Per gentile concessione di ISCOM ripubblichiamo il presente articolo, già apparso su Divulgazione, la rivista elettronica di comunicazioni, note, recensioni e notizie di ISCOM. La versione originale è disponibile in formato pdf  (50 K).
L’articolo è stato scritto da Luisa Franchina, Marco Carbonelli, Laura Gratta

Sommario

Il DPCM del 30 ottobre 2003 ha individuato nell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCOM) del Ministero delle Comunicazioni l’Organismo di Certificazione della sicurezza nel settore della tecnologia dell’informazione (OCSI). Il ruolo dell’OCSI è quello di sovrintendere tutte le attività connesse con la valutazione e certificazione di sistemi/prodotti nell'ambito dello Schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione. In questa memoria sono brevemente delineate le varie figure che operano nello Schema nazionale, e le modalità di svolgimento di un processo di certificazione.

Abstract

According to the Italian law DPCM / 30-10-2003 the High Institute for Communications and Technologies in the Italian Ministry for Communications (ISCOM) has been identified as National Certification Body in the field of Information Security.The role of this body is to supervise all the activities related to the evaluation and certification of IT systems/products.In this paper,the main entities operating in the National Certification Scheme are introduced, and the procedures and activities connected with the certification process are described.


Il decreto “Approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione”, GU n. 98 del 27-4-2004 del Ministro per l’Innovazione e le Tecnologie di concerto con i Ministri delle Comunicazioni, delle Attività Produttive e dell’Economia e delle Finanze, ha istituito dell’Organismo di Certificazione italiano per la sicurezza dei sistemi e dei prodotti nel settore della tecnologia dell’informazione. Tale atto si pone come naturale termine di un percorso che è stato individuato e seguito in questi ultimi anni anche da numerosi altri Stati nazionali, sia in Europa sia nel resto del mondo, e soddisfa l’esigenza di dotare il Paese di un organo indipendente e autorevole in grado di emettere certificazioni di sicurezza per i prodotti commerciali, a fronte dello svolgimento di verifiche attuate in conformità ai criteri internazionali Common Criteria e ITSEC [1-7].

In particolare, il decreto riconosce che l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCOM) del Ministero delle Comunicazioni possiede i requisiti di indipendenza, affidabilità e competenza tecnica richiesti dalla decisione della Commissione Europea del 6 novembre 2000 (2000/709/CE) e stabilisce che: “l’ISCOM è l’Organismo di Certificazione della sicurezza nel settore della tecnologia dell’informazione, anche ai sensi dell’articolo 10 del decreto legislativo 23 gennaio 2002, n. 10 e dell’articolo 3, paragrafo 4 della direttiva 1999/93/CE”. In seguito all’approvazione del decreto, l’ISCOM ha dato avvio alle attività dell’Organismo di Certificazione della Sicurezza Informatica (OCSI), procedendo in primo luogo alla definizione di sette Linee Guida Provvisorie della Schema, che regolamentano tutte le attività svolte nell’ambito dello Schema stesso.
Nel capitolo 1 è descritto il ruolo delle varie figure che operano nello schema, mentre nel capitolo 2 sono brevemente delineate le modalità di svolgimento di un processo di certificazione.

1. Le figure operanti nello schema

Il processo di che conduce alla certificazione di un sistema/prodotto ICT è complesso e richiede il coinvolgimento di varie entità con competenze differenti. Nell’ambito dello Schema Nazionale operano quindi, oltre all’OCSI, vari soggetti, il cui ruolo è descritto nei paragrafi seguenti.

1.1. L'OCSI:compiti e organizzazione

In base al decreto, l’Organismo di Certificazione della Sicurezza Informatica sovrintende a tutte le attività connesse con la certificazione di sistemi/prodotti (indicati nel seguito come ODV, Oggetto della Valutazione) nell'ambito dello Schema nazionale attraverso azioni quali:

• la predisposizione di regole tecniche in materia di certificazione sulla base delle norme e direttive nazionali, comunitarie ed internazionali di riferimento;
• il coordinamento delle attività nell’ambito dello Schema nazionale in armonia con i criteri ed i metodi di valutazione; • l’accreditamento, la sospensione e la revoca dell’accreditamento dei Laboratori di Valutazione della Sicurezza; • l’emissione e la revoca dei Certificati;
• la promozione delle attività per la diffusione della cultura della sicurezza nel settore della tecnologia dell’informazione; • la formazione, abilitazione e addestramento dei Certificatori, personale dipendente dell’Organismo di Certificazione, nonché dei Valutatori, dipendenti degli LVS e Assistenti, ai fini dello svolgimento delle attività di valutazione.
• la cura dei rapporti con Organismi di Certificazione esteri, congiuntamente con l’Autorità Nazionale di Sicurezza.

L'OCSI è caratterizzato nella sua struttura da:

1. una Direzione dell'Organismo che è rappresentata dal Direttore dell'ISCOM, coadiuvato da due vice-direttori;
2. nove aree operative, che si occupano rispettivamente di:
• Processi di certificazione;
• Attività di pre-certificazione e accreditamento;
• Attività di laboratorio e supporto tecnico alla certificazione;
• Analisi di meccanismi di sicurezza;
• Normativa internazionale;
• Formazione, abilitazione e normativa nazionale;
• Promozione della certificazione e applicazione dei criteri;
• Progetti speciali;
• Gestione amministrativa.
3. un reparto dedicato al controllo della qualità.

Come si può osservare, l'attività dell'OCSI non si limita alla mera supervisione delle valutazioni e emissione dei certificati, ma abbraccia attraverso le sue divisioni anche di aspetti di più ampio respiro, quali quelli di ricerca e sviluppo nell'ambito della Sicurezza Informatica direttamente attraverso propri laboratori, di partecipazione attiva alla produzione della normativa internazionale e al suo recepimento in ambito nazionale, di promozione a livello nazionale della Sicurezza Informatica attraverso campagne informative e raccomandazioni tecniche operative.

1.2. I Laboratori per la Valutazione della Sicurezza

I Laboratori per la Valutazione della Sicurezza (LVS) sono accreditati dall’Organismo di Certificazione ed effettuano le valutazioni di sistemi o prodotti secondo lo Schema nazionale e sotto il controllo dell’Organismo di Certificazione. Inoltre, l’LVS può svolgere attività di assistenza al Committente nelle varie fasi di una valutazione.  
I Valutatori devono essere indipendenti nello svolgimento delle loro attività. Il Valutatore è formato, addestrato ed abilitato dall’Organismo di Certificazione a condurre le attività di valutazione.
Qualora uno o più Valutatori di un LVS diano assistenza ad un Fornitore o Committente per un sistema/prodotto o parte di esso, gli stessi non potranno partecipare alla valutazione dello stesso sistema/prodotto.

1.3. Il Committente

Il Committente è la persona fisica, giuridica o qualsiasi altro organismo che commissiona la valutazione, e può anche rivestire il ruolo di Fornitore.
Il Committente sceglie il Laboratorio di Valutazione della Sicurezza e stipula con lo stesso il contratto per la valutazione. Successivamente alla stipula del contratto, l’LVS richiede all’Organismo di Certificazione l’iscrizione della valutazione nello Schema nazionale. Il Committente è responsabile della fornitura all'LVS dell’Oggetto della Valutazione e di tutto il Materiale per la Valutazione richiesto.

1.4. Il Fornitore

Il Fornitore è la persona fisica, giuridica o qualsiasi altro organismo che fornisce l’ODV o parti componenti dell'ODV. Il Fornitore può anche rivestire il ruolo di Committente della valutazione.  Nel caso in cui il Committente non sia anche il Fornitore, sarà necessario che quest'ultimo si renda disponibile a cooperare con il Committente nel processo di valutazione e certificazione, fornendo le informazioni tecniche e la documentazione in suo possesso richieste per la valutazione.

1.5. L’Assistente

L'Assistente è una persona formata, addestrata e abilitata dall’Organismo di Certificazione per fornire supporto tecnico al Committente o al Fornitore che ne faccia richiesta. All'Assistente può essere richiesta, tra l'altro, la redazione della documentazione di valutazione. Inoltre, l'Assistente può curare il processo di gestione del Certificato che, in base allo schema nazionale, segue l’emissione del certificato stesso.

1.6. La Commissione di Garanzia

La Commissione di Garanzia ha il compito di dirimere ogni tipo di controversia inerente alle attività svolte all’interno dello Schema nazionale quando nella controversia sia coinvolto anche l’Organismo di Certificazione o quando quest’ultimo, pur non essendo coinvolto, non sia riuscito a dirimerla. La Commissione di Garanzia è presieduta da un membro prescelto dal Dipartimento per l’Innovazione e le Tecnologie della Presidenza del Consiglio dei Ministri e vede rappresentati al suo interno:

• il Ministro per l’Innovazione e le Tecnologie;
• il Ministero delle Comunicazioni;
• il Ministero delle Attività Produttive;
• il Ministero dell’Economia e delle Finanze;
• altri Ministeri che risultino interessati al funzionamento dello Schema nazionale;
• l’ISCTI;
• i Laboratori per la Valutazione della Sicurezza;
• i Fornitori;
• le Associazioni dei Consumatori.

L’organizzazione interna e la gestione della Commissione ricade sotto il controllo del DIT.

2. Il processo di certificazione

Il processo di certificazione comprende tutte le attività che vengono svolte durante la valutazione e certificazione di un sistema/prodotto ICT.
In particolare, si individuano il processo di valutazione, articolato in tre fasi distinte, e la fase di certificazione.
Nel par. 2.1 vengono descritti gli elementi fondamentali delle varie fasi del processo di valutazione. Nel par.2.2 si descrive la fase di certificazione che conduce all’emissione del Rapporto di Certificazione e del Certificato.

2.1. Il processo di valutazione

Per poter comprendere le modalità di conduzione di una valutazione e di emissione del certificato, è necessario introdurre alcuni concetti chiave.
Il Traguardo di Sicurezza (TDS) è il documento che specifica le funzioni di sicurezza che l’Oggetto della Valutazione dovrebbe svolgere, l’ambiente operativo in cui l’ODV è destinato ad operare e il livello di garanzia al quale l’ODV viene valutato.  
Il Piano di Valutazione (PDV) è il documento che descrive le attività che saranno svolte dal Laboratorio per la Valutazione della Sicurezza durante il processo di valutazione, i tempi di esecuzione e le risorse necessarie.  
Il processo di valutazione è finalizzato all’emissione di un rapporto in cui viene dichiarato se:  
il Traguardo di Sicurezza è completo, congruente, tecnicamente corretto ed adatto ad essere usato come base per la valutazione del corrispondente ODV,
l’Oggetto della Valutazione soddisfa il Traguardo di Sicurezza al livello di garanzia richiesto.

Il processo di valutazione deve seguire i seguenti quattro principi generali:  

1. imparzialità: la valutazione deve essere condotta senza pregiudizi e, in particolare, deve essere possibile dimostrare che l’LVS e i Valutatori coinvolti non abbiano interessi commerciali o finanziari dipendenti dall’esito della valutazione stessa;  
2. obiettività: le conclusioni del processo di valutazione devono essere motivate da evidenze sperimentali ogni qual volta sia possibile, in modo da limitare il più possibile opinioni e valutazioni soggettive;  
3. ripetibilità: la valutazione dello stesso sistema/prodotto/PP effettuata con gli stessi requisiti di sicurezza e dallo stesso LVS deve portare agli stessi risultati;
4. riproducibilità: la valutazione dello stesso sistema/prodotto effettuata con gli stessi requisiti di sicurezza da un diverso LVS deve portare agli stessi risultati. 

La certificazione stabilisce che la valutazione è stata condotta conformemente ai criteri necessari a verificare il soddisfacimento del livello di garanzia, della robustezza dei meccanismi o delle funzioni di sicurezza dichiarati e conseguentemente garantisce i risultati della valutazione stessa

Il processo di valutazione è articolato in tre fasi distinte: denominate di preparazione, conduzione e di conclusione, descritte nel seguito.  

Preparazione della valutazione

Le attività di preparazione della valutazione sono svolte dall'LVS e dal Committente al fine di predisporre il Traguardo di Sicurezza in modo tale che costituisca una solida base per la conduzione del processo di valutazione.  
L'LVS, in ragione delle informazioni di cui dispone, verifica l’assenza di elementi che possano pregiudicare il buon esito della valutazione e predispone il Piano di Valutazione; tale PDV viene presentato all’Organismo di Certificazione che lo esamina e, una volta riconosciuta la sua adeguatezza, lo approva.

Conduzione della valutazione

Le attività di conduzione della valutazione sono svolte dall'LVS, con il supporto del Committente, sotto la supervisione dell’Organismo di Certificazione. L’LVS conduce la valutazione dell’Oggetto della Valutazione svolgendo le attività previste nel Piano di Valutazione  L’LVS può produrre, per il Committente e l’OC, Rapporti di Osservazione finalizzati alla richiesta di chiarimenti o modifiche all’Oggetto della Valutazione, al Traguardo di Sicurezza o al Materiale per la Valutazione.
L'LVS produce, per l’Organismo di Certificazione, Rapporti di Attività (RA) per l’aggiornamento sullo stato e sui risultati delle varie attività di valutazione.
L’OC sovrintende la valutazione mediante l’analisi dei Rapporti di Attività, dei Rapporti di Osservazione, e attraverso le eventuali riunioni di aggiornamento.

Conclusione della valutazione

Terminate le attività di valutazione, l’LVS redige il Rapporto Finale di Valutazione (RFV) in cui, sulla base dei risultati dei Rapporti di Attività, documenta i verdetti intermedi e finali emessi con le relative giustificazioni.

2.2. La fase di certificazione

Nella fase di certificazione, l’Organismo di Certificazione esamina il Rapporto Finale di Valutazione (RFV) e lo utilizza come base per la produzione del Rapporto di Certificazione e dell’eventuale Certificato, concludendo con questo atto il processo di certificazione.

È importante ricordare che la certificazione stabilisce che l’LVS ha condotto la valutazione conformemente ai criteri, svolgendo tutte le attività elencate nel PDV e previste per il livello di garanzia prescelto. Inoltre, le verifiche sono mirate a stabilire la correttezza e l’efficacia delle funzioni di sicurezza dichiarate nel Traguarda di Sicurezza. Di conseguenza, la certificazione può essere intesa come un giudizio sulla sicurezza dell’ODV unicamente se la si riferisce al contesto dichiarato nel Traguardo di Sicurezza.

3. Riferimenti

[1] CCIMB-2004-01-001, “Common Criteria for Information Technology Security Evaluation, Part 1 – Introduction and general model”, version 2.2, gennaio 2004
[2] CCIMB-2004-01-002, “Common Criteria for Information Technology Security Evaluation, Part 2 – Security functional requirements”, version 2.2, gennaio 2004
[3] CCIMB-2004-01-003, “Common Criteria for Information Technology Security Evaluation, Part 3 – Security assurance requirements”, version 2.2, gennaio 2004
[4] CEM-97/017,“Common Evaluation Methodology for Information Technology Security Evaluation, Part 1 – Introduction and general model”; version 0.6, gennaio 1997
[5] CCIMB-2004-01-004, “Common Evaluation Methodology for Information Technology Security
Evaluation, Part 2 – Evaluation Methodology”, version 2.2, gennaio 2004
[6] Information Technology Security Evaluation Criteria, version 1.2, giugno 1991
[7] Information Technology Security Evaluation Manual, version 1.0, settembre 1993

IsacaRoma Newsletter link

• Fattori critici per lo sviluppo delle certificazioni di sicurezza secondo i Common Criteria 
• Le pagine dedicate a ISCOM