sicurezza dei prodotti ict

Norma ISO/IEC 17025: struttura, requisiti e applicazioni nei settori strategici

Home Sicurezza digitale
Indirizzo copiato

La norma ISO/IEC 17025 stabilisce i requisiti per la competenza dei laboratori di prova. Essenziale per l’accreditamento, è integrata nello schema di certificazione europeo EUCC per la sicurezza dei prodotti ICT, assicurando conformità e credibilità. Adattamenti specifici ne ottimizzano l’applicabilità

Pubblicato il 3 lug 2024
Garibaldi Conte

consulente nell’ambito dell’ICT e della Sicurezza ICT

Non-disclosure agreement, Cyber,Security,And,Data,Privacy,Protection,Concept,With,Icon,Of

La norma ISO/IEC 17025 è una norma internazionale che specifica i requisiti generali per la competenza, l’imparzialità e il regolare e coerente funzionamento dei laboratori di prova.

L’aderenza ai requisiti della norma consente di dimostrare che essi operano in modo competente e che sono in grado di generare risultati validi. L’ultima versione della norma è stata emessa nel dicembre 2017 ed è stata recepita in Italia dal Comitato Elettrotecnico Italiano (CEI) nel gennaio 2018.

Sicurezza nell’industria mobile: lo standard NESAS

Introduzione alla norma ISO 17025

Va considerato che i laboratori che operano in conformità alla norma, operano generalmente anche in conformità alla norma ISO 9001 che è relativa al sistema di qualità. Non è vero però il viceversa: soddisfare i requisiti della norma ISO 9001 non significa essere conformi anche ai requisiti della norma ISO 17025 perché i requisiti della ISO 9001 sono solo un sottoinsieme dei requisiti della ISO 17025.

La norma ISO 17025 è utilizzata da anni per l’accreditamento dei laboratori di prova operanti in svariati settori quali, ad esempio, ambiente, sanità, tessile, meccanico, automotive/ferroviario, sicurezza alimentare, antidoping, Information & Communication Technology (ICT) e così via.

La norma è stata anche utilizzata dagli Schemi Nazionali di Certificazione della sicurezza dei prodotti ICT ai sensi dello standard Common Criteria per accreditare relativi laboratori di prova. Tuttavia, la peculiarità delle prove eseguite da tali laboratori ha portato nel tempo a delle interpretazioni dell’applicabilità della norma da parte degli schemi nazionali che non sempre erano concordanti. Questo creava un potenziale problema per gli accordi di mutuo riconoscimento delle certificazioni (principalmente CCRA e SOG-IS) che i vari schemi di certificazione nazionale hanno sottoscritto.

Per tale ragione, l’ISO ha emesso un Technical Specification (ISO/IEC TS 23532-1 del 2021) che integra e specifica i requisiti della norma ISO 17025 quando si accreditano laboratori per le valutazioni di sicurezza ai sensi dello standard Common Criteria (recepito nella norma ISO/IEC 15408).

Analogamente l’ENISA (European Union Agency for Cybersecurity), nell’ambito dello Schema di Certificazione Europeo basato sui Common Criteria (EUCC) di prossima introduzione, ha emesso delle linee guida per l’accreditamento dei laboratori che opereranno sotto tale schema nei vari stati europei. Tali linee guida riprendono di fatto i requisiti della ISO/IEC 17025 e le integrazioni dell’ISO/IEC TS 23532-1, mappandoli sui requisiti del Regolamento Europeo Cyber Security Act (CSA) da cui deriva lo schema EUCC e integrandoli con ulteriori requisiti specifici dello schema europeo.

Nel seguito, oltre ad illustrare brevemente la struttura della norma ISO/IEC 17025, si analizzeranno i principali aspetti trattati dalla norma e come questi siano stati integrati ed adattati per l’accreditamento dei laboratori per le valutazioni di sicurezza Common Criteria.

Differenze tra accreditamento e certificazione

Spesso i termini “Certificazione” e Accreditamento” vengono utilizzati come sinonimi, ma in realtà hanno un significato differente.

La certificazione attesta che una determinata attività, o uno specifico prodotto, rispetta i requisiti di una norma di riferimento e viene rilasciata da un organismo di certificazione di terza parte.

