Business Consulting Services
Copyright IBM Corporation 2005
Standards di Sicurezza e Percorsi diCertificazione
Firenze 19, 20 Maggio 2005
XIX XIX ConvegnoConvegno NazionaleNazionale didiInformation System AuditingInformation System Auditing
| | 2
Business Consulting Services
Copyright IBM Corporation 2005
Agenda
II
IIII
IIIIII
IVIV
VV
VIVI
VIIVII
StandardsStandards di Sicurezza tecnici e di Sicurezza tecnici e organizzativiorganizzativi
Caratteristiche degli Caratteristiche degli standardstandard
Il percorso evolutivoIl percorso evolutivo
Processo di CertificazioneProcesso di Certificazione
Normativa e legislazione in Normativa e legislazione in tema di Sicurezzatema di Sicurezza
Lo stato dellLo stato dellartearte
Le Le capabilitiescapabilities e i e i RiferimentiRiferimentiin IBMin IBM
| | 3
Business Consulting Services
Copyright IBM Corporation 2005
Cos uno standard di sicurezza IT?
(per lutente) Un modo per definire i requisiti di sicurezza IT per alcune classi di prodotti IT:- Hardware- Software- Combinazione dei due
(per lo sviluppatore/produttore) Un modo per descrivere le caratteristiche/potenzialit di sicurezza dei propri prodotti(per il valutatore) Uno strumento per misurare il livello di assicurazione/garanzia che pu essere associato ad un particolare prodotto/servizio di sicurezza
| | 4
Business Consulting Services
Copyright IBM Corporation 2005
Tipologie di standards di sicurezza (1/3)
Per quanto riguarda gli aspetti tecnici:- TCSEC - ITSEC (1991)- ISO/IEC 15408 o Common Criteria (1999)- NIST-FIPS (per apparati crittografici)- NIST-HIPAA (per i sistemi informatici in ambito sanitario)
Per quanto riguarda gli aspetti organizzativi:- ISO/IEC TR 13335 (GMITS) Guidelines for the Management of IT Security- BS 7799
- ISO/IEC 17799
- BS ISO/IEC 90003:2004 Software engineering. Guidelines for the application of ISO 9001:2000 to computer software
| | 5
Business Consulting Services
Copyright IBM Corporation 2005
Tipologie di standards di sicurezza (2/3)
Tengono in considerazione tre aspetti fondamentali:ITSEC e ISO/IEC 15408
piano della garanzia
FunzionalitCorrettezza
Efficacia
In diretta relazione con gli obiettivi di riservatezza, integrit, disponibilit.E la logica applicazione delle politiche di sicurezza tecnica specifiche individuate. In pratica si realizza attraverso misure tecniche che contrastano le minacce.
E' il grado di rispondenza dell'implementazione della soluzione ICT ai requisiti espressi dalle Funzionalit.Indipendente dall'efficacia e dalle minacce.Strettamente dipendente dalla qualit della realizzazione e quindi dalla bont del processo che l'ha governata.
E' il grado in cui le misure tecniche contrastano le minacce da cui il sistema o prodotto si propone di difendersi.Ha significato solo in relazione ad un ben determinato insieme di minacce.
| | 6
Business Consulting Services
Copyright IBM Corporation 2005
Tipologie di standards di sicurezza (3/3)Nel 1995 stato definito lo standard BS7799..ripreso nel 2000, nella sua prima parte, dalla norma ISO/IEC17799:... nel 2002 rivista la parte 2 ed introdotto lapproccio Plan/Do/Check/Act
BS7799 BS7799 parte Iparte I
shouldshould
Elenca le best practicesuggerite per implementare un programma per la sicurezza delle informazioni
BS 7799 BS 7799 parte IIparte II
sshallhall
Elenca i processi ed i controlli per implementare e certificare un sistema di gestione della sicurezza delle informazioni
Obiettivo BS7799:ottimizzazione rapporto costi/benefici delle misure di sicurezza.
