La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza Informatica. Come nasce il problema di sicurezza informatica? Fino a pochi anni fa, l’uso del PC non comportava preoccupazioni nella protezione.

Presentazioni simili


Presentazione sul tema: "Sicurezza Informatica. Come nasce il problema di sicurezza informatica? Fino a pochi anni fa, l’uso del PC non comportava preoccupazioni nella protezione."— Transcript della presentazione:

1 Sicurezza Informatica

2 Come nasce il problema di sicurezza informatica? Fino a pochi anni fa, l’uso del PC non comportava preoccupazioni nella protezione dei dati contenuti in esso. Infatti per evitare la perdita di dati si effettuava il Backup, oppure l’utilizzo di password, ci garantiva una garanzia contro l’accesso di terze persone. Però con il diffondersi delle reti informatiche, ovvero, Internet,cominciarono a nascere dei problemi di rischio dovuti a :

3  minacce di intrusione  possibilità di divulgazione non autorizzata di informazioni  interruzione e distruzioni di servizi offerti dall’utenza Con il nascere di questi altri problemi, i legislatori sentirono la necessità di istituire un settore specifico denominato Sicurmatica che si occupasse delle norme: il trattamento e la salvaguardia degli strumenti informatici e delle informazioni in esse contenute.

4 Elenco Argomenti  Sicurezza Informatica Sicurezza Informatica Sicurezza Informatica  Gestione del rischio Gestione del rischio Gestione del rischio  Organizzazione delle sicurezza Organizzazione delle sicurezza Organizzazione delle sicurezza  Standard ed Enti di standardizzazione Standard ed Enti di standardizzazione Standard ed Enti di standardizzazione  Crittografia Crittografia  Autenticazione Autenticazione  Protezione dei dati Protezione dei dati Protezione dei dati  Le Minacce Le Minacce Le Minacce  I firewall I firewall I firewall  Norme sulla sicurezza informatica Norme sulla sicurezza informatica Norme sulla sicurezza informatica

5 Sicurezza informatica Qualunque programma si occupi della sicurezza delle informazioni, deve perseguire 3 obiettivi fondamentali:  la disponibilità la disponibilità la disponibilità  l’integrità l’integrità  la riservatezza la riservatezza la riservatezza Alla sicurezza possiamo aggiungere altri due obiettivi che vengono considerati un’estensione dell’integrità:  l’autenticità : essa garantisce che il messaggio arrivi con certezza al destinatario  il non ripudio: essa garantisce il massaggio conosca il suo autore

6 La Disponibilità La disponibilità è il grado in cui le informazioni e le risorse informatiche sono accessibili agli utenti che ne hanno diritto, nel momento in cui servono: delle condizioni ambientali (energia, umidità..) delle condizioni ambientali (energia, umidità..) delle risorse hardware e software ( guasti …) delle risorse hardware e software ( guasti …) di attacchi esterni ( attacchi provenienti da Internet) di attacchi esterni ( attacchi provenienti da Internet) Sicurezza Informatica Sicurezza Informatica

7 L’Integrità L’integrità per ciò che riguarda le risorse informatiche, è il grado in cui le risorse devono avere: completezza, coerenza e buone condizioni di funzionamento; L’integrità per ciò che riguarda l’hardware e i sistemi di comunicazione, consiste:  nella corretta elaborazione e in un corretto instradamento dei dati  e in un livello adeguato di prestazioni Invece per quanto riguarda il software:  la completezza e la coerenza dei moduli del sistema operativo  la correttezza dei file di sistema Sicurezza Informatica Sicurezza Informatica

8 La Riservatezza La riservatezza consiste nel limitare l’accesso alle informazioni e alle risorse informatiche, alle sole persone autorizzate. Sicurezza Informatica Sicurezza Informatica

9 Gestione del rischio Adesso esaminiamo i rischi connessi ai vari aspetti di sicurezza delle informazioni analizzando: 1)i beni da difendere i beni da difenderei beni da difendere 2)gli obbiettivi di sicurezza gli obbiettivi di sicurezzagli obbiettivi di sicurezza 3)le minacce alla sicurezza le minacce alla sicurezzale minacce alla sicurezza 4)la vulnerabilità dei sistemi informatici la vulnerabilità dei sistemi informaticila vulnerabilità dei sistemi informatici 5)l’ impatto causato dall’attuazione delle minacce l’ impatto causato dall’attuazione delle minaccel’ impatto causato dall’attuazione delle minacce 6)il rischio il rischioil rischio

