Attività di valutazione secondo i Common Criteria

Transcript

1 Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione Organismo di Certificazione Attività di valutazione secondo i Common Criteria Linee Guida Provvisorie - parte 4 LGP4 Dicembre 2004 Versione 1.0

2 REGISTRAZIONE DELLE AGGIUNTE E VARIANTI L'elenco delle aggiunte e varianti al documento verrà mantenuto aggiornato in modo tale da riportare tutti gli emendamenti effettuati sul presente documento. Paragrafo e/o linea Pagine modificate Modifica effettuata da: nominativo e firma Data

3 INDICE 1.Introduzione Obiettivi e applicabilità della Linea Guida Destinatari della Linea Guida Struttura e organizzazione della Linea Guida Convenzioni adottate Valutazione di un Profilo di Protezione Obiettivi Materiale per la valutazione Sottoattività e compiti nella valutazione di un Profilo di Protezione Valutazione di un Traguardo di Sicurezza Obiettivi Materiale per la valutazione Sottoattività e compiti nella valutazione di un Traguardo di Sicurezza EAL Obiettivi Materiale per la valutazione Attività e compiti in una valutazione EAL Attività di valutazione della gestione della configurazione (classe ACM) Attività di valutazione della consegna e della messa in opera dell'odv (classe ADO) Attività di valutazione del processo di sviluppo dell'odv (classe ADV) Attività di valutazione della documentazione per gli utenti e gli amministratori dell'odv (classe AGD) Attività di test (classe ATE) EAL Obiettivi Materiale per la valutazione Attività e compiti in una valutazione EAL Attività di valutazione della gestione della configurazione (classe ACM) Attività di valutazione della consegna e della messa in opera dell'odv (classe ADO) Attività di valutazione del processo di sviluppo dell'odv (classe ADV) Attività di valutazione della documentazione per gli utenti e gli amministratori dell'odv (classe AGD) Attività di test (classe ATE) Attività di stima di vulnerabilità (classe AVA) EAL Obiettivi Materiale per la valutazione Attività e compiti in una valutazione EAL Attività di valutazione della gestione della configurazione (classe ACM) Attività di valutazione della consegna e della messa in opera dell'odv (classe ADO) Attività di valutazione del processo di sviluppo dell'odv (classe ADV) Attività di valutazione della documentazione per gli utenti e gli amministratori dell'odv (classe AGD) Attività di valutazione delle misure di sicurezza connesse al ciclo di vita dell'odv (classe ALC) Attività di test (classe ATE) Attività di stima di vulnerabilità (classe AVA) EAL Obiettivi Materiale per la valutazione Attività e compiti in una valutazione EAL Attività di valutazione della gestione della configurazione (classe ACM) Attività di valutazione della consegna e della messa in opera dell'odv (classe ADO) Attività di valutazione del processo di sviluppo dell'odv (classe ADV) Attività di valutazione della documentazione per gli utenti e gli amministratori dell'odv (classe AGD) Attività di valutazione delle misure di sicurezza connesse al ciclo di vita dell'odv (classe ALC) Attività di test (classe ATE) Attività di stima di vulnerabilità (classe AVA) Riferimenti bibliografici Lista degli acronimi...171

4 5 1. Introduzione L istituzione dell Organismo di Certificazione italiano per la sicurezza dei sistemi e dei prodotti nel settore della tecnologia dell informazione, avvenuta attraverso un decreto del Ministro per l Innovazione e le Tecnologie di concerto con i Ministri delle Comunicazioni, delle Attività Produttive e dell Economia e delle Finanze, si pone come naturale termine di un percorso che è stato individuato e seguito in questi ultimi anni anche da numerosi altri stati nazionali, sia in Europa sia nel resto del mondo Il decreto riconosce che l Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione (ISCTI) del Ministero delle Comunicazioni possiede i requisiti di indipendenza, affidabilità e competenza tecnica richiesti dalla decisione della Commissione europea del 6 novembre 2000 (2000/709/CE) e stabilisce che: l ISCTI è l Organismo di Certificazione della sicurezza informatica nel settore della tecnologia dell informazione, anche ai sensi dell articolo 10 del decreto legislativo 23 gennaio 2002, n. 10 e dell articolo 3, paragrafo 4 della direttiva 1999/93/CE Per consentire l applicazione dello Schema Nazionale previsto dal decreto l Organismo di Certificazione ha predisposto le Linee Guida Provvisorie (LGP). Tali LGP sono organizzate in documenti distinti: una breve sintesi del contenuto di tutte le LGP è presentata nella LGP1. La Linea Guida Provvisoria 4 (LGP4) si prefigge l'obiettivo di definire la terminologia di riferimento in lingua italiana per descrivere, discutere e analizzare l insieme minimo di unità di lavoro in cui possono essere decomposte le azioni di valutazione richieste per svolgere la valutazione di un Profilo di Protezione e la valutazione di un ODV ai livelli di garanzia EAL1, EAL2, EAL3 e EAL4 secondo i Common Criteria. Tutti i punti relativi alla valutazione di un ODV o di un Profilo di Protezione contenuti nella LGP4 sono stati sviluppati tenendo conto dello stato della normativa al gennaio La LGP4 contiene informazioni utili agli utenti finali di prodotti/sistemi IT che sono stati sottoposti al processo di valutazione, al personale direttamente responsabile della valutazione di un ODV o di un Profilo di Protezione, al personale che fornisce assistenza al Committente di una valutazione, al personale responsabile della stesura di un Traguardo di Sicurezza o di un Profilo di Protezione, e agli sviluppatori di prodotti/sistemi IT che sono interessati a richiedere la valutazione e la certificazione dei loro prodotti/sistemi Obiettivi e applicabilità della Linea Guida Questo documento si prefigge l'obiettivo di definire la terminologia di riferimento in lingua italiana che viene utilizzata nello svolgimento dell'attività di valutazione svolta secondo i Common Criteria [CCI1,2,3, CEM1,2]. In particolare, il documento descrive, discute e analizza l'insieme minimo di Pag 4/171

