ANCHE L'ITALIA SI DOTA DI UN ORGANISMO CHE CERTIFICA LA SICUREZZA INFORMATICA
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
NOTE
* I quaderni di Teléma:
“ANCHE L'ITALIA SI DOTA DI UN ORGANISMO CHE CERTIFICA
LA SICUREZZA INFORMATICA”
(“ITALY HAS ESTABLISHED A BODY TO CERTIFY IT COMPUTER SECURITY”)
Alberto Mucci sistemi ICT.
Comitato di Redazione MEDIA DUEMILA La certificazione attuale, utilizzata nel contesto
Introduzione: della sicurezza nazionale, ha costi elevati e tempi ope-
la notizia è positiva e di particolare significato in que- rativi lunghi. Con il nuovo organismo si creano i pre-
sta delicata fase di passaggio e di innovazioni tecno- supposti per applicare gli standard di certificazione
logiche: è stata istituito anche in Italia l'organismo di anche a livelli meno elevati, semplificando le procedu-
certificazione della sicurezza degli apparati ICT re, ma fornendo nel contempo adeguate garanzie. Si
(informatica e comunicazione). Quest'organismo è potranno certificare con maggiore facilità sistemi com-
stato individuato nell'Istituto Superiore delle plessi e verrà reso più agevole il mantenimento nel
Comunicazioni e delle Tecnologie dell'Informazione il tempo della certificazione accordata.
quale, insieme alla Fondazione Ugo Bordoni, opera da
anni nel settore della valutazione della sicurezza ICT. Introduction: there is a particularly significant
La costituzione dell'organismo colma una lacuna piece of good news in this delicate period of transition
importante nel nostro sistema di certificazione legato and technological innovation: also in Italy a body has
alla sicurezza. In pratica il nuovo organismo permette- been set up to deal with the security certification of
rà di fare certificazioni anche fuori dal contesto della ICT (IT and communication) systems. The body has
sicurezza nazionale (tutela delle informazioni coperte been created within the Istituto Superiore delle
dal "segreto di Stato"), per il quale esiste fin dal 1995 Comunicazioni e delle Tecnologie dell'Informazione
uno Schema nazionale di certificazione coordinato (Institute of Communications and Information
dall'Autorità Nazionale per la Sicurezza (ANS). Technology) which, together with the Fondazione Ugo
Le ricadute positive di questa novità meritano Bordoni, has for many years been working in the sec-
attenzione, come documentano gli interventi che tor of the ICT security evaluation.
seguono. In particolare: The setting-up of this body fills an important gap in
- si creano le condizioni perché le imprese possano our security certification system. In practice, the new
incrementare le vendite di specifici prodotti una body will also make it possible to perform certification
volta che questi siano dotati di certificazioni di outside the context of national security (protection of
sicurezza; information covered by the official secrets act), for
- gli utilizzatori di prodotti potranno avere una cer- which there has been a national certification scheme
tificazione con garanzie che vanno oltre la sem- coordinated by the Autorità Nazionale per la Sicurezza
plice dichiarazione del fornitore; (ANS) (National Security Authority) since 1995.
- i fornitori privati di servizi potranno sperare di The positive consequences of this new body deser-
ampliare la propria clientela dichiarando di avva- ve attention, as are shown in the contributions that fol-
lersi di sistemi ICT provvisti di certificazione di low. In particular:
sicurezza, soprattutto quando gestiscano dati che - conditions are created allowing companies to
richiedono adeguata protezione; increase the sales of specific products once these
- i responsabili del trattamento di dati rilevanti have been awarded security certification;
sotto il profilo della sicurezza potranno dimostra- - product users can count on certification whose
re di aver curato al meglio la loro protezione qua- guarantees go beyond the mere declaration of the
lora abbiano provveduto a certificare i propri supplier;
* il quaderno è stato realizzato dalla Fondazione Ugo Bordoni e pubblicato sul numero 217 di MEDIA DUEMILA.
Coordinatore del quaderno Ing. Franco Guida
La Comunicazione - numero unico 2004 83NOTE
Franco Guida
- private service suppliers may expand their clien- At present, certification used in the context of natio-
tele by advertising their use of security-certified nal security is costly and slow.The creation of this new
ICT systems, especially if they manage data requi- body will make it possible to apply certification stan-
ring adequate protection; dards also at lower levels, simplifying procedures, while
- those dealing with the treatment of sensitive data still providing adequate guarantees. It will be easier to
may demonstrate that they have taken all due certify complex systems, and to maintain certified stan-
care in their protection if they have provided for dards over time.
certification of their ICT systems.
Franco Guida Comunicazioni e delle Tecnologie
Fondazione Ugo Bordoni dell'Informazione (ISCTI), infatti, si traduce in un
La certificazione della sicurezza ICT notevole impegno anche da parte della FUB, data
la tradizionale collaborazione nel campo tecnico
A distanza di circa un anno dal primo che oramai da svariati decenni lega le due organiz-
Quaderno di Telèma dedicato alla sicurezza ICT, ho zazioni.
accettato con grande entusiasmo l'invito rivoltomi Grazie alla disponibilità manifestata dall'ing.
dal dott. Guido Salerno, Direttore Generale della Manganelli, Componente del Centro Nazionale
Fondazione Ugo Bordoni (FUB), e dal dott.Alberto per l'Informatica nella Pubblica Amministrazione
Mucci, coordinatore dei Quaderni, a curare una (CNIPA), il Quaderno può aprirsi con un articolo
seconda edizione che permettesse di tornare su
di grande interesse che riporta le azioni che sono
un argomento la cui importanza ed attualità conti-
nua a crescere. Chi ha avuto l'opportunità di leg- state svolte e che si intende svolgere nell'ambito
gere il Quaderno di Maggio 2003, ricorderà forse della PA relativamente alla certificazione della sicu-
che ci eravamo già lasciati con l'intenzione di con- rezza ICT. Tali azioni sono ascrivibili al Comitato
tinuare il discorso intrapreso ed erano già stati tecnico nazionale per la sicurezza informatica e
individuati vari temi, tra quelli su cui la Fondazione delle telecomunicazioni nelle PA, di cui l'ing.
è impegnata relativamente alla sicurezza ICT, da Manganelli è Presidente e del quale mi onoro di far
sviluppare in un successivo Quaderno. Mi è appar- parte.
so però ben presto chiaro che, tenendo conto Il successivo articolo tratta invece i legami tra
della recentissima novità costituita dall'istituzione l'analisi dei rischi e la certificazione della sicurezza
di un Organismo nazionale di certificazione della
ICT ed è stato scritto dal dott. Tonelli (anch'egli
sicurezza dei sistemi ICT, strutturare il presente
Quaderno seguendo le linee tracciate lo scorso autorevole membro del predetto Comitato) e
anno non sarebbe stato opportuno. Sebbene con il dalla dott.ssa Marra di Ambrosetti.
rammarico di non poter dare spazio a colleghi e Un ulteriore articolo da parte di un altro mem-
collaboratori della Fondazione che avrebbero bro del Comitato, il Presidente Carlo Sarzana di S.
potuto fornire una panoramica di notevole inte- Ippolito, eminente figura di riferimento per quanto
resse sui temi di cui quotidianamente si occupano, riguarda gli aspetti giuridici relativi alle tecnologie
ho quindi scelto di dedicare interamente il informatiche, non ha potuto purtroppo essere rea-
Quaderno alla certificazione della sicurezza, dato lizzato in tempo utile per la pubblicazione, data la
anche il notevole impatto che la novità cui ho novità e la complessità del tema da affrontare (i
accennato sopra sta avendo ed avrà sulle attività
riflessi giuridici della certificazione di sicurezza
della Fondazione Bordoni nell'area della sicurezza
ICT. ICT).
L'assunzione del ruolo di Organismo di certifi- Naturalmente non potevano poi mancare con-
cazione da parte dell'Istituto Superiore delle tributi da parte dell'ISCTI, che svolge evidente-
84 La Comunicazione - numero unico 2004NOTE
ANCHE L'ITALIA SI DOTA DI UN ORGANISMO CHE CERTIFICA LA SICUREZZA INFORMATICA
(ITALY HAS ESTABLISHED A BODY TO CERTIFY IT COMPUTER SECURITY)
mente il ruolo di protagonista considerato il tema ti FUB, nel primo dei quali l'ing. Carbonelli descri-
di questo Quaderno. È quindi presente innanzitut- ve sommariamente la normativa (Linee Guida) che
to un articolo del Direttore dell'ISCTI, ing. Basso, sarà adottata nella fase di avvio dello Schema
che con la sua guida autorevole ha creato le con- nazionale e che è stata sviluppata sotto il suo
dizioni affinché l'Istituto, coadiuvato dalla coordinamento. Il secondo contributo FUB, da me
Fondazione Bordoni, potesse assumere un impe- predisposto, illustra invece i principi ispiratori dei
gno così importante e al tempo stesso così gravo- Common Criteria, lo standard mondiale di riferi-
so.Tale impegno, peraltro, va ad aggiungersi ad altri mento per la certificazione della sicurezza dei
di non minore rilievo nel settore della sicurezza sistemi informatici.
ICT, quali ad esempio l'allestimento di un Centro Per quanto riguarda quest'ultimo contributo,
di formazione per i dipendenti della PA e la gestio- viene in particolare evidenziata la capacità che
ne del Centro di Valutazione accreditato questo standard offre di soddisfare una esigenza
dall'Autorità Nazionale per la Sicurezza. molto sentita ed attuale, quella di fornire garanzie,
I successivi due contributi ISCTI, che descrivo- senza richiedere tempi e costi particolarmente
no il processo di certificazione della sicurezza ICT rilevanti, circa l'effettivo aggiornamento del soft-
ed i criteri di valutazione europei ITSEC, sono ware installato sui sistemi ICT. L'importanza di
invece stati sviluppati dall'ing. Pierri, che dirige questa esigenza è dimostrata dai numerosi inci-
l'Ufficio ISCTI entro il quale l'Organismo di certifi- denti informatici che sono stati causati dalla man-
cazione è stato costituito ed il dott. Desirò, che cata installazione delle patch che avrebbero con-
coordina l'Area gestionale di tale Organismo. sentito di eliminare vulnerabilità scoperte nel soft-
Il Quaderno si chiude infine con due contribu- ware.
Claudio Manganelli SICUREZZA ICT NELLA PA: LE INIZIATIVE
CNIPA GOVERNATIVE
La certificazione della sicurezza ICT
nella Pubblica Amministrazione Nel corso degli anni Novanta sono stati ema-
nati i primi provvedimenti governativi riguardanti la
A partire dall'inizio del 2002 il tema della sicu- sicurezza ICT, i quali, però, hanno affrontato di
rezza ICT nella Pubblica Amministrazione è stato volta in volta aspetti specifici in modo frammenta-
affrontato in modo organico a livello governativo rio, non essendo stato precedentemente definito
attraverso una direttiva del Presidente del un approccio unitario applicabile all'intera PA.
Consiglio dei Ministri [1], emanata dal Ministro per Come già accennato, quindi, il primo riferimento
l'innovazione e le tecnologie d'intesa con il che è possibile citare per descrivere le azioni che
Ministro delle Comunicazioni, ed un successivo il Governo ha intrapreso al fine di garantire una
decreto interministeriale [2] con il quale gli stessi gestione organica della sicurezza ICT all'in- terno
Ministri hanno creato un gruppo di indirizzamento della PA è costituito dalla direttiva "Sicurezza
e coordinamento relativamente alle azioni previste Informatica e delle Telecomunicazioni nelle
nella direttiva. Una trattazione di queste iniziative Pubbliche Amministrazioni Statali" [1]. Con tale
governative sarebbe stata comunque opportuna direttiva, i cui principi ispiratori sono conformi alle
nell'ambito di questo Quaderno Telema. Ove si normative internazionali maggiormente accredita-
consideri, poi, che proprio al tema della certifica- te (si consideri, ad esempio, lo standard [5]), ven-
zione della sicurezza ICT le suddette iniziative gono gettate le basi per lo sviluppo del programma
hanno dedicato un'attenzione particolare, la loro di azione del Governo nel campo della sicurezza
illustrazione nel presente Quaderno è diventata ICT e vengono fornite indicazioni alle pubbliche
una scelta praticamente obbligata. amministrazioni relativamente alle azioni priorita-
La Comunicazione - numero unico 2004 85NOTE
Claudio Manganelli
rie da svolgere nell'immediato. In particolare viene Comunicazioni (tra cui il Presidente) e tre dal
raccomandato: Ministro per l'innovazione e le tecnologie. Le fun-
- di eseguire un'autodiagnosi, sulla base dell'alle- zioni assegnate al Comitato sono le seguenti:
gato 1 della direttiva, del livello di adeguatez- - sviluppare le strategie da seguire ai fini dello
za della sicurezza ICT, con particolare riferi- sviluppo del Piano nazionale e del modello
mento alla dimensione organizzativa operativa organizzativo nazionale della sicurezza ICT
e conoscitiva della sicurezza; nella pubblica amministrazione;
- di attivare le necessarie iniziative per posizio- - verificare annualmente lo stato di avanzamen-
narsi su una "base minima di sicurezza", defini- to del Piano nazionale (indicando eventuali
ta nell'allegato 2 della direttiva. azioni correttive) nonché l'attivazione e appli-
cazione del modello organizzativo;
Una descrizione dettagliata della direttiva [1] - formulare "proposte in materia di regolamen-
non è possibile per motivi di spazio, per cui ci si tazione della certificazione e valutazione della
limiterà ad approfondire gli aspetti riguardanti la sicurezza, nonché ai fini della predisposizione
certificazione. A tal riguardo la direttiva prevede di criteri di certificazione e delle linee guida
che il Dipartimento per l'innovazione e le tecnolo- per la certificazione di sicurezza ICT per la
gie della Presidenza del Consiglio dei Ministri ed il pubblica amministrazione, sulla base delle nor-
Ministero delle comunicazioni promuovano la pre- mative nazionali, comunitarie e internazionali
disposizione di un programma di azione del di riferimento";
Governo per la sicurezza ICT articolato su varie - elaborare linee guida per la predisposizione
linee, tra le quali: delle intese con il Dipartimento della funzione
- definire uno schema nazionale di riferimento pubblica in ordine alla formazione dei dipen-
della sicurezza sviluppando linee guida, diretti- denti pubblici in tema di sicurezza ICT.
ve, standard, nonché i processi di accredita-
mento e di certificazione; La terza funzione costituisce evidentemente il
- realizzare la certificazione di sicurezza ICT contributo del Comitato alla realizzazione della
nella pubblica amministrazione; linea di azione prevista nella direttiva [1] relativa-
- costituire un Comitato nazionale della sicu- mente alla certificazione di sicurezza ICT nella
rezza ICT per indirizzare, guidare e coordina- pubblica amministrazione. Anche per quanto
re le varie iniziative connesse con il raggiungi- riguarda questa funzione, quindi, ulteriori informa-
mento degli standard di sicurezza che verran- zioni possono essere trovate nel successivo para-
no definiti. grafo.
