Dipartimento di Ingegneria informatica, automatica e gestionale

SOMMARIO: Nell'approccio olistico alla sicurezza degli asset informativi, un punto cardine è rappresentato dall'utilizzo di contromisure affidabili che risolvono il "problema di sicurezza" da affrontare; la certificazione della sicurezza logica è il processo indipendente ed oggettivo che esprime il livello di garanzia nell'affidabilità di prodotti e sistemi ICT. Il seminario illustrerà il processo di certificazione e di valutazione, in riferimento specifico alla normativa italiana, per sistemi e prodotti che trattano dati classificati e non classificati. Saranno introdotti con un breve excursus i criteri internazionali di valutazione ITSEC e Common Criteria (ISO 15408); sarà rimarcata l'applicabilità dei Common Criteria part 2 anche in fase di progettazione della sicurezza di prodotti e sistemi ICT. Concluderà l'intervento la descrizione degli accordi di mutuo riconoscimento e delle relative tendenze evolutive tra nazioni del CCRA e del SOG.IS . Curriculum Giacinta Santo Laureata in Scienze dell'Informazione con il massimo dei voti, dopo alcuni anni di esperienza di sviluppo ed analisi di software di system integration e di security, ha cominciato ad interessarsi di valutazioni di sicurezza ICT nel 1997, quando sono stati costituiti in Italia i primi laboratori di valutazione della sicurezza CE.VA . Inforsud, che ha variato denominazioni nel tempo fino ad essere oggi parte della Business Unit Defence & CyberSec di SELTA S.p.A.. Interessata ad un approccio metodologico di qualità nella verifica indipendente di rispondenza a standard internazionali, è stata Auditor di Qualità secondo la ISO 9000, Responsabile Qualità secondo la ISO 17025 e si è certificata Lead Auditor secondo la BS7799 (poi ISO 27000). Ha rivestito incarichi di assistente, valutatore, auditor di qualità, responsabile di valutazione, responsabile tecnico, responsabile di qualità e direttore del CE.VA ., ruolo che ricopre dal 2002, contribuendo ad ottenere e mantenere l'accreditamento del laboratorio presso la Presidenza del Consiglio dei Ministri - D.I.S., con vari compiti anche nell'ambito del DL 124/2007. Ha partecipato attivamente alla certificazione del Laboratorio di Valutazione della Sicurezza (LVS), omologo del CE.VA . per sistemi e prodotti che non trattano dati classificati, accreditato dal 2006 dall'Ente di Certificazione OCSI del Ministero dello Sviluppo Economico. Come Responsabile Tecnico del LVS, incarico che riveste tutt'ora, ha preso parte alla verifica di "Shadow Certification", che ha consentito nel 2009 all'Italia di essere riconosciuta "producer" di certificati Common Criteria, riconosciuti da tutte le nazioni aderenti al Common Criteria Recognition Arrangement (CCRA). Nel CE.VA . e nel LVS ha partecipato alla certificazione di prodotti e sistemi a vari livelli di garanzia secondo gli Schemi Nazionali, rispetto ai criteri internazionali ITSEC e Common Criteria; ha inoltre tenuto corsi di formazione e seminari sullo Schema Nazionale, sui criteri di valutazione e sulla relativa applicazione da parte di fornitori e di valutatori.