• Autodichiarazione:“oste, come è il vino?” “bono!”
• Autocertificazione:“oste, come è il vino?” “bono, in quanto è morbido, vellutato, setoso, con il giusto tenore alcolico”
• Certificazione:“oste, come è il vino?” “bono, è un vino DOCG, Denominazione di Origine Controllata e Garantita”

Le scenette con l’oste ci aiutano a percorrere l’excursus normativo sulla valutazione e certificazione della sicurezza nel settore della tecnologia dell’informazione in Italia.

Autodichiarazione

“A buje, uommene e femmene, sentite sta’ sparata. Battaglio’! Fanfarro’! Pupulazio’! I aize ’o basto’! Attenzio’.E’ asciuto pazzo ’o padro’’!

L’excursus normativo dell’autodichiarazione

Il 30 ottobre 2003, Visto il decreto legislativo 23 gennaio 2002, n. 10 di “Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche”, viene approvato lo schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione con il DPCM 30/10/2003.

L’art. 13 par. 4 delle norme transitorie e finali, così recita:

“Per un periodo di nove mesi decorrente dall’entrata in vigore del presente decreto, i certificatori di firma elettronica attestano la rispondenza dei propri prodotti e dispositivi di firma elettronica ai requisiti di sicurezza previsti dalla vigente normativa mediante autodichiarazione (da presentare al CNIPA, ndr.). Decorso il periodo indicato …”

• Il CNIPA (oggi DigitPA) svolge azione di vigilanza e controllo sulle attività dei certificatori qualificati e accreditati, comunemente noti come CA (Certification Authority). L’attività di vigilanza garantisce il mantenimento del possesso dei requisiti tecnici, organizzativi e societari che i certificatori qualificati devono possedere, ai sensi della normativa vigente.

Autocertificazione

… seguiranno 5 proroghe, a garanzia della continuità del valore delle autodichiarazioni, prima di giungere fino ai giorni nostri con il DPCM 10 febbraio 2010 per la fissazione del termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza (da parte dei summenzionati certificatori di firma elettronica, ndr.)

art. 1, comma 1:

“A decorrere dal 1° febbraio 2010 e per i ventuno mesi successivi (fino a novembre 2011, ndr.) i certificatori di firma elettronica attestano, mediante autocertificazione, la rispondenza dei propri dispositivi per l’apposizione di firme elettroniche con procedure automatiche ai requisiti previsti dalla vigente normativa”

Le autocertificazioni saranno rese secondo le modalità pubblicate congiuntamente sui siti istituzionali di DigitPA e dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e conterranno una serie di vincoli che il certificatore dovrà autocertificare, in particolare le motivazioni a seguito delle quali i propri prodotti e dispositivi di firma elettronica possono essere considerati “sicuri”.

• L’OCSI (Organismo di Certificazione della Sicurezza Informatica) è l’ente designato e responsabile in Italia per l’accertamento della conformità di un dispositivo di firma ai requisiti di sicurezza espressi nell’allegato III della direttiva comunitaria 1999/93/CE sulla firma elettronica.

Entro centottanta giorni dall’entrata in vigore del DPCM 10 febbraio 2010 l’OCSI stabilisce e pubblica sul proprio sito istituzionale:

1.  la procedura per accertare la conformità di dispositivi sicuri per l’apposizione di firme con procedure automatiche ai requisiti di sicurezza prescritti dall’allegato III della direttiva 1999/93/CE;
2. un documento di supporto che ne faciliti l’applicazione.

In ottemperanza a tali obblighi di legge, l’OCSI sta predisponendo la procedura di accertamento ed il relativo documento di supporto, che saranno pubblicati entro il mese di ottobre 2010. 

Certificazione … Common Criteria

“La sicurezza nel settore della tecnologia dell’informazione è definita come la protezione della riservatezza, integrità, disponibilità delle informazioni mediante il contrasto delle minacce originate dall’uomo o dall’ambiente, al fine di impedire, a coloro che non siano stati autorizzati, l’accesso, l’utilizzo, la divulgazione, la modifica delle informazioni stesse e di garantirne l’accesso e l’utilizzo a coloro che siano stati autorizzati”.

La certificazione soddisfa la necessità di imparzialità, oggettività, ripetibilità e riproducibilità di una valutazione condotta in base a criteri definiti, noti e riconosciuti validi. L’uso di criteri ben definiti ed internazionalmente accettati fornisce un’unità di misura (ad es. i 7 livelli di garanzia EAL nella certificazione CC) per la sicurezza informatica presentando una serie di vantaggi:

• le informazioni costituiscono un bene essenziale ed è necessario garantirne l’integrità, la disponibilità e la riservatezza con misure di sicurezza che costituiscano parte integrante di un sistema informatico;
• da tempo i produttori offrono sistemi e prodotti dotati di funzionalità di sicurezza, per le quali dichiarano caratteristiche e prestazioni al fine di orientare gli utenti nella scelta delle soluzioni più idonee a soddisfare le proprie esigenze;
• in molte applicazioni caratterizzate da un elevato grado di criticità, le predette dichiarazioni potrebbero risultare non sufficienti;
• le garanzie concernenti l’adeguatezza, la qualità e l’efficacia dei dispositivi di sicurezza di un sistema informatico possono essere fornite solo da certificatori e valutatori indipendenti ed imparziali, sulla base di standard riconosciuti a livello nazionale ed internazionale;
• chi acquista un oggetto certificato può dimostrare anche verso terzi, siano essi i “clienti” o una autorità statale (ad esempio, la magistratura, o il Garante per la tutela dei dati personali) di aver curato adeguatamente la gestione della sicurezza.

Alla fine degli anni ottanta in Europa si cominciò a sentire l’esigenza di costituire una base comune per l’attività di certificazione svolta dagli organismi nazionali, con l’obiettivo finale di consentire il mutuo riconoscimento dei risultati delle valutazioni.
Nel 1991 si è giunti ad una completa definizione dei criteri ITSEC (Information Technology Security Evaluation Criteria) e della relativa metodologia ITSEM (Information Technology Security Evaluation Manual), che sono stati nello stesso anno fatti propri dalla Comunità Europea.
Successivamente, l’esigenza di armonizzare l’applicabilità di criteri comuni anche con il resto del mondo, ed in particolare gli Stati Uniti, ha portato alla pubblicazione dei Common Criteria (CC) e della metodologia associata CEM (Common Evaluation Methodology).
I Common Criteria sono uno standard pubblicato dall’ISO (ISO/IEC 15408:2005)

Cosa sta succedendo sul fronte dei fornitori di appliance di firma/HSM?

I principali fornitori di apparati HSM (Hardware Security Module), da me affettuosamente soprannominati “scatole sicure”, hanno approcciato l’OCSI per le necessarie procedure di accertamento previste dalla normativa vigente. La procedura di accertamento parte dalla definizione di un accordo tra lo sviluppatore/produttore del prodotto, o sistema IT (nel caso di specie, leggasi HSM) e il valutatore (OCSI) circa le proprietà di sicurezza dell’Oggetto Della Valutazione (ODV) ed il suo ambiente di sicurezza. Questo accordo, meglio noto come Security Target (Traguardo di Sicurezza), descrive in modo sintetico le funzioni di sicurezza di cui è dotato l’ODV e le misure di garanzia adottate, in altre parole definisce il Traguardo da raggiungere.

To be continued …