La norma ISO/IEC 17025 è una norma internazionale che specifica i requisiti generali per la competenza, l’imparzialità e il regolare e coerente funzionamento dei laboratori di prova.
L’aderenza ai requisiti della norma consente di dimostrare che essi operano in modo competente e che sono in grado di generare risultati validi. L’ultima versione della norma è stata emessa nel dicembre 2017 ed è stata recepita in Italia dal Comitato Elettrotecnico Italiano (CEI) nel gennaio 2018.
Introduzione alla norma ISO 17025
Va considerato che i laboratori che operano in conformità alla norma, operano generalmente anche in conformità alla norma ISO 9001 che è relativa al sistema di qualità. Non è vero però il viceversa: soddisfare i requisiti della norma ISO 9001 non significa essere conformi anche ai requisiti della norma ISO 17025 perché i requisiti della ISO 9001 sono solo un sottoinsieme dei requisiti della ISO 17025.
La norma ISO 17025 è utilizzata da anni per l’accreditamento dei laboratori di prova operanti in svariati settori quali, ad esempio, ambiente, sanità, tessile, meccanico, automotive/ferroviario, sicurezza alimentare, antidoping, Information & Communication Technology (ICT) e così via.
La norma è stata anche utilizzata dagli Schemi Nazionali di Certificazione della sicurezza dei prodotti ICT ai sensi dello standard Common Criteria per accreditare relativi laboratori di prova. Tuttavia, la peculiarità delle prove eseguite da tali laboratori ha portato nel tempo a delle interpretazioni dell’applicabilità della norma da parte degli schemi nazionali che non sempre erano concordanti. Questo creava un potenziale problema per gli accordi di mutuo riconoscimento delle certificazioni (principalmente CCRA e SOG-IS) che i vari schemi di certificazione nazionale hanno sottoscritto.
Per tale ragione, l’ISO ha emesso un Technical Specification (ISO/IEC TS 23532-1 del 2021) che integra e specifica i requisiti della norma ISO 17025 quando si accreditano laboratori per le valutazioni di sicurezza ai sensi dello standard Common Criteria (recepito nella norma ISO/IEC 15408).
Analogamente l’ENISA (European Union Agency for Cybersecurity), nell’ambito dello Schema di Certificazione Europeo basato sui Common Criteria (EUCC) di prossima introduzione, ha emesso delle linee guida per l’accreditamento dei laboratori che opereranno sotto tale schema nei vari stati europei. Tali linee guida riprendono di fatto i requisiti della ISO/IEC 17025 e le integrazioni dell’ISO/IEC TS 23532-1, mappandoli sui requisiti del Regolamento Europeo Cyber Security Act (CSA) da cui deriva lo schema EUCC e integrandoli con ulteriori requisiti specifici dello schema europeo.
Nel seguito, oltre ad illustrare brevemente la struttura della norma ISO/IEC 17025, si analizzeranno i principali aspetti trattati dalla norma e come questi siano stati integrati ed adattati per l’accreditamento dei laboratori per le valutazioni di sicurezza Common Criteria.
Differenze tra accreditamento e certificazione
Spesso i termini “Certificazione” e Accreditamento” vengono utilizzati come sinonimi, ma in realtà hanno un significato differente.
La certificazione attesta che una determinata attività, o uno specifico prodotto, rispetta i requisiti di una norma di riferimento e viene rilasciata da un organismo di certificazione di terza parte.
L’accreditamento, invece, è una procedura eseguita da enti di parte terza che conferisce ai certificati di conformità un alto grado di affidabilità. Nel mondo, l’accreditamento viene svolto sulla base della norma internazionale ISO/IEC 17011 e, all’interno dell’Unione europea, il Regolamento europeo 765/2008 prevede che ogni Stato membro nomini il proprio Ente Unico nazionale di accreditamento a cui viene conferito, per la prima volta, uno status giuridico riconoscendolo come espressione di pubblica Autorità. In Italia l’Ente Unico di accreditamento designato dal governo è Accredia che in ambito EUCC assume il ruolo di National Accreditation Body (NAB).
