Upload
phamliem
View
214
Download
0
Embed Size (px)
Citation preview
Pattern Recognition and Applications Lab
University
of Cagliari, Italy
Department of Electrical and Electronic
Engineering
CERTIFICAZIONIPERLASICUREZZA
Giorgio Giacinto
CorsoSicurezzaInforma1ca2015-2016
h9p://pralab.diee.unica.it 2
Cosavuoldirecer1ficare?• Stabilirecosasiintendepersicurezza• AvereorganismichegerarchicamenteaCribuisconola
qualificadicer$ficatori
• CerFficazioniperprofessionisF– A9ribuisconounaqualifica
• CerFficazioniperprodoHsoIware
– Provanoilpossessodicertecara9eris1che
http://pralab.diee.unica.it
CerFficazioniprofessionali
h9p://pralab.diee.unica.it 4
CISSPCerFfiedInformaFonSystemsSecurityProfessional
• Rilasciatadall’associazionenoprofit(ISC)²InternaFonalInformaFonSystemsSecurityCerFficaFon
ConsorFum.
• Nel2004lacer1ficazioneCISSPhaacquisitol’accreditamentoANSIISO/IECStandard17024:2003– Versioneaggiornata:ISO/IEC17024:2012
• ÈconformeairequisiFdelDiparFmentodellaDifesa
(DoD)USA
h9p://pralab.diee.unica.it 5
Comeo9enerelacer1ficazioneCISSP• Occorreessereunprofessionistadaalmeno5anniinalmeno
duedeiseguen1oCodominiesostenereunesame– SecurityandRiskManagement
• Security,Risk,Compliance,Law,Regula1ons,BusinessCon1nuity– AssetSecurity
• Protec1ngSecurityofAssets– SecurityEngineering
• EngineeringandManagementofSecurity– Communica1onsandNetworkSecurity
• DesigningandProtec1ngNetworkSecurity– Iden1tyandAccessManagement
• ControllingAccessandManagingIden1ty– SecurityAssessmentandTes1ng
• Designing,Performing,andAnalyzingSecurityTes1ng– SecurityOpera1ons
• Founda1onalConcepts,Inves1ga1ons,IncidentManagement,DisasterRecovery
– So[wareDevelopmentSecurity• Understanding,Applying,andEnforcingSo[wareSecurity
h9p://pralab.diee.unica.it 6
CISSPinItalia• (ISC)2halasuasezioneinItaliacheprovvedea
organizzareiseminariforma1viperl’o9enimentodellacer1ficazione
h9p://pralab.diee.unica.it
Altrenormeecer1ficaizoni
7
http://pralab.diee.unica.it
CerFficazionisoIware
h9p://pralab.diee.unica.it
OrangeBook• IlDiparFmentodellaDifesa(DoD)
degliUSAhapubblicatonel1985un
documentonotocome�OrangeBook�.
http://www.dynamoo.com/orange
• IldocumentodivideiSistemi
OperaFviinseCecategorie
(D,C1,C2,B1,B2,B3,A1)
relaFvamenteaduncertonumero
dicaraCerisFcherelaFvealla
sicurezza
– A9ualmenteèunaclassificazionedatata,maiprincipi-guidasonotu9oravalidi
9GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it
OrangeBook• LivelloD:MinimalProtecFon
– Questacategoriaèassegnataasistemiopera1vinonclassificabilidalpuntodivistadellasicurezza• MS-DOS,Windows95/98/ME
• LivelloC:DiscreFonaryProtecFon– Laprotezionedeglioggedèopzionale.– IlSistemaOpera1vosupportalefunzionidiloggingdibase
• C1:Discre1onarySecurityProtec1onPrimeversionidiUNIX
• C2:ControlledAccessProtec1onIBMOS/400,WinNT/2000/XP,NovellNetware
10GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it
OrangeBook• LivelloB:MandatoryProtecFon
– Laprotezionenonèfacolta1vamaobbligatoria– Aciascunutenteeaciascunogge9oèassegnatounlivellodisicurezza• B1:LabeledSecurityProtec1onHP-UX,CrayResearchTrustedUnicos8.0,DigitalSEVMS
• B2:StructuredProtec1onHoneywellMul1cs,CryptekVSLAN,trustedXENIX
• B3:SecurityDomainsGetronics/WangFederalXTS-300
• LivelloA:VerifiedProtecFon– Metodiformaliperverificarelasicurezza
• A1:VerifiedProtec1onBoeingMSLLAN,HoneywellSCOMP
11GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it
CommonCriteria• LeorganizzazioniperlasicurezzadiUSA,Canadae
Europahannointrapresounosforzoperuniformareicritericoncuivalutarelasicurezzadeisistemiinforma1ci
• CommonCriteria
– Primaversionenel1996.Versionea9uale3.1Release4Laversione2.3èstatapubblicatacomeISO/IEC15408:2005eISO/IEC18405:2005
– Nel2014accordoperunarevisionedellemodalitàdicer1ficazione
12GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it
Cer1ficatoriCommonCriteria• 17nazioniconlaboratoridicer1ficazione
– Australia– Canada– CoreadelSud– Francia– Germania– India– Italia(dal5o9obre2009)– Giappone– Malesia
• 8nazionisolou1lizzatrici– Austria,RepubblicaCeca,Danimarca,Finlandia,Grecia,
Israele,Pakistan,Ungheria,
13
– Norvegia– NuovaZelanda– Olanda– RegnoUnito– Spagna– Sta1Uni1d’America– Svezia– Turchia
GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it 14
Evalua1onAssuranceLevel(EAL)• IsistemisonovalutaFinunascalada1a7
– EAL1,livelloinferiore– EAL7,livellosuperiore
EAL1-funcFonallytested
EAL2-structurallytested
EAL3-methodicallytestedandchecked
EAL4-methodicallydesigned,testedandreviewed
EAL5-semiformallydesignedandtested
EAL6-semiformallyverifieddesignandtested
EAL7-formallyverifieddesignandtested
h9p://pralab.diee.unica.it
Protec1onProfiles• IntrodoHdirecentecomeinsiemedirequisiFminimida
soddisfareperunacertacategoriadiprodoHalfinedisuperareleverificherelaFveaundeterminatoEAL– AccessControlDevicesandSystems(2PP)– BiometricSystemsandDevices(2PP)– BoundaryProtec1onDevicesandSystems(11PP)– DataProtec1on(7PP)– Databases(1PP)– ICs,SmartCardsandSmartCard-RelatedDevicesandSystems(54PP)
– KeyManagementSystems(4PP)– Mul1-Func1onDevices(3PP)– NetworkandNetwork-RelatedDevicesandSystems(13PP)– Opera1ngSystems(2PP)– OtherDevicesandSystems(33PP)– ProductsforDigitalSignatures(17PP)– TrustedCompu1ng(3PP)
15
h9p://pralab.diee.unica.it
PrododCer1fica1
16
h9p://pralab.diee.unica.it
PrododCer1fica1
17
h9p://pralab.diee.unica.it
PrododCer1fica1
18
h9p://pralab.diee.unica.it
Esempidiprododvaluta1secondoCCEAL7+
– FortFoxHardwareDataDiode,versieFFHDD2+EAL7
– VirtualMachineofMultosM3G230MmaskwithAMD113v4– MemoryManagementUnitdesmicrocontrôleursSAMSUNGS3FT9KF/
S3FT9KT/S3FT9KSenrévision1EAL6+
– GreenHillsSo[wareINTEGRITY-178BSepara1onKernel,comprising:INTEGRITY-178BRealTimeOpera1ngSystem(RTOS),versionIN-ICR750-0101-GH01_RelrunningonCompactPCIcard,versionCPN944-2021-021withPowerPC,version750CXe
– InfineonSecurityControllerM7893B11withop1onalRSA2048/4096v1.03.006,ECv1.03.006,SHA-2v1.01librariesandToolboxv1.03.006andwithspecificICdedicatedso[ware(firmware)
19GiorgioGiacinto2014Cer1ficazione
h9p://pralab.diee.unica.it
Esempidiprododvaluta1secondoCC
EAL4+– Microso[WindowsServer2008R2– RedHatEnterpriseLinuxon32bitx86Architecture,Version6.2– JBossEnterpriseApplica1onPlasorm6Version6.2.2– Microso[SQLServer2014DatabaseEngineEnterpriseEdi1onx64– FINXRTOSSecurityEnhanced(SE)v3.1Sistemiopera1vichesoddisfanoilProtec1onProfile– Microso[Windows10andWindowsServer2012R2– IBMz/OSVersion2Release1
AltrisistemichesoddisfanoilProtec1onProfile– SamsungGalaxyNote4withAndroid5VPNClient– Microso[Windows10MobilewithLumia950,950XL,550,635,and
Windows10withSurfacePro420
h9p://pralab.diee.unica.it 21
OCSIOrganismo Certificazione Sicurezza Informatica• L’OCSIges1sceloSchemaNazionaleperlavalutazionee
cer1ficazionedellasicurezzadisistemieprododnelse9oredellatecnologiadell'informazione(DPCMdel30.10.2003-G.U.n.9827.04.2004)
• L’ISCOM(Is1tutoSuperioredelleComunicazioniedelleTecnologiedell’Informazione)delMinisterodelloSviluppoEconomicoè,perdecreto,l’OrganismodiCer1ficazione
• L’OCSIagisceinconformitàaglistandardinternazionaliISO/IECIS-15408(CommonCriteria)eaicriterieuropeiITSECeITSEM.
http://pralab.diee.unica.it
SchemidicerFficazionedei
processiaziendali
22
h9p://pralab.diee.unica.it
Limi1CC• Lacer1ficazionesecondoiCCècara9erizzatada– Tempilunghi– Cos1al1
• CCèadeguatainambitomilitareenegliambi1civiliadaltorischio(impian1chimici,nucleari,ecc.)
• Lapervasivitàdeglistrumen1informa1cirendenecessario– L’usodistrumen1cer1fica1– Schemidicer1ficazionefacilmenteu1lizzabili
23
h9p://pralab.diee.unica.it
Inizia1vecongiuntepubblico-privato
• InUSAeUKsonosta1cos1tui1gruppidilavoroconesponen1diis1tuzionipubblicheeaziendeprivateperdefinireschemidicer1ficazionedeiprocessiaziendali
• InUSAilNISTèstatodemandatoaorganizzareigruppidilavoroeredigereloschema
• InUKl’inizia1vaèstatarealizzatadalMinisterodegliInterni
24
h9p://pralab.diee.unica.it
NIST–CyberSecurityFramework• Versione1.0-Febbraio2014
FrameworkforImprovingCri8calInfrastructureCybersecurity
25
h9p://pralab.diee.unica.it
FrameworkitalianoCyberSecurityh9p://www.cybersecurityframework.it
• PresentatoufficialmenteaFebbraio2016
• PredispostodalCIS-SapienzaedalLaboratorioNazionaleCybersecuritypressoilCINI
• BasatosulframeworkNIST
• Estensioneapiccoleemedieimprese,sucuisireggegranpartedell’economiaitaliana
26
h9p://pralab.diee.unica.it
UKCyberEssen1als• Inizia1vadelgovernoUK
PrimaversioneGiugno2014• CyberEssenFal
Basatosuautocer1ficazione• CyberEssenFalPlus
Cer1ficazionerilasciatadaunorganismoesterno• Requisi1tecnicidibase– Boundaryfirewallsandinternetgateways– Secureconfigura1on– Accesscontrol– Malwareprotec1on– Patchmanagement
27
http://pralab.diee.unica.it
CerFficazione
perapplicazioniweb
h9p://pralab.diee.unica.it 29
AccertamentodilivellidisicurezzaOWASP• OWASPApplicaFonSecurityVerificaFonStandard2009
– Definisce4livellidiverificaedocumentazione
h9p://pralab.diee.unica.it 30
LivelliOWASP• Livello1-VerificaAutomaFca
Sufficienteselaminacciaprincipaleprovienedaviruseworm
• Livello2-VerificaManuale
Necessariosel’applicazioneelaborada1personali,transazionifinanziarie,B2B,ecc.
• Livello3-VerificadelProgeCoNecessariosel’applicazioneeffe9uaprevalentementetransazioniB2Binclusoiltra9amentodida1sanitari
• Livello4-VerificaInternaApplicazionilegateainfrastru9urecri1che,allaprotezionedellavitaumana,emilitari
http://pralab.diee.unica.it
AltrecerFficazioni
31
h9p://pralab.diee.unica.it
NormeISO27000sInforma1onsecuritymanagement
32
IES/IEC27000
27001
27002
27034
Famigliadinormeperlages1onedellasicurezzadelleinformazioni–nonriguardanoesclusivamentelasicurezzainforma8caNormadiriferimentoperogni1podiaziendamirataallages1onesicuradelleinformazioni,indipendentementedalletecnologieu1lizzateMisuredisicurezzaperlami1gazionedelrischiosullasicurezzadelleinformazionicontestualizzatesullatecnologiau1lizzataSicurezzadelleapplicazioni(Applica1onSecurityControls)
h9p://pralab.diee.unica.it
Cer1ficazioniperapplicazioni• PCI(PaymentCardIndustry)SecurityStandard– PCI-DSS(DataSecurityStandard)Perimerchantcheelaboranoda1dipagamento
– PA-DSSPeriprodu9oridiso[warecheges1sconoda1rela1viacartedipagamento
33