PROGRAMMA DI VERIFICA DI CONFORMITÀ DEGLI APPARATI ... · ELISS – TS 400.001 “Linee guida per...

ELISS – Technical Specification 400 1

Revision 001 2

3

4

5

6

7

8

9

10

Experts of Lawful Interception 11

and Security Standards – Association 12

http://www.eliss.org 13

14

15

16

17

18

19

Linee guida per la sicurezza 20

21

del trattamento, conservazione ed esportazione 22

23

dei risultati 24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

Maggio 2015 39

40

41

42

43

44

PROGRAMMA DI VERIFICA DI CONFORMITÀ DEGLI APPARATI UTILIZZATI PER LA LAWFUL INTERCEPTION - Livello 4

ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015

Pagina 2 di 16

Sommario 45 46 47

1. Introduzione ................................................................................................................................. 4 48

2. Scopo ............................................................................................................................................ 4 49

3. Definizioni ..................................................................................................................................... 5 50

4. Acronimi ........................................................................................................................................ 6 51

5. Riferimenti .................................................................................................................................... 6 52

6. Principi ispiratori delle linee guida ............................................................................................... 7 53

7. Software del LEMF ........................................................................................................................ 7 54

7.1 Accesso da remoto ................................................................................................................ 8 55

8. Trattamento dei dati ..................................................................................................................... 8 56

8.1 Disciplinare tecnico in materia di misure minime di sicurezza ............................................. 9 57

8.2 Provvedimento del 18 luglio 2013 ...................................................................................... 10 58

8.2.1 Strong Authentication ..................................................................................................... 11 59

8.2.2 Log delle attività .............................................................................................................. 11 60

8.2.2.1 Formato XML dei Log delle attività .............................................................................. 12 61

8.2.2.2 XSD dei Log ................................................................................................................... 14 62

8.2.3 Protezione dei risultati delle intercettazioni trasferiti su supporti rimovibili ................. 15 63

8.2.3.1 Formato dei dati trasferiti su supporti rimovibili......................................................... 15 64

9. Dismissione del LEMF ................................................................................................................. 16 65

10. Modifiche ................................................................................................................................ 16 66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89


Pagina 3 di 16

90

Il presente documento costituisce parte integrante del programma di verifica di conformità degli 91

apparati utilizzati per la lawful interception, promosso da ELISS e denominato ELCAP. Il 92

programma è rivolto ai Vendor (costruttori o rivenditori) di apparati destinati ad attività di lawful 93

interception, in qualità di Socio di ELISS. 94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136


Pagina 4 di 16

1. Introduzione 137

138 Le attività di standardizzazione delle funzionalità d’intercettazione delle comunicazioni sono state 139 sviluppate da ETSI in seguito all’adozione della risoluzione del Consiglio d’Europa del 17 gennaio 1995 COM 140 96/C329/01 per l’intercettazione legale delle comunicazioni nelle reti pubbliche. Nella risoluzione sono 141 indicati i servizi che gli Operatori di reti pubbliche di telecomunicazioni devono rendere disponibili alle 142 Autorità. 143 In conseguenza Il comitato tecnico ETSI/Technical Committee Security (TC SEC) ha costituito il Working 144 Group: Lawful Interception (SEC-WG LI-1997) che nel 2002 ha assunto la denominazione ETSI- Technical 145 Committee Lawful Interception (TC LI) con il mandato di sviluppare e definire le informazioni, per tipo di 146 tecnologia, nonché i protocolli di trasporto e codifica delle informazioni che devono essere inviate alle 147 Autorità attraverso specifiche interfacce. 148 149 Le specifiche prodotte da TC LI sono organizzate per domini di competenza: 150 151

- LEA domain: requisiti delle intercettazioni legali (LI) per Lawful Enforcement Agency (LEA) 152

- Network domain: requisiti funzionali e di architettura delle reti pubbliche di comunicazioni per 153 l’introduzione delle funzionalità di Lawful Interception. 154

- Handover Interface: informazioni che devono essere inviate applicate ad ogni tipo di rete e servizi. 155 156

I requisiti definiti riguardano l’intercettazione delle comunicazioni per le reti: 157

- circuit switched 158

- packet switched. 159 160

Le tecnologie coperte dalle specifiche coprono: 161

- Mobile Network 162 GSM, UMTS, GPRS, LTE, TETRA. 163

- Fixed Network 164 ISDN, fixed NGN 165

166 L’interfaccia d’utente del LEMF e gli aspetti di sicurezza del LEMF come sistema informatico non rientrano 167 tra i requisiti specificati dagli organismi di standardizzazione. 168

169 170

2. Scopo 171

172 Il LEMF è l'apparato che si interpone tra il Network Operator e l'operatore di PG, avendo il compito 173 fondamentale di ricevere, interpretare, correlare e visualizzare i contenuti intercettati e le informazioni ad 174 essi associati. Il corretto funzionamento del LEMF strategicamente valorizza il buon esito dell'intero 175 processo di lawful interception. 176 177 Il LEMF è costituito da un sistema informatico e come tale deve rispettare alcuni principi di funzionamento 178 e requisiti affinché renda disponibili all'operatore abilitato le informazioni alle quali ha diritto di accedere, 179 nei tempi e nei modi previsti. 180 181 Il presente documento ha lo scopo di delineare le linee guida per il LEMF per la sicurezza del trattamento, 182 conservazione ed esportazione dei risultati di lawful interception. 183

184


Pagina 5 di 16

3. Definizioni 185

186 a) Slogan [inglese] Frase incisiva e sintetica per ottenere un effetto immediato ed essere facilmente 187

memorizzabile. 188 b) Call: ogni connessione temporanea capace di trasferire informazioni tra due o più utenti attraverso 189

un sistema di telecomunicazioni. 190 c) Content of communication: informazioni scambiate tra due o più utenti di un sistema di 191

telecomunicazioni. 192 d) Communication: informazioni trasferite in coerenza ai formalismi concordati. 193 e) Handover Interface: interfacce fisiche o logiche attraverso le quali il risultato di una intercettazione 194

è trasferito da una un network operator/access provider/service provider al LEMF. 195 f) GUI: Graphics User Interface. 196 g) Identity: identificativo tecnico che rappresenta l’origine o la destinazione di ogni traffico di 197

telecomunicazioni caratterizzato da un un numero telefonico o da un numero virtuale assegnato ad 198 una comunicazione. 199

h) Intercept Related Information: informazioni e dati associati alla identità di un target che utilizza un 200 servizio di telecomunicazioni. 201

i) Interception (Lawful Interception): azione, a seguito di un ordine legale, attivata da un network 202 operator/service provider/access provider, per inviare a LEMF il CC e IRI delle comunicazioni di un 203 target. 204

j) Handover Interface: interfaccia fisica o logica attraverso la quale i network operator's/service, 205 access provider inviano il CC ed IRI al LEMF. 206

k) Law Enforcement Agency (LEA): organizzazione istituzionale autorizzata ad emettere ordini di 207 intercettazione. 208

l) Law Enforcement Monitoring Facility (LEMF): organismo istituzionale designato a ricevere su 209 apparecchiature tecniche la trasmissione del CC e IRI come risultato della intercettazione di una 210 comunicazione. 211

m) Lawful Interception Identifier: l’informazione che identifica in modo univoco l’intercettazione per 212 ogni target e per ogni LEA. 213

n) Network Operator: organismo pubblico di telecomunicazioni che permette, tra un punto di origine 214 e di terminazione, il trasferimento di segnali mediante fili, mezzi ottici o qualunque altro mezzo 215 elettromagnetico. Un Network Operator generalmente è anche un NSP. 216

o) Operatore: utilizzatore del LEMF, in genere Ufficiale di Polizia Giudiziaria. 217 p) Parametri d’identificazione del Target: elementi tecnici, utilizzati dalle reti, associati ad una 218

persona fisica o giuridica (target) per la loro identificazione. 219 q) RG: Registro Generale. 220 r) RIT: Registro Intercettazioni. 221 s) Result of Interception: informazioni relative ad un servizio utilizzato dal target intercettato 222

incluso il contenuto di una comunicazione (CC)e i dati correlati (IRI). Nota: Gli IRI devono essere 223 forniti anche in assenza di attività del target se esistono variazioni di stato. 224

t) Target: l’identità specificata nel decreto del LEA, le cui telecomunicazioni sono oggetto di 225 prestazioni obbligatorie. 226

u) Target identity: identità tecnica con cui si identifica in modo inequivocabile un soggetto 227 intercettato (target). 228

v) Telecommunication: ogni trasferimento di segnali, testi, immagini, suoni o dati, trasmessi, tutti 229 o in parte, tramite fili, segnali radio, elettromagnetici, fotoelettrici o sistemi ottici. 230

w) TSP: Acronimo generico per rappresentare l’insieme dei NWO/SP/ISP/AP 231 232


Pagina 6 di 16

4. Acronimi 233

234 ANSI American National Standard Institute 235 CALEA Communications Assistance for Law Enforcement Act 236 CC Content of Communication 237 CIN Communication Identity Number 238 HI Handover Interface 239 HI1 Handover Interface Port 1 (for Administrative Information) 240 HI2 Handover Interface Port 2 (for Intercept Related Information) 241 HI3 Handover Interface Port 3 (for Content of Communication) 242 IE Information Element 243 IIF Internal Interception Function 244 IRI Intercept Related Information 245 LEA Law Enforcement Agency 246 LEMF Law Enforcement Monitoring Facility 247 LI Lawful Interception 248 LIID Lawful Interception Identifier 249 MF Mediation Function 250 MME Mobility Management Entity 251 NWO Network Operator 252 PSTN Public Switched Telephone Network 253 RID Riservatezza, Integrità, Disponibilità 254 SMS Short Message Service 255 SMS oSGS Short Message Service over SGS 256 TI Target identity 257 UMTS Universal Mobile Telecommunication System 258 ITU International Communication Union 259 ETSI European Telecommunication Union 260 IETF Internet Engeenering Task Force 261 3GPP 3 Generation Partner Project 262 263 264

5. Riferimenti 265

266 [1] ISO/IEC 27002:2013 - Information technology - Security techniques - Code of practice for 267 information security controls 268 [2] ELISS - Special Publication - Revision 002 - DESCRIZIONE DELLLE FINALITÀ E DELLE CARATTERSITICHE 269 DEL PROGRAMMA 270 [3] Codice in materia di protezione dei dati personali - Decreto legislativo 30 giugno 2003, n. 196 271 [4] Codice in materia di protezione dei dati personali - Allegato B. Disciplinare tecnico in materia di 272 misure minime di sicurezza (Artt. da 33 a 36 del Codice) 273 [5] Garante della privacy -Provvedimento in materia di misure di sicurezza nelle attività di 274 intercettazione da parte delle Procure della Repubblica - 18 luglio 2013 - (Pubblicato sulla Gazzetta Ufficiale 275 n. 189 del 13 agosto 2013) 276 [6] Garante della privacy - Differimento dei termini di adempimento delle prescrizioni di cui al 277 provvedimento del 18 luglio 2013, in materia di misure di sicurezza nelle attività di intercettazione da parte 278 delle Procure della Repubblica - 26 giugno 2014 (Pubblicato sulla Gazzetta Ufficiale n. 149 del 30 giugno 279 2014) 280


Pagina 7 di 16

[7] ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management 281 systems -- Requirements 282 283

6. Principi ispiratori delle linee guida 284

285

Il quarto livello ELCAP si ispira ai principi che sono alla base dello standard ISO/IEC 27002 [1] 286

definendone nel dettaglio solo quegli aspetti che interessano l'ambito specifico. L'impostazione 287

dello standard ISO/IEC 27002 è coerente con quella del Sistema di Gestione per la Qualità ISO 288

9001. Il possesso di queste certificazioni, come già descritto nelle premesse del progetto ELCAP 289

[2], costituisce attestazione ben distinta e non sovrapponibile con la conformità ELCAP. 290

291

L'obiettivo di linee guida sulla sicurezza per il LEMF è di garantire: 292

- la disponibilità controllata delle informazioni, il LEMF deve rendere disponibili a ciascun 293

utente abilitato le informazioni alle quali ha diritto di accedere, nei tempi e nei modi 294

previsti; 295

- l'integrità delle informazioni, il LEMF deve impedire la alterazione diretta o indiretta delle 296

informazioni, sia da parte di utenti e processi non autorizzati, che a seguito di eventi 297

accidentali; 298

- la riservatezza delle informazioni, il LEMF deve impedire a chiunque di ottenere o dedurre, 299

direttamente o indirettamente, informazioni che non è autorizzato a conoscere. 300

301

7. Software del LEMF 302

303

La progettazione del software del LEMF è di competenza della società che produce l'apparato, 304

pertanto non rientra nel programma ELCAP la definizione di requisiti sulle modalità di creazione e 305

mantenimento del software, considerando anche indicazioni sulla soluzione architetturale da 306

adottare. Il programma ELCAP comprende tuttavia il riferimento al software di terze parti, per cui 307

si intende implicita la liceità (corrispondente al livello 1 del programma di conformità). 308

309

Il software del LEMF deve tuttavia seguire alcune regole comuni derivanti dalla buona 310

progettazione e previste dal ciclo di vita, tra le quali si evidenzia: 311

- il versioning - all'operatore deve essere sempre visibile, tramite funzionalità richiamabile 312

dalla GUI, la versione attuale del software e la data (gg/mm/aaaa) dell'ultimo 313

aggiornamento; 314

- la documentazione a corredo - il LEMF deve essere corredato da opportuna 315

documentazione che descriva il suo corretto utilizzo e le azioni che l'operatore deve 316

intraprendere all'insorgere di selezionate problematiche; 317

- logging delle attività - tutte le attività del LEMF, effettuate in automatico oppure su 318

richiesta dell'operatore, devono essere tracciate con l'indicazione anche dell'esito e di 319

queste deve essere creato apposito log. Il file di log non deve poter essere modificabile o 320

cancellabile tramite GUI dell'operatore. I tempi di conservazione del file di log devono 321

coincidere con quelli dei risultati delle attività di lawful interception per ogni procedimento 322

penale interessato. 323

324


Pagina 8 di 16

La versione del software deve variare nei seguenti casi di manutenzione: 325

- manutenzione correttiva, modifica al software al fine di correggere errori attraverso patch; 326

- manutenzione adattativa, migrazione di sistema operativo o di architettura; 327

- manutenzione evolutiva, estensione delle funzionalità anche se non direttamente 328

richiamabili tramite GUI. 329

330

In caso di manutenzione, la società fornitrice/noleggiatrice del LEMF deve fornire al titolare del 331

trattamento una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle 332

disposizioni del disciplinare tecnico di cui all'allegato B del Codice della privacy [4]. 333

334

Come particolare caso di logging ricade anche la registrazione e memorizzazione di eventuali dati 335

inviati dal Network Operator al LEMF e da questi non correttamente interpretati. Questi dati 336

possono essere relativi a formati di IRI o protocolli con cui sono state scambiati i contenuti 337

intercettati (Content of Communication) che il LEMF non ha ancora implementato. In nessun caso 338

questi dati devono essere scartati e cancellati. 339

340

I dati momentaneamente non decodificati e correttamente visualizzati all'operatore, devono 341

essere conservati in una cartella apposita locale ed eventualmente rielaborati una volta 342

individuata la problematica ed eventualmente adattato il software del LEMF. La condizione di dati 343

ricevuti ma non elaborati deve essere visualizzata all'operatore tramite apposita funzionalità della 344

GUI, riportando informazioni sommarie del tipo: data ora di ricezione, procedimento penale o 345

numerazione del target. 346

347

348

7.1 Accesso da remoto 349

In presenza di particolari condizioni è possibile che il software richiesta un intervento immediato 350

non compatibile con i tempi di intervento in locale. In questo caso è possibile prevedere una 351

particolarità funzionalità di accesso remoto al LEMF da parte di personale autorizzato della società 352

produttrice. 353

354

Tale funzionalità deve essere attivabile esclusivamente dalla GUI del LEMF, deve essere limitata 355

temporalmente alla verifica dell'eventuale malfunzionamento e non deve consentire l'accesso a 356

informazioni classificabili giudiziarie, ma solo a dati c.d. di targa del LEMF (numero processo attivi, 357

occupazione memoria e CPU, ecc..) con la possibilità di effettuare da remoto un riavvio forzato del 358

LEMF per consentire di ripristinare le condizioni normali di lavoro dell'apparato. L'accesso deve 359

avvenire tramite l'utilizzo di protocolli di comunicazioni sicuri e tramite l'instaurazione di una VPN. 360

361

362

8. Trattamento dei dati 363

364

I dati che tratta il LEMF sono classificabili come giudiziari, secondo quando previsto dal Codice 365

della privacy [3]: sono dati giudiziari "i dati personali idonei a rivelare provvedimenti di cui 366

all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in 367

materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei 368


Pagina 9 di 16

relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del 369

codice di procedura penale". 370

371

Si riportano di seguito i profili d'interesse per il programma ELCAP trattati dal Garante della 372

privacy anche in provvedimenti distinti. Il riferimento generale sul tema rimane la Parte II, Titolo I 373

"Disposizioni relative a specifici settori - Trattamenti in ambito giudiziario" del Codice [3]. 374

375

376

8.1 Disciplinare tecnico in materia di misure minime di sicurezza 377

Si riportano di seguito alcuni requisiti contenuti nell'allegato B del Codice [4] di stretta 378

competenza del LEMF: 379

380

1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di 381

credenziali di autenticazione che consentano il superamento di una procedura di autenticazione 382

relativa a uno specifico trattamento o a un insieme di trattamenti. 383

2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato 384

associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un 385

dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a 386

un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica 387

dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 388

3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per 389

l'autenticazione. 390

4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per 391

assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei 392

dispositivi in possesso ed uso esclusivo dell'incaricato. 393

5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto 394

caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di 395

caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili 396

all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni tre 397

mesi. 398

6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, 399

neppure in tempi diversi. 400

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle 401

preventivamente autorizzate per soli scopi di gestione tecnica. 402

8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato 403

l'accesso ai dati personali. 404

9. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso 405

della componente riservata della credenziale per l'autenticazione, sono impartite idonee e 406

preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare 407

può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o 408

impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive 409

necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle 410

credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per 411

iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente 412

l'incaricato dell'intervento effettuato. 413


Pagina 10 di 16

10. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di 414

autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. 415

11. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi 416

inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento 417

degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e 418

tecnicamente in alcun modo ricostruibili. 419

12. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di 420

danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti 421

degli interessati e non superiori a sette giorni. 422

13. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui 423

all'art. 615- quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da 424

aggiornare con cadenza almeno semestrale. 425

14. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di 426

strumenti elettronici e a correggerne difetti sono effettuati almeno con cadenza semestrale. 427

428

Oltre ai requisiti contenuti nel disciplinare tecnico del Codice, è necessario che il LEMF inibisca 429

l'installazione su di esso di ulteriori programmi non previsti con la sua fornitura, al fine di 430

assicurare l'affidabilità del servizio offerto. 431

432

433

8.2 Provvedimento del 18 luglio 2013 434

Si riportano di seguito alcuni requisiti contenuti nel provvedimento del 18 luglio 2013 del Garante 435

[5] di stretta competenza del LEMF: 436

437

- il LEMF deve essere predisposto a ricevere comunicazioni elettroniche provenienti dai 438

Network Operator, effettuate esclusivamente in modo cifrato, che assicurino 439

l'identificazione delle parti comunicanti, l'integrità e la protezione dei dati, nonché la 440

completezza e la correttezza delle informazioni temporali relative alle informazioni 441

trasmesse (date ed orari di formazione dei documenti o della loro trasmissione e 442

consegna); 443

- accesso al LEMF solo da postazioni preventivamente abilitate e censite, connesse a reti 444

protette dotate di sistemi di protezione perimetrale (firewall); 445

- accesso al LEMF, sia per scopi di configurazione delle intercettazioni, che per ascolto o 446

riascolto, ad operatori abilitati e autenticati tramite procedure di strong authentication, 447

anche per gli addetti tecnici (amministratori di sistema, di rete, di data base) che possano 448

materialmente accedere ai dati delle intercettazioni in ragione delle mansioni loro 449

attribuite (si rimanda al paragrafo relativo alla strong authentication); 450

- attribuzione di utenze di amministratore di sistema a soggetti preventivamente individuati 451

e designati secondo i criteri stabiliti dal Garante con il citato provvedimento del 27 452

novembre 2008 e con il provvedimento del 25 giugno 2009 (doc. web n. 1626595); 453

- conservazione in forma cifrata, indipendentemente dal formato di registrazione, delle 454

tracce foniche e delle altre informazioni, in modo da impedirne l'ascolto (nel caso delle 455

tracce foniche) o la intelligibilità a soggetti non legittimati anche in caso di acquisizione 456

fortuita o a seguito di guasti o interventi manutentivi sulle apparecchiature informatiche; 457


Pagina 11 di 16

- conservazione in forma cifrata delle eventuali copie di sicurezza (backup) dei dati allo 458

stesso modo di quanto previsto per i dati on line; 459

- estrazione di dati, anche parziale, su qualsiasi tipo di supporto removibile deve essere 460

assistita da procedure crittografiche per la protezione dei contenuti; 461

462

463

464

8.2.1 Strong Authentication 465

Il sistema di autenticazione, per l’accesso al LEMF, deve garantire le seguenti funzionalità: 466

467

1. L’Autenticazione deve avvenire obbligatoriamente per mezzo di due fattori di autenticazione, 468

di cui: 469

Il primo è costituito da un’informazione che identifica univocamente l’utente (user 470

name, pin, ecc.) 471

Il secondo costituito da un fattore fisico, in possesso dell’utente autorizzato 472

all’accesso al LEMF, a titolo esemplificativo e non vincolante, costituito da uno dei 473

seguenti strumenti: Token OTP (one time password) di tipo hardware e/o software, 474

USB token / Smart card, Contactless token. 475

2. Il sistema di autenticazione può essere realizzato con procedure strettamente integrate 476

all’applicazione LEMF, oppure con procedure che garantiscano la protezione delle singole 477

postazioni di lavoro, integrate alle funzioni di autenticazione proprie dei sistemi operativi 478

utilizzati. 479

3. La validità temporale della password deve essere conforme alle vigenti disposizioni di legge. 480

4. Lo user name deve essere univoco per ogni utente, così come ogni utente può avere un solo 481

strumento quale secondo fattore di autenticazione. 482

5. Il sistema di autenticazione deve rendere disponibile una consolle di gestione. 483

6. Devono essere mantenuti i log relativi alla gestione dei due fattori di autenticazione, ed in 484

particolare all’associazione del secondo fattore di autenticazione (token OTP, smart card, n. di 485

tel., ecc.) allo user name. Il sistema di autenticazione, deve poter produrre un elenco degli user 486

name e dei strumenti “associati” ad ognuno di essi. 487

7. Il meccanismo di autenticazione configurato, deve essere obbligatorio sia all’interno della rete 488

locale del LEMF (LAN), sia per ogni connessione effettuate da remoto, tramite collegamenti 489

sicuri. 490

491

492

8.2.2 Log delle attività 493

Il provvedimento del Garante della privacy [5] richiede altresì: 494

495

l'annotazione in registri informatici, con tecniche che ne assicurino la inalterabilità, con indicazione 496

dei riferimenti temporali relativi alle attività svolte e al personale operante, dell'esecuzione delle 497

operazioni (quali l'ascolto, la consultazione, registrazione, masterizzazione, archiviazione e 498

duplicazione delle informazioni, la trascrizione delle intercettazioni, la manutenzione e la gestione 499

dei sistemi, la distruzione dei supporti, dei verbali, delle registrazioni e di ogni altra 500

documentazione attinente alle intercettazioni) svolte nell'ambito delle attività di intercettazione sia 501


Pagina 12 di 16

presso i C.I.T., sia presso gli Uffici di polizia giudiziaria delegati (artt. 266 e ss. c.p.p.; art. 226 disp. 502

att. c.p.p.; d.m. 30 settembre 1989; d.m. 17 dicembre 1999); 503

In ottemperanza al requisito, è richiesto che il LEMF produca file di log di tipo funzionale e relativi 504

al tracciamento delle attività svolte sullo stesso. I file di log prodotti dovranno essere conservati in 505

forma cifrata e firmati digitalmente, per assicurare RID [7], all'interno dell'architettura del LEMF 506

(lato client o server) e resi disponibili per la sola visualizzazione dalla GUI del LEMF. 507

508

Qualora richiesto dalla Procura, dovranno essere messi a disposizione di un sistema centralizzato 509

di log collecting deputato alla raccolta, alla conservazione e alla visualizzazione dei log per tutti i 510

LEMF presenti all'interno della stessa Procura. In questo caso dovranno essere seguite le 511

specifiche d'interfaccia tra i sistemi fornite dalla Procura con l'eventuale conseguente 512

cancellazione dei log sul LEMF. 513

514

515

516

8.2.2.1 Formato XML dei Log delle attività 517

518

Il LEMF deve produrre un log di tutte le attività svolte secondo il formato XML (eXtensible Markup 519

Language) di seguito definito da ELISS del quale se ne indicano i marcatori (o tags) da utilizzare. 520

521

Formato di esempio: 522

523 <xml version="1.0" encoding="UTF-8"> 524 <logELCAP> 525 <VersionLog> ELCAP 1.0 </VersionLog> 526 <TimeStampLog> </TimeStampLog> 527 <VendorLemf> </VendorLemf> 528 <VersionLemf> </VersionLemf> 529 .... 530 </logELCAP> 531

532

533

534

535

Tabella di riepilogo dei marcatori da utilizzare all'interno del markup "LogELCAP" di 1° livello: 536

537

538

MARKUP 2° LIV. MARKUP 3° LIV. TIPO DESCRIZIONE VersionLog Obblig. Versione del log utilizzata

TimeStampLog Obblig. Data Ora nel formato UTC (es. 2001-10-

26T21:32:52+02:00 oppure 2002-01-

18T11:00:00-01:00)in cui è stato prodotto il Log

VendorLemf Obblig. Costruttore del LEMF

VersionLemf Obblig. Versione del LEMF

Country Opzion. Paese in cui opera il LEMF

User IpLemfClient Obblig. IP della postazione Client su cui è avvenuta


Pagina 13 di 16

l'autenticazione dell'Operatore

IPLemfServer Obblig. IP del Server dell'archiettura del LEMF che ha concesso l'autenticazione dell'Operatore

IPEsternal Obblig. IP della postazione esterna all'architettura della Procura che ha avuto accesso ai dati del LEMF

TypeUser Obblig. Tipologia di utenza per la quale è stato prodotto il Log:

1. Operator per l'Operatore di PG, 2. M2M per collegamenti tra Client e Server, 3. Admin per lAmministraore di sistema

UserIdentity Obblig. Tutti i dati identificativi dell'utente (matricola, user-id, nome, cognome, ecc..)

TimeStampUserStart Obblig. Data Ora nel formato UTC (es. 2001-10-

26T21:32:52+02:00 oppure 2002-01-

18T11:00:00-01:00) in cui è iniziata l'attività dell'utente (LogIn)

TimeStampUserEnd Obblig. Data Ora nel formato UTC (es. 2001-10-

26T21:32:52+02:00 oppure 2002-01-

18T11:00:00-01:00) in cui è terminata l'attività dell'utente (LogOut)

UserActivity TypeOfActivity Obblig. Macro descrizione dell'attività svolta. 1. Per Operator: Activation of monitoring,

Termination of monitoring, Modify Warrant Data, Audit (ascolto, visualizzazione dati intercettazione), Update Monitoring Data (brogliaccio) Export Data, Monitoring Status List, Delete Data, LEMF Administration

2. Per M2M: Transmitting client-server data, Generic interworking

3. Per Admin: Database administration, Application administration, Stop/Restart Collecting data, Stop/Restart Lemf, View Status Lemf, View Warrant Data, View Monitoring Data, Update SW.

ContentOfActivity Obblig. Descrizione estesa dell'attività con l'indicazione del target e dell'autorizzazione (Registro generale e Registro Intercettazioni).

TimeStampActivity Obblig. Data Ora nel formato UTC (es. 2001-10-

26T21:32:52+02:00 oppure 2002-01-

18T11:00:00-01:00)dell'attività svolta. Error Obblig. Da valorizzare in caso di errore con la descrizione

del problema.

539

540

541

542


Pagina 14 di 16

8.2.2.2 XSD dei Log 543

Di seguito si riporta lo XSD (XML Schema Definition) dei file di log: 544

545 <?xml version="1.0" encoding="utf-8"?> 546 <xs:schema elementFormDefault="qualified" 547 xmlns:xs="http://www.w3.org/2001/XMLSchema"> 548 <xs:element name="logELCAP"> 549 <xs:complexType> 550 <xs:sequence> 551 <xs:element name="VersionLog" type="xs:string"> 552 <xs:element name="TimeStampLog" type="xs: dateTime"> 553 <xs:element name="VendorLemf" type="xs:string"> 554 <xs:element name="VersionLemf" type="xs:string"> 555 <xs:element name="Country"> 556 <xs:simpleType> 557 <xs:restriction base="xs:string"> 558 <xs:enumeration value="IT"> 559 <xs:enumeration value="FR"> 560 <xs:enumeration value="DE"> 561 <xs:enumeration value="ES"> 562 <xs:enumeration value="UK"> 563 <xs:enumeration value="US"> 564 </xs:restriction> 565 </xs:simpleType> 566 </xs:element> 567 <xs:element name="User"> 568 <xs:complexType> 569 <xs:sequence> 570 <xs:element name="IpLemfClient" type="xs:string"> 571 <xs:element name="IPLemfServer" type="xs:string"> 572 <xs:element name="IPEsternal" type="xs:string"> 573 <xs:element name="TypeUser" type="xs:string"> 574 <xs:simpleType> 575 <xs:restriction base="xs:string"> 576 <xs:enumeration value="Operator"> 577 <xs:enumeration value="M2M"> 578 <xs:enumeration value="Admin"> 579 </xs:restriction> 580 </xs:simpleType> 581 </xs:element> 582 <xs:element name="UserIdentity" type="xs:string"> 583 <xs:element name="TimeStampUserStart" type="xs:dateTime"> 584 <xs:element name="TimeStampUserEnd" type="xs:dateTime"> 585 </xs:sequence> 586 </xs:complexType> 587 </xs:element> 588 <xs:element name="UserActivity"> 589 <xs:complexType> 590 <xs:sequence> 591 <xs:element name=" TypeOfActivity " type="xs: dateTime "> 592 <xs:simpleType> 593 <xs:restriction base="xs:string"> 594 <xs:enumeration value="Activation of monitoring"> 595 <xs:enumeration value="Termination of monitoring"> 596 <xs:enumeration value="Modify Warrant Data"> 597 <xs:enumeration value="Audit"> 598 <xs:enumeration value="Update Monitoring Data"> 599 <xs:enumeration value="Monitoring Status List"> 600


Pagina 15 di 16

<xs:enumeration value="Delete Data"> 601 <xs:enumeration value="LEMF Administration"> 602 <xs:enumeration value="Transmitting client-server data"> 603 <xs:enumeration value="Generic interworking"> 604 <xs:enumeration value="Database administration"> 605 <xs:enumeration value="Application administration"> 606 <xs:enumeration value="Stop/Restart Collecting data"> 607 <xs:enumeration value="Stop/Restart Lemf"> 608 <xs:enumeration value="View Status Lemf"> 609 <xs:enumeration value="View Warrant Data"> 610 <xs:enumeration value="View Monitoring Data"> 611 <xs:enumeration value="Update SW"> 612 </xs:restriction> 613 </xs:simpleType> 614 </xs:element> 615 <xs:element name="ContentOfActivity" type="xs:string"> 616 <xs:element name="TimeStampActivity" type="xs:dateTime"> 617 </xs:sequence> 618 <xs:element name="Error" type="xs:string"> 619 </xs:complexType> 620 </xs:element> 621 </xs:schema> 622

623

624

625

8.2.3 Protezione dei risultati delle intercettazioni trasferiti su supporti rimovibili 626

627

Il provvedimento del Garante della privacy [5] richiede altresì: 628

629

protezione dei documenti informatici trasferiti su supporti rimovibili con idonee tecniche 630

crittografiche, ricorrendo preferibilmente ad algoritmi a chiave pubblica (come nel caso dell'uso di 631

strumenti di firma digitale in funzione di cifratura), evitando comunque la trasmissione di chiavi 632

simmetriche di cifratura in modo informale su canali insicuri; 633

634

Tutti i dati esportati dal LEMF verso supporti rimovibili devono essere cifrati, rispettando le 635

seguenti indicazioni: 636

a) l'algoritmo crittografico usato deve essere al minimo uno stream-chipher a chiave 637

simmetrica; 638

b) in caso di algoritmo con chiave simmetrica essa deve essere scambiata in modalità 639

sicura; 640

c) la catalogazione e la conservazione delle chiavi per la riapertura delle archiviazioni 641

prodotte sono funzioni esterne al LEMF. 642

643

644

8.2.3.1 Formato dei dati trasferiti su supporti rimovibili 645

646

I dati trasferiti su supporti rimovibili devono rispettare lo stesso formato ricevuto dall'Operatore o 647

della Rete. La fruibilità dei dati prescinde da tale principio. 648

649


Pagina 16 di 16

Il formato dei dati trasferiti su supporti rimovibili deve poter rispettare il modello ETSI dei livelli 650

precedenti dell'ELCAP, quindi separando il CC (Content of Communication) dal contenuto 651

informativo IRI (Intercept Related Information): il primo deve essere esportato secondo il 652

protocollo/codec di appartenenza, il secondo deve riportare esattamente in formato testuale le 653

informazioni ricevute e relative al primo. L'export del CC deve avvenire anche quando ques'ultimo 654

non sia stato interpretato dal LEMF, ma tramite gli IRI è stato possibile aggregarlo. 655

656

Come strumento di correlazione tra i files di CC e IRI, è raccomandato al LEMF l'utilizzo di 657

parametri comuni ai due nella nomenclatura dei files (ad es. target, RIT, LIID, ecc.), con eventuali 658

ulteriori parametri utili al LEMF (data/ora, num. sequenziali, ecc.). L'export deve essere 659

accompagnato da un meccanismo di integrità dei dati esportati. 660

661

662

9. Dismissione del LEMF 663

664

Nel caso in cui il LEMF venga dismesso per cessazione del rapporto contrattuale, l'operatore deve 665

poter avviare la procedura di cancellazione sicura dei dati conservati prima che questo venga 666

riconsegnato alla società costruttrice/noleggiatrice. 667

668

Tale funzionalità deve prevedere per tutti i dischi rigidi presenti nel LEMF una formattazione a 669

basso livello e a quattro cicli completi di scrittura e cancellazione. 670

671

672

673

10. Modifiche 674

675

ELISS Documetation Data

Version Nota

Security 29 -05 - 2015 v.1.0 Prima versione

676

PROGRAMMA DI VERIFICA DI CONFORMITÀ DEGLI APPARATI ... · ELISS – TS 400.001 “Linee guida per...

Documents

Transcript of PROGRAMMA DI VERIFICA DI CONFORMITÀ DEGLI APPARATI ... · ELISS – TS 400.001 “Linee guida per...