Inoltre, l’accreditamento viene conseguito per ogni prova o taratura a seguito del superamento di una visita ispettiva da parte dell’organismo competente, in cui viene verificato che siano stati soddisfatti i requisiti della norma. Pertanto un laboratorio cha vanta accreditamento da parte di Accredia non ha acquisito automaticamente tale riconoscimento per tutte le prove o tarature che offre, ma solo per quelle per cui ne ha fatto richiesta e superato la visita ispettiva.
L’accreditamento quindi fornisce agli organismi di certificazione e ai laboratori di prove una maggiore credibilità e assicura la validità dei risultati.
La struttura della ISO 17025
La ISO 17025 è strutturata i 5 parti principali:
- Requisiti generali che vertono soprattutto sulla gestione dell’imparzialità del laboratorio e sulla gestione della riservatezza delle informazioni trattate;
- Requisiti strutturali che sono relativi principalmente sulla struttura organizzativa del laboratorio, ai compiti del top management e ai meccanismi necessari per garantire l’imparzialità;
- Requisiti sulle risorse che riguardano la gestione del personale, degli apparati/tool/dispositivi e infrastrutture utilizzati dal laboratorio e della tracciabilità metrologica;
- Requisiti di processo relativi alla revisione delle richieste/offerte/contratti, convalida dei metodi di prova, campionamento, taratura, incertezza della misura, registrazioni tecniche, reporting dei risultati e gestione dei reclami;
- Requisiti di gestione inerenti alla documentazione del sistemi di gestione generale, al controllo dei documenti, al controllo delle registrazioni, ai Riesami di Direzione, agli audit interni, alle azioni correttive e alle azioni preventive.
Come si può notare, la ISO 17025 è molto ampia e copre tutti gli aspetti delle attività di un laboratorio di prove. Va comunque osservato che, come per le valutazioni di sicurezza Common Criteria, l’applicabilità della norma molto spesso richiede delle normative specifiche per il settore in cui il laboratorio opera per fornire requisiti aggiuntivi/integrativi che consentano la corretta interpretazione dell’applicabilità della norma nel settore di applicazione.
Il principio di imparzialità nella norma ISO 17025
Nella ISO 17025 l’imparzialità è definita come “presenza di obiettività”, ovvero l’assenza di conflitti di interesse o la loro pronta risoluzione per evitare che influenzino negativamente le attività del laboratorio.
La norma prevede quindi che le attività del laboratorio siano effettuate in modo imparziale e strutturate e gestite in modo da salvaguardare l’imparzialità, che il Management del laboratorio sia impegnato per l’imparzialità e che i rischi per l’imparzialità siano continuamente identificati e gestiti dimostrando come essi siano stati eliminati o minimizzati.
Andando nello specifico delle valutazioni Common Criteria, il TS 23532-1 specifica chiaramente che i valutatori non possono sviluppare e valutare lo stesso Protection Profile (PP), Security Target (ST) o prodotto ICT (TOE). Inoltre, i valutatori che forniscono consulenza ai clienti per predisporre tutti i documenti relativi alla valutazione dei propri prodotti, non possono poi essere coinvolti nella valutazione del prodotto. Di fatto, bisogna segregare chi ha fatto consulenza ai clienti da chi ne valuta i prodotti.
Non è un caso che il Cyber Security Act (CSA) rinforzi questo concetto specificando in maniera più dettagliata i requisiti che i laboratori che saranno accreditati per l’EUCC dovranno rispettare.
A titolo esemplificativo e non esaustivo, nelle linee guida di ENISA per l’accreditamento dei laboratori viene specificato che:
- i laboratori devono essere indipendenti dall’organizzazione che sviluppa i prodotti, servizi e processi che esso deve valutare;
- se un laboratorio appartiene ad una associazione, di business o professionale, che in un qualche modo è coinvolta nella progettazione, sviluppo, distribuzione, assemblaggio, uso o manutenzione di un prodotto, servizio o processo ICT, potrà effettuare la valutazione solo se sarà dimostrata la sua indipendenza e l’assenza di un qualsiasi conflitto di interesse;
- la Direzione del laboratorio e i suoi valutatori non possono essere stati coinvolti nella progettazione, sviluppo, installazione, distribuzione, marketing o manutenzione dei prodotti, servizi e processi ICT che sono valutati dal laboratorio, nonché avere partecipazioni o avere cariche rappresentative nelle società che li producono;
- la Direzione del laboratorio e i suoi valutatori non possono essere ingaggiati in attività che possono ledere alla loro indipendenza di giudizio e integrità nelle loro attività di valutazioni. Particolare attenzione deve essere posta nelle attività di consulenza.
Come si può notare da quanto scritto, garantire l’imparzialità è probabilmente l’aspetto più importante della ISO 17025 perché è considerato essenziale per garantire risultati delle prove corretti e affidabili.
Tale aspetto è ancor più rilevante per l’EUCC dove le certificazioni di sicurezza dei prodotti ICT saranno valide per tutto il territorio dell’Unione.
Gestione della confidenzialità secondo la norma ISO 17025
Altro requisito rilevante della ISO 17025 è la garanzia della riservatezza delle informazioni acquisite e prodotte dal laboratorio durante le sue attività.
La norma prevede che il laboratorio sia responsabile della riservatezza delle informazioni ottenute o generate durante le sue attività anche per mezzo di impegni legalmente vincolanti. Su quest’ultimo punto, è buona prassi che i valutatori del laboratorio firmino dei Non Disclosure Agreement, così come il rappresentante del laboratorio lo sottoscrive con il cliente.
Tendenzialmente tutte le informazioni acquisite o prodotte durante la valutazione sono proprietarie e quindi riservate a meno di quelle che il cliente rende pubblicamente disponibili, quelle per il quale il laboratorio è contrattualmente autorizzato a divulgare e quelle richieste per legge al laboratorio.
La riservatezza è maggiormente rilevante nelle valutazioni Common Criteria perché i valutatori hanno accesso a informazioni riservate del prodotto che valutano e i rapporti di prova richiesti sono ad uso esclusivo dell’ente di certificazione che emette il certificato.
A titolo esemplificativo, l’ISO TS 23532-1 specifica alcuni tipi di informazioni che potrebbero essere esclusi dagli output delle valutazioni CC perché appunto riservate:
- informazioni proprietarie (es. codice sorgente);
- informazioni specifiche sul campionamento e sui test effettuati sul prodotto;
- la stima dell’effort per eseguire la valutazione;
- informazioni del prodotto commercialmente sensibili.
Ovviamente il laboratorio deve adottare le necessarie misure di sicurezza fisiche e logiche (prettamente accessi strong, tracciamento, cifratura dei dati,….) per proteggere la riservatezza delle informazioni e deve garantire una separazione, logica e fisica, tra i valutatori che effettuano la valutazione e tutte le persone a contorno come i valutatori che hanno effettuato attività di consulenza, gli sviluppatori del prodotto, i system integrator e, comunque, tutti i soggetti che potrebbero avere interesse nelle informazioni collegate alla valutazione e/o potrebbero influenzare negativamente i risultati della valutazione.
Le linee guida di ENISA per l’accreditamento dei laboratori in ambiti EUCC confermano i requisiti della ISO 17025 e li esplodono in requisiti di dettaglio sia tecnici che procedurali e organizzativi. Di fatto stabilisce quali sono i requisiti minimi che un laboratorio accreditato per l’EUCC deve implementare.
La competenza dei valutatori secondo la norma ISO 17025
Altro aspetto rilevante per i laboratori di prova è la competenza dei valutatori che può impattare sui risultati delle prove. La norma prevede che le competenze dei valutatori siano valutate, registrate, revisionate e che ci sia un training continuo per aumentare le competenze e renderle adeguate alle attività di valutazioni svolte.
Sia l’ISO TS 23532-1 che le linee guida ENISA per l’accreditamento dei laboratori in ambito valutazioni Common Criteria esplodono tale aspetto facendo riferimento alla norma ISO 19896 che descrive i requisiti di competenza che devono avere i tester e valutatori della sicurezza delle informazioni.
In particolare, la prima parte di tale norma descrive quali sono gli elementi di competenza, i livelli di competenza e la misurazione di tali elementi di competenza, mentre la terza parte della norma descrive le conoscenze, gli skills, l’esperienza e l’istruzione che valutatori devono avere per poter effettuare le valutazioni di sicurezza Common Criteria.
Le conoscenze e gli skill che i valutatori devono avere sono prettamente orientate alla conoscenza dello standard Common Criteria e della Common Evaluation Methodology (CEM) che usano per effettuare le valutazioni, oltre a una buona conoscenza di tematiche sulla Sicurezza delle Informazioni e sulle tecnologie che dovrà valutare.
Relativamente all’esperienza dei valutatori, la norma stabilisce che questa è acquisita durante le valutazioni che i valutatori eseguono e che tale esperienza, soprattutto per le prime valutazioni, è acquisita sotto la supervisione di valutatori più esperti.
L’istruzione dei valutatori deve essere adeguata e quindi si richiede un corso di studi universitario almeno triennale che includa specializzazioni tecniche in ambito IT e Sicurezza IT. Tale requisito può essere superato quando il valutatore ha acquisito una sufficiente esperienza lavorativa in ambito IT e sicurezza IT nella quale ha sviluppato competenze e skill equivalenti al corso di studi universitario citato prima.
La norma pone anche dei requisiti sull’efficacia dei valutatori (effectiveness in inglese).
In linea generale, il valutatore deve essere in grado di utilizzare le proprie conoscenze e capacità in modo costruttivo, come dimostrato da comportamenti quali attitudine, iniziativa, entusiasmo, disponibilità, capacità di comunicazione, impegno nel team e leadership.
La norma indica i principi che devono essere applicati per assicurare l’efficacia dei valutatori nelle varie fasi della valutazione, mentre nella prima parte della norma sono indicati i criteri con cui misurare l’efficacia raggiunta dai valutatori.
L’adattamento della norma ISO 17025 per le valutazioni Common Criteria
Come detto in precedenza, la ISO 17025 è la norma maggiormente utilizzata per l’accreditamento dei laboratori di prova e taratura. La sua applicazione alle valutazioni di sicurezza Common Criteria è una scelta valida, ma la particolarità di queste valutazioni richiede delle integrazioni e maggiori specificazioni dei requisiti per renderli applicabili in tale ambito.
Con l’introduzione dello schema europeo EUCC, la procedura di accreditamento dei laboratori sarà anche più complessa perché lo schema richiede ulteriori attività al laboratorio che oggi non sono totalmente contemplate nello standard Common Criteria.
A titolo esemplificativo e non esaustivo, i laboratori dovranno avere dei processi per monitorare la compliance allo schema di certificazione, gestire valutazioni composite e avere dei processi per il patch management finalizzato alla manutenzione dei certificati.
L’accreditamento ISO 17025 in ambito EUCC consente ai laboratori di effettuare valutazioni a livello “substantial”. Per le valutazioni a livello “high”, negli stati membri che le effettuano, i laboratori dovranno effettuare un accreditamento aggiuntivo ed integrativo da parte dei Conformity Assessment Body (CAB) governativi autorizzati ad effettuare valutazioni a tale livello in quanto dovranno essere conformi a requisiti aggiuntivi stabiliti dallo schema per i domini tecnici in cui dovranno operare.
Infine, molti Paesi, sia europei che non, hanno introdotto, o stanno per introdurre, delle certificazioni nazionali dei prodotti ICT per ambiti considerati strategici. È il caso del Perimetro di Sicurezza Cibernetico nazionale introdotto circa due anni che ha previsto la certificazione obbligatoria per alcune tipologie di prodotti ICT acquisite dalle aziende incluse nel perimetro. È stato quindi creato il Centro Valutazioni e Certificazioni Nazionali (CVCN) che ha la responsabilità di effettuare queste certificazioni avvalendosi di laboratori chiamati Laboratorio Accreditati di Prove (LAP). Anche in questo caso, la norma di riferimento per l’accreditamento del laboratorio è la ISO 17025 e sono stati rinforzati tutta una serie di requisiti, soprattutto sulle competenze dei valutatori e sulle misure di sicurezza logica e fisica da implementare.
Conclusioni
In conclusione, l’utilizzo della ISO 17025 per l’accreditamento dei laboratori di prova rimane una scelta valida, anche se necessita di integrazioni specifiche per adattarla al settore specifico in cui il laboratorio opera.