il consorzio res e le certificazioni di sicurezza informatica 1/22
TRANSCRIPT
“Il Consorzio RES e le Certificazioni di Sicurezza Informatica”
1/22
Il Consorzio RES è
Il Consorzio RES nasce nel 1997 in risposta alle crescenti esigenze del mercato ICT in ambito della sicurezza nell'elaborazione e nel mantenimento
dei dati elettronici.
Laboratorio di Valutazione della Sicurezza (LVS) accreditato da
OCSI (ISTICOM)
Centro di Valutazione (CE.VA.) accreditato dall’Autorità
Nazionale per la Sicurezza (ANS)
Consulente Globale nel campo della sicurezza fisica,
organizzativa ed ICT
2/22
Schema gestito dall’OCSI per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della
tecnologia dell'informazione (DPCM del 30/10/2003)
Schema gestito da ANS per la valutazione e certificazione della sicurezza di sistemi e prodotti che gestiscono informazioni classificate, concernenti la
sicurezza interna ed esterna dello Stato (DPCM 11/04/2002)
Il Consorzio RES è un laboratorio omologato per compiere Valutazioni di Sicurezza secondo
due Schemi Nazionali
Che cosa è un Processo di Valutazione ?
3/22
Il Processo di Valutazione è parte di un Processo di Certificazione ed è finalizzato all’emissione di un Rapporto Finale di Valutazione sulla base del
quale l’Ente Certificante produrrà il Rapporto di Certificazione ed, eventualmente, il Certificato
L’Obiettivo, quindi, sembra essere l’ottenimento del
Certificato di Sicurezza
Questo Obiettivo
DEVE
essere raggiunto…
in breve tempo
a costi ridotti
ad un livello di garanzia alto
4/22
… solitamente ci viene chiesto questo !
?!
5/22
Partendo da esse il Consorzio RES ha consolidato una metodologia
operativa di indubbio vantaggio per il cliente
Anni di esperienza ci hanno insegnato a rispettare tali esigenze
6/22
Il nostro approccio risponde, in modo puntuale, alle principali problematiche di quanti siano intenzionati ad intraprendere
un processo di certificazione
Perché certificare
Cosa certificare
Quanto spendere
… ed i presupposti da cui partono i nostri Clienti sono …7/22
Perché certificare
Ci serve per poter
usare il
sistema/prodotto
Il nostro diretto competitor ha
appena certificato il suo prodotto
Avanzano dei soldi nel progetto …
49%
49%
2%
8/22
Tutto
Non lo sappiamo
50%
50%
Cosa certificare
9/22
Poco
Abbiamo X mila € da
spendere…fate voi!
50%
50%
Quanto spendere
10/22
L’intervento del Consorzio RES, fin dai momenti in cui la Certificazione è solo un’ipotesi, consente al Cliente di
risolvere a proprio vantaggio le precedenti problematiche
L’analisi di tali esigenze ha portato il Consorzio RES a sviluppare una
metodologia di lavoro che accompagna il Cliente da prima dell’avvio ufficiale del Processo di Valutazione.
L’approccio seguito risponde alle esigenze del Cliente pur
rispettando tutte le procedure dello schema di riferimento
nonché lo standard di sicurezza prescelto rispetto al quale viene valutato il sistema/prodotto.
11/22
Perché certificare? ...
Sin da prima dell’avvio della Valutazione, il Consorzio RES collabora
con i propri Clienti ad una chiara definizione :
“ Affinchè le informazioni che si vogliono proteggere, possano essere gestite in un
contesto di sicurezza adeguato all’ambiente reale ”
delle reali esigenze di sicurezza
dell’ambiente operativo più
idoneo
delle contromisure strettamente necessarie
12/22
Cosa certificare? ...“ Solo quelle componenti (HW/SW) che,
implementando la sicurezza, vanno a contrastare, in modo efficace, le minacce
ipotizzate ”
Una delle prime attività del Consorzio RES è aiutare i propri Clienti a
tracciare in modo netto i confini:
dell’Oggetto da Valutare
di tutto il resto
degli elementi dell’Ambiente
Operativo
13/22
Quanto spendere? ...
Il minimo indispensabile dopo aver risposto, in modo corretto,
agli interrogativi: Perché Certificare?Cosa Certificare? ”
“
14/22
E’ frequente infatti che le ambiguità del Problema di Sicurezza si traducano in una cautelativa estensione dei confini dell’Oggetto da Valutare e del suo Ambiente Operativo, nonché nella definizione di Procedure di Sicurezza onerose per la quotidiana operatività degli
utenti del prodotto/sistema che verrà certificato
Confusione sui reali obiettivi di sicurezza
Allungamento dei tempi della certificazione
Aumento dei costi della
certificazione
Cambiamento normative/standard
Obsolescenza componenti HW/SW del prodotto/sistema
15/22
Fase di Assistenza alla
Valutazione
Fase di Preparazione alla
Valutazione
certificazione
Emissione Certificato
Fase di Valutazione
Inizio Valutazione
Fine Valutazione
Dove interviene il Consorzio RES
16/22
Fattori Critici di Successo
Fase di Assistenza alla
Valutazione
Fase di Valutazione
Fase di Preparazione alla
Valutazione
certificazione
17/22
Fase di Preparazione alla
Valutazione
Individuazione degli aspetti di sicurezza
concretamente connessi al problema di sicurezza
Fase di Assistenza alla
Valutazione
Scrittura di documenti per la valutazione corretti, coerenti e
conformi allo standard di sicurezza scelto
Fattori Critici di Successo
18/22
Il soddisfacimento di tali requisiti riduce notevolmente
il rischio che, nel corso del processo di
certificazione, si accumulino ritardi non trascurabili a scapito
dei costi e degli
impegni operativi del sistema/prodotto da
certificare
Fase di Assistenza alla
Valutazione
Fase di Preparazione alla
Valutazione
Fase di Valutazione
Soluzione chiavi in mano
Il Consorzio RES è in grado di offrire un servizio completo, nel corso di un medesimo processo di Certificazione, in quanto dispone di
personale altamente qualificato ed in numero sufficiente
da poter garantire l’ indipendenza prevista da entrambi gli schemi nazionali.
19/22
Ogni risorsa è inoltre abilitata, da entrambi gli enti certificanti,
per i rispettivi schemi, a ricoprire il ruolo di Valutatore nel corso dei processi di Valutazione.
Common Criteria v.3.1 (ISO/IEC 15408)
Ogni risorsa del Consorzio RES è in grado di esercitare la professione
secondo il più recente standard di sicurezza riconosciuto da un board di nazioni a livello mondiale:
20/22
La fiducia dei nostri clienti ci ha consentito di raggiungere dei
traguardi da primato
Primo LVS in Italia ad aver concluso un processo Valutazione secondo lo Schema Nazionale gestito dall’OCSI
Primo laboratorio ad aver concluso delle Valutazioni Common Criteria secondo lo Schema Nazionale gestito dall’ANS
Primo LVS in Italia ad essere stato accreditato per effettuare valutazioni di prodotti/sistemi o di profili di protezione secondo lo Schema Nazionale gestito dall’OCSI
... tutti inevitabili risultati dell'impegno e della professionalità con le quali il Consorzio RES risponde alle Vostre esigenze.
21/22