Lo standard Common Criteria, il cui acronimo è CC, è un insieme di linee guida per la sicurezza dei prodotti e/o sistemi informatici.
La necessità di una certificazione di questo tipo diventa rilevante in diversi contesti che vanno da quello nazionale (cioè quando si parla di applicazioni militari) a quello commerciale (sicurezza di siti web di e-commerce, protezione delle applicazioni di e-banking e così via).
A tal proposito uno degli obiettivi principali è quello di aiutare gli acquirenti ad essere certi che i processi di specifica implementazione e valutazione di un prodotto e/o sistema certificato siano stati condotti in modo completo e standard, seguendo le direttive concordate a livello internazionale.
Quando si parla di certificazione di sicurezza, in particolare, è importante distinguere tra il livello di sicurezza che può essere raggiunto e il livello di garanzia che può essere fornito. Quest'ultimo coincide tendenzialmente con il grado di fiducia che si può attribuire a chi fornisce il servizio di protezione IT. In questo articolo ci concentreremo, maggiormente, sul primo aspetto della certificazione, cioè sulla sua efficacia per garantire la sicurezza del sistema/prodotto informatico.
Common Criteria, certificazione e accreditamento
Gli addetti ai lavori e gli esperti del settore probabilmente conoscono la differenza tra una certificazione e un accreditamento. Chi non la conosce, tuttavia, non deve sentirsi scoraggiato. Le definizioni sono spesso molto diverse da paese a paese, sebbene esistano standard internazionali che mirano ad omologare il concetto di ciò che questi processi intendono ottenere.
Inizieremo definendo uno di questi concetti: la certificazione. È definita come "l'atto con cui un ente indipendente attesta che un prodotto o un sistema è conforme a requisiti specifici". In altre parole, la certificazione attesta la conformità di prodotti o sistemi con requisiti specifici che erano stati precedentemente concordati per questo tipo di prodotto o sistema.
L'accreditamento, invece, è definito come "un processo 'ufficiale' progettato per confermare l'adeguatezza delle risorse (ad es. sistemi di gestione, competenza del personale, strutture) e l'efficacia delle attività (ad es. test, auditing) impiegate da un'entità nell'esecuzione di compiti specifici in modo tale che sia assicurata la qualità del prodotto generalmente adatto allo scopo previsto". In breve, attesta la conformità del personale o dell'istituzione incaricata con requisiti specifici che erano stati precedentemente concordati per quel tipo di attività.
La filosofia dei Common Criteria
La filosofia europea dei CC è un derivato dei criteri statunitensi di Information Technology Security Evaluation Criteria, con acronimo ITSEC, che l'hanno introdotta per primi. Secondo questa prospettiva non ha senso verificare la sicurezza di un prodotto e/o sistema informatico se non se ne conoscono le specifiche. Come si legge su un report di Franco Guida, Membro del Comitato Tecnico Nazionale della Sicurezza Informatica e delle Telecomunicazioni nelle P.A.: “In base a tale filosofia non ha senso verificare se un sistema/prodotto è sicuro se non si specifica:
"sicuro" per fare cosa (obiettivi di sicurezza);
"sicuro" in quale contesto (ambiente di sicurezza);
"sicuro" a fronte di quali verifiche (requisiti di assurance)”.
Quando si progetta un sistema/prodotto informatico è necessario farlo secondo un’ottica security by design, questo significa che tanto i requisiti quanto gli obiettivi di sicurezza devono essere introdotti già nelle primissime fasi dello sviluppo del progetto originale. È di fondamentale importanza ricordare che il pensiero laterale è intrinseco dell’hacker; pertanto, l’attaccante non sempre cerca di superare la sicurezza ma di bypassarla, di passare lateralmente rispetto alle barriere, non di superare le stesse. Il pensiero laterale deve essere acquisito e portato avanti dalla difesa, da chi ha il compito di difendere il sistema informatico.
L'obiettivo della sicurezza è garantire che il sistema o prodotto possa essere utilizzato come previsto e senza vulnerabilità. Questo assicura che gli utenti siano protetti da attori malintenzionati che potrebbero volere l'accesso per motivi egoistici come il guadagno finanziario, scopi di raccolta di informazioni per la sicurezza nazionale (come origliare conversazioni che coinvolgono persone in paesi diversi che potrebbero portare a violenze contro altri basate sulla loro etnia ecc.), altre violazioni della privacy, tra cui la raccolta di dati senza consenso.
Gli audit vengono eseguiti per fornire garanzie sull'adeguatezza delle funzioni di sicurezza rispetto ai requisiti del sistema/prodotto. Verificano anche la presenza di errori durante il processo di realizzazione, che parte dalle specifiche iniziali fino alla loro implementazione pratica su scala industriale. Nel panorama italiano l’ente di riferimento per i Common Criteria è OCSI (Organismo di Certificazione della Sicurezza Informatica). Come riportato sul sito web ufficiale dell’Organismo di Certificazione della Sicurezza Informatica: “L’OCSI gestisce lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell'informazione; tale Schema Nazionale è stato istituito con il DPCM del 30 ottobre 2003 (G.U. n.98 del 27 aprile 2004)”.
L’OCSI agisce in conformità agli standard internazionali ISO/IEC IS-15408 (Common Criteria) e ai criteri europei ITSEC e ITSEM. Tale Organismo ha prestabilito le Linee Guida per la conduzione dei processi di valutazione e certificazione”, inoltre, gestisce l’accreditamento dei cosiddetti Laboratori per la Valutazione della Sicurezza.
“I Laboratori per la Valutazione della Sicurezza (LVS) effettuano le valutazioni di prodotti/sistemi o di profili di protezione secondo le norme previste dallo Schema nazionale, i criteri internazionali e sotto il controllo dell’Organismo di Certificazione.”
A cosa si applicano i Common Criteria?
I Common Criteria possono essere applicati ad una varietà di sistemi informatici, ad esempio database, sistemi operativi, dispositivi di rete e così via. Per ogni categoria di prodotto informatico è definito un Protection Profile (PP). Per definizione il Protection Profile: “è il documento che specifica le funzioni di sicurezza relative ad una classe di Oggetti della Valutazione (ODV), insieme all’ambiente operativo in cui l’ODV è destinato ad operare e il livello di garanzia al quale l’ODV dovrà essere valutato. Un ODV che, nel suo Traguardo di Sicurezza, sia dichiarato conforme a tale PP, dovrà possedere tutte le caratteristiche di sicurezza descritte nel PP stesso.”
I principali vantaggi dell’applicazione dei Common Criteria
I principali vantaggi dell’applicazione dello standard dei Common Criteria possono essere così riassumibili:
La verifica di sicurezza sul prodotto/sistema informatico viene effettuata da un laboratorio per la Valutazione della Sicurezza (LVR) facente parte dell’insieme dei laboratori accreditati dall’OCSI;
il Laboratorio incaricato, avendo svolto le opportune verifiche, attesta che ci sono adeguate funzioni di sicurezza incorporate nel sistema/prodotto ICT certificato, insieme ad adeguate contromisure per potenziali minacce.
Gli esperti che forniscono il controllo dello standard CC sono in grado di offrire una vasta gamma di soluzioni, sia in termini di sicurezza ottenibile, sia in termini di requisiti di assurance che si possono adottare.
In conclusione, il processo di certificazione dei Common Criteria offre un modo sicuro per garantire che i sistemi/prodotti ICT certificati mantengano le loro funzioni di sicurezza nell’ambiente in cui operano.
Se vuoi sapere cosa possiamo fare per te, non esitare a contattarci senza impegno!
Grazie,
il team di bitCorp
