La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 1 - introduzione AICA © 2005.

PubblicatoGermano Bianchi Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 1 - introduzione AICA © 2005."— Transcript della presentazione:

1 EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 1 - introduzione
AICA © 2005

2 Sicurezza delle informazioni
Disciplina antica Esempi: scitala lacedemonica cifrario di Cesare Durante la seconda guerra mondiale vennero poste le basi teoriche matematiche Alan Turing AICA © 2005

3 Obiettivi della sicurezza
Autenticazione Autenticazione della controparte Autenticazione dei dati Autorizzazione Integrità Riservatezza Non ripudio Disponibilità Tracciabilità Authentication peer authentication data / origin authentication authorization integrity privacy, secrecy non repudiation availability accountability AICA © 2005

4 Autenticazione Ciao sono Bob Dimostralo! Alberto AICA © 2005

5 Autenticazione (controparte)
Ciao sono Bob Ciao Bob Certo, ne dubiti ? Alberto E’ la banca? Banda Bassotti AICA © 2005

6 Autenticazione (dati)
Pagare alla banca € 1000 Firmato : Banca Alberto Banda Bassotti AICA © 2005

7 Integrità Tutela dall’alterazione dei dati, informazioni o risorse informatiche da parte di non autorizzati nei dati è compreso anche il software nelle risorse informatiche è compresa anche la configurazione di un sistema AICA © 2005

8 Integrità Alberto Banca Pagare alla banca € 1000 Firmato : Banca
Pagare alla banda bassotti € 10000 Firmato : Banca Rete di comunicazione Alberto Banca AICA © 2005

9 Non ripudio Prevenzione dal disconoscimento dell’origine di un documento o di un fatto da parte dell’autore del documento o del fatto. Implica molti aspetti autenticazione integrità .... AICA © 2005

10 Autorizzazione Alberto Banca Devo prelevare 1000€ dal conto di Alice
Sei autorizzato da lei? Alberto Banca AICA © 2005

11 Riservatezza Prevenzione dell’accesso alle informazioni da parte di chi non sia autorizzato Attenzione: si proteggono le informazioni non i dati MARIO ROSSI (dato) (dato) MARIO ROSSI è una informazione (numero di telefono di Mario Rossi) AICA © 2005

12 Disponibilità La prevenzione della non accessibilità, ai legittimi utilizzatori, sia delle informazioni che delle risorse, quando informazioni e risorse servono. Il concetto quindi, oltre che riguardare dati ed informazioni, è esteso a tutte le possibili risorse che costituiscono un sistema informatico, la banda di trasmissione di un collegamento la capacità di calcolo di un elaboratore lo spazio utile di memorizzazione dati ecc. AICA © 2005

13 Bene Tutto ciò che deve essere oggetto di protezione perché costituisce un valore Materiale, immateriale Informazioni Risorse informatiche Privacy ..... AICA © 2005

14 Bene Primario : i beni che effettivamente per noi hanno un valore
Es: i dati sul server Secondario: i beni che contribuiscono alla protezione dei beni primari Es : elementi di autenticazione per l’accesso alle risorse (password) Nell’esempio se perdo la password perdo anche l’accesso ai miei dati AICA © 2005

15 Obiettivo L’obiettivo di sicurezza è ciò che ci proponiamo, in termini di sicurezza, per i nostri beni È in relazione con Riservatezza Disponibilità Integrità Es: le password hanno come obiettivo la riservatezza AICA © 2005

16 Minaccia Azione, accidentale o deliberata che può portare alla violazione di un obiettivo di sicurezza Accidentale : Terremoto Deliberata : Virus informatico AICA © 2005

17 Vulnerabilità È una debolezza intrinseca del sistema informatico, tale che, qualora esista una minaccia che la sfrutti, si arriverebbe alla violazione di almeno un obiettivo di sicurezza. Non dipende da fattori esterni Non comporta automaticamente la violazione di obiettivi di sicurezza AICA © 2005

