La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.

Presentazioni simili


Presentazione sul tema: "Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT."— Transcript della presentazione:

1 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT

2 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 2 Il problema Il problema sicurezza informatica era già noto in ambito main frame, in quel contesto era però relegato agli addetti ai lavori difficoltà ad accedere fisicamente alle risorse di calcolo codice di sistema rigidamente chiuso e proprietario

3 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 3 Il problema Il problema assume dimensioni sociali con la diffusione di un nuovo paradigma di calcolo: la rete (Internet)

4 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 4 1988 Nel 1988 viene effettuato il primo grosso attacco informatico su internet; Quasi istantaneamente alcune miglia di host collegati a internet smettono di operare correttamente; Le debolezze intrinseche dei protocolli che operano in internet, diventano, nel giro di pochi giorni dominio di tutti

5 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 5 Incidenti informatici Sfruttamento di alcune debolezze di un sistema informatico al fine di: Reperire illegittimamente informazioni ivi memorizzate Modificare illegittimamente informazioni ivi memorizzate Usare il sistema per i propri fini Rendere il sistema inutilizzabile

6 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 6 I dati del CERT-CC

7 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 7 I dati del CERT-IT

8 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 8 Chi? Non Strutturati Insider, Ricreational Hackers, Hackers Organizzati Strutturati Crimine organizzato, Spionaggio industriale, Terroristi National Security Intelligence, Information Warriors

9 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 9 I costi Melissa, Marzo del 1999 Macro Virus per Word 97 Infetta 150000 sistemi in 4 giorni circa Danni stimati: 300 Milioni di $ ILOVEYOU, Maggio 2000 Outlook Infetta 500000 sistemi in meno di 24 ore Danni stimati: 10 Miliardi di $ FONTI: E. H. Spafford Comunicazione ad ACSAC 2000

10 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 10 La difesa NON ESISTE alcun sistema informatico sicuro al 100% La ricerca scientifica e tecnologica hanno messo a punto una serie di strumenti e metodologie che, se correttamente adottati, consentono di ridurre al minimo gli effetti di unintrusione informatica

11 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 11 La difesa Per difendere con probabilità di successo estremamente elevate la propria rete ogni organizzazione dovrebbe predisporre un PIANO per la SICUREZZA INFORMATICA che preveda luso di politica di sicurezza strumenti tecnologici appropriati personale competente e ben addestrato

12 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 12 Il problema Chi garantisce che: Vengano prese le necessarie misure dal punto di vista organizzativo e non si trascurino aspetti importanti Chi garantisce che i prodotti tecnologici soddisfino certe proprietà che ne garantiscono la sicurezza

13 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 13 Le norme di sicurezza CRITERI: un insieme di indicazioni, di supporto agli utenti finali, che servono per accertare lefficacia e la correttezza di un prodotto (Criteri) LEGGI: un insieme di vincoli che devono essere rispettati per il raggiungimento di alcuni obiettivi

14 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 14 Criteri (1) Common Criteria /ISO IEC 15408 Recepiti nel Dicembre 1999 risultato di unazione iniziata nel 1985 con Orange Book (TCSEC) Primo Standard Internazionale di Sicurezza informatica Regolamentano il processo di assurance di prodotti o sistemi informatici

15 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 15 Criteri (2) BS 7799/ ISO17799 Recepiti nel 1999, risultato di unazione iniziata nel 1995 (BS7799) Raccolgono un insieme di controlli e Best Practices che: consentono di svolgere unanalisi accurata, dal punto di vista della sicurezza, del sistema informatico di unazienda Individuare le contromisure organizzative più appropriate per far fronte ai problemi individuati

16 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 16 Leggi (1) Legge sulla privacy L. 675/1996 D.P.R. 318/1999 Tenta di introdurre, per la prima volta nel nostro paese, la necessità di un approccio organico alla sicurezza delle informazioni Costringe le aziende a predisporre un piano di sicurezza ed adottare le corrispondenti misure tecnologiche

17 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 17 Leggi (2) Legge sulla firma digitale L. 59/1997 D.P.C.M. 8 Febbraio 1999 Per la prima volta in Italia viene richiesta la valutazione secondo i criteri ITSEC di prodotti di uso civile Si rafforza lidea di un approccio organico alla sicurezza

18 Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 18 Conclusioni I criteri di sicurezza sono un valido supporto per un approccio strutturato alla sicurezza dei sistemi informatici, le leggi possono facilitare la loro diffusione Lutenza finale non è ancora pronta a coglierne gli aspetti innovativi Molta impreparazione anche ad uniformarsi ai requisiti di legge, in molti casi davvero minimali


Scaricare ppt "Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT."

Presentazioni simili


Annunci Google