and Applications Lab CERTIFICAZIONI PER LA...
Transcript of and Applications Lab CERTIFICAZIONI PER LA...
Pattern Recognition and Applications Lab
University
of Cagliari, Italy
Department of Electrical and Electronic
Engineering
CERTIFICAZIONIPERLASICUREZZA
Giorgio Giacinto
CorsoSicurezzaInforma1ca2015-2016
h9p://pralab.diee.unica.it 2
Cosavuoldirecer1ficare?• Stabilirecosasiintendepersicurezza• AvereorganismichegerarchicamenteaCribuisconola
qualificadicer$ficatori
• CerFficazioniperprofessionisF– A9ribuisconounaqualifica
• CerFficazioniperprodoHsoIware
– Provanoilpossessodicertecara9eris1che
http://pralab.diee.unica.it
CerFficazioniprofessionali
h9p://pralab.diee.unica.it 4
CISSPCerFfiedInformaFonSystemsSecurityProfessional
• Rilasciatadall’associazionenoprofit(ISC)²InternaFonalInformaFonSystemsSecurityCerFficaFon
ConsorFum.
• Nel2004lacer1ficazioneCISSPhaacquisitol’accreditamentoANSIISO/IECStandard17024:2003– Versioneaggiornata:ISO/IEC17024:2012
• ÈconformeairequisiFdelDiparFmentodellaDifesa
(DoD)USA
h9p://pralab.diee.unica.it 5
Comeo9enerelacer1ficazioneCISSP• Occorreessereunprofessionistadaalmeno5anniinalmeno
duedeiseguen1oCodominiesostenereunesame– SecurityandRiskManagement
• Security,Risk,Compliance,Law,Regula1ons,BusinessCon1nuity– AssetSecurity
• Protec1ngSecurityofAssets– SecurityEngineering
• EngineeringandManagementofSecurity– Communica1onsandNetworkSecurity
• DesigningandProtec1ngNetworkSecurity– Iden1tyandAccessManagement
• ControllingAccessandManagingIden1ty– SecurityAssessmentandTes1ng
• Designing,Performing,andAnalyzingSecurityTes1ng– SecurityOpera1ons
• Founda1onalConcepts,Inves1ga1ons,IncidentManagement,DisasterRecovery
– So[wareDevelopmentSecurity• Understanding,Applying,andEnforcingSo[wareSecurity
h9p://pralab.diee.unica.it 6
CISSPinItalia• (ISC)2halasuasezioneinItaliacheprovvedea
organizzareiseminariforma1viperl’o9enimentodellacer1ficazione
h9p://pralab.diee.unica.it
Altrenormeecer1ficaizoni
7
http://pralab.diee.unica.it
CerFficazionisoIware
h9p://pralab.diee.unica.it
OrangeBook• IlDiparFmentodellaDifesa(DoD)
degliUSAhapubblicatonel1985un
documentonotocome�OrangeBook�.
http://www.dynamoo.com/orange
• IldocumentodivideiSistemi
OperaFviinseCecategorie
(D,C1,C2,B1,B2,B3,A1)
relaFvamenteaduncertonumero
dicaraCerisFcherelaFvealla
sicurezza
– A9ualmenteèunaclassificazionedatata,maiprincipi-guidasonotu9oravalidi
9GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it
OrangeBook• LivelloD:MinimalProtecFon
– Questacategoriaèassegnataasistemiopera1vinonclassificabilidalpuntodivistadellasicurezza• MS-DOS,Windows95/98/ME
• LivelloC:DiscreFonaryProtecFon– Laprotezionedeglioggedèopzionale.– IlSistemaOpera1vosupportalefunzionidiloggingdibase
• C1:Discre1onarySecurityProtec1onPrimeversionidiUNIX
• C2:ControlledAccessProtec1onIBMOS/400,WinNT/2000/XP,NovellNetware
10GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it
OrangeBook• LivelloB:MandatoryProtecFon
– Laprotezionenonèfacolta1vamaobbligatoria– Aciascunutenteeaciascunogge9oèassegnatounlivellodisicurezza• B1:LabeledSecurityProtec1onHP-UX,CrayResearchTrustedUnicos8.0,DigitalSEVMS
• B2:StructuredProtec1onHoneywellMul1cs,CryptekVSLAN,trustedXENIX
• B3:SecurityDomainsGetronics/WangFederalXTS-300
• LivelloA:VerifiedProtecFon– Metodiformaliperverificarelasicurezza
• A1:VerifiedProtec1onBoeingMSLLAN,HoneywellSCOMP
11GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it
CommonCriteria• LeorganizzazioniperlasicurezzadiUSA,Canadae
Europahannointrapresounosforzoperuniformareicritericoncuivalutarelasicurezzadeisistemiinforma1ci
• CommonCriteria
– Primaversionenel1996.Versionea9uale3.1Release4Laversione2.3èstatapubblicatacomeISO/IEC15408:2005eISO/IEC18405:2005
– Nel2014accordoperunarevisionedellemodalitàdicer1ficazione
12GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it
Cer1ficatoriCommonCriteria• 17nazioniconlaboratoridicer1ficazione
– Australia– Canada– CoreadelSud– Francia– Germania– India– Italia(dal5o9obre2009)– Giappone– Malesia
• 8nazionisolou1lizzatrici– Austria,RepubblicaCeca,Danimarca,Finlandia,Grecia,
Israele,Pakistan,Ungheria,
13
– Norvegia– NuovaZelanda– Olanda– RegnoUnito– Spagna– Sta1Uni1d’America– Svezia– Turchia
GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it 14
Evalua1onAssuranceLevel(EAL)• IsistemisonovalutaFinunascalada1a7
– EAL1,livelloinferiore– EAL7,livellosuperiore
EAL1-funcFonallytested
EAL2-structurallytested
EAL3-methodicallytestedandchecked
EAL4-methodicallydesigned,testedandreviewed
EAL5-semiformallydesignedandtested
EAL6-semiformallyverifieddesignandtested
EAL7-formallyverifieddesignandtested
h9p://pralab.diee.unica.it
Protec1onProfiles• IntrodoHdirecentecomeinsiemedirequisiFminimida
soddisfareperunacertacategoriadiprodoHalfinedisuperareleverificherelaFveaundeterminatoEAL– AccessControlDevicesandSystems(2PP)– BiometricSystemsandDevices(2PP)– BoundaryProtec1onDevicesandSystems(11PP)– DataProtec1on(7PP)– Databases(1PP)– ICs,SmartCardsandSmartCard-RelatedDevicesandSystems(54PP)
– KeyManagementSystems(4PP)– Mul1-Func1onDevices(3PP)– NetworkandNetwork-RelatedDevicesandSystems(13PP)– Opera1ngSystems(2PP)– OtherDevicesandSystems(33PP)– ProductsforDigitalSignatures(17PP)– TrustedCompu1ng(3PP)
15
h9p://pralab.diee.unica.it
PrododCer1fica1
16
h9p://pralab.diee.unica.it
PrododCer1fica1
17
h9p://pralab.diee.unica.it
PrododCer1fica1
18
h9p://pralab.diee.unica.it
Esempidiprododvaluta1secondoCCEAL7+
– FortFoxHardwareDataDiode,versieFFHDD2+EAL7
– VirtualMachineofMultosM3G230MmaskwithAMD113v4– MemoryManagementUnitdesmicrocontrôleursSAMSUNGS3FT9KF/
S3FT9KT/S3FT9KSenrévision1EAL6+
– GreenHillsSo[wareINTEGRITY-178BSepara1onKernel,comprising:INTEGRITY-178BRealTimeOpera1ngSystem(RTOS),versionIN-ICR750-0101-GH01_RelrunningonCompactPCIcard,versionCPN944-2021-021withPowerPC,version750CXe
– InfineonSecurityControllerM7893B11withop1onalRSA2048/4096v1.03.006,ECv1.03.006,SHA-2v1.01librariesandToolboxv1.03.006andwithspecificICdedicatedso[ware(firmware)
19GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it
Esempidiprododvaluta1secondoCC
EAL4+– Microso[WindowsServer2008R2– RedHatEnterpriseLinuxon32bitx86Architecture,Version6.2– JBossEnterpriseApplica1onPlasorm6Version6.2.2– Microso[SQLServer2014DatabaseEngineEnterpriseEdi1onx64– FINXRTOSSecurityEnhanced(SE)v3.1Sistemiopera1vichesoddisfanoilProtec1onProfile– Microso[Windows10andWindowsServer2012R2– IBMz/OSVersion2Release1
AltrisistemichesoddisfanoilProtec1onProfile– SamsungGalaxyNote4withAndroid5VPNClient– Microso[Windows10MobilewithLumia950,950XL,550,635,and
Windows10withSurfacePro420
h9p://pralab.diee.unica.it 21
OCSIOrganismo Certificazione Sicurezza Informatica• L’OCSIges1sceloSchemaNazionaleperlavalutazionee
cer1ficazionedellasicurezzadisistemieprododnelse9oredellatecnologiadell'informazione(DPCMdel30.10.2003-G.U.n.9827.04.2004)
• L’ISCOM(Is1tutoSuperioredelleComunicazioniedelleTecnologiedell’Informazione)delMinisterodelloSviluppoEconomicoè,perdecreto,l’OrganismodiCer1ficazione
• L’OCSIagisceinconformitàaglistandardinternazionaliISO/IECIS-15408(CommonCriteria)eaicriterieuropeiITSECeITSEM.
http://pralab.diee.unica.it
SchemidicerFficazionedei
processiaziendali
22
h9p://pralab.diee.unica.it
Limi1CC• Lacer1ficazionesecondoiCCècara9erizzatada– Tempilunghi– Cos1al1
• CCèadeguatainambitomilitareenegliambi1civiliadaltorischio(impian1chimici,nucleari,ecc.)
• Lapervasivitàdeglistrumen1informa1cirendenecessario– L’usodistrumen1cer1fica1– Schemidicer1ficazionefacilmenteu1lizzabili
23
h9p://pralab.diee.unica.it
Inizia1vecongiuntepubblico-privato
• InUSAeUKsonosta1cos1tui1gruppidilavoroconesponen1diis1tuzionipubblicheeaziendeprivateperdefinireschemidicer1ficazionedeiprocessiaziendali
• InUSAilNISTèstatodemandatoaorganizzareigruppidilavoroeredigereloschema
• InUKl’inizia1vaèstatarealizzatadalMinisterodegliInterni
24
h9p://pralab.diee.unica.it
NIST–CyberSecurityFramework• Versione1.0-Febbraio2014
FrameworkforImprovingCri8calInfrastructureCybersecurity
25
h9p://pralab.diee.unica.it
FrameworkitalianoCyberSecurityh9p://www.cybersecurityframework.it
• PresentatoufficialmenteaFebbraio2016
• PredispostodalCIS-SapienzaedalLaboratorioNazionaleCybersecuritypressoilCINI
• BasatosulframeworkNIST
• Estensioneapiccoleemedieimprese,sucuisireggegranpartedell’economiaitaliana
26
h9p://pralab.diee.unica.it
UKCyberEssen1als• Inizia1vadelgovernoUK
PrimaversioneGiugno2014• CyberEssenFal
Basatosuautocer1ficazione• CyberEssenFalPlus
Cer1ficazionerilasciatadaunorganismoesterno• Requisi1tecnicidibase– Boundaryfirewallsandinternetgateways– Secureconfigura1on– Accesscontrol– Malwareprotec1on– Patchmanagement
27
http://pralab.diee.unica.it
CerFficazione
perapplicazioniweb
h9p://pralab.diee.unica.it 29
AccertamentodilivellidisicurezzaOWASP• OWASPApplicaFonSecurityVerificaFonStandard2009
– Definisce4livellidiverificaedocumentazione
h9p://pralab.diee.unica.it 30
LivelliOWASP• Livello1-VerificaAutomaFca
Sufficienteselaminacciaprincipaleprovienedaviruseworm
• Livello2-VerificaManuale
Necessariosel’applicazioneelaborada1personali,transazionifinanziarie,B2B,ecc.
• Livello3-VerificadelProgeCoNecessariosel’applicazioneeffe9uaprevalentementetransazioniB2Binclusoiltra9amentodida1sanitari
• Livello4-VerificaInternaApplicazionilegateainfrastru9urecri1che,allaprotezionedellavitaumana,emilitari
http://pralab.diee.unica.it
AltrecerFficazioni
31
h9p://pralab.diee.unica.it
NormeISO27000sInforma1onsecuritymanagement
32
IES/IEC27000
27001
27002
27034
Famigliadinormeperlages1onedellasicurezzadelleinformazioni–nonriguardanoesclusivamentelasicurezzainforma8caNormadiriferimentoperogni1podiaziendamirataallages1onesicuradelleinformazioni,indipendentementedalletecnologieu1lizzateMisuredisicurezzaperlami1gazionedelrischiosullasicurezzadelleinformazionicontestualizzatesullatecnologiau1lizzataSicurezzadelleapplicazioni(Applica1onSecurityControls)
h9p://pralab.diee.unica.it
Cer1ficazioniperapplicazioni• PCI(PaymentCardIndustry)SecurityStandard– PCI-DSS(DataSecurityStandard)Perimerchantcheelaboranoda1dipagamento
– PA-DSSPeriprodu9oridiso[warecheges1sconoda1rela1viacartedipagamento
33