Emilio Montolivo
Il dibattito sulla protezione dei dati ha posto in primo piano il problema della certificazione dei livelli di sicurezza. Servono procedure condivise e organismi indipendenti in grado di assicurare in modo ufficiale la protezione delle informazioni, proprio come avviene per i controlli di qualità. Così istituzioni pubbliche e imprese private diventano anche più affidabili agli occhi degli utenti.
Nel settore della sicurezza dell'informazione va crescendo l'interesse verso
varie forme di certificazione, in analogia a quanto è accaduto ormai da qualche
anno nel settore della qualità. Questo interesse deriva dal diffondersi
dell'idea che la capacità di proteggere l'informazione è un fattore in grado di
accrescere la competitività di un'azienda, un fattore che ne dimostra la serietà
e che quindi merita di essere pubblicizzato e ufficializzato attraverso un
certificato. Ciò è particolarmente vero nel caso delle aziende che trattano dati
delicati, come quelle del settore bancario o della sanità, o delle aziende che
offrono servizi attraverso Internet, per le quali è ovviamente essenziale essere
in grado di tutelare la sicurezza delle informazioni dei propri clienti per
conquistarne la fiducia in uno scenario considerato particolarmente rischioso.
L'informazione può assumere la forma di documento cartaceo ma anche, e
sempre più spesso unicamente, quella di documento elettronico. L'informazione
può essere conservata, inviata per posta, trasmessa via telefono o fax,
elaborata e gestita tramite un sistema informatico, trasferita attraverso
Internet o altre reti da una filiale all'altra di un'azienda, custodita,
elaborata, pubblicata, ecc. Ciascuna di queste operazioni la espone in qualche
modo a minacce che possono comprometterne le tre proprietà essenziali dal punto
di vista della sicurezza: la riservatezza, l'integrità e la disponibilità. Le
minacce possono essere di natura accidentale (guasti di un sistema informatico,
incendi, allagamenti, terremoti, errori umani, ecc) o di natura intenzionale
(atti vandalici, sabotaggi, intercettazioni telefoniche, intrusioni di hacker,
diffusione di virus informatici, ecc).
Per garantire la sicurezza delle informazioni occorre contrastare tali
minacce tramite un'adeguata combinazione di misure di sicurezza di tipo
procedurale, fisico, tecnico e relativo al personale, che dovrebbero essere
scelte e dimensionate caso per caso attraverso un processo di analisi del
rischio.
Chi si è occupato di questi problemi negli ultimi 20 anni ha
assistito a radicali mutamenti nel modo di affrontarli e percepirli. Questi
mutamenti sono stati originati non soltanto dall'evoluzione tecnologica, che ha
profondamente cambiato i modi e gli strumenti con cui l'informazione è trattata
e protetta, ma anche dalla crescita di consapevolezza riguardo ai rischi
connessi con la generale dipendenza delle attività umane dalla possibilità di
archiviare, esaminare, elaborare, scambiare, condividere o mantenere segreta
l'informazione. Il problema della sicurezza dell'informazione è stato per lungo
tempo quasi ignorato o addirittura rifiutato al di fuori dei settori militare,
governativo e bancario, tradizionalmente molto sensibili ai suoi vari aspetti.
Persino il mondo della ricerca ha trascurato il problema per molto tempo: si
pensi che in Italia, tra la fine degli anni '70 e i primi anni '80, sui temi
connessi con la sicurezza dell'informazione operavano probabilmente non più di
dieci ricercatori. La visione odierna è molto diversa. Proteggere l'informazione
non basta più: l'interesse verso le certificazioni è forse il segnale più
eclatante di quanto sia cambiato il modo di pensare in materia di sicurezza
nell'arco degli ultimi 20 anni.
Come funziona il mondo delle certificazioni.
