standards di sicurezza e percorsi di certificazione - aiea.it · -iso/iec 17799-bs iso/iec...

Business Consulting Services

Copyright IBM Corporation 2005

Standards di Sicurezza e Percorsi diCertificazione

Firenze 19, 20 Maggio 2005

XIX XIX ConvegnoConvegno NazionaleNazionale didiInformation System AuditingInformation System Auditing

| | 2



Agenda

II

IIII

IIIIII

IVIV

VV

VIVI

VIIVII

StandardsStandards di Sicurezza tecnici e di Sicurezza tecnici e organizzativiorganizzativi

Caratteristiche degli Caratteristiche degli standardstandard

Il percorso evolutivoIl percorso evolutivo

Processo di CertificazioneProcesso di Certificazione

Normativa e legislazione in Normativa e legislazione in tema di Sicurezzatema di Sicurezza

Lo stato dellLo stato dellartearte

Le Le capabilitiescapabilities e i e i RiferimentiRiferimentiin IBMin IBM

| | 3



Cos uno standard di sicurezza IT?

(per lutente) Un modo per definire i requisiti di sicurezza IT per alcune classi di prodotti IT:- Hardware- Software- Combinazione dei due

(per lo sviluppatore/produttore) Un modo per descrivere le caratteristiche/potenzialit di sicurezza dei propri prodotti(per il valutatore) Uno strumento per misurare il livello di assicurazione/garanzia che pu essere associato ad un particolare prodotto/servizio di sicurezza

| | 4



Tipologie di standards di sicurezza (1/3)

Per quanto riguarda gli aspetti tecnici:- TCSEC - ITSEC (1991)- ISO/IEC 15408 o Common Criteria (1999)- NIST-FIPS (per apparati crittografici)- NIST-HIPAA (per i sistemi informatici in ambito sanitario)

Per quanto riguarda gli aspetti organizzativi:- ISO/IEC TR 13335 (GMITS) Guidelines for the Management of IT Security- BS 7799

- ISO/IEC 17799

- BS ISO/IEC 90003:2004 Software engineering. Guidelines for the application of ISO 9001:2000 to computer software

| | 5



Tipologie di standards di sicurezza (2/3)

Tengono in considerazione tre aspetti fondamentali:ITSEC e ISO/IEC 15408

piano della garanzia

FunzionalitCorrettezza

Efficacia

In diretta relazione con gli obiettivi di riservatezza, integrit, disponibilit.E la logica applicazione delle politiche di sicurezza tecnica specifiche individuate. In pratica si realizza attraverso misure tecniche che contrastano le minacce.

E' il grado di rispondenza dell'implementazione della soluzione ICT ai requisiti espressi dalle Funzionalit.Indipendente dall'efficacia e dalle minacce.Strettamente dipendente dalla qualit della realizzazione e quindi dalla bont del processo che l'ha governata.

E' il grado in cui le misure tecniche contrastano le minacce da cui il sistema o prodotto si propone di difendersi.Ha significato solo in relazione ad un ben determinato insieme di minacce.

| | 6



Tipologie di standards di sicurezza (3/3)Nel 1995 stato definito lo standard BS7799..ripreso nel 2000, nella sua prima parte, dalla norma ISO/IEC17799:... nel 2002 rivista la parte 2 ed introdotto lapproccio Plan/Do/Check/Act

BS7799 BS7799 parte Iparte I

shouldshould

Elenca le best practicesuggerite per implementare un programma per la sicurezza delle informazioni

BS 7799 BS 7799 parte IIparte II

sshallhall

Elenca i processi ed i controlli per implementare e certificare un sistema di gestione della sicurezza delle informazioni

Obiettivo BS7799:ottimizzazione rapporto costi/benefici delle misure di sicurezza.

| | 7



Agenda

II

IIII

IIIIII

IVIV

VV

VIVI

VIIVII








| | 8



Standard Tecnici vs Standard Organizzativi

Standard organizzativo per la Gestione della Sicurezza delle InformazioniNon fornisce elementi di valutazione oggettiva della sicurezza del sistema ICT, poich:

utilizza spesso termini come appropriato, adeguato e forme verbali condizionali quali dovrebbe,non richiede necessariamente che tutte le aree d'intervento, e le relative misure, siano soddisfatte.

La valutazione demandata alla competenza dell'auditor nello stabilire, per ogni punto d'intervento, se le relative misure siano appropriate.

ISO/IEC 1:7799ITSEC & ISO/IEC 15408Criteri di valutazione formaledella sicurezza IT IT di sistemi e prodotti

- non sono norme ma criteri: identificano le verifiche da eseguire nel corso della valutazione.

