IMQ GROUP BLOGZINE | Per una vita di qualità, sicurezza & innovazione.

IMQ primo laboratorio accreditato per le verifiche di vulnerabilità (VA) sulle infrastrutture utilizzate dai fornitori di servizi fiduciari

72
72

Una garanzia per i fornitori e i fruitori di servizi fiduciari quali ad esempio SPID, Conservazione Digitale a Norma, Firma digitale e Marcatura Temporale

IMQ è il primo laboratorio a ottenere l’accreditamento UNI CEI EN ISO/IEC 17025 per le prove di Vulnerability Assessment sulle infrastrutture utilizzate dai fornitori di servizi fiduciari afferenti sia alla normativa nazionale (Conservazione digitale a norma e Gestione delle Identità digitali SPID) sia al Regolamento UE N. 910/2014 – eIDAS (generazione di certificati qualificati per firme e sigilli elettronici e per l’autenticazione di siti web e generazione di marche temporali, ….).

Un riconoscimento che apparentemente va ad aggiungersi ai già numerosi accreditamenti ottenuti da IMQ ma che in realtà comporta una concreta garanzia in termini di sicurezza informatica e di privacy.

Lo scopo dei Vulnerability Assessment è quello di fotografare il livello di sicurezza dei sistemi e dei servizi, alla ricerca di possibili “falle” che potrebbero permettere a terzi di acquisire illegittimamente il controllo di un’infrastruttura e carpirne o manipolarne le informazioni, ad esempio individuando e sfruttando errate configurazioni, vulnerabilità note, errata gestione delle credenziali, inefficacia del processo di patch management.

Tale attività, che assume un’indubbia rilevanza quando in gioco ci sono quegli operatori che erogano servizi fiduciari, è svolta con l’utilizzo di tecnologie specifiche che vengono di volta in volta configurate, perfezionate e personalizzate.

Se effettuato ciclicamente, questo processo consente di tenere sotto controllo il livello di sicurezza dei diversi elementi che compongono il sistema informativo.

La possibilità di condurre le verifiche di vulnerabilità attraverso una realtà riconosciuta da una terza parte quale laboratorio in possesso dei requisiti di competenza tecnica e dotazione strumentale, continuamente aggiornato sullo stato dell’arte, in grado di offrire un’esecuzione corretta delle procedure di prova, diventa dunque fondamentale quale elemento di garanzia.

L’accreditamento ottenuto rappresenta un traguardo di prestigio per IMQ” ha dichiarato Claudia Piccolo, ICT Security Department Manager di IMQ “che in questo modo conferma il suo ruolo di realtà unica nel panorama italiano, accreditata per operare valutazioni del livello di sicurezza informatica offerto da prodotti ed infrastrutture IT e OT in ambito civile e militare“.

IMQ è infatti l’unica azienda italiana ad essere:

  • dotata di un laboratorio accreditato in ambito civile da OCSI come Laboratorio di Valutazione formale della Sicurezza Informatica (LVS) e accreditato in ambito militare/governativo da DIS/UCSe come Centro di Valutazione della Sicurezza informatica (CE.VA.) secondo i Common Criteria (ISO/IEC 15408), standard alla base del rilascio da parte di OCSI e DIS/UCSe di certificazioni riconosciute a livello internazionale;
  • accreditata da ACCREDIA come Organismo di Certificazione di Sistemi di gestione secondo le norme ISO 9001 (qualità), ISO/IEC 27001/27017/27018 (sicurezza delle informazioni), ISO/IEC 20000-1 (gestione dei servizi IT), ISO/IEC 22301 (continuità operativa);
  • accreditata da ACCREDIA per la certificazione delle aziende che offrono servizi fiduciari ai sensi del Regolamento EIDAS, servizi di conservazione documentale a norma e servizi di gestione delle identità digitali SPID e per l’esecuzione delle prove di Vulnerability Assessment in questo ambito;
  • dotata di un laboratorio di test (CBTL) accreditato da IECEE per la certificazione ai sensi delle seguenti norme della famiglia IEC 62443 per la cybersecurity per l’automazione ed il controllo industriale:
  • IEC 62443-2-4 (Security Program requirements for IACS service providers)
  • IEC 62443-3-3 (System security requirements and security levels),
  • IEC 62443-4-1 (Secure product development lifecycle requirements)
Categorie dell’articolo