Convegno Il fattore sicurezza La valutazione della sicurezza dei sistemi IT (Common Criteria - ISO 15408) Ing. Piero Giagnoni Milano, 4 dicembre 2001.

Slides:



Advertisements
Presentazioni simili
Informatica II – Basi di Dati (08/09) – Parte 1
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
1 t Mobilità internazionale e conversione dei voti Maria Sticchi Damiani Università della Calabria 8 febbraio 2013.
ECTS: la conversione dei voti Maria Sticchi Damiani Parte IV Conservatorio di Musica “N. Paganini” Genova, 2 maggio
Process synchronization
La progettazione secondo la norma internazionale ISO 9001
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
1 DECRETO LEGISLATIVO 626/94 19 SETTEMBRE 1994 MODIFICHE ED INTEGRAZIONI DECRETO LEGISLATIVO 242/96 19 MARZO 1996 CORSO DI FORMAZIONE ED INFORMAZIONE IN.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
L. De Benedetti: Contributo operativo alla redazione del manuale 1 Dibattito guidato sulle problematiche nella redazione del Manuale Qualità nei laboratori.
OLTRE LA DIRETTIVA 2007/47 Un analisi di Eucomed sul futuro sistema regolatorio per i Dispositivi Medici Ing. Dario Pirovano Regulatory Affairs - Eucomed.
Sistema Gestione Progetti
Le misure per la qualità dellistruzione e della formazione in Italia e in Europa: un approfondimento sullautovalutazione Monza, 19 settembre 2006 Ismene.
18/06/08 InterPro – Interoperabilità di Protocollo Walter Volpi Regione Toscana Livorno - 4 luglio 2008.
La certificazione della sicurezza ICT nella PA
Gestione della Qualità
Politecnico di Milano Algoritmi e Architetture per la Protezione dellInformazione Multichannel Adaptive Information Systems Paolo Maistri Dipartimento.
DIPARTIMENTO DI ELETTRONICA E INFORMAZIONE Puntatori Marco D. Santambrogio – Ver. aggiornata al 21 Marzo 2013.
1 Corso di Laurea in Biotecnologie Informatica (Programmazione) Problemi e algoritmi Anno Accademico 2009/2010.
LA CERTIFICAZIONE SECONDO LA NORMA VISION 2000
CONTROLLO DI SUPPLY CHAIN MEDIANTE TECNICHE H-INFINITO E NEGOZIAZIONE
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.
UNIONE GIOVANI DOTTORI COMMERCIALISTI ED ESPERTI CONTABILI DI BARI E TRANI LA REVISIONE LEGALE NEL D.LGS Lucidi a cura del Prof R Bauer.
Il marketing: costruire una relazione profittevole con il cliente
PROGETTO ORIENTA - INSIEME 3
IMQ :PROVE E CONTROLLI PER LA QUALITA' E LA SICUREZZA 1 PROCEDURE DI VALUTAZIONE DELLA CONFORMITA : DIRETTIVA DI BASSA TENSIONE NOTA : presentazione realizzata.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
2 3 4 RISERVATEZZA INTEGRITA DISPONIBILITA 5 6.
LItalia vista dallEuropa Considerazioni su uno studio comparativo delleducazione matematica in Europa Periodico di Matematiche Biagio Beatrice
Il ruolo dei LVS nella sicurezza di prodotti e sistemi ICT
MACCHINARI SICURI WORKSHOP FASCICOLO TECNICO E ANALISI DEI RISCHI
Scheda Ente Ente Privato Ente Pubblico. 2ROL - Richieste On Line.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.
Certificazioni di Sicurezza Informatica”
1. Vostro figlio/a viene volentieri a scuola?. 2. Lofferta formativa della scuola frequentata da suo figlio/a risponde alle aspettative della sua famiglia?
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
1 Questionario di soddisfazione ATA - a. sc. 2008/09 Il questionario è stato somministrato nel mese di aprile Sono stati restituiti 29 questionari.
La tabella dei voti ECTS Maria Sticchi Damiani Sapienza, Roma 26 settembre
IN OGNI LUOGO, IN OGNI TEMPO… CON MINIMI VINCOLI TECNOLOGICI… DISPONIBILITA’ DELL’ INFORMAZIONE… IN OGNI LUOGO, IN OGNI TEMPO… CON MINIMI VINCOLI.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.
1 Ly-LAB Sistema di gestione dei dati analitici di laboratorio.
Capitolo 3 Strutture dati elementari Algoritmi e Strutture Dati Camil Demetrescu, Irene Finocchi, Giuseppe F. Italiano.
Project Management La programmazione della produzione Ing
Un problema importante
Ministro per lInnovazione e le Tecnologie REGIONE SICILIANA IL FORMULARIO RETI CIVICHE dott. Gianluca Currao 02 febbraio 2005 – Provincia Regionale di.
1 Guida per linsegnamento nei corsi per il conseguimento del CERTIFICATO DI IDONEITÀ ALLA GUIDA DEL CICLOMOTORE.
Atzeni, Ceri, Paraboschi, Torlone Basi di dati McGraw-Hill,
Bando Pittori e Scultori in Piemonte alla metà del ‘700
Emilio Clemente Responsabile Settore Metrologia Legale della Camera di Commercio di Genova Verona, 29 maggio 2014.
La qualità nell’istruzione superiore europea Carla Salvaterra Incontro di approfondimento sul processo di Bologna Roma maggio
COMETA A cura di: R. Leo18/04/02A cura di: R. Leo Sistema Qualità ISO 9001:2000.
Diagramma delle Classi
Lucia Melotti 1/14 Bologna, 7 luglio 2004 Aspetti di sicurezza nello scambio di messaggi XML tra un partner ebXML ed un Web Service di Lucia Melotti Relatore:
L’Open Source per i flussi documentali Roma - Piazza Cardelli, 3 giugno 2004 Provincia di Prato 1.
Le norme ISO 9000 ed il Manuale della Qualità
Progettazione e realizzazione di un’applicazione J2EE Parte 2.
L’assicurazione di qualità nel Quadro del Processo di Bologna Carla Salvaterra Trieste 15 dicembre 2007.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Cloud SIA V anno.
ECDL European Computer Driving Licence
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.
Transcript della presentazione:

