SMAU 2002 Ministero delle Comunicazioni ISTITUTO SUPERIORE C.T.I. - Ufficio 7° Viale America, 201 - 00144 Roma Lo Schema di valutazione e certificazione.

Slides:



Advertisements
Presentazioni simili
Seminario: "La nuova frontiera della sicurezza: i sistemi di gestione"
Advertisements

CENTRO RETE QUALITA' UMBRA
E-GOVERNMENT IN FORTE CRESCITA IN ITALIA
La progettazione secondo la norma internazionale ISO 9001
Ministero della Pubblica Istruzione Ufficio Scolastico Regionale per la Campania DIREZIONE GENERALE POLO QUALITÀ DI NAPOLI a.s. 2007/2008 Istituto Comprensivo.
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
L. De Benedetti: Contributo operativo alla redazione del manuale 1 Dibattito guidato sulle problematiche nella redazione del Manuale Qualità nei laboratori.
Qualità nei laboratori di ricerca e albo laboratori altamente specializzati Workshop, Genova 11 luglio 2002 G.B. Rossi: Considerazioni sulla qualità nei.
ValutaPASSI Gruppo Tecnico PASSI Nazionale Centro Nazionale di Epidemiologia, Sorveglianza e Promozione della Salute (ISS) Incontro Coordinamento Nazionale,
AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.
Le metodologie dellAccreditamento Istituzionale gestite da un ente terzo e la collaborazione ANMDO - CERMET Convegno BEST PRACTICE DEI SERVIZI ESTERNALIZZATI.
Le misure per la qualità dellistruzione e della formazione in Italia e in Europa: un approfondimento sullautovalutazione Monza, 19 settembre 2006 Ismene.
ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE –Il sistema di istruzione e formazione tecnica superiore IFTS è articolato in corsi finalizzati a far conseguire.
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
La certificazione della sicurezza ICT nella PA
Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.
Gestione della Qualità
Provveditorato agli Studi di Palermo
Università degli Studi di Verona Facoltà di Scienze Motorie
1 DFP - Progetto Finalizzato A9 Dipartimento della Funzione Pubblica Presidenza del Consiglio dei Ministri Progetto finalizzato A9 Comunicazione elettronica.
Schema sulla verifica delle Norme di Buona Pratica Clinica presso i Comitati etici e i siti sperimentali, secondo gli orientamenti europei in materia.
05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.
1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.
1 Assessorato Istruzione Diritto allo Studio e Formazione Roma – 23 Novembre 2009 IL SISTEMA DI ACCREDITAMENTO DELLA REGIONE LAZIO REGIONE LAZIO – Assessorato.
PROGETTO MICHAEL Censimento delle collezioni digitalizzate dellAteneo di Trento Convegno "Collezioni digitali di periodici in Italia e in Europa: standard,
La legge Stanca: principi ed attuazione Dott. Antonio De Vanna Responsabile dellUfficio accessibilità dei sistemi informatici Treviso 16 dicembre 2004.
Gaetano Santucci Centro Nazionale per l’Informatica
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
PROCEDURA PER L’ASSEVERAZIONE DELLE IMPRESE
Sistema Gestione Qualità
Il ruolo dei LVS nella sicurezza di prodotti e sistemi ICT
Lo stage Enrica Savoia.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Direttiva 2005/36/CE Relativa al riconoscimento delle qualifiche professionali.
Roma, 3 marzo 2009 Maria Valeria Pennisi
Certificazioni di Sicurezza Informatica”
SISTEMI DI GESTIONE AMBIENTALE E MODELLO EX D. L.GS. 231/01
Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.
ECOCARBON per CSS un Disciplinare Tecnico per il rilascio del Marchio e uno strumento per la reale crescita del mercato ECOMONDO - Rimini, 8 novembre 2013.
Ogni cosa che facciamo influisce sull’ambiente
Mercato Privati - RU MERCATO PRIVATI Referente AR Aprile 2014.
QUALITÀ ISO 9001: Sistemi di gestione per la qualità - Requisiti ScopoUsoLivelloVersioneData Illustrare le normative ISO per la certificazione della qualitàInternoBase /11/2013.
A PROPOSITO DI VALUTAZIONE……
Associazione professionale nazionale legge 4/2013 iscritta nell’elenco del Ministero dello Sviluppo Economico Iniziativa realizzata nell’ambito delle attività.
Ministero dell’Istruzione, dell’ Università e della Ricerca Ufficio Scolastico Regionale per il Piemonte Direzione Generale 1 ESAMI DI STATO 2014/15: FORMAZIONE.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
U.O.C. DIREZIONE TECNICA PATRIMONIALE SERVIZIO DI MANUTENZIONE LA MANUTENZIONE NELLA AUSL RIETI.
La formazione della gente di mare in prospettiva europea:
Sistemi di Gestione per la Qualità
Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.
B-Le norme e la certificazione
Le norme ISO 9000 ed il Manuale della Qualità
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
L’assicurazione di qualità nel Quadro del Processo di Bologna Carla Salvaterra Trieste 15 dicembre 2007.
Accreditamento delle sedi formative di: Costanza Bettoni, con la collaborazione di Laura Evangelista per le schede 18, 19, 20 e 21. Roma, Luglio 2001.
L'UNIONE EUROPEA.
Management e Certificazione della Qualità Prof. Alessandro Ruggieri.
Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.
Elementi costitutivi di un Sistema Qualità Corso di Formazione Residenziale “Il Manuale di Accreditamento della funzione specialistica Nefrologica” Aprile.
Management e Certificazione della Qualità Prof. Alessandro Ruggieri.
Prof.ssa Cecilia Silvestri - A.A. 2014/2015. Punti Norma ISO 9001 Prof.ssa Cecilia Silvestri - A.A. 2014/2015.
Baggiovara,9-23 Ottobre ° giornata Corso formazione CCM Il modello di Accreditamento istituzionale della Regione Emilia-Romagna Baggiovara,9-23 Ottobre.
Tecniche di Gestione della Qualità Prof. Alessandro Ruggieri Prof. Enrico Mosconi A.A
1 Prof.ssa Cecilia Silvestri - A.A. 2014/2015  OBIETTIVO PER LA QUALITÀ: qualcosa cui si aspira o a cui si mira, relativo alla qualità.  MIGLIORAMENTO.
Comunicazione sociale d’impresa: SA8000
ACCREDITAMENTO E VALUTAZIONI DI CONFORMITA’ ACCREDIA - L’Ente Italiano di Accreditamento Certificazioni accreditate per il GPP ACCREDITAMENTO E.
Stato dell’arte sulle attività regionali in materia di ECM Filippo Melita Treviso 11/2/2005.
Prof.ssa Cecilia Silvestri - A.A. 2014/2015. Certificazioni Iso Accredia Iter di Certificazione Prof.ssa Cecilia Silvestri - A.A. 2014/2015.
Transcript della presentazione:

SMAU 2002 Ministero delle Comunicazioni ISTITUTO SUPERIORE C.T.I. - Ufficio 7° Viale America, Roma Lo Schema di valutazione e certificazione italiano Tel. + (39) / 0255 Ing. Giuseppe Pierri Tel. + (39) / 0255 Ministero delle Comunicazioni ISTITUTO SUPERIORE C.T.I. - Ufficio 7° Viale America, Roma Lo Schema di valutazione e certificazione italiano Tel. + (39) / 0255 Ing. Giuseppe Pierri Tel. + (39) / 0255

SMAU 2002 Ministero delle Comunicazioni l'Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione (ISCTI), è lorgano tecnico di ricerca e formazione del Ministero delle Comunicazioni, per le sue potenzialità e caratteristiche, assume un posto di primaria importanza nell'ambito della standardizzazione, ricerca ed erogazione di servizi nel campo delle Telecomunicazioni e della Information Technology.

SMAU 2002 Ministero delle Comunicazioni l'ISCTI, con i suoi laboratori certificati tenuti costantemente aggiornati, offre un sicuro punto di riferimento di consulenza tecnica non solo per il Ministero stesso, ma anche per l'Autorità per le Garanzie nelle Comunicazioni e per quegli altri organismi, pubblici e privati, che hanno come principale attività argomenti come la ricerca, la standardizzazione, le verifiche di laboratorio e la formazione professionale.

SMAU 2002 Ministero delle Comunicazioni SEGRETERIA Le Attività dellISCTI Normazione e standardizzazione; partecipazione a Comitati e Commissioni nazionali ed internazionali; verifiche tecniche su apparati di telecomunicazione, loro certificazione e/o omologazione; assegnazione e controllo delle risorse di numerazione nazionale per servizi telefonici; istruzione tecnico-professionale presso la Scuola Superiore di Specializzazione in Telecomunicazioni (SSST); studi, ricerche e sperimentazioni; ispezioni, servizi, consulenze e collaborazioni; programmi comunitari per lo sviluppo delle Comunicazioni certificazione della sicurezza dei sistemi e prodotti informatici; controllo e standardizzazione delle nuove tecniche di Information Technology (IT);

SMAU 2002 Ministero delle Comunicazioni Sistemi e prodotti IT Si definisce: Sistema IT una specifica installazione informatica utilizzata per scopi ben specificati in un ambiente operativo completamente definito Prodotto IT un pacchetto software o un dispositivo hardware progettato per l'uso e l'installazione in una grande varietà di sistemi

SMAU 2002 Ministero delle Comunicazioni Sicurezza di sistemi e prodotti IT ideali I sistemi e i prodotti informatici (sistemi e prodotti IT) sicuri, da un punto di vista ideale, sono quelli che annullano ogni minaccia sia di tipo accidentale sia di tipo intenzionale impedendo l'uso non autorizzato di servizi salvaguardando riservatezza, integrità e disponibilità dell'informazione elaborata, memorizzata o trasmessa lungo canali di comunicazione

SMAU 2002 Ministero delle Comunicazioni Sicurezza di sistemi e prodotti IT reali La sicurezza è soggettiva Il sistema è ritenuto sicuro quando il rischio è ridotto ad un livello considerato accettabile dal proprietario dei beni La realizzazione di un sistema sicuro può essere condizionata da disponibilità di risorse economiche obbligo del rispetto di leggi e regolamenti (limitazioni nelluso di strumenti crittografici, leggi sulla tutela della privacy, etc.)

SMAU 2002 Ministero delle Comunicazioni Sicurezza di sistemi e prodotti IT reali Le misure di sicurezza vengono scelte attraverso un processo di analisi dei rischi tentando di minimizzare il rapporto costo/beneficio E ammissibile decidere di non contrastare una minaccia se: è poco probabile e/o produce danni trascurabili e/o richiede misure di sicurezza troppo costose I sistemi e i prodotti IT vengono inseriti in contesti aziendali nei quali esiste normalmente una politica di sicurezza generale E necessario rispettare leggi, regolamenti o politiche di sicurezza aziendali preesistenti

SMAU 2002 Ministero delle Comunicazioni Obiettivi di sicurezza Lintenzione di contrastare una minaccia e, eventualmente, quella di rispettare leggi, regolamenti o politiche di sicurezza preesistenti costituisce, secondo la terminologia utilizzata nel campo della valutazione, un obiettivo di sicurezza del prodotto (o del sistema) Il conseguimento degli obiettivi avviene attraverso ladozione di misure di sicurezza

SMAU 2002 Ministero delle Comunicazioni Le misure di sicurezza Le misure di sicurezza Misure di sicurezza IT o Funzioni di sicurezza software, firmware, hardware Misure di sicurezza non IT misure di sicurezza fisiche, procedurali, relative al personale

SMAU 2002 Ministero delle Comunicazioni Valutazione della sicurezza (1) Valutazione della sicurezza (1) La valutazione della sicurezza ha lo scopo di offrire garanzie (assurances) sulla capacità del sistema o prodotto IT di soddisfare i propri obiettivi di sicurezza nellambiente operativo ipotizzato

SMAU 2002 Ministero delle Comunicazioni Valutazione della sicurezza (2) Valutazione della sicurezza (2) I criteri per la valutazione della sicurezza (es: ITSEC, Common Criteria) costituiscono uno strumento per offrire garanzie circa: lefficacia delle funzioni di sicurezza (ad esclusione di alcune) previste per soddisfare gli obiettivi di sicurezza dellODV (oggetto della valutazione) lassenza di errori commessi durante il processo di raffinamento che dalla definizione ad alto livello delle funzioni di sicurezza scelte porta alla loro pratica realizzazione la capacità del ODV di soddisfare i suoi obiettivi di sicurezza anche nella fase operativa

SMAU 2002 Ministero delle Comunicazioni Ottenimento delle garanzie (assurance) attraverso la ricerca diretta di vulnerabilità derivanti da possibili errori nelle fasi di progettazione, realizzazione e gestione dellODV attraverso la verifica che nelle suddette fasi sia stato previsto limpiego di strumenti, metodologie e procedure finalizzati alla riduzione della probabilità di errori

SMAU 2002 Ministero delle Comunicazioni La Certificazione di Sicurezza Organismo di Certificazione ITSEC Common Criteria Laboratori Visite Ispettive

SMAU 2002 Ministero delle Comunicazioni Che cosè la Certificazione Per certificazione si intende la verifica e lattestazione, condotta da terzi enti indipendenti e qualificati, della conformità di un prodotto o sistema, ai requisiti previsti da uno standard o da una norma di riferimento

SMAU 2002 Ministero delle Comunicazioni La Certificazione Lutilità pratica della certificazione: Lutilità pratica della certificazione: - deve basarsi su criteri o standard di riferimento accettati - deve essere rilasciata a seguito di una valutazione tecnica effettuata da laboratori accreditati - deve avvenire nellambito di un schema di certificazione che garantisca la competenza tecnica dei laboratori e limparzialità, loggettività, la ripetibilità e la riproducibilità dellintero processo di certificazione. I benefici della certificazione: - avere garanzie sulla validità del proprio prodotto - dimostrare pubblicamente di essere in grado di proteggere la riservatezza, lintegrità e la disponibilità delle informazioni

SMAU 2002 Ministero delle Comunicazioni La Certificazione Oggettività La certificazione e la valutazione devono avvenire secondo criteri e metodologie che consentono di ridurre al minimo giudizi soggettivi Imparzialità da parte di chi esegue la valutazione e da chi rilascia il certificato Ripetibilità Sottoponendo a revisione nello stesso laboratorio uno stesso prodotto si devono ottenere gli stessi risultati Riproducibilità Sottoponendo a revisione uno stesso prodotto in laboratori differenti si devono ottenere gli stessi risultati

SMAU 2002 Ministero delle Comunicazioni Lo Schema Nazionale Italiano (2) Certificazione dellOC Se la valutazione ha esito positivo:

SMAU 2002 Ministero delle Comunicazioni Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali Sotto la spinta della legge che ha attribuito valore legale ai documenti elettronici con la firma digitale, sta per partire la definizione dello Schema Nazionale applicabile a sistemi o prodotti IT che non trattano informazioni coperte dal Segreto di Stato. Il Ministro delle Comunicazioni, di concerto con il Ministro per lInnovazione e le Tecnologie, ha predisposto un apposito Decreto per listituzione dellOrganismo di Certificazione presso lIstituto Superiore delle Comunicazioni e delle Tecnologie dellInformazione

SMAU 2002 Ministero delle Comunicazioni I compiti dellOC LOrganismo di Certificazione ( appresso denominato OC) verrà istituito tramite un DPCM e riferirà semestralmente al Dipartimento per lInnovazione e le Tecnologie della Presidenza del Consiglio dei Ministri circa le sue attività. I compiti dellOC sono: 1- definire i Criteri di Certificazione in accordo a standard o regole tecniche internazionali; 2- coordinare le attività dello Schema Nazionale in accordo ai Criteri e Metodi stabiliti; 3- produrre le Linee Guida per la valutazione di prodotti, sistemi, security target e protection profiles; 4- pubblicizzare i contenuti dello Schema Nazionale e le sue procedure; Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali

SMAU 2002 Ministero delle Comunicazioni 5- accreditare gli LVS ( Lab. Valutazione Sicurezza) 6- sospendere e revocare laccreditamento 7- verificare che durante il periodo di accreditamento gli LVS siano in grado di assicurare la capacit à ad operare; 8- esaminare e dirimere le controversie interne allo Schema che non coinvolgano l OC stesso; 9- approvare i Piani di Valutazione 10-ammettere e registrare le Valutazioni 11-produrre ogni sei mesi un Rapporto di Attivit à per il Dipartimento per lInnovazione e le Tecnologie della Presidenza del Consiglio dei Ministri 12- rilasciare i Certificati di Valutazione Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali

SMAU 2002 Ministero delle Comunicazioni 13- revocare i certificati per i prodotti/sistemi che operino in ambienti diversi da quelli certificati 14- produrre e pubblicare ogni sei mesi la lista delle entit à certificate 15- gestire l elenco degli LVS 16- formare e qualificare i Certificatori, Valutatori e Assistenti 17- gestire la lista dei Certificatori, Valutatori e Assistenti qualificati 18- diffondere la Information Technology Security Culture 19- gestire i collegamenti con gli OC esteri Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali

SMAU 2002 Ministero delle Comunicazioni Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali E già stata redatta la prima versione delle linee guida per la conduzione delle valutazioni. In particolare si è tenuto conto sia delle metodologie ITSEC sia degli standard COMMON CRITERIA. Le linee guida sono suddivise in tre sezioni: 1) descrizione Generale dello Schema nazionale; 2) accreditamento dei Laboratori; 3) procedure di valutazione.

SMAU 2002 Ministero delle Comunicazioni Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali E di fondamentale importanza il compito dellOC di uniformare lapplicazione delle metodologie e dei criteri di riferimento per la conduzione delle valutazioni. Il personale dellOC già partecipa al gruppo di lavoro internazionale : CCRA (Common Criteria Recognition Arrangement) che si occupa sia dellinterpretazione, stesura dei Common Criteria sia del mutuo riconoscimento dei certificati emessi dai vari Stati a fronte della loro corretta applicazione.

SMAU 2002 Ministero delle Comunicazioni Accreditamento degli LVS I laboratori dovranno essere conformi alla norma EN ed inoltre dovranno soddisfare ulteriori requisiti riguardanti gli aspetti sulla sicurezza informatica. Questi ultimi sono in fase di elaborazione in collaborazione con il SINAL. Ogni anno è prevista una visita ispettiva di sorveglianza per assicurare il mantenimento dei requisiti. L OC redige un elenco di tutti gli LVS accreditati. Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali

SMAU 2002 Ministero delle Comunicazioni Schema nazionale per la valutazione di prodotti e sistemi informatici commerciali Accreditamento degli LVS I Ce.Va. già accreditati dallANS/UCSi dovranno essere conformi ai requisiti concordati dallOC e dal SINAL.

SMAU 2002 Ministero delle Comunicazioni Descrizione dello Schema (1) Vengono definiti ruoli di tutti i soggetti coinvolti nello schema: –Organismo di Certificazione (OC) –Referente (Dipartimento per lInnovazione e le Tecnologie) –SINAL (Organismo di Accreditamento dei Laboratori – EN 17025) –Laboratori per la Valutazione della sicurezza (LVS) –Finanziatore della valutazione –Fornitore dellOggetto della valutazione (ODV) –Assistente (consulenza di pre-valutazione: preparazione documentazione, stima della probabilità di successo della valutazione)

SMAU 2002 Ministero delle Comunicazioni Descrizione dello Schema (2) Fasi del processo di valutazione e certificazione: –Preparazione –Conduzione –Conclusione

SMAU 2002 Ministero delle Comunicazioni Preparazione Target di sicurezza (TS) Piano di Valutazione (PDV) Materiale per la valutazione Riunione di avvio dei lavori Accettazione formale della valutazione

SMAU 2002 Ministero delle Comunicazioni Conduzione Rapporti di attività di valutazione Rapporti di osservazione (anomalie e vulnerabilità) Incontri periodici avanzamento lavori Supervisione dellOC Eventuale ripianificazione delle attività

SMAU 2002 Ministero delle Comunicazioni Conclusione Produzione del Rapporto finale di valutazione (LVS) Esame del rapporto finale di valutazione (OC) Produzione del Rapporto di certificazione e del relativo Certificato Inclusione dellODV nella lista dei prodotti certificati