motivo esagonale viola
Apprendimento

Che cos'è Common Criteria?

Uno dei modi migliori per soddisfare i requisiti di sicurezza informatica e di conformità è quello di sfruttare un prodotto con la certificazione Common Criteria riconosciuta a livello mondiale.

Non le conosci? Consentici una spiegazione.

Di seguito ti illustreremo le basi della valutazione dei Common Criteria. Da cosa è e perché è importante a come un prodotto certificato può aiutare la tua azienda, scopriamo tutto quello che c'è da sapere.

Cos'è la certificazione Common Criteria?

Il Common Criteria for Information Technology Security Evaluation (abbreviato in Common Criteria o CC) è uno standard internazionale per la certificazione della sicurezza informatica. Basato sulla norma ISO/IEC 15408, il suo obiettivo principale è quello di garantire che i prodotti di sicurezza informatica siano stati valutati in modo rigoroso e ripetibile. In particolare, garantisce che ogni prodotto venga sottoposto a un processo di test commisurato al caso d'uso previsto.

In origine, il processo di certificazione CC è stato sviluppato per unificare e sostituire gli schemi di certificazione della sicurezza di vari Paesi. Ciò includeva Stati Uniti, Canada, Germania, Regno Unito, Francia, Australia e Nuova Zelanda. Ora, come quadro completo di sicurezza informatica, fornisce il più ampio riconoscimento reciproco di prodotti IT sicuri in tutto il mondo.

Panoramica

Le soluzioni certificate Common Criteria sono richieste da governi e aziende di tutto il mondo per proteggere le proprie infrastrutture mission-critical.

In effetti, è spesso un prerequisito per i servizi di Digital Signature qualificati ai sensi del regolamento dell'Unione europea sull'identificazione elettronica e sui servizi fiduciari, meglio noto come eIDAS. Inoltre, i clienti governativi americani richiedono spesso prodotti IT sicuri che siano nell'elenco dalla National Information Assurance Partnership (NIAP), che richiede la valutazione dei Common Criteria.

Perché? Perché lo standard Common Criteria garantisce che alcuni aspetti della sicurezza del prodotto siano stati accuratamente implementati, collaudati, mantenuti e verificati in modo indipendente. Tra i suoi requisiti di sicurezza, la certificazione CC si occupa di:

  • Sviluppo di prodotti e funzioni di sicurezza correlate, inclusi design, architettura e implementazione di livello elevato.
  • Linee guida per l'implementazione e la preparazione sicure del prodotto
  • Gestione del ciclo di vita di documenti e processi relativi alla configurazione, alla consegna e al ritiro del prodotto
  • Collaudo delle funzioni di sicurezza in base ai requisiti di base

Autorità di certificazione

In quanto standard internazionale, i Common Criteria sono gestiti da una partnership di vari Paesi attraverso organizzazioni chiamate Organismi di Certificazione. Ciascun Organismo di certificazione è responsabile della valutazione e della certificazione indipendente dei prodotti rispetto ai requisiti di sicurezza dei Common Criteria.

Comprensione dei Common Criteria: Concetti chiave

Esistono diversi termini e frasi specifici che caratterizzano lo standard Common Criteria. Ecco una breve descrizione di ciascuno di essi e del perché sono significativi

  • Obiettivo di valutazione (Target of Evaluation, TOE): Questo si riferisce semplicemente al prodotto sottoposto al processo di valutazione CC.
  • Obiettivo di sicurezza (Security Target, ST): Un Security Target è un documento che definisce le caratteristiche e le proprietà di sicurezza del TOE. L'ST consente ai fornitori di personalizzare la valutazione in base alle capacità specifiche della loro soluzione, aiutando al contempo i clienti a identificare quali caratteristiche di sicurezza sono state collaudate. Può riferirsi a uno o più Profili di Protezione (PP)
  • Profilo di protezione (PP): Si tratta di un documento creato per aiutare a identificare i requisiti di sicurezza per un tipo specifico di prodotto, come un Qualified Signature Creation Device. I fornitori spesso utilizzano un profilo di protezione come base per creare il proprio obiettivo di sicurezza.
  • Requisiti funzionali di sicurezza (SFR): Si riferisce a tutte le funzioni e le capacità di sicurezza uniche di un prodotto.
  • Requisiti di garanzia della sicurezza (Security Assurance Requirements, SAR): Un elenco SAR si utilizza per descrivere i passaggi necessari a garantire che un prodotto soddisfi gli standard dichiarati.
  • Livello di garanzia della valutazione (Evaluation Assurance Level, EAL): L'EAL rappresenta un punteggio numerico che descrive la profondità e il rigore del processo di valutazione. Più semplicemente, indica ai clienti con quanto rigore è stato testato un prodotto in base ai suoi requisiti di sicurezza. Gli EAL vanno da 1 (il più elementare) a 7 (il più rigoroso).

La procedura di certificazione Common Criteria

Tutti i prodotti e le soluzioni certificate Common Criteria devono essere collaudati e verificati in modo indipendente secondo uno specifico processo di valutazione:

  1. Lo sviluppatore deve prima completare la descrizione dell'obiettivo di sicurezza e presentare tutti i documenti di supporto che illustrano il prodotto, le sue funzionalità di sicurezza e le potenziali vulnerabilità.
  2. Facoltativamente, l'organizzazione può scegliere un Profilo di Protezione che funga da documento guida durante il processo di certificazione CC. La scelta di un PP potrebbe non essere necessaria, ma implica impegnarsi in una valutazione approfondita, assicurandosi che il TOE sia allineato con il caso d'uso previsto.
  3. Successivamente, un organismo di certificazione indipendente deve valutare il prodotto per verificare se soddisfa lo standard Common Criteria. Una volta completata, raccoglie i risultati in un report di valutazione.
  4. Se il TOE soddisfa i requisiti minimi, l'organismo di certificazione rilascia un certificato Common Criteria.

Una volta verificati, tutti i prodotti certificati Common Criteria vengono inseriti in un elenco nel portale Common Criteria.

Sfrutta i Common Criteria con gli HSM Entrust nShield e il modulo di attivazione della firma per i tuoi progetti di firma digitale

I moduli di sicurezza hardware (HSM) di Entrust nShield offrono una root of trust sicura che è stata collaudate e certificata in base al rigoroso standard Common Criteria, e contribuirà a farti rispettare le normative e dandoti la fiducia necessaria nella tua soluzione di sicurezza.

Con la certificazione CC, i nostri Solo XC, Connect X e nShield 5HSM sono verificati per soddisfare i requisiti della norma EN 419 221-5 Common Criteria Protection Profile, lo standard del settore per tutti i moduli di sicurezza hardware. Le nostre soluzioni ti aiutano a garantire la sicurezza, permettendoti di generare asset crittografici conformi a eIDAS.

Questi HSM forniscono un ambiente rafforzato a prova di manomissione per eseguire attività sicure di elaborazione crittografica, generazione e protezione delle chiavi, crittografia e molto altro. Disponibili in tre formati e in un'offerta as-a-service, gli HSM Entrust nShield supportano una varietà di casi di implementazione.

Se desideri implementare un servizio di firma remota conforme a eIDAS, Entrust offre anche un Modulo di attivazione della firma (SAM) certificato secondo i Common Criteria CEN EN 419 241-2. Puoi combinarlo con uno dei nostri HSM certificati CC per implementare un Qualified Signature Creation Device (QSCD) conforme a eIDAS.

Vuoi avere maggiori informazioni sui nostri HSM nShield? Scarica oggi stesso il nostro ultimo eBook sui moduli di sicurezza hardware.

Scarica