Salta al contenuto principale
 
Progetto
ACS 2i
Assurance e certificazione della sicurezza ICT – Progetto 2
Concluso
Committenza
Ministero dello sviluppo economico
Obiettivi

Il Progetto ACS2i ha avuto come obiettivo di contribuire all’applicazione omogenea, in ambito europeo e internazionale, dello standard ISO/IEC 15408, sviluppato per certificare la sicurezza di componenti e sistemi ICT. Tale omogeneità su scala sovranazionale, infatti, è condizione necessaria per consentire il mutuo riconoscimento delle certificazioni emesse in Paesi diversi. 

Impatto

La realizzazione degli obiettivi del Progetto consente all’Iscom, titolare dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) istituito con DPCM del 30 ottobre 2003, di garantire un’applicazione univoca ed omogenea dello standard di certificazione ISO/IEC 15408 da parte deiLaboratori di Valutazione della Sicurezza accreditati (LVS) e, conseguentemente, la ripetibilità e la riproducibilità dei processi di certificazione. In particolare, la partecipazione della Fondazione ai lavori dei gruppi internazionali ha contribuito a conservare il riconoscimento all’estero delle certificazioni emesse in Italia in accordo al predetto standard.

Descrizione

I gruppi internazionali ai quali sono stati forniti contributi sono il SOG-IS “Senior Officials Group Information Systems Security”, nel contesto europeo, e i gruppi che fanno riferimento al CCRA “Common Criteria Recognition Arrangement”, nel contesto mondiale.

Per ciò che concerne il SOG-IS ci si riferisce in particolare alle attività relative all’Agreement definito, nella sua prima versione, nel 1999 (l’attuale versione è del 2010) in risposta alla Decisione del Consiglio Europeo del 31 marzo 1992 (92/242/EEC) e alla successiva Raccomandazione del 7 aprile 1995(1995/144/EC).  

Per ciò che concerne, invece, il CCRA, che costituisce il riferimento per il mutuo riconoscimento delle certificazioni su scala mondiale, ci si riferisce principalmente alle attività dei gruppi di lavoro istituiti al suo interno:

  1. CCDB (Common Criteria Development Board): gruppo di lavoro prettamente tecnico che ha il compito di coordinare le attività di lavoro sui vari temi che richiedono approfondimenti per garantire un’efficace ed omogenea applicazione dei criteri di valutazione;
  2. CCMB (Common Criteria Maintenance Board): gruppo di lavoro permanente che si occupa dell’attività di revisione e aggiornamento dei criteri;
  3. CCES (Common Criteria Executive Subcommittee): organo di tipo strategico-decisionale;
  4. CCMC (Common Criteria Management Committee): gruppo al quale partecipano direttamente o per delega i Direttori di tutti gli Schemi aderenti al CCRA.

Le novità introdotte negli ultimi anni nell’approccio CCRA alla certificazione di sicurezza di prodotti ICT hanno fatto nascere comunità di riferimento (composte da accademia, industria e rappresentanti dei governi) che approfondiscono le problematiche di sicurezza di categorie specifiche di prodotti, con competenze sempre più verticali. Monitorare i progressi dei circuiti internazionali e di tali comunità tecniche di riferimento consente sia di allineare le metodologie dello Schema Italiano a quelle concordate in ambito internazionale, sia di intervenire, ove necessario e possibile, per armonizzare le decisioni con le esigenze italiane in tema di sicurezza nazionale e di tutela degli interessi del mercato. Nel contesto europeo, la partecipazione ai tavoli del SOG-IS, già dotati di comunità di riferimento per specifici domini tecnici, consente sia, come nel caso del CCRA, di monitorare l’evoluzione delle metodologie di valutazione della sicurezza dei prodotti ICT negli ambiti in cui l’Europa mantiene un know how di elevato livello (ad esempio, nel caso della certificazione delle smart card e dei dispositivi di firma), sia di contribuire a rendere possibile in via ordinaria (ossia per prodotti non appartenenti a specifiche categorie) il mutuo riconoscimento europeo, fino a livelli di certificazione più elevati di quelli del mutuo riconoscimento su scala mondiale.

Competenze