Agrinews.info - Agrinews.info | Agrinews.info

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 ottobre 2003: App...

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 ottobre 2003: Approvazione dello schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell'informazione, ai sensi dell'art. 10, comma 1, del decreto legislativo 23 febbraio 2002, n. 10. (GU n. 98 del 27-4-2004)

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 ottobre 2003

Approvazione dello schema nazionale per la valutazione e la
certificazione della sicurezza nel settore della tecnologia
dell’informazione, ai sensi dell’art. 10, comma 1, del decreto
legislativo 23 febbraio 2002, n. 10.

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto il decreto legislativo 23 gennaio 2002, n. 10 di recepimento
della direttiva 1999/93/CE sulle firme elettroniche, ed in
particolare l’art. 10, comma 1, che prevede la definizione con
decreto del Presidente del Consiglio dei Ministri o, per sua delega,
del Ministro per l’innovazione e le tecnologie dello Schema nazionale
per la valutazione e certificazione di sicurezza nel settore della
tecnologia dell’informazione;
Visto il decreto del Presidente del Consiglio dei Ministri 9 agosto
2001, pubblicato nella Gazzetta Ufficiale n. 198 del 27 agosto 2001,
concernente la delega di funzioni dei Presidente del Consiglio dei
Ministri in materia di innovazione e tecnologie al Ministro senza
portafoglio, Lucio Stanca;
Visto il decreto-legge 12 giugno 2001, n. 217, convertito, con
modificazioni, dalla legge 3 agosto 2001, n. 317, recante:
«Modificazioni al decreto legislativo 30 luglio 1999, n. 300, nonche’
alla legge 23 agosto 1988, n. 400, in materia di organizzazione del
Governo»;
Visto il decreto-legge 1° dicembre 1993, n. 487, convertito, con
modificazioni, dalla legge 29 gennaio 1994, n. 71, recante:
«Trasformazione dell’Amministrazione delle poste e delle
telecomunicazioni in ente pubblico economico e riorganizzazione dei
Ministero»;
Visto il decreto del Presidente della Repubblica 24 marzo 1995, n.
166, concernente: «Regolamento recante riorganizzazione del Ministero
delle poste e delle telecomunicazioni»;
Vista la legge 31 dicembre 1996, n. 675, e successive
modificazioni, recante: «Tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali;
Visto il decreto del Presidente della Repubblica 28 luglio 1999, n.
318, recante: «Regolamento per l’individuazione delle misure minime
di sicurezza per il trattamento dei dati personali»;
Visto il decreto del Presidente della Repubblica 28 dicembre 2000,
n. 445, recante: «testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa», come
modificato dal decreto legislativo 23 gennaio 2002, n. 10;
Visto l’art. 41, comma 2, della legge 16 gennaio 2003, n. 3;
Vista la direttiva del Ministro per l’innovazione e le tecnologie,
di intesa con il Ministro delle comunicazioni, sulla sicurezza
informatica e delle telecomunicazioni nelle pubbliche amministrazioni
del 16 gennaio 2002;
Vista la direttiva 1999/93/CE del Parlamento europeo e del
Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario
per le firme elettroniche;
Vista la risoluzione del Consiglio dell’Unione europea del
6 dicembre 2001 relativa ad un approccio comune e ad azioni
specifiche nel settore della sicurezza delle reti e
dell’informazione;
Vista la decisione della Commissione europea del 6 novembre 2000
(2000/709/CE) relativa ai criteri minimi di cui devono tener conto
gli Stati membri all’atto di designare gli organismi di cui all’art.
3, paragrafo 4, della direttiva 1999/93/CE del Parlamento europeo e
del Consiglio, relativa ad un quadro comunitario per le firme
elettroniche;
Viste le norme UNI CEI EN ISO/IEC 17025:2000 concernente i
requisiti generali per la competenza dei laboratori di prova e di
taratura e UNI CEI EN 45011 concernente i requisiti generali relativi
agli organismi che gestiscono sistemi di certificazione di prodotti;
Visti i criteri di cui agli Information Technology Security
Evaluation Criteria (ITSEC), giugno 1991, e al Information Technology
Security Evaluation Manual (ITSEM), settembre 1993;
Vista la raccomandazione del Consiglio dell’Unione europea
(95/144/CE) in data 7 aprile 1995, concernente l’applicazione dei
criteri per la valutazione della sicurezza della tecnologia
dell’informazione (ITSEC – Information Technology Security Evaluation
Criteria);
Visto l’atto del Comitato di gestione dell’ISO (International
Standard Organization) che definisce come International Standard
ISO/IEC n. 15408, la versione 2.1 dei «Common Criteria for
Information Technology Security Evaluation» dell’agosto 1999;
Visto il Codice di buona pratica per la gestione della sicurezza
