Analisi dei rischi e gestione della sicurezza ICTredazione.regione.campania.it/farecampania/scaffale_formativo... · Analisi dei rischi e gestione della sicurezza ICT Relatore - Dr

CENTRO DI FORMAZIONE STUDI

Analisi dei rischi e gestione della sicurezza ICT

Relatore - Dr. Oreste Romei

I driver della sicurezza ICT

In ragione della sua natura di Pubblica Amministrazione al servizio del cittadino, di altre pubbliche amministrazioni e di organizzazioni private, la Regione detiene informazioni pubblicamente accessibili ed informazioni riservate ai fini della “privacy”: la modifica non autorizzata delle informazione pubblicate e la diffusione di quelle riservatesono azioni che hanno come conseguenza la perdita di immagine, la violazione delle norme sulla custodia di dati riservati, il danno per organizzazioni e persone che a vario titolo si associano alle attività dell’Ente.

Un efficace sistema di gestione della sicurezza ICT deve quindi supportare i processi di intermediazione tra Ente ed utenza, garantendo, nel corso del tempo ed in presenza di situazioni mutevoli, le condizioni di sicurezza necessarie alla realizzazione della missione istituzionale dell’Ente attraverso l’uso delle tecnologie ICT.




L’adozione di un sistema di gestione della sicurezza ICT si basa su due driver principali:

la sicurezza ICT come fattore abilitate l’attuazione del “Codice dell’Amministrazione digitale” e quindi il compimento della missione dell’Ente anche mediante l’uso di tecnologie ICT;

il quadro normativo, alla costruzione del quale hanno concorso il Governo (decretazione e strategie per l’innovazione), la PAC (deliberazioni attuative negli ambiti di competenza dei Ministeri) ed il CNIPA (authority tecnica).

La necessità di definire un quadro unitario della sicurezza ICT nella PA, ha portato all’istituzione del "Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni“ presso il CNIPA (decreto interministeriale siglato il 24 luglio 2002 tra il Ministro per l’Innovazione e le Tecnologie e il Ministro delle Comunicazioni), che ha redatto e pubblicato nel 2004 la prima versione delle “Linee guida per la sicurezza ICT delle pubbliche amministrazioni” , documento introduttivo al Piano Nazionale e al Modello organizzativo della sicurezza ICT per la PA.



Altro tema che ha contribuito ad ampliare la base normativa riguardante la sicurezza ICT nella PA, èquello del documento informatico e della sua archiviazione in relazione ad aspetti quali la privacy, la protocollazione, la firma digitale, la PEC ed in generale il Codice dell’Amministrazione Digitale. Queste iniziative, insieme alle deliberazioni dei vari dicasteri negli ambiti di competenza, hanno generato un notevole corpus normativo di cui riportiamo alcune delle disposizioni di maggiore rilievo ai fini della sicurezza:

• D.Lgs. 7 marzo 2005, n. 82, Codice dell’Amministrazione digitale • D.Lgs. 30 giugno 2003 n. 196, Codice in Materia di Protezione dei Dati Personali• Direttiva MIT del 16 gennaio 2002, Sicurezza informatica e delle telecomunicazioni nelle pubbliche

amministrazioni• DPR 10 novembre 1997, n. 513, Regolamento contenente criteri e modalità per la formazione, l’archiviazione e

la trasmissione di documenti con strumenti informatici e telematici

• DPCM 8 febbraio 1999, Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la

riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’art. 3, comma 1, del DPR 10 novembre 1997, n. 513

• DPR 11 febbraio 2005, n. 68, Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3

• Deliberazione CNIPA n. 4/2005, Regole per il riconoscimento e la verifica del documento informatico• Deliberazione CNIPA n. 11/2004, Regole tecniche per la riproduzione e conservazione di documenti su

supporto ottico idoneo a garantire la conformità dei documenti agli originali

ISMS: standard di riferimento per la PA


ISMS (Information Security Management System) : sistema di gestione che include struttura organizzativa, policy, pianificazione delle attività, responsabilità, pratiche, procedure, processi , risorse e documentazione.

