ASSOCIAZIONE DEGLI INDUSTRIALI DELLA PROVINCIA DI VERONA
Verona, 17 Ottobre 2005
LA SICUREZZA DEL TRATTAMENTO
DEI DATI E L’ IMPLEMENTAZIONE
NELLE AZIENDE
Analisi dei rischi aziendali
Misure e politiche di sicurezza
Documento Programmatico sulla Sicurezza
Martino Toffalori
Presidente ABS Computers srl
LE NUOVE MISURE DI SICUREZZA
DEI DATI E DEI SISTEMI
PERCHE’ ?
MISURE DI SICUREZZA DEI DATI E DEI SISTEMI
Nuovi Rischi
• IERI
I Sistemi Informativi presentavano rischi specifici intrinseci al CED, limitati
all’ambiente chiuso, isolato e circoscritto.
• OGGI
I Sistemi Informativi presentano nuovi rischi dovuti a : dimensioni,
portabilità, memoria, connettività, diffusione.
• DOMANI
Ulteriori nuovi rischi dovuti a : alta velocità e trasferimento ingente di dati,
interconnettività planetaria, integrazione ambiente domestico e aziendale,
collegamenti senza fili, sensori che seguono gli acquisti, biometria,
videosorveglianza digitale, localizzazione di persone e oggetti.
MISURE DI SICUREZZA DEI DATI E DEI SISTEMI
Nuovi Rischi
Notebook, cellulari, palmari, tablet pc, microcamere, videocamere,
webcam, memory pen, vpn, wireless access point, wi-fi, bluetooth,
umts, sms, mms, gprs, gps…….
Mobile
Employees
Consumers, Partners
Mobile
Employees
Consumers, Partners
Customers
Partners
Suppliers
MISURE DI SICUREZZA DEI DATI E DEI SISTEMI
Devono Garantire
• INTEGRITA’
La salvaguardia della esattezza dei dati, la difesa da manomissioni e da
modifiche non autorizzate, il monitoraggio automatico degli accessi, ecc…
• CONFIDENZIALITA’ ( riservatezza)
La protezione delle informazioni tramite l’accesso solo agli autorizzati, la
protezione delle trasmissioni, il controllo accessi, ecc…
• DISPONIBILITA’
La garanzia per gli utenti della fruibilità dei dati delle informazioni e dei
servizi, evitando la perdita o riduzione dei dati o dei servizi.
Sono i 3 PRINCIPI alla base delle nuove MISURE DI SICUREZZA,
principi già presenti in STANDARD internazionali
ISO 17799:2000 – una parte di BS7799
LA STRUTTURA DELLA NORMATIVA
SULLA SICUREZZA DEI DATI E DEI
SISTEMI
STRUTTURA DELLE MISURE DI SICUREZZA
Codice
Disciplinare Tecnico
Art. 4
Art. 31
Art. 33 34 35
Art. 36
Art. 180
Definizioni
Misure di sicurezza
Trattamenti
con
strumenti elettronici
Regole da 1 a 26
Trattamenti senza
l’ausilio di
strumenti elettronici
Regole da 27 a 29
Misure minime di sicurezza
Adeguamento
Disposizioni transitorie
Punti = Regole
Art. 169
Sanzioni
Art. 15
Danni
Altre Norme “trasversali”
Codice: Art.4, comma 3, lettera a - definizioni
MISURE MINIME
Il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza
che configurano il livello minimo di protezione
richiesto in relazione ai rischi previsti nell’articolo 31
I RISCHI DI
Distruzione
o perdita
anche
accidentale
Accesso
non
autorizzato
Trattamento
non
consentito
Trattamento
non
conforme
alle finalità
Codice: Art.31 - misure di sicurezza
Art. 31. Obblighi di sicurezza
• 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche
in relazione alle conoscenze acquisite in base al progresso tecnico, alla
natura dei dati e alle specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l'adozione di idonee e preventive misure di
sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi,
di accesso non autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta.
