ISCOM, unico ente per la certificazione informatica. Gasparri e Stanca firmano il decreto

di |

Italia



Il ministro delle Comunicazioni Maurizio Gasparri e quello per l¿Innovazione e le Tecnologie Lucio Stanca hanno approvato le linee guida dell¿Organismo di Certificazione per la sicurezza informatica (OCSI) per l”applicazione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell”informazione.

Le ¿Linee guida provvisorie¿ erano state approvate con un decreto interministeriale del Ministro delle Comunicazioni e del Ministro per l¿Innovazione e le Tecnologie il 17 febbraio 2005.

La loro ratifica rende l¿OCSI l¿unico organismo di certificazione operante secondo i common criteria, standard di sicurezza informatica, per apparati e sistemi commerciali.

“La sicurezza &#232 uno dei quattro cardini della qualit&#224 del servizio di reti e apparati di comunicazione: &#232 il pilastro su cui si basa la fiducia del cittadino nell¿affidare la propria identit&#224 sociale, amministrativa, talvolta finanziaria alla rete”, spiega Luisa Franchina, Direttore Generale dell¿Istituto Superiore delle Comunicazioni e della Tecnologia dell¿Informazione.

“La rete – aggiunge il Direttore dell”ISCOM – deve essere sicura e perch&#233 questo sia possibile ogni suo elemento (apparato, sistema, connessione¿) deve essere sicuro: oggi &#232 possibile certificare la sicurezza dei singoli apparati e dei sistemi ICT e quindi della catena di gestione dei dati da essi costituita”.

L¿istituzione dell¿Organismo di Certificazione italiano per la sicurezza dei sistemi e dei prodotti nel settore della tecnologia dell¿informazione, avvenuta attraverso un decreto del Ministro per l¿Innovazione e le Tecnologie di concerto con i Ministri delle Comunicazioni, delle Attivit&#224 Produttive e dell¿Economia e delle Finanze (DPCM 30 ottobre 2003), si pone come naturale termine di un percorso che &#232 stato individuato e seguito in questi ultimi anni anche da numerosi altri stati nazionali, sia in Europa sia nel resto del mondo.

Il decreto riconosce che l¿Istituto Superiore delle Comunicazioni (ISCOM) del Ministero delle Comunicazioni possiede i requisiti di indipendenza, affidabilit&#224 e competenza e stabilisce che: ¿l¿Istituto Superiore delle Comunicazioni &#232 l¿Organismo di Certificazione della Sicurezza nel settore della Tecnologia dell¿Informazione¿.

Alla base della necessit&#224 istituire uno Schema nazionale in Italia e in vari stati dell”occidente industrializzato, innanzitutto l¿esigenza di garantire l¿integrit&#224, la disponibilit&#224 e la riservatezza dell¿informazione al di l&#224 delle garanzie di sicurezza fornite dai produttori dei sistemi informatici.

In molte applicazioni caratterizzate da un elevato grado di criticit&#224, infatti, le predette dichiarazioni potrebbero risultare non sufficienti, rendendo necessaria una loro valutazione e certificazione della sicurezza, condotte da soggetti indipendenti e qualificati, sulla base di standard riconosciuti a livello nazionale ed internazionale.

“Si tratta di un vero e proprio cambiamento di mentalit&#224, un po¿ come fu per la qualit&#224 aziendale: la certificazione pu&#242 diventare un utile strumento di identificazione di prodotti sicuri”, sottolineaLuisaFranchina.

“Naturalmente occorre che si sviluppi la domanda e che l¿offerta diventi consapevole dei vantaggi ottenibili dall¿investimento connesso. Investimento che pu&#242 essere ¿mirato¿ perch&#233 esistono svariati livelli di certificazione e non occorre superarli tutti per essere certificati come sicuri e affidabili contro determinati rischi e vulnerabilit&#224. Ognuno pu&#242 ricevere il livello di certificazione che ritiene sufficiente per le proprie necessit&#224 di protezione e naturalmente questo significa ottimizzare tempi e costi. La certificazione &#232 alla base di tutti i meccanismi di mutuo riconoscimento di uno status: ricorriamo alla certificazione di parte terza quando vogliamo essere automaticamente riconosciuti come detentori di caratteristiche note a priori da una comunit&#224 della quale vogliamo far parte”.

Le linee guida sono disponibili sul sito web dell¿Organismo di Certificazione per la Sicurezza Informatica: www.ocsi.it.

Le Linee Guida Provvisorie sono organizzate in documenti distinti che individuano le aree fondamentali in cui l”Organismo di Certificazione sar&#224 chiamato ad agire e descrivono le azioni che i Valutatori dovranno intraprendere per condurre le attivit&#224 di valutazione in modo corretto (cio&#232 coerentemente on gli standard internazionali adottati) ed efficace.

Di seguito sono descritti i contenuti delle Linee Guida Provvisorie:

LGP1 – Descrizione generale dello Schema nazionale di valutazione e certificazione della sicurezza

La LGP1, dopo aver introdotto il concetto di Schema nazionale, di sicurezza IT e di accreditamento dei laboratori, affronta una descrizione sintetica del processo di valutazione, identificando le finalit&#224 e i requisiti generali per svolgere una valutazione e certificazione di un sistema/prodotto o Profilo di Protezione (PP). Quindi, vengono definiti e descritti i ruoli dei soggetti coinvolti nel processo di valutazione e certificazione, con particolare enfasi per l”Organismo di Certificazione, il Laboratorio per la Valutazione delle Sicurezza (LVS), il Committente, il Fornitore e l”Assistente. Inoltre, vengono delineate le tre fasi che caratterizzano il processo di valutazione: la preparazione, la conduzione e la conclusione. Infine, viene delineata la fase di certificazione e si forniscono delle informazioni per quanto concerne la gestione dei Certificati e il loro mantenimento.

LGP2 – Accreditamento degli LVS e abilitazione degli Assistenti

La LGP2 definisce le procedure per ottenere e mantenere nel corso del tempo l”accreditamento di un Laboratorio per la Valutazione della Sicurezza informatica secondo lo Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dell”informazione. Inoltre, vengono specificati gli ambiti di attivit&#224 di un LVS e descritti i requisiti generali gestionali e di competenza tecnica per i laboratori. Infine, vengono descritti i requisiti e le procedure per ottenere l”abilitazione al ruolo di Assistente.

LGP3 – Procedure di valutazione

La LGP3 definisce le procedure che devono essere seguite nel corso di un processo di valutazione condotto all”interno dello Schema. Tale processo &#232 suddiviso in tre fasi distinte: preparazione, conduzione e conclusione. Le procedure descritte in questa linea guida sono applicabili alla valutazione della sicurezza di un sistema/prodotto o di un PP, cos&#236 come definiti in ITSEC o nei Common Criteria.

LGP4 – Attivit&#224 di valutazione secondo i Common Criteria

La LGP4 si prefigge l”obiettivo di definire la terminologia di riferimento in lingua italiana per descrivere, discutere e analizzare le azioni richieste per svolgere la valutazione di un Profilo di Protezione e la valutazione di un ODV ai livelli di fiducia EAL1, EAL2, EAL3 e EAL4 secondo i Common Criteria.

La LGP4 contiene informazioni utili agli utenti finali di prodotti/sistemi IT che sono stati sottoposti al processo di valutazione, al personale direttamente responsabile della valutazione di un ODV o di un Profilo di Protezione, al personale che fornisce assistenza al Committente di una valutazione, al personale responsabile della stesura di un Traguardo di Sicurezza o di un Profilo di Protezione, e agli sviluppatori di prodotti/sistemi IT che sono interessati a richiedere la valutazione e la certificazione dei loro prodotti/sistemi.

LGP5 – Il Piano di Valutazione: indicazioni generali

La LGP5 fornisce ai Valutatori gli elementi fondamentali per definire, in base ai Criteri di valutazione ITSEC e Common Criteria, un Piano Di Valutazione (PDV) della Sicurezza di un sistema/prodotto o di un PP. Il PDV &#232 il documento che contiene la descrizione di tutte le attivit&#224 che i Valutatori debbono eseguire durante la valutazione e le modalit&#224 secondo le quali queste attivit&#224 risultano organizzate, pianificate, correlate e suddivise nell”ambito del periodo di valutazione.

LGP6 – Guida alla scrittura dei Profili di Protezione e dei Traguardi di Sicurezza

Nella LGP6 sono fornite indicazioni per la scrittura dei Profili di Protezione (PP) e dei Traguardi di Sicurezza (TDS) secondo le norme fissate dai Common Criteria.

Questa LGP &#232 indirizzata principalmente a coloro che sono coinvolti nello sviluppo dei PP/TDS. Tuttavia, pu&#242 anche essere utile ai Valutatori e ai responsabili della definizione e del controllo della metodologia per la valutazione dei PP/TDS. Gli utenti finali possono altres&#236 trovare utile questo documento per comprendere i PP/TDS o per individuare le parti di loro interesse.

Viene dapprima fornita una panoramica sui PP/TDS, che comprende un indice di riferimento; vengono quindi descritte in dettaglio le sezioni del PP/TDS.

Infine, sono riportate alcune appendici che approfondiscono aspetti di particolare rilievo, tra cui la descrizione di esempi di minacce, politiche di sicurezza, assunzioni e obiettivi di sicurezza, e l”identificazione di adeguati componenti funzionali per specificare i requisiti funzionali di sicurezza.

LGP7 – Glossario e terminologia di riferimento

Nella LGP7 sono raccolte tutte le definizioni in uso nello Schema nazionale. Inoltre, &#232 fornito un elenco di termini di uso comune che assumono un significato specifico nei Common Criteria.

A trarre beneficio da una certificazione di sicurezza eseguita su un sistema o prodotto ICT, sono diversi soggetti: innanzitutto l¿utilizzatore del prodotto ICT, che pu&#242 cos&#236 disporre di garanzie che vanno oltre le assicurazioni del fornitore; il fornitore del prodotto ICT che pu&#242 prevedere un incremento di vendite; le aziende fornitrici di servizi ICT che possono contare su una loro maggiore utilizzazione da parte degli utenti in presenza di garanzie circa la sicurezza dei sistemi ICT impiegati; il responsabile, nell¿ambito della Pubblica Amministrazione, dell¿approvvigionamento di servizi ICT,che pu&#242 dimostrare di aver curato in modo non contestabile la protezione delle informazioni trattate.

Inoltre, anche senza eseguire una completa certificazione, l¿utilizzazione di strumenti quali Protection Profile, previsti nei Common Criteria per esprimere in modo non ambiguo i requisiti di sicurezza relativi a particolari tipologie di prodotti ICT, consente ai responsabili dell¿acquisto di tali prodotti di formulare capitolati seguendo uno standard riconosciuto e potendo contare su un¿ elevata confrontabit&#224 delle offerte che potranno pervenire dai fornitori.


In sostanza– conclude Luisa Franchina, questo organismo operer&#224 al servizio di tutti gli attori della ¿catena del valore¿ nel settore ICT per caratterizzarlo come ¿sicuro¿.

“La certificazione &#232 come un bollino blu che ci assicura che tutti i passi previsti per realizzare le giuste misure di protezione sono stati regolarmente compiuti. L¿ISCOM &#232 a disposizione di tutte le aziende pubbliche e private che vogliano iniziare a richiedere la certificazione dei propri prodotti e sistemi come pure di tutti coloro che desiderano comprendere meglio cosa significa acquisire prodotti certificati e fondare le proprie reti su elementi che rispondano a determinate caratteristiche di protezione.Un ulteriore passo in avanti verso una societ&#224 dell¿informazione realmente ¿di tutti¿ e per tutti¿.

Alessandra Talarico

© 2005 Key4biz.it

Leggi le altre notizie sull’home page di Key4biz