Salta al contenuto principale
 
Progetto
ACS2
Assurance e certificazione della sicurezza ICT – Progetto 2
Concluso
Committenza
Ministero dello sviluppo economico
Obiettivi

Mantenimento nel tempo di un elevato grado di conoscenza delle caratteristiche di sicurezza di varie tipologie di prodotti ICT, anche sulla base dell'analisi di processi di certificazione della sicurezza ICT.

Impatto

La realizzazione degli obiettivi del Progetto consente al Committente, titolare dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) istituito con DPCM del 30 ottobre 2003, di garantire una applicazione univoca ed omogenea  dello standard di certificazione ISO/IEC 15408 da parte dei Laboratori di Valutazione della Sicurezza accreditati (LVS) e, conseguentemente, ripetibilità e riproducibilità dei processi di certificazione.

Descrizione

Il ruolo sempre più centrale che l’informazione va assumendo nelle società moderne e i grandi benefici che derivano dal suo trattamento con i sofisticati strumenti che la tecnologia mette a disposizione (computer o altri dispositivi elettronici isolati o connessi in rete) sta rendendo sempre più necessaria l’adozione di misure di protezione che riducano la probabilità di incidenti di sicurezza e ne limitino i danni. Tali misure di protezione, quando realizzate in sistemi ICT e loro componenti, possono essere certificate a vari livelli di sicurezza ICT mediante lo standard ISO/IEC 15408 (Common Criteria). Per l’applicazione di questo standard in ambito commerciale è stato istituito in Italia, con il DPCM 30 ottobre 2003, uno Schema nazionale coordinato dall'Organismo di Certificazione della Sicurezza Informatica (OCSI) di cui è titolare l'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione (Iscom). Lo standard ISO/IEC 15408 è stato sviluppato privilegiando la possibilità di utilizzazione per un gran numero di tipologie di prodotti. Ciò ha avuto l'inevitabile contropartita di dover rendere lo standard meno dettagliato e di dover prevedere l'intervento degli Organismi di certificazione per fornire, ai laboratori di valutazione da essi accreditati, le indicazioni necessarie ad applicare in modo omogeneo i criteri all'interno dello Schema nazionale di certificazione. Al fine di fornire le predette indicazioni occorre non solo interpretare e adattare a varie tipologie di prodotti quanto specificato nello standard, bensì anche mantenere un aggiornamento costante circa le minacce che si possono ipotizzare e circa le funzionalità di sicurezza (contromisure tecniche) che è possibile utilizzare per contrastarle. Ciò può essere, a seconda dei casi, ottenuto mediante attività di ricerca e/o di studio della letteratura tecnica più qualificata disponibile nel settore e/o di analisi di processi di certificazione e/o di sperimentazione di prodotti di sicurezza presenti sul mercato.

Competenze