ASSOCIAZIONE DEGLI INDUSTRIALI DELLA PROVINCIA DI VERONA Verona, 17 Ottobre 2005 LA SICUREZZA DEL TRATTAMENTO DEI DATI E L’ IMPLEMENTAZIONE NELLE AZIENDE Analisi dei rischi aziendali Misure e politiche di sicurezza Documento Programmatico sulla Sicurezza Martino Toffalori Presidente ABS Computers srl LE NUOVE MISURE DI SICUREZZA DEI DATI E DEI SISTEMI PERCHE’ ? MISURE DI SICUREZZA DEI DATI E DEI SISTEMI Nuovi Rischi • IERI I Sistemi Informativi presentavano rischi specifici intrinseci al CED, limitati all’ambiente chiuso, isolato e circoscritto. • OGGI I Sistemi Informativi presentano nuovi rischi dovuti a : dimensioni, portabilità, memoria, connettività, diffusione. • DOMANI Ulteriori nuovi rischi dovuti a : alta velocità e trasferimento ingente di dati, interconnettività planetaria, integrazione ambiente domestico e aziendale, collegamenti senza fili, sensori che seguono gli acquisti, biometria, videosorveglianza digitale, localizzazione di persone e oggetti. MISURE DI SICUREZZA DEI DATI E DEI SISTEMI Nuovi Rischi Notebook, cellulari, palmari, tablet pc, microcamere, videocamere, webcam, memory pen, vpn, wireless access point, wi-fi, bluetooth, umts, sms, mms, gprs, gps……. Mobile Employees Consumers, Partners Mobile Employees Consumers, Partners Customers Partners Suppliers MISURE DI SICUREZZA DEI DATI E DEI SISTEMI Devono Garantire • INTEGRITA’ La salvaguardia della esattezza dei dati, la difesa da manomissioni e da modifiche non autorizzate, il monitoraggio automatico degli accessi, ecc… • CONFIDENZIALITA’ ( riservatezza) La protezione delle informazioni tramite l’accesso solo agli autorizzati, la protezione delle trasmissioni, il controllo accessi, ecc… • DISPONIBILITA’ La garanzia per gli utenti della fruibilità dei dati delle informazioni e dei servizi, evitando la perdita o riduzione dei dati o dei servizi. Sono i 3 PRINCIPI alla base delle nuove MISURE DI SICUREZZA, principi già presenti in STANDARD internazionali ISO 17799:2000 – una parte di BS7799 LA STRUTTURA DELLA NORMATIVA SULLA SICUREZZA DEI DATI E DEI SISTEMI STRUTTURA DELLE MISURE DI SICUREZZA Codice Disciplinare Tecnico Art. 4 Art. 31 Art. 33 34 35 Art. 36 Art. 180 Definizioni Misure di sicurezza Trattamenti con strumenti elettronici Regole da 1 a 26 Trattamenti senza l’ausilio di strumenti elettronici Regole da 27 a 29 Misure minime di sicurezza Adeguamento Disposizioni transitorie Punti = Regole Art. 169 Sanzioni Art. 15 Danni Altre Norme “trasversali” Codice: Art.4, comma 3, lettera a - definizioni MISURE MINIME Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’articolo 31 I RISCHI DI Distruzione o perdita anche accidentale Accesso non autorizzato Trattamento non consentito Trattamento non conforme alle finalità Codice: Art.31 - misure di sicurezza Art. 31. Obblighi di sicurezza • 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Codice: Art.31, comma 1 - misure di sicurezza I DATI PERSONALI OGGETTO DI TRATTAMENTO SONO CUSTODITI CONTROLLATI anche in relazione alle CONOSCENZE acquisite in base al progresso tecnico NATURA CARATTERISTICHE dei dati del trattamento In modo da RIDURRE AL MINIMO mediante l’adozione di IDONEE PREVENTIVE MISURE DI SICUREZZA I RISCHI DI Distruzione o perdita anche accidentale Accesso non autorizzato Trattamento non consentito Trattamento non conforme alle finalità Codice: Art.33 e 34 - misure minime di sicurezza Art. 33. Misure minime • 1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. Art. 34. Trattamenti con strumenti elettronici • 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito • • • • • • • • solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Codice: Art.35 - Trattamenti senza l'ausilio di strumenti elettronici 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: • a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; • b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; • c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. Codice: Art.36 - adeguamento • 