L’accreditamento, invece, è una procedura eseguita da enti di parte terza che conferisce ai certificati di conformità un alto grado di affidabilità. Nel mondo, l’accreditamento viene svolto sulla base della norma internazionale ISO/IEC 17011 e, all’interno dell’Unione europea, il Regolamento europeo 765/2008 prevede che ogni Stato membro nomini il proprio Ente Unico nazionale di accreditamento a cui viene conferito, per la prima volta, uno status giuridico riconoscendolo come espressione di pubblica Autorità. In Italia l’Ente Unico di accreditamento designato dal governo è Accredia che in ambito EUCC assume il ruolo di National Accreditation Body (NAB).

Inoltre, l’accreditamento viene conseguito per ogni prova o taratura a seguito del superamento di una visita ispettiva da parte dell’organismo competente, in cui viene verificato che siano stati soddisfatti i requisiti della norma. Pertanto un laboratorio cha vanta accreditamento da parte di Accredia non ha acquisito automaticamente tale riconoscimento per tutte le prove o tarature che offre, ma solo per quelle per cui ne ha fatto richiesta e superato la visita ispettiva.

L’accreditamento quindi fornisce agli organismi di certificazione e ai laboratori di prove una maggiore credibilità e assicura la validità dei risultati.

La struttura della ISO 17025

La ISO 17025 è strutturata i 5 parti principali:

  • Requisiti generali che vertono soprattutto sulla gestione dell’imparzialità del laboratorio e sulla gestione della riservatezza delle informazioni trattate;
  • Requisiti strutturali che sono relativi principalmente sulla struttura organizzativa del laboratorio, ai compiti del top management e ai meccanismi necessari per garantire l’imparzialità;
  • Requisiti sulle risorse che riguardano la gestione del personale, degli apparati/tool/dispositivi e infrastrutture utilizzati dal laboratorio e della tracciabilità metrologica;
  • Requisiti di processo relativi alla revisione delle richieste/offerte/contratti, convalida dei metodi di prova, campionamento, taratura, incertezza della misura, registrazioni tecniche, reporting dei risultati e gestione dei reclami;
  • Requisiti di gestione inerenti alla documentazione del sistemi di gestione generale, al controllo dei documenti, al controllo delle registrazioni, ai Riesami di Direzione, agli audit interni, alle azioni correttive e alle azioni preventive.

Come si può notare, la ISO 17025 è molto ampia e copre tutti gli aspetti delle attività di un laboratorio di prove. Va comunque osservato che, come per le valutazioni di sicurezza Common Criteria, l’applicabilità della norma molto spesso richiede delle normative specifiche per il settore in cui il laboratorio opera per fornire requisiti aggiuntivi/integrativi che consentano la corretta interpretazione dell’applicabilità della norma nel settore di applicazione.

Il principio di imparzialità nella norma ISO 17025

Nella ISO 17025 l’imparzialità è definita come “presenza di obiettività”, ovvero l’assenza di conflitti di interesse o la loro pronta risoluzione per evitare che influenzino negativamente le attività del laboratorio.

La norma prevede quindi che le attività del laboratorio siano effettuate in modo imparziale e strutturate e gestite in modo da salvaguardare l’imparzialità, che il Management del laboratorio sia impegnato per l’imparzialità e che i rischi per l’imparzialità siano continuamente identificati e gestiti dimostrando come essi siano stati eliminati o minimizzati.

Andando nello specifico delle valutazioni Common Criteria, il TS 23532-1 specifica chiaramente che i valutatori non possono sviluppare e valutare lo stesso Protection Profile (PP), Security Target (ST) o prodotto ICT (TOE). Inoltre, i valutatori che forniscono consulenza ai clienti per predisporre tutti i documenti relativi alla valutazione dei propri prodotti, non possono poi essere coinvolti nella valutazione del prodotto. Di fatto, bisogna segregare chi ha fatto consulenza ai clienti da chi ne valuta i prodotti.

Non è un caso che il Cyber Security Act (CSA) rinforzi questo concetto specificando in maniera più dettagliata i requisiti che i laboratori che saranno accreditati per l’EUCC dovranno rispettare.

A titolo esemplificativo e non esaustivo, nelle linee guida di ENISA per l’accreditamento dei laboratori viene specificato che:

  • i laboratori devono essere indipendenti dall’organizzazione che sviluppa i prodotti, servizi e processi che esso deve valutare;
  • se un laboratorio appartiene ad una associazione, di business o professionale, che in un qualche modo è coinvolta nella progettazione, sviluppo, distribuzione, assemblaggio, uso o manutenzione di un prodotto, servizio o processo ICT, potrà effettuare la valutazione solo se sarà dimostrata la sua indipendenza e l’assenza di un qualsiasi conflitto di interesse;
  • la Direzione del laboratorio e i suoi valutatori non possono essere stati coinvolti nella progettazione, sviluppo, installazione, distribuzione, marketing o manutenzione dei prodotti, servizi e processi ICT che sono valutati dal laboratorio, nonché avere partecipazioni o avere cariche rappresentative nelle società che li producono;
  • la Direzione del laboratorio e i suoi valutatori non possono essere ingaggiati in attività che possono ledere alla loro indipendenza di giudizio e integrità nelle loro attività di valutazioni. Particolare attenzione deve essere posta nelle attività di consulenza.

Come si può notare da quanto scritto, garantire l’imparzialità è probabilmente l’aspetto più importante della ISO 17025 perché è considerato essenziale per garantire risultati delle prove corretti e affidabili.

Tale aspetto è ancor più rilevante per l’EUCC dove le certificazioni di sicurezza dei prodotti ICT saranno valide per tutto il territorio dell’Unione.

Gestione della confidenzialità secondo la norma ISO 17025

Altro requisito rilevante della ISO 17025 è la garanzia della riservatezza delle informazioni acquisite e prodotte dal laboratorio durante le sue attività.

La norma prevede che il laboratorio sia responsabile della riservatezza delle informazioni ottenute o generate durante le sue attività anche per mezzo di impegni legalmente vincolanti. Su quest’ultimo punto, è buona prassi che i valutatori del laboratorio firmino dei Non Disclosure Agreement, così come il rappresentante del laboratorio lo sottoscrive con il cliente.

Tendenzialmente tutte le informazioni acquisite o prodotte durante la valutazione sono proprietarie e quindi riservate a meno di quelle che il cliente rende pubblicamente disponibili, quelle per il quale il laboratorio è contrattualmente autorizzato a divulgare e quelle richieste per legge al laboratorio.

La riservatezza è maggiormente rilevante nelle valutazioni Common Criteria perché i valutatori hanno accesso a informazioni riservate del prodotto che valutano e i rapporti di prova richiesti sono ad uso esclusivo dell’ente di certificazione che emette il certificato.

A titolo esemplificativo, l’ISO TS 23532-1 specifica alcuni tipi di informazioni che potrebbero essere esclusi dagli output delle valutazioni CC perché appunto riservate:

  • informazioni proprietarie (es. codice sorgente);
  • informazioni specifiche sul campionamento e sui test effettuati sul prodotto;
  • la stima dell’effort per eseguire la valutazione;
  • informazioni del prodotto commercialmente sensibili.

Ovviamente il laboratorio deve adottare le necessarie misure di sicurezza fisiche e logiche (prettamente accessi strong, tracciamento, cifratura dei dati,….) per proteggere la riservatezza delle informazioni e deve garantire una separazione, logica e fisica, tra i valutatori che effettuano la valutazione e tutte le persone a contorno come i valutatori che hanno effettuato attività di consulenza, gli sviluppatori del prodotto, i system integrator e, comunque, tutti i soggetti che potrebbero avere interesse nelle informazioni collegate alla valutazione e/o potrebbero influenzare negativamente i risultati della valutazione.

Le linee guida di ENISA per l’accreditamento dei laboratori in ambiti EUCC confermano i requisiti della ISO 17025 e li esplodono in requisiti di dettaglio sia tecnici che procedurali e organizzativi. Di fatto stabilisce quali sono i requisiti minimi che un laboratorio accreditato per l’EUCC deve implementare.

La competenza dei valutatori secondo la norma ISO 17025

Altro aspetto rilevante per i laboratori di prova è la competenza dei valutatori che può impattare sui risultati delle prove. La norma prevede che le competenze dei valutatori siano valutate, registrate, revisionate e che ci sia un training continuo per aumentare le competenze e renderle adeguate alle attività di valutazioni svolte.

Sia l’ISO TS 23532-1 che le linee guida ENISA per l’accreditamento dei laboratori in ambito valutazioni Common Criteria esplodono tale aspetto facendo riferimento alla norma ISO 19896 che descrive i requisiti di competenza che devono avere i tester e valutatori della sicurezza delle informazioni.

In particolare, la prima parte di tale norma descrive quali sono gli elementi di competenza, i livelli di competenza e la misurazione di tali elementi di competenza, mentre la terza parte della norma descrive le conoscenze, gli skills, l’esperienza e l’istruzione che valutatori devono avere per poter effettuare le valutazioni di sicurezza Common Criteria.

Le conoscenze e gli skill che i valutatori devono avere sono prettamente orientate alla conoscenza dello standard Common Criteria e della Common Evaluation Methodology (CEM) che usano per effettuare le valutazioni, oltre a una buona conoscenza di tematiche sulla Sicurezza delle Informazioni e sulle tecnologie che dovrà valutare.

