Cerca nel Sito

Menu Principale

Linee Guida Provvisorie

Per completezza di informazione si suggerisce di consultare anche la sezione delle Note Informative dello Schema (NIS) che possono contenere eventuali integrazioni alle Linee Guida.

Linee Guida Provvisorie (LGP) per l'applicazione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione

Documento PDF LGP1 - Descrizione generale dello Schema nazionale di valutazione e certificazione della sicurezza

La LGP1, dopo aver introdotto il concetto di Schema nazionale, di sicurezza IT e di accreditamento dei laboratori, affronta una descrizione sintetica del processo di valutazione, identificando le finalità e i requisiti generali per svolgere una valutazione e certificazione di un sistema/prodotto o Profilo di Protezione. Quindi, vengono definiti e descritti i ruoli dei soggetti coinvolti nel processo di valutazione e certificazione, con particolare enfasi per l’Organismo di Certificazione, il Laboratorio per la Valutazione della Sicurezza, il Committente, il Fornitore e l’Assistente. Inoltre, vengono delineate le tre fasi che caratterizzano il processo di valutazione: la preparazione, la conduzione e la conclusione. Infine, viene delineata la fase di certificazione e si forniscono delle informazioni per quanto concerne la gestione dei Certificati e il loro mantenimento.
La LGP1 è modificata e integrata dalla NIS n. 1/07.

Documento PDF LGP2 - Accreditamento degli LVS e abilitazione degli Assistenti

La LGP2 definisce le procedure per ottenere e mantenere nel corso del tempo l’accreditamento di un Laboratorio per la Valutazione della Sicurezza (LVS) informatica secondo lo Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dell’informazione. Inoltre, vengono specificati gli ambiti di attività di un Laboratorio per la Valutazione della Sicurezza e descritti i requisiti generali gestionali e di competenza tecnica per i laboratori. Infine, vengono descritti i requisiti e le procedure per ottenere l’abilitazione al ruolo di Assistente.
La LGP2 è modificata e integrata dalla NIS n. 2/07.

Documento PDF LGP3 - Procedure di valutazione

La LGP3 definisce le procedure che devono essere seguite nel corso di un processo di valutazione condotto all’interno dello Schema. Tale processo è suddiviso in tre fasi distinte: preparazione, conduzione e conclusione. Le procedure descritte in questa linea guida sono applicabili alla valutazione della sicurezza di un sistema/prodotto o di un Profilo di Protezione, così come definiti in ITSEC o nei Common Criteria, e descrivono le modalità secondo cui effettuare:

  • le comunicazioni tra un Laboratorio per la Valutazione della Sicurezza, un Committente, un Fornitore e l’Organismo di Certificazione;
  • l’organizzazione e la pianificazione delle attività di una valutazione;
  • la finalità e il contenuto delle diverse tipologie di rapporti prodotti nel corso della valutazione;
  • il controllo di una valutazione;
  • la pubblicazione dei risultati di una valutazione;
  • la chiusura della valutazione e il processo di certificazione con il rilascio da parte dell’Organismo di Certificazione del Certificato.

La LGP3 è modificata e integrata dalla NIS n. 3/07.

Documento PDF LGP4 – Attività di valutazione secondo i Common Criteria

La LGP4 si prefigge l'obiettivo di definire la terminologia di riferimento in lingua italiana per descrivere, discutere e analizzare l’insieme minimo di unità di lavoro in cui possono essere decomposte le azioni di valutazione richieste per svolgere la valutazione di un Profilo di Protezione e la valutazione di un sistema/prodotto ai livelli di garanzia EAL1, EAL2, EAL3 e EAL4 secondo i Common Criteria. Tutti i punti relativi alla valutazione di un ODV (Oggetto Della Valutazione) o di un Profilo di Protezione contenuti nella LGP4 sono stati sviluppati tenendo conto dello stato della normativa al gennaio 2004.

La LGP4 contiene informazioni utili agli utenti finali di prodotti/sistemi IT che sono stati sottoposti al processo di valutazione, al personale direttamente responsabile della valutazione di un sistema/prodotto o di un Profilo di Protezione, al personale che fornisce assistenza al Committente di una valutazione, al personale responsabile della stesura di un Traguardo di Sicurezza o di un Profilo di Protezione, e agli sviluppatori di prodotti/sistemi IT che sono interessati a richiedere la valutazione e la certificazione dei loro prodotti/sistemi.

Documento PDF LGP5 - Il Piano di Valutazione: indicazioni generali

La LGP5 fornisce ai Valutatori gli elementi fondamentali per definire, in base ai Criteri di valutazione ITSEC e Common Criteria, un Piano Di Valutazione (PDV) della Sicurezza di un sistema/prodotto o di un Profilo di Protezione. Il PDV è il documento che contiene la descrizione di tutte le attività che i Valutatori debbono eseguire durante la valutazione e le modalità secondo le quali queste attività risultano organizzate, pianificate, correlate e suddivise nell'ambito del periodo di valutazione.

La necessità di fornire delle istruzioni per la definizione di un PDV nasce dall'esigenza di soddisfare più requisiti, quali:

  • armonizzare tutta la documentazione e le procedure di valutazione alla normativa internazionale e nazionale in vigore;
  • rendere omogenei e confrontabili i PDV prodotti da Laboratori per la Valutazione della Sicurezza diversi;
  • garantire, mediante il rispetto delle Linee Guida, l'obiettività, l'imparzialità, la ripetitività e la riproducibilità delle attività di valutazione indicate in un PDV.

Documento PDF LGP6 – Guida alla scrittura dei Profili di Protezione e dei Traguardi di Sicurezza

Nella LGP6 sono fornite indicazioni per la scrittura dei Profili di Protezione (PP) e dei Traguardi di Sicurezza (TDS) secondo le norme fissate dai Common Criteria.

Questa LGP è indirizzata principalmente a coloro che sono coinvolti nello sviluppo dei PP/TDS. Tuttavia, può anche essere utile ai Valutatori e ai responsabili della definizione e del controllo della metodologia per la valutazione dei PP/TDS. Gli utenti finali possono altresì trovare utile questo documento per comprendere i PP/TDS o per individuare le parti di loro interesse.

Viene dapprima fornita una panoramica sui PP/TDS, che comprende un indice di riferimento. Vengono quindi descritte in dettaglio le sezioni del PP/TDS. Infine, sono riportate alcune appendici che approfondiscono aspetti di particolare rilievo, tra cui la descrizione di esempi di minacce, politiche di sicurezza, assunzioni e obiettivi di sicurezza, e l’identificazione di adeguati componenti funzionali per specificare i requisiti funzionali di sicurezza.

Documento PDF LGP7 - Glossario e terminologia di riferimento

Nella LGP7 sono raccolte tutte le definizioni in uso nello Schema nazionale. Inoltre, è fornito un elenco di termini di uso comune che assumono un significato specifico nei Common Criteria.