18 Impatto Conseguenza che l’attuarsi di una minaccia determina.
Diretta relazione con gli obiettivi di sicurezza AICA © 2005

19 Rischio Prodotto tra la Gravità delle conseguenza di un evento (impatto) e la Probabilità che esso accada (minaccia) R = G x P Minaccia deliberata: P = f(V,M) Dove V = vulnerabilità M = motivazioni dell’attaccante o livello della minaccia AICA © 2005

20 Rischio Minaccia accidentale: P = f(V,p) Dove V = vulnerabilità
p = probabilità intrinseca di accadimento del sinistro AICA © 2005

21 Gestione del Rischio Suddivisa in due fasi: Analisi del rischio:
Classificazione delle informazioni Identificazioni delle minacce Identificazione del livello di rischio associabile a ciascuna classe di informazioni Controllo del rischio Identificazione delle modalità di gestione dei rischi associati alla perdita di un obiettivo di sicurezza Esempi: trasferimento del rischio a terzi riduzione del valore della informazione riduzione delle vulnerabilità AICA © 2005

22 FASI DELLA GESTIONE DEL RISCHIO
Classificazione delle Informazioni e delle risorse informatiche Identificazione delle minacce Identificazione delle vulnerabilità Identificazione del livello di rischio Controllo del rischio: le contromisure AICA © 2005

23 Integrità. Riservatezza,
Analisi del rischio Classificazione delle informazioni e delle risorse Determinare quali classi di informazioni hanno valore per l’azienda e le relazioni con i dati che compongono l’informazione Risorse informatiche (obiettivo disponibilità) Processi Banda dei canali di comunicazione Potenza di calcolo Supporti per l’archiviazione Integrità. Riservatezza, Disponibilità disponibilità AICA © 2005

24 Identificazione delle minacce
MINACCIA=evento potenziale, accidentale o voluto, il cui accadimento produce un danno in termini di violazione degli obiettivi di sicurezza L’elenco delle minacce dovrebbe comprendere eventi accidentali eventi umani deliberati (volontari) Involontari (uso improprio degli strumenti) AICA © 2005

25 Identificazione delle vulnerabilità
VULNERABILITA’=debolezza intrinseca del sistema informativo/informatico che, sfruttata da una minaccia, produce danno all’azienda Esempi: collocazione geografica (centri di calcolo in zone sismica) errori sistematici nell’hardware/software Errori di progettazione malfunzionamenti accidentali dell’hardware deficienze nelle procedure di utilizzo da parte degli utenti (mancati o inaccurati back up) AICA © 2005

26 Identificazione del livello di rischio
Elaborazione dei risultati delle fasi precedenti DA : semplice classificazione di tipo qualitativo A: classificazione quantitativa, cui si associa la perdita economica in termini di percentuale di fatturato AICA © 2005

27 UN ELEMENTO CHIAVE E’: La CONSAPEVOLEZZA DEL PROBLEMA DELLA SICUREZZA delle informazioni a tutti i livelli aziendali Chi definisce i beni da proteggere Chi decide le procedure di sicurezza Chi esegue le procedure Chi non ha apparenti responsabilità segretaria che al telefono con un’amica digita la password di accesso ripetendola ad alta voce AICA © 2005

28 Contromisure Si cede a terzi la gestione del rischio
Polizze di assicurazione Eliminare o ridurre il rischio agire sulla probabilità di un evento agire sulla gravità delle conseguenze Contromisure di sicurezza Carattere fisico Carattere procedurale Carattere tecnico informatico AICA © 2005

29 Contromisure di Carattere Fisico
Realizzazione di tipo logistico prevenzione controllo del diritto di accesso Esempio centri di calcolo in aree protette, rendere difficile accedere fisicamente alla macchina Impedire l’intercettazione delle onde radio (gabbie di Faraday) AICA © 2005

30 Contromisure di Carattere Procedurale
Regolamentare i comportamenti degli individui Esempio non scrivere su fogli la propria password un amministratore di sistema deve effettuare regolarmente l’aggiornamento dell’antivirus .... Tentare di automatizzare il più possibile AICA © 2005