5 unità di lavoro in cui possono essere decomposte le azioni di valutazione (i termini unità di lavoro e azione sono definiti nel par.1.4) richieste per: la valutazione ai livelli di garanzia (Evaluation Assurance Level) EAL1, EAL2, EAL3 e EAL4 di un prodotto o sistema IT (Oggetto della Valutazione o ODV), compresa la valutazione 1 del relativo Traguardo di Sicurezza (TDS); la valutazione di un Profilo di Protezione (PP), applicando i componenti di garanzia che fanno parte della classe APE Valutazione di un Profilo di Protezione. Per quanto riguarda la valutazione di un ODV, l'approccio adottato prevede: 1. la discussione, a livello generale, degli obiettivi della classe di garanzia ASE Valutazione di un Traguardo di Sicurezza, fornendo anche l'elenco completo delle sottoattività componenti; 2. la discussione, a livello generale, degli obiettivi di ciascuna delle famiglie di garanzia che fanno parte della classe ASE, approfondendo, in particolare, le finalità delle singole sottoattività che devono essere svolte nel corso del processo di valutazione. Per ciascuna sottoattività, inoltre, viene fornito l'elenco completo del materiale per la valutazione che deve essere messo a disposizione dal Fornitore per consentire lo svolgimento della sottoattività stessa; 3. la definizione della terminologia di riferimento in lingua italiana delle unità di lavoro che devono essere svolte nel corso della valutazione di un Traguardo di Sicurezza. La definizione in lingua italiana delle unità di lavoro è accompagnata dalla versione originale in lingua inglese, allo scopo di rendere minimo, mediante il confronto con la versione originale, l'elemento di arbitrarietà che deriva dall'interpretazione che inevitabilmente accompagna l'opera di traduzione; 4. la discussione, a livello generale, delle garanzie offerte da ciascuno degli EAL compresi tra 1 e 4. In particolare, per ogni EAL: vengono indicate le operazioni di analisi da cui derivano le garanzie, evidenziando le operazioni aggiuntive che non sono previste dal livello di garanzia per la valutazione più basso immediatamente precedente; viene fornito l'elenco completo del materiale per la valutazione che deve essere messo a disposizione dal Fornitore dell'odv, evidenziando il materiale aggiuntivo che non è richiesto dal livello di garanzia per la valutazione più basso immediatamente precedente; viene fornito l'elenco completo delle attività e dei compiti che devono essere svolti dal Valutatore, evidenziando le attività aggiuntive che non sono previste dal livello di garanzia per la valutazione più basso immediatamente precedente; 5. la discussione, a livello generale, degli obiettivi delle classi di garanzia che fanno parte di ciascuno degli EAL compresi tra 1 e 4, e delle corrispondenti attività che devono essere svolte 1 Le attività di valutazione di un prodotto o sistema IT comprendono anche la valutazione del relativo Traguardo di Sicurezza, valutazione che, indipendentemente dal livello di garanzia richiesto per l'odv, implica l'applicazione dei componenti di garanzia che fanno parte della classe ASE Valutazione di un Traguardo di Sicurezza. Pag 5/171

6 75 80 nel corso della valutazione. Per ciascuna attività, inoltre, viene fornito l'elenco completo delle sottoattività componenti; 6. la discussione, a livello generale, degli obiettivi delle famiglie di garanzia che fanno parte di ciascuno degli EAL compresi tra 1 e 4, approfondendo, in particolare, le finalità delle sottoattività che devono essere svolte nel corso del processo di valutazione, e che derivano dalla selezione di uno specifico componente di garanzia. Per ciascuna sottoattività, inoltre, viene fornito l'elenco completo del materiale per la valutazione che deve essere messo a disposizione dal Fornitore per consentire lo svolgimento della sottoattività stessa Per quanto riguarda la valutazione di un Profilo di Protezione, invece, l'approccio adottato prevede: 1. la discussione, a livello generale, degli obiettivi della classe di garanzia APE Valutazione di un Profilo di Protezione, fornendo anche l'elenco completo delle sottoattività componenti; 2. la discussione, a livello generale, degli obiettivi delle famiglie di garanzia che fanno parte della classe APE, approfondendo, in particolare, le finalità delle singole sottoattività che devono essere svolte nel corso del processo di valutazione. Per ciascuna sottoattività, inoltre, viene fornito l'elenco completo del materiale per la valutazione che deve essere messo a disposizione dal Fornitore per consentire lo svolgimento della sottoattività stessa; 3. la definizione della terminologia di riferimento in lingua italiana delle unità di lavoro che devono essere svolte nel corso della valutazione di un Profilo di Protezione. La definizione in lingua italiana delle unità di lavoro è accompagnata dalla versione originale in lingua inglese, allo scopo di rendere minimo, mediante il confronto con la versione originale, l'elemento di arbitrarietà che deriva dall'interpretazione che inevitabilmente accompagna l'opera di traduzione. AVVERTENZA Tutti i punti relativi alla valutazione di un ODV o di un Profilo di Protezione contenuti in questo documento sono stati sviluppati tenendo conto degli effetti delle interpretazioni definitive fornite fino a gennaio Si desidera mettere esplicitamente in evidenza che il presente documento costituisce uno strumento di supporto per l'applicazione delle indicazioni fornite dallo standard ISO/IEC [CCI1,2,3] e della relativa metodologia di valutazione (CEM), definita in [CEM2]. In caso di incongruenze, le fonti citate in bibliografia hanno la precedenza rispetto al presente documento. Per raggiungere l'obiettivo di descrivere, discutere e analizzare l'insieme minimo di unità di lavoro in cui possono essere decomposte le azioni di valutazione sono state riportate in italiano le sole parti di [CEM2] e [CCI3] necessarie per comprendere pienamente i concetti di interesse. Pertanto, questa Linea Guida non deve essere considerata come il sostituto in lingua italiana dei suddetti documenti. Pag 6/171