1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore. Viene rimandato al disciplinare tecnico l’elencazione delle regole che potranno essere modificate ed aggiornate periodicamente, ad ogni necessità. L’aggiornamento avviene in relazione all’evoluzione tecnica e all’esperienza maturata nel settore, con decreto del Ministero della giustizia di concerto con il Ministero per le innovazioni e le tecnologie Non sarà necessario dover intervenire sul codice DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA (Art. da 33 a 36 del codice) MISURE MINIME DI SICUREZZA Prospetto indicativo Codice Articolo 34 Disciplinare Tecnico Trattamenti con strumenti elettronici Regole da 1 a 26 Lettera a Punto 1 Punto 2 Lettera b Punti 1e2 Punto 3 Lettera c Punto 12 Punto 13 Punto 14 SISTEMA DI AUTORIZZAZIONE Lettera d Punto 15 Punto 14 Lettera e Punto 16 Punto 17 Punto 20 Punto 21 Punto 22 Lettera f Punto 18 Punto 23 CUSTODIA E RIPRISTINO Lettera g Punto 19 Punto 26 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Lettera h Punto 24 CIFRATURA O DISGIUNZIONE DEI DATI Articolo 35 Trattamenti senza l’ausilio di strumenti elettronici Lettera a Punto 27 AMBITO DEL TRATTAMENTO - INCARICATI Lettera b Punto 28 CUSTODIA Lettera c Punto 29 CONSERVAZIONE E ACCESSO AGLI ARCHIVI AUTENTIFICAZIONE INFORMATICA Punto 4 Punto 5 Punto 6 Punto 7 Punto 8 Punto 9 Punto 10 CREDENZIALI AMBITO DEL TRATTAMENTO – INCARICATI – ECC. Punto 9 PROTEZIONE STRUMENTI Regole da 27 a 29 DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Sistemi di autenticazione informatica e autorizzazione: Punto 1 Trattamento con accesso consentito attraversi sistemi di autenticazione con credenziali Punto 2 Credenziali costituite da codice utente + password ; oppure un dispositivo personale o caratteristica biometrica + eventuale codice / password Punto 3 Assegnazione o associazione di una o più credenziali per ogni incaricato Punto 4 Istruzioni agli incaricati per l’uso e la segretezza delle credenziali, dei dispositivi in possesso ed uso esclusivo dell’incaricato Punto 5 Password da almeno 8 caratteri o massimo possibile, non riconducibile all’incaricato, modificata al 1° uso, durata 6 o 3 mesi (dati sensibili e giudiziari) Punto 6 Divieto di assegnazione del medesimo codice utente, laddove utilizzato, ad altri incaricati. Neppure in tempi diversi. Punto 7 Disattivazione delle credenziali non usate da 6 mesi, salvo quelle per gestione tecnica DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Sistemi di autenticazione informatica e autorizzazione: Punto 8 Disattivazione delle credenziali in caso di perdita della qualità che consente all’incaricato l’accesso ai dati Punto 9 Istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento Punto 10 Idonee e preventive disposizioni per l’uso delle credenziali di un incaricato nel caso di impedimento dello stesso. Custodia copia credenziali. Comunicazione se utilizzate. Punto 12 Se per gli incaricati sono individuabili profili di autorizzazione di ambito diverso va utilizzato un sistema di autorizzazione Punto 13 Individuati e configurati singoli profili o per classi omogenee in modo da limitare l’accesso ai soli dati necessari Punto 14 Verifica periodica e comunque almeno annualmente della sussistenza delle condizioni per la conservazione dei profili LE CREDENZIALI SONO QUALCOSA CHE OGNI SOGGETTO… CONOSCE Parola chiave, Codici POSSIEDE Carta a microprocessore, certificati digitali E’ Caratteristiche Biometriche L’ USO DELLA BIOMETRIA RICHIEDE IL RISPETTO DI ALCUNI FONDAMENTALI PRINCIPI … Il principio di necessità impone di accertare se la finalità perseguita non possa essere realizzata utilizzando dati che non coinvolgono il corpo; il principio di proporzionalità esige una considerazione rigorosa della legittimità di raccolte generalizzate rispetto a raccolte mirate, di una conservazione centralizzata o decentrata dei dati raccolti; il principio di dignità fa emergere la necessità di rispettare l’autonomia delle persone di fronte