Le Valutazioni

La Valutazione di sicurezza è il complesso di attività che vengono svolte da un Laboratorio di Valutazione nell’ambito di una Certificazione di sicurezza di un prodotto/sistema (chiamato OdV, Oggetto della Valutazione). In base ai risultati di tali attività l’Organismo di Certificazione emanerà il Certificato, concludendo così tutto il processo.

La Valutazione è in particolare un'attività di verifica che copre tutte le fasi dello sviluppo, realizzazione e gestione del prodotto/sistema ICT che siano di rilevanza da un punto di vista della Sicurezza Informatica.

Propedeutica al processo di Valutazione è la stesura di un documento nel quale vengono identificati i requisiti di sicurezza che sono soddisfatti dal prodotto/sistema da valutare. Tale documento è chiamato, nello standard Common Criteria, TDS (Traguardo di Sicurezza) e la sua redazione sarà in carico  al Fornitore dell'OdV (o al Committente della Valutazione ovvero una terza parte interessata alla Valutazione dell'OdV),

Una Valutazione si esplica attraverso tre fasi distinte:

  • Preparazione: viene stimata l’adeguatezza del Traguardo di Sicurezza, e quindi dell’oggetto della valutazione, verificando l’assenza di elementi che possano pregiudicare il buon esito della valutazione. Il laboratorio redigerà, in base ai contenuti di tale documento, un PdV (Piano della Valutazione) che verrà presentato all’ente certificante. L’avvio della Valutazione ha luogo nel momento in cui l’ente certificante ratificherà il Piano di Valutazione.
  • Conduzione: il laboratorio conduce la Valutazione secondo lo schema previsto (commerciale o per la difesa), le attività specificate dallo standard di riferimento e le tempistiche definite nel Piano di Valutazione. Di fatto, è durante questa fase che si concentra la maggior parte delle attività del laboratorio con la verifica e l'analisi della documentazione predisposta dal Fornitore/Committente. Durante questa attività il Valutatore dovrà confermare sia la validità della documentazione che dei comportamenti dell’OdV.
  • Conclusione: durante questa fase il laboratorio produce il RFV (Rapporto Finale di Valutazione) che raccoglie una sintesi di tutte le attività svolte durante la fase di conduzione del processo di Valutazione. Le conclusioni documentate nel Rapporto Finale di Valutazione dimostrano e descrivono il grado con cui i criteri di Valutazione sono stati soddisfatti da parte del Fornitore. L’Organismo di Certificazione si servirà del Rapporto Finale di Valutazione per redigere, in caso di esito positivo, il Certificato, concludendo il processo di Certificazione.