Lo Schema nazionale di valutazione e certificazione della sicurezza ICT Forum PA - maggio 2011
Sommario Descrizione dello Schema Procedura di accreditamento dei laboratori Processo di certificazione Procedura di accertamento dei dispositivi di firma elettronica 2
Gli Schemi italiani Ministero dello Sviluppo Economico Presidenza del Consiglio OCSI OCSI DIS (ex ANS) DIS Laboratori di Valutazione per la Sicurezza (LVS) LVS Ce.Va. Centri di Valutazione (Ce.Va.) Prodotti/sistemi IT commerciali (informazioni non classificate) Prodotti/sistemi IT (informazioni classificate) 3
Istituzione dello Schema Lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell'informazione è stato istituito con un DPCM del 30 ottobre 2003 (G. U. n. 98 del 27 aprile 2004) L Organismo di Certificazione della Sicurezza Informatica (OCSI) è l'iscom (Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione) del Ministero dello Sviluppo Ecnomico (MiSE) Dipartimento per le Comunicazioni Alle attività dell OCSI collaborano gli esperti della Fondazione Ugo Bordoni (FUB), istituzione di Alta Cultura e Ricerca sottoposta alla vigilanza del MiSE 4
Finalità dello Schema Insieme delle procedure e regole necessarie per la valutazione e certificazione in conformità agli standard internazionali ISO/IEC 15408 (Common Criteria) e ai criteri europei ITSEC Possono essere valutati sistemi, prodotti o Profili di Protezione (documenti che descrivono le caratteristiche di sicurezza comuni a categorie di prodotti similari, ad es. sistemi operativi, database, firewall, ecc.) 5
Ruoli Organismo di Certificazione (OCSI) Committente Fornitore Laboratorio per la Valutazione della Sicurezza (LVS) Assistente 6
Committente E il soggetto che paga la valutazione e sceglie l LVS Può coincidere con il Fornitore Fa da punto di contatto tra LVS e Fornitore Fornisce all LVS il materiale per la valutazione 7
Fornitore Fornisce l ODV Fornisce la documentazione al Committente Dà supporto al Committente nel corso della valutazione Risolve eventuali problemi segnalati nei Rapporti di Osservazione 8
Laboratorio per la Valutazione della Sicurezza (LVS) Un LVS è accreditato dall OCSI Il personale di un LVS può: Svolgere la valutazione di PP o ODV Fornire assistenza al Committente per: Stesura di documentazione Verifica della valutabilità di un PP/ODV Mantenimento di un Certificato Un Valutatore che svolge assistenza per un ODV non può partecipare alla valutazione dell ODV stesso 9
Organismo di Certificazione (1/3) OCSI è il certificatore unico in ambito commerciale (DIS, ex ANS, ricopre lo stesso ruolo limitatamente a prodotti e sistemi che trattano informazioni classificate) OCSI fornisce garanzia quale terza parte tra Committente e LVS 10
Organismo di Certificazione (2/3) Predisposizione di regole tecniche in materia di certificazione Coordinamento delle attività nell ambito dello Schema Accreditamento del laboratori di valutazione Ammissione e iscrizione delle valutazioni Approvazione dei Rapporti Finali di Valutazione 11
Organismo di Certificazione (3/3) Emissione dei Certificati e dei Rapporti di Certificazione Revoca dei Certificati inficiati dalla comparsa di nuove vulnerabilità Formazione e addestramento Partecipazione ad attività internazionali (CCRA, SOGIS) Accertamento di conformità dei Dispositivi di Firma Elettronica 12
Linee Guida Provvisorie (LGP) LGP1: LGP2: LGP3: LGP4: LGP5: LGP6: LGP7: Descrizione generale dello Schema nazionale Accreditamento LVS e abilitazione Assistenti Procedure di valutazione Attività di valutazione secondo i Common Criteria Il Piano di Valutazione: indicazioni generali Guida alla scrittura di PP e TDS Glossario e terminologia di riferimento 13
Relazioni internazionali Partecipazione al CCRA (Common Criteria Recognition Arrangement) Riunioni periodiche e conferenze annuali 8ICCC ospitata a Roma, 25-27 settembre 2007 L Italia ha firmato il CCRA a Maggio 2000 e ottenuto il Ruolo Authorizing nel 2009 Partecipazione al SOGIS-MRA (accordo di mutuo riconoscimento in ambito europeo) v3 nuova edizione 2010 14
Mutuo riconoscimento Accordo sul mutuo riconoscimento dei certificati Common Criteria nel campo della sicurezza ICT (23 Maggio 2000) Common Criteria Recognition Arrangement www.commoncriteriaportal.org 15
Ambito dell accordo I Partecipanti convengono mutuamente di riconoscere i certificati CC, relativi a prodotti, sistemi e PP, rilasciati da un altro Partecipante autorizzato (Authorizing) (fino al livello EAL4, salvo accordi diversi) 16
Validità dei certificati Certificate Authorizing Participants Certificate Consuming Participants X 17
Partecipanti al CCRA Certificate Authorizing Participants Certificate Consuming Participants Australia - Nuova Zelanda Canada Corea del Sud Francia Germania Giappone Italia Norvegia Olanda Regno Unito Spagna Svezia Stati Uniti Turchia Austria Rep.Ceca Danimarca Finlandia Grecia India Israele Malaysia Pakistan Singapore Ungheria 18
Sommario Descrizione dello Schema Procedura di accreditamento dei laboratori Processo di certificazione Procedura di accertamento dei dispositivi di firma elettronica 19
La procedura di accreditamento L accreditamento di un LVS si svolge in tre fasi: richiesta di accreditamento test di competenza e verifiche di organizzazione rilascio dell accreditamento L LVS deve rispondere a normative internazionali (ISO17025, parte organizzativa-procedurale) 20
Durata del processo di accreditamento La durata del processo di accreditamento è stimata in circa 60 giorni dalla ricezione della domanda di accreditamento, a condizione che: il Manuale di Qualità fornito e le procedure di attuazione siano essenzialmente corretti il laboratorio possieda all atto della richiesta di accreditamento tutti i requisiti formali necessari gli impegni economici siano stati rispettati 21
Livello e costi di accreditamento Si può richiedere l accreditamento a diversi livelli di garanzia: l OCSI consiglia l accreditamento EAL4 Costo di accreditamento per LVS con 5 unità nel laboratorio: circa 3000 22
Competenze dell LVS LVS deve nel suo insieme: Conoscere le LG e le norme OCSI Conoscere i CC e ITSEC Saper operare secondo le unità di lavoro previste dalla CEM e in ITSEM Saper gestire test funzionali e di intrusione per l identificazione delle vulnerabilità Saper predisporre la documentazione di valutazione 23
Competenze dei Valutatori Nel Laboratorio devono essere presenti competenze per: l analisi e sintesi della documentazione operare sugli oggetti da valutare (sicurezza informatica, test e vulnerabilità) Due profili distinti di Valutatore: documentale e operativo 24
I Valutatori Viene riconosciuta la qualifica di Valutatore al personale tecnico la cui competenza sia stata verificata durante la procedura di accreditamento dell LVS o durante una visita ispettiva periodica La qualifica di Valutatore è valida solo ed esclusivamente all interno di un LVS 25
LVS accreditati 26
Assistente (1/2) L Assistente deve garantire L imparzialità, l indipendenza, la riservatezza e l obiettività nello svolgimento del proprio ruolo La capacità di mantenere nel tempo i requisiti in virtù dei quali è stato abilitato Requisiti Competenze generali in materia di sicurezza IT Conoscenza dei criteri (ITSEC/CC) di valutazione della sicurezza di sistemi o prodotti ICT e delle relative metodologie (ITSEM/CEM) Esperienza nelle metodologie di produzione della documentazione per la valutazione di un ODV 27
Assistente (2/2) Deve essere abilitato dall OCSI Due diversi profili: Redazione e analisi della documentazione Operatività Può fornire consulenza tecnica ad un Committente per: Stesura di documentazione Verifica della valutabilità di un PP/ODV Mantenimento di un Certificato 28
Profilo orientato alla redazione e analisi della documentazione L assistente con questo profilo ha competenze per svolgere la redazione e l analisi della documentazione inerente le attività di: Gestione della configurazione Fornitura e messa in opera Sviluppo Documentazione di utente e di amministratore Ciclo di vita dell ODV Test 29
Profilo orientato all operatività L assistente con questo profilo ha competenze per: Progettare test Verificare la configurazione dell ODV Condurre analisi di vulnerabilità Individuare vulnerabilità note Svolgere prove di intrusione 30
Abilitazione Assistenti Il candidato può decidere per uno solo o per entrambi i profili previsti I costi relativi all accreditamento sono pari a 150 per ciascun profilo fino al livello di garanzia EAL4 L esame di abilitazione ha la durata di una giornata (prova scritta e esame orale) 31
Verifiche di competenza Non è necessario frequentare preliminarmente dei corsi per ottenere accreditamenti/abilitazioni OCSI esegue verifiche di competenza differenziate per Ruolo (valutatore di un LVS o Assistente) Profilo Redazione e analisi della documentazione di valutazione Operatività Livello di valutazione LVS e Assistenti: validità 3 anni 32
Sommario Descrizione dello Schema Procedura di accreditamento dei laboratori Processo di certificazione Procedura di accertamento dei dispositivi di firma elettronica 33
Fasi del Processo di Certificazione Processo di valutazione Preparazione Conduzione Conclusione Certificazione 34
Fase di preparazione Determinare l adeguatezza per la valutazione del PP/TDS Determinare l adeguatezza per la valutazione dei materiali disponibili Produrre un PDV e un elenco dei materiali per la valutazione Verificare la consapevolezza delle parti coinvolte nella valutazione Richiedere l iscrizione della valutazione nello Schema 35
Fase di conduzione (1/2) ODV materiali criteri TDS Valutatore PDV Azioni di valutazione 36
Fase di conduzione (2/2) Materiali per la valutazione Committente Materiali per la valutazione RA, ROA, ROE Materiali per la valutazione ROA Fornitore RA, ROE NIS LVS OCSI RA, ROA, ROE, RM, ROS 37
Fase di conclusione L LVS produce il Rapporto Finale di Valutazione (RFV) e lo invia all OCSI 38
Fase di certificazione L OCSI revisiona il RFV e, in caso di valutazione positiva, redige il Rapporto di Certificazione ed emette il relativo Certificato L LVS può fornire supporto tecnico all OCSI Chiarimenti sull RFV Dimostrazioni tecniche 39
Rapporto di certificazione Riassume i risultati della valutazione Contiene commenti e raccomandazioni da parte dell OCSI Motiva l eventuale emissione di verdetti in contrasto con quelli emessi dall LVS 40
Chiusura del processo di valutazione Eventuale riunione di chiusura della valutazione Assegnazione dei materiali del processo di valutazione Archivio di base Ulteriori materiali archiviati dall LVS Ulteriori materiali archiviati dall OCSI Materiali restituiti al Committente Materiali distrutti 41
Processi di certificazione Certificati emessi 2 prodotti a livello EAL3 1 prodotto a livello EAL4 5 prodotti a livello EAL1+ In corso 1 prodotto a livello EAL2 42
Sommario Descrizione dello Schema Procedura di accreditamento dei laboratori Processo di certificazione Procedura di accertamento dei dispositivi di firma elettronica 43
Normativa internazionale Direttiva 1999/93/EC del Parlamento Europeo e del Consiglio del 13 dicembre 1999 relativa ad un quadro comunitario per le firme elettroniche Allegato III: Requisiti relativi ai dispositivi sicuri per la creazione di una firma Decisione della Commissione 2003/511/EC del 14 luglio 2003 relativa alla pubblicazione dei numeri di riferimento di norme generalmente riconosciute relative a prodotti di firma elettronica conformemente alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio 44
Normativa nazionale L affidamento all OCSI dell accertamento è specificato nel Codice dell Amministrazione Digitale, art. 35, comma 5 (DL 7/3/2005 n. 82, modificato DL 30/12/2010, n. 235) Nel D.P.C.M. 10 febbraio 2010, G.U. n. 98, 28/4/2010, è previsto che sono stabilite dall OCSI la procedura per accertare la conformità di dispositivi sicuri per l'apposizione di firme con procedure automatiche ai requisiti di sicurezza prescritti dall Allegato III della Direttiva 1999/93/CE ed un documento di supporto che ne faciliti l'applicazione 45
Ambito della procedura Dispositivi per i quali non è applicabile uno dei Protection Profile indicati nella Decisione Europea 2003/511/EC (CWA 14169, 14167) Smart-card Dispositivi per la creazione di firme elettroniche ai quali è applicabile il DPCM 10 febbraio 2010 Dispositivi di firma con procedura automatica 46
Caratteristiche della Procedura La procedura di accertamento si basa sul modello di certificazione Common Criteria e richiede: il Security Target, che descrive le caratteristiche di sicurezza del TOE (ODV) e quella del suo ambiente operativo; in particolare, gli obiettivi di sicurezza del TOE e dell ambiente devono garantire congiuntamente il soddisfacimento dei requisiti di sicurezza dell Allegato III della Direttiva il Certificato, che fornisce evidenza che una certificazione Common Criteria è stata eseguita per il dispositivo descritto nel Security Target, nell ipotesi che l ambiente operativo soddisfi gli obiettivi di sicurezza prescritti 47
Esecuzione della Procedura L OCSI esamina il materiale presentato per valutarne l adeguatezza ai fini dell accertamento di conformità Entro 6 mesi a partire dall attivazione, l OCSI emette il suo pronunciamento: se positivo rilascia l Attestato di Conformità se negativo motiva il mancato rilascio 48
Attestato di Conformità La validità dell Attestato è soggetta a opportune condizioni Si ipotizza che il dispositivo reale sia conforme a quello certificato e descritto nel Security Target Si ipotizza che l ambiente di utilizzo reale sia conforme a quello descritto nel Security Target (o meglio adeguato per gli obiettivi di sicurezza per l ambiente fissati nel Security Target) 49
Informazioni www.ocsi.isticom.it 50