Cerca nel Sito

Menu Principale

Ratificato il nuovo accordo CCRA

11 Settembre 2014

In occasione del meeting del Management Committee del CCRA (Common Criteria Recognition Arrangement), tenutosi a Nuova Dehli l'8 settembre 2014, è stata ratificata da parte dei rappresentanti delle 26 nazioni aderenti la revisione dell'"Arrangement on the Recognition of Common Criteria Certificates In the field of Information Technology Security" (noto come CCRA).

Lo scopo principale della nuova versione dell'accordo è quello di accrescere il livello di sicurezza dei prodotti ICT certificati ottenendo al contempo una riduzione dei tempi di certificazione, con conseguenti effetti benefici anche sui costi.

A tale scopo, è stato concordato di creare delle Comunità Tecniche internazionali (iTC - international Technical Communities) aperte alla partecipazione dei principali attori interessati, sia del settore pubblico, sia di quello privato. Tali Comunità avranno il compito di promuovere la cooperazione nel campo delle certificazioni di sicurezza in ambito internazionale, multi-settore e multi-stakeholder.

Un importante obbiettivo di tale cooperazione è quello di definire requisiti di sicurezza e metodologie di test per i prodotti appartenenti a specifiche aree tecniche, quali ad es. Firewall, dispositivi di memorizzazione USB, prodotti per la cifratura dei dati, ecc., che verranno pubblicati sotto forma di Profili di Protezione collaborativi (cPP - collaborative Protection Profiles) e documenti di supporto redatti secondo lo standard Common Criteria.

In conseguenza di questo approccio, il nuovo accordo CCRA prevede il mutuo riconoscimento dei certificati CC nei seguenti casi:

  1. le certificazioni di prodotti che dichiarano conformità ad un cPP sono riconosciute fino al livello EAL4, inclusa l'eventuale aggiunta di ALC_FLR (Flaw remediation);
  2. tutte le altre certificazioni vengono riconosciute fino al livello EAL2, sempre con l'aggiunta di ALC_FLR.

Le nuove regole si applicano alle certificazioni avviate successivamente alla data di ratifica del nuovo CCRA.

Per le certificazioni già rilasciate o in corso, si applicano le seguenti norme transitorie:

  1. i certificati già emessi secondo la precedente versione dell'accordo continuano ad essere riconosciuti fino al livello EAL4;
  2. i certificati che saranno emessi a seguito di certificazioni avviate prima della ratifica del nuovo accordo saranno altresì riconosciuti fino al livello EAL4;
  3. per un periodo di 36 mesi dalla data di ratifica saranno riconosciuti fino al livello EAL4 i certificati emessi a seguito di ri-certificazione o mantenimento della certificazione per prodotti già certificati secondo il precedente accordo.

Per approfondimenti si rimanda al sito del CCRA.