ISCOM - Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione

Sicurezza OCSI

La sempre più stringente necessità, da parte di aziende e professionisti, di utilizzare tecnologie informatiche per lo svolgimento delle loro attività, li espone ai notevoli rischi connessi all’uso di tali tecnologie. Tali rischi vanno dalla perdita o compromissione dei dati in loro possesso, ai rischi connessi al mancato adempimento di obblighi di legge (pensiamo ad esempio alle ricadute della legge sulla privacy su coloro che trattano dati personali). Appare quindi evidente l’assoluta necessità per questi soggetti di disporre di strumenti informatici la cui sicurezza sia garantita da terza parte.

L’istituzione dell’OCSI, Organismo di certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia della comunicazione e dell’informazione (ICT), colma finalmente una lacuna esistente in Italia, consentendo di eseguire le certificazioni di tale tipo analogamente a quanto avviene nei maggiori paesi industrializzati. L’Organismo nasce come entità super partes che fornisce garanzie circa l’adeguatezza e la corretta realizzazione delle misure di sicurezza che vengono impiegate nei prodotti e sistemi ICT.

Un prodotto informatico sicuro deve garantire:

  • la Riservatezza, cioè impedire che le informazioni siano accessibili a persone non autorizzate;
  • l’Integrità, cioé impedire la modifica non autorizzata delle informazioni;
  • la Disponibilità, cioè assicurare l’accesso alle informazioni da parte del personale autorizzato.

Lo “Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione” individua nell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione (ISCOM), l’Organismo di Certificazione della Sicurezza Informatica (OCSI).

Per la gestione dell’Organismo di Certificazione, l’ISCOM si avvale della collaborazione della Fondazione Ugo Bordoni. Le valutazioni all’interno dello Schema nazionale vengono eseguite applicando i criteri europei ITSEC (Information Technology Security Evaluation Criteria) o quelli, denominati Common Criteria, che costituiscono lo standard internazionale ISO/IEC IS-15408.

Perché certificare la sicurezza

Vari soggetti possono trarre beneficio da una certificazione di sicurezza eseguita su un sistema o prodotto ICT. Tra questi si possono citare:

  • l’utilizzatore del prodotto ICT, che può disporre di garanzie che vanno oltre le assicurazioni del fornitore;
  • il fornitore del prodotto ICT, che può prevedere un incremento di vendite;
  • le aziende fornitrici di servizi ICT, che possono contare su una loro maggiore utilizzazione da parte degli utenti in presenza di garanzie circa la sicurezza dei sistemi ICT impiegati;
  • il responsabile, nell’ambito della Pubblica Amministrazione, della fornitura di servizi ICT, che può dimostrare di aver curato in modo non contestabile la protezione delle informazioni trattate.

Inoltre, anche senza eseguire una completa certificazione, l’utilizzazione di strumenti quali i Protection Profile, previsti nei Common Criteria per esprimere in modo non ambiguo i requisiti di sicurezza relativi a particolari tipologie di prodotti ICT, consente ai responsabili dell’acquisto di tali prodotti di formulare capitolati seguendo uno standard riconosciuto e potendo contare su un’elevata confrontabilità delle offerte che potranno pervenire dai fornitori.

Il ruolo dell'Organismo di Certificazione - OCSI

A differenza di quanto avviene in altri schemi di certificazione, nel contesto della sicurezza di sistemi e prodotti ICT è previsto che l’Organismo di Certificazione svolga un ruolo tecnico durante ogni certificazione eseguita nell’ambito dello Schema.

L’Organismo infatti non si limita, nell’ambito del previsto accreditamento dei Laboratori per la Valutazione della Sicurezza (LVS), a verificarne inizialmente e periodicamente la competenza tecnica nel campo della sicurezza in generale e dei criteri di valutazione in particolare. L’Organismo di Certificazione deve anche verificare, durante ogni valutazione, che i criteri vengano correttamente interpretati ed applicati dai Laboratori, ai quali vengono segnalate eventuali azioni correttive che dovessero rendersi necessarie. Solo quando questa verifica si conclude con un esito positivo l’Organismo procede all’emissione del certificato.

OCSI

OCSI
Organismo di certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia della comunicazione e dell’informazione (ICT).

Linee guida provvisorie