Il termine
"certificazione" è utilizzato per indicare la verifica e l'attestazione,
condotta da enti terzi indipendenti e qualificati, della conformità di un
prodotto, un processo o un servizio ai requisiti previsti da uno standard o da
una norma di riferimento. Per quanto riguarda le certificazioni di sicurezza,
esistono oggi standard e norme di riferimento sia per l'intero "sistema di
governo della sicurezza dell'informazione" messo in atto da un'azienda
(intendendo con questa espressione quell'insieme di regole, procedure e misure
di protezione di tipo fisico, tecnico e relativo al personale, definite, attuate
e mantenute dall'azienda per la salvaguardia dell'informazione nel suo
complesso, qualunque forma essa assuma) sia per il settore specifico della
sicurezza dei sistemi e dei prodotti informatici.
L'approccio emergente per
la certificazione del sistema aziendale di governo della sicurezza è definito
dallo standard britannico Bs7799 (Information security management)
recentemente recepito come standard internazionale dall'Iso/Iec
(International organization for standardization/International
electrotechnical commission). Con riferimento alla certificazione dei
sistemi e dei prodotti informatici, invece, è oggi in uso la raccolta di criteri
di valutazione europei Itsec (Information technology security evaluation
criteria) alla quale, dal giugno del 1999, si è affiancato lo standard
Iso/Iec-Is15408 (Common criteria for information technology security
evaluation).
Ovviamente l'utilità di una certificazione è tanto maggiore quanto più vasto è l'ambito nel quale è riconosciuta. E' pertanto fondamentale che essa:
- sia basata su criteri o standard di riferimento, de iure o de facto, di riconosciuta validità;
- sia rilasciata a seguito di una valutazione tecnica effettuata da laboratori di comprovata competenza;
- avvenga nell'ambito di uno schema regolamentatorio, comunemente detto schema di certificazione, che garantisca la competenza tecnica dei laboratori e assicuri che l'intero processo di certificazione avvenga nel rispetto dei fondamentali principi d'imparzialità, oggettività, ripetibilità e riproducibilità.
I quattro principi non sono indipendenti. E' evidente che ha poco senso
parlare di "imparzialità" del processo di certificazione se questo non fa
riferimento a criteri ben definiti e "oggettivi", così come senza "imparzialità"
è assai difficile che questo processo porti agli stessi risultati se "ripetuto"
in tempi successivi nello stesso laboratorio o ancor più se "riprodotto" in un
laboratorio diverso.
Gli schemi di certificazione hanno normalmente una
valenza nazionale e servono a specificare i criteri di riferimento per redigere
le valutazioni tecniche, a definire i requisiti che i laboratori di valutazione
devono soddisfare, a indicare gli organismi che sono preposti alla verifica del
soddisfacimento di tali requisiti, a specificare compiti e responsabilità di
tutte le parti in gioco.
Nell'ambito di uno schema di certificazione sono, nel caso più generale, individuabili cinque ruoli fondamentali:
a) il gestore dello schema, che definisce e mantiene i criteri di riferimento per la certificazione, specifica tutte le regole che le altre parti in gioco devono rispettare, negozia eventuali accordi di mutuo riconoscimento con i gestori di schemi analoghi in altri paesi;
b) il certificatore, che rilascia i certificati sulla base dei risultati delle verifiche tecniche condotte da laboratori o ispettori accreditati e vigila sulla corretta applicazione dello schema caso per caso;
c) il laboratorio di verifica o gli ispettori, che costituiscono il braccio operativo del certificatore;
d) l'ente accreditatore, che si occupa dell'accreditamento iniziale dei certificatori e dei laboratori di verifica (o degli ispettori) e del controllo periodico del mantenimento dei requisiti da parte di tali organismi;
e) il committente della certificazione.
In alcuni casi il gestore dello schema svolge in proprio anche i ruoli di
ente di accreditamento e di ente di certificazione.
Ovviamente anche
l'accreditamento dei certificatori, dei laboratori di valutazione o degli
ispettori deve avvenire in base a criteri di riconosciuta validità. In Europa la
competenza e l'indipendenza dei suddetti organismi o degli ispettori viene
verificata secondo parametri oggettivi definiti nelle norme, di carattere
generale, della serie En45000.
Con riferimento all'accreditamento dei
certificatori dei sistemi aziendali di governo della sicurezza, esistono norme
più specifiche. Nel febbraio del 2000 la "European cooperation for
accreditation" (Ea) ha, infatti, pubblicato, il documento Ea7/03
"Guidelines for the accreditation of bodies operating
certification/Registration of information security management systems". In
Italia operano tre organismi di accreditamento riconosciuti a livello europeo:
il Sinal (per l'accreditamento dei laboratori di prova), il Sincert (per
l'accreditamento degli organismi di certificazione e di ispezione) e il Sit (per
l'accreditamento dei laboratori di taratura). Nessuno dei tre organismi ha,
attualmente, un ruolo nel settore delle certificazioni di
sicurezza.
Il "sistema di governo della sicurezza".
«La
sicurezza è un processo, non un prodotto». Questa affermazione di Bruce
Schneier, noto autore di libri sulla crittografia e sulla sicurezza informatica,
ben si presta a riassumere l'approccio alla certificazione introdotto dal già
citato standard britannico Bs7799. Bruce Schneier la usa per evidenziare che
erroneamente nei suoi primi lavori proponeva un modello di sicurezza focalizzato
sui soli aspetti tecnologici, senza tenere conto che nella realtà molti
incidenti derivano, invece, da carenze di tipo organizzativo o procedurale. Lo
standard Bs7799 attribuisce anche a questi ultimi aspetti una notevole
importanza. Le certificazioni Bs7799 sono, di conseguenza, uno strumento
attraverso il quale un'organizzazione può dimostrare di essere capace di
tutelare in modo globale il proprio patrimonio informativo (o quello di terzi a
lei affidato). L'avvio dei lavori per la produzione dello standard risale agli
inizi degli anni '90 quando il Dti (Department of trade and industry)
britannico istituì un gruppo di lavoro finalizzato a fornire alle aziende una
guida per il governo della sicurezza del loro patrimonio informativo. Il gruppo
pubblicò nel 1993 una raccolta di best practice (intitolata Code of
practice for information security management) che costituì la base per lo
standard vero e proprio pubblicato dal BsiI (British standard
institution) nel 1995.
Nel 1998 fu aggiunta una seconda parte allo standard (intitolata
Specification for information security mangement systems) che fu poi
sottoposta a una revisione complessiva conclusasi con la pubblicazione,
nell'aprile del 1999, di una nuova versione delle sue due parti. Nonostante che
il Bs7799 fosse uno standard nazionale, suscitò subito, fin dalla sua prima
versione, un certo interesse anche al di fuori della Gran Bretagna, tanto che
alcuni paesi (Olanda e Svezia) lo usarono come base di propri schemi di
certificazione. Nel 1995 la Gran Bretagna sottopose lo standard Bs7799
all'Iso/Iec affinché venisse approvato come standard internazionale ma la
proposta, seppur di stretta misura, fu respinta. Un analogo tentativo avvenuto
nell'autunno del 1999 ebbe invece esito positivo. La parte 1 dello standard
Bs7799 è divenuta lo standard internazionale Iso/Iec Is177991 alla fine del
2000. E' facile prevedere che a breve anche la parte 2 del Bs7799 sarà recepita
dall'Iso/Iec.
Lo standard ruota intorno ai due concetti di politica di
sicurezza e di sistema di governo della sicurezza (di cui la prima
costituisce uno degli aspetti) secondo un approccio simile a quello degli
standard della serie Iso9000 per la certificazione di qualità di un'azienda. I
concetti di politica di qualità e di sistema di gestione della qualità
sui quali tale serie si basa sono sostituiti da quelli di politica di
sicurezza dell'informazione e di sistema di governo della sicurezza
dell'informazione o Isms (Information security management
system).
