common criteria

Sicurezza dei prodotti ICT: cosa sono i “protection profile” e perché sono il futuro

Home Sicurezza digitale
Indirizzo copiato

La certificazione della sicurezza ICT è fondamentale per ogni organizzazione. L’EUCC e le Autorità Nazionali stanno lavorando per superare i limiti dei Common Criteria, puntando sui Protection Profile certificati: una visione rivolta al futuro della certificazione ICT

Pubblicato il 6 dic 2023
Garibaldi Conte

consulente nell’ambito dell’ICT e della Sicurezza ICT

CISO, Cyber,Security,And,Network,Protection.,Cybersecurity,Expert,Working,With,Secure
CISO

Le Certificazioni Common Criteria rappresentano un punto di riferimento fondamentale nel panorama della sicurezza informatica. Nate con l’obiettivo di fornire un quadro standardizzato e riconosciuto a livello internazionale per la valutazione della sicurezza dei prodotti IT, queste certificazioni sono diventate un must per le aziende che puntano a garantire la massima protezione ai propri sistemi e dati.

Lo schema di certificazione europeo EUCC: novità, punti di forza e problemi aperti

Tuttavia, come in ogni processo complesso e articolato, esistono limiti e sfide da affrontare. L’evoluzione del settore ha portato all’introduzione dei Protection Profile, strumenti progettati per rispondere alle esigenze specifiche di determinati scenari operativi. Ma come si distinguono dai collaborative Protection Profile? E soprattutto, quale sarà il futuro delle Certificazioni Common Criteria in un mondo digitale in costante evoluzione?

L’origine delle Certificazioni Common Criteria

Gli standard Common Criteria (Standard  ISO 15408 — Information technology — Security techniques — Evaluation criteria for IT security), hanno origine da un progetto internazionale iniziato nel 1993 e durato circa 5 anni che coinvolgeva NIST e NSA per gli USA e svariate organizzazioni per la sicurezza in Canada, Francia, Germania, Olanda e Regno Unito. Per lo sviluppo dei criteri fu istituito un gruppo di lavoro (anch’esso internazionale) denominato Common Criteria Editorial Board (CCEB).

L’obiettivo era quello di sviluppare una comune metodologia per la valutazione della sicurezza nel mondo dell’Informatica che fosse applicabile in campo internazionale e superasse i limiti degli standard al momento in vigore (TCSEC, ITSEC, …).

I Common Criteria (CC) sono diventati lo standard di riferimento per le certificazioni di sicurezza dei prodotti ICT grazie a degli accordi internazionali di mutuo riconoscimento delle certificazioni.

Tra questi, il più rilevante è il Common Criteria Recognition Arrangement (CCRA) che vede coinvolti circa 30 Paesi membri di cui 18 sono emittenti ed utilizzatori dei certificati, mentre altri 12 sono solo utilizzatori dei certificati. Il CCRA prevede il mutuo riconoscimento delle certificazioni fino al livello EAL2.

Oltre al CCRA, esiste un altro accordo di mutuo riconoscimento delle certificazioni di sicurezza basate sui CC, il Senior Officials Group Information Systems Security (SOG-IS), che include 17 Paesi membri europei ed prevede il mutuo riconoscimento dei certificati fino al livello EAL4.

Quest’ultimo sarà sostituito dall’EUCC, lo schema europeo di certificazione e prodotti ICT, che ha recepito lo schema SOG-IS.

I CC si sono rilevati un ottimo standard per la certificazione della sicurezza dei prodotti ICT perché permettono una convalida formale della sicurezza di un prodotto e si possono applicare a tutti i prodotti ICT, siano essi hardware o software.

I limiti delle certificazioni CC

Le certificazioni CC presentano però dei limiti legati soprattutto ai tempi e ai costi delle valutazioni di sicurezza che crescono al salire del livello di assurance richiesto.

Inoltre, l’attuale sistema di valutazione dei CC può essere soggetto a interpretazioni da parte del valutatore che esegue la valutazione o dell’Autorità che gestisce lo schema nazionale e questo può portare a non avere delle valutazioni ripetibili e/o oggettive e quindi confrontabili. Tale aspetto è maggiormente rilevante per le valutazioni di livello elevato dove non è previsto il mutuo riconoscimento da parte dei Paesi Membri del CCRA.

Infine, non meno importante, un’altra critica mossa ai CC è il fatto che le tali valutazioni si concentrano principalmente sulle funzionalità descritte nel Security Target fornito dal fornitore del prodotto e verificano se il prodotto ICT oggetto di valutazione fornisce tutte le funzioni specificate appunto nel Security Target.

L’introduzione dei Protection Profile

Questi limiti hanno spinto molti Stati Membri del CCRA a introdurre degli schemi di certificazione della sicurezza personalizzati, sempre basati sui CC, ma che o semplificano tutto il processo di valutazione per renderlo meno lungo e costoso oppure lo rendono maggiormente oggettivo e ripetibile attraverso l’introduzione obbligatoria dei Protection Profile (PP).

Tra questi va evidenziato lo schema di certificazione americano gestito dal National Information Assurance Partnership (NIAP), nato da una partnership tra il National Institute of Standards and Technology (NIST) e la National Security Agency (NSA). Il NIAP opera prevalentemente il Dipartimento delle Difesa americana e certifica i prodotti ICT definiti come Commercial Off The Shelf (COTS) da utilizzare nei sistemi di sicurezza nazionale.

Dagli inizi del 2013, il NIAP non accetta più valutazioni generiche EAL, ma richiede che i prodotti ICT siano valutati rispetto a dei Protection Profile (PP) da questa certificati. Tale approccio rappresenta un vincolo per il mutuo riconoscimento del CCRA in quanto, anche se disponibili dei PP certificati e pubblicati sul CC Portal, non è sempre detto che il PP richiesto dal NIAP sia tra questi. D’altra parte, tutti i produttori di prodotti ICT hanno un elevato interesse ad essere inclusi nella lista gestita dal NIAP per poter avere accesso al mercato americano

Questa situazione ovviamente ha messo in crisi il sistema di mutuo riconoscimento introdotto con il CCRA e, d’altro canto, un’uscita degli Stati Uniti dal CCRA avrebbe penalizzato in maniera significativa il mercato delle certificazioni di sicurezza dei prodotti ICT (la maggior parte dei produttori di tali prodotti sono americani) decretando la fine del CCRA stesso.

Per tale ragione, nel settembre 2012, sotto la spinta del NIAP, il Common Criteria Management Committee (CCMC), Comitato responsabile per la gestione del CCRA, ha predisposto un documento che revisiona l’accordo di mutuo riconoscimento introducendo due concetti innovativi quali gli International Technical Community (iTC) e i collaborative Protection Profile (cPP).

Differenze tra Protection Profile e collaborative Protection Profile

Il Protection Profile (PP) è un documento, generalmente creato da un’organizzazione (es. vendor, comunità di utenti, autorità nazionale,…) che definisce un insieme di requisiti e funzioni di sicurezza per una particolare classe di prodotti/sistemi (es. apparati di rete, sistemi operativi, dispositivi mobili, hardcopy device,…).

Dal punto di vista del produttore del prodotto l’utilizzo di questo documento può essere duplice:

  • esso può decidere di implementare e certificare prodotti che rispettano le specifiche di sicurezza imposte da uno o più PP;
  • il documento può essere inteso come un template per generare un nuovo PP sulle basi dei requisiti di sicurezza espressi per la classe di prodotti, magari ampliandone lo spettro.

Dal punto di vista dell’utente, invece, un PP può essere utilizzato come criterio per selezionare il tipo particolare di prodotto che soddisfa maggiormente la sua particolare esigenza, sulla base di quanto in esso espresso (requisiti di sicurezza).

Dal punto di vista strutturale un PP è per molti versi analogo ad un Security Target, in particolare per quanto riguarda la descrizione dell’Ambiente di sicurezza, degli Obiettivi di sicurezza, dei Requisiti di sicurezza IT e le motivazioni legate a questi aspetti.

Quello che invece non è previsto in un PP riguarda le parti direttamente connesse con il prodotto oggetto della valutazione, come il sommario delle specifiche di questo, la conformità ad un eventuale altro PP e le motivazioni che dimostrano l’adeguatezza delle funzioni di sicurezza e garanzia che permettono di soddisfare i requisiti di sicurezza.

I due documenti, inoltre, potrebbero essere utilizzati congiuntamente: un Security Target potrebbe essere dichiarato conforme ad un PP, ereditandone direttamente i requisiti funzionali e di garanzia. In questi casi è possibile solo fare riferimento al PP e dettagliare le eventuali differenze con questo.

I PP possono essere certificati in accordo a quanto previsto dallo standard CC e, in tal caso, sono pubblicati sul CC Portal che è il sito ufficiale del CCRA.

Ma quali sono i vantaggi di una valutazione rispetto ad un PP da quella generica CC chiamata EAL?

Le certificazioni rispetto ad un PP offrono degli indubbi vantaggi rispetto ad una generica valutazione CC e superano, se non totalmente, molti dei limiti mostrati in precedenza.

Tra le principali differenze si evidenziano:

  • in una valutazione conforme ad un PP, tutti i fornitori dello stesso tipo di prodotto devono aderire agli stessi requisiti di sicurezza, mentre in quelle EAL i fornitori scelgono individualmente quali requisiti di sicurezza rivendicare, causando a volte incoerenze tra prodotti simili;
  • i metodi di valutazione utilizzati per le valutazioni PP sono approvati dal CCRA (la maggior parte dei PP sono generalmente a livello EAL1), mentre per le valutazioni EAL il riconoscimento del CCRA è limitato in quanto si arriva al mutuo riconoscimento solo le valutazioni fino a livello EAL2;
  • le valutazioni PP usano un approccio oggettivo nei metodi di valutazione perché il PP indica tutti i requisiti funzionali che il prodotto deve soddisfare, mentre nelle valutazioni EAL i requisiti funzionali del prodotto sono scelti in maniera soggettiva dal fornitore;
  • i risultati di una valutazione PP sono pertinenti, applicabili e ripetibili in quanto usano lo stesso minacce standard e gli requisiti funzionali di sicurezza raccolti in un PP, mentre per le valutazioni EAL i risultati non sono ripetibili tra i prodotti della stessa categoria sviluppati da fornitori diversi;
  • i PP sono sviluppati generalmente da comunità tecniche riconosciute dal CCRA, mentre nelle valutazioni EAL i requisiti sono generici e definiti dai singoli fornitori;
  • le minacce che afferiscono al prodotto sono definite generalmente dalle agenzie di sicurezza internazionali, mentre nelle valutazioni EAL le minacce sono identificate dopo che il fornitore ha mappato la funzionalità del prodotto in base ai Common Criteria e possono produrre requisiti diversi e una minore sicurezza

Da quanto scritto si evince chiaramente che l’utilizzo di un PP risolve molti dei limiti dei CC, ma richiede nel contempo che i PP, per poter essere efficaci e garantire il mutuo riconoscimento, devono avere alla base un vasto consenso, soprattutto da parte delle Autorità che gestiscono gli schemi di certificazione nazionali.

Cosa sono i collaborative Protection Profile (cPP)

Un cPP è un Protection Profile per una determinata tecnologia definito da una International Technical Community (iTC) composta da esperti di CC e dell’area tecnologica di riferimento e sponsorizzata da uno o più membri del CCRA. L’intento è quello di risolvere l’eterogeneità dei PP specifici dei governi, definendo al contempo requisiti e metodologie di test migliori attraverso il coinvolgimento degli esperti del settore. Durante lo sviluppo di un cPP, tutti i Paesi membri CCRA sono invitati a rilasciare dichiarazioni di posizione informali che indicano se la nazione intende approvare o meno il cPP. Il processo di sviluppo del cPP è stato definito dal CC Development Board.

Oltre al processo cooperativo, l’altra caratteristica distintiva di un cPP è che di solito non specificano un livello di assurance EAL perché i cPP si concentrano sulla definizione di requisiti funzionali di sicurezza (Security Functional Requirements – SFR) adeguati per un determinato prodotto/tecnologia. In questo caso, la distinzione importante da comprendere è che gli SFR di un cPP descrivono le funzionalità di sicurezza di un prodotto, mentre i Security Assurance Requirements (SAR) definiscono il livello delle attività di valutazione (CC Parte 3) richiesto durante il processo di valutazione.

Come detto prima, i cPP sono sviluppati da International Technical Community (iTC) riconosciute dal CCRA e che includono esperti di CC, esperti della tecnologia di riferimento del cPP, utenti del prodotto, ma soprattutto rappresentanti delle Autorità dei Paesi membri del CCRA. Questi ultimi, assumono un ruolo molto attivo nello sviluppo del cPP proprio nell’ottica di garantire il mutuo riconoscimento delle valutazioni. A titolo esemplificativo, lo sviluppo di un cPP può essere richiesto solo da uno Paese membro del CCRA.

Conclusioni

I Common Criteria si sono rilevati un ottimo standard per la certificazione della sicurezza dei prodotti ICT perché permettono una convalida formale della sicurezza di un prodotto e si possono applicare a tutti i prodotti ICT, siano essi hardware o software. Nel contempo però, hanno rivelato dei limiti dovuti, paradossalmente, alla elevata flessibilità della loro applicazione.

L’approccio basato sull’utilizzo di Protection Profile e di collaborative Protection Profile, supera i limiti mostrati dallo standard e permette di avere delle valutazioni oggettive e ripetibili, pur mantenendo la rigorosità richiesta dallo standard.

Non è un caso quindi che lo schema europeo basato sui CC, l’EUCC, prevede che le valutazioni di prodotti ICT a livello “high” possono essere fatte solo se si applicano i requisiti di un dominio tecnico (simile a un PP) o di un Protection Profile certificato.

Sulla base dell’esperienza del CCRA, è evidente che le certificazioni basate sui PP potranno avere successo solo se i PP saranno sviluppati e certificati con il coinvolgimento di tutti gli attori in gioco e con un ruolo attivo da parte delle Autorità Nazionali che devono garantire il mutuo riconoscimento delle certificazioni. Solo in questo modo sarà possibile sviluppare un mercato di massa di tali certificazioni e aumentare il livello di sicurezza delle infrastrutture ICT dei vari Paesi nel mondo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Video & Podcast
Analisi
Social
Iniziative
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • intelligenza artificiale

    AI e tutela del diritto d'autore: perché le sanzioni alle big tech non bastano

    03 Apr 2024

    di Alfredo Esposito

    Condividi

Prossimo

AI e tutela del diritto d'autore: perché le sanzioni alle big tech non bastano

Articolo 1 di 2