Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoGildo Boni Modificato 9 anni fa
1
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003
2
1 Gruppo di lavoro Harmony Componenti: –Silvia Arezzini; –Eleonora Bovo; –Roberto Cecchini; –Paolo Lo Re; –Ombretta Pinazza; –Alessandro Spanu..
3
Paestum, 11 Giugno 20032 Obiettivi originali DPsS (DPR 28/11/99 n. 318, dati personali sensibili): –criteri per la protezione delle aree e locali; –criteri per l’integrità dei dati; –criteri per la sicurezza delle trasmissioni e restrizioni di accesso; –piano di formazione del personale. Regolamento per l’uso delle Risorse di Calcolo.
4
Paestum, 11 Giugno 20033 Variazioni in corso d’opera Direttiva del 16/1/02 del Dip. per l’Innovazione e le Tecnologie: Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni –autodiagnosi del livello di adeguatezza della sicurezza; –attivazione delle necessarie iniziative per posizionarsi sulla “base minima di sicurezza”; –programma di azione per la sicurezza: creazione di un modello organizzativo nazionale di sicurezza; istituzione comitato nazionale di sicurezza; definizione schema nazionale di riferimento; formulazione di un piano nazionale di sicurezza per la PA; realizzazione della certificazione di sicurezza nella PA.
5
Paestum, 11 Giugno 20034 Fase operativa Sistema di gestione della sicurezza: –visione unitaria e strategica delle questioni di sicurezza; –corretta responsabilizzazione; –bilanciamento tra rischio e sicurezza; –separazione dei compiti, che distingua tra monitoraggio e verifica. Articolata in una serie di documenti –Carta della sicurezza. –Politiche generali. –Politiche specifiche. –Procedure specifiche.
6
Paestum, 11 Giugno 20035 Documenti (direttiva vs Harmony) Direttiva MinisterialeHarmony Carta della sicurezza Politiche generali di sicurezza Politiche specifiche di sicurezza (Norme)Regolamento di condotta Procedure specifiche gestione della System Security; gestione della Network Security; ciclo di vita del software; gestione operativa; continuità del servizio (contingency plan); gestione degli incidenti; controllo e il monitoraggio del sistema di sicurezza; sicurezza del personale. Windows Base Windows Avanzato Mac Unix Host Security Servizi Centralizzati Sicurezza delle LAN Gestione degli incidenti informatici Firewall e Router
7
Paestum, 11 Giugno 20036 Carta della Sicurezza Politiche e strategie di sicurezza; modello organizzativo; processi di attuazione; direttive per lo sviluppo, gestione, controllo e verifica delle misure da adottare.
8
Paestum, 11 Giugno 20037 Regolamento di condotta Regole per l’organizzazione, il personale ed i sistemi. Definizioni e concetti base. Contiene il Regolamento per l’uso delle risorse di calcolo.
9
Paestum, 11 Giugno 20038 Procedure specifiche Specifiche procedure per la gestione operativa: –host security; –network security; –gestione incidenti; –router e firewall. In continuo aggiornamento.
10
Paestum, 11 Giugno 20039 Matrice di lettura UtentiAmmimistratori S. Calcolo W9x/MEMacMac OSXUnixWnt/2k/xpUnix Carta della sicurezza CCCCCCC Regolamento di condotta CCCCCCC Windows base CCC Windows avanzato CC Mac CCC Unix host security CCC Servizi centralizzati CCC Gestione incidenti CCCC Sicurezza delle LAN C Firewall e router C
11
Paestum, 11 Giugno 200310 Sicurezza: aspetti fisici Servizio di vigilanza. Convenzioni con le Università. Sistemi anti-intrusione con procedure d’ingresso controllate nei locali che ospitano i centri di calcolo ed in quelli ove sono posti server ed elaboratori mediante i quali vengono trattati dati personali sensibili. Dispositivi antincendio e di continuità elettrica. Misure di protezione per le risorse distribuite al di fuori delle Strutture dell’Ente.
12
Paestum, 11 Giugno 200311 Sicurezza: aspetti logici Strumenti di protezione specifica di rete (firewall). Virtual Private Network. Meccanismi di controllo degli accessi ed autenticazione. Strumenti per la tutela della riservatezza e l’autenticità dei dati (crittografia e firma elettronica). Strumenti per l’integrità e disponibilità dei dati (sistemi di backup). Controllo della qualità del software utilizzato. Programmi antivirus.
13
Paestum, 11 Giugno 200312 Sicurezza: aspetti organizzativi La CC&R –coordina nell’individuazione delle politiche di sicurezza –provvede all’organizzazione dello CSIRT. L’INFN organizza attività di formazione ed aggiornamento.
14
Paestum, 11 Giugno 200313 Sicurezza: verifica misure Verifica periodica delle misure di sicurezza adottate mediante: –monitoraggio, effettuato da responsabili interni; –audit, svolto da soggetti diversi dai responsabili interni.
15
Paestum, 11 Giugno 200314 Articolazione organizzativa Utente Referente di gruppo di utenti Amministratore di sistema Servizio di Calcolo e Reti Direttore di Struttura
16
Paestum, 11 Giugno 200315 UtenteUtente Soggetto che ha accesso alle risorse di calcolo, in relazione alle funzioni ed attività che è chiamato a svolgere nell’ambito dell’Istituto. –Gli utenti autorizzati al trattamento dei dati personali sono individuati come incaricati del trattamento ai sensi dell’art. 8, comma 5 della legge n. 675/96.
17
Paestum, 11 Giugno 200316 ReferenteReferente Coordina gli utenti e l’uso delle risorse locali di uno o più gruppi, esperimenti o servizi, in accordo alle indicazioni del Servizio di Calcolo Compiti: –divulga, nell’ambito del proprio gruppo, le indicazioni del Servizio di Calcolo relative alla sicurezza delle risorse ed al corretto uso delle stesse; –in caso di necessità, fornisce al Servizio di Calcolo informazioni o accesso alle risorse di calcolo del proprio gruppo; –conserva ed aggiorna l’elenco delle risorse di calcolo e degli account del gruppo che rappresenta.
18
Paestum, 11 Giugno 200317 Amministratore di sistema Sovraintende alla gestione del sistema operativo di un computer. Compiti: –responsabile del software installato sui computer amministrati; –mantiene i sistemi al livello di sicurezza appropriato al loro uso; –verifica con regolarità l’integrità dei sistemi; –controlla e conserva i log di sistema; –segnala al Servizio di Calcolo incidenti, sospetti abusi e violazioni della sicurezza; –installa e mantiene aggiornati programmi antivirus.
19
Paestum, 11 Giugno 200318 Servizio Calcolo e Reti Gestisce le risorse di calcolo centrali, i servizi di rete, l’infrastruttura di trasmissione dati della Struttura e fornisce supporto tecnico agli utenti. Nel suo ambito è individuato un referente per lo CSIRT. Compiti: –controlla che gli accessi remoti alle risorse locali avvengano esclusivamente mediante l’uso di protocolli che prevedano l’autenticazione e la cifratura dei dati; –effettua la revisione periodica degli account; –effettua il monitoraggio dei sistemi gestiti; –realizza i sistemi di filtraggio e logging sugli apparati perimetrali della rete; –fornisce supporto per mantenere e incrementare la sicurezza delle risorse affidate agli utenti.
20
Paestum, 11 Giugno 200319 E dopo? Istituzione CSIRT INFN Monitoraggio e auditing procedure sicurezza. Manutenzione documenti tecnici. Un ruolo per il (comatoso) Security Group?
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.