A completamento di questo quadro sintetico
Per quanto riguarda la prima linea di azione, il sulle iniziative governative è infine opportuno
decreto [3] ha definito lo Schema nazionale per la segnalare che nella riunione del 18 marzo 2003 il
valutazione e certificazione della sicurezza di siste- Comitato dei Ministri per la Società dell'informa-
mi e prodotti nel settore della tecnologia dell'in- zione ha espresso il proprio parere favorevole
formazione e sono attualmente in corso la defini- relativamente al finanziamento di due progetti
zione e la regolamentazione di tutte le attività che riguardanti la sicurezza ICT nella PA. Tali progetti,
si svolgeranno all'interno dello Schema. Per quan- denominati "CERT per la Pubblica
to riguarda invece la seconda linea, si rimanda al Amministrazione" e "Centro di formazione e sen-
successivo paragrafo per la descrizione delle azio- sibilizzazione del personale della PA", sono stati
ni già intraprese e da intraprendere ai fini della sua sviluppati in una prima fase dal Comitato e sono
realizzazione. Relativamente alla terza linea, infine, stati poi fatti propri, rispettivamente, dal Centro
si può richiamare il già citato decreto intermini- Nazionale per l'Informatica nella Pubblica
steriale [2] che ha istituito il Comitato Tecnico Amministrazione (CNIPA) e dall'Istituto Superiore
Nazionale sulla sicurezza informatica e delle tele- delle Comunicazioni e delle Tecnologie
comunicazioni nelle pubbliche amministrazioni (nel dell'Informazione (ISCTI), che ne cureranno l'ulte-
seguito denominato brevemente Comitato). Tale riore sviluppo e la realizzazione.
decreto prevede che il Comitato sia costituito da
cinque membri, due nominati dal Ministro delle
86 La Comunicazione - numero unico 2004NOTE
ANCHE L'ITALIA SI DOTA DI UN ORGANISMO CHE CERTIFICA LA SICUREZZA INFORMATICA
(ITALY HAS ESTABLISHED A BODY TO CERTIFY IT COMPUTER SECURITY)
LE LINEE GUIDA PER LA CERTIFICAZIONE esteri), possono essere considerate critiche o
DI SICUREZZA ICT NELLA PUBBLICA AMMINI- essenziali per lo svolgimento delle funzioni prima-
STRAZIONE rie dell'Amministrazione,
2) per i sistemi ICT da cui dipendono l'ope-
Come già anticipato nel precedente paragrafo, ratività e/o la manutenzione delle infrastrutture
tra gli obiettivi del programma di azione del critiche.
Governo per la sicurezza ICT vi è la realizzazione Inoltre nel documento [12] viene affermato che
della certificazione di sicurezza ICT nella pubblica il governo statunitense si propone di verificare la
amministrazione. A tal fine un passaggio obbligato fattibilità economica dell'estensione dell'obbligo di
è stato la creazione, grazie anche all'azione di sti- certificazione ai sistemi ICT utilizzati da tutte le
molo esercitata dal Comitato, dello Schema nazio- agenzie federali, anche nei casi in cui non trattino
nale per la valutazione e certificazione della sicu- informazioni classificate. Il governo statunitense
rezza nel settore della tecnologia dell'informazione prevede peraltro che, qualora tale estensione
[3]. Una volta avviata l'attivazione di un servizio di possa essere effettuata, essa influenzerà molto
certificazione della sicurezza di apparati ICT, il suc- positivamente il mercato dei prodotti ICT consen-
cessivo compito di cui il Comitato ha dovuto farsi tendo di godere dei relativi benefici anche al di
carico è stato quello di definire le modalità di uti- fuori del contesto governativo.
lizzazione di tale servizio all'interno della PA.
Le prossime azioni
Le prime indicazioni
Dopo le prime indicazioni che il Comitato ha
Nell'ambito del documento [4], recentemente fornito attraverso il documento [4], potrà essere
prodotto dal Comitato, il problema della certifica- sviluppata, nell'ambito del programma di azione del
zione di sicurezza ICT nella PA è stato affrontato Governo per la sicurezza ICT, una strategia com-
iniziando ad orientare le amministrazioni nelle plessiva per ciò che concerne la certificazione della
scelte che a tal riguardo dovranno effettuare. In sicurezza ICT nella PA. In particolare potrà essere
particolare si è previsto che il Comitato stesso raccomandato di servirsi anche dei primi livelli di
assista le PA nelle decisioni relative alla certifica- certificazione, i quali, sebbene poco utilizzati nel
zione, avvalendosi anche delle informazioni deriva- contesto della sicurezza nazionale, possono offrire
bili dal questionario di autovalutazione (allegato 1 spesso, nel contesto generale, significative garanzie
della direttiva [1]) al quale le PA stesse sono state di sicurezza, senza richiedere costi e tempi parti-
invitate a rispondere. Più precisamente il Comitato colarmente rilevanti. Inoltre le certificazioni ese-
potrà raccomandare che, nei casi in cui risultino guite a tali livelli hanno il vantaggio di richiedere un
situazioni di elevata criticità, in aggiunta alle verifi- coinvolgimento nullo o limitato di chi ha sviluppa-
che interne (ossia eseguite da personale dell'am- to le componenti del sistema ICT e rendono quin-
ministrazione) già previste dall'allegato 2 della di più agevole la certificazione di interi sistemi,
direttiva [1], vengano eseguite vere e proprie cer- nonché il mantenimento nel tempo della certifica-
tificazioni di apparati ICT secondo i Common zione stessa. Analogamente a quanto avviene nella
Criteria [7] [8] [9] o i criteri ITSEC [10]. In queste pubblica amministrazione statunitense, inoltre, lo
stesse situazioni il Comitato potrà eventualmente standard Common Criteria potrà essere utilizzato
raccomandare l'esecuzione di certificazioni del anche fuori del contesto di una certificazione pre-
processo di gestione della sicurezza ICT in singole vedendo lo sviluppo di opportuni Profili di
Amministrazioni o in parti di esse, eseguite secon- Protezione (Protection Profile) che esprimano in
do lo standard BS7799-2 [6]. Queste indicazioni modo standardizzato obiettivi, ambiente ipotizzato
possono considerarsi in linea con quanto previsto e requisiti di sicurezza per varie tipologie di pro-
nel documento [11] che presenta come consiglia- dotti ICT.Tali Profili potranno essere utilizzati dalle
bile l'uso della certificazione di sicurezza: PA nella stesura di capitolati e sarà possibile, a
1) per i sistemi ICT che trattano informazio- seconda dell'entità dei rischi, ritenere sufficiente
ni le quali, sebbene non classificate ai fini della sicu- un'autodichiarazione del fornitore circa il soddisfa-
rezza nazionale (in caso contrario le certificazioni cimento dei requisiti di sicurezza specificati nei
sono obbligatorie sia in Italia sia in molti paesi Profili stessi oppure prevedere una vera e propria
La Comunicazione - numero unico 2004 87NOTE
Claudio Manganelli
certificazione. In quest'ultimo caso, peraltro, la dis- [5] ISO/IEC IS 17799-1 - Information security
ponibilità dei Profili renderà più agevole e veloce la management - Part 1: Code of practice for infor-
stesura della documentazione necessaria per la mation security management.
certificazione stessa. [6] BS7799-2 - Information security manage-
ment systems - Specification with guidance for use.
[7] ISO/IEC IS 15408-1 Evaluation Criteria for
Documenti di riferimento Information Technology Security - Part 1:
Introduction and general model.
[1] Direttiva 16 gennaio 2002 del Presidente [8] ISO/IEC IS 15408-2 Evaluation Criteria for
del Consiglio dei Ministri "Sicurezza Informatica e Information Technology Security - Part 2: Security
delle Telecomunicazioni nelle Pubbliche functional requirements.
Amministrazioni Statali" (pubblicata sulla G.U. n. 69 [9] ISO/IEC IS 15408-3 Evaluation Criteria for
del 22 marzo 2002). Information Technology Security - Part 3: Security
[2] Decreto 24 luglio 2002 del Ministro delle assurance requirements.
comunicazioni e del Ministro per l'innovazione e le [10] Information Technology Security
tecnologie "Istituzione del Comitato Tecnico Evaluation Criteria (ITSEC) - SOG-IS (Senior
Nazionale sulla sicurezza informatica e delle tele- Officials Group Information Systems Security) -
comunicazioni nelle pubbliche amministrazioni". Giugno 1991.
[3] Decreto 30 ottobre 2003 del Presidente del [11] National Security Telecommunications and
Consiglio dei Ministri "Approvazione dello Schema Information Systems Security Policy (NSTISSP)
nazionale per la valutazione e certificazione della No. 11, Subject: National Policy Governing the
sicurezza di sistemi e prodotti nel settore della Acquisition of Information Assurance (IA) and IA-
tecnologia dell'informazione" (pubblicato sulla Enabled Information Technology (IT) Products -
G.U. n. 98 del 27 aprile 2004). National Security Telecommunications and
[4] Proposte concernenti le strategie in materia Information Systems Security Committee
di sicurezza informatica e delle telecomunicazioni (NSTISSC) - Documento governativo USA -
per la pubblica amministrazione - Documento del Gennaio 2000
Comitato Tecnico Nazionale sulla sicurezza infor- [12] The National Strategy to Secure
matica e delle telecomunicazioni nelle pubbliche Cyberspace - Documento governativo USA -
amministrazioni - Marzo 2004. Febbraio 2003.
88 La Comunicazione - numero unico 2004NOTE
ANCHE L'ITALIA SI DOTA DI UN ORGANISMO CHE CERTIFICA LA SICUREZZA INFORMATICA
(ITALY HAS ESTABLISHED A BODY TO CERTIFY IT COMPUTER SECURITY)
Giorgio Tonelli
Isabella Marra UNA VISIONE UNITARIA
Ambrosetti
L'analisi dei rischi e le certificazioni di In un contesto di rapido cambiamento e com-
sicurezza ICT plessità crescente è necessaria una visione unitaria
e strategica delle aree di rischio e una valutazione
La ragion d'essere della sicurezza delle informa- della loro criticità in relazione agli impatti sul busi-
zioni di un'impresa è essenzialmente quella di man- ness.
tenere il rischio ad un livello ritenuto accettabile Occorre, quindi, un'analisi del rischio prelimina-
dal management. re di alto livello orientata alla valutazione degli
Questo assunto apparentemente banale intro- impatti, utilizzando un approccio olistico in grado
duce però due aspetti cruciali del problema: di rappresentare le variabili dinamiche nell'ambito
- il fatto che si tratta di un'opzione strategica dell'Ente inteso come sistema di entità - relazioni.
della direzione e non dell'IT; Solo a valle di tali considerazioni il perimetro di
- la necessità di definire il rischio che si intende certificazione può essere deciso in modo significa-
tollerare. tivo con un razionale che giustifica i successivi inve-
stimenti da realizzare.
Le riflessioni che seguono vogliono fornire un É sulle aree valutate critiche che, con successi-
contributo concettuale al processo di interpreta- vi livelli di approfondimento, deve essere focalizza-
zione della rilevanza organizzativa della gestione ta una analisi del rischio di dettaglio, giungendo fino
del rischio nei confronti di un approccio in atto alle singole componenti tecnologiche che possono
che si connota storicamente come sostanzialmen- rappresentare fonti di rischio e, quindi, individuan-
te tecnologico. do le relative contromisure.
La sicurezza delle informazioni rappresenta un La certificazione degli apparati ICT si configura,
obiettivo di rilevanza strategica che richiede il a sua volta, come una possibile contromisura in
coinvolgimento attivo della direzione/management grado di garantire una particolare efficacia nella
nel tempo al fine di gestire dinamicamente il riduzione delle vulnerabilità dei sistemi, point of fai-
rischio informativo nell'ambito di una strategia lure, che potrebbero essere impropriamente messe
della sicurezza coerente con la strategia di busi- a frutto per effettuare intrusioni dall'esterno.
ness e con la struttura organizzativa Le certificazioni di sistemi e prodotti ICT
dell'Ente/Azienda. secondo gli standard Common Criteria e ITSEC
La certificazione del Sistema di Protezione delle rappresentano, quindi, un'opportunità per gestire i
Informazioni (Information Security Management rischi tecnologici, da valutare in relazione all'entità
System, ISMS) di per sé non rappresenta necessa- dei rischi stessi.
riamente l'attestazione del raggiungimento dell'o- Per orientare la scelta delle contromisure da
biettivo. realizzare, infatti, occorre a monte una visione
La strada della realizzazione di efficaci ISMS è complessiva del rischio e dei possibili impatti al fine
purtroppo lastricata di insuccessi; investimenti di evitare spese inutili e non commisurate ai valori
anche rilevanti non hanno generalmente prodotto da proteggere.
i risultati attesi a causa di una insufficiente defini-
zione degli obiettivi, di una confusa ed imprecisa L'ANALISI DEL RISCHIO
individuazione dei reali rischi e di una valutazione
degli impatti sulle attività praticamente assente nei L'analisi del rischio non è però confinabile ad
processi di Risk Assessment. ambiti puramente tecnologici e non può essere
L'auto-valutazione dei manager, la dimensione indirizzata solo da una visione tecnologica del
globale della progettazione (strategica, organizzati- tema.
va e tecnologica), i confini dell'analisi e i livelli di Infatti, sul piano della gestione strategica, assi-
approfondimento delle vulnerabilità sono infatti curare il giusto equilibrio tra il valore del patrimo-
aspetti discriminanti che, se mal indirizzati, posso- nio da salvaguardare, i rischi cui risulta esposto e
no compromettere l'efficienza ed efficacia di tutto gli investimenti necessari per proteggerlo è
il lavoro. responsabilità di tutta la direzione.
La Comunicazione - numero unico 2004 89NOTE
Giorgio Tonelli - Isabella Marra
Il management deve condividere una serie di mente a tre aspetti: il contributo al business del-
principi e regole e diffondere policy e linee guida a l'asset da proteggere, il livello di rischio accettabile
tutta l'Organizzazione, attuando una funzione di e l'investimento che è opportuno sostenere per
indirizzo, ma anche di governo e coordinamento raggiungere tale livello.
del rischio e della sicurezza. L'analisi del rischio viene, in questo modo, gesti-
I principi organizzativi guida per il Sistema di ta come parte integrante del processo decisionale
Sicurezza sono, in sintesi: e viene applicata a tutte le reali sorgenti di valore
- Governance degli Asset o Asset del business.
Corporate Governance Per fare questo, occorre evidentemente attiva-
- Corretta responsabilizzazione re un presidio diffuso a tutti i livelli della struttura,
- Realizzazione di un presidio globale. evitando l'eccessiva burocratizzazione e la prolife-
razione di ruoli specifici e spesso ridondanti. La via
Per assicurare che le policy e le linee guida ema- è quella di attribuire a ruoli già esistenti anche pre-
nate dalla Asset Corporate Governance di sicurezza cise responsabilità di governo (analisi, gestione e
possano essere effettivamente rese operative, è, monitoraggio) del rischio attraverso l'attuazione di
infatti, indispensabile integrare la struttura organiz- una rete di responsabilità (Responsabile, Refe-
zativa con una rete di responsabilità specifiche (ad rente, Attuatore) che raggiunge ogni singolo mana-
esempio ownership degli asset) attribuite a Presidi ger.
Organizzativi chiaramente definiti in termini di Un tale modello di funzionamento organizzati-
missione e macro attività. vo costituisce un riferimento fondamentale per
La sicurezza non può essere garantita da una realizzare concretamente, in linea con gli indirizzi
funzione (Security management) separata dalle strategici dell'Ente/Organizzazione, i processi della
attività operative, disgiunta dalle responsabilità di gestione del rischio e della sicurezza.
business e misurata su obiettivi di processo; deve É nella speranza di contribuire ad aumentare la
invece essere assicurata dai ruoli aziendali che sensibilità degli stakeholders verso la componente
hanno a disposizione le effettive leve di responsa- organizzativa del rischio e della sicurezza che que-
bilità e di conoscenza della realtà dell'Ente/Azienda sto articolo è stato scritto.
necessarie per prendere decisioni chiave relativa-
90 La Comunicazione - numero unico 2004NOTE
ANCHE L'ITALIA SI DOTA DI UN ORGANISMO CHE CERTIFICA LA SICUREZZA INFORMATICA
(ITALY HAS ESTABLISHED A BODY TO CERTIFY IT COMPUTER SECURITY)
Carmelo Basso anche con l'acronimo LVS), ma opera attivamente
Ministero delle Comunicazioni durante ogni singolo processo di certificazione,
L'Organismo di certificazione della verificando che le azioni dei laboratori risultino
sicurezza di sistemi e prodotti ICT conformi sia alle regole precisate nello Schema
nazionale di riferimento, sia agli standard, e alle
Il DPCM 30 ottobre 2003, pubblicato sulla relative metodologie, riconosciuti a livello mondia-
Gazzetta Ufficiale n.98 del 27 aprile 2004 e adot- le. Tali standard, denominati rispettivamente
tato dal Ministro per l'Innovazione e le Tecnologie Common Criteria [ISO1,2,3,CEM1,2] e ITSEC
di concerto con i Ministri delle Comunicazioni, [ITS1,2], costituiscono oramai dei riferimenti sta-
delle Attività Produttive e dell'Economia e delle bili e collaudati per la conduzione di un processo
Finanze, definisce lo Schema nazionale per la valu- di valutazione e certificazione. In particolare, i cri-
tazione e certificazione della sicurezza di sistemi e teri ITSEC costituiscono il riferimento tecnico
prodotti nel settore della tecnologia dell'informa- europeo sin dal 1991, anche in virtù di una racco-
zione. Tale Schema si affianca a quello creato nel mandazione del 1995 del Consiglio dell'Unione
1995 per consentire la certificazione di sicurezza Europea, mentre i Common Criteria adottati
di sistemi e prodotti che trattano informazioni dall'ISO nel 1999 rappresentano i criteri di riferi-
classificate, ossia rilevanti ai fini della sicurezza mento a livello mondiale e sono stati formalmente
nazionale (ad esempio informazioni in ambienti accettati dall'Unione Europea con una risoluzione
militari). Per quanto riguarda quest'ultimo Schema, del 2002. L'esigenza di rendere gli standard appli-
il ruolo centrale di Organismo di Certificazione è cabili ad un insieme di sistemi/prodotti ICT il più
svolto dall'Autorità Nazionale per la Sicurezza ampio possibile ha portato a non poter definire in
(ANS). Nel caso del nuovo Schema, che sarà utiliz- modo completo e particolareggiato tutte le azioni
zabile in ambito commerciale, ossia per la certifi- che devono essere compiute dagli LVS ed ha reso
cazione di tutti i sistemi e prodotti ICT ai quali non quindi assolutamente necessario un indirizzamen-
si debbano applicare le normative relative alla sicu- to tecnico da parte dell'Organismo di certificazio-
rezza nazionale, l'Organismo di Certificazione è ne che garantisca una uniforme applicazione degli
invece l'Istituto Superiore delle Comunicazioni e standard all'interno dello Schema nazionale. Tale
delle Tecnologie dell'informazione (ISCTI), al quale indirizzamento, peraltro, è necessario che sia
è stata riconosciuta l'esperienza maturata come coerente con quelli che vengono forniti negli altri
Centro di Valutazione (Ce.Va.) autorizzato paesi dotati di analoghi Schemi nazionali, al fine di
dall'ANS ad operare nell'ambito dello Schema estendere ulteriormente l'uniformità di applicazio-
coordinato da tale Autorità. ne degli standard e consentire il mutuo riconosci-
Molti altri paesi in Europa e nell'America del mento dei certificati su scala internazionale.
nord hanno intrapreso iniziative similari, istituendo Nel seguito vengono descritte le norme princi-
i propri Organismi di Certificazione nazionali e pali che regolano il funzionamento dello Schema
raccogliendo in questi anni una mole considerevo- Nazionale in generale e dell'Organismo di
le di attività di certificazione in entrambi i settori, Certificazione in particolare.
sia quello relativo alle informazioni classificate sia
quello commerciale. LO SCHEMA NAZIONALE
La natura marcatamente tecnica dell'attività
degli Organismi di Certificazione della sicurezza All'interno dello Schema nazionale vengono
degli apparati ICT ben si adatta alle caratteristiche definite tutte le procedure e le regole necessarie
di un'organizzazione come l'ISCTI, nonché della per la valutazione e la certificazione della sicurez-
Fondazione Ugo Bordoni che anche in questo deli- za ICT, in conformità ai criteri europei ITSEC o ai
cato settore collabora con l'Istituto. In effetti, a dif- Common Criteria.
ferenza di quanto avviene in altri contesti, Le procedure relative allo Schema nazionale
l'Organismo di certificazione non svolge solo un devono essere osservate dall'Organismo di
ruolo iniziale di accreditamento dei laboratori che Certificazione, dai Laboratori per la Valutazione
eseguono le verifiche in accordo a predefiniti stan- della Sicurezza, nonché da tutti coloro (persone
dard (nel caso in esame i cosiddetti Laboratori per fisiche, giuridiche e qualsiasi altro organismo o
la Valutazione della Sicurezza, indicati nel seguito associazione) cui competono le decisioni in ordine
La Comunicazione - numero unico 2004 91NOTE
Carmelo Basso
alla richiesta, acquisizione, progettazione, realizza- dello Schema nazionale in armonia con i crite-
zione, installazione ed impiego di sistemi e prodot- ri ed i metodi di valutazione;
ti nel settore della tecnologia dell'informazione - la predisposizione delle Linee Guida per la
che necessitano di una certificazione di sicurezza valutazione di prodotti, traguardi di sicurezza,
conforme agli standard internazionali specificati profili di protezione e sistemi, ai fini del fun-
precedentemente. zionamento dello Schema;
L'Organismo di Certificazione determina la - la divulgazione dei princìpi e delle procedure
linea di condotta per l'accreditamento dei relative allo Schema nazionale;
Laboratori per la Valutazione della Sicurezza. - l'accreditamento, la sospensione e la revoca
L'accreditamento degli LVS è l'atto con cui dell'accreditamento degli LVS;
l'Organismo di Certificazione riconosce formal- - la verifica del mantenimento dell'indipenden-
mente l'indipendenza, l'affidabilità e la competenza za, imparzialità, affidabilità, competenze tecni-
tecnica di un Laboratorio per la Valutazione della che e capacità operative da parte degli LVS
Sicurezza. accreditati;
L'utilità primaria della valutazione/certificazione - l'approvazione dei Piani di Valutazione;
della Sicurezza di un sistema/prodotto/PP (Profilo - l'ammissione e l'iscrizione delle valutazioni;
di Protezione) secondo le regole dello Schema è - l'approvazione dei Rapporti Finali di
quella di fornire una stima del livello di sicurezza Valutazione;
secondo standard condivisi da tutti i soggetti coin- - l'emissione dei Rapporti di Certificazione sulla
volti e di garantire che tale stima venga eseguita da base delle valutazioni eseguite dagli LVS;
una terza parte indipendente rispetto ai soggetti - l'emissione e la revoca dei Certificati;
stessi. - la definizione, l'aggiornamento e la diffusione,
Lo Schema riconosce gli accordi internazionali almeno su base semestrale, di una lista di pro-
sull'interpretazione delle norme dei suddetti stan- dotti, sistemi e profili di protezione certificati
dard. e in corso di certificazione;
- la predisposizione, la tenuta e l'aggiornamento
ORGANIZZAZIONE E RUOLI dell'elenco degli LVS accreditati;
- la promozione delle attività per la diffusione
I soggetti coinvolti nel processo di valutazione della cultura della sicurezza nel settore della
e certificazione della sicurezza all'interno dello tecnologia dell'informazione;
Schema nazionale sono: - la formazione, abilitazione e addestramento
- l'Organismo di Certificazione dei Certificatori, personale dipendente
- la Commissione di Garanzia dell'Organismo di Certificazione, nonché dei
- il Laboratorio per la Valutazione della Sicurezza; Valutatori, dipendenti degli LVS e Assistenti, ai
- il Committente; fini dello svolgimento delle attività di valuta-
- il Fornitore; zione;
- l'Assistente. - la predisposizione, tenuta e aggiornamento
dell'elenco dei Certificatori, Valutatori e
L'ORGANISMO DI CERTIFICAZIONE Assistenti.
L'ISCTI del Ministero delle Comunicazioni è L'Organismo di Certificazione riferisce seme-
l'Organismo di Certificazione della sicurezza nel stralmente sull'attività al Dipartimento per
settore della tecnologia dell'informazione. l'Innovazione e le Tecnologie (DIT) della
L'Organismo di Certificazione sovrintende alle Presidenza del Consiglio dei Ministri.
attività operative di valutazione e certificazione Sulla base degli indirizzi stabiliti dal Presidente
nell'ambito dello Schema nazionale attraverso: del Consiglio dei Ministri o, per sua delega, dal
- la predisposizione di regole tecniche in mate- Ministro per l'Innovazione e le Tecnologie e dal
ria di certificazione sulla base delle norme e Ministro delle Comunicazioni, l'Organismo di
direttive nazionali, comunitarie ed internazio- Certificazione cura i rapporti con Organismi di
nali di riferimento; Certificazione esteri congiuntamente con
- il coordinamento delle attività nell'ambito l'Autorità Nazionale di Sicurezza, nonché partecipa
92 La Comunicazione - numero unico 2004NOTE
ANCHE L'ITALIA SI DOTA DI UN ORGANISMO CHE CERTIFICA LA SICUREZZA INFORMATICA
(ITALY HAS ESTABLISHED A BODY TO CERTIFY IT COMPUTER SECURITY)
alle altre attività in ambito internazionale e comu- tore della tecnologia dell'informazione;
nitario riguardanti il mutuo riconoscimento dei - organizzazione in grado di controllare il
Certificati. rispetto delle misure di sicurezza e della qua-
Inoltre, l'Organismo di Certificazione comunica lità previste per il processo di valutazione;
agli LVS qualsiasi cambiamento significativo intro- - disponibilità di personale dotato delle neces-
dotto nello Schema nazionale che possa influenza- sarie competenze tecniche;
re i termini, le condizioni e la durata dell'attività di - conformità ai requisiti specificati nelle norme
valutazione. UNI CEI EN ISO/IEC 17025 e UNI CEI EN
All'interno dell'Organismo di Certificazione 45011 per quanto applicabili;
opera il Certificatore che è addestrato e abilitato - capacità di mantenere nel tempo i requisiti in
dall'Organismo stesso per condurre le attività di virtù dei quali è stato accreditato.
certificazione. L'LVS deve garantire la massima riservatezza su
Ogni controversia inerente alle attività svolte tutte le informazioni acquisite relative all'Oggetto
all'interno dello Schema nazionale deve essere della Valutazione. A tal fine il Committente può
riferita, da qualsiasi soggetto coinvolto nello chiedere la sottoscrizione di un documento nel
Schema nazionale, all'Organismo di Certificazione. quale l'LVS si impegna a mantenere la riservatezza
Nel caso in cui nella controversia sia coinvolto su informazioni tecniche acquisite durante le atti-
anche l'Organismo di Certificazione, o quest'ulti- vità di valutazione.
mo non sia riuscito a dirimerla, la controversia Il Committente è la persona fisica, giuridica o
deve essere riferita alla Commissione di Garanzia. qualsiasi altro organismo che commissiona la valu-
tazione.
GLI ALTRI SOGGETTI DELLO SCHEMA Il Committente può anche rivestire il ruolo di
NAZIONALE Fornitore. Il Committente sceglie il Laboratorio di
Valutazione della Sicurezza e stipula con lo stesso
La Commissione di Garanzia ha il compito di diri- il contratto per la valutazione. Il Committente è
mere ogni tipo di controversia inerente alle attivi- responsabile della fornitura all'LVS del Traguardo di
tà svolte all'interno dello Schema nazionale quan- Sicurezza, dell'Oggetto della Valutazione e di tutto
do nella controversia sia coinvolto anche il Materiale per la Valutazione richiesto nel Piano di
l'Organismo di Certificazione o quando quest'ulti- Valutazione prodotto dall'LVS ed approvato
mo, pur non essendo coinvolto, non sia riuscito a dall'Organismo di Certificazione.
dirimerla. La Commissione di Garanzia è presiedu- Il Fornitore è la persona fisica, giuridica o qual-
ta da un rappresentante del Dipartimento per siasi altro organismo che fornisce l'ODV o parti
l'Innovazione e le Tecnologie della Presidenza del componenti dell'ODV. Il Fornitore può anche rive-
Consiglio dei Ministri. stire il ruolo di Committente della valutazione.
I Laboratori per la Valutazione della Sicurezza L'Assistente è una persona formata, addestrata e
sono accreditati dall'Organismo di Certificazione abilitata dall'Organismo di Certificazione per for-
ed effettuano le valutazioni di sistemi o prodotti nire supporto tecnico al Committente o al
ICT (denominati anche Oggetti Della Valutazione, Fornitore che ne faccia richiesta.All'Assistente può
o più brevemente ODV) o di Profili di Protezione essere richiesta, tra l'altro, un'analisi del Traguardo
(documenti che consentono di definire i requisiti di Sicurezza o del Profilo di Protezione al fine di
di sicurezza da associare ad una prefissata catego- accertare, sulla base anche di eventuale ulteriore
ria di prodotti ICT) secondo lo Schema nazionale documentazione richiesta al Committente, che lo
e sotto il controllo dell'Organismo di Certifica- stesso costituisca una solida base per la conduzio-
zione medesimo. ne del processo di valutazione. A tal fine,
Ai fini dell'accreditamento, l'LVS deve possede- l'Assistente, in ragione delle informazioni di cui dis-
re i seguenti requisiti: pone, verifica l'assenza di elementi che possano
- capacità di garantire l'imparzialità, l'indipen- pregiudicare il buon esito della valutazione. Inoltre,
denza, la riservatezza e l'obiettività, che sono l'Assistente può curare il processo di gestione del
alla base del processo di valutazione; Certificato che viene attivato se il Committente
- disponibilità di locali e mezzi adeguati ad effet- decide di voler mantenere aggiornato nel tempo il
tuare valutazioni ai fini della sicurezza nel set- Certificato.
La Comunicazione - numero unico 2004 93NOTE
Giuseppe Pierri
RIFERIMENTI BIBLIOGRAFICI ottobre 2003
[ISO2] Common Criteria for Information Technology
[CEM1]Common Evaluation Methodology for Security Evaluation, Part 2 - Security functio-
Information Technology Security Evaluation, nal requirements, version 2.1, CCIMB-99-
Part 1 - Introduction and general model; ver- 032, ottobre 2003
sion 0.6, CEM- 97/017, gennaio 1997 [ISO3] Common Criteria for Information Technology
[CEM2]Common Evaluation Methodology for Security Evaluation, Part 3 - Security assu-
Information Technology Security Evaluation, rance requirements, version 2.1, CCIMB-99-
Part 2 - Evaluation Methodology, version 1.0, 033, ottobre 2003
CEM- 99/045, ottobre 2003 [ITS1] Information Technology Security Evaluation
[ISO1] Common Criteria for Information Technology Criteria, version 1.2, giugno 1991
Security Evaluation, Part 1 - Introduction and [ITS2] Information Technology Security Evaluation
general model, version 2.1, CCIMB-99-031, Manual, version 1.0, settembre 1993
Giuseppe Pierri L'Oggetto della Valutazione (ODV) costituisce il
Ministero delle Comunicazioni sistema o prodotto sottoposto alla valutazione.
Il processo di certificazione della sicu-
rezza informatica Il Traguardo di Sicurezza (TDS) è il documento
che specifica le funzioni di sicurezza che l'Oggetto
della Valutazione dovrebbe svolgere, l'ambiente
Il processo di certificazione della sicurezza
operativo in cui l'ODV è destinato ad operare e il
informatica comprende tutte le attività che vengo-
livello di garanzia al quale l'ODV viene valutato.
no svolte durante la valutazione e certificazione di
un sistema/prodotto o anche, nel caso di utilizza-
Il Profilo di Protezione (PP) è il documento che
zione dello standard ISO/IEC IS 15408 (Common
descrive per una certa categoria di ODV ed in
Criteria), di particolari documenti denominati
modo indipendente dalla realizzazione, gli obiettivi
Profili di protezione (Protection Profile). In parti-
di sicurezza, le minacce, l'ambiente ed i requisiti
colare, all'interno del processo di certificazione si
funzionali e di garanzia, definiti secondo i Common
individuano il processo di valutazione, articolato in
Criteria.
tre fasi distinte, e la fase di certificazione. In questo
lavoro vengono descritte analiticamente le suddet-
Il Piano di Valutazione (PDV) è il documento
te fasi allo scopo di fornire tutte le informazioni
che descrive le attività che saranno svolte dal
fondamentali attinenti alla preparazione conduzio-
Laboratorio per la Valutazione della Sicurezza
ne e conclusione di una valutazione, nonché le
(LVS) durante il processo di valutazione, i tempi di
azioni che vengono attuate nella fase di certifica-
esecuzione e le risorse necessarie.
zione, azioni che si concludono con l'emissione del
Rapporto di Certificazione e del relativo
Finalità e requisiti
Certificato.
Il processo di certificazione è finalizzato all'e-
IL PROCESSO DI CERTIFICAZIONE missione di un rapporto in cui viene dichiarato se:
- il Profilo di Protezione è completo, congruen-
Definizioni generali te e tecnicamente corretto;
- il Traguardo di Sicurezza è completo, con-
Nel seguito è riportato un elenco essenziale di gruente, tecnicamente corretto ed adatto ad
definizioni necessarie per la comprensione dei essere usato come base per la valutazione del
paragrafi successivi. corrispondente ODV;
94 La Comunicazione - numero unico 2004NOTE
ANCHE L'ITALIA SI DOTA DI UN ORGANISMO CHE CERTIFICA LA SICUREZZA INFORMATICA
(ITALY HAS ESTABLISHED A BODY TO CERTIFY IT COMPUTER SECURITY)
- l'Oggetto della Valutazione soddisfa il ne, l'Organismo di Certificazione esamina il
Traguardo di Sicurezza al livello di garanzia Rapporto Finale di Valutazione (RFV) e lo utilizza
richiesto. come base per la produzione del Rapporto di
Il processo di valutazione e certificazione deve Certificazione e dell'eventuale Certificato, conclu-
seguire i seguenti quattro principi generali: dendo con questo atto il processo di certificazio-
- imparzialità: la valutazione deve essere con- ne.
dotta senza pregiudizi e, in particolare, deve Nei paragrafi che seguono ciascuna delle 4 fasi
essere possibile dimostrare che l'LVS e i identificate viene descritta in dettaglio.
Valutatori coinvolti non abbiano interessi
commerciali o finanziari dipendenti dall'esito FASE DI PREPARAZIONE
della valutazione stessa;
- obiettività: le conclusioni del processo di valu- Le attività di preparazione della valutazione
tazione devono essere motivate da evidenze sono svolte dall'LVS e dal Committente.
sperimentali ogni qual volta sia possibile, in Il Committente chiede l'intervento dell'LVS,
modo da limitare il più possibile opinioni e specificando il Traguardo di Sicurezza o il Profilo di
valutazioni soggettive; Protezione richiesto.
- ripetibilità: la valutazione dello stesso sistema/ Il Committente potrà ottenere dall'LVS l'indica-
prodotto/PP effettuata con gli stessi requisiti zione del costo delle attività di valutazione.
di sicurezza e dallo stesso LVS deve portare Analoga indicazione potrà essere ottenuta
agli stessi risultati; dall'Organismo di Certificazione per quanto
- riproducibilità: la valutazione dello stesso riguarda l'attività di certificazione.
sistema/ prodotto effettuata con gli stessi Si consiglia il Committente affinché:
requisiti di sicurezza da un diverso LVS deve - tenga conto della necessità di ottenere colla-
portare agli stessi risultati. borazione dal Fornitore per quanto riguarda
le informazioni tecniche e la documentazione
Gli LVS devono garantire, mediante l'adozione richieste per la valutazione;
di specifiche misure, elevati livelli di confidenzialità - qualora l'ODV contenga componenti già cer-
al fine di garantire la riservatezza di informazioni tificati, si predisponga per reperire i documen-
tecnicamente e commercialmente rilevanti riguar- ti più rilevanti del processo di certificazione, in
danti l'ODV e che, se diffuse, potrebbero creare un particolare, il Traguardo di Sicurezza e il
danno al proprietario dell'ODV stesso. Rapporto di Certificazione;
La certificazione stabilisce che la valutazione è - tenga nella dovuta considerazione i costi per
stata condotta conformemente ai criteri necessari il mantenimento del Certificato nel tempo,
a verificare il soddisfacimento del livello di garan- quando previsto;
zia, della robustezza dei meccanismi o delle funzio- - ottenga la disponibilità dei risultati dalla valu-
ni di sicurezza dichiarati e conseguentemente tazione, in modo da poterli riutilizzare in
garantisce i risultati della valutazione stessa. eventuali future attività di valutazione, certifi-
L'Organismo di Certificazione, l'LVS e il cazione e mantenimento.
Committente devono rispettivamente designare
un responsabile per ogni valutazione. L'obiettivo della fase della preparazione è quel-
lo di stimare l'adeguatezza dell'ODV o del PP per
Il processo di certificazione si suddivide in la valutazione, prima dell'inizio della fase di condu-
quattro fasi. Le prime tre fasi identificano il pro- zione.
cesso di valutazione, l'ultima la fase di certificazio- Questo processo è basato sui seguenti elemen-
ne. ti:
Il processo di valutazione è, quindi, articolato - individuazione del TDS;
in: - determinazione della documentazione
- preparazione necessaria per sostenere la valutazione;
- conduzione - accordo su un PDV;
- conclusione. - determinazione dello scopo della valutazione
Nella quarta e ultima fase, quella di certificazio- e analisi delle responsabilità per assicurare
La Comunicazione - numero unico 2004 95NOTE
Giuseppe Pierri
che tutte le parti in causa siano consapevoli zioni dell'Organismo di Certificazione per l'analisi
dei loro compiti; del PDV.
- accettazione formale dei requisiti previsti La valutazione sarà accettata formalmente se
dallo Schema per la valutazione. sussistono tutte le seguenti condizioni:
- l'Organismo di Certificazione avrà ritenuto
Al Committente è richiesto di fornire il adeguato che l'ODV o il PP venga valutato e
Traguardo di Sicurezza e gli ulteriori documenti certificato nell'ambito dello Schema;
che è necessario sviluppare ai fini della valutazione/ - l'Organismo di Certificazione avrà ritenuto
certificazione. L'LVS esamina il Traguardo di adeguati il Traguardo di Sicurezza e il PDV pre-
Sicurezza o il Profilo di Protezione al fine di accer- sentati;
tare, sulla base anche di eventuale ulteriore docu- - il Committente avrà accettato di sostenere
mentazione richiesta al Committente, che IL TDS l'onere finanziario legato alle prestazioni
o PP costituisca una solida base per la conduzione dell'Organismo di Certificazione per le attivi-
del processo di valutazione; ove necessario richie- tà di certificazione.
de modifiche.
L'Organismo di Certificazione comunica for-
Il Materiale per la Valutazione necessario al malmente all'LVS l'esito della richiesta di iscrizione
Valutatore per condurre la valutazione compren- allo Schema, motivando adeguatamente l'eventuale
de: esito negativo e conferma gli oneri dovuti all'OC
- gli elementi hardware, firmware o software per le fasi successive della certificazione. Tale
che costituiscono l'ODV stesso; comunicazione conclude la fase di preparazione
- la documentazione per l'utente dell'ODV; della valutazione.
- la documentazione tecnica di supporto, gene- Successivamente alla comunicazione dell'esito
rata o durante lo sviluppo dell'ODV o per della richiesta di iscrizione allo Schema l'LVS coin-
sostenere il processo di valutazione. volto notifica formalmente all'Organismo di
Certificazione l'effettivo inizio della valutazione,
Per la produzione di tutti i tipi di documenta- attraverso una Notifica di Inizio Lavori (NIL),
zione relativi alla valutazione e certificazione è dando così inizio alla fase di conduzione della valu-
obbligatorio l'uso della lingua italiana, con deroghe tazione.
unicamente concesse a: In caso di esito positivo, si terrà normalmente
- eventuali terminologie in lingua inglese, non una Riunione di Avvio dei Lavori (RAL) in cui
tradotte nel glossario di riferimento dello saranno coinvolti l'Organismo di Certificazione, il
Schema, che siano utilizzate nei documenti Committente, l'LVS e qualsiasi altra entità interes-
originali che descrivono i criteri e le metodo- sata, al fine di discutere qualsiasi aspetto che sia
logie attinente alla valutazione, alla certificazione e alle
- documenti di valutazione e certificazione già specifiche dell'ODV. Tale riunione sarà convocata
esistenti in lingua inglese. dall'OC di sua iniziativa o su richiesta dell'LVS o del
Committente, prima dell'inizio della effettiva fase
Il Piano di Valutazione, che è preparato dall'LVS, di conduzione della valutazione.
specifica il lavoro che deve essere condotto
dall'LVS stesso durante la valutazione. FASE DI CONDUZIONE
Tale piano indirizza tutti gli aspetti che riguar-
dano l'applicazione dei criteri e delle metodologie I Valutatori effettuano l'attività di conduzione
per la valutazione dell'ODV, fornendo inoltre tutte della valutazione tecnica seguendo le modalità det-
le scadenze temporali connesse con l'attività di tagliate nel Piano di Valutazione. Questa attività
valutazione proposta. implica la valutazione imparziale e dettagliata
L'LVS chiede formalmente all'Organismo di dell'ODV in accordo con i criteri di valutazione, al
Certificazione l'iscrizione della valutazione nello fine di determinare in che misura l'ODV realizzi il
Schema, fornendo il Piano di Valutazione predispo- Traguardo di Sicurezza e di identificare eventuali
sto. Contestualmente, il Committente, in modo vulnerabilità sfruttabili.
diretto o attraverso l'LVS, documenta l'avvenuto Se nel corso del lavoro di valutazione vengono
pagamento dell'onere finanziario legato alle presta- rilevati incongruenze, errori o vulnerabilità, devono
96 La Comunicazione - numero unico 2004Puoi anche leggere
