IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Visto il decreto legislativo 23 gennaio 2002, n. 10 di recepimento della direttiva 1999/93/CE sulle firme elettroniche, ed in particolare l'art. 10, comma 1, che prevede la definizione con decreto del Presidente del Consiglio dei Ministri o, per sua delega, del Ministro per l'innovazione e le tecnologie dello Schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione; Visto il decreto del Presidente del Consiglio dei Ministri 9 agosto 2001, pubblicato nella Gazzetta Ufficiale n. 198 del 27 agosto 2001, concernente la delega di funzioni dei Presidente del Consiglio dei Ministri in materia di innovazione e tecnologie al Ministro senza portafoglio, Lucio Stanca; Visto il decreto-legge 12 giugno 2001, n. 217, convertito, con modificazioni, dalla legge 3 agosto 2001, n. 317, recante: «Modificazioni al decreto legislativo 30 luglio 1999, n. 300, nonche' alla legge 23 agosto 1988, n. 400, in materia di organizzazione del Governo»; Visto il decreto-legge 1° dicembre 1993, n. 487, convertito, con modificazioni, dalla legge 29 gennaio 1994, n. 71, recante: «Trasformazione dell'Amministrazione delle poste e delle telecomunicazioni in ente pubblico economico e riorganizzazione dei Ministero»; Visto il decreto del Presidente della Repubblica 24 marzo 1995, n. 166, concernente: «Regolamento recante riorganizzazione del Ministero delle poste e delle telecomunicazioni»; Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni, recante: «Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali; Visto il decreto del Presidente della Repubblica 28 luglio 1999, n. 318, recante: «Regolamento per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali»; Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, recante: «testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa», come modificato dal decreto legislativo 23 gennaio 2002, n. 10; Visto l'art. 41, comma 2, della legge 16 gennaio 2003, n. 3; Vista la direttiva del Ministro per l'innovazione e le tecnologie, di intesa con il Ministro delle comunicazioni, sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni del 16 gennaio 2002; Vista la direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche; Vista la risoluzione del Consiglio dell'Unione europea del 6 dicembre 2001 relativa ad un approccio comune e ad azioni specifiche nel settore della sicurezza delle reti e dell'informazione; Vista la decisione della Commissione europea del 6 novembre 2000 (2000/709/CE) relativa ai criteri minimi di cui devono tener conto gli Stati membri all'atto di designare gli organismi di cui all'art. 3, paragrafo 4, della direttiva 1999/93/CE del Parlamento europeo e del Consiglio, relativa ad un quadro comunitario per le firme elettroniche; Viste le norme UNI CEI EN ISO/IEC 17025:2000 concernente i requisiti generali per la competenza dei laboratori di prova e di taratura e UNI CEI EN 45011 concernente i requisiti generali relativi agli organismi che gestiscono sistemi di certificazione di prodotti; Visti i criteri di cui agli Information Technology Security Evaluation Criteria (ITSEC), giugno 1991, e al Information Technology Security Evaluation Manual (ITSEM), settembre 1993; Vista la raccomandazione del Consiglio dell'Unione europea (95/144/CE) in data 7 aprile 1995, concernente l'applicazione dei criteri per la valutazione della sicurezza della tecnologia dell'informazione (ITSEC - Information Technology Security Evaluation Criteria); Visto l'atto del Comitato di gestione dell'ISO (International Standard Organization) che definisce come International Standard ISO/IEC n. 15408, la versione 2.1 dei «Common Criteria for Information Technology Security Evaluation» dell'agosto 1999; Visto il Codice di buona pratica per la gestione della sicurezza dell'informazione di cui a ISO/IEC n. 17799, del 2000; Considerato che l'informazione, nell'attuale societa', costituisce un bene essenziale e si rende necessario garantirne l'integrita', la disponibilita' e la riservatezza con misure di sicurezza che costituiscano parte integrante di un sistema informatico; Considerato che da tempo i produttori offrono sistemi e prodotti dotati di funzionalita' di sicurezza, per la quale dichiarano caratteristiche e prestazioni al fine di orientare gli utenti nella scelta delle soluzioni piu' idonee a soddisfare le proprie esigenze; Considerato che in molte applicazioni caratterizzate da un elevato grado di criticita', le predette dichiarazioni potrebbero risultare non sufficienti, rendendo necessaria una loro valutazione e certificazione della sicurezza, condotte da soggetti indipendenti e qualificati, sulla base di standard riconosciuti a livello nazionale ed internazionale; Considerato che le garanzie concernenti l'adeguatezza, la qualita' e l'efficacia dei dispositivi di sicurezza di un sistema informatico possono essere fornite solo da certificatori e valutatori indipendenti ed imparziali; Considerata la necessita' di favorire, a livello comunitario e internazionale, la cooperazione tra gli organismi di certificazione e il mutuo