Pagina 2 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 Questa pagina è lasciata intenzionalmente vuota Pagina 3 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 Ministero dello Sviluppo Economico Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione Rapporto di Certificazione Sottosistema Videosorveglianza Comunale (SVC) v1.0 OCSI/CERT/TEC/02/2014/RC Versione 1.0 24 novembre 2015 Pagina 4 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 Questa pagina è lasciata intenzionalmente vuota Pagina 5 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 1 Revisioni del documento Versione Autori Modifiche Data 1.0 OCSI Prima emissione 24/11/2015 Pagina 6 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 2 Indice 1 Revisioni del documento .............................................................................................5 2 Indice...........................................................................................................................6 3 Elenco degli acronimi ..................................................................................................7 4 Riferimenti ...................................................................................................................8 5 Riconoscimento del certificato...................................................................................10 5.1 Riconoscimento di certificati CC in ambito europeo (SOGIS-MRA) ..................10 5.2 Riconoscimento di certificati CC in ambito internazionale (CCRA)....................10 6 Dichiarazione di certificazione...................................................................................11 7 Riepilogo della valutazione........................................................................................12 7.1 Introduzione.......................................................................................................12 7.2 Identificazione sintetica della certificazione .......................................................12 7.3 Prodotto valutato ...............................................................................................12 7.3.1 Architettura dell'ODV ....................................................................................14 7.3.2 Caratteristiche di Sicurezza dell’ODV...........................................................15 7.3.3 Configurazioni dell’ODV................................................................................16 7.4 Documentazione................................................................................................16 7.5 Requisiti funzionali e di garanzia .......................................................................17 7.6 Conduzione della valutazione............................................................................17 7.7 Considerazioni generali sulla validità della certificazione ..................................17 8 Esito della valutazione...............................................................................................18 8.1 Risultato della valutazione.................................................................................18 8.2 Raccomandazioni..............................................................................................19 9 Appendice A – Indicazioni per l’uso sicuro del prodotto ............................................20 10 Appendice B – Configurazione valutata ....................................................................21 11 Appendice C – Attività di Test ...................................................................................22 11.1 Configurazione per i Test ..................................................................................22 11.2 Test funzionali ed indipendenti svolti dai Valutatori ...........................................22 11.3 Analisi delle vulnerabilità e test di intrusione .....................................................23 Pagina 7 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 3 Elenco degli acronimi CC Common Criteria CCRA Common Criteria Recognition Arrangement CEM Common Evaluation Methodology COTS Commercial Off The Shelf DPCM Decreto del Presidente del Consiglio dei Ministri EAL Evaluation Assurance Level LGP Linea Guida Provvisoria LVS Laboratorio per la Valutazione della Sicurezza NIS Nota Informativa dello Schema OCSI Organismo di Certificazione della Sicurezza Informatica