|
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visti gli articoli 1 e 12
della legge 24 ottobre 1977, n. 801, recante "Istituzione e
ordinamento dei servizi per le informazioni e la sicurezza e disciplina
del segreto di Stato";
Visto il regio decreto-legge 11 luglio 1941, n. 1161 recante "Norme
relative al segreto militare"; Vista la pubblicazione del Presidente
del Consiglio dei Ministri P.C.M.-A.N.S. 1/R - Norme unificate per la
tutela del segreto di Stato - Volume I - Sistema di sicurezza - Edizione
1987;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. 1/R - Norme unificate per la tutela del segreto di Stato -
Volume III - Sicurezza industriale - Edizione 1993;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. 1/R/A - Norme unificate per la tutela del segreto di Stato
- Direttiva per la protezione delle informazioni coperte dal segreto di
Stato trattate nei sistemi di elaborazione automatica e/o elettronica di
dati (E.A.D.) - Edizione 1993;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. 1/R - Norme unificate per la tutela del segreto di Stato -
Volume II - Sicurezza delle comunicazioni ed organizzazioni e procedure
del servizio cifra - Edizione 1994;
Vista la pubblicazione del Presidente
del Consiglio dei Ministri P.C.M.-A.N.S. COMSEC 256 (B) - Norme relative
all'installazione di apparati elettrici ed elettronici che elaborano
informazioni classificate - Edizione 1998;
Visto l'atto della Commissione europea datato giugno 1991 con il quale
sono stati stabiliti i criteri di valutazione della sicurezza dei sistemi
informatici denominati "ITSEC" (Information Technology Security
Evaluation Criteria);
Vista la Raccomandazione del Consiglio dell'Unione europea (95/144/CE) in
data 7 aprile 1995 concernente l'applicazione di omogenei criteri per la
valutazione della sicurezza delle tecnologie dell'informazione (ITSEC)
nell'ambito delle procedure di valutazione e certificazione;
Visto l'atto
del Comitato di gestione dell'ISO che recepisce quale International
Standard ISO/IEC IS n. 15408, la versione 2.1 dei "Common Criteria",
documento recante la definizione dei criteri tecnici di valutazione delle
tecnologie dell'informazione;
Visto l'accordo sul Mutuo riconoscimento dei certificati emessi secondo i
predetti Criteri comuni nel campo della sicurezza della tecnologia
dell'informazione, sottoscritto il 23 maggio 2000 al fine di assicurare
la cooperazione e il mutuo riconoscimento, a livello comunitario e
internazionale, dei certificati di valutazione della sicurezza delle
tecnologie dell'informazione;
Visto l'art. 5 del citato accordo che
dispone che le valutazioni siano condotte secondo uno schema da adottare
a cura di ciascun Paese aderente, che garantisca la competenza tecnica
dei centri adibiti alla valutazione e l'imparzialita' del procedimento;
Vista la Risoluzione del Consiglio dell'Unione europea del 28 gennaio
2002 relativa a un approccio comune e ad azioni specifiche nel settore
della sicurezza delle reti e dell'informazione;
Ravvisata pertanto la
necessita' di definire uno schema nazionale per la valutazione e
certificazione della sicurezza delle tecnologie dell'informazione, dei
sistemi e dei prodotti destinati alla trattazione delle informazioni
classificate, che individui procedure, competenze e responsabilita' dei
soggetti coinvolti nei processi di valutazione e certificazione;
Acquisito il parere dell'Autorita' per l'informatica nella pubblica
amministrazione, espresso nell'adunanza del 28 febbraio 2002;
Decreta:
Art. 1
Oggetto e ambito di
applicazione dello schema nazionale Il presente schema nazionale per la
valutazione e la certificazione della sicurezza nel settore delle
tecnologie dell'informazione per la tutela delle informazioni
classificate disciplina le linee essenziali per la definizione dei
criteri e delle procedure da osservare per il funzionamento degli
organismi di certificazione e per la valutazione dei prodotti e dei
sistemi che gestiscono informazioni classificate.
Lo schema si applica
ogniqualvolta una persona fisica o giuridica, le amministrazioni
pubbliche e qualsiasi altro ente, associazione od organismo chiede la
fornitura o lo sviluppo di un prodotto o di un sistema per la trattazione
di tali informazioni.