| | 7
Business Consulting Services
Copyright IBM Corporation 2005
Agenda
II
IIII
IIIIII
IVIV
VV
VIVI
VIIVII
StandardsStandards di Sicurezza tecnici e di Sicurezza tecnici e organizzativiorganizzativi
Caratteristiche degli Caratteristiche degli standardstandard
Il percorso evolutivoIl percorso evolutivo
Processo di CertificazioneProcesso di Certificazione
Normativa e legislazione in Normativa e legislazione in tema di Sicurezzatema di Sicurezza
Lo stato dellLo stato dellartearte
Le Le capabilitiescapabilities e i e i RiferimentiRiferimentiin IBMin IBM
| | 8
Business Consulting Services
Copyright IBM Corporation 2005
Standard Tecnici vs Standard Organizzativi
Standard organizzativo per la Gestione della Sicurezza delle InformazioniNon fornisce elementi di valutazione oggettiva della sicurezza del sistema ICT, poich:
utilizza spesso termini come appropriato, adeguato e forme verbali condizionali quali dovrebbe,non richiede necessariamente che tutte le aree d'intervento, e le relative misure, siano soddisfatte.
La valutazione demandata alla competenza dell'auditor nello stabilire, per ogni punto d'intervento, se le relative misure siano appropriate.
ISO/IEC 1:7799ITSEC & ISO/IEC 15408Criteri di valutazione formaledella sicurezza IT IT di sistemi e prodotti
- non sono norme ma criteri: identificano le verifiche da eseguire nel corso della valutazione.
- formale: cio basata su azioni note, imparziali, ripetibili, riproducibili (metodologie).
- hanno come oggetto le contromisure IT, anche se il contesto dell'ambiente di esercizio deve essere descritto con tutte le contromisure anche di altro genere.
Valutare significa dare garanzia (assurance) per le funzionalitdefinita nel Target di Sicurezza
| | 9
Business Consulting Services
Copyright IBM Corporation 2005
Complementariet degli standards
BS7799ISO/IEC 17799
Infrastrutturaorganizzativa
ITSECISO 15408
(CC)
Test dintrusione/ vulnerabilit
Standarddi valutazionee metodologie
Aspetti Tecnici
| | 10
Business Consulting Services
Copyright IBM Corporation 2005
Agenda
II
IIII
IIIIII
IVIV
VV
VIVI
VIIVII
StandardsStandards di Sicurezza tecnici e di Sicurezza tecnici e organizzativiorganizzativi
Caratteristiche degli Caratteristiche degli standardstandard
Il percorso evolutivoIl percorso evolutivo
Processo di CertificazioneProcesso di Certificazione
Normativa e legislazione in Normativa e legislazione in tema di Sicurezzatema di Sicurezza
Lo stato dellLo stato dellartearte
Le Le capabilitiescapabilities e i e i RiferimentiRiferimentiin IBMin IBM
| | 11
Business Consulting Services
Copyright IBM Corporation 2005
Il percorso evolutivo degli standard
ISO 15408
standard ISO(ISO 15408)
1985
Versionedefinitiva TCSEC
Avvio attivitISO
1990
UE sponsordi ITSEC
1995 1999
NSA e NIST
EuropeanNational
& RegionalInitiatives
89-93
CanadianInitiatives
89-93
CommonCriteriaProject
93--
ISOIS 15408
99
USTCSEC
83, 85
USTCSEC
83, 85
CTCPEC3
93
FederalCriteria
92
FederalCriteria
92
CommonCriteria
1.096
CommonCriteria
1.096
CommonCriteria
2.199
CommonCriteria
2.199
NISTsMSFR
90
ITSEC1.2
91
ITSEC1.2
91ISO
Initiatives92--
=
| | 12
Business Consulting Services
Copyright IBM Corporation 2005
Il percorso evolutivo degli standard
Primi90s