dell’informazione di cui a ISO/IEC n. 17799, del 2000;
Considerato che l’informazione, nell’attuale societa’, costituisce
un bene essenziale e si rende necessario garantirne l’integrita’, la
disponibilita’ e la riservatezza con misure di sicurezza che
costituiscano parte integrante di un sistema informatico;
Considerato che da tempo i produttori offrono sistemi e prodotti
dotati di funzionalita’ di sicurezza, per la quale dichiarano
caratteristiche e prestazioni al fine di orientare gli utenti nella
scelta delle soluzioni piu’ idonee a soddisfare le proprie esigenze;
Considerato che in molte applicazioni caratterizzate da un elevato
grado di criticita’, le predette dichiarazioni potrebbero risultare
non sufficienti, rendendo necessaria una loro valutazione e
certificazione della sicurezza, condotte da soggetti indipendenti e
qualificati, sulla base di standard riconosciuti a livello nazionale
ed internazionale;
Considerato che le garanzie concernenti l’adeguatezza, la qualita’
e l’efficacia dei dispositivi di sicurezza di un sistema informatico
possono essere fornite solo da certificatori e valutatori
indipendenti ed imparziali;
Considerata la necessita’ di favorire, a livello comunitario e
internazionale, la cooperazione tra gli organismi di certificazione e
il mutuo riconoscimento dei certificati di valutazione della
sicurezza nel settore della tecnologia dell’informazione;
Considerata la necessita’ di individuare un organismo di
certificazione e di definire uno Schema nazionale per la valutazione
e certificazione della sicurezza nel settore della tecnologia
dell’informazione, definendo altresi’ le competenze e le
responsabilita’ degli organismi preposti alla sua applicazione;
Ritenuto che l’Istituto superiore delle comunicazioni e delle
tecnologie dell’informazione (ISCTI) del Ministero delle
comunicazioni possiede i requisiti di indipendenza, affidabilita’ e
competenza tecnica richiesti dalla decisione della Commissione
europea del 6 novembre 2000 (2000/709/CE);
Di concerto con i Ministri delle comunicazioni, delle attivita’
produttive e dell’economia e delle finanze;
A d o t t a
il seguente decreto:
Art. 1.
Definizioni
1. Ai fini del presente decreto si intende per:
a) COMMITTENTE: la persona fisica, giuridica o altro organismo o
associazione che commissiona e sostiene gli oneri economici della
valutazione e certificazione e che puo’ anche rivestire il ruolo di
fornitore;
b) FORNITORE: la persona fisica, giuridica o altro organismo o
associazione che fornisce l’oggetto della valutazione e che puo’
rivestire anche il ruolo di committente;
c) VALUTAZIONE: l’analisi di un sistema, prodotto, profilo di
protezione o traguardo di sicurezza condotta in base a predefiniti
criteri applicati secondo una predefmita metodologia;
d) LABORATORIO PER LA VALUTAZIONE DELLA SICUREZZA (LVS):
l’organizzazione indipendente che ha ottenuto l’accreditamento e che
pertanto e’ abilitata ad effettuare valutazioni e a fornire
assistenza;
e) ACCREDITAMENTO: il riconoscimento formale dell’indipendenza,
affidabilita’ e competenza tecnica di un centro per la valutazione
della sicurezza;
f) OGGETTO DELLA VALUTAZIONE (ODV): il sistema o prodotto
sottoposto alla valutazione;
g) PRODOTTO: l’elemento software, hardware o firmware idoneo a
fornire una determinata funzionalita’, progettato per essere
utilizzato o incorporato in uno o piu’ sistemi;
h) SISTEMA: gli elementi software, firmware o hardware
funzionalmente o fisicamente interconnessi, destinati al trattamento
automatico delle informazioni ed operanti in un ambiente definito;
i) PIANO DI VALUTAZIONE: il documento che descrive le attivita’
che saranno svolte dal centro per la valutazione della sicurezza
durante il processo di valutazione, i tempi di esecuzione e le
risorse necessarie;
1) RAPPORTO DI ATTIVITA’: il documento che il LVS invia
all’organismo di certificazione, nel quale sono indicati
dettagliatamente i risultati raggiunti e le attivita’ svolte dal
centro stesso durante le varie fasi della valutazione;
m) RAPPORTO DI OSSERVAZIONE il rapporto dell’organismo di
certificazione o il LVS finalizzato alla richiesta di chiarimenti o
variazioni inerenti l’oggetto cui si riferisce; puo’ contenere
informazioni riservate;
n) RAPPORTO FINALE DI VALUTAZIONE: il rapporto del LVS,
contenente i risultati della valutazione, che costituisce la base per
la certificazione dell’ODV, profilo di protezione o traguardo di
sicurezza, contenente informazioni riservate;
o) RAPPORTO DI CERTIFICAZIONE: il documento emesso dall’organismo
di certificazione, che conferma i risultati della valutazione e la
corretta applicazione dei criteri;
p) CERTIFICAZIONE: l’attestazione d…

[Continua nel file zip allegato]

Agrinews.info