Art. 2
Definizioni Ai fini del
presente decreto si intende per:
1. "Autorita' Nazionale per la Sicurezza", in seguito A.N.S.,
il Presidente del Consiglio dei Ministri ovvero l'Organo dallo stesso
delegato per l'esercizio delle funzioni in materia di tutela delle
informazioni, documenti e materiali classificati;
2. "Ufficio Centrale per la Sicurezza", l'articolazione della
Segreteria Generale del Comitato esecutivo per i servizi di informazione
e sicurezza (CESIS), di cui l'A.N.S. si avvale per l'attivita'
amministrativa concernente la tutela delle informazioni, documenti e
materiali classificati;
3. "informazione classificata", ogni informazione, documento o
materiale cui sia stata attribuita, da un'autorita' competente, una
classifica di segretezza;
4. "criteri di valutazione della sicurezza delle tecnologie
dell'informazione" ITSEC, i criteri uniformi di base, a livello
europeo, per la valutazione e la certificazione della sicurezza della
tecnologia della informazione idonei a consentire il mutuo riconoscimento
di un prodotto o di un sistema a livello internazionale;
5. "manuale di valutazione della sicurezza delle tecnologie
dell'informazione" ITSEM, il manuale recante i criteri base
necessari per la valutazione della sicurezza delle tecnologie
dell'informazione;
6. "criteri comuni" (o Common Criteria) i criteri base per la
valutazione della sicurezza delle tecnologie dell'informazione, definiti
in un documento tecnico costituente, nella versione 2.1, lo standard
internazionale ISO denominato "International standard 15408";
7. "schema nazionale", l'insieme delle procedure e delle regole
nazionali necessarie per la valutazione e certificazione, in conformita'
ai criteri europei ITSEC e ITSEM o agli standard internazionali ISO/IEC
IS-15408, emanati dall'Organizzazione Internazionale per la
Standardizzazione - ISO;
8. "tecnologie dell'informazione", l'insieme delle tecniche
hardware e software applicate alla gestione automatica delle
informazioni;
9. "sistema", l'insieme di prodotti, funzionalmente o
fisicamente interconnessi, destinato al trattamento automatico delle
informazioni per un utilizzo specifico in un ambiente definito;
10.
"sistema classificato", un sistema impiegato per
l'elaborazione, la trattazione, la conservazione e la trasmissione di
informazioni classificate;
11. "prodotto", un elemento software
o hardware, idoneo a fornire una determinata funzionalita', progettato
per essere utilizzato o incorporato in uno o piu' sistemi;
12.
"manuale di valutazione comune" o CEM, il documento tecnico
recante i metodi e le procedure di valutazione della sicurezza della
tecnologia dell'informazione, secondo i criteri comuni, idonei a
consentire il mutuo riconoscimento di un prodotto o di un sistema a
livello di omologhi organismi internazionali;
13. "linee
guida", gli elementi di base esplicativi delle modalita' di
applicazione dello schema nazionale di valutazione e certificazione;
14.
"committente", il soggetto pubblico o privato che richiede al
fornitore lo sviluppo o la fornitura di un prodotto o di un sistema;
15.
"fornitore", il soggetto pubblico o privato fornitore del
prodotto o del sistema;
16. "ente di certificazione",
l'organismo pubblico responsabile della certificazione dei prodotti e dei
sistemi informatici, dell'accreditamento dei centri di valutazione
nonche' della definizione, dell'applicazione e dell'aggiornamento dello
schema nazionale;
17. "certificazione", l'attestazione della
corretta applicazione dei criteri di valutazione adottati per la
realizzazione di un prodotto o sistema;
18. "centro di
valutazione" o "CE.VA.", un organismo accreditato dall'A.N.S.
in conformita' agli standard internazionali, competente per le
valutazioni di sicurezza di un prodotto o di un sistema;
19.
"valutazione", l'analisi e la verifica da parte di un centro di
valutazione della conformita' di un prodotto o di un sistema ai requisiti
di sicurezza;
20. "accreditamento", il riconoscimento formale
dell'imparzialita' e competenza di un centro di valutazione ad effettuare
le valutazioni;
21. "target di sicurezza", l'insieme degli
obbiettivi di sicurezza predefiniti per un prodotto o un sistema da
utilizzare quale parametro di riferimento per la valutazione e per la
condotta cui attenersi nel corso delle valutazioni;
22. "oggetto
della valutazione" il prodotto o il sistema sottoposto a
valutazione;
23. "piano di valutazione", il documento prodotto
da un centro di valutazione sottoposto all'approvazione dell'ente di
certificazione recante la descrizione dell'organizzazione e delle
attivita' necessarie per una specifica valutazione;
24. "profili di
protezione", l'insieme dei requisiti ed obbiettivi di sicurezza
richiesti ad una categoria di prodotti o di sistemi;
25. "integrita'",
l'idoneita' di un prodotto o di un sistema ad impedire che le
informazioni classificate trattate possano essere modificate senza
autorizzazione;
26. "disponibilita' delle informazioni", la
possibilita' riconosciuta agli utenti autorizzati, di accedere alle
informazioni o ai prodotti dell'attivita' di elaborazione;
27.
