Cerca nel Sito

Menu Principale

Riconoscimento in ambito internazionale dei certificati OCSI

01 Ottobre 2009

Si è finalmente concluso, con esito positivo per l'OCSI, l'iter della cosiddetta “valutazione ombra”, particolare procedura di controllo definita dagli Schemi internazionali di certificazione nel settore della sicurezza IT aderenti al CCRA (Common Criteria Recognition Arrangement). Conseguentemente, si è ottenuta la “promozione” dell'OCSI al rango di Schema Produttore di certificati, il che consentirà anche alle certificazioni rilasciate in Italia di essere riconosciute in tutti i paesi aderenti al CCRA.

Così come previsto dal regolamento del CCRA, l'OCSI ha a suo tempo richiesto il cambiamento di status per divenire Schema Produttore di certificati e accedere così al riconoscimento delle proprie certificazioni in tutti i Paesi che applicano uno Schema nazionale di certificazione della sicurezza di prodotti e sistemi IT aderenti al CCRA.

Conseguentemente sono state avviate le attività relative alla “valutazione ombra”, che ha avuto il suo momento culminante dal 15 al 19 dicembre 2008 con la visita ispettiva presso la sede dell’ISCOM di un gruppo di commissari degli organismi di certificazione esteri: Spagna (Presidente) e Germania in qualità di ispettori, mentre Norvegia e Turchia hanno ricoperto il ruolo di osservatori. Gli ispettori hanno controllato i processi di certificazione svolti dall’OCSI, unitamente al rispetto delle norme di qualità. Al termine, hanno stilato un rapporto finale della visita ispettiva, che è stato trasmesso al gruppo CCES (Common Criteria Executive Subcommittee) del CCRA per la discussione e l'approvazione.

Nel rapporto gli ispettori, oltre a ringraziare tutto il personale dell'OCSI per la fattiva collaborazione fornita nel corso della visita, al fine di rispondere a tutte le loro richieste e offrire soluzioni ai problemi sollevati, hanno rimarcato alcuni punti di forza da loro riscontrati nelle attività svolte dall'OCSI, che prevedono un continuo scambio di informazioni e di esperienze tra i certificatori durante lo svolgimento dei processi di certificazione. In particolare, è stata molto apprezzata la procedura adottata dall'OCSI per l'accreditamento dei propri Laboratori per la Valutazione della Sicurezza (LVS), che viene rilasciato solo dopo aver sottoposto i candidati valutatori di ogni laboratorio ad accurate verifiche di competenza preliminari, che consentono di ottenere una dettagliata matrice delle loro competenze. Ciò si differenzia dalla procedura seguita dalla maggior parte degli altri Schemi, che preferiscono invece controllare direttamente i nuovi valutatori durante l'esecuzione delle prime valutazioni, considerate per questo come valutazioni di prova. Tale procedura è stata ulteriormente apprezzata perché condivisa anche dai rappresentanti di alcuni laboratori, intervistati dagli ispettori durante la visita.

Il rapporto stilato dagli ispettori sulla valutazione ombra dell'OCSI è stato discusso a lungo e infine approvato proprio di recente, nella riunione del CCRA tenutasi dal 24 al 27 marzo 2009 a Baltimora (USA). Con l'approvazione del rapporto stilato dagli ispettori si è finalmente concluso l'iter della valutazione ombra. Successivamente, in data 21 settembre 2009, il CCMC (Common Criteria Management Committee), il massimo organo decisionale del CCRA, ha ratificato tale approvazione con la conseguente “promozione” dell'OCSI al rango di Schema Produttore di certificati, che consentirà anche alle certificazioni rilasciate in Italia di essere riconosciute in tutti i paesi aderenti al CCRA.

Tale promozione costituisce il raggiungimento di un obiettivo strategico non solo dell’OCSI, ma anche delle Istituzioni italiane nell’ambito della sicurezza (ANS e Ministero della Difesa), degli enti pubblici interessati a certificare i loro prodotti informatici e delle aziende private che operano a livello nazionale e internazionale negli ambiti della sicurezza.

Documento PDF Attestato di riconoscimento dell'Italia come Schema Produttore di Certificati