Cerca nel Sito

Menu Principale

Missione

L’Organismo di Certificazione

L’ISCOM (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione) del Ministero dello Sviluppo Economico è l’Organismo di Certificazione della sicurezza nel settore della tecnologia dell’informazione.

L’Organismo di Certificazione sovrintende alle attività operative di valutazione e certificazione nell’ambito dello Schema nazionale attraverso:

  • la predisposizione di regole tecniche in materia di certificazione sulla base delle norme e direttive nazionali, comunitarie ed internazionali di riferimento;
  • il coordinamento delle attività nell’ambito dello Schema nazionale in armonia con i criteri ed i metodi di valutazione;
  • la predisposizione delle Linee Guida per la valutazione di prodotti, traguardi di sicurezza, profili di protezione e sistemi, ai fini del funzionamento dello Schema;
  • la divulgazione dei princìpi e delle procedure relative allo Schema nazionale;
  • l’accreditamento, la sospensione e la revoca dell’accreditamento degli LVS;
  • la verifica del mantenimento dell’indipendenza, imparzialità, affidabilità, competenze tecniche e capacità operative da parte degli LVS accreditati;
  • l’approvazione dei Piani di Valutazione;
  • l’ammissione e l’iscrizione delle valutazioni;
  • l’approvazione dei Rapporti Finali di Valutazione;
  • l’emissione dei Rapporti di Certificazione sulla base delle valutazioni eseguite dagli LVS;
  • l’emissione e la revoca dei Certificati;
  • la definizione, l’aggiornamento e la diffusione, almeno su base semestrale, di una lista di prodotti, sistemi e profili di protezione certificati e in corso di certificazione;
  • la predisposizione, la tenuta e l’aggiornamento dell’elenco degli LVS accreditati;
  • la promozione delle attività per la diffusione della cultura della sicurezza nel settore della tecnologia dell’informazione;
  • la formazione, abilitazione e addestramento dei Certificatori, personale dipendente dell’Organismo di Certificazione, nonché dei Valutatori, dipendenti degli LVS e Assistenti, ai fini dello svolgimento delle attività di valutazione;
  • la predisposizione, tenuta e aggiornamento dell’elenco dei Certificatori, Valutatori e Assistenti.

L’Organismo di Certificazione riferisce semestralmente sull’attività al Dipartimento per l’Innovazione e le Tecnologie (DIT) della Presidenza del Consiglio dei Ministri.

Sulla base degli indirizzi stabiliti dal Presidente del Consiglio dei Ministri o, per sua delega, dal Ministro per l’Innovazione e le Tecnologie e dal Ministro delle Comunicazioni, l’Organismo di Certificazione cura i rapporti con Organismi di Certificazione esteri congiuntamente con l’Autorità Nazionale di Sicurezza, nonché partecipa alle altre attività in ambito internazionale e comunitario riguardanti il mutuo riconoscimento dei Certificati.

Inoltre, l'Organismo di Certificazione comunica agli LVS qualsiasi cambiamento significativo introdotto nello Schema nazionale che possa influenzare i termini, le condizioni e la durata dell'attività di valutazione.

All'interno dell’Organismo di Certificazione opera il Certificatore che è addestrato e abilitato dall'Organismo stesso per condurre le attività di certificazione.

Ogni controversia inerente alle attività svolte all’interno dello Schema nazionale deve essere riferita, da qualsiasi soggetto coinvolto nello Schema nazionale, all’Organismo di Certificazione. Nel caso in cui nella controversia sia coinvolto anche l’Organismo di Certificazione, o quest’ultimo non sia riuscito a dirimerla, la controversia deve essere riferita alla Commissione di Garanzia.

Cosa si intende per “sicurezza…”

Nell’ambito dello Schema nazionale, la “sicurezza nel settore della tecnologia dell’informazione” è definita come la protezione della riservatezza, integrità, disponibilità delle informazioni mediante il contrasto delle minacce originate dall’uomo o dall’ambiente, al fine di impedire, a coloro che non siano stati autorizzati, l’accesso, l’utilizzo, la divulgazione, la modifica delle informazioni stesse e di garantirne l’accesso e l’utilizzo a coloro che siano stati autorizzati.

Perché è necessaria…

Le principali motivazioni per certificare la sicurezza di sistemi e prodotti ICT sono:

  • le informazioni costituiscono un bene essenziale ed è necessario garantirne l’integrità, la disponibilità e la riservatezza con misure di sicurezza che costituiscano parte integrante di un sistema informatico;
  • da tempo i produttori offrono sistemi e prodotti dotati di funzionalità di sicurezza, per le quali dichiarano caratteristiche e prestazioni al fine di orientare gli utenti nella scelta delle soluzioni più idonee a soddisfare le proprie esigenze;
  • in molte applicazioni caratterizzate da un elevato grado di criticità, le predette dichiarazioni potrebbero risultare non sufficienti;
  • le garanzie concernenti l’adeguatezza, la qualità e l’efficacia dei dispositivi di sicurezza di un sistema informatico possono essere fornite solo da certificatori e valutatori indipendenti ed imparziali, sulla base di standard riconosciuti a livello nazionale ed internazionale.