La politica di sicurezza è la specificazione ad alto livello degli obiettivi di sicurezza che l'organizzazione si propone di conseguire. L'Isms, invece, è il complesso di regole, procedure e misure di protezione di tipo fisico, tecnico e relativo al personale definite, attuate e mantenute dall'organizzazione per garantire nel tempo il soddisfacimento della politica di sicurezza. La parte 2 dello standard Bs7799 propone un modello di Isms nel quale vengono individuate sei fasi di analisi e gestione del problema:
- la definizione della politica di sicurezza di alto livello;
- la delimitazione dell'ambito di competenza dell'Isms;
- la valutazione del rischio;
- la gestione del rischio;
- la scelta delle misure di protezione;
- l'attuazione delle misure di protezione.
Il modello prevede che i risultati delle analisi e le scelte di gestione siano costantemente messi in discussione in modo da garantire la capacità dell'azienda di mantenere nel tempo la sicurezza del proprio patrimonio informativo anche in presenza degli inevitabili cambiamenti dovuti a fattori esterni o interni, quali il presentarsi di nuove minacce, la necessità di trattare l'informazione secondo nuove modalità, la disponibilità di nuove soluzioni tecnologiche per l'attuazione delle misure di protezione.
La parte 1 dello standard è un elenco di funzioni di sicurezza (detti controlli) di tipo organizzativo, logico, fisico, relativo al personale che costituiscono la prassi corrente per garantire la sicurezza dell'informazione in ambito industriale. Lo standard propone un insieme di 127 controlli raggruppati nelle 10 categorie di seguito elencate:
- politica della sicurezza;
- organizzazione della sicurezza;
- classificazione dei beni;
- aspetti della sicurezza relativi al personale;
- sicurezza fisica e ambientale;
- gestione delle comunicazioni e dell'operatività;
- controlli di accesso;
- sviluppo e mantenimento dei sistemi di trattamento dell'informazione;
- continuità delle attività aziendali (in presenza di guasti o disastri);
- rispetto delle leggi e delle normative procedurali e tecniche interne.
I controlli proposti, nei vari settori identificati dalla categoria di appartenenza, sono una precisa descrizione a livello funzionale delle misure di protezione che è buona prassi attuare per tutelare il patrimonio informativo aziendale. Ciononostante non sempre tutti i controlli sono necessari. La scelta di quali è opportuno attuare in ciascuna situazione deve essere effettuata attraverso il processo di analisi e gestione del rischio. L'insieme dei controlli prescelti costituisce una sorta di regolamento di sicurezza che l'azienda si impone di rispettare. I controlli devono poi essere realizzati: attraverso meccanismi hardware o software (di autenticazione, protezione crittografica, identificazione, ecc) nel caso dei controlli attuabili mediante misure di sicurezza di tipo logico; attraverso l'installazione di sistemi anti-intrusione, telecamere, casseforti, contenitori ignifughi, ecc, nel caso dei controlli che richiedono misure di sicurezza fisiche; attraverso la definizione di precise procedure e la creazione di apposite strutture o cariche aziendali, per la messa in atto dei controlli di tipo procedurale (ad esempio, l'istituzione del forum aziendale per la gestione della sicurezza dell'informazione, l'affidamento dell'incarico di indottrinamento periodico del personale, le procedure per l'accettazione di visitatori all'interno dell'azienda, ecc).
La certificazione Bs7799 ha suscitato particolare interesse tra le aziende
che trattano informazioni molto critiche o per conto di terzi, come, ad esempio,
quelle che operano nel settore finanziario, nel settore della sanità o in quello
dei servizi di data hosting, web hosting, e-commerce hosting, ecc. Le
certificazioni avvengono a seguito di una revisione della documentazione
dell'Isms e di una verifica iniziale sul campo che quanto stabilito dall'Isms
sia stato efficacemente e correttamente realizzato. La durata del processo
dipende dalle dimensioni dell'azienda, ma in genere è limitata a poche
settimane. Il mantenimento del certificato richiede visite ispettive periodiche
(semestrali) e la ripetizione completa delle verifiche ogni tre anni.
