Salta al contenuto principale
 
Progetto
ACS3
Assurance e Certificazione della Sicurezza – Progetto 3
Concluso
Committenza
Ministero dello sviluppo economico
Obiettivi

Eseguire studi e approfondimenti che consentano di conseguire e mantenere nel tempo un elevato grado di conoscenza di numerose tipologie di prodotti ICT e delle loro peculiarità dal punto di vista della sicurezza. Individuare metodologie di valutazione innovative per specifici aspetti da individuare in corso di esecuzione delle attività del progetto a beneficio dei processi di certificazione dello schema e supportare l’OCSI nelle attività di armonizzazione delle procedure tramite partecipazione ai gruppi di lavoro tecnici in ambito europeo ed internazionale.

Impatto

L’attività di ricerca prevede l’interscambio con le associazioni di imprese che collaborano con gli schemi nazionali, da cui provengono le principali istanze del mercato. Sarà possibile intercettare i nuovi orientamenti mondiali nel settore della certificazione di sicurezza informatica con lo scopo di innovare e rendere più efficiente ed efficace l’attività portata avanti dallo schema italiano, in linea con le evoluzioni metodologiche portate avanti dagli altri schemi nazionali e dalla bozza del nuovo regolamento europeo in materia di certificazione della sicurezza informatica.

Descrizione

Il Progetto ha fornito supporto all’Organismo di Certificazione per la sicurezza Informatica in alcuni processi di certificazione (fornendo analisi e proposte innovative di risoluzioni di problematiche specifiche) con particolare riferimento alla metodologia di valutazione di generatori di numeri casuali di tipo deterministico e alla possibilità di riutilizzo o campionamento delle attività di ispezione dei siti di sviluppo prevista dai componenti di garanzia della famiglia ALC dei Common Criteria for ICT Products Security Evaluation.

Durante il Progetto è stato fornito inoltre supporto all’organismo nell’analisi di altri processi di certificazione e nella partecipazione attiva alle attività condotte dai gruppi di lavoro tecnici dei circuiti di mutuo riconoscimento dei certificati europeo (SOGIS) e internazionale (CCRA). Sono state analizzate problematiche quali ad esempio

  1. la validità del certificato di un prodotto a fronte della rilevazione di vulnerabilità dello stesso prodotto non note al momento di emissione del certificato;
  2. la modalità di gestione di vulnerabilità nuove (con impatto rilevante sulla lista di prodotti certificati). Per gestione si intende la divulgazione e correzione delle vulnerabilità, e la definizione di metodologie di verifica della presenza di vulnerabilità per valutazioni future;
  3. l’esecuzione di attività di valutazione di prodotti che integrano funzionalità crittografiche;
  4. le modalità di verifica del mantenimento delle competenze nel tempo degli schemi che ambiscono a mantenere lo status di produttore di certificati riconosciuti;
  5. l’evoluzione dei rapporti dei circuiti di mutuo riconoscimenti internazionali ed europei nei confronti del nascente organismo di certificazione europeo.

È stato inoltre fornito supporto tramite la definizione, ad opera dei ricercatori FUB, della procedura da applicare in ambito europeo in fase di visita ispettiva per la conferma delle competenze dello schema che intende mantenere lo status di produttore di certificati riconosciuti nel circuito SOGIS.

Competenze