pa e sicurezza linee strategiche e soluzioni a...
TRANSCRIPT
PA e SicurezzaLinee strategiche e soluzioni a supporto
Andrea RigoniGovernment Consulting – [email protected]
2FORUM PA – Roma 8 Maggio 2006
CNIPA Security Guidelines for 2006
a. Compliance to DPCM 16/2/2002
b. Legal recognition of Electronic Documents and Workflows
c. National Certification Schema (OCSI)
d. Institution of Govcert.it
e. ICT Security Education (ISCOM)
Past Actions
3FORUM PA – Roma 8 Maggio 2006
CNIPA Security Guidelines for 2006
f. Extension of law 196 Security Criterias to all data
g. Support by e-government applications of CIE and CNS
h. Data Classification Systemi. Email Securityj. Institution of CERT-AMsk. SPCl. Compliance to the “Modello Organizzativo
Nazionale di Sicurezza ICT per la PAm. Assignments of the tasks described in the “Modello
Organizzativo Nationale Sic. ICT per la PA”n. Institution of the Security Responsibleo. Introduction of Security SLA/OLA in all services
contracts (see new ISCOM guidelines)
New Actions
4FORUM PA – Roma 8 Maggio 2006
CNIPA Security Guidelines for 2006
p. Piani formativi scolastici sulla Sicurezza
q. Campagne informative per i cittadini
r. Istituzione del Centro Nazionale di Sicurezza
Government Actions
5FORUM PA – Roma 8 Maggio 2006
A complex regulation framework
December 1996Legge 675/96 sulla privacyItalian Parl.
July 1999DPR 28 luglio 1999 n.318Italian Gover.
December 2001Linee guida in materia di digitalizzazione della PA per l'anno 2002
AIPA
April 2002DPCM 11 aprile 2002 – Valutazione e Certificazione di SicurezzaItalian Gover.
Feb 2002Direttiva sulla sicurezza nelle P.A. – Direttiva StancaMIT
July 2002Linee Guida dell'OCSE sulla sicurezza dei sistemi e delle reti d'informazione: verso una cultura della sicurezzaOCSE
June 2003Linee Guida dell'OCSE "for Protecting Consumers from Fraudulent and Deceptive Commercial Practices Across Borders" - giugno 2003OCSE
July 2002Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche del 12 luglio 2002
Privacy Garante
May 2003Spamming. Regole per un corretto invio delle e-mail pubblicitariePrivacy Garante
July 2002Comitato Tecnico Nazionale Sicurezza Informatica nella Pubblica AmministrazioneItalian Gover.
April 2003Decreto legislativo 9 aprile 2003, n. 68 - Attuazione della direttiva 2001/29/CE sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione
Italian Gover.
June 2003Decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personaliItalian Gover.
October 2003Decreto del presidente del Consiglio dei Ministri del 30 ottobre 2003 (Certificazione)Italian Gover.
December 2003Linee guida in materia di digitalizzazione dell'amministrazione per l'anno 2004MIT
December 2003Decreto-Legge del 24 dicembre 2003, n.354 - Disposizioni urgenti per il funzionamento dei tribunali delle acque, nonché interventi per l'amministrazione della giustizia.
Italian Gover.
February 2004Legge 26 febbraio 2004, n. 45Italian Parl.
December 2003Testo coordinato del decreto-legge 24 dicembre 2003, n.354Italian Gover.
March 2004Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la Pubblica AmministrazioneMIT/CTNS
Febrary 2005Decreto del Ministro per l'innovazione e le tecnologie e del Ministro delle comunicazioni 17 febbraio 2005, recante: Linee guida provvisorie per l'applicazione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione
MIT
July 2005Decreto interministeriale del 16 agosto 2005 – legge 155 del 31/7/2005Italian Gover.
