FAQs

Di seguito alcune FAQ che, ci auguriamo, possano esservi di aiuto.

Il costo di una Valutazione è dipendente dai seguenti fattori

  • Complessità del prodotto/sistema da valutare - può essere chiesta la Certificazione di un qualunque prodotto/sistema, purchè vi siano caratteristiche di sicurezza in termini di Riservatezza, Integrità e/o Disponibilità nel trattamento dei dati da parte del prodotto/sistema in questione
  • Livello di Garanzia rispetto al quale verrà condotta tutta l’attività di Valutazione - è legato "poco" alla complessità del prodotto/sistema, "molto" all’uso che se ne vuol fare (es.: tipologia dei dati che vengono gestiti, ambiente in cui il prodotto/sistema è destinato ad operare, esigenze commerciali)
  • Disponibilità della documentazione necessaria per il processo di Valutazione - le attività connesse alla stesura della documentazione prevista dal processo di Valutazione sono di rilevante importanza e richiedono una buona conoscenza dei criteri scelti (es. Common Criteria). La quantità ed il livello di approfondimento di tali evidenze dipende dalla complessità dell’OdV e dal Livello di Garanzia scelto

Anche la durata del processo di Valutazione è dipendente da questi tre fattori, anche se in diversa misura. A giocare un ruolo fondamentale sono i documenti necessari per il processo di Valutazione. Una documentazione che all'occorrenza sia di immediata disponibilità dei Valutatori, ma anche una documentazione corretta e che soddisfa i requisiti previsti dal livello di Valutazione scelto, riduce notevolmente i tempi di tutto il processo.
Il Consorzio RES è in grado di offrire un servizio a 360°, non limitato al solo processo di Valutazione, ma che comprende anche l’analisi del rischio, la definizione dei requisiti di sicurezza e la loro formalizzazione nel Traguardo di Sicurezza e la stesura di tutta la documentazione necessaria per affrontare il processo di Valutazione.

Gli input di un processo di Valutazione/Certificazione sono:

  • Il prodotto/sistema con precise caratteristiche di sicurezza che si vogliono sottoporre a Valutazione
  • Un documento che definisca in modo chiaro i requisiti di sicurezza che l’OdV soddisfa. Nello standard Common Criteria tale documento è detto Traguardo di Sicurezza

Successivamente, nel corso del processo di Valutazione, dovrà essere messo a disposizione dei Valutatori un insieme di documenti. Il numero ed il tipo dei documenti dipende in gran parte dal livello scelto per la Valutazione. Più alto è il livello di garanzia rispetto al quale si vuol certificare un prodotto, maggiore sarà il numero (e la tipologia) dei documenti prodotti nonchè il livello di approfondimento di buona parte di essi. Come esempio si possono osservare i documenti  previsti per Valutazione a livello EAL2 riportati nelle Linea Guida dell'OCSI (LGP4 - par.5.2 - Materiale per la Valutazione).

E' un laboratorio accreditato dall'organismo di certificazione (commerciale e/o per la difesa). Ai fini dell’accreditamento un laboratorio deve aver dimostrato di possedere i seguenti requisiti:

  • capacità di garantire l’imparzialità, l’indipendenza, la riservatezza e l’obiettività, che sono alla base del processo di valutazione;
  • la disponibilità di locali e mezzi adeguati ad effettuare valutazioni ai fini della sicurezza nel settore della tecnologia dell’informazione
  • una organizzazione in grado di controllare il rispetto delle misure di sicurezza e della qualità previste per il processo di valutazione
  • la disponibilità di personale sufficiente, dotato delle necessarie competenze tecniche ed iscritto nell’elenco dei Valutatori dell’Organismo di Certificazione
  • la capacità di mantenere nel tempo i requisiti in virtù dei quali è stato accreditato

All’interno del laboratorio operano i Valutatori, figure professionali formate e addestrate in maniera specifica sui criteri di valutazione ed in generale sulle tematiche della sicurezza informatica. Tali figure sono abilitate dall’Organismo di Certificazione di competenza a condurre attività di Valutazione e di assistenza ai fini della Valutazione.

Un sistema o prodotto certificato:

  • Aumenta la competitività del prodotto rispetto a prodotti di pari fascia, con le stesse caratteristiche, ma non certificati
  • Aumenta i prestigio dell’azienda sia a livello nazionale che internazionale. Gli standard Common Criteria sono riconosciuti i tutto il mondo da un board di numerose nazioni
  • Può consentire di ottenere migliori condizioni assicurative
  • Implica l’aver scelto di sottoporsi ad un processo, quello di Valutazione pe l’appunto, che obbliga all’adozione di un ambiente e di un processo di sviluppo ben definito e documentato del quale beneficiano anche i prodotti che non sono sottoposti a valutazione

Infine, ma non meno importante: per un prodotto/sistema certificato può essere finalmente quantificato, in modo univoco, riconoscibile e condivisibile da tutti, il livello di sicurezza dichiarato e quindi, il livello di fiducia che è possibile riporre nell'utilizzo del sistema/prodotto certificato.