riconoscimento dei certificati di valutazione della sicurezza nel settore della tecnologia dell'informazione; Considerata la necessita' di individuare un organismo di certificazione e di definire uno Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dell'informazione, definendo altresi' le competenze e le responsabilita' degli organismi preposti alla sua applicazione; Ritenuto che l'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione (ISCTI) del Ministero delle comunicazioni possiede i requisiti di indipendenza, affidabilita' e competenza tecnica richiesti dalla decisione della Commissione europea del 6 novembre 2000 (2000/709/CE); Di concerto con i Ministri delle comunicazioni, delle attivita' produttive e dell'economia e delle finanze; A d o t t a il seguente decreto: Art. 1. Definizioni 1. Ai fini del presente decreto si intende per: a) COMMITTENTE: la persona fisica, giuridica o altro organismo o associazione che commissiona e sostiene gli oneri economici della valutazione e certificazione e che puo' anche rivestire il ruolo di fornitore; b) FORNITORE: la persona fisica, giuridica o altro organismo o associazione che fornisce l'oggetto della valutazione e che puo' rivestire anche il ruolo di committente; c) VALUTAZIONE: l'analisi di un sistema, prodotto, profilo di protezione o traguardo di sicurezza condotta in base a predefiniti criteri applicati secondo una predefmita metodologia; d) LABORATORIO PER LA VALUTAZIONE DELLA SICUREZZA (LVS): l'organizzazione indipendente che ha ottenuto l'accreditamento e che pertanto e' abilitata ad effettuare valutazioni e a fornire assistenza; e) ACCREDITAMENTO: il riconoscimento formale dell'indipendenza, affidabilita' e competenza tecnica di un centro per la valutazione della sicurezza; f) OGGETTO DELLA VALUTAZIONE (ODV): il sistema o prodotto sottoposto alla valutazione; g) PRODOTTO: l'elemento software, hardware o firmware idoneo a fornire una determinata funzionalita', progettato per essere utilizzato o incorporato in uno o piu' sistemi; h) SISTEMA: gli elementi software, firmware o hardware funzionalmente o fisicamente interconnessi, destinati al trattamento automatico delle informazioni ed operanti in un ambiente definito; i) PIANO DI VALUTAZIONE: il documento che descrive le attivita' che saranno svolte dal centro per la valutazione della sicurezza durante il processo di valutazione, i tempi di esecuzione e le risorse necessarie; 1) RAPPORTO DI ATTIVITA': il documento che il LVS invia all'organismo di certificazione, nel quale sono indicati dettagliatamente i risultati raggiunti e le attivita' svolte dal centro stesso durante le varie fasi della valutazione; m) RAPPORTO DI OSSERVAZIONE il rapporto dell'organismo di certificazione o il LVS finalizzato alla richiesta di chiarimenti o variazioni inerenti l'oggetto cui si riferisce; puo' contenere informazioni riservate; n) RAPPORTO FINALE DI VALUTAZIONE: il rapporto del LVS, contenente i risultati della valutazione, che costituisce la base per la certificazione dell'ODV, profilo di protezione o traguardo di sicurezza, contenente informazioni riservate; o) RAPPORTO DI CERTIFICAZIONE: il documento emesso dall'organismo di certificazione, che conferma i risultati della valutazione e la corretta applicazione dei criteri; p) CERTIFICAZIONE: l'attestazione da parte dell'organismo di certificazione che conferma i risultati della valutazione e la corretta applicazione dei criteri adottati e della relativa metodologia; q) FIDUCIA: la fiducia che si puo' riporre nel soddisfacimento degli obiettivi di sicurezza da parte dell'oggetto della valutazione considerando le minacce e l'ambiente descritti nel traguardo di sicurezza; r) LIVELLO DI FIDUCIA: la misura della fiducia espressa mediante identificatori alfanumerici la cui parte numerica cresce con il crescere della fiducia (in ITSEC da E0 a E6; nei Common Criteria da EALO a EAL7); s) FUNZIONI DI SICUREZZA: le contromisure di tipo tecnico di cui e' dotato l'oggetto della valutazione; t) MECCANISMO DI SICUREZZA: le componenti hardware, software e firmware che realizzano le funzioni di sicurezza di cui e' dotato l'oggetto della valutazione; u) MATERIALE PER LA VALUTAZIONE: la documentazione tecnica o le componenti software, hardware, firmware realizzati durante lo sviluppo del sistema o del prodotto e contenente informazioni riservate; v) PROFILO DI PROTEZIONE: il documento che descrive per una certa categoria di ODV ed in modo indipendente dalla realizzazione, gli obiettivi di sicurezza, le minacce, l'ambiente ed i requisiti funzionali e di fiducia, definiti secondo i Common Criteria; z) ROBUSTEZZA DEI MECCANISMI DI SICUREZZA E DELLE FUNZIONI DI SICUREZZA DELL'ODV: la misura della capacita' di contrastare attacchi diretti condotti con risorse predefinite; aa) TRAGUARDO DI SICUREZZA: Il documento, utilizzato come base per la valutazione di un ODV, che contiene gli obiettivi di sicurezza, la descrizione dell'ambiente in cui l'ODV e' utilizzato e le minacce alle quali e' soggetto, i requisiti funzionali e di fiducia, la specifica delle funzioni di sicurezza.