ODV Oggetto della Valutazione PP Profilo di Protezione RFV Rapporto Finale di Valutazione SAR Security Assurance Requirement SFR Security Functional Requirement SW Software TDS Traguardo di Sicurezza TOE Target of Evaluation TSF TOE Security Functionality TSFI TOE Security Functionality Interface Pagina 8 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 4 Riferimenti [CC1] CCMB-2012-09-001, “Common Criteria for Information Technology Security Evaluation, Part 1 – Introduction and general model”, Version 3.1, Revision 4, September 2012 [CC2] CCMB-2012-09-002, “Common Criteria for Information Technology Security Evaluation, Part 2 – Security functional components”, Version 3.1, Revision 4, September 2012 [CC3] CCMB-2012-09-003, “Common Criteria for Information Technology Security Evaluation, Part 3 – Security assurance components”, Version 3.1, Revision 4, September 2012 [CCRA] “Arrangement on the Recognition of Common Criteria Certificates In the field of Information Technology Security”, July 2014 [CCRA-2000] “Arrangement on the Recognition of Common Criteria Certificates In the field of Information Technology Security”, May 2000 [CEM] CCMB-2012-09-004, “Common Methodology for Information Technology Security Evaluation – Evaluation methodology”, Version 3.1, Revision 4, September 2012 [LGP1] Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione - Descrizione Generale dello Schema Nazionale - Linee Guida Provvisorie - parte 1 – LGP1 versione 1.0, Dicembre 2004 [LGP2] Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione - Accreditamento degli LVS e abilitazione degli Assistenti - Linee Guida Provvisorie - parte 2 – LGP2 versione 1.0, Dicembre 2004 [LGP3] Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione - Procedure di valutazione - Linee Guida Provvisorie - parte 3 – LGP3, versione 1.0, Dicembre 2004 [NIS1] Organismo di certificazione della sicurezza informatica, Nota Informativa dello Schema N. 1/13 – Modifiche alla LGP1, versione 1.0, Novembre 2013 [NIS2] Organismo di certificazione della sicurezza informatica, Nota Informativa dello Schema N. 2/13 – Modifiche alla LGP2, versione 1.0, Novembre 2013 [NIS3] Organismo di certificazione della sicurezza informatica, Nota Informativa dello Schema N. 3/13 – Modifiche alla LGP3, versione 1.0, Novembre 2013 [SOGIS] “Mutual Recognition Agreement of Information Technology Security Evaluation Certificates”, Version 3, January 2010 Pagina 9 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 [CONF] Lista di Configurazione Sottosistema SVC, v1.0, 28 settembre 2015 [MAN] Manuale Utente Sottosistema SVC, v2.0, 31 agosto 2015 [RF1] Capitolato speciale di appalto Progetto Vi.So.Re Trevigiano [RFV] Rapporto Finale di Valutazione dell’ODV “Sottosistema Videosorveglianza Comunale (SVC) v1.0”, v1.0, 30 ottobre 2015 [TDS] Security Target del “Sottosistema Videosorveglianza Comunale (SVC) v1.0”, v1.7, 30 settembre 2015 Pagina 10 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 5 Riconoscimento del certificato 5.1 Riconoscimento di certificati CC in ambito europeo (SOGIS-MRA) L'accordo di mutuo riconoscimento in ambito europeo (SOGIS-MRA, versione 3, [SOGIS]) è entrato in vigore nel mese di aprile 2010 e prevede il riconoscimento reciproco dei certificati rilasciati in base ai Common Criteria (CC) per livelli di valutazione fino a EAL4 incluso per tutti i prodotti IT. Per i soli prodotti relativi a specifici domini tecnici è previsto il riconoscimento anche per livelli di valutazione superiori a EAL4. L'elenco aggiornato delle nazioni firmatarie e dei domini tecnici per i quali si applica il riconoscimento più elevato e altri dettagli sono disponibili su http://www.sogisportal.eu. Il logo SOGIS-MRA stampato sul certificato indica che è riconosciuto dai paesi firmatari secondo i termini dell’accordo. Il presente certificato è riconosciuto in ambito SOGIS-MRA per tutti i componenti di assurance indicati. 