A partire da una politica di sicurezza (policy) che riflette le esigenze operative e le finalitàdell’organizzazione, un ISMS deve cogliere i seguenti obiettivi di carattere generale:

• individuare le informazioni e i servizi da sottoporre a protezione;• quantificare le esigenze di sicurezza in relazione alle esigenze di riservatezza, integrità,

disponibilità e autenticità;• individuare adeguati meccanismi di mantenimento della sicurezza;• individuare le persone responsabili del mantenimento del sistema di sicurezza.

Il MIT ha recepito con la Direttiva del 16 gennaio 2002 “Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni” i principi ispiratori degli standard ISO/IEC IS 17799:2005 (Code of Practice) e ISO/IEC IS 27001:2005 (ISMS), che divengono pertanto gli standard di riferimento nella PA ai fini dell’adozione di un ISMS e di una sua eventuale certificazione presso terzi.Quale relazione esiste tra i due standard? Sostanzialmente, ISO 27001 definisce un modello di ISMS finalizzato alla realizzazione e al mantenimento dei controlli di sicurezza specificati dalla ISO17799 e riportati nell’Annex A.



ISO 27001

Lo standard definisce un processo ciclico di gestione basato sull’approccio PDCA (Plan-Do-Check-Act).

La valutazione del rischio comprende una attenta valutazione costo/beneficio che discrimina la modalità di trattamento del rischio.

Risk Analisys

Identificazione dei rischi

Valutazione del rischio

Mitigazione e selezione dei controlli

ISO17799 ed altri controlli

Implementazione dei controlli

Ambitooperativo

Security Policy

Evitamento, accettazione,trasferimento



ISO 17799:2005

Lo standard definisce i controlli necessaria a mitigare o eliminare il rischio in relazione agli attributi di confidenzialità, integrità, disponibilità:

confidenzialità: prevenzione dalla divulgazione non autorizzata delle informazioni, accesso controllato alla informazione da tutelare e limitazione della sua diffusione; danno economico diretto legato al valore proprio delle informazioni e la possibilità di azioni legali quando l’organizzazione è tenuta a garantire la privacy delle informazioni detenute;

integrità: prevenzione da modifiche non autorizzate, conservazione del formato (integrità fisica) e del contenuto (integrità semantica) delle informazioni;possibilità di frode, stime e decisioni sbagliate;

disponibilità: protezione da sovraccarichi e malfunzionamenti di rete, sistemi ed applicazioni, possibilità di accesso in tempo utile ad informazioni, servizi e risorse;perdita di produttività degli utenti e la riduzione degli introiti derivanti dall’erogazione dei servizi medesimi.



1: Risk Assessment2: Security policy - management direction3: Organization of information security - governance of information security4: Asset management - inventory and classification of information assets5: Human resources security - security aspects for employees joining, moving and leaving an organization6: Physical and environmental security - protection of the computer facilities7: Communications and operations management - management of technical security controls in systems and networks8: Access control - restriction of access rights to networks, systems, applications, functions and data9: Information systems acquisition, development and maintenance - building security into applications10: Information security incident management - anticipating and responding appropriately to information security breaches11: Business continuity management - protecting, maintaining and recovering business-critical processes and systems12: Compliance - ensuring conformance with standards, laws and regulations

La ISO 17799 riporta 133 controlli organizzati in 12 sezioni:



Il FISMA (Federal Information Security Management Act) è il framework di gestione del NIST (National Institute for Standard and Technologies), di riferimento per le organizzazioni governative e federali USA. La serie SP 800 è il riferimento documentale del FISMA.


Il FISMA individua tre aree del security management.


Security Area Security Criteria

Management Security

Assignment of responsibilitiesContinuity of supportIncident response capabilityPeriodic review of security controlsPersonnel clearance and background investigations Risk assessment Security and technical training Separation of duties System authorization and reauthorization System or application security plan

Operational Security

Control of air-borne contaminants (smoke, dust, chemicals) Controls to ensure the quality of the electrical power supply Data media access and disposal External data distribution and labeling Facility protection (e.g., computer room, data center, office) Humidity control Temperature control Workstations, laptops, and stand-alone personal computers

Technical Security

Communications (e.g., dial-in, system interconnection, routers) Cryptography Discretionary access control Identification and authentication Intrusion detection Object reuse System monitoring and audit


