La recente legge per la tutela dei dati personaliha posto la sicurezza informatica al centro del dibattito sullaprivacy.

Nell'articolo precedente dedicato a questo argomentosono state evidenziate le tappe fondamentali che hanno caratterizzatol'evoluzione dei criteri per la valutazione della sicurezza. Inparticolare, si è visto come l'uso di una raccolta di criteriben definita ed internazionalmente accettata presenta, ad unabreve analisi, questi vantaggi:

1. favorisce una migliore comprensione del risultatodella valutazione,
2. facilita il riconoscimento del risultato dellavalutazione anche in paesi stranieri,
3. agevola la scelta di prodotti e sistemi informatici,creando parametri uniformi per valutarne le caratteristiche disicurezza,
4. semplifica il confronto, dal punto di vista dellasicurezza, tra sistemi e prodotti diversi.

Peraltro il risultato dell'operazione di valutazionenon può essere un certificato che dichiara in termini assolutied incontrovertibili la sicurezza di un sistema o di un prodottoinformatico. In tutti gli approcci alla valutazione di sicurezzaoggi accettati, il risultato della valutazione stessa è,piuttosto, la stima della fiducia cioè l'affidabilità(in termine tecnico assurance) che può essere ripostanella capacità del sistema o del prodotto di soddisfarele esigenze di sicurezza dell'utilizzatore. Negli approcci correntementeseguiti, il livello di affidabilità deve, naturalmente,essere stimato da un soggetto estraneo ed indipendente che svolgela funzione di valutatore. Inoltre l'affidabilitàviene determinata non solo in base caratteristiche intrinsechedell'oggetto da valutare, ma anche tenendo conto di alcune variabilie precisamente:

1. il rigore con cui il valutatore indipendenteanalizza l'oggetto della valutazione e la sua documentazione
2. la severità dei requisiti che vengonoimposti dai criteri sull'ambiente e sul processo di sviluppo dell'oggettostesso.

Ovviamente, il rigore dell'analisi e la severitàdei requisiti crescono in misura direttamente proporzionale rispettoal livello di affidabilità desiderato. In questo contesto,i criteri:

1. forniscono una scala di valori per la misurazionedell'affidabilità dell'oggetto analizzato;
2. specificano gli aspetti e la documentazioneda prendere in considerazione nell'operazione di valutazione;
3. individuano le azioni che il valutatore devecompiere;
4. stabiliscono i requisiti dell'ambiente e delprocesso di analisi;
5. fissano le modalità di descrizionedell'oggetto da valutare e, eventualmente, delle funzioni di sicurezzache questo deve offrire.

I criteri, infine, per coinvolgere nel processo divalutazione tutte le parti interessate, definiscono i ruoli, icompiti e le aspettative di utilizzatori, produttori e valutatoridei sistemi e prodotti informatici.

Questo approccio è simile a quello tipicamenteseguito nell'area dei controlli di qualità ed implica chela valutazione può essere condotta solo se il soggettoche la richiede specifica a priori a quale livello di affidabilitàaspira in quanto le azioni che il valutatore deve compiere dipendonoda tale livello.

Un sistema sottoposto a valutazione di sicurezzaoffre ben definite garanzie di affidabilità. Inoltre, aseguito delle modifiche introdotte nella normativa italiana controla criminalità informatica, l'uso di sistemi valutati renderàpiù facilmente perseguibili gli autori di eventuali frodi,costituendo quindi un ulteriore elemento di dissuasione per eventualiattaccanti

Con questo studio ci proponiamo di esaminare dettagliatamentei cosiddetti criteri ITSEC (acronimo di Information TechnologySecurity Evaluation Criteria)⁽¹⁾ chenascono dal tentativo condotto da alcune nazioni, e recepito dagliorgani istituzionali dell'Unione Europea, di armonizzare i criteridi valutazione della sicurezza informatica⁽²⁾.

2. CHE COSA SONO I CRITERI ITSEC?

La valutazione della sicurezza dei sistemi e prodottiinformatici è un'operazione molto complessa poiché,per essere significativa, deve tener conto di una variegata gammadi elementi sia interni che esterni al sistema o prodotto considerato.Nell'approccio al problema della sicurezza informatica èsempre tenere presente che non basta progettare un sistema aventesofisticati meccanismi di protezione se questo sarà successivamenteutilizzato da personale, non sufficientemente sensibilizzato aiproblemi di sicurezza, che lascia incustoditi dischetti e tabulaticontenenti informazioni riservate. Occorrerà tenere presenteanche la variabile "umana" e valutare in che modo essaincide sul sistema.

In generale le misure di sicurezza possono esseresuddivise nelle seguenti due categorie:

- misure di sicurezza tecniche, realizzate dameccanismi hardware, firmware o software;

- misure di sicurezza non tecniche, di tipo fisico,procedurale o sul personale.

I criteri ITSEC affrontano principalmente il problemadella valutazione delle misure di sicurezza tecniche, ma consideranoanche specifici aspetti non tecnici nel caso in cui questi sianonecessari per il corretto funzionamento delle misure tecniche.Dal campo di applicabilità dei criteri sono esplicitamenteesclusi alcuni aspetti (perché generalmente sono oggettodi normative specifiche) come ad esempio: il controllo delle emissionielettromagnetiche, l'uso di contenitori resistenti all'effrazione,la qualità degli algoritmi e dei protocolli crittografici.In particolare, con riferimento ai meccanismi crittografici, icriteri richiedono esplicitamente che questi siano certificatida un apposito organismo costituito in ogni Paese.

I criteri ITSEC hanno come obiettivo la valutazionesia di sistemi che di prodotti informatici. Secondo la terminologiaITSEC, un sistema informatico è un apparato utilizzatoper scopi ben specificati in un ambiente operativo completamentedefinito; un prodotto informatico, invece, è un pacchettosoftware o un dispositivo hardware progettato per l'uso e l'installazionein una grande varietà di sistemi. Poiché un sistemaè progettato per soddisfare i requisiti di un particolaregruppo di utenti finali e di un particolare ambiente operativo,lo studio dei relativi problemi di sicurezza può essereeffettuato con riferimento alle reali condizioni di impiego. Alcontrario chi progetta un prodotto può solamente cercaredi soddisfare esigenze di sicurezza di tipo generico, non conoscendoa priori l'ambiente in cui esso verrà utilizzato. Malgradoqueste differenze ITSEC prevede che sistemi e prodotti siano valutatisecondo gli stessi criteri.

In ITSEC, l'oggetto dell'analisi è detto obiettivodi valutazione⁽³⁾ mentre lapersona o l'ente che richiede la valutazione è dettosponsor. La valutazione di un sistema viene effettuata inrelazione all' obiettivo di sicurezza⁽⁴⁾ cheè un documento costituito dai seguenti quattro elementi:

1. una cosiddetta politica di sicurezza del sistema(che è denominata System Security Policy) nel casosia in discussione la vautazione di un sistema o una definizionedelle caratteristiche funzionali del prodotto (che si chiama tecnicamenteProduct Rationale) nel caso oggetto della analisi di sicurezzasiano i prodotti informatici;
   1. una specifica delle funzioni di sicurezza chepermettono il conseguimento degli obiettivi individuati;
2. il livello minimo dichiarato di robustezza deimeccanismi (in termine tecnico strength of mechanisms);
3. il livello di valutazione che si desidera conseguire.

Esiste poi un ulteriore elemento, che puòessere discrezionalmente proposto dallo sponsor, costituitodalla definizione dei meccanismi di sicurezza richiesti.

L'individuazione del livello di sicurezza viene definitaesclusivamente dallo sponsor. il quale identificati gliobiettivi di sicurezza del sistema sulla base dell'analisi deirequisiti operativi del sistema o del prodotto, dell'ambienteoperativo reale (nel caso dei sistemi) o presunto (nel caso deiprodotti) per il quale il livello di sicurezza è pensatoe delle minacce alla sicurezza (reali o presunte). All'identificazionedegli obiettivi di sicurezza contribuiscono, inoltre, gli aspettilegali e ogni altro regolamento particolare, come ad esempio l'eventualepolitica di sicurezza dell'ente nell'ambito del quale la valutazionedovrà essere eseguita. Gli obiettivi così identificatipermettono di individuare le funzioni di sicurezza che l'operazionedi valutazione deve fornire e di stabilire il livello di fiduciain tali funzioni più adeguato al contesto delineatosi nelcorso delle analisi.

Nel caso dei sistemi, le minacce e gli obiettividi sicurezza concorrono alla definizione della cosiddetta systemsecurity policy definita come l'insieme delle leggi regolee pratiche che stabiliscono come le informazioni e le risorsecritiche per la sicurezza devono essere gestite, protette e distribuiteall'interno del sistema. La system security policy devecoprire tutti gli aspetti di sicurezza del sistema incluse lemisure di sicurezza di tipo fisico, procedurale e sul personale.

Vale la pena precisare in modo esplicito che i processiche portano all'identificazione delle minacce e degli obiettividi sicurezza e in definitiva alla costruzione di un securitytarget , non sono oggetto di valutazione; in altre parolestabilire se un determinato security target è adeguatoalle specifiche esigenze di sicurezza dello sponsor nonè, secondo l'approccio ITSEC, compito del valutatore.

Peraltro è necessario evidenziare che i criteriITSEC definiscono tre diversi stili di specifica che lo sponsordeve utilizzare nella stesura della documentazione: informale,semi-formale e formale. Una specifica informale è scrittain linguaggio naturale, una specifica semi-formale richiede l'usodi una notazione ristretta in accordo con un insieme di convenzionipredefinite e infine una specifica formale è scritta tramiteuna notazione fondata su rigorosi principi matematici.

Va infine ricordato che i criteri ITSEC hanno peroggetto la valutazione tanto dei sistemi quanto dei prodotti informatici.Tuttavia, per mera comodità espositiva, faremo sempre riferimentoalla valutazione dei sitemi informatici, sottintendendo che lemedesime regole disciplinano l'analoga operazione compiuta neiconfronti dei prodotti informatici.

3. FUNZIONI DI SICUREZZA

La descrizione delle funzioni di sicurezza⁽⁵⁾costituisce la parte più importante del securitytarget. L'approccio ITSEC, a differenza di quello dei criteristatunitensi TCSEC (meglio noti come Orange Book ), lascialibertà di scelta delle funzioni di sicurezza. Allo scopodi semplificare il lavoro dei valutatori, i criteri ITSEC suggerisconol'ordinamento delle funzioni di sicurezza in gruppi. A tal finei criteri raccomandano (ma non impongono) l'uso dei seguenti ottogruppi generici (generic headings):

1) IDENTIFICATION AND AUTHENTICATION- a questo gruppo appartengono tutte le funzioni il cui scopoè permettere di verificare l'identità degli utentiche chiedono l'accesso a risorse controllate dal sistema informatico;come è noto, l'identificazione viene usualmente effettuatadal sistema informatico controllando la corrispondenza tra informazionifornite dall'utente e informazioni, già note al sistemainformatico, associate all'utente stesso. Esempi di funzioni inquesto gruppo sono le funzioni che permettono il controllo suddetto,le funzioni che consentono l'inclusione e l'eliminazione di utentidall'elenco di quelli autorizzati ad accedere alle risorse delsistema informatico, le funzioni che mirano a limitare l'efficaciadi vari tipi di attacco alla procedura d'identificazione (comead esempio quello mediante ricerca esaustiva di una password);

2) ACCESS CONTROL- a questo gruppo appartengono tutte le funzioni il cui scopoè controllare il flusso delle informazioni fra processie l'uso delle risorse da parte dei processi stessi; esempi difunzioni in questo gruppo sono le funzioni che permettono la gestionedei diritti d'accesso e la loro verifica, le funzioni che miranoa limitare il problema dell'inferenza, le funzioni che miranoa limitare temporaneamente l'accesso agli oggetti simultaneamenteaccessibili da più processi in modo da salvaguardarne l'accuratezzae la congruenza;

3) ACCOUNTABILITY- a questo gruppo appartengono tutte le funzioni che hanno loscopo di tenere traccia delle azioni delle varie entità(utenti o processi) in modo che le conseguenze di tali azionipossano essere addebitate a chi le ha svolte;

4) AUDIT - a questogruppo appartengono tutte le funzioni che hanno lo scopo di registraree analizzare gli eventi che potrebbero rappresentare una minacciaalla sicurezza; a questo gruppo appartengono anche funzioni dianalisi sofisticate come quelle che prevedono la creazione diun modello statistico del funzionamento del sistema informaticoe che tentano di individuare eventuali attacchi alla sua sicurezzasulla base delle osservazioni di comportamenti che si scostano,in modo poco plausibile, da tale modello; il confine tra le funzioniin questo gruppo e quelle nel gruppo precedente è spessopoco definito;

5) OBJECT REUSE- a questo gruppo appartengono tutte le funzioni il cui scopoè permettere la riutilizzazione di spazi di memoria centraleo di massa impedendo che questo costituisca una minaccia allasicurezza; esempi di funzioni in questo gruppo sono le funzioniche permettono la cancellazione o l'inizializzazione di supportiriutilizzabili (dischi, nastri, memorie e simili) quando non sonoin uso;

6) ACCURACY - aquesto gruppo appartengono tutte le funzioni il cui scopo èevitare qualunque tipo di modifica illecita dei dati; esempi difunzioni in questo gruppo sono le funzioni che permettono di prevenire,o almeno rivelare, alterazioni, cancellazioni e inclusioni dinuove parti nei dati scambiati tra processi o passati da un oggettoad un altro;

7) RELIABILTY OF SERVICE -a questo gruppo appartengono tutte le funzioni che assicuranoche le risorse siano accessibili e utilizzabili su richiesta daqualsiasi entità autorizzata entro tempi prefissati;

8) DATA EXCHANGE- a questo gruppo appartengono tutte le funzioni il cui scopoè quello di garantire la sicurezza dei dati durante laloro trasmissione su canali di comunicazione insicuri.

Nei casi pratici molti sistemi hanno obiettivi disicurezza simili e devono quindi essere in grado di fornire lestesse funzioni di sicurezza⁽⁶⁾.

4. L'AFFIDABILITA' SECONDO I CRITERI ITSEC

Nell'approccio ITSEC, l'operazione di valutazionedel livello di sicurezza offerto da un sistema o prodotto informaticosi pone due obiettivi fondamentali:

1. valutare l'efficacia delle funzioni di sicurezza(e quindi stabilire se le funzioni di sicurezza previste sonoin grado di contrastare efficacemente le minacce alle quali siritiene sia esposta l'informazione elaborata o immagazzinata);
2. valutare la correttezza(e quindi stabilire se le funzioni di sicurezza e i meccanismimediante i quali esse sono realizzate, sono stati sviluppati senzacommettere errori (involontari o volontari) che ne minino le finalità.

Come già detto, il concetto di affidabilità(assurance) nella capacità di un sistema informaticodi soddisfare requisiti di sicurezza è fondamentale inITSEC. Con il termine affidabilità si intende sia la fiducia(confidence) nell'efficacia (effectiveness) delle funzionidi sicurezza, sia la fiducia nella loro correttezza (correctness).

La valutazione dell'efficacia mira a stabilire, tral'altro, se le funzioni di sicurezza fornite dal sistema informaticosono idonee agli scopi per cui sono state scelte e se i meccanismiche realizzano tali funzioni sono in grado di contrastare attacchidiretti. Quest'ultimo aspetto viene misurato sulla base dellacosiddetta robustezza dei meccanismi (strenght of mechanisms)per la quale sono stati definiti tre livelli: base, medio e alto.

La valutazione della correttezza delle funzioni disicurezza mira, invece, a stabilire se le funzioni di sicurezzae i corrispondenti meccanismi sono stati realizzati correttamente.La fiducia nella correttezza viene espressa utilizzando una scalaa sette livelli (da E0 fino a E6) nella quale il livello piùbasso (E0) indica totale mancanza di fiducia.

Peraltro, esiste una stretta correlazione tra i livellidefiniti per la correttezza e il rigore con cui deve essere effettuatala valutazione dell'efficacia. Pertanto, il livello di fiducianella correttezza esprime, in realtà, il livello globaledi fiducia nella sicurezza del sistema informatico e viene comunementedetto livello di valutazione.

Il processo di valutazione di un sistema informaticoconsiste, in definitiva, nello stabilire se esso soddisfa o menoil suo obiettivo di sicurezza con il livello di valutazione dichiaratodallo sponsor stesso.

4.1. VALUTAZIONE DELL'EFFICACIA

La valutazione dell'efficacia di un sistema informaticorispetto al suo obiettivo di sicurezza mira a stabilire se lefunzioni di sicurezza fornite dal sistema informatico e il sistemainformatico stesso nella sua globalità possono considerarsiidonei a soddisfare i requisiti di sicurezza specificati. I livellidi valutazione sono definiti nel contesto dei criteri per la correttezza.I requisiti per l'efficacia non variano seguendo una loro scalagerarchica ma piuttosto sono in stretta correlazione con i criteridi correttezza. Infatti ITSEC stabilisce che la valutazione dell'efficaciadelle funzioni di sicurezza deve essere eseguita considerandoalmeno tutte le informazioni fornite dallo sponsor perla valutazione della correttezza in base al livello considerato.Si osservi, infine, che la valutazione dell'efficacia e quelladella correttezza devono, in pratica, essere svolte parallelamentein quanto i risultati delle due operazioni si influenzano reciprocamente.

Nella valutazione dell'efficacia, il valutatore devecompiere le seguenti sei azioni:

1. verificare la capacità delle funzionidi sicurezza e dei meccanismi del sistema informatico di opporsialle minacce alla sicurezza identificate nell'obiettivo di sicurezza⁽⁷⁾,
2. verificare la capacità delle funzionidi sicurezza e dei corrispondenti meccanismi di operare insiemein maniera tale da essere mutuamente di sostegno e da costituireun insieme integrato ed efficiente⁽⁸⁾;
3. verificare che la capacità del sistemainformatico di resistere ad attacchi diretti (che sfruttano deficienzedegli algoritmi e dei meccanismi di sicurezza) sia adeguata allivello di robustezza dei meccanismi dichiarato nell'obiettivodi sicurezza⁽⁹⁾;
4. verificare che le vulnerabilità costruttive(come ad esempio l'esistenza di mezzi per disattivare o aggirarele funzioni di sicurezza) dichiarate dallo sponsor o scopertenel corso della valutazione, non pregiudichino in pratica la sicurezzadel sistema informatico⁽¹⁰⁾
5. verificare la facilità con cui un amministratoredi sistema o un utente finale possono rendersi conto del fattoche il sistema informatico, così come è stato configurato,opera in modo sicuro o insicuro⁽¹¹⁾;
6. verificare che le vulnerabilità di tipooperativo, cioè quelle che dipendono da come è previstoche il sistema o prodotto venga usato, non pregiudichino in praticala sicurezza del sistema informatico secondo quanto specificatonel security target⁽¹²⁾

La robustezza dei meccanismi che realizzano le funzionidi sicurezza viene valutata con riferimento alle risorse di cuidovrebbe disporre un attaccante per poter portare a termine consuccesso un attacco diretto. Tale aspetto è l'unico peril quale è prevista l'assegnazione di un punteggio: larobustezza del meccanismo di sicurezza sarà classificatabase se il meccanismo fornisce protezione solo rispetto ad attacchilanciati senza particolare determinazione e senza conoscenze specifiche,sarà classificata media se il meccanismo é capacedi resistere ad attacchi da parte di chi dispone di conoscenzee risorse limitate e, infine, sarà classificata alta sesolo chi dispone di conoscenze e risorse al di sopra della norma,può lanciare un attacco con speranza di successo.

La valutazione dell'efficacia deve essere svoltausando la documentazione fornita dallo sponsor e i risultatiproveniente dalla valutazione della correttezza.

Se la valutazione dell'efficacia porta alla scopertadi vulnerabilità gravi e incongruenti con l'obiettivo disicurezza prefissato, il sistema informatico riceverà laclassifica E0 indipendentemente dal risultato della valutazionedella correttezza.

4.2. VALUTAZIONE DELLA CORRETTEZZA

I criteri di valutazione della correttezza prendonoin esame separatamente due distinte fasi della vita di un sistemainformatico:

a)il processo costruttivo;

b) gli aspetti operativi.

Il processo costruttivo

Il livello di fiducia che può essere ripostonella correttezza di un sistema informatico è strettamentelegato al livello di conoscenza di cui si dispone circa il modoin cui il sistema informatico stesso è stato sviluppatoe circa l'ambiente e le metodologie di sviluppo. Al crescere dellivello di valutazione desiderato, lo sponsor deve, quindi,fornire al valutatore documentazione che comprovi un crescenterigore e l'introduzione di strumenti formali nelle varie fasicostruttive.

Il processo di sviluppo è stato suddivisoda un punto di vista squisitamente logico in quattro fasi: ladefinizione dei requisiti di sicurezza (requirements),il progetto architetturale (architectural design), il progettodettagliato (detailed design) e la realizzazione (implementation).Per ciascuna fase lo sponsor deve presentare documentazioneadeguata al livello di valutazione desiderato:

a) REQUIREMENTS- al livello E1 l'obiettivo di sicurezza deve descrivere per sommicapiil modo in cui le funzioni di sicurezza proposte soddisfanogli obiettivi di sicurezza e contrastano le minacce; al livelloE6 lo sponsor deve invece fornire una dettagliata spiegazionedel modo in cui le funzioni di sicurezza proposte soddisfano gliobiettivi di sicurezza e contrastano le minacce e della congruenzatra la politica di sicurezza e il modello formale di sicurezzarealizzato dal sistema informatico;

b) ARCHITECTURAL DESIGN- al livello E1 lo sponsor deve fornire una descrizioneinformale dell'architettura generale del sistema informatico mentrea livello E6 la descrizione deve essere di tipo formale e deveincludere una dettagliata spiegazione che convinca della consistenzatra la politica di sicurezza e l'architettura del sistema informatico;

c) DETAILED DESIGN- al livello E1 lo sponsor non deve fornire nessuna informazionementre ai livelli successivi la documentazione deve essere costituitada un dettagliato progetto del sistema informatico (il livellodi dettaglio deve essere tale da poter essere utilizzato comebase per la programmazione e per la costruzione dell'hardware);più precisamente al livello E2 è richiesta una descrizioneinformale mentre dal livello E4 in avanti tale descrizione deveessere di tipo semi-formale;

d) IMPLEMENTATION- al livello E1 lo sponsor non è tenuto a fornirenessuna documentazione; ai livelli più elevati lo sponsordeve fornire una raccolta di test usati per verificare la correttezzadelle funzioni di sicurezza e argomenti che comprovino l'adeguatezzadei test scelti; inoltre, dal livello E2 in avanti la documentazionefornita deve comprovare, a crescenti livelli di approfondimento,anche la corrispondenza tra il progetto dettagliato e il softwaree l'hardware che costituiscono il sistema informatico.

Con riferimento alle prime tre fasi, il valutatoresi limita a verificare che la documentazione fornita rispetti,al variare del livello di valutazione desiderato, i requisitiprevisti. Per quanto riguarda la quarta fase, il valutatore haun ruolo più complesso che prevede per i livelli piùbassi la semplice analisi dei risultati dei test effettuati dallosponsor e per i livelli più elevati la verificadella correttezza delle funzioni di sicurezza mediante l'effettuazionedei test forniti dallo sponsor e di ogni altro test cheappaia significativo a tale scopo.

La conoscenza dell'ambiente di sviluppo èconsiderata importante per la valutazione del livello di affidabilitàdella correttezza di un sistema informatico. Gli aspetti che ilvalutatore deve prendere in considerazione sono tre: il controllodi configurazione (configuration control), i linguaggidi programmazione e i compilatori (programming languages andcompilers), la sicurezza dell'ambiente di sviluppo (developerssecurity). Più precisamente:

e) CONFIGURATION CONTROL- riguarda i controlli imposti dallo sviluppatore del sistemainformatico sui suoi processi di produzione e di gestione; dallivello E2 in avanti il sistema di controllo di configurazionedeve assicurare che il sistema informatico sotto esame sia esattamentequello descritto nella documentazione e che soltanto modificheautorizzate sono possibili;

f) PROGRAMMING LANGUAGES AND COMPILERS- non ci sono particolari requisiti fino al livello E2, al livelloE3 è richiesto l'uso di linguaggi di programmazione bendefiniti (ad esempio linguaggi per i quali esistono standard ISO);dal livello E4 in avanti i requisiti diventano più stringentie riguardano anche i compilatori e le run-time libraries utilizzate;

g) DEVELOPERS SECURITY- riguarda le misure di sicurezza (fisiche, procedurali, tecnichee relative al personale) adottate per proteggere l'integritàdel sistema informatico durante il suo sviluppo; al livello E2,è richiesta solo una descrizione per sommi capi delle misuredi sicurezza, al livello E3, lo sponsor deve descriveredettagliatamente (to describe) tali misure, dal livello E5 inavanti le misure adottate devono essere dettagliatamente spiegate.

Gli aspetti operativi

La qualità della documentazione per l'usoe l'amministrazione del sistema informatico e la qualitàdelle procedure di distribuzione e di start-up costituiscono idue principali fattori dei quali si tiene conto nella valutazionedella correttezza degli aspetti operativi del sistema informatico.

La completezza, la correttezza e la chiarezza delladocumentazione sono fondamentali per l'efficiente utilizzazionedel sistema informatico e delle funzioni di sicurezza che essooffre. Il valutatore deve tenere conto sia della documentazionedestinata all'utente (user documentation) sia della documentazionerivolta agli amministratori del sistema (administration documentation):

a) USER DOCUMENTATION- questo tipo di documentazione ha lo scopo di consentire all'utentedi usare in modo sicuro il sistema informatico; il livello diapprofondimento con cui le funzioni di sicurezza devono esseretrattate nella documentazione deve, come al solito, crescere parallelamenteal livello di valutazione desiderato; fino al livello E2 èsufficiente una descrizione per sommi capi delle funzioni di sicurezzadi interesse per l'utente, per i livelli E3 ed E4 tale descrizionedeve essere dettagliata, ai livelli E5 ed E6 è necessariauna dettagliata spiegazione;

b) ADMINISTRATION DOCUMENTATION- questo tipo di documentazione ha lo scopo di consentire agliamministratori di configurare e gestire il sistema informaticoin modo che questo operi in accordo all'obiettivo di sicurezzaprefissato; il livello di approfondimento della documentazionedeve crescere parallelamente al livello di valutazione desiderato,come nel caso della documentazione di utente.

In ITSEC con il termine operational environmentsi fa riferimento all'insieme di misure, procedure e standardche riguardano la sicurezza delle operazioni di consegna e installazione(delivery and configuration) e di start-up e gestione (start-upand operation) del sistema informatico:

c) DELIVERY AND CONFIGURATION- il valutatore deve disporre di informazioni che lo convincanodel fatto che le protezioni offerte dal sistema informatico nonpossano essere compromesse durante il trasferimento del sistemainformatico stesso o a causa di cattiva installazione e configurazionedel sistema informatico presso l'utente; le informazioni forniteal valutatore devono descrivere per sommi capi (fino al livelloE2), descrivere dettagliatamente (E3 e E4), spiegare in dettaglio(E5 e E6) l'impatto sulla sicurezza del sistema informatico dellediverse scelte di configurazione; inoltre dal livello E2 in avantile procedure seguite per garantire l'autenticità del sistemainformatico consegnato devono essere approvate da un appositoente di certificazione nazionale;

d) START-UP AND OPERATION- il valutatore deve disporre di informazioni circa le procedureusate per le operazioni di start-up, per le attività diroutine come il backup e la manutenzione del software, per attivitàeccezionali come quelle di recupero dopo errori che hanno portatoa malfunzionamenti del sistema informatico; le informazioni forniteal valutatore devono descrivere per sommi capi (fino al livelloE2), descrivere dettagliatamente (E3 e E4), spiegare in dettaglio(E5 e E6) le procedure di start-up e di gestione; inoltre daldi livello E2 in avanti il valutatore deve disporre di informazionisull'eventuale presenza funzioni di sicurezza che possono esseredisattivate o modificate durante lo start-up;

5. CONCLUSIONI

I criteri ITSEC affrontano il problema della valutazionesia di sistemi che di prodotti IT e considerano le necessitàsia degli operatori commerciali che di quelli istituzionali (inambito sia civile che militare). Per questo motivo hanno un campodi applicabilità più vasto rispetto a quello deicriteri precedentemente sviluppati e in particolare rispetto aicriteri adottati dall'esercito statunitense (gli unici criteriche anteriormente alla pubblicazione di ITSEC hanno avuto un'ampiadiffusione).

Sul piano tecnico le caratteristiche fondamentalidei criteri ITSEC sono:

1. l'indipendenza tra le funzioni di sicurezzafornite dal sistema e il livello di valutazione conseguibile relativamentealla cosiddetta affidabilità;
2. la libertà di scelta delle funzionidi sicurezza.

Queste caratteristiche conferiscono ai criteri ITSECuna notevole flessibilità che ne dovrebbe consentire l'usoanche per la valutazione di sistemi con funzioni di sicurezzanon previste al momento della creazione dei criteri stessi, rendendolimeno soggetti ad obsolescenza a causa dell'evoluzione tecnologica.L'utente di sistemi o prodotti valutati secondo ITSEC deve, d'altraparte, essere ben consapevole del fatto che il livello di valutazionenon è sufficiente per stabilire l'adeguatezza o meno ditale sistema o prodotto alle proprie esigenze. Il livello di valutazione,infatti, esprime solamente la fiducia che può essere ripostanella capacità del sistema o prodotto di soddisfare ilsuo obiettivo di sicurezza e quindi anche quest'ultimo deve essereoggetto di analisi. La scelta di sistemi o prodotti che fannouso di classi di funzioni predefinite, capaci di rispondere alleesigenze di ampie categorie di utenti, semplifica notevolmentetale analisi.

I criteri ITSEC costituiscono il risultato deglisforzi di armonizzazione compiuti dall'Unione Europea nell'areadella valutazione della sicurezza informatica e nonostante lenumerose attività per la definizione di nuovi criteri,in atto a livello internazionale, rappresentano ad oggi un costantepunto di riferimento. In particolare, l'Unione Europea ha espressol'intenzione di sostenere i criteri ITSEC tramite una recentissimaraccomandazione nella quale si chiede che tali criteri siano applicatiper la valutazione e la certificazione di prodotti, servizi esistemi informatici. Tale raccomandazione, inoltre, richiede chesia negoziato dagli Stati membri il riconoscimento reciproco alivello europeo e possibilmente internazionale dei certificatidi valutazione della sicurezza. A parere di chi scrive questaè la strada obbligata per giungere a rendere effettivala sicurezza e, quindi, la riservatezza dei dati personali. Incaso contrario sarà facile creare ostacoli tecnici all'affermarsidella piena tutela della privacy rendendo le dichiarazioni diprincipio, proposte con tanta enfasi dal nostro legislatore, similiad una voce nel deserto.

ITSEC è l'acronimodi Information Technology Security Evaluation Criteria (Criteriper la valutazione della sicurezza della tecnologica informatica)

ITSEM è l'acronimoInformation Technology Security Evaluation Manual (Manuale perla valutazione della sicurezza della tecnologia informatica).

TOE è l'acronimodi Target of Evaluation (obiettivo di valutazione)

Security target èl'obiettivo di sicurezza cui aspira lo sponsor

Sponsor è il soggettoche richiede la valutazione del sistema o del prodotto informativo

Milano, dicembre 1997

2) Si rinvia alla Raccomandazione del Consiglio dell'Unione Europeadel 7 aprile 1995 sui criteri comuni per la valutazione dellasicurezza delle tecnologie dell'informazione (95/144/CE), GazzettaUfficiale delle Comunità Europee N. L 93/27, 26 aprile1995.

3) Nella terminologia anglosassone si parla di Target Of Evaluation

4) Cosiddetto Security Target

5) Nella terminolgia ITSEC per indivicìduarequesti elementi si parla di Security Evaluation Function(acronimo FUNZIONI DI SICUREZZA).

6) Quest'osservazione ha spinto gli autori di ITSEC a includerenei criteri, a titolo di esempio, un'appendice contenente 10 classidi funzioni predefinite (denominate F-C1, FC-2, F-B1, F-B2, F-B3,F-IN, F-AV, F-DI, F-DC e F-DX) basate su quelle specificate neicriteri nazionali tedeschi e nell'Orange book. Optandoper le classi già definite si semplifica di molto il lavorodi valutazione e, in particolare, utilizzando le prime cinque,si possono ottenere valutazioni confrontabili con quelle che siotterrebbero mediante l'Orange book. Si rimandaall'appendice A di ITSEC.

7) Secondo la terminologia ITSEC suitability of functionality.

8) Secondo la terminologia ITSEC binding of functionality.

9) Secondo la terminologia ITSEC strength of mechanisms.

10) Secondo la terminologia ITSEC construction vulnerabilityassessment.

11) Secondo la terminologia ITSEC ease of use.

12) Secondo la terminologia ITSEC operational vulnerabilityassessment.