5.2 Riconoscimento di certificati CC in ambito internazionale (CCRA) La nuova versione dell’accordo internazionale di mutuo riconoscimento dei certificati rilasciati in base ai CC (Common Criteria Recognition Arrangement, [CCRA]) è stata ratificata l’8 settembre 2014. Si applica ai certificati CC conformi ai Profili di Protezione “collaborativi" (cPP), previsti fino al livello EAL4, o ai certificati basati su componenti di garanzia fino al livello EAL 2, con l’eventuale aggiunta della famiglia Flaw Remediation (ALC_FLR). I certificati rilasciati prima dell’8 settembre 2014 sono ancora riconosciuti secondo le regole del precedente accordo [CCRA-2000], cioè fino al livello EAL 4 (e ALC_FLR). Queste stesse regole del CCRA-2000 si applicano ai processi di certificazione in corso alla data dell’8 settembre 2014, come pure al mantenimento e alla ri-certificazione di vecchi certificati, per un periodo di transizione fino all’8 settembre 2017. L'elenco aggiornato delle nazioni firmatarie e dei Profili di Protezione “collaborativi" (cPP) e altri dettagli sono disponibili su http://www.commoncriteriaportal.org. Il logo CCRA stampato sul certificato indica che è riconosciuto dai paesi firmatari secondo i termini dell’accordo. Poiché il prodotto certificato è stato accettato nel processo di certificazione prima dell’8 settembre 2014, il presente certificato è riconosciuto secondo le regole del precedente accordo [CCRA-2000], cioè per tutti i componenti di assurance indicati. Pagina 11 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 6 Dichiarazione di certificazione L’oggetto della valutazione (ODV) è il prodotto “Sottosistema Videosorveglianza Comunale (SVC) v1.0”, sviluppato dalla società Kapsch TrafficCom S.r.l. La valutazione è stata di tipo concomitante, cioè effettuata durante lo sviluppo dell’ODV, ed è stata condotta in accordo ai requisiti stabiliti dallo Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell'informazione ed espressi nelle Linee Guida Provvisorie [LGP1, LGP2, LGP3] e nelle Note Informative dello Schema [NIS1, NIS2, NIS3]. Lo Schema è gestito dall’Organismo di Certificazione della Sicurezza Informatica, istituito con il DPCM del 30 ottobre 2003 (G.U. n.98 del 27 aprile 2004). Obiettivo della valutazione è fornire garanzia sull’efficacia dell’ODV nel rispettare quanto dichiarato nel Traguardo di Sicurezza [TDS], la cui lettura è consigliata ai potenziali acquirenti. Le attività relative al processo di valutazione sono state eseguite in accordo alla Parte 3 dei Common Criteria [CC3] e alla Common Evaluation Methodology [CEM]. L’ODV è risultato conforme ai requisiti della Parte 3 dei CC v 3.1 per il livello di garanzia EAL1, in conformità a quanto riportato nel Traguardo di Sicurezza [TDS] e nella configurazione riportata in Appendice B di questo Rapporto di Certificazione. La pubblicazione del Rapporto di Certificazione è la conferma che il processo di valutazione è stato condotto in modo conforme a quanto richiesto dai criteri di valutazione Common Criteria – ISO/IEC 15408 ([CC1], [CC2], [CC3]) e dalle procedure indicate dal Common Criteria Recognition Arrangement [CCRA] e che nessuna vulnerabilità sfruttabile è stata trovata. Tuttavia l’Organismo di Certificazione con tale documento non esprime alcun tipo di sostegno o promozione dell’ODV. Pagina 12 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 7 Riepilogo della valutazione 7.1 Introduzione Questo Rapporto di Certificazione specifica l’esito della valutazione di sicurezza del prodotto “Sottosistema Videosorveglianza Comunale (SVC) v1.0” secondo i Common Criteria, ed è finalizzato a fornire indicazioni ai potenziali acquirenti per giudicare l’idoneità delle caratteristiche di sicurezza dell’ODV rispetto ai propri requisiti. Il presente Rapporto di Certificazione deve essere consultato congiuntamente al Traguardo di Sicurezza [TDS], che specifica i requisiti funzionali e di garanzia e l’ambiente di utilizzo previsto. 7.2 Identificazione sintetica della certificazione Nome dell’ODV Sottosistema Videosorveglianza Comunale (SVC) v1.0 Traguardo di Sicurezza Security Target del “Sottosistema Videosorveglianza Comunale (SVC) v1.0”, v1.7, 30 settembre 2015 Livello di garanzia EAL1 Fornitore Kapsch TrafficCom S.r.l. Committente Kapsch TrafficCom S.r.l. LVS Technis Blu S.r.l. Versione dei CC 3.1 Rev. 4 Conformità a PP Nessuna conformità dichiarata Data di inizio della valutazione 28 gennaio 2014 Data di fine della valutazione 30 ottobre 2015 I risultati della certificazione si applicano unicamente alla versione del prodotto indicata nel presente Rapporto di Certificazione e a condizione che siano rispettate le ipotesi sull'ambiente descritte nel Traguardo di Sicurezza [TDS]. 