10 I beni da difendere In una visione chiara possiamo parlare dei beni, materiali o immateriali che siano, di una cosa che ha un valore e deve essere protetto. Gestione del rischio Gestione del rischio

11 Nel campo della sicurezza delle informazioni i, beni di un azienda sono:  le risorse informatiche  il personale  le informazioni  la documentazione  l’immagine dell’azienda Invece nel campo della sicurezza delle informazioni, i beni di un individuo sono:  informazioni personali  la privacy Gestione del rischio Gestione del rischio

12 Gli obiettivi di sicurezza Gli obiettivi di sicurezza, sono il grado di protezione che si intende attuare in termini di : disponibilità disponibilità integrità integrità riservatezza riservatezza Per sapere quale obbiettivo devo adottare, i beni si classificano in categorie ed ad ognuno si assegna il tipo di sicurezza:  Per le password e i numeri di identificazione, il requisito più importante, è la riservatezza  Per le informazioni pubblicate sul sito web: disponibilità e riservatezza Gestione del rischio Gestione del rischio

13 Le minacce alla sicurezza Una minaccia è una azione: potenziale, accidentale, deliberata, essa può portare alla violazione di uno o più obiettivi di sicurezza. Le minacce possono essere classificate: in ambientali, naturali e umane. Gestione del rischio Gestione del rischio

14 Esempi di minacce: MinacciaDeliberataAccidentaleAmbientaleTerremotox Infiltrazione di rete x Errori software xx Inondazionexx Guasto hardware x Furtox Gestione del rischio Gestione del rischio

15 Per esempio: un allagamento dovuto a forti piogge è una minaccia accidentale di origine naturale che influisce notevolmente alla sicurezza in quanto interrompe l’utilizzo dei servizi informatici. Un altro esempio:è un cavallo di troia installato all’apertura di un allegato di posta elettronica infetto, questa è una minaccia deliberata di origine umana e coinvolge tutti gli obiettivi di sicurezza. Gestione del rischio Gestione del rischio

16 Vulnerabilità dei sistemi informatici La vulnerabilità è un punto debole del sistema informatico. Una vulnerabilità, non causa una perdita di sicurezza ma è la combinazione tra vulnerabilità e minaccia che determinano la possibilità che vengano violati gli obiettivi di sicurezza. Gestione del rischio Gestione del rischio

17 L’impatto causato dall’attuazione delle minacce L’impatto si ha quando la minaccia colpisce il sistema e dipende dal bene e dalla violazione degli obiettivi di sicurezza. Gestione del rischio Gestione del rischio

18 Il rischio Il rischio Il rischio è tanto maggiore, quanto maggiore è l’impatto causato, e l’alta probabilità che esso si verifichi. Possiamo definire il rischio come l’insieme della gravità dell’impatto e la probabilità che si verifichi l’evento dannoso. Gestione del rischio Gestione del rischio

19 Possiamo, inoltre, classificare il rischio in due fasi :  Analisi del rischio  Controllo del rischio Analisi del rischio In questa fase si classificano le informazioni e le risorse soggette a minaccia e vulnerabilità Controllo del rischio In questa fase vengono individuate le modalità che l’azienda intende adottare per ridurre i rischi Gestione del rischio Gestione del rischio

20 Organizzazione della sicurezza L’organizzazione della sicurezza parte dall’alto dove gli obiettivi e le politiche di sicurezza sonno definiti dal top management. In cima a questo modello ci sono gli obiettivi strategici di cui deve fare carico l’organizzazione di sicurezza. Uno dei primi compiti del gruppo incaricato nella sicurezza è quello di inquadrare il modello di attività, all’esposizione dei rischi e alla dipendenza dell’infrastruttura informatica.

21 Standard ed enti di standardizzazione Gli enti di standardizzazione sono organizzazioni di natura molto differente che coprono aspetti normativi diversi a secondo dei casi. Operano in ambito nazionale ed internazionale ed emettono norme e linnee guida per la realizzazione di prodotti, processi e servizi. Tra i più famosi enti ricordiamo:  ITU è un’organizzazione ONU dove governi e settore privato coordinano le reti e i servizi di telecomunicazioni  ISO è la maggiore organizzazione internazionale  IETF (Internet Enginnering Task Force)

22 La crittografia La crittografia consiste nel cifrare, cioè rendere incomprensibile, un testo in chiaro attraverso un algoritmo di cifratura che fa uso in input di una chiave. Il risultato della cifratura, cioè l’output dell’algoritmo, sarà un testo inintelligibile che potrà essere cifrato solo disponendo dalla chiave di decifratura.

23 Vi sono due tipi di crittografia: Crittografia simmetrica La crittografia simmetrica conferisce riservatezza al messaggio, ma non assicura l’autenticazione o il non ripudio. Questo tipo di crittografia viene utilizzata per cifrare grandi quantità di dati. Crittografia asimmetrica La crittografia asimmetrica, ossia la chiave pubblica, fa uso di due chiavi diverse per cifrare e decifrare i messaggi. Un algoritmo asimmetrico prevede che ogni utente abbia una coppia di chiavi: la chiave pubblica e quella privata. La chiave privata deve essere custodita al sicuro, quella pubblica può essere distribuita.

24 Autenticazione All’atto dell’autenticazione, l’entità che chiede di essere autenticata, deve essere in possesso di una password o di un certificato digitale come prova della propria identità. Una volta che l’utente è stato autenticato può accedere solo alle risorse per cui è autorizzato. Vi sono diversi tipi di autenticazione:  autenticazione locale: usata da un computer a un portatile  autenticazione indiretta: usata per consentire a diversi utenti di accedere in rete  autenticazione off-line: usata dai sistemi che utilizzano la chiave pubblica.

25 I sistemi di autenticazione hanno alcuni elementi in comune:  una persona da autenticare  una caratteristica su cui basare l’autenticazione I fattori di autenticazione sono divisi in 3 categorie:  qualcosa che sai (password, pin …)  qualcosa che hai ( token …)  quello che sei (impronte digitali,retina …) Autenticazione

26 Password L’uso delle password è uno dei sistemi più antichi di autenticazione. A partire dal 1967 cominciò a essere introdotto l’ hashing delle password, che viene tuttora utilizzato. Un Hash è un numero binario di lunghezza fissa, di lunghezza variabile che funge da impronta del dato di partenza. All’atto dell’autenticazione, l’hash viene confrontato con quello registrato nel file, se coincidono l’utente è autenticato. Autenticazione

27 Token Un token è un fattore di autenticazione della categoria “ quello che hai”. L’utente deve essere in possesso del token al fine di essere autenticato dal computer. Se viene smarrito o rubato l’utente non ha modo di farsi autenticare. I token vengono suddivisi in token passivi e token attivi. I token passivi per esempio carte di credito, vengono chiamati cosi perché i dati sono registrati su una striscia magnetica. I token attivi non trasmettono il proprio dato segreto per autenticare l’utente. Autenticazione

28 Firma digitale Per verificare che un dato documento sia stato realmente prodotto, da chi afferma di averlo fatto, viene utilizzata la firma digitale che garantisce l’autenticità di colui che ha firmato quel dato documento. La firma digitale deve essere:  verificabile  non falsificabile  non ripudiabile Autenticazione

29 Protezione dei dati Parlando di disponibilità dei dati viene spontaneo pensare alla possibilità che si guastino i dischi fissi o la rete cessi di funzionare o che si verifichi un blackout, ma è anche importante considerare che gli eventuali meccanismi di protezione degli accessi funzionino regolarmente. Per garantire l’accessibilità dei dati è necessario che le connessioni di rete funzionino e siano affidabili. L’insieme delle garanzie di disponibilità dei dati sono i pilastri della cosiddetta “Business Continuity”. Questa è la misura in cui un organizzazione riesce a garantire la stabilità dei sistemi e delle procedure operative anche a fronte di eventi eccezionali. Le dotazioni hardware sono importanti per il buon funzionamento.

30 Backup Il backup consente di proteggere i dati in un supporto fisico diverso da quello in uso, effettuando una copia di riserva dei dati di interesse dell’Organizzazione, per poterne fare uso al momento di necessità. Il backup può essere fatto in diversi modi :  Backup normale: richiede più tempo perché copia tutti i file selezionati.  Backup incrementale: richiede meno tempo poiché copia solo i file creati o modificati.

