Esperienze e dubbi interpretativi sulle Misure Minime di Sicurezza Dr. Riccardo Larese Gortigo Consulente Sistemi Informativi ed Organizzazione Aziendale [email protected] – Cell. 348 3235194 © R. Larese Gortigo – 2007-2008 Le misure di sicurezza © R. Larese Gortigo – 2007-2008 Obblighi di sicurezza • Art. 31 del Testo Unico: I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. © R. Larese Gortigo – 2007-2008 Misure Minime di Sicurezza • Art. 33 del Testo Unico: Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. L’adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti di dati personali. © R. Larese Gortigo – 2007-2008 Il Documento Programmatico sulla Sicurezza © R. Larese Gortigo – 2007-2008 Il Documento Programmatico • • E’ obbligatorio in caso di trattamento di dati sensibili o giudiziari mediante strumenti informatici Il caso tipico: 1. Utilizzo di badge per la registrazione degli orari di ingresso e uscita 2. Raccolta dei dati su di un pc ed inserimento delle causali di assenza (ad es. malattia, permesso sindacale, festività religiose) 3. Invio di un file o di un documento stampato ad un service esterno di elaborazione paghe • Anche in questo caso si è nelle condizioni dell’obbligo, perché le attività del punto 2 configurano il trattamento di dati sensibili © R. Larese Gortigo – 2007-2008 Il Documento Programmatico (19) • Descrive in maniera completa tutte le misure di sicurezza poste in essere nel caso di trattamento di dati personali sensibili o giudiziari • Deve essere redatto ed aggiornato annualmente entro il 31 marzo di ogni anno (19) • Se è richiesta la relazione accompagnatoria del bilancio di esercizio, deve esserne riferito dell’avvenuta redazione od aggiornamento (26) • Non deve essere inviato al Garante, ma deve essere trattenuto presso il titolare del trattamento • Non è richiesto che abbia data certa © R. Larese Gortigo – 2007-2008 Contenuti del Documento Programmatico • • • • • • • • L’elenco dei trattamenti dei dati personali (19.1) La distribuzione dei compiti e delle responsabilità (19.2) L’analisi dei rischi che incombono sui dati (19.3) Le misure da adottare per garantire l’integrità e la disponibilità dei dati e la protezione delle aree e dei locali rilevanti ai fini della loro custodia ed accessibilità (19.4) La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (19.5) La previsione degli interventi formativi (19.6) La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza dei dati affidati all’esterno della struttura del titolare (19.7) I criteri di cifratura o separazione dei dati sensibili o giudiziari (19.8) © R. Larese Gortigo – 2007-2008 Il modello del Garante (Tabella 1.1) © R. Larese Gortigo – 2007-2008 Il modello del Garante (Tabella 1.2) © R. Larese Gortigo – 2007-2008 Il modello del Garante (Tabella 2) Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). © R. Larese Gortigo – 2007-2008 Il modello del Garante (Tabella 3/parte I) © R. Larese Gortigo – 2007-2008 © R. Larese Gortigo – 2007-2008 Il modello del Garante (Tabella 4.1) © R. Larese Gortigo – 2007-2008 Il modello del Garante (Tabella 4.2) © R. Larese Gortigo – 2007-2008 Il modello del Garante (Tabella 5.2) © R. Larese Gortigo – 2007-2008 Il modello del Garante (Tabella 5.1) © R. Larese Gortigo – 2007-2008 Interventi formativi (19.6) • Riguardano: – Conoscenza dei rischi – Conoscenza delle misure di sicurezza e dei comportamenti da adottare – Responsabilità • Devono essere erogati: – Al momento dell’ingresso in servizio – In occasione di cambio di mansioni – In occasione dell’introduzione di nuovi strumenti • E’ necessario che siano documentati © R. Larese Gortigo – 2007-2008 Interventi formativi (modalità possibili) • La formazione riguarda tutti gli incaricati – Formazione d’aula per tutti gli incaricati (anche in gruppi) – Formazione d’aula per i responsabili, che successivamente svolgono attività di formazione agli incaricati – Utilizzo dei servizi di formazione on-line della società Sùnapsis s.r.l. mediante l’accordo con Confindustria Verona © R. Larese Gortigo – 2007-2008 Il modello del Garante (Tabella 6) © R. Larese Gortigo – 2007-2008 Il modello del Garante (Tabella 7) © R. Larese Gortigo – 2007-2008 Il modello del Garante (Tabella 7) © R. Larese Gortigo – 2007-2008 Il sistema di autenticazione © R. Larese Gortigo – 2007-2008 Autenticazione informatica ELABORATORE SISTEMA DI AUTENTICAZIONE CODICE + PAROLA CHIAVE DISPOSITIVO DI AUTENTICANZIONE UTENTI © R. Larese Gortigo – 2007-2008 CARATTER. BIOMETRICA Uno o più sistemi di autenticazione? • Il Disciplinare Tecnico permette di: – Configurare uno specifico sistema di autenticazione per ciascun trattamento oppure, in alternativa – Un sistema di autenticazione comune per gruppi di trattamenti (cioè applicazioni), e quindi anche per tutti • Il sistema di autenticazione comune è abitualmente quello utilizzato per l’accesso iniziale alla rete • Ovviamente, se possibile, è sempre più semplice rendere conforme il sistema di autenticazione alla rete; altri possono essere usati, ma non necessariamente devono essere conformi al Disciplinare Tecnico. © R. Larese Gortigo – 2007-2008 Uno o più sistemi di autenticazione? • L’utilizzo di un unico sistema di autenticazione è possibile solo se tutti gli accessi alle applicazioni ne prevedono il superamento. • Può essere comunque opportuno configurare conformemente anche il sistema di autenticazione specifico per le applicazioni più “critiche”, come ad esempio quelle per la gestione delle risorse umane e/o di paghe e stipendi. © R. Larese Gortigo – 2007-2008 Utilizzo delle medesime credenziali • Accade frequentemente – soprattutto nei reparti di produzione – che più utenti utilizzino lo stesso pc e le medesime credenziali: – Se non vi è accesso a dati personali: la norma non si applica e quindi non si pone il problema (tutto può restare così!) – Se vi è accesso (ad es. utilizzo della posta o di parti del sistema gestionale): è necessario rendere il sistema conforme • Per garantire la conformità del sistema – Creare le credenziali per ogni utente – Utilizzare adeguatamente le credenziali… © R. Larese Gortigo – 2007-2008 Mancanza di un controllo centralizzato • Tutte le reti dotate di un “controller” di dominio e la gran parte delle applicazioni permettono di configurare il sistema di autenticazione in modo conforme – Quando questo avviene è necessario precedere alla configurazione • Se non è possibile configurare il sistema in modo conforme: – Le istruzioni agli incaricati dovranno indicare esplicitamente e dettagliatamente le procedure da seguire – Si rende necessaria (purtroppo) la conservazione delle parole chiave in busta chiusa – E’ opportuna una verifica della periodica modifica delle parole chiave da parte del “custode” – Deve essere comunque garantita da tutti la riservatezza delle parole chiave © R. Larese Gortigo – 2007-2008 Il custode delle credenziali • Deve essere sempre formalmente nominato • Se più persone hanno accesso al server di dominio, tutte (anche i fornitori) vengono nominate custodi delle credenziali • Se necessario, conserva fisicamente le buste chiuse con le parole chiave degli utenti • Se il sistema è centralizzato, la custodia si riduce alla possibilità di accesso al server di dominio • Controlla il comportamento degli utenti, richiedendo il rispetto dell’obbligo di riservatezza © R. Larese Gortigo – 2007-2008 Accesso in assenza dell’incaricato • L’azienda ha la facoltà (per validi ed urgenti motivi) di accedere a dati e sistemi • Non è permesso conoscere