CNIPA  ha pubblicato il secondo bollettino sull’attività di vigilanza nei confronti dei certificatori di firma digitale (pdf, 44 K o doc, 79 K). Nel bollettino si annuncia che entro l'anno cinque certificatori accreditati saranno oggetto di ispezione di vigilanza secondo i criteri indicati nel bollettino stesso.

Schema delle specifiche

Il bollettino contiene le “Linee guida” per le ispezioni secondo lo schema delle specifiche tecniche europee ETSI TS 101 456 e del Technical Report ETSI TR 102 437 redatto dallo European Telecommunications Standard Institute – ETSI nell’ambito della European Electronic Signature Standardisation Iniziative – EESSI, lanciata nel 1999 su impulso della Commissio-ne Europea con lo scopo di fornire una adeguata base tecnica alla Direttiva 1999/93/CE.

Struttura del documento

Le “Linee guida” indica i requisiti tecnico-giuridici dell’attività di certificatore qualificato ed un particolare:

• i dispositivi  giuridici applicabili;
• le attività operative e di supporto che il certificatore deve svolgere per rendere possibili le operazioni di vigilanza;
• le attività sulle quali si può basare il valutatore nello svolgimento della sua attività.

Come avviene l’ispezione?

Il certificatore, a richiesta, deve esibire la documentazione che dimostri il rispetto dei requisiti di legge e di sicurezza, in conformità, ove applicabile, con gli standard prodotti da ETSI e da ISO/IEC.
Il certificatore "dovrebbe" essere almeno in possesso di:

• verbali di ispezioni effettuate presso le proprie sedi e presso le sedi di eventuali fornitori esterni;
• verbali di prove di ripartenza dei sistemi e del recupero di dati dai siti di backup;
• documentazione relativa alle misure correttive adottate per gestire le situa-zioni anomale riscontrate durante le ispezioni.

Ispezioni previste nel 2006

Entro la fine dell’anno verranno effettuate ispezioni presso cinque certificatori. La data esatta della singola ispezione sarà comunicata al certificatore interessato con un breve anticipo (minimo: 48 ore).
Il prossimo numero del bollettino – previsto per l’inizio del 2007 - riporterà la sintesi dei risultati delle prime cinque attività di vigilanza e il calendario di massima dell’intero piano di ispezioni del 2007.

IsacaRoma Newsletter link

• CNIPA: monografia sulla firma digitale
• CNIPA: la Continuità Operativa delle pubbliche amministrazioni: parte prima e seconda
• CNIPA, seminario di studio sulla continuità operativa nella PA

Chi è Manlio Torquato?

Manlio si occupa di sicurezza informatica da tanti anni. È tra i fondatori dell'Associazione Nazionale Esperti di Sicurezza e Compliance (ANESC)
Per IsacaRoma Newsletter ha scritto:

• CNIPA: monografia sulla firma digitale
• K-NET: Privacy Audit Checklist
• NIST: Guida (in bozza) alla sicurezza dei sistemi RFID
• Dal vulnerability assessment al vulnerability management
• NIST: Guida ai Sistemi di Intrusion Detection e Prevention (IDP)
• La macchina del tempo – luglio 2004 
• L’Italia secondo il Critical Information Infrastructure Protection (CIIP) Handbook
• Letture sotto l’ombrellone per i Security Manager
• Phishing – attacco all’autenticazione a due fattori
• Zero day attack 

 Contatti?