Convegno Il fattore sicurezza La valutazione della sicurezza dei sistemi IT (Common Criteria - ISO 15408) Ing. Piero Giagnoni Milano, 4 dicembre 2001

Convegno Il fattore sicurezza slide n. 2 Catena evolutiva dello standard ISO TSEC USA 1991-ITSEC 1.2 UNIONE EUROPEA (Francia-Germania Olanda- Regno Unito) 1993-CTCPEC CANADA CC Canada Francia Germania Olanda Regno Unito USA CC ISO/IEC Standard Internazionale

Convegno Il fattore sicurezza slide n. 3 vogliono preservare i loro Titolari Beni Scenario di riferimento della Sicurezza

Convegno Il fattore sicurezza slide n. 4 vogliono preservare i loro mirano a dar luogo ad abusi o danneggiamenti sui Titolari Beni Agenti Malevoli Scenario di riferimento della Sicurezza danno luogo a sui Minacce

Convegno Il fattore sicurezza slide n. 5 vogliono preservare i loro incorsi dai che ingenerano i che aumentano i danno luogo a sui che sfruttano mirano a dar luogo ad abusi o danneggiamenti sui Sono coscienti di Titolari Vulnerabilità Pericoli MinacceBeni Agenti Malevoli Scenario di riferimento della Sicurezza

Convegno Il fattore sicurezza slide n. 6 vogliono minimizzare i vogliono preservare i loro incorsi dai che ingenerano i che aumentano i danno luogo a sui che sfruttano mirano a dar luogo ad abusi o danneggiamenti sui Sono coscienti di Titolari Vulnerabilità Pericoli MinacceBeni Agenti Malevoli Scenario di riferimento della Sicurezza

Convegno Il fattore sicurezza slide n. 7 vogliono minimizzare i vogliono preservare i loro realizzano incorsi dai per ridurre i che ingenerano i che aumentano i danno luogo a sui che sfruttano mirano a dar luogo ad abusi o danneggiamenti sui Sono coscienti di riducibili da Titolari Contromisure Vulnerabilità Pericoli MinacceBeni Agenti Malevoli Scenario di riferimento della Sicurezza

Convegno Il fattore sicurezza slide n. 8 vogliono minimizzare i vogliono preservare i loro realizzano incorsi dai per ridurre i che ingenerano i che aumentano i danno luogo a sui che sfruttano mirano a dar luogo ad abusi o danneggiamenti sui Sono coscienti di riducibili da Titolari Contromisure Vulnerabilità Pericoli MinacceBeni Agenti Malevoli Scenario di riferimento della Sicurezza