a particolari raccolte di dati (quelle riguardanti la salute, in primo luogo). Sistemi di autenticazione informatica e autorizzazione: Logica di funzionamento Sistema di autenticazione Dimostramelo dammi le tue credenziali OK Sei Rossi, La tua identità è autenticata Sistema di autorizzazione Quindi puoi accedere, ma controllo a che cosa Ai dati e applicazioni del tuo profilo Dichiarazione di identità Sono Mario Rossi Le mie credenziali sono : Codice Identificativo (User ID) Parola chiave, Carte o altro Ciò che Rossi: 1) Conosce 2) Possiede 3) E’ Credenziali di autenticazione Il Signor Rossi, incaricato del trattamento, è autorizzato ad accedere ad alcuni dati e applicazioni, preventivamente determinate. È stato stabilito il suo profilo per l’accesso al sistema e a certi dati. DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Punto 15 Aggiornamento periodico, almeno annuale, della lista degli incaricati, addetti alla gestione e manutenzione, redatta anche per classi omogenee Punto 16 Protezione dati da rischio intrusione e dall’azione di programmi di cui art.615-quinquies con idonei strumenti da aggiornare con cadenza almeno semestrale Art. 615-quinquies : Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o a esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento,….. Punto 17 Punto 18 Protezione degli strumenti elettronici e dei dati con aggiornamenti periodici dei programmi, volti a prevenire la vulnerabilità e correggerne i difetti. Da effettuarsi almeno annualmente o ogni 6 mesi per dati sensibili o giudiziari Istruzioni organizzative e tecniche per il salvataggio dati con frequenza almeno settimanale. (Art.34, c1,f : Custodia e ripristino dei dati e dei sistemi) DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Documento Programmatico sulla Sicurezza Documento programmatico sulla sicurezza contenente idonee informazioni. A cura del titolare di un trattamento dati, da adottare ed aggiornare entro il 31 marzo di ogni anno Punto 19 … Costituisce una sorta di manuale della sicurezza aziendale ai fini del trattamento dei dati tutelati dal Codice …. ….Rappresenta una misura opportuna per per analizzare la situazione aziendale ed organizzare le procedure a garanzia della sicurezza … DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Ulteriori misure in caso di trattamento di dati sensibili o giudiziari Punto 20 Protezione dati sensibili e giudiziari contro l’accesso di cui art.615-ter del codice penale con idonei strumenti elettronici Art. 615-ter : Accesso abusivo a un sistema Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito……… Punto 21 Istruzioni organizzative e tecniche per la custodia e l’uso dei supporti removibili al fine di evitare accessi non autorizzati e trattamenti non consentiti ai dati contenuti Punto 22 Distruzione dei supporti removibili non più utilizzati. Riutilizzo consentito, anche da altri Incaricati, solo se i dati contenuti sono stati cancellati e tecnicamente non ricostruibili Punto 23 Misure per il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli Strumenti elettronici, in tempi non superiori ai 7 giorni Punto 24 Gli organismi sanitari e gli esercenti le professioni sanitarie che trattano dati sulla salute e la vita sessuale devono adottare tecniche di cifratura o trattamento disgiunto. Locali con accesso protetto e trasferimento dati in formato elettronico cifrato DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Misure di tutela e garanzia Punto 25 Il titolare di un trattamento dati che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta La conformità alle disposizioni del disciplinare tecnico Punto 26 Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza DISCIPLINARE TECNICO Trattamenti senza l’ausilio di strumenti elettronici Punto 27 Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione Punto 28 Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. Punto 29 L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. Esempio Adempimento ai punti 1,2,3,5,6,7,8,10,12,13,14,20,23,24 email Internet Novell Unix AS400 Server Windows 2003 Complicazioni !!! Alcune semplici soluzioni Sistemi software : semplici applicazioni locali o di autenticazione per reti complesse tipo Novell OneNet Single Sign-On Sistemi hardware : Smart card, chiavi mem usb, chiavi bio usb Consentono di raggruppare e memorizzare le password e/o codici identificativi dei vari siti Internet / accessi a Server / apparecchiature / applicazioni Evitano il continuo cambiamento delle varie password e rendono le stesse più sicure Comportamenti a rischio di dipendenti e collaboratori 28 Settembre 2005 Da tempo le società attive nel settore della sicurezza, gli analisti e gli osservatori cercano di mettere in guardia le aziende non semplicemente dai pericoli e dalle minacce provenienti dall'esterno, ma anche e soprattutto rispetto a una serie di comportamenti considerati rischiosi da parte di dipendenti e collaboratori,. Per anni si è parlato di una sorta di gap culturale, tra ciò che il mercato - vedi le aziende fornitrici di tecnologie e soluzioni per la sicurezza - propone e i comportamenti diffusi. Dopo anni il gap non può certo dirsi colmato, ma si assiste a una nuova consapevolezza da parte degli amministratori di rete e dei responsabili dei sistemi informativi, oggi più che mai consapevoli dei rischi provenienti proprio dall'interno. Lo testimonia Sophos, presentando i risultati di una indagine condotta proprio presso gli amministratori di rete. Il 79% degli interpellati, infatti, ritiene che gli impiegati possano mettere a rischio le aziende per cui lavorano usando Internet e la posta elettronica in maniera impropria. Non si tratta di volontà di dolo, si precisa nel report, ma di una mancanza di consapevolezza che rende indispensabile a questo punto una presa in carico seria e determinata delle policy di sicurezza da parte degli stessi vertici aziendali. Policy talmente serie che, secondo il 63% degli interpellati, dovrebbero comprendere richiami formali e finanche il licenziamento per chi non dovesse attenervisi. E per riassumere sinteticamente questi comportamenti a rischio, Sophos ha stilato una lista dei "sette peccati capitali" normalmente e impunemente commessi in orario di lavoro utilizzando le infrastrutture aziendali. 1) Scaricare musica e film 2) Aprire allegati ricevuti via mail o cliccare su link di mail non richieste 3) Navigare su siti pornografici o siti sospetti 4) Lanciare programmi “joke” ricevuti da amici e colleghi 5) Installare software non autorizzato o navigare su siti che si autolanciano 6) Fornire informazioni a sconosciuti via telefono o via mail 7) Usare la stessa password su diversi siti Internet o scambiare la password DOCUMENTO PROGRAMMATICO PER LA SICUREZZA Struttura del Documento Programmatico sulla Sicurezza DOCUMENTO PROGRAMMATICO ANNUO SULLA SICUREZZA Regole 19.1 - 19.8 Trattamenti Elenco dei trattamenti Compiti e responsabilità Nell’ambito delle strutture preposte ai Analisi dei rischi Che incombono sui dati Integrità e disponibilità dati Protezione aree e locali Per la protezione custodia e accessibilità Dati dipendenti Dati presenze Aree locali Dati sindacali Ripristino della disponibilità Dopo distruzione o danneggiamento e in tempi certi Formazione degli incaricati Su rischi, misure preventive disponibili, norme Sicurezza e out sourcing Dati malattie Dati contenzioso Dati fornitori Dati clientela Criteri per le misure minime Dati di mercato Salute e vita sessuale Criteri per la Cifratura Separazione Altri dati Documento Programmatico Sicurezza Regola 19.1 ELENCO DEI TRATTAMENTI DI DATI PERSONALI IL CENSIMENTO DEI TRATTAMENTI Quali sono i trattamenti che svolgo Quali sono i dati che tratto A chi si riferiscono Con quale finalità Da parte di chi Con quale modalità Che natura hanno Con quali rischi Con quale sicurezza Dove Come Documento Programmatico Sicurezza Regola 19.1 ELENCO DEI TRATTAMENTI DI DATI PERSONALI Qualunque adempimento richiede