IL CODICE
PER LA
PROTEZIONE
DEI DATI PERSONALI
E LA
SICUREZZA
DEI DATI
E DEI SISTEMI
Fulvio Berghella
Walter Cipolleschi
Technology Consultant
Vice Direttore Generale
OASI SpA
ATTENZIONE
QUESTE DIAPOSITIVE
NON POSSONO ESSERE RIPRODOTTE,
DIFFUSE O DISTRIBUITE,
PERCHE’ SONO CONTENUTE NEL LIBRO
“GUIDA PRATICA ALLE NUOVE
MISURE DI SICUREZZA PER LA PRIVACY”
(BANCARIA EDITRICE E MAGGIOLI)
E SOGGETTE A PREVENTIVA
AUTORIZZAZIONE DEGLI EDITORI
Solo privacy
o più ampia
protezione
dei dati e
dei sistemi ?
IL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
INTRODUCE UN
NUOVO IMPORTANTE
DIRITTO
IL DIRITTO
ALLA PROTEZIONE
DEI DATI PERSONALI
“Chiunque
ha diritto alla protezione
dei dati che lo riguardano”
CONTIENE
LE PRESCRIZIONI
E LE REGOLE PER LA
SICUREZZA
DEI DATI
E DEI SISTEMI
Art.1
(Diritto alla protezione dei dati personali)
Chiunque ha diritto
alla protezione dei dati che lo riguardano
Riproduce il primo comma dell'art. 8 della Carta dei diritti fondamentali
dell'Unione europea (ora presente anche nell'articolo 50 del Progetto di
Trattato che istituisce una Costituzione per l'Europa)
“Il trasferimento di questa norma nel sistema italiano rende non più
proponibili interpretazioni riduttive della protezione dei dati personali”
(Relazione del Garante del 28 aprile 2004)
Art. 2
(Finalità)
1. Il presente testo unico, di seguito denominato “codice”,
garantisce che il trattamento dei dati personali si svolga nel
rispetto dei diritti e delle libertà fondamentali, nonché della dignità
dell’interessato, con particolare riferimento alla riservatezza,
all'identità personale e al diritto alla protezione dei dati personali.
2. Il trattamento dei dati personali è disciplinato assicurando un
elevato livello di tutela dei diritti e delle libertà di cui al comma 1
nel rispetto dei principi di semplificazione, armonizzazione ed
efficacia delle modalità previste per il loro esercizio da parte degli
interessati, nonché per l’adempimento degli obblighi da parte dei
titolari del trattamento.
Al fondamentale principio di dignità, e ai principi di finalità, pertinenza e
proporzionalità si affiancano ora quelli di "semplificazione,
armonizzazione ed efficacia" e di "necessità".
Art. 3
(Principio di necessità nel trattamento dei dati)
i sistemi informativi e i programmi informatici sono configurati
riducendo al minimo l’utilizzazione di dati personali e di dati
identificativi, in modo da escluderne il trattamento quando le
finalità perseguite nei singoli casi possono essere realizzate
mediante, rispettivamente, dati anonimi od opportune modalità che
permettano di identificare l’interessato solo in caso di necessità.
Integra il principio di pertinenza, non eccedenza e completezza
(e di indispensabilità se i dati sono sensibili). Non devono essere
raccolti e trattati più dati di quelli necessari per lo scopo dichiarato
* Principi fondamentali
* Misure più ampie
* Misure minime
Le minacce
che incombono sulla
sicurezza e riservatezza dei dati,
sono le principali criticità da affrontare
(nella complessità della rete)
per garantire e proteggere
gli utenti
e i servizi erogati
QUINDI
IL PATRIMONIO AZIENDALE
Comportamenti errati
Organizzazione carente
Logistica inadatta
Errori del software
Vulnerabilità
V
Maltempo
Inondazioni
Fulmini
Terremoto
Fuoco
Attentati
Guasti HW
Omissioni HW
Cadute di corrente
Virus
Worms
Programmi maligni
Hacking
Sabotaggi e Insider
Sono 3 le componenti indispensabili a garantire la protezione dei
dati, la fiducia degli utenti e il patrimonio aziendale:
INTEGRITA’
la salvaguardia della esattezza dei dati, la difesa da manomissioni e da
modifiche non autorizzate, il monitoraggio automatico degli accessi, ecc..
CONFIDENZIALITA’ (riservatezza)
la protezione delle informazioni tramite l’accesso solo agli autorizzati, la
protezione delle trasmissioni, il controllo accessi, ecc..