31 Contromisure di Carattere tecnico informatico (funzioni di sicurezza)
Realizzate mediante sistemi Hardware, Software e Firmware Identificazione Autenticazione Controllo dell’accesso Rendicontabilità Audit Riuso Accuratezza Affidabilità del servizio Scambio dati sicuro AICA © 2005

32 Identificazione e Autenticazione
Funzioni che consentono di identificare e autenticare un individuo un processo Esempio : username e password AICA © 2005

33 Controllo dell’accesso
Controllo delle risorse: Scrittura Lettura Esecuzione Es : accesso della CPU a indirizzi in memoria non validi diritti associati ai files AICA © 2005

34 Rendicontabilità Attribuzione delle responsabilità di avvenimenti all’individuo che li ha generati Contromisure di identificazione Es: Il sistema operativo identifica il proprietario di ogni processo in esecuzione AICA © 2005

35 Riuso degli oggetti Funzioni che permettono di riutilizzare oggetti il cui contenuto era informazione riservata RAM, supporti magnetici, ecc... Esempio: Azzerare il contenuto della memoria utilizzate per elaborare password, algoritmi di crittografia, ecc.... AICA © 2005

36 Audit Le operazioni effettuate dall'utente sono tracciate in file di log. Questo processo di monitoraggio delle attività è detto audit AICA © 2005

37 Accuratezza funzioni atte a garantire l’integrità dei dati
funzioni atte a fornire l’accuratezza della determinazione del tempo Es: in un sistema di audit occorre un time server per garantire l’unicità di un evento AICA © 2005

38 Affidabilità del servizio
Affidabilità del servizio in condizione critica Black out (UPS) Errore software, hardware (roll-back, ripristino) Errore umano AICA © 2005

39 Scambio dati sicuro Funzioni relative alla sicurezza delle comunicazioni durante la trasmissione, può essere a sua volta suddivisa in sottoclassi autenticazione controllo dell’accesso riservatezza dei dati integrità non ripudio Es: Crittografia Meccanismi di autenticazione AICA © 2005

40 Organizzazione della sicurezza
Non è una tecnologia, È un processo Definito, implementato, gestito e migliorato Coinvolge tutti coloro che appartengono a un’organizzazione responsabilità ricadono sul singolo individuo occorre sensibilizzare a tutti i livelli I costi dovranno essere compatibili con il rischio ( il costo della sicurezza non deve superare il valore del bene da proteggere) AICA © 2005

41 Definizione delle politiche di sicurezza
Tre livelli Politica di sicurezza aziendale Corporate Security Policy: che cosa l’azienda desidera proteggere Politica di sicurezza per il sistema informatico System Security Policy: in che modo proteggere i beni Politica di sicurezza tecnica Technical Security Policy: implementazione della System Security Policy nello specifico sistema AICA © 2005

42 Politica di sicurezza aziendale
Massimo livello di astrazione Cosa l’azienda desidera proteggere Verranno indicate le responsabilità connesse con la tutela dei beni Definizione dell’organizzazione preposta AICA © 2005

43 Politica di sicurezza per il sistema informatico
Come l’azienda intende proteggere le informazioni, in modo il più possibile neutro rispetto alla tecnologia Protezione fisica Protezione procedurale AICA © 2005

44 Politica di sicurezza tecnica
Traduzione in requisiti funzionali delle contromisure tecniche informatiche AICA © 2005

45 La gestione degli incidenti
Fornire aiuto a chi subisce attacchi e raccogliere informazioni sugli attacchi stessi a scopo preventivo Organizzazioni di tipo volontaristico per fornire informazioni a chi subisce un attacco CERT (Computer Emergency Response Team) Organizzazione internazionale FIRST (Forum of Incident Response and Security Teams) In italia CERT-IT, AICA © 2005