31 Le minacce Un virus informatico, è un programma scritto per alterare il modo in cui un computer opera, senza il permesso o la consapevolezza dell’utente. Un virus è un frammento di codice che inserisce se stesso in un programma ospite, al fine di diffondersi. Esso non va in esecuzione indipendentemente ma per potersi attivare richiede che il suo programma ospite sia eseguito.

32 I virus possono infettare sia il server di rete che normali computer. I virus maligni sono programmati per danneggiare il computer attraverso l’alterazione di programmi o la formattazione dell’hardisk. I virus benigni non sono progettati per fare danno ma per replicare se stessi e far sentire la propria presenza. Le minacce Le minacce

33 Esistono diverse tipologie di virus:  Virus che infettano i file Virus che infettano i fileVirus che infettano i file  Virus del settore boot Virus del settore bootVirus del settore boot  Virus MBR Virus MBR Virus MBR  Virus multipartito Virus multipartitoVirus multipartito  Macro virus Macro virusMacro virus  Virus Hoax Virus HoaxVirus Hoax  Prevenzione degli attacchi Prevenzione degli attacchi Prevenzione degli attacchi Le minacce Le minacce

34 Virus che infettano i file Questi virus infettano i programmi, normalmente con estensioni “.com” e “.exe. Possono infettare altri file quando un programma infetto viene eseguito da floppy, disco fisso, cd-rom o rete. Molti di questi virus rimangono residenti in memoria e una volta infettata la Ram, qualunque programma che viene mandato in esecuzione sarà infetto.

35 Virus del settore boot Questi virus infettano il boot record del disco fisso o di un floppy, ovvero quell’ aria che serve ad avviare il computer e pertanto andranno in esecuzione ogni volta che si accenderà il computer. Questi virus sono sempre residenti in memoria.

36 Virus MBR Master Boot record, come dice la stessa parola infettano il boot record, solo che il codice virale si localizzerà in parti diverse a secondo del tipo di partizione del disco.

37 Virus multipartito Questi virus noti anche come polipartito, infettano sia il boot che i file programma. Sono particolarmente difficili da rimuovere perché ripulendo il record di boot senza rimuovere i virus dai file infetti, comporterà una nuova infezione del boot record e viceversa.

38 Macro Virus Questi virus infettano i dati. Richiedono più tempo per la loro rimozione e sono i più comuni. I macro virus possono infettare i file prodotti dalle applicazioni quali:  Word  Excel  PowerPoint  Access

39 Virus Hoax Più che virus sono messaggi di avviso contenenti falsi allarmi, vengono definiti Bufale e sono quasi sempre spedite via .

40 Prevenzione degli attacchi Dotarsi di un antivirus efficace e tenerlo sempre aggiornato. Installare uno strumento antimalware con protezione in tempo reale. Scegliere le password in modo opportuno e cambiarle periodicamente. Installare un firewall e configurarlo con delle restrizioni e controlli sul traffico in rete.

41 Elenco dei tipi di attacchi  Malware Malware  Trojan Trojan  Worm Worm  Spam Spam  Spyware Spyware  Dialer Dialer  Phishing Phishing  Cookie Cookie  Adware Adware  Hijacking Hijacking

42 Il Malware Si definisce malware un qualsiasi software creato con il solo scopo di creare danni più o meno estesi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio". Worm, Trojan, Spyware, Adware Cookie, Spam, Hijacking, Phishing, Dialer

43 Il Trojan Un trojan, (Cavallo di Troia), è un programma per computer che contiene funzionalità maliziose note a chi lo ha programmato, ma non all'utente. Un trojan horse è chiamato in questo modo poiché esegue delle azioni nascoste all'utente, facendo credere a quest'ultimo di essere in possesso di qualcosa di realmente utile.

44  In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto, composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dal pirata per inviare istruzioni che il server esegue. In questo modo, la vittima è indotta a far entrare il programma nel computer, ed eseguire il programma.  I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell'attaccante per far giungere l'eseguibile malizioso alla vittima  Un trojan può contenere qualsiasi tipo di istruzione maliziosa e pornografica. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei Keylogger sui sistemi bersaglio

45 Worm Un worm è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi. malware Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse maniere, spesso i mezzi di diffusione sono più di uno per uno stesso worm.

46 Lo Spam Lo spam ( o spazzatura) è l’invio di tanta pubblicità e l’invio delle indesiderate che invadono le caselle di posta elettronica. Il rimedio è quello di far controllare le da un programma che fa da filtro antispam. Gli spam arrivano al vostro indirizzo grazie a programmi specifici che sfruttano tutto ciò che contiene una nei forum e nelle chat. Questi programmi, chiamati crawler funzionano grosso modo come i motori di ricerca in internet.

47 Spyware Mentre state navigando in Internet, qualcuno, di nascosto, sta raccogliendo dei dati sul vostro Pc. Si tratta di un programma “Spyware”. Vengono usati da da “spamer” e “ craker” ovvero diversi tipi di pirati informatici, e anche da società che si occupano di pubblicità on-line, per conoscere le vostre abitudini quando navigate in Internet, quali programmi usate e quali avete installato. Alcuni raccolgono dati anche su tutto quello che digitate.

48 Dialer Un dialer è un programma per computer che crea una connessione ad Internet, ad un'altra rete di calcolatori o semplicemente ad un altro computer tramite la comune linea telefonica o un collegamento ISDN.

49 Alcuni di questi programmi sono creati per connettersi a numeri a tariffazione speciale. La maggior parte dei dialer impostati per connettersi a numeri a tariffazione speciale utilizza metodi illegali, rientrando così nella fattispecie del reato di truffa. Per le denunce compete la Polizia Postale Gli utenti con una connessione DSL o simile (per esempio una connessione ad internet attraverso la rete locale) generalmente non sono soggetti alla minaccia dei dialer.

50 Phishing In ambito informatico si definisce phishing una tecnica utilizzata per ottenere l'accesso ad informazioni personali e riservate con la finalità del furto di identità mediante l'utilizzo di messaggi di posta elettronica fasulli, opportunamente creati per apparire autentici. Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati sensibili, come numero di conto corrente, nome utente e password, numero di carta di credito ecc. Per difendersi dal phishing inviato via , basta cancellare l' .

51 Cookie I cookies (letteralmente "biscottini") sono piccoli file di testo che i siti web utilizzano per immagazzinare alcune informazioni nel computer dell'utente. I cookie sono inviati dal sito web e memorizzati sul computer. Sono quindi re- inviati al sito web al momento delle visite successive. Le informazioni all'interno dei cookie sono spesso codificate e non comprensibili. Le applicazioni più comuni vanno dalla memorizzazione di informazioni sulle abilitazioni dell'utente, alla tracciatura dei movimenti dell'utente stesso all'interno dei siti web che visita.

52 Adware E’ un tipo di software distribuito gratuitamente in cambio della visualizzazione di pubblicità tramite appositi banner inseriti nel programma stesso. È’ una forma di distribuzione che si è diffusa notevolmente grazie a Internet e un modo per ripagare dei costi di sviluppo i produttori di programmi. Spesso viene data la possibilità di far scomparire il banner dalla finestra di lavoro del programma, pagando una piccola cifra in denaro al produttore, di entità simile a quelle richieste per la fornitura di software in modalità shareware.

53 Hijacking Hijacking: portare l'utente a visitare determinate pagine indipendentemente dalla sua volontà e dalle sue abitudini in rete. Questo può essere fatto solo assumendo direttamente il controllo della macchina usata dall'utente. Questa tecnica, permette ai dirottatori di eseguire sul nostro computer una serie di modifiche tali da garantirsi la nostra visita alle loro pagine al solo scopo di incrementare in modo artificioso il numero di accessi e di click diretti al sito e conseguentemente incrementare i guadagni dovuti alle inserzioni pubblicitarie Queste azioni possono limitarsi alla semplice modifica della pagina iniziale del browser, all'aggiunta automatica di siti tra i preferiti fino a radicali modifiche al nostro Queste azioni possono limitarsi alla semplice modifica della pagina iniziale del browser, all'aggiunta automatica di siti tra i preferiti fino a radicali modifiche al nostro.

54 Firewall Il firewall è un componente passivo di difesa perimetrale che può anche svolgere funzioni di collegamento di due o più tronconi di rete. Usualmente la rete viene divisa in due sottoreti: una, detta esterna, comprende l'intera internet mentre l'altra interna, detta LAN (Local Area Network)che comprende una sezione più o meno grande di un insieme di computer locali.