Codice: Art.31, comma 1 - misure di sicurezza
I DATI PERSONALI OGGETTO DI TRATTAMENTO SONO
CUSTODITI
CONTROLLATI
anche in relazione alle
CONOSCENZE
acquisite in base al
progresso tecnico
NATURA
CARATTERISTICHE
dei dati
del trattamento
In modo da RIDURRE AL MINIMO mediante l’adozione di
IDONEE
PREVENTIVE
MISURE DI SICUREZZA
I RISCHI DI
Distruzione
o perdita
anche
accidentale
Accesso
non
autorizzato
Trattamento
non
consentito
Trattamento
non
conforme
alle finalità
Codice: Art.33 e 34 - misure minime di sicurezza
Art. 33. Misure minime
• 1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da
speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le
misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3,
volte ad assicurare un livello minimo di protezione dei dati personali.
Art. 34. Trattamenti con strumenti elettronici
• 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito
•
•
•
•
•
•
•
•
solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato
B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito
ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti
elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati,
ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti
di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi
sanitari.
Codice: Art.35 - Trattamenti senza l'ausilio di strumenti
elettronici
1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti
elettronici è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
• a) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative;
• b) previsione di procedure per un'idonea custodia di atti e documenti
affidati agli incaricati per lo svolgimento dei relativi compiti;
• c) previsione di procedure per la conservazione di determinati atti in archivi
ad accesso selezionato e disciplina delle modalità di accesso finalizzata
all'identificazione degli incaricati.
Codice: Art.36 - adeguamento
• 1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di
cui al presente capo, è aggiornato periodicamente con decreto del Ministro
della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in
relazione all'evoluzione tecnica e all'esperienza maturata nel settore.
Viene rimandato al disciplinare tecnico l’elencazione delle regole che potranno
essere modificate ed aggiornate periodicamente, ad ogni necessità.
L’aggiornamento avviene in relazione all’evoluzione tecnica e all’esperienza
maturata nel settore, con decreto del Ministero della giustizia di concerto
con il Ministero per le innovazioni e le tecnologie
Non sarà necessario dover intervenire sul codice
DISCIPLINARE TECNICO IN
MATERIA DI MISURE MINIME DI
SICUREZZA
(Art. da 33 a 36 del codice)
MISURE MINIME DI SICUREZZA
Prospetto indicativo
Codice
Articolo 34
Disciplinare Tecnico
Trattamenti con strumenti elettronici
Regole da 1 a 26
Lettera a
Punto 1
Punto 2
Lettera b
Punti 1e2
Punto 3
Lettera c
Punto 12 Punto 13 Punto 14 SISTEMA DI AUTORIZZAZIONE
Lettera d
Punto 15 Punto 14
Lettera e
Punto 16 Punto 17 Punto 20 Punto 21 Punto 22
Lettera f
Punto 18 Punto 23 CUSTODIA E RIPRISTINO
Lettera g
Punto 19 Punto 26 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Lettera h
Punto 24 CIFRATURA O DISGIUNZIONE DEI DATI
Articolo 35
Trattamenti senza l’ausilio di strumenti elettronici
Lettera a
Punto 27 AMBITO DEL TRATTAMENTO - INCARICATI
Lettera b
Punto 28 CUSTODIA
Lettera c
Punto 29 CONSERVAZIONE E ACCESSO AGLI ARCHIVI
AUTENTIFICAZIONE INFORMATICA
Punto 4
Punto 5
Punto 6
Punto 7
Punto 8
Punto 9
Punto 10
CREDENZIALI
AMBITO DEL TRATTAMENTO – INCARICATI – ECC.
Punto 9
PROTEZIONE STRUMENTI
Regole da 27 a 29
DISCIPLINARE TECNICO
Trattamenti con strumenti elettronici
Sistemi di autenticazione informatica e autorizzazione:
Punto 1
Trattamento con accesso consentito attraversi sistemi di autenticazione con credenziali
Punto 2
Credenziali costituite da codice utente + password ; oppure un
dispositivo personale o caratteristica biometrica + eventuale codice / password
Punto 3
Assegnazione o associazione di una o più credenziali per ogni incaricato
Punto 4
Istruzioni agli incaricati per l’uso e la segretezza delle credenziali,
dei dispositivi in possesso ed uso esclusivo dell’incaricato
Punto 5
Password da almeno 8 caratteri o massimo possibile, non riconducibile all’incaricato,
modificata al 1° uso, durata 6 o 3 mesi (dati sensibili e giudiziari)
Punto 6
Divieto di assegnazione del medesimo codice utente, laddove utilizzato,
ad altri incaricati. Neppure in tempi diversi.
Punto 7
Disattivazione delle credenziali non usate da 6 mesi, salvo quelle per gestione tecnica
DISCIPLINARE TECNICO
Trattamenti con strumenti elettronici
Sistemi di autenticazione informatica e autorizzazione:
Punto 8
Disattivazione delle credenziali in caso di perdita della qualità che consente
all’incaricato l’accesso ai dati
Punto 9
Istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento
elettronico durante una sessione di trattamento
Punto 10
Idonee e preventive disposizioni per l’uso delle credenziali di un incaricato nel caso di
impedimento dello stesso. Custodia copia credenziali. Comunicazione se utilizzate.
Punto 12
Se per gli incaricati sono individuabili profili di autorizzazione di ambito diverso
va utilizzato un sistema di autorizzazione
Punto 13
Individuati e configurati singoli profili o per classi omogenee
in modo da limitare l’accesso ai soli dati necessari
Punto 14
Verifica periodica e comunque almeno annualmente
della sussistenza delle condizioni per la conservazione dei profili
LE CREDENZIALI SONO QUALCOSA CHE OGNI SOGGETTO…
CONOSCE
Parola chiave, Codici
POSSIEDE
Carta a microprocessore,
certificati digitali
E’
Caratteristiche Biometriche
L’ USO DELLA BIOMETRIA RICHIEDE IL RISPETTO DI ALCUNI
FONDAMENTALI PRINCIPI …
Il principio di necessità impone di accertare se la finalità perseguita
non possa essere realizzata utilizzando dati che non coinvolgono il corpo;
il principio di proporzionalità esige una considerazione rigorosa della
legittimità di raccolte generalizzate rispetto a raccolte mirate,
di una conservazione centralizzata o decentrata dei dati raccolti;
il principio di dignità fa emergere la necessità di rispettare l’autonomia
delle persone di fronte a particolari raccolte
di dati (quelle riguardanti la salute, in primo luogo).
Sistemi di autenticazione informatica e autorizzazione:
Logica di funzionamento
Sistema di autenticazione
Dimostramelo
dammi le tue
credenziali
OK
Sei Rossi,
La tua identità
è autenticata
Sistema di autorizzazione
Quindi
puoi accedere,
ma controllo
a che cosa
Ai dati
e applicazioni
del tuo profilo
Dichiarazione di identità
Sono
Mario Rossi
Le mie credenziali
sono :
Codice
Identificativo
(User ID)
Parola chiave,
Carte o altro
Ciò che Rossi:
1) Conosce
2) Possiede
3) E’
Credenziali di autenticazione
Il Signor Rossi, incaricato
del trattamento, è autorizzato
ad accedere ad alcuni dati
e applicazioni,
preventivamente determinate.
È stato stabilito il suo profilo
per l’accesso
al sistema e a certi dati.
DISCIPLINARE TECNICO
Trattamenti con strumenti elettronici
Punto 15
Aggiornamento periodico, almeno annuale, della lista degli incaricati,
addetti alla gestione e manutenzione, redatta anche per classi omogenee
Punto 16
Protezione dati da rischio intrusione e dall’azione di programmi di cui art.615-quinquies
con idonei strumenti da aggiornare con cadenza almeno semestrale
Art. 615-quinquies : Chiunque diffonde, comunica o consegna un programma
informatico da lui stesso o da altri redatto, avente per scopo o per effetto
il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi
in esso contenuti o a esso pertinenti, ovvero l’interruzione,
totale o parziale, o l’alterazione del suo funzionamento,…..
Punto 17
Punto 18
Protezione degli strumenti elettronici e dei dati con aggiornamenti periodici
dei programmi, volti a prevenire la vulnerabilità e correggerne i difetti.
Da effettuarsi almeno annualmente o ogni 6 mesi per dati sensibili o giudiziari
Istruzioni organizzative e tecniche per il salvataggio dati con frequenza
almeno settimanale. (Art.34, c1,f : Custodia e ripristino dei dati e dei sistemi)
DISCIPLINARE TECNICO
Trattamenti con strumenti elettronici
Documento Programmatico sulla Sicurezza
Documento programmatico sulla sicurezza contenente idonee informazioni.