DISPONIBILITA’
la garanzia per gli utenti della fruibilità dei dati delle informazioni e dei
servizi, evitando la perdita o riduzione dei dati o dei servizi
Sono i 3 PRINCIPI alla base delle nuove MISURE DI SICUREZZA,
principi già presenti in STANDARD internazionali
ISO/IEC 17799:2000(E) - una parte di BS7799
© F. Berghella
ARTICOLAZIONE DELLE MISURE DI SICUREZZA
CODICE
Art.1
Diritto alla
protezione dei dati
Art.4
Definizioni
Artt.31, 32
Misure
di sicurezza
Artt. 33, 34, 35
Misure minime
di sicurezza
Art.36
Adeguamento
Art.180
Disposizioni
transitorie
Art.169
Sanzioni
Art.15
Danni
Altre norme
“trasversali”
DISCIPLINARE TECNICO
Trattamenti con
strumenti elettronici
Regole da 1 a 26
Trattamenti senza
l’ausilio di
strumenti elettronici
Regole da 27 a 29
In “Guida pratica alle nuove misure di sicurezza”
BANCARIA EDITRICE – MAGGIOLI EDITORE 
Fulvio Berghella
Codice: Art.4, comma 1, lettera a
DEFINIZIONI
TRATTAMENTO
qualunque operazione o complesso di operazioni, effettuati anche
senza l’ausilio di strumenti elettronici, concernenti
la raccolta,
la registrazione,
l’organizzazione,
la conservazione,
la consultazione,
l’elaborazione,
la modificazione,
la selezione,
l’estrazione,
il raffronto,
l’utilizzo,
l’interconnessione,
il blocco,
la comunicazione,
la diffusione,
la cancellazione
e la distruzione di dati,
anche se non registrati in una banca dati.
ART. 31
COMMA 1
d.lgs.196/03
I dati personali oggetto di trattamento sono
CUSTODITI
anche in relazione alle
CONOSCENZE
acquisite in base al
progresso tecnico
NATURA
dei dati
ex ART.15
COMMA 1
L.675/96
CONTROLLATI
CARATTERISTICHE
del trattamento
in modo da RIDURRE AL MINIMO mediante l’adozione di
IDONEE
PREVENTIVE
Misure di sicurezza
i RISCHI di
Distruzione
o perdita
anche
accidentale
Accesso
non
autorizzato
Trattamento
non
consentito
Trattamento
non
conforme
alle finalità
© F. Berghella
DEFINIZIONI
Codice: Art.4, comma 3, lettera a
Misure minime
il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza
che configurano il livello minimo di protezione
richiesto in relazione ai rischi previsti nell’articolo 31
i RISCHI di
Distruzione
o perdita
anche
accidentale
Accesso
non
autorizzato
Trattamento
non
consentito
Trattamento
non
conforme
alle finalità
TITOLO V, SICUREZZA DEI DATI E DEI SISTEMI. CAPO II, MISURE MINIME DI SICUREZZA
Art. 34 Trattamenti con strumenti elettronici
Il trattamento di dati personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell’allegato B), le seguenti misure minime:
a)
b)
c)
d)
e)
f)
g)
h)
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi
informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla sicurezza;
adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita
sessuale effettuati da organismi sanitari.
TITOLO V, SICUREZZA DEI DATI E DEI SISTEMI. CAPO II, MISURE MINIME DI SICUREZZA
Art.35 Trattamenti senza l’ausilio di strumenti elettronici
1.
Il trattamento di dati personali effettuato senza l’ausilio di strumenti
elettronici è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a)
aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative;
b)
previsione di procedure per un’idonea custodia di atti e documenti affidati
agli incaricati per lo svolgimento dei relativi compiti;
c)
previsione di procedure per la conservazione di determinati atti in archivi
ad accesso selezionato e disciplina delle modalità di accesso finalizzate
all’identificazione degli incaricati.