7.3 Prodotto valutato In questo paragrafo vengono sintetizzate le principali caratteristiche funzionali e di sicurezza dell'ODV; per una descrizione dettagliata, si rimanda al Traguardo di Sicurezza [TDS]. L'ODV “Sottosistema Videosorveglianza Comunale (SVC) v1.0”, nel seguito anche indicato semplicemente come SVC, fa parte del più ampio Progetto Vi.So.Re. Trevigiano, costituito da tre diversi sottosistemi che, integrati tra di loro, e unitamente al proprio ambiente operativo, si prefiggono l'obiettivo di rispondere ai requisiti ed alle funzioni operative previste nel Capitolato Speciale di Appalto Progetto Vi.So.Re. Trevigiano [RF1]. Pagina 13 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 La Figura 1 mostra l’ambiente operativo complessivo del progetto Vi.So.Re. Trevigiano, all’interno del quale l’ODV agisce, e in particolare i tre sottosistemi che lo costituiscono: il sottosistema SVC, qui descritto, dedicato alla Videosorveglianza Comunale; il sottosistema SLT, dedicato alla lettura delle targhe; il sottosistema SNV, adibito all’infrastruttura dedicata di collegamento che garantisce il collegamento sicuro tra le diverse componenti dell’ODV tramite la cifratura e la separazione dei flussi dati in transito tra sistemi periferici e centrali. Figura 1 – Ambito del Progetto Vi.So.Re. Trevigiano In questo ambito, l’ODV è un Sottosistema di Videosorveglianza Comunale operante nell’ambito di diversi comuni della provincia di Treviso avente la finalità di prevenire attività di microcriminalità, atti vandalici, incendi dolosi, rilevare e ricostruire eventi criminosi e divenire un forte elemento deterrente. L’ODV prevede un certo numero di telecamere installate in siti critici dei comuni interessati, collegate con posti di visualizzazione/controllo mediante il sottosistema di comunicazione SNV. L’ODV garantisce la riservatezza dei dati mediante la profilazione degli utenti, consentendo solo agli utenti autorizzati di accedere, 24 ore su 24, ai dati raccolti dalle telecamere installate presso i siti identificati nei comuni interessati dal progetto Vi.So.Re. Trevigiano. Gli obiettivi dell’ODV e del suo ambiente operativo sono la realizzazione di sistemi integrati di videosorveglianza territoriale (per ogni comune interessato) tesi a sorvegliare le più importanti aree di transito e gli accessi ai centri urbani, per finalità di Sicurezza. Pagina 14 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 L’ODV ed il suo ambiente operativo si compongono di: telecamere installate nei comuni che rientrano nel progetto Vi.So.Re. Trevigiano; Sistema Centralizzato di Controllo ospitato nel data center SVC sito in Oderzo (TV) che è certificato ISO/IEC 27001:2005; posti operatore a livello comunale per funzioni di visione/controllo; posti operatore dedicati ad enti territoriali esterni come indicato nel bando di gara (Polizia di Stato, Arma dei Carabinieri e Guardia di Finanza) per funzioni di visione e controllo. 7.3.1 Architettura dell'ODV 7.3.1.1 Flusso generale dell’ODV e del suo ambiente operativo L’architettura generale di funzionamento prevista per l’intero sottosistema è la seguente: a) Nei siti comunali monitorati le telecamere di videosorveglianza raccolgono riprese video 24 ore su 24 e le codificano secondo standard di mercato (MJPEG, MPEG o H264). Le riprese video una volta codificate vengono da qui in avanti indicate come flusso video. b) Le telecamere di videosorveglianza al loro interno rendono il flusso video contemporaneamente disponibile al Sistema Centralizzato di Controllo (Flusso video live) e verso la memoria interna SD dove vengono memorizzate dopo essere state cifrate (AES128) (Flusso video registrato). c) Tramite il sottosistema SNV, la componente Sistema Centralizzato di Controllo (con protocollo TCP/IP) richiede alle telecamere i flussi video live per la loro registrazione nei server presso il data center SVC. d) Nel caso di assenza temporanea di collegamento tra il Sistema Centralizzato di Controllo e la Telecamera, il sistema Centralizzato di Controllo al ripristino del collegamento, richiede alla telecamera oltre al Flusso video live (punto c) anche il Flusso video registrato, limitatamente al periodo di disconnessione, che viene decifrato dalla telecamera e quindi reso disponibile al Sistema Centrale di Controllo per la sua registrazione nei server presso il data center SVC. e) Fin dall’acquisizione sul campo le immagini del SVC vengono tenute separate da quelle del sottosistema SLT mediante il sottosistema SNV. Le immagini, le aree di memorizzazione e i dati