Riferimento Sicurezza risorse informative
1993Pubblicazione Best Practice
1995
Standard britannico BS7799
1998Specifiche sistema di gestione della sicurezza delle informazioni (part2)
2000
Standard ISO(ISO 17799)
Nuova parte 2 (BS7799-2/2002)Plan-Do-Check-Act
ISO 17799
2002
| | 13
Business Consulting Services
Copyright IBM Corporation 2005
TCSEC Trusted Computer Systems Evaluation Criteria
INTRODUCE IL CONCETTO DI "POLITICA DELLA SICUREZZA"COME GUIDA FORMALE, ESPLICITA E CONOSCIUTA ALLA ESECUZIONE DELLE CONTROMISURE
INTRODUCE IL CONCETTO DI"CONTROMISURA" COME ATTO A PROTEZIONE DEL BENE ADEGUATO AL VALORE DEL BENE E AL LIVELLO DI RISCHIO DELL'AGGRESSIONE
Impattoimplementativo
Requisiti
ALTO
BASSO
DD
C2C2B1B1
B2B2B3B3
A1A1
C1C1
LEGENDAclasse D : Protezione minimaleclasse C 1 : Protezione discrezionaleclasse C 2 : Controllo accessi (discrezionale)classe B 1 : Classificazione degli oggetti (discrezionale)classe B 2 : Protezione strutturata (mandatoria) classe B 3 : Dominio sicuro (mandatoria)classe A 1 : Protezione verificabile (certificata)
Approccio basato sullanalisi del disegno, dellimplementazione, della documentazione e delle procedureEnfasi sui requisiti di ConfidenzialitaPensato per sistemi operativi
| | 14
Business Consulting Services
Copyright IBM Corporation 2005
ITSEC Information Technology Security EvaluationCriteria
ORIENTATO ALLA VALUTAZIONE DI SISTEMI O DI PRODOTTI SPECIFICI
INTRODUCE IL CONCETTO DI T.O.E. (TARGET OF EVALUATION): insieme del prodotto/sistema e la relativa documentazione utente soggetta a valutazione T.T. O.O.
E.E.
FUNZIONALITA'DI SICUREZZA
PREVISTE
LIVELLO DI FIDUCIA(ASSURANCE)
Valutazione "DISACCOPPIATA" tra le funzioni di sicurezza previste e il grado di fiducia, CONOSCENZA, sulla correttezza e sulla idoneit delle funzioni realizzate
INTRODUCE IL CONCETTO DI SECURITY TARGET in cui il produttore stabilisce i criteri di sicurezza funzionale (Non forniti da ITSEC)
| | 15
Business Consulting Services
Copyright IBM Corporation 2005
ITSEC - Funzionalit di sicurezza (security requirements) e Livelli di Fiducia (assurance level)
CLASSI FUNZIONALI :
Identification andauthenticationAccess controlAuditObject reuseAccuracyReliability of serviceData exchange
10 livelli di classificazioneC1 A
Discrezionale Certificata 6 LIVELLI GERARCHICI E1-E6
E1 E6
EFFECTIVENESS
CORRECTNESS
COSTRUZIONE
OPERATIVITA'
COSTRUZIONE
OPERATIVITA'{AMBIENTE SVILUPPOLINGUAGGI.........
DOCUMENTAZIONE.........
FACILTA' D'USO.......
ROBUSTEZZA........{
CRITERI DI VALUTAZIONE :
| | 16
Business Consulting Services
Copyright IBM Corporation 2005
Common Criteria
Cos un Common Criteria?Una struttura e un linguaggio comune per esprimere requisiti di sicurezza per prodotti/servizi IT (Parte 1)Raccolta di componenti e set di requisiti di sicurezza per prodotti/servizi IT (Parte 2 & 3)
Come utilizzare un Common Criteria?Sviluppo di Profili di Protezione e di Target di Sicurezza, requisiti di sicurezza specifici per prodotti e sistemi ITCriterio di scelta di prodotti/sistemi IT da parte dellutilizzatore/acquirenteValutare prodotti e sistemi a fronte di requisiti conosciuti e accettati ( CONFIDENZA)
IS 15408-1: Criteri di Valutazione per la Sicurezza IT -Parte 1: Introduzione e modello generale, 1999.
