SMAU 2002 Ministero delle Comunicazioni ISTITUTO SUPERIORE C.T.I. - Ufficio 7° Viale America, Roma Lo Schema di valutazione e certificazione italiano Tel. + (39) / 0255 Ing. Giuseppe Pierri Tel. + (39) / 0255 Ministero delle Comunicazioni ISTITUTO SUPERIORE C.T.I. - Ufficio 7° Viale America, Roma Lo Schema di valutazione e certificazione italiano Tel. + (39) / 0255 Ing. Giuseppe Pierri Tel. + (39) / 0255
SMAU 2002 Ministero delle Comunicazioni l'Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione (ISCTI), è lorgano tecnico di ricerca e formazione del Ministero delle Comunicazioni, per le sue potenzialità e caratteristiche, assume un posto di primaria importanza nell'ambito della standardizzazione, ricerca ed erogazione di servizi nel campo delle Telecomunicazioni e della Information Technology.
SMAU 2002 Ministero delle Comunicazioni l'ISCTI, con i suoi laboratori certificati tenuti costantemente aggiornati, offre un sicuro punto di riferimento di consulenza tecnica non solo per il Ministero stesso, ma anche per l'Autorità per le Garanzie nelle Comunicazioni e per quegli altri organismi, pubblici e privati, che hanno come principale attività argomenti come la ricerca, la standardizzazione, le verifiche di laboratorio e la formazione professionale.
SMAU 2002 Ministero delle Comunicazioni SEGRETERIA Le Attività dellISCTI Normazione e standardizzazione; partecipazione a Comitati e Commissioni nazionali ed internazionali; verifiche tecniche su apparati di telecomunicazione, loro certificazione e/o omologazione; assegnazione e controllo delle risorse di numerazione nazionale per servizi telefonici; istruzione tecnico-professionale presso la Scuola Superiore di Specializzazione in Telecomunicazioni (SSST); studi, ricerche e sperimentazioni; ispezioni, servizi, consulenze e collaborazioni; programmi comunitari per lo sviluppo delle Comunicazioni certificazione della sicurezza dei sistemi e prodotti informatici; controllo e standardizzazione delle nuove tecniche di Information Technology (IT);
SMAU 2002 Ministero delle Comunicazioni Sistemi e prodotti IT Si definisce: Sistema IT una specifica installazione informatica utilizzata per scopi ben specificati in un ambiente operativo completamente definito Prodotto IT un pacchetto software o un dispositivo hardware progettato per l'uso e l'installazione in una grande varietà di sistemi
SMAU 2002 Ministero delle Comunicazioni Sicurezza di sistemi e prodotti IT ideali I sistemi e i prodotti informatici (sistemi e prodotti IT) sicuri, da un punto di vista ideale, sono quelli che annullano ogni minaccia sia di tipo accidentale sia di tipo intenzionale impedendo l'uso non autorizzato di servizi salvaguardando riservatezza, integrità e disponibilità dell'informazione elaborata, memorizzata o trasmessa lungo canali di comunicazione
SMAU 2002 Ministero delle Comunicazioni Sicurezza di sistemi e prodotti IT reali La sicurezza è soggettiva Il sistema è ritenuto sicuro quando il rischio è ridotto ad un livello considerato accettabile dal proprietario dei beni La realizzazione di un sistema sicuro può essere condizionata da disponibilità di risorse economiche obbligo del rispetto di leggi e regolamenti (limitazioni nelluso di strumenti crittografici, leggi sulla tutela della privacy, etc.)