Relativamente all’esperienza dei valutatori, la norma stabilisce che questa è acquisita durante le valutazioni che i valutatori eseguono e che tale esperienza, soprattutto per le prime valutazioni, è acquisita sotto la supervisione di valutatori più esperti.

L’istruzione dei valutatori deve essere adeguata e quindi si richiede un corso di studi universitario almeno triennale che includa specializzazioni tecniche in ambito IT e Sicurezza IT. Tale requisito può essere superato quando il valutatore ha acquisito una sufficiente esperienza lavorativa in ambito IT e sicurezza IT nella quale ha sviluppato competenze e skill equivalenti al corso di studi universitario citato prima.

La norma pone anche dei requisiti sull’efficacia dei valutatori (effectiveness in inglese).

In linea generale, il valutatore deve essere in grado di utilizzare le proprie conoscenze e capacità in modo costruttivo, come dimostrato da comportamenti quali attitudine, iniziativa, entusiasmo, disponibilità, capacità di comunicazione, impegno nel team e leadership.

La norma indica i principi che devono essere applicati per assicurare l’efficacia dei valutatori nelle varie fasi della valutazione, mentre nella prima parte della norma sono indicati i criteri con cui misurare l’efficacia raggiunta dai valutatori.

L’adattamento della norma ISO 17025 per le valutazioni Common Criteria

Come detto in precedenza, la ISO 17025 è la norma maggiormente utilizzata per l’accreditamento dei laboratori di prova e taratura. La sua applicazione alle valutazioni di sicurezza Common Criteria è una scelta valida, ma la particolarità di queste valutazioni richiede delle integrazioni e maggiori specificazioni dei requisiti per renderli applicabili in tale ambito.

Con l’introduzione dello schema europeo EUCC, la procedura di accreditamento dei laboratori sarà anche più complessa perché lo schema richiede ulteriori attività al laboratorio che oggi non sono totalmente contemplate nello standard Common Criteria.

A titolo esemplificativo e non esaustivo, i laboratori dovranno avere dei processi per monitorare la compliance allo schema di certificazione, gestire valutazioni composite e avere dei processi per il patch management finalizzato alla manutenzione dei certificati.

L’accreditamento ISO 17025 in ambito EUCC consente ai laboratori di effettuare valutazioni a livello “substantial”. Per le valutazioni a livello “high”, negli stati membri che le effettuano, i laboratori dovranno effettuare un accreditamento aggiuntivo ed integrativo da parte dei Conformity Assessment Body (CAB) governativi autorizzati ad effettuare valutazioni a tale livello in quanto dovranno essere conformi a requisiti aggiuntivi stabiliti dallo schema per i domini tecnici in cui dovranno operare.

Infine, molti Paesi, sia europei che non, hanno introdotto, o stanno per introdurre, delle certificazioni nazionali dei prodotti ICT per ambiti considerati strategici. È il caso del Perimetro di Sicurezza Cibernetico nazionale introdotto circa due anni che ha previsto la certificazione obbligatoria per alcune tipologie di prodotti ICT acquisite dalle aziende incluse nel perimetro. È stato quindi creato il Centro Valutazioni e Certificazioni Nazionali (CVCN) che ha la responsabilità di effettuare queste certificazioni avvalendosi di laboratori chiamati Laboratorio Accreditati di Prove (LAP). Anche in questo caso, la norma di riferimento per l’accreditamento del laboratorio è la ISO 17025 e sono stati rinforzati tutta una serie di requisiti, soprattutto sulle competenze dei valutatori e sulle misure di sicurezza logica e fisica da implementare.

Conclusioni

In conclusione, l’utilizzo della ISO 17025 per l’accreditamento dei laboratori di prova rimane una scelta valida, anche se necessita di integrazioni specifiche per adattarla al settore specifico in cui il laboratorio opera.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Garibaldi Conte
consulente nell’ambito dell’ICT e della Sicurezza ICT

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • intelligenza artificiale

    Sorveglianza umana dell'AI: cos'è e perché è centrale nell'AI ACT

    21 Mar 2024

    di Federico Cabitza e Silvia Stefanelli

    Condividi

  • università di bari

    IA generativa, il modello "LLaMAntino" in italiano e il ruolo della lingua nel training

    26 Apr 2024

    di Vincenzo Patruno

    Condividi

Prossimo

Sorveglianza umana dell'AI: cos'è e perché è centrale nell'AI ACT

Articolo 1 di 3