A cura del titolare di un trattamento dati, da adottare ed aggiornare
entro il 31 marzo di ogni anno
Punto 19
… Costituisce una sorta di manuale della sicurezza aziendale ai fini
del trattamento dei dati tutelati dal Codice ….
….Rappresenta una misura opportuna per per analizzare la situazione
aziendale ed organizzare le procedure a garanzia della sicurezza …
DISCIPLINARE TECNICO
Trattamenti con strumenti elettronici
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
Punto 20
Protezione dati sensibili e giudiziari contro l’accesso di cui art.615-ter del codice penale
con idonei strumenti elettronici
Art. 615-ter : Accesso abusivo a un sistema
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto
da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita
di chi ha il diritto di escluderlo, è punito………
Punto 21
Istruzioni organizzative e tecniche per la custodia e l’uso dei supporti removibili
al fine di evitare accessi non autorizzati e trattamenti non consentiti ai dati contenuti
Punto 22
Distruzione dei supporti removibili non più utilizzati. Riutilizzo consentito, anche da altri
Incaricati, solo se i dati contenuti sono stati cancellati e tecnicamente non ricostruibili
Punto 23
Misure per il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli
Strumenti elettronici, in tempi non superiori ai 7 giorni
Punto 24
Gli organismi sanitari e gli esercenti le professioni sanitarie che trattano dati sulla salute
e la vita sessuale devono adottare tecniche di cifratura o trattamento disgiunto.
Locali con accesso protetto e trasferimento dati in formato elettronico cifrato
DISCIPLINARE TECNICO
Trattamenti con strumenti elettronici
Misure di tutela e garanzia
Punto 25
Il titolare di un trattamento dati che adotta misure minime di sicurezza avvalendosi di
soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve
dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta
La conformità alle disposizioni del disciplinare tecnico
Punto 26
Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio,
se dovuta, dell'avvenuta redazione o aggiornamento del
documento programmatico sulla sicurezza
DISCIPLINARE TECNICO
Trattamenti senza l’ausilio di strumenti elettronici
Punto 27
Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia,
per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti
e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico
con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito
ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi
omogenee di incarico e dei relativi profili di autorizzazione
Punto 28
Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono
affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti,
i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla
restituzione in maniera che ad essi non accedano persone prive di autorizzazione,
e sono restituiti al termine delle operazioni affidate.
Punto 29
L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone
ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate.
Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi
o di incaricati della vigilanza, le persone che vi accedono
sono preventivamente autorizzate.
Esempio
Adempimento ai punti 1,2,3,5,6,7,8,10,12,13,14,20,23,24
email
Internet
Novell
Unix
AS400
Server
Windows 2003
Complicazioni !!!
Alcune semplici soluzioni
Sistemi software : semplici applicazioni locali o di autenticazione
per reti complesse tipo Novell OneNet Single Sign-On
Sistemi hardware : Smart card, chiavi mem usb, chiavi bio usb
Consentono di raggruppare e memorizzare le password e/o codici identificativi
dei vari siti Internet / accessi a Server / apparecchiature / applicazioni
Evitano il continuo cambiamento delle varie password e rendono le stesse più sicure
Comportamenti a rischio di dipendenti e collaboratori
28 Settembre 2005
Da tempo le società attive nel settore della sicurezza, gli analisti e gli osservatori cercano di mettere in guardia
le aziende non semplicemente dai pericoli e dalle minacce provenienti dall'esterno, ma anche e soprattutto
rispetto a una serie di comportamenti considerati rischiosi da parte di dipendenti e collaboratori,.
Per anni si è parlato di una sorta di gap culturale, tra ciò che il mercato - vedi le aziende fornitrici di tecnologie e
soluzioni per la sicurezza - propone e i comportamenti diffusi.
Dopo anni il gap non può certo dirsi colmato, ma si assiste a una nuova consapevolezza da parte degli
amministratori di rete e dei responsabili dei sistemi informativi, oggi più che mai consapevoli dei rischi
provenienti proprio dall'interno.
Lo testimonia Sophos, presentando i risultati di una indagine condotta proprio presso gli amministratori di rete.
Il 79% degli interpellati, infatti, ritiene che gli impiegati possano mettere a rischio le aziende per cui lavorano
usando Internet e la posta elettronica in maniera impropria.
