Homepage
Torna alla panoramica

Common Criteria / EAL

I Common Criteria (CC) sono uno standard internazionale per la verifica e la valutazione delle proprietà di sicurezza di prodotti e sistemi IT, pubblicato sotto la norma ISO/IEC 15408. Sono stati sviluppati negli anni '90 congiuntamente da Germania, USA, Canada, Francia e Gran Bretagna per creare una base uniforme e internazionalmente riconosciuta per le valutazioni della sicurezza IT. L'obiettivo è confermare in modo verificabile, tramite organismi di verifica indipendenti, che un prodotto soddisfi effettivamente le funzioni di sicurezza dichiarate. In Germania, l'autorità di certificazione competente è il Bundesamt für Sicherheit in der Informationstechnik (BSI).

Il sistema di valutazione centrale dei Common Criteria sono gli Evaluation Assurance Level, abbreviati EAL, che vanno da EAL1 a EAL7. Con il crescere del livello aumentano la profondità e l'ampiezza della verifica, nonché i requisiti metodologici della valutazione. Mentre EAL1 rappresenta una verifica funzionale di base, EAL4 richiede già l'analisi del codice sorgente da parte di valutatori specializzati. I livelli a partire da EAL5 sono, per la loro complessità, rilevanti in pratica principalmente per applicazioni ad alta sicurezza in ambito militare e governativo. A livello internazionale i certificati fino a EAL2 vengono riconosciuti reciprocamente; all'interno dell'Europa il riconoscimento reciproco tramite l'accordo SOG-IS si estende fino a EAL4.

In ambito aziendale, una certificazione Common Criteria è particolarmente rilevante quando i prodotti IT devono essere impiegati in settori critici per la sicurezza come enti pubblici, infrastrutture critiche o sanità. Molti committenti pubblici in Germania richiedono per determinate categorie di prodotti una certificazione CC come requisito per l'acquisizione. Anche per i produttori di software di sicurezza, firewall o soluzioni MDM, una certificazione Common Criteria è un importante segnale di qualità nei confronti di clienti esigenti del settore pubblico.

Un vantaggio fondamentale della certificazione Common Criteria è l'affidabilità oggettiva di un prodotto, confermata da organismi indipendenti. Invece di dover fare affidamento sulle dichiarazioni del produttore, acquirenti e responsabili IT ottengono una valutazione neutrale e verificata sulle effettive prestazioni di sicurezza. Proprio in tempi di crescenti minacce informatiche e requisiti di conformità più stringenti imposti da normative come NIS2, questa attestazione indipendente acquista sempre maggiore importanza.

Per le organizzazioni che valutano prodotti IT per l'impiego in ambienti critici per la sicurezza, la certificazione Common Criteria è un criterio di selezione centrale. Il ruolo che svolge nella scelta di una soluzione di gestione dei dispositivi adeguata può essere approfondito seguendo il link.