Un acronimo che promette bene: EUCC

Un acronimo che promette bene: EUCC

L’agenzia dell’unione europea per la sicurezza informatica- ENISA, ha lanciato un programma di certificazione dei prodotti ITC. Stante la crescita esponenziale dei rischi informatici, l’iniziativa di ENISA merita la massima attenzione.

Il progetto EUCC - (Common Criteria based European candidate cybersecurity certification scheme) rappresenta un ambizioso progetto di ENISA, che vuole mettere a disposizione uno schema armonizzato di certificazione di servizi informatici, allineando le iniziative di vari paesi europei in un quadro comunitario.

Il criterio di valutazione della certificazione è basato sull’ormai famoso schema dei Common Criteria e viene verificato in base alle norme ISO/IEC 15408 e ISO/IEC 18045.

In effetti, i Common Criteria si sono dimostrati particolarmente validi, negli ultimi vent’anni, per la certificazione di circuiti elettronici e smart card ed hanno dato un contributo determinante all’innalzamento del livello di sicurezza dei dispositivi di firma elettronica, soprattutto quelli utilizzati su passaporti, carte bancarie e i tachigrafi installati sugli autocarri.

Pubblicità

Negli ultimi tempi, questi stessi criteri sono stati intensamente utilizzati per la certificazione di prodotti e software ITC.

Il grande vantaggio nel mettere a disposizione uno schema europeo di certificazione sta nel fatto che si rende più facile, per i produttori e gli acquirenti, effettuare confronti tra i vari prodotti, facilitando la messa a confronto di servizi ITC, che si affidano a questi prodotti.

Il documento, composto di 283 pagine, rappresenta una prova provata del fatto che la messa a punto di un programma di certificazione ITC è operazione oltremodo complessa, che può essere realizzata solo con il supporto di risorse affatto speciali, come appunto quelle che sono disponibili tramite l’agenzia dell’unione europea per la sicurezza informatica.

Uno degli obiettivi primari di questo schema è quello di consentire alle pubbliche autorità, che devono acquistare beni e servizi ITC, di fare riferimento a livelli di sicurezza informatica, che potrebbero essere estremamente difficili da sviluppare, da parte di ogni singola pubblica autorità.

Il documento stabilisce anche dei vincoli assai severi in merito agli enti di certificazione ed ai laboratori di prova, che devono offrire garanzie oggettive circa la loro idoneità e capacità nello svolgere le funzioni assegnate.

Allego a questa breve segnalazione l’intero documento, non già perché i lettori lo leggano tutto, ma per consentire loro di valutare la accuratezza e la credibilità delle misure di certificazione illustrate nel documento stesso.

CYBERSECURITY CERTIFICATION - EUCC, a candidate cybersecurity certification scheme to serve as a successor to the existing SOG-IS (pdf)

Adalberto Biasiotti

Questo articolo è pubblicato sotto una Licenza Creative Commons.

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.