IS 15408-2: Criteri di Valutazione per la Sicurezza IT -Parte 2: Requisiti di sicurezza funzionali, 1999.
IS 15408-3: Criteri di Valutazione per la Sicurezza IT -Parte 3: Requisiti di assicurazione della sicurezza, 1999.
| | 17
Business Consulting Services
Copyright IBM Corporation 2005
2. Requisiti di assicurazione (risponde alla domanda: il prodotto/sistema costruito in maniera corretta/affidabile?) - fondamentali per stabilire la
fiducia che si pu riporre nelle funzioni di sicurezza sia in termini di correttezza di implementazione sia in
termini di efficacia di soddisfare gli obiettivi propri delle stesse funzioni di sicurezza.
Common Criteria - Tipologie dei requisiti
1. Requisiti funzionali (risponde alla domanda: cosa in grado di fare un prodotto/sistema?) -
fondamentali per definire i comportamenti in materia di sicurezza dei prodotti e sistemi informatici. I
requisiti effettivamente implementati diventano cosfunzioni di sicurezza.
| | 18
Business Consulting Services
Copyright IBM Corporation 2005
Comparazione tra ITSEC e Common Criteria
I Common Criteria attingono agli standard precedenti prendendo i punti di forza dei vari standard. I Common Criteria abbandonano la flessibilit totale dellITSEC e dei Federal Criteria nellutilizzo dei protection profile e delle classi di sicurezza predefinita. Per guidare gli utenti la definizione delle classi contiene informazioni circa gliobiettivi di sicurezza, i razionali, le minaccie, etc.La maggiore flessibilit dellITSEC lo rende di pi semplice utilizzo nel caso divalutazione di un sistema, mentre i Common Criteria sono pi orientati allavalutazione di un prodottoI Common Criteria rimpiazzeranno lITSEC
| | 19
Business Consulting Services
Copyright IBM Corporation 2005
Tabella di corrispondenza TCSEC, ITSEC e CC
EAL6E5B3
-E0D
EAL1--
EAL2E1C1
EAL4E3B1
EAL7E6A1
EAL5E4B2
EAL3E2C2
CCITSECTCSEC
| | 20
Business Consulting Services
Copyright IBM Corporation 2005
Standard BS7799BS7799-1Utilizzare un framework condiviso da tutti persviluppare, implementare e monitorare le modalit di gestione della sicurezza per migliorare la fiducia nelle relazioni interaziendali
ISMSISMS
Pianificazione
Verifica
ImplementazioneValutazione
10. Compliance
1. Politica di sicurezza2. Organizzazione di sicurezza
3. Controllo e classificazione asset
9. Business Continuity Management
4. Sicurezza personale
5. Sicurezza fisica
6. Operations and communication7. Controllo accessi
8. Sviluppo e manutenzione sistemi
BS7799-2Indica i requisiti per la certificazione di un.. sistema di gestione per la sicurezza delle informazioni
Obiettivi di Obiettivi di controllocontrollo12
7 127
controllicontrolli
| | 21
Business Consulting Services
Copyright IBM Corporation 2005
Agenda
II
IIII
IIIIII
IVIV
VV
VIVI
VIIVII
StandardsStandards di Sicurezza tecnici e di Sicurezza tecnici e organizzativiorganizzativi
Caratteristiche degli Caratteristiche degli standardstandard
Il percorso evolutivoIl percorso evolutivo
Processo di CertificazioneProcesso di Certificazione
Normativa e legislazione in Normativa e legislazione in tema di Sicurezzatema di Sicurezza
Lo stato dellLo stato dellartearte
Le Le capabilitiescapabilities e i e i RiferimentiRiferimentiin IBMin IBM
| | 22
Business Consulting Services
Copyright IBM Corporation 2005
Il processo di Certificazione ISO 15408
Developer /SponsorFornitore/Committente
CLEF/LVS
Certification BodyOrganismo Certificazione
Sponsor
TOE Definition Deliverables
Evaluation Technical Report
Certification Report