"assistenza", il complesso dell'attivita' di supporto connessa
alla formazione dei criteri, all'interpretazione delle disposizioni e
alla redazione della documentazione richiesta dallo "schema";
28. "rapporto finale di valutazione", il rapporto, emesso da un
centro di valutazione e sottoposto all'approvazione dell'ente di
certificazione, recante in dettaglio le operazioni e le conclusioni di
una valutazione di un prodotto o di un sistema;
29. "rapporto di
certificazione", il rapporto redatto dall'ente di certificazione nel
quale viene attestata l'idoneita' del prodotto o del sistema a garantire
la sicurezza predefinita nel "target di sicurezza".
Art. 3
Organismi
responsabili
L'ente di certificazione e' l'A.N.S. che a tal fine si
avvale dell'Ufficio Centrale per la Sicurezza della Segreteria Generale
del Comitato di cui all'art. 3 della legge 24 ottobre 1977, n. 801.
L'ente di certificazione assicura l'applicazione dello schema nazionale
per la valutazione e certificazione della sicurezza delle tecnologie
dell'informazione per la tutela delle informazioni, documenti ed elementi
classificati dalle stesse trattati.
Il Centro di valutazione e' l'organo
respensabile delle valutazioni di verifica della conformita' di un
prodotto o di un sistema ai requisiti di sicurezza predefiniti.
Art. 4
Compiti dell'ente
di certificazione
L'ente di certificazione:
a) definisce le regole
procedurali per la certificazione dei prodotti o dei sistemi sulla base
delle norme e direttive di riferimento nazionali ed internazionali;
b)
cura l'accreditamento dei Ce.Va. secondo le procedure individuate
dall'art. 7; determina la sospensione o la revoca dell'accreditamento in
caso di accertate inadempienze agli obblighi nascenti dalle presenti
disposizioni;
c) approva i piani di valutazione ed emana i rapporti di
certificazione dei prodotti e dei sistemi sulla base dei rapporti finali
di valutazione redatti dal CE.VA., ai sensi dell'art. 8;
d) rilascia le
certificazioni sulla base delle valutazioni effettuate;
e) esamina,
secondo le procedure individuate dall'art. 10, le eventuali controversie
tra le parti coinvolte nel presente schema allo scopo di pervenire, ove
possibile, ad una definizione consensuale delle stesse;
f) approva le
disposizioni per la valutazione dei prodotti e dei sistemi;
g) esprime
pareri sulle procedure concernenti l'attuazione dello schema nazionale di
valutazione e certificazione;
h) coordina le attivita' dei CE.VA.;
i)
cura le relazioni con gli enti di certificazione degli altri Paesi;
l)
sottoscrive accordi di mutuo riconoscimento con le omologhe strutture
degli altri Paesi e sovrintendere alla loro applicazione nell'ambito
nazionale;
m) cura la tenuta dell'elenco dei CE.VA. accreditati, con
l'indicazione dei settori di attivita' e del livello massimo di
classifica delle informazioni classificate cui i medesimi sono abilitati
ad avere accesso;
n) vigila sull'attivita' dei CE.VA. nel corso delle
attivita' di valutazione;
o) redige ed aggiorna periodicamente la lista
nazionale dei prodotti valutati;
p) provvede alla formazione tecnico
professionale dei soggetti adibiti alla certificazione e valutazione,
curando altresi' il rilascio delle abilitazioni di sicurezza richieste
agli stessi;
q) istruisce in materia di tutela amministrativa delle
informazioni classificate il personale a diverso titolo impiegato nelle
attivita' di valutazione.
Art. 5
Compiti dei Centri
di Valutazione
I CE.VA. valutano i prodotti o i sistemi secondo criteri
di indipendenza e imparzialita', nel rispetto degli obblighi di
segretezza e di riservatezza.
A tal fine:
a) assistono il committente ed
il fornitore di un prodotto o di un sistema nella redazione dei documenti
di sicurezza;
b) forniscono all'ente di certificazione gli elementi utili
per l'individuazione delle metodologie piu' idonee da adottare,
informandolo sulle attivita' compiute ai fini della valutazione;
c)
assicurano la salvaguardia di tutte le informazioni classificate relative
al prodotto o al sistema sottoposto alla loro valutazione, anche quelle
concernenti le informazioni tecniche acquisite nel corso dell'attivita'
di valutazione;
d) il valutatore di un CE.VA. che abbia prestato
assistenza al fornitore per un "oggetto della valutazione" o
per parte di esso, non puo' partecipare alla valutazione dello stesso.
Art. 6
Compiti del
committente e del fornitore
1. Il committente provvede alla definizione
dei requisiti di sicurezza del prodotto o del sistema richiesti, ai quali
perviene attraverso un'adeguata analisi del rischio del prodotto o del
sistema di cui si chiede la certificazione.
2. Il fornitore presenta al
CE.VA. la documentazione di propria competenza necessaria per la condotta
della valutazione. Egli, inoltre, fornisce al CE.VA. l'oggetto della
valutazione, il target di sicurezza e tutta la documentazione e il
materiale di supporto relativi agli aspetti di efficacia, correttezza e
funzionalita', previsti dai criteri di valutazione applicati.
A tale
scopo egli puo' chiedere la collaborazione del committente e del CE.VA.
3. Il fornitore puo' chiedere al CE.VA. una stima del costo della
valutazione, al fine di definire l'offerta da presentare al committente.
A tale scopo fornisce:
a) la documentazione concernente i requisiti di
sicurezza redatti dal committente;
b) il disegno architetturale della
soluzione;
c) le proposte identificative dei prodotti e dei sottosistemi
previsti dalla soluzione proposta;
d) eventuali profili di protezione di
riferimento.
4. Il fornitore puo' chiedere in qualsiasi momento
l'interruzione di una valutazione in corso, dandone comunicazione
all'ente di certificazione.
Art. 7
Procedure per
l'accreditamento del CE.VA.
L'ente pubblico o privato, che intende
ottenere l'accreditamento del proprio laboratorio quale centro di
valutazione di prodotti o di sistemi in conformita' al presente schema,
deve farne domanda all'ente di certificazione. L'accreditamento e'
subordinato all'accertamento del possesso da parte del laboratorio dei
seguenti requisiti:
a) lo svolgimento dell'attivita' in locali adeguati e
con mezzi idonei ad effettuare le valutazioni dei prodotti o dei sistemi;
b) l'esistenza di un'organizzazione interna in grado di assicurare il
controllo ed il rispetto delle misure di sicurezza prescritte e di
operare in piena autonomia di giudizio, indipendenza e imparzialita';
c)
il possesso delle abilitazioni di sicurezza industriali prescritte;
d) la
presenza di personale in possesso delle capacita' professionali
necessarie per la valutazione di prodotti o di sistemi di sicurezza, in
conformita' ai criteri in vigore;
e) il possesso da parte del personale
impiegato delle abilitazioni di sicurezza richieste dall'ente di
certificazione;
f) la conformita' ai parametri definiti dalla "european
norm (EN) 45001".
L'ente di certificazione, ricevuta la domanda di
accreditamento, istruisce la pratica e avvia le necessarie procedure
finalizzate ad esaminare le effettive capacita' valutative del
laboratorio richiedente.
L'ente di certificazione richiede altresi' al
laboratorio di effettuare una valutazione di prova, al termine della
quale il laboratorio produce il rapporto di valutazione.
L'ente di
certificazione, a conclusione della prova di valutazione e di eventuali
accertamenti suppletivi e sulla base della documentazione relativa alle
caratteristiche del laboratorio e del personale impiegato, redige entro
90 giorni dalla ricezione della domanda di accreditamento un verbale
recante la descrizione delle procedure osservate nonche' l'assenso o il
diniego al rilascio del certificato di accreditamento.
L'accreditamento
ha validita' triennale.
Art. 8
Procedure per la
valutazione e certificazione di un prodotto o di un sistema
1. Il
committente interessato alla realizzazione e acquisizione di un prodotto
o di un sistema definisce le specifiche di sicurezza richieste che
costituiscono il riferimento base per lo sviluppo e la valutazione
dell'oggetto della valutazione.
2. La valutazione di un prodotto o di un
sistema e' effettuata su richiesta del fornitore che fornisce all'ente di
certificazione e al CE.VA. gli elementi necessari per il giudizio. A tal
fine il fornitore produce l'oggetto della valutazione e ogni
documentazione o materiale necessari per la valutazione del prodotto o
del sistema.
3. Il fornitore individua tra i CE.VA. accreditati quello al
quale affidare la valutazione di sicurezza, dandone comunicazione
all'ente di certificazione.