SMAU 2002 Ministero delle Comunicazioni Sicurezza di sistemi e prodotti IT reali Le misure di sicurezza vengono scelte attraverso un processo di analisi dei rischi tentando di minimizzare il rapporto costo/beneficio E ammissibile decidere di non contrastare una minaccia se: è poco probabile e/o produce danni trascurabili e/o richiede misure di sicurezza troppo costose I sistemi e i prodotti IT vengono inseriti in contesti aziendali nei quali esiste normalmente una politica di sicurezza generale E necessario rispettare leggi, regolamenti o politiche di sicurezza aziendali preesistenti
SMAU 2002 Ministero delle Comunicazioni Obiettivi di sicurezza Lintenzione di contrastare una minaccia e, eventualmente, quella di rispettare leggi, regolamenti o politiche di sicurezza preesistenti costituisce, secondo la terminologia utilizzata nel campo della valutazione, un obiettivo di sicurezza del prodotto (o del sistema) Il conseguimento degli obiettivi avviene attraverso ladozione di misure di sicurezza
SMAU 2002 Ministero delle Comunicazioni Le misure di sicurezza Le misure di sicurezza Misure di sicurezza IT o Funzioni di sicurezza software, firmware, hardware Misure di sicurezza non IT misure di sicurezza fisiche, procedurali, relative al personale
SMAU 2002 Ministero delle Comunicazioni Valutazione della sicurezza (1) Valutazione della sicurezza (1) La valutazione della sicurezza ha lo scopo di offrire garanzie (assurances) sulla capacità del sistema o prodotto IT di soddisfare i propri obiettivi di sicurezza nellambiente operativo ipotizzato
SMAU 2002 Ministero delle Comunicazioni Valutazione della sicurezza (2) Valutazione della sicurezza (2) I criteri per la valutazione della sicurezza (es: ITSEC, Common Criteria) costituiscono uno strumento per offrire garanzie circa: lefficacia delle funzioni di sicurezza (ad esclusione di alcune) previste per soddisfare gli obiettivi di sicurezza dellODV (oggetto della valutazione) lassenza di errori commessi durante il processo di raffinamento che dalla definizione ad alto livello delle funzioni di sicurezza scelte porta alla loro pratica realizzazione la capacità del ODV di soddisfare i suoi obiettivi di sicurezza anche nella fase operativa
SMAU 2002 Ministero delle Comunicazioni Ottenimento delle garanzie (assurance) attraverso la ricerca diretta di vulnerabilità derivanti da possibili errori nelle fasi di progettazione, realizzazione e gestione dellODV attraverso la verifica che nelle suddette fasi sia stato previsto limpiego di strumenti, metodologie e procedure finalizzati alla riduzione della probabilità di errori
SMAU 2002 Ministero delle Comunicazioni La Certificazione di Sicurezza Organismo di Certificazione ITSEC Common Criteria Laboratori Visite Ispettive
SMAU 2002 Ministero delle Comunicazioni Che cosè la Certificazione Per certificazione si intende la verifica e lattestazione, condotta da terzi enti indipendenti e qualificati, della conformità di un prodotto o sistema, ai requisiti previsti da uno standard o da una norma di riferimento
SMAU 2002 Ministero delle Comunicazioni La Certificazione Lutilità pratica della certificazione: Lutilità pratica della certificazione: - deve basarsi su criteri o standard di riferimento accettati - deve essere rilasciata a seguito di una valutazione tecnica effettuata da laboratori accreditati - deve avvenire nellambito di un schema di certificazione che garantisca la competenza tecnica dei laboratori e limparzialità, loggettività, la ripetibilità e la riproducibilità dellintero processo di certificazione. I benefici della certificazione: - avere garanzie sulla validità del proprio prodotto - dimostrare pubblicamente di essere in grado di proteggere la riservatezza, lintegrità e la disponibilità delle informazioni
SMAU 2002 Ministero delle Comunicazioni La Certificazione Oggettività La certificazione e la valutazione devono avvenire secondo criteri e metodologie che consentono di ridurre al minimo giudizi soggettivi Imparzialità da parte di chi esegue la valutazione e da chi rilascia il certificato Ripetibilità Sottoponendo a revisione nello stesso laboratorio uno stesso prodotto si devono ottenere gli stessi risultati Riproducibilità Sottoponendo a revisione uno stesso prodotto in laboratori differenti si devono ottenere gli stessi risultati
SMAU 2002 Ministero delle Comunicazioni Lo Schema Nazionale Italiano (2) Certificazione dellOC Se la valutazione ha esito positivo:
SMAU 2002 Ministero delle Comunicazioni Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali Sotto la spinta della legge che ha attribuito valore legale ai documenti elettronici con la firma digitale, sta per partire la definizione dello Schema Nazionale applicabile a sistemi o prodotti IT che non trattano informazioni coperte dal Segreto di Stato. Il Ministro delle Comunicazioni, di concerto con il Ministro per lInnovazione e le Tecnologie, ha predisposto un apposito Decreto per listituzione dellOrganismo di Certificazione presso lIstituto Superiore delle Comunicazioni e delle Tecnologie dellInformazione
SMAU 2002 Ministero delle Comunicazioni I compiti dellOC LOrganismo di Certificazione ( appresso denominato OC) verrà istituito tramite un DPCM e riferirà semestralmente al Dipartimento per lInnovazione e le Tecnologie della Presidenza del Consiglio dei Ministri circa le sue attività. I compiti dellOC sono: 1- definire i Criteri di Certificazione in accordo a standard o regole tecniche internazionali; 2- coordinare le attività dello Schema Nazionale in accordo ai Criteri e Metodi stabiliti; 3- produrre le Linee Guida per la valutazione di prodotti, sistemi, security target e protection profiles; 4- pubblicizzare i contenuti dello Schema Nazionale e le sue procedure; Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali
SMAU 2002 Ministero delle Comunicazioni 5- accreditare gli LVS ( Lab. Valutazione Sicurezza) 6- sospendere e revocare laccreditamento 7- verificare che durante il periodo di accreditamento gli LVS siano in grado di assicurare la capacit à ad operare; 8- esaminare e dirimere le controversie interne allo Schema che non coinvolgano l OC stesso; 9- approvare i Piani di Valutazione 10-ammettere e registrare le Valutazioni 11-produrre ogni sei mesi un Rapporto di Attivit à per il Dipartimento per lInnovazione e le Tecnologie della Presidenza del Consiglio dei Ministri 12- rilasciare i Certificati di Valutazione Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali
SMAU 2002 Ministero delle Comunicazioni 13- revocare i certificati per i prodotti/sistemi che operino in ambienti diversi da quelli certificati 14- produrre e pubblicare ogni sei mesi la lista delle entit à certificate 15- gestire l elenco degli LVS 16- formare e qualificare i Certificatori, Valutatori e Assistenti 17- gestire la lista dei Certificatori, Valutatori e Assistenti qualificati 18- diffondere la Information Technology Security Culture 19- gestire i collegamenti con gli OC esteri Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali
SMAU 2002 Ministero delle Comunicazioni Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali E già stata redatta la prima versione delle linee guida per la conduzione delle valutazioni. In particolare si è tenuto conto sia delle metodologie ITSEC sia degli standard COMMON CRITERIA. Le linee guida sono suddivise in tre sezioni: 1) descrizione Generale dello Schema nazionale; 2) accreditamento dei Laboratori; 3) procedure di valutazione.
SMAU 2002 Ministero delle Comunicazioni Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali E di fondamentale importanza il compito dellOC di uniformare lapplicazione delle metodologie e dei criteri di riferimento per la conduzione delle valutazioni. Il personale dellOC già partecipa al gruppo di lavoro internazionale : CCRA (Common Criteria Recognition Arrangement) che si occupa sia dellinterpretazione, stesura dei Common Criteria sia del mutuo riconoscimento dei certificati emessi dai vari Stati a fronte della loro corretta applicazione.
SMAU 2002 Ministero delle Comunicazioni Accreditamento degli LVS I laboratori dovranno essere conformi alla norma EN ed inoltre dovranno soddisfare ulteriori requisiti riguardanti gli aspetti sulla sicurezza informatica. Questi ultimi sono in fase di elaborazione in collaborazione con il SINAL. Ogni anno è prevista una visita ispettiva di sorveglianza per assicurare il mantenimento dei requisiti. L OC redige un elenco di tutti gli LVS accreditati. Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali
SMAU 2002 Ministero delle Comunicazioni Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali Accreditamento degli LVS I Ce.Va. già accreditati dallANS/UCSi dovranno essere conformi ai requisiti concordati dallOC e dal SINAL.
SMAU 2002 Ministero delle Comunicazioni Descrizione dello Schema (1) Vengono definiti ruoli di tutti i soggetti coinvolti nello schema: –Organismo di Certificazione (OC) –Referente (Dipartimento per lInnovazione e le Tecnologie) –SINAL (Organismo di Accreditamento dei Laboratori – EN 17025) –Laboratori per la Valutazione della sicurezza (LVS) –Finanziatore della valutazione –Fornitore dellOggetto della valutazione (ODV) –Assistente (consulenza di pre-valutazione: preparazione documentazione, stima della probabilità di successo della valutazione)
SMAU 2002 Ministero delle Comunicazioni Descrizione dello Schema (2) Fasi del processo di valutazione e certificazione: –Preparazione –Conduzione –Conclusione
SMAU 2002 Ministero delle Comunicazioni Preparazione Target di sicurezza (TS) Piano di Valutazione (PDV) Materiale per la valutazione Riunione di avvio dei lavori Accettazione formale della valutazione
SMAU 2002 Ministero delle Comunicazioni Conduzione Rapporti di attività di valutazione Rapporti di osservazione (anomalie e vulnerabilità) Incontri periodici avanzamento lavori Supervisione dellOC Eventuale ripianificazione delle attività
SMAU 2002 Ministero delle Comunicazioni Conclusione Produzione del Rapporto finale di valutazione (LVS) Esame del rapporto finale di valutazione (OC) Produzione del Rapporto di certificazione e del relativo Certificato Inclusione dellODV nella lista dei prodotti certificati