ProblemReport
Il processo di certificazione dei CC e dellITSEC simile
CLEF Commercial Evaluation Facility
LVS Laboratorio per la Valutazione della Sicurezza
ProblemReport
TOE Target of Evaluation
ODV Oggetto Della Valutazione
ISCTI ( Istituto Superiore delle Comunicazioni e delle Tecnologie delle Informazioni) Organismo Certificatore
| | 23
Business Consulting Services
Copyright IBM Corporation 2005
Definizione delle PoliticheDefinizione dellAmbitoInventario AssetClassificazione AssetRisk AssessmentRisk ManagementSelezione ControlliAllineamento e integrazione col Sistema QualitSOA Redazione documentazione ISMS
Il processo di Certificazione BS7799
AuditperiodiciAuditperiodici
CertificatoCertificatoCertificatoCertificato
Audit inizialePre-valutazione
Pre-valutazione
Realizzazione
Azienda
Realizzazione
Azienda Auditor(s)Auditor(s)
Creazione della consapevolezzaCreazione della consapevolezza
Mantenimento(chiusura NC)
AI,Fase 2AI,
Fase 2
Gruppo di AuditEsperti tecnici (ev.)
AI,Fase 1
AI,Fase 1
Riesamedella
documentazione
| | 24
Business Consulting Services
Copyright IBM Corporation 2005
Agenda
II
IIII
IIIIII
IVIV
VV
VIVI
VIIVII
StandardsStandards di Sicurezza tecnici e di Sicurezza tecnici e organizzativiorganizzativi
Caratteristiche degli Caratteristiche degli standardstandard
Il percorso evolutivoIl percorso evolutivo
Processo di CertificazioneProcesso di Certificazione
Normativa e legislazione in Normativa e legislazione in tema di Sicurezzatema di Sicurezza
Lo stato dellLo stato dellartearte
Le Le capabilitiescapabilities e i e i RiferimentiRiferimentiin IBMin IBM
| | 25
Business Consulting Services
Copyright IBM Corporation 2005
DPCM 30 Ottobre 2003 G.U. n.98 del 27/4/2004
Normativa di Riferimento:ITSEC (Giugno 1991);ITSEM (Information Technology Security Evaluation Manual Settembre 1993);Raccomandazione del Consiglio dellUE (95/144/CE): concernente lapplicazione dei criteri per la valutazione della sicurezza della tecnologia dellinformazione (Aprile 1995);ISO/IEC 15408 (ver. 2.1 dei Common Criteria for Information Technology Security Evaluation);ISO/IEC n. 17799: Codice di buona pratica per la gestione della sicurezza dellinformazione (2000);UNI CEI EN ISO/IEC 17025:2000 concernente i requisiti generali per la competenza dei laboratori di prova e di taratura;UNI CEI EN 45011: concernente i requisiti generali relativi agli organismi che gestiscono sistemi di certificazione di prodotti
Approvazione dello Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dellinformazione
| | 26
Business Consulting Services
Copyright IBM Corporation 2005
Dettagli sulla normativa
Introduzione di uno SCHEMA NAZIONALE per la valutazione e certificazione di sistemi e prodotti informatici, in conformit con gli standard ITSEC e ISO/IEC 15408;
Lo schema nazionale reca linsieme delle procedure e regole nazionali per la valutazione e la certificazione in conformit ai criteri europei ITSEC o standard ISO/IEC 15408 (Common Criteria);
Identificazione nellIstituto Superiore delle Comunicazioni e delle Tecnologie dellInformazione (ISCTI) come Ente avente facolt di accreditare i LVS (Laboratori per la Valutazione della Sicurezza);
Identificazione negli ODV (Oggetti di Valutazione) degli elementi per i quali verr richiesta la valutazione/certificazione;
Descrizione del processo di richiesta, valutazione e certificazione degli ODV;
Lo SCHEMA NAZIONALE non si applica per i sistemi e prodotti che trattino informazioni classificate (cfr. DPCM 11/4/2002).