Le
certificazioni di sicurezza secondo lo standard Bs7799 sono principalmente
diffuse in Gran Bretagna dove operano quattro certificatori accreditati
nell'ambito di uno schema di certificazione, detto c:cure. Lo schema è gestito
dal Bsi (British standard institution) mentre l'accreditamento dei
certificatori è affidato allo Ukas (Uk accreditor system), l'ente
nazionale britannico che si occupa in generale dell'accreditamento dei
laboratori di verifica. L'Italia non dispone di uno schema di certificazione
basato sullo standard Iso/Iec Is17799. E' però possibile ottenere anche in
Italia un certificato rilasciato da un certificatore accreditato nell'ambito
dello schema inglese. Inoltre varie società di consulenza offrono verifiche
informali del sistema di governo della sicurezza dell'informazione condotte in
conformità a quanto previsto da tale standard.
La sicurezza dei sistemi e dei prodotti.
La già citata posizione
di Schneier, secondo il quale «la sicurezza è un processo, non un prodotto» è
senz'altro condivisibile. E' però altrettanto vero che non c'è sicurezza senza
sistemi e prodotti informatici (sistemi o prodotti It) progettati e realizzati
in modo da garantirla.
La prima raccolta di criteri per la certificazione
della sicurezza informatica è stata pubblicata nel 1985 negli Stati Uniti. Si
trattava dei Tcsec (Trusted computer security evaluation criteria), più
noti come Orange book dal colore della copertina. I criteri Tcsec sono
stati sviluppati in ambito militare come strumento per la certificazione dei
sistemi operativi da utilizzare in elaboratori elettronici dedicati ad
applicazioni critiche dal punto di vista della sicurezza. L'Europa dispone a sua
volta dal 1991 di una propria raccolta di criteri per la certificazione della
sicurezza informatica. Si tratta dei criteri Itsec (Information technology
security evaluation criteria) sviluppati grazie a uno sforzo congiunto della
Gran Bretagna, della Germania, della Francia e dell'Olanda e successivamente
riconosciuti da tutti i paesi dell'Unione. I criteri Itsec sono, rispetto ai
Tcsec, maggiormente orientati alle necessità del mondo commerciale e sono
utilizzabili anche in settori diversi da quello puramente informatico, ad
esempio anche in quello delle telecomunicazioni o delle smart-card. I criteri
Tcsec e i criteri Itsec godono di un certo riconoscimento internazionale anche
se sono prevalentemente utilizzati negli Usa, i primi, e in Europa, i secondi.
Dal giugno del 1999 è disponibile inoltre lo standard internazionale Iso/Iec
Is15408 (più noto come Common criteria). La storia di questo standard è
travagliata. L'Iso/Iec avviò lo sviluppo di una raccolta di criteri di
valutazione standard nel 1990. Inizialmente si pensò di recepire i criteri Itsec
sottoponendoli soltanto a una revisione formale, ma a tre anni dall'avvio dei
lavori gli Usa e il Canada si opposero a tale scelta. Su proposta europea fu
allora istituito un gruppo di lavoro esterno all'Iso/Iec, finalizzato alla
definizione di una raccolta di criteri, detti Common criteria (Cc),
capaci di conciliare le esigenze europee e quelle nordamericane. La definizione
dei Cc richiese circa sei anni di lavoro, portato avanti da tale gruppo in
collaborazione con gli esperti dell'Iso/Iec.
I criteri Itsec e i Cc sono
basati su modelli molto simili tra loro. La certificazione, in questo caso,
serve a offrire garanzie sulla corrispondenza tra le caratteristiche di
sicurezza effettive di un sistema o di un prodotto informatico e quelle
dichiarate dal costruttore. I criteri non esprimono requisiti di tipo
funzionale: il costruttore deve dichiarare, in un documento detto Security
target, quali sono gli obiettivi di sicurezza che il sistema o il prodotto
vuole conseguire, quali sono le minacce che possono ostacolare tali obiettivi e
quali sono le funzioni di sicurezza di tipo informatico di cui il sistema o il
prodotto è dotato per contrastare queste minacce. Il valutatore verifica che le
funzioni di sicurezza indicate siano efficaci (valutazione
dell'efficacia) nel contrastare le minacce dichiarate e che siano state
realizzate senza commettere errori (valutazione della correttezza).
Quest'ultimo aspetto è particolarmente importante: una grossa percentuale degli
incidenti informatici non dipende, infatti, dall'assenza di misure di protezione
ma piuttosto da errori nel software di sicurezza che vengono abilmente scoperti
e sfruttati dagli hacker. La valutazione avviene sulla base del Security
target e di altra documentazione che descrive le scelte progettuali in
materia di sicurezza e le giustifica. Il valutatore, inoltre, deve disporre del
prodotto o avere la possibilità di accedere al sistema per poter eseguire le
verifiche. Le misure di sicurezza di tipo procedurale, fisico o relative al
personale, non sono oggetto di valutazione e vengono assunte come efficaci e
correttamente realizzate.
Il concetto di garanzia è basilare nell'approccio Itsec e Cc. Il
risultato stesso della certificazione non è di tipo sì/no ma viene espresso
utilizzando una scala di livelli di garanzia (E1, E2, ... E6, nel caso di
Itsec, e Eal1, Eal2, ... Eal7, nel caso dei Cc). La valutazione non può dare la
certezza dell'assenza di vulnerabilità, ma la probabilità che una vulnerabilità
non venga scoperta decresce al crescere del livello di garanzia.
Il livello
di garanzia offerto dalla valutazione dipende in modo diretto dal rigore con cui
il valutatore analizza il sistema o il prodotto sotto valutazione e dal livello
di dettaglio e rigore della documentazione che viene fornita al valutatore
perché egli possa condurre la sua analisi. Per avere un'idea della complessità
del lavoro del valutatore, si consideri che il software che comunemente
utilizziamo sui nostri pc, messo in commercio dopo aver superato i normali
processi di test, contiene dai 5 a 15 errori residui ogni 1000 linee di codice.
Il software di sicurezza non si comporta meglio e il valutatore deve dare la
caccia a questi errori analizzando prodotti che possono essere costituiti da
milioni di linee di codice (un sistema operativo come Windows 2000, ad esempio,
è costituito da un numero di linee di codice stimato tra i 35 e i 60 milioni).
Almeno per i livelli di garanzia più bassi l'analisi del codice è certamente
un compito troppo oneroso e i criteri Itsec e Cc la prevedono soltanto a partire
dal livello E3 e Eal4 rispettivamente. Esistono tuttavia fattori che
indirettamente sono in grado di fornire garanzie sulla sicurezza di un prodotto
o di un sistema It. Ad esempio: le caratteristiche dell'ambiente di sviluppo
logico e fisico utilizzato per la progettazione e la realizzazione del sistema o
del prodotto possono influenzare la qualità del software riducendo a priori la
probabilità che contenga errori, indipendentemente dalla profondità con cui il
valutatore svolge il suo lavoro. Per ogni livello di garanzia i criteri Itsec e
i Cc esprimono, in merito a tutti i fattori sopra esposti, requisiti specifici
la cui severità cresce al crescere del livello di garanzia che il certificato
deve offrire.
I Common criteria introducono l'innovativo concetto di Protection
profile. Un Protection profile è un documento che descrive le
caratteristiche di sicurezza ottimali (a giudizio di chi lo redige) per una
tipologia di prodotti informatici come, ad esempio, i firewall, i sistemi
operativi, le smart-card. Associazioni di utilizzatori o di sviluppatori di
prodotti informatici, enti di standardizzazione, enti governativi, ecc possono
redigere Protection profile per prodotti di loro interesse e ottenerne la
certificazione in accordo ai Cc. I Protection profile certificati possono
essere usati dai costruttori come riferimento per decidere di quali funzionalità
di sicurezza dotare i loro prodotti, dagli enti di normativa come mezzo per
formulare standard di sicurezza a livello funzionale, dagli utilizzatori di
prodotti informatici come base per la stesura di capitolati.
Le valutazioni
Itsec e Cc sono estremamente dettagliate e affidabili. Conseguentemente i tempi
e i costi della certificazione risultano di uno o due ordini di grandezza
superiori rispetto a quelli di una certificazione che venga condotta secondo lo
standard Bs7799. La certificazione Itsec di un sistema a livello E2 o E3 può
richiedere, ad esempio, tempi dell'ordine di un anno. La valutazione a livello
E6 di un prodotto It di medie dimensioni può richiedere il lavoro di un gruppo
composto di 2-4 valutatori per oltre due anni.
L'Italia dispone di uno schema
nazionale per la certificazione della sicurezza dei sistemi e dei prodotti It
esclusivamente per quanto riguarda il settore militare. Questo schema,
sviluppato nel 1995, specifica che le valutazioni devono essere condotte in
accordo ai criteri Itsec. Nell'ambito dello schema italiano, i laboratori che
eseguono le valutazioni sono detti Ce.va. (Centri di valutazione) e devono
essere accreditati dall'Autorità nazionale per la sicurezza (Ans) che svolge il
compito di accreditatore tramite l'Ufficio centrale per la sicurezza (Ucsi).
L'Ucsi svolge anche il ruolo di certificatore.
Attualmente in Italia operano quattro Ce.va. realizzati, rispettivamente,
dall'Imq (Istituto italiano del marchio di qualità), dalla Inforsud, dal
consorzio Res (Raggruppamento europeo per la sicurezza) del quale fanno parte
Marconi e Telecom Italia e dall'Iscti (Istituto superiore delle comunicazioni e
delle tecnologie dell'informazione) nell'ambito del ministero delle
Comunicazioni. E' inoltre da segnalare che l'Ans, l'Aipa e il ministero delle
Comunicazioni, con la collaborazione della Fondazione Ugo Bordoni, stanno
lavorando alla definizione di uno schema nazionale di certificazione per il
settore commerciale, che dovrebbe vedere il ministero delle Comunicazioni nel
ruolo di certificatore. La Gran Bretagna, la Germania e la Francia dispongono,
invece, di schemi nazionali che regolamentano le certificazioni Itsec e Cc sia
per il settore della difesa sia per quello commerciale.
Il Sog-is (Senior
official group for information security), l'organismo che si occupa di
definire le politiche europee in materia di sicurezza dell'informazione, sta
affrontando da qualche anno il problema del mutuo riconoscimento, in ambito
europeo, dei certificati di sicurezza basati sui criteri Itsec. La Francia, la
Finlandia, la Germania, la Gran Bretagna, la Grecia, l'Italia, l'Olanda, la
Norvegia, la Spagna, la Svezia e la Svizzera hanno già concordato di riconoscere
i certificati emessi da alcuni organismi di certificazione detti
qualificati che al momento sono: l'Scssi (Francia), il Bsi (Germania) e
il Cesg (Gran Bretagna). Altri enti certificatori potranno entrare a far parte
del novero di quelli qualificati in futuro. Le stesse nazioni, a esclusione
della Grecia e della Spagna, hanno siglato un accordo analogo per quanto
riguarda le certificazioni Cc. Inoltre le Agenzie per la sicurezza nazionale di
Usa, Canada, Francia, Germania e Gran Bretagna hanno concordato il mutuo
riconoscimento dei certificati Cc fino a livello Eal4.
Nel corso dei circa dieci anni di vita dei criteri Itsec sono stati certificati alcune centinaia di prodotti informatici. Tra di essi troviamo sistemi operativi, database, smart-card, firewall, router, ecc. La maggior parte di tali certificazioni è avvenuta ai livelli di garanzia E2 ed E3, ritenuti i più adeguati per il settore commerciale. Le certificazioni Cc sono invece per il momento limitate a poche unità. Non si hanno dati certi per quanto riguarda le certificazioni di sistemi, che essendo relative a installazioni informatiche specifiche, spesso di tipo militare o governativo, non sono normalmente pubblicizzate.
Bs7799, Itsec o Common criteria?
I due approcci alla
certificazione della sicurezza non sono alternativi. E' soltanto attraverso una
loro saggia integrazione che si possono ottenere i migliori risultati. La
certificazione secondo lo standard Bs7799 attesta la capacità globale
dell'azienda di proteggere il proprio patrimonio informativo nel momento in cui
viene rilasciato il certificato e di mantenere nel tempo tale capacità grazie a
un efficace sistema di gestione della sicurezza e alle periodiche visite di
auditing. Questa caratteristica del Bs7799 è interessante perché è soltanto
attraverso un continuo riesame delle misure di protezione che è possibile
garantire nel tempo la sicurezza. Si pensi, ad esempio, alla frequenza con cui
appaiono nuovi virus e alla conseguente necessità di aggiornare i prodotti
antivirus installati. Questo tipo di certificazione non offre però garanzie
approfondite sull'assenza di vulnerabilità nei prodotti utilizzati. Quando
queste garanzie sono necessarie è indispensabile ricorrere a una certificazione
Itsec o Cc.
L'approccio Bs7799 non ignora completamente il problema: alla
verifica rigorosa e formale prevista dai criteri Itsec o dai Cc per escludere la
presenza di vulnerabilità sostituisce requisiti di tipo gestionale richiedendo,
ad esempio, che gli addetti alla sicurezza si mantengano costantemente
aggiornati, attraverso un monitoraggio continuo del panorama mondiale della
sicurezza It, sulle vulnerabilità dei prodotti It via via scoperte dagli hacker.
Così facendo, si beneficia di una sorta di valutazione tecnica condotta in modo
continuativo dagli hacker stessi, i quali sono perennemente alla ricerca di
vulnerabilità o di errori nel software di sicurezza. Sebbene non rigoroso,
questo tipo di "valutazione" può contare su un elevato numero di "valutatori"
che operando per passione o per il conseguimento di obiettivi illeciti ma molto
remunerativi sono spesso più motivati dei valutatori di professione.
Le certificazioni Itsec o Cc, pur non considerando gli aspetti gestionali che sono fondamentali nel caso dei sistemi It, sono molto rigorose e affidabili sul piano tecnico. Per questo motivo sono lo strumento ideale attraverso il quale i costruttori possono dimostrare la validità delle caratteristiche di sicurezza dei propri prodotti. Il rovescio della medaglia è che richiedono tempi di esecuzione lunghi e costi elevati. Inoltre, devono essere ripetute ogni volta che il prodotto o il sistema subisce modifiche per l'eliminazione di errori o per l'inclusione di funzioni aggiuntive adatte a contrastare nuove minacce. Questo tipo di certificazione è pertanto adatta per le componenti dei sistemi particolarmente critiche o per le quali è prevedibile una certa stabilità. La valutazione Itsec è richiesta, ad esempio, dalla legge italiana per i dispositivi e i sistemi connessi con la firma digitale e, come si è visto, per i sistemi e i prodotti informatici utilizzati nel settore militare.
Bibliografia
Le raccolte di criteri di valutazione della sicurezza informatica, citate in
queso articolo, alla fine di maggio erano reperibili alle seguenti
url:
Tcsec
http://csrc.ncsl.nist.gov/secpubs/rainbow/std001.txt
Itsec
http://www.cordis.lu/infosec/src/crit.htm
Common
criteria
http://csrc.nist.gov/cc/ccv20/ccv2list.htm
La
normativa sulla firma digitale era reperibile alla url: http://www.aipa.it/
Il testo dell'accordo
di mutuo riconoscimento dei certificati Itsec e Cc in Europa era reperibile alla
url:
http://www.cordis.lu/infosec/src/crit.htm
Lo
standard Iso/Iec Is17799-1 può essere richiesto a:
Uninfo, Corso Galileo
Ferraris, 93, 10128, Torino.