memorizzati di ogni singolo comune vengono tenuti separati in base ai ruoli assegnati agli utenti SVC. f) Dalle postazioni operatore delle forze di polizia locali (Sottosistemi Comunali), i titolari del trattamento dati accedono sia alle riprese in real-time sia alle registrazioni; possono eseguire operazioni di zoom e rotazione delle telecamere. Ogni operatore può accedere alle riprese ed alle registrazioni esclusivamente del comune per il quale è individuato come titolare al trattamento dei dati. g) Dalle postazioni operatore delle Forze di Polizia di Stato, così come dagli Enti Esterni (Polizia di Stato, Arma dei Carabinieri e Guardia di Finanza), gli operatori, ciascuno con Pagina 15 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 proprie e predefinite autorizzazioni, possono accedere, tramite il sottosistema SNV, sia agli streaming video che alle registrazioni del sistema ODV di tutti i siti di tutti i comuni e possono eseguire, con priorità rispetto agli operatori delle forze di polizia locali, operazioni di zoom e rotazione delle telecamere. h) Le registrazioni video vengono effettuate 24 ore al giorno e mantenute nel Sistema Centralizzato di Controllo per un periodo di 15 giorni, comunque configurabile, dopodiché automaticamente eliminate. i) Il Sistema Centralizzato di Controllo fornisce una funzionalità amministrativa che consente di definire utenti, gruppi, titolari trattamento dati ciascuno con proprie autorizzazioni, il che consente di attribuire al sistema una configurabilità operativa finalizzata all’applicazione dei principi della privacy. 7.3.1.2 Hardware La descrizione dell’ambito fisico dell’ODV è fornita in [TDS], par. 2.4.1.2. 7.3.1.3 Software La descrizione dell’ambito logico dell’ODV è fornita in [TDS], par. 2.4.2. 7.3.1.4 Componenti di ambiente La descrizione delle componenti di ambiente dell’ODV è fornita in [TDS], par. 2.4.1.3. 7.3.2 Caratteristiche di Sicurezza dell’ODV Trattandosi di una valutazione a livello di garanzia EAL1, nel Traguardo di Sicurezza [TDS] non viene descritto completamente il problema di sicurezza, ma ci si limita a definire i Requisiti Funzionali di Sicurezza (SFR), per i quali si rimanda al par. 6.3 del [TDS], gli obiettivi di sicurezza per l'ambiente operativo e le funzioni di sicurezza realizzate dall’ODV, che sono riportati qui di seguito. 7.3.2.1 Obiettivi di sicurezza per l'ambiente operativo Gli obiettivi di sicurezza per l'ambiente operativo sono descritti in [TDS], par. 4.1. OE.Admin: gli amministratori dell’ODV devono essere scelti tra il personale fidato e addestrati al corretto utilizzo dell’ODV. OE.Physical: i responsabili del sottosistema SVC devono assicurare che l’infrastruttura tecnologica dell’ODV sia custodita in locali nei quali l’accesso è consentito solamente al personale autorizzato. OE.External: i responsabili del sottosistema SVC devono assicurare la protezione e sorveglianza agli apparati posti all’esterno. OE.Crypto: i sistemi su strada devono provvedere alla cifratura delle immagini raccolte dalle telecamere e non immediatamente trasmesse al Sistema Centralizzato di Controllo, con l’obiettivo di preservarne la riservatezza. Pagina 16 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 OE.Network: il sottosistema SNV ha il compito di assicurare la connettività fra le seguenti componenti dell’ODV: - Sistema Centrale di Elaborazione; - Telecamere; - Utenti dell’ODV. Il sottosistema SNV protegge la trasmissione dei dati raccolti dalle telecamere realizzando canali cifrati e separati in base alla destinazione dei dati stessi. OE.Policy: l’organizzazione deve assicurare, per quanto di competenza, la conformità alle leggi e normative in vigore sulla privacy. OE.Time: l’ambiente operativo dell’ODV deve fornire riferimenti temporali affidabili per le operazioni sotto il controllo dell’ODV. 7.3.2.2 Funzioni di sicurezza Le funzioni di sicurezza implementate dall’ODV sono descritte in [TDS], par. 2.7. Controllo d’accesso: l'ODV consente agli amministratori di configurare l’accesso alle funzioni, alle telecamere ed ai dati in base al ruolo di ciascun utente. Auditing: l’ODV genera log relativi alle telecamere (rilevazione delle operazioni di gestione) ed agli utenti (operazioni di autenticazione). Gestione: l’ODV provvede al controllo delle seguenti operazioni: - operazioni su ruoli e utenti; - operazioni sulle telecamere. Protezione dati: l'ODV garantisce la disponibilità delle immagini anche in caso di interruzione dei collegamenti fra telecamere e Sistema Centralizzato di Controllo, mediante il salvataggio delle stesse nella memoria SD delle telecamere. L’ODV provvede alla cancellazione delle immagini registrate dopo il periodo di tempo stabilito dalle politiche di accesso, nel rispetto della privacy. 