| | 27
Business Consulting Services
Copyright IBM Corporation 2005
DPCM 11/4/2002 G.U. n.131 del 6/6/2002
Normativa di Riferimento: P.C.M - A.N.S. Normativa Unificata per la Tutela del Segreto di StatoAtto della Commissione europea del giugno 1991 con il quale sono stati stabiliti i criteri di valutazione della sicurezza dei sistemi informatici denominati "ITSECAtto del Comitato di gestione dell'ISO che recepisce quale InternationalStandard ISO/IEC IS n. 15408, la versione 2.1 dei "Common Criteria"
Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioniclassificate, concernenti la sicurezza interna ed esterna dello Stato
Lente di certificazione l A.N.S (Autorit Nazionale per la Sicurezza)
Centro di Valutazione Ce.Va. Competente per le valutazioni di sicurezza di un prodotto o un sistema. Viene accreditato dallA.N.S.
| | 28
Business Consulting Services
Copyright IBM Corporation 2005
D. Lgs. 196/03 T.U. Privacy - Misure minime di sicurezza
I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante ladozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalit della raccolta(cfr. art. 31)
Nel quadro dei pi generali obblighi di sicurezza di cui allart. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dellarticolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
(cfr. art. 33)
MISURE DI SICUREZZA
ResponsabilitResponsabilit civilecivile ResponsabilitResponsabilit penalepenale
| | 29
Business Consulting Services
Copyright IBM Corporation 2005
Agenda
II
IIII
IIIIII
IVIV
VV
VIVI
VIIVII
StandardsStandards di Sicurezza tecnici e di Sicurezza tecnici e organizzativiorganizzativi
Caratteristiche degli Caratteristiche degli standardstandard
Il percorso evolutivoIl percorso evolutivo
Processo di CertificazioneProcesso di Certificazione
Normativa e legislazione in Normativa e legislazione in tema di Sicurezzatema di Sicurezza
Lo stato dellLo stato dellartearte
Le Le capabilitiescapabilities e i e i RiferimentiRiferimentiin IBMin IBM
| | 30
Business Consulting Services
Copyright IBM Corporation 2005
Lo stato dellarte dei prodotti certificati
La lista dei prodotti certificati Common Criteria in costante aggiornamento e pu essere consultata allindirizzo:
- http://www.commoncriteriaportal.org/
I prodotti certificati ad oggi sono 241, suddivisi nelle seguenti tipologie:Access Control Devices and Systems 3
Boundary Protection Devices and Systems 42
Data Protection 13
Databases 13
Detection Devices and Systems 3
ICs, Smart Cards and Smart Card related Devices and Systems 61
Key Management Systems 16
Network and Network related Devices and Systems 16
Operating systems 31
Other Devices and Systems 43
Prodotti certificati nel 2004 56Prodotti certificati nel 2005 18
| | 31
Business Consulting Services
Copyright IBM Corporation 2005
Lo stato dellarte dei prodotti IBM certificati
La lista dei prodotti IBM certificati in costante aggiornamento e pu essere consultata allindirizzo:
- http://www.ibm.com/security/standards/st_evaluations.shtml
- Di seguito alcuni dei prodotti certificati:
