Cerca nel Sito

Menu Principale

Lo Schema

Lo Schema Nazionale di valutazione della sicurezza ICT

Lo Schema nazionale raccoglie l’insieme delle procedure e delle regole necessarie per la valutazione e certificazione di sistemi o prodotti ICT o di Profili di Protezione, in conformità ai criteri europei ITSEC o ai Common Criteria. Lo Schema nazionale non si applica per i sistemi e prodotti che trattino informazioni classificate.

Le procedure relative allo Schema nazionale, descritte in dettaglio nelle Linee Guida Provvisorie, devono essere osservate dall’Organismo di Certificazione (OCSI), dai Laboratori per la Valutazione della Sicurezza (LVS), nonché da tutti coloro (persone fisiche, giuridiche e qualsiasi altro soggetto) che operano a vario titolo all’interno della Schema nazionale.

Le figure che operano nello schema

Nell’ambito dello Schema Nazionale operano, oltre all’OCSI, vari soggetti:

Il processo di certificazione

Il processo di certificazione è costituito dal processo di valutazione, articolato in tre fasi distinte, e dalla fase di certificazione.

Il processo di valutazione

Il processo di valutazione è finalizzato all’emissione di un rapporto in cui viene dichiarato se:

  1. il Traguardo di Sicurezza (o il Profilo di Protezione) è completo, congruente, tecnicamente corretto ed adatto ad essere usato come base per la valutazione del corrispondente Oggetto della Valutazione (ODV);
  2. l’Oggetto della Valutazione soddisfa il Traguardo di Sicurezza al livello di garanzia richiesto.

Il processo di valutazione deve seguire i seguenti quattro principi generali:

  1. imparzialità: la valutazione deve essere condotta senza pregiudizi e, in particolare, l’LVS e i Valutatori coinvolti non devono avere interessi commerciali o finanziari dipendenti dall’esito della valutazione stessa;
  2. obiettività: le conclusioni del processo di valutazione devono essere motivate da evidenze sperimentali ogni qual volta sia possibile, in modo da limitare il più possibile opinioni e valutazioni soggettive;
  3. ripetibilità: la valutazione dello stesso sistema/prodotto/Profilo di Protezione effettuata con gli stessi requisiti di sicurezza e dallo stesso LVS deve portare agli stessi risultati;
  4. riproducibilità: la valutazione dello stesso sistema/prodotto/Profilo di Protezione effettuata con gli stessi requisiti di sicurezza da un diverso LVS deve portare agli stessi risultati.

Il processo di valutazione è articolato in tre fasi distinte, denominate di preparazione, conduzione e di conclusione.

La fase di certificazione

Nella fase di certificazione, l’OCSI esamina il Rapporto Finale di Valutazione (RFV) e lo utilizza come base per la produzione del Rapporto di Certificazione e dell’eventuale Certificato, concludendo con questo atto il processo di certificazione.

Il Rapporto di Certificazione attesta che l’LVS ha condotto la valutazione conformemente ai criteri, svolgendo tutte le attività elencate nel Piano di Valutazione (PDV) e previste per il livello di garanzia prescelto. Inoltre, le verifiche sono mirate a stabilire la correttezza e l’efficacia delle funzioni di sicurezza dichiarate nel Traguardo di Sicurezza. Di conseguenza, la certificazione può essere intesa come un giudizio sulla sicurezza dell’ODV unicamente se la si riferisce al contesto dichiarato nel Traguardo di Sicurezza.

I certificati Common Criteria (CC), con i relativi marchi e loghi, vengono forniti allo scopo di indicare ufficialmente che una particolare versione di un prodotto IT è stata valutata con successo secondo i CC, in accordo con i requisiti dello Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti IT.
Nel caso venga portata all'attenzione dell'OCSI una possibile violazione o abuso nell'utilizzo dei certificati CC da esso emessi e/o dei relativi marchi e loghi, l'organismo provvederà a compiere le opportune indagini. Nel caso la violazione venga accertata, l'OCSI richiederà un'azione correttiva da parte del detentore del certificato. La mancata correzione della violazione in tempi rapidi può portare alla revoca della certificazione e/o a possibili azioni legali.

Gestione di reclami e contenziosi

Per ogni segnalazione riguardante possibili problemi riscontrati durante l’applicazione dello Schema, quali ad esempio i processi di certificazione, di accreditamento o altro, si applicherà la specifica procedura dell’OCSI per la gestione di reclami e contenziosi. Al riguardo, le eventuali istanze dovranno essere presentate direttamente all’OCSI. Nella richiesta dovrà essere chiaramente specificato l’oggetto cui si riferisce l’istanza presentata, allegando tutta la documentazione ritenuta necessaria.

L’OCSI esaminerà la richiesta e comunicherà la sua proposta di risoluzione del problema segnalato entro trenta giorni lavorativi dal ricevimento. Qualora tale risoluzione non fosse accettata dal richiedente, si proseguiranno tempestivamente gli atti al Segretario Generale del Ministero dello Sviluppo Economico, che nominerà un apposito comitato di esperti, prescelti anche sulla base del merito della specifica istanza, per giungere a definitiva soluzione.