IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
  Visto  il decreto legislativo 23 gennaio 2002, n. 10 di recepimento
della   direttiva   1999/93/CE   sulle   firme  elettroniche,  ed  in
particolare  l'art.  10,  comma  1,  che  prevede  la definizione con
decreto  del Presidente del Consiglio dei Ministri o, per sua delega,
del Ministro per l'innovazione e le tecnologie dello Schema nazionale
per  la  valutazione  e certificazione di sicurezza nel settore della
tecnologia dell'informazione;
  Visto il decreto del Presidente del Consiglio dei Ministri 9 agosto
2001,  pubblicato nella Gazzetta Ufficiale n. 198 del 27 agosto 2001,
concernente  la  delega  di funzioni dei Presidente del Consiglio dei
Ministri  in  materia  di  innovazione e tecnologie al Ministro senza
portafoglio, Lucio Stanca;
  Visto  il  decreto-legge  12 giugno  2001,  n. 217, convertito, con
modificazioni,   dalla   legge   3 agosto   2001,  n.  317,  recante:
«Modificazioni al decreto legislativo 30 luglio 1999, n. 300, nonche'
alla  legge  23 agosto 1988, n. 400, in materia di organizzazione del
Governo»;
  Visto  il  decreto-legge  1° dicembre 1993, n. 487, convertito, con
modificazioni,   dalla   legge   29 gennaio  1994,  n.  71,  recante:
«Trasformazione    dell'Amministrazione    delle    poste   e   delle
telecomunicazioni  in  ente pubblico economico e riorganizzazione dei
Ministero»;
  Visto  il decreto del Presidente della Repubblica 24 marzo 1995, n.
166, concernente: «Regolamento recante riorganizzazione del Ministero
delle poste e delle telecomunicazioni»;
  Vista   la   legge   31 dicembre   1996,   n.   675,  e  successive
modificazioni,  recante:  «Tutela  delle  persone e di altri soggetti
rispetto al trattamento dei dati personali;
  Visto il decreto del Presidente della Repubblica 28 luglio 1999, n.
318,  recante:  «Regolamento per l'individuazione delle misure minime
di sicurezza per il trattamento dei dati personali»;
  Visto  il decreto del Presidente della Repubblica 28 dicembre 2000,
n.  445,  recante:  «testo  unico  delle  disposizioni  legislative e
regolamentari  in  materia  di  documentazione  amministrativa», come
modificato dal decreto legislativo 23 gennaio 2002, n. 10;
  Visto l'art. 41, comma 2, della legge 16 gennaio 2003, n. 3;
  Vista  la direttiva del Ministro per l'innovazione e le tecnologie,
di  intesa  con  il  Ministro  delle  comunicazioni,  sulla sicurezza
informatica e delle telecomunicazioni nelle pubbliche amministrazioni
del 16 gennaio 2002;
  Vista   la  direttiva  1999/93/CE  del  Parlamento  europeo  e  del
Consiglio,  del  13 dicembre  1999, relativa ad un quadro comunitario
per le firme elettroniche;
  Vista   la   risoluzione  del  Consiglio  dell'Unione  europea  del
6 dicembre   2001  relativa  ad  un  approccio  comune  e  ad  azioni
specifiche    nel    settore    della    sicurezza   delle   reti   e
dell'informazione;
  Vista  la  decisione  della Commissione europea del 6 novembre 2000
(2000/709/CE)  relativa  ai  criteri minimi di cui devono tener conto
gli  Stati membri all'atto di designare gli organismi di cui all'art.
