In relazione allo studio di fattibilità è stata elaborata una proposta di progetto di massima con l’ausilio della Fondazione Ugo Bordoni, organismo si ricerca in house del Ministero dello Sviluppo Economico che coopera con l’Istituto Superiore delle comunicazioni in vari settori con personale esperto nella sicurezza informatica e che fornirà al Ministero il supporto per l’avvio e sviluppo del CVCN sin dalle prime fasi di operatività.

Tipologie di componemti da certificare e valutare

La certificazione e valutazione dei componenti delle infrastrutture critiche come ampiamente condiviso negli incontri con la PCM e con gli stakeholder riguarderà la cosiddetta infrastruttura OT (operational technology), costituita dall'hardware ed il software dedicati al monitoraggio e/o il controllo diretto di dispositivi fisici tipici delle infrastrutture critiche quali valvole, pompe, ecc.
Per quanto riguarda i componenti da certificare con il nuovo Centro, è possibile fin da subito distinguere due tipi principali di prodotti da certificare:

  • Tipo 1: Componenti ICT ordinari: apparati di rete general purpose, applicazioni SW e firmware utilizzati anche al di fuori del contesto delle infrastrutture critiche e strategiche (ICS).
  • Tipo 2: Componenti ICT che utilizzano tecnologie e protocolli specifici del contesto ICS, quali SCADA e/o IACS.

Standard applicabili e metodologie di certificazione e valutazione

Per quanto riguarda gli standard applicabili e le metodologie di certificazione, sono disponibili due approcci possibili:

  • approccio basato su Standard ISO/IEC 15408 (Common Criteria): utilizzato nei due schemi nazionali di certificazione già esistenti per i prodotti ad uso civile e per i prodotti che trattano dati classificati o di vietata divulgazione.
  • Metodologia di certificazione «leggera», da definire in modo simile a quelle denominate CPA e CSPN (Gran Bretagna e Francia rispettivamente)

La certificazione ISO/IEC 15408 consente di certificare anche componenti ad elevata criticità. La metodologia di certificazione «leggera» consente di certificare, con spesa e tempi contenuti, anche componenti a bassa criticità che potrebbero essere facilmente attaccati per poi violare più facilmente i componenti critici.

Prima fase di operatività del CVCN

Nella prima fase di operatività del centro, sarà possibile assicurare da subito la certificazione di prodotti di Tipo 1, basandosi sullo Standard ISO/IEC 15408. Sarà inoltre avviata una sperimentazione per le certificazioni di prodotti di tipo 2 e l’elaborazione di uno schema leggero sulla falsa riga dei modelli inglese (CPA) e francese (CSPN).

Torna su