Architetto.info - Architetto.info | Architetto.info

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 11 aprile 2002: Sche...

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 11 aprile 2002: Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato. (GU n. 131 del 6-6-2002)

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 11 aprile 2002

Schema nazionale per la valutazione e la certificazione della
sicurezza delle tecnologie dell’informazione, ai fini della tutela
delle informazioni classificate, concernenti la sicurezza interna ed
esterna dello Stato.

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visti gli articoli 1 e 12 della legge 24 ottobre 1977, n. 801,
recante “Istituzione e ordinamento dei servizi per le informazioni e
la sicurezza e disciplina del segreto di Stato”;
Visto il regio decreto-legge 11 luglio 1941, n. 1161 recante “Norme
relative al segreto militare”;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. 1/R – Norme unificate per la tutela del segreto di
Stato – Volume I – Sistema di sicurezza – Edizione 1987;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. 1/R – Norme unificate per la tutela del segreto di
Stato – Volume III – Sicurezza industriale – Edizione 1993;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. 1/R/A – Norme unificate per la tutela del segreto di
Stato – Direttiva per la protezione delle informazioni coperte dal
segreto di Stato trattate nei sistemi di elaborazione automatica e/o
elettronica di dati (E.A.D.) – Edizione 1993;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. 1/R – Norme unificate per la tutela del segreto di
Stato – Volume II – Sicurezza delle comunicazioni ed organizzazioni e
procedure del servizio cifra – Edizione 1994;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. COMSEC 256 (B) – Norme relative all’installazione di
apparati elettrici ed elettronici che elaborano informazioni
classificate – Edizione 1998;
Visto l’atto della Commissione europea datato giugno 1991 con il
quale sono stati stabiliti i criteri di valutazione della sicurezza
dei sistemi informatici denominati “ITSEC” (Information Technology
Security Evaluation Criteria);
Vista la Raccomandazione del Consiglio dell’Unione europea
(95/144/CE) in data 7 aprile 1995 concernente l’applicazione di
omogenei criteri per la valutazione della sicurezza delle tecnologie
dell’informazione (ITSEC) nell’ambito delle procedure di valutazione
e certificazione;
Visto l’atto del Comitato di gestione dell’ISO che recepisce quale
International Standard ISO/IEC IS n. 15408, la versione 2.1 dei
“Common Criteria”, documento recante la definizione dei criteri
tecnici di valutazione delle tecnologie dell’informazione;
Visto l’accordo sul Mutuo riconoscimento dei certificati emessi
secondo i predetti Criteri comuni nel campo della sicurezza della
tecnologia dell’informazione, sottoscritto il 23 maggio 2000 al fine
di assicurare la cooperazione e il mutuo riconoscimento, a livello
comunitario e internazionale, dei certificati di valutazione della
sicurezza delle tecnologie dell’informazione;
Visto l’art. 5 del citato accordo che dispone che le valutazioni
siano condotte secondo uno schema da adottare a cura di ciascun Paese
aderente, che garantisca la competenza tecnica dei centri adibiti
alla valutazione e l’imparzialita’ del procedimento;
Vista la Risoluzione del Consiglio dell’Unione europea del
28 gennaio 2002 relativa a un approccio comune e ad azioni specifiche
nel settore della sicurezza delle reti e dell’informazione;
Ravvisata pertanto la necessita’ di definire uno schema nazionale
per la valutazione e certificazione della sicurezza delle tecnologie
dell’informazione, dei sistemi e dei prodotti destinati alla
trattazione delle informazioni classificate, che individui procedure,
competenze e responsabilita’ dei soggetti coinvolti nei processi di
valutazione e certificazione;
Acquisito il parere dell’Autorita’ per l’informatica nella pubblica
amministrazione, espresso nell’adunanza del 28 febbraio 2002;
Decreta:
Art. 1.
Oggetto e ambito di applicazione dello schema nazionale
Il presente schema nazionale per la valutazione e la certificazione
della sicurezza nel settore delle tecnologie dell’informazione per la
tutela delle informazioni classificate disciplina le linee essenziali
per la definizione dei criteri e delle procedure da osservare per il
funzionamento degli organismi di certificazione e per la valutazione
dei prodotti e dei sistemi che gestiscono informazioni classificate.
Lo schema si applica ogniqualvolta una persona fisica o giuridica,
le amministrazioni pubbliche e qualsiasi altro ente, associazione od
organismo chiede la fornitura o lo sviluppo di un prodotto o di un
sistema per la trattazione di tali informazioni.