7.3.3 Configurazioni dell’ODV L’ODV valutato è identificato in [TDS] nel suo complesso come versione 1.0. Tale versione corrisponde all’ODV in esercizio al momento della chiusura delle attività di valutazione. 7.4 Documentazione La documentazione specificata in Appendice A, che viene fornita al cliente finale insieme al prodotto, contiene le informazioni richieste per l'installazione, la configurazione e l’utilizzo sicuro dell’ODV in accordo a quanto specificato nel Traguardo di Sicurezza [TDS]. Pagina 17 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 7.5 Requisiti funzionali e di garanzia Tutti i Requisiti Funzionali di Sicurezza (SFR) sono stati selezionati dai CC Parte 2 [CC2] e tutti i Requisiti di Garanzia (SAR) dai CC Parte 3 [CC3]. Trattandosi di una valutazione a livello di garanzia EAL1, nel Traguardo di Sicurezza [TDS] non viene descritto completamente il problema di sicurezza, ma ci si limita a definire gli obiettivi di sicurezza per l'ambiente operativo, i Requisiti Funzionali di Sicurezza (SFR) e le funzioni di sicurezza realizzate dall’ODV. 7.6 Conduzione della valutazione La valutazione è stata svolta in conformità ai requisiti dello Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione, come descritto nelle Linee Guida Provvisorie [LGP3] e nelle Note Informative dello Schema [NIS3], ed è stata inoltre condotta secondo i requisiti del Common Criteria Recognition Arrangement [CCRA]. Lo scopo della valutazione è quello di fornire garanzie sull’efficacia dell’ODV nel soddisfare quanto dichiarato nel rispettivo Traguardo di Sicurezza [TDS], di cui si raccomanda la lettura ai potenziali acquirenti. Inizialmente è stato valutato il Traguardo di Sicurezza per garantire che costituisse una solida base per una valutazione nel rispetto dei requisiti espressi dallo standard CC. Quindi è stato valutato l’ODV sulla base delle dichiarazioni formulate nel Traguardo di Sicurezza stesso. Entrambe le fasi della valutazione sono state condotte in conformità ai CC Parte 3 [CC3] e alla CEM [CEM]. L’Organismo di Certificazione ha supervisionato lo svolgimento della valutazione eseguita dall’LVS Technis Blu. L'attività di valutazione è terminata in data 30 ottobre 2015 con l’emissione, da parte dell’LVS, del Rapporto Finale di Valutazione [RFV] che è stato approvato dall’Organismo di Certificazione il 12 novembre 2015. Successivamente, l’Organismo di Certificazione ha emesso il presente Rapporto di Certificazione. 7.7 Considerazioni generali sulla validità della certificazione La valutazione ha riguardato le funzionalità di sicurezza dichiarate nel Traguardo di Sicurezza [TDS], con riferimento all’ambiente operativo ivi specificato. La valutazione è stata eseguita sull'ODV configurato come descritto in Appendice A. I potenziali acquirenti sono invitati a verificare che questa corrisponda ai propri requisiti e a prestare attenzione alle raccomandazioni contenute in questo Rapporto di Certificazione. La certificazione non è una garanzia di assenza di vulnerabilità; rimane una probabilità (tanto minore quanto maggiore è il livello di garanzia) che possano essere scoperte vulnerabilità sfruttabili dopo l’emissione del certificato. Questo Rapporto di Certificazione riflette le conclusioni dell’Organismo di Certificazione al momento della sua emissione. Gli acquirenti (potenziali e effettivi) sono invitati a verificare regolarmente l’eventuale insorgenza di nuove vulnerabilità successivamente all’emissione di questo Rapporto di Certificazione e, nel caso le vulnerabilità possano essere sfruttate nell’ambiente operativo dell’ODV, verificare presso il produttore se siano stati messi a punto aggiornamenti di sicurezza e se tali aggiornamenti siano stati valutati e certificati. Pagina 18 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 8 Esito della valutazione 8.1 Risultato della valutazione A seguito dell’analisi del Rapporto Finale di Valutazione [RFV] prodotto dall’LVS e dei documenti richiesti per la certificazione, e in considerazione delle attività di valutazione