4. Il CE.VA. produce all'ente di
certificazione il piano di valutazione recante la descrizione delle
attivita' necessarie al processo di valutazione. Il piano viene valutato
dall'ente di certificazione che si esprime per l'approvazione entro 60
giorni dalla sua ricezione.
5. Il CE.VA. redige il rapporto finale di
valutazione inoltrandolo all'ente di certificazione. Il rapporto e' un
documento recante informazioni classificate e non puo' essere rilasciato
a terzi senza il consenso delle parti coinvolte nel procedimento.
6.
L'ente di certificazione, sulla base dell'analisi della documentazione
prodotta dal committente, dal fornitore e dal CE.VA., redige il rapporto
di certificazione entro 90 giorni dalla ricezione del rapporto finale di
valutazione approvato, rilasciandone copia al committente, al fornitore e
al CE.VA. 7. In ordine al piano di valutazione ed al rapporto finale di
valutazione prodotti dai CE.VA., possono essere formulate da parte
dell'ente di certificazione osservazioni e richieste di chiarimenti.
8.
In relazione alla valutazione di sistemi, i termini di cui ai numeri 4 e
6 del presente articolo possono essere differiti, d'intesa tra le parti,
in ragione della complessita' del sistema stesso. Ai fini del decorso dei
predetti termini non e' computato il tempo richiesto per il riscontro ad
eventuali osservazioni e chiarimenti.
9. Nel caso in cui un fornitore
realizza autonomamente un "prodotto" e questo si rivela
d'interesse di un ente pubblico o privato, il fornitore puo' chiederne
direttamente all'ente di certificazione l'attestazione di sicurezza.
Art. 9
Rapporto di
certificazione
Il rapporto di certificazione redatto dall'ente di
certificazione attesta l'idoneita' del prodotto o del sistema a garantire
i livelli di sicurezza predefiniti.
A tal fine il rapporto dichiara la
conformita' della valutazione alle procedure individuate nel presente
decreto e la rispondenza del prodotto o del sistema ai criteri tecnici
predefiniti per garantire la sicurezza delle informazioni trattate.
Quando il rapporto di certificazione si conclude con una decisione
negativa, l'ente di certificazione inoltra motivato rapporto al CE.VA. e
al fornitore, informandone nel contempo il committente.
Sulla base del
rapporto, l'ente di certificazione rilascia il certificato attestante la
conformita' del prodotto o del sistema ai requisiti previsti dai criteri
di riferimento.
Art. 10
Clausole di
risoluzione consensuale delle controversie
In caso di controversia
relativa all'applicazione o all'interpretazione delle disposizioni
contenute nel presente schema nazionale, il rappresentante del CE.VA. e
il fornitore richiedono il preventivo intervento dell'ente di
certificazione per la definizione della stessa anche quando la richiesta
attenga il riesame del diniego relativo all'accreditamento del
laboratorio, la sua sospensione o revoca ovvero il rifiuto di
certificazione del prodotto o del sistema.
A tal fine, le parti
interessate formulano specifica richiesta all'ente di certificazione da
comunicarsi anche alle altre parti coinvolte nella procedura.
La
richiesta reca una sintetica esposizione e descrizione dei fatti e degli
elementi attinenti alle questioni, anche quelle di natura interpretativa,
sulle quali e' fondata la controversia.
L'ente di certificazione convoca
le parti che si riuniscono entro 30 giorni dalla ricezione della
richiesta per definire consensualmente la questione.
Art. 11
Abrogazioni e
disposizioni finali
Sono abrogate, in particolare, le direttive tecniche
P.C.M.-A.N.S./TI-006 e P.C.M.-A.N.S./TI-007, recanti disposizioni per
l'omologazione dei centri di valutazione della sicurezza informatica e
per la certificazione dei prodotti e dei sistemi informatici destinati a
gestire dati coperti dal segreto di Stato o di vietata divulgazione,
approvate in data 30 agosto 1995 dall'Autorita' nazionale per la
sicurezza.
Con separati atti da emanarsi entro centoventi giorni dalla
data di pubblicazione del presente decreto nella Gazzetta Ufficiale della
Repubblica italiana, l'Autorita' nazionale per la sicurezza delibera le
linee guida per la realizzazione dei piani di valutazione cui dovranno
attenersi il personale dei CE.VA., il committente e il fornitore al fine
di assicurare la piena attuazione del presente schema nazionale.
Le
disposizioni di cui al presente decreto entrano in vigore dal giorno
successivo a quello della sua pubblicazione sulla Gazzetta Ufficiale
della Repubblica italiana.
Roma, 11 aprile 2002
Il Presidente del
Consiglio dei Ministri Berlusconi
|