Misure Minime di Sicurezza ICT per le Pubbliche Amministrazioni Circolare Agid n° 2 del 18 aprile 2017 Misure minime di sicurezza ver 1.0 30 dicembre 2017 Realizzato da: | Modificato da: | Visto da: APPROVATO note 30-12-2017 DA: DS X X DSGA Amministratore x di Sistema Animatore Digitale |X[X|Xx RSPP DPO X Consiglio di Istituto x Indice Premessa saWN Introduzione Costruzione e logica delle misure minime implementate ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI [omissis] rischio: 0 ABSC 2 (CSC 2): INVENTARIO DEI SOFTWARE AUTORIZZATI E NON AUTORIZZATI Vl Valutazione del rischio: o. ABSC 3 (CSC 3): [omissis] DI HARDWARE E SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER Valutazione del rischio: N ABSC 4 (CSC 4): VALUTAZIONE E CORREZIONE CONTINUA DELLA VULNERABILITÀ N Valutazione del rischio: 0 ABSC 5 (CSC 5): USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE Valutazione del rischio: ABSC 8 (CSC 8): DIFESE CONTRO | MALWARE Valutazione del rischio: ABSC 10 (CSC 10): COPIE DI SICUREZZA Valutazione del rischio: ABSC 13 (CSC 13): [omissis] Valutazione del rischio: Valutazione del rischio medio Conclusioni ALLEGATI Documento illustrativo fornitore Axios Documento illustrativo fornitore servizi e supporti Documento illustrativo .... Ecc. Pag. | Misure minime di sicurezza ver 1.0 30 dicembre 2017 [omissis] del Consiglio dei ministri 1° agosto 2015, in considerazione dell'esigenza di consolidare un sistema di reazione efficente, che raccordi le capacità di risposta delle singole amministrazioni, con l’obiettivo di assicurare la resilienza dell'infrastruttura informatica nazionale, a fronte di eventi quali incidenti o azioni ostili che possono compromettere il funzionamento dei sistemi e degli assetti fisici controllati dagli stessi, visto anche l’inasprirsi del quadro generale con un preoccupante aumento degli eventi cibernetici a carico della pubblica amministrazione, sollecita tutte le amministrazioni e gli organi chiamati ad intervenire nell'ambito degli assetti nazionali di reazione ad eventi cibernetici a dotarsi, secondo una tempistica definita e comunque nel più breve tempo possibile, di standard minimi di prevenzione e reazione ad eventi cibernetici. AI fine di agevolare tale processo l'Agenzia per l'Italia digitale è stata impegnata a rendere prontamente disponibili indicatori degli standard di riferimento, in linea con quelli posseduti dai maggiori partner del nostro Paese e dalle organizzazioni internazionali di cui l'Italia è parte. L'Agenzia è costantemente impegnata nell'aggiornamento continuo della normativa tecnica relativa alla sicurezza informatica della pubblica amministrazione ed in particolare delle regole tecniche per la sicurezza informatica delle pubbliche amministrazioni la cui emanazione è però di competenza del Dipartimento per la funzione pubblica e richiede l'espletamento delle procedure previste dalla normativa comunitaria per la regolamentazione tecnica. Pertanto, il presente lavoro, che contiene le misure minime di sicurezza ICT, viene pubblicato, in attuazione della direttiva sopra citata, al fine di fornire un riferimento utile a stabilire se il livello di protezione offerto da un'infrastruttura risponde alle esigenze operative, individuando anche gli interventi idonei per il suo adeguamento. La scelta di prendere le mosse dall'insieme di controlli noto come SANS 20, oggi pubblicato dal Center for Internet Security come CCSC «CIS Critical Security Controls for Effective Cyber Defense» nella versione 6.0 di ottobre 2015, trova giustificazione, oltre che nella larga diffusione ed utilizzo pratico, dal fatto che esso nasce con una particolare sensibilità per i costi di vario genere che l'implementazione di una misura di sicurezza richiede, ed i benefici che per contro è in grado di offrire. L'elenco dei venti controlli in cui esso si articola, normalmente riferiti come Critical Security Control (CSC), è ordinato sulla base dell'impatto sulla sicurezza dei sistemi; per cui ciascun controllo precede tutti quelli la cui implementazione innalza il livello di sicurezza in misura inferiore alla sua. È comune convinzione che i primi cinque controlli siano quelli indispensabili per assicurare il minimo livello di protezione nella maggior parte delle situazioni e da questi si è partiti per stabilire le misure minime di sicurezza per la pubblica amministrazione italiana, avendo ben presente le enormi differenze di dimensioni, mandato, tipologie di informazioni gestite, esposizione al rischio, e quant'altro caratterizza le oltre ventimila amministrazioni pubbliche. Pag. 2 Misure minime di sicurezza ver 1.0 30 dicembre 2017 Introduzione L'Istituto Statale. XXXXXXX XXXXXXX ha da tempo avviato un potenziamento della propria infrastruttura ICT, utilizzando anche i fondi Europei e le donazioni liberali, al fine di rendere sempre più efficace l'introduzione dell'informatica nella scuola. In tale contesto non sono mancate le difficoltà legate al complesso sistema delle competenze necessarie per completare al meglio questo processo ed anche la endemica mancanza di fondi ad esso dedicato che spesso inficia sforzi di ben maggiore importanza. Non da ultimo la particolare organizzazione delle scuole e la Mancanza di figure chiave stabili non facilitano la gestione di processi organizzativi che prevedano un massiccio uso delle tecnologie informatiche. Solo negli ultimi tre anni si è potuto vedere un movimento più deciso nei confronti delle piattaforme ICT anche grazie al progressivo adeguamento al Codice dell'Amministrazione Digitale. A fronte comunque di un evidente gap sia tecnologico che di competenze l'Istituto XXXXXX ha comunque mosso i suoi passi decisamente verso la creazione di un modello ICT organico e diffuso anche in considerazione della logistica degli edifici e dei plessi. Il rischio è valutato come il prodotto dell'impatto del danno per la probabilità dell'evento. L'impatto! è graduato su una scala da 1 a 4: Valore Livello Definizione/criteri [omissis] è totalmente reversibile; non si verificano perdita o sottrazione di informazioni [omissis] è totalmente reversibile; si verificano limitate perdite di dati comunque recuperabili ma non sottrazione di informazioni [omissis] è solo parzialmente reversibile; si verificano perdite di dati non recuperabili o sottrazione di informazioni [omissis] è irreversibile; si verificano perdite di dati irecuperabili o sottrazione di informazioni critiche La frequenza! è valutata su una scala da 1 a 4: Valore Livello Definizione/criteri [omissis] probabili e indipendenti; non sono noti episodi già verificatisi 2 Poco probabile Il danno si verifica solo in presenza di circostanze particolari; sono noti solo rarissimi episodi già verificatisi [omissis] del sistema ICT può provocare un danno anche se non in modo automatico o diretto; è già noto, all'interno dell'Istituto, qualche evento dannoso determinato dalla vulnerabilità del sistema ICT 4 Altamente probabile Esiste una correlazione diretta fra la vulnerabilità del sistema ICT e il danno da essa causato; si sono già verificati danni per la stessa vulnerabilità rilevata in situazioni simili DA MANUALE SICUREZZA 2015, AA.VV. e Metodologia COBIT, 2016 Pag. 3 Misure minime di sicurezza ver 1.0 30 dicembre 2017 Costruzione e logica delle misure minime implementate In considerazione della strutturazione differente dell'informatica scolastica , intesa come struttura portante dell'organizzazione, occorre considerare che la scuola ricorre spesso nella sua strutturazione applicativa a fornitori esterni che devono pertanto porre in essere a loro volta tutte le misure minime di sicurezza previste: Nome applicativo Fornitore Messa a norma per misure minime Bilancio e contabilità AXiOS SI vedi all. Gestione personale Gestione Alunni Sito internet Servizi e Supporti Si vedi all. Registro elettronico Applicativi a supporto (segreteria digitale, timbrature, ecc.) FIGURA 1 - TABELLA APPLICATIVI L'infrastruttura, da quella di rete a quella Hardware è invece gestita internamente anche se con contratti di assistenza, e viene spesso fornita dagli enti locali: infrastruttura Tipo contratto fornitore Messa a norma per misure minime Rete lan infermo Assistente tecnico nd Wifi inferno " nd Connessione Telecom fibra si Assistenza Sistemistica FIGURA 2 - TABELLA INFRASTRUTTURA In questo panorama piuttosto variegato si è provveduto a gestire le misure minime, ABSC 1, 2, 3 riguardano la gestione aggiornata degli inventari dei dispositivi e dei software e la protezione della configurazione, ABSC 4 l’analisi delle vulnerabilità, ABSC 5 la gestione degli utenti, in particolare degli amministratori, ABSC 8 le misure di protezione contro l'installazione di software malevolo, ABSC 10 la gestione delle copie di backup, ABSC 13 la protezione dei dati come da seguente tabella: ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI ABSC_ID Livello Descrizione Modalità di implementazione 1 ] ] M Implementare un inventario delle risorse attive La scuola è dotata di un inventario correlato a quello ABSC 1.4 su file excel, relativo alle risorse attive ed alla strumentazione informatica e di rete installata, e di un software per l'analisi dei dispositivi di rete e dell'indirizzo ip. 1 ] 2 $ Implementare ABSC 1.1.1 attraverso uno strumento NO automatico Pag. 4 Misure minime di sicurezza ver 1.0 30 dicembre 2017 Effettuare il discovery dei dispositivi collegati alla NO rete con allarmi in caso di anomalie. Qualificare i sistemi connessi alla rete attraverso NO l'analisi del loro traffico. Implementare il "logging" delle operazioni del server Le operazioni di logging alla rete DHCP. DHCP interessano soltanto le connessioni Wi-Fi. Sono gestite da un Captive Portal con accesso solo all’interno della struttura. Utilizzare le informazioni ricavate dal "logging" DHCP NO per migliorare l'inventario delle risorse e identificare le risorse non ancora censite. Aggiornare l'inventario quando nuovi dispositivi SI approvati vengono collegati in rete. Aggiornare l'inventario con uno strumento NO automatico quando nuovi dispositivi approvati vengono collegati in rete. Gestire l'inventario delle risorse di tutti i sistemi SI collegati alla rete e dei dispositivi di rete stessi, registrando almeno l'indirizzo IP. Per tutti i dispositivi che possiedono un indirizzo IP SI l'inventario deve indicare i nomi delle macchine, la funzione del sistema, un titolare responsabile della risorsa e l'ufficio associato. L'inventario delle risorse creato deve inoltre includere informazioni sul fatto che il dispositivo sia portatile e/o personale. Dispositivi come telefoni cellulari, tablet, laptop e È in corso di attivazione altri dispositivi elettronici portatili che memorizzano o elaborano dati devono essere identificati, a prescindere che siano collegati o meno alla rete dell'organizzazione. Installare un'autenticazione a livello di rete via NO 802.1x per limitare e controllare quali dispositivi possono essere connessi alla rete. L'802.1x deve essere correlato ai dati dell'inventario per distinguere i sistemi autorizzati da quelli non autorizzati. Utilizzare i certificati lato client per validare e NO autenticare i sistemi prima della connessione a una rete locale. Valutazione del rischio: Tipo rischio Impatto x frequenza note Accesso con dispositivo non 2x3=6 autorizzato Utilizzo della rete non 2X2=4 autorizzato ABSC 2 (CSC 2): INVENTARIO DEI SOFTWARE AUTORIZZATI E NON AUTORIZZATI ABSC_ID Livello Descrizione Modalità di implementazione 2 ] ] M Stilare un elenco di software autorizzati e relative versioni | L'installazione dei software avviene necessari per ciascun tipo di sistema, compresi server, previa richiesta e seguendo il workstation e laptop di vari tipi e per diversi usi. Non regolamento informatico. consentire l'installazione di software non compreso | profili “standard” accessibili da nell'elenco. docenti e studenti e personale ATA non hanno privilegi di Amministratore. 2 2 ] $ Implementare una "whitelist" delle applicazioni NO autorizzate, bloccando l'esecuzione del software non incluso nella lista. La "whitelist" può essere molto ampia per includere i software più diffusi. Pag. 5 Misure minime di sicurezza ver 1.0 30 dicembre 2017 Per sistemi con funzioni specifiche (che richiedono solo NO un piccolo numero di programmi per funzionare), la "whitelist" può essere più mirata. Quando si proteggonoi sistemi con software personalizzati che può essere difficile inserire nella "whitelist", ricorrere al punto ABSC 2.4.1 (isolando il software personalizzato in un sistema operativo virtuale). Utilizzare strumenti di verifica dell'integrità dei file per NO verificare che le applicazioni nella "whitelist" non siano state modificate. Eseguire regolari scansioni sui sistemi al fine di rilevare la L'attività viene svolta ogni sei mesi presenza di software non autorizzato. Mantenere un inventario del software in tutta NO l'organizzazione che copra tutti i tipi di sistemi operativi in uso, compresi server, workstation e laptop. Installare strumenti automatici d'inventario del software NO che registrino anche la versione del sistema operativo utilizzato nonché le applicazioni installate, le varie versioni ed il livello di patch. Utilizzare macchine virtuali e/o sistemi air-gapped per NO isolare ed eseguire applicazioni necessarie per operazioni strategiche o critiche dell'Ente, che a causa dell'elevato rischio non devono essere installate in ambienti direttamente collegati in rete. Valutazione del rischio: Tipo rischio Impatto x frequenza note Installazione software non autorizzato con rischi di 2x2=4 sicurezza Utilizzo di software non idonei e/o non collegati con le 2X3=6 attività lavorative con danno economico ABSC 3 (CSC 3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFIWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER ABSC_ID Livello Descrizione Modalità di implementazione 3 ] ] Utilizzare configurazioni sicure standard perla Si sono realizzate in considerazioni protezione dei sistemi operativi. delle indicazioni dei produttori 3 ] 2 Le configurazioni sicure standard devono Viene svolto un servizio di analisi e corrispondere alle versioni "nardened" del sistema pulizia durante la Manutenzione operativo e delle applicazioni installate. La ordinaria procedura di hardening comprende tipicamente: eliminazione degli account non necessari (compresi gli account di servizio), disattivazione o eliminazione dei servizi non necessari, configurazione di stack e heaps non eseguibili, applicazione di patch, chiusura di porte di rete aperte e non utilizzate. 3 ] 3 Assicurare con regolarità la validazione e NO l'aggiornamento delle immagini d'installazione nella loro configurazione di sicurezza anche in considerazione delle più recenti vulnerabilità e vettori di attacco. 3 2 ] Definire ed impiegare una configurazione standard La configurazione standard viene per workstation, server e altri tipi di sistemi usati definita nel regolamento e viene dall'organizzazione. cambiata in occasione di modifiche organizzative o di cambio di software 3 2 2 Eventuali sistemi in esercizio che vengano SI compromessi devono essere ripristinati utilizzando la configurazione standard. Pag. 6 Misure minime di sicurezza ver 1.0 30 dicembre 2017 3 2 S Le modifiche alla configurazione standard devono SI effettuate secondo le procedure di gestione dei cambiamenti. 3 3 M Le IMMagini d'installazione devono essere SI le copie di sicurezza sono salvate memorizzate offline. su dischi esterni 3 3 $ Le IMMagini d'installazione sono conservate in Si le Immagini sono conservate in modalità protetta, garantendone l'integrità e la armadi ignifughi disponibilità solo agli utenti autorizzati. 3 4 M Eseguire tutte le operazioni di amministrazione Si tutte le operazioni di remota di server, workstation, dispositivi di rete e configurazione avvengono su analoghe apparecchiature per mezzo di sistemi protetti connessioni protette (protocolli intrinsecamente sicuri, ovvero su canali sicuri). 3 5 S Utilizzare strumenti di verifica dell'integrità dei file per | SI. Su tutte le macchine sono assicurare che i file critici del sistema (compresi installati software antivirus. eseguibili di sistema e delle applicazioni sensibili, librerie e configurazioni) non siano stati alterati. 3 5 A Nel caso in cui la verifica di cui al punto Si i software antivirus generano precedente venga eseguita da uno strumento allarmi automatici automatico, per qualunque alterazione di tali file deve essere generato un alert. 3 5 A Peril supporto alle analisi, il sistema di segnalazione NO deve essere in grado di mostrare la cronologia dei cambiamenti della configurazione nel tempo e identificare chi ha eseguito ciascuna modifica. 3 5 A I controlli di integrità devono inoltre identificare le NO alterazioni sospette del sistema, delle variazioni dei permessi di file e cartelle. 3 6 A Utilizzare un sistema centralizzato di controllo NO automatico delle configurazioni che consenta di rilevare e segnalare le modifiche non autorizzate. 3 7 A Utilizzare strumenti di gestione della configurazione NO dei sistemi che consentano il ripristino delle impostazioni di configurazione standard. Valutazione del rischio: Tipo rischio Impatto x frequenza note Utilizzo errato delle postazioni di lavoro e mancata 2x2=4 configurazione corretta Perdita di dati a causa di mancati interventi in caso di 3X1=3 Data Breach ABSC 4 (CSC 4): VALUTAZIONE E CORREZIONE CONTINUA DELLA VULNERABILITÀ ABSC_ID Livello Descrizione Modalità di implementazione 4 ] M Ad ogni modifica significativa della configurazione eseguire la È in corso di ricerca delle vulnerabilità su tutti i sistemi in rete con strumenti attivazione automatici che forniscano a ciascun amministratore di sistema report con indicazioni delle vulnerabilità più critiche. Eseguire periodicamente la ricerca delle vulnerabilità ABSC NO 4.1.1 con frequenza commisurata alla complessità dell'infrastruttura. Usare uno SCAP (Security Content Automation Protocol) di NO validazione della vulnerabilità che rilevi sia le vulnerabilità basate sul codice (come quelle descritte dalle voci Common Vulnerabilities ed Exposures) che quelle basate sulla configurazione (come elencate nel Common Configuration Enumeration Project). Correlare i log di sistema con le informazioni ottenute dalle NO scansioni delle vulnerabilità. Pag. 7 Misure minime di sicurezza ver 1.0 30 dicembre 2017 4 2 Verificare che i log registrino le attività dei sistemi di scanning NO delle vulnerabilità 4 2 Verificare nei log la presenza di attacchi pregressi condotti NO contro target riconosciuto come vulnerabile. 4 3 Eseguire le scansioni di vulnerabilità in modalità privilegiata, sia | NO localmente, sia da remoto, utilizzando un account dedicato che non deve essere usato per nessun'altra attività di amministrazione. 4 3 Vincolare l'origine delle scansioni di vulnerabilità a specifiche SI macchine o indirizzi IP, assicurando che solo il personale autorizzato abbia accesso a tale interfaccia e la utilizzi propriamente. 4 4 Assicurare che gli strumenti di scansione delle vulnerabilità SI utilizzati siano regolarmente aggiornati con tutte le più rilevanti vulnerabilità di sicurezza. 4 4 Registrarsi ad un servizio che fornisca tempestivamente le SI informazioni sulle nuove minacce e vulnerabilità. Utilizzandole per aggiornare le attività di scansione 4 5 Installare automaticamente le patch e gli aggiornamenti del Nelle macchine sono software sia per il sistema operativo sia perle applicazioni. impostati gli aggiornamenti automatici. 4 5 Assicurare l'aggiornamento dei sistemi separati dalla rete, in SI, è IN FASE DI particolare di quelli air-gapped, adottando misure adeguate IMPLEMENTAZIONE SU al loro livello di criticità. TUTTI GLI APPARATI 4 6 Verificare regolarmente che tutte le attività di scansione SI effettuate con gli account aventi privilegi di amministratore siano state eseguite secondo delle policy predefinite. 4 7 Verificare che le vulnerabilità emerse dalle scansioni siano SI state risolte sia per mezzo di patch, o implementando opportune contromisure oppure documentando e accettando un ragionevole rischio. 4 7 Rivedere periodicamente l'accettazione dei rischi di SI vulnerabilità esistenti per determinare se misure più recenti o successive patch possono essere risolutive o se le condizioni sono cambiate, con la conseguente modifica del livello di rischio. 4 8 Definire un piano di gestione dei rischi che tenga conto dei Il piano viene definito livelli di gravità delle vulnerabilità, del potenziale impatto e sulla base delle della tipologia degli apparati (e.g. server esposti, server interni, | necessità della PdL, portatili, etc.). struttura 4 8 Attribuire alle azioni per la risoluzione delle vulnerabilità un SI livello di priorità in base al rischio associato. In particolare, applicare le patch perle vulnerabilità a partire da quelle più critiche. 4 9 Prevedere, in caso di nuove vulnerabilità, misure alternative se NO non sono immediatamente disponibili patch o se i tempi di distribuzione non sono compatibili con quelli fissati dall'organizzazione. 4 10 Valutare in un opportuno ambiente di test le patch dei prodotti | NO non standard (es.: quelli sviluppati ad hoc) prima di installarle nei sistemi in esercizio. Valutazione del rischio: Tipo rischio Impatto x frequenza note Perdita di dati a seguito mancata correzione falle sul 3X1=3 Pag. 8 Misure minime di sicurezza ver 1.0 30 dicembre 2017 ABSC 5 (CSC 5): USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE ABSC_ID Livello Descrizione Modalità di implementazione 5 ] M Limitare i privilegi di amministrazione ai soli utenti che abbiano SI le competenze adeguate e la necessità operativa di modificare la configurazione dei sistemi. 5 ] M Utilizzare le utenze amministrative solo per effettuare operazioni | SI che ne richiedano i privilegi, registrando ogni accesso effettuato. 5 ] $ Assegnare a ciascuna utenza amministrativa solo i privilegi SI necessari per svolgere le attività previste per essa. 5 ] A Registrare le azioni compiute da un'utenza amministrativa e NO rilevare ogni anomalia di comportamento. 5 2 M Mantenere l'inventario di tutte le utenze amministrative, SI garantendo che ciascuna di esse sia debitamente e formalmente autorizzata. 5 2 A Gestire l'inventario delle utenze amministrative attraverso uno NO strumento automatico che segnali ogni variazione che intervenga. 5 3 M Prima di collegare alla rete un nuovo dispositivo sostituire le SI credenziali dell'amministratore predefinito con valori coerenti con quelli delle utenze amministrative in uso. 5 4 S Tracciare nei log l'aggiunta o la soppressione di un'utenza NO amministrativa. 5 4 S Generare un'allerta quando viene aggiunta un'utenza NO amministrativa. 5 4 $ Generare un'allerta quando vengano aumentati i diritti di NO un'utenza amministrativa. 5 5 S Tracciare nei log i tentativi falliti di accesso con un'utenza NO amministrativa. 5 6 A Utilizzare sistemi di autenticazione a più fattori per tutti gli NO accessi amministrativi, inclusi gli accessi di amministrazione di dominio. L'autenticazione a più fattori può utilizzare diverse tecnologie, quali smart card, certificati digitali, one time password (OTP), token, biometria ed altri analoghi sistemi. 5 7 M Quando l'autenticazione a più fattori non è supportata, Vengono definite utilizzare per le utenze amministrative credenziali di elevata credenziali robuste robustezza (e.g. almeno 14 caratteri). 5 7 $ Impedire che per le utenze amministrative vengano utilizzate NO credenziali deboli. 5 7 M Assicurare che le credenziali delle utenze amministrative È in corso di vengano sostituite con sufficiente frequenza (password aging). | attivazione 5 7 M Impedire che credenziali già utilizzate possano essere riutilizzate | È in corso di a breve distanza di tempo (password history). attivazione 5 7 S Assicurare che dopo la modifica delle credenziali trascorra un È in corso di sufficiente lasso di tempo per poterne effettuare una nuova. attivazione 5 7 S Assicurare che le stesse credenziali amministrative non possano | È in corso di essere riutilizzate prima di sei mesi. attivazione 5 8 S Non consentire l'accesso diretto ai sistemi con le utenze SI amministrative, obbligando gli amministratori ad accedere con un'utenza normale e successivamente eseguire come utente privilegiato i singoli comandi. 5 9 $ Per le operazioni che richiedono privilegi gli amministratori NO debbono utilizzare macchine dedicate, collocate su una rete logicamente dedicata, isolata rispetto a Internet. Tali macchine non possono essere utilizzate per altre attività. 5 10 M Assicurare la completa distinzione tra utenze privilegiate e non | SI privilegiate degli amministratori, alle quali debbono corrispondere credenziali diverse. 5 10 M Tutte le utenze, in particolare quelle amministrative, debbono SI essere nominative e riconducibili ad una sola persona. 5 10 M Le utenze amministrative anonime, quali "root" di UNIX o SI "Administrator" di Windows, debbono essere utilizzate solo per le situazioni di emergenza e le relative credenziali debbono essere gestite in modo da assicurare l'imputabilità di chi ne fa USO. 5 10 $ Evitare l'uso di utenze amministrative locali per le macchine NO quando sono disponibili utenze amministrative di livello più elevato (e.g. dominio). Pag. 9 Misure minime di sicurezza ver 1.0 30 dicembre 2017 5 1] M Conservare le credenziali amministrative in modo da SI garantire disponibilità e riservatezza. 5 ll M Se per l'autenticazione si utilizzano certificati digitali, garantire NON SONO UTILIZATI che le chiavi private siano adeguatamente protette. CERTIFICATI DIGITALI Valutazione del rischio: Tipo rischio Impatto x frequenza note Accesso a dati aziendali dopo il furto delle credenziali di 3x1=3 amministratore ABSC 8 (CSC 8): DIFESE CONTRO | MALWARE ABSC_ID Livello Descrizione Modalità di implementazione 8 ] M Installare su tutti i sistemi connessi alla rete locale strumenti atti SI a rilevare la presenza e bloccare l'esecuzione di malware (antivirus locali). Tali strumenti sono mantenuti aggiornati in modo automatico. 8 ] M Installare su tutti i dispositivi firewall ed IPS personali. SI 8 ] S Gli eventi rilevati dagli strumenti sono inviati ad un repository NO centrale (syslog) dove sono stabilmente archiviati. 8 2 $ Tutti gli strumenti di cui in ABSC_8.1 sono monitorati e gestiti SI centralmente. Non è consentito agli utenti alterare la configurazione. 8 2 S È possibile forzare manualmente dalla console centrale NO l'aggiornamento dei sistemi anti-malware installati su ciascun dispositivo. La corretta esecuzione dell'aggiornamento è automaticamente verificata e riportata alla console centrale. 8 2 A L'analisi dei potenziali malware è effettuata su di NO un'infrastruttura dedicata, eventualmente basata sul cloud. 8 3 M Limitare l'uso di dispositivi estemi a quelli necessari perle attività | SI aziendali. 8 3 A Monitorare l'uso e i tentativi di utilizzo di dispositivi esterni. NO 8 4 $ Abilitare le funzioni atte a contrastare lo sfruttamento delle NO vulnerabilità, quali Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR), virtualizzazione, confinamento, etc. disponibili nel software di base. 8 4 A Installare strumenti aggiuntivi di contrasto allo sfruttamento NO delle vulnerabilità, ad esempio quelli forniti come opzione dai produttori di sistemi operativi. 8 5 S Usare strumenti di filtraggio che operano sull'intero flusso del NO traffico di rete per impedire che il codice malevolo raggiunga gli host. 8 5 A Installare sistemi di analisi avanzata del software sospetto. NO 8 6 S Monitorare, analizzare ed eventualmente bloccare gli accessi NO a indirizzi che abbiano una cattiva reputazione. 8 7 M Disattivare l'esecuzione automatica dei contenuti al momento | È in corso di della connessione dei dispositivi removibili. attivazione 8 7 M Disattivare l'esecuzione automatica dei contenuti dinamici È in corso di (e.g. macro) presenti nei file. attivazione 8 7 M Disattivare l'apertura automatica dei messaggi di posta È in corso di elettronica. attivazione 8 7 M Disattivare l'anteprima automatica dei contenuti dei file. È in corso di attivazione 8 8 M Eseguire automaticamente una scansione anti-malware dei SI supporti rimuovibili al momento della loro connessione. 8 9 M Filtrare il contenuto dei messaggi di posta prima che questi SI raggiungano la casella del destinatario, prevedendo anche l'impiego di strumenti antispam. 8 9 M Filtrare il contenuto del traffico web. SI 8 9 M Bloccare nella posta elettronica e nel traffico web i file la cui È in corso di tipologia non è strettamente necessaria per l'organizzazione attivazione ed è potenzialmente pericolosa (e.g. .cab). Pag. 10 Misure minime di sicurezza ver 1.0 30 dicembre 2017 Utilizzare strumenti anti-malware che sfruttino, oltre alle firme, NO tecniche di rilevazione basate sulle anomalie di comportamento. Implementare una procedura di risposta agli incidenti che NO preveda la trasmissione al provider di sicurezza dei campioni di software sospetto per la generazione di firme personalizzate. Valutazione del rischio: Tipo rischio Impatto x frequenza note Attacco di virus e malware _ , . , 3x3=9 con perdita di dati ABSC 10 (CSC 10): COPIE DI SICUREZZA ABSC_ID Livello Descrizione Modalità di implementazione 10 ] ] M Effettuare almeno settimanalmente una copia di sicurezza SI. Viene effettuato un almeno delle informazioni strettamente necessarie per il backup mensile su completo ripristino del sistema. NAS di parte dell'archivio amministrativo. 10 ] 2 A Per assicurare la capacità di recupero di un sistema dal proprio | NO backup, le procedure di backup devono riguardare il sistema operativo, le applicazioni software e la parte dati. 10 ] 3 A Effettuare backup multipli con strumenti diversi per contrastare NO possibili malfunzionamenti nella fase di restore. 10 2 ] S Verificare periodicamente l'utilizzabilità delle copie mediante NO ripristino di prova. 10 3 ] M Assicurare la riservatezza delle informazioni contenute nelle È in corso di copie di sicurezza mediante adeguata protezione fisica dei attivazione supporti ovvero mediante cifratura. La codifica effettuata prima della trasmissione consente la remotizzazione del backup anche nel cloud. 10 4 ] M Assicurarsi che i supporti contenenti almeno una delle copie SI non siano permanentemente accessibili dal sistema onde evitare che attacchi su questo possano coinvolgere anche tutte le sue copie di sicurezza. Valutazione del rischio: Tipo rischio Impatto x frequenza note Perdita delle configurazioni e _ . 2x2=4 dei backup ABSC 13 (CSC 13): PROTEZIONE DEI DATI ABSC_ID Livello Descrizione Modalità di implementazione 13 ] ] M Effettuare un'analisi dei dati per individuare quelli con È in corso di particolari requisiti di riservatezza (dati rilevanti) e attivazione segnatamente quelli ai quali va applicata la protezione crittografica 13 2 ] $ Utilizzare sistemi di cifratura peri dispositivi portatili e i sistemi NO che contengono informazioni rilevanti 13 3 ] A Utilizzare sul perimetro della rete strumenti automatici per NO bloccare, limitare ovvero monitorare in maniera puntuale, sul traffico uscente dalla propria rete, l'impiego di crittografia non autorizzata o l'accesso a siti che consentano lo scambio e la potenziale sottrazione di informazioni. 13 4 ] A Effettuare periodiche scansioni, attraverso sistemi NO automatizzati, in grado di rilevare sui server la presenza di Pag. 11 Misure minime di sicurezza ver 1.0 30 dicembre 2017 specifici "data pattern", significativi per l'Amministrazione, al fine di evidenziare l'esistenza di dati rilevanti in chiaro. Nel caso in cui non sia strettamente necessario l'utilizzo di NO dispositivi esterni, Implementare sistemi/configurazioni che impediscano la scrittura di dati su tali supporti. Utilizzare strumenti software centralizzati atti a gestire il NO collegamento alle workstation/server dei soli dispositivi esterni autorizzati (in base a numero seriale o altre proprietà univoche) cifrando i relativi dati. Mantenere una lista aggiornata di tali dispositivi. Implementare strumenti DLP (Data Loss Prevention) di rete per NO monitorare e controllare i flussi di dati all'interno della rete in maniera da evidenziare eventuali anomalie. Qualsiasi anomalia rispetto al normale traffico di rete deve NO essere registrata anche per consentime l'analisi off line. Monitorare il traffico uscente rilevando le connessioni che NO usano la crittografia senza che ciò sia previsto. 13 Bloccare il traffico da e verso url presenti in una blacklist. SI > |< 13 Assicurare che la copia di un file fatta in modo autorizzato NO mantenga le limitazioni di accesso della sorgente, ad esempio attraverso sistemi che implementino le regole di controllo degli accessi (e.g. Access Control List) anche quando i dati sono trasferiti al di fuori del loro repository. Valutazione del rischio: Tipo rischio Impatto x frequenza note Intrusione nella rete di malware e virus o bot con 3x3=9 rilevante perdita di dati Valutazione del rischio medio RISCHIO PRESUNTO Intrusione nella rete di malware e virus o bot con rilevante perdita di dati Perdita delle configurazioni e dei backup Attacco di virus e malware con perdita di dati Accesso a dati aziendali dopo il furto delle credenziali di amministratore Perdita di dati a causa di Mancati interventi in caso di Data Breach Utilizzo di software non idonei e/o non collegati con le attività lavorative con danno economico Installazione software non autorizzato con rischi di sicurezza Utilizzo della rete non autorizzato Accesso con dispositivo non autorizzato 10 (oa vo N A o W 0 I N FIGURA 3 - VALUTAZIONE COMPLESSIVA RISCHIO PRESUNTO Pag. 12 Misure minime di sicurezza ver 1.0 30 dicembre 2017 Nell'analisi del rischio medio occorre considerare che i valori possibili in cui oscilla l’area di rischio vanno da 1 (basso) a 16 (alto); all'interno di questo range occorre posizionare il rischio medio identificato con le misure minime ed attivare i primi interventi e/o potenziamenti proprio dove il rischio assume valori elevati (vedasi figura 1). La copertura media del rischio all'attuale data viene riassunta dalla figura 2, che mostra sostanzialmente un'adeguata copertura del rischio possibile: copertura del rischio identificato 8 valmin ® valmax ®" val attuale FIGURA 4 - COPERTURA DI RISCHIO L'analisi del rischio condotta rispetto ai valori minimi e comunque nel panorama del piano di miglioramento ICT dell'Istituzione Scolastica porta oggi a concentrare l’attenzione sulle misure ABSC 8 e 13, in secondo piano le misure ABSC 3 e 1. Impatto x INDICE Tipo rischio note valore frequenza ABSC 1 Accesso con dispositivo non autorizzato 2x3=6 ABSC 1 Utilizzo della rete non autorizzato 2X2=4 ABSC 3 Installazione software non autorizzato con 2x2=4 rischi di sicurezza Utilizzo di software non idonei e/o non ABSC 3 collegati con le attività lavorative con 2X3=6 danno economico ABSC 4 Perdita di dati a causa di mancati 3X1=3 interventi in caso di Data Breach Accesso a dati aziendali dopo il furto ABSC 5 delle credenziali di amministratore 3x153 ABSC 8 Attacco di virus e malware con perdita di 3x3=9 dati ABSC 10 | Perdita delle configurazioni e dei backup 2x2=4 ABSC 13 Intrusione nella rete di malware e virus o 3x3=9 bot con rilevante perdita di dati FIGURA 5 - ANALISI COMPARATA DEI RISCHI Pag. 13 Misure minime di sicurezza ver 1.0 30 dicembre 2017 Nella figura 3 appare evidente la mappa delle priorità di intervento per il 2018 a sostegno delle misure minime implementate, ovvero protezione dall'esterno e maggior organizzazione interna. Il rispetto delle misure minime è confermato dall'adozione di accorgimenti che, anche se frammentati su piÙ fornitori, garantiscono un primo modello sul quale implementare un'architettura piÙ strutturata. Nel prossimo biennio 2018 — 2019 l'implementazione del modello ICT si muoverà verso una struttura consolidata con la definizione di un nuovo regolamento che permetterà di avvicinarsi agli standard medi. I punti di attenzione per l'Istituzione scolastica riguardano particolarmente il potenziamento dei sistemi di difesa della rete e l'ottimizzazione del processo sia di gestione che di configurazione degli apparati e degli accessi. Altro elemento non di secondaria importanza già indicato in precedenza e la bassa competenza presente in modo stabile nell'Istituzione; a questa problematica sarà necessario far fronte con un attento piano di formazione che dovrà però trovare opportune forme di finanziamento e soprattutto deve avere il carattere della massima diffusione. ALLEGATI Doecumertto illustrativo fornifore AXiOS Docurenio illustrativo fomifore servizi e supporii Documento liiusirativo .... ECC. Pag. 14