7 Destinatari della Linea Guida Le indicazioni contenute nel presente documento sono rivolte alle seguenti figure: valutatori; assistenti; responsabili della stesura di un Traguardo di Sicurezza o di un Profilo di Protezione; sviluppatori di prodotti e/o sistemi IT; utenti finali di prodotti e/o sistemi IT. Nel seguito vengono svolte delle considerazioni sull'utilità delle informazioni contenute in questa Linea Guida per le figure sopra elencate Valutatori Il personale direttamente responsabile della valutazione di un ODV, ai livelli di garanzia EAL1, EAL2, EAL3 o EAL4, o di un Profilo di Protezione potrà trovare utili le informazioni in quanto: a) le parti introduttive dei paragrafi relativi agli EAL, alle attività di valutazione e alle sottoattività di valutazione richiamano brevemente i principali obiettivi delle operazioni di valutazione, e comprendono anche una descrizione ad alto livello delle operazioni di analisi che devono essere svolte; b) per ogni EAL, attività e sottoattività discussi, il presente documento fornisce delle informazioni riepilogative, come l'elenco del materiale per la valutazione richiesto da ogni EAL e da ogni sottoattività, l'elenco delle attività che devono essere svolte per ogni EAL, e l'elenco delle sottoattività che sono previste da ciascuna di queste ultime; c) definisce la versione di riferimento in lingua italiana per la terminologia legata al processo di valutazione secondo lo standard dei Common Criteria e per le unità di lavoro; d) definisce una struttura di pronta consultazione all'interno della quale sono state incorporate le interpretazioni definitive recepite entro gennaio 2004; e) definisce una struttura di pronta consultazione all'interno della quale sarà possibile incorporare le interpretazioni fornite dallo Schema Nazionale Assistenti Il personale responsabile di fornire assistenza al Committente di una valutazione potrà trovare utili le informazioni in quanto: a) le parti introduttive dei paragrafi relativi agli EAL, alle attività di valutazione e alle sottoattività di valutazione richiamano brevemente i principali obiettivi dei pacchetti, delle classi, delle famiglie, e dei componenti di garanzia corrispondenti; b) per ogni EAL, attività e sottoattività discussi, il presente documento fornisce delle informazioni riepilogative, come l'elenco del materiale per la valutazione che deve essere fornito per ogni EAL e per ogni sottoattività; Pag 7/171

8 c) definisce la versione di riferimento in lingua italiana per la terminologia legata al processo di valutazione secondo lo standard dei Common Criteria e per le unità di lavoro; d) definisce una struttura di pronta consultazione all'interno della quale sono state incorporate le interpretazioni definitive recepite entro gennaio 2004; e) definisce una struttura di pronta consultazione all'interno della quale sarà possibile incorporare le interpretazioni fornite dallo Schema Nazionale Personale responsabile della stesura di un Traguardo di Sicurezza o di un Profilo di Protezione Il personale responsabile della stesura di un Traguardo di Sicurezza o di un Profilo di Protezione potrà trovare utili le informazioni in quanto: a) le parti introduttive dei paragrafi relativi alle attività e alle sottoattività che devono essere svolte nel corso della valutazione di tali documenti richiamano brevemente i principali obiettivi delle classi ASE e APE, e delle relative famiglie di garanzia; b) definisce la versione di riferimento in lingua italiana per la terminologia legata al processo di valutazione secondo lo standard dei Common Criteria e per le unità di lavoro; c) definisce una struttura di pronta consultazione all'interno della quale sono state incorporate le interpretazioni definitive recepite entro gennaio 2004; d) definisce una struttura di pronta consultazione all'interno della quale sarà possibile incorporare le interpretazioni fornite dallo Schema Nazionale; Tale categoria di destinatari, comunque, potrà trovare indicazioni più dettagliate riguardo alla realizzazione di Traguardi di Sicurezza e di Profili di Protezione secondo le modalità prescritte dallo standard dei Common Criteria consultando la Linea Guida Provvisoria LGP6 - Guida alla scrittura dei Profili di Protezione e dei Traguardi di Sicurezza Sviluppatori di prodotti e/o sistemi IT Gli sviluppatori di prodotti e/o sistemi IT potranno trovare utili le informazioni in quanto le parti introduttive dei paragrafi relativi agli EAL, alle attività di valutazione e alle sottoattività di valutazione: a) forniscono indicazioni volte a facilitare la comprensione del significato e della portata delle garanzie offerte da una valutazione ai livelli compresi tra EAL1 e EAL4, e comprendono anche una descrizione a vari livelli di dettaglio delle operazioni di analisi da cui derivano tali garanzie; b) forniscono indicazioni a vari livelli di dettaglio circa gli oneri aggiuntivi e la documentazione supplementare che sono richiesti da ciascun livello di garanzia per la valutazione. Tali indicazioni costituiscono una base di riferimento per giudicare l'opportunità del ricorso al processo di valutazione, e possono, successivamente, risultare utili per orientare la scelta verso Pag 8/171

9 uno specifico livello di garanzia Utenti finali di prodotti e/o sistemi IT Gli utenti finali di prodotti e/o sistemi IT potranno trovare utili le informazioni in quanto le parti introduttive dei paragrafi relativi agli EAL e alle attività di valutazione forniscono indicazioni volte a facilitare la comprensione del significato e della portata delle garanzie offerte da una valutazione ai livelli compresi tra EAL1 e EAL4, e comprendono anche una descrizione ad alto livello delle operazioni di analisi da cui derivano tali garanzie Struttura e organizzazione della Linea Guida Gli argomenti affrontati sono stati esposti impiegando una struttura e un'organizzazione logica del documento che ricalcano, per quanto possibile, quelle adottate da [CEM2] in modo da: facilitare la consultazione del documento stesso da parte del personale direttamente responsabile della valutazione di un ODV (e del relativo Traguardo di Sicurezza) o di un Profilo di Protezione; fornire agli altri possibili destinatari che sono state individuate nel paragrafo precedente uno strumento di supporto per la consultazione del CEM stesso Il secondo capitolo affronta l'argomento della valutazione di un Profilo di Protezione, che richiede l'applicazione della classe di garanzia APE. Tale argomento viene inizialmente introdotto richiamando gli obiettivi dell'attività di valutazione di un PP, e fornendo l'elenco completo dei compiti e delle sottoattività che devono essere svolti per raggiungere questi obiettivi. Successivamente, la discussione si sposta su un piano più specifico, indicando gli obiettivi di ogni sottoattività e introducendo le relative azioni e unità di lavoro. Il terzo capitolo affronta l'argomento della valutazione di un Traguardo di Sicurezza, che richiede l'applicazione della classe di garanzia ASE. L'argomento viene inizialmente affrontato richiamando gli obiettivi dell'attività di valutazione di un TDS, e fornendo l'elenco completo dei compiti e delle sottoattività che devono essere svolti per raggiungere questo obiettivo. Successivamente, la discussione si sposta su un piano più specifico, discutendo gli obiettivi di ogni sottoattività e introducendo le relative azioni e unità di lavoro. 220 I capitoli successivi (dal quarto al settimo) sono dedicati alla discussione del minimo sforzo che è richiesto per condurre la valutazione di un ODV, applicando i requisiti di garanzia contenuti nei livelli di garanzia per la valutazione che vanno da EAL1 a EAL4. In particolare, dopo aver svolto una breve discussione introduttiva, viene fornito l'elenco completo del materiale per la valutazione che deve essere messo a disposizione dal Fornitore, e sono elencati i compiti e le attività che devono essere svolti per condurre la valutazione. Ciascuna delle attività indicate viene poi Pag 9/171

10 225 discussa in un paragrafo a parte. In particolare: il quarto capitolo prende in esame il livello di garanzia per la valutazione EAL1; il quinto capitolo prende in esame il livello di garanzia per la valutazione EAL2; il sesto capitolo prende in esame il livello di garanzia per la valutazione EAL3; il settimo capitolo prende in esame il livello di garanzia per la valutazione EAL Convenzioni adottate In questo paragrafo sono descritte le convenzioni che sono state adottate nel presente documento, operando una distinzione tra le convenzioni che riguardano la terminologia impiegata, e le convenzioni di carattere tipografico Terminologia Coerentemente con la terminologia adottata in [CEM2], in questo documento vengono descritti le attività, sottoattività, azioni, unità di lavoro e compiti o sottocompiti richiesti per svolgere una valutazione secondo lo standard Common Criteria [CCI1,2,3]: il termine attività è utilizzato per descrivere l'applicazione di una classe di garanzia dei Common Criteria [CCI3]; il termine sottoattività è utilizzato per descrivere l'applicazione di un componente di garanzia dei Common Criteria [CCI3]. Si osservi che in [CEM2] non viene introdotto un concetto corrispondente a quello di famiglia di garanzia presente nei Common Criteria perchè la valutazione viene condotta su un singolo componente per ogni famiglia di garanzia e, quindi, risulta più immediato il riferimento diretto ai componenti; il termine azione (così come introdotto nel [CEM2]) è utilizzato per descrivere l'applicazione di un elemento di garanzia dei Common Criteria [CCI3]. Un'azione, in particolare, può: a) derivare in modo esplicito da un elemento di azione del Valutatore (evaluator action element) presente in [CCI3], come esemplificato dall'azione 3 di fig.1; b) derivare in modo esplicito dagli elementi che esprimono requisiti sul contenuto e sulla presentazione delle prove (content and presentation of evidence elements) presenti in [CCI3], come esemplificato dall'azione 2 di fig. 1; c) derivare in modo implicito da un elemento di azione del Fornitore (developer action element) presente in [CCI3], come esemplificato dall'azione 1 di fig.1; ogni azione, a sua volta, prevede lo svolgimento di una o più unità di lavoro (UL), che costituiscono il livello di descrizione più dettagliato dell'attività di valutazione. In fig.1, in particolare, è mostrato come le unità di lavoro implicate dai requisiti sul contenuto e sulla presentazione delle prove (individuate dalle linee trattegiate che partono dagli elementi di contenuto e presentazione) siano raggruppate in una singola azione riconducibile a un singolo elemento d'azione del Valutatore (da cui partono le linee a tratto pieno). Quindi, con riferimento alla figura, pur essendo le relazioni individuate dalle linee tratteggiate tra Pag 10/171

11 265 elementi di contenuto e presentazione ->azione#2 di tipo esplicito, tutte le unità di lavoro presenti nell'azione sono sempre riconducibili direttamente ad un unico elemento di azione del Valutatore. Si osservi, inoltre, che gli elementi di azione del Fornitore non danno necessariamente luogo ad azioni del Valutatore, come mostrato in fig.1. CC parte 3 Elemento di Elemento azione di del azione del Fornitore 2 Fornitore 1 Elemento di contenuto Elemento di contenuto Elemento di contenuto e presentazione e presentazione delle delle e presentazione delle prove #2 prove #3 prove #1 Elemento di azione Elemento del di azione Valutatore #2 del Valutatore #1 CEM UL #1 Azione #1 UL #2 UL #3 UL #4 Azione #2 UL #5 UL #6 UL #7 UL #8 Azione #3 UL #9 Azione del Valutatore implicata da un elemento di azione del Fornitore Azione del Valutatore derivata in modo esplicito dagli elementi di contenuto e presentazione delle prove Azione del Valutatore derivata in modo esplicito da un elemento di azione del Valutatore Fig.1 Determinazione delle Azioni del Valutatore a partire dagli elementi di garanzia Ogni unità di lavoro viene identificata, in [CEM2] e nel presente documento, mediante una sigla, che è caratterizzata dalla seguente struttura: <cifra>:<nome abbreviato del componente di garanzia>-<numero d'ordine>, (ad esempio, 4:AVA_VLA.2-5) ove: a) <cifra> indica il livello di garanzia per la valutazione (EAL) che richiede lo svolgimento dell'unità di lavoro in oggetto (nell'esempio, EAL4); b) <nome abbreviato del componente di garanzia> identifica, mediante il nome abbreviato, il componente di garanzia da cui deriva l'unità di lavoro (nell'esempio, AVA_VLA.2); c) <numero d'ordine> indica il numero d'ordine dell'unità di lavoro nell'ambito della sottoattività di appartenenza (nell'esempio, 5). il termine compito o sottocompito è utilizzato per indicare un onere che è connesso allo svolgimento del processo di valutazione, che deriva da prescrizioni specifiche della metodologia CEM, e non direttamente da requisiti definiti dallo standard dei Common Criteria. La fig.2 riassume in forma sinottica le corrispondenze esistenti tra le strutture CEM e CC sopra descritte in dettaglio. Pag 11/171

12 CC parte 3 CEM Classe di garanzia Attività Componente di garanzia Sottoattività Elemento di garanzia Azione Unità di lavoro Unità di lavoro Unità di lavoro Fig.2 Corrispondenza tra le strutture CC e CEM. Occorre sottolineare, infine, che i verdetti emessi dal Valutatore riguardano le strutture che sono definite dai Common Criteria, e non quelle introdotte dal CEM; in particolare, l'unità elementare alla quale può essere associato un verdetto è l'elemento di garanzia che descrive, in maniera esplicita o implicita, un'azione che deve essere svolta dal Valutatore. Tale verdetto costituisce il risultato dello svolgimento della corrispondente azione descritta nel CEM, e, quindi, delle relative unità di lavoro. Il CEM definisce i tre seguenti tipi di verdetto, che sono, ovviamente, mutuamente esclusivi: un verdetto positivo indica che il Valutatore ha completato lo svolgimento di un'azione, e ha quindi determinato, mediante l'esecuzione di tutte unità di lavoro definite dal CEM, che il Profilo di Protezione, il Traguardo di Sicurezza o l'oggetto della Valutazione in esame soddisfa i requisiti specificati da un elemento di garanzia; un verdetto negativo indica che il Valutatore ha completato lo svolgimento di un'azione, e ha quindi determinato che il Profilo di Protezione, il Traguardo di Sicurezza o l'oggetto della Valutazione in esame non soddisfa i requisiti specificati da un elemento di garanzia; un verdetto in sospeso indica che il Valutatore non ha ancora completato lo svolgimento di una o più delle unità di lavoro richieste dall'esecuzione di un'azione indicata, in modo esplicito o implicito, da un elemento di garanzia. All'inizio del processo di valutazione di un Profilo di Protezione, di un Traguardo di Sicurezza o di un Oggetto della Valutazione tutti i verdetti sono, ovviamente, in sospeso, e rimangono tali fino alla formulazione di un verdetto positivo o Pag 12/171

13 negativo. Il verdetto assegnato ad una struttura di ordine gerarchico superiore è positivo se e solo se tutte le entità costituenti hanno ricevuto un verdetto positivo, e quindi: un componente di garanzia riceve un verdetto positivo se e solo se tutti gli elementi hanno ricevuto un verdetto positivo; una classe di garanzia riceve un verdetto positivo se e solo se tutti i componenti della classe che sono coinvolti nella valutazione hanno ricevuto un verdetto positivo; il verdetto complessivo per la valutazione di un Profilo di Protezione, di un Traguardo di Sicurezza o di un Oggetto della Valutazione è positivo se e solo se tutte le classi di garanzia che sono coinvolte nella valutazione hanno ricevuto un verdetto positivo. In fig.3 è mostrato un esempio di applicazione delle regole di assegnazione di un verdetto. Risultato della valutazione Negativo Classe di garanzia Negativo Componente di garanzia Negativo Elemento di azione del Valutatore Negativo Elemento di azione del Valutatore Positivo Elemento di azione del Valutatore Sospeso Fig.3 Esempio di regola di assegnazione dei verdetti Convenzioni tipografiche Nel seguito del documento sono state evidenziate mediante l'impiego del carattere grassetto le differenze, rispetto al livello di garanzia immediatamente inferiore, riguardanti: gli obiettivi generali e le operazioni di analisi che caratterizzano ogni EAL; gli elenchi del materiale per la valutazione e delle attività che devono essere svolte per ogni EAL; Pag 13/171

14 325 gli obiettivi generali, le operazioni di analisi e le sottoattività che caratterizzano ogni attività; gli obiettivi generali che caratterizzano ogni sottoattività e l'elenco del materiale per la valutazione richiesto da queste ultime le differenze. Le parole chiave utilizzate dalle forme verbali della frase principale che fa parte della definizione delle unità di lavoro sono state evidenziate, coerentemente con quanto fatto nel CEM, mediante l'impiego del carattere grassetto e dello stile corsivo. Pag 14/171

15 Valutazione di un Profilo di Protezione Questo capitolo descrive gli obiettivi generali dell'attività di valutazione di un Profilo di Protezione, e fornisce indicazioni dettagliate circa le sottoattività, le azioni e le unità di lavoro che devono essere svolte nel corso di tale attività. Si ricorda che i requisiti di garanzia e la metodologia per la valutazione di un Profilo di Protezione sono definiti in modo completamente indipendente dal livello di garanzia per la valutazione o dallo specifico pacchetto di requisiti di garanzia a cui il Profilo di Protezione stesso fa riferimento. Un Profilo di Protezione è un documento che descrive le caratteristiche di sicurezza di una tipologia di prodotti o sistemi IT, e, come tale, ha il compito di identificare i requisiti di sicurezza IT che, sotto le ipotesi formulate, permettono di contrastare le minacce che sono state individuate nell'ambiente operativo previsto e di attuare le politiche di sicurezza dell'organizzazione. La valutazione di un Profilo di Protezione si prefigge gli obiettivi di determinare se quest'ultimo documento: è completo, in quanto i requisiti di sicurezza descritti contrastano ciascuna minaccia e attuano ciascuna politica di sicurezza dell'organizzazione; è sufficiente, in quanto i requisiti di sicurezza IT sono adeguati a contrastare le minacce e a attuare le politiche di sicurezza dell'organizzazione; è robusto, nel senso che il Profilo di Protezione stesso deve essere internamente congruente Obiettivi L'obiettivo di questo capitolo è quello di definire le azioni di valutazione richieste per valutare un Profilo di Protezione (PP), e di fornire indicazioni sulle procedure e sui metodi per effettuare la valutazione stessa Materiale per la valutazione Di seguito viene riportato l'elenco di tutto il materiale richiesto per la valutazione di un Profilo di Protezione: Italiano Profilo di Protezione (PP) Protection Profile (PP) Inglese Sottoattività e compiti nella valutazione di un Profilo di Protezione L'attività di valutazione di un Profilo di Protezione (classe APE) richiede lo svolgimento dei seguenti compiti e sottoattività: c) compito relativo alla fase iniziale della valutazione (come descritto nel capitolo 2 di [CEM2]); d) sottoattività di valutazione di un Profilo di Protezione: d.1) sottoattività di valutazione dell'introduzione del Profilo di Protezione; d.2) sottoattività di valutazione della descrizione dell'odv; d.3) sottoattività di valutazione dell'ambiente di sicurezza; Pag 15/171

16 d.4) sottoattività di valutazione degli obiettivi di sicurezza; d.5) sottoattività di valutazione dei requisiti di sicurezza IT; d.6) (ove richiesto) sottoattività di valutazione dei requisiti di sicurezza IT definiti in modo esplicito. Tale sottoattività deve, ovviamente, essere svolta solo nel caso in cui il Profilo di Protezione in oggetto contenga effettivamente uno o più requisiti di sicurezza che sono definiti in modo esplicito. e) compito relativo alla fase finale della valutazione (come descritto nel capitolo 2 di [CEM2]). Nei paragrafi seguenti sono descritte le sottoattività di valutazione di un PP, in ordine alfabetico di famiglia Sottoattività di valutazione della descrizione dell'odv Le informazioni contenute nella descrizione dell'odv devono facilitare la comprensione dei requisiti di sicurezza dell'odv stesso, indicando lo scopo e le funzionalità di quest'ultimo. La sottoattività di valutazione della descrizione dell'odv (APE_DES.1) si prefigge l'obiettivo di determinare se la descrizione stessa è: coerente; internamente congruente; congruente con le altre sezioni del Profilo di Protezione. Il materiale per la valutazione che deve essere impiegato nel corso di tale sottoattività comprende: a) il Profilo di Protezione. Di seguito sono riportate, per le varie azioni richieste dalla sottoattività, le tabelle di corrispondenza tra la versione in lingua inglese e quella italiana delle unità di lavoro previste. 385 APE_DES.1.1E: Il Valutatore deve confermare che l'informazione fornita soddisfi tutti i requisiti relativi al contenuto e alla presentazione delle prove. APE_DES.1-1 Il Valutatore deve esaminare la descrizione dell'odv allo scopo di determinare se descrive la categoria di prodotti o sistemi di cui l'odv fa parte. APE_DES.1-2 Il Valutatore deve esaminare la descrizione dell'odv allo scopo di determinare se descrive in termini generali le caratteristiche IT dell'odv. APE_DES.1-1 The evaluator shall examine the TOE description to determine that it describes the product or system type of the TOE. APE_DES.1-2 The evaluator shall examine the TOE description to determine that it describes the IT features of the TOE in general terms. APE_DES.1.2E: Il Valutatore deve confermare che la descrizione dell'odv sia coerente e internamente congruente. APE_DES.1-3 Il Valutatore deve esaminare il PP allo scopo di determinare se la descrizione dell'odv è coerente. APE_DES.1-4 Il Valutatore deve esaminare il PP allo scopo di determinare se la descrizione dell'odv è internamente congruente. APE_DES.1-3 The evaluator shall examine the PP to determine that the TOE description is coherent. APE_DES.1-4 The evaluator shall examine the PP to determine that the TOE description is internally consistent. Pag 16/171

17 390 APE_DES.1.3E: Il Valutatore deve confermare che la descrizione dell'odv sia congruente con le altre parti del PP. APE_DES.1-5 Il Valutatore deve esaminare il PP allo scopo di determinare se la descrizione dell'odv è congruente con le altre parti del PP stesso. APE_DES.1-5 The evaluator shall examine the PP to determine that the TOE description is consistent with the other parts of the PP Sottoattività di valutazione dell'ambiente di sicurezza La sottoattività di valutazione dell'ambiente di sicurezza (APE_ENV.1) si prefigge l'obiettivo di determinare se la dichiarazione dell'ambiente di sicurezza definisce in modo chiaro e congruente il problema di sicurezza che deve essere affrontato dall'odv e dall'ambiente di quest'ultimo. Il materiale per la valutazione che deve essere impiegato nel corso di tale sottoattività comprende: a) il Profilo di Protezione. Di seguito sono riportate le unità di lavoro per le varie azioni richieste dalla sottoattività. 400 APE_ENV.1.1E: Il Valutatore deve confermare che l'informazione fornita soddisfi tutti i requisiti relativi al contenuto e alla presentazione delle prove. APE_ENV.1-1 Il Valutatore deve esaminare la dichiarazione dell'ambiente di sicurezza dell'odv allo scopo di determinare se identifica e spiega ciascuna ipotesi. APE_ENV.1-2 Il Valutatore deve esaminare la dichiarazione dell'ambiente di sicurezza dell'odv allo scopo di determinare se identifica e spiega ciascuna minaccia. APE_ENV.1-3 Il Valutatore deve esaminare la dichiarazione dell'ambiente di sicurezza dell'odv allo scopo di determinare se identifica e spiega ogni politica di sicurezza dell'organizzazione. APE_ENV.1-1 The evaluator shall examine the statement of TOE security environment to determine that it identifies and explains any assumptions. APE_ENV.1-2 The evaluator shall examine the statement of TOE security environment to determine that it identifies and explains any threats. APE_ENV.1-3 The evaluator shall examine the statement of TOE security environment to determine that it identifies and explains any organisational security policies. APE_ENV.1.2E: Il Valutatore deve confermare che la dichiarazione sull'ambiente di sicurezza dell'odv sia coerente e internamente congruente. APE_ENV.1-4 Il Valutatore deve esaminare la dichiarazione dell'ambiente di sicurezza dell'odv allo scopo di determinare se è coerente. APE_ENV.1-5 Il Valutatore deve esaminare la dichiarazione dell'ambiente di sicurezza dell'odv allo scopo di determinare se è internamente congruente. APE_ENV.1-4 The evaluator shall examine the statement of TOE security environment to determine that it is coherent. APE_ENV.1-5 The evaluator shall examine the statement of TOE security environment to determine that it is internally consistent Sottoattività di valutazione dell'introduzione del Profilo di Protezione La sottoattività di valutazione dell'introduzione del Profilo di Protezione (APE_INT.1) si prefigge l'obiettivo di determinare se l'introduzione stessa: è completa; è congruente con le altre sezioni del Profilo di Protezione; fornisce le informazioni che sono necessarie per identificare in modo corretto il Profilo di Pag 17/171

18 410 Protezione stesso. Il materiale per la valutazione che deve essere impiegato nel corso di tale sottoattività comprende: a) il Profilo di Protezione. Di seguito sono riportate le unità di lavoro per le varie azioni richieste dalla sottoattività. 415 APE_INT.1.1E: Il Valutatore deve confermare che l'informazione fornita soddisfi tutti i requisiti relativi al contenuto e alla presentazione delle prove. APE_INT.1-1 Il Valutatore deve controllare se l'introduzione del PP fornisce le informazioni necessarie a identificare, catalogare e registrare il PP e a fare riferimento a quest'ultimo. APE_INT.1-2 Il Valutatore deve controllare se l'introduzione del PP passa in rassegna, utilizzando uno stile descrittivo, il contenuto del PP stesso. APE_INT.1-1 The evaluator shall check that the PP introduction provides PP identification information necessary to identify, catalogue, register and cross reference the PP. APE_INT.1-2 The evaluator shall check that the PP introduction provides a PP overview in narrative form. APE_INT.1.2E: Il Valutatore deve confermare che l'introduzione del PP sia coerente e iternamente congruente. ASE_INT.1-3 Il Valutatore deve esaminare l'introduzione del PP allo scopo di determinare se è coerente. ASE_INT.1-4 Il Valutatore deve esaminare l'introduzione del PP allo scopo di determinare se è internamente congruente. ASE_INT.1-3 The evaluator shall examine the PP introduction to determine that it is coherent. ASE_INT.1-4 The evaluator shall examine the PP introduction to determine that it is internally consistent. APE_INT.1.3E: Il Valutatore deve confermare che l'introduzione del PP sia congruente con le altre parti del PP. ASE_INT.1-5 Il Valutatore deve esaminare il PP, allo scopo di determinare se l'introduzione di quest'ultimo è congruente con le altre parti del PP stesso. ASE_INT.1-5 The evaluator shall examine the PP to determine that the PP introduction is consistent with the other parts of the PP Sottoattività di valutazione degli obiettivi di sicurezza L'individuazione degli obiettivi di sicurezza costituisce la formulazione più astratta della risposta fornita dall'odv allo specifico problema di sicurezza in esame, e suddivide la responsabilità di realizzare tale risposta tra l'odv e l'ambiente di quest'ultimo. La sottoattività di valutazione degli obiettivi di sicurezza (APE_OBJ.1) si prefigge di: determinare se la descrizione degli obiettivi di sicurezza per l'odv e per l'ambiente di quest'ultimo è completa e congruente; determinare se gli obiettivi di sicurezza per l'odv e per l'ambiente di quest'ultimo: a) contrastano le minacce che sono state identificate; b) realizzano le politiche di sicurezza dell'organizzazione; c) sono congruenti con le ipotesi formulate. Pag 18/171

19 Il materiale per la valutazione che deve essere impiegato nel corso di tale sottoattività comprende: a) il Profilo di Protezione. Di seguito sono riportate le unità di lavoro per le varie azioni richieste dalla sottoattività. 435 APE_OBJ.1.1E: Il Valutatore deve confermare che l'informazione fornita soddisfi tutti i requisiti relativi al contenuto e alla presentazione delle prove. APE_OBJ.1-1 Il Valutatore deve controllare se la dichiarazione degli obiettivi di sicurezza definisce gli obiettivi di sicurezza per l'odv e per l'ambiente operativo di quest'ultimo. APE_OBJ.1-2 Il Valutatore deve esaminare le motivazioni degli obiettivi di sicurezza allo scopo di determinare se tutti gli obiettivi di sicurezza per l'odv sono ricondotti a un aspetto delle minacce che devono essere contrastate dall'odv, e/o a un aspetto delle politiche di sicurezza dell'organizzazione che devono essere rispettate dall'odv. APE_OBJ.1-3 Il Valutatore deve esaminare le motivazioni degli obiettivi di sicurezza allo scopo di determinare se gli obiettivi di sicurezza per l'ambiente sono ricondotti a un aspetto delle minacce che devono essere contrastate dall'ambiente dell'odv, e/o a un aspetto delle politiche di sicurezza dell'organizzazione che devono essere rispettate dall' ambiente dell'odv, e/o a un aspetto delle ipotesi che devono essere verificate circa l'ambiente dell'odv. APE_OBJ.1-4 Il Valutatore deve esaminare le motivazioni degli obiettivi di sicurezza allo scopo di determinare se queste forniscono, per ogni minaccia, una giustificazione adeguata del fatto che gli obiettivi di sicurezza sono adeguati a contrastare la minaccia stessa. APE_OBJ.1-5 Il Valutatore deve esaminare le motivazioni degli obiettivi di sicurezza allo scopo di determinare se queste forniscono, per ogni politica di sicurezza dell'organizzazione, una giustificazione adeguata del fatto che gli obiettivi di sicurezza sono adeguati a coprire la politica di sicurezza stessa. APE_OBJ.1-6 Il Valutatore deve esaminare le motivazioni degli obiettivi di sicurezza allo scopo di determinare se queste forniscono, per ogni ipotesi, una giustificazione adeguata del fatto che gli obiettivi di sicurezza sono adeguati a coprire l'ipotesi stessa. APE_OBJ.1-1 The evaluator shall check that the statement of security objectives defines the security objectives for the TOE and its environment. APE_OBJ.1-2 The evaluator shall examine the security objectives rationale to determine that all security objectives for the TOE are traced back to aspects of the identified threats to be countered and/or aspects of the organisational security policies to be met by the TOE. APE_OBJ.1-3 The evaluator shall examine the security objectives rationale to determine that the security objectives for the environment are traced back to aspects of the identified threats to be countered by the TOE s environment and/or aspects of the organisational security policies to be met by the TOE s environment and/or assumptions to be met in the TOE s environment. APE_OBJ.1-4 The evaluator shall examine the security objectives rationale to determine that for each threat it contains an appropriate justification that the security objectives are suitable to counter that threat. APE_OBJ.1-5 The evaluator shall examine the security objectives rationale to determine that for each organisational security policy it contains an appropriate justification that the security objectives are suitable to cover that organisational security policy. APE_OBJ.1-6 The evaluator shall examine the security objectives rationale to determine that for each assumption it contains an appropriate justification that the security objectives for the environment are suitable to cover that assumption. Pag 19/171

20 APE_OBJ.1.2E: Il Valutatore deve confermare che la dichiarazione degli obiettivi di sicurezza sia completa, coerente ed internamente congruente. APE_OBJ.1-7 Il Valutatore deve esaminare la dichiarazione degli obiettivi di sicurezza allo scopo di determinare se è coerente. APE_OBJ.1-8 Il Valutatore deve esaminare la dichiarazione degli obiettivi di sicurezza allo scopo di determinare se è completa. APE_OBJ.1-9 Il Valutatore deve esaminare la dichiarazione degli obiettivi di sicurezza allo scopo di determinare se è internamente congruente. APE_OBJ.1-7 The evaluator shall examine the statement of security objectives to determine that it is coherent. APE_OBJ.1-8 The evaluator shall examine the statement of security objectives to determine that it is complete. APE_OBJ.1-9 The evaluator shall examine the statement of security objectives to determine that it is internally consistent Sottoattività di valutazione dei requisiti di sicurezza IT L'espressione requisiti di sicurezza IT è utilizzata per indicare: i requisiti di sicurezza per l'odv, che possono essere suddivisi in requisiti funzionali di sicurezza per l'odv e in requisiti di garanzia per l'odv; gli eventuali requisiti di sicurezza per l'ambiente IT. La sottoattività di valutazione dei requisiti di sicurezza IT (APE_REQ.1) riguarda sia i requisiti che sono stati espressi mediante i componenti funzionali e i componenti di garanzia definiti, rispettivamente, nella seconda e nella terza parte dello standard dei Common Criteria, sia gli eventuali requisiti di sicurezza IT che sono stati definiti in modo esplicito 2 ; la valutazione degli eventuali requisiti che appartengono a quest'ultima categoria, inoltre, deve essere integrata mediante lo svolgimento delle azioni e delle unità di lavoro aggiuntive che sono specificate dalla sottoattività di valutazione dei requisiti di sicurezza IT definiti in modo esplicito. La sottoattività di valutazione dei requisiti di sicurezza IT si prefigge l'obiettivo di determinare se i requisiti di sicurezza IT: sono descritti in modo completo; costituiscono un insieme internamente congruente; possono essere utilizzati come base di partenza per lo sviluppo di un ODV che sia in grado di raggiungere gli obiettivi di sicurezza prefissati. Il materiale per la valutazione che deve essere impiegato nel corso di tale sottoattività comprende: a) il Profilo di Protezione. Di seguito sono riportate le unità di lavoro per le varie azioni richieste dalla sottoattività. 2 La dicitura in modo esplicito deriva dall'inglese explicitly stated. Con questa espressione si intende indicare i requisiti di sicurezza espressi in modo autonomo da chi ha prodotto la documentazione, senza, quindi, fare riferimento ad un requisito previsto nel catalogo dei componenti. Pag 20/171

21 APE_REQ.1.1E: Il Valutatore deve confermare che l'informazione fornita soddisfi tutti i requisiti relativi al contenuto e alla presentazione delle prove. APE_REQ.1-1 Il Valutatore deve controllare la dichiarazione dei requisiti funzionali di sicurezza per l'odv, allo scopo di determinare se identifica i requisiti funzionali di sicurezza per l'odv espressi impiegando i componenti funzionali contenuti nella seconda parte dei Common Criteria 3. APE_REQ.1-2 Il Valutatore deve controllare che ogni riferimento ai componenti che esprimono i requisiti funzionali di sicurezza per l'odv sia corretto. APE_REQ.1-3 Il Valutatore deve controllare che ogni componente funzionale di sicurezza per l'odv tratto dalla seconda parte dei Common Criteria ed espresso nel PP sia stato riprodotto in modo corretto. APE_REQ.1-4 Il Valutatore deve controllare la dichiarazione dei requisiti di garanzia per l'odv allo scopo di determinare se identifica i requisiti di garanzia per l'odv che sono stati espressi impiegando i componenti di garanzia contenuti nella terza parte dei Common Criteria 4. APE_REQ.1-5 Il Valutatore deve controllare che ogni riferimento ai componenti di garanzia per l'odv sia corretto. APE_REQ.1-6 Il Valutatore deve controllare che, per ogni requisito di garanzia che è stato espresso nel PP utilizzando un componente di garanzia contenuto nella terza parte dei Common Criteria, il componente di garanzia stesso sia stato riprodotto in modo corretto. APE_REQ.1-7 Il Valutatore deve esaminare la dichiarazione dei requisiti di garanzia per l'odv allo scopo di determinare se include uno degli EAL definiti nella terza parte dei Common Criteria, oppure giustifica in modo adeguato la mancata inclusione di uno degli EAL. APE_REQ.1-8 Il Valutatore deve esaminare le motivazioni dei requisiti di sicurezza allo scopo di determinare se giustificano a sufficienza l'adeguatezza della dichiarazione dei requisiti di garanzia per l'odv. APE_REQ.1-9 Il Valutatore deve controllare che, ove necessario, siano stati identificati i requisiti di sicurezza per l'ambiente IT. APE_REQ.1-10 Il Valutatore deve controllare che siano state identificate tutte le operazioni che sono state eseguite in modo completo sui requisiti di sicurezza IT. APE_REQ.1-1 The evaluator shall check the statement of TOE security functional requirements to determine that it identifies the TOE security functional requirements drawn from CC Part 2 functional requirements components. APE_REQ.1-2 The evaluator shall check that each reference to a TOE security functional requirement component is correct. APE_REQ.1-3 The evaluator shall check that each TOE security functional requirement component that was drawn from Part 2 that was reproduced in the PP, is correctly reproduced. APE_REQ.1-4 The evaluator shall check the statement of TOE security assurance requirements to determine that it identifies the TOE security assurance requirements drawn from CC Part 3 assurance requirements components. APE_REQ.1-5 The evaluator shall check that each reference to a TOE security assurance requirement component is correct. APE_REQ.1-6 The evaluator shall check that each TOE security assurance requirement component that was drawn from Part 3 that was reproduced in the PP, is correctly reproduced. APE_REQ.1-7 The evaluator shall examine the statement of TOE security assurance requirements to determine that either it includes an EAL as defined in CC Part 3 or appropriately justifies that it does not include an EAL. APE_REQ.1-8 The evaluator shall examine the security requirements rationale to determine that it sufficiently justifies that the statement of TOE security assurance requirements is appropriate. APE_REQ.1-9 The evaluator shall check that security requirements for the IT environment are identified, if appropriate. APE_REQ.1-10 The evaluator shall check that all completed operations on IT security requirements are identified. 3 L'espressione inglese functional requirements components viene tradotta in italiano semplicemente come componenti funzionali. 4 L'espressione inglese assurance requirements components viene tradotta in italiano semplicemente come componenti di garanzia. Pag 21/171