- formale: cio basata su azioni note, imparziali, ripetibili, riproducibili (metodologie).

- hanno come oggetto le contromisure IT, anche se il contesto dell'ambiente di esercizio deve essere descritto con tutte le contromisure anche di altro genere.

Valutare significa dare garanzia (assurance) per le funzionalitdefinita nel Target di Sicurezza

| | 9



Complementariet degli standards

BS7799ISO/IEC 17799

Infrastrutturaorganizzativa

ITSECISO 15408

(CC)

Test dintrusione/ vulnerabilit

Standarddi valutazionee metodologie

Aspetti Tecnici

| | 10



Agenda

II

IIII

IIIIII

IVIV

VV

VIVI

VIIVII








| | 11



Il percorso evolutivo degli standard

ISO 15408

standard ISO(ISO 15408)

1985

Versionedefinitiva TCSEC

Avvio attivitISO

1990

UE sponsordi ITSEC

1995 1999

NSA e NIST

EuropeanNational

& RegionalInitiatives

89-93

CanadianInitiatives

89-93

CommonCriteriaProject

93--

ISOIS 15408

99

USTCSEC

83, 85

USTCSEC

83, 85

CTCPEC3

93

FederalCriteria

92

FederalCriteria

92

CommonCriteria

1.096

CommonCriteria

1.096

CommonCriteria

2.199

CommonCriteria

2.199

NISTsMSFR

90

ITSEC1.2

91

ITSEC1.2

91ISO

Initiatives92--

=

| | 12



Il percorso evolutivo degli standard

Primi90s

Riferimento Sicurezza risorse informative

1993Pubblicazione Best Practice

1995

Standard britannico BS7799

1998Specifiche sistema di gestione della sicurezza delle informazioni (part2)

2000

Standard ISO(ISO 17799)

Nuova parte 2 (BS7799-2/2002)Plan-Do-Check-Act

ISO 17799

2002

| | 13



TCSEC Trusted Computer Systems Evaluation Criteria

INTRODUCE IL CONCETTO DI "POLITICA DELLA SICUREZZA"COME GUIDA FORMALE, ESPLICITA E CONOSCIUTA ALLA ESECUZIONE DELLE CONTROMISURE

INTRODUCE IL CONCETTO DI"CONTROMISURA" COME ATTO A PROTEZIONE DEL BENE ADEGUATO AL VALORE DEL BENE E AL LIVELLO DI RISCHIO DELL'AGGRESSIONE

Impattoimplementativo

Requisiti

ALTO

BASSO

DD

C2C2B1B1

B2B2B3B3

A1A1

C1C1

LEGENDAclasse D : Protezione minimaleclasse C 1 : Protezione discrezionaleclasse C 2 : Controllo accessi (discrezionale)classe B 1 : Classificazione degli oggetti (discrezionale)classe B 2 : Protezione strutturata (mandatoria) classe B 3 : Dominio sicuro (mandatoria)classe A 1 : Protezione verificabile (certificata)

Approccio basato sullanalisi del disegno, dellimplementazione, della documentazione e delle procedureEnfasi sui requisiti di ConfidenzialitaPensato per sistemi operativi

| | 14



ITSEC Information Technology Security EvaluationCriteria

ORIENTATO ALLA VALUTAZIONE DI SISTEMI O DI PRODOTTI SPECIFICI

INTRODUCE IL CONCETTO DI T.O.E. (TARGET OF EVALUATION): insieme del prodotto/sistema e la relativa documentazione utente soggetta a valutazione T.T. O.O.

E.E.

FUNZIONALITA'DI SICUREZZA

PREVISTE

LIVELLO DI FIDUCIA(ASSURANCE)

Valutazione "DISACCOPPIATA" tra le funzioni di sicurezza previste e il grado di fiducia, CONOSCENZA, sulla correttezza e sulla idoneit delle funzioni realizzate

INTRODUCE IL CONCETTO DI SECURITY TARGET in cui il produttore stabilisce i criteri di sicurezza funzionale (Non forniti da ITSEC)

| | 15



ITSEC - Funzionalit di sicurezza (security requirements) e Livelli di Fiducia (assurance level)

CLASSI FUNZIONALI :

Identification andauthenticationAccess controlAuditObject reuseAccuracyReliability of serviceData exchange

10 livelli di classificazioneC1 A

Discrezionale Certificata 6 LIVELLI GERARCHICI E1-E6

E1 E6

EFFECTIVENESS

CORRECTNESS

COSTRUZIONE

OPERATIVITA'

COSTRUZIONE

OPERATIVITA'{AMBIENTE SVILUPPOLINGUAGGI.........

