Pubblicato lo schema nazionale sulla certificazione della sicurezza delle tecnologie informatiche

06/06/02

Con il dpcm 11 aprile 2002 (G.U. n. 131 del 6/6/02) è stato emanato lo schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato.
Il decreto disciplina le linee essenziali per la definizione dei criteri e delle procedure da osservare per il funzionamento degli organismi di certificazione, e per la valutazione dei prodotti e dei sistemi che gestiscono informazioni classificate, in conformità ai criteri europei ITSEC e ITSEM o agli standard internazionali ISO/IEC IS-15408, emanati dall'Organizzazione Internazionale per la Standardizzazione - ISO.
Per prodotto si intende un elemento software o hardware, mentre per sistema si intende un insieme di prodotti (hardware e/o software), funzionalmente o fisicamente interconnessi.
Gli organi per la certificazione e la valutazione sono l'Ente di certificazione e i centri di valutazione.

L'ente di certificazione
L'Ente di certificazione è l'Autorità Nazionale per la Sicurezza (A.N.S.), che a tal fine si avvale dell'Ufficio Centrale per la Sicurezza della Segreteria Generale del Comitato esecutivo per i servizi di informazione e di sicurezza (CESIS) presso la Presidenza del consiglio dei ministri. L'ente di certificazione è responsabile della certificazione dei prodotti e dei sistemi informatici, nonché dell'accreditamento dei centri di valutazione.
In particolare l'ente di certificazione:
- definisce le regole procedurali per la certificazione dei prodotti o dei sistemi, sulla base delle norme e delle direttive di riferimento nazionali ed internazionali;
- cura l'accreditamento dei centri di valutazione, ne coordina l'attività, ne tiene l'elenco, vigila sull'attività dei Ce.Va. e ne determina la sospensione o la revoca dell'accreditamento in caso di inadempienze;
- approva i piani di valutazione ed emana i rapporti di certificazione;
- rilascia le certificazioni sulla base delle valutazioni effettuate;
- redige ed aggiorna periodicamente la lista nazionale dei prodotti valutati;
- esamina le eventuali controversie sorte tra le parti nell'ambito delle procedure per favorire una soluzione consensuale delle stesse;
- provvede alla formazione tecnico professionale dei soggetti adibiti alla certificazione e alla valutazione;
- cura le relazioni con gli enti di certificazione degli altri paesi;

I centri di valutazione
I centri di valutazione (Ce.Va.) sono organismi accreditati dall'Ente di certificazione, competenti per le valutazioni di sicurezza di un prodotto o di un sistema. Questi, in particolare, hanno il compito effettuare le valutazioni secondo criteri di indipendenza e imparzialità, nel rispetto degli obblighi di segretezza e di riservatezza. A tal fine:
- assistono il committente ed il fornitore di un prodotto o di un sistema nella redazione dei documenti di sicurezza;
- forniscono all'ente di certificazione gli elementi utili per l'individuazione delle metodologie più idonee da adottare, informandolo sulle attività compiute ai fini della valutazione;
- assicurano la salvaguardia di tutte le informazioni classificate relative al prodotto o al sistema sottoposto alla loro valutazione, anche quelle concernenti le informazioni tecniche acquisite nel corso dell'attività di valutazione.
L'ente pubblico o privato, che intende ottenere l'accreditamento del proprio laboratorio quale centro di valutazione di prodotti o di sistemi, deve fare domanda all'Ente di certificazione, il quale accerterà il possesso dei requisiti previsti dal dpcm 11 aprile 2002.
Questi sono i requisiti per l'accreditamento:
a) lo svolgimento dell'attività in locali adeguati e con mezzi idonei ad effettuare le valutazioni dei prodotti o dei sistemi;
b) l'esistenza di un'organizzazione interna in grado di assicurare il controllo ed il rispetto delle misure di sicurezza prescritte e di operare in piena autonomia di giudizio, indipendenza e imparzialità;
c) il possesso delle abilitazioni di sicurezza industriali prescritte;
d) la presenza di personale in possesso delle capacità professionali necessarie per la valutazione di prodotti o di sistemi di sicurezza, in conformità ai criteri in vigore;
e) il possesso da parte del personale impiegato delle abilitazioni di sicurezza richieste dall'ente di certificazione;
f) la conformità ai parametri definiti dalla "european norm (EN) 45001".
L'Ente di certificazione richiederà, ai fini dell'accreditamento, una valutazione di prova.
Il rilascio o il diniego del certificato di accreditamento deve avvenire entro 90 giorni dalla ricezione della domanda.
L'accreditamento ha validità di tre anni.

La valutazione e la certificazione di un prodotto o di un sistema
Il primo passo per la certificazione è quello della definizione delle specifiche di sicurezza richieste al prodotto/sistema. A ciò deve provvedere il committente interessato alla realizzazione e acquisizione dello stesso.
La richiesta di valutazione, invece, deve essere presentata dal fornitore. Questi deve fornire all'Ente di certificazione e al Ce.Va. gli elementi necessari per il giudizio. Il Ce.Va. è individuato, fra quelli accreditati, direttamente dal fornitore, che deve comunicare la scelta all'Ente di certificazione.
A questo punto il Ce.Va. presenta all'Ente di certificazione il piano di valutazione recante la descrizione delle attività necessarie al processo di valutazione. L'ente di certificazione valuta il piano e lo approva (o meno) entro 60 giorni dalla ricezione. Dunque il Ce.Va. redige il rapporto finale di valutazione, e lo invia all'Ente di certificazione.
L'Ente di certificazione, sulla base dell'analisi della documentazione prodotta dal committente, da fornitore e dal Ce.Va., redige il rapporto entro 90 giorni dalla ricezione del rapporto finale di valutazione approvato, e ne rilascia copia al committente, al fornitore e al Ce.Va.
Su accordo delle parti o in attesa del riscontro ad eventuali osservazioni o chiarimenti, i termini della procedura possono essere allungati.
Il rapporto di certificazione dell'Ente di certificazione attesta l'idoneità del prodotto/sistema a garantire i livelli di sicurezza predefiniti.

Documenti:
Dpcm 11 aprile 2002 "Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato".