La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.

Presentazioni simili


Presentazione sul tema: "INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003."— Transcript della presentazione:

1 INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003

2 1 Gruppo di lavoro Harmony Componenti: –Silvia Arezzini; –Eleonora Bovo; –Roberto Cecchini; –Paolo Lo Re; –Ombretta Pinazza; –Alessandro Spanu..

3 Paestum, 11 Giugno 20032 Obiettivi originali DPsS (DPR 28/11/99 n. 318, dati personali sensibili): –criteri per la protezione delle aree e locali; –criteri per l’integrità dei dati; –criteri per la sicurezza delle trasmissioni e restrizioni di accesso; –piano di formazione del personale. Regolamento per l’uso delle Risorse di Calcolo.

4 Paestum, 11 Giugno 20033 Variazioni in corso d’opera Direttiva del 16/1/02 del Dip. per l’Innovazione e le Tecnologie: Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni –autodiagnosi del livello di adeguatezza della sicurezza; –attivazione delle necessarie iniziative per posizionarsi sulla “base minima di sicurezza”; –programma di azione per la sicurezza: creazione di un modello organizzativo nazionale di sicurezza; istituzione comitato nazionale di sicurezza; definizione schema nazionale di riferimento; formulazione di un piano nazionale di sicurezza per la PA; realizzazione della certificazione di sicurezza nella PA.

5 Paestum, 11 Giugno 20034 Fase operativa Sistema di gestione della sicurezza: –visione unitaria e strategica delle questioni di sicurezza; –corretta responsabilizzazione; –bilanciamento tra rischio e sicurezza; –separazione dei compiti, che distingua tra monitoraggio e verifica. Articolata in una serie di documenti –Carta della sicurezza. –Politiche generali. –Politiche specifiche. –Procedure specifiche.

6 Paestum, 11 Giugno 20035 Documenti (direttiva vs Harmony) Direttiva MinisterialeHarmony Carta della sicurezza Politiche generali di sicurezza Politiche specifiche di sicurezza (Norme)Regolamento di condotta Procedure specifiche  gestione della System Security;  gestione della Network Security;  ciclo di vita del software;  gestione operativa;  continuità del servizio (contingency plan);  gestione degli incidenti;  controllo e il monitoraggio del sistema di sicurezza;  sicurezza del personale.  Windows Base  Windows Avanzato  Mac  Unix Host Security  Servizi Centralizzati  Sicurezza delle LAN  Gestione degli incidenti informatici  Firewall e Router

7 Paestum, 11 Giugno 20036 Carta della Sicurezza Politiche e strategie di sicurezza; modello organizzativo; processi di attuazione; direttive per lo sviluppo, gestione, controllo e verifica delle misure da adottare.

8 Paestum, 11 Giugno 20037 Regolamento di condotta Regole per l’organizzazione, il personale ed i sistemi. Definizioni e concetti base. Contiene il Regolamento per l’uso delle risorse di calcolo.

9 Paestum, 11 Giugno 20038 Procedure specifiche Specifiche procedure per la gestione operativa: –host security; –network security; –gestione incidenti; –router e firewall. In continuo aggiornamento.

10 Paestum, 11 Giugno 20039 Matrice di lettura UtentiAmmimistratori S. Calcolo W9x/MEMacMac OSXUnixWnt/2k/xpUnix Carta della sicurezza CCCCCCC Regolamento di condotta CCCCCCC Windows base CCC Windows avanzato CC Mac CCC Unix host security CCC Servizi centralizzati CCC Gestione incidenti CCCC Sicurezza delle LAN C Firewall e router C

11 Paestum, 11 Giugno 200310 Sicurezza: aspetti fisici Servizio di vigilanza. Convenzioni con le Università. Sistemi anti-intrusione con procedure d’ingresso controllate nei locali che ospitano i centri di calcolo ed in quelli ove sono posti server ed elaboratori mediante i quali vengono trattati dati personali sensibili. Dispositivi antincendio e di continuità elettrica. Misure di protezione per le risorse distribuite al di fuori delle Strutture dell’Ente.

12 Paestum, 11 Giugno 200311 Sicurezza: aspetti logici Strumenti di protezione specifica di rete (firewall). Virtual Private Network. Meccanismi di controllo degli accessi ed autenticazione. Strumenti per la tutela della riservatezza e l’autenticità dei dati (crittografia e firma elettronica). Strumenti per l’integrità e disponibilità dei dati (sistemi di backup). Controllo della qualità del software utilizzato. Programmi antivirus.

13 Paestum, 11 Giugno 200312 Sicurezza: aspetti organizzativi La CC&R –coordina nell’individuazione delle politiche di sicurezza –provvede all’organizzazione dello CSIRT. L’INFN organizza attività di formazione ed aggiornamento.

14 Paestum, 11 Giugno 200313 Sicurezza: verifica misure Verifica periodica delle misure di sicurezza adottate mediante: –monitoraggio, effettuato da responsabili interni; –audit, svolto da soggetti diversi dai responsabili interni.

15 Paestum, 11 Giugno 200314 Articolazione organizzativa Utente Referente di gruppo di utenti Amministratore di sistema Servizio di Calcolo e Reti Direttore di Struttura

16 Paestum, 11 Giugno 200315 UtenteUtente Soggetto che ha accesso alle risorse di calcolo, in relazione alle funzioni ed attività che è chiamato a svolgere nell’ambito dell’Istituto. –Gli utenti autorizzati al trattamento dei dati personali sono individuati come incaricati del trattamento ai sensi dell’art. 8, comma 5 della legge n. 675/96.

17 Paestum, 11 Giugno 200316 ReferenteReferente Coordina gli utenti e l’uso delle risorse locali di uno o più gruppi, esperimenti o servizi, in accordo alle indicazioni del Servizio di Calcolo Compiti: –divulga, nell’ambito del proprio gruppo, le indicazioni del Servizio di Calcolo relative alla sicurezza delle risorse ed al corretto uso delle stesse; –in caso di necessità, fornisce al Servizio di Calcolo informazioni o accesso alle risorse di calcolo del proprio gruppo; –conserva ed aggiorna l’elenco delle risorse di calcolo e degli account del gruppo che rappresenta.

18 Paestum, 11 Giugno 200317 Amministratore di sistema Sovraintende alla gestione del sistema operativo di un computer. Compiti: –responsabile del software installato sui computer amministrati; –mantiene i sistemi al livello di sicurezza appropriato al loro uso; –verifica con regolarità l’integrità dei sistemi; –controlla e conserva i log di sistema; –segnala al Servizio di Calcolo incidenti, sospetti abusi e violazioni della sicurezza; –installa e mantiene aggiornati programmi antivirus.

19 Paestum, 11 Giugno 200318 Servizio Calcolo e Reti Gestisce le risorse di calcolo centrali, i servizi di rete, l’infrastruttura di trasmissione dati della Struttura e fornisce supporto tecnico agli utenti. Nel suo ambito è individuato un referente per lo CSIRT. Compiti: –controlla che gli accessi remoti alle risorse locali avvengano esclusivamente mediante l’uso di protocolli che prevedano l’autenticazione e la cifratura dei dati; –effettua la revisione periodica degli account; –effettua il monitoraggio dei sistemi gestiti; –realizza i sistemi di filtraggio e logging sugli apparati perimetrali della rete; –fornisce supporto per mantenere e incrementare la sicurezza delle risorse affidate agli utenti.

20 Paestum, 11 Giugno 200319 E dopo? Istituzione CSIRT INFN Monitoraggio e auditing procedure sicurezza. Manutenzione documenti tecnici. Un ruolo per il (comatoso) Security Group?


Scaricare ppt "INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003."

Presentazioni simili


Annunci Google