La rivista > Sicurezza dei sistemi informativi sensibili: le raccomandazioni dell'ANSSI

La sicurezza dei sistemi informativi (SI) è fondamentale per la protezione dei dati sensibili, siano essi pubblici o privati. L'Agenzia nazionale francese per la sicurezza dei sistemi informativi (ANSSI) ha elaborato raccomandazioni specifiche per l'hosting dei SI nel cloud, in base alla loro sensibilità e alla natura delle minacce a cui sono esposti. Questo articolo presenta queste raccomandazioni e i criteri da tenere in considerazione per garantire una sicurezza ottimale.

Gli strumenti necessari per applicare le raccomandazioni

Le raccomandazioni dell'ANSSI si basano su tre elementi chiave:

  1. Tipi di offerte cloud
  2. Tipologia di minaccia
  3. La natura dei sistemi informativi

1. Tipi di offerte cloud secondo l'ANSSI

Il tipo di offerta cloud è essenziale per determinare il livello di sicurezza richiesto. Le offerte possono essere commerciali (pubbliche, private, comunitarie) o non commerciali (interne, comunitarie).

Offerte cloud commerciali

  1. Pubblico L'offerta è in pool per tutti i clienti. Offre un elevato grado di flessibilità e scalabilità, ma può presentare rischi in termini di sicurezza e riservatezza dei dati a causa della condivisione delle risorse.
  2. Privato L'offerta di cloud privato è dedicata a una singola entità, fornendo risorse (processore, spazio di archiviazione) fisicamente dedicate all'entità in questione. Ciò consente un maggiore controllo sulla sicurezza e sulla gestione dei dati, ma può essere più costoso rispetto alle soluzioni condivise.
  3. Comunità Questo tipo di offerta cloud viene distribuita per soddisfare le esigenze di un gruppo di entità che condividono interessi comuni, siano essi statali o privati. Le risorse vengono messe in comune tra i membri della comunità, consentendo la condivisione dei costi e l'ottimizzazione dell'uso dell'infrastruttura.

Offerte cloud non commerciali

  1. Interno Questo tipo di offerta è distribuita internamente all'infrastruttura dell'entità utente. Il funzionamento e la supervisione dell'infrastruttura possono essere forniti dall'entità stessa o da un subappaltatore. Questo approccio consente all'organizzazione di beneficiare dei vantaggi del Cloud, come la flessibilità e la scalabilità, pur mantenendo uno stretto controllo sulla sicurezza e sulla gestione dei dati.
  2. Comunità In alcuni casi specifici, le entità dello stesso settore commerciale possono unire le loro esigenze per creare un'infrastruttura cloud comunitaria. In questo modo è possibile condividere costi e risorse mantenendo un certo livello di controllo e sicurezza. Esempi di questo tipo di offerta sono iniziative come Pi e Nubo.

2. Tipologia di minaccia

I sistemi informatici possono essere esposti a diversi tipi di minacce. L'ANSSI distingue tre categorie principali di minacce: minacce strategiche, minacce sistemiche e minacce hacktiviste o isolate.

Minaccia strategica

Le minacce strategiche assumono la forma di attacchi informatici persistenti e mirati, spesso finanziati dai governi. Questi attacchi utilizzano notevoli risorse tecniche e organizzative e sono condotti con grande discrezione. Queste minacce mirano spesso a destabilizzare le istituzioni o a compromettere la sicurezza nazionale, prendendo di mira infrastrutture critiche o settori strategici.

Alcuni Paesi possono utilizzare leggi extraterritoriali o normative specifiche per accedere ai dati ospitati nel cloud senza effettuare un attacco. I provider di hosting soggetti a queste leggi devono trasmettere i dati dei loro clienti alle autorità, spesso senza possibilità di appello o di informazione preventiva per i clienti interessati.

Minaccia sistemica

Le minacce sistemiche possono colpire un gran numero di entità e includono principalmente la minaccia della criminalità informatica, caratterizzata da attacchi informatici opportunistici e spesso redditizi, come ransomware e frodi.

Queste minacce sono inoltre amplificate dalla crescente disponibilità di strumenti e servizi offensivi commercializzati da aziende private. Questi servizi possono essere utilizzati per l'intelligence economica, lo spionaggio industriale o per consentire ad alcuni Stati con risorse limitate di acquisire capacità offensive.

Hacktivist o minaccia isolata

Le minacce isolate o hacktiviste sono spesso motivate da ideologie politiche o sociali. Gli hacktivisti cercano di promuovere una causa o di protestare contro azioni specifiche interrompendo i sistemi informatici dei loro obiettivi. Gli attacchi possono includere defacement di siti web, DDoS (distributed denial of service) o fughe di dati. Le minacce isolate, invece, sono spesso portate avanti da singoli individui o piccoli gruppi senza affiliazione a organizzazioni più grandi.

Focus sugli standard e le qualifiche SecNumCloud
  • Le Repository SecNumCloud Lo standard SecNumCloud dell'ANSSI stabilisce regole di sicurezza e best practice per garantire un elevato livello di sicurezza. La qualifica SecNumCloud assicura che le offerte cloud siano conformi a questi requisiti, sia dal punto di vista tecnico che operativo.

 

  • La Qualificazione SecNumCloudL'ANSSI assegna questa qualifica alle offerte cloud PaaS, IaaS o SaaS, garantendo la fiducia nelle offerte cloud e nelle pratiche operative degli operatori qualificati. Tuttavia, questa qualifica non garantisce la sicurezza dei servizi digitali per i clienti che utilizzano queste offerte.

 

  • Il "Visto di sicurezza "SecNumCloud consente agli utenti di identificare le offerte cloud progettate per proteggere i dati e le elaborazioni sensibili dalle minacce della criminalità informatica e dalle leggi extraterritoriali. Questa qualifica facilita inoltre il processo di certificazione dei servizi digitali dei clienti, offrendo loro un certo livello di garanzia sulle infrastrutture sottostanti.

3. La natura dei sistemi informativi

Il terzo elemento chiave delle raccomandazioni ANSSI è la natura dei sistemi informativi interessati:

  1. Sistemi informativi a distribuzione limitata (RD) Questi sistemi trattano dati classificati come riservati, che richiedono misure di protezione specifiche per evitare la divulgazione non autorizzata.
  2. I sistemi informativi sensibili coperti dalla dottrina cloud al centro dello Stato Questi sistemi, che non fanno parte del SIIV, trattano dati sensibili secondo la circolare cloud del centro e richiedono un'attenzione particolare per garantirne la sicurezza.
  3. Sistemi informativi sensibili di operatori di importanza vitale (OIV) e operatori di servizi essenziali (OSE) Sebbene non siano regolamentati come l'IVIS, questi sistemi sono considerati sensibili per la natura dei dati che trattano e richiedono misure di protezione maggiori.
  4. Sistemi informativi vitali (SIIV) Questi sistemi sono fondamentali per la sicurezza nazionale, l'economia e la capacità di sopravvivenza della nazione. Un attacco alla loro sicurezza o al loro funzionamento potrebbe compromettere seriamente questi aspetti, rappresentando un pericolo significativo per la popolazione.

Applicazione delle raccomandazioni ANSSI

L'ANSSI definisce le seguenti raccomandazioni per i quattro sistemi informativi presentati sopra, a seconda della sensibilità dell'elaborazione e dei dati, nonché del livello di minaccia associato:

Sintesi delle raccomandazioni di ANSSI per il cloud hosting da parte di Cloud TempleScarica la sintesi

Livello sensibile di DR IS

  • L'ANSSI raccomanda l'uso di offerte cloud non commerciali (interne e comunitarie) qualificate SecNumCloud e di offerte commerciali private. Queste opzioni forniscono un'infrastruttura dedicata, riducendo il rischio che un attacco si diffonda da un cliente all'altro.
  • Sono possibili anche offerte commerciali di cloud qualificate SecNumCloud, sia comunitarie che pubbliche. Tuttavia, esse comportano la condivisione di risorse IT tra più clienti (ad esempio, l'archiviazione di dati sulla stessa risorsa fisica o l'hosting di siti web sugli stessi server fisici).
Hosting in outsourcing

La decisione di affidare l'hosting a un'offerta commerciale di cloud qualificata SecNumCloud deve essere presa dall'ente interessato, sulla base di un'analisi dei rischi che dimostri che la soluzione offre un livello di protezione adeguato.
È fondamentale considerare l'ubicazione dell'hosting e la nazionalità degli amministratori quando l'accesso a determinate informazioni è limitato dalla nazionalità (ad esempio, informazioni sulla Diffusion Restreinte - Speciale Francia). In questo caso, un'offerta cloud non commerciale potrebbe essere più adatta a soddisfare i requisiti dell'IGI 1300.

IS sensibili coperti dalla dottrina cloud al centro dello Stato

  • In linea con la dottrina dello Stato "cloud al centro", questi sistemi devono essere ospitati esclusivamente in offerte cloud qualificate SecNumCloud (interne, private, comunitarie o pubbliche).

SI sensibili di un operatore di importanza vitale e SI sensibili di un operatore di servizi essenziali (compresi i sistemi informativi essenziali)

  • ANSSI raccomanda l'uso di qualsiasi offerta qualificata SecNumCloud per questi sistemi.

Sistemi informativi critici (SIIV)

  • A causa della sensibilità dei trattamenti e dei dati che gestiscono, gli IVIS richiedono una decisione motivata da parte del responsabile dell'ente interessato.
  • Per gli IVIS compatibili con le tecnologie cloud, l'ANSSI raccomanda le offerte di cloud commerciale privato e non commerciale (interno e comunitario) qualificate SecNumCloud, che forniscono un'infrastruttura dedicata e riducono al minimo il rischio di diffusione di un attacco da un cliente all'altro.
Condizioni per altri tipi di offerte commerciali cloud

ANSSI non esclude l'utilizzo di altri tipi di offerte commerciali di cloud, a condizione che :

  • Sono qualificati SecNumCloud
  • Il responsabile dell'ente basa la sua decisione su un'analisi del rischio ben fondata relativa all'esternalizzazione dell'hosting dell'IVIS e sul rispetto di tutti gli obblighi normativi applicabili agli IVIS.
Categorie
Sicurezza informatica e conformità
La rivista
Politica sui cookie

Utilizziamo i cookie per offrirvi la migliore esperienza possibile sul nostro sito, ma non raccogliamo alcun dato personale.

I servizi di misurazione dell'audience, necessari per il funzionamento e il miglioramento del nostro sito, non consentono di identificarvi personalmente. Tuttavia, avete la possibilità di opporvi al loro utilizzo.

Per ulteriori informazioni, consultare il nostro Informativa sulla privacy.

Autorizzare Rifiuto