Art. 2.
Definizioni
Ai fini del presente decreto si intende per:
1. "Autorita' Nazionale per la Sicurezza", in seguito A.N.S., il
Presidente del Consiglio dei Ministri ovvero l'Organo dallo stesso
delegato per l'esercizio delle funzioni in materia di tutela delle
informazioni, documenti e materiali classificati;
2. "Ufficio Centrale per la Sicurezza", l'articolazione della
Segreteria Generale del Comitato esecutivo per i servizi di
informazione e sicurezza (CESIS), di cui l'A.N.S. si avvale per
l'attivita' amministrativa concernente la tutela delle informazioni,
documenti e materiali classificati;
3. "informazione classificata", ogni informazione, documento o
materiale cui sia stata attribuita, da un'autorita' competente, una
classifica di segretezza;
4. "criteri di valutazione della sicurezza delle tecnologie
dell'informazione" ITSEC, i criteri uniformi di base, a livello
europeo, per la valutazione e la certificazione della sicurezza della
tecnologia della informazione idonei a consentire il mutuo
riconoscimento di un prodotto o di un sistema a livello
internazionale;
5. "manuale di valutazione della sicurezza delle tecnologie
dell'informazione" ITSEM, il manuale recante i criteri base necessari
per la valutazione della sicurezza delle tecnologie
dell'informazione;
6. "criteri comuni" (o Common Criteria) i criteri base per la
valutazione della sicurezza delle tecnologie dell'informazione,
definiti in un documento tecnico costituente, nella versione 2.1, lo
standard internazionale ISO denominato "International standard
15408";
7. "schema nazionale", l'insieme delle procedure e delle regole
nazionali necessarie per la valutazione e certificazione, in
conformita' ai criteri europei ITSEC e ITSEM o agli standard
internazionali ISO/IEC IS-15408, emanati dall'Organizzazione
Internazionale per la Standardizzazione - ISO;
8. "tecnologie dell'informazione", l'insieme delle tecniche
hardware e software applicate alla gestione automatica delle
informazioni;
9. "sistema", l'insieme di prodotti, funzionalmente o fisicamente
interconnessi, destinato al trattamento automatico delle informazioni
per un utilizzo specifico in un ambiente definito;
10. "sistema classificato", un sistema impiegato per
l'elaborazione, la trattazione, la conservazione e la trasmissione di
informazioni classificate;
11. "prodotto", un elemento software o hardware, idoneo a fornire
una determinata funzionalita', progettato per essere utilizzato o
incorporato in uno o piu' sistemi;
12. "manuale di valutazione comune" o CEM, il documento tecnico
recante i metodi e le procedure di valutazione della sicurezza della
tecnologia dell'informazione, secondo i criteri comuni, idonei a
consentire il mutuo riconoscimento di un prodotto o di un sistema a
livello di omologhi organismi internazionali;
13. "linee guida", gli elementi di base esplicativi delle
modalita' di applicazione dello schema nazionale di valutazione e
certificazione;
14. "committente", il soggetto pubblico o privato che richiede al
fornitore lo sviluppo o la fornitura di un prodotto o di un sistema;
15. "fornitore", il soggetto pubblico o privato fornitore del
prodotto o del sistema;
16. "ente di certificazione", l'organismo pubblico responsabile
della certificazione dei prodotti e dei sistemi informatici,
dell'accreditamento dei centri di valutazione nonche' della
definizione, dell'applicazione e dell'aggiornamento dello schema
nazionale;
17. "certificazione", l'attestazione della corretta applicazione
dei criteri di valutazione adottati per la realizzazione di un
prodotto o sistema;
18. "centro di valutazione" o "CE.VA.", un organismo accreditato
dall'A.N.S. in conformita' agli standard internazionali, competente
per le valutazioni di sicurezza di un prodotto o di un sistema;
19. "valutazione", l'analisi e la verifica da parte di un centro
di valutazione della conformita' di un prodotto o di un sistema ai
requisiti di sicurezza;
20. "accreditamento", il riconoscimento formale
dell'imparzialita' e competenza di un centro di valutazione ad
effettuare le valutazioni;
21. "target di sicurezza", l'insieme degli obbiettivi di
sicurezza predefiniti per un prodotto o un sistema da utilizzare
quale parametro di riferimento per la valutazione e per la condotta
cui attenersi nel corso delle valutazioni;
22. "oggetto della valutazione" il prodotto o il sistema
sottoposto a valutazione;
23. "piano di valutazione", il documento prodotto da un centro di
valutazione sottoposto all'approvazione dell'ente di certificazione
recante la descrizione dell'organizzazione e delle attivita'
necessarie per una specifica valutazione;
24. "profili di protezione", l'insieme dei requisiti ed
obbiettivi di sicurezza richiesti ad una categoria di prodotti o di
sistemi;
25. "integrita'", l'idoneita' di un prodotto o di un sistema ad
impedire che le informazioni classificate trattate possano essere
modificate senza autorizzazione;
26. "disponibilita' delle informazioni", la possibilita'
riconosciuta agli utenti autorizzati, di accedere alle informazioni o
ai prodotti dell'attivita' di elaborazione;
27. "assistenza", il complesso dell'attivita' di supporto
connessa alla formazione dei criteri, all'interpretazione delle
disposizioni e alla redazione della documentazione richiesta dallo
"schema";
28. "rapporto finale di valutazione", il rapporto, emesso da un
centro di valutazione e sottoposto all'approvazione dell'ente di
certificazione, recante in dettaglio le operazioni e le conclusioni
di una valutazione di un prodotto o di un sistema;
29. "rapporto di certificazione", il rapporto redatto dall'ente
di certificazione nel quale viene attestata l'idoneita' del prodotto
o del sistema a garantire la sicurezza predefinita nel "target di
sicurezza".