Stefano Ramacciotti mi ha inviato un aggiornamento sui lavori del WG3 del
Sub Commitee 27 di ISO/IEC JTC1. Esso si occupa dello sviluppo di Security
Evaluation Assurance criteria, ovvero dei criteri di valutazione dei sistemi
informatici (compresi quelli crypto) per mezzo dei quali verificare la
fiducia, in termini di sicurezza, che può essere accordata ai prodotti in
esame.
Tra i principali standard vi sono i Common Criteria (standard ISO/IEC
15408), con la relativa metodologia (ISO/IEC 18045), gli standard a essi
collegati (come l'ISO/IEC 15292 sulle procedure di registrazione dei
Protection profile e l'ISO/IEC TR 15446, per le linee guida relative alla
costruzione di Protection Profiles (PP) e Security Targets (ST)), più altri
standard come l'ISO/IEC 19790 Security requirements for cryptographic
modules che rappresenta l'edizione internazionale dello standard
americano-canadese FIPS 140-2.
Nel corso della conferenza svoltasi a Incheon (Corea del Sud) dal 21 al 25
ottobre u.s., si è parlato soprattutto di:
- ISO/IEC 15408-1:2009 "Information technology -- Security techniques --
Evaluation criteria for IT security -- Part 1: Introduction and general
model": per il quale ne è stata chiesta la pubblicazione.
- ISO/IEC 17825 "Testing methods for the mitigation of non-invasive attack
classes against cryptographic modules": per il quale è stata chiesta la
votazione per il passaggio a CD.
- ISO/IEC 18045:2008 "Information technology -- Security techniques --
Methodology for IT security evaluation": per il quale ne è stata chiesta la
pubblicazione.
- ISO/IEC TR 19791:2010 "Information technology -- Security techniques --
Security assessment of operational systems": per la quale dovrà essere
preparato il primo Working Draft entro fine anno.
- ISO/IEC TR 20004 "Refining software vulnerability analysis under ISO/IEC
15408 and ISO/IEC 18045": rimodulata in modo da diventare la prima parte
della futura ISO/IEC 20004 e la 30127 "Detailing software penetration
testing under ISO/IEC 15408 and ISO/IEC 18045 vulnerability analysis" ne è
divenuta la seconda parte;
- ISO/IEC 24759:2008 "Information technology -- Security techniques -- Test
requirements for cryptographic modules": per il quale è stata chiesta la
votazione per la CD.
- "Study Period on High-assurance evaluation under ISO/IEC 15408/18045":
prolungato il periodo di studio.
- "Joint ISO/IEC JTC 1/SC 27/WG 3 and ISO/IEC JTC 1/SC 27/WG 5 Study Period
on security evaluation of anti spoofing techniques for biometrics":
prolungato il periodo di studio.
- SC 27 N13022 "Competence requirements for security evaluators, testers,
and validators": stabilito un periodo di studio.
- SC 27 N13026 "Guidance for developing security and privacy functional
requirements based on ISO/IEC 15408": richiesto un New Work Item Proposal.
Nessun commento:
Posta un commento