Analisi dei rischi e gestione della sicurezza ICT

Transcript

CENTRO DI FORMAZIONE STUDI
Analisi dei rischi e gestione della sicurezza ICT
Relatore - Dr. Oreste Romei
I driver della sicurezza ICT
In ragione della sua natura di Pubblica Amministrazione al servizio del cittadino, di altre
pubbliche amministrazioni e di organizzazioni private, la Regione detiene informazioni
pubblicamente accessibili ed informazioni riservate ai fini della “privacy”:
la modifica non autorizzata delle informazione pubblicate e la diffusione di quelle riservate
sono azioni che hanno come conseguenza la perdita di immagine, la violazione delle norme
sulla custodia di dati riservati, il danno per organizzazioni e persone che a vario titolo si
associano alle attività dell’Ente.
Un efficace sistema di gestione della sicurezza ICT deve quindi supportare i processi di
intermediazione tra Ente ed utenza, garantendo, nel corso del tempo ed in presenza di
situazioni mutevoli, le condizioni di sicurezza necessarie alla realizzazione della
missione istituzionale dell’Ente attraverso l’uso delle tecnologie ICT.
L’adozione di un sistema di gestione della sicurezza ICT si basa su due driver principali:

la sicurezza ICT come fattore abilitate l’attuazione del “Codice dell’Amministrazione digitale” e
quindi il compimento della missione dell’Ente anche mediante l’uso di tecnologie ICT;

il quadro normativo, alla costruzione del quale hanno concorso il Governo (decretazione e
strategie per l’innovazione), la PAC (deliberazioni attuative negli ambiti di competenza dei
Ministeri) ed il CNIPA (authority tecnica).
La necessità di definire un quadro unitario della sicurezza ICT nella PA, ha portato all’istituzione del
"Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle
pubbliche amministrazioni“ presso il CNIPA (decreto interministeriale siglato il 24 luglio 2002
tra il Ministro per l’Innovazione e le Tecnologie e il Ministro delle Comunicazioni), che ha redatto
e pubblicato nel 2004 la prima versione delle “Linee guida per la sicurezza ICT delle pubbliche
amministrazioni” , documento introduttivo al Piano Nazionale e al Modello organizzativo della
sicurezza ICT per la PA.
Altro tema che ha contribuito ad ampliare la base normativa riguardante la sicurezza ICT nella PA, è
quello del documento informatico e della sua archiviazione in relazione ad aspetti quali la privacy,
la protocollazione, la firma digitale, la PEC ed in generale il Codice dell’Amministrazione Digitale.
Queste iniziative, insieme alle deliberazioni dei vari dicasteri negli ambiti di competenza, hanno
generato un notevole corpus normativo di cui riportiamo alcune delle disposizioni di maggiore rilievo
ai fini della sicurezza:
•
•
•
•
•
•
•
•
D.Lgs. 7 marzo 2005, n. 82, Codice dell’Amministrazione digitale
D.Lgs. 30 giugno 2003 n. 196, Codice in Materia di Protezione dei Dati Personali
Direttiva MIT del 16 gennaio 2002, Sicurezza informatica e delle telecomunicazioni nelle pubbliche
amministrazioni
DPR 10 novembre 1997, n. 513, Regolamento contenente criteri e modalità per la formazione, l’archiviazione e
la
trasmissione di documenti con strumenti informatici e telematici
DPCM 8 febbraio 1999, Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione,
la
riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’art. 3, comma 1, del DPR 10
novembre 1997, n. 513
DPR 11 febbraio 2005, n. 68, Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a
norma dell'articolo 27 della legge 16 gennaio 2003, n. 3
Deliberazione CNIPA n. 4/2005, Regole per il riconoscimento e la verifica del documento informatico
Deliberazione CNIPA n. 11/2004, Regole tecniche per la riproduzione e conservazione di documenti su
supporto
ottico idoneo a garantire la conformità dei documenti agli originali
ISMS: standard di riferimento per la PA
ISMS (Information Security Management System) : sistema di gestione che include struttura
organizzativa, policy, pianificazione delle attività, responsabilità, pratiche, procedure, processi ,
risorse e documentazione.
A partire da una politica di sicurezza (policy) che riflette le esigenze operative e le finalità
dell’organizzazione, un ISMS deve cogliere i seguenti obiettivi di carattere generale:
• individuare le informazioni e i servizi da sottoporre a protezione;
• quantificare le esigenze di sicurezza in relazione alle esigenze di riservatezza, integrità,
disponibilità e autenticità;
• individuare adeguati meccanismi di mantenimento della sicurezza;
• individuare le persone responsabili del mantenimento del sistema di sicurezza.
Il MIT ha recepito con la Direttiva del 16 gennaio 2002 “Sicurezza informatica e delle
telecomunicazioni nelle pubbliche amministrazioni” i principi ispiratori degli standard ISO/IEC IS
17799:2005 (Code of Practice) e ISO/IEC IS 27001:2005 (ISMS), che divengono pertanto gli
standard di riferimento nella PA ai fini dell’adozione di un ISMS e di una sua eventuale certificazione
presso terzi.
Quale relazione esiste tra i due standard? Sostanzialmente, ISO 27001 definisce un modello di ISMS
finalizzato alla realizzazione e al mantenimento dei controlli di sicurezza specificati dalla ISO17799 e
riportati nell’Annex A.
ISO 27001
Security
Policy
Lo standard definisce un processo ciclico
di gestione basato sull’approccio PDCA
(Plan-Do-Check-Act).
Ambito
operativo
La valutazione del rischio comprende una
attenta valutazione costo/beneficio che
discrimina la modalità di trattamento del
rischio.
Identificazione
dei rischi
Risk
Analisys
Evitamento,
accettazione,
trasferimento
Valutazione
del rischio
ISO17799 ed
altri controlli
Mitigazione
e selezione
dei controlli
Implementazione
dei controlli
ISO 17799:2005
Lo standard definisce i controlli necessaria a mitigare o eliminare il rischio in relazione agli
attributi di confidenzialità, integrità, disponibilità:
confidenzialità: prevenzione dalla divulgazione non autorizzata delle informazioni,
accesso controllato alla informazione da tutelare e limitazione della sua diffusione;
danno economico diretto legato al valore proprio delle informazioni e la possibilità di
azioni legali quando l’organizzazione è tenuta a garantire la privacy delle
informazioni detenute;
integrità: prevenzione da modifiche non autorizzate, conservazione del formato
(integrità fisica) e del contenuto (integrità semantica) delle informazioni;
possibilità di frode, stime e decisioni sbagliate;
disponibilità: protezione da sovraccarichi e malfunzionamenti di rete, sistemi ed
applicazioni, possibilità di accesso in tempo utile ad informazioni, servizi e risorse;
perdita di produttività degli utenti e la riduzione degli introiti derivanti dall’erogazione dei
servizi medesimi.
La ISO 17799 riporta 133 controlli organizzati in 12 sezioni:
1: Risk Assessment
2: Security policy - management direction
3: Organization of information security - governance of information security
4: Asset management - inventory and classification of information assets
5: Human resources security - security aspects for employees joining, moving and leaving an
organization
6: Physical and environmental security - protection of the computer facilities
7: Communications and operations management - management of technical security controls in
systems and networks
8: Access control - restriction of access rights to networks, systems, applications, functions and data
9: Information systems acquisition, development and maintenance - building security into applications
10: Information security incident management - anticipating and responding appropriately to
information security breaches
11: Business continuity management - protecting, maintaining and recovering business-critical
processes and systems
12: Compliance - ensuring conformance with standards, laws and regulations
Il FISMA (Federal Information Security Management Act) è il framework di gestione del NIST (National
Institute for Standard and Technologies), di riferimento per le organizzazioni governative e federali USA.
La serie SP 800 è il riferimento documentale del FISMA.
Security Area
Il FISMA individua tre aree
del security management.
Management Security
Operational Security
Technical Security
Security Criteria
Assignment of responsibilities
Continuity of support
Incident response capability
Periodic review of security controls
Personnel clearance and background investigations
Risk assessment
Security and technical training
Separation of duties
System authorization and reauthorization
System or application security plan
Control of air-borne contaminants (smoke, dust, chemicals)
Controls to ensure the quality of the electrical power supply
Data media access and disposal
External data distribution and labeling
Facility protection (e.g., computer room, data center, office)
Humidity control
Temperature control
Workstations, laptops, and stand-alone personal computers
Communications (e.g., dial-in, system interconnection,
routers)
Cryptography
Discretionary access control
Identification and authentication
Intrusion detection
Object reuse
System monitoring and audit
I controlli di sicurezza sono strutturati in classi e famiglie, dove le classi fanno riferimento alle tre aree del Security
Management (Management, Operational, Technical) e le famiglie a gruppi di controlli omologhi per funzione di
sicurezza.
CLASS
Management
Operational
Technical
FAMILY IDENTIFIER
IDENTIFIER
Risk Analysis
RA
Planning
PL
System and Services Acquisition
SA
Certification, Accreditation, and Security Assessments
CA
Personnel Security
PS
Physical and Environmental Protection
PE
Contingency Planning
CP
Configuration Management
CM
Maintenance
MA
System and Information Integrity
SI
Media Protection
MP
Incident Response
IR
Awareness and Training
AT
Identification and Authentication
IA
Access Control
AC
Audit and Accountability
AU
System and Communications Protection
SC
ISMS: standard di riferimento
La certificazione dell’ISMS nella PA
“Contesti a massima priorità (certificazione altamente raccomandata)
Per ciò che concerne la criticità dei contesti appare prioritario citare quelli attinenti alla
tutela dell’incolumità fisica e della salute dei cittadini. Si tratta infatti di contesti per i
quali, in settori diversi da quello relativo alle tecnologie ICT, lo Stato ha ritenuto non sufficienti
le autocertificazioni o le certificazioni volontarie ed ha quindi introdotto l’obbligo
di verifiche di terza parte…..
L’importanza di eseguire certificazioni di sicurezza ICT nei contesti relativi alla tutela
dell’incolumità fisica e della salute dei cittadini risulta evidente una volta che si consideri il ruolo
sempre più centrale che i sistemi ICT stanno assumendo in tali contesti.
Un malfunzionamento, accidentale o provocato, di tali sistemi può infatti in molti casi produrre
gravissimi danni alle persone, se non addirittura la perdita di numerose vite umane…..
Altri contesti a priorità molto elevata dal punto di vista della certificazione di sicurezza
sono quelli in cui il danno, pur essendo solo di tipo economico, può essere comunque
molto rilevante sia per il cittadino sia per lo stato.”
(estratto dalla “linee guida”, CNIPA, marzo 2006)
Metodologia della Risk Analisys
Il processo di analisi dei rischi associati all’esercizio di un sistema info-telematico, si compone
di sei fasi:
- Analisi del contesto e valutazione degli asset
- Identificazione delle minacce e degli attaccanti
- Identificazione delle vulnerabilità
- Determinazione della probabilità
- Analisi dell’impatto
- Determinazione del rischio
1 - Analisi del contesto e valutazione degli asset
La prima fase consiste nell’acquisizione delle informazioni necessarie a delineare il contesto operativo da
sottoporre a protezione. Tale attività (Information Gathering) ha come obiettivi la rilevazione degli asset da
proteggere, le relazioni funzionali tra questi, l’individuazione delle utenze, la caratterizzazione dei flussi
gestionali ed organizzativi del sistema informativo in termini di accesso a risorse ed informazioni, policy di
sicurezza e controlli messi in opera per la loro attuazione.
Gli asset sensibili (target) sono classificati in base ai servizi erogati, alle informazioni custodite, alla loro
rilevanza ai fini dell’operatività aziendale. La classificazione di sicurezza dell’asset è descritta in termini di
perdita o degradazione di uno dei tre attributi di sicurezza associabili al trattamento dell’informazione da parte
di un sistema di elaborazione (riservatezza, integrità, disponibilità).
Il valore dell’asset riferito agli attributi di sicurezza può essere misurato quantitativamente (valore proprio
delle informazioni, ad es. brevetti, perdita di introiti in relazione al tempo di fermo del sistema), oppure
considerando una scala di valori quali-quantitativa (perdita di immagine, pregiudizio su future attività).
In termini generali, possiamo fare riferimento ad una classificazione quali-quantitativa del tipo riportato nella
seguente tabella, dove il valore dell’asset viene correlato all’impatto che la perdita di uno dei suoi attributi di
sicurezza produce sull’operatività aziendale.
Livello dell’impatto
Definizione dell’impatto
Alto
La perdita di riservatezza, integrità o disponibilità comporta un effetto
avverso distruttivo sull’operatività, i beni, e sulle persone associati all’attività
aziendale.
L’esercizio della vulnerabilità può comportare la distruzione di beni con una
perdita di valore economico molto elevato, oppure essere di sostanziale
impedimento al compimento della missione aziendale, oppure essere causa
di gravi pericoli per la vita e l’integrità fisica di persone.
Moderato
La perdita di riservatezza, integrità o disponibilità comporta un rilevante
effetto avverso sull’operatività, i beni, e sulle persone associati all’attività
aziendale.
L’esercizio della vulnerabilità può risultare in una perdita economica, oppure
costituire un ostacolo al compimento della missione aziendale, oppure
essere causa di pericolo per l’integrità fisica di persone.
Basso
La perdita di riservatezza, integrità o disponibilità comporta un limitato
effetto avverso sull’operatività, i beni, e sulle persone associati all’attività
aziendale.
L’esercizio della vulnerabilità può risultare in una perdita economica limitata,
oppure costituire una limitazione marginale al compimento della missione
aziendale.
Ogni asset informativo o tecnologico viene classificato attribuendo una terna di valori in relazione alle
specifiche funzioni ed informazioni trattate:
SC asset = [(riservatezza, BASSO), (integrità, BASSO), (disponibilità, ALTO)]
2- Identificazione delle minacce e degli attaccanti
La seconda fase consiste nell’individuazione delle potenziali minacce (threat) cui i target possono essere
sottoposti in relazione agli aspetti di riservatezza, integrità e disponibilità, e degli attaccanti (threat-source)
che possono esercitare una minaccia ed operare una violazione delle policy di sicurezza. Gli attaccanti
possono essere umani o ambientali e possono - consapevolmente o inconsapevolmente nel caso di attaccante
umano - attuare un attacco utilizzando una o più vulnerabilità del target, dove per vulnerabilità si intende una
debolezza del sistema che può essere sfruttata accidentalmente o intenzionalmente (baco del software, rete di
telecomunicazione non ridondata, assenza di gruppi di continuità elettrica, presenza di condutture idriche nei
locali ospitanti i sistemi, ecc.) .
E’ da evidenziare che la vulnerabilità è il tramite tra attaccante ed esercizio della minaccia, ovvero ove
non esistano vulnerabilità sfruttabili da un attaccante questi non può esercitare alcuna minaccia.
La caratterizzazione della minaccia deve riportare il suo potenziale impatto in termini di riservatezza, integrità e
disponibilità su informazioni o sistemi interessati:
Evento
EA-001
TK-034
Riservatezza
X
Attributi Sicurezza
Integrità
Disponibilità
X
X
3- Identificazione delle vulnerabilità
L’individuazione delle vulnerabilità di un asset particolare è la terza fase dell’analisi. Una vulnerabilità si può
definire come una particolare condizione tecnica o organizzativa che consente ad un attaccante di esercitare
una minaccia ed operare una violazione delle policy di sicurezza in relazione agli aspetti di riservatezza,
integrità e disponibilità.
Attaccante
Vulnerabilità
Minaccia
Accesso via connessione dial-up
alla rete aziendale, accesso non
autorizzato ad informazioni
aziendali
Impiegato licenziato
Account di sistema di un impiegato licenziato
non rimosso.
Hacker, cracker,
criminali
Vulnerabilità del software
Accesso non autorizzato, site
defacement, furto di informazioni.
Fuoco, personale
negligente
Sistema di spegnimento degli incendi ad
acqua nei locali ospitanti i sistemi
Danneggiamento dei sistemi
La caratterizzazione della vulnerabilità deve riportare i sistemi affetti e il suo potenziale impatto in termini di
riservatezza, integrità e disponibilità delle informazioni trattate, ovvero deve esplicitare se ed in quale misura
un attaccante può utilizzare la vulnerabilità per esercitare una minaccia che comporti la compromissione dei tre
attributi di sicurezza. I metodi per rilevare le vulnerabilità di sistemi ICT si possono classificare in tre categorie
che coprono gli aspetti tecnici ed organizzativi di un sistema informativo:
• Security Test and Evaluation (ST&E)
• Vulnerability scanning tool
• Penetration test
4- Determinazione della probabilità
Nella quarta fase si determina le probabilità che una minaccia possa essere esercitata per il tramite di una
vulnerabilità. I fattori qualificanti di questa valutazione sono:
• motivazioni e capacità dell’attaccante;
• natura della vulnerabilità;
• esistenza ed efficacia dei controlli.
Per la grande maggioranza dei sistemi, la valutazione della probabilità che una minaccia possa essere
esercitata rientra in una scala quali-quantitativa costituita da tre livelli opportunamente motivati. L’esperienza
insegna che l’adozione di metriche più sofisticate apporta all’analisi un contributo marginale, anche in relazione
alla difficoltà di quantificare con precisione ed oggettività tutte le componenti che concorrono alla definizione
della probabilità.
Livello Probabilità
Alto
Motivazione
L’attaccante è fortemente motivato e sufficientemente capace,
oppure i controlli preposti sono inefficaci.
Medio
L’attaccante è sufficientemente motivato e capace, i controlli
preposti sono sufficientemente efficaci.
Basso
L’attaccante non è particolarmente motivato o capace, oppure i
controlli preposti eliminano la possibilità che la vulnerabilità possa
essere sfruttata.
5- Analisi dell’impatto
La quinta fase consiste nella valutazione delle possibili conseguenze di una minaccia che viene esercitata su
un asset tramite una vulnerabilità.
L’analisi dell’impatto parte dalla classificazione degli asset informativi e strumentali in relazione ai tre attributi di
sicurezza: riservatezza, integrità, disponibilità. La classificazione viene effettuata nella fase di Identificazione e
valutazione degli asset informativi. A titolo di esempio, consideriamo un asset classificato come segue:
SC asset = [(riservatezza, BASSO), (integrità, BASSO), (disponibilità, ALTO)]
Considerando una specifica minaccia riferita all’asset, si valutano gli attributi di sicurezza interessati dalla
minaccia:
Minaccia
I-001
I-002
Riservatezza
X
Attributi Sicurezza
Integrità
Disponibilità
X
X
L’indice sintetico di impatto riferito all’esercizio della minaccia sull’asset, sarà quindi il valore più alto tra quelli
interessati nella terna SC (high water mark):
IM(I-001) asset = ALTO
Questo indice, insieme alla probabilità che la minaccia venga esercitata, produce il livello di rischio associato
alla minaccia per un particolare asset.
6- Determinazione del rischio
Nel sesto passaggio si valuta il rischio di una particolare coppia minaccia/vulnerabilità, che può essere
espresso come funzione di due valutazioni:
• probabilità che una data vulnerabilità sia esercitata con successo da un attaccante;
• magnitudine dell’impatto di una minaccia esercitata con successo sfruttando una data vulnerabilità.
Nella probabilità che una vulnerabilità sia esercitata con successo da un attaccante, è inclusa la valutazione
dei controlli che hanno come scopo la limitazione della vulnerabilità medesima. Il livello del rischio associato
all’esercizio di una vulnerabilità può essere espresso come prodotto dei valori di probabilità ed impatto, come
riportato nella tabella che segue.
(Scala del rischio: alto 50 - 100, medio 10 - 50, basso 1 – 10)
Impatto
Probabilità
Basso (10)
Medio (50)
Alto (100)
Alto (1.0)
Basso = 10
Medio = 50
Alto = 100
Medio (0.5)
Basso = 5
Medio = 25
Alto = 50
Basso (0.1)
Basso = 1
Basso = 5
Basso = 10
L’interpretazione del rischio deve avere sempre come riferimento la missione aziendale e i processi che ne
determinano il compimento, pertanto i livelli di rischio devono riflettere nella loro qualificazione questo
fondamentale assunto.
Livello del rischio
Azioni necessarie
Alto
Questo rischio comporta un grave pregiudizio per i processi
aziendali vitali, il sistema può continuare ad operare ma bisogna
attuare le misure correttive nel minor tempo possibile
Medio
Questo rischio comporta la possibilità di seri danni all’operatività
aziendale, senza compromettere la continuità del business. Il
sistema può continuare ad operare ma è opportuno attuare le
necessarie misure correttive entro un tempo ragionevole.
Basso
Questo rischio comporta conseguenze marginali, si può porre
rimedio con misure correttive o decidere di accettare il rischio.
La caratterizzazione del rischio e del suo impatto potenziale sull’operatività aziendale, comporta come
passaggio successivo l’evitazione, l’accettazione del rischio, il suo trasferimento (assicurazione, outsourcing),
oppure la sua mitigazione.