Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.

Slides:



Advertisements
Presentazioni simili
A che punto siamo in Italia
Advertisements

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
E-GOVERNMENT IN FORTE CRESCITA IN ITALIA
Software aperto nella Pubblica Amministrazione: il progetto COSPA (Consorzio per lOpen Source nella P.A.)
0 Linformazione su misura: considerazioni dai Centri Ausili Informatici per la Disabilità della rete GLIC Massimo Guerreschi CENTRO AUSILI Ass. La Nostra.
Corso di INFORMATICA DI BASE
21 Marzo 2006"Le misure e le previsioni in acustica edilizia"1 Requisiti acustici passivi degli edifici - Elaborazione e presentazione dei dati - Enrico.
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
1 Modellare le infrastrutture critiche Giovedì 25 settembre 2008 Salvatore Tucci Presidente AIIC Ordinario di Calcolatori Elettronici Università di Roma.
I futuri scenari della sicurezza informatica Danilo Bruschi Dip. Informatica e Comunicazione Università degli Studi di Milano.
"3 Ellissi: Elementari" N. Secchi - S. Carlo Accesso allinformazione Costruttivismo in rete Comunicazione In rete Cooperazione In rete Le dimensioni.
Informazione ambientale e territoriale Sommario : Rilevanza dellinformazione ambientale e territoriale (qualificazione in termini di funzione amministrativa.
Environmental Legal TeamEnvironment and Beyond Centro Interdipartimentale REPROS Università degli Studi di Siena Corso di Perfezionamento, 12 maggio 2009.
UNIVERSITÀ DEGLI STUDI DI SIENA FACOLTÀ DI INGEGNERIA.
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
Seminario CNIPA – Roma 10 febbraio 2005 La Carta Nazionale dei Servizi ed il T-government – G. Manca La CNS: applicabilità, requisiti tecnici, aspetti.
Convegno CNIPA – Roma 23 novembre 2004 La biometria entra nelle-government – G. Manca La biometria entra nelle- government: Luso della biometria per laccesso.
Milano, 28 marzo 2001 La Qualità negli acquisti di beni e servizi ICT … unoccasione per le imprese Giuseppe Neri AITech-Assinform Parma, 28 novembre 2005.
Politecnico di Milano Algoritmi e Architetture per la Protezione dellInformazione Multichannel Adaptive Information Systems Paolo Maistri Dipartimento.
Breve storia della Registration Authority Italiana, curiosità ed alcune statistiche Franco Denoth
Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli.
VALUTAZIONE DEI RISCHI
INTERNET origine, evoluzione, aspetti chiave. LESPLOSIONE DI INTERNET host registrati - giugno 2005 [fonte: Internet Software Consortium]
Incontro Informativo per R.S.P.P. e Dirigenti Scolastici Istituti superiori Formazione alla sicurezza – percorsi integrati tra Scuola e Lavoro
LAMMINISTRAZIONE ELETTRONICA Lesempio francese Lucie Cluzel-Métayer Maître de conférences Université de Paris II – CERSA- CNRS.
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
14° Convegno Cnipa- Roma 11 aprile 2006 Rosanna Alterisio 1 La gestione documentale per lefficienza e la trasparenza Stato dellarte e opportunità Rosanna.
Conservazione Sostitutiva a Norma
Eredità culturale e nuove tecnologie: La digitalizzazione del libro antico tra accesso e conservazione Padova, febbraio 2000 La biblioteca digitale:
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
AREE EDIFICABILI Gaetano Di Stefano.
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Ing. Andrea.
0 Il punto di vista di chi deve applicare la Legge Mario Di Domenicantonio Commissione Interministeriale permanente per limpiego delle tecnologie dellinformazione.
1 THE INTERNET: una rete di reti La storia in breve Le regole della comunicazione.
1 Unità locali EQUAL RESTORE sintesi della ricerca.
La politica della formazione nell’UE
ECDL Mod. 1 1 I virus sono particolari programmi che hanno effetti negativi sul sistema informatico. Il loro scopo è: Infettare il programma senza alterarne.
Posta Certificata Cosè e come funziona: valore legale, applicazioni e prove pratiche di invio e ricezione. Posta Certificata Cosè e come funziona: valore.
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
Come riconoscere gli operatori della ICT Security SMAU ottobre 2002.
URBANISTICA&INTERNET. SOCIETA TECNOLOGICA indicatori vendita gadget tecnologici telefonini sms i-pod navigatori satellitari rivoluzione dei processi lavorativi.
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
A. Tarantini, B. Donzelli 1 ITC & SCUOLA sviluppi ed interazioni Un viaggio lungo quarantanni Corso Regionale Formazione Tutor Alfabetizzazione Informatica.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
La Protezione delle Infrastrutture Critiche in Europa: Conclusioni del Progetto Europeo Dependability Development Support Initiative (DDSI) di Lorenzo.
Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.
Maurizio. interno. it I livelli di responsabilità dellICT nella pubblica amministrazione centrale dopo i recenti provvedimenti normativi Chi.
Milano, 13 febbraio 2003 Trattamento dei dati e sicurezza.
FIRMA DIGITALE, AUTENTICAZIONE E GESTIONE DEL DOCUMENTO ELETTRONICO
Collegio Ghislieri Convegno PRESI NELLA RETE Pavia, 23 novembre 2012 Normativa internazionale in tema di cybercrime avv. Stefano Aterno © Avv. Stefano.
Esperto di E-government dello sviluppo locale (A.A. 2003/2004) Università di Pisa, Facoltà di scienze politiche 14 dicembre 2004 L'amministrazione elettronica.
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
II Indagine sulle imprese high-tech operanti a Genova: struttura, risultati 2007 e prospettive Gennaio 2008.
1 Michellone Giancarlo Allo stato attuale i contenuti del presente documento non impegnano ancora il Project Manager e non riflettono necessariamente la.
Pippo.
presso la nostra SCUOLA
Decreto-legge: omogeneità dell’oggetto Art. 15, legge 400/ I provvedimenti provvisori con forza di legge ordinaria adottati ai sensi dell'articolo.
1 Sicurezza Informatica CHI e/o CHE COSA RIGUARDA ? PC ( vai  SICURpc ) ( SICURutente  vai ) UTENTE WEBWEB (hacker o cracker) WEB.
Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Roma – 9 maggio 2005La Sicurezza informatica nella P.A.: strumenti e progetti Continuità Operativa per le PA Gaetano Santucci CNIPA Responsabile Area Indirizzo,
Harmony Roberto Cecchini Commissione Calcolo e Reti 20 Ottobre 2005.
Le TIC nella didattica appunti-spunti di riflessione
ECDL European Computer Driving Licence
9 marzo Monitoraggio e controllo Il contesto normativo.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
Dott.ssa M. Assunta CECCAGNOLI
Transcript della presentazione:

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 2 Il problema Il problema sicurezza informatica era già noto in ambito main frame, in quel contesto era però relegato agli addetti ai lavori difficoltà ad accedere fisicamente alle risorse di calcolo codice di sistema rigidamente chiuso e proprietario

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 3 Il problema Il problema assume dimensioni sociali con la diffusione di un nuovo paradigma di calcolo: la rete (Internet)

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi Nel 1988 viene effettuato il primo grosso attacco informatico su internet; Quasi istantaneamente alcune miglia di host collegati a internet smettono di operare correttamente; Le debolezze intrinseche dei protocolli che operano in internet, diventano, nel giro di pochi giorni dominio di tutti

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 5 Incidenti informatici Sfruttamento di alcune debolezze di un sistema informatico al fine di: Reperire illegittimamente informazioni ivi memorizzate Modificare illegittimamente informazioni ivi memorizzate Usare il sistema per i propri fini Rendere il sistema inutilizzabile

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 6 I dati del CERT-CC

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 7 I dati del CERT-IT

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 8 Chi? Non Strutturati Insider, Ricreational Hackers, Hackers Organizzati Strutturati Crimine organizzato, Spionaggio industriale, Terroristi National Security Intelligence, Information Warriors

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 9 I costi Melissa, Marzo del 1999 Macro Virus per Word 97 Infetta sistemi in 4 giorni circa Danni stimati: 300 Milioni di $ ILOVEYOU, Maggio 2000 Outlook Infetta sistemi in meno di 24 ore Danni stimati: 10 Miliardi di $ FONTI: E. H. Spafford Comunicazione ad ACSAC 2000

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 10 La difesa NON ESISTE alcun sistema informatico sicuro al 100% La ricerca scientifica e tecnologica hanno messo a punto una serie di strumenti e metodologie che, se correttamente adottati, consentono di ridurre al minimo gli effetti di unintrusione informatica

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 11 La difesa Per difendere con probabilità di successo estremamente elevate la propria rete ogni organizzazione dovrebbe predisporre un PIANO per la SICUREZZA INFORMATICA che preveda luso di politica di sicurezza strumenti tecnologici appropriati personale competente e ben addestrato

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 12 Il problema Chi garantisce che: Vengano prese le necessarie misure dal punto di vista organizzativo e non si trascurino aspetti importanti Chi garantisce che i prodotti tecnologici soddisfino certe proprietà che ne garantiscono la sicurezza

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 13 Le norme di sicurezza CRITERI: un insieme di indicazioni, di supporto agli utenti finali, che servono per accertare lefficacia e la correttezza di un prodotto (Criteri) LEGGI: un insieme di vincoli che devono essere rispettati per il raggiungimento di alcuni obiettivi

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 14 Criteri (1) Common Criteria /ISO IEC Recepiti nel Dicembre 1999 risultato di unazione iniziata nel 1985 con Orange Book (TCSEC) Primo Standard Internazionale di Sicurezza informatica Regolamentano il processo di assurance di prodotti o sistemi informatici

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 15 Criteri (2) BS 7799/ ISO17799 Recepiti nel 1999, risultato di unazione iniziata nel 1995 (BS7799) Raccolgono un insieme di controlli e Best Practices che: consentono di svolgere unanalisi accurata, dal punto di vista della sicurezza, del sistema informatico di unazienda Individuare le contromisure organizzative più appropriate per far fronte ai problemi individuati

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 16 Leggi (1) Legge sulla privacy L. 675/1996 D.P.R. 318/1999 Tenta di introdurre, per la prima volta nel nostro paese, la necessità di un approccio organico alla sicurezza delle informazioni Costringe le aziende a predisporre un piano di sicurezza ed adottare le corrispondenti misure tecnologiche

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 17 Leggi (2) Legge sulla firma digitale L. 59/1997 D.P.C.M. 8 Febbraio 1999 Per la prima volta in Italia viene richiesta la valutazione secondo i criteri ITSEC di prodotti di uso civile Si rafforza lidea di un approccio organico alla sicurezza

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 18 Conclusioni I criteri di sicurezza sono un valido supporto per un approccio strutturato alla sicurezza dei sistemi informatici, le leggi possono facilitare la loro diffusione Lutenza finale non è ancora pronta a coglierne gli aspetti innovativi Molta impreparazione anche ad uniformarsi ai requisiti di legge, in molti casi davvero minimali