CLASS FAMILY IDENTIFIER IDENTIFIER

Management

Risk Analysis RA Planning PL System and Services Acquisition SA Certification, Accreditation, and Security Assessments CA

Operational

Personnel Security PS Physical and Environmental Protection PE Contingency Planning CP Configuration Management CM Maintenance MA System and Information Integrity SI Media Protection MP Incident Response IR Awareness and Training AT

Technical

Identification and Authentication IAAccess Control AC Audit and Accountability AU System and Communications Protection SC

I controlli di sicurezza sono strutturati in classi e famiglie, dove le classi fanno riferimento alle tre aree del Security Management (Management, Operational, Technical) e le famiglie a gruppi di controlli omologhi per funzione di sicurezza.


ISMS: standard di riferimento

La certificazione dell’ISMS nella PA

“Contesti a massima priorità (certificazione altamente raccomandata)Per ciò che concerne la criticità dei contesti appare prioritario citare quelli attinenti allatutela dell’incolumità fisica e della salute dei cittadini. Si tratta infatti di contesti per iquali, in settori diversi da quello relativo alle tecnologie ICT, lo Stato ha ritenuto non sufficientile autocertificazioni o le certificazioni volontarie ed ha quindi introdotto l’obbligodi verifiche di terza parte….. L’importanza di eseguire certificazioni di sicurezza ICT nei contesti relativi alla tutela dell’incolumità fisica e della salute dei cittadini risulta evidente una volta che si consideri il ruolo sempre più centrale che i sistemi ICT stanno assumendo in tali contesti. Un malfunzionamento, accidentale o provocato, di tali sistemi può infatti in molti casi produrre gravissimi danni alle persone, se non addirittura la perdita di numerose vite umane….. Altri contesti a priorità molto elevata dal punto di vista della certificazione di sicurezzasono quelli in cui il danno, pur essendo solo di tipo economico, può essere comunquemolto rilevante sia per il cittadino sia per lo stato.”

(estratto dalla “linee guida”, CNIPA, marzo 2006)


Metodologia della Risk Analisys

Il processo di analisi dei rischi associati all’esercizio di un sistema info-telematico, si compone di sei fasi:

- Analisi del contesto e valutazione degli asset

- Identificazione delle minacce e degli attaccanti

- Identificazione delle vulnerabilità

- Determinazione della probabilità

- Analisi dell’impatto

- Determinazione del rischio



1 - Analisi del contesto e valutazione degli asset

La prima fase consiste nell’acquisizione delle informazioni necessarie a delineare il contesto operativo da sottoporre a protezione. Tale attività (Information Gathering) ha come obiettivi la rilevazione degli asset da proteggere, le relazioni funzionali tra questi, l’individuazione delle utenze, la caratterizzazione dei flussi gestionali ed organizzativi del sistema informativo in termini di accesso a risorse ed informazioni, policy di sicurezza e controlli messi in opera per la loro attuazione.

Gli asset sensibili (target) sono classificati in base ai servizi erogati, alle informazioni custodite, alla loro rilevanza ai fini dell’operatività aziendale. La classificazione di sicurezza dell’asset è descritta in termini di perdita o degradazione di uno dei tre attributi di sicurezza associabili al trattamento dell’informazione da parte di un sistema di elaborazione (riservatezza, integrità, disponibilità).

Il valore dell’asset riferito agli attributi di sicurezza può essere misurato quantitativamente (valore proprio delle informazioni, ad es. brevetti, perdita di introiti in relazione al tempo di fermo del sistema), oppure considerando una scala di valori quali-quantitativa (perdita di immagine, pregiudizio su future attività).

In termini generali, possiamo fare riferimento ad una classificazione quali-quantitativa del tipo riportato nella seguente tabella, dove il valore dell’asset viene correlato all’impatto che la perdita di uno dei suoi attributi di sicurezza produce sull’operatività aziendale.




Livello dell’impatto Definizione dell’impatto

Alto

La perdita di riservatezza, integrità o disponibilità comporta un effetto avverso distruttivo sull’operatività, i beni, e sulle persone associati all’attivitàaziendale. L’esercizio della vulnerabilità può comportare la distruzione di beni con una perdita di valore economico molto elevato, oppure essere di sostanziale impedimento al compimento della missione aziendale, oppure essere causa di gravi pericoli per la vita e l’integrità fisica di persone.

