Lo Schema nazionale di valutazione e certificazione della sicurezza ICT. Forum PA - maggio 2011

Documenti analoghi
Istituto Superiore delle Comunicazioni e delle Tecnologie dell informazione (ISCTI) Italian Ministry of Communication Direttore: ing.

Abstract: the Italian Certification Body in the field

Ministero dello Sviluppo Economico Comunicazioni Istituto Superiore delle Comunicazioni e Tecnologie dell Informazione

Nota Informativa dello Schema N. 2/13

Ministero dello Sviluppo Economico

G.U. 27 aprile 2004, n. 98

SAPR ORGANIZZAZIONI RICONOSCIUTE

La certificazione della sicurezza di sistemi e prodotti ICT

Attività conto terzi dell Organismo di Certificazione della Sicurezza Informatica Indicazioni economiche

Presidenza del Consiglio dei Ministri Autorità Nazionale per la Sicurezza CESIS III Reparto U.C.Si.

PROCEDURE DI AUDIT PRESSO IL TEST CENTRE

La famiglia ISO 9000: il gruppo coerente

Nota Informativa dello Schema N. 1/13

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER PROGETTISTA DI PERCORSI FORMATIVI

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS (Information Security Management Systems) AUDITOR / RESPONSABILI GRUPPO DI AUDIT

Come si diventa Organismo di Ispezione di Tipo A o C Accreditato

CERTIFICAZIONE PROFESSIONISTA DELLA SECURITY UNI 10459

Abstract: the process of the so-called "shadow

MARCONI, MONSELICE (PD) UFF FAX CELL.

Identità digitale e relativi servizi: sicurezza e verifiche sui sistemi ICT

SCHEDA REQUISITI PER IL I MODULO DEI CORSI DI FORMAZIONE PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE

Variazione tendenziale* del valore delle ESPORTAZIONI nei principali Paesi Provincia di Macerata - Serie storica trimestrale Paese

segue Dati sottoposti a rettifiche e revisioni successive. Ultimo aggiornamento su Paese

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER VALUTATORI IMMOBILIARI

Gennaio-Luglio Arrivi Presenze Arrivi Presenze Arrivi Presenze

segue Dati sottoposti a rettifiche e revisioni successive. Ultimo aggiornamento su Paese

La certificazione della sicurezza ICT

XV^ Corso di formazione per l abilitazione alle qualifiche di Ispettore Metrico ed Assistente al Servizio

CALCESTRUZZO: COME REALIZZARE E CONTROLLARE IL PROCESSO DI PRODUZIONE AUDIT DEL CONTROLLO DELLA PRODUZIONE DI FABBRICA E CHECK LIST DI VERIFICA

DECISIONE DELLA COMMISSIONE

Anno Arrivi Presenze Arrivi Presenze Arrivi Presenze

Questa pagina è lasciata intenzionalmente vuota

Comune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000

VI Forum Centri Servizi Digitali. Le firme elettroniche nel CAD La firma grafometrica Milano, 20 giugno 2013

Gennaio-Novembre 2018

Metodologia di Audit e un attestato di superamento del corso specialistico per Valutatore 3 parte Sistemi di Gestione per la Qualità.

L ISCOM e la certificazione

REGOLAMENTO PER LA CONDUZIONE DELLE ATTIVITA ISPETTIVE

Lavoratori convinti che il loro curriculum non presenti in modo adeguato le proprie competenze

Questa pagina è lasciata intenzionalmente vuota

Principi, fasi e modalità di verifica da parte di un auditor di terza parte. isnart - salvatore buscema

SCHEDA REQUISITI PER LA CERTIFICAZIONE DI AUDITOR ASSOCIATI, AUDITOR, RESPONSABILI GRUPPO DI AUDIT DI S.G.A.

Trattandosi di un semplice strumento di documentazione, esso non impegna la responsabilità delle istituzioni

Filippo Lago Adriatic District Certification Product Manager Rina Services S.p.A.

Regolamento particolare per la certificazione dei sistemi di gestione ambientale

Lunedì Martedì Mercoledì Giovedì Venerdì Sabato Domenica 1

ACCREDIA L ente italiano di accreditamento. Panoramica monitoraggio Ispettori ACCREDIA-DT

Questa pagina è lasciata intenzionalmente vuota

Accredia. Per chi sceglie la qualità.

Certificazioni & Collaudi s.r.l.

PROCEDURA Sistema di Gestione Qualità e Sicurezza AUDIT

PROCEDURA GESTIONALE. MODALITÀ DI VALUTAZIONE DEGLI INSTALLATORI PROGETTISTI VERIFICATORI NEL SETTORE FOTOVOLTAICO (rif. CEPAS SH159/SH160/SH161)

Report sulle richieste di informazioni da parte delle autorità

Statuto della Conferenza dell Aia di diritto internazionale privato. Traduzione 1. (Stato 15 agosto 2006)

Prot. DC2018SSV236 Milano, 27/08/2018

CEPAS Certification of People and Assessment of Services

Manuale del Sistema di Gestione Integrato Ambiente & Sicurezza per PMI

004 BOMBE, SILURI, RAZZI, MISSILI ED ACCESSORI 005 APPARECCHIATURE PER LA DIREZIONE DEL TIRO 010 AEROMOBILI

Il corso è stato completamente rivisto e ristrutturato in 5 giorni.

Questa pagina è lasciata intenzionalmente vuota

2 CAMPO DI APPLICAZIONE

L Ente italiano di accreditamento

L Ente Italiano di Accreditamento. Il ruolo dell accreditamento

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI S.G.Q. NEL SETTORE SANITARIO

«Decreto sugli enti di certificazione»

RACCOMANDAZIONI. (Testo rilevante ai fini del SEE) (2011/766/UE)

Questa pagina è lasciata intenzionalmente vuota

TARIFFARIO (SILVER/PLATINUM)

Cinzia Bricca Agenzia delle Dogane Milano, 26 giugno 2008

ALLEGATI. della proposta di. regolamento del Parlamento europeo e del Consiglio

TARIFFARIO (COPPER / GOLD)

CEPAS Viale di Val Fiorita, Roma Tel Fax: Sito internet:

CPRP. CODICE DEI CONTRATTI PUBBLICI D.Lgs. 50/2016. VERIFICA/VALIDAZIONE DEI PROGETTI PUBBLICI (Art. 26 D.Lgs. 50/2016)

Studio Consumer Barometer 2017

MODULO DI 5 GIORNATE, CORSO 40 ORE PER VALUTATORI DEI SISTEMI DI GESTIONE PER LA QUALITÀ

LABORATORIO di VALUTAZIONE della SICUREZZA

Seminari / Corsi / Percorsi formativi INDICE

Prot. DC2019SSV044 Milano,

Management e Certificazione della Qualità

I rischi legali connessi alle attività di certificazione

G.U. 6 giugno 2002, n. 131

Bahrein E Bangladesh E Belgio E Brasile E APPARECCHIATURE SPECIALIZZATE PER L'ADDESTRAMENTO MILITARE 0 PER LA

Redazione Approvazione Autorizzazione all emissione Entrata in vigore

PERICOLO DI ESPLOSIONE

TAVOLA MOVIMENTO CLIENTI NEGLI ESERCIZI RICETTIVI PER PAESE DI RESIDENZA, CATEGORIE E TIPOLOGIE DI ESERCIZI Anno 2015

PROCEDURA PER LA CERTIFICAZIONE DEL

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Dall analisi analisi...ad una riflessione didattica nel Secondo Ciclo di Istruzione -parte 1 -

Senato della Repubblica

SCHEMA PER L'ATTESTAZIONE DI CONFORMITÀ LEGGE 232/2016

Sistema di gestione della responsabilità sociale SR10. Procedura di gestione della responsabilità sociale PG-SR10_07.

DEKRA Testing and Certification

Certificati Qualificati. Policy per i certificati qualificati di firma digitale con limitazioni d uso e di valore

Igor Gallo 15/11/2012. Laboratori che eseguono verificazioni su strumenti MID MI-005 e MI-006: Cenni operativi

Transcript:

Lo Schema nazionale di valutazione e certificazione della sicurezza ICT Forum PA - maggio 2011

Sommario Descrizione dello Schema Procedura di accreditamento dei laboratori Processo di certificazione Procedura di accertamento dei dispositivi di firma elettronica 2

Gli Schemi italiani Ministero dello Sviluppo Economico Presidenza del Consiglio OCSI OCSI DIS (ex ANS) DIS Laboratori di Valutazione per la Sicurezza (LVS) LVS Ce.Va. Centri di Valutazione (Ce.Va.) Prodotti/sistemi IT commerciali (informazioni non classificate) Prodotti/sistemi IT (informazioni classificate) 3

Istituzione dello Schema Lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell'informazione è stato istituito con un DPCM del 30 ottobre 2003 (G. U. n. 98 del 27 aprile 2004) L Organismo di Certificazione della Sicurezza Informatica (OCSI) è l'iscom (Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione) del Ministero dello Sviluppo Ecnomico (MiSE) Dipartimento per le Comunicazioni Alle attività dell OCSI collaborano gli esperti della Fondazione Ugo Bordoni (FUB), istituzione di Alta Cultura e Ricerca sottoposta alla vigilanza del MiSE 4

Finalità dello Schema Insieme delle procedure e regole necessarie per la valutazione e certificazione in conformità agli standard internazionali ISO/IEC 15408 (Common Criteria) e ai criteri europei ITSEC Possono essere valutati sistemi, prodotti o Profili di Protezione (documenti che descrivono le caratteristiche di sicurezza comuni a categorie di prodotti similari, ad es. sistemi operativi, database, firewall, ecc.) 5

Ruoli Organismo di Certificazione (OCSI) Committente Fornitore Laboratorio per la Valutazione della Sicurezza (LVS) Assistente 6

Committente E il soggetto che paga la valutazione e sceglie l LVS Può coincidere con il Fornitore Fa da punto di contatto tra LVS e Fornitore Fornisce all LVS il materiale per la valutazione 7

Fornitore Fornisce l ODV Fornisce la documentazione al Committente Dà supporto al Committente nel corso della valutazione Risolve eventuali problemi segnalati nei Rapporti di Osservazione 8

Laboratorio per la Valutazione della Sicurezza (LVS) Un LVS è accreditato dall OCSI Il personale di un LVS può: Svolgere la valutazione di PP o ODV Fornire assistenza al Committente per: Stesura di documentazione Verifica della valutabilità di un PP/ODV Mantenimento di un Certificato Un Valutatore che svolge assistenza per un ODV non può partecipare alla valutazione dell ODV stesso 9

Organismo di Certificazione (1/3) OCSI è il certificatore unico in ambito commerciale (DIS, ex ANS, ricopre lo stesso ruolo limitatamente a prodotti e sistemi che trattano informazioni classificate) OCSI fornisce garanzia quale terza parte tra Committente e LVS 10

Organismo di Certificazione (2/3) Predisposizione di regole tecniche in materia di certificazione Coordinamento delle attività nell ambito dello Schema Accreditamento del laboratori di valutazione Ammissione e iscrizione delle valutazioni Approvazione dei Rapporti Finali di Valutazione 11

Organismo di Certificazione (3/3) Emissione dei Certificati e dei Rapporti di Certificazione Revoca dei Certificati inficiati dalla comparsa di nuove vulnerabilità Formazione e addestramento Partecipazione ad attività internazionali (CCRA, SOGIS) Accertamento di conformità dei Dispositivi di Firma Elettronica 12

Linee Guida Provvisorie (LGP) LGP1: LGP2: LGP3: LGP4: LGP5: LGP6: LGP7: Descrizione generale dello Schema nazionale Accreditamento LVS e abilitazione Assistenti Procedure di valutazione Attività di valutazione secondo i Common Criteria Il Piano di Valutazione: indicazioni generali Guida alla scrittura di PP e TDS Glossario e terminologia di riferimento 13

Relazioni internazionali Partecipazione al CCRA (Common Criteria Recognition Arrangement) Riunioni periodiche e conferenze annuali 8ICCC ospitata a Roma, 25-27 settembre 2007 L Italia ha firmato il CCRA a Maggio 2000 e ottenuto il Ruolo Authorizing nel 2009 Partecipazione al SOGIS-MRA (accordo di mutuo riconoscimento in ambito europeo) v3 nuova edizione 2010 14

Mutuo riconoscimento Accordo sul mutuo riconoscimento dei certificati Common Criteria nel campo della sicurezza ICT (23 Maggio 2000) Common Criteria Recognition Arrangement www.commoncriteriaportal.org 15

Ambito dell accordo I Partecipanti convengono mutuamente di riconoscere i certificati CC, relativi a prodotti, sistemi e PP, rilasciati da un altro Partecipante autorizzato (Authorizing) (fino al livello EAL4, salvo accordi diversi) 16

Validità dei certificati Certificate Authorizing Participants Certificate Consuming Participants X 17

Partecipanti al CCRA Certificate Authorizing Participants Certificate Consuming Participants Australia - Nuova Zelanda Canada Corea del Sud Francia Germania Giappone Italia Norvegia Olanda Regno Unito Spagna Svezia Stati Uniti Turchia Austria Rep.Ceca Danimarca Finlandia Grecia India Israele Malaysia Pakistan Singapore Ungheria 18

Sommario Descrizione dello Schema Procedura di accreditamento dei laboratori Processo di certificazione Procedura di accertamento dei dispositivi di firma elettronica 19

La procedura di accreditamento L accreditamento di un LVS si svolge in tre fasi: richiesta di accreditamento test di competenza e verifiche di organizzazione rilascio dell accreditamento L LVS deve rispondere a normative internazionali (ISO17025, parte organizzativa-procedurale) 20

Durata del processo di accreditamento La durata del processo di accreditamento è stimata in circa 60 giorni dalla ricezione della domanda di accreditamento, a condizione che: il Manuale di Qualità fornito e le procedure di attuazione siano essenzialmente corretti il laboratorio possieda all atto della richiesta di accreditamento tutti i requisiti formali necessari gli impegni economici siano stati rispettati 21

Livello e costi di accreditamento Si può richiedere l accreditamento a diversi livelli di garanzia: l OCSI consiglia l accreditamento EAL4 Costo di accreditamento per LVS con 5 unità nel laboratorio: circa 3000 22

Competenze dell LVS LVS deve nel suo insieme: Conoscere le LG e le norme OCSI Conoscere i CC e ITSEC Saper operare secondo le unità di lavoro previste dalla CEM e in ITSEM Saper gestire test funzionali e di intrusione per l identificazione delle vulnerabilità Saper predisporre la documentazione di valutazione 23

Competenze dei Valutatori Nel Laboratorio devono essere presenti competenze per: l analisi e sintesi della documentazione operare sugli oggetti da valutare (sicurezza informatica, test e vulnerabilità) Due profili distinti di Valutatore: documentale e operativo 24

I Valutatori Viene riconosciuta la qualifica di Valutatore al personale tecnico la cui competenza sia stata verificata durante la procedura di accreditamento dell LVS o durante una visita ispettiva periodica La qualifica di Valutatore è valida solo ed esclusivamente all interno di un LVS 25

LVS accreditati 26

Assistente (1/2) L Assistente deve garantire L imparzialità, l indipendenza, la riservatezza e l obiettività nello svolgimento del proprio ruolo La capacità di mantenere nel tempo i requisiti in virtù dei quali è stato abilitato Requisiti Competenze generali in materia di sicurezza IT Conoscenza dei criteri (ITSEC/CC) di valutazione della sicurezza di sistemi o prodotti ICT e delle relative metodologie (ITSEM/CEM) Esperienza nelle metodologie di produzione della documentazione per la valutazione di un ODV 27

Assistente (2/2) Deve essere abilitato dall OCSI Due diversi profili: Redazione e analisi della documentazione Operatività Può fornire consulenza tecnica ad un Committente per: Stesura di documentazione Verifica della valutabilità di un PP/ODV Mantenimento di un Certificato 28

Profilo orientato alla redazione e analisi della documentazione L assistente con questo profilo ha competenze per svolgere la redazione e l analisi della documentazione inerente le attività di: Gestione della configurazione Fornitura e messa in opera Sviluppo Documentazione di utente e di amministratore Ciclo di vita dell ODV Test 29

Profilo orientato all operatività L assistente con questo profilo ha competenze per: Progettare test Verificare la configurazione dell ODV Condurre analisi di vulnerabilità Individuare vulnerabilità note Svolgere prove di intrusione 30

Abilitazione Assistenti Il candidato può decidere per uno solo o per entrambi i profili previsti I costi relativi all accreditamento sono pari a 150 per ciascun profilo fino al livello di garanzia EAL4 L esame di abilitazione ha la durata di una giornata (prova scritta e esame orale) 31

Verifiche di competenza Non è necessario frequentare preliminarmente dei corsi per ottenere accreditamenti/abilitazioni OCSI esegue verifiche di competenza differenziate per Ruolo (valutatore di un LVS o Assistente) Profilo Redazione e analisi della documentazione di valutazione Operatività Livello di valutazione LVS e Assistenti: validità 3 anni 32

Sommario Descrizione dello Schema Procedura di accreditamento dei laboratori Processo di certificazione Procedura di accertamento dei dispositivi di firma elettronica 33

Fasi del Processo di Certificazione Processo di valutazione Preparazione Conduzione Conclusione Certificazione 34

Fase di preparazione Determinare l adeguatezza per la valutazione del PP/TDS Determinare l adeguatezza per la valutazione dei materiali disponibili Produrre un PDV e un elenco dei materiali per la valutazione Verificare la consapevolezza delle parti coinvolte nella valutazione Richiedere l iscrizione della valutazione nello Schema 35

Fase di conduzione (1/2) ODV materiali criteri TDS Valutatore PDV Azioni di valutazione 36

Fase di conduzione (2/2) Materiali per la valutazione Committente Materiali per la valutazione RA, ROA, ROE Materiali per la valutazione ROA Fornitore RA, ROE NIS LVS OCSI RA, ROA, ROE, RM, ROS 37

Fase di conclusione L LVS produce il Rapporto Finale di Valutazione (RFV) e lo invia all OCSI 38

Fase di certificazione L OCSI revisiona il RFV e, in caso di valutazione positiva, redige il Rapporto di Certificazione ed emette il relativo Certificato L LVS può fornire supporto tecnico all OCSI Chiarimenti sull RFV Dimostrazioni tecniche 39

Rapporto di certificazione Riassume i risultati della valutazione Contiene commenti e raccomandazioni da parte dell OCSI Motiva l eventuale emissione di verdetti in contrasto con quelli emessi dall LVS 40

Chiusura del processo di valutazione Eventuale riunione di chiusura della valutazione Assegnazione dei materiali del processo di valutazione Archivio di base Ulteriori materiali archiviati dall LVS Ulteriori materiali archiviati dall OCSI Materiali restituiti al Committente Materiali distrutti 41

Processi di certificazione Certificati emessi 2 prodotti a livello EAL3 1 prodotto a livello EAL4 5 prodotti a livello EAL1+ In corso 1 prodotto a livello EAL2 42

Sommario Descrizione dello Schema Procedura di accreditamento dei laboratori Processo di certificazione Procedura di accertamento dei dispositivi di firma elettronica 43

Normativa internazionale Direttiva 1999/93/EC del Parlamento Europeo e del Consiglio del 13 dicembre 1999 relativa ad un quadro comunitario per le firme elettroniche Allegato III: Requisiti relativi ai dispositivi sicuri per la creazione di una firma Decisione della Commissione 2003/511/EC del 14 luglio 2003 relativa alla pubblicazione dei numeri di riferimento di norme generalmente riconosciute relative a prodotti di firma elettronica conformemente alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio 44

Normativa nazionale L affidamento all OCSI dell accertamento è specificato nel Codice dell Amministrazione Digitale, art. 35, comma 5 (DL 7/3/2005 n. 82, modificato DL 30/12/2010, n. 235) Nel D.P.C.M. 10 febbraio 2010, G.U. n. 98, 28/4/2010, è previsto che sono stabilite dall OCSI la procedura per accertare la conformità di dispositivi sicuri per l'apposizione di firme con procedure automatiche ai requisiti di sicurezza prescritti dall Allegato III della Direttiva 1999/93/CE ed un documento di supporto che ne faciliti l'applicazione 45

Ambito della procedura Dispositivi per i quali non è applicabile uno dei Protection Profile indicati nella Decisione Europea 2003/511/EC (CWA 14169, 14167) Smart-card Dispositivi per la creazione di firme elettroniche ai quali è applicabile il DPCM 10 febbraio 2010 Dispositivi di firma con procedura automatica 46

Caratteristiche della Procedura La procedura di accertamento si basa sul modello di certificazione Common Criteria e richiede: il Security Target, che descrive le caratteristiche di sicurezza del TOE (ODV) e quella del suo ambiente operativo; in particolare, gli obiettivi di sicurezza del TOE e dell ambiente devono garantire congiuntamente il soddisfacimento dei requisiti di sicurezza dell Allegato III della Direttiva il Certificato, che fornisce evidenza che una certificazione Common Criteria è stata eseguita per il dispositivo descritto nel Security Target, nell ipotesi che l ambiente operativo soddisfi gli obiettivi di sicurezza prescritti 47

Esecuzione della Procedura L OCSI esamina il materiale presentato per valutarne l adeguatezza ai fini dell accertamento di conformità Entro 6 mesi a partire dall attivazione, l OCSI emette il suo pronunciamento: se positivo rilascia l Attestato di Conformità se negativo motiva il mancato rilascio 48

Attestato di Conformità La validità dell Attestato è soggetta a opportune condizioni Si ipotizza che il dispositivo reale sia conforme a quello certificato e descritto nel Security Target Si ipotizza che l ambiente di utilizzo reale sia conforme a quello descritto nel Security Target (o meglio adeguato per gli obiettivi di sicurezza per l ambiente fissati nel Security Target) 49

Informazioni www.ocsi.isticom.it 50

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back