3,  paragrafo  4, della direttiva 1999/93/CE del Parlamento europeo e
del  Consiglio,  relativa  ad  un  quadro  comunitario  per  le firme
elettroniche;
  Viste  le  norme  UNI  CEI  EN  ISO/IEC  17025:2000  concernente  i
requisiti  generali  per  la  competenza dei laboratori di prova e di
taratura e UNI CEI EN 45011 concernente i requisiti generali relativi
agli organismi che gestiscono sistemi di certificazione di prodotti;
  Visti  i  criteri  di  cui  agli  Information  Technology  Security
Evaluation Criteria (ITSEC), giugno 1991, e al Information Technology
Security Evaluation Manual (ITSEM), settembre 1993;
  Vista   la   raccomandazione   del  Consiglio  dell'Unione  europea
(95/144/CE)  in  data  7 aprile  1995, concernente l'applicazione dei
criteri   per   la   valutazione  della  sicurezza  della  tecnologia
dell'informazione (ITSEC - Information Technology Security Evaluation
Criteria);
  Visto  l'atto  del  Comitato  di  gestione  dell'ISO (International
Standard  Organization)  che  definisce  come  International Standard
ISO/IEC   n.   15408,  la  versione  2.1  dei  «Common  Criteria  for
Information Technology Security Evaluation» dell'agosto 1999;
  Visto  il  Codice  di buona pratica per la gestione della sicurezza
dell'informazione di cui a ISO/IEC n. 17799, del 2000;
  Considerato  che l'informazione, nell'attuale societa', costituisce
un  bene essenziale e si rende necessario garantirne l'integrita', la
disponibilita'   e  la  riservatezza  con  misure  di  sicurezza  che
costituiscano parte integrante di un sistema informatico;
  Considerato  che  da  tempo i produttori offrono sistemi e prodotti
dotati  di  funzionalita'  di  sicurezza,  per  la  quale  dichiarano
caratteristiche  e  prestazioni al fine di orientare gli utenti nella
scelta delle soluzioni piu' idonee a soddisfare le proprie esigenze;
  Considerato  che in molte applicazioni caratterizzate da un elevato
grado  di  criticita', le predette dichiarazioni potrebbero risultare
non   sufficienti,   rendendo   necessaria  una  loro  valutazione  e
certificazione  della  sicurezza, condotte da soggetti indipendenti e
qualificati,  sulla base di standard riconosciuti a livello nazionale
ed internazionale;
  Considerato  che le garanzie concernenti l'adeguatezza, la qualita'
e  l'efficacia dei dispositivi di sicurezza di un sistema informatico
possono   essere   fornite   solo   da   certificatori  e  valutatori
indipendenti ed imparziali;
  Considerata  la  necessita'  di  favorire,  a livello comunitario e
internazionale, la cooperazione tra gli organismi di certificazione e
il   mutuo   riconoscimento  dei  certificati  di  valutazione  della
sicurezza nel settore della tecnologia dell'informazione;
  Considerata   la   necessita'   di   individuare  un  organismo  di
certificazione  e di definire uno Schema nazionale per la valutazione
e   certificazione  della  sicurezza  nel  settore  della  tecnologia
dell'informazione,    definendo   altresi'   le   competenze   e   le
responsabilita' degli organismi preposti alla sua applicazione;
  Ritenuto  che  l'Istituto  superiore  delle  comunicazioni  e delle
tecnologie    dell'informazione    (ISCTI)    del   Ministero   delle
comunicazioni  possiede  i requisiti di indipendenza, affidabilita' e
competenza   tecnica  richiesti  dalla  decisione  della  Commissione
europea del 6 novembre 2000 (2000/709/CE);
  Di  concerto  con  i  Ministri delle comunicazioni, delle attivita'
produttive e dell'economia e delle finanze;
                             A d o t t a
                        il seguente decreto:
                               Art. 1.