il preliminare censimento dei trattamenti E’ NECESSARIO CONOSCERE QUALI DATI TRATTIAMO, AD OPERA DI CHI, CON QUALI MEZZI Per fare l’informativa Per chiedere il consenso Per fare la notificazione Per gestire gli accessi Per gestire i consensi Per stabilire l’ambito del trattamento Per fornire istruzioni scritte Per nominare gli incaricati Per designare i responsabili Per le verifiche periodiche Per individuare le misure di sicurezza Per aggiornare le misure di sicurezza Documento Programmatico Sicurezza Regola 19.2 LA DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ Come sono distribuiti compiti responsabilità Lista ambito istruzioni incaricati trattamenti compliance nelle strutture che trattano i dati personale legale CED filiali segreterie auditing Sicurezza fisica Sicurezza logica Ecc. Documento Programmatico Sicurezza Regola 19.3 ANALISI DEI RISCHI I RISCHI DI Distruzione o perdita anche accidentale Accesso non autorizzato Trattamento non consentito Trattamento non conforme alle finalità Maltempo, inondazioni, fulmini, terremoto, fuoco, attentati, guasti e omissioni HW, cadute di corrente, virus e worms, hacking sabotaggi, errori del software, comportamenti, organizzazione, logistica. Documento Programmatico Sicurezza Regola 19.4 MISURE PER L’INTEGRITÀ E DISPONIBILITÀ DEI DATI INTEGRITA’ La salvaguardia della esattezza dei dati, la difesa da manomissioni e da modifiche non autorizzate, il monitoraggio automatico degli accessi, ecc… CONFIDENZIALITA’ ( riservatezza) La protezione delle informazioni tramite l’accesso solo agli autorizzati, la protezione delle trasmissioni, il controllo accessi, ecc… DISPONIBILITA’ La garanzia per gli utenti della fruibilità dei dati delle informazioni e dei servizi, evitando la perdita o riduzione dei dati o dei servizi. ELENCO DELLE MISURE ADOTTATE E DA ADOTTARE (Autenticazione, Antivirus, Firewall, Backup, Screensaver, Archiviazione doc., stampe e fax, Distruzione supporti e doc. Accessi aree e locali Eventi naturali, Eventi dolosi, ….) Documento Programmatico Sicurezza Regola 19.4 MISURE PER LA PROTEZIONE DELLE AREE E DEI LOCALI (Accessi aree e locali, Archiviazione doc., stampe e fax, distruzione supporti e doc. eventi naturali, eventi dolosi, ….) Documento Programmatico Sicurezza Regola 19.5 RIPRISTINO DELLA DISPONIBILITÀ DEI DATI Sono adottate Idonee misure Per garantire IL RIPRISTINO DELL’ACCESSO AI DATI IN TEMPI CERTI In caso di danneggiamento Compatibili con i diritti degli interessati DEGLI STESSI O degli strumenti elettronici E non superiore a 7 giorni Documento Programmatico Sicurezza Regola 19.6 FORMAZIONE DEGLI INCARICATI OBIETTIVO DELLA FORMAZIONE È RENDERE EDOTTI GLI INCARICATI dei rischi che Incombono sui dati QUANDO VA FATTA delle misure di prevenzione della normativa delle responsabilità come aggiornarsi In relazione all’attività svolta che ne derivano sulle misure minime Ingresso In servizio cambio mansioni cambio tecnologie Documento Programmatico Sicurezza Regola 19.7 SICUREZZA E OUT SOURCING La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare In caso di trattamenti esternalizzati Descrivere i criteri da adottare per garantire L’adozione delle misure In conformità al codice Documento Programmatico Sicurezza Regola 19.8 SALUTE E VITA SESSUALE GLI ORGANISMI SANITARI E GLI ESERCENTI LE PROFESSIONI SANITARIE CHE EFFETTUANO IL TRATTAMENTO DI DATI IDONEI A RIVELARE LO STATO DI SALUTE E LA VITA SESSUALE CONTENUTI IN all’interno di locali protetti elenchi registri accessibili ai soli incaricati ai soggetti specificatamente autorizzati ad accedervi Il trasporto fuori dai locali avviene In contenitori muniti di serratura o dispositivi equipollenti Il trasferimento elettronico è cifrato banche dati I dati relativi all’identità generica sono trattati Con criteri (Art. 22 comma 6) cifratura separazione COME PROCEDERE … CODICE 33 - 36 DISCIPLINARE TECNICO 1 - 29 DPS 19.1 19.2 DPS 19.3 DPS 19.4 CHECK-UP STRUTTURA Sistemi Elettronici e Trattamento Dati