Politiche di sicurezza militare

(Reindirizzamento da Politiche di sicurezza militari)

Le politiche di sicurezza militare sono l'insieme delle misure e attività adottate per garantire la sicurezza informatica in campo militare.

Sinossi generaleModifica

Tutte le organizzazioni devono sviluppare delle politiche di sicurezza in grado di proteggere i loro dati, sistemi da eventuali attacchi, sia esterni che interni. I dati infatti devono essere protetti nella loro confidenzialità, integrità e disponibilità; le politiche di sicurezza devono pertanto lavorare su questi attributi per preservare l'esistenza dei dati. Queste politiche dovrebbero attenersi alle norme contenute negli standard internazionali sulla sicurezza informatica codificate nella ISO17799 e BS7799. Le politiche di sicurezza ricoprono infatti un ruolo molto importante all'interno della sicurezza informatica; possono essere identificati diversi livelli di policy di sicurezza: quelle di alto livello e quelle funzionali.

Le politiche di alto livello sono l'insieme dei principi generali in materia di misure di sicurezza e hanno l'obiettivo di assicurare l'integrità e la disponibilità delle risorse informatiche, la riservatezza e la disponibilità delle informazioni. Le politiche funzionali invece costituiscono l'insieme delle regole atte a definire il comportamento di persone, risorse, enti a loro volta coinvolti nella Sicurezza Informatica. Sono fortemente vincolate all'architettura che l'azienda intende realizzare e pertanto devono essere definite al termine delle fasi di analisi e gestione del rischio.

Per le operazioni militari, la sicurezza informatica è legata al concetto più generale di Operational security (processo che ha lo scopo di dare ad un'operazione militare l'appropriato livello di sicurezza, per negare le conoscenze al potenziale avversario circa le disposizioni, le capacità, gli intenti e le vulnerabilità delle forze amiche), nel quale bisogna valutare le informazioni potenzialmente pericolose che vengono rese pubbliche dalla propria organizzazione, e stabilire se esse, messe opportunamente insieme, non costituiscano un concreto pericolo per la sicurezza. Un esempio sono le informazioni che si possono raccogliere attraverso tecniche di social engineering[1].

Sicurezza militareModifica

La sicurezza militare in ambito informatico vede la presenza di due requisiti fondamentali: i requisiti di sensibilità e i requisiti deve-conoscere. I primi sono detti gerarchici dal momento che riflettono la gerarchia dei livelli di sensibilità dei dati, i secondi non sono gerarchici dal momento che non riflettono necessariamente una struttura gerarchica. Questo modello di sicurezza informatica combinato dai due requisiti è adottato per questo campo, in cui l'accesso è controllato rigidamente da un'autorità centrale, la quale controlla tutto il sistema per far sì che persone estranee non vi possano accedere.

Requisiti di sensibilitàModifica

Ogni informazione viene classificata con un particolare livello di sensibilità o importanza, questi livelli vengono definiti come: non classificato, riservato, riservatissimo, segreto, segretissimo (NATO: restricted, confidential, secret, top secret). Questi livelli formano una gerarchia e riflettono una sensibilità crescente: le informazioni a un particolare livello sono più sensibili di quelle del livello sottostante e meno importanti di quelle del livello successivo. Es. le informazioni del livello riservato sono più sensibili di quelle del livello inferiore limitato e meno sensibili di quelle del livello successivo segreto.

Requisiti deve-conoscereModifica

L'accesso ai dati sensibili è limitato dai requisiti deve-conoscere. Questo significa che solo i soggetti che devono conoscere quelle particolari informazioni sono autorizzati a lavorare su di esse.

Ogni informazione classificata deve essere associata con uno o più prospetti definiti scomparti che descrivono l'oggetto delle informazioni. Questo vuol dire che, per esempio, il progetto gamma può utilizzare delle informazioni segrete - così come il progetto delta - ma gli individui del progetto gamma non possono accedere alle informazioni del progetto delta e viceversa; i due gruppi sono infatti entrambi autorizzati limitatamente alle informazioni segrete del proprio specifico progetto.

In questo modo le limitazioni deve-conoscere proteggono l'accesso alle informazioni, consentendolo solo alle persone che devono conoscerle. Uno scomparto può quindi contenere le informazioni di un solo livello di sensibilità.

Una persona che richiede l'accesso alle informazioni deve essere autorizzata per accedervi: il livello di autorizzazione indica che a una particolare persona, e non ad un'altra, è stata concessa la fiducia per accedere a particolari informazioni di un determinato livello: non è detto, ovviamente, che la stessa persona possa accedere ad informazioni di un livello superiore.

NoteModifica

  1. ^ Stuart Mcclure, Joel Scambray, George Kurtz, Hacker! Tecniche di protezione di sistemi, Apogeo.

Voci correlateModifica

Collegamenti esterniModifica