Cerca nel Sito

Menu Principale

SOGIS Mutual Recognition Agreement

Il primo piano di azione a livello europeo nel settore della sicurezza dei sistemi di informazione fu avviato dalla Commissione Europea (DG XIII) con la Decisione del Consiglio EU del 31 Marzo 1992 (92/242/CEE) e la successiva Raccomandazione del Consiglio del 7 Aprile 1995 (95/144/CE).

Per realizzare il piano di azione, è stato creato il SOGIS (Senior Officials Group Information Systems Security), che il 21 Novembre 1997 ha emanato la prima versione dell’accordo di mutuo riconoscimento delle certificazioni (Mutual Recognition Agreement, MRA v1), basato sui criteri di valutazione europei ITSEC, pubblicati nel 1991. Tale accordo è stato sottoscritto nel marzo del 1998 da dieci paesi: Finlandia, Francia, Germania, Grecia, Norvegia, Spagna, Svezia, Svizzera, Paesi Bassi e Regno Unito. Una seconda versione dell'accordo (MRA v2), emessa nell’aprile del 1999, è stata firmata dagli stessi paesi, ad eccezione della Svizzera, con la nuova adesione dell’Italia. In tale nuovo accordo si prevedeva l’uso nelle valutazioni anche del nuovo standard ISO/IEC IS-15408 (Common Criteria). La versione corrente dell'accordo, la terza (MRA v3), è stata firmata ad aprile 2010 da parte degli Organismi di Certificazione (OC) nazionali dei seguenti paesi: Finlandia, Francia, Germania, Norvegia, Spagna, Svezia, Paesi Bassi e Regno Unito. Successivamente, nel dicembre 2010, ha aderito anche l'Italia.

L'accordo SOGIS-MRA prevede il riconoscimento dei certificati di sicurezza per prodotti e sistemi IT basati su Common Criteria e ITSEC fino ai livelli, rispettivamente, EAL4 e E3 (con Robustezza dei Meccanismi 'basic'). Un livello di riconoscimento più elevato, superiore a EAL4 o E3 (basic), è previsto per specifici ambiti tecnologici sotto specifiche condizioni. Attualmemte l'accordo definisce il Dominio Tecnico IT "Smart card e dispositivi simili".

Scopo del SOGIS-MRA

Analogamente al CCRA, i partecipanti al SOGIS-MRA condividono i seguenti obiettivi:

  1. garantire che le valutazioni di prodotti IT e Profili di Protezione (PP) siano eseguite secondo standard elevati e coerenti, in modo da contribuire significativamente alla fiducia nella sicurezza di tali prodotti e PP;
  2. aumentare la disponibilità di prodotti IT con caratteristiche di sicurezza e PP certificati;
  3. eliminare l'onere della duplicazione delle valutazioni di prodotti IT e PP;
  4. migliorare continuamente l'efficienza e il rapporto costo-efficacia del processo di valutazione e di certificazione di prodotti IT e PP.

Lo scopo dell'accordo è quello realizzare, perseguendo tali obiettivi, una situazione in cui prodotti e PP già certificati possano essere reperiti ed utilizzati senza la necessità di un'ulteriore valutazione, potendo riporre fiducia nell'affidabilità dei giudizi alla base dei certificati emessi.

Partecipanti

I partecipanti al SOGIS-MRA sono organizzazioni o agenzie governative rappresentanti di paesi facenti parte dell'Unione Europea o dell'Associazione europea di libero scambio (EFTA - European Free Trade Association). I partecipanti possono essere produttori di certificati di valutazione, “consumatori” di certificati, o avere entrambi i ruoli.

I partecipanti denominati Certificate Consuming Participant, pur non avendo necessariamente la capacità di condurre valutazioni di sicurezza IT, hanno tuttavia un interesse specifico nell'uso di prodotti e PP certificati. I partecipanti definiti come Certificate Authorising Participant rappresentano OC operanti nei rispettivi paesi ed autorizzano i certificati emessi da tali organismi. I Certificate Authorising Participant che controllano direttamente le risorse e le competenze di un OC vengono denominati Qualified Participant.

Condizioni per il mutuo riconoscimento

I partecipanti al SOGIS-MRA si impegnano a riconoscere la validità dei certificati emessi da un qualsiasi partecipante Authorising, la cui autorizzazione fornisce garanzia che i processi di valutazione e certificazione sono stati condotti secondo elevati standard qualitativi e professionali, in particolare:

  1. sulla base di criteri di valutazione della sicurezza IT riconosciuti,
  2. utilizzando metodologie di valutazione della sicurezza IT riconosciute,
  3. nell'ambito di uno Schema di Valutazione e Certificazione gestito da un OC accreditato, operante nel paese di origine del partecipante Authorising,
  4. e, inoltre, che i certificati autorizzati e i Rapporti di Certificazione emessi sono conformi agli obiettivi dell'accordo.

I criteri di valutazione riconosciuti in ambito SOGIS-MRA sono Common Criteria e ITSEC. le metodologie riconosciute sono quelle descritte nei documenti Common Evaluation Methodology for Information Technology Security Evaluation (CEM), Information Technology Security Evaluation Manual (ITSEM) e nei documenti di supporto del JIWG, nelle versioni approvate dal Management Committee.

Allo scopo di promuovere un'applicazione coerente dei criteri e delle metodologie da parte dei vari Schemi di Valutazione e Cerificazione, i partecipanti collaborano per giungere ad un'interpretazione uniforme dei criteri e delle metodologie attualmente applicabili e si impegnano ad accettare i documenti di supporto prodotti dal JIWG come risultato di questo lavoro. Per raggiungere questo obiettivo, i partecipanti operano frequenti scambi di informazioni e svolgono discussioni volte a risolvere eventuali divergenze di interpretazione. I partecipanti collaborano altresì alla produzione di documenti di supporto del JIWG riguardanti particolari tecniche di valutazione quali, ad es., metodi di penetrazione o Metodi di Attacco, che dovranno essere applicate dagli OC che richiedano lo status di Qualified per uno specifico Dominio Tecnico IT.

Ad ulteriore garanzia di un'applicazione armonica, seria e professionale dei criteri e delle metodologie, gli OC sono responsabili della verifica di tutte le valutazioni in corso nell'ambito dello Schema di appartenenza e dell'applicazione di opportune procedure volte a garantire che tutti i Laboratori per la Valutazione della Sicurezza IT (IT Security Evaluation Facilities), accreditati dall'OC:

  1. conducono le valutazioni in maniera imparziale;
  2. applicano i criteri e le metodologie correttamente e in maniera uniforme;
  3. possiedono e mantengono nel tempo le competenze tecniche necessarie;
  4. proteggono in maniera adeguata la confidenzialità delle informazioni riservate.

Verifiche Periodiche Volontarie

Gli OC facenti capo ai partecipanti al SOGIS-MRA vengono sottoposti a verifiche periodiche allo scopo di assicurarsi che continuino a perseguire gli obiettivi comuni dell'accordo. Tali verifiche vengono effettuate, per ogni OC accreditato, a distanza di tempo non superiore a cinque anni e vengono condotte da rappresentanti di due o più Qualified Participant selezionati dal Management Committee.