46 La gestione degli incidenti (segnalazione)
Contatto del CERT-IT ( , web server) segnalazione dell’attacco se esiste invio del file di log CERT-IT indaga sull’attacco se le informazioni sono sufficienti si contatta la vittima per il ripristino o per ridurre gli effetti Chiusura della segnalazione AICA © 2005

47 Valutazione della garanzia
Funzionalità : insieme di ciò che un prodotto o un sistema informatico fornisce relativamente alla protezione delle informazioni e all’affidabilità dei servizi Efficacia : Misura di quanto le contromisure annullano le minacce Correttezza : Misura della qualità della implementazione del sistema Efficacia + Correttezza = GARANZIA AICA © 2005

48 Normative Norme funzionali (ISO TC 168) Specifiche tecniche pubbliche
Protocolli di comunicazione Formato dei dati sulle smartcard. Specifiche tecniche pubbliche Serie PKCS# pubblicata da RSA Criteri della valutazione della garanzia TCSEC (Trusted Computing Security Evaluation Criteria, 1985) USA ITSEC (Information Technology Security Evaluation Criteria, 1991) Europa ISO/IEC (1999) : noti come common criteria Internazionali AICA © 2005

49 Normative Linee guida relative al sistema di gestione della sicurezza nell’azienda ISO/IEC (parti 1,2,3,4) BS 7720 (parte 1,2) ISO/IEC 17799 AICA © 2005

50 Valutazione della garanzia
Tre componenti fondamentali Funzionalità (cosa deve fare il sistema per la sicurezza) Efficacia (in che misura le contromisure annullano le minacce) Correttezza (quanto bene è stato implementato il sistema) Sono criteri e non norme (non stabiliscono requisiti funzionali) TCSEC (Trusted Computing Security Evaluation Criteria) Criteri statunitensi pubblicati nel 1985 Rimpiazzati dai common criteria ITSEC (Information Technology Security Evaluation Criteria) Critei europei pubblicati nel 1991 Definizione della funzionalità libera AICA © 2005

51 Valutazione della garanzia
ISO/IEC 15408 noti come common criteria, pubblicati nel 1999 7 livelli di garanzia AICA © 2005

52 Norme sulla gestione della sicurezza
1995, BS 7799 (code of practice) norme di comportamento per la gestione della sicurezza delle informazioni esclude la verifica da parte di terzi (certificazione) 1995, ISO/IEC TR 13335 Modalità per affrontare la gestione della sicurezza Non prevede la certificazione Insieme di norme più restrittive 2002 esce l’ultima versione della BS 7799 in cui il ciclo di vita di un processo è suddiviso in 4 fasi AICA © 2005

53 SGSI : Sistema di Gestione delle Informazioni
AICA © 2005

54 Modello PDCA Plan (Pianifica): Decidere cosa fare, come farlo, in che tempi. Stabilire gli obiettivi ed i processi necessari per fornire risultati conformi ai requisiti del cliente ed alle politiche dell'organizzazione Do (Fare): Fare quanto pianificato. Dare attuazione ai processi; Check (Controllare): verificare se si è fatto quanto pianificato attraverso dati oggettivi (misurazioni).  Monitorare e misurare i processi ed i prodotti a fronte delle politiche, degli obiettivi e dei requisiti relativi ai prodotti e riportarne i risultati; Act (Agire): adottare azioni per migliorare in modo continuativo le prestazioni dei processi; AICA © 2005

55 Plan Definizione dell’ambito di applicazione del SGSI
Definizione di una politica di sicurezza ad alto livello Definizione di un approccio sistematico per l’analisi dei rischi Identificazione dei rischi Valutazione dei rischi Identificazione delle opzioni di trattamento Eliminazione, cessione a terzi, riduzione delle vulnerabilità Selezione delle contromisure per il controllo dei rischi Redazione della dichiarazione di applicabilità AICA © 2005

56 Do Formulazione di un piano per il trattamento dei rischi
Implementazione del piano Implementazione delle contromisure selezionate Svolgimento di programmi di informazione e formazione Gestione delle operazioni connesse con la fase Gestione delle risorse connesse con la fase Implementazione di procedure e altre misure che assicurino la rilevazione e le opportune azioni in caso di incidenti relativi alla sicurezza AICA © 2005

57 Check Esecuzione delle procedure di monitoraggio dell’SGSI
Esecuzione di revisioni del rischio residuo Conduzione di audit interni all’SGSI AICA © 2005

58 Act Implementazione delle azioni migliorativi dell’SGSI identificate
Implementazione delle azioni correttive e preventive Comunicazione dei risultati Verifica che i miglioramenti raggiungano gli obiettivi identificati alla loro base AICA © 2005

Scaricare ppt "EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 1 - introduzione AICA © 2005."

Presentazioni simili

Training On Line - CONP. 2 Richiesta Da Menu: Conferimenti ad inizio anno termico > Agosto > Pluriennali > Nuova Richiesta Si accede alla pagina di Richiesta.

Training On Line - CONP. 2 Richiesta Da Menu: Conferimenti ad inizio anno termico > Agosto > Pluriennali > Nuova Richiesta Si accede alla pagina di Richiesta.
Dipartimento di Ingegneria Idraulica e Ambientale - Universita di Pavia 1 Caduta non guidata di un corpo rettangolare in un serbatoio Velocità e rotazione.

Dipartimento di Ingegneria Idraulica e Ambientale - Universita di Pavia 1 Caduta non guidata di un corpo rettangolare in un serbatoio Velocità e rotazione.
1 Tutto su liceoclassicojesi.it 1° Incontro sulla gestione di liceoclassicojesi.it.

1 Tutto su liceoclassicojesi.it 1° Incontro sulla gestione di liceoclassicojesi.it.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
1 MeDeC - Centro Demoscopico Metropolitano Provincia di Bologna - www.provincia.bologna.it/programmazione/ per Valutazione su alcuni servizi erogati nel.

1 MeDeC - Centro Demoscopico Metropolitano Provincia di Bologna - per Valutazione su alcuni servizi erogati nel.
La sicurezza dei sistemi informatici

La sicurezza dei sistemi informatici
TAV.1 Foto n.1 Foto n.2 SCALINATA DI ACCESSO ALL’EREMO DI SANTA CATERINA DEL SASSO DALLA CORTE DELLE CASCINE DEL QUIQUIO Foto n.3 Foto n.4.

TAV.1 Foto n.1 Foto n.2 SCALINATA DI ACCESSO ALL’EREMO DI SANTA CATERINA DEL SASSO DALLA CORTE DELLE CASCINE DEL QUIQUIO Foto n.3 Foto n.4.
1 Pregnana Milanese Assessorato alle Risorse Economiche Bilancio Preventivo 2009 - P R O P O S T A.

1 Pregnana Milanese Assessorato alle Risorse Economiche Bilancio Preventivo P R O P O S T A.
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:

Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Corso aggiornamento ASUR10

Corso aggiornamento ASUR10
LA PIATTAFORMA FAD FORTECHANCE

LA PIATTAFORMA FAD FORTECHANCE
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.

Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008

Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008
Frontespizio Economia Monetaria Anno Accademico 2006-07.

Frontespizio Economia Monetaria Anno Accademico
1 la competenza alfabetica della popolazione italiana CEDE distribuzione percentuale per livelli.

1 la competenza alfabetica della popolazione italiana CEDE distribuzione percentuale per livelli.
Sistema Gestione Progetti

Sistema Gestione Progetti
1 Innovazione dal punto di vista strategico Francesco Berri Medical Director ASTELLAS PHARMA SpA Bologna 10 Giugno 2011.

1 Innovazione dal punto di vista strategico Francesco Berri Medical Director ASTELLAS PHARMA SpA Bologna 10 Giugno 2011.
IL PROCESSO DI REVISIONE AZIENDALE

IL PROCESSO DI REVISIONE AZIENDALE
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.

Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
I MATEMATICI E IL MONDO DEL LAVORO

I MATEMATICI E IL MONDO DEL LAVORO

Presentazioni simili

Annunci Google