header-banner-image

Cybersecuryty EN 17640:2022

Fixed-time cybersecurity evaluation methodology for ICT products

Data: 08 Novembre 2022 Ore: 13:07

UNI: Standard per la cybersecurity: una novità

Gli attacchi informatici sono le armi del 21esimo secolo: viaggiano su internet, si annidano tra i codici, ma i loro colpi hanno effetti anche catastrofici sul mondo reale. I loro obiettivi? I dati di un’azienda, il sistema operativo di un ospedale, gli archivi digitali di un'intera nazione...

Anche per questo l'ENISA (l'Agenzia dell'Unione europea per la cibersicurezza), il cui ruolo è stato rafforzato dal regolamento (UE) 2019/881, lavora continuando a sviluppare sistemi di certificazione della cybersecurity per sostenere l'economia e creare fiducia e sicurezza nei prodotti e nei serviz
In questo, ancor più che in altri campi, sviluppare standard condivisi è fondamentale per il risultato che si intende raggiungere.

Una delle ultime norme su questo delicato tema è la EN 17640 "Fixed-time cybersecurity evaluation methodology for ICT products (FiT CEM)" (Metodologia di valutazione della sicurezza informatica 'a tempo fisso' per i prodotti ICT), pubblicata lo scorso 21 ottobre.
Il nuovo standard europeo descrive il metodo per analizzare la sicurezza informatica dei prodotti ICT in un tempo predefinito, ovvero entro un arco di tempo stabilito all'inizio dell'esame.
Questa valutazione fa solitamente parte delle procedure di certificazione dei prodotti ICT.

Si tratta della prima norma che implementa già in fase di progettazione i requisiti dell'European Cybersecurity Act (CSA), che stabilisce le regole per i futuri schemi di certificazione della cibersicurezza in Europa, fornendo gli elementi costitutivi necessari per condurre valutazioni ai tre livelli di garanzia - "basic", "substantial" e "high" - insieme a ulteriori requisiti legali.

Allo stesso tempo, lo standard può essere adattato alle esigenze di mercati specifici che richiedono la certificazione della sicurezza informatica o in generale la valutazione della sicurezza.
La EN 17640 è infatti compatibile con diversi schemi di certificazione già esistenti (tra questi il francese CSPN, lo spagnolo Lince, il tedesco BSZ e l'olandese BSPA), pertanto nell'individuare una adeguata metodologia di valutazione gli esperti del CEN-CLC/JTC 13/WG 3 "Security evaluation and assessment" si sono avvalsi di un'esperienza sul campo più che decennale.

Grazie a questo nuovo standard, gli sviluppatori di prodotti e gli utenti di prodotti certificati potranno informarsi su come eseguire le valutazioni dei prodotti di cybersecurity. Allo stesso tempo, le parti coinvolte nello sviluppo di schemi di certificazione della sicurezza informatica in Europa secondo il CSA potranno beneficiare di uno strumento flessibile e collaudato per sviluppare i propri schemi.

In ambito nazionale, i lavori di normazione per il settore ICT (Information and Communication Technologies) sono seguiti da UNINFO - Tecnologie Informatiche e loro applicazioni, Ente federato ad UNI.


EN 17640:2022
Fixed-time cybersecurity evaluation methodology for ICT products

This document describes a cybersecurity evaluation methodology that can be implemented using pre-defined time and workload resources, for ICT products. It is intended to be applicable for all three assurance levels defined in the CSA (i.e. basic, substantial and high). The methodology comprises different evaluation blocks including assessment activities that comply with the evaluation requirements of the CSA for the mentioned three assurance levels. Where appropriate, it can be applied both to third-party evaluation and self-assessment.

Metodologia di valutazione della sicurezza informatica a tempo fisso per i prodotti ICT
Questo documento descrive una metodologia di valutazione della sicurezza informatica che può essere implementata utilizzando risorse di tempo e carico di lavoro predefinite, per i prodotti ICT. È destinato ad essere applicabile a tutti e tre i livelli di garanzia definiti nel CSA (ovvero di base, sostanziale e alto). La metodologia comprende diversi blocchi di valutazione, comprese le attività di valutazione che soddisfano i requisiti di valutazione della CSA per i tre livelli di garanzia menzionati. Ove appropriato, può essere applicato sia alla valutazione di terze parti che all'autovalutazione.


NEWS

Cybersecurity-Sicurezza Informatica

Sicurezza dei Dati e delle Informazioni
Accredia: Cybersecurity, l’accreditamento protegge la sicurezza dei dati e la privacy.