MISURE MINIME PER I TRATTAMENTI CON STRUMENTI ELETTRONICI
Sistema di autenticazione
Tutti i dati
Sistema di autorizzazione
Credenziali di autenticazione
Gestione e segretezza delle credenziali
Lista incaricati e profili di autorizzazione
Protezione da intrusioni di SW pericoloso
Salvataggio dati, copie di sicurezza, ripristino
Aggiornamento SW per eliminare le vulnerabilità
Dichiarazioni dell’installatore esterno
Uso e custodia dei supporti rimovibili
Tempi prestabiliti per il ripristino dei dati
Riutilizzo controllato dei supporti rimovibili
Protezione da accessi abusivi
Documento Programmatico sulla Sicurezza
DPS nella relazione del bilancio d’esercizio
Cifratura o codici identificativi
sensibili
e giudiziari
MISURE MINIME PER I TRATTAMENTI CARTACEI
Aggiornamento periodico dell’ambito del trattamento consentito
Lista degli incaricati
Tutti i dati
Istruzioni scritte agli incaricati per custodia e controllo
Idonea custodia di atti e documenti
Controllo e custodia fino alla restituzione
Accesso agli atti alle sole persone autorizzate
Accesso agli archivi controllato
Identificazione e registrazioni accessi dopo l’orario di chiusura
Autorizzazione preventiva per l’accesso agli archivi non presidiati
Sensibili e giudiziari
La logica delle Misure Minime di Sicurezza
per i trattamenti con strumenti elettronici
ACCESSO
Come si accede ai dati
INCARICATI
e ambito
del trattamento
Chi accede e a che cosa
PROTEZIONE
dalle
intrusioni
Automatiche o volontarie
SALVATAGGIO
e
RIPRISTINO
Per garantire integrità e disponibilità
SUPPORTI
Per evitare rischi connessi
* Autenticazione informatica
* Credenziali di autenticazione
* Sistema di autorizzazione
LE CREDENZIALI SONO QUALCOSA CHE OGNI SOGGETTO
CONOSCE
Parola chiave, Codici
POSSIEDE
Carta a microprocessore,
token, certificati digitali
È
Caratteristiche biometriche
In “Guida pratica alle nuove misure di sicurezza”
BANCARIA EDITRICE – MAGGIOLI EDITORE 
Fulvio Berghella
Art.34, comma 1, lettere a), b), c).
AUTENTICAZIONE
INFORMATICA
IDENTIFICAZIONE
DELL’INCARICATO
CREDENZIALI DI
AUTENTICAZIONE
Punti (Regole) da 1 a 14 Disciplinare tecnico
SISTEMA DI
AUTORIZZAZIONE
ACCESSO
AI DATI COMPRESI
NEL PROFILO
TRATTAMENTI
CONSENTITI
Dati personali
Dati personali
© F. Berghella
* Incaricati
* Lista degli incaricati
* Ambito del trattamento
SISTEMA DI AUTENTICAZIONE INFORMATICA
Il trattamento
di dati
personali
è consentito
AGLI
INCARICATI
Regola 1 Disciplinare tecnico
Correlato all’art.34, comma 1, lettera a)
Art.30
Designati per iscritto, con
ambito del trattamento,
(anche dell’unità operativa)
Istruzioni scritte
Dati personali
Dati personali
dotati di
Dati personali
Dati personali
CREDENZIALI
per l’autenticazione
INSIEME
DI
TRATTAMENTI
Dati personali
Dati personali
che consentono
il superamento
di una
Procedura di
autenticazione
relativa a
Dati personali
UN
TRATTAMENTO
Dati personali
In “Guida pratica alle nuove misure di sicurezza”
BANCARIA EDITRICE – MAGGIOLI EDITORE 
© F. Berghella
Fulvio Berghella
Altre misure di sicurezza.
Regole 15, 16, 17, 18 Disciplinare tecnico
Regola 15
LISTA
degli
INCARICATI
AGGIORNAMNENTO
PERIODICO
almeno
annuale
DELL’INDIVIDUAZIONE DELL’AMBITO DEL TRATTAMENTO CONSENTITO
ai singoli
INCARICATI
redatta
anche
per classi
omogenee
addetti alla
GESTIONE
addetti alla
MANUTENZIONE
l
di incarico
e dei relativi
profili di
autorizzazione
In “Guida pratica alle nuove misure di sicurezza”
BANCARIA EDITRICE – MAGGIOLI EDITORE 
Fulvio Berghella
© F. Berghella
* La protezione
dalle intrusioni
Altre misure di sicurezza.
