Gruppo di Lavoro Security and Baseline Expectations

Da WIKI IDEM GARR.
Vai alla navigazione Vai alla ricerca

Proposta

Il GdL nasce con i seguenti scopi:

  • definire i requisiti di sicurezza della Federazione IDEM;
  • definire un piano per l’implementazione dei requisiti;
  • definire un processo per una revisione annuale dei requisiti di sicurezza e del loro piano di implementazione;
  • Proporre un aggiornamento dei regolamenti di Federazione per integrare l’applicazione e l’aggiornamento dei requisiti di sicurezza.

A chi si rivolge

I Referenti Tecnici e Organizzativi dei partecipanti della Federazione IDEM, nonché le figure tecniche, amministrative e legali che si occupano della gestione dei servizi federati, degli utenti e dei processi di autenticazione, i responsabili della protezione dei dati personali, i responsabili della transizione digitale.

Obiettivi

Creare un gruppo di lavoro che definisca le IDEM Security and Baseline Expectations e proponga gli aggiornamenti di regolamento necessari, lavorando nei seguenti ambiti:

  • Regolamentazione:
    • Proporre le modifiche necessarie per definire un piano annuale di sicurezza e sviluppo della Federazione;
    • Proporre le modifiche necessarie alle norme di partecipazione per rendere obbligatorio il rispetto del piano di sicurezza e sviluppo.
  • Definizione dei requisiti di sicurezza richiesti per le entità della Federazione
    • Gestione delle identità digitali
    • Gestione dei servizi federati
    • Gestione dei sistemi di autenticazione federati
    • Gestione degli incidenti e delle notifiche
    • Gestione ed analisi di log comuni
    • Implementazione delle REFEDS Identity Federation Baseline Expectations [1]

I risultati verranno poi sottoposti all’Assemblea per l’adozione delle modifiche e l’accettazione del primo piano di sviluppo della sicurezza di federazione.

Analisi e risultati attesi

Il gruppo partirà dall’analisi degli attuali regolamenti per definire le modifiche necessarie. Da questa attività dovrà uscire una proposta di modifica per rendere strutturale il processo di analisi e sviluppo della sicurezza nella federazione.

Definito l’ambito del nuovo regolamento, il gruppo dovrà proporre un primo piano di sviluppo della sicurezza basato sui punti discussi insieme ad una pianificazione dei passi necessari per il raggiungimento.

Step

  1. Analisi degli attuali regolamenti
  2. Definizione delle modifiche minime necessarie alla programmazione di un piano di sicurezza con revisione annuale
  3. Creazione di una proposta di modifica ai regolamenti
  4. Analisi delle REFEDS Identity Federation Baseline Expectations e verifica delle attività necessarie per l’implementazione
  5. Definizione dei requisiti di sicurezza per la gestione delle identità digitali
  6. Definizione dei requisiti di sicurezza per la gestione dei servizi federati
  7. Definizione dei requisiti di sicurezza per la gestione dei sistemi di autenticazione federati
  8. Definizione dei requisiti di sicurezza per la gestione degli incidenti e delle notifiche
  9. Definizione dei requisiti di sicurezza per la gestione ed analisi di log comuni
  10. Presentazione della modifica del regolamento e delle IDEM Security and Baseline Expectations alla Federazione

Durata e riunioni del gruppo

Il gruppo avrà una durata di tre mesi, prorogabile al massimo di ulteriori tre mesi.

Riunioni

Stanza Virtuale - https://edu.meet.garr.it/security_and_baseline_expectations

  • 16/02/2026 11:00
  • 02/03/2026 11:00 - Presentazione degli eventuali nuovi partecipanti e Discussione delle proposte di modifica a [Regolamento] e alle [NdP] presentate
  • 09/03/2026 11:00 - Discussione delle proposte di modifica a [Regolamento] e alle [NdP] aggiornate
  • 16/03/2026 11:00 - Discussione delle proposte di modifica a [Regolamento] e alle [NdP] aggiornate
  • 23/03/2026 11:00 - Proposta traduzione modifiche per la versione inglese di [Regolamento] e [NdP], inizio discussione del piano di sicurezza e sviluppo
  • 30/03/2026 11:00
    • Analisi F-Ticks nell'ottica delle nuove leggi sulla sicurezza
    • Per l'incontro del 13/04 tutti i partecipanti si impegnano a verificare le problematiche di sicurezza e privacy afferenti al sistema F-TICKS GARR con i propri DPO e RTD
  • 13/04/2026 11:00
    • Il gruppo si è confrontato sulle analisi fatte dai propri DPO / RTD riguardo il sistema F-TICKS e non sono emerse problematiche bloccanti;
    • È stata analizzata la richiesta di filtrare i log F-TICKS ai soli SP federati e l'operazione risulta possibile tramite appositi filtri rsyslog;
    • Non avendo riscontrato problemi su un'ipotetica adesione obbligatoria al sistema F-TICKS, l'argomento è stato chiuso e rimandato al momento al momento della stesura del piano di sicurezza e sviluppo.
    • Il gruppo ha aperto una discussione riguardo la necessità di garantire la sicurezza di SP e IDP pubblicati in federazione.
    • Per L'incontro del 20/04 tutti i partecipanti si impegnano a ragionare sulle strade eventualmente percorribili per responsabilizzare ed eventualmente forzare gli amministratori a mantenere i propri sistemi aggiornati e basati su software / librerie adeguatamente mantenute.
  • 20/04/2026 11:00 - O.D.G.
    • Discussione su richieste minime di sicurezza in riferimento agli aggiornamenti di sistema e applicativi.
    • Analisi dei requisiti di aggiornamento nell'ottica Sirtfi (cap. 2.1)
    • Analisi dei requisiti di aggiornamento nell'ottica dei Profili di Garanzia IDEM

A partire da marzo le riunioni proseguiranno con cadenza settimanale fino al termine del gruppo di lavoro.

Materiale di discussione

Consultazione

Il Gruppo di Lavoro ha definito una proposta di modifica del Regolamento e delle Norme di partecipazione della Federazione IDEM per introdurre un Piano annuale di sicurezza e sviluppo della

Federazione IDEM elaborato dal CTS e approvato dall’Assemblea della Federazione.

Prima di sottoporre la proposta di modifica all'Assemblea della Federazione, il Gruppo di Lavoro indice una consultazione con la comunità IDEM che potrà esprimere la propria opinione sulle modifiche proposte:

Partecipazione

La partecipazione al gruppo è aperta a tutto il personale membro della federazione.

Elenco dei partecipanti al gruppo di lavoro (aggiornato al 16/02/2026)
  • Andrea Ranaldi (ISPRA), coordinatore del gruppo
  • Marco Ghizzi (Fatebenefratelli)
  • Francesco Zanolin (INGV)
  • Marco Malavolti (GARR)
  • Enrico Bruno CAVALLI (CINECA)
  • Guido Latini (Università di Macerata)
  • Luigi Antonio (Politecnico di Bari)
  • Mario Di Lorenzo (GARR)
  • Paolo Marinelli (Università Politecnica delle Marche)
  • Baldassare Agosta (Università di Firenze)
  • Lorenzo Iannuzzi (Università di Firenze)
  • Francesco Sansone (CNR)
  • Raffaele Conte (CNR)
  • Davide Vaghetti (GARR)

[1] https://refeds.org/baseline-expectations

Estratto da "https://wiki.idem.garr.it/index.php?title=Gruppo_di_Lavoro_Security_and_Baseline_Expectations&oldid=14273"