Sicurezza Informatica
Lo Presti Rossana 5° O
INTRODUZIONE
L’uso del PC, Fino a 10 anni fa, non dava preoccupazioni
nella protezione dei dati contenuti in esso, come adesso.
La protezione moderna dei dati, oggi, con il nascere delle reti
informatiche, “ovvero Internet”, ci cautela con l’uso
della PASSWORD contro l’accesso da parte di terze
persone. Ma tutto questo non basta, perché ci sono rischi
dovuti anche a :
•
Minacce di intrusione
•
Possibilità di divulgazione non autorizzata di
informazioni
•
Interruzioni e distruzioni di servizi offerti dall’utenza.
Lo Presti Rossana 5° O
Per meglio progredire quest’ultimi problemi di sicurezza, i
legislatori più industrializzati istituirono un settore specifico
dell’informatica “SICURMATICA”, che si occupa: del trattamento
e della salvaguardia degli strumenti informatici e delle
informazioni in esse contenute.
Lo Presti Rossana 5° O
MENU’










Sicurezza Informatica
Gestione del rischio
Organizzazione della Sicurezza
Standard ed Enti di Standardizzazione
Crittografia
Autenticazione
Protezione dei Dati
Elenco dei tipi di attacchi
Firewall
Norme sulla sicurezza informatica
Lo Presti Rossana 5° O
La sicurezza informatica
La sicurezza delle informazioni è una componente della sicurezza
sicurezza dei beni in generale.
Qualunque programma che si occupi della sicurezza delle
informazioni, deve perseguire 3 obiettivi fondamentali:
1. La Disponibilità
2. L’ Integrità
3. La Riservatezza
Alla sicurezza possiamo aggiungere altri obiettivi che vengono
considerati una estensione dell’ integrità delle informazioni (
invio di un messaggio o esecuzione di una transazione):
• L’autenticità:garantisce che l’invio di un messaggio o una
transazione vengano attribuiti con certezza al destinatario
• Il non ripudio garantisce che il messaggio o transazione,
conosca il suo autore, (ovvero chi lo ha mandato o eseguito)
Lo Presti Rossana 5° O
1. La Disponibilità
La disponibilità è il grado in cui le informazioni e le risorse
informatiche sono accessibili agli utenti che ne hanno diritto, nel
momento in cui servono.
Per impedire che i dati siano accessibili, si deve tener conto:
•Delle condizioni ambientali (energia, temperatura, umidità,
atmosfera, ecc.)
•Delle risorse hardware e software (guasti, errori, blackout,
disastri, ecc.)
•Di attacchi esterni ( attacchi provenienti ad esempio da Internet
che causano l’accessibilità ai dati e alle informazioni).
Lo Presti Rossana 5° O
2. L’integrità
L’ integrità per ciò che riguarda le informazioni, è il grado
in cui le informazioni devono essere: corrette, coerenti e
affidabili;
L’integrità per ciò che riguarda le risorse informatiche,è il
grado in cui le risorse devono avere: completezza,
coerenza e buone condizioni di funzionamento;
Lo Presti Rossana 5° O
L’integrità, per ciò che riguarda l’hardware e i sistemi di
comunicazione, consiste:
Nella corretta elaborazione dei dati
In un livello adeguato di prestazioni
In un corretto instradamento dei dati.
L’ integrità per ciò che riguarda il software riguarda:
La completezza e la coerenza dei moduli del sistema operativo
e delle applicazioni
La correttezza dei file critici di sistema e di configurazione.
Lo Presti Rossana 5° O
3. La riservatezza
La riservatezza si avvale di far limitare l’accesso alle informazioni e
alle risorse informatiche alle sole persone autorizzate. Si applica sia
all’archiviazione, sia alla comunicazione delle informazioni.
Lo Presti Rossana 5° O
Gestione del Rischio
Qui sotto indicati, vedremo, i vari aspetti di sicurezza delle
informazioni:
•
I beni da difendere
•
Gli obiettivi di sicurezza
•
Le minacce alla sicurezza
•
La vulnerabilità dei sistemi informatici
•
L’impatto causato dall’attuazione delle minacce
•
Il rischio
Lo Presti Rossana 5° O
1) Beni da difendere
In generale possiamo definire un bene come qualsiasi cosa, materiale o
immateriale che ha un valore e deve essere protetto.
Nel campo della sicurezza delle informazioni, i beni di un’ azienda
sono:
•Le risorse informatiche
•Il personale (utenti, amministratori, addetti alla manutenzione)
•Le informazioni
•La documentazione
•L’ immagine dell’ azienda
Lo Presti Rossana 5° O
Nel campo della sicurezza delle informazioni, i beni di un individuo sono:
•Informazioni personali
•La privacy
Lo Presti Rossana 5° O
2) Obiettivi di sicurezza
Per obiettivi di sicurezza si intende il grado di protezione che si attua
per i beni in termine di:
Disponibilità
Integrità
Riservatezza
Per sapere quale obiettivo adottare, i beni si classificano in categorie e
ad ognuno di essi si assegna il tipo di sicurezza:
Per le password e i numeri di identificazione si assegna: la
riservatezza.
Per le informazioni contabili di una banca che esegue transazioni
on-line si assegnano: disponibilità, integrità e riservatezza.
Per le informazioni pubblicate sul sito web si assegnano:
disponibilità,integrità.
Lo Presti Rossana 5° O
3) Minacce alla sicurezza
Una minaccia è un azione: potenziale, accidentale, deliberata, che può
portare alla violazione ad uno o più obiettivi di sicurezza.
Tabella esempi di minacce
Minaccia
Deliberata
Accidentale
Terremoto
Ambientale
x
Inondazione
x
Bombardamento
x
Furto
x
Temperatura alta o bassa
x
x
Errori software
x
x
Errori dell’utente
x
x
Accesso illegale alla rete
x
Infiltrazione di rete
x
Lo Presti Rossana 5° O
x
x
x
Per esempio: un allagamento dovuto a forti piogge è una minaccia
accidentale di origine naturale che influisce alla sicurezza in quanto
interrompe l’utilizzo dei servizi informatici.
Altro esempio e un cavallo di Troia è una minaccia deliberata di
origine umana e coinvolge tutti gli obiettivi di sicurezza, cioè viola la
sicurezza ei 3 obiettivi:
Disponibilità in quanto il computer cade sotto il controllo esterno e
non può più essere disponibile al suo proprietario.
Integrità in quanto le sue informazioni possono essere cancellate o
alterate.
Riservatezza in quanto i dati possono essere divulgati e letti dagli
estranei.
L’entità che mette i atto la minaccia è chiamato agente.
Lo Presti Rossana 5° O
4) Vulnerabilità dei sistemi
informatici
La vulnerabilità è un punto debole del sistema informatico (hardware,
software e procedure) che, se colpito da una minaccia, porta a qualche
violazione degli obiettivi di sicurezza.
Una vulnerabilità, di per se, non causa una perdita di sicurezza ma è la
combinazione tra vulnerabilità e minaccia che determina la possibilità
che vengano violati gli obiettivi di sicurezza.
Esempio: se un computer utilizzato per la contabilità di un azienda, non
protetto da firewall e antivirus e privo delle patch di sicurezza del
sistema operativo, è vulnerabile, ma se è tenuto al sicuro, viene usato
solo dal titolare e non è collegato ad internet, può funzionare senza
pericolo di essere colpito da minacce.
Lo Presti Rossana 5° O
5) L’impatto causato
dall’attuazione delle minacce
L’impatto si ha quando la minaccia colpisce il sistema e dipende dal
valore del bene e della violazione degli obiettivi di sicurezza.
Esempio: Se il titolare di un’azienda connette il suo portatile ad
internet senza protezione , apre una e-mail infetta propagando
l’infezione alla rete aziendale, l’impatto è grave e coinvolge tutti gli
obiettivi di sicurezza.In questo caso il titolare dell’azienda è
l’agente ( ovvero colui che ha attuato la minaccia), la vulnerabilità è
la conseguenza della cattiva configurazione del portale per la
mancata installazione di antivirus e firewall, la minaccia e data dalle
cattive abitudini e incompetenze del titolare.
Tutto ciò causerebbe: il blocco temporaneo della rete e dei
computer ad essa collegata, la disinfestazione con il conseguente
rischio della perdita di dati e la reinstallazione del software.
Lo Presti Rossana 5° O
6) Il Rischio
Il rischio è tanto maggiore quanto maggiore è l’impatto che l’ ha causato
e l’alta probabilità che esso si verifichi.
Possiamo definire il rischio l’insieme: della gravità dell’impatto
(conseguenza di un evento dannoso) e la probabilità che si verifichi
l’evento dannoso.
Il rischi si può classificare in due modi:
Analisi del rischio= QUI SI CLASSIFICANO LE INFORMAZIOMI
E LE RISORSE SOGGETTE A MINACCE E VULNERABILITA’ DOVE IL
LIVELLO DEL RISCHIO E ‘ ASSOCIATO AD OGNI MINACCIA.
Controllo del rischio= QUI VENGONO INDIVIDUATE LE
MODALITA’ CHE L’AZIENDA INTENDE ADOTTARE PER RIDURRE I
RISCHI ASSOCIATI ALLA PERDITA DELLA DISPONIBILITA’ DELLE
INFORMAZIONI E RISORSE INFORMATICHE E DELLA INTEGRITA’
E DELLA RISERVATEZZA DI DATI ED INFORMAZIONI
Lo Presti Rossana 5° O
Organizzazione della sicurezza
La sicurezza delle informazioni è il risultato di un insieme di
processi ai vari livelli dell’organigramma aziendale dove viene
creato un organizzazione per la sicurezza che assuma la
responsabilità e coinvolga l’intera struttura aziendale, in modo che
tutto il personale contribuisca nel proprio ambito lavorativo.
In alto all’ organizzazione della sicurezza troviamo i top
management che definiscono gli obiettivi e le politiche di sicurezza,
per poi essere specificati nei dettagli man mano che si scende
attraverso gli strati del modello organizzativo della sicurezza.
In cima a questo modello ci sono gli obiettivi strategici in cui si deve
fare carico l’organizzazione di sicurezza: classificazione dei beni e
del loro valore, censimento di vulnerabilità e minacce, analisi del
rischio, analisi costi/benefici delle contromisure, valutazione del
grado di protezione, definizione delle politiche di sicurezza, ecc.
Lo Presti Rossana 5° O
Uno dei primi compiti del gruppo incaricato nella sicurezza, è
quello di inquadrare l’azienda in base al modello di attività,
all’esposizione ai rischi e alla dipendenza della infrastruttura
informatica e di comunicazione.
Questo esame preliminare si ricollega alle leggi sulla criminalità
informatica e sulla privacy.
Lo Presti Rossana 5° O
STANDARD ED ENTI
DI STANDARDIZZAZIONE
Elenchiamo alcuni enti di standardizzazione:
 ITU (international Telecominication Union, www.itu.int): è un
organizzazione ONU dove governi e settore privato coordinano le reti e
i servizi globali di telecomunicazioni.
 ISO (international Organization for Standardization, www.iso.org) è
la maggiore organizzazione internazionale di standardizzazione.
 IETF (internet Engineering task Force, www.ietf.org)
Gli enti di standardizzazione sono organizzazioni di natura molto
differente che coprono aspetti normativi diversi a secondo di casi.
Operano in ambito nazionale e internazionale ed emettono norme e linee
guida per la realizzazione di prodotti, processi e servizi a secondo delle
tecnologie del momento.
Lo Presti Rossana 5° O
La crittografia
La parola crittografia deriva dal greco krypts (nascosto) e graphein
(scrivere).
Essa consiste nel cifrare, cioè rendere incomprensibile, un testo
chiaro attraverso un algoritmo di cifratura che fa uso in input di una
chiave. Il risultato della cifratura, cioè l’output dell’ algoritmo, potrà
essere cifrato solo disponendo della chiave di decifratura.
Le tecniche crittografiche permettono:
 Di trasformare dati, informazioni e messaggi in modo da nascondere
il contenuto a chiunque non sia autorizzato e attrezzato per prenderne
visione
 Di impedire ad estranei di alterare i dati.
 Di Garantire l’autenticità dei dati, associandoli in modo certo al loro
proprietario, impedendo che il mittente di un messaggio possa
ripudiarne la paternità.
Lo Presti Rossana 5° O
Vi sono due tipi di crittografia:
Crittografia simmetrica = apporta riservatezza al messaggio, ma non
assicura l’autenticazione, poiché non c’è un associazione univoca e sicura
tra la chiave e un individuo. Questo tipo di crittografia viene utilizzata
per cifrare grandi quantità di dati cosa che non è possibile con la
cifratura asimmetrica.
Crittografia asimmetrica = o chiave pubblica, usa due chiavi diverse
per cifrare e decifrare i messaggi o documenti. Con questo sistema, gli
utenti possono comunicare in modo sicuro attraverso un canale insicuro
senza dover concordare in anticipo una chiave. Inoltre, quest’ultimi
dovrebbero avere due coppie di chiavi: la chiave pubblica e la chiave
privata.
La chiave privata deve essere custodita al sicuro dal proprietario,
mentre la chiave pubblica può essere distribuita senza restrizioni, a
patto che sia autenticata.
Lo Presti Rossana 5° O
Autenticazione
Esistono diversi tipi di autenticazione:
Autenticazione locale: usata nel computer o nel portatile;
Autenticazione indiretta: utilizzata nei server di rete;
Autenticazione off- line: utilizzata per chiedere la chiave pubblica.
I fattori dell’autenticazione sono:
Qualcosa che sai : es. Password, Codice Pin;
Qualcosa che hai : es. Smart Card, Carta di Credito, Bancomat;
Qualcosa che sei : es. Impronte digitali, Retina, Voce.
Lo Presti Rossana 5° O
Password
L’uso della password è uno dei più antichi sistemi di autenticazione.
Dopo il 1967 è stato inserita una password che viene ancora
utilizzata : L’ HASH . Codesta è un numero binario di lunghezza
fissa.
All’ atto dell’autenticazione, l’ hash calcolato in base alla password
digitata viene confrontato con quello registrato nel file;se
coincidono, L’utente è autenticato.
Lo Presti Rossana 5° O
Token
Un token è un fattore di autenticazione della categoria “ quello che
hai”, l’utente deve essere in possesso del token al fine di essere
autenticato dal computer. Se il token viene smarrito l’utente non
può essere autenticato.
Esistono due tipi di token:
Token passivi : sono le carte di credito, bancomat di vecchia
generazione in cui i dati di identificazione sono registrati su una
striscia magnetica.
Token Attivi : invece, quelli attivi non trasmettono il proprio
dato segreto per autenticare l’utente, ma lo utilizzano per qualche
calcolo, come la generazione di una one- time password, cioè una
password usata solo una volta ( e quindi ogni volta diversa).
I
token attivi usano quasi sempre tecniche crittografate che li
rendono immuni da intercettazioni.
Lo Presti Rossana 5° O
Firma digitale
La firma digitale viene verifica quando un dato documento si sia
realmente prodotto o inviato.
La firma digitale deve essere: verificabile, non falsificabile,
non ripudiabile.
Lo Presti Rossana 5° O
Protezione dei dati
Parlando di disponibilità di dati viene spontaneo pensare alla possibilità
che si guastino i dischi fissi o la rete cessi di funzionare o che si
verifichi un blackout.
L’esempio più evidente è tutelarsi dal Blackout dotandosi di appositi
gruppi di continuità.
Per quanto riguarda gli aspetti che riguardano i dati,fattore importante
da considerare è l’ Integrità.
L’insieme delle garanzie dei dati sono i pilastri della ”Business
Continuity”. Questa è la misura in cui un organizzazione riesce a
garantire la stabilità ininterrotta dei sistemi e delle procedure
operative anche a fronte di eventi eccezionali.
Altro problema per la protezione dei dati consiste nel mantenere una
“copia a caldo”dei dati, aggiornata a tempo reale, pronta a sostituire la
copia primaria senza causare l’ interruzione dal servizio.
Lo Presti Rossana 5° O
Backup
Una soluzione adeguata riguarda il Backup il quale consente di
progettare i dati in un supporto fisico diverso da quelloin uso,
effettuando una copia di riserva dei dati di interesse dall’
Organizzazione, per poterne fare uso al momento di necessità.
Il Backup può essere fatto id diversi modi:
Backup normale: richiede più tempo perché copia tutti i file
selezionati, ma sarà più rapido nel ripristino poiché richiede solo il
supporto utilizzato più di recente.
Backup incrementale: richiede meno tempo in fase di Backup
poiché copia solo i file creati o modificati dopo l’ ultimo Backup
normale o incrementale, ma richiederà più attenzione e tempo in
fase di ripristino.
Lo Presti Rossana 5° O
Elenco dei tipi di attacchi
Malware
Si definisce malware un qualsiasi software
creato con il solo scopo di creare danni
più o meno estesi al computer su cui
viene eseguito.
Il termine deriva dalla contrazione delle
parole inglesi malicious e software e ha
dunque il significato letterale di
"programma malvagio".
Worm, Trojan, Spyware, Adware
Cookie, Spam, Hijacking, Phishing, Dialer
Lo Presti Rossana 5° O
Il Trojan
Un trojan, (Cavallo di Troia), è un programma per
computer che contiene funzionalità maliziose note a
chi lo ha programmato, ma non all'utente.
Un trojan horse è chiamato in questo modo poichè
esegue delle azioni nascoste all'utente, facendo
credere a quest'ultimo di essere in possesso di
qualcosa di realmente utile.
In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto, composti
generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed
un file client, usato dal pirata per inviare istruzioni che il server esegue. In questo
modo, la vittima è indotta a far entrare il programma nel computer, ed eseguire il
programma.
I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono
un intervento diretto dell'attaccante per far giungere l'eseguibile malizioso alla
vittima
Un trojan può contenere qualsiasi tipo di istruzione maliziosa e pornografica.
Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare
delle backdoor o dei Keylogger sui sistemi bersaglio.
Lo Presti Rossana 5° O
Worm
Un worm è una particolare categoria di malware in grado di
autoreplicarsi. È simile ad un virus, ma a differenza di
questo non necessita di legarsi ad altri eseguibili per
diffondersi.
Tipicamente un worm modifica il computer che infetta, in
modo da venire eseguito ogni volta che si avvia la macchina
e rimanere attivo finché non si spegne il computer o non si
arresta il processo corrispondente. Il worm tenta di
replicarsi sfruttando Internet in diverse maniere, spesso i
mezzi di diffusione sono più di uno per uno stesso worm.
Lo Presti Rossana 5° O
Lo Spam
Lo spam ( o e-mail spazzatura) è l’invio
di tanta pubblicità e l’invio delle e-mail
indesiderate che invadono le caselle di
posta elettronica. Il rimedio è quello di far
controllare le e-mail da un programma
che fa da filtro antispam.
Gli spam arrivano al vostro indirizzo grazie a programmi specifici
che sfruttano tutto ciò che contiene una “@” nei forum e nelle chat.
Questi programmi, chiamati crawler funzionano grosso modo come
i motori di ricerca in internet.
Lo Presti Rossana 5° O
Spyware
Mentre state navigando in Internet,
qualcuno, di nascosto, sta raccogliendo
dei dati sul vostro Pc.
Si tratta di un programma “Spyware”. Vengono usati da da “spamer”
e “ craker” ovvero diversi tipi di pirati informatici, e anche da società
che si occupano di pubblicità on-line, per conoscere le vostre
abitudini quando navigate in Internet, quali programmi usate e quali
avete installato. Alcuni raccolgono dati anche su tutto quello che
digitate.
Lo Presti Rossana 5° O
Phishing
In ambito informatico si definisce phishing una
tecnica utilizzata per ottenere l'accesso ad
informazioni personali e riservate con la finalità
del furto di identità mediante l'utilizzo di messaggi
di posta elettronica fasulli, opportunamente creati per
apparire autentici.
Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati
sensibili, come numero di conto corrente, nome utente e password,
numero di carta di credito ecc.
Per difendersi dal phishing inviato via e-mail, basta cancellare l'e-mail.
Lo Presti Rossana 5° O
Dialer
Un dialer è un programma per computer che crea una
connessione ad Internet, ad un'altra rete di calcolatori o
semplicemente ad un altro computer tramite la comune
linea telefonica o un collegamento ISDN.
Alcuni di questi programmi sono creati per connettersi a numeri a
tariffazione speciale.
La maggior parte dei dialer impostati per connettersi a numeri a
tariffazione speciale utilizza metodi illegali, rientrando così nella
fattispecie del reato di truffa. Per le denunce compete la Polizia Postale
Gli utenti con una connessione DSL o simile (per esempio una
connessione ad internet attraverso la rete locale) generalmente non
sono soggetti alla minaccia dei dialer.
Lo Presti Rossana 5° O
Firewall
Il firewall è un componente passivo di
difesa perimetrale che può anche svolgere
funzioni di collegamento di due o più
tronconi di rete. Usualmente la rete viene
divisa in due sottoreti: una, detta esterna,
comprende l'intera internet mentre l'altra
interna, detta LAN (Local Area Network)che
comprende una sezione più o meno grande
di un insieme di computer locali.
La sua funzionalità principale in sostanza è quella di creare un filtro
sulle connessioni entranti ed uscenti, in questo modo il dispositivo
innalza il livello di sicurezza della rete e permette sia agli utenti interni
che a quelli esterni di operare nel massimo della sicurezza.
Lo Presti Rossana 5° O
• Un worm è una particolare categoria di malware in grado di
autoreplicarsi. È simile ad un virus, ma a differenza di questo
non necessita di legarsi ad altri eseguibili per diffondersi.
• Tipicamente un worm modifica il computer che infetta, in
modo da venire eseguito ogni volta che si avvia la macchina e
rimanere attivo finché non si spegne il computer o non si
arresta il processo corrispondente. Il worm tenta di replicarsi
sfruttando Internet in diverse maniere, spesso i mezzi di
diffusione sono più di uno per uno stesso worm.
• Il mezzo più comune impiegato dai worm per diffondersi è la
posta elettronica: il programma malizioso ricerca indirizzi email memorizzati nel computer ospite ed invia una copia di se
stesso come file allegato (attachment) a tutti o parte degli
indirizzi che è riuscito a raccogliere.
Lo Presti Rossana 5° O
Adware
E’ un tipo di software distribuito gratuitamente in
cambio della visualizzazione di pubblicità tramite
appositi banner inseriti nel programma stesso. È’
una forma di distribuzione che si è diffusa
notevolmente grazie a Internet e un modo per
ripagare dei costi di sviluppo i produttori di
programmi. Spesso viene data la possibilità di far
scomparire il banner dalla finestra di lavoro del
programma, pagando una piccola cifra in denaro al
produttore, di entità simile a quelle richieste per
la fornitura di software in modalità shareware.
Lo Presti Rossana 5° O
Cookie
I cookies (letteralmente "biscottini") sono piccoli file di
testo che i siti web utilizzano per immagazzinare alcune
informazioni nel computer dell'utente. I cookie sono inviati
dal sito web e memorizzati sul computer. Sono quindi reinviati al sito web al momento delle visite successive. Le
informazioni all'interno dei cookie sono spesso codificate e
non comprensibili.
Le applicazioni più comuni vanno dalla memorizzazione di
informazioni sulle abilitazioni dell'utente, alla tracciatura dei
movimenti dell'utente stesso all'interno dei siti web che visita.
Lo Presti Rossana 5° O
Hijacking
Hijacking: portare l'utente a visitare determinate pagine
indipendentemente dalla sua volontà e dalle sue abitudini in rete.
Questo può essere fatto solo assumendo direttamente il controllo della
macchina usata dall'utente.
Questa tecnica, permette ai dirottatori di eseguire sul
nostro computer una serie di modifiche tali da garantirsi la
nostra visita alle loro pagine al solo scopo di incrementare
in modo artificioso il numero di accessi e di click diretti al
sito e conseguentemente incrementare i guadagni dovuti
alle inserzioni pubblicitarie.
Queste azioni possono limitarsi alla semplice modifica della pagina
iniziale del browser, all'aggiunta automatica di siti tra i preferiti
fino a radicali modifiche al nostro.
Lo Presti Rossana 5° O
Riferimenti normativi sulla
Sicurezza Informatica
L’evoluzione tecnologica e l’uso sempre più diffuso di
strumenti informatici in tutti i settori di attività, hanno
spinto negli anni il legislatore ad adeguare
progressivamente il sistema legislativo vigente, ai
cambiamenti imposti dall’emergere di nuovi e sempre più
sofisticati strumenti e sistemi di scambio delle
informazioni, al fine di tenere conto delle mutate realtà
che la tecnologia ha inevitabilmente comportato.
Di seguito vengono elencati, in ordine cronologico, i principali
riferimenti normativi riguardanti la sicurezza informatica:
Lo Presti Rossana 5° O
1993: Legge 23/12/93 n. 547 Integrazione del codice penale
con l’introduzione dei reati di criminalità informatica;
1996: Legge 31/12/96 n. 675 Tutela dei dati personali (legge
sulla privacy)
1999: Decreto del Presidente della Repubblica 28/07/99 n.
318 Regolamento per l’individuazione delle misure minime di
sicurezza per il trattamento dei dati personali (regolamento
previsto dalla legge 675/96);
2002: Direttiva del Presidente del Consiglio dei ministri 16
gennaio 2002 Sicurezza informatica e delle telecomunicazioni
nelle Pubbliche Amministrazioni;
2003: Decreto Legislativo 30/6/03 n. 196 Codice in materia di
protezione dei dati personali (abroga ed estende la legge sulla
Privacy del ’96 e il suo regolamento sulle misure minime di
sicurezza).
Lo Presti Rossana 5° O
Reati di criminalità informatica
Nel 1993 la storia informatica entra
ufficialmente nei codici del nostro
sistema legislativo nel quale è stata
promulgata la legge 23 dicembre 1993
n. 547, che ha modificato e integrato il
codice penale e quello di procedura penale,
introducendo i reati di criminalità informatica.
In questa legge veniva così attribuita una
importanza giuridica agli strumenti e sistemi
informatici e telematici, che fino ad allora non
erano stati considerati alla stessa stregua di
altri
mezzi.
Lo Presti Rossana 5° O
Con questa legge vengono effettuate molte importanti
equiparazioni dei sistemi informatici: vengono ad
esempio modificati alcuni articoli del codice penale
estendendo alcuni reati inerenti violenza alle cose,
anche all’alterazione o distruzione dei programmi
informatici, nonché alle azioni volte al
malfunzionamento di sistemi informatici e telematici.
Viene sancita l’applicazioni delle disposizioni
concernenti gli atti pubblici e le scritture, anche ai
documenti informatici; si introduce il concetto di
“domicilio informatico”; v iene equiparata la
corrispondenza informatica o telematica a quella
epistolare, telegrafica e telefonica; viene punito il
furto e la diffusione di password.
Lo Presti Rossana 5° O
La legge sulla Privacy
In termini di riservatezza e privacy, la legislazione
vigente non mira ad impedire il trattamento dei dati
personali, bensì a regolamentarlo, permettendo
all’interessato di conoscere la finalità del trattamento dei
suoi dati e subordinandone la legittimità, al consenso
informato della persona.
La legge 31 dicembre 1996 n. 675, comunemente nota
come “legge sulla privacy” finalizza alla tutela delle persone
rispetto al trattamento dei dati personali. Questa legge
prevedeva al suo art. 15, l’emanazione di un regolamento
riguardante le misure minime di sicurezza per il
trattamento dei dati personali. Tale regolamento veniva
pubblicato con il Decreto del Presidente della Repubblica
28 luglio 1999 n. 318.
Lo Presti Rossana 5° O
A decorrere dal 1° gennaio 2004 la legge 675/96 è stata
abrogata e sostituita dal Decreto legislativo 30 giugno 2003
n. 196 – “Codice in materia di protezione dei dati personali”, il
quale estende la legge sulla privacy del 1996 e il suo
regolamento del 1999 sulle misure minime di sicurezza.
Uno dei primi aspetti è comprendere il significato dei termini “
trattamento”, “dati identificativi” e soprattutto “dati personali”
e “dati sensibili”.
•“trattamento”: qualunque operazione o complesso di operazioni,
effettuanti anche senza l’ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione, l’organizzazione, la
conservazione, la consultazione, l’elaborazione, la modificazione,
la selezione, l’estrazione, il rafforzo, l’utilizzo,
l’interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione dei dati, anche se non registrati in
una banca dati;
Lo Presti Rossana 5° O
“dato personale”: qualunque informazione relativa a
persona fisica, persona giuridica, ente o associazione,
identificati o identificabili, anche indirettamente
mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale;
“dati identificativi”: i dati personali che permettono
l’identificazione diretta dell’interessato;
“dati sensibili”: i dati personali idonei a rilevare
l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a
rilevare lo stato di salute e la vita sessuale.
Lo Presti Rossana 5° O
La finalità della legge riguarda la garanzia che il
trattamento dei dati personali si svolga nel rispetto
dei diritti, delle libertà fondamentali e della dignità
dell’interessato, con particolare riferimento alla
riservatezza e protezione dei suoi dati personali.
Riassumendo gli aspetti della legge, possiamo
evidenziare 3 aspetti fondamentali:
 Il diritto di accesso della persona ai dati che
lo riguardano;
 La legittimità e le finalità del trattamento dei
dati personali;
 Il consenso informato dell’interessato.
Lo Presti Rossana 5° O
Cosa si rischia se non si rispettano le norme sulla
protezione e sul trattamento dei dati personali
Le sanzioni possono essere sia di carattere risarcitorio che di
carattere amministrativo e penale.
•
Aspetto risarcitorio: è previsto l’art. 15 che cita: “chiunque cagioni
danno ad altri per effetto del trattamento di dati personali è tenuto
al risarcimento ai sensi dell’art. 2050 del codice civile”.
•
Sanzioni amministrative: L’omessa o inidonea informativa
all’interessato, sanzionata dall’art. 161, prevede multe da 3.000 a
18.000 euro che possono arrivare fino a 30.000 euro nei casi di dati
sensibili giudiziari o di trattamenti che presentano rischi specifici.
•
Sanzioni penali: sono stabilite dall’art. 167 che riguarda il
trattamento illecito di dati e nel quale, se dal fatto deriva
nocumento, è prevista la reclusione da un minimo di 6 mesi ad un
massimo di 3 anni, in funzione degli articoli violati e della tipologia di
violazione.
Lo Presti Rossana 5° O
Definizione “legale” di Sicurezza Informatica
Sicurezza fisica
Sicurezza tecnica
Sicurezza dei dati
Sicurezza logistica
Sicurezza dei programmi
Sicurezza legale
Sicurezza applicazioni
Lo Presti Rossana 5° O
Norme sulla sicurezza informatica
Riferimenti normativi sulla sicurezza informatica
Reati di criminalità informatica
La legge sulla Privacy
Cosa si rischia se non si rispettano le norme sulla
protezione e sul trattamento dei dati personali
Definizione legale sulla sicurezza informatica
Lo Presti Rossana 5° O
ESEGUITO DA :
LO PRESTI ROSSANA
Lo Presti Rossana 5° O
Scarica

di Sicurezza Informatica