Convegno Il fattore sicurezza slide n. 9 Contesto della Sicurezza nellIT TARGET OF EVALUATION ( TOE ) = Informazioni disseminate su supporti informatici = Infrastrutture informatiche finalizzate allerogazione dei servizi Pericoli = Accessi indebiti e corruzioni sulle informazioni accudite = Perturbazioni sui servizi che sintende erogare Contromisure = Protezioni garantite: dai sistemi IT dalle logistiche di installazione dalle operatività degli addetti

Convegno Il fattore sicurezza slide n. 10 Attori coinvolti nella sicurezza IT Valutatori Sviluppatori dei sistemi Implementatori dei processi operativi Consumatori Fruitori dei servizi erogati dai TOE

Convegno Il fattore sicurezza slide n. 11 Documento di specifica rapportato ad uno specifico TOE, inclusivo della sua implementazione tecnologica Documento di specifica rapportato ad un archetipo di TOE realizzabile in diverse maniere e visto in termini indipendenti dalle sue possibili implementazioni Protection ProfileSecurity Target Protection Profile e Security Target Protection Profile Security Target SISTEMI ANCORA DA REALIZZARE DI CUI SI DEFINISCONO I REQUISITI SISTEMI REALIZZATI DI CUI SI VALUTA LA CONFORMITA AI REQUISITI SPECIFICATI

Convegno Il fattore sicurezza slide n. 12 COMMON CRITERIA (ISO 15408) e ISO danno per scontate le procedure di gestione sicura e richiedono che siano esplicitate Esplicitano i requisiti di gestione sicura da per scontati i requisiti di gestione sicura e richiede che siano esplicitati Esplicitano le procedure di gestione sicura INTRINSECA COMPLEMENTARIETA

Convegno Il fattore sicurezza slide n. 13 Classi delle funzioni di sicurezza FAUAudit della sicurezza FCOComunicazioni FCSSupporti crittografici FDPProtezione dei dati utente FIAIdentificazione ed autenticazione FTMGestione della sicurezza FPRPrivatezza FTPProtezione delle funzioni di sicurezza FRUUtilizzazione delle risorse FTAAccesso al TOE FTPPercorsi e canali accreditati

Convegno Il fattore sicurezza slide n. 14 Componenti funzionali delle funzioni di sicurezza FAU FCO FCS FDP FIA FTM FPR FTP FRU FTA FTP I requisiti funzionali sono espressi facendo riferimento tassonomia ad una tassonomia (elenco strutturato) di componenti funzionali viene pertanto estratto un insieme di componenti funzionali, operando una personalizzazione

Convegno Il fattore sicurezza slide n Componenti funzionali delle funzioni di sicurezza FDP_ACC Access Control Policy FDP_ACF Access Control Functions FDP_DAU Data authentication FDP_ETC Export to outside TSF control FDP_IFC Information flow control policy FDP_IFF Information flow control functions FDP_ITC Import from outside TSF control FDP_ITT Internal TOE trnsfer FDP_RIP Residual information protection FDP_ROL Rollback FDP_SDI Stored data integrity FDP_UCT Inter-TSF user data confidentiality transfer protection FDP_UIT Inter-TSF user data integrity transfer protection Class FDP User Data Protection

Convegno Il fattore sicurezza slide n. 16 Componenti funzionali delle funzioni di sicurezza Class FDP User Data Protection FDP_IFF Information flow control functions SIMPLE SECURITY ATTRIBUTES2 HIERARCHICAL SECURITY ATTRIBUTES 3 LIMIT ILLICIT INFORMATION FLOW 4 PARTIAL ELIMINATION ILLICIT INFORMATION FLOW 5 NO ILLICIT INFORMATION FLOW 6ILLICIT INFORMATION FLOW MONITORING

