Abstract: the Italian Certification Body in the field

Documenti analoghi
Nota Informativa dello Schema N. 2/13

Lo Schema nazionale di valutazione e certificazione della sicurezza ICT. Forum PA - maggio 2011

Istituto Superiore delle Comunicazioni e delle Tecnologie dell informazione (ISCTI) Italian Ministry of Communication Direttore: ing.

Abstract: the process of the so-called "shadow

Attività conto terzi dell Organismo di Certificazione della Sicurezza Informatica Indicazioni economiche

Nota Informativa dello Schema N. 1/13

L ISCOM e la certificazione

Ministero dello Sviluppo Economico Comunicazioni Istituto Superiore delle Comunicazioni e Tecnologie dell Informazione

MODULO DI 5 GIORNATE, CORSO 40 ORE PER VALUTATORI DEI SISTEMI DI GESTIONE PER LA QUALITÀ

G.U. 27 aprile 2004, n. 98

La certificazione della sicurezza di sistemi e prodotti ICT

SAPR ORGANIZZAZIONI RICONOSCIUTE

Metodologia di Audit e un attestato di superamento del corso specialistico per Valutatore 3 parte Sistemi di Gestione per la Qualità.

Procedura per la predisposizione di nuovi schemi di Accreditamento. Procedure for setting up new accreditation schemes

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS (Information Security Management Systems) AUDITOR / RESPONSABILI GRUPPO DI AUDIT

1 OGGETTO E CAMPO DI APPLICAZIONE DOCUMENTI DI RIFERIMENTO REGOLE PARTICOLARI PUBBLICITA e USO DEL MARCHIO DI CERTIFICAZIONE...

PRESCRIZIONI PARTICOLARI PER LA CERTIFICAZIONE DEGLI ESPERTI DI IMPIANTI DI ALLARME INTRUSIONE E RAPINA (SCHEMA IMQ-AIR)

Rev. Data Natura della modifica Redazione Approvazione

Ministero dello Sviluppo Economico

TÜV Examination Institute. Regolamento generale per la qualifica degli OdV e dei Centri di Esame

PROCEDURE DI AUDIT PRESSO IL TEST CENTRE

Il corso è stato completamente rivisto e ristrutturato in 5 giorni.

CEPAS Viale di Val Fiorita, Roma Tel Fax: Sito internet:

REGIONE LIGURIA - Giunta Regionale LA GIUNTA REGIONALE

XV^ Corso di formazione per l abilitazione alle qualifiche di Ispettore Metrico ed Assistente al Servizio

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI S.G.Q. NEL SETTORE SANITARIO

Ugo Gecchelin Perizie Giurate. Analisi tecnica / Perizia

CSQ NUMERO DATA FIRMA

Il Piano Nazionale per la Sicurezza ICT nella PA

Identità digitale e relativi servizi: sicurezza e verifiche sui sistemi ICT

Questa pagina è lasciata intenzionalmente vuota

La certificazione della sicurezza ICT

SCHEMA PER L'ATTESTAZIONE DI CONFORMITÀ LEGGE 232/2016

CALCESTRUZZO: COME REALIZZARE E CONTROLLARE IL PROCESSO DI PRODUZIONE AUDIT DEL CONTROLLO DELLA PRODUZIONE DI FABBRICA E CHECK LIST DI VERIFICA

Questa pagina è lasciata intenzionalmente vuota

UNI EN ISO 22000:2005

Regolamento per la certificazione di Sistemi di Gestione dei Servizi IT (Information Technology)

PERCORSO DI FORMAZIONE PER AUDITOR DI SISTEMI DI GESTIONE PER LA QUALITA

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ESPERTI DI ORGANIZZAZIONE (Organizzazione aziendale)

Sistema di gestione della responsabilità sociale SR10. Procedura di gestione della responsabilità sociale PG-SR10_07.

La conformità legislativa nella ISO 14001:2015 secondo EA-7/04:2017

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE ISO REGOLAMENTO PARTICOLARE CERTIFICAZIONE ISO 45001

SCHEDA REQUISITI PER IL I MODULO DEI CORSI DI FORMAZIONE PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE ENERGIA (SGE)

Offerta Formativa. La Norma ISO 9001:2000. Principi, contenuti, applicazioni ed evidenze oggettive

O.D.I. Barbagli - Organismo di ispezione certificato UNI 17020

LABORATORIO di VALUTAZIONE della SICUREZZA

Questa pagina è lasciata intenzionalmente vuota

TRA ACCREDIA TRA PREMESSO CHE:

Procedura per la predisposizione di nuovi schemi di Accreditamento. Procedure for setting up new accreditation schemes

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER PROGETTISTA DI PERCORSI FORMATIVI

Redazione Approvazione Autorizzazione all emissione Entrata in vigore

CERTIFICATO VIA GIULIO VINCENZO BONA 133 IT ROMA (RM) SEDE OPERATIVA: / OPERATIONAL SITE:

IBD Tutti i diritti riservati

AREA C: SISTEMI INTEGRATI

Ministero dello Sviluppo Economico

Questa pagina è lasciata intenzionalmente vuota

Dipartimento Qualità Agroalimentare. Regolamento. Comitato di Indirizzo e Imparzialità

AB Pag. 1/9 Rev.03

Management e Certificazione della Qualità

Veronafiere! ottobre 2014! Gli atti dei convegni e più di contenuti su

Manuale del Sistema. sezione 9

Linea Guida ISCOM CERTIFICAZIONE DELLA SICUREZZA ICT. Silvano Bari ALITALIA, AIEA

PROCEDURA GESTIONALE PROGRAMMA AMBIENTALE E RIESAME ANNUALE DEL SGA File PG.03.03

APPALTI PUBBLICI LA PROGETTAZIONE DEI LAVORI E LA VALIDAZIONE DEL PROGETTO

Piano delle attività di audit anno 2017

CPRP. CODICE DEI CONTRATTI PUBBLICI D.Lgs. 50/2016. VERIFICA/VALIDAZIONE DEI PROGETTI PUBBLICI (Art. 26 D.Lgs. 50/2016)

Seminari / Corsi / Percorsi formativi INDICE

MODULO3 PRESIDENTI E COMMISSARI D ESAME

GESTIONE DELLE VERIFICHE INTERNE

SCHEDA REQUISITI PER IL II MODULO DEI CORSI DI FORMAZIONE PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE PER LA QUALITA

REGOLAMENTO DI FUNZIONAMENTO DEL COMITATO SETTORIALE DI ACCREDITAMENTO DEL DIPARTIMENTO LABORATORI DI TARATURA (CSA- DT)

Come si diventa Organismo di Ispezione di Tipo A o C Accreditato

SCHEMA REQUISITI PER LA CERTIFICAZIONE DI AUDITOR E LEAD AUDITOR NEL SETTORE SICUREZZA. Rev. 10_ Pagina 1 di 7

in collaborazione con organizza il corso di formazione Valutatori Sistemi di Gestione per la Qualità (40 ore )

IL NUOVO CODICE DI PREVENZIONE INCENDI

Comune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR INTERNI DI S.G.Q.

PROCEDURA GESTIONALE MODALITÀ DI VALUTAZIONE DEI CONSULENTI DI SISTEMI QUALITÀ NEL SETTORE SANITARIO

Elaborato GE GG 00057

L'Accreditamento per eseguire la verificazione periodica degli strumenti di misura

PRESCRIZIONI PARTICOLARI PER LA CERTIFICAZIONE DI PERSONE AI SENSI DEL REGOLAMENTO (CE) N. 303/2008

PRESCRIZIONI PARTICOLARI PER LA CERTIFICAZIONE DI PERSONE AI SENSI DEL DECRETO 4 FEBBRAIO 2011

PROCEDURA Sistema di Gestione Qualità e Sicurezza AUDIT

Prot. DC2018SSV236 Milano, 27/08/2018

PROCEDURA QUALITA 1. SCOPO CAMPO DI APPLICAZIONE RIFERIMENTI LEGENDA RESPONSABILITA...2

Corso SGS per Auditor / RGA di Sistemi di Gestione della Qualità UNI EN ISO 9001:2015

Certificazioni & Collaudi s.r.l.

1. Introduzione. 2. Requisiti per l ammissione al corso

CERTIFICAZIONE PROFESSIONISTA DELLA SECURITY UNI 10459

Distretto di Luino Piano di Zona 2009 / 2011

OBIETTIVO STRATEGICO A: "P.A. ALLEATA DELL'ATTIVITA' DI IMPRESA"

STRUMENTI PER COMPETERE: IL DISCIPLINARE TECNICO CERTIFICATO LINEE GUIDA

SCHEDA REQUISITI PER LA CERTIFICAZIONE DI AUDITOR ASSOCIATI, AUDITOR, RESPONSABILI GRUPPO DI AUDIT DI S.G.A.

