La sicurezza delle
reti informatiche :
la legge sulla Privacy
Nicola Maggi – Genesys Software srl
Adeguamento del sistema
informatico…….
• MISURE MINIME DI SICUREZZA,
individuate negli artt. 31-36 e nell’Allegato
B, obbligatorie per chi tratta i dati personali
con strumenti elettronici.
Nicola Maggi – Genesys Software srl
Quali sono le MISURE MINIME?
1. AUTENTICAZIONE INFORMATICA
2. SISTEMI DI AUTORIZZAZIONE
3. MANUTENZIONE, PROTEZIONE E AGGIORNAMENTO
4. ALTRE MISURE DI SICUREZZA
5. ULTERIORI MISURE PER DATI SENSIBILI E GIUDIZIARI
Nicola Maggi – Genesys Software srl
1) Autenticazione informatica
Procedimento con cui un individuo viene riconosciuto come tale
• In un sistema informatico possono esserci varie forme di autenticazione
• Ogni incaricato al trattamento dei dati deve essere munito di una o più
credenziali di autenticazione :
• La password, se prevista, deve avere le seguenti caratteristiche:
– Lunga almeno 8 caratteri (o lunga il massimo consentito)
– Non contenere riferimenti agevolmente riconducibili all’incaricato
– Modificata dall’incaricato al primo utilizzo, e poi almeno ogni 6 mesi (3 mesi se i dati
trattati sono dati sensibili e/o giudiziari)
Nicola Maggi – Genesys Software srl
1) Autenticazione informatica
• Le credenziali di autenticazione sono individuali per ogni
incaricato
• L’incaricato non può cedere le proprie credenziali ad altri
• Le credenziali vanno disattivate se non usate da almeno 6
mesi o se non si possono più ritenere “riservate”
Nicola Maggi – Genesys Software srl
Gestione credenziali
• Il Titolare deve istruire gli incaricati su :
– SEGRETEZZA delle credenziali di autenticazione
– CUSTODIA dei dispositivi in possesso
– MODALITA’ per non lasciare incustodito il terminale di lavoro, durante una
sessione di trattamento dei dati
• Il Titolare deve istruire gli incaricati in merito :
– ACCESSO ai dati e agli strumenti elettronici, in caso di:
• PROLUNGATA assenza dell’incaricato, che renda indispensabile e indifferibile
intervenire per esclusive necessità di operatività e sicurezza del sistema
• IRREPERIBILITA’ dell’incaricato, o mancanza delle credenziali di autenticazione
– GESTIONE delle copie delle credenziali di autenticazione, l’identificazione dei
responsabili delle copie, e delle relative procedure da utilizzare nel caso
queste debbano essere utilizzate
Nicola Maggi – Genesys Software srl
2) Sistema di autorizzazione
• Un sistema informatico, dopo aver autenticato un
utente, cerca il suo “Profilo di Autorizzazione”, cioè
l’insieme delle informazioni associate ad esso, che
consente di individuare a quali dati può accedere e
con quale modalità
Nicola Maggi – Genesys Software srl
2) Sistema di autorizzazione
• I profili di autorizzazione possono essere creati
– Per ciascun incaricato
– Per classi omogenee di incaricati
• Devono essere creati prima dell’inizio del
trattamento dei dati
• Devono periodicamente (almeno una volta
l’anno) essere verificati, per garantirne la
continua coerenza
• Si possono NON applicare quando i dati
trattati sono destinati alla diffusione pubblica
Nicola Maggi – Genesys Software srl
3) Protezione e aggiornamento
• RIVEDERE lista incaricati e profili di autorizzazione
– (almeno annualmente)
• SALVATAGGIO dei dati (almeno settimanale),
• AGGIORNAMENTO software annuale
(semestrale dati sensibili e/o giudiziari)
– vulnerabilità
– correggere difetti
• AGGIORNAMENTO Antivirus, Antispyware e Firewall:
– appena ne esiste uno disponibile
• PROTEGGERE dati da rischi di intrusione
• Sanzioni per diffusione di programmi aventi per scopo
il danneggiamento di un sistema informatico
Nicola Maggi – Genesys Software srl
4) Altre misure di sicurezza
•
•
Protezione dei sistemi dagli accessi non
consentiti (protezione da virus, worm, trojans,
accessi di persone non autorizzate, utilizzo di
firewall)
Aggiornamento dei sistemi con le ultime patch
Nicola Maggi – Genesys Software srl
4) Altre misure di sicurezza
• Procedure di backup e ripristino di dati e sistemi
C
C
B
A
C
C
PC Client
B
B
B
Server Backup
Nicola Maggi – Genesys Software srl
A
A
A
5) Ulteriori misure per dati sensibili
e/o giudiziari
– CIFRATURA dei dati, sia su supporti magnetici, che
quando in trasferimento da un elaboratore all’altro
– ISTRUIRE al trattamento dei supporti (CD, DVD, Floppy)
che contengono tali dati sensibili
– DISTRUGGERE supporti se non utilizzati
– Se non distrutti, possono essere riutilizzati da altre
persone non autorizzate al trattamento dei dati,
SOLO SE questi sono stati resi non intelligibili o
tecnicamente in alcun modo ricostruibili
– RIPRISTINO dei dati al massimo entro 7 giorni,
in caso di distruzione o danneggiamento degli stessi
Nicola Maggi – Genesys Software srl
Disciplinare tecnico
• Tenuta del “Documento Programmatico sulla Sicurezza”
• Tecniche di cifratura (per chi tratta dati idonei a rivelare
lo stato di salute o la vita sessuale di individui)
Nicola Maggi – Genesys Software srl
DPS
• COMPILARE e AGGIORNARE entro il 31 marzo
di ogni anno dal Titolare del trattamento
il “Documento Programmatico della Sicurezza”
–Deve essere citato nella relazione consuntiva
del bilancio d’esercizio
–Deve essere conservato per presentazione
in occasione di controlli
Nicola Maggi – Genesys Software srl
DPS
Deve contenere:
1. L’elenco dei trattamenti di dati personali
2. La distribuzione delle responsabilità nella struttura
organizzativa
3. Analisi dei Rischi
4. Le misure già in essere e da adottare per garantire
l’integrità e la disponibilità dei dati
Nicola Maggi – Genesys Software srl
DPS
Deve contenere:
5. La descrizione dei criteri e delle
procedure per il ripristino dei dati
6. La programmazione di eventi formativi
per gli incaricati del trattamento
7. OUTSOURCING
8. La descrizione delle procedure di
crittazione
Nicola Maggi – Genesys Software srl
DPS
CONTENUTO MINIMO
1) L’elenco dei trattamenti di dati personali:
–
–
–
–
–
Individuazione dei trattamenti effettuati
Natura dei dati
Struttura dell’azienda (ufficio, funzione, ecc…)
Strumenti elettronici impiegati
Collaborazioni esterne
Nicola Maggi – Genesys Software srl
DPS
CONTENUTO MINIMO
2) La distribuzione delle responsabilità
nella struttura organizzativa
TITOLARE
RESPONSABILE
INCARICATO
Nicola Maggi – Genesys Software srl
DPS
CONTENUTO MINIMO
3) L’ANALISI DEI RISCHI
L'analisi dei rischi consente di acquisire consapevolezza e visibilità sul livello
di esposizione al rischio del proprio patrimonio informativo ed avere una
mappa preliminare dell'insieme delle possibili contromisure di sicurezza da
realizzare.
CONSENTE DI:
1. individuare le risorse del patrimonio informativo
2. identificare le minacce
3. identificare le vulnerabilità
4. definire le contromisure
Nicola Maggi – Genesys Software srl
DPS
CONTENUTO MINIMO
4) Le misure già in essere e da adottare per
garantire l’integrità e la disponibilità dei dati:
–Antivirus
–Chiusura di schedari
–Firewall
–Custodia dei supporti
–Autenticazione
Nicola Maggi – Genesys Software srl
DPS
CONTENUTO MINIMO
5) La descrizione dei criteri e delle procedure
per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento
DISASTER RECOVERY
Nicola Maggi – Genesys Software srl
DPS
CONTENUTO MINIMO
6) La programmazione di eventi formativi
per gli incaricati del trattamento.
Prevedere interventi formativi sia al momento del
conferimento dell’incarico, sia ogni volta che si
introducono nuovi strumenti per il trattamento
Nicola Maggi – Genesys Software srl
DPS
CONTENUTO MINIMO
7) OUTSOURCING:
Descrivere i criteri da adottare in caso di:
– dati trattati anche da terzi,
– l’elenco dei terzi stessi
– le modalità di trattamento dei dati
(trasferimento di dati presso studi contabili per
elaborazione buste paghe, studi legali per notifiche legali)
Nicola Maggi – Genesys Software srl
DPS
CONTENUTO MINIMO
8) La descrizione delle procedure di crittazione dei
dati, in caso trattasi di dati sensibili e/o giudiziari
Nicola Maggi – Genesys Software srl
Informazioni aggiuntive
• Il Titolare può rivolgersi a consulenti esterni per rendere
conforme la sua organizzazione
– Deve provvedere a farsi rilasciare una descrizione scritta di quali sono
stati gli interventi che attestano la conformità alla normativa
• Documentare le ragioni per l’utilizzo di strumenti informatici
“OBSOLETI” (che non consentono l’applicazione delle misure
minime di sicurezza secondo le modalità tecniche dell’Allegato
B) da conservare presso la struttura.
• In questo caso, il Titolare è comunque tenuto all’aggiornamento
dei propri strumenti informatici entro e non oltre il 31 marzo
2006
Nicola Maggi – Genesys Software srl
…..31 Marzo 2006….
…..OBBLIGATORIO ADEGUARSI!!
Grazie.
Nicola Maggi – Genesys Software srl
Scarica

La sicurezza delle reti informatiche : la legge sulla Privacy