le parole chiave degli altri utenti, e quindi: – Se il sistema è centralizzato • Il custode modifica temporaneamente la password sul server • Configura l’obbligo di modifica della password all’accesso successivo – Se il sistema non è centralizzato • Il custode apre la busta della password e permette l’accesso • Al ritorno dell’incaricato, gli richiede di modificare la parola chiave e riceve la nuova busta chiusa • Informa e giustifica l’accesso all’incaricato © R. Larese Gortigo – 2007-2008 Applicazioni web • Relativo ad esempio a: utilizzo della posta da remoto, applicazioni gestionali, immissione e controllo ordini, altri servizi web: – Se l’accesso non permette la gestione o la visualizzazione di dati di terzi si è fuori dal campo di applicazione della norma – Se è possibile accedere a dati di terzi (es: posta elettronica), il sistema deve essere reso conforme al Disciplinare Tecnico © R. Larese Gortigo – 2007-2008 Salvataggio dei dati e disaster recovery © R. Larese Gortigo – 2007-2008 Salvataggio dei dati (18) • E’ obbligatorio il salvataggio dei dati personali (backup) • La frequenza di salvataggio deve essere almeno settimanale, ma è opportuno che sia quotidiana • Devono essere protetti tutti i dati: – – – – Sistemi gestionali o ERP Documenti degli utenti Posta elettronica … • Devono essere impartite istruzioni (scritte) di carattere tecnico ed organizzativo per definirne le modalità di esecuzione © R. Larese Gortigo – 2007-2008Il salvataggio dei dati Istruzioni tecniche (18) • • • • Individuazione dei dispositivi Individuazione degli archivi Definizione delle frequenze Definizione delle modalità (backup completo, incrementale, differenziale) • Definizione dei criteri di rotazione dei dispositivi • Definizione dei criteri di archiviazione dei dispositivi • Definizione delle procedure di verifica © R. Larese Gortigo – 2007-2008 Istruzioni organizzative (18) • Definizione delle responsabilità • Definizione delle procedure in caso di incidente • Definizione delle modalità di aggiornamento delle procedure © R. Larese Gortigo – 2007-2008 Sistema di “Disaster recovery” (23) • L’obbligo si applica solamente ai dati personali di natura sensibile o giudiziaria • Deve essere garantito l’accesso ai dati in caso di incidente (danneggiamento dei dati o degli strumenti) in tempi certi e comunque non superiori a sette giorni • Modalità possibili: – Backup completo dell’intero sistema (ghost) per permette di garantire l’accesso ai dati anche in caso di sostituzione – Accordi con fornitori per tempi certi di riprestino – Utilizzo di sistemi in “cluster” – Duplicazione del sistema in un sito remoto • Le modalità adottate devono essere documentate nel Dps © R. Larese Gortigo – 2007-2008Ulteriori misure per il trattamento di dati sensibili o giudiziari Esperienze e dubbi interpretativi sulle Misure Minime di Sicurezza Domande e risposte Dr. Riccardo Larese Gortigo [email protected] © R. Larese Gortigo – 2007-2008 Allegato – Scadenzario obblighi Misura Scadenza/periodicità Tipologia dati Disattivazione credenziali Entro sei mesi dal mancato utilizzo Tutti Disattivazione credenziali Subito, in caso di perdita della qualità Tutti Sostituzione autonoma parola chiave Ogni sei mesi Ogni tre mesi Comuni Sensibili o giud. Verifica profili Ogni anno Tutti Redazione lista incaricati Ogni anno Tutti Aggiornamento antivirus Ogni sei mesi ( consigliabile max. ogni settimana) Tutti © R. Larese Gortigo – 2007-2008 Allegato – Scadenzario obblighi Misura Scadenza/periodicità Tipologia dati Aggiornamento programmi Annualmente Ogni sei mesi Comuni Sensibili giud. Backup Settimanalmente (consigliabile ogni giorno) Tutti Aggiornamento DPS Ogni anno entro il 31 marzo Sensibili o giudiziari © R. Larese Gortigo – 2007-2008