Gli standard di valutazione

Il principale standard di riferimento in uso presso il Ce.Va. Difesa è lo standard internazionale ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation), o CC.
Il Laboratorio è anche in grado di condurre valutazioni secondo i criteri europei della metodologia ITSEC (Information Technology Security Evaluation Criteria).
I criteri ITSEC, tuttavia, stanno perdendo via via di interesse, a vantaggio dei Common Criteria.
In ambito CC, tra gli Enti di Certificazione delle nazioni partecipanti, esiste un accordo di mutuo riconoscimento, a cui aderisce anche l'Italia, denominato "Common Criteria Recognition Arrangement" (CCRA), che prevede che siano riconosciuti automaticamente i certificati delle valutazioni prodotte.

Le principali differenze tra CC e ITSEC sono le seguenti:

·         i CC costituiscono uno standard ISO che fornisce un'univoca e concordata metodologia di valutazione (almeno fino a EAL4), valida a livello internazionale, mentre ITSEC solo a livello europeo;

·         i CC obbligano lo sviluppatore a scegliere i requisiti funzionali e di garanzia dai cataloghi descritti dai CC, che diventano una sorta di dizionario, rendendo la completezza del ST molto più formale e ripetibile;

nei CC si valutano anche i Protection Profile (PP), ossia della documentazione che descrive una tipologia omogenea di prodotti in modo indipendente dalla realizzazione. Per questo i Security Target hanno la possibilità di essere sviluppati sulla base di PP scelti.

• Pubblicazioni
• La certificazione
• Certificazione e livelli di garanzia
• Composed Assurance Packages (CAPs)
• Evaluation Assurance Levels (EALs)
• Link di interesse
• Il personale del Ce.Va. Difesa
• Schema di certificazione
• I servizi offerti dal Ce.Va. Difesa
• Gli standard di valutazione
• Valutazioni condotte dal Ce.Va. Difesa
• Organizzazione e sede