Transcript:

Giacinto Dammicco Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione NOTE LE ATTIVITA DELL OCSI Organismo di Certificazione della sicurezza Informatica (THE ACTIVITIES OF THE ITALIAN CERTIFICATION BODY FOR ICT SECURITY) Sommario: sono state avviate le attività dell Organismo di Certificazione della Sicurezza Informatica (OCSI), istituito dal DPCM del 30 ottobre 2003 (GU n. 98 del 27-4-2004), che ne ha assegnato la gestione all Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione (ISCOM) del Ministero delle Comunicazioni. Il ruolo dell OCSI è quello di sovrintendere tutte le attività connesse con la valutazione e certificazione di sistemi/prodotti nell'ambito dello Schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione. In questa memoria sono brevemente riassunte le attività svolte dall OCSI nel biennio 20067-2007, in ambito nazionale ed internazionale. Abstract: the Italian Certification Body in the field of Information Security (OCSI) started up its activities. According to the Italian law (DPCM 30-10- 2003, GU n. 98 27-4-2004), the National Certification Body (OCSI) has been identified as the High Institute for Communications and Technologies in the Italian Ministry for Communications (ISCOM). The role of OCSI is to supervise all the activities related to the evaluation and certification of IT systems/products. In this paper, the main activities carried out from OCSI in the years 2006-2007 are summarised. Introduzione Il DPCM del 30 ottobre 2003 (GU n. 98 del 27-4-2004) Approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione, riconosce che l Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione (ISCOM) del Ministero delle Comunicazioni possiede i requisiti di indipendenza, affidabilità e competenza tecnica richiesti dalla decisione della Commissione Europea del 6 novembre 2000 (2000/709/CE) e stabilisce che: l ISCOM è l Organismo di Certificazione della sicurezza nel settore della tecnologia dell informazione. Tale Organismo sovrintende tutte le attività connesse con la valutazione e certificazione di sistemi/prodotti nell'ambito dello Schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione, condotte in conformità ai criteri internazionali Common Criteria e ITSEC [1-6]. In seguito all approvazione del decreto, l ISCOM ha quindi dato avvio alle attività dell Organismo di Certificazione della Sicurezza Informatica (OCSI). Innanzitutto è stato necessario predisporre azioni preliminari, consistite essenzialmente nella definizione delle Linee Guida Provvisorie della Schema, che regolamentano tutte le attività svolte nell ambito dello Schema stesso. Le Linee Guida Provvisorie (LGP) sono state organizzate in sette documenti distinti [7-13] che indi- La Comunicazione - numero unico 2007 17

NOTE Giacinto Dammicco viduano le aree fondamentali in cui l OCSI sarà chiamato ad agire e descrivono le azioni che i Valutatori dovranno intraprendere per condurre le attività di valutazione in modo corretto (cioè coerentemente con gli standard internazionali adottati) ed efficace. Successivamente, nel corso del biennio 2006-2007, le attività dell OCSI sono finalmente entrate nella fase operativa. In questo articolo viene fornito un breve resoconto di tali attività: nel cap. 1 sono riassunte le principali azioni realizzate in ambito nazionale, mentre nel cap. 2 sono indicate le attività svolte nel contesto internazionale degli analoghi Schemi di valutazione e certificazione. 1. Attività nazionali 1.1 Pubblicazione di Note Informative dello Schema (NIS) La prima fase operativa dello Schema nazionale ha consentito di verificare in concreto la maggior parte delle procedure del processo di valutazione e certificazione, descritte nelle Linee Guida Provvisorie. L applicazione pratica di tali procedure ha evidenziato la necessità di apportare alcune modifiche o integrazioni, per renderle più adeguate ad eseguire correttamente ed efficacemente le suddette attività di valutazione e certificazione. Pertanto, l OCSI, in base a quanto previsto dalle vigenti pubblicazioni dello Schema, ed in particolare dalla Linea Guida Provvisoria LGP3, ha provveduto ad emettere alcune Note Informative dello Schema (NIS). Le disposizioni contenute nelle NIS sono immediatamente operative e quindi sostituiscono a tutti gli effetti le parti corrispondenti contenute nelle Linee Guida Provvisorie; tali disposizioni verranno successivamente integrate nelle Linee Guida Definitive. In particolare, nel mese di marzo 2007, sono state approvate le seguenti tre NIS [14-16]: NIS n. 1/07 - Modifiche alla LGP1 La NIS n. 01/07 ha lo scopo di modificare e integrare le procedure descritte nella Linea Guida Provvisoria LGP1 avente per titolo Descrizione generale dello Schema nazionale di valutazione e certificazione della sicurezza. Il documento, dopo aver introdotto il concetto di Schema nazionale, di sicurezza IT e di accreditamento dei laboratori, affronta una descrizione sintetica del processo di valutazione, identificando le finalità e i requisiti generali per svolgere una valutazione e certificazione di un sistema/prodotto o Profilo di Protezione (PP). Quindi, vengono definiti e descritti i ruoli dei soggetti coinvolti nel processo di valutazione e certificazione, con particolare enfasi per l Organismo di Certificazione, il Laboratorio per la Valutazione delle Sicurezza (LVS), il Committente, il Fornitore e l Assistente. Inoltre, vengono delineate le tre fasi che caratterizzano il processo di valutazione: la preparazione, la conduzione e la conclusione. Infine, viene delineata la fase di certificazione e si forniscono delle informazioni per quanto concerne la gestione dei Certificati e il loro mantenimento. NIS n. 2/07 - Modifiche alla LGP2 La NIS n. 02/07 ha lo scopo di modificare e integrare le procedure descritte nella Linea Guida Provvisoria LGP2 avente per titolo Accreditamento degli LVS e abilitazione degli Assistenti. Il documento definisce le procedure per ottenere e mantenere nel corso del tempo l accreditamento di un Laboratorio per la Valutazione della Sicurezza informatica secondo lo Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dell informazione. Inoltre, vengono specificati gli ambiti di attività di un LVS e descritti i requisiti generali gestionali e di competenza tecnica per i laboratori. Infine, vengono descritti i requisiti e le procedure per ottenere l abilitazione al ruolo di Assistente. NIS n. 3/07 - Modifiche alla LGP3 La NIS n. 03/07 ha lo scopo di modificare e integrare le procedure descritte nella Linea Guida Provvisoria LGP3 avente per titolo Procedure di valutazione. Il documento definisce le procedure che devono essere seguite nel corso di un processo di valutazione condotto all interno dello Schema. Tale processo è suddiviso in tre fasi distinte: preparazione, conduzione e conclusione. Le procedure descritte sono applicabili alla valutazione della sicurezza di un sistema/prodotto o di un PP, così come definiti in ITSEC o nei Common Criteria, e descrivono le modalità secondo cui effettuare: 18 La Comunicazione - numero unico 2007

LE ATTIVITA DELL OCSI Organismo di Certificazione della sicurezza Informatica (THE ACTIVITIES OF THE ITALIAN CERTIFICATION BODY FOR ICT SECURITY) NOTE le comunicazioni tra un LVS, un Committente, un Fornitore e l OCSI; l organizzazione e la pianificazione delle attività di una valutazione; la finalità e il contenuto delle diverse tipologie di rapporti prodotti nel corso della valutazione; il controllo di una valutazione; la pubblicazione dei risultati di una valutazione; la chiusura della valutazione e il processo di certificazione con il rilascio del Certificato da parte dell OCSI. 1.2 Formazione Tra i compiti dell organismo di certificazione, ai fini dello svolgimento delle attività di valutazione, vi è quello della formazione, abilitazione e addestramento dei certificatori, del personale dipendente dell organismo di certificazione, nonché dei valutatori degli LVS e degli assistenti. In questo ambito sono stati quindi tenuti, con cadenza circa semestrale, quattro corsi su: La certificazione della sicurezza informatica: guida per l applicazione dei Common Criteria. Tali corsi, essendo di tipo generale, sono destinati a tutti coloro che vogliano avere indicazioni sulle procedure e strategie dello Schema nazionale di valutazione e certificazione della sicurezza, nonché informazioni dettagliate sullo svolgimento delle attività di valutazione e certificazione della sicurezza informatica in base ai criteri internazionali ISO/IEC 15408 (Common Criteria). Per tale motivo, il corso è consigliabile a chiunque fosse interessato a diventare valutatore o assistente, pur non costituendo la frequenza al corso stesso un prerequisito obbligatorio. I corsi sono stati articolati in tre giornate, in cui sono stati trattati i seguenti argomenti: la certificazione di sicurezza per prodotti e sistemi ICT e lo Schema nazionale di valutazione e certificazione della sicurezza; applicazione dei Common Criteria per la valutazione di un ODV: i requisiti funzionali; applicazione dei Common Criteria per la valutazione di un ODV: i requisiti di garanzia; esempi pratici sulla metodologia utilizzata per la scrittura della documentazione di valutazione in base ai Common Criteria; esercitazioni pratiche sull'uso di strumenti di Vulnerability Scanning nelle attività di valutazione e di mantenimento della certificazione. 1.3 Accreditamento Laboratori di Valutazione della Sicurezza (LVS) I Laboratori di Valutazione della Sicurezza (LVS) effettuano le valutazioni di prodotti/sistemi o di profili di protezione secondo le norme previste dallo Schema nazionale, i criteri internazionali e sotto il controllo dell Organismo di Certificazione. Un LVS può svolgere, oltre alle attività di valutazione, anche le seguenti attività: assistenza al Committente per: 1)la stesura della documentazione di sicurezza durante la preparazione della valutazione; 2)la determinazione della valutabilità del TDS, ODV o Profilo di Protezione; 3)gestione e mantenimento dei Certificati; formazione sulle tematiche della sicurezza nel settore della tecnologia dell informazione in generale e, in particolare, sulle tecniche di valutazione. Agli LVS che ottengono l accreditamento ad operare nell ambito dello Schema viene rilasciato un Certificato di Accreditamento in cui è riportata la tipologia e la portata dell accreditamento stesso. L accreditamento ha una validità di tre anni. Durante tale periodo, l Organismo di Certificazione effettuerà delle visite ispettive, tipicamente con frequenza annuale, finalizzate a verificare il perdurare delle condizioni necessarie ad operare nell ambito dello Schema. Al termine dei tre anni, la validità dell accreditamento dovrà essere confermata dall Organismo di Certificazione, attraverso visita ispettiva o altri controlli che l OCSI dovesse ritenere opportuni. Al personale tecnico la cui competenza sia stata verificata durante la procedura di accreditamento o durante una visita ispettiva periodica viene riconosciuta la qualifica di Valutatore. La qualifica di Valutatore può essere riconosciuta secondo due profili distinti: Valutatore Documentale, svolge l'attività di analisi e scrittura della documentazione di valutazione; La Comunicazione - numero unico 2007 19

NOTE Giacinto Dammicco Valutatore Operativo, svolge il ruolo di verifica e predisposizione dei test funzionali, delle prove di intrusione e di analisi delle vulnerabilità dell'odv. Un Valutatore può ottenere l'accreditamento per uno o per entrambi i profili. La qualifica di Valutatore è valida solo ed esclusivamente all'interno di un LVS. Tutto il personale tecnico di un LVS deve possedere una adeguata preparazione nel campo della sicurezza IT, deve conoscere lo Schema e i criteri ITSEC e/o Common Criteria e le relative metodologie. Inoltre, dovrà essere in grado di svolgere attività di redazione ed analisi della documentazione di valutazione nonché di verificare la corretta operatività di un ODV. In fase di accreditamento e durante le visite ispettive periodiche viene normalmente verificata la competenza di ogni componente dell LVS. L OCSI si riserva la possibilità di verificare la competenza tecnica del personale di un LVS anche in tempi diversi dalle visite ispettive periodiche, ad esempio quando si verifichi una qualsiasi variazione nella composizione dell'organico dell'lvs rispetto a quanto dichiarato nel Manuale di Qualità: immissione di nuovo personale, variazione di compiti e responsabilità anche di personale già in forze all'lvs stesso, ecc. Informazioni complete e dettagliate per l'accreditamento degli LVS sono fornite dalla Nota Informativa dello Schema (NIS) n. 2/07, che modifica e integra le procedure descritte nella Linea Guida Provvisoria LGP2 Accreditamento degli LVS e abilitazione degli Assistenti. Ad oggi sono stati accreditati sette LVS, i cui riferimenti sono pubblicati sul sito web dell OCSI. 1.4 Abilitazione assistenti Lo Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione prevede il ruolo di Assistente. L Assistente è una persona abilitata a fornire assistenza al Committente, al Fornitore o a un LVS nella fase di stesura della documentazione per la valutazione di un ODV. Inoltre, l Assistente può curare la gestione del Certificato come descritto nella LGP1. Per uno stesso ODV, il ruolo di Assistente è incompatibile con il ruolo di Valutatore. L'abilitazione ad Assistente può essere rilasciata secondo due profili distinti: Assistente Documentale, svolge l'attività di analisi e scrittura della documentazione di valutazione; Assistente Operativo, svolge il ruolo di progettazione e produzione di test funzionali, delle prove di intrusione e delle analisi di vulnerabilità dell'odv. L Assistente deve garantire: l imparzialità, l indipendenza, la riservatezza e l obiettività nello svolgimento del proprio ruolo; la capacità di mantenere nel tempo i requisiti in virtù dei quali è stato abilitato. Il candidato al ruolo di Assistente deve possedere una adeguata preparazione nel campo della sicurezza IT, deve conoscere lo Schema e i criteri ITSEC e/o Common Criteria e le relative metodologie. Inoltre, dovrà essere in grado di svolgere attività di redazione ed analisi della documentazione di valutazione nonché di verificare la corretta operatività di un ODV. La persona interessata all abilitazione al ruolo di Assistente deve presentare formale richiesta all OCSI, corredata dal Curriculum Vitae, specificando, in particolare, la propria esperienza nel campo della sicurezza IT. Il rilascio dell abilitazione è subordinato al superamento di un test di valutazione, propostogli dall OCSI, sulla competenza tecnica del richiedente. Il suddetto test è volto ad accertare da un lato la competenza tecnica in materia di sicurezza IT e la conoscenza dei criteri di valutazione di sicurezza, dall altro della padronanza nell uso delle metodologie per la redazione e l analisi della documentazione di valutazione e per la verifica della corretta operatività di un ODV. L abilitazione ha una durata di tre anni. L OCSI si riserva la facoltà di verificare, nel periodo di validità dell abilitazione, il mantenimento dei requisiti per lo svolgimento del ruolo di Assistente. Ad oggi sono stati abilitati sei assistenti, per entrambi i profili, i cui riferimenti sono pubblicati sul sito web dell OCSI. 1.5 Avvio delle prime valutazioni Dopo aver completato tutte le attività propedeutiche all avvio della normale operatività dello 20 La Comunicazione - numero unico 2007

LE ATTIVITA DELL OCSI Organismo di Certificazione della sicurezza Informatica (THE ACTIVITIES OF THE ITALIAN CERTIFICATION BODY FOR ICT SECURITY) NOTE Schema, e cioè la definizione della normativa, Linee Guida Provvisorie e Note Informative dello Schema, l accreditamento dei Laboratori di Valutazione della Sicurezza e l abilitazione degli Assistenti, nel corso del 2007 sono state finalmente avviate le prime valutazioni di prodotti. Le prime valutazioni in corso riguardano due prodotti per i quali è stata richiesta la certificazione a livello EAL3 ed un prodotto a livello EAL4, secondo la scala in uso nei Common Criteria, che va da EAL1 a EAL7. Le valutazioni avviate sono importanti perché, oltre a essere le prime in corso presso l OCSI, consentiranno di accedere alla procedura della cosiddetta valutazione ombra. Tale procedura è quella richiesta dagli altri organismi di certificazione internazionali per poter beneficiare del mutuo riconoscimento delle certificazioni; in tal modo le certificazioni rilasciate in ciascuno dei Paesi aderenti, e quindi anche l Italia, saranno automaticamente riconosciute in tutti gli altri Paesi aderenti alla comunità internazionale dei Common Criteria ( Common Criteria Recognition Arrangement - CCRA). Per accedere alla valutazione ombra sono necessari i seguenti requisiti: 1. Stato dei processi di valutazione. La valutazione ombra può essere effettuata solamente qualora siano state completate dall Organismo richiedente almeno due valutazioni, di cui una a livello EAL3 e una a livello EAL4. 2. Adempimento degli obblighi relativi ai requisiti sulla qualità. Ai fini della valutazione ombra, l OCSI deve dimostrare di essersi dotato di un modello organizzativo conforme alle normative internazionali di qualità: punto centrale di questo modello organizzativo è il Manuale della qualità con le relative procedure operative. Il soddisfacimento di tali requisiti sarà verificato da un gruppo di commissari delegati dagli organismi di certificazione internazionali, che controlleranno sia il corretto svolgimento dei due processi di valutazione e certificazione sottoposti, sia gli aspetti legati al rispetto delle norme di qualità previsti nello standard UNI CEI EN 45011. La procedura della valutazione ombra riguardante l Italia dovrebbe svolgersi presumibilmente nel primo semestre del 2008. 2. Attività internazionali 2.1 Conferenza internazionale sui Common Criteria (ICCC) - 8a edizione Tra le attività svolte dall Organismo di Certificazione della Sicurezza Informatica italiano (OCSI) in ambito internazionale, l avvenimento senza dubbio più rilevante è stata l ottava edizione della Conferenza Internazionale sui Common Criteria (ICCC), che si è tenuta dal 25 al 27 settembre 2007 presso il Centro Congressi Angelicum in Roma. La conferenza è stata ospitata dall OCSI in collaborazione con la Fondazione Ugo Bordoni (FUB). La Conferenza Internazionale sui Common Criteria, che si tiene con cadenza annuale, riunisce organismi di certificazione, laboratori di valutazione, esperti, responsabili della sicurezza e sviluppatori di prodotti commerciali di tutto il mondo che hanno interesse nella specifica, nello sviluppo, nella valutazione e certificazione della sicurezza IT, ed ha lo scopo di favorire il dialogo circa lo sviluppo dello standard Common Criteria, le esperienze di valutazione, le tecnologie emergenti. L 8a edizione della conferenza ICCC ha visto la partecipazione di quasi 400 delegati provenienti da tutto il mondo; in particolare, i Paesi più rappresentati sono risultati gli Stati Uniti d America, i Paesi asiatici, quali Giappone, Cina e Repubblica di Corea, ed i principali Paesi europei, Francia, Germania, Olanda, Spagna, Regno Unito, oltre naturalmente all Italia come Paese ospitante. La scelta dei contenuti e l organizzazione sono avvenute in coordinamento con gli Organismi di Certificazione, operanti nel campo della sicurezza IT, che partecipano alla comunità internazionale dei Common Criteria (CCRA). Data la vastità degli argomenti di possibile interesse, la conferenza è di solito organizzata in tre sessioni parallele, e così è avvenuto anche per questa edizione. Inoltre, vista anche la numerosità dei lavori sottoposti alla conferenza, è stato necessario operare tra questi una selezione e restringere la partecipazione ad un numero limitato (circa settanta) di presentazioni. I principali argomenti trattati nella 8a edizione della ICCC sono stati seguenti, suddivisi nelle tre sessioni parallele previste: La Comunicazione - numero unico 2007 21

NOTE Giacinto Dammicco Sessione 1 Common Criteria e Metodologia (CEM) Garanzie sul Mantenimento: esperienze, strategie, sviluppi futuri Composizione: sfide e soluzioni Ambiti di applicazione Site certification: esperienze e sviluppo Sessione 2 Aspetti Tecnici Metrica (efficacia della valutazione, durata della valutazione) Tecnologie emergenti Metodi formali Strumenti e tecniche per la produzione di evidenze Sessione 3 CC in relazione agli altri Standard e tecnologie Sinergie e confronti con gli altri standard Leggi e regolamentazione: il ruolo dei CC Il futuro dei CC Infine, a conclusione dei lavori, è stata presentata la prossima edizione della conferenza, 9a ICCC, che si terrà nella Repubblica di Corea nel mese di ottobre 2008. 2.2 Riunioni dei gruppi di lavoro internazionali sui Common Criteria (CCRA) Tra le attività internazionali, vanno segnalate le riunioni tenutesi, sempre a Roma nel mese di settembre 2007, tra i rappresentanti degli Schemi nazionali per la valutazione e certificazione della sicurezza nel settore della tecnologia dell informazione aderenti al CCRA (Common Criteria Recognition Arrangement), il gruppo internazionale che si occupa dell applicazione dello standard Common Criteria, a cui aderisce naturalmente l Organismo di certificazione italiano (OCSI). I gruppi di lavoro si riuniscono di solito due volte l anno ed una di queste avviene in concomitanza con la Conferenza internazionale ICCC. Per questo motivo l OCSI, e quindi l ISCOM, ha avuto la possibilità di ospitare tali riunioni presso la propria sede del Ministero delle Comunicazioni 22 La Comunicazione - numero unico 2007

LE ATTIVITA DELL OCSI Organismo di Certificazione della sicurezza Informatica (THE ACTIVITIES OF THE ITALIAN CERTIFICATION BODY FOR ICT SECURITY) NOTE a Roma. In particolare, si sono riuniti i seguenti tre gruppi di lavoro: il 19-20 settembre 2007 il gruppo CCDB (Common Criteria Development Board), che ha il compito di coordinare le attività di lavoro sui vari temi ritenuti di interesse generale, quali ad esempio le politiche di gestione e mantenimento delle certificazioni, la strategia di marketing, la gestione del sito web, ecc. Una volta individuato il tema di interesse, si istituisce un gruppo di lavoro che procede alla definizione di un documento specifico su quel tema da sottoporre all approvazione nella successiva riunione. Naturalmente fra queste attività è compresa quella che riguarda la revisione e l aggiornamento dei criteri di valutazione. Anzi, data la particolare importanza dell argomento, è stato istituito un gruppo di lavoro permanente al riguardo, denominato MB (Maintenance Board). il 21 settembre 2007 il gruppo CCES (Common Criteria Executive Subcommittee), che si occupa di programmare le principali attività di interesse comune; tra queste, particolare importanza hanno le procedure di ammissione dei nuovi Schemi candidati a diventare Schemi Produttori, attraverso la cosiddetta valutazione ombra (ed è il caso che riguarda l Italia e l OCSI).Vengono quindi esaminate le richieste dei vari Schemi e si pianifica il calendario di tali valutazioni. il 24 settembre 2007 il gruppo CCMC (Common Criteria Management Committee), che riunisce i direttori di tutti gli Schemi aderenti al CCRA. Questo gruppo ha essenzialmente un compito di ratifica dei risultati ottenuti dai gruppi precedenti, nonché di coordinamento tra tutti gli Schemi, anche di quelli che in tali gruppi non sono rappresentati. La Comunicazione - numero unico 2007 23

NOTE Giacinto Dammicco Riferimenti [1] CCMB-2006-09-001, Common Criteria for Information Technology Security Evaluation, Part 1 Introduction and general model, versione 3.1, settembre 2006 [2] CCMB-2006-09-002, Common Criteria for Information Technology Security Evaluation, Part 2 Security functional requirements, versione 3.1, settembre 2006 [3] CCMB-2006-09-003, Common Criteria for Information Technology Security Evaluation, Part 3 Security assurance requirements, versione 3.1, settembre 2006 [4] CCMB-2006-09-004, Common Evaluation Methodology for Information Technology Security Evaluation, Part 2 Evaluation Methodology, versione 3.1, settembre 2006 [5] Information Technology Security Evaluation Criteria, versione 1.2, giugno 1991 [6] Information Technology Security Evaluation Manual, versione 1.0, settembre 1993 [7] OCSI Linea Guida Provvisoria LGP1, Descrizione generale dello Schema nazionale di valutazione e certificazione della sicurezza, versione 1.0, dicembre 2004 [8] OCSI Linea Guida Provvisoria LGP2, Accreditamento degli LVS e abilitazione degli Assistenti, versione 1.0, dicembre 2004 [9] OCSI Linea Guida Provvisoria LGP3, Procedure di valutazione, versione 1.0, dicembre 2004 [10] OCSI Linea Guida Provvisoria LGP4, Attività di valutazione secondo i Common Criteria, versione 1.0, dicembre 2004 [11] OCSI Linea Guida Provvisoria LGP5, Il Piano di Valutazione: indicazioni generali, versione 1.0, dicembre 2004 [12] OCSI Linea Guida Provvisoria LGP6, Guida alla scrittura dei Profili di Protezione e dei Traguardi di Sicurezza, versione 1.0, dicembre 2004 [13] OCSI Linea Guida Provvisoria LGP7, Glossario e terminologia di riferimento, versione 1.0, dicembre 2004 [14] OCSI Nota Informativa dello Schema N. 1/07, Modifiche alla LGP1, versione 1.0, marzo 2007 [15] OCSI Nota Informativa dello Schema N. 2/07, Modifiche alla LGP2, versione 1.0, marzo 2007 [16] OCSI Nota Informativa dello Schema N. 3/07, Modifiche alla LGP3, versione 1.0, marzo 2007 [17] Sito Internet dell OCSI: http://www.ocsi.isticom.it [18] Sito Internet dei Common Criteria: http://www.commoncriteriaportal.org 24 La Comunicazione - numero unico 2007

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back