- IBM Cryptographic chip for PC CC EAL3- IBM 4758 Cryptographic Co-Processor NIST FISP 140-1 Level 4- Tivoli Access Manager for e-business CC EAL3+- Tivoli Identity Manager for e-business on going (3Q)- Tivoli Amos on going (2Q) - IBM Directory Server CC EAL3- IBM DB2 UDB CC EAL4 +- IBM DB2 Content Manager CC EAL3- AIX 5L CC EAL4+- ZSeries Logical Partition LPAR zseries 900 PR/SM CC EAL5
| | 32
Business Consulting Services
Copyright IBM Corporation 2005
Le aziende che raggiungono la Certificazione BS7799 sono in rapida crescita
30/9/03
Le societ certificate: situazione 2003 vs 2005
15873111231189511311111375453
18516
LuxemburgJapanKoreaMacauMacedoniaMalaysiaMexicoMoroccoNetherlandsNorwayPolandQatarRomaniaSaudi ArabiaSingaporeSlovakiaSloveniaSouth AfricaSpainSwedenSwitzerlandTaiwanUAEUKUSA
2115231111211336317134911122311
ArgentinaAustralia Austria BelgiumBrazil ChinaColombiaCzech RepublicDenmarkEgypt Finland GermanyGreeceHong KongHungaryIceland IndiaIrelandIsle of ManItalyLebanonLithuania
nCountrynCountry
TOTALE societ certificate nel mondo
Fonte: www.xisec.com (dati aggiornati al 8.04.05)
305305
30/9/04
890890
8/4/05
11901190
Societ appartenenti al gruppo IBM certificate:
IBM BCRS Italia (dicembre 2004) IBM BCRS Cina (ottobre 2004)
Societ appartenenti al gruppo IBM certificate:
IBM BCRS Italia (dicembre 2004) IBM BCRS Cina (ottobre 2004)
| | 33
Business Consulting Services
Copyright IBM Corporation 2005
Le capabilities IBM in ambito Certificazione
LIBM possiede due laboratori di Valutazione (Commercial Evaluation FacilityCLEF) in UK ed in Canada per la preparazione del processo di certificazione sia per prodotti interni che esterni (ITSEC e Common Criteria).La Practice internazionale di Security&Privacy offre supporto metodologico e specialistico alle aziende per il percorso di Certificazione verso la norma BS7799-2.
| | 34
Business Consulting Services
Copyright IBM Corporation 2005
Riferimenti
Common Criteria http://www.commoncriteriaportal.org
INFOSEC http://www.cordis.lu/infosec/home.html
Raccomandazione CE del 7/4/1995 http://www.cordis.lu/infosec/src/itserec.htm
Computer Security Resource Center (CSRC) NIST http://csrc.nist.gov/index.html
| | 35
Business Consulting Services
Copyright IBM Corporation 2005
Struttura gerarchica dei Common Criteria: un esempio di Gerarchia
La gerarchia dei requisiti funzionali e di assicurazione dei CC rappresenta una logica costruttiva che organizza i costituenti dei requisiti di sicurezza nei seguenti
elementi:-- Classe Classe (ad es. FDP Protezione dei dati utente):
un insieme di famiglie che condividono uno stesso focus.-- Famiglia Famiglia (ad. es. FDP_ACC Politica di Controllo Accessi):
un gruppo di componenti che condividono obiettivi di sicurezza ma che possono differire in termini di enfasi e/o rigore.
-- Componente Componente (ad. Es. FDP_ACC.1 Sottoinsieme di Controllo Accessi): linsieme elementare di sottoelementi che possono essere inclusi in un PP,ST o package.
(Req. (Req. funzionalifunzionali o o didiassicurazioneassicurazione))
Flessibilit nel definire i requisiti
PP Project Profile (generico)ST Security Target (specifico)
FAMIGLIA
CLASSE
Componente
PP o STPP o ST
FAMIGLIA
Componente Componente