Per audit, vendor assessment e decisioni di acquisto legate a ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation), le evidenze che contano sono output tecnici leggibili: scope, finding con severità, remediation plan, retest e collegamento esplicito al TOE.
Senza questi elementi allineati al contesto dello standard, anche un percorso di valutazione formalmente corretto perde credibilità verso buyer, auditor e stakeholder interni.
Cosa conta davvero per audit e vendor assessment
Chi valuta un prodotto o un servizio legato a Common Criteria tende a cercare una lettura chiara del rischio, evidenze di cosa è stato testato e con quale profondità, vulnerabilità con impatto e priorità, remediation tracciata, retest finale e collegamento esplicito tra i finding e i confini del TOE.
Quando questa guida è utile
Questa pagina è utile quando si deve rispondere a questionari di sicurezza o verifiche cliente, dimostrare maturità operativa oltre alla conformità dichiarata, rendere più credibile un prodotto o una piattaforma legata a ISO/IEC 15408, oppure trasformare attività tecniche in prove riusabili anche dal management.
Evidenze da avere pronte
- Executive summary leggibile da management e procurement;
- Elenco dei finding con severità e impatto;
- Perimetro testato descritto in modo esplicito;
- Correlazione tra rischio tecnico e rischio business o di assurance;
- Remediation plan con priorità e owner;
- Retest o stato di chiusura delle criticità;
- Nota su componenti esclusi dal TOE ma rilevanti nel deployment.
Dove il penetration test crea più valore
Il penetration test crea più valore quando l’organizzazione deve trasformare requisito e rischio in una prova tecnica leggibile. In quel momento, il Web Application Penetration Testing, la Secure Architecture Review e il Network Penetration Testing aiutano a costruire materiale più convincente per buyer e stakeholder. Un esempio concreto è il Web Application Penetration Test e Network Penetration Test per Coop Italia.
Errore da evitare
L’errore più comune è produrre un report pensato solo per chi l’ha eseguito. Se il documento non è utile anche per audit, vendor assessment o direzione, gran parte del suo valore si perde.
Domande frequenti su ISO/IEC 15408 e le evidenze
- Come si usano le evidenze del test in un percorso di valutazione Common Criteria?
- Il penetration test viene usato dal valutatore accreditato come evidenza sulle vulnerabilità nel TOE. I finding collegati agli SFR (Security Functional Requirements) non soddisfatti e alle OE (Operational Environment Assumptions) non verificate sono le sezioni più rilevanti per la valutazione CC.
- Cosa chiede un acquirente governativo a un prodotto con certificazione Common Criteria?
- Chiede il certificato CC con EAL specificato, il Security Target che descrive il TOE e le SFR, e le evidenze di vulnerabilità note nel prodotto. In alcuni paesi — Germania, Francia, Paesi Bassi — la certificazione CC è un requisito obbligatorio per prodotti di sicurezza usati in contesti governativi critici.
- Come si mantiene la rilevanza di una certificazione CC nel tempo?
- La certificazione CC è legata a una specifica versione del TOE. Ogni aggiornamento significativo richiede una nuova valutazione o una delta evaluation. Un programma di verifica tecnica ricorrente tra una valutazione e l’altra permette di identificare nuove vulnerabilità prima che diventino problemi in produzione e di prepararsi meglio alla prossima valutazione.
Le vulnerabilità delle applicazioni web possono esporre la tua azienda a rischi e attacchi informatici.
Affidati a ISGroup per:
- Web Application Penetration Test efficace e mirato
- Individuazione e correzione preventiva delle falle di sicurezza
- Supporto tecnico da esperti in sicurezza applicativa
Se le evidenze disponibili su TOE, deployment reale e componenti esposti non sono ancora allineate alle aspettative di buyer o auditor, il passo utile è verificare i gap concreti. Si può partire da un Web Application Penetration Testing, chiarire il perimetro con una Secure Architecture Review o integrare un Network Penetration Testing per coprire l’infrastruttura esposta.
Approfondimenti correlati
- La guida principale su ISO/IEC 15408 e penetration test offre il quadro completo su requisiti, rischio e prova tecnica;
- L’articolo su quando il penetration test conta davvero in un percorso Common Criteria aiuta a capire in quali fasi il test ha impatto reale sulla valutazione;
- La guida su scope, deliverable e retest per ISO/IEC 15408 entra nel dettaglio di come strutturare il perimetro e i deliverable per massimizzare l’utilità delle evidenze.