DOCUMENTAZIONE.........

FACILTA' D'USO.......

ROBUSTEZZA........{

CRITERI DI VALUTAZIONE :

| | 16



Common Criteria

Cos un Common Criteria?Una struttura e un linguaggio comune per esprimere requisiti di sicurezza per prodotti/servizi IT (Parte 1)Raccolta di componenti e set di requisiti di sicurezza per prodotti/servizi IT (Parte 2 & 3)

Come utilizzare un Common Criteria?Sviluppo di Profili di Protezione e di Target di Sicurezza, requisiti di sicurezza specifici per prodotti e sistemi ITCriterio di scelta di prodotti/sistemi IT da parte dellutilizzatore/acquirenteValutare prodotti e sistemi a fronte di requisiti conosciuti e accettati ( CONFIDENZA)

IS 15408-1: Criteri di Valutazione per la Sicurezza IT -Parte 1: Introduzione e modello generale, 1999.

IS 15408-2: Criteri di Valutazione per la Sicurezza IT -Parte 2: Requisiti di sicurezza funzionali, 1999.

IS 15408-3: Criteri di Valutazione per la Sicurezza IT -Parte 3: Requisiti di assicurazione della sicurezza, 1999.

| | 17



2. Requisiti di assicurazione (risponde alla domanda: il prodotto/sistema costruito in maniera corretta/affidabile?) - fondamentali per stabilire la

fiducia che si pu riporre nelle funzioni di sicurezza sia in termini di correttezza di implementazione sia in

termini di efficacia di soddisfare gli obiettivi propri delle stesse funzioni di sicurezza.

Common Criteria - Tipologie dei requisiti

1. Requisiti funzionali (risponde alla domanda: cosa in grado di fare un prodotto/sistema?) -

fondamentali per definire i comportamenti in materia di sicurezza dei prodotti e sistemi informatici. I

requisiti effettivamente implementati diventano cosfunzioni di sicurezza.

| | 18



Comparazione tra ITSEC e Common Criteria

I Common Criteria attingono agli standard precedenti prendendo i punti di forza dei vari standard. I Common Criteria abbandonano la flessibilit totale dellITSEC e dei Federal Criteria nellutilizzo dei protection profile e delle classi di sicurezza predefinita. Per guidare gli utenti la definizione delle classi contiene informazioni circa gliobiettivi di sicurezza, i razionali, le minaccie, etc.La maggiore flessibilit dellITSEC lo rende di pi semplice utilizzo nel caso divalutazione di un sistema, mentre i Common Criteria sono pi orientati allavalutazione di un prodottoI Common Criteria rimpiazzeranno lITSEC

| | 19



Tabella di corrispondenza TCSEC, ITSEC e CC

EAL6E5B3

-E0D

EAL1--

EAL2E1C1

EAL4E3B1

EAL7E6A1

EAL5E4B2

EAL3E2C2

CCITSECTCSEC

| | 20



Standard BS7799BS7799-1Utilizzare un framework condiviso da tutti persviluppare, implementare e monitorare le modalit di gestione della sicurezza per migliorare la fiducia nelle relazioni interaziendali

ISMSISMS

Pianificazione

Verifica

ImplementazioneValutazione

10. Compliance

1. Politica di sicurezza2. Organizzazione di sicurezza

3. Controllo e classificazione asset

9. Business Continuity Management

4. Sicurezza personale

5. Sicurezza fisica

6. Operations and communication7. Controllo accessi

8. Sviluppo e manutenzione sistemi

BS7799-2Indica i requisiti per la certificazione di un.. sistema di gestione per la sicurezza delle informazioni

Obiettivi di Obiettivi di controllocontrollo12

7 127

controllicontrolli

| | 21



Agenda

II

IIII

IIIIII

IVIV

VV

VIVI

VIIVII








| | 22



Il processo di Certificazione ISO 15408

Developer /SponsorFornitore/Committente

CLEF/LVS

Certification BodyOrganismo Certificazione

Sponsor

TOE Definition Deliverables

Evaluation Technical Report

Certification Report

ProblemReport

Il processo di certificazione dei CC e dellITSEC simile

CLEF Commercial Evaluation Facility

LVS Laboratorio per la Valutazione della Sicurezza

ProblemReport

TOE Target of Evaluation

ODV Oggetto Della Valutazione

ISCTI ( Istituto Superiore delle Comunicazioni e delle Tecnologie delle Informazioni) Organismo Certificatore

| | 23



Definizione delle PoliticheDefinizione dellAmbitoInventario AssetClassificazione AssetRisk AssessmentRisk ManagementSelezione ControlliAllineamento e integrazione col Sistema QualitSOA Redazione documentazione ISMS

