ELISS
Experts of Lawful Interception and Security Standards
Lawful Interception Academy



Attività

Eliss Lemf Conformity Assessment Program (ELCAP)

programma_greenIn attuazione di quanto previsto dal proprio Statuto all’art. 4 comma 5, ELISS ha definito le modalità per valutare la conformità a determinati requisiti tecnici definiti dall’ELISS, da parte dei produttori degli apparati utilizzati dall’Autorità Giudiziaria per la ricezione dei risultati della Lawful Interception.

I requisiti definiti da ELISS sono stati raggruppati in 4 tipologie o c.d. livelli, dei quali uno richiede l’applicazione degli standards ETSI in materia di Lawful Interception. Il dettaglio relativo ai requisiti richiesti nei 4 livelli è contenuto nel documento allegato “ELCAP- Descrizione delle finalità e delle caratteristiche del programma” di Ottobre 2013.

 

Caratteristiche
icon_pdfLa verifica di conformità di ELISS rappresenta un’attestazione di possesso di determinati requisiti funzionali e di sicurezza nell’ambito specifico della ricezione dei risultati delle intercettazioni legali, ma soprattutto costituisce un programma di verifica di conformità (da qui il nome ELCAP – Eliss Lemf Conformity Assessment Program) che ha il fine ultimo di assicurare il rispetto dei diritti fondamentali del cittadino in tema di conservazione e protezione dei propri dati, senza dimenticare l’aspetto di corretta visualizzazione degli stessi affinché non possano sorgere dubbi sulla loro interpretazione e sul loro utilizzo in caso di giudizio.

La verifica di conformità è rivolta ai Soci costruttori di apparati utilizzati per la ricezione dei risultati delle intercettazioni legali, compresi i risultati delle attività di localizzazione, ad uso dell’Autorità Giudiziaria. Il programma di valutazione si basa su 4 livelli:
1.    liceità del software di base;
2.    aderenza agli standards tecnici internazionali ETSI;
3.    aderenza alle linee guida di ELISS sulla visualizzazione dei contenuti;
4.    aderenza alle linee guida di ELISS sulla sicurezza delle operazioni di mantenimento ed esportazione dei dati, di tracciamento delle operazioni sugli apparati.

La dichiarazione di conformità deve essere valida per tutti i suddetti livelli e non ha alcun costo per il Socio.

Ottenimento
La verifica di conformità è ottenuta nella forma di autodichiarazione da parte del Socio, che assume quindi eventuali responsabilità derivanti da un’applicazione non corretta degli standard definiti dall’Associazione. Ogni livello di conformità racchiude implicitamente la conformità ai livelli precedenti.

La dichiarazione di conformità è valida per singola tipologia di apparato che dovrà essere identificato da un codice univoco. Per ogni conformità dichiarata, il Socio riceverà dall’Associazione un attestato che dovrà essere reso ben visibile sullo stesso apparato. Nella pratica sarà rilasciato un adesivo identificativo del livello di conformità dichiarato, il numero di conformità e la data di riferimento.

ELISS si propone di rendere pubblico l’elenco dei soggetti che richiederanno la conformità e l’esito. La verifica di conformità è rivolta al Socio, che accetta lo Statuto e soprattutto il Codice Etico, appartenente alla categoria Vendor. La conformità è ottenuta in una prima fase nella forma di autodichiarazione da parte del Socio, che assume quindi eventuali responsabilità derivanti da un’applicazione non corretta degli standards definiti dall’Associazione e da un controllo di una terza parte indipendente. La conformità allo standard ELISS è ottenuta sul modello NIST (National Institute of Standards and Technology) statunitense, che prevede un’attività di valutazione della conformità del prodotto che può essere effettuata da diversi soggetti:

(1) la parte richiedente, che è generalmente il fornitore o produttore,

(2) una seconda parte, che è generalmente l’acquirente o l’utilizzatore del prodotto,

(3) una terza parte, che è un un’entità indipendente, distinta dalle precedenti e che non ha alcun interesse nel rapporto tra queste,

(4) lo Stato, che ha un ruolo unico in attività di valutazione della conformità relative a requisiti normativi.

La certificazione, oltre a rappresentare un valore aggiunto per le aziende già certificate ISO 9001, costituisce per quest’ultime uno strumento indispensabile per distinguersi nell’attuale mercato che, soprattutto in Italia, soffre di una carente regolamentazione tecnica nello specifico ambito.

Per la Pubblica Amministrazione la certificazione garantisce il noleggio o l’acquisto di un prodotto operante nel pieno rispetto della legislazione,  degli standards tecnici e delle best practices adottate nel campo delle telecomunicazioni e della sicurezza.