DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 11 aprile 2002 - Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Visti gli articoli 1 e 12 della legge 24 ottobre 1977, n. 801, recante "Istituzione e ordinamento dei servizi per le informazioni e la sicurezza e disciplina del segreto di Stato"; Visto il regio decreto-legge 11 luglio 1941, n. 1161 recante "Norme relative al segreto militare"; Vista la pubblicazione del Presidente del Consiglio dei Ministri P.C.M.-A.N.S. 1/R - Norme unificate per la tutela del segreto di Stato - Volume I - Sistema di sicurezza - Edizione 1987; Vista la pubblicazione del Presidente del Consiglio dei Ministri P.C.M.-A.N.S. 1/R - Norme unificate per la tutela del segreto di Stato - Volume III - Sicurezza industriale - Edizione 1993; Vista la pubblicazione del Presidente del Consiglio dei Ministri P.C.M.-A.N.S. 1/R/A - Norme unificate per la tutela del segreto di Stato - Direttiva per la protezione delle informazioni coperte dal segreto di Stato trattate nei sistemi di elaborazione automatica e/o elettronica di dati (E.A.D.) - Edizione 1993; Vista la pubblicazione del Presidente del Consiglio dei Ministri P.C.M.-A.N.S. 1/R - Norme unificate per la tutela del segreto di Stato - Volume II - Sicurezza delle comunicazioni ed organizzazioni e procedure del servizio cifra - Edizione 1994; Vista la pubblicazione del Presidente del Consiglio dei Ministri P.C.M.-A.N.S. COMSEC 256 (B) - Norme relative all'installazione di apparati elettrici ed elettronici che elaborano informazioni classificate - Edizione 1998; Visto l'atto della Commissione europea datato giugno 1991 con il quale sono stati stabiliti i criteri di valutazione della sicurezza dei sistemi informatici denominati "ITSEC" (Information Technology Security Evaluation Criteria); Vista la Raccomandazione del Consiglio dell'Unione europea (95/144/CE) in data 7 aprile 1995 concernente l'applicazione di omogenei criteri per la valutazione della sicurezza delle tecnologie dell'informazione (ITSEC) nell'ambito delle procedure di valutazione e certificazione; Visto l'atto del Comitato di gestione dell'ISO che recepisce quale International Standard ISO/IEC IS n. 15408, la versione 2.1 dei "Common Criteria", documento recante la definizione dei criteri tecnici di valutazione delle tecnologie dell'informazione; Visto l'accordo sul Mutuo riconoscimento dei certificati emessi secondo i predetti Criteri comuni nel campo della sicurezza della tecnologia dell'informazione, sottoscritto il 23 maggio 2000 al fine di assicurare la cooperazione e il mutuo riconoscimento, a livello comunitario e internazionale, dei certificati di valutazione della sicurezza delle tecnologie dell'informazione; Visto l'art. 5 del citato accordo che dispone che le valutazioni siano condotte secondo uno schema da adottare a cura di ciascun Paese aderente, che garantisca la competenza tecnica dei centri adibiti alla valutazione e l'imparzialita' del procedimento; Vista la Risoluzione del Consiglio dell'Unione europea del 28 gennaio 2002 relativa a un approccio comune e ad azioni specifiche nel settore della sicurezza delle reti e dell'informazione; Ravvisata pertanto la necessita' di definire uno schema nazionale per la valutazione e certificazione della sicurezza delle tecnologie dell'informazione, dei sistemi e dei prodotti destinati alla trattazione delle informazioni classificate, che individui procedure, competenze e responsabilita' dei soggetti coinvolti nei processi di valutazione e certificazione; Acquisito il parere dell'Autorita' per l'informatica nella pubblica amministrazione, espresso nell'adunanza del 28 febbraio 2002; Decreta

Art. 1.

Oggetto e ambito di applicazione dello schema nazionale Il presente schema nazionale per la valutazione e la certificazione della sicurezza nel settore delle tecnologie dell'informazione per la tutela delle informazioni classificate disciplina le linee essenziali per la definizione dei criteri e delle procedure da osservare per il funzionamento degli organismi di certificazione e per la valutazione dei prodotti e dei sistemi che gestiscono informazioni classificate.

Lo schema si applica ogniqualvolta una persona fisica o giuridica, le amministrazioni pubbliche e qualsiasi altro ente, associazione od organismo chiede la fornitura o lo sviluppo di un prodotto o di un sistema per la trattazione di tali informazioni.

Art. 2.

Definizioni Ai fini del presente decreto si intende per

1. "Autorita' Nazionale per la Sicurezza", in seguito A.N.S., il Presidente del Consiglio dei Ministri ovvero l'Organo dallo stesso delegato per l'esercizio delle funzioni in materia di tutela delle informazioni, documenti e materiali classificati; 2. "Ufficio Centrale per la Sicurezza", l'articolazione della Segreteria Generale del Comitato esecutivo per i servizi di informazione e sicurezza (CESIS), di cui l'A.N.S. si avvale per l'attivita'...