ANALISI RISCHI DETERMINAZIONE CRITERI E MODALITA’ (Trattamento, copie, formazione, ..) ATTIVAZIONE MISURE APPLICAZIONE E PIANIFICAZIONE DPS 19.5 19.6 19.7 19.8 CHECK UP STRUTTURA – RACCOLTA DATI RETE DATI : Rete principale (DHCP/IP statici) : Sottoreti (DHCP/IP statici): Reti pubbliche (IP pubblico) : Reti wireless (DHCP/IP statici): Sistemi di connessione / interconnessione tra le reti (switch, router, firewall,etc.) : Dislocazione e numero prese di rete (totali / libere) : Accesso verso Internet (singolo / condiviso, tipo) : Connessione con aziende esterne (linee dedicate / internet) : Accesso dall’esterno (dipendenti, clienti, fornitori, etc.) : CHECK UP STRUTTURA – RACCOLTA DATI SERVER : Numero e tipo hw : Dislocazione ed accesso fisico : Sistema operativo (Unix, Linux, Novell, Windows), licenza e revisione : Gestione dominio (nome), file server, printer server, posta, proxy : Sistema di sicurezza dati (tape backup, raid, backup remoto, raid remoto etc.): Gestione del backup (n.supporti, frequenza, conservazione, disaster recovery, etc.): Protezione di alimentazione (ups, stabilizzatore, etc.) : Protezione accesso al sistema (pwd admin, pwd bios, screen saver con pwd, etc.) : Protezione accesso al sistema tramite dispositivi di autenticazione (smart card, badge, biometria,etc.): CHECK UP STRUTTURA – RACCOLTA DATI PC / WORKSTATION : Numero e tipo PC desktop / ws : Numero e tipo PC portatili : Sistemi operativi (Win95, Win98, Win2000, WinXP HE, WinXP Pro, etc.), licenza e revisione : Sistemi locali di copia (floppy, masterizzatore, etc.) : Protezione accesso al sistema (pwd bios, usr locale, dominio, screen saver con pwd, etc.) : Protezione accesso al sistema tramite dispositivi di autenticazione (smart card, badge, biometria,etc.): CHECK UP STRUTTURA – RACCOLTA DATI ALTRO HARDWARE : Numero, tipo hw e dislocazione fisica stampanti di rete : Numero tipo e dislocazione fisica sistema fax (apparecchiatura / software ) : Protezione di alimentazione centralizzata e dislocazione fisica (ups, stabilizzatore, etc.) : ……. ……. CHECK UP STRUTTURA – RACCOLTA DATI APPLICAZIONI SOFTWARE E RELATIVI ARCHIVI : Applicazioni di tipo gestionali tipo contabilità, paghe, etc. (licenza e revisione): Applicazioni per marketing / proposte commerciali (licenza e revisione): Applicazioni di office automation (licenza e revisione): Applicazioni tecniche / grafiche (licenza e revisione): Strumenti per navigazione internet (licenza e revisione): Siti Internet WEB locali / presso provider : Posta elettronica (licenza e revisione): Software antivirus (licenza e revisione): Software di firewall / protezione (licenza e revisione): CHECK UP STRUTTURA – RACCOLTA DATI Dislocazione archivi elettronici, cartacei, etc. (Server/PC, armadi, etc.) : Identificazione eventuali dati sensibili (tipo / database) : Sistemi per la generazione dei profili/usr, modifica periodica e conservazione pwd : Gestione pwd relative alle apparecchiature fisse e soggette a manutenzione (switch, router, firewall, server / bridge su AS400, etc.) : Consulenza con trattamento dati all’esterno : Assistenza HW / SW affidata ad aziende esterne : Assistenza della connettività Internet / sito WEB affidata ad aziende esterne : Sistemi di comunicazione audio / video ( Videoconferenza) : Sistemi di accesso fisico / sicurezza (Badge, Controlli audio/video, Antifurto, Antincendio, etc.) : Schema di Configurazione sistema esistente : Pianta e descrizione aree / locali : COMPOSIZIONE tipica del DPS DOCUMENTO PRINCIPALE Riservato : Titolare/Responsabile ALLEGATI STANDARD (Informativa, lettera di incarico al responsabile o agli incaricati, autorizzazione al trattamento, dichiarazioni di conformità dell’installatore, piano interventi formativi, …..) ALLEGATI RISERVATI (Schemi tecnici impianti informatici / antifurto / intrusione / incendio, piante aree / locali, password e codici delle Apparecchiature informatiche / controllo /sicurezza, ….) DOMANDE ? Martino Toffalori [email protected]