Art. 2.
Definizioni
Ai fini del presente decreto si intende per:
1. “Autorita’ Nazionale per la Sicurezza”, in seguito A.N.S., il
Presidente del Consiglio dei Ministri ovvero l’Organo dallo stesso
delegato per l’esercizio delle funzioni in materia di tutela delle
informazioni, documenti e materiali classificati;
2. “Ufficio Centrale per la Sicurezza”, l’articolazione della
Segreteria Generale del Comitato esecutivo per i servizi di
informazione e sicurezza (CESIS), di cui l’A.N.S. si avvale per
l’attivita’ amministrativa concernente la tutela delle informazioni,
documenti e materiali classificati;
3. “informazione classificata”, ogni informazione, documento o
materiale cui sia stata attribuita, da un’autorita’ competente, una
classifica di segretezza;
4. “criteri di valutazione della sicurezza delle tecnologie
dell’informazione” ITSEC, i criteri uniformi di base, a livello
europeo, per la valutazione e la certificazione della sicurezza della
tecnologia della informazione idonei a consentire il mutuo
riconoscimento di un prodotto o di un sistema a livello
internazionale;
5. “manuale di valutazione della sicurezza delle tecnologie
dell’informazione” ITSEM, il manuale recante i criteri base necessari
per la valutazione della sicurezza delle tecnologie
dell’informazione;
6. “criteri comuni” (o Common Criteria) i criteri base per la
valutazione della sicurezza delle tecnologie dell’informazione,
definiti in un documento tecnico costituente, nella versione 2.1, lo
standard internazionale ISO denominato “International standard
15408”;
7. “schema nazionale”, l’insieme delle procedure e delle regole
nazionali necessarie per la valutazione e certificazione, in
conformita’ ai criteri europei ITSEC e ITSEM o agli standard
internazionali ISO/IEC IS-15408, emanati dall’Organizzazione
Internazionale per la Standardizzazione – ISO;
8. “tecnologie dell’informazione”, l’insieme delle tecniche
hardware e software applicate alla gestione automatica delle
informazioni;
9. “sistema”, l’insieme di prodotti, funzionalmente o fisicamente
interconnessi, destinato al trattamento automatico delle informazioni
per un utilizzo specifico in un ambiente definito;
10. “sistema classificato”, un sistema impiegato per
l’elaborazione, la trattazione, la conservazione e la trasmissione di
informazioni classificate;
11. “prodotto”, un elemento software o hardware, idoneo a fornire
una determinata funzionalita’, progettato per essere utilizzato o
incorporato in uno o piu’ sistemi;
12. “manuale di valutazione comune” o CEM, il documento tecnico
recante i metodi e le procedure di valutazione della sicurezza della
tecnologia dell’informazione, secondo i criteri comuni, idonei a
consentire il mutuo riconoscimento di un prodotto o di un sistema a
livello di omologhi organismi internazionali;
13. “linee guida”, gli elementi di base esplicativi delle
modalita’ di applicazione dello schema nazionale di valutazione e
certificazione;
14. “committente”, il soggetto pubblico o privato che richiede al
fornitore lo sviluppo o la fornitura di un prodotto o di un sistema;
15. “fornitore”, il soggetto pubblico o privato fornitore del
prodotto o del sistema;
16. “ente di certificazione”, l’organismo pubblico responsabile
della certificazione dei prodotti e dei sistemi informatici,
dell’accreditamento dei centri di valutazione nonche’ della
definizione, dell’applicazione e dell’aggiornamento dello schema
nazionale;
17. “certificazione”, l’attestazione della corretta applicazione
dei criteri di valutazione adottati per la realizzazione di un
prodotto o sistema;
18. “centro di valutazione” o “CE.VA.”, un organismo accreditato
dall’A.N.S. in conformita’ agli standard internazionali, competente
per le valutazioni di sicurezza di un prodotto o di un sistema;
19. “valutazione”, l’analisi e la verifica da parte di un centro
di valutazione della conformita’ di un prodotto o di un sistema ai
requisiti di sicurezza;
20. “accreditamento”, il riconoscimento formale
dell’imparzialita’ e competenza di un centro di valutazione ad
effettuare le valutazioni;
21. “target di sicurezza”, l’insieme degli obbiettivi di
sicurezza predefiniti per un prodotto o un sistema da utilizzare
quale parametro di riferimento per la valutazione e per la condotta
cui attenersi nel corso delle valutazioni;
22. “oggetto della valutazione” il prodotto o il sistema
sottoposto a valutazione;
23. “piano di valutazione”, il documento prodotto da un centro di
valutazione sottoposto all’approvazione dell’ente di certificazione
recante la descrizione dell’organizzazione e delle attivita’
necessarie per una specifica valutazione;
24. “profili di protezione”, l’insieme dei requis…

[Continua nel file zip allegato]

Architetto.info