PA e Sicurezza Linee strategiche e soluzioni a supportoarchive.forumpa.it/forumpa2006/convegni/relazioni/432_andrea... · Statement on Auditing Standard ... ISO20000 – Service ...

PA e SicurezzaLinee strategiche e soluzioni a supporto

Andrea RigoniGovernment Consulting – [email protected]

2FORUM PA – Roma 8 Maggio 2006

CNIPA Security Guidelines for 2006

a. Compliance to DPCM 16/2/2002

b. Legal recognition of Electronic Documents and Workflows

c. National Certification Schema (OCSI)

d. Institution of Govcert.it

e. ICT Security Education (ISCOM)

Past Actions



f. Extension of law 196 Security Criterias to all data

g. Support by e-government applications of CIE and CNS

h. Data Classification Systemi. Email Securityj. Institution of CERT-AMsk. SPCl. Compliance to the “Modello Organizzativo

Nazionale di Sicurezza ICT per la PAm. Assignments of the tasks described in the “Modello

Organizzativo Nationale Sic. ICT per la PA”n. Institution of the Security Responsibleo. Introduction of Security SLA/OLA in all services

contracts (see new ISCOM guidelines)

New Actions



p. Piani formativi scolastici sulla Sicurezza

q. Campagne informative per i cittadini

r. Istituzione del Centro Nazionale di Sicurezza

Government Actions


A complex regulation framework

December 1996Legge 675/96 sulla privacyItalian Parl.

July 1999DPR 28 luglio 1999 n.318Italian Gover.

December 2001Linee guida in materia di digitalizzazione della PA per l'anno 2002

AIPA

April 2002DPCM 11 aprile 2002 – Valutazione e Certificazione di SicurezzaItalian Gover.

Feb 2002Direttiva sulla sicurezza nelle P.A. – Direttiva StancaMIT

July 2002Linee Guida dell'OCSE sulla sicurezza dei sistemi e delle reti d'informazione: verso una cultura della sicurezzaOCSE

June 2003Linee Guida dell'OCSE "for Protecting Consumers from Fraudulent and Deceptive Commercial Practices Across Borders" - giugno 2003OCSE

July 2002Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche del 12 luglio 2002

Privacy Garante

May 2003Spamming. Regole per un corretto invio delle e-mail pubblicitariePrivacy Garante

July 2002Comitato Tecnico Nazionale Sicurezza Informatica nella Pubblica AmministrazioneItalian Gover.

April 2003Decreto legislativo 9 aprile 2003, n. 68 - Attuazione della direttiva 2001/29/CE sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione

Italian Gover.

June 2003Decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personaliItalian Gover.

October 2003Decreto del presidente del Consiglio dei Ministri del 30 ottobre 2003 (Certificazione)Italian Gover.

December 2003Linee guida in materia di digitalizzazione dell'amministrazione per l'anno 2004MIT

December 2003Decreto-Legge del 24 dicembre 2003, n.354 - Disposizioni urgenti per il funzionamento dei tribunali delle acque, nonché interventi per l'amministrazione della giustizia.

Italian Gover.

February 2004Legge 26 febbraio 2004, n. 45Italian Parl.

December 2003Testo coordinato del decreto-legge 24 dicembre 2003, n.354Italian Gover.

March 2004Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la Pubblica AmministrazioneMIT/CTNS

Febrary 2005Decreto del Ministro per l'innovazione e le tecnologie e del Ministro delle comunicazioni 17 febbraio 2005, recante: Linee guida provvisorie per l'applicazione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione

MIT

July 2005Decreto interministeriale del 16 agosto 2005 – legge 155 del 31/7/2005Italian Gover.

March 2006Linee guida per la sicurezza ICT delle pubbliche amministrazioniCNIPA

IssuedLaw – Regulation - GuidelineOrganization


December 2005CERTENISA Inventory of CERT activities in Europe

February 2006Incident ManagementISCOM/ENISA – Managing Security Incidents and Emergencies

QualityISO9000 and SIX Sigma

Security AuditingOSSTMM – Open Source Testing Methodology Manual

Security AuditingISECOM – Institute for Security and Open Methodologies

February 2000Security AuditingStatement on Auditing Standard – SAS70 Type II

August 2004Incident managementSteps for Creating a National CSIRT – SEI Carnegie Mellon

March 04Incident ManagementNational Incident Management System – Homeland Security

N/AData ProtectionEuropean Privacy Law/Data Protection

June 2004Security GovernanceITU – network Security, protection our critical infrastructures

Business GovernanceSarbanes Oxley - SOX

System SecurityISO15408 – Common Criteria

March 2003Business ContinuityPAS56

January 1999IT Service ManagementIT Infrastructure Management (ITIL)

January 2005IT Service ManagementISO20000 – Service Management and BS15000

January 2006IT/Security GovernanceCOBIT 4.0

March 2006Incindent Managament & SOCISF - Incident Management Workshop

December 2005Security ManagementISO/IEC 17799:2005 -27001:2005

December 2004Incident & Security ManagementISO 18044 Information Security Incident Management

October 2004Incident Handling & SOCCERT - Defining Incident Management Processes for Computer Security Incident Response Teams (CSIRTs)

January 2004Incident HandlingNIST - Computer Security Incident Handling Guide

December 2003Incident Handling e Security MonitoringOrganizational Models for Computer Security Incident Security Response Teams (CSIRTs)

December 2001Incident HandlingFCCX - Computer Security Incident Response Guide

February 2001Security ManagementISO/IEC 17799/2000

June 1998Incident HandlingRFC 2350 - Expectations for Computer Security Incident Response

PublishedFocusLaw, Regulation or Guideline

International Regulations

Email Security


EmailData Mining

Solutions for Customer Problems Today…

EmailPolicy Mgmt

EmailDiscovery

EmailCompliance

Email Archiving

Keep Email Running

Keep Email A Long Time

Keep Email & Find It Again

Keep Bad EmailFrom Happening

Keep Email AsAn Asset


UnstructuredData Warehouse

And Allowing Customers To Manage “The Rest Of Their Data” Tomorrow

Digital CommsArchive

CollaborationArchive

MessageArchive

Email Archive

Exchange,Domino,

SMTP

IM, Bloomberg,Blackberry

Files, Sharepoint,

Blog

VOIP,Voice Mail,Digital Fax

AnalyticApplications


Inte

rnet

Vault Store

Archive

VERITAS NetBackup/BackupExecVERITAS Storage FoundationVERITAS Storage Foundation HA (VCS)Symantec Solutions Enablement Services

Data Reduction

SMS 8160 Appliance

"Antispam Router"

Internal Email Protection

SMS for Microsoft ®

ExchangeSMS for Domino ®

Records Discovery and Retrieval

VERITAS EV Compliance Accelerator & Discovery Accelerator, Symantec Solutions Enablement Services

RecordsRetention

VERITAS Enterprise Vault (EV)Symantec Solutions Enablement Services

Risk and Data Reduction

Symantec Mail Security

Software/Appliance/Hosted

Resilient Foundation

Microsoft ExchangeIBM Notes Domino

MTA

SMTP Traffic

Manage Email Lifecycle

SMS = Symantec Mail Security

Solutions for Today

IT Compliance


IT Compliance is intended to mitigate risks associated with a wide variety of high profile and growing challenges, including:� Information integrity

� Information & resource availability� Privacy

� Efficient use of public funds

However, current processes are fraught with challenges that limit the effectiveness of compliance efforts and actually divert resources (time, people, money) away from real security improvement.

Public Sector IT Compliance: Why focus on it?


Define ControlEnvironment Establish Controls

Oversight &Governance

� Risk Assessment

� Establish Policy

� Controls Design

� Controls Assessment

� Gap Definition

� Develop Controls

� Implementation Planning

� Audit & Examine Controls

� Evaluate Audit & Examination Findings

� Report on Controls Compliance

� Recommend Improvements

Continuous Improvement

Changing Responsibility for Compliance

IT Operations Becoming More Responsible

� Implement Controls � Document Controls

Continuous Improvement

SustainControls

State of Control State of Control

Compliance Management Infrastructure

CERT-AM


Risk Management: il nuovo approccioI nuovi approcci al Risk Management propongono:

� Prevenire gli incidenti , attraverso l’adozione di contromisure (tecnologie e processi)

� Rilevare gli incidenti

� Rispondere agli incidenti per minimizzarne l’impatto e per rilevarne le cause

Incident Response:

� E’ la funzione organizzativa incaricata all’Incident Handling, ovvero alla Rilevazione e alla Risposta agli incidenti. Viene gestita da una funzione organizzativa denominata Incident Response Team (IRT) 1

1 La sigla generica che viene impiegata è CERT - Computer Emergency Response Team - è un marchi registrato dal CERT Coordination Center (www.cert.org), istituito presso la Carnegie-Mellon University. Le sigle alternative suggerite sono: IRT, SERT, CIRT, CSIRT.


I Benefici di un IRTGestione dell’Impatto

� L’IRT ha lo scopo di rilevare e gestire gli incidenti di sicurezza, riducendo o annullando l’impatto dell’incidente. Inoltre, attraverso il Monitoraggio in tempo reale, ha lo scopo di prevenire gli incidenti.

Cosa ha rilevato Symantec:

� La gestione degli incidentiattraverso una funzione di IRT opportunamente organizzatoporta nell’arco di un anno allariduzione fino al 70% degliincidenti di tipo grave

Percent of Companies Detecting Severe Events by Cli ent Tenure

0

20

40

60

80

100

120

1-3 4-6 7-9 10-12 13-15 16-18 19+

Client Tenure (Months)

Per

cent

of C

ompa

nies

Il dato è ricavato dal nostro studio semestrale “Internet Security Threat Report” prodotto attraverso il monitoraggio di 25.000 segmenti di rete e di oltre 800 clienti dei servizi di Monitoring diSymantec


L’Offerta “Deployed Security Operations Center”


Esempio di Modello Organizzativo IRT

Service Continuity


What challenge is being addressed?

78% of application downtime is caused by manual change to the

IT infrastructure.


DATA PROTECTION

STORAGENETWORK SERVERS VIRTUAL MACHINES

DATABASES MIDDLEWARE APPLICATIONS

CUSTOM APPS

STORAGE MANAGEMENT

SERVER MANAGEMENT

APPLICATION PERFORMANCE

VantagePathFinderIntroscopeJProbeSitraka

AppManagerOEMPatrolFoglightDBArtisanDGITopazCCMSPACOptaneSilkTheGuardeHealth

ServiceGuardSun ClusterMSCSHA-CMPTrueClusterIBM TPM / TIOBMCHP OpenViewCAJumpstartOpswareBladelogicTivoli

AltirisClusterFramePolyserveGeoSpanQlustersSteelEyeKickstartN1 GridHP UDCADS, SMSMarimba

DLMLVMSVMASMMDUXSVCLDMOCFSDFMUFSZFSJFSGPFS

ECCAppIQCreekpathHiCommandTPMSAN CopyMirrorViewRepliStorTrueCopyDoubleTakePPRCSRDFMPIO

Sun SRMReiserFSSAN NavigatorAperiShadowImageInstantImageSnapViewShadow CopyFlashCopyTimeFinderExt3SANFSPowerPath

NetWorkerGalaxyArcServeMedia MirrorDiskXtenderEmailXtenderTSMSAM-FSData MigratorRSSNearStoreBrightStorMobile Backup

Data ProtectorEDMNT BackupOnTapNetVaultLiveVaultSyncSortRetrospectUltrabacTapewareDLM

TOOLS REQUIRED: 1 0 0

Current Data Center Complexity


Symantec Methodology – Unique IP


Customer Perspective: Recovery Time & Objective

INVESTMENT

>RP

O/R

TO

Low-Level SLA Medium-Level SLA High-Level SLA

Local Clustering (HA)

Replication and Remote Mirroring

Global Clustering

Security Management (Firewall, IPS/IDS, Critical Sy stems Protection, Encryption, VM, AV)

Data Protection (Backup, Recovery, Vaulting)

Online Volume Management

Storage Checkpoints

LAN Clustering

WAN Clustering

Backup

Asynchronous Replication

SynchronousReplication

Vaulting

Online Volume Management, Storage Checkpoints, Poin t-in-Time Copies

Security


STORAGENETWORK SERVERS VIRTUAL MACHINES

DATABASES MIDDLEWARE APPLICATIONS

CUSTOM APPS

Veritas NetBackup

Veritas Storage Foundation

VeritasServer Foundation

Veritasi3 - APM

Symantec Data Center Foundation

Symantec Data Center Foundation

NetBackup(Enterprise & Workgroup)

PureDisk(Remote Office)

CC Service(Business Reporting)

Storage Foundation(Basic, Standard, Enterprise)

CC Storage(SAN Management & SRM)

CC Service(Business Reporting)

Cluster Server(High Availability, DR mgmt.)

Provisioning Mgr.(OS, App, Patch Provisioning)

Configuration Mgr.(Discover, Map & Track)

Indepth(Root Cause Analysis)

Inform(Trend Analysis)

Insight(Multi-tier Visibility)