DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 11 aprile 2002 - Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Visti gli articoli 1 e 12 della legge 24 ottobre 1977, n. 801, recante "Istituzione e ordinamento dei servizi per le informazioni e la sicurezza e disciplina del segreto di Stato"; Visto il regio decreto-legge 11 luglio 1941, n. 1161 recante "Norme relative al segreto militare"; Vista la pubblicazione del Presidente del Consiglio dei Ministri P.C.M.-A.N.S. 1/R - Norme unificate per la tutela del segreto di Stato - Volume I - Sistema di sicurezza - Edizione 1987; Vista la pubblicazione del Presidente del Consiglio dei Ministri P.C.M.-A.N.S. 1/R - Norme unificate per la tutela del segreto di Stato - Volume III - Sicurezza industriale - Edizione 1993; Vista la pubblicazione del Presidente del Consiglio dei Ministri P.C.M.-A.N.S. 1/R/A - Norme unificate per la tutela del segreto di Stato - Direttiva per la protezione delle informazioni coperte dal segreto di Stato trattate nei sistemi di elaborazione automatica e/o elettronica di dati (E.A.D.) - Edizione 1993; Vista la pubblicazione del Presidente del Consiglio dei Ministri P.C.M.-A.N.S. 1/R - Norme unificate per la tutela del segreto di Stato - Volume II - Sicurezza delle comunicazioni ed organizzazioni e procedure del servizio cifra - Edizione 1994; Vista la pubblicazione del Presidente del Consiglio dei Ministri P.C.M.-A.N.S. COMSEC 256 (B) - Norme relative all'installazione di apparati elettrici ed elettronici che elaborano informazioni classificate - Edizione 1998; Visto l'atto della Commissione europea datato giugno 1991 con il quale sono stati stabiliti i criteri di valutazione della sicurezza dei sistemi informatici denominati "ITSEC" (Information Technology Security Evaluation Criteria); Vista la Raccomandazione del Consiglio dell'Unione europea (95/144/CE) in data 7 aprile 1995 concernente l'applicazione di omogenei criteri per la valutazione della sicurezza delle tecnologie dell'informazione (ITSEC) nell'ambito delle procedure di valutazione e certificazione; Visto l'atto del Comitato di gestione dell'ISO che recepisce quale International Standard ISO/IEC IS n. 15408, la versione 2.1 dei "Common Criteria", documento recante la definizione dei criteri tecnici di valutazione delle tecnologie dell'informazione; Visto l'accordo sul Mutuo riconoscimento dei certificati emessi secondo i predetti Criteri comuni nel campo della sicurezza della tecnologia dell'informazione, sottoscritto il 23 maggio 2000 al fine di assicurare la cooperazione e il mutuo riconoscimento, a livello comunitario e internazionale, dei certificati di valutazione della sicurezza delle tecnologie dell'informazione; Visto l'art. 5 del citato accordo che dispone che le valutazioni siano condotte secondo uno schema da adottare a cura di ciascun Paese aderente, che garantisca la competenza tecnica dei centri adibiti alla valutazione e l'imparzialita' del procedimento; Vista la Risoluzione del Consiglio dell'Unione europea del 28 gennaio 2002 relativa a un approccio comune e ad azioni specifiche nel settore della sicurezza delle reti e dell'informazione; Ravvisata pertanto la necessita' di definire uno schema nazionale per la valutazione e certificazione della sicurezza delle tecnologie dell'informazione, dei sistemi e dei prodotti destinati alla trattazione delle informazioni classificate, che individui procedure, competenze e responsabilita' dei soggetti coinvolti nei processi di valutazione e certificazione; Acquisito il parere dell'Autorita' per l'informatica nella pubblica amministrazione, espresso nell'adunanza del 28 febbraio 2002; Decreta
Art. 1.
Oggetto e ambito di applicazione dello schema nazionale Il presente schema nazionale per la valutazione e la certificazione della sicurezza nel settore delle tecnologie dell'informazione per la tutela delle informazioni classificate disciplina le linee essenziali per la definizione dei criteri e delle procedure da osservare per il funzionamento degli organismi di certificazione e per la valutazione dei prodotti e dei sistemi che gestiscono informazioni classificate.
Lo schema si applica ogniqualvolta una persona fisica o giuridica, le amministrazioni pubbliche e qualsiasi altro ente, associazione od organismo chiede la fornitura o lo sviluppo di un prodotto o di un sistema per la trattazione di tali informazioni.
Art. 2.
Definizioni Ai fini del presente decreto si intende per
-
"Autorita' Nazionale per la Sicurezza", in seguito A.N.S., il Presidente del Consiglio dei Ministri ovvero l'Organo dallo stesso delegato per l'esercizio delle funzioni in materia di tutela delle informazioni, documenti e materiali classificati; 2. "Ufficio Centrale per la Sicurezza", l'articolazione della Segreteria Generale del Comitato esecutivo per i servizi di informazione e sicurezza (CESIS), di cui l'A.N.S. si avvale per l'attivita'...
Per continuare a leggere
RICHIEDI UNA PROVA