the new value builder
“Misure minime di sicurezza:
adempimenti tecnici e organizzativi”
Elisabetta Codarin – Security Consultant
Risk Analysis and Management Area – CryptoNet S.p.A.
[email protected]
19/02/2004
the new value builder
Le misure minime
Il disciplinare tecnico
I tempi per l’adeguamento
19/02/2004
the new value builder
Necessità di sicurezza
MISURE DI SICUREZZA
“I dati personali oggetto di trattamento sono
custoditi e controllati, anche in relazione alle
conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l’adozione di
idonee e preventive misure di sicurezza, i
rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito e
non conforme alle finalità della raccolta”
(cfr. art. 31)
Responsabilità civile
“Nel quadro dei più generali obblighi di
sicurezza di cui all’art. 31, o previsti da
speciali disposizioni, i titolari del trattamento
sono comunque tenuti ad adottare le misure
minime individuate nel presente capo o ai
sensi dell’articolo 58, comma 3, volte ad
assicurare un livello minimo di protezione dei
dati personali.”
(cfr. art. 33)
Responsabilità penale
19/02/2004
the new value builder
Misure Minime di Sicurezza (1)
Trattamenti con strumenti elettronici (Art. 34)
a)
b)
c)
d)
e)
f)
g)
h)
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti
di dati, ad accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla sicurezza;
adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
19/02/2004
the new value builder
Misure Minime di Sicurezza (2)
Trattamenti senza strumenti elettronici (Art. 35)
a)
Aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative
b)
Previsione di procedure per un’idonea custodia di atti e documenti affidati
agli incaricati per lo svolgimento dei relativi compiti
c)
Previsione di procedure per la conservazione di determinati atti in archivi ad
accesso selezionato e discipilina delle modalità di accesso finalizzata
all’identificazione degli incaricati
Istituzionalizzazione dell’obbligo di formalizzare le procedure interne anche per i
trattamenti manuali
19/02/2004
the new value builder
Le misure minime
Il disciplinare tecnico
I tempi per l’adeguamento
19/02/2004
the new value builder
Sistema di autenticazione informatica:
metodi per l’autenticazione
User name
+ password
Caratteristica
biometrica
(+ user name
/ password)
19/02/2004
Token
(+ user name
/ password)
the new value builder
Sistema di autenticazione informatica:
la gestione degli account e dei token


ACCOUNT



TOKEN

19/02/2004
univoco
non riutilizzabile
disattivabile
procedure di gestione
conservazione diligente
procedure di gestione
the new value builder
Sistema di autenticazione informatica:
la gestione delle password/1

minimo 8 caratteri (o il massimo consentito se inferiore)

non deve contenere riferimenti all’utente

modificabile dall’utente al primo utilizzo

obbligo di modifica almeno ogni 6 mesi (3 mesi se a protezione di dati
sensibili)

custodia diligente e mantenimento della segretezza
19/02/2004
the new value builder
Sistema di autenticazione informatica:
la gestione delle password/2

maggior frequenza nella
sostituzione

non riusabilità
 non utilizzare sequenze ovvie
sulla tastiera (es. qwerty,
123456)

lunghezza maggiore

prevedere l’utilizzo di lettere,
numeri, caratteri alfanumerici

discriminare tra maiuscole e
minuscole

non utilizzare vocaboli presenti
nei dizionari
19/02/2004
 utilizzare passphrase (es.
TUP:DIL2M = “testo unico
privacy: dobbiamo
implementare le misure
minime”)
 stabilire un limite ai tentativi di
accesso
 procedure di gestione sia per
gli utenti che per gli
amministratori
the new value builder
Sistema di autorizzazione
Garantire l’accesso ad applicazioni e/o dati in base alle
caratteristiche dell’utente
Profili di
autorizzazione per
singolo utente
Profili di
autorizzazione per
gruppi di utenti
19/02/2004
the new value builder
Sistema di autorizzazione:
due approcci
Gestione decentralizzata:




crea autorizzazioni per ogni
singola piattaforma
sfrutta le funzionalità delle
piattaforme per definire i
privilegi
non richiede introduzione di
altro software
difficoltà di gestione (molti
elenchi di privilegi, rischio di
creare conflitti di privilegi)
19/02/2004
Gestione centralizzata:



un unico elenco di privilegi
valido per tutte le piattaforme
richiede l’introduzione di
nuovo software
tre modalità di
implementazione: directory
LDAP, single sign-on,
provisioning
the new value builder
Sistema di autorizzazione:
gestione centralizzata/ directory LDAP
Elisa:
Paghe
NO
C. Clienti SI
Contabilità clienti
User-id
ELISA
Password
********
Directory LDAP
Accesso
concesso
Postazione
utente
Accesso
negato
19/02/2004
User-id
ELISA
Password
********
Paghe
the new value builder
Sistema di autorizzazione:
gestione centralizzata/single sign-on
Elisa:
Paghe
C. Clienti
C. Fornitori
Banche
Autenticazione a SSO
User-id
Password
Postazione
utente
ELISA
********
NO
SI
SI
SI
SSO Server
X
Contabilità fornitori
Paghe
Banche
Contabilità clienti
19/02/2004
the new value builder
Sistema di autorizzazione:
gestione centralizzata/provisioning
Elisa:
Div. Contabilità
Div. Contabilità:
Paghe NO
Cont. Clienti SI
t. Fornitori SI
Server provisioning
User-id
ELISA
Password
********
X
Paghe
Postazione
utente
User-id
ELISA
Password
********
Contabilità clienti
19/02/2004
the new value builder
Altre misure di sicurezza:
verifica dell’elenco dei manutentori
Necessità di verificare almeno annualmente l’elenco degli incaricati
alla gestione e alla manutenzione dei sistemi informativi
19/02/2004
the new value builder
Altre misure di sicurezza:
protezione da intrusioni
Protezione da intrusione e da sw dannoso
FIREWALL
IDS
ANTIVIRUS
Aggiornamento almeno semestrale
19/02/2004
the new value builder
Altre misure di sicurezza:
aggiornamenti
Aggiornamento periodico di programmi e sistemi operativi
SEMESTRALE per dati sensibili o giudiziari
ANNUALE per gli altri dati
19/02/2004
the new value builder
Altre misure di sicurezza:
back-up e disaster recovery
Back-up
Disaster recovery
 almeno settimanale
 istruzioni organizzative
 obbligatorio per dati
sensibili e giudiziari, utile
per tutti
 istruzioni tecniche
 ripristino dei dati entro 7
gg
 coordinato ad un piano
di disaster recovery
 può essere integrato da
un piano di business
continuity
19/02/2004
the new value builder
Documento programmatico sulla sicurezza
Obbligatorio per chi tratta dati sensibili o giudiziari.
Da redigere ed aggiornare entro il 31 marzo di ogni anno.
 Elenco dei trattamenti di dati personali
 Distribuzione dei compiti e delle responsabilità
 Analisi dei rischi che incombono sui dati
 Misure per garantire integrità, disponibilità dei dati, protezione delle aree, dei locali
 Criteri e modalità per il ripristino della disponibilità dei dati
 Previsione di interventi formativi
 Criteri per misure minime in caso di trattamenti di dati affidati all’esterno
 Criteri per la cifratura/separazione dei dati sensibili dagli altri
19/02/2004
the new value builder
Ulteriori misure per iltrattamento di dati sensibili o giudiziari:
uso di supporti rimovibili
Uso dei supporti rimovibili
Istruzioni per uso e
custodia
19/02/2004
Istruzioni per il
riutilizzo / la
distruzione
the new value builder
Ulteriori misure per il trattamento di dati sensibili o giudiziari:
norme per i dati sanitari

i dati sanitari sono trattati in modo da poter essere
separati dagli altri dati dell’interessato

i dati relativi all’identità genetica sono trattati in
appositi locali, da addetti autorizzati

i dati relativi all’identità genetica se trasferiti in formato
cartaceo sono posti in contenitori dotati di serratura, se
in formato elettronico sono cifrati
19/02/2004
the new value builder
Misure di tutela e garanzia
Dichiarazione di conformità alle disposizioni del TUP per gli
installatori di dispositivi che soddisfano le misure minime

system integrator

software house
19/02/2004
the new value builder
Le misure minime
Il disciplinare tecnico
I tempi per l’adeguamento
19/02/2004
the new value builder
I tempi per l’adeguamento
31 marzo: redazione del DPS
30 giugno 2004: introduzione delle nuove misure
minime
1 gennaio 2005: adeguamento mezzi e nuove misure
minime per chi richiederà la propoga entro il 30
giugno 2004
19/02/2004
the new value builder
Grazie!
[email protected]
19/02/2004