Organizzazione Sicurezza EAD

1. Organizzazione Sicurezza EAD Legale Rappresentante Incaricato per la Sicurezza Incaricato per la Sicurezza EAD Sostituto incaricato per la Sicurezza Sostituto incaricato per la Sicurezza ... ... Sostituto incaricato per la Sicurezza Sostituto incaricato Sicurezza EAD Sostituto incaricato Sicurezza EAD ... ... ... Sostituto incaricato Sicurezza EAD sedi sociali nomina del legale rappresentante

2. Politica di Sicurezza Individuare Risorse da proteggere Individuare Minacce Individuare Vulnerabilità Determinare Le misure di sicurezza idonee a ridurre la vulnerabilità

4. Analisi Cosa ? Chi ? Con che cosa? Come ?

5. CERTIFICAZIONE Approvazione del progetto per gli aspetti di sicurezza sulla base della valutazione della documentazione tecnica relativa alle misure di sicurezza previste per il sistema EAD

6. OMOLOGAZIONE Autorizzazione all’impiego operativo, sulla base dei risultati della CERTIFICAZIONE e della valutazione sulla sicurezza delle condizioni operative del sistema

7. Forza dei meccanismi Meccanismi di sicurezza TI implementati per la protezione del sistema / prodotto Attacco diretto contrastato Attacco diretto effettuato con successo Sistema / prodotto obiettivo dell’attacco Forza dei meccanismi

8. Forza dei meccanismi Meccanismi di sicurezza TI e non implementati per la protezione del sistema / prodotto Meccanismo TI Meccanismo non TI Vulnerabilità Attacco diretto contrastato Vulnerabilità Attacco diretto effettuato con successo Sistema / prodotto obiettivo dell’attacco Forza dei meccanismi

9. Allegato A Capitolato tecnico Requisiti operativi Requisiti di sicurezza Schema per la valutazione e certificazione di un sistema EAD approvazione Ente di Certificazione Scelta del fornitore Committente Consegna al fornitore di tutta la documentazione approvazione Ente di Certificazione Scelta del CEVA Stesura della Docum.di Sic. per la valutazione Fornitore Realizzazione dell’ODV Consegna al CEVA del materiale e della documentazione per la valutazione *

10. segue Allegato A RFV favorevole * approvazione Ente di Certificazione Piano di valutazione Valutazione CEVA Rapporto finale di valutazione No Rinvio con commenti Ente di Certificazione Si Rapporto finale di certificazione Committente Autorità Nazionale per la Sicurezza Fornitore Atto di approvazione CEVA

11. Allegato B * Schema per la valutazione e certificazione di un prodotto EAD Richiesta di valutazione approvazione Ente di Certificazione Scelta del CEVA Stesura della docum. di sic. Per la valutazione Fornitore Realizzazione dell’ODV Consegna al CEVA del materiale e della documentazione per la valutazione

12. segue Allegato B * RFV favorevole approvazione Ente di Certificazione Piano di valutazione Valutazione Rapporto finale di valutazione CEVA Rinvio con commenti No Ente di Certificazione Si Rapporto finale di certificazione Fornitore Autorità Nazionale per la Sicurezza Atto di approvazione CEVA Lista nazionale prodotti certificati

13. Schema Nazionale di Valutazione di Sistemi e Prodotti Sistema: requisiti di sicurezza dell’ODV Prodotto: funzionalità di sicurezza dichiarata dal produttore Catalogo dei prodotti valutati Prodotto certificato Fase della Valutazione Prodotto Sistema Fase dello Sviluppo dell’ODV (Sistema / prodotto) Sistema certificato Criteri di Valutazione ITSEC, Common Criteria Sistema omologato

14. Il Mutuo riconoscimento Ogni Certificato ITSEC relativo ad un sistema o prodotto riporta questo simbolo che ne attesta la rispondenza ai criteri di valutazione adottati.

15. Storia dei Criteri di Sicurezza della Tecnologia dell’informazione TCSEC (USA) 1983 - 1985 Iniziative europee nazionali e regionali 1989 - 1993 Canada, prime iniziative 1989 - 1993 NIST - MSFR 1990 Federal Criteria 1992 ITSEC 1992 CTCPEC 3 1993 Progetto Common Criteria 1993 Iniziative ISO 1992 Common Criteria ver. 1.0 1996 Common Criteria ver. 2.0 1998 ISO 15408 01/12/1999

16. I “Common Criteria” 1 dicembre 1999 I CC vengono approvati come standard internazionale 15408

17. Il Mutuo riconoscimento ARRANGEMENT on the Recognition of Common Criteria Certificates in the field of Information Technology Security Draft Version 1.2 - July 1999

18. Il Mutuo riconoscimento Ogni Certificato dei Common Criteria relativo ad un sistema o prodotto riporterà questo simbolo che ne attesta la rispondenza ai criteri di valutazione adottati.

19. Traguardi conseguiti dai Common Criteria Standard di riferimento internazionali Mutuo riconoscimento delle valutazioni Riferimento univoco per gli sviluppatori Massima garanzia dei prodotti valutati

20. Iter di Valutazione Ente di Certificazione Autorizza i Laboratori ad effettuare le valutazioni I Laboratori (Centri di Valutazione) Effettuano la valutazione dei sistemi o prodotti 1. Verifica e convalida i risultati delle valutazioni 2. Rilascia i Certificati di Valutazione 3. Sottopone i certificati al Mutuo Riconoscimento Ente di Certificazione

21. CEM : Common Evaluation Methodology CEM è un necessario complemento ai CC CEM illustra le azioni che i valutatori devono intraprendere per verificare che i requisiti siano compilati secondo i CC CEM è utilizzato dagli Schemi Nazionali di Valutazione per assicurare l’applicazione corretta e confrontabile dei CC CEM è un importante elemento per il mutuo riconoscimento in ambito internazionale