Regole 15, 16, 17, 18 Disciplinare tecnico
Regola 16 e art.34, comma 1, lettera e)
PROTEZIONE
DEI
DATI PERSONALI
CONTRO IL
RISCHIO DI INTRUSIONE
Chiunque diffonde, comunica o consegna un
programma informatico
da lui stesso o da altri redatto,
avente per scopo o per effetto
il danneggiamento
di un sistema informatico o telematico,
dei dati o dei programmi
in esso contenuti o a esso pertinenti,
ovvero l'interruzione, totale o parziale,
o l'alterazione del suo funzionamento, …
mediante
l’attivazione di
IDONEI STRUMENTI
da aggiornare
E DELL’AZIONE DI PROGRAMMI
DI CUI ALL’ART. 615 QUINQUIES
DEL CODICE PENALE
almeno
ogni 6 mesi
In “Guida pratica alle nuove misure di sicurezza”
BANCARIA EDITRICE – MAGGIOLI EDITORE 
Fulvio Berghella
© F. Berghella
Ulteriori misure di sicurezza in caso di trattamento di dati
sensibili o giudiziari. Regole 20, 21, 22, 23, 24 Disciplinare tecnico
Regola 20
I DATI
SENSIBILI
O GIUDIZIARI
SONO PROTETTI
CONTRO L’ACCESSO ABUSIVO
DI CUI ALL’ART. 615 TER
DEL CODICE PENALE
mediante
Accesso abusivo a un sistema
l’UTILIZZO DI
IDONEI
STRUMENTI ELETTRONICI
Chiunque abusivamente si introduce
in un sistema informatico o telematico
protetto da misure di sicurezza
ovvero vi si mantiene contro la volontà
espressa o tacita di chi ha il diritto di escluderlo,
è punito …
In “Guida pratica alle nuove misure di sicurezza”
BANCARIA EDITRICE – MAGGIOLI EDITORE 
Fulvio Berghella
© F. Berghella
Altre misure di sicurezza.
Regole 15, 16, 17, 18 Disciplinare tecnico
Regola 17 e art.34, comma 1, lettera e)
PROTEZIONE
DEGLI
STRUMENTI
ELETTRONICI
E DEI DATI
AGGIORNAMENTI
PERIODICI
almeno
ANNUALMENTE
almeno
SEMESTRALMENTE
per i dati
sensibili o giudiziari
mediante
programmi
per
elaboratore
volti a
prevenire
le
vulnerabilità
DI STRUMENTI
ELETTRONICI
In “Guida pratica alle nuove misure di sicurezza”
BANCARIA EDITRICE – MAGGIOLI EDITORE 
Fulvio Berghella
© F. Berghella
IMPORTANTI
VULNERABILITA’
DEI S.O.
SEGNALATI DA
SECURITYNET®
DAL 2001 AL 2004
20
15
10
5
0
N.TOT. 48
2001
2002
2003
2004
11
9
19
9
LUGLIO
1
FEBBRAIO 1
MARZO
4
APRILE
1
MAGGIO 1
GIUGNO 2
DICEMBRE 2
GENNAIO 1
FEBBRAIO 1
APRILE
1
MAGGIO 1
GIUGNO 2
LUGLIO
2
SETTEMB. 1
MARZO
2
APRILE
1
LUGLIO
3
AGOSTO 1
SETTEMB. 1
OTTOBRE 8
NOVEMB. 3
GENNAIO
FEBBRAIO
MARZO
APRILE
AD APRILE 2004
1
2
2
4
Fonte: SECURITYNET®
-Servizio Antivirus e Prevenzione Computer CrimeOasi sPa
20
IMPORTANTI
VULNERABILITA’
DEI S.O.
SEGNALATI DA
SECURITYNET®
DAL 2001 AL 2004
15
10
5
0
N.TOT. 48
2001
2002
2003
2004
11
9
19
9
A MAGGIO 2004
50
MEDIA
GIORNI DELL’ANNO
E VULNERABILITA’
SEGNALATE
da SECURITYNET®
40
17
13
2001
2002
2003
Fonte: SECURITYNET® -Servizio Antivirus e Prevenzione Computer Crime- oasi sPa
2004
PUNTI CRITICI E VULNERABILI DI UNA RETE AZIENDALE,
ATTACCABILI DA VIRUS, INTERNET WORM E CODICI MALIGNI
Client
Proxy
Server
Network
Server
Punti da
Proteggere
Firewall
Internet Mail
Server
Groupware
Server
Protezioni carenti
Fonte: XI° Rapporto SECURITYNET – EUROS Anno 2002
Anti Virus
Patch
Anti Spam
Firewall
Intrusion Detection
Intrusion Protection
Vulnerability Assessment
Content Filtering
VPN
Protezioni adeguate
Come
il d.Lg. 196/2003
incide
sulla protezione del
patrimonio aziendale
Salvataggio
e ripristino dei dati
Altre misure di sicurezza.