Non si tratta di volontà di dolo, si precisa nel report, ma di una mancanza di consapevolezza che rende
indispensabile a questo punto una presa in carico seria e determinata delle policy di sicurezza da parte degli
stessi vertici aziendali.
Policy talmente serie che, secondo il 63% degli interpellati, dovrebbero comprendere richiami formali e finanche
il licenziamento per chi non dovesse attenervisi.
E per riassumere sinteticamente questi comportamenti a rischio, Sophos ha stilato una lista dei "sette peccati
capitali" normalmente e impunemente commessi in orario di lavoro utilizzando le infrastrutture aziendali.
1) Scaricare musica e film
2) Aprire allegati ricevuti via mail o cliccare su link di mail non richieste
3) Navigare su siti pornografici o siti sospetti
4) Lanciare programmi “joke” ricevuti da amici e colleghi
5) Installare software non autorizzato o navigare su siti che si autolanciano
6) Fornire informazioni a sconosciuti via telefono o via mail
7) Usare la stessa password su diversi siti Internet o scambiare la password
DOCUMENTO PROGRAMMATICO PER
LA SICUREZZA
Struttura del Documento Programmatico sulla Sicurezza
DOCUMENTO PROGRAMMATICO
ANNUO SULLA SICUREZZA
Regole 19.1 - 19.8
Trattamenti
Elenco dei trattamenti
Compiti e responsabilità
Nell’ambito delle strutture
preposte ai
Analisi dei rischi
Che incombono sui dati
Integrità e disponibilità dati
Protezione aree e locali
Per la protezione custodia
e accessibilità
Dati dipendenti
Dati presenze
Aree locali
Dati sindacali
Ripristino della disponibilità
Dopo distruzione o danneggiamento
e in tempi certi
Formazione degli incaricati
Su rischi, misure preventive disponibili,
norme
Sicurezza e out sourcing
Dati malattie
Dati contenzioso
Dati fornitori
Dati clientela
Criteri per le misure minime
Dati di mercato
Salute e vita sessuale
Criteri per la
Cifratura
Separazione
Altri dati
Documento Programmatico Sicurezza
Regola 19.1
ELENCO DEI TRATTAMENTI DI DATI PERSONALI
IL CENSIMENTO DEI TRATTAMENTI
Quali sono i trattamenti che svolgo
Quali sono i dati che tratto
A chi si riferiscono
Con quale finalità
Da parte di chi
Con quale modalità
Che natura hanno
Con quali rischi
Con quale sicurezza
Dove
Come
Documento Programmatico Sicurezza
Regola 19.1
ELENCO DEI TRATTAMENTI DI DATI PERSONALI
Qualunque adempimento richiede il preliminare censimento dei trattamenti
E’ NECESSARIO CONOSCERE QUALI DATI TRATTIAMO,
AD OPERA DI CHI, CON QUALI MEZZI
Per fare l’informativa
Per chiedere il consenso
Per fare la notificazione
Per gestire gli accessi
Per gestire i consensi
Per stabilire l’ambito del trattamento
Per fornire istruzioni scritte
Per nominare gli incaricati
Per designare i responsabili
Per le verifiche periodiche
Per individuare le misure di sicurezza
Per aggiornare le misure di sicurezza
Documento Programmatico Sicurezza
Regola 19.2
LA DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ
Come sono distribuiti
compiti
responsabilità
Lista
ambito istruzioni
incaricati
trattamenti
compliance
nelle strutture
che trattano i dati
personale
legale
CED
filiali
segreterie
auditing
Sicurezza fisica
Sicurezza logica
Ecc.
Documento Programmatico Sicurezza
Regola 19.3
ANALISI DEI RISCHI
I RISCHI DI
Distruzione
o perdita
anche
accidentale
Accesso
non
autorizzato
Trattamento
non
consentito
Trattamento
non
conforme
alle finalità
Maltempo, inondazioni, fulmini, terremoto, fuoco, attentati, guasti
e omissioni HW, cadute di corrente, virus e worms, hacking
sabotaggi, errori del software, comportamenti,
organizzazione, logistica.