55 La sua funzionalità principale in sostanza è quella di creare un filtro sulle connessioni entranti ed uscenti, in questo modo il dispositivo innalza il livello di sicurezza della rete e permette sia agli utenti interni che a quelli esterni di operare nel massimo della sicurezza. Un worm è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi. Un worm è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi. malware

56 Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse maniere, spesso i mezzi di diffusione sono più di uno per uno stesso worm. Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse maniere, spesso i mezzi di diffusione sono più di uno per uno stesso worm. Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il programma malizioso ricerca indirizzi memorizzati nel computer ospite ed invia una copia di se stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere. Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il programma malizioso ricerca indirizzi memorizzati nel computer ospite ed invia una copia di se stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere.

57 Norme sulla sicurezza informatica  Riferimenti normativi sulla sicurezza Informatica Riferimenti normativi sulla sicurezza Informatica Riferimenti normativi sulla sicurezza Informatica  Reati di criminalità informatica Reati di criminalità informaticaReati di criminalità informatica  La legge sulla privacy La legge sulla privacyLa legge sulla privacy  Cosa si rischia se non si rispettano le norme sulla protezione e sul trattamento dei dati personali Cosa si rischia se non si rispettano le norme sulla protezione e sul trattamento dei dati personaliCosa si rischia se non si rispettano le norme sulla protezione e sul trattamento dei dati personali  Definizione legale di sicurezza informatica Definizione legale di sicurezza informaticaDefinizione legale di sicurezza informatica

58 Riferimenti normativi sulla Sicurezza Informatica Riferimenti normativi sulla Sicurezza Informatica L’evoluzione tecnologica e l’uso sempre più diffuso di strumenti informatici in tutti i settori di attività, hanno spinto negli anni il legislatore ad adeguare progressivamente il sistema legislativo vigente, ai cambiamenti imposti dall’emergere di nuovi e sempre più sofisticati strumenti e sistemi di scambio delle informazioni, al fine di tenere conto delle mutate realtà che la tecnologia ha inevitabilmente comportato. Di seguito vengono elencati, in ordine cronologico, i principali riferimenti normativi riguardanti la sicurezza informatica: Norme sulla sicurezza Norme sulla sicurezza

59 1993: Legge 23/12/93 n. 547 Integrazione del codice penale con l’introduzione dei reati di criminalità informatica; 1993: Legge 23/12/93 n. 547 Integrazione del codice penale con l’introduzione dei reati di criminalità informatica; 1996: Legge 31/12/96 n. 675 Tutela dei dati personali (legge sulla privacy) 1996: Legge 31/12/96 n. 675 Tutela dei dati personali (legge sulla privacy) 1999: Decreto del Presidente della Repubblica 28/07/99 n. 318 Regolamento per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali (regolamento previsto dalla legge 675/96); 1999: Decreto del Presidente della Repubblica 28/07/99 n. 318 Regolamento per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali (regolamento previsto dalla legge 675/96); 2002: Direttiva del Presidente del Consiglio dei ministri 16 gennaio 2002 Sicurezza informatica e delle telecomunicazioni nelle Pubbliche Amministrazioni; 2002: Direttiva del Presidente del Consiglio dei ministri 16 gennaio 2002 Sicurezza informatica e delle telecomunicazioni nelle Pubbliche Amministrazioni; 2003: Decreto Legislativo 30/6/03 n. 196 Codice in materia di protezione dei dati personali (abroga ed estende la legge sulla Privacy del ’96 e il suo regolamento sulle misure minime di sicurezza). 2003: Decreto Legislativo 30/6/03 n. 196 Codice in materia di protezione dei dati personali (abroga ed estende la legge sulla Privacy del ’96 e il suo regolamento sulle misure minime di sicurezza).

60 Reati di criminalità informatica Nel 1993 la storia informatica entra ufficialmente nei codici del nostro sistema legislativo nel quale è stata promulgata la legge 23 dicembre 1993 n. 547, che ha modificato e integrato il codice penale e quello di procedura penale, introducendo i reati di criminalità informatica. In questa legge veniva così attribuita una importanza giuridica agli strumenti e sistemi informatici e telematici, che fino ad allora non erano stati considerati alla stessa stregua di altrimezzi. Norme sulla sicurezza Norme sulla sicurezza

61 Con questa legge vengono effettuate molte importanti equiparazioni dei sistemi informatici: vengono ad esempio modificati alcuni articoli del codice penale estendendo alcuni reati inerenti violenza alle cose, anche all’alