Realizzato da: Giotti Rovena
Introduzione
Fino a circa dieci anni fa, l’uso del Pc non comportava, alla
maggior parte di noi, particolari preoccupazioni nella protezione
dei dati contenenti in essi.
Per evitare la perdita dei dati, effettuavamo il Backup.
Con il diffondersi di internet cominciano a nascere problemi
dovuti a :
•Minacce di intrusioni
•Possibilità di divulgazione di informazioni
•Interruzione e distruzioni di servizio offerti dall’utenza.
Con il nascere di questi problemi, i legislatori sentirono la
necessità di istituire un settore sulla Sicurmatica che si
occupasse sulle norme inerenti: il trattamento e la salvaguardia
degli strumenti informatica e delle informazioni in esse
contenute.
Realizzato da: Giotti Rovena
Sicurezza informatica
Gestione del rischio
Organizzazione della Sicurezza
Standard ed Enti di Standardizzazione
Crittografia
Autenticazione
Protezione dei dati
Le Minacce
Elenco dei tipi di attacchi
Norme sulla sicurezza informatica
 Firewall
Realizzato da: Giotti Rovena
Sicurezza Informatica
La sicurezza delle informazioni è una componente della
sicurezza dei beni in generale.
I 3 obbiettivi fondamentali di qualunque programma sulla
sicurezza sono:
1) La disponibilità
2) L’integrità
3) La riservatezza
Alla sicurezza possiamo aggiungere altri 2 obbiettivi:
o
L’autenticità: essa garantisce che l’invio di un
messaggio o una transazione vengano attribuiti al
destinatario.
o
Il non ripudio: garantisce che il messaggio conosca il
tuo autore.
Realizzato da: Giotti Rovena
Elenco degli argomenti
La Disponibilità
La disponibilità è il grado in cui le informazioni sono
accessibili agli utenti.
Per reperire che i dati sono accessibili, si deve tener conto:
Delle condizioni ambientali
Delle risorse hardware e software
Di attacchi esterni
Realizzato da: Giotti Rovena
Sicurezza informatica
L’integrità
L’integrità per ciò che riguarda le informazioni, è il grado in cui le
informazioni devono essere: corrette, coerenti e affidabili.
L’integrità per ciò che riguarda le risorse informatiche, è il grado in cui le
risorse devono avere: completezza, coerenza e buone condizioni di
funzionamento.
L’integrità per ciò che riguarda le risorse l’hardware e i sistemi di
comunicazioni, consiste:
• nella corretta elaborazione dei dati
• in un livello adeguato di prestazioni
• in un corretto instradamento dei dati.
L’integrità per ciò che riguarda il software riguarda:
La completezza e la coerenza dei moduli del sistema operativo e delle
applicazioni
La correttezza dei file critici di sistema e di configurazione
Realizzato da: Giotti Rovena
Sicurezza informatica
La Riservatezza
La riservatezza consiste nel
limitare l’accesso alle informazioni
e alle risorse informatiche alle sole
persone autorizzate. Si applica sia
all’archiviazione, sia alla
comunicazione delle informazioni.
Realizzato da: Giotti Rovena
Sicurezza informatica
Gestione del Rischio
Adesso esamineremo i rischi connessi ai vari aspetti di
sicurezza delle informazioni analizzando:
1) I beni da difendere
2) Gli obbiettivi di sicurezza
3) Le minacce della sicurezza
4) La vulnerabilità dei sistemi informatici
5) L’impatto causato dall’attuazione delle minacce
6) Il rischio
Realizzato da: Giotti Rovena
Elenco degli argomenti
Beni da Difendere
Nel campo della sicurezza informatica i beni di un azienda
sono:
 Le risorse informatiche
 Il personale
 Le informazioni
 La documentazione
 L’immagine dell’azienda
Nel campo della sicurezza delle informazioni, i beni di un
individuo sono:
• informazioni personali
• la privacy
Realizzato da: Giotti Rovena
Gestione del rischio
Obiettivi di sicurezza
Gli obiettivi di sicurezza, sono il grado di protezione che si intende attuare
per i beni in termini di:
 disponibilità
 integrità
Riservatezza
Per sapere quale obiettivo adottare, i beni si classificano in categorie e ad
ognuno di essi si assegna il tipo di sicurezza:
 per le password e i numeri di identificazione di requisito più importante
per raggiungere l’obiettivo della sicurezza, è la riservatezza.
Per le informazioni contabili di una banca i requisiti sono: disponibilità,
integrità e riservatezza.
Per le informazioni pubblicate sul sito web i requisiti sono: disponibilità,
integrità.
Realizzato da: Giotti Rovena
Gestione del rischio
Minacce alla
sicurezza
Una minaccia è un azione: potenziale, accidentale, essa può
portare alla violazione ad uno o più obiettivi di sicurezza.
Le minacce possono essere classificate: naturale, ambientale e
umana
Minaccia
Terremoto
Inondazione
Bombardamento
Deliberata
Accidentale Ambientale
x
Realizzato da: Giotti Rovena
x
x
x
x
Gestione del rischio
furto
Temperatura alta o bassa
Guasto hardware
x
x
Errori software
Deterioramento supporto di
memoria
Errori dall’utente
Accesso illegale alla rete
Software dannoso
Interruzione servizio Provider
Errori di trasmissione
Infiltrazione di rete
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Realizzato da: Giotti Rovena
Alcuni esempi:
•Un allagamento dovuto a forti piogge
• Un cavallo di troia
L’entità che mette in atto la minaccia è chiamato agente
Realizzato da: Giotti Rovena
Gestione del rischio
Vulnerabilità dei
sistemi informatici
La vulnerabilità è un punto debole del sistema
informatico che ce colpito da una minaccia, porta a
qualche violenza degli obiettivi di sicurezza.
Una vulnerabilità, di per se , non causa una perdita
di sicurezza ma è la combinazione tra vulnerabilità
e minaccia che determina la possibilità che vengano
violati gli obiettivi di sicurezza.
Realizzato da: Giotti Rovena
Gestione del rischio
L’impatto causato
dall’attuazione delle
minacce
L’impatto si ha quando la minaccia
colpisce il sistema dipende dal valore del
bene e dalla violenza degli obiettivi di
sicurezza.
Realizzato da: Giotti Rovena
Gestione del rischio
Il rischio
Il rischio è molto maggiore quanto è
maggiore l’impatto che l’ ha causato e
l’alta probabilità che esso si verifichi.
Possiamo classificare il rischio in 2 parti:
• Analisi del rischio
• Controllo del rischio
Gestione del rischio
Realizzato da: Giotti Rovena
Analisi del Rischio
In questa fase si classificano le
informazioni e le risorse soggette a
minacce e si identifica il livello di rischio.
Il rischio
Realizzato da: Giotti Rovena
Controllo del
rischio
In questa fase vengono individuate le
modalità che l’azienda intende adottare
per ridurre i rischi associati alla perdita
della disponibilità delle informazioni.
Il rischio
Realizzato da: Giotti Rovena
Organizzazione della
sicurezza
La sicurezza delle informazioni è il risultato di un insieme
di processi ai vari livelli dell’organigramma aziendale.
Occorre, di creare un organizzazione per la sicurezza che
assuma la responsabilità e coinvolga l’intera azienda.
Le politiche di sicurezza sono definiti dal top management
per poi essere specificati nei dettagli man mano che si
scende attraverso gli strati del modello organizzativo della
sicurezza.
Realizzato da: Giotti Rovena
Elenco degli argomenti
Standard ed enti di
standardizzazione
Gli enti di standardizzazione sono organizzazioni di
natura molto differente che coprono aspetti
normativi diversi a secondo dei casi.
Alcuni enti di standardizzazione sono:
•ITU = International Telecomication Union
•ISO = International Organization for
Standardization
•IETF = Internet Engicering Task Force
Realizzato da: Giotti Rovena
Elenco degli argomenti
La crittografia
Crittografia deriva dal greco krypts (nascosto) e
graphein (scrivere) .Essa è la scienza che fa uso
della matematica per cifrare e decifrare dati.
Le tecniche crittografiche permettono di:
 Trasformare dati, informazioni e messaggi.
 di alternare i dati.
 di garantire l’autenticità dei dati.
Realizzato da: Giotti Rovena
Elenco degli argomenti
Crittografia
Simmetrica
Viene utilizzato per cifrare grandi
quantità di dati.
Essa conferisce una riservatezza al
messaggio ma non c’è un’associazione
univoca e sicura tra le chiavi e un
individuo.
Realizzato da: Giotti Rovena
Crittografia
asimmetrica
La Crittografia asimmetrica fa uso di due chiavi
diverse per cifrare e decifrare i messaggi.
Ogni utente ha 2 chiavi:La chiave pubblica e la
chiave privata.
La chiave privata deve essere custodita al sicuro
dal proprietario.
Realizzato da: Giotti Rovena
crittografia
Autenticazione
Vi sono diversi tipi di Autentificazione :
 Autentificazione locale : è quella utilizzata da un pc.
 Autentificazione indiretta : è usata nei moderni sistemi
 Autentificazione off- line : utilizzata dai sistemi che utilizzano la
chiave pubblica.
I fattori di autentificazione sono:
 Qualcosa che sai (password)
Qualcosa che hai (smart card) Token
Quello che sei (impronte)
• Firma digitale
Realizzato da: Giotti Rovena
Elenco degli argomenti
Password
L’uso delle password è uno dei più
antichi sistemi di autenticazione.
Un Hash è un numero binario di
lunghezza fissa, ricavato da un input di
lunghezza variabile che funge da
impronta del dato di partenza.
Realizzato da: Giotti Rovena
autenticazione
Token
Un token è un fattore di autenticazione della
categoria “quello che hai”,l’utente deve essere
in possesso del token al fine di essere
autenticato dal computer.
Token passivi: sono le carte di credito,
bancomat ect..
Token attivi: ad esempio una password usata
una solo volta.
Realizzato da: Giotti Rovena
autenticazione
Firma digitale
La firma digitale garantisce l’autenticità di
colui che dice di aver firmato quel dato
documento.
L’Europa ha cominciato a conferire valore
giuridico alla firma digitale, con una serie
provvedimenti legislativi a partire dal 1997.
Realizzato da: Giotti Rovena
autenticazione
Protezione dei
dati
Per quanto riguarda gli aspetti che riguardano i dati, non si
possono definire disponibili dati che siano solo parziali,
privi di informazioni essenziali per il loro utilizzo.
L’insieme delle garanzie di:
• Disponibilità dei dati
• Ininterrotto e regolare funzionamento dei processi
aziendali
Sono i pilastri della cosiddetta Business Continuity.
Realizzato da: Giotti Rovena
Elenco degli argomenti
Backup
Il backup consente di proteggere i dati in un supporto
fisico diverso da quello in uso , effettuando una copia
di riserva dei dati di interesse dell’Organizzazione,
per poterne fare uso al momento di necessità.
Il Backup può essere fatto in diversi modi:
Backup normale: richiede più tempo perché copia
tutti i file selezionati.
Backup incrementale: richiede meno tempo in fase di
Backup.
Realizzato da: Giotti Rovena
Le Minacce
I virus possono infettare sia server di rete che normali Pc.
I virus maligni sono programmati per danneggiare il pc con l’alterazione di
programmi, cancellazioni di file ect ..
I virus benigni sono progettati per replicare se stessi.
Esistono diverse tipologie di virus:
• virus che infettano i file: infettano i programmi, file, eseguibili con
estensione com e exe.
• virus del settore boot: questi virus infettano il boot record del disco fisso.
• virus MBR: in loro il codice si localizzerà in diverse parti a secondo del
tipo di partizione.
• Virus multipartito: essi infettano siano il boot che i file.
• Macro virus: questi virus infettano i dati.
• Virus hoax: sono messaggi di avviso contenenti falsi allarmi.
Realizzato da: Giotti Rovena
Elenco degli argomenti
Le vie di
Accesso
Un pc è collegato tramite periferiche e
porte di rete, non tutte presentano le
stesse caratteristiche. Altre invece come i
floppy rappresentano una via di entrata.
Realizzato da: Giotti Rovena
Elenco degli argomenti
Prevenzione degli
Attacchi
Di seguito vengono elencate le prevenzione:
• Usare un antivirus efficace e tenerlo aggiornato.
• Istallare un antimalware e abilitare l’aggiornamento automatico
• Scaricare e aggiornare i vari aggiornamenti
• Mettere delle password e cambiarle spesso
• Istallare un Firewall
• Evitare di lasciare il pc acceso
• Evitare di aprire gli allegati di posta elettronica
• Nell’istallare i programmi utilizzare le opzioni “anteprima”
• Durante la navigazione web diffidare delle URL
• Evitare di avviare il sistema con un floppy di dubbia provenienza.
Realizzato da: Giotti Rovena
Elenco degli argomenti
Elenco dei tipi di
attacchi
Malware
Si definisce malware un qualsiasi software creato
con il solo scopo di creare danni più o meno
estesi al computer su cui viene eseguito.
Il termine deriva dalla contrazione delle parole
inglesi malicious e software e ha dunque il
significato letterale di "programma malvagio".
Worm, Trojan, Spyware, Adware
Coookie, Spam, Hijacking, Phishing, Dialer
Realizzato da: Giotti Rovena
Elenco dei tipi di attacchi
Il Troian
Un trojan, (Cavallo di Troia), è un programma per computer
che contiene funzionalità maliziose note a chi lo ha
programmato, ma non all'utente.
Un trojan horse è chiamato in questo modo poichè esegue
delle azioni nascoste all'utente, facendo credere a
quest'ultimo di essere in possesso di qualcosa di realmente
utile.
In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto,
composti generalmente da 2 file: il file server, che viene installato nella
macchina vittima, ed un file client, usato dal pirata per inviare istruzioni che
il server esegue. In questo modo, la vittima è indotta a far entrare il
programma nel computer, ed eseguire il programma.
I trojan non si diffondono autonomamente come i virus o i worm, quindi
richiedono un intervento diretto dell'attaccante per far giungere l'eseguibile
malizioso alla vittima
Un trojan può contenere qualsiasi tipo di istruzione maliziosa e pornografica.
Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per
installare delle backdoor o dei Keylogger sui sistemi bersaglio.
Realizzato da: Giotti Rovena
Elenco dei tipi di attacchi
Worm
Un worm è una particolare categoria di malware in grado di
autoreplicarsi. È simile ad un virus, ma a differenza di questo
non necessita di legarsi ad altri eseguibili per diffondersi.
Tipicamente un worm modifica il computer che infetta, in modo da
venire eseguito ogni volta che si avvia la macchina e rimanere
attivo finché non si spegne il computer o non si arresta il
processo corrispondente. Il worm tenta di replicarsi sfruttando
Internet in diverse maniere, spesso i mezzi di diffusione sono più
di uno per uno stesso worm.
Realizzato da: Giotti Rovena
Elenco dei tipi di attacchi
Lo Spam
Lo spam ( o e-mail spazzatura) è
l’invio di tanta pubblicità e l’invio delle
e-mail indesiderate che invadono le
caselle di posta elettronica. Il rimedio
è quello di far controllare le e-mail da
un programma che fa da filtro
antispam.
Gli spam arrivano al vostro indirizzo grazie a programmi
specifici che sfruttano tutto ciò che contiene una “@” nei
forum e nelle chat. Questi programmi, chiamati crawler
funzionano grosso modo come i motori di ricerca in internet.
Realizzato da: Giotti Rovena
Elenco dei tipi di attacchi
Spyware
Mentre state navigando in Internet,
qualcuno, di nascosto, sta raccogliendo
dei dati sul vostro Pc .
Si tratta di un programma “Spyware”. Vengono usati da da
“spamer” e “ craker” ovvero diversi tipi di pirati informatici, e
anche da società che si occupano di pubblicità on-line, per
conoscere le vostre abitudini quando navigate in Internet, quali
programmi usate e quali avete installato. Alcuni raccolgono dati
anche su tutto quello che digitate.
Realizzato da: Giotti Rovena
Elenco dei tipi di attacchi
Phishing
In ambito informatico si definisce phishing una
tecnica utilizzata per ottenere l'accesso ad
informazioni personali e riservate con la finalità
del furto di identità mediante l'utilizzo
dimessaggi
di posta elettronica fasulli, opportunamente creati
per apparire autentici.
Grazie a questi messaggi, l'utente è ingannato e portato a rivelare
dati sensibili, come numero di conto corrente, nome utente e
password, numero di carta di credito ecc.
Per difendersi dal phishing inviato via e-mail, basta cancellare l'email.
Elenco dei tipi di attacchi
Realizzato da: Giotti Rovena
Dialer
Un dialer è un programma per computer che crea una
connessione ad Internet, ad un'altra rete di
calcolatori o semplicemente ad un altro computer
tramite la comune linea telefonica o un collegamento
ISDN.
Alcuni di questi programmi sono creati per connettersi a numeri a
tariffazione speciale.
La maggior parte dei dialer impostati per connettersi a numeri a
tariffazione speciale utilizza metodi illegali, rientrando così nella
fattispecie del reato di truffa. Per le denunce compete la Polizia
Postale
Gli utenti con una connessione DSL o simile (per esempio una
connessione ad internet attraverso la rete locale) generalmente non
sono soggetti alla minaccia dei dialer.
Realizzato da: Giotti Rovena
Elenco dei tipi di attacchi
Firewall
Il firewall è un componente passivo di
difesa perimetrale che può anche
svolgere funzioni di collegamento di
due o più tronconi di rete. Usualmente
la rete viene divisa in due sottoreti:
una, detta esterna, comprende l'intera
internet mentre l'altra interna, detta
LAN (Local Area Network)che
comprende una sezione più o meno
grande di un insieme di computer
locali.
La sua funzionalità principale in sostanza è quella di creare un
filtro sulle connessioni entranti ed uscenti, in questo modo il
dispositivo innalza il livello di sicurezza della rete e permette sia
agli utenti interni che a quelli esterni di operare nel massimo
della sicurezza.
Realizzato da: Giotti Rovena
Elenco degli argomenti
• Un worm è una particolare categoria di malware in grado di
autoreplicarsi. È simile ad un virus, ma a differenza di questo non
necessita di legarsi ad altri eseguibili per diffondersi.
• Tipicamente un worm modifica il computer che infetta, in modo da
venire eseguito ogni volta che si avvia la macchina e rimanere attivo
finché non si spegne il computer o non si arresta il processo
corrispondente. Il worm tenta di replicarsi sfruttando Internet in
diverse maniere, spesso i mezzi di diffusione sono più di uno per uno
stesso worm.
• Il mezzo più comune impiegato dai worm per diffondersi è la posta
elettronica: il programma malizioso ricerca indirizzi e-mail
memorizzati nel computer ospite ed invia una copia di se stesso
come file allegato (attachment) a tutti o parte degli indirizzi che è
riuscito a raccogliere.
Realizzato da: Giotti Rovena
Adware
E’ un tipo di software distribuito gratuitamente in cambio
della visualizzazione di pubblicità tramite appositi
banner inseriti nel programma stesso. È’ una forma di
distribuzione che si è diffusa notevolmente grazie a
Internet e un modo per ripagare dei costi di sviluppo i
produttori di programmi. Spesso viene data la
possibilità di far scomparire il banner dalla finestra di
lavoro del programma, pagando una piccola cifra in
denaro al produttore, di entità simile a quelle richieste
per la fornitura di software in modalità shareware.
Elenco dei tipi di attacchi
Realizzato da: Giotti Rovena
Cookie
I cookies (letteralmente "biscottini") sono piccoli file di
testo che i siti web utilizzano per immagazzinare alcune
informazioni nel computer dell'utente. I cookie sono inviati
dal sito web e memorizzati sul computer. Sono quindi reinviati al sito web al momento delle visite successive. Le
informazioni all'interno dei cookie sono spesso codificate e
non comprensibili.
Le applicazioni più comuni vanno dalla
memorizzazione di informazioni sulle abilitazioni
dell'utente, alla tracciatura dei movimenti dell'utente
stesso all'interno dei siti web che visita.
Realizzato da: Giotti Rovena
Elenco dei tipi di attacchi
Hijacking
Hijacking: portare l'utente a visitare determinate pagine
indipendentemente dalla sua volontà e dalle sue abitudini in rete.
Questo può essere fatto solo assumendo direttamente il controllo della
macchina usata dall'utente.
Questa tecnica, permette ai dirottatori di eseguire sul
nostro computer una serie di modifiche tali da garantirsi la
nostra visita alle loro pagine al solo scopo di incrementare
in modo artificioso il numero di accessi e di click diretti al
sito e conseguentemente incrementare i guadagni dovuti
alle inserzioni pubblicitarie
Queste azioni possono limitarsi alla semplice modifica della
pagina iniziale del browser, all'aggiunta automatica di siti tra i
preferiti fino a radicali modifiche al nostro.
Realizzato da: Giotti Rovena
Elenco dei tipi di attacchi
Riferimenti normativi sulla Sicurezza
Informatica
L’evoluzione tecnologica e l’uso sempre più diffuso
di strumenti informatici in tutti i settori di attività,
hanno spinto negli anni il legislatore ad adeguare
progressivamente il sistema legislativo vigente, ai
cambiamenti imposti dall’emergere di nuovi e
sempre più sofisticati strumenti e sistemi di
scambio delle informazioni, al fine di tenere conto
delle mutate realtà che la tecnologia ha
inevitabilmente comportato.
Di seguito vengono elencati, in ordine cronologico, i
principali riferimenti normativi riguardanti la
sicurezza informatica:
Realizzato da: Giotti Rovena
• 1993: Legge 23/12/93 n. 547 Integrazione del codice penale con
l’introduzione dei reati di criminalità informatica;
• 1996: Legge 31/12/96 n. 675 Tutela dei dati personali (legge sulla
privacy)
• 1999: Decreto del Presidente della Repubblica 28/07/99 n. 318
Regolamento per l’individuazione delle misure minime di
sicurezza per il trattamento dei dati personali (regolamento
previsto dalla legge 675/96);
• 2002: Direttiva del Presidente del Consiglio dei ministri 16
gennaio 2002 Sicurezza informatica e delle telecomunicazioni
nelle Pubbliche Amministrazioni;
• 2003: Decreto Legislativo 30/6/03 n. 196 Codice in materia di
protezione dei dati personali (abroga ed estende la legge sulla
Privacy del ’96 e il suo regolamento sulle misure minime di
sicurezza).
Realizzato da: Giotti Rovena
Reati di criminalità
informatica
Nel 1993 la storia informatica entra
ufficialmente nei codici del nostro
sistema legislativo nel quale è stata
promulgata la legge 23 dicembre 1993
n. 547, che ha modificato e integrato il
codice penale e quello di procedura penale,
introducendo i reati di criminalità informatica.
In questa legge veniva così attribuita una
importanza giuridica agli strumenti e sistemi
informatici e telematici, che fino ad allora non
erano stati considerati alla stessa stregua di
altri
mezzi.
Realizzato da: Giotti Rovena
Con questa legge vengono effettuate molte importanti
equiparazioni dei sistemi informatici: vengono ad
esempio modificati alcuni articoli del codice penale
estendendo alcuni reati inerenti violenza alle cose, anche
all’alterazione o distruzione dei programmi informatici,
nonché alle azioni volte al malfunzionamento di sistemi
informatici e telematici. Viene sancita l’applicazioni delle
disposizioni concernenti gli atti pubblici e le scritture,
anche ai documenti informatici; si introduce il concetto
di “domicilio informatico”; v iene equiparata la
corrispondenza informatica o telematica a quella
epistolare, telegrafica e telefonica; viene punito il furto e
la diffusione di password.
Realizzato da: Giotti Rovena
La legge sulla
Privacy
• In termini di riservatezza e privacy, la legislazione vigente non mira
ad impedire il trattamento dei dati personali, bensì a
regolamentarlo, permettendo all’interessato di conoscere la finalità
del trattamento dei suoi dati e subordinandone la legittimità, al
consenso informato della persona.
• La legge 31 dicembre 1996 n. 675, comunemente nota come “legge
sulla privacy” finalizza alla tutela delle persone rispetto al
trattamento dei dati personali. Questa legge prevedeva al suo art.
15, l’emanazione di un regolamento riguardante le misure minime
di sicurezza per il trattamento dei dati personali. Tale regolamento
veniva pubblicato con il Decreto del Presidente della Repubblica 28
luglio 1999 n. 318.
Realizzato da: Giotti Rovena
A decorrere dal 1° gennaio 2004 la legge 675/96 è stata
abrogata e sostituita dal Decreto legislativo 30 giugno 2003
n. 196 – “Codice in materia di protezione dei dati personali”, il
quale estende la legge sulla privacy del 1996 e il suo
regolamento del 1999 sulle misure minime di sicurezza.
Uno dei primi aspetti è comprendere il significato dei termini “
trattamento”, “dati identificativi” e soprattutto “dati personali” e
“dati sensibili”.
•“trattamento”: qualunque operazione o complesso di
operazioni, effettuanti anche senza l’ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione,
l’organizzazione, la conservazione, la consultazione,
l’elaborazione, la modificazione, la selezione, l’estrazione, il
rafforzo, l’utilizzo, l’interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione
dei dati, anche se non registrati in una banca dati;
Realizzato da: Giotti Rovena
• “dato personale”: qualunque informazione relativa a
persona fisica, persona giuridica, ente o associazione,
identificati o identificabili, anche indirettamente mediante
riferimento a qualsiasi altra informazione, ivi compreso
un numero di identificazione personale;
• “dati identificativi”: i dati personali che permettono
l’identificazione diretta dell’interessato;
• “dati sensibili”: i dati personali idonei a rilevare l’origine
razziale ed etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l’adesione a partiti,
sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati
personali idonei a rilevare lo stato di salute e la vita
sessuale.
Realizzato da: Giotti Rovena
La finalità della legge riguarda la garanzia che il
trattamento dei dati personali si svolga nel rispetto
dei diritti, delle libertà fondamentali e della dignità
dell’interessato, con particolare riferimento alla
riservatezza e protezione dei suoi dati personali.
Riassumendo gli aspetti della legge, possiamo
evidenziare 3 aspetti fondamentali:
–
–
–
Il diritto di accesso della persona ai dati che lo
riguardano;
La legittimità e le finalità del trattamento dei dati
personali;
Il consenso informato dell’interessato.
Realizzato da: Giotti Rovena
Cosa si rischia se non si rispettano le norme
sulla
protezione e sul trattamento dei dati personali
Le sanzioni possono essere sia di carattere risarcitorio che di
carattere amministrativo e penale.
• Aspetto risarcitorio: è previsto l’art. 15 che cita: “chiunque cagioni danno
ad altri per effetto del trattamento di dati personali è tenuto al risarcimento
ai sensi dell’art. 2050 del codice civile”.
• Sanzioni amministrative: L’omessa o inidonea informativa all’interessato,
sanzionata dall’art. 161, prevede multe da 3.000 a 18.000 euro che
possono arrivare fino a 30.000 euro nei casi di dati sensibili giudiziari o di
trattamenti che presentano rischi specifici.
• Sanzioni penali: sono stabilite dall’art. 167 che riguarda il trattamento
illecito di dati e nel quale, se dal fatto deriva nocumento, è prevista la
reclusione da un minimo di 6 mesi ad un massimo di 3 anni, in funzione
degli articoli violati e della tipologia di violazione.
Realizzato da: Giotti Rovena
Definizione “legale” di
Sicurezza Informatica
Sicurezza fisica
Sicurezza tecnica
Sicurezza dei dati
Sicurezza logistica
Sicurezza dei programmi
Sicurezza legale
Sicurezza applicazioni
Realizzato da: Giotti Rovena
Scarica

Sicurezza Informatica