Documento Programmatico Sicurezza
Regola 19.4
MISURE PER L’INTEGRITÀ E DISPONIBILITÀ DEI DATI
INTEGRITA’
La salvaguardia della esattezza dei dati,
la difesa da manomissioni e
da modifiche non autorizzate,
il monitoraggio automatico degli accessi, ecc…
CONFIDENZIALITA’ ( riservatezza)
La protezione delle informazioni tramite l’accesso
solo agli autorizzati,
la protezione delle trasmissioni,
il controllo accessi, ecc…
DISPONIBILITA’
La garanzia per gli utenti della fruibilità dei dati
delle informazioni
e dei servizi,
evitando la perdita o riduzione dei dati o dei servizi.
ELENCO
DELLE MISURE
ADOTTATE
E
DA ADOTTARE
(Autenticazione, Antivirus,
Firewall, Backup,
Screensaver,
Archiviazione doc.,
stampe e fax,
Distruzione supporti e doc.
Accessi aree e locali
Eventi naturali,
Eventi dolosi, ….)
Documento Programmatico Sicurezza
Regola 19.4
MISURE PER LA PROTEZIONE DELLE AREE E DEI LOCALI
(Accessi aree e locali, Archiviazione doc., stampe e fax, distruzione supporti e doc.
eventi naturali, eventi dolosi, ….)
Documento Programmatico Sicurezza
Regola 19.5
RIPRISTINO DELLA DISPONIBILITÀ DEI DATI
Sono adottate
Idonee misure
Per garantire
IL RIPRISTINO
DELL’ACCESSO
AI DATI
IN TEMPI CERTI
In caso di
danneggiamento
Compatibili con i
diritti degli interessati
DEGLI
STESSI
O degli
strumenti
elettronici
E non superiore
a 7 giorni
Documento Programmatico Sicurezza
Regola 19.6
FORMAZIONE DEGLI INCARICATI
OBIETTIVO DELLA FORMAZIONE È RENDERE EDOTTI GLI INCARICATI
dei rischi
che
Incombono
sui dati
QUANDO
VA FATTA
delle misure
di
prevenzione
della normativa
delle responsabilità
come aggiornarsi
In relazione
all’attività
svolta
che ne derivano
sulle misure
minime
Ingresso
In servizio
cambio
mansioni
cambio
tecnologie
Documento Programmatico Sicurezza
Regola 19.7
SICUREZZA E OUT SOURCING
La descrizione dei criteri da adottare per garantire l’adozione delle misure
minime di sicurezza in caso di trattamenti di dati personali affidati, in
conformità al codice, all’esterno della struttura del titolare
In caso di trattamenti
esternalizzati
Descrivere
i criteri
da adottare
per garantire
L’adozione
delle misure
In conformità al codice
Documento Programmatico Sicurezza
Regola 19.8
SALUTE E VITA SESSUALE
GLI ORGANISMI SANITARI E GLI
ESERCENTI LE PROFESSIONI SANITARIE
CHE EFFETTUANO IL TRATTAMENTO
DI DATI IDONEI A RIVELARE
LO STATO DI SALUTE
E LA VITA SESSUALE
CONTENUTI IN
all’interno di locali protetti
elenchi
registri
accessibili ai soli incaricati
ai soggetti specificatamente
autorizzati ad accedervi
Il trasporto fuori dai locali avviene
In contenitori muniti di serratura
o dispositivi equipollenti
Il trasferimento elettronico è cifrato
banche
dati
I dati relativi
all’identità
generica
sono trattati
Con criteri
(Art. 22 comma 6)
cifratura
separazione
COME PROCEDERE …
CODICE 33 - 36
DISCIPLINARE TECNICO 1 - 29
DPS
19.1
19.2
DPS
19.3
DPS
19.4
CHECK-UP STRUTTURA
Sistemi Elettronici e Trattamento Dati
ANALISI RISCHI
DETERMINAZIONE
CRITERI E MODALITA’
(Trattamento, copie, formazione, ..)
ATTIVAZIONE MISURE
APPLICAZIONE
E PIANIFICAZIONE
DPS
19.5
19.6
19.7
19.8
CHECK UP STRUTTURA – RACCOLTA DATI
RETE DATI :
Rete principale (DHCP/IP statici) :
Sottoreti (DHCP/IP statici):
Reti pubbliche (IP pubblico) :
Reti wireless (DHCP/IP statici):
Sistemi di connessione / interconnessione tra le reti (switch, router,
firewall,etc.) :
Dislocazione e numero prese di rete (totali / libere) :
Accesso verso Internet (singolo / condiviso, tipo) :
Connessione con aziende esterne (linee dedicate / internet) :
Accesso dall’esterno (dipendenti, clienti, fornitori, etc.) :
CHECK UP STRUTTURA – RACCOLTA DATI
SERVER :
Numero e tipo hw :
Dislocazione ed accesso fisico :
Sistema operativo (Unix, Linux, Novell, Windows), licenza e revisione :
Gestione dominio (nome), file server, printer server, posta, proxy :
Sistema di sicurezza dati (tape backup, raid, backup remoto, raid remoto etc.):
Gestione del backup (n.supporti, frequenza, conservazione, disaster recovery, etc.):
Protezione di alimentazione (ups, stabilizzatore, etc.) :
Protezione accesso al sistema (pwd admin, pwd bios, screen saver con pwd, etc.) :
Protezione accesso al sistema tramite dispositivi di autenticazione
(smart card, badge, biometria,etc.):
CHECK UP STRUTTURA – RACCOLTA DATI
PC / WORKSTATION :
Numero e tipo PC desktop / ws :
Numero e tipo PC portatili :
Sistemi operativi (Win95, Win98, Win2000, WinXP HE, WinXP Pro, etc.),
licenza e revisione :
Sistemi locali di copia (floppy, masterizzatore, etc.) :
Protezione accesso al sistema
(pwd bios, usr locale, dominio, screen saver con pwd, etc.) :
Protezione accesso al sistema tramite dispositivi di autenticazione
(smart card, badge, biometria,etc.):
CHECK UP STRUTTURA – RACCOLTA DATI
ALTRO HARDWARE :
Numero, tipo hw e dislocazione fisica stampanti di rete :
Numero tipo e dislocazione fisica sistema fax (apparecchiatura / software ) :
Protezione di alimentazione centralizzata e dislocazione fisica
(ups, stabilizzatore, etc.) :
…….
…….
CHECK UP STRUTTURA – RACCOLTA DATI
APPLICAZIONI SOFTWARE E RELATIVI ARCHIVI :
Applicazioni di tipo gestionali tipo contabilità, paghe, etc. (licenza e revisione):
Applicazioni per marketing / proposte commerciali (licenza e revisione):
Applicazioni di office automation (licenza e revisione):
Applicazioni tecniche / grafiche (licenza e revisione):
Strumenti per navigazione internet (licenza e revisione):
Siti Internet WEB locali / presso provider :
Posta elettronica (licenza e revisione):
Software antivirus (licenza e revisione):
Software di firewall / protezione (licenza e revisione):
CHECK UP STRUTTURA – RACCOLTA DATI
Dislocazione archivi elettronici, cartacei, etc. (Server/PC, armadi, etc.) :
Identificazione eventuali dati sensibili (tipo / database) :
Sistemi per la generazione dei profili/usr, modifica periodica e conservazione pwd :
Gestione pwd relative alle apparecchiature fisse e soggette a manutenzione
(switch, router, firewall, server / bridge su AS400, etc.) :
Consulenza con trattamento dati all’esterno :
Assistenza HW / SW affidata ad aziende esterne :
 Assistenza della connettività Internet / sito WEB affidata ad aziende esterne :
Sistemi di comunicazione audio / video ( Videoconferenza) :
Sistemi di accesso fisico / sicurezza
(Badge, Controlli audio/video, Antifurto, Antincendio, etc.) :
Schema di Configurazione sistema esistente :
 Pianta e descrizione aree / locali :
COMPOSIZIONE tipica del DPS
DOCUMENTO PRINCIPALE
Riservato : Titolare/Responsabile
ALLEGATI STANDARD
(Informativa, lettera di incarico
al responsabile o agli incaricati,
autorizzazione al trattamento,
dichiarazioni di conformità
dell’installatore, piano interventi
formativi, …..)
ALLEGATI RISERVATI
(Schemi tecnici impianti informatici /
antifurto / intrusione / incendio,
piante aree / locali, password e codici delle
Apparecchiature informatiche /
controllo /sicurezza, ….)
DOMANDE ?
Martino Toffalori
[email protected]
Scarica

Martino Toffalori - Confindustria Verona