Apprendimento

Che cos'è Common Criteria?

Uno dei modi più efficaci per soddisfare i requisiti di sicurezza informatica e di conformità è utilizzare prodotti certificati secondo lo standard Common Criteria, riconosciuto a livello globale.

Non le conosci? Consentici una spiegazione.

Di seguito, esamineremo i principi fondamentali della valutazione Common Criteria: cos'è, perché è importante e in che modo la certificazione aiuta le organizzazioni a rafforzare la fiducia nel loro approccio alla sicurezza.

Cos'è la certificazione Common Criteria?

I Common Criteria per la valutazione della sicurezza delle tecnologie dell'informazione, spesso indicati semplicemente come Criteri comuni o CC, sono uno standard internazionale per la certificazione della sicurezza informatica. Basati sulla norma ISO/IEC 15408, il loro obiettivo è garantire che le funzionalità di sicurezza di un prodotto siano state testate e verificate in modo indipendente attraverso un processo rigoroso e ripetibile, appropriato al caso d'uso previsto.

Originariamente, i Common Criteria furono creati per unificare i sistemi di certificazione nazionali di Paesi quali Stati Uniti, Canada, Germania, Regno Unito, Francia, Australia e Nuova Zelanda. Oggi rappresentano un quadro globale completo, che offre il più ampio riconoscimento reciproco delle certificazioni di prodotti IT sicuri a livello mondiale.

Panoramica

Le soluzioni con certificazione Common Criteria sono utilizzate da governi, aziende e fornitori di servizi in tutto il mondo per proteggere le infrastrutture critiche.

Infatti, spesso è un prerequisito per molte soluzioni, compresi i servizi di firma digitale qualificati ai sensi del regolamento dell'Unione Europea sull'identificazione elettronica e i servizi fiduciari, meglio noto come eIDAS (aggiornato nel 2024 e ora denominato eIDAS 2). Inoltre, i clienti governativi americani richiedono spesso prodotti IT sicuri che siano nell'elenco dalla >National Information Assurance Partnership, che richiede la valutazione dei Common Criteria.

Lo standard Common Criteria garantisce che gli aspetti chiave della sicurezza del prodotto siano stati accuratamente implementati, collaudati, mantenuti e verificati in modo indipendente. Tra le principali aree di interesse:

  • Sviluppo di prodotti e funzioni di sicurezza correlate, inclusi design, architettura e implementazione di livello elevato.
  • Linee guida per l'implementazione e la preparazione sicure del prodotto
  • Gestione del ciclo di vita di documenti e processi relativi alla configurazione, alla consegna e al ritiro del prodotto
  • Collaudo delle funzioni di sicurezza in base ai requisiti di base.

Autorità di certificazione

I Common Criteria, come standard internazionale, sono regolamentati dai paesi partecipanti tramite organismi di certificazione indipendenti. Ogni ente è responsabile della valutazione e della certificazione dei prodotti in base ai requisiti dei Common Criteria, garantendo che le certificazioni soddisfino standard di garanzia coerenti e riconosciuti a livello globale.

Comprensione dei Common Criteria: Concetti chiave

I Common Criteria introducono diversi termini chiave che definiscono il processo di valutazione:

  • Obiettivo di valutazione (Target of Evaluation, TOE): Il prodotto o il sistema sottoposto a certificazione.
  • Obiettivo di sicurezza (Security Target, ST): Un documento che definisce le caratteristiche e gli obiettivi di sicurezza del TOE. L'ST consente ai fornitori di adattare la valutazione alle capacità specifiche del loro prodotto, spesso facendo riferimento a uno o più profili di protezione.
  • Profilo di protezione (PP): Un insieme standardizzato di requisiti di sicurezza per una categoria di prodotti (ad esempio, moduli di sicurezza hardware o moduli di attivazione della firma). I PP garantiscono criteri di valutazione coerenti e ripetibili.
  • Requisiti funzionali di sicurezza (SFR): Le funzionalità e le capacità di sicurezza specifiche del prodotto.
  • Requisiti di garanzia della sicurezza (Security Assurance Requirements, SAR): Le misure utilizzate per verificare che un prodotto soddisfi gli standard dichiarati.
  • Livello di garanzia della valutazione (Evaluation Assurance Level, EAL): Una valutazione numerica che indica la profondità e il rigore della valutazione, da EAL1 (base) a EAL7 (più rigorosa).