March 2006Linee guida per la sicurezza ICT delle pubbliche amministrazioniCNIPA
IssuedLaw – Regulation - GuidelineOrganization
6FORUM PA – Roma 8 Maggio 2006
December 2005CERTENISA Inventory of CERT activities in Europe
February 2006Incident ManagementISCOM/ENISA – Managing Security Incidents and Emergencies
QualityISO9000 and SIX Sigma
Security AuditingOSSTMM – Open Source Testing Methodology Manual
Security AuditingISECOM – Institute for Security and Open Methodologies
February 2000Security AuditingStatement on Auditing Standard – SAS70 Type II
August 2004Incident managementSteps for Creating a National CSIRT – SEI Carnegie Mellon
March 04Incident ManagementNational Incident Management System – Homeland Security
N/AData ProtectionEuropean Privacy Law/Data Protection
June 2004Security GovernanceITU – network Security, protection our critical infrastructures
Business GovernanceSarbanes Oxley - SOX
System SecurityISO15408 – Common Criteria
March 2003Business ContinuityPAS56
January 1999IT Service ManagementIT Infrastructure Management (ITIL)
January 2005IT Service ManagementISO20000 – Service Management and BS15000
January 2006IT/Security GovernanceCOBIT 4.0
March 2006Incindent Managament & SOCISF - Incident Management Workshop
December 2005Security ManagementISO/IEC 17799:2005 -27001:2005
December 2004Incident & Security ManagementISO 18044 Information Security Incident Management
October 2004Incident Handling & SOCCERT - Defining Incident Management Processes for Computer Security Incident Response Teams (CSIRTs)
January 2004Incident HandlingNIST - Computer Security Incident Handling Guide
December 2003Incident Handling e Security MonitoringOrganizational Models for Computer Security Incident Security Response Teams (CSIRTs)
December 2001Incident HandlingFCCX - Computer Security Incident Response Guide
February 2001Security ManagementISO/IEC 17799/2000
June 1998Incident HandlingRFC 2350 - Expectations for Computer Security Incident Response
PublishedFocusLaw, Regulation or Guideline
International Regulations
8FORUM PA – Roma 8 Maggio 2006
EmailData Mining
Solutions for Customer Problems Today…
EmailPolicy Mgmt
EmailDiscovery
EmailCompliance
Email Archiving
Keep Email Running
Keep Email A Long Time
Keep Email & Find It Again
Keep Bad EmailFrom Happening
Keep Email AsAn Asset
9FORUM PA – Roma 8 Maggio 2006
UnstructuredData Warehouse
And Allowing Customers To Manage “The Rest Of Their Data” Tomorrow
Digital CommsArchive
CollaborationArchive
MessageArchive
Email Archive
Exchange,Domino,
SMTP
IM, Bloomberg,Blackberry
Files, Sharepoint,
Blog
VOIP,Voice Mail,Digital Fax
AnalyticApplications
10FORUM PA – Roma 8 Maggio 2006
Inte
rnet
Vault Store
Archive
VERITAS NetBackup/BackupExecVERITAS Storage FoundationVERITAS Storage Foundation HA (VCS)Symantec Solutions Enablement Services
Data Reduction
SMS 8160 Appliance
"Antispam Router"
Internal Email Protection
SMS for Microsoft ®
ExchangeSMS for Domino ®
Records Discovery and Retrieval
VERITAS EV Compliance Accelerator & Discovery Accelerator, Symantec Solutions Enablement Services
RecordsRetention
VERITAS Enterprise Vault (EV)Symantec Solutions Enablement Services
Risk and Data Reduction
Symantec Mail Security
Software/Appliance/Hosted
Resilient Foundation
Microsoft ExchangeIBM Notes Domino
MTA
SMTP Traffic
Manage Email Lifecycle
SMS = Symantec Mail Security
Solutions for Today
12FORUM PA – Roma 8 Maggio 2006
IT Compliance is intended to mitigate risks associated with a wide variety of high profile and growing challenges, including:� Information integrity
� Information & resource availability� Privacy
� Efficient use of public funds
However, current processes are fraught with challenges that limit the effectiveness of compliance efforts and actually divert resources (time, people, money) away from real security improvement.
Public Sector IT Compliance: Why focus on it?
13FORUM PA – Roma 8 Maggio 2006
Define ControlEnvironment Establish Controls
Oversight &Governance
� Risk Assessment
� Establish Policy
� Controls Design
� Controls Assessment
� Gap Definition
� Develop Controls
� Implementation Planning
� Audit & Examine Controls
� Evaluate Audit & Examination Findings
� Report on Controls Compliance
� Recommend Improvements
Continuous Improvement
Changing Responsibility for Compliance
IT Operations Becoming More Responsible
� Implement Controls � Document Controls
Continuous Improvement
SustainControls
State of Control State of Control
Compliance Management Infrastructure
15FORUM PA – Roma 8 Maggio 2006
Risk Management: il nuovo approccioI nuovi approcci al Risk Management propongono:
� Prevenire gli incidenti , attraverso l’adozione di contromisure (tecnologie e processi)
� Rilevare gli incidenti
� Rispondere agli incidenti per minimizzarne l’impatto e per rilevarne le cause
Incident Response:
� E’ la funzione organizzativa incaricata all’Incident Handling, ovvero alla Rilevazione e alla Risposta agli incidenti. Viene gestita da una funzione organizzativa denominata Incident Response Team (IRT) 1
1 La sigla generica che viene impiegata è CERT - Computer Emergency Response Team - è un marchi registrato dal CERT Coordination Center (www.cert.org), istituito presso la Carnegie-Mellon University. Le sigle alternative suggerite sono: IRT, SERT, CIRT, CSIRT.
