smau 2002 ministero delle comunicazioni istituto superiore c.t.i. - ufficio 7° viale america, 201 -...

SMAU 2002Ministero delle Comunicazioni

Ministero delle Comunicazioni

ISTITUTO SUPERIORE C.T.I. - Ufficio 7°ISTITUTO SUPERIORE C.T.I. - Ufficio 7° Viale America, 201 - 00144 RomaViale America, 201 - 00144 Roma

“Lo Schema di valutazione e certificazione italiano”

Ing. Giuseppe Pierri

Tel. + (39) 065444.2271 / 0255Tel. + (39) 065444.2271 / 0255

[email protected]@istsupcti.it

Ministero delle Comunicazioni

ISTITUTO SUPERIORE C.T.I. - Ufficio 7°ISTITUTO SUPERIORE C.T.I. - Ufficio 7° Viale America, 201 - 00144 RomaViale America, 201 - 00144 Roma

“Lo Schema di valutazione e certificazione italiano”

Ing. Giuseppe Pierri

Tel. + (39) 065444.2271 / 0255Tel. + (39) 065444.2271 / 0255

[email protected]@istsupcti.it


l'Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione

(ISCTI), è l’organo tecnico di ricerca e formazione del Ministero delle Comunicazioni,

per le sue potenzialità e caratteristiche, assume un posto di primaria importanza

nell'ambito della standardizzazione, ricerca ed erogazione di servizi nel campo delle Telecomunicazioni e della Information

Technology.


l'ISCTI, con i suoi laboratori certificati tenuti costantemente aggiornati, offre un sicuro punto di riferimento di consulenza tecnica non solo per il Ministero stesso, ma anche per l'Autorità per le Garanzie nelle Comunicazioni e per quegli altri

organismi, pubblici e privati, che hanno come principale attività argomenti come la ricerca, la standardizzazione, le verifiche di laboratorio e la formazione professionale.


SEGRETERIA

Le Attività dell’ISCTI

Normazione e standardizzazione;

partecipazione a Comitati e Commissioni nazionali ed internazionali;

verifiche tecniche su apparati di telecomunicazione, loro certificazione e/o omologazione;

assegnazione e controllo delle risorse di numerazione nazionale per servizi telefonici;

istruzione tecnico-professionale presso la Scuola Superiore di Specializzazione in Telecomunicazioni (SSST);

studi, ricerche e sperimentazioni;

ispezioni, servizi, consulenze e collaborazioni;

programmi comunitari per lo sviluppo delle Comunicazioni

certificazione della sicurezza dei sistemi e prodotti informatici;

controllo e standardizzazione delle nuove tecniche di Information Technology (IT);


Sistemi e prodotti ITSi definisce:

Sistema IT una specifica installazione informatica utilizzata per scopi

ben specificati in un ambiente operativo completamente definito

Prodotto ITun pacchetto software o un dispositivo hardware

progettato per l'uso e l'installazione in una grande varietà di sistemi


Sicurezza di sistemi e prodotti IT idealiSicurezza di sistemi e prodotti IT ideali

I sistemi e i prodotti informatici (sistemi e prodotti IT) sicuri, da un punto di vista ideale, sono quelli che annullano ogni minaccia sia di tipo accidentale sia di tipo intenzionale

impedendo l'uso non autorizzato di servizi

salvaguardando riservatezza, integrità e disponibilità dell'informazione elaborata, memorizzata o trasmessa lungo canali di comunicazione


Sicurezza di sistemi e prodotti IT realiSicurezza di sistemi e prodotti IT reali

La sicurezza è soggettivaIl sistema è ritenuto sicuro quando il rischio è ridotto ad un livello considerato accettabile dal proprietario dei beni

La realizzazione di un sistema sicuro può essere condizionata dadisponibilità di risorse economiche obbligo del rispetto di leggi e regolamenti (limitazioni nell’uso di strumenti crittografici, leggi sulla tutela della privacy, etc.)


Sicurezza di sistemi e prodotti IT realiSicurezza di sistemi e prodotti IT reali

Le misure di sicurezza vengono scelte attraverso un processo di analisi dei rischi tentando di minimizzare il rapporto costo/beneficioE’ ammissibile decidere di non contrastare una minaccia se: è poco probabile e/o produce danni trascurabili e/o richiede misure di sicurezza troppo costose

I sistemi e i prodotti IT vengono inseriti in contesti aziendali nei quali esiste normalmente una politica di sicurezza generaleE’ necessario rispettare leggi, regolamenti o politiche di sicurezza aziendali preesistenti


Obiettivi di sicurezzaObiettivi di sicurezza

L’intenzione di contrastare una minaccia e, eventualmente, quella di rispettare leggi, regolamenti o politiche di sicurezza preesistenti costituisce, secondo la terminologia utilizzata nel campo della valutazione, un obiettivo di sicurezza del prodotto (o del sistema)

Il conseguimento degli obiettivi avviene attraverso l’adozione di misure di sicurezza


Le misure di sicurezzaLe misure di sicurezza

Misure di sicurezza IT o Funzioni di sicurezzasoftware, firmware, hardware

Misure di sicurezza non ITmisure di sicurezza fisiche, procedurali, relative al personale


Valutazione della sicurezza (1)Valutazione della sicurezza (1)

La valutazione della sicurezza ha lo scopo di offrire garanzie (assurances) sulla capacità del sistema o prodotto IT di soddisfare i propri obiettivi di sicurezza nell’ambiente operativo ipotizzato


Valutazione della sicurezza (2)Valutazione della sicurezza (2) I criteri per la valutazione della sicurezza (es: ITSEC, Common Criteria) costituiscono uno strumento per offrire garanzie circa:

l’efficacia delle funzioni di sicurezza (ad esclusione di alcune) previste

per soddisfare gli obiettivi di sicurezza dell’ODV (“oggetto della valutazione”)

l’assenza di errori commessi durante il processo di raffinamento che dalla definizione ad alto livello delle funzioni di sicurezza scelte porta alla loro pratica realizzazione

la capacità del ODV di soddisfare i suoi obiettivi di sicurezza anche nella fase operativa


Ottenimento delle garanzie Ottenimento delle garanzie ((assurance)assurance)

attraverso la ricerca diretta di vulnerabilità derivanti da possibili errori nelle fasi di progettazione, realizzazione e gestione dell’ODV

attraverso la verifica che nelle suddette fasi sia stato previsto l’impiego di strumenti, metodologie e procedure finalizzati alla riduzione della probabilità di errori


La Certificazione di SicurezzaLa Certificazione di Sicurezza

Organismo di CertificazioneOrganismo di Certificazione

ITSECITSEC

Common CriteriaCommon Criteria

Laboratori Laboratori

Visite IspettiveVisite Ispettive


Che cos’è la CertificazioneChe cos’è la Certificazione

Per certificazione si intende la Per certificazione si intende la

verifica e l’attestazione, condotta da verifica e l’attestazione, condotta da

terzi enti indipendenti e qualificati, terzi enti indipendenti e qualificati,

della conformità di un prodotto o della conformità di un prodotto o

sistema, ai requisiti previsti da uno sistema, ai requisiti previsti da uno

standard o da una norma di standard o da una norma di

riferimentoriferimento


La Certificazione

L’utilità pratica della certificazioneL’utilità pratica della certificazione::- deve basarsi su criteri o standard di riferimento accettati

- deve essere rilasciata a seguito di una valutazione tecnica effettuata da laboratori accreditati

- deve avvenire nell’ambito di un schema di certificazione che garantisca la competenza tecnica dei laboratori e l’imparzialità, l’oggettività, la ripetibilità

e la riproducibilità dell’intero processo di certificazione.

I benefici della certificazione:

- avere garanzie sulla validità del proprio prodotto

- dimostrare pubblicamente di essere in grado di proteggere la riservatezza, l’integrità e la disponibilità delle informazioni


La CertificazioneLa Certificazione

OggettivitàOggettivitàLa certificazione e la valutazione devono avvenire secondo criteri e La certificazione e la valutazione devono avvenire secondo criteri e metodologie che consentono di ridurre al minimo giudizi soggettivimetodologie che consentono di ridurre al minimo giudizi soggettivi

ImparzialitàImparzialitàda parte di chi esegue la valutazione e da chi rilascia il certificatoda parte di chi esegue la valutazione e da chi rilascia il certificato

RipetibilitàRipetibilitàSottoponendo a revisione nello stesso laboratorio uno stesso prodotto si Sottoponendo a revisione nello stesso laboratorio uno stesso prodotto si devono ottenere gli stessi risultatidevono ottenere gli stessi risultati

RiproducibilitàRiproducibilitàSottoponendo a revisione uno stesso prodotto in laboratori differenti si Sottoponendo a revisione uno stesso prodotto in laboratori differenti si devono ottenere gli stessi risultatidevono ottenere gli stessi risultati


Lo Schema Nazionale Italiano (2)Lo Schema Nazionale Italiano (2)

Certificazione dell’OCCertificazione dell’OC

Se la valutazione ha esito positivoSe la valutazione ha esito positivo::


Schema nazionale per la valutazione di prodotti e Schema nazionale per la valutazione di prodotti e sistemi informatici commercialisistemi informatici commerciali

Sotto la spinta della legge che ha attribuito valore legale ai documenti elettronici con la firma digitale, sta per partire la definizione dello Schema Nazionale applicabile a sistemi o prodotti IT che non trattano informazioni coperte dal Segreto di Stato.

Il Ministro delle Comunicazioni, di concerto con il Ministro per l’Innovazione e le Tecnologie, ha predisposto un apposito Decreto per l’istituzione dell’Organismo di Certificazione presso l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione


I compiti dell’OC

L’Organismo di Certificazione ( appresso denominato OC) verrà istituito tramite un DPCM e riferirà semestralmente al Dipartimento per l’Innovazione e le Tecnologie della Presidenza del Consiglio dei Ministri circa le sue attività.I compiti dell’OC sono: 1- definire i Criteri di Certificazione in accordo a standard o regole tecniche internazionali; 2- coordinare le attività dello Schema Nazionale in accordo ai Criteri e Metodi stabiliti; 3- produrre le Linee Guida per la valutazione di prodotti, sistemi, security target e protection profiles; 4- pubblicizzare i contenuti dello Schema Nazionale e le sue procedure;



5- accreditare gli LVS ( Lab. Valutazione Sicurezza)6- sospendere e revocare l’accreditamento7- verificare che durante il periodo di accreditamento gli LVS siano in grado di assicurare la capacità ad operare; 8- esaminare e dirimere le controversie interne allo Schema che non coinvolgano l’OC stesso; 9- approvare i Piani di Valutazione10-ammettere e registrare le Valutazioni11-produrre ogni sei mesi un Rapporto di Attività per il

Dipartimento per l’Innovazione e le Tecnologie della Presidenza del Consiglio dei Ministri 12- rilasciare i Certificati di Valutazione



13- revocare i certificati per i prodotti/sistemi che operino in ambienti diversi da quelli certificati

14- produrre e pubblicare ogni sei mesi la lista delle entità certificate15- gestire l’elenco degli LVS16- formare e qualificare i Certificatori, Valutatori e Assistenti17- gestire la lista dei Certificatori, Valutatori e Assistenti qualificati18- diffondere la Information Technology Security Culture19- gestire i collegamenti con gli OC esteri




E’ già stata redatta la prima versione delle linee guida per la conduzione delle valutazioni.

In particolare si è tenuto conto sia delle metodologie ITSEC sia degli standard COMMON CRITERIA.

Le linee guida sono suddivise in tre sezioni:

1) descrizione Generale dello Schema nazionale;

2) accreditamento dei Laboratori;

3) procedure di valutazione.



• E’ di fondamentale importanza il compito dell’OC di uniformare l’applicazione delle metodologie e dei criteri di riferimento per la conduzione delle valutazioni.

• Il personale dell’OC già partecipa al gruppo di lavoro internazionale :

• CCRA (Common Criteria Recognition Arrangement) che si occupa sia dell’interpretazione , stesura dei Common Criteria sia del mutuo riconoscimento dei certificati emessi dai vari Stati a fronte della loro corretta applicazione.


Accreditamento degli LVS

I laboratori dovranno essere conformi alla norma EN 17025 ed inoltre dovranno soddisfare ulteriori requisiti riguardanti gli aspetti sulla sicurezza informatica.Questi ultimi sono in fase di elaborazione in collaborazione con il SINAL.Ogni anno è prevista una visita ispettiva di sorveglianza per assicurare il mantenimento dei requisiti.L’OC redige un elenco di tutti gli LVS accreditati.




• Accreditamento degli LVS

I Ce.Va. già accreditati dall’ANS/UCSi dovranno essere conformi ai requisiti concordati dall’OC e dal SINAL.


Descrizione dello Schema (1)Vengono definiti ruoli di tutti i soggetti coinvolti nello schema:

– Organismo di Certificazione (OC)

– Referente (Dipartimento per l’Innovazione e le Tecnologie)

– SINAL (Organismo di Accreditamento dei Laboratori – EN 17025)

– Laboratori per la Valutazione della sicurezza (LVS)

– Finanziatore della valutazione

– Fornitore dell’Oggetto della valutazione (ODV)

– Assistente (consulenza di pre-valutazione: preparazione documentazione, stima della probabilità di successo della valutazione)


Descrizione dello Schema (2)

• Fasi del processo di valutazione e certificazione:

– Preparazione

– Conduzione

– Conclusione


Preparazione

• Target di sicurezza (TS)

• Piano di Valutazione (PDV)

• Materiale per la valutazione

• Riunione di avvio dei lavori

• Accettazione formale della valutazione


Conduzione

• Rapporti di attività di valutazione

• Rapporti di osservazione (anomalie e vulnerabilità)

• Incontri periodici avanzamento lavori

• Supervisione dell’OC

• Eventuale ripianificazione delle attività


Conclusione• Produzione del Rapporto finale di

valutazione (LVS)• Esame del rapporto finale di valutazione

(OC)• Produzione del Rapporto di certificazione e

del relativo Certificato• Inclusione dell’ODV nella lista dei prodotti

certificati

smau 2002 ministero delle comunicazioni istituto superiore c.t.i. - ufficio 7° viale america, 201 -...

Documents