Regole 15, 16, 17, 18 Disciplinare tecnico
Regola 18 e art.34, comma 1, lettera f)
SONO IMPARTITE
ISTRUZIONI
organizzative
tecniche
che prevedono
IL
SALVATAGGIO
DEI DATI
con frequenza
almeno
settimanale
Art.34 comma 1, lettera f)
adozione di procedure per la custodia
di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi
In “Guida pratica alle nuove misure di sicurezza”
BANCARIA EDITRICE – MAGGIOLI EDITORE 
Fulvio Berghella
© F. Berghella
Ulteriori misure di sicurezza in caso di trattamento di dati
sensibili o giudiziari. Regole 20, 21, 22, 23, 24 Disciplinare tecnico
Regola 23
SONO
ADOTTATE
IDONEE
MISURE
PER GARANTIRE
IL RIPRISTINO
DELL’ACCESSO
AI DATI
IN TEMPI
CERTI
IN CASO DI
DANNEGGIAMENTO
COMPATIBILI CON I
DIRITTI DEGLI INTERESSATI
DEGLI
STESSI
O DEGLI
STRUMENTI
ELETTRONICI
E NON SUPERIORI
A 7 GIORNI
In “Guida pratica alle nuove misure di sicurezza”
BANCARIA EDITRICE – MAGGIOLI EDITORE 
© F. Berghella
Fulvio Berghella
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Regola 19.5
Ripristino della disponibilità
la descrizione dei criteri e delle modalità per il ripristino della disponibilità
dei dati in seguito a distruzione o danneggiamento di cui al successivo
punto 23
SONO
ADOTTATE
IDONEE
MISURE
PER GARANTIRE
IL RIPRISTINO
DELL’ACCESSO
AI DATI
IN TEMPI
CERTI
IN CASO DI
DANNEGGIAMENTO
COMPATIBILI CON I
DIRITTI DEGLI INTERESSATI
DEGLI
STESSI
O DEGLI
STRUMENTI
ELETTRONICI
E NON SUPERIORI
A 7 GIORNI
© F. Berghella
* Supporti removibili
Ulteriori misure di sicurezza in caso di trattamento di dati
sensibili o giudiziari. Regole 20, 21, 22, 23, 24 Disciplinare tecnico
Regola 21
Sono impartite
ISTRUZIONI
ORGANIZZATIVE
TECNICHE
per
LA CUSTODIA
E L’USO
© F. Berghella
DEI
SUPPORTI
REMOVIBILI
AL FINE
DI
EVITARE
SU CUI SONO
REGISTRATI
I DATI
In “Guida pratica alle nuove misure di sicurezza”
BANCARIA EDITRICE – MAGGIOLI EDITORE 
Fulvio Berghella
Accessi
non
autorizzati
Trattamenti
non
consentiti
Ulteriori misure di sicurezza in caso di trattamento di dati
sensibili o giudiziari. Regole 20, 21, 22, 23, 24 Disciplinare tecnico
Regola 22
I SUPPORTI
REMOVIBILI
CONTENENTI
DATI
SENSIBILI
O GIUDIZIARI
SE NON UTILIZZATI
SONO
DISTRUTTI
O RESI
INUTILIZZABILI
OVVERO
POSSONO ESSERE RIUTILIZZATI
DA ALTRI INCARICATI, NON
AUTORIZZATI AL TRATTAMENTO
DEGLI STESSI DATI SE
le informazioni PRECEDENTEMENTE in essi contenuti non
sono intelligibili e tecnicamente in alcun modo ricostruibili
© F. Berghella
* Documento
programmatico
sulla sicurezza
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Schema concettuale
La definizione di “programma” nelle accezioni convenzionali è:
“un’esposizione ordinata e particolareggiata di ciò che si vuole o si deve fare”.
E’ rivolto perciò non tanto al passato, ma quanto al presente e al futuro.
Esso perciò, sempre in linea di principio, dovrebbe seguire lo schema:
Quali
dati
tratto
- Cosa
- Dove
- Chi
- Con quali
responsabilità
Quali
rischi
minacciano
i dati
Quali
le
contromisure
necessarie
- Analisi
- Impatto
- Elencazione
Quali
contromisure
ho
- Elencazione
Quali
misure devo
adottare per
migliorare
- Programma di
miglioramento
Art.34, comma 1, lettera g)
DOCUMENTO PROGRAMMATICO
ANNUO SULLA SICUREZZA
“tenuta di un aggiornato documento
programmatico sulla sicurezza”
REGOLE 19 E 26
Elenco dei trattamenti
Compiti e responsabilità
TRATTAMENTI
Nell’ambito delle strutture preposte ai
Dati dipendenti
Dati presenze
Analisi dei rischi
Che incombono sui dati
Dati malattie
Aree e locali
Integrità e disponibilità dati
Protezione aree e locali
Per la protezione custodia
e accessibilità
Dati sindacali
Ripristino della disponibilità
Dopo distruzione o danneggiamento e in tempi certi
Formazione per gli incaricati
Su rischi, misure preventive disponibili, norme
Dati contenzioso
Dati fornitori
Dati clientela
Sicurezza e out sourcing
Criteri per le misure minime
Dati di mercato
Salute e vita sessuale
Criteri per la
Cifratura
© F. Berghella
Disgiunzione
Disgiunzione
Altri dati
MISURE
DI TUTELA E GARANZIA
Regola 26
Disciplinare tecnico
Il titolare riferisce,
nella relazione
accompagnatoria
del bilancio d’esercizio,
se dovuta,
dell’avvenuta redazione
o aggiornamento
del documento
programmatico sulla
sicurezza
Il titolare
è consapevole delle scelte
E’ necessario
informare chi gestisce il CdA
Il collegio sindacale
può richiedere di visionare il DPS
E’ necessario
organizzare la gestione del DPS
i RISCHI
ANALISI
DEI diRISCHI
Art.34, comma 1, lettera g)
“tenuta di un aggiornato documento
programmatico sulla sicurezza”
Distruzione
o perdita
anche
accidentale
Accesso
non
autorizzato
Trattamento
non
consentito
Trattamento
non
conforme
alle finalità
Regola 19, sub 3, Disciplinare tecnico
“analisi dei rischi che incombono sui dati”
PRINCIPALI MOTIVI DI RISCHIO
Maltempo
Inondazioni
Fulmini
Terremoto
Fuoco
Attentati
Guasti e Omissioni HW
Cadute di corrente
Virus e Worms
Hacking
Sabotaggi e Insider
Errori del software
Comportamenti
Organizzazione
Logistica
Individuazione
Contromisure
DOCUMENTO
PROGRAMMATICO
ANNUO
SULLA
SICUREZZA
Le 4 P
Un evento indesiderato è … ?
Possibile
Probabile
Prevedibile
NO
POCO
NO
NO
SI
MOLTO
SI
SI
ANALISI
DEI RISCHI
ANALISI
DELL’IMPATTO
Prevenibile
DOCUMENTO
PROGRAMMATICO
SULLA SICUREZZA
GRAVITA’
© Fulvio Berghella
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Regola 19.4
Integrità e disponibilità dati
Protezione aree e locali
le misure da adottare per garantire l’integrità e la disponibilità dei dati,
nonché la protezione delle aree e dei locali, rilevanti ai fini della loro
custodia e accessibilità
INTEGRITA’
- la salvaguardia della esattezza dei dati,
- la difesa da manomissioni
- la difesa da modifiche non autorizzate,
- il monitoraggio automatico degli accessi,
DISPONIBILITA’
- la garanzia per gli utenti della fruibilità dei dati delle
informazioni e dei servizi, evitando la perdita o riduzione
dei dati o dei servizi
CONFIDENZIALITA’ (riservatezza)
- la protezione delle informazioni tramite l’accesso solo
agli autorizzati,
- la protezione delle trasmissioni,
- il controllo accessi,
ELENCO
delle
misure
adottate
e da
adottare
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Regola 19.6
Formazione degli incaricati
la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti
dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi
dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in
rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per
aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata
già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di
mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al
trattamento di dati personali
Obiettivo della formazione è rendere edotti gli incaricati
dei rischi
delle misure
della normativa
delle responsabilità
Come aggiornarsi
che
incombono
sui dati
di
prevenzione
in relazione
all’attività
svolta
che ne derivano
sulle misure
minime
QUANDO
VA FATTA
ingresso
in servizio
cambio
mansioni
cambio
tecnologie
* Sanzioni penali
* Risarcimento dei danni
SANZIONI E DANNI
PENALI (Art.169)
La mancata adozione delle misure minime (previste all’art.33) costituisce
illecito penale punibile con l’arresto sino a due anni o con l’ammenda da
diecimila a cinquantamila euro.
