Cyber Security Common Criteria: Valutazione e certificazione

La norma ISO / IEC 15408-1: 2009, "Information technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model”, fornisce un quadro accettato a livello internazionale per la valutazione della sicurezza delle apparecchiature informatiche (ITE). Noto come "Common Criteria", lo standard descrive i criteri comunemente accettati per la progettazione, lo sviluppo e la valutazione delle apparecchiature IT in merito alla sicurezza informatica.

In breve, la valutazione di conformità ai “Criteri Comuni” descritti dalla norma ISO / IEC 15048 -1, consiste in due aspetti della garanzia di qualità.

Il primo è una valutazione dei requisiti di garanzia della sicurezza (SARs), ovvero una revisione dei processi intrapresi durante lo sviluppo e la valutazione di un determinato sistema o dispositivo IT per valutare la conformità con la funzionalità di sicurezza prescritta. I requisiti delle funzionalità di sicurezza possono variare da dispositivo a dispositivo, a seconda dell'uso previsto e dell'ambiente di rischio previsto.

Il secondo aspetto è il livello di garanzia della valutazione (EAL), atto a valutare la profondità e il rigore del processo di valutazione stesso. Gli EAL vanno da EAL 1, che rappresenta il livello più elementare di valutazione della sicurezza informatica, a EAL 7, che rappresenta il processo più rigoroso per verificare il livello dichiarato di sicurezza informatica. È importante notare che un EAL è solo una valutazione del rigore del processo di valutazione stesso e che un dispositivo ITE con un EAL più alto non significa necessariamente che sia un dispositivo più sicuro.

La certificazione in accordo ai “Criteri Comuni” dettagliati nella ISO / IEC 15408-1 garantisce che le dichiarazioni sulla sicurezza informatica di ITE siano state valutate in modo completo e rigoroso. Di conseguenza, i “Criteri Comuni” sono stati adottati da un certo numero di agenzie governative e società in tutto il mondo come prerequisito per l'approvvigionamento di ITE da parte di terzi.

 

Come può supportarti Nemko

Nemko può fornire una guida completa sulla valutazione delle apparecchiature IT in conformità con i requisiti Common Criteria descritti in dettaglio nella ISO / IEC 15408-1. Questa guida include:

  • Valutazione del profilo di protezione: un profilo di protezione (PP) è un insieme di requisiti di sicurezza applicabili a un tipo specifico di dispositivo protetto. Le organizzazioni di approvvigionamento possono richiedere ai fornitori di terze parti di offrire la prova che il loro prodotto sia stato progettato per essere conforme ai requisiti di uno o più PP. Gli esperti Nemko possono collaborare con te per valutare la conformità della tua attrezzatura ai PP pertinenti e fornire l'attestazione a supporto delle tue affermazioni.
  • Valutazione EAL / Security Target (ST): la valutazione PP serve quindi come base per definire le proprietà di sicurezza richieste di un dispositivo, chiamate anche security target (ST), e a stabilire l'EAL raccomandato. Gli esperti di Nemko possono valutare l’effettiva coerenza fra gli ST e l’EAL richiesto con la tua attrezzatura.
  • Oltre ai punti di cui sopra, prima di un'analisi di sicurezza più formale, Nemko può anche condurre una valutazione preliminare del gap funzionale (FGA). Possiamo anche condurre una valutazione formale della certificazione per garantire che il tuo ITE soddisfi i requisiti essenziali di Common Criteria.

 

I vantaggi di lavorare con Nemko

La collaborazione con Nemko può fornire alla tua organizzazione diversi vantaggi per supportare i tuoi sforzi nell’affrontare le sfide dell'attuale panorama della sicurezza informatica. Questi vantaggi includono:

  • Riconosciuta competenza in materia di sicurezza informatica: acquisita da Nemko nel 2020, Systemsikkerhet è la più longeva società di consulenza sulla sicurezza delle informazioni della Norvegia ed è uno dei soli quattro laboratori certificati dall'Autorità di sicurezza nazionale norvegese in merito alla sicurezza delle informazioni.
  • Coinvolgimento attivo nello sviluppo e nell'implementazione degli standard: i professionisti tecnici di Nemko partecipano attivamente agli sforzi per sviluppare standard e protocolli di sicurezza informatica all'avanguardia e sono informati sui requisiti nuovi ed emergenti che possono aiutare a migliorare la sicurezza.
  • Unico partner di certificazione: con la nostra esperienza in sicurezza informatica, sicurezza dei prodotti, radio / telecomunicazioni e compatibilità elettromagnetica (EMC), Nemko rappresenta una solida fonte per i produttori che cercano servizi completi di test e certificazione per i loro sistemi e dispositivi IT.

Supporto globale — con quasi 30 sedi in 6 continenti, Nemko è globalmente dislocata per supportare i tuoi sforzi per ottenere l'accesso al mercato globale dei tuoi prodotti, indipendentemente dalla posizione o dal mercato di destinazione.

Per ulteriori informazioni in merito al supporto che Nemko può offrirti per affrontare le sfide attuali ed emergenti della sicurezza informatica, contattaci.