svolte, come testimoniato dal gruppo di Certificazione, l’OCSI è giunto alla conclusione che l’ODV “Sottosistema Videosorveglianza Comunale (SVC) v1.0” soddisfa i requisiti della parte 3 dei Common Criteria [CC3] previsti per il livello di garanzia EAL1, in relazione alle funzionalità di sicurezza riportate nel Traguardo di Sicurezza [TDS] e nella configurazione valutata, riportata in Appendice B. La Tabella 1 riassume i verdetti finali di ciascuna attività svolta dall’LVS in corrispondenza ai requisiti di garanzia previsti in [CC3], relativamente al livello di garanzia EAL1. Classi e componenti di garanzia Verdetto Security Target evaluation Classe ASE Positivo Conformance claims ASE_CCL.1 Positivo Extended components definition ASE_ECD.1 Positivo ST introduction ASE_INT.1 Positivo Security objectives for the operational environment ASE_OBJ.1 Positivo Stated security requirements ASE_REQ.1 Positivo TOE summary specification ASE_TSS.1 Positivo Development Classe ADV Positivo Basic functional specification ADV_FSP.1 Positivo Guidance documents Classe AGD Positivo Operational user guidance AGD_OPE.1 Positivo Preparative procedures AGD_PRE.1 Positivo Life cycle support Classe ALC Positivo Labelling of the TOE ALC_CMC.1 Positivo TOE CM coverage ALC_CMS.1 Positivo Test Classe ATE Positivo Independent testing - conformance ATE_IND.1 Positivo Vulnerability assessment Classe AVA Positivo Vulnerability survey AVA_VAN.1 Positivo Tabella 1 – Verdetti finali per i requisiti di garanzia Pagina 19 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 8.2 Raccomandazioni Le conclusioni dell’Organismo di Certificazione sono riassunte nel capitolo 6 - Dichiarazione di certificazione. Si raccomanda ai potenziali acquirenti del prodotto “Sottosistema Videosorveglianza Comunale (SVC) v1.0” di comprendere correttamente lo scopo specifico della certificazione leggendo questo Rapporto in riferimento al Traguardo di Sicurezza [TDS]. L’ODV deve essere utilizzato in accordo all’ambiente operativo specificato nel capitolo 4 del Traguardo di Sicurezza [TDS]. Si consiglia ai potenziali acquirenti di verificare la rispondenza ai requisiti identificati e di prestare attenzione alle raccomandazioni contenute in questo Rapporto. Il presente Rapporto di Certificazione è valido esclusivamente per l'ODV nella configurazione valutata, le cui modalità di installazione e configurazione sono descritte nei documenti “Manuale Utente Sottosistema SVC, v2.0” [MAN] e “Lista di Configurazione Sottosistema SVC, v1.0” [CONF], forniti insieme all’ODV. Si raccomanda l’utilizzo dell’ODV in accordo con quanto descritto in tale documentazione. Pagina 20 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 9 Appendice A – Indicazioni per l’uso sicuro del prodotto I documenti di guida rilevanti ai fini della valutazione o referenziati all’interno dei documenti prodotti e disponibili ai potenziali utilizzatori dell’ODV, sono i seguenti: [TDS] Security Target del “Sottosistema Videosorveglianza Comunale (SVC) v1.0”, v1.7, 30 settembre 2015 [MAN] Manuale Utente Sottosistema SVC, v. 2.0, 31 agosto 2015 [CONF] Lista di Configurazione Sottosistema SVC, v1.0, 28 settembre 2015 Pagina 21 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 10 Appendice B – Configurazione valutata Il nome e il numero di versione identificano univocamente l’ODV e i suoi componenti SW, costituenti la configurazione valutata dell’ODV, a cui si applicano i risultati della valutazione stessa. Pagina 22 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 11 Appendice C – Attività di Test Questa appendice descrive l’impegno dei Valutatori e del Fornitore nelle attività di test. Per il livello di garanzia EAL1, tali attività non prevedono l'esecuzione di test funzionali da parte del Fornitore, ma soltanto test funzionali indipendenti da parte dei Valutatori. 11.1 Configurazione per i Test Per l'esecuzione dei test è stato predisposto un apposito ambiente di test presso la sede dell'LVS con il supporto del Committente/Fornitore, che ha fornito le risorse necessarie, riproducendo in scala un ambiente operativo reale. In particolare, sono stati predisposti alcune telecamere di tipo IP e un sistema centralizzato di controllo. Prima dell’esecuzione dei test l’ODV è stato installato e configurato seguendo le indicazioni contenute nei documenti “Manuale Utente Sottosistema SVC, v2.0” [MAN] e “Lista di Configurazione Sottosistema SVC, v1.0” [CONF], come indicato in Appendice A. 11.2 Test funzionali ed indipendenti svolti dai Valutatori Nella predisposizione del programma dei test indipendenti da effettuare sull'ODV, i Valutatori hanno tenuto in conto il Traguardo di Sicurezza [TDS] e le specifiche funzionali. I Valutatori hanno quindi esaminato le funzioni di sicurezza dell'ODV, così come rappresentate nel TDS e, sulla base della propria esperienza, hanno predisposto un insieme di test, con l’obiettivo di verificare l’adeguatezza delle funzioni di sicurezza dell'ODV, nel rispetto di quanto previsto dalla CEM. In particolare, i test di funzionalità pianificati e svolti dall’LVS sono stati mirati a verificare che l’ODV: assicura il rispetto delle regole di controllo accesso su immagini e telecamere, rispetto alle funzionalità di gestione utenti e ruoli, gestione delle immagini, gestione delle telecamere (funzione di sicurezza ODV_AC); mette in campo delle funzioni che registrano nei propri log ogni operazione positiva o negativa del tipo specificato rispettando le modalità e le caratteristiche di auditing corrette ed attese (funzione di sicurezza ODV_AUD); consente all’amministratore la gestione dei ruoli per creare ed eliminare un nuovo profilo, modificare il tempo di conservazione delle immagini, consentire la gestione delle telecamere (funzione di sicurezza ODV_MGMT); implementa delle funzioni che registrano i dati sensibili sulla telecamera in un formato cifrato (funzione di sicurezza ODV_DP). I Valutatori hanno dimostrato che l’ODV si comporta come descritto nella documentazione di progetto e che realizza i requisiti funzionali di sicurezza descritti nel TDS. L’ODV ha quindi superato con verdetto positivo la fase di test indipendenti. Pagina 23 di 23 OCSI/CERT/TEC/02/2014/RC Vers. 1.0 11.3 Analisi delle vulnerabilità e test di intrusione Per l'esecuzione di queste attività è stato utilizzato lo stesso ambiente di test già utilizzato per le attività dei test funzionali. I Valutatori hanno innanzitutto verificato che la configurazione di test fosse congruente con la versione dell'ODV in valutazione, cioè quella indicata nel [TDS], par. 2.4. In una prima fase, i Valutatori hanno effettuato delle ricerche tramite internet al fine di individuare eventuali vulnerabilità note applicabili all'ODV, in particolare ai modelli di telecamere utilizzati e al sistema di controllo associato. Sono state così individuate due vulnerabilità potenziali sul software delle telecamere e una su quello del sistema di controllo; tuttavia, i Valutatori hanno verificato che i software effettivamente installati erano aggiornati alle ultime versioni, in cui tali vulnerabilità non sono risultate presenti. In una seconda fase, i Valutatori hanno esaminato i documenti di valutazione (TDS, specifiche funzionali, progetto dell'ODV, architettura di sicurezza e documentazione operativa) al fine di evidenziare eventuali vulnerabilità potenziali dell'ODV. Da questa analisi, non sono emerse ulteriori vulnerabilità potenziali. Successivamente, è stata effettuata una ricerca di vulnerabilità di rete, utilizzando strumenti di scansione automatica; nel corso di questa attività sono state effettivamente individuate alcune vulnerabilità potenziali sulle telecamere, in particolare la presenza di alcuni servizi che potrebbero permettere ad un attaccante esperto di tentare l’accesso alla rete per poter poi eseguire dei processi sulle telecamere stesse. I Valutatori hanno quindi progettato dei possibili scenari di attacco, con potenziale di attacco Basic, come previsto per il livello di valutazione EAL1, e dei test di intrusione per verificare la sfruttabilità delle vulnerabilità potenziali individuate. I test di intrusione sono stati descritti con un dettaglio sufficiente per la loro ripetibilità. Dall'esecuzione dei test di intrusione, i Valutatori hanno riscontrato che nessuno scenario di attacco con potenziale Basic può essere portato a termine con successo nell’ambiente operativo dell’ODV. Pertanto, nessuna delle vulnerabilità potenziali precedentemente individuate può essere effettivamente sfruttata. Tuttavia i servizi individuati sulle telecamere, descritti in precedenza, sono da considerarsi vulnerabilità residue, in quanto potrebbero essere sfruttate, ma solo da attaccanti con potenziale di attacco superiore a Basic, cioè quello previsto per il livello di valutazione EAL1.