La procedura di certificazione Common Criteria

Tutti i prodotti e le soluzioni certificate Common Criteria devono essere collaudati e verificati in modo indipendente secondo uno specifico processo di valutazione:

  1. Lo sviluppatore deve prima completare la descrizione dell'obiettivo di sicurezza e presentare tutti i documenti di supporto che descrivono il prodotto, le sue funzionalità di sicurezza e le potenziali vulnerabilità.
  2. Facoltativamente, l'organizzazione può scegliere un Profilo di Protezione che funga da documento guida durante il processo di certificazione CC. La scelta di un PP potrebbe non essere necessaria, ma ciò implica impegnarsi in una valutazione approfondita, assicurandosi che il TOE sia allineato con il caso d'uso previsto.
  3. Successivamente, il laboratorio di certificazione indipendente deve valutare il prodotto per verificare se soddisfa lo standard Common Criteria. Una volta completata, raccoglie i risultati in un report di valutazione.
  4. Se il TOE soddisfa i requisiti minimi, l'organismo di certificazione rilascia un certificato Common Criteria.Una volta verificati, tutti i prodotti certificati Common Criteria vengono inseriti in un elenco nel portale Common Criteria.

Come funzionano i profili di protezione (PP)?

Anche se un profilo di protezione definisce requisiti di sicurezza standardizzati per una categoria di prodotto, in pratica determina anche il modo in cui tale prodotto viene valutato. Ogni PP delinea gli obiettivi di sicurezza, le potenziali minacce e le attività di valutazione che devono essere affrontate durante la certificazione.

I Qualified Signature Creation Device (QSCD) utilizzati per generare firme e sigilli elettronici qualificati, si basano in larga misura sui profili di protezione dei criteri comuni per garantire la creazione di firme sicure e affidabili.

I fornitori possono dichiarare la conformità a un PP esistente, ad esempio EN 419 221-5 per i moduli di sicurezza hardware (HSM) o EN 419 241-2 per i moduli di attivazione della firma (SAM), per dimostrare la conformità a standard di settore ben definiti. L'allineamento con un PP garantisce che il prodotto venga valutato in base a criteri coerenti e riconosciuti, consentendo il riconoscimento reciproco tra le giurisdizioni e semplificando gli audit nell'ambito dell'eIDAS e di altri quadri di fiducia digitale.

Dal punto di vista del Regolamento eIDAS 2, un QSCD sarà composto da un HSM con certificazione CC EAL4+ conforme al profilo di protezione EN 419 221-5, e da un SAM con certificazione CC EAL4+ conforme al profilo di protezione EN 419 241-2.

Aggiornamenti dei Common Criteria: Entrust ottiene la certificazione EAL4+

I Common Criteria continuano a evolversi per soddisfare le esigenze dei moderni quadri normativi in materia di sicurezza informatica e fiducia digitale, tra cui un allineamento più stretto con il Cybersecurity Act dell'UE e con il nascente sistema di certificazione della sicurezza informatica dell'UE. Questi sviluppi pongono l'accento sulla garanzia continua, sulla gestione delle vulnerabilità e sulla sicurezza del ciclo di vita dei prodotti certificati.

Nell'ambito di questi progressi, Entrust Signature Activation Module 1.1.1 ha ottenuto la certificazione Common Criteria EAL4+, integrata con ALC_FLR.2 (correzione dei difetti) e AVA_VAN.5 (analisi avanzata delle vulnerabilità) e rivendicando la certificazione PP EN 419 241-2.

Questa certificazione fornisce un elevato livello di garanzia della progettazione, dei test e della manutenzione continua della sicurezza del SAM, supportando la conformità alle normative europee sulla sicurezza informatica e sulla fiducia digitale, incluso l'eIDAS. I potenziamenti convalidano i processi maturi di gestione delle vulnerabilità di Entrust e la sua capacità di identificare, correggere e difendersi da scenari di attacco avanzati.

Realizza la fiducia digitale con soluzioni certificate

Gli HSM nShield di Entrust forniscono una radice di attendibilità sicura, testata e certificata secondo il rigoroso profilo di protezione EN 419 221-5 secondo Common Criteria, aiutando le organizzazioni a mantenere la conformità e a rafforzare la fiducia nelle loro operazioni crittografiche.

I nostri modelli Solo XC, Connect XC, nShield 5c e nShield 5s offrono protezione a prova di manomissione per la generazione di chiavi, la crittografia e la firma. Disponibili in diversi formati e come servizio, supportano diversi requisiti di distribuzione.

Per le organizzazioni che implementano servizi di firma remota, Entrust offre il Signature Activation Module 1.1.1, ora con certificazioneEAL4+. Se abbinato a un Entrust HSM, forma un Qualified Signature Creation Device conforme a eIDAS, consentendo firme e sigilli elettronici affidabili e basati su standard in tutti i settori regolamentati.

Esplora le sezioni

Esplora le sezioni

Conformati agli standard globali con soluzioni di sicurezza validate.
Standardizza le soluzioni di sicurezza

Vuoi avere maggiori informazioni sui nostri HSM nShield? Scarica oggi stesso il nostro ultimo eBook sui moduli di sicurezza hardware.

Scarica