LABORATORIO di VALUTAZIONE della SICUREZZA

Похожие документы
Certificazione della sicurezza di prodotti/sistemi ICT

Centro di Valutazione della Difesa

Ministero dello Sviluppo Economico Dipartimento per le Comunicazioni Istituto Superiore delle Comunicazioni e delle Tecnologie dell'informazione

La valutazione della sicurezza

Questa pagina è lasciata intenzionalmente vuota

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Norme e documenti di riferimento per l'accreditamento degli Organismi di certificazione e/o ispezione

I sistemi di certificazione: richiami essenziali

La certificazione della sicurezza ICT

LA CERTIFICAZIONE DEL SISTEMA DI GESTIONE DEL CREDITO

Ingegneria del Software

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS (Information Security Management Systems) AUDITOR / RESPONSABILI GRUPPO DI AUDIT

RISPOSTA A RICHIESTA DI INFORMAZIONI COMPLEMENTARI N. 5

Coordinamento organizzativo nazionale dei Manager didattici per la qualità

Il vostro partner strategico vi da il. BENVENUTO al Seminario transizione ISO 9001:2015 ISO 14001:2015 Roma, 10 giugno 2016

Questa pagina è lasciata intenzionalmente vuota

Ministero dello Sviluppo Economico

ITSEC e ISO Due standard a confronto

Corso SGS per Auditor / RGA di Sistemi di Gestione della Qualità UNI EN ISO 9001:2015

Ingegneria del Software

Comune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000

La valutazione delle posizioni al Politecnico di Milano

CORSO DI AUDITOR INTERNO ED ESTERNO

Il Gruppo. 250 persone CONTROLLATE PARTECIPATE CONTAX

Luca Di Leo. consulente privacy Data Protection Officer. Cell: Fax:

Gruppo di lavoro 1 Metadati e RNDT. Incontro del 22 luglio 2014

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

IL DIRETTORE GENERALE DEL CONTROLLO DELLA QUALITÀ E DEI SISTEMI DI QUALITÀ

PROCEDURA DI ESAMI AUTOMATICI APPENDICE 2

CORSO DI FORMAZIONE. INTERNAL AUDITOR secondo la norma UNI EN ISO 9001: ª EDIZIONE 25 ore Anno Accademico 2014/2015 FORM099

Percorso professionalizzante Internal audit in banca

Il D.Lgs. 231/2001 e l esperienza di Confindustria Bergamo. Stefano Lania Servizio Fiscale e Societario 13 Novembre 2013

Stazione Unica Appaltante Sezione Osservatorio

CORSO DI FORMAZIONE I EDIZIONE FORM082 - INTERNAL AUDITOR secondo la norma UNI EN ISO 9001: ore Anno Accademico 2013/2014 FORM082

I Professionisti della digitalizzazione documentale e della privacy

REPORT AUDIT DI DOSE PER STERILIZZAZIONE RAGGI BETA ELECTRON BEAM STERILIZATION VALIDATION REPORT

76 Suppl. ord. n. 2 alla GAZZETTA UFFICIALE DELLA REGIONE SICILIANA (p. I) n. 56 del (n. 41)

Questa pagina è lasciata intenzionalmente vuota

Questa pagina è lasciata intenzionalmente vuota

L impatto della ISO 9001:2015 sulla privacy

Giornata di studi AICQ sulla Linea Guida Qualificazione del personale PND nella Manutenzione Ferroviaria

OFFERTA DIDATTICA CORSI EXTRA-CURRICULARI DI LINGUE STRANIERE ANNO SCOLASTICO 2016/2017

I trend in atto e l evoluzione della previdenza privata. Rafforzare l eccellenza operativa delle Casse di Previdenza

Ministero dello Sviluppo Economico Dipartimento per le Comunicazioni Istituto Superiore delle Comunicazioni e delle Tecnologie dell'informazione

COMUNE DI SASSARI. Piano dettagliato degli obiettivi Obiettivo n Sistemi informativi e Statistica Patrizio Carboni

F O R M A T O E U R O P E O

Corso di qualifica per Auditor 231, componente OdV 231 ed Specialista 231

Siamo quello che ti serve

IL DIRETTORE GENERALE DEL CONTROLLO DELLA QUALITÀ E DEI SISTEMI DI QUALITÀ

MOLLE AD ARIA CABINA CABIN AIR SPRINGS

VI Forum Centri Servizi Digitali. Le firme elettroniche nel CAD La firma grafometrica Milano, 20 giugno 2013

FORMAZ., RICE. E INNOV., SCUOLA UNIV., DIR. STUDIO PROGRAMM. DELL'OFF. FORMAT. E DI ORIENTAMENTO DETERMINAZIONE. Estensore CASCINO STEFANO

AREA ORGANIZZAZIONE E SERVIZI AMMINISTRATIVI U.O. RISORSE UMANE. Determinazione nr. 459 Trieste 14/04/2016 Proposta nr. 178 Del 08/04/2016

REGOLAMENTO REGIONALE 17 NOVEMBRE 2006 N. 3

DRONI E DIRITTO. di Valentina Luisalba Filippini IMPORTANTE

Risorse Umane e Formazione

Servizio di documentazione tributaria

ITIL TRAINING. Atlas Reply ha preso parte al progetto pilota dei primi esami di ITIL Foundation V3 in italiano. Reply

IL SISTEMA DI GESTIONE DELLA QUALITA SECONDO LA NORMA ISO 9001:2000

Syllabus Start rev. 1.03

Schema di domanda di liquidazione del contributo ex legge 83/89 sull attività promozionale svolta nel 2000 (in bollo) Data...

ACCREDIA L Ente Italiano di Accreditamento

REGOLAMENTO DI ACCESSO AI SERVIZI TELEMATICI DEL COMUNE DI PIACENZA

Corso in Organizzazione e Gestione delle Risorse Umane

Транскрипт:

LABORATORIO di VALUTAZIONE della SICUREZZA Accreditato dal 13 marzo 2007 OCSI (Organismo di Certificazione della Sicurezza Informatica) Ministero dello Sviluppo Economico TECHNIS BLU SRL Sede Legale ed Operativa: Via Riccardo Gigante, 4 00143 Roma Sede Operativa LVS : Viale Luigi Schiavonetti, 290/B 00173 Roma Capitale Sociale 400.000,00 i.v. REA 1217316 P.IVA/Cod.Fisc. 10207141002 tel. +39 06 8928 5229 fax +39 06 9294 1268 e-mail: lvs.technisblu@technisblu.it - www.technisblu.it

LVS (Laboratorio di Valutazione della Sicurezza) TECHNIS BLU Presentazione del Laboratorio Il Laboratorio è un soggetto indipendente e neutrale, organizzato come unità di business all interno di Technis Blu s.r.l. e svolge attività di Valutazione di Prodotti e Sistemi Informatici secondo lo standard ISO 15408 (Common Criteria), in linea con quanto previsto dallo Schema Nazionale di Valutazione e Certificazione. Unitamente alle attività di Valutazione, il Laboratorio svolge attività di Formazione e Consulenza per lo studio, progettazione e diffusione nelle aziende/amministrazioni di efficaci soluzioni di Sicurezza organizzativa ed informatica. Per le attività di Valutazione, indipendente e neutrale significa che il Laboratorio: ha una propria struttura di governo indipendente costituita da apposito verbale del CDA Technis ha una sua struttura commerciale indipendente da quella Technis non impiega Valutatori che abbiano svolto attività di consulenza su ODV in valutazione non effettua Valutazioni per Committenti legati da eventuali rapporti di partnership (ad es. di proprietà/controllo, RTI/ATI, ecc.) Obiettivi del Laboratorio La missione del Laboratorio è di condurre il business della consulenza, della ricerca e dell addestramento nelle pratiche aziendali collegate alla Tecnologia della Sicurezza dell Informazione, del disegno dei processi, delle operations e dell organizzazione, quali ad esempio: Scrittura di Protection profile e Security Target Valutazioni ai fini della certificazione OCSI Assessment e pianificazione della sicurezza organizzativa (ISO/IEC 27001) Analisi di vulnerabilità e penetration test su prodotti e sistemi Formazione specifica Struttura del laboratorio Il LVS Technis Blu consta: di un responsabile del Laboratorio di 5 valutatori senior accreditati, di cui 2 Documentali e 3 Operativi di personale tecnico con specifiche competenze ICT di un area riservata di seconda classe per la custodia in armadio blindato a norma del materiale del cliente soggetto a valutazione di apposita area dedicata per lo svolgimento delle prove di laboratorio LABORATORIO DI VALUTAZIONE DELLA SICUREZZA ACCREDITATO Pagina 2 di 5

Competenze del laboratorio Il Laboratorio ritiene che la sicurezza di prodotti e sistemi ICT non possa prescindere da aspetti di sicurezza legati alla organizzazione ed ai processi aziendali, e ritiene questi aspetti imprescindibili e sinergici. Per questa ragione, le competenze raccolte nel laboratorio, oltre ai valutatori accreditati OCSI, comprendono due Lead Auditor ISO 27001, e consulenti esperti nelle analisi di vulnerabilità (Assessment e Penetration Test). Altro aspetto rilevante è la competenza nella formazione, che viene erogata con corsi personalizzati sugli standard ISO/IEC 15408 e ISO/IEC 27001. Referenze del Laboratorio Il Laboratorio ha già acquisito notevoli esperienze nell erogazione di servizi riguardanti i Criteri Comuni dello standard ISO/IEC 15408. In particolare si citano: Approntamento Security Target per tutte le valutazioni sotto indicate Valutazioni per l ottenimento dei relativi certificati nell ambito slot machine Valutazione per Electro System S.p.a. del prodotto Backoffice v.5.0 Incluso nella scheda di gioco ELSY JOE001 Black Killer per l ottenimento del relativo certificato. Valutazione per Electro System S.p.a. del prodotto Backoffice v.4.0 Incluso nella scheda di gioco ELSY JOH001 Isola del Tesoro per l ottenimento del relativo certificato. Valutazione per Electro System S.p.a. del prodotto Backoffice v.3.0 Incluso nella scheda di gioco ELSY JOD001 Vampire per l ottenimento del relativo certificato. Valutazione per Electro System S.p.a. del prodotto Backoffice v.2.0 Incluso nella scheda di gioco ELSY JOP001 Myan Temple per l ottenimento del relativo certificato. Valutazione per Electro System S.p.a. del prodotto Backoffice v.1.0 Incluso nella scheda di gioco ELSY JOA001 Diamond per l ottenimento del relativo certificato. Valutazioni per l ottenimento dei relativi certificati relativi a dispositivi di firma elettronica avanzata (FEA) Valutazione per Euronovate SA del prodotto E-Signature ENsoft v1.1. Valutazioni in corso per l ottenimento dei relativi certificati nell ambito: dei sistemi di videosorveglianza e lettura targhe di piattaforme di comunicazione (LAN/WAN) di sistemi bancari di Firma Elettronica Avanzata (FEA) Riconoscimento internazionale dei certificati Lo standard dei Common Criteria, unitamente alla metodologia definita nel documento complementare Common Methodology for Information Technology Security Evaluation (CEM), costituisce il fondamento tecnico di un gruppo internazionale denominato CCRA (Common Criteria Recognition Arrangement), frutto di un accordo di mutuo riconoscimento sottoscritto nel 2000 da dodici Paesi, tra cui l'italia, che si occupa per l'appunto dell applicazione, dell'armonizzazione e dell'evoluzione dello standard Common Criteria. Negli anni seguenti, altri Paesi hanno aderito all'accordo, che attualmente comprende 26 partecipanti e 57 LVS. LABORATORIO DI VALUTAZIONE DELLA SICUREZZA ACCREDITATO Pagina 3 di 5

All interno di questo contesto i certificati emessi dall OCSI, tramite le attività di valutazione svolte dai suoi quattro LVS, vengono riconosciuti da tutti i paesi aderenti fino al livello EAL4. I processi di certificazione sui CC sono supportati da direttive legislative in vigore, emesse dalla Unione Europea e dalla Repubblica Italiana. Il valore di una certificazione Common Criteria (ISO/IEC 15408) I Common Criteria consentono di determinare il livello di garanzia a cui si vuole che un prodotto/sistema risponda, in base alle sue esigenze specifiche di applicazione. Questa determinazione avviene mediante la scelta del livello di garanzia. Come abbiamo visto il mutuo riconoscimento è fino al livello EAL4. Direttamente a stralcio della Common Criteria for Information Technology Security Evaluation, Part 3: Security assurance components - Version 3.1 Revision 2, vengono nel seguito riportate le caratteristiche di garanzia sempre crescenti derivanti dai primi quattro livelli, caratteristiche di garanzia che esprimono il valore della relativa certificazione. EAL1 - functionally tested provides a basic level of assurance by a limited security target and an analysis of the SFRs in that ST using a functional and interface specification and guidance documentation, to understand the security behaviour. The analysis is supported by a search for potential vulnerabilities in the public domain and independent testing (functional and penetration) of the TSF. EAL1 also provides assurance through unique identification of the TOE and of the relevant evaluation documents. This EAL provides a meaningful increase in assurance over unevaluated IT. EAL2 - structurally tested and interface specification, guidance documentation and a basic description of the architecture of the TOE, to understand the security behaviour. This EAL represents a meaningful increase in assurance from EAL1 by requiring developer testing, a vulnerability analysis (in addition to the search of the public domain), and independent testing based upon more detailed TOE specifications. EAL3 - methodically tested and checked and interface specification, guidance documentation, and an architectural description of the design of the TOE, to understand the security behaviour. This EAL represents a meaningful increase in assurance from EAL2 by requiring more complete testing coverage of the security functionality and mechanisms and/or procedures that provide some confidence that the TOE will not be tampered with during development. EAL4 - methodically designed, tested, and reviewed and complete interface specification, guidance documentation, a description of the basic modular design of the TOE, and a subset of the implementation, to understand the security behaviour. This EAL represents a meaningful increase in assurance from EAL3 by requiring more design description, the implementation representation for the entire TSF, and improved mechanisms and/or procedures that provide confidence that the TOE will not be tampered with during development. LABORATORIO DI VALUTAZIONE DELLA SICUREZZA ACCREDITATO Pagina 4 di 5

Flusso standard di una certificazione (fasi, ruoli e macroattività) Si ritiene utile riepilogare nello schema seguente il processo che porta alla certificazione di un prodotto/sistema, così da consentire una più immediata comprensione della sequenza delle fasi, dei ruoli che i tre attori del processo rivestono e delle macroattività previste. Lo schema per esigenze di semplicità esplicativa non riporta il dettaglio delle attività, che la norma condiziona in base al livello di assicurazione richiesto (EAL1- EAL7), così come il dettaglio delle interazioni che sono semplicemente rappresentate dalle frecce. Come si può vedere nel complesso il processo può essere semplificato in 4 fasi: la prima Preparazione che può essere svolta anche in autonomia da parte del produttore (con l eventuale ausilio del LVS), la seconda Consulenza dove è necessario avere delle competenze specifiche sui Common Criteria (CC), la terza Valutazione che è quella istituzionale svolta dal LVS, la quarta Certificazione che è quella istituzionale dell OCSI al termine del processo per il rilascio della certificazione. Fase di Preparazione Fase di Consulenza Fase di Valutazione Fase di Certificazione FLUSSO DELLE MACROATTIVITA PER LA CERTIFICAZIONE ISO/IEC 15408 Produttore Laboratorio OCSI Preparazione documentazione relativa all ODV che si vuole certificare CERTIFICATO ISO/IEC 15408 Esame preliminare documentazione ed eventuale integrazione Scrittura Security Target e preparazione Piano di Valutazione Esame ODV/ST Verifiche, test Rapporto Finale di Valutazione Invio del Certificato Cartaceo Esame ed approvazione del Piano di Valutazione Esame RFV Eventuali verifiche Rilascio Certificato e sua pubblicazione LABORATORIO DI VALUTAZIONE DELLA SICUREZZA ACCREDITATO Pagina 5 di 5

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back