IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visti gli articoli 1 e 12 della legge 24 ottobre 1977, n. 801,
recante "Istituzione e ordinamento dei servizi per le informazioni e
la sicurezza e disciplina del segreto di Stato";
Visto il regio decreto-legge 11 luglio 1941, n. 1161 recante "Norme
relative al segreto militare";
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. 1/R - Norme unificate per la tutela del segreto di
Stato - Volume I - Sistema di sicurezza - Edizione 1987;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. 1/R - Norme unificate per la tutela del segreto di
Stato - Volume III - Sicurezza industriale - Edizione 1993;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. 1/R/A - Norme unificate per la tutela del segreto di
Stato - Direttiva per la protezione delle informazioni coperte dal
segreto di Stato trattate nei sistemi di elaborazione automatica e/o
elettronica di dati (E.A.D.) - Edizione 1993;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. 1/R - Norme unificate per la tutela del segreto di
Stato - Volume II - Sicurezza delle comunicazioni ed organizzazioni e
procedure del servizio cifra - Edizione 1994;
Vista la pubblicazione del Presidente del Consiglio dei Ministri
P.C.M.-A.N.S. COMSEC 256 (B) - Norme relative all'installazione di
apparati elettrici ed elettronici che elaborano informazioni
classificate - Edizione 1998;
Visto l'atto della Commissione europea datato giugno 1991 con il
quale sono stati stabiliti i criteri di valutazione della sicurezza
dei sistemi informatici denominati "ITSEC" (Information Technology
Security Evaluation Criteria);
Vista la Raccomandazione del Consiglio dell'Unione europea
(95/144/CE) in data 7 aprile 1995 concernente l'applicazione di
omogenei criteri per la valutazione della sicurezza delle tecnologie
dell'informazione (ITSEC) nell'ambito delle procedure di valutazione
e certificazione;
Visto l'atto del Comitato di gestione dell'ISO che recepisce quale
International Standard ISO/IEC IS n. 15408, la versione 2.1 dei
"Common Criteria", documento recante la definizione dei criteri
tecnici di valutazione delle tecnologie dell'informazione;
Visto l'accordo sul Mutuo riconoscimento dei certificati emessi
secondo i predetti Criteri comuni nel campo della sicurezza della
tecnologia dell'informazione, sottoscritto il 23 maggio 2000 al fine
di assicurare la cooperazione e il mutuo riconoscimento, a livello
comunitario e internazionale, dei certificati di valutazione della
sicurezza delle tecnologie dell'informazione;
Visto l'art. 5 del citato accordo che dispone che le valutazioni
siano condotte secondo uno schema da adottare a cura di ciascun Paese
aderente, che garantisca la competenza tecnica dei centri adibiti
alla valutazione e l'imparzialita' del procedimento;
Vista la Risoluzione del Consiglio dell'Unione europea del
28 gennaio 2002 relativa a un approccio comune e ad azioni specifiche
nel settore della sicurezza delle reti e dell'informazione;
Ravvisata pertanto la necessita' di definire uno schema nazionale
per la valutazione e certificazione della sicurezza delle tecnologie
dell'informazione, dei sistemi e dei prodotti destinati alla
trattazione delle informazioni classificate, che individui procedure,
competenze e responsabilita' dei soggetti coinvolti nei processi di
valutazione e certificazione;
Acquisito il parere dell'Autorita' per l'informatica nella pubblica
amministrazione, espresso nell'adunanza del 28 febbraio 2002;
Decreta:
Art. 1.
Oggetto e ambito di applicazione dello schema nazionale
Il presente schema nazionale per la valutazione e la certificazione
della sicurezza nel settore delle tecnologie dell'informazione per la
tutela delle informazioni classificate disciplina le linee essenziali
per la definizione dei criteri e delle procedure da osservare per il
funzionamento degli organismi di certificazione e per la valutazione
dei prodotti e dei sistemi che gestiscono informazioni classificate.
Lo schema si applica ogniqualvolta una persona fisica o giuridica,
le amministrazioni pubbliche e qualsiasi altro ente, associazione od
organismo chiede la fornitura o lo sviluppo di un prodotto o di un
sistema per la trattazione di tali informazioni.