I Common Criteria sono degli standard di sicurezza internazionali, nati dalla volontà di fornire al settore ICT un livello di protezione uniforme nel mondo.
Le origini dei Common Criteria
Negli ultimi due decenni il settore ICT ha compiuto sforzi da gigante per fornire prodotti che garantissero un adeguato livello di sicurezza, anche se con alterne vicende. Nella seconda metà del decennio scorso mancavano ancora dei criteri idonei per valutare le prestazioni di sicurezza di un sistema ICT.
Per rendere possibile una valutazione e il confronto tra prodotti diversi, nel 1983 il Dipartimento della Difesa americano diede alla luce il Trusted Computer System Evaluation Criteria (TCSEC), più famoso come Orange Book, dal colore della copertina.
L’Europa rispose nel 1990 con l’Information Technology Security Evaluation Criteria (ITSEC), di impiego più generale.
I tentativi di far riconoscere l’ITSEC come standard mondiale fallirono, ma posero le basi per la nascita di un gruppo di lavoro comune. Dopo sei anni tale gruppo rilasciò la prima versione dei Common Criteria. Nel 1999 i Common Criteria, con la versione 2.1, divengono standard ISO/IEC 15408. Nel 2012 è stata rilasciata l’ultima versione, la 3.1R4.
Cosa prevedono gli standard comuni
Il sistema o prodotto oggetto della valutazione è definito dai Common Criteria come Target of Evaluation (TOE). Tramite i Common Criteria la verifica di sicurezza di un TOE implica la definizione di:
- obiettivi di sicurezza: il sistema o prodotto è sicuro per fare cosa;
- ambiente di sicurezza: il sistema o prodotto è sicuro in quale contesto;
- requisiti di assurance: il sistema o prodotto è sicuro a fronte di quali verifiche.
Gli obiettivi di sicurezza sono definiti per contrastare una minaccia o per rispettare leggi, regolamenti o politiche di sicurezza preesistenti. Tali obiettivi si conseguono adottando misure di sicurezza tecniche, fisiche, procedurali e relative al personale.
L’ambiente di sicurezza è definito in base a: uso ipotetico del prodotto (applicazioni, utenti, informazioni trattate), ambiente di utilizzo, minacce da contrastare, caratteristiche dell’attaccante (conoscenze, risorse disponibili e motivazione), metodi di attacco (citando, tra l’altro, lo sfruttamento di eventuali vulnerabilità note del prodotto o sistema ICT), beni colpiti, politiche di sicurezza dell’organizzazione (modello organizzativo, definizione requisiti per le contromisure).
Il processo di valutazione prevede ovviamente verifiche che servono ad accertare che il sistema/prodotto soddisfi i requisiti di assurance. Tali requisiti diventano sempre più stringenti man mano che il livello di valutazione cresce. I livelli di valutazione o di assurance previsti dai Common Criteria sono 7 (da EAL1, che è il livello più basso, a EAL7). Ogni livello prevede specifici requisiti di sicurezza che devono essere soddisfatti.
Al crescere del livello di valutazione:
– vengono richieste specifiche realizzative più dettagliate;
– aumenta il rigore con il quale le specifiche devono essere descritte.
Vantaggi legati a uno standard comune
Anche se non garantisce che un prodotto sia privo di vulnerabilità, la certificazione Common Criteria consente di valutare un sistema o un prodotto IT tramite parametri rigorosi, coerenti e verificati.
La valutazione è affidata a Centri di Valutazione autorizzati, il cui compito principale è verificare che le funzioni di sicurezza (SF) del sistema o prodotto siano efficaci nel contrastare le minacce dichiarate. Al termine della verifica il centro redige il cosiddetto “Rapporto Finale di Valutazione” (RFV).
Inoltre il centro di valutazione fornisce all’Ente Certificatore (EC), ovvero l’organismo pubblico responsabile della certificazione dei prodotti e dei sistemi informatici e dell’accreditamento dei centri di valutazione, gli elementi utili per l’individuazione delle metodologie più idonee da adottare, informandolo sulle attività compiute ai fini della valutazione.
Per una più approfondita disanima dei Common Criteria si può visitare il sito ufficiale del programma al seguente link: https://www.commoncriteriaportal.org/ .
