[Discussioni] Certificazioni ITSEC

Leandro Noferini lnoferin a cybervalley.org
Sab 25 Ago 2001 16:19:57 CEST 

    Giovanni> Anche se con notevole ritardo, spero di dire qualcosa di
    Giovanni> utile.

Speriamo di dirlo anch'io! 

;-)

    Giovanni> N.B.: messaggio lunghino e noiosetto.

Beh, proprio noioso direi di no! Ho letto di peggio! 

:-)

[Certificazione]
    Giovanni> Non ho avuto ancora modo di analizzare lo schema di certificazione,
    Giovanni> comunque da quello che ho visto la certificazione ITSEC (e CC) è sia una
    Giovanni> certificazione di prodotto che di sistema (?!?!) che riguarda la
    Giovanni> sicurezza informatica. Le norme della serie ISO 9000 sono per
    Giovanni> "certificare" i sistemi (per la gestione della qualità) _ma non_ i
    Giovanni> prodotti.
    Giovanni> Tanto per rendere evidente la differenza, io posso utilizzare nel mio
    Giovanni> sistema un prodotto certificato supersicuro, per esempio un sistema
    Giovanni> operativo; se poi però utilizzo una login root con password root... beh
    Giovanni> allora la sicurezza del mio sistema è prossima allo zero assoluto (=-270
    Giovanni> ;-) )

Vero, però l'idea  di De Meo credo si  riferisca ad una certificazione
di prodotto. 

D'altra parte negli  USA esiste già una certificazione  del genere che
riguardava l'uso di sistemi e programmi nella pubblica amministrazione
e che si riferisce sicuramente ai prodotti e non ai sistemi: di questa
certificazione non  ricordo il nome  (ovviamente! :-( ) ma  ricordo la
polemica sul conferimento di questa a Windows NT.

    >> Il C.N.R. dispone delle
    >> competenze per fornire alla comunità del software libero le certificazioni
    >> che occorreranno a norma di legge.

    Giovanni> Norma di legge? Quale legge?
    Giovanni> ITSEC è uno schema volontario, così come il CC che è diventato ISO
    Giovanni> 15408.

    Giovanni> Grazie mille per la disponibilità, avere a disposizione le risorse del
    Giovanni> CNR sarebbe una manna per il software libero. Comunque io sono
    Giovanni> assolutamente scettico circa l'utilità dei sistemi di omologazione...
    Giovanni> anzi sono assolutamente _contrario_, soprattutto nel campo del software
    Giovanni> libero.
    Giovanni> Due considerazioni:

    Giovanni> 1. i sistemi di omologazione sono troppo spesso utilizzati come barriere
    Giovanni> tecnologiche e 
    Giovanni> protezionistiche (in moltissimi capitolati si fornitura si richiede la
    Giovanni> certificazione effettuata presso un ente "amico" dell'azienda che emette
    Giovanni> l'appalto). Il cosiddetto "nuovo corso" della Comunità Europea
    Giovanni> costituisce una svolta in senso contrario.

    Giovanni> 2. è dimostrato dai fatti che il software libero fornisce maggiori
    Giovanni> garanzie 
    Giovanni>    (di prodotto) rispetto a quello proprietario: non serve certificarlo.

Ho  paura  però  che   una  posizione  del  genere  sia  difficilmente
difendibile nel caso di una pubblica amministrazione, dove contano più
le certificazioni scritte del "sentito dire", sia pur da grandi masse!

-- 
Ciao
leandro
Email: lnoferin a cybervalley.org
GPG Key fingerprint = 761A 69EA 813A CF14 FACD  1E79 AFF9 1B97 D88E 024C

More information about the discussioni mailing list