Quando un prodotto valutato secondo ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation) viene distribuito e gestito in produzione, la domanda utile non è se lo standard “equivale” a un penetration test, ma quali prove tecniche servono davvero per dimostrare che il TOE e i suoi controlli funzionano anche fuori dalla documentazione formale.
La scelta dell’attività giusta dipende da perimetro, rischio e obiettivo decisionale: un penetration test ha senso quando esistono superfici esposte da verificare, mentre assessment architetturale o gap analysis sono più utili quando il perimetro non è ancora definito o i componenti fuori scope non sono stati chiariti.
Quando il penetration test conta davvero
Il penetration test ha senso quando esistono applicazioni, portali, API o componenti cloud da validare; quando un buyer o un auditor richiede prove tecniche e non solo dichiarazioni; quando ci sono ruoli privilegiati, dati critici o superfici esposte; quando il deployment reale può allargare o indebolire il TOE valutato; e quando la remediation deve essere tracciata e confermata da un retest.
A cosa serve questa guida
Questa pagina è utile per capire:
- quando il penetration test ha senso in un percorso legato a ISO/IEC 15408;
- quando convengono prima scoping, assessment architetturale o gap analysis;
- come scegliere la prova tecnica più credibile per il proprio scenario;
- come evitare costi o attività scollegate dal rischio reale.
Quando il penetration test è la scelta giusta
Ha senso quando:
- Esistono applicazioni, portali, API o componenti cloud da validare;
- Un buyer o un auditor vuole vedere prove tecniche, non solo dichiarazioni;
- Ci sono ruoli privilegiati, dati critici o superfici esposte;
- Il deployment reale può allargare o indebolire il TOE valutato;
- La remediation deve essere tracciata e confermata da un retest.
Quando conviene un’altra attività prima
Il penetration test può non essere la prima leva quando:
- Mancano ancora perimetro, inventario o architettura chiara;
- Serve prima una lettura di rischio o un assessment preliminare;
- Bisogna ancora chiarire TOE, SFR, SAR e ipotesi ambientali;
- Il requisito è soprattutto documentale e non ancora tradotto in superfici tecniche concrete.
Come scegliere la prova tecnica giusta
| Se il bisogno principale è… | La leva più utile è… | Perché |
|---|---|---|
| Chiarire l’esposizione applicativa | Web Application Penetration Testing | Verifica sfruttabilità e impatto |
| Capire il rischio tecnico prima del test | Secure Architecture Review | Aiuta a definire meglio perimetro e trust boundary |
| Validare rete e componenti esposti | Network Penetration Testing | Verifica esposizione, segmentazione e hardening |
L’errore più frequente
Penetration test, assessment e assurance formale vengono spesso trattati come attività alternative. In pratica funzionano meglio in sequenza: prima si chiarisce il perimetro, poi si testa ciò che conta davvero, infine si traducono i risultati in remediation e decisioni concrete.
Domande frequenti su ISO/IEC 15408 e penetration test
- ISO/IEC 15408 rende il penetration test obbligatorio?
- Non necessariamente. Dipende da come il TOE è implementato e da quali componenti digitali devono essere realmente verificati.
- Cosa conviene fare prima del penetration test?
- Definire bene il perimetro, chiarire il rischio e capire quali asset, interfacce e componenti incidono davvero sul TOE.
- Come capire se si sta scegliendo l’attività giusta?
- Se l’attività produce un’evidenza utile a chi deve decidere, auditare o acquistare il servizio, la direzione è corretta. Se produce solo output tecnici scollegati da TOE, SFR e deployment reale, probabilmente no.
Le vulnerabilità delle applicazioni web possono esporre la tua azienda a rischi e attacchi informatici.
Affidati a ISGroup per:
- Web Application Penetration Test efficace e mirato
- Individuazione e correzione preventiva delle falle di sicurezza
- Supporto tecnico da esperti in sicurezza applicativa
Per capire se ISO/IEC 15408 richiede un penetration test o prima un’altra forma di assessment, il punto di partenza è chiarire perimetro, rischio e obiettivo decisionale. A seconda del contesto, può essere utile una Secure Architecture Review per definire i confini del TOE, un Web Application Penetration Testing per validare le superfici applicative esposte, o un Network Penetration Testing per verificare segmentazione e hardening dell’infrastruttura.
Approfondimenti correlati
- La guida principale su ISO/IEC 15408 e penetration test offre il quadro completo su Common Criteria, TOE e prove tecniche di conformità;
- Per il tema delle evidenze utili in contesti di audit e vendor assessment, consulta ISO/IEC 15408 e le evidenze per audit e vendor assessment;
- Per approfondire scope, deliverable e retest nel contesto Common Criteria, leggi la guida su scope, deliverable e retest per ISO/IEC 15408.