Moderato

La perdita di riservatezza, integrità o disponibilità comporta un rilevanteeffetto avverso sull’operatività, i beni, e sulle persone associati all’attivitàaziendale. L’esercizio della vulnerabilità può risultare in una perdita economica, oppure costituire un ostacolo al compimento della missione aziendale, oppure essere causa di pericolo per l’integrità fisica di persone.

Basso

La perdita di riservatezza, integrità o disponibilità comporta un limitatoeffetto avverso sull’operatività, i beni, e sulle persone associati all’attivitàaziendale. L’esercizio della vulnerabilità può risultare in una perdita economica limitata, oppure costituire una limitazione marginale al compimento della missione aziendale.

Ogni asset informativo o tecnologico viene classificato attribuendo una terna di valori in relazione alle specifiche funzioni ed informazioni trattate:

SC asset = [(riservatezza, BASSO), (integrità, BASSO), (disponibilità, ALTO)]


2- Identificazione delle minacce e degli attaccanti

La seconda fase consiste nell’individuazione delle potenziali minacce (threat) cui i target possono essere sottoposti in relazione agli aspetti di riservatezza, integrità e disponibilità, e degli attaccanti (threat-source) che possono esercitare una minaccia ed operare una violazione delle policy di sicurezza. Gli attaccanti possono essere umani o ambientali e possono - consapevolmente o inconsapevolmente nel caso di attaccante umano - attuare un attacco utilizzando una o più vulnerabilità del target, dove per vulnerabilità si intende una debolezza del sistema che può essere sfruttata accidentalmente o intenzionalmente (baco del software, rete di telecomunicazione non ridondata, assenza di gruppi di continuità elettrica, presenza di condutture idriche nei locali ospitanti i sistemi, ecc.) .

E’ da evidenziare che la vulnerabilità è il tramite tra attaccante ed esercizio della minaccia, ovvero ove non esistano vulnerabilità sfruttabili da un attaccante questi non può esercitare alcuna minaccia.La caratterizzazione della minaccia deve riportare il suo potenziale impatto in termini di riservatezza, integrità e disponibilità su informazioni o sistemi interessati:


EventoAttributi Sicurezza

Riservatezza Integrità DisponibilitàEA-001 X XTK-034 X


3- Identificazione delle vulnerabilità

L’individuazione delle vulnerabilità di un asset particolare è la terza fase dell’analisi. Una vulnerabilità si può definire come una particolare condizione tecnica o organizzativa che consente ad un attaccante di esercitare una minaccia ed operare una violazione delle policy di sicurezza in relazione agli aspetti di riservatezza, integrità e disponibilità.


Attaccante Vulnerabilità Minaccia

Impiegato licenziato Account di sistema di un impiegato licenziato non rimosso.

Accesso via connessione dial-up alla rete aziendale, accesso non autorizzato ad informazioni aziendali

Hacker, cracker, criminali Vulnerabilità del software Accesso non autorizzato, site

defacement, furto di informazioni.Fuoco, personale negligente

Sistema di spegnimento degli incendi ad acqua nei locali ospitanti i sistemi Danneggiamento dei sistemi

La caratterizzazione della vulnerabilità deve riportare i sistemi affetti e il suo potenziale impatto in termini di riservatezza, integrità e disponibilità delle informazioni trattate, ovvero deve esplicitare se ed in quale misura un attaccante può utilizzare la vulnerabilità per esercitare una minaccia che comporti la compromissione dei tre attributi di sicurezza. I metodi per rilevare le vulnerabilità di sistemi ICT si possono classificare in tre categorie che coprono gli aspetti tecnici ed organizzativi di un sistema informativo:• Security Test and Evaluation (ST&E)• Vulnerability scanning tool• Penetration test


4- Determinazione della probabilità

Nella quarta fase si determina le probabilità che una minaccia possa essere esercitata per il tramite di una vulnerabilità. I fattori qualificanti di questa valutazione sono:

• motivazioni e capacità dell’attaccante;• natura della vulnerabilità;• esistenza ed efficacia dei controlli.

Per la grande maggioranza dei sistemi, la valutazione della probabilità che una minaccia possa essere esercitata rientra in una scala quali-quantitativa costituita da tre livelli opportunamente motivati. L’esperienza insegna che l’adozione di metriche più sofisticate apporta all’analisi un contributo marginale, anche in relazione alla difficoltà di quantificare con precisione ed oggettività tutte le componenti che concorrono alla definizione della probabilità.


Livello Probabilità Motivazione

Alto L’attaccante è fortemente motivato e sufficientemente capace, oppure i controlli preposti sono inefficaci.

Medio L’attaccante è sufficientemente motivato e capace, i controlli preposti sono sufficientemente efficaci.

BassoL’attaccante non è particolarmente motivato o capace, oppure i controlli preposti eliminano la possibilità che la vulnerabilità possa essere sfruttata.


5- Analisi dell’impatto

La quinta fase consiste nella valutazione delle possibili conseguenze di una minaccia che viene esercitata su un asset tramite una vulnerabilità. L’analisi dell’impatto parte dalla classificazione degli asset informativi e strumentali in relazione ai tre attributi di sicurezza: riservatezza, integrità, disponibilità. La classificazione viene effettuata nella fase di Identificazione e valutazione degli asset informativi. A titolo di esempio, consideriamo un asset classificato come segue:

SC asset = [(riservatezza, BASSO), (integrità, BASSO), (disponibilità, ALTO)]

Considerando una specifica minaccia riferita all’asset, si valutano gli attributi di sicurezza interessati dalla minaccia:


MinacciaAttributi Sicurezza

Riservatezza Integrità DisponibilitàI-001 X XI-002 X

L’indice sintetico di impatto riferito all’esercizio della minaccia sull’asset, sarà quindi il valore più alto tra quelli interessati nella terna SC (high water mark):

IM(I-001) asset = ALTO

Questo indice, insieme alla probabilità che la minaccia venga esercitata, produce il livello di rischio associato alla minaccia per un particolare asset.


6- Determinazione del rischio

Nel sesto passaggio si valuta il rischio di una particolare coppia minaccia/vulnerabilità, che può essere espresso come funzione di due valutazioni:

• probabilità che una data vulnerabilità sia esercitata con successo da un attaccante;• magnitudine dell’impatto di una minaccia esercitata con successo sfruttando una data vulnerabilità.

Nella probabilità che una vulnerabilità sia esercitata con successo da un attaccante, è inclusa la valutazione dei controlli che hanno come scopo la limitazione della vulnerabilità medesima. Il livello del rischio associato all’esercizio di una vulnerabilità può essere espresso come prodotto dei valori di probabilità ed impatto, come riportato nella tabella che segue.

(Scala del rischio: alto 50 - 100, medio 10 - 50, basso 1 – 10)


ImpattoProbabilità Basso (10) Medio (50) Alto (100)

Alto (1.0) Basso = 10 Medio = 50 Alto = 100

Medio (0.5) Basso = 5 Medio = 25 Alto = 50

Basso (0.1) Basso = 1 Basso = 5 Basso = 10


L’interpretazione del rischio deve avere sempre come riferimento la missione aziendale e i processi che ne determinano il compimento, pertanto i livelli di rischio devono riflettere nella loro qualificazione questo fondamentale assunto.


Livello del rischio Azioni necessarie

AltoQuesto rischio comporta un grave pregiudizio per i processi aziendali vitali, il sistema può continuare ad operare ma bisogna attuare le misure correttive nel minor tempo possibile

Medio

Questo rischio comporta la possibilità di seri danni all’operativitàaziendale, senza compromettere la continuità del business. Il sistema può continuare ad operare ma è opportuno attuare le necessarie misure correttive entro un tempo ragionevole.

Basso Questo rischio comporta conseguenze marginali, si può porre rimedio con misure correttive o decidere di accettare il rischio.

La caratterizzazione del rischio e del suo impatto potenziale sull’operatività aziendale, comporta come passaggio successivo l’evitazione, l’accettazione del rischio, il suo trasferimento (assicurazione, outsourcing), oppure la sua mitigazione.

Documents

Analisi dei rischi e gestione della sicurezza ICTredazione.regione.campania.it/farecampania/scaffale_formativo... · Analisi dei rischi e gestione della sicurezza ICT Relatore - Dr