Convegno Il fattore sicurezza slide n. 17 Componenti funzionali delle funzioni di sicurezza Class FDP User Data Protection FDP_IFF Information flow control functions FDP_IFF.1.1 The TSF shall enforce the [assignment: information flow control SFP] based on the following types of subject and information security attributes: [assignment: the minimum number and type of security attributes]. FDP_IFF.1.2 The TSF shall permit an information flow between a controlled subject and controlled information via a controlled operation if the following rules hold: [assignment: for each operation, the security attribute- based relationship that must hold between subject and information security attributes]. FDP_IFF.1.3 The TSF shall enforce the [assignment: additional information flow control SFP rules]. FDP_IFF.1.4 The TFS shall provide the following [assignment: list of additional SFP capabilities]. FDP_IFF.1.5 The TSF shall esplicitly authorise an information flow based on the following rules: [assignment: rules, based on security attributes, that esplicitly authorise information flows]. FDP_IFF.1.6 The TSF shall esplicitly deny an information flow based on the following rules: [assignment: rules, based on security attributes, that esplicitly deny information flows]. FDP_IFF.1 Simple security attributes

Convegno Il fattore sicurezza slide n. 18 ACM ACMGestione della configurazione ADO ADORilascio ed esercizio ADV ADVSviluppo AGD AGDDocumenti guida ALC ALCSupporti al ciclo di vita ATE ATECollaudi AVA AVAVulnerabilità Classi di assicurazione

Convegno Il fattore sicurezza slide n. 19 Componenti delle classi di assicurazione ACM ADO ADV AGD ALC ATE AVA ad esempio ACM_CAP (capacità della gestione della configurazione) ACM_CAP-1 ACP_CAP-2 ACM_CAP-3 ACM_CAP-4 ACM_CAP-5 ACM (gestione della configurazione) La classe ACM si occupa della GESTIONE DELLA CONFIGURAZIONE La famiglia ACM_CAP traccia la verosimiglianza di modifiche non autorizzate o accidentali nellambito della GESTIONE DELLA CONFIGURAZIONE

Convegno Il fattore sicurezza slide n. 20 ACM_CAP.1 Numeri di versione Ogni TOE è dotato di un suo riferimento, unico e differente per ciascuna sua versione Il TOE è marcato con il suo codice riferimento. ACM_CAP.2 Elementi di configurazione Per la gestione delle configurazioni del TOE si impiega un sistema di gestione della configurazione. Ogni TOE è fornito della sua documentazione di gestione della configurazione che: include la lista di configurazione degli elementi del TOE; identifica in maniera univoca tutti gli elementi della configurazione; esplicita i metodi usati per perseguire i due punti precedenti. Componenti della classe ACM_CAP

Convegno Il fattore sicurezza slide n. 21 ACM_CAP.3 Controlli delle autorizzazioni Il piano di gestione della configurazione, incluso nella documentazione, descrive come il sistema di gestione della configurazione è impiegato. E fornita evidenza che il sistema di gestione della configurazione opera conformemente ai piani di gestione. La documentazione della gestione della configurazione fornisce evidenza che tutti gli elementi delle configurazioni sono effettivamente mantenuti sotto controllo. Il sistema di gestione della configurazione dà luogo solamente a modifiche autorizzate sugli elementi di configurazione. ACM_CAP.4 Supporti generali e procedure di accettazione La documentazione include le procedure di accettazione degli elementi nuovi o modificati del TOE. Il sistema di gestione della configurazione include le procedure di gestione del TOE. Continua... Componenti della classe ACM_CAP

Convegno Il fattore sicurezza slide n. 22 ACM_CAP.5 Supporti avanzati La gestione della configurazione include le procedure di integrazione del TOE. Le procedure di integrazioni descrivono come il sistema di gestione della configurazione è impiegato nel processo di approntamento del TOE. Il sistema di gestione della configurazione richiede che la persona responsabile della accettazione sotto configurazione di un elemento e chi ne ha curato lo sviluppo non coincidano. Il sistema di gestione della configurazione identifica in maniera chiara gli elementi di un TOE che ne costituiscono le TSF. Il sistema di gestione della configurazione supporta il tracciamento di tutte le modifiche del TOE, specificando, come minimo, nella sequenza di tracciamento, originatore, data ed ora. Il sistema di gestione della configurazione identifica la copia madre del materiale usato per generare il TOE. Continua... Componenti della classe ACM_CAP

Convegno Il fattore sicurezza slide n. 23 La documentazione dimostra che limpiego del sistema di gestione della configurazione, assieme alle misure di sicurezza adottate per gli sviluppi, consentono su un TOE solamente modifiche autorizzate. La documentazione del sistema di gestione della configurazione dimostra che limpiego delle procedure di integrazione garantisce che il TOE è generato in maniera corretta nei modi autorizzati. La documentazione dimostra che il sistema di gestione assicura che non ci sia frammistione tra le persone che accettano gli elementi sotto configurazione e quelle che li hanno sviluppati. La documentazione evidenzia che le procedure di accettazione forniscono un adeguato controllo delle modifiche introdotte negli elementi che concorrono alla configurazione. ACM_CAP.5 Supporti avanzati...Continua Componenti della classe ACM_CAP

Convegno Il fattore sicurezza slide n. 24 EAL1 EAL1: Collaudato a livello funzionale EAL2 EAL2: Collaudato a livello strutturale EAL3 EAL3: Collaudato e verificato in maniera metodica EAL4 EAL4: Progettato collaudato e revisionato in maniera metodica EAL5 EAL5: Progettato e collaudato in maniera semiformale EAL6 EAL6: Progetto semiformalizzato + collaudo EAL7 EAL7: Progetto formalizzato + collaudo Livelli di assicurazione

Convegno Il fattore sicurezza slide n. 25 AGD_ADM.1 AGD_USR.1 ADV_FSP.1 ADV_RCR.1 ATE_IND.1 ADO_IGS.1 Consegna ed esercizio Sviluppi Prove e collaudi Documenti di guida EAL1 Esempio di livello di assicurazione: EAL1 ACM_CAP.1 Gestione della configurazione Supporti per il ciclo di vita Assunti di vulnerabilità

Convegno Il fattore sicurezza slide n. 26 AGD_ADM.1 AGD_USR.1 ADV_FSP.2 ADV_HLD.2 ADV_IMP.1 ADV_LLD.1 ADV_RCR.1 ADV_SMP.1 ATE_DPT.1 ATE_FUN.1 ATE_IND.2 AVA_MSU.2 ADO_DEL.2 ADO_IGS.1 Consegna ed esercizio Sviluppi AVA_SOF.1 AVA_VLA.2 ATE_COV.2 Prove e collaudi ALC_DVS.1 ALC_LCD.1 ALC_TAT. 1 Supporti per il ciclo di vita Assunti di vulnerabilità Documenti di guida EAL4 Esempio di livello di assicurazione: EAL4 ACM_AUT.1 ACM_CAP.4 ACM_SCP.2 Gestione della configurazione

Convegno Il fattore sicurezza slide n. 27 AGD_ADM.1 AGD_USR.1 ADV_FSP.4 ADV_HLD.5 ADV_IMP.3 ADV_LLD.2 ADV_RCR.3 ADV_SMP.3 ATE_DPT.3 ATE_FUN.2 ATE_IND.2 AVA_MSU.3 ADO_DEL.3 ADO_IGS.1 Consegna ed esercizio Sviluppi AVA_SOF.1 AVA_VLA.4 ATE_COV.3 Prove e collaudi ALC_DVS.2 ALC_LCD.3 ALC_TAT.3 Supporti per il ciclo di vita Assunti di vulnerabilità Documenti di guida EAL7 Esempio di livello di assicurazione: EAL7 ACM_AUT.2 ACM_CAP.5 ACM_SCP.3 Gestione della configurazione AVA_CCA.2

Convegno Il fattore sicurezza slide n. 28 Conclusioni Lapplicazione dello standard ISO ad un sistema IT consente di: comparare i risultati di valutazioni di sicurezza indipendenti attraverso una rigida tassonomia dei REQUISITI DI SICUREZZA e una misurazione del livello di assicurazione della sicurezza di un sistema IT; stabilire, attraverso un PROCESSO DI VALUTAZIONE, un livello di confidenza che le FUNZIONI DI SICUREZZA, e le MISURE DEL LIVELLO di sicurezza, di quel sistema IT soddisfino quei REQUISITI; sviluppare le FUNZIONI DI SICUREZZA di sistemi IT complessi (che prendono il nome di TARGET OF EVALUATION (TOE) e includono ad es.: sistemi operativi, reti di computer, sistemi e applicazioni distribuite; considerare non solo le FUNZIONI DI SICUREZZA fondamentali per la CONFIDENZIALITA, INTEGRITA e DISPONIBILITA delle informazioni, ma anche tutte quelle che riguardano gli altri aspetti; LISO può essere impiegato con funzioni di sicurezza implementate indifferentemente in hadware, firmware o software

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.