In data 1 ottobre 2002 è stata stipulata una convenzione tra Regione Toscana ed Istituto di Informatica e Telematica del C.N.R. per la consulenza specialistica a supporto della realizzazione di attività inerenti il Tuscany Internet eXchange (TIX). Tra i diversi punti oggetto della consulenza è previsto il supporto alla progettazione ed al mantenimento della componente di sicurezza del TIX e della infrastruttura della Rete Telematica della Regione Toscana (RTRT), da sintetizzarsi tramite report semestrali sui livelli di servizio offerti ed eventuali proposte di miglioramento. A metà dello scorso anno è stato prodotto un primo rapporto con indicazioni tecniche per le fasi di progettazione e gestione, contenente l'analisi del grado di sicurezza del TIX, secondo quanto indicato nella progettazione, e l'indicazione di eventuali spazi di intervento per accrescerne la qualità. Gli aspetti di sicurezza sono una componente molto importante per qualsiasi organizzazione ed assumono una particolare rilevanza in questo contesto dove il TIX e l'infrastruttura di RTRT risultano strategici per i progetti di eToscana, nei quali sono destinati a ricoprire non soltanto il ruolo di sistema di trasporto delle informazioni ma anche quello di elemento dell'architettura di sicurezza dei servizi telematici offerti agli utenti della rete RTRT. Partendo da questa considerazione si può vedere il TIX come riferimento nella diffusione e nell'adozione di soluzioni tecnologiche ed organizzative innovative. Questo secondo documento quindi è relativo alla fase di operatività del TIX e presenta il processo di messa in sicurezza di un sistema (o di una organizzazione) secondo il modello di gestione orientato ai processi definito dalla normativa ISO BS17799:2000. La scelta di tale normativa è dovuta alla similitudine che il modello di verifica ed adeguamento/miglioramento dei livelli di sicurezza descritto nel bando di gara del TIX ha con l'insieme di "best practices" della normativa ISO. Verranno quindi presentati i concetti e le metodologie che permettono di definire Introduzione 4 ed implementare un modello di gestione della sicurezza come processo in quattro fasi da eseguirsi ciclicamente; si cercherà poi di riportare nel contesto del TIX quanto descritto a livello generale, definendo spazi di verifica e di possibili interventi per aumentare la sicurezza del sistema. Verrà infine presentato un caso particolare di applicazione del modello descritto per una funzionalità cruciale del sistema di sicurezza: il firewall.
Componente di Sicurezza del TIX e della Infrastruttura di RTRT - Indicazioni tecniche su uno stile di gestione della sicurezza orientato ai processi in base alla normativa ISO-IEC:BS17799:2000
Buzzi Maria Claudia;Rossi Lorenzo
2004
Abstract
In data 1 ottobre 2002 è stata stipulata una convenzione tra Regione Toscana ed Istituto di Informatica e Telematica del C.N.R. per la consulenza specialistica a supporto della realizzazione di attività inerenti il Tuscany Internet eXchange (TIX). Tra i diversi punti oggetto della consulenza è previsto il supporto alla progettazione ed al mantenimento della componente di sicurezza del TIX e della infrastruttura della Rete Telematica della Regione Toscana (RTRT), da sintetizzarsi tramite report semestrali sui livelli di servizio offerti ed eventuali proposte di miglioramento. A metà dello scorso anno è stato prodotto un primo rapporto con indicazioni tecniche per le fasi di progettazione e gestione, contenente l'analisi del grado di sicurezza del TIX, secondo quanto indicato nella progettazione, e l'indicazione di eventuali spazi di intervento per accrescerne la qualità. Gli aspetti di sicurezza sono una componente molto importante per qualsiasi organizzazione ed assumono una particolare rilevanza in questo contesto dove il TIX e l'infrastruttura di RTRT risultano strategici per i progetti di eToscana, nei quali sono destinati a ricoprire non soltanto il ruolo di sistema di trasporto delle informazioni ma anche quello di elemento dell'architettura di sicurezza dei servizi telematici offerti agli utenti della rete RTRT. Partendo da questa considerazione si può vedere il TIX come riferimento nella diffusione e nell'adozione di soluzioni tecnologiche ed organizzative innovative. Questo secondo documento quindi è relativo alla fase di operatività del TIX e presenta il processo di messa in sicurezza di un sistema (o di una organizzazione) secondo il modello di gestione orientato ai processi definito dalla normativa ISO BS17799:2000. La scelta di tale normativa è dovuta alla similitudine che il modello di verifica ed adeguamento/miglioramento dei livelli di sicurezza descritto nel bando di gara del TIX ha con l'insieme di "best practices" della normativa ISO. Verranno quindi presentati i concetti e le metodologie che permettono di definire Introduzione 4 ed implementare un modello di gestione della sicurezza come processo in quattro fasi da eseguirsi ciclicamente; si cercherà poi di riportare nel contesto del TIX quanto descritto a livello generale, definendo spazi di verifica e di possibili interventi per aumentare la sicurezza del sistema. Verrà infine presentato un caso particolare di applicazione del modello descritto per una funzionalità cruciale del sistema di sicurezza: il firewall.I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
