Obiettivi
Studi e approfondimenti, volti a produrre indicazioni tecniche da fornire agli LVS per l’applicazione uniforme dello standard ISO 15408 (con particolare riferimento ai test funzionali e agli strumenti per l’analisi semiautomatica di vulnerabilità su prodotti IT), per aumentare nel contesto nazionale il significato della garanzia fornita dal relativo certificato di sicurezza e volti a contribuire alla collaborazione di natura tecnica nei circuiti SOGIS e CCRA per mantenere il riconoscimento dei certificati OCSI.
Impatto
Il progetto assiste l’OCSI nell’eseguire con efficacia ed efficienza le attività di valutazione condotte in ambito nazionale secondo lo standard ISO15408 rappresentando per tale ambito il riferimento per utenti finali, PA e sviluppatori di prodotti ICT. Il supporto alle attività internazionali contribuisce inoltre a mantenere un ruolo attivo e di primo piano dell’OCSI anche nel costituendo EU security certification framework definito nel nuovo regolamento di ENISA.
Descrizione
In assenza di esigenze specifiche originate da processi di certificazione in corso nello schema di certificazione coordinato da OCSI, verranno eseguiti studi e approfondimenti tecnici sulle le funzionalità di sicurezza ICT e gli strumenti utilizzabili per l’analisi semiautomatica di vulnerabilità su dispositivi con architetture software di larga diffusione.
A livello internazionale sarà effettuato un presidio dei tavoli tecnici degli accordi internazionali (CCRA e SOG-IS) finalizzato a realizzare i necessari aggiornamenti tecnici richiesti allo schema nazionale italiano.
Sarà necessario indagare, sulla base di una classificazione per dominio tecnologico, i requisiti specifici e le contromisure di sicurezza da adottare in caso di nuove vulnerabilità ed esigenze di protezione di prodotti informatici.In tal modo sarà anche possibile consentitr all’OCSI di operare in linea con le evoluzioni metodologiche realizzate in altri schemi nazionali. Nel contesto degli accordi internazionali il progetto contribuirà anche, con attività di studio e approfondimento, a mettere l’OCSI in condizioni di superare la verifica periodica (VPA) a cui si sottoporrà nel primo trimestre del 2020 e di vedere così confermato lo status di Organismo autorizzato ad emettere certificati riconosciuti in ambito europeo ed internazionale. Nell’ambito delle attività di preparazione alla VPA verranno riconsiderate le metodologie utilizzate per la verifica delle competenze dei valutatori, alla luce anche delle novità introdotte dal Cyber Act e dell’ultima revisione dello standard da parte dell’ISO.
Verranno inoltre riconsiderate, tenendo anche conto delle più attuali scelte operate in altri schemi nazionali, le strategie per gestire l’assurance nel tempo, per definire la durata dei certificati e per coordinare la gestione e la divulgazione delle vulnerabilità.