Salta al contenuto principale
 
Progetto
ELA5
Certificazione della Sicurezza ad Elevati Livelli di Assurance
In corso
Committenza
Ministero dello sviluppo economico
Partner
Iscom
Obiettivi

Acquisizione e trasferimento ai certificatori dell’OCSI (Organismo di Certificazione della Sicurezza Informatica) delle competenze necessarie a eseguire le azioni aggiuntive previste a loro carico dallo standard ISO/IEC 15408 (Common Criteria) nel passaggio dal livello di certificazione EAL4 al livello superiore EAL5, sotto l’ipotesi che l’oggetto della certificazione sia di natura software o firmware.

Impatto

Il principale risultato atteso è quello di dotare l’OCSI delle competenze necessarie per eseguire certificazioni di sicurezza secondo lo standard ISO/IEC 15408 al livello di certificazione EAL5. Al momento, nello schema coordinato da OCSI normalmente sono eseguite certificazioni di sicurezza secondo il predetto standard entro il livello di certificazione massimo EAL4 e i Laboratori di Valutazione della Sicurezza che operano nello schema sono accreditati a questo scopo.

Descrizione

In base a una analisi delle componenti di assurance presenti al livello di certificazione EAL5 ma non a EAL4, le competenze aggiuntive di interesse sono state caratterizzate in termini di capacità di verificare quanto segue:

  1. correttezza della descrizione con metodi semiformali delle interfacce delle funzioni di sicurezza (TSFI);
  2. correttezza della descrizione con metodi semiformali dei sottosistemi nei quali le funzioni di sicurezza sono state decomposte;
  3. buona strutturazione interna del progetto e dell’implementazione di tutte le funzioni di sicurezza (a fronte di analisi dettagliate);
  4. contenuto della lista di configurazione (deve includere quanto richiesto relativamente a strumenti di sviluppo e informazioni collegate);
  5. effettiva utilizzazione degli standard indicati per l’implementazione;
  6. effettiva esecuzione dell’analisi delle vulnerabilità in modo metodico e corretta esecuzione dei test di intrusione rilevanti, assumendo che l’attaccante possieda un potenziale d’attacco moderate (come definito nella metodologia di valutazione associata allo standard ISO/IEC 15408).

L’acquisizione delle suddette conoscenze sarà agevolata dall’esperienza applicativa in uno o più processi di certificazione reali.

Il Progetto è suddiviso nelle attività seguenti:

  1. A0 - Gestione del Progetto.
  2. A1 - Studio di metodi semi-formali utilizzabili per la descrizione di sottosistemi ed interfacce delle funzioni di sicurezza nell’ambito di una certificazione al livello EAL5 dello standard ISO/IEC 15408.
  3. A2 - Acquisizione e trasferimento ai certificatori OCSI delle competenze aggiuntive necessarie per eseguire certificazioni al livello EAL5 dello standard ISO/IEC 15408.
  4. B1 - Analisi di processi di certificazione reali a supporto delle attività di tipo teorico.
Competenze