L'istituzione dello Schema Nazionale per la certificazione della sicurezza dei sistemi e dei prodotti nel settore della tecnologia dell'informazione (di seguito denominato "Schema nazionale"), avvenuta attraverso un DPCM adottato dal Ministro per l'Innovazione e le Tecnologie di a concerto con i Ministri delle Comunicazioni, delle Attività Produttive e dell'Economia e delle Finanze, si pone come naturale termine di un percorso che è stato individuato e seguito in questi ultimi anni anche da numerosi altri stati nazionali, sia in Europa sia nel resto del mondo.

In questo contesto il decreto:

- ravvisa la necessità di individuare un Organismo di Certificazione e di definire lo Schema nazionale, specificando l'insieme delle procedure e delle regole nazionali necessarie per la valutazione e certificazione, in conformità ai criteri europei ITSEC (Information Technology Security Evaluation Criteria) [ITS1] o agli standard internazionali CC (Common Criteria) [IS01,2,3], emanati dall'ISO;

- definisce, nell'ambito dello Schema nazionale, la 'sicurezza nel settore della tecnologia dell'informazione' come la protezione della riservatezza, integrità, disponibilità delle informazioni mediante il contrasto delle minacce originate dall'uomo o dall'ambiente, al fine di impedire, a coloro che non siano stati autorizzati, l'accesso, l'utilizzo, la divulgazione, la modifica delle informazioni stesse e di garantirne l'accesso e l'utilizzo a coloro che siano stati autorizzati.

LE MOTIVAZIONI

Molte sono le motivazioni che hanno indotto all'istituzione dello Schema nazionale in Italia e in vari stati dell'occidente industrializzato: vediamo di analizzare alcune di queste.

L'informazione, nell'attuale società, costituisce un bene essenziale e si rende necessario garantirne l'integrità, la disponibilità e la riservatezza con misure di sicurezza che costituiscano parte integrante di un sistema informatico.

Da tempo i produttori offrono sistemi e prodotti dotati di funzionalità di sicurezza, per le quali dichiarano caratteristiche e prestazioni al fine di orientare gli utenti nella scelta delle soluzioni più idonee a soddisfare le proprie esigenze.

In molte applicazioni caratterizzate da un elevato grado di criticità, le predette dichiarazioni potrebbero risultare non sufficienti, rendendo necessaria una loro valutazione e certificazione della sicurezza, condotte da soggetti indipendenti e qualificati, sulla base di standard riconosciuti a livello nazionale ed internazionale.

Le garanzie concernenti l'adeguatezza, la qualità e l'efficacia dei dispositivi di sicurezza di un sistema informatico possono essere fornite solo da certificatori e valutatori indipendenti ed imparziali.

La necessità di favorire, a livello comunitario e internazionale, la cooperazione tra gli Organismi di Certificazione e il mutuo riconoscimento dei certificati di valutazione della sicurezza nel settore della tecnologia dell'informazione.

I PUNTI FONDAMENTALI

Accanto alle motivazioni elencate e a corollario normativo e politico della scelta di istituire un Organismo di Certificazione possono essere schematicamente riportati i seguenti punti fondamentali:

- la risoluzione del Consiglio dell'Unione Europea del 6 dicembre 2001 relativa ad un approccio comune e ad azioni specifiche nel settore della sicurezza delle reti e dell'informazione;

- la decisione della Commissione Europea del 6 novembre 2000 (2000/709/CE) relativa ai criteri minimi di cui devono tener conto gli Stati membri all'atto di designare gli organismi di cui all'articolo 3, paragrafo 4, della direttiva 1999/93/CE del Parlamento Europeo e del Consiglio, relativa ad un quadro comunitario per le firme elettroniche;

- il varo delle norme UNI CEI EN ISO/IEC 17025 concernenti i requisiti generali per la competenza dei laboratori di prova e di taratura e UNI CEI EN 45011 concernenti i requisiti generali relativi agli organismi che gestiscono sistemi di certificazione di prodotti;

- l'esistenza dei criteri ITSEC, dal giugno 1991, e ITSEM (Information Technology Security Evaluation Manual) [ITS2], dal settembre 1993;

- la raccomandazione del Consiglio dell'Unione Europea (95/144/CE) in data 7 aprile 1995, concernente l'applicazione dei criteri per la valutazione della sicurezza della tecnologia dell'informazione ITSEC;

- l'atto del Comitato di gestione dell'ISO (International Standard Organization) che definisce come International Standard ISO/IEC 15408 i "Common Criteria for Information Technology Security Evaluation".

Risulta chiaro come l'istituzione dell'Organismo di Certificazione italiano fosse, alla luce delle informazioni dettagliate in precedenza, un atto non più procrastinabile, in considerazione anche delle importanti ricadute economiche che la presenza di tale Organismo potrà indurre sul mercato tecnologico, sia interno sia estero, legato ai sistemi e prodotti dotati di funzionalità di sicurezza in ambito informatico che si utilizzano sia nella pubblica amministrazione, sia nelle aziende, sia di uso privato.

Il decreto riconosce che l'Istituto Superiore delle Comunicazioni e delle Tecnologie dell'informazione (ISCTI) del Ministero delle Comunicazioni possiede i requisiti di indipendenza, affidabilità e competenza tecnica richiesti dalla decisione della Commissione Europea del 6 novembre 2000 (2000/709/CE) e stabilisce che:

Per consentire l'applicazione dello Schema nazionale l'Organismo di Certificazione ha predisposto le "Linee Guida Provvisorie" (LGP). Sarà compito dell'Organismo di Certificazione predisporre entro 12 mesi dalla pubblicazione del decreto (avvenuta il 26 aprile 2004), le "Linee Guida Definitive", recanti indicazioni dettagliate relative allo svolgimento delle attività di valutazione e certificazione.

LE LINEE GUIDA PROVVISORIE

Le Linee Guida Provvisorie sono organizzate in documenti distinti che individuano le aree fondamentali in cui l'Organismo di Certificazione sarà chiamato ad agire e descrivono le azioni che i Valutatori dovranno intraprendere per condurre le attività di valutazione in modo corretto (cioè coerentemente on gli standrd internazionali adottati) ed efficace. Nel seguito sono sinteticamente descritti i contenuti delle Linee Guida Provvisorie.

LGP1 - Descrizione generale dello Schema nazionale di valutazione e certificazione della sicurezza

La LGP1, dopo aver introdotto il concetto di Schema nazionale, di sicurezza IT e di accreditamento dei laboratori, affronta una descrizione sintetica del processo di valutazione, identificando le finalità e i requisiti generali per svolgere una valutazione e certificazione di un sistema/prodotto o Profilo di Protezione (PP). Quindi, vengono definiti e descritti i ruoli dei soggetti coinvolti nel processo di valutazione e certificazione, con particolare enfasi per l'Organismo di Certificazione, il Laboratorio per la Valutazione delle Sicurezza (LVS), il Committente, il Fornitore e l'Assistente. Inoltre, vengono delineate le tre fasi che caratterizzano il processo di valutazione: la preparazione, la conduzione e la conclusione. Infine, viene delineata la fase di certificazione e si forniscono delle informazioni per quanto concerne la gestione dei Certificati e il loro mantenimento.

LGP2 - Accreditamento degli LVS e abilitazione degli Assistenti

La LGP2 definisce le procedure per ottenere e mantenere nel corso del tempo l'accreditamento di un Laboratorio per la Valutazione della Sicurezza informatica secondo lo Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dell'informazione. Inoltre, vengono specificati gli ambiti di attività di un LVS e descritti i requisiti generali gestionali e di competenza tecnica per i laboratori. Infine, vengono descritti i requisiti e le procedure per ottenere l'abilitazione al ruolo di Assistente.

LGP3 - Procedure di valutazione

La LGP3 definisce le procedure che devono essere seguite nel corso di un processo di valutazione condotto all'interno dello Schema. Tale processo è suddiviso in tre fasi distinte: preparazione, conduzione e conclusione. Le procedure descritte in questa linea guida sono applicabili alla valutazione della sicurezza di un sistema/prodotto o di un PP, così come definiti in ITSEC o nei Common Criteria, e descrivono le modalità secondo cui effettuare:

- le comunicazioni tra un LVS, un Committente, un Fornitore e l'OC;

- l'organizzazione e la pianificazione delle attività di una valutazione;

- la finalità e il contenuto delle diverse tipologie di rapporti prodotti nel corso della valutazione;

- il controllo di una valutazione;

- la pubblicazione dei risultati di una valutazione;

- la chiusura della valutazione e il processo di certificazione con il rilascio da parte dell'OC del Certificato.

LGP4 - Attività di valutazione secondo i Common Criteria

La LGP4 si prefigge l'obiettivo di definire la terminologia di riferimento in lingua italiana per descrivere, discutere e analizzare le azioni richieste per svolgere la valutazione di un Profilo di Protezione e la valutazione di un ODV ai livelli di fiducia EAL1, EAL2, EAL3 e EAL4 secondo i Common Criteria.

La LGP4 contiene informazioni utili agli utenti finali di prodotti/sistemi IT che sono stati sottoposti al processo di valutazione, al personale direttamente responsabile della valutazione di un ODV o di un Profilo di Protezione, al personale che fornisce assistenza al Committente di una valutazione, al personale responsabile della stesura di un Traguardo di Sicurezza o di un Profilo di Protezione, e agli sviluppatori di prodotti/sistemi IT che sono interessati a richiedere la valutazione e la certificazione dei loro prodotti/sistemi.

LGP5 - Il Piano di Valutazione: indicazioni generali

La LGP5 fornisce ai Valutatori gli elementi fondamentali per definire, in base ai Criteri di valutazione ITSEC e Common Criteria, un Piano Di Valutazione (PDV) della Sicurezza di un sistema/prodotto o di un PP. Il PDV è il documento che contiene la descrizione di tutte le attività che i Valutatori debbono eseguire durante la valutazione e le modalità secondo le quali queste attività risultano organizzate, pianificate, correlate e suddivise nell'ambito del periodo di valutazione.

La necessità di fornire delle istruzioni per la definizione di un PDV nasce dall'esigenza di soddisfare più requisiti, quali:

- armonizzare tutta la documentazione e le procedure di valutazione alla normativa internazionale e nazionale in vigore;

- rendere omogenei e confrontabili i PDV prodotti da LVS diversi;

- garantire, mediante il rispetto delle Linee Guida, l'obiettività, l'imparzialità, la ripetitività e la riproducibilità delle attività di valutazione indicate in un PDV.

LGP6 - Guida alla scrittura dei Profili di Protezione e dei Traguardi di Sicurezza

Nella LGP6 sono fornite indicazioni per la scrittura dei Profili di Protezione (PP) e dei Traguardi di Sicurezza (TDS) secondo le norme fissate dai Common Criteria.

Questa LGP è indirizzata principalmente a coloro che sono coinvolti nello sviluppo dei PP/TDS. Tuttavia, può anche essere utile ai Valutatori e ai responsabili della definizione e del controllo della metodologia per la valutazione dei PP/TDS. Gli utenti finali possono altresì trovare utile questo documento per comprendere i PP/TDS o per individuare le parti di loro interesse.

Viene dapprima fornita una panoramica sui PP/TDS, che comprende un indice di riferimento; vengono quindi descritte in dettaglio le sezioni del PP/TDS.

Infine, sono riportate alcune appendici che approfondiscono aspetti di particolare rilievo, tra cui la descrizione di esempi di minacce, politiche di sicurezza, assunzioni e obiettivi di sicurezza, e l'identificazione di adeguati componenti funzionali per specificare i requisiti funzionali di sicurezza.

LGP7 - Glossario e terminologia di riferimento

Nella LGP7 sono raccolte tutte le definizioni in uso nello Schema nazionale. Inoltre, è fornito un elenco di termini di uso comune che assumono un significato specifico nei Common Criteria.

Concludendo, l'occasione che l'istituzione dell'Organismo di Certificazione offre al mercato dei sistemi e prodotti informatici e quella di compiere un considerevole balzo in avanti nell'area della sicurezza informatica, area che viene sempre più diffusamente percepita come un ambito critico, in cui l'utente ha sempre maggiore necessità di dover essere tutelato e di sentirsi realmente assicurato sull'uso, senza rischi occulti, delle tecnologie e delle applicazioni informatiche.

(Ndr: ripreso da "I quaderni di Telema" della rivista Media Duemila di giugno 2004)