornitura documenti ILL-SBN una visione di insieme caratteristiche della procedura illustrazione delle funzionalità

UNIVERSITÀ DEGLI STUDI DI BOLOGNA

1 Lo Sportello Unico e la comunicazione Arezzo, 27 gennaio 2005.

Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi

17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.

Direzione Attività Produttive, Formazione Professionale, Lavoro e Sistemi Contabili Prospetto Disabili Web (SISL) FORMAZIONE ALLE AZIENDE Verbano – Cusio.

Posta Certificata Cosè e come funziona: valore legale, applicazioni e prove pratiche di invio e ricezione. Posta Certificata Cosè e come funziona: valore.

La nuova Intranet della Provincia di Ferrara e l’innovazione dei processi interni Ludovica Baraldi Bologna, 25 maggio 2006.

2 3 4 RISERVATEZZA INTEGRITA DISPONIBILITA 5 6.

Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.

Modulo 7 – reti informatiche u.d. 2 (syllabus – )

Ottobre 2006 – Pag. 1

MACCHINARI SICURI WORKSHOP FASCICOLO TECNICO E ANALISI DEI RISCHI

Guida IIS 6 A cura di Nicola Del Re.

ISOIVA (LOCALE) TO ISOIVA (WEB) RIPARTIZIONE INFORMATICA UFFICIO APPLICATIVI AMMINISTRATIVI 13/04/2011 UNIVERSITÀ DEGLI STUDI DI FERRARA 1.

Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)

Scheda Ente Ente Privato Ente Pubblico. 2ROL - Richieste On Line.

1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)

1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.

Milano, 13 febbraio 2003 Trattamento dei dati e sicurezza.

Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.

Fondamenti delle Reti di Computer Seconda parte Carasco 15/04/2010.

AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.

Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.

Il Servizio Telematico Doganale

Configurazione di una rete Windows

Il sistema informatizzato di incident reporting Il punto di vista del facilitatore Michela Tanzini Centro Gestione Rischio Clinico e Sicurezza del Paziente.

1 Portale dei Tirocini. 2 Obiettivi del servizio Il servizio è rivolto a tutti coloro che, a vario titolo e per le rispettive competenze, esercitano funzioni.

Claudio Telmon - Strumenti di difesa -1 © Claudio Telmon, 1999 Le tecnologie per la difesa Claudio Telmon Claudio Telmon.

lun mar mer gio ven SAB DOM FEBBRAIO.

Salotto MIX 2014 "La sicurezza di Internet in Italia: rischi, resilienza e fragilità" Milano, 25 Novembre 2014.

SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.

La Conservazione Sostitutiva e la Soluzione Una-Doc.

Realizzato da: Bosco Maria Angela La Sicurezza informatica.

La sicurezza dei sistemi informatici. Il sistema deve soddisfare i seguenti requisiti di sicurezza (CIANA)  Confidenzialità (Riservatezza)  Integrità.

Tecnologie dell'informazione e della comunicazione - Stacey S. Sawyer, Brian K. Williams Copyright © The McGraw-Hill Companies srl “Le sfide dell’era.

UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.

INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.

LA SICUREZZA NEL SISTEMA PUBBLICO DI CONNETTIVITA’ Ing. Mario Terranova Responsabile Ufficio Servizi Sicurezza e Certificazione Centro Nazionale per l’Informatica.

Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.

Sicurezza e attacchi informatici

Cloud SIA V anno.

I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.

TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA.

1 Prof. Stefano Bistarelli Dipartimento di Scienze e-government: oggi.

Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.

ECDL European Computer Driving Licence

31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.

12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.

M ANUALE R IVIERE 2015 CARMELO GARREFFA Il piano della sicurezza Centroservizi S.r.l. – Società di Servizi dell’Unione Industriali di Savona.

Direzione Attività Produttive, Formazione Professionale, Lavoro e Sistemi Contabili Prospetto Disabili Web (SISL) FORMAZIONE ALLE AZIENDE Alessandria,

Eprogram SIA V anno. La sicurezza informatica Sicurezza Con la diffusione dei computer e della rete Internet, il problema della sicurezza nei sistemi.

La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.

LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.

La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.

Transcript della presentazione:

LA SICUREZZA NELLA RETE UNITARIA Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione LA SICUREZZA NELLA RETE UNITARIA Mario Terranova Centro Tecnico per la Rete Unitaria della PA V. Isonzo, 21b m.terranova@ct.rupa.it Scuola Superiore della Pubblica Amministrazione 12 dicembre 2000

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire l’integrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

LA SICUREZZA:UNA MODA (COSTOSA)? 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione DOVE È IL NEMICO? All’esterno difesa del perimetro (firewall) protezione dell’Extranet (VPN) All’interno protezione delle risorse autenticazione forte Ovunque protezione delle applicazioni 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione TIPOLOGIE DI ATTACCO IP spoofing / shadow server qualcuno si sostituisce ad un host Packet sniffing si leggono password di accesso e/o dati riservati Connection hijacking / data spoofing si inseriscono / modificano dati durante il loro transito in rete Alterazioni del software virus e cavalli di troia Denial-of-service si impedisce il funzionamento di un servizio sovraccaricandolo o mandandolo in errore 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

OBIETTIVI DELLASICUREZZA INFORMATICA (ISO/IEC TR13335-1) Affidabilità Disponibilità Riservatezza Integrità Imputabilità Autenticità 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione AFFIDABILITÀ Il sistema deve sempre comportarsi in modo conforme alle specifiche. Il comportamento del sistema è prevedibile anche in presenza di guasti e in caso di valori errati dei dati. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione DISPONIBILITÁ Il sistema deve rendere disponibili a ciascun utente abilitato le informazioni alle quali ha diritto di accedere, nei tempi e nei modi previsti. Nei sistemi informatici, i requisiti di disponibilità sono legati anche a quelli di prestazione e di robustezza. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione RISERVATEZZA Nessun utente deve poter ottenere o dedurre dal sistema informazioni che non è autorizzato a conoscere. Il fatto stesso che una informazione risulti protetta, o che esista una comunicazione in atto fra due utenti o processi in un certo contesto, può essere sufficiente per dedurre informazioni riservate. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione INTEGRITÀ Il sistema deve impedire la alterazione diretta o indiretta delle informazioni, sia da parte di utenti e processi non autorizzati, che a seguito di eventi accidentali. Anche la perdita di dati (e.g. a seguito di cancellazione o danneggiamento), viene considerata come alterazione. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione IMPUTABILITÀ Deve sempre essere possibile risalire all’entità che ha eseguito una specifica azione. Il sistema deve provvedere alla registrazione degli eventi significativi e proteggere le registrazioni dalle manomissioni. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

Sono il Credito Informatico L’AUTENTICAZIONE CREDITO INFORMATICO Sono Mario Sono il Credito Informatico GIOVANNI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

LA PIRAMIDE DELLA SICUREZZA autenticazione autorizzazione riservatezza integrità log INFORMAZIONI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione LA PIRAMIDE REALE autenticazione autorizzazione riservatezza integrità log INFORMAZIONI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

LA RIVOLUZIONE COPERNICANA Web e-mail accesso remoto VPN documenti informatici PKI X.509 pagamenti sistemi operativi accesso risorse codice malizioso telelavoro SISTEMA APPLICAZIONI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione LE VULNERABILITÀ Elementi presenti nel sistema che possono essere sfruttati per condurre un attacco. Tecnologiche Errori del software Difetti di configurazione ... Procedurali Password sotto il tappetino Spedizione combinata di smart-card e pin 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione LE CONTROMISURE Azioni in grado di ridurre la possibilità che una vulnerabilità possa essere sfruttata per condurre un attacco. Fisiche Locali ad accesso controllato Sistemi di allarme ... Logiche ACL Crittografia … Procedurali Accesso combinato 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione LE VERIFICHE Controllo della configurazione Rispetto delle procedure Analisi delle minacce Test di impenetrabilità 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

ORGANIZZAZIONE PER LA SICUREZZA Politica per la sicurezza Analisi del rischio Gestione del rischio Individuazione precisa di compiti e responsabilità Separazione tra responsabile della sicurezza e delle verifiche Procedure di gestione degli incidenti 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione UN PROCESSO DINAMICO Evoluzione delle strategie di attacco Disponibilità di strumenti innovativi per contrastare gli attacchi Incidenti di sicurezza Analisi rischio Attuazione misure Verifica sicurezza 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire l’integrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

STRUTTURA PER LA SICUREZZA Due livelli distinti: Trasporto ed Interoperabilità Strutture organizzative per la sicurezza in ciascun livello Controllo e supervisione esercitata dalla struttura per la sicurezza del Centro Tecnico attraverso: Revisione dei Piani per la sicurezza Audit Test 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

SICUREZZA DEL TRASPORTO Trasparenza del CG-T rispetto ai flussi dei dati il CG-T ha solo funzioni di controllo e gestione della rete di trasporto i dati non attraversano il CG-T Protezioni fisiche e logiche del CG-T Protezioni fisiche e logiche degli apparati di rete Servizi di comunicazione sicura (IPSec) 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

SICUREZZA DELL’INTEROPERABILITÀ Garantire riservatezza ed integrità delle informazioni gestite ed in transito Impedire a terzi di accedere o modificare dati e risorse di pertinenza delle Amministrazioni Impedire a personale interno e delle Amministrazioni di accedere o modificare dati e risorse senza averne autorizzazione Indirizzare al corretto destinatario le informazioni gestite 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione PROTEZIONE FISICA Controllo accessi con autenticazione multipla: Smart card individuale PIN Elementi biometrici Sorveglianza del perimetro e dei varchi tramite sistema di videocontrollo con registrazione continua Allarme perimetrale con sistema combinato motion detector, barriera microonde, infrarosso attivo/passivo, antisfondamento Sistema di allarme connesso al presidio di sicurezza 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione PROTEZIONE LOGICA Profili differenziati di accesso ai sistemi ACL sugli apparati di rete Autenticazione forte degli utenti privilegiati con one-time-password Antivirus Sistemi di rilevazione delle intrusioni Protezione dei log Correlazione eventi 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione ANALISI DEL RISCHIO Esecuzione dell’analisi del rischio: In fase di progettazione Su base annua In seguito a gravi incidenti di sicurezza Tre metodi di calcolo: Riduzione del rischio su parametri BS-7799 Riduzione del rischio su parametri tecnologici Efficacia delle barriere su modello topologico 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

ESERCIZIO DEI DISPOSITIVI DI SICUREZZA Attività investigative periodiche Procedura di controllo dei log amministrative ordinarie accesso risorse logiche gestione incidenti Procedura gestione allarmi fisiche Report periodico sullo stato della sicurezza 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

VERIFICHE DI SICUREZZA Procedura di audit Attività di Auditing Procedura test ciclici di impenetrabilità Risk Management conduzione analisi del rischio Procedura classificazione lista app. critiche Report periodico sullo stato della sicurezza discrezionali di 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

TEST DI IMPENETRABILITÀ Esecuzione periodica di test di impenetrabilità Sul sistema nel suo complesso da: Internet Domini delle amministrazioni Su singole macchine dalla stessa subnet Impiego di strumenti commerciali e public domain per analisi della sicurezza globale e delle singole applicazioni Test condotti sia dal Centro Tecnico che da ditte specializzate 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire l’integrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione CONCLUSIONI La sicurezza è il risultato di: misure tecnologiche, procedurali ed organizzative processo continuo di analisi e verifica 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione