PROGRAMMA DI VERIFICA DI CONFORMITÀ DEGLI APPARATI ... · ELISS – TS 400.001 “Linee guida per...
Transcript of PROGRAMMA DI VERIFICA DI CONFORMITÀ DEGLI APPARATI ... · ELISS – TS 400.001 “Linee guida per...
ELISS – Technical Specification 400 1
Revision 001 2
3
4
5
6
7
8
9
10
Experts of Lawful Interception 11
and Security Standards – Association 12
http://www.eliss.org 13
14
15
16
17
18
19
Linee guida per la sicurezza 20
21
del trattamento, conservazione ed esportazione 22
23
dei risultati 24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
Maggio 2015 39
40
41
42
43
44
PROGRAMMA DI VERIFICA DI CONFORMITÀ DEGLI APPARATI UTILIZZATI PER LA LAWFUL INTERCEPTION - Livello 4
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 2 di 16
Sommario 45 46 47
1. Introduzione ................................................................................................................................. 4 48
2. Scopo ............................................................................................................................................ 4 49
3. Definizioni ..................................................................................................................................... 5 50
4. Acronimi ........................................................................................................................................ 6 51
5. Riferimenti .................................................................................................................................... 6 52
6. Principi ispiratori delle linee guida ............................................................................................... 7 53
7. Software del LEMF ........................................................................................................................ 7 54
7.1 Accesso da remoto ................................................................................................................ 8 55
8. Trattamento dei dati ..................................................................................................................... 8 56
8.1 Disciplinare tecnico in materia di misure minime di sicurezza ............................................. 9 57
8.2 Provvedimento del 18 luglio 2013 ...................................................................................... 10 58
8.2.1 Strong Authentication ..................................................................................................... 11 59
8.2.2 Log delle attività .............................................................................................................. 11 60
8.2.2.1 Formato XML dei Log delle attività .............................................................................. 12 61
8.2.2.2 XSD dei Log ................................................................................................................... 14 62
8.2.3 Protezione dei risultati delle intercettazioni trasferiti su supporti rimovibili ................. 15 63
8.2.3.1 Formato dei dati trasferiti su supporti rimovibili......................................................... 15 64
9. Dismissione del LEMF ................................................................................................................. 16 65
10. Modifiche ................................................................................................................................ 16 66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 3 di 16
90
Il presente documento costituisce parte integrante del programma di verifica di conformità degli 91
apparati utilizzati per la lawful interception, promosso da ELISS e denominato ELCAP. Il 92
programma è rivolto ai Vendor (costruttori o rivenditori) di apparati destinati ad attività di lawful 93
interception, in qualità di Socio di ELISS. 94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 4 di 16
1. Introduzione 137
138 Le attività di standardizzazione delle funzionalità d’intercettazione delle comunicazioni sono state 139 sviluppate da ETSI in seguito all’adozione della risoluzione del Consiglio d’Europa del 17 gennaio 1995 COM 140 96/C329/01 per l’intercettazione legale delle comunicazioni nelle reti pubbliche. Nella risoluzione sono 141 indicati i servizi che gli Operatori di reti pubbliche di telecomunicazioni devono rendere disponibili alle 142 Autorità. 143 In conseguenza Il comitato tecnico ETSI/Technical Committee Security (TC SEC) ha costituito il Working 144 Group: Lawful Interception (SEC-WG LI-1997) che nel 2002 ha assunto la denominazione ETSI- Technical 145 Committee Lawful Interception (TC LI) con il mandato di sviluppare e definire le informazioni, per tipo di 146 tecnologia, nonché i protocolli di trasporto e codifica delle informazioni che devono essere inviate alle 147 Autorità attraverso specifiche interfacce. 148 149 Le specifiche prodotte da TC LI sono organizzate per domini di competenza: 150 151
- LEA domain: requisiti delle intercettazioni legali (LI) per Lawful Enforcement Agency (LEA) 152
- Network domain: requisiti funzionali e di architettura delle reti pubbliche di comunicazioni per 153 l’introduzione delle funzionalità di Lawful Interception. 154
- Handover Interface: informazioni che devono essere inviate applicate ad ogni tipo di rete e servizi. 155 156
I requisiti definiti riguardano l’intercettazione delle comunicazioni per le reti: 157
- circuit switched 158
- packet switched. 159 160
Le tecnologie coperte dalle specifiche coprono: 161
- Mobile Network 162 GSM, UMTS, GPRS, LTE, TETRA. 163
- Fixed Network 164 ISDN, fixed NGN 165
166 L’interfaccia d’utente del LEMF e gli aspetti di sicurezza del LEMF come sistema informatico non rientrano 167 tra i requisiti specificati dagli organismi di standardizzazione. 168
169 170
2. Scopo 171
172 Il LEMF è l'apparato che si interpone tra il Network Operator e l'operatore di PG, avendo il compito 173 fondamentale di ricevere, interpretare, correlare e visualizzare i contenuti intercettati e le informazioni ad 174 essi associati. Il corretto funzionamento del LEMF strategicamente valorizza il buon esito dell'intero 175 processo di lawful interception. 176 177 Il LEMF è costituito da un sistema informatico e come tale deve rispettare alcuni principi di funzionamento 178 e requisiti affinché renda disponibili all'operatore abilitato le informazioni alle quali ha diritto di accedere, 179 nei tempi e nei modi previsti. 180 181 Il presente documento ha lo scopo di delineare le linee guida per il LEMF per la sicurezza del trattamento, 182 conservazione ed esportazione dei risultati di lawful interception. 183
184
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 5 di 16
3. Definizioni 185
186 a) Slogan [inglese] Frase incisiva e sintetica per ottenere un effetto immediato ed essere facilmente 187
memorizzabile. 188 b) Call: ogni connessione temporanea capace di trasferire informazioni tra due o più utenti attraverso 189
un sistema di telecomunicazioni. 190 c) Content of communication: informazioni scambiate tra due o più utenti di un sistema di 191
telecomunicazioni. 192 d) Communication: informazioni trasferite in coerenza ai formalismi concordati. 193 e) Handover Interface: interfacce fisiche o logiche attraverso le quali il risultato di una intercettazione 194
è trasferito da una un network operator/access provider/service provider al LEMF. 195 f) GUI: Graphics User Interface. 196 g) Identity: identificativo tecnico che rappresenta l’origine o la destinazione di ogni traffico di 197
telecomunicazioni caratterizzato da un un numero telefonico o da un numero virtuale assegnato ad 198 una comunicazione. 199
h) Intercept Related Information: informazioni e dati associati alla identità di un target che utilizza un 200 servizio di telecomunicazioni. 201
i) Interception (Lawful Interception): azione, a seguito di un ordine legale, attivata da un network 202 operator/service provider/access provider, per inviare a LEMF il CC e IRI delle comunicazioni di un 203 target. 204
j) Handover Interface: interfaccia fisica o logica attraverso la quale i network operator's/service, 205 access provider inviano il CC ed IRI al LEMF. 206
k) Law Enforcement Agency (LEA): organizzazione istituzionale autorizzata ad emettere ordini di 207 intercettazione. 208
l) Law Enforcement Monitoring Facility (LEMF): organismo istituzionale designato a ricevere su 209 apparecchiature tecniche la trasmissione del CC e IRI come risultato della intercettazione di una 210 comunicazione. 211
m) Lawful Interception Identifier: l’informazione che identifica in modo univoco l’intercettazione per 212 ogni target e per ogni LEA. 213
n) Network Operator: organismo pubblico di telecomunicazioni che permette, tra un punto di origine 214 e di terminazione, il trasferimento di segnali mediante fili, mezzi ottici o qualunque altro mezzo 215 elettromagnetico. Un Network Operator generalmente è anche un NSP. 216
o) Operatore: utilizzatore del LEMF, in genere Ufficiale di Polizia Giudiziaria. 217 p) Parametri d’identificazione del Target: elementi tecnici, utilizzati dalle reti, associati ad una 218
persona fisica o giuridica (target) per la loro identificazione. 219 q) RG: Registro Generale. 220 r) RIT: Registro Intercettazioni. 221 s) Result of Interception: informazioni relative ad un servizio utilizzato dal target intercettato 222
incluso il contenuto di una comunicazione (CC)e i dati correlati (IRI). Nota: Gli IRI devono essere 223 forniti anche in assenza di attività del target se esistono variazioni di stato. 224
t) Target: l’identità specificata nel decreto del LEA, le cui telecomunicazioni sono oggetto di 225 prestazioni obbligatorie. 226
u) Target identity: identità tecnica con cui si identifica in modo inequivocabile un soggetto 227 intercettato (target). 228
v) Telecommunication: ogni trasferimento di segnali, testi, immagini, suoni o dati, trasmessi, tutti 229 o in parte, tramite fili, segnali radio, elettromagnetici, fotoelettrici o sistemi ottici. 230
w) TSP: Acronimo generico per rappresentare l’insieme dei NWO/SP/ISP/AP 231 232
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 6 di 16
4. Acronimi 233
234 ANSI American National Standard Institute 235 CALEA Communications Assistance for Law Enforcement Act 236 CC Content of Communication 237 CIN Communication Identity Number 238 HI Handover Interface 239 HI1 Handover Interface Port 1 (for Administrative Information) 240 HI2 Handover Interface Port 2 (for Intercept Related Information) 241 HI3 Handover Interface Port 3 (for Content of Communication) 242 IE Information Element 243 IIF Internal Interception Function 244 IRI Intercept Related Information 245 LEA Law Enforcement Agency 246 LEMF Law Enforcement Monitoring Facility 247 LI Lawful Interception 248 LIID Lawful Interception Identifier 249 MF Mediation Function 250 MME Mobility Management Entity 251 NWO Network Operator 252 PSTN Public Switched Telephone Network 253 RID Riservatezza, Integrità, Disponibilità 254 SMS Short Message Service 255 SMS oSGS Short Message Service over SGS 256 TI Target identity 257 UMTS Universal Mobile Telecommunication System 258 ITU International Communication Union 259 ETSI European Telecommunication Union 260 IETF Internet Engeenering Task Force 261 3GPP 3 Generation Partner Project 262 263 264
5. Riferimenti 265
266 [1] ISO/IEC 27002:2013 - Information technology - Security techniques - Code of practice for 267 information security controls 268 [2] ELISS - Special Publication - Revision 002 - DESCRIZIONE DELLLE FINALITÀ E DELLE CARATTERSITICHE 269 DEL PROGRAMMA 270 [3] Codice in materia di protezione dei dati personali - Decreto legislativo 30 giugno 2003, n. 196 271 [4] Codice in materia di protezione dei dati personali - Allegato B. Disciplinare tecnico in materia di 272 misure minime di sicurezza (Artt. da 33 a 36 del Codice) 273 [5] Garante della privacy -Provvedimento in materia di misure di sicurezza nelle attività di 274 intercettazione da parte delle Procure della Repubblica - 18 luglio 2013 - (Pubblicato sulla Gazzetta Ufficiale 275 n. 189 del 13 agosto 2013) 276 [6] Garante della privacy - Differimento dei termini di adempimento delle prescrizioni di cui al 277 provvedimento del 18 luglio 2013, in materia di misure di sicurezza nelle attività di intercettazione da parte 278 delle Procure della Repubblica - 26 giugno 2014 (Pubblicato sulla Gazzetta Ufficiale n. 149 del 30 giugno 279 2014) 280
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 7 di 16
[7] ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management 281 systems -- Requirements 282 283
6. Principi ispiratori delle linee guida 284
285
Il quarto livello ELCAP si ispira ai principi che sono alla base dello standard ISO/IEC 27002 [1] 286
definendone nel dettaglio solo quegli aspetti che interessano l'ambito specifico. L'impostazione 287
dello standard ISO/IEC 27002 è coerente con quella del Sistema di Gestione per la Qualità ISO 288
9001. Il possesso di queste certificazioni, come già descritto nelle premesse del progetto ELCAP 289
[2], costituisce attestazione ben distinta e non sovrapponibile con la conformità ELCAP. 290
291
L'obiettivo di linee guida sulla sicurezza per il LEMF è di garantire: 292
- la disponibilità controllata delle informazioni, il LEMF deve rendere disponibili a ciascun 293
utente abilitato le informazioni alle quali ha diritto di accedere, nei tempi e nei modi 294
previsti; 295
- l'integrità delle informazioni, il LEMF deve impedire la alterazione diretta o indiretta delle 296
informazioni, sia da parte di utenti e processi non autorizzati, che a seguito di eventi 297
accidentali; 298
- la riservatezza delle informazioni, il LEMF deve impedire a chiunque di ottenere o dedurre, 299
direttamente o indirettamente, informazioni che non è autorizzato a conoscere. 300
301
7. Software del LEMF 302
303
La progettazione del software del LEMF è di competenza della società che produce l'apparato, 304
pertanto non rientra nel programma ELCAP la definizione di requisiti sulle modalità di creazione e 305
mantenimento del software, considerando anche indicazioni sulla soluzione architetturale da 306
adottare. Il programma ELCAP comprende tuttavia il riferimento al software di terze parti, per cui 307
si intende implicita la liceità (corrispondente al livello 1 del programma di conformità). 308
309
Il software del LEMF deve tuttavia seguire alcune regole comuni derivanti dalla buona 310
progettazione e previste dal ciclo di vita, tra le quali si evidenzia: 311
- il versioning - all'operatore deve essere sempre visibile, tramite funzionalità richiamabile 312
dalla GUI, la versione attuale del software e la data (gg/mm/aaaa) dell'ultimo 313
aggiornamento; 314
- la documentazione a corredo - il LEMF deve essere corredato da opportuna 315
documentazione che descriva il suo corretto utilizzo e le azioni che l'operatore deve 316
intraprendere all'insorgere di selezionate problematiche; 317
- logging delle attività - tutte le attività del LEMF, effettuate in automatico oppure su 318
richiesta dell'operatore, devono essere tracciate con l'indicazione anche dell'esito e di 319
queste deve essere creato apposito log. Il file di log non deve poter essere modificabile o 320
cancellabile tramite GUI dell'operatore. I tempi di conservazione del file di log devono 321
coincidere con quelli dei risultati delle attività di lawful interception per ogni procedimento 322
penale interessato. 323
324
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 8 di 16
La versione del software deve variare nei seguenti casi di manutenzione: 325
- manutenzione correttiva, modifica al software al fine di correggere errori attraverso patch; 326
- manutenzione adattativa, migrazione di sistema operativo o di architettura; 327
- manutenzione evolutiva, estensione delle funzionalità anche se non direttamente 328
richiamabili tramite GUI. 329
330
In caso di manutenzione, la società fornitrice/noleggiatrice del LEMF deve fornire al titolare del 331
trattamento una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle 332
disposizioni del disciplinare tecnico di cui all'allegato B del Codice della privacy [4]. 333
334
Come particolare caso di logging ricade anche la registrazione e memorizzazione di eventuali dati 335
inviati dal Network Operator al LEMF e da questi non correttamente interpretati. Questi dati 336
possono essere relativi a formati di IRI o protocolli con cui sono state scambiati i contenuti 337
intercettati (Content of Communication) che il LEMF non ha ancora implementato. In nessun caso 338
questi dati devono essere scartati e cancellati. 339
340
I dati momentaneamente non decodificati e correttamente visualizzati all'operatore, devono 341
essere conservati in una cartella apposita locale ed eventualmente rielaborati una volta 342
individuata la problematica ed eventualmente adattato il software del LEMF. La condizione di dati 343
ricevuti ma non elaborati deve essere visualizzata all'operatore tramite apposita funzionalità della 344
GUI, riportando informazioni sommarie del tipo: data ora di ricezione, procedimento penale o 345
numerazione del target. 346
347
348
7.1 Accesso da remoto 349
In presenza di particolari condizioni è possibile che il software richiesta un intervento immediato 350
non compatibile con i tempi di intervento in locale. In questo caso è possibile prevedere una 351
particolarità funzionalità di accesso remoto al LEMF da parte di personale autorizzato della società 352
produttrice. 353
354
Tale funzionalità deve essere attivabile esclusivamente dalla GUI del LEMF, deve essere limitata 355
temporalmente alla verifica dell'eventuale malfunzionamento e non deve consentire l'accesso a 356
informazioni classificabili giudiziarie, ma solo a dati c.d. di targa del LEMF (numero processo attivi, 357
occupazione memoria e CPU, ecc..) con la possibilità di effettuare da remoto un riavvio forzato del 358
LEMF per consentire di ripristinare le condizioni normali di lavoro dell'apparato. L'accesso deve 359
avvenire tramite l'utilizzo di protocolli di comunicazioni sicuri e tramite l'instaurazione di una VPN. 360
361
362
8. Trattamento dei dati 363
364
I dati che tratta il LEMF sono classificabili come giudiziari, secondo quando previsto dal Codice 365
della privacy [3]: sono dati giudiziari "i dati personali idonei a rivelare provvedimenti di cui 366
all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in 367
materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei 368
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 9 di 16
relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del 369
codice di procedura penale". 370
371
Si riportano di seguito i profili d'interesse per il programma ELCAP trattati dal Garante della 372
privacy anche in provvedimenti distinti. Il riferimento generale sul tema rimane la Parte II, Titolo I 373
"Disposizioni relative a specifici settori - Trattamenti in ambito giudiziario" del Codice [3]. 374
375
376
8.1 Disciplinare tecnico in materia di misure minime di sicurezza 377
Si riportano di seguito alcuni requisiti contenuti nell'allegato B del Codice [4] di stretta 378
competenza del LEMF: 379
380
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di 381
credenziali di autenticazione che consentano il superamento di una procedura di autenticazione 382
relativa a uno specifico trattamento o a un insieme di trattamenti. 383
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato 384
associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un 385
dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a 386
un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica 387
dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 388
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per 389
l'autenticazione. 390
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per 391
assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei 392
dispositivi in possesso ed uso esclusivo dell'incaricato. 393
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto 394
caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di 395
caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili 396
all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni tre 397
mesi. 398
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, 399
neppure in tempi diversi. 400
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle 401
preventivamente autorizzate per soli scopi di gestione tecnica. 402
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato 403
l'accesso ai dati personali. 404
9. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso 405
della componente riservata della credenziale per l'autenticazione, sono impartite idonee e 406
preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare 407
può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o 408
impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive 409
necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle 410
credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per 411
iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente 412
l'incaricato dell'intervento effettuato. 413
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 10 di 16
10. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di 414
autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. 415
11. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi 416
inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento 417
degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e 418
tecnicamente in alcun modo ricostruibili. 419
12. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di 420
danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti 421
degli interessati e non superiori a sette giorni. 422
13. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui 423
all'art. 615- quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da 424
aggiornare con cadenza almeno semestrale. 425
14. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di 426
strumenti elettronici e a correggerne difetti sono effettuati almeno con cadenza semestrale. 427
428
Oltre ai requisiti contenuti nel disciplinare tecnico del Codice, è necessario che il LEMF inibisca 429
l'installazione su di esso di ulteriori programmi non previsti con la sua fornitura, al fine di 430
assicurare l'affidabilità del servizio offerto. 431
432
433
8.2 Provvedimento del 18 luglio 2013 434
Si riportano di seguito alcuni requisiti contenuti nel provvedimento del 18 luglio 2013 del Garante 435
[5] di stretta competenza del LEMF: 436
437
- il LEMF deve essere predisposto a ricevere comunicazioni elettroniche provenienti dai 438
Network Operator, effettuate esclusivamente in modo cifrato, che assicurino 439
l'identificazione delle parti comunicanti, l'integrità e la protezione dei dati, nonché la 440
completezza e la correttezza delle informazioni temporali relative alle informazioni 441
trasmesse (date ed orari di formazione dei documenti o della loro trasmissione e 442
consegna); 443
- accesso al LEMF solo da postazioni preventivamente abilitate e censite, connesse a reti 444
protette dotate di sistemi di protezione perimetrale (firewall); 445
- accesso al LEMF, sia per scopi di configurazione delle intercettazioni, che per ascolto o 446
riascolto, ad operatori abilitati e autenticati tramite procedure di strong authentication, 447
anche per gli addetti tecnici (amministratori di sistema, di rete, di data base) che possano 448
materialmente accedere ai dati delle intercettazioni in ragione delle mansioni loro 449
attribuite (si rimanda al paragrafo relativo alla strong authentication); 450
- attribuzione di utenze di amministratore di sistema a soggetti preventivamente individuati 451
e designati secondo i criteri stabiliti dal Garante con il citato provvedimento del 27 452
novembre 2008 e con il provvedimento del 25 giugno 2009 (doc. web n. 1626595); 453
- conservazione in forma cifrata, indipendentemente dal formato di registrazione, delle 454
tracce foniche e delle altre informazioni, in modo da impedirne l'ascolto (nel caso delle 455
tracce foniche) o la intelligibilità a soggetti non legittimati anche in caso di acquisizione 456
fortuita o a seguito di guasti o interventi manutentivi sulle apparecchiature informatiche; 457
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 11 di 16
- conservazione in forma cifrata delle eventuali copie di sicurezza (backup) dei dati allo 458
stesso modo di quanto previsto per i dati on line; 459
- estrazione di dati, anche parziale, su qualsiasi tipo di supporto removibile deve essere 460
assistita da procedure crittografiche per la protezione dei contenuti; 461
462
463
464
8.2.1 Strong Authentication 465
Il sistema di autenticazione, per l’accesso al LEMF, deve garantire le seguenti funzionalità: 466
467
1. L’Autenticazione deve avvenire obbligatoriamente per mezzo di due fattori di autenticazione, 468
di cui: 469
Il primo è costituito da un’informazione che identifica univocamente l’utente (user 470
name, pin, ecc.) 471
Il secondo costituito da un fattore fisico, in possesso dell’utente autorizzato 472
all’accesso al LEMF, a titolo esemplificativo e non vincolante, costituito da uno dei 473
seguenti strumenti: Token OTP (one time password) di tipo hardware e/o software, 474
USB token / Smart card, Contactless token. 475
2. Il sistema di autenticazione può essere realizzato con procedure strettamente integrate 476
all’applicazione LEMF, oppure con procedure che garantiscano la protezione delle singole 477
postazioni di lavoro, integrate alle funzioni di autenticazione proprie dei sistemi operativi 478
utilizzati. 479
3. La validità temporale della password deve essere conforme alle vigenti disposizioni di legge. 480
4. Lo user name deve essere univoco per ogni utente, così come ogni utente può avere un solo 481
strumento quale secondo fattore di autenticazione. 482
5. Il sistema di autenticazione deve rendere disponibile una consolle di gestione. 483
6. Devono essere mantenuti i log relativi alla gestione dei due fattori di autenticazione, ed in 484
particolare all’associazione del secondo fattore di autenticazione (token OTP, smart card, n. di 485
tel., ecc.) allo user name. Il sistema di autenticazione, deve poter produrre un elenco degli user 486
name e dei strumenti “associati” ad ognuno di essi. 487
7. Il meccanismo di autenticazione configurato, deve essere obbligatorio sia all’interno della rete 488
locale del LEMF (LAN), sia per ogni connessione effettuate da remoto, tramite collegamenti 489
sicuri. 490
491
492
8.2.2 Log delle attività 493
Il provvedimento del Garante della privacy [5] richiede altresì: 494
495
l'annotazione in registri informatici, con tecniche che ne assicurino la inalterabilità, con indicazione 496
dei riferimenti temporali relativi alle attività svolte e al personale operante, dell'esecuzione delle 497
operazioni (quali l'ascolto, la consultazione, registrazione, masterizzazione, archiviazione e 498
duplicazione delle informazioni, la trascrizione delle intercettazioni, la manutenzione e la gestione 499
dei sistemi, la distruzione dei supporti, dei verbali, delle registrazioni e di ogni altra 500
documentazione attinente alle intercettazioni) svolte nell'ambito delle attività di intercettazione sia 501
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 12 di 16
presso i C.I.T., sia presso gli Uffici di polizia giudiziaria delegati (artt. 266 e ss. c.p.p.; art. 226 disp. 502
att. c.p.p.; d.m. 30 settembre 1989; d.m. 17 dicembre 1999); 503
In ottemperanza al requisito, è richiesto che il LEMF produca file di log di tipo funzionale e relativi 504
al tracciamento delle attività svolte sullo stesso. I file di log prodotti dovranno essere conservati in 505
forma cifrata e firmati digitalmente, per assicurare RID [7], all'interno dell'architettura del LEMF 506
(lato client o server) e resi disponibili per la sola visualizzazione dalla GUI del LEMF. 507
508
Qualora richiesto dalla Procura, dovranno essere messi a disposizione di un sistema centralizzato 509
di log collecting deputato alla raccolta, alla conservazione e alla visualizzazione dei log per tutti i 510
LEMF presenti all'interno della stessa Procura. In questo caso dovranno essere seguite le 511
specifiche d'interfaccia tra i sistemi fornite dalla Procura con l'eventuale conseguente 512
cancellazione dei log sul LEMF. 513
514
515
516
8.2.2.1 Formato XML dei Log delle attività 517
518
Il LEMF deve produrre un log di tutte le attività svolte secondo il formato XML (eXtensible Markup 519
Language) di seguito definito da ELISS del quale se ne indicano i marcatori (o tags) da utilizzare. 520
521
Formato di esempio: 522
523 <xml version="1.0" encoding="UTF-8"> 524 <logELCAP> 525 <VersionLog> ELCAP 1.0 </VersionLog> 526 <TimeStampLog> </TimeStampLog> 527 <VendorLemf> </VendorLemf> 528 <VersionLemf> </VersionLemf> 529 .... 530 </logELCAP> 531
532
533
534
535
Tabella di riepilogo dei marcatori da utilizzare all'interno del markup "LogELCAP" di 1° livello: 536
537
538
MARKUP 2° LIV. MARKUP 3° LIV. TIPO DESCRIZIONE VersionLog Obblig. Versione del log utilizzata
TimeStampLog Obblig. Data Ora nel formato UTC (es. 2001-10-
26T21:32:52+02:00 oppure 2002-01-
18T11:00:00-01:00)in cui è stato prodotto il Log
VendorLemf Obblig. Costruttore del LEMF
VersionLemf Obblig. Versione del LEMF
Country Opzion. Paese in cui opera il LEMF
User IpLemfClient Obblig. IP della postazione Client su cui è avvenuta
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 13 di 16
l'autenticazione dell'Operatore
IPLemfServer Obblig. IP del Server dell'archiettura del LEMF che ha concesso l'autenticazione dell'Operatore
IPEsternal Obblig. IP della postazione esterna all'architettura della Procura che ha avuto accesso ai dati del LEMF
TypeUser Obblig. Tipologia di utenza per la quale è stato prodotto il Log:
1. Operator per l'Operatore di PG, 2. M2M per collegamenti tra Client e Server, 3. Admin per lAmministraore di sistema
UserIdentity Obblig. Tutti i dati identificativi dell'utente (matricola, user-id, nome, cognome, ecc..)
TimeStampUserStart Obblig. Data Ora nel formato UTC (es. 2001-10-
26T21:32:52+02:00 oppure 2002-01-
18T11:00:00-01:00) in cui è iniziata l'attività dell'utente (LogIn)
TimeStampUserEnd Obblig. Data Ora nel formato UTC (es. 2001-10-
26T21:32:52+02:00 oppure 2002-01-
18T11:00:00-01:00) in cui è terminata l'attività dell'utente (LogOut)
UserActivity TypeOfActivity Obblig. Macro descrizione dell'attività svolta. 1. Per Operator: Activation of monitoring,
Termination of monitoring, Modify Warrant Data, Audit (ascolto, visualizzazione dati intercettazione), Update Monitoring Data (brogliaccio) Export Data, Monitoring Status List, Delete Data, LEMF Administration
2. Per M2M: Transmitting client-server data, Generic interworking
3. Per Admin: Database administration, Application administration, Stop/Restart Collecting data, Stop/Restart Lemf, View Status Lemf, View Warrant Data, View Monitoring Data, Update SW.
ContentOfActivity Obblig. Descrizione estesa dell'attività con l'indicazione del target e dell'autorizzazione (Registro generale e Registro Intercettazioni).
TimeStampActivity Obblig. Data Ora nel formato UTC (es. 2001-10-
26T21:32:52+02:00 oppure 2002-01-
18T11:00:00-01:00)dell'attività svolta. Error Obblig. Da valorizzare in caso di errore con la descrizione
del problema.
539
540
541
542
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 14 di 16
8.2.2.2 XSD dei Log 543
Di seguito si riporta lo XSD (XML Schema Definition) dei file di log: 544
545 <?xml version="1.0" encoding="utf-8"?> 546 <xs:schema elementFormDefault="qualified" 547 xmlns:xs="http://www.w3.org/2001/XMLSchema"> 548 <xs:element name="logELCAP"> 549 <xs:complexType> 550 <xs:sequence> 551 <xs:element name="VersionLog" type="xs:string"> 552 <xs:element name="TimeStampLog" type="xs: dateTime"> 553 <xs:element name="VendorLemf" type="xs:string"> 554 <xs:element name="VersionLemf" type="xs:string"> 555 <xs:element name="Country"> 556 <xs:simpleType> 557 <xs:restriction base="xs:string"> 558 <xs:enumeration value="IT"> 559 <xs:enumeration value="FR"> 560 <xs:enumeration value="DE"> 561 <xs:enumeration value="ES"> 562 <xs:enumeration value="UK"> 563 <xs:enumeration value="US"> 564 </xs:restriction> 565 </xs:simpleType> 566 </xs:element> 567 <xs:element name="User"> 568 <xs:complexType> 569 <xs:sequence> 570 <xs:element name="IpLemfClient" type="xs:string"> 571 <xs:element name="IPLemfServer" type="xs:string"> 572 <xs:element name="IPEsternal" type="xs:string"> 573 <xs:element name="TypeUser" type="xs:string"> 574 <xs:simpleType> 575 <xs:restriction base="xs:string"> 576 <xs:enumeration value="Operator"> 577 <xs:enumeration value="M2M"> 578 <xs:enumeration value="Admin"> 579 </xs:restriction> 580 </xs:simpleType> 581 </xs:element> 582 <xs:element name="UserIdentity" type="xs:string"> 583 <xs:element name="TimeStampUserStart" type="xs:dateTime"> 584 <xs:element name="TimeStampUserEnd" type="xs:dateTime"> 585 </xs:sequence> 586 </xs:complexType> 587 </xs:element> 588 <xs:element name="UserActivity"> 589 <xs:complexType> 590 <xs:sequence> 591 <xs:element name=" TypeOfActivity " type="xs: dateTime "> 592 <xs:simpleType> 593 <xs:restriction base="xs:string"> 594 <xs:enumeration value="Activation of monitoring"> 595 <xs:enumeration value="Termination of monitoring"> 596 <xs:enumeration value="Modify Warrant Data"> 597 <xs:enumeration value="Audit"> 598 <xs:enumeration value="Update Monitoring Data"> 599 <xs:enumeration value="Monitoring Status List"> 600
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 15 di 16
<xs:enumeration value="Delete Data"> 601 <xs:enumeration value="LEMF Administration"> 602 <xs:enumeration value="Transmitting client-server data"> 603 <xs:enumeration value="Generic interworking"> 604 <xs:enumeration value="Database administration"> 605 <xs:enumeration value="Application administration"> 606 <xs:enumeration value="Stop/Restart Collecting data"> 607 <xs:enumeration value="Stop/Restart Lemf"> 608 <xs:enumeration value="View Status Lemf"> 609 <xs:enumeration value="View Warrant Data"> 610 <xs:enumeration value="View Monitoring Data"> 611 <xs:enumeration value="Update SW"> 612 </xs:restriction> 613 </xs:simpleType> 614 </xs:element> 615 <xs:element name="ContentOfActivity" type="xs:string"> 616 <xs:element name="TimeStampActivity" type="xs:dateTime"> 617 </xs:sequence> 618 <xs:element name="Error" type="xs:string"> 619 </xs:complexType> 620 </xs:element> 621 </xs:schema> 622
623
624
625
8.2.3 Protezione dei risultati delle intercettazioni trasferiti su supporti rimovibili 626
627
Il provvedimento del Garante della privacy [5] richiede altresì: 628
629
protezione dei documenti informatici trasferiti su supporti rimovibili con idonee tecniche 630
crittografiche, ricorrendo preferibilmente ad algoritmi a chiave pubblica (come nel caso dell'uso di 631
strumenti di firma digitale in funzione di cifratura), evitando comunque la trasmissione di chiavi 632
simmetriche di cifratura in modo informale su canali insicuri; 633
634
Tutti i dati esportati dal LEMF verso supporti rimovibili devono essere cifrati, rispettando le 635
seguenti indicazioni: 636
a) l'algoritmo crittografico usato deve essere al minimo uno stream-chipher a chiave 637
simmetrica; 638
b) in caso di algoritmo con chiave simmetrica essa deve essere scambiata in modalità 639
sicura; 640
c) la catalogazione e la conservazione delle chiavi per la riapertura delle archiviazioni 641
prodotte sono funzioni esterne al LEMF. 642
643
644
8.2.3.1 Formato dei dati trasferiti su supporti rimovibili 645
646
I dati trasferiti su supporti rimovibili devono rispettare lo stesso formato ricevuto dall'Operatore o 647
della Rete. La fruibilità dei dati prescinde da tale principio. 648
649
ELISS – TS 400.001 “Linee guida per la sicurezza del trattamento, conservazione ed esportazione dei risultati” - Maggio 2015
Pagina 16 di 16
Il formato dei dati trasferiti su supporti rimovibili deve poter rispettare il modello ETSI dei livelli 650
precedenti dell'ELCAP, quindi separando il CC (Content of Communication) dal contenuto 651
informativo IRI (Intercept Related Information): il primo deve essere esportato secondo il 652
protocollo/codec di appartenenza, il secondo deve riportare esattamente in formato testuale le 653
informazioni ricevute e relative al primo. L'export del CC deve avvenire anche quando ques'ultimo 654
non sia stato interpretato dal LEMF, ma tramite gli IRI è stato possibile aggregarlo. 655
656
Come strumento di correlazione tra i files di CC e IRI, è raccomandato al LEMF l'utilizzo di 657
parametri comuni ai due nella nomenclatura dei files (ad es. target, RIT, LIID, ecc.), con eventuali 658
ulteriori parametri utili al LEMF (data/ora, num. sequenziali, ecc.). L'export deve essere 659
accompagnato da un meccanismo di integrità dei dati esportati. 660
661
662
9. Dismissione del LEMF 663
664
Nel caso in cui il LEMF venga dismesso per cessazione del rapporto contrattuale, l'operatore deve 665
poter avviare la procedura di cancellazione sicura dei dati conservati prima che questo venga 666
riconsegnato alla società costruttrice/noleggiatrice. 667
668
Tale funzionalità deve prevedere per tutti i dischi rigidi presenti nel LEMF una formattazione a 669
basso livello e a quattro cicli completi di scrittura e cancellazione. 670
671
672
673
10. Modifiche 674
675
ELISS Documetation Data
Version Nota
Security 29 -05 - 2015 v.1.0 Prima versione
676