Il processo di Certificazione BS7799

AuditperiodiciAuditperiodici

CertificatoCertificatoCertificatoCertificato

Audit inizialePre-valutazione

Pre-valutazione

Realizzazione

Azienda

Realizzazione

Azienda Auditor(s)Auditor(s)

Creazione della consapevolezzaCreazione della consapevolezza

Mantenimento(chiusura NC)

AI,Fase 2AI,

Fase 2

Gruppo di AuditEsperti tecnici (ev.)

AI,Fase 1

AI,Fase 1

Riesamedella

documentazione

| | 24



Agenda

II

IIII

IIIIII

IVIV

VV

VIVI

VIIVII








| | 25



DPCM 30 Ottobre 2003 G.U. n.98 del 27/4/2004

Normativa di Riferimento:ITSEC (Giugno 1991);ITSEM (Information Technology Security Evaluation Manual Settembre 1993);Raccomandazione del Consiglio dellUE (95/144/CE): concernente lapplicazione dei criteri per la valutazione della sicurezza della tecnologia dellinformazione (Aprile 1995);ISO/IEC 15408 (ver. 2.1 dei Common Criteria for Information Technology Security Evaluation);ISO/IEC n. 17799: Codice di buona pratica per la gestione della sicurezza dellinformazione (2000);UNI CEI EN ISO/IEC 17025:2000 concernente i requisiti generali per la competenza dei laboratori di prova e di taratura;UNI CEI EN 45011: concernente i requisiti generali relativi agli organismi che gestiscono sistemi di certificazione di prodotti

Approvazione dello Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dellinformazione

| | 26



Dettagli sulla normativa

Introduzione di uno SCHEMA NAZIONALE per la valutazione e certificazione di sistemi e prodotti informatici, in conformit con gli standard ITSEC e ISO/IEC 15408;

Lo schema nazionale reca linsieme delle procedure e regole nazionali per la valutazione e la certificazione in conformit ai criteri europei ITSEC o standard ISO/IEC 15408 (Common Criteria);

Identificazione nellIstituto Superiore delle Comunicazioni e delle Tecnologie dellInformazione (ISCTI) come Ente avente facolt di accreditare i LVS (Laboratori per la Valutazione della Sicurezza);

Identificazione negli ODV (Oggetti di Valutazione) degli elementi per i quali verr richiesta la valutazione/certificazione;

Descrizione del processo di richiesta, valutazione e certificazione degli ODV;

Lo SCHEMA NAZIONALE non si applica per i sistemi e prodotti che trattino informazioni classificate (cfr. DPCM 11/4/2002).

| | 27



DPCM 11/4/2002 G.U. n.131 del 6/6/2002

Normativa di Riferimento: P.C.M - A.N.S. Normativa Unificata per la Tutela del Segreto di StatoAtto della Commissione europea del giugno 1991 con il quale sono stati stabiliti i criteri di valutazione della sicurezza dei sistemi informatici denominati "ITSECAtto del Comitato di gestione dell'ISO che recepisce quale InternationalStandard ISO/IEC IS n. 15408, la versione 2.1 dei "Common Criteria"

Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioniclassificate, concernenti la sicurezza interna ed esterna dello Stato

Lente di certificazione l A.N.S (Autorit Nazionale per la Sicurezza)

Centro di Valutazione Ce.Va. Competente per le valutazioni di sicurezza di un prodotto o un sistema. Viene accreditato dallA.N.S.

| | 28



D. Lgs. 196/03 T.U. Privacy - Misure minime di sicurezza

I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante ladozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalit della raccolta(cfr. art. 31)

Nel quadro dei pi generali obblighi di sicurezza di cui allart. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dellarticolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

(cfr. art. 33)

MISURE DI SICUREZZA

ResponsabilitResponsabilit civilecivile ResponsabilitResponsabilit penalepenale

| | 29



Agenda

II

IIII

IIIIII

IVIV

VV

VIVI

VIIVII








| | 30



Lo stato dellarte dei prodotti certificati

La lista dei prodotti certificati Common Criteria in costante aggiornamento e pu essere consultata allindirizzo:

- http://www.commoncriteriaportal.org/

I prodotti certificati ad oggi sono 241, suddivisi nelle seguenti tipologie:Access Control Devices and Systems 3

Boundary Protection Devices and Systems 42

Data Protection 13

Databases 13

Detection Devices and Systems 3

ICs, Smart Cards and Smart Card related Devices and Systems 61

Key Management Systems 16

Network and Network related Devices and Systems 16

Operating systems 31

Other Devices and Systems 43

Prodotti certificati nel 2004 56Prodotti certificati nel 2005 18

| | 31



Lo stato dellarte dei prodotti IBM certificati

La lista dei prodotti IBM certificati in costante aggiornamento e pu essere consultata allindirizzo:

- http://www.ibm.com/security/standards/st_evaluations.shtml

- Di seguito alcuni dei prodotti certificati:

- IBM Cryptographic chip for PC CC EAL3- IBM 4758 Cryptographic Co-Processor NIST FISP 140-1 Level 4- Tivoli Access Manager for e-business CC EAL3+- Tivoli Identity Manager for e-business on going (3Q)- Tivoli Amos on going (2Q) - IBM Directory Server CC EAL3- IBM DB2 UDB CC EAL4 +- IBM DB2 Content Manager CC EAL3- AIX 5L CC EAL4+- ZSeries Logical Partition LPAR zseries 900 PR/SM CC EAL5

| | 32



Le aziende che raggiungono la Certificazione BS7799 sono in rapida crescita

30/9/03

Le societ certificate: situazione 2003 vs 2005

15873111231189511311111375453

18516

LuxemburgJapanKoreaMacauMacedoniaMalaysiaMexicoMoroccoNetherlandsNorwayPolandQatarRomaniaSaudi ArabiaSingaporeSlovakiaSloveniaSouth AfricaSpainSwedenSwitzerlandTaiwanUAEUKUSA

2115231111211336317134911122311

ArgentinaAustralia Austria BelgiumBrazil ChinaColombiaCzech RepublicDenmarkEgypt Finland GermanyGreeceHong KongHungaryIceland IndiaIrelandIsle of ManItalyLebanonLithuania

nCountrynCountry

TOTALE societ certificate nel mondo

Fonte: www.xisec.com (dati aggiornati al 8.04.05)

305305

30/9/04

890890

8/4/05

11901190

Societ appartenenti al gruppo IBM certificate:

IBM BCRS Italia (dicembre 2004) IBM BCRS Cina (ottobre 2004)

Societ appartenenti al gruppo IBM certificate:

IBM BCRS Italia (dicembre 2004) IBM BCRS Cina (ottobre 2004)

| | 33



Le capabilities IBM in ambito Certificazione

LIBM possiede due laboratori di Valutazione (Commercial Evaluation FacilityCLEF) in UK ed in Canada per la preparazione del processo di certificazione sia per prodotti interni che esterni (ITSEC e Common Criteria).La Practice internazionale di Security&Privacy offre supporto metodologico e specialistico alle aziende per il percorso di Certificazione verso la norma BS7799-2.

| | 34



Riferimenti

Common Criteria http://www.commoncriteriaportal.org

INFOSEC http://www.cordis.lu/infosec/home.html

Raccomandazione CE del 7/4/1995 http://www.cordis.lu/infosec/src/itserec.htm

Computer Security Resource Center (CSRC) NIST http://csrc.nist.gov/index.html

| | 35



Struttura gerarchica dei Common Criteria: un esempio di Gerarchia

La gerarchia dei requisiti funzionali e di assicurazione dei CC rappresenta una logica costruttiva che organizza i costituenti dei requisiti di sicurezza nei seguenti

elementi:-- Classe Classe (ad es. FDP Protezione dei dati utente):

un insieme di famiglie che condividono uno stesso focus.-- Famiglia Famiglia (ad. es. FDP_ACC Politica di Controllo Accessi):

un gruppo di componenti che condividono obiettivi di sicurezza ma che possono differire in termini di enfasi e/o rigore.

-- Componente Componente (ad. Es. FDP_ACC.1 Sottoinsieme di Controllo Accessi): linsieme elementare di sottoelementi che possono essere inclusi in un PP,ST o package.

(Req. (Req. funzionalifunzionali o o didiassicurazioneassicurazione))

Flessibilit nel definire i requisiti

PP Project Profile (generico)ST Security Target (specifico)

FAMIGLIA

CLASSE

Componente

PP o STPP o ST

FAMIGLIA

Componente Componente

standards di sicurezza e percorsi di certificazione - aiea.it · -iso/iec 17799-bs iso/iec...

Documents