Italia
Il ministro delle Comunicazioni Maurizio Gasparri e quello per l¿Innovazione e le Tecnologie Lucio Stanca hanno approvato le linee guida dell¿Organismo di Certificazione per la sicurezza informatica (OCSI) per l”applicazione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell”informazione.
Le ¿Linee guida provvisorie¿ erano state approvate con un decreto interministeriale del Ministro delle Comunicazioni e del Ministro per l¿Innovazione e le Tecnologie il 17 febbraio 2005.
La loro ratifica rende l¿OCSI l¿unico organismo di certificazione operante secondo i common criteria, standard di sicurezza informatica, per apparati e sistemi commerciali.
“La sicurezza è uno dei quattro cardini della qualità del servizio di reti e apparati di comunicazione: è il pilastro su cui si basa la fiducia del cittadino nell¿affidare la propria identità sociale, amministrativa, talvolta finanziaria alla rete”, spiega Luisa Franchina, Direttore Generale dell¿Istituto Superiore delle Comunicazioni e della Tecnologia dell¿Informazione.
“La rete – aggiunge il Direttore dell”ISCOM – deve essere sicura e perché questo sia possibile ogni suo elemento (apparato, sistema, connessione¿) deve essere sicuro: oggi è possibile certificare la sicurezza dei singoli apparati e dei sistemi ICT e quindi della catena di gestione dei dati da essi costituita”.
L¿istituzione dell¿Organismo di Certificazione italiano per la sicurezza dei sistemi e dei prodotti nel settore della tecnologia dell¿informazione, avvenuta attraverso un decreto del Ministro per l¿Innovazione e le Tecnologie di concerto con i Ministri delle Comunicazioni, delle Attività Produttive e dell¿Economia e delle Finanze (DPCM 30 ottobre 2003), si pone come naturale termine di un percorso che è stato individuato e seguito in questi ultimi anni anche da numerosi altri stati nazionali, sia in Europa sia nel resto del mondo.
Il decreto riconosce che l¿Istituto Superiore delle Comunicazioni (ISCOM) del Ministero delle Comunicazioni possiede i requisiti di indipendenza, affidabilità e competenza e stabilisce che: ¿l¿Istituto Superiore delle Comunicazioni è l¿Organismo di Certificazione della Sicurezza nel settore della Tecnologia dell¿Informazione¿.
Alla base della necessità istituire uno Schema nazionale in Italia e in vari stati dell”occidente industrializzato, innanzitutto l¿esigenza di garantire l¿integrità, la disponibilità e la riservatezza dell¿informazione al di là delle garanzie di sicurezza fornite dai produttori dei sistemi informatici.
In molte applicazioni caratterizzate da un elevato grado di criticità, infatti, le predette dichiarazioni potrebbero risultare non sufficienti, rendendo necessaria una loro valutazione e certificazione della sicurezza, condotte da soggetti indipendenti e qualificati, sulla base di standard riconosciuti a livello nazionale ed internazionale.
“Si tratta di un vero e proprio cambiamento di mentalità, un po¿ come fu per la qualità aziendale: la certificazione può diventare un utile strumento di identificazione di prodotti sicuri”, sottolineaLuisaFranchina.
“Naturalmente occorre che si sviluppi la domanda e che l¿offerta diventi consapevole dei vantaggi ottenibili dall¿investimento connesso. Investimento che può essere ¿mirato¿ perché esistono svariati livelli di certificazione e non occorre superarli tutti per essere certificati come sicuri e affidabili contro determinati rischi e vulnerabilità.
Le linee guida sono disponibili sul sito web dell¿Organismo di Certificazione per la Sicurezza Informatica: www.ocsi.it.
Le Linee Guida Provvisorie sono organizzate in documenti distinti che individuano le aree fondamentali in cui l”Organismo di Certificazione sarà chiamato ad agire e descrivono le azioni che i Valutatori dovranno intraprendere per condurre le attività di valutazione in modo corretto (cioè coerentemente on gli standard internazionali adottati) ed efficace.
Di seguito sono descritti i contenuti delle Linee Guida Provvisorie:
LGP1 – Descrizione generale dello Schema nazionale di valutazione e certificazione della sicurezza
La LGP1, dopo aver introdotto il concetto di Schema nazionale, di sicurezza IT e di accreditamento dei laboratori, affronta una descrizione sintetica del processo di valutazione, identificando le finalità e i requisiti generali per svolgere una valutazione e certificazione di un sistema/prodotto o Profilo di Protezione (PP). Quindi, vengono definiti e descritti i ruoli dei soggetti coinvolti nel processo di valutazione e certificazione, con particolare enfasi per l”Organismo di Certificazione, il Laboratorio per la Valutazione delle Sicurezza (LVS), il Committente, il Fornitore e l”Assistente. Inoltre, vengono delineate le tre fasi che caratterizzano il processo di valutazione: la preparazione, la conduzione e la conclusione. Infine, viene delineata la fase di certificazione e si forniscono delle informazioni per quanto concerne la gestione dei Certificati e il loro mantenimento.
LGP2 – Accreditamento degli LVS e abilitazione degli Assistenti
La LGP2 definisce le procedure per ottenere e mantenere nel corso del tempo l”accreditamento di un Laboratorio per la Valutazione della Sicurezza informatica secondo lo Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dell”informazione. Inoltre, vengono specificati gli ambiti di attività di un LVS e descritti i requisiti generali gestionali e di competenza tecnica per i laboratori. Infine, vengono descritti i requisiti e le procedure per ottenere l”abilitazione al ruolo di Assistente.
LGP3 – Procedure di valutazione
La LGP3 definisce le procedure che devono essere seguite nel corso di un processo di valutazione condotto all”interno dello Schema. Tale processo è suddiviso in tre fasi distinte: preparazione, conduzione e conclusione. Le procedure descritte in questa linea guida sono applicabili alla valutazione della sicurezza di un sistema/prodotto o di un PP, così come definiti in ITSEC o nei Common Criteria.
LGP4 – Attività di valutazione secondo i Common Criteria
La LGP4 si prefigge l”obiettivo di definire la terminologia di riferimento in lingua italiana per descrivere, discutere e analizzare le azioni richieste per svolgere la valutazione di un Profilo di Protezione e la valutazione di un ODV ai livelli di fiducia EAL1, EAL2, EAL3 e EAL4 secondo i Common Criteria.
La LGP4 contiene informazioni utili agli utenti finali di prodotti/sistemi IT che sono stati sottoposti al processo di valutazione, al personale direttamente responsabile della valutazione di un ODV o di un Profilo di Protezione, al personale che fornisce assistenza al Committente di una valutazione, al personale responsabile della stesura di un Traguardo di Sicurezza o di un Profilo di Protezione, e agli sviluppatori di prodotti/sistemi IT che sono interessati a richiedere la valutazione e la certificazione dei loro prodotti/sistemi.
LGP5 – Il Piano di Valutazione: indicazioni generali
La LGP5 fornisce ai Valutatori gli elementi fondamentali per definire, in base ai Criteri di valutazione ITSEC e Common Criteria, un Piano Di Valutazione (PDV) della Sicurezza di un sistema/prodotto o di un PP. Il PDV è il documento che contiene la descrizione di tutte le attività che i Valutatori debbono eseguire durante la valutazione e le modalità secondo le quali queste attività risultano organizzate, pianificate, correlate e suddivise nell”ambito del periodo di valutazione.
LGP6 – Guida alla scrittura dei Profili di Protezione e dei Traguardi di Sicurezza
Nella LGP6 sono fornite indicazioni per la scrittura dei Profili di Protezione (PP) e dei Traguardi di Sicurezza (TDS) secondo le norme fissate dai Common Criteria.
Questa LGP è indirizzata principalmente a coloro che sono coinvolti nello sviluppo dei PP/TDS. Tuttavia, può anche essere utile ai Valutatori e ai responsabili della definizione e del controllo della metodologia per la valutazione dei PP/TDS. Gli utenti finali possono altresì trovare utile questo documento per comprendere i PP/TDS o per individuare le parti di loro interesse.
Viene dapprima fornita una panoramica sui PP/TDS, che comprende un indice di riferimento; vengono quindi descritte in dettaglio le sezioni del PP/TDS.
Infine, sono riportate alcune appendici che approfondiscono aspetti di particolare rilievo, tra cui la descrizione di esempi di minacce, politiche di sicurezza, assunzioni e obiettivi di sicurezza, e l”identificazione di adeguati componenti funzionali per specificare i requisiti funzionali di sicurezza.
LGP7 – Glossario e terminologia di riferimento
Nella LGP7 sono raccolte tutte le definizioni in uso nello Schema nazionale. Inoltre, è fornito un elenco di termini di uso comune che assumono un significato specifico nei Common Criteria.
A trarre beneficio da una certificazione di sicurezza eseguita su un sistema o prodotto ICT, sono diversi soggetti: innanzitutto l¿utilizzatore del prodotto ICT, che può così disporre di garanzie che vanno oltre le assicurazioni del fornitore; il fornitore del prodotto ICT che può prevedere un incremento di vendite; le aziende fornitrici di servizi ICT che possono contare su una loro maggiore utilizzazione da parte degli utenti in presenza di garanzie circa la sicurezza dei sistemi ICT impiegati; il responsabile, nell¿ambito della Pubblica Amministrazione, dell¿approvvigionamento di servizi ICT,che può dimostrare di aver curato in modo non contestabile la protezione delle informazioni trattate.
Inoltre, anche senza eseguire una completa certificazione, l¿utilizzazione di strumenti quali Protection Profile, previsti nei Common Criteria per esprimere in modo non ambiguo i requisiti di sicurezza relativi a particolari tipologie di prodotti ICT, consente ai responsabili dell¿acquisto di tali prodotti di formulare capitolati seguendo uno standard riconosciuto e potendo contare su un¿ elevata confrontabità delle offerte che potranno pervenire dai fornitori.
“In sostanza– conclude Luisa Franchina, questo organismo opererà al servizio di tutti gli attori della ¿catena del valore¿ nel settore ICT per caratterizzarlo come ¿sicuro¿.
“La certificazione è come un bollino blu che ci assicura che tutti i passi previsti per realizzare le giuste misure di protezione sono stati regolarmente compiuti. L¿ISCOM è a disposizione di tutte le aziende pubbliche e private che vogliano iniziare a richiedere la certificazione dei propri prodotti e sistemi come pure di tutti coloro che desiderano comprendere meglio cosa significa acquisire prodotti certificati e fondare le proprie reti su elementi che rispondano a determinate caratteristiche di protezione.
© 2005 Key4biz.it