16FORUM PA – Roma 8 Maggio 2006
I Benefici di un IRTGestione dell’Impatto
� L’IRT ha lo scopo di rilevare e gestire gli incidenti di sicurezza, riducendo o annullando l’impatto dell’incidente. Inoltre, attraverso il Monitoraggio in tempo reale, ha lo scopo di prevenire gli incidenti.
Cosa ha rilevato Symantec:
� La gestione degli incidentiattraverso una funzione di IRT opportunamente organizzatoporta nell’arco di un anno allariduzione fino al 70% degliincidenti di tipo grave
Percent of Companies Detecting Severe Events by Cli ent Tenure
0
20
40
60
80
100
120
1-3 4-6 7-9 10-12 13-15 16-18 19+
Client Tenure (Months)
Per
cent
of C
ompa
nies
Il dato è ricavato dal nostro studio semestrale “Internet Security Threat Report” prodotto attraverso il monitoraggio di 25.000 segmenti di rete e di oltre 800 clienti dei servizi di Monitoring diSymantec
20FORUM PA – Roma 8 Maggio 2006
What challenge is being addressed?
78% of application downtime is caused by manual change to the
IT infrastructure.
21FORUM PA – Roma 8 Maggio 2006
DATA PROTECTION
STORAGENETWORK SERVERS VIRTUAL MACHINES
DATABASES MIDDLEWARE APPLICATIONS
CUSTOM APPS
STORAGE MANAGEMENT
SERVER MANAGEMENT
APPLICATION PERFORMANCE
VantagePathFinderIntroscopeJProbeSitraka
AppManagerOEMPatrolFoglightDBArtisanDGITopazCCMSPACOptaneSilkTheGuardeHealth
ServiceGuardSun ClusterMSCSHA-CMPTrueClusterIBM TPM / TIOBMCHP OpenViewCAJumpstartOpswareBladelogicTivoli
AltirisClusterFramePolyserveGeoSpanQlustersSteelEyeKickstartN1 GridHP UDCADS, SMSMarimba
DLMLVMSVMASMMDUXSVCLDMOCFSDFMUFSZFSJFSGPFS
ECCAppIQCreekpathHiCommandTPMSAN CopyMirrorViewRepliStorTrueCopyDoubleTakePPRCSRDFMPIO
Sun SRMReiserFSSAN NavigatorAperiShadowImageInstantImageSnapViewShadow CopyFlashCopyTimeFinderExt3SANFSPowerPath
NetWorkerGalaxyArcServeMedia MirrorDiskXtenderEmailXtenderTSMSAM-FSData MigratorRSSNearStoreBrightStorMobile Backup
Data ProtectorEDMNT BackupOnTapNetVaultLiveVaultSyncSortRetrospectUltrabacTapewareDLM
TOOLS REQUIRED: 1 0 0
Current Data Center Complexity
23FORUM PA – Roma 8 Maggio 2006
Customer Perspective: Recovery Time & Objective
INVESTMENT
>RP
O/R
TO
Low-Level SLA Medium-Level SLA High-Level SLA
Local Clustering (HA)
Replication and Remote Mirroring
Global Clustering
Security Management (Firewall, IPS/IDS, Critical Sy stems Protection, Encryption, VM, AV)
Data Protection (Backup, Recovery, Vaulting)
Online Volume Management
Storage Checkpoints
LAN Clustering
WAN Clustering
Backup
Asynchronous Replication
SynchronousReplication
Vaulting
Online Volume Management, Storage Checkpoints, Poin t-in-Time Copies
Security
24FORUM PA – Roma 8 Maggio 2006
STORAGENETWORK SERVERS VIRTUAL MACHINES
DATABASES MIDDLEWARE APPLICATIONS
CUSTOM APPS
Veritas NetBackup
Veritas Storage Foundation
VeritasServer Foundation
Veritasi3 - APM
Symantec Data Center Foundation
Symantec Data Center Foundation
NetBackup(Enterprise & Workgroup)
PureDisk(Remote Office)
CC Service(Business Reporting)
Storage Foundation(Basic, Standard, Enterprise)
CC Storage(SAN Management & SRM)
CC Service(Business Reporting)
Cluster Server(High Availability, DR mgmt.)
Provisioning Mgr.(OS, App, Patch Provisioning)
Configuration Mgr.(Discover, Map & Track)
Indepth(Root Cause Analysis)
Inform(Trend Analysis)
Insight(Multi-tier Visibility)