[Discussioni] Certificazioni ITSEC

Giovanni Biscuolo giovanni.biscuolo a libero.it
Ven 24 Ago 2001 11:49:15 CEST 

Anche se con notevole ritardo, spero di dire qualcosa di
utile.

N.B.: messaggio lunghino e noiosetto.

> Message: 5
> Date: Thu, 12 Jul 2001 12:17:21 +0200
> From: Angelo Raffaele Meo <meo a polito.it>
> To: discussioni a softwarelibero.it
> Subject: [Discussioni] chiarimenti
> Reply-To: discussioni a softwarelibero.it
> 
> Cari amici,

Grazie per gli amici! ...
 
> vi debbo quattro chiarimenti.

... e grazie per i chiarimenti

> 
> 1) Freeware, free, opensource
> 
> La proposta di Programma Nazionale di Ricerca che trovate su alcuni siti è
> vecchia di quattro anni. Nel 1997 vari aspetti della questione non mi erano
> chiari (ho passato infatti la vita a incollare chip sulle piastre) e mi
> sembrava che la questione del prezzo fosse la più importante. Sbagliavo.
> Stallman e Rubini (che ringrazio di cuore per la passione con cui mi ha
> difeso)mi hanno indicato la retta via.
> Come sapete, la mia proposta è stata bocciata, ma certamente non per il
> peccato originale del freeware o per altri errori storici. Ci sto riprovando
> in vari contesti e mi sembra di aver chiarito questi punti in modo corretto,
> secondo il credo dominante nella chiosa del software libero. Ho anche
> scritto un libro che Bollati Boringhieri intende proporre ad ottobre e conto
> su Rubini che mi ha promesso una severa e attenta revisione.
> Nel mese di luglio intendo riformulare la proposta di programma nazionale.
> Ve la sottoporrò.

Che bello! Potremmo dare il nostro contributo ad un programma così
importante.
Non posso parlare a nome di tutti tutti, ma sono sicuro che potrà
contare su un'ampia collaborazione.
 
> 2)Certificazione
> 
> Non ho mai trovato né fra i fedelissimi - i miei studenti - né fra gli
> oppositori di destra e di sinistra una sola persona consenziente. Tuttavia,
> su questa questione, a differenza della questione del freeware, sono
> profondamente convinto di avere ragione.
> Infatti, nei contesti più importanti è obbligatoria, o sta per divenire, la
> certificazione ITSEC in Europa o CC in USA.

Non ne avevo ancora sentito parlare. Mi sono informato su
http://itsec.gov.uk ed ho cominciato a capire.
Lavoro nel campo dell'assicurazione qualità - norme della serie ISO 9000
- dal 1992, e sono molto interessato alla questione.
Due domande:
1 cosa vuol dire "nei contesti più importanti"?
2 in che modo stà diventando obbligatoria la certificazione?

> Non vorrei sembrarvi
> presuntuoso, ma quella certificazione (così come l'ISO 9000 su cui si
> appoggia) mi pare una truffa clamorosa.

Ho trovato un po' di riferimenti:
http://itsec.gov.uk
http://commoncriteria.org
http://www.aipa.it/attivita[2/progettiintersettoriali[10/sicurezza[6/itsec[1/
http://www.aipa.it/attivita[2/progettiintersettoriali[10/sicurezza[6/pianosic[2/
(spero che gli ultimi 2 URL funzionino, altrimenti cercate ITSEC nel
sito AIPA)

In Italia si occuopa della faccenda l'"Autorità Nazionale per la
Sicurezza", ovvero il Presidente del Consiglio che delega all'Ufficio
Centrale per la Sicurezza del CESIS i compiti di attuazione (rif.
http://www.rdn.it/si/a.htm).

Non ho avuto ancora modo di analizzare lo schema di certificazione,
comunque da quello che ho visto la certificazione ITSEC (e CC) è sia una
certificazione di prodotto che di sistema (?!?!) che riguarda la
sicurezza informatica. Le norme della serie ISO 9000 sono per
"certificare" i sistemi (per la gestione della qualità) _ma non_ i
prodotti.
Tanto per rendere evidente la differenza, io posso utilizzare nel mio
sistema un prodotto certificato supersicuro, per esempio un sistema
operativo; se poi però utilizzo una login root con password root... beh
allora la sicurezza del mio sistema è prossima allo zero assoluto (=-270
;-) )
No so fino a che punto una norma per certificare i prodotti possa essere
basata su una della serie ISO 9000: vedrò di studiare.

Non so se "truffa clamorosa" si riferisce anche alla cosiddetta "ISO
9000" (nel qual caso non sono assolutamente d'accordo anche se ci
sarebbe da aprire un piccolo dibattito... che eviterei), ma per ITSEC
direi che è il caso di approfondire la cosa.

> Se un certificato costa almeno mezzo
> miliardo, quanto software libero potrà essere adottato nella Pubblica
> Amministrazione o nelle aziende più importanti?

Con questo lei intende dire che la certificazione ITSEC (o CC) è un
requisito già incluso nei capitolati di fornitura delle pubbliche
amministrazioni?
Potrebbe darci qualche riferimento?
Chi sarebbe l'ente certificatore in Italia (o in Europa)?

> Il C.N.R. dispone delle
> competenze per fornire alla comunità del software libero le certificazioni
> che occorreranno a norma di legge.

Norma di legge? Quale legge?
ITSEC è uno schema volontario, così come il CC che è diventato ISO
15408.

Grazie mille per la disponibilità, avere a disposizione le risorse del
CNR sarebbe una manna per il software libero. Comunque io sono
assolutamente scettico circa l'utilità dei sistemi di omologazione...
anzi sono assolutamente _contrario_, soprattutto nel campo del software
libero.
Due considerazioni:

1. i sistemi di omologazione sono troppo spesso utilizzati come barriere
tecnologiche e 
protezionistiche (in moltissimi capitolati si fornitura si richiede la
certificazione effettuata presso un ente "amico" dell'azienda che emette
l'appalto). Il cosiddetto "nuovo corso" della Comunità Europea
costituisce una svolta in senso contrario.

2. è dimostrato dai fatti che il software libero fornisce maggiori
garanzie 
   (di prodotto) rispetto a quello proprietario: non serve certificarlo.

[omissis]

Questo argomento merita di essere discusso ed approfondito.
Potete contare fin d'ora su di me per lo studio e l'approfondimento
necessari.

CiaoG.

More information about the discussioni mailing list