All’autore del reato è impartita una prescrizione (non superiore a 6 mesi)
basata sul ravvedimento operoso che, se adottato correttamente e a
fronte del pagamento di una ridotta contravvenzione (quarto del massimo)
estinguono il reato.
CIVILI (Art. 15)
Rimane inalterato l’applicazione dell’art.2050 del codice civile per i danni
cagionati ad altri per effetto del trattamento dei dati personali, in tali casi
per evitare il risarcimento sarà necessario dimostrare di aver adottato tutte
le misure idonee a prevenire il danno.
Ma nella nuova formulazione è stato ampliato il quadro di riferimento delle
responsabilità, estesa alle modalità del trattamento e requisiti dei dati
(Danno non patrimoniale risarcibile in caso di violazione dell’art.11).
Art.2050 del codice civile
Responsabilità per l’esercizio di attività pericolose
Chiunque cagiona danno ad altri nello svolgimento di
un’attività pericolosa, per sua natura o per la natura dei
mezzi adoperati, è tenuto al risarcimento se non prova di
avere adottato tutte le misure idonee a evitare il danno.
Comporta l’inversione dell’onere della prova !
Il contributo Microsoft
all’adozione delle misure di
sicurezza della legge 196/03
Walter Cipolleschi
Tecnologie e strumenti
• L’ambiente tecnologico in cui va inserito il
piano di sicurezza deve essere capace di
supportare le misure in esso indicate
• Le direttive della legge possono essere
implementate in modo diverso secondo i
prodotti realmente installati presso
l’organizzazione da proteggere
• Ogni misura prevista deve
essere analizzata e
implementata in modo appropriato
Costruire una rete “sicura” (I)
1. Uno o più server per la gestione delle
risorse ed i servizi di rete
2. Un directory service che permetta di
gestire le credenziali degli utenti e i
relativi profili
3. Un sistema di gestione delle
autorizzazioni che consenta di
proteggere i dati da accessi abusivi
Costruire una rete “sicura” (II)
4. Uno o più dispositivi di protezione della
rete aziendale da intrusioni esterne
5. Un sistema di scansione dei virus che
operi in tempo reale sui flussi in ingresso
ed in uscita e periodicamente sui dischi
6. Procedure di backup e ripristino
controllate e verificate periodicamente
7. Un sistema che permetta l’adozione
controllata e sicura della crittografia
Costruire una rete “sicura” (III)
8.
Una piattaforma desktop integrata e
facilmente controllabile centralmente
9. Applicazioni integrate lato server e lato
client che dispongano di impostazioni
predefinite sicure
10. Un sistema di rilevazione dello stato
degli aggiornamenti di sistemi e
applicazioni e di distribuzione
automatica di patch e service pack
Piattaforme desktop
• Windows 9X
– Non possiedono dispositivi di sicurezza nativi
– A breve non saranno più supportati e, quindi,
non disporranno più di aggiornamenti adeguati
• Windows NT Workstation
– Possiede già una serie di dispositivi di sicurezza
nativi idonei al supporto delle indicazioni di legge
– A breve, però, non sarà più supportato e, quindi,
non disporrà più di aggiornamenti adeguati
– Non supporta adeguatamente i portatili
Windows XP Professional
• Piattaforma client per la protezione
locale dei dati e dei contenuti
– NT File System (NTFS)
– Encrypted File System (EFS)
– Protezione delle condivisioni
– Group Policy
– Automatic Update
– Windows Firewall
Piattaforme Server
• Windows NT Server
– Possiede già una serie di dispositivi di
sicurezza nativi idonei al supporto delle
indicazioni di legge
– A breve, però, non sarà più supportato e,
quindi,
non disporrà più di aggiornamenti adeguati
– Non consente una gestione centralizzata
sufficiente dei client della rete
• Windows 2000 Server
– È già in grado di soddisfare il dettato di legge
Windows Server & Windows
Small Business Server 2003
• Piattaforma di sistema lato server dotata di
tutti i requisiti necessari per soddisfare le
norme di legge
– Active Directory
– NT File System (NTFS) e Access Control List
(ACL)
– Encrypted File System (EFS)
– Group Policy
– Software Update Services (SUS)
– Rights Management Services
SUS & SMS 2003
• Strumenti per la rilevazione automatica
della configurazione dei sistemi e la
distribuzione degli aggiornamenti
– Asset management (SMS)
– Supporto dispositivi mobili (SMS)
– Software distribution (SMS)
– Raccolta dati di configurazione (MBSA)
– Patch distribution (SUS & SMS)
Protezione di dati e contenuti
• Microsoft Office 97/2000
– Dispongono di funzioni di sicurezza limitate
– Le impostazioni di default del software non
sono orientate alla sicurezza ma alla
funzionalità
– Non sono facilmente aggiornabili e gestibili
centralmente
• Microsoft Office XP
– Fornisce gli strumenti di base per garantire
un livello di sicurezza iniziale adeguato
Office 2003
• La famiglia di applicazioni client per
la protezione di dati e documenti
– Crittografia
– Firma digitale
– Salvataggio con protezione della privacy
– Protezione dalla posta indesiderata
– Protezione contro virus e worm
– Information Rights Management
Protezione della rete
• Microsoft Proxy Server
– Non è un firewall
– Non è più aggiornabile
• Microsoft ISA Server
– Firewall multilivello
– Intrusion Detection
– Cache Server integrato
– Architettura aperta ed estendibile
– Gestione intelligente delle VPN
– Si integra con i directory services della rete
Lo scenario ideale
Windows
XP Pro
Windows Server/SBS 2003
Rights Management
Exchange
Server
SMS
ISA
Server
Impostazioni predefinite sicure
Possibilità di adottare i server applicativi
più aggiornati e sempre più sicuri
Piattaforme allineate con i futuri rilasci
degli strumenti di patch management
Possibilità di adottare soluzioni evolute per
aumentare la sicurezza sui dati lato client
Censimento e aggiornamento
dei trattamenti effettuati
• Windows Server 2003
• Active Directory
• SMS 2003
• Software Inventory
• Asset management
Lista degli incaricati
• Windows Server 2003
• Active Directory
Gestione delle credenziali utente,
dei profili di accesso e protezione
della sessione di lavoro
• Windows Server 2003
•
•
•
•
•
Active Directory
Public Key Infrastructure
Kerberos
Group Policy
IntelliMirror
• Windows XP Professional
• Windows 2000 Professional
Aggiornamento programmi
per prevenire vulnerabilità e
correggere i difetti del software
• Windows Server 2003
• SUS (Software Update Services)
• System Management Server 2003
• Windows XP Professional e
Windows 2000 Professional
• Client Automatic Update
• Microsoft Update *
* Nel 2005 Microsoft Update sostituirà Windows Update ed Office Update
Adozione di misure idonee
per assicurare l’integrità e
la disponibilità dei dati
• Windows Server 2003
• Cluster Services
• Volume Shadow Copies
• Rights Management Services
• SQL Server 2000
• Exchange Server 2003
• Office 2003
• Firma digitale
• Information Rights Management
Salvataggio e ripristino
di dati e sistemi
• Windows Server 2003
• Volume Shadow Copies
• Task Scheduler
• SQL Server 2000
• Exchange Server 2003
• Windows XP Professional
• System Restore
• Office 2003
• Recovery automatico dei documenti
Difesa dagli accessi abusivi
• Windows Server 2003
• Rights Management Services
• Internet Security & Acceleration Server
(ISA)
• Exchange Server 2003
• Windows XP Professional
• Windows Firewall
• Office 2003
• Information Rights Management
Protezione supporti rimovibili
• Windows Server 2003
• Group Policy
• Encrypted File System (EFS)
• Windows XP Professional e
Windows 2000 Professional
• Encrypted File System (EFS)
Analisi dei rischi informatici
Relazione di conformità
dell’installatore per
adozione misure minime
Formazione specifica degli
incaricati
• Servizi professionali Microsoft
o dei Partner
Riferimenti ed approfondimenti
• Microsoft Security Center
– www.microsoft.com/security/
– www.microsoft.com/italy/security/
• www.microsoft.com/italy/security/articles/privacy_dps.mspx
• Area Technet
– www.microsoft.com/technet/security/default.mspx
• Security Guidance Center (IT Pro)
– www.microsoft.com/security/guidance/default.mspx
• Security Guidance Center (SMB)
– www.microsoft.com/smallbusiness/gtm/
securityguidance/hub.mspx
Domande & Risposte