�ݺ�ߣ

Corso di Laurea Specialistica in Informatica
Esame di Sicurezza dei Sistemi Informativi

Piano di Sicurezza
del Sistema Informativo CDS

Giuseppe Specchio, Henry Meregalli, Stefano Rosati

Il Dato e l'Informazione
● Questi due concetti di base sono così importanti
che l'organizzazione internazionale OECD
(Organization for Economic Co-Operation and
Development) nel documento “Giudelines for the
Security of Information Systemsquot; ha fornito le
seguenti definizioni:
● il dato è la rappresentazione oggettiva di un fatto o
evento che consenta la sua trasmissione oppure
interpretazione da parte di un soggetto umano o di
uno strumento informatico.
● L'informazione è l'interpretazione e il significato
assegnato a uno o più dati.

Sistema Informativo
Informatizzato
Sistema

Informativo Informatico

comprende le attività di
elaborazione manuale e
s'intende invece l'insieme
automatizzata dei dati, i
delle tecnologie a supporto
processi informativi, le
della parte automatizzata del
relative risorse umane e
sistema informativo.
tecnologiche e l'infrastruttura
fisica di riferimento.

sistema informativo
automatizzato

IT & ICT
Sistema

IT ICT
Information Technology Information and Communication Technology

indicano quelle parti di un'azienda in cui si gestiscono tali
tecnologie (con macroprocessi, processi, asset nonché persone
ed asset) e consentono agli altri settori il trattamento
automatizzato delle informazioni.

Requisiti di Sicurezza per un
Sistema Informativo Automatizzato
● Autenticazione : è il processo che verifica l’identità di
un’entità coinvolta nella transazione. Può essere
implementato come una semplice username+password o
con un più complicato riconoscimento biometrico
● Disponibilità : una volta determinata l’autenticità di
un’entità, bisogna verificarne i permessi, vedere quali attività
è abilitata a svolgere e a quali risorse può accedere.
● Integrità : è il processo che assicura che i messaggi non
possono essere intercettati e alterati durante lo scambio fra
entità.
● Riservatezza : dati non solo non devono essere alterati,ma
devono essere letti solo da chi ha il permesso di accedervi.

Il DPS – Aspetti Legislativi
● Il Documento Programmatico per la Sicurezza è un obbligo
previsto dalla Legge n. 675 del 31 dicembre 1996, nota come
legge sulla privacy, per tutti i soggetti che trattano dati c.d.
sensibili con strumenti elettronici.
● Il documento va predisposto ed aggiornato annualmente entro il
31 Marzo affinché se ne possa dare comunicazione nella
relazione allegata al Bilancio d'esercizio.
● Viene redatto sulla base dello standard ISO 27001:2005, il quale
nell'ottobre 2005 ha sostituito lo standard britannico BS7799.
● direttiva “Stanca” sulla Sicurezza nelle tecnologie
dell'informazione e della comunicazione.
● “Proposte concernenti le strategie in materia di sicurezza
informatica e delle telecomunicazioni per la pubblica
amministrazione” redatto dal C.N.I.P.A. - “Comitato tecnico
Nazionale sulla sicurezza Informatica e delle telecomunicazioni
nelle Pubbliche Amministrazioni”

Attuazione del DPS
● Il processo di attuazione del DPS prevede, in
modo strettamente sequenziale, le seguenti
quattro fasi:
● Plan: definizione piano di sicurezza versione alfa
● Do: prima implementazione ed attuazione del
piano versione alfa
● Check: monitoraggio e validazione
● Act: manutenzione ed evoluzione, rilascio
versione beta del piano.

Definizione del DPS

Sistema
Informativo
Automatizzato

Macroprocesso 1
Macroprocesso 2 ... Macroprocesso n

Processo 1
Processo 2 ... Processo n

Attività
Elementare 1 Attività ... Attività
Elementare 2 Elementare n

... ...
Controllo 1 Controllo n Asset 1 Asset n

I Macroprocessi
1.Acquisizione, inizializzazione e consegna
della smartcard;
2.Caricamento della BDSP;
3.Emissione della CDS;
4.Uso della CDS.
5.Attività di vendita on-line.
6.Attività di spedizione.
7.Consegna o ritiro CDS.
8.Ricarica credito CDS.

Macroprocesso di acquisizione,
inizializzazione e consegna della smartcard

1. L'Università di Roma – Tor Vergata, tramite il Rettorato crea
un bando di concorso per la fornitura di un numero di
smartcard ISO7810 più che sufficiente da fornire sia ai
propri studenti che ai propri dipendenti.
2. L'Università di Roma – Tor Vergata, tramite personale
tecnico del CDC concorda con la società appaltatrice le
specifiche tecniche del sistema operativo (APDU) e della
struttura interna della carta (file system) della smartcard in
modo tale da garantire la compatibilità con altre smartcard.
3. La società di outsourcing esegue le fasi di produzione ed
inizializzazione seguendo le specifiche definite al punto
precedente.
4. Le carte sono consegnate in modalità protetta all’Università
di Roma – Tor Vergata, presso il Rettorato.

Macroprocesso di acquisizione,
inizializzazione e consegna della smartcard

Macroprocesso di caricamento
della BDSP
1.Acquisizione delle “quantità di sicurezza,
attivazione e certificazione”
2.Predisposizione Porta di Accesso ai domini
Applicativi del CUSD
3.Allineamento dei codici fiscali con gli archivi
dell’Anagrafe Tributaria
4.Primo caricamento della BDSP
5.Aggiornamento continuo della BDSP.

Macroprocesso di caricamento
della BDSP

Macroprocesso di
emissione della CDS
1. Nomina del Responsabile della CDS.
2. Predisposizione delle Postazioni di Emissione.
3. Attivazione delle Postazioni di Emissione ai servizi
applicativi di emissione CDS del CUSD
4. Acquisizione delle quantità di sicurezza.
5. Acquisizione delle CDS inizializzate.
6. Rilascio della CDS agli studenti:
1. Richiesta emissione CDS.
2. Acquisizione autorizzazione di emissione CDS e stampa
della CDS.
3. Attivazione CDS.
4. Rilascio allo studente.

Macroprocesso di
emissione della CDS

Macroprocesso
di uso della CDS
1.Abilitazione di una postazione di lavoro
all’identificazione in rete della CDS;
2.Abilitazione di un server universitario per
l’identificazione in rete dello studente tramite
CDS.

Macroprocesso
di uso della CDS

Macroprocesso attività di
ricarica credito CDS
1.Produzione richiesta di ricarica e Stampa del
Cedolino
2.Pagamento del Cedolino ad uno sportello
( reale o virtuale) della Banca di Roma

ricarica credito CDS

Macroprocesso
attività di vendita
1.Calcolo e comunicazione della lista dei libri
2.Selezione dei libri da acquistare
3.Conferma del carrello
4.Conferma dell’acquisto

Macroprocesso
attività di vendita

Macroprocesso
attività di spedizione
1.Richiesta a SAVOL della lista dei libri da inviare
( da parte del magazzino).
2.Stampa delle buste abbinate alle richieste e
confezionamento dei libri.
3.Spostamento dei libri imbustati nel “Deposito libri
già confezionati”.
4.Consegna dei libri al corriere.
5.Attribuzione dei codici di tracciabilità ad ogni pacco.
6.Comunicazione codici al magazziniere.
7.Comunicazione codici a SAVOL.

Macroprocesso
attività di spedizione

consegna e ritiro della CDS
1. Lo studente si identifica con un valido documento di riconoscimento e consegna la CDS al
momento della presentazione della domanda di Laurea;

momento della presentazione della domanda di sospensione degli studi;

momento della presentazione della domanda di ritiro degli studi;

4. Lo studente si identifica con un valido documento di riconoscimento e consegna la CDS poiché
danneggiata e non più funzionante;

5. Lo studente contatta il Call Center della CDS al momento della constatazione dello
smarrimento/furto della CDS, per effettuare il blocco della stessa;

6. 6.Lo studente si identifica con un valido documento di riconoscimento e consegna copia
conforme all'originale della denuncia di smarrimento/furto della CDS al fine di potere avere una
nuova CDS;

7. 7.Lo studente consegna la CDS ritrovata/riconsegnata precedentemente denunciata;

8. 8.La Segreteria:

1. revoca la CDS consegnata o ritrovata o smarrita o rubata.
2. riversa il credito sulla nuova CDS;
3. restituisce il credito sotto forma di assegno bancario;

consegna e ritiro della CDS

Politiche di Sicurezza del DPS
● Dallo standard BS7799 si ricavano le seguenti dieci categorie:
1. Politica e standard di sicurezza;
2. Organizzazione per la sicurezza;
3. Controllo e classificazione delle risorse;
4. Sicurezza del personale;
5. Sicurezza materiale e ambientale;
6. Gestione operativa e comunicazione;
7. Controllo degli accessi;
8. Sviluppo e manutenzione dei sistemi;
9. Gestione della business continuity;
10.Conformità.

Politica e standard di sicurezza
(Security Policy)
● L’obiettivo è quello di dare direttive per la gestione delle
informazioni di sicurezza.
● Ad esempio, la Facoltà deve attenersi ai seguenti
principi generali:
● a)Tutti gli accessi ai servizi applicativi del CUSD
devono avvenire tramite la porta di accesso della
Facoltà ai domini applicativi del CUSD;
● b)Tutte le informazioni (dati, documenti, archivi, …)
devono essere protette e mantenute;
● c)Per la riservatezza dei contenuti scambiati, la
sicurezza deve essere garantita anche a livello delle
reti di comunicazioni dati;
● ...

Organizzazione per la sicurezza
(Security Organization)
● Definizione e costituzione di un settore
preposto a sovrintendere e controllare i
processi e le attività legate alla sicurezza
dell’infrastruttura di acquisizione, emissione
ed utilizzo della CDS.

Classificazione e
Controllo delle risorse
(Asset Classification and Control)
● Le risorse da considerare sono:
– Sistemi informativi;
– Sistemi di rete tra le varie sedi (intranet,
internet);
– Postazioni di lavoro;
– Postazioni di Front Office;
– Postazioni di Back Office;
– Porta di accesso ai domini applicativi del CUSD;
– Punti di accesso multimediali aperti al pubblico.

Sicurezza materiale e ambientale
(Physical and Environmental Security)
● Gli obiettivi sono:
– impedire l’accesso non autorizzato, il
danneggiamento e l’interferenza all’interno del
flusso delle informazioni;
– impedire la perdita o il danneggiamento dei dati
necessari alla corretta esecuzione dei processi
di emissione ed uso della CDS;
– impedire l’interruzione delle attività.

Gestione dei sistemi e delle reti
(Computer and Network Management)
– assicurare il corretto e sicuro funzionamento sistemi
di elaborazione e delle reti;
– minimizzare il rischio di guasti dei sistemi;
– proteggere l’integrità del software di base e delle
informazioni;
– assicurare la disponibilità dei processi di
elaborazione dell’informazione e di comunicazione;
– garantire la salvaguardia delle informazioni in rete e
la protezione delle infrastrutture di rete;
– evitare la perdita, modifica o uso improprio delle
informazioni scambiate in rete.

Controllo degli accessi
(System Access Control)
● Gli obiettivi di questa sezione sono:
– controllare l’accesso alle informazioni;
– prevenire l’accesso non autorizzato alle informazioni;
– assicurare la protezione dei servizi in rete;
– prevenire l’accesso non autorizzato alle postazioni di
emissione sia di front office che di back office ed alla Porta di
accesso ai domini applicativi del CUSD;
– rilevare attività non autorizzate;
– garantire la sicurezza delle informazioni quando sono
utilizzate da eventuali postazioni mobili in rete;
– garantire un adeguato controllo degli accessi ai locali
universitari che ospitano le postazioni di front office, di back
office, la Porta di accesso al CUSD, nonché tutto il materiale
impiegato nei processi di rilascio della CDS.

Sviluppo e manutenzione dei sistemi
(System Development and Maintenance)

– garantire che le regole di sicurezza siano
realmente attuate nei sistemi informatici in
esercizio;
– assicurare che la conduzione dei progetti
informatici e le relative attività di supporto siano
eseguite secondo le regole riportate nel presente
piano di sicurezza.

Gestione della continuità del servizio
(Business Continuity Management) [1/4]

● Gli obiettivi di questa sezione sono di
contrastare le interruzioni delle attività di
servizio e dei processi di servizio critici,
causati da malfunzionamenti o da eventuali
avvenimenti straordinari.

● Di seguito è sintetizzata una classificazione di eventi straordinari:
– Un disastro di primo livello su un ufficio può causare, in alcuni
casi, la parziale ma non completa distruzione delle operazioni svolte
giornalmente. La situazione può essere risolta usando personale
dell’ufficio stesso ed effettuando localmente attività di ripristino.
– Un disastro di secondo livello può coinvolgere diversi uffici. Le
operazioni di routine possono essere distrutte ed i processi critici
dovranno essere eseguiti in altri uffici. Il personale dell’ufficio
potrebbe avvalersi dell’assistenza di soggetti esterni. Il
coordinamento delle persone avviene attraverso un centro di
operazioni di emergenza appositamente costituito dalla Facoltà.
– Un disastro di terzo livello può coprire una vastissima zona, ad
esempio una regione; tipici esempi di questi eventi straordinari sono:
inondazioni, terremoti o uragani. In questo caso sono richieste
risorse esterne ed assistenza, ma il ripristino completo può
richiedere settimane o mesi. Generalmente un disastro di questo
livello comporta il blocco dell’operatività dei sistemi.

● I sistemi devono essere classificati secondo le definizioni seguenti:
– Critici :Le relative funzioni non possono essere eseguite senza essere sostituite
da strumenti (mezzi) di caratteristiche identiche. Le applicazioni critiche non
possono essere sostituite con metodi manuali. La tolleranza in caso di
interruzione è molto bassa, di conseguenza il costo di una interruzione è molto
alto.
– Vitali : Le relative funzioni possono essere svolte manualmente, ma solo per
un breve periodo di tempo. Vi è una maggiore tolleranza all'interruzione rispetto
a quella prevista per i sistemi critici; conseguentemente il costo di un’interruzione
è inferiore, anche perché queste funzioni possono essere riattivate entro un
breve intervallo di tempo (generalmente entro cinque giorni).
– Delicati :Queste funzioni possono essere svolte manualmente, a costi tollerabili,
per un lungo periodo di tempo. Benché queste funzioni possano essere eseguite
manualmente, il loro svolgimento risulta comunque difficoltoso e richiede
l'impiego di un numero di persone superiore a quello normalmente previsto in
condizioni normali.
– Non-critici : Le relative funzioni possono rimanere interrotte per un lungo
periodo di tempo, con un costo modesto, o nullo, e si richiede un limitato sforzo
di riattivazione quando il sistema viene ripristinato.

● A fronte delle precedenti considerazioni, in caso di eventuali
avvenimenti straordinari, devono essere rispettate le seguenti
regole:
– le procedure applicative, il software di sistema e gli archivi che
sono stati classificati e documentati come critici, devono
essere ripristinati prioritariamente;
– il piano d'emergenza deve prevedere il ripristino di tutte le
funzioni e non solo i servizi informatici centrali;
– per assicurare la continuità dei servizi devono essere valutate
le strategie di ripristino più opportune quali:
● siti alternativi;
● metodi di back up;
● sostituzione dei sistemi hardware di elaborazione;
● ruoli e responsabilità dei gruppi tecnici di lavoro.

Conformità (Compliance)
– garantire il rispetto delle leggi civili, penali,
obblighi statutari, regolamentari o contrattuali e
di qualsiasi requisito di sicurezza;
– garantire il rispetto di tutte le direttive del Centro
di Calcolo;
– assicurare la conformità dei sistemi con i criteri e
gli standard di sicurezza nazionali ed
internazionali.

�ݺ�ߣ

Il Documento Programmatico per la Sicurezza

More Related Content

Il Documento Programmatico per la Sicurezza