                             Definizioni
  1. Ai fini del presente decreto si intende per:
    a) COMMITTENTE:  la persona fisica, giuridica o altro organismo o
associazione  che  commissiona  e  sostiene gli oneri economici della
valutazione  e  certificazione e che puo' anche rivestire il ruolo di
fornitore;
    b) FORNITORE:  la  persona  fisica, giuridica o altro organismo o
associazione  che  fornisce  l'oggetto  della  valutazione e che puo'
rivestire anche il ruolo di committente;
    c) VALUTAZIONE:  l'analisi  di  un  sistema, prodotto, profilo di
protezione  o  traguardo  di sicurezza condotta in base a predefiniti
criteri applicati secondo una predefmita metodologia;
    d) LABORATORIO   PER   LA   VALUTAZIONE  DELLA  SICUREZZA  (LVS):
l'organizzazione  indipendente che ha ottenuto l'accreditamento e che
pertanto   e'   abilitata  ad  effettuare  valutazioni  e  a  fornire
assistenza;
    e) ACCREDITAMENTO:  il  riconoscimento formale dell'indipendenza,
affidabilita'  e  competenza  tecnica di un centro per la valutazione
della sicurezza;
    f) OGGETTO   DELLA  VALUTAZIONE  (ODV):  il  sistema  o  prodotto
sottoposto alla valutazione;
    g) PRODOTTO:  l'elemento  software,  hardware o firmware idoneo a
fornire   una   determinata   funzionalita',  progettato  per  essere
utilizzato o incorporato in uno o piu' sistemi;
    h) SISTEMA:   gli   elementi   software,   firmware   o  hardware
funzionalmente  o fisicamente interconnessi, destinati al trattamento
automatico delle informazioni ed operanti in un ambiente definito;
    i) PIANO  DI  VALUTAZIONE: il documento che descrive le attivita'
che  saranno  svolte  dal  centro  per la valutazione della sicurezza
durante  il  processo  di  valutazione,  i  tempi  di esecuzione e le
risorse necessarie;
    1)   RAPPORTO  DI  ATTIVITA':  il  documento  che  il  LVS  invia
all'organismo    di   certificazione,   nel   quale   sono   indicati
dettagliatamente  i  risultati  raggiunti  e  le attivita' svolte dal
centro stesso durante le varie fasi della valutazione;
    m)   RAPPORTO  DI  OSSERVAZIONE  il  rapporto  dell'organismo  di
certificazione  o  il LVS finalizzato alla richiesta di chiarimenti o
variazioni  inerenti  l'oggetto  cui  si  riferisce;  puo'  contenere
informazioni riservate;
    n) RAPPORTO   FINALE   DI   VALUTAZIONE:  il  rapporto  del  LVS,
contenente i risultati della valutazione, che costituisce la base per
la  certificazione  dell'ODV,  profilo  di  protezione o traguardo di
sicurezza, contenente informazioni riservate;
    o) RAPPORTO DI CERTIFICAZIONE: il documento emesso dall'organismo
di  certificazione,  che  conferma i risultati della valutazione e la
corretta applicazione dei criteri;
    p) CERTIFICAZIONE:  l'attestazione  da  parte  dell'organismo  di
certificazione  che  conferma  i  risultati  della  valutazione  e la
corretta   applicazione   dei   criteri  adottati  e  della  relativa
metodologia;
    q)  FIDUCIA:  la  fiducia che si puo' riporre nel soddisfacimento
degli  obiettivi di sicurezza da parte dell'oggetto della valutazione
considerando  le  minacce  e  l'ambiente  descritti  nel traguardo di
sicurezza;
    r) LIVELLO  DI FIDUCIA: la misura della fiducia espressa mediante
identificatori  alfanumerici  la  cui  parte  numerica  cresce con il
crescere  della  fiducia (in ITSEC da E0 a E6; nei Common Criteria da
EALO a EAL7);
    s) FUNZIONI  DI SICUREZZA: le contromisure di tipo tecnico di cui
e' dotato l'oggetto della valutazione;
    t) MECCANISMO  DI  SICUREZZA:  le componenti hardware, software e
firmware  che  realizzano  le  funzioni di sicurezza di cui e' dotato
l'oggetto della valutazione;
    u) MATERIALE  PER  LA VALUTAZIONE: la documentazione tecnica o le
componenti   software,   hardware,  firmware  realizzati  durante  lo
sviluppo  del  sistema  o  del  prodotto  e  contenente  informazioni
riservate;
    v) PROFILO DI PROTEZIONE: il documento che descrive per una certa
categoria  di  ODV  ed  in modo indipendente dalla realizzazione, gli
obiettivi  di  sicurezza,  le  minacce,  l'ambiente  ed  i  requisiti
funzionali e di fiducia, definiti secondo i Common Criteria;
    z) ROBUSTEZZA  DEI  MECCANISMI  DI  SICUREZZA E DELLE FUNZIONI DI
SICUREZZA DELL'ODV: la misura della capacita' di contrastare attacchi
diretti condotti con risorse predefinite;
    aa)  TRAGUARDO  DI  SICUREZZA: Il documento, utilizzato come base
per  la  valutazione  di  un  ODV,  che  contiene  gli  obiettivi  di
sicurezza,  la descrizione dell'ambiente in cui l'ODV e' utilizzato e
le  minacce  alle  quali  e'  soggetto,  i  requisiti funzionali e di
fiducia, la specifica delle funzioni di sicurezza.