Il ruolo dei LVS nella sicurezza di prodotti e sistemi ICT

Slides:



Advertisements
Presentazioni simili
Energie Alternative un'opportunità per il privato e l'impresa
Advertisements

Seminario: "La nuova frontiera della sicurezza: i sistemi di gestione"
A che punto siamo in Italia
Informatica II – Basi di Dati (08/09) – Parte 1
Certificazioni Infrastrutture IT di Telecom Italia
CENTRO RETE QUALITA' UMBRA
20/04/2006 COO-RU- Organizzazione Operativa 1 STRUTTURE SIN/ELI Struttura organizzativa COO/RU – Organizzazione Operativa 12 settembre 2007.
La progettazione secondo la norma internazionale ISO 9001
Ministero dell’Istruzione, dell’Università e della Ricerca
SMAU 2002 Ministero delle Comunicazioni ISTITUTO SUPERIORE C.T.I. - Ufficio 7° Viale America, Roma Lo Schema di valutazione e certificazione.
Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008
AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.
16/17 Novembre 2007 Hotel de Ville,Avellino Il Governo clinico nel paziente cardiopatico cronico Franco Ingrillì Centro di riferimento Regionale per lo.
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
La certificazione della sicurezza ICT nella PA
CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
Gestione della Qualità
Il ciclo di vita della progettazione di un sistema informativo
VALUTAZIONE DEI RISCHI
LA CERTIFICAZIONE SECONDO LA NORMA VISION 2000
Area: la gestione dei progetti complessi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
Control and Risk Self Assessment – CRSA. Il caso Telecom.
Seminario Costruire e premiare la qualità della scuola nellottica della riforma Roma maggio 2004 Esperienze di Qualità nella regione Veneto
05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.
1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.
FONDAMENTI DI INFORMATICA III A2A2-1 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO Argomento 2 Approfondimento 2 CARATTERISTICHE E MODELLIZZAZIONE.
Con la collaborazione di E3 S.r.l.. Le linee guida del Progetto.
1 Dai principi all'effettiva misurazione e valutazione dei risultati Giornata della trasparenza – CCIAA Prato 19 luglio 2012.
POLO (vecchio modello)
Gaetano Santucci Centro Nazionale per l’Informatica
Posta Certificata Cosè e come funziona: valore legale, applicazioni e prove pratiche di invio e ricezione. Posta Certificata Cosè e come funziona: valore.
Fascicolo tecnico e dichiarazione di conformità
Stabilire un legame molto stretto tra
La progettazione di un sistema informatico
ISTITUTO COMPRENSIVO “RONCALLI – GALILEI”- PISTOIA
senza l’autorizzazione scritta della società X-Consulting Srl
LA QUALITA’ NELLA PROGRAMMAZIONE DELL’ESERCIZIO
1 Quale e-learning per lintegrazione dei sistemi e lo sviluppo della qualità Marianna Forleo Area Sperimentazione Formativa ISFOL.
Lo sviluppo del progetto informatico
Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.
Certificazioni di Sicurezza Informatica”
La consulenza aziendale nella PAC 2014/2020: prospettive
Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.
Fasi di progetto di SI Impostazione strategica e di disegno concettuale Implementazione Utilizzo e monitoraggio.
Esercitazioni di Ingegneria del Software con UML
Ogni cosa che facciamo influisce sull’ambiente
U.O.C. DIREZIONE TECNICA PATRIMONIALE SERVIZIO DI MANUTENZIONE LA MANUTENZIONE NELLA AUSL RIETI.
WorkshopBIOTEC Workshop BIOTEC La qualità alimentare La qualità alimentare La relazione tra alimentazione salute e ambiente 13 Maggio 2004 S. Canese BIOTEC-AGRO.
ROMA 13 Maggio 2005 Sessione Sicurezza L’esperienza del Sistema Agenziale Sessione Sicurezza L’esperienza del Sistema Agenziale Gli strumenti di gestione:
1 Torino - Settembre 2005 Definizione dei contratti di fornitura ICT Aurora Girolamo Partecipante al gruppo di lavoro Convegno Confindustria - CNIPA La.
Master MATITCiclo di vita del Sistema Informativo1 CICLO DI VITA DEL SISTEMA INFORMATIVO.
TECNOLOGIE DELL’INFORMAZIONE E DELLA COMUNICAZIONE PER LE AZIENDE Materiale di supporto alla didattica.
Le norme ISO 9000 ed il Manuale della Qualità
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
ECONOMIA AZIENDALE E GESTIONE DELLE IMPRESE LEZIONE IV PRODUZIONE E QUALITÀ PRODUZIONE E QUALITÀ LUCIO DEL BIANCO ANNO ACCADEMICO
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
L’assicurazione di qualità nel Quadro del Processo di Bologna Carla Salvaterra Trieste 15 dicembre 2007.
Progetto Speciale Multiasse “Sistema Sapere e Crescita” P.O. FSE Abruzzo Piano degli interventi Intervento A) promozione della conoscenza.
IPSIA A. Ferrari - Maranello
ALTERNANZA SCUOLA LAVORO E IMPRESA FORMATIVA SIMULATA MILANO 24 NOVEMBRE 2011.
AISL_O: missione ed obiettivi OSSERVATORIO * E’ UN OSSERVATORIO INTERDISCIPLINARE SULLE DINAMICHE IN ATTO NELLE VARIEGATE REALTA’ ORGANIZZATIVE L’OBIETTIVO.
L’EQDL: Realizzazione degli Esami-on line sul modello ECDL 11 ottobre 2012 Rosario Cristaldi Responsabile ECDL Campania.
Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.
Obiettivi di progetto Gli obiettivi di un progetto sono sintetizzati con l’acronimo S.M.A.R.T. (Types of performance, developmental, and special project.
IL PROCESSO SOFTWARE EMERSO DALLA DOCUMENTAZIONE.
Management e Certificazione della Qualità Prof. Alessandro Ruggieri.
Prof.ssa Cecilia Silvestri - A.A. 2014/2015. Punti Norma ISO 9001 Prof.ssa Cecilia Silvestri - A.A. 2014/2015.
Tecniche di Gestione della Qualità Prof. Alessandro Ruggieri Prof. Enrico Mosconi A.A
Prof.ssa Cecilia Silvestri - A.A. 2014/2015. Certificazioni Iso Accredia Iter di Certificazione Prof.ssa Cecilia Silvestri - A.A. 2014/2015.
Transcript della presentazione:

Il ruolo dei LVS nella sicurezza di prodotti e sistemi ICT Franco Soresina Responsabile del Laboratorio

Concetto di sicurezza aziendale “Studio, sviluppo e attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa che possano danneggiare le risorse materiali, immateriali, organizzative ed umane di cui l’azienda dispone o di cui necessita per garantirsi un’adeguata capacità concorrenziale nel breve, nel medio e nel lungo termine.” Definizione di security aziendale tratta dalla norma UNI 10459, punto 3.1

Principali componenti Sicurezza delle attività, dei processi, dell’organizzazione Sicurezza dei prodotti e dei sistemi informatici Sicurezza fisica Competenza del personale addetto alla sicurezza Diffusione della cultura della sicurezza Informazione Formazione

Principi per la sicurezza delle informazioni 1. Quali informazioni? 2. La sicurezza dei processi 3. La sicurezza di prodotti e sistemi informatici 4. La sicurezza fisica 5. La competenza del personale addetto 6. La diffusione della cultura della sicurezza 7. Conformità agli Standard più diffusi 8. Il miglioramento continuo SI Roma, 22 maggio 2006

Riferimenti a Standard Sicurezza organizzativa: ISO/IEC 27001 Sicurezza prodotti e sistemi informatici: ISO/IEC 15408 Sicurezza fisica: omologazioni, conformità, certificazioni di impianto Competenza del personale: certificazioni relative al personale (CISA, CISSP, CISM, ….)

Standard ISO/IEC 15408 (Common Criteria) I Common Crieria sono uno strumento per definire i requisiti di sicurezza di prodotti (HW e SW) e sistemi ICT. Essi forniscono: una metodica con cui valutare la consistenza, la congruenza, la completezza di requisiti di sicurezza messi a punto per specifici sistemi informatici o per classi di sistemi; i criteri d’esplicitazione dei processi di accertamento con cui si acclara la sicurezza di sistemi informatici approntati a fronte di specifiche note a priori.

Common Criteria Con i CC risulta possibile approntare due differenti classi di documenti: Protection Profile (PP) con cui esprimere la sicurezza attesa da un prodotto/sistema (tipicamente ancora da approntare) finalizzato all’erogazione di un servizio ICT Security Target (ST) con cui asserire la sicurezza offerta da un prodotto/sistema (tipicamente già disponibile) per l’erogazione di un servizio

Atto costitutivo degli LVS Lo “Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell'informazione” ha istituito l’Organismo di Certificazione della Sicurezza informatica (OCSI) come unico Ente autorizzato a Certificare prodotti e sistemi IT ha definito i requisiti organizzativi e di competenza per accreditare i Laboratori di Valutazione della Sicurezza, abilitati ad accompagnare i processi di Certificazione ha creato le figure professionali di Valutatore e di Assistente, abilitate ad operare in un Laboratorio Oggi in Italia abbiamo 6 Laboratori accreditati all’OCSI

Principali attività di un LVS Possiamo distinguere due tipologie di attività: Attività legate al processo di Certificazione, guidate e controllate dall’OCSI Attività legate alla valutazione dei livelli di sicurezza di prodotti informatici e di sistemi ICT nell’ambiente di utilizzo, non soggette alla guida ed al controllo dell’OCSI

Valutazione del livello di sicurezza di un sistema IT 1/2 Il processo di valutazione del livello di sicurezza di un sistema IT, nell’ambiente di utilizzo, prevede le seguenti fasi: Rilevazione e descrizione delle componenti del sistema: vengono rilevate tutte le componenti hardware e software del sistema preso in esame, lo schema architetturale, i collegamenti, le interrelazioni fra le componenti, i flussi di utilizzo Definizione dei requisiti di sicurezza: unitamente ai Responsabili del Committente vengono definiti i requisiti di sicurezza che il sistema deve soddisfare

Valutazione del livello di sicurezza di un sistema IT 2/2 Identificazione delle componenti del sistema interessate ai requisiti di sicurezza: devono essere identificate le componenti hw e sw del sistema impattate dai requisiti di sicurezza che si vogliono applicare, con l’evidenza delle interrelazioni ed integrazione delle stesse componenti (in pratica si delimita un sottosistema funzionale) Risk management: vengono identificate le funzioni di sicurezza già implementate, vengono effettuate verifiche di vulnerabilità e viene definito il piano di trattamento dei rischi Piano di mantenimento: si definiscono le attività atte a mantenere il livello di sicurezza richiesto e raggiunto, specificando le modalità di esecuzione e gli intervalli di tempo entro cui devono essere svolte

Prodotto della valutazione Il prodotto dell’attività di valutazione è un documento consistente e di alto valore, che può costituire la base di un Manuale, che verrà successivamente implementato con tutte le azioni inerenti la sicurezza: installazione di nuovi prodotti installazione di patch o di nuovi release risultati dei test di vulnerabilità effettuati periodicamente cambiamenti nell’ambiente di utilizzo cambiamenti dei requisiti di sicurezza risultati di attività di valutazione di mantenimento (si consiglia verifiche semestrali o annuali)

Processo di Certificazione Il processo di Certificazione si innesta sulle attività di valutazione sopra descritte, con un primo passo consistente in un esame di certificabilità, svolto in congiunzione con l’OCSI, basato sull’identificazione dell’ODV, sui requisiti di sicurezza e sul livello di attestazione richiesto (EALx). Superato questo passo le attività principali consistono nella: Stesura del Security Target, ovvero la definizione delle funzioni di sicurezza utilizzando il linguaggio dei Common Criteria (in alternativa l’analoga attività prevista da ITSEC) Effettuazione delle opportune attività di valutazione Raccolta, catalogazione e verifica della documentazione per la Certificazione Assistenza alla Certificazione

Valore aggiunto di un Laboratorio L’accreditamento del Laboratorio, necessario ed indispensabile per il processo di Certificazione, garantisce ai Committenti, anche per l’effettuazione di attività indipendenti di valutazione, competenza ed autorevolezza verificata ed attestata, oltre alla capacità di garantire l’imparzialità, l’indipendenza, la riservatezza e l’obiettività, come base del processo di valutazione

La sicurezza del software L’utilizzo di un modello di gestione della sicurezza nel Ciclo di Sviluppo del Software permette di: Istituire un programma di sensibilizzazione Effettuare verifiche applicative Comprendere i requisiti di sicurezza Implementare pratiche di programmazione sicura Costruire procedure di risoluzione di vulnerabilità Definire delle metriche e monitorarle Definire linee guida di sicurezza operativa

Applicazione del modello Analisi: analisi dei requisiti di sicurezza, analisi dei rischi, identificazione delle minacce, analisi delle probabilità di impatto delle minacce, casi di abuso e UML per la sicurezza del software, linee guida sull'usabilità del software, analisi tradizionale nel SDLC; Progettazione: analisi dei rischi, UML per la sicurezza del software, linee guida sull'usabilità del software, progettazione tradizionale nel SDLC; Sviluppo: programmazione sicura del codice, test di sicurezza basati sull'analisi dei rischi, analisi statica del codice, sviluppo tradizionale nel SDLC; Test: analisi dei rischi, penetration test (approccio blackbox o code review), mitigazione dei rischi, test tradizionali nel SDLC; Manutenzione: analisi dei rischi, penetration test, manutenzione tradizionale nel SDLC.

In sintesi … L'introduzione di un modello di gestione della sicurezza nel processo di sviluppo del software: Migliora la robustezza e la qualità del software Minimizza i costi di gestione a lungo termine Aumenta la consapevolezza di tutti gli attori coinvolti

Altre attività del Laboratorio Technis Il Laboratorio può aiutare il Committente nella scrittura di Capitolati di Gara, integrando le specifiche funzionali oggetto di fornitura, con le specifiche di sicurezza che si ritengono necessarie. Questo è particolarmente importante quando l’oggetto del capitolato è la produzione di software, per il quale sovente si tralascia di indicare le funzioni di impiegabilità: esercibilità, mantenibilità, affidabilità, robustezza, ecc. Il Laboratorio può inoltre effettuare collaudi sulle funzioni sopra citate

Altre attività: partnership Il Laboratorio Technis può essere un partner importante per altri fornitori, in quanto porta un contributo di forte competenza, supportato dalla credibilità derivante dall’accreditamento e dall’utilizzo di uno standard (Common Criteria) riconosciuto a livello internazionale ed ampiamente utilizzato dai maggiori produttori mondiali.

Altre attività: Formazione Il Laboratorio Technis può effettuare corsi di formazione specialistici per mettere in grado personale sia dell’utente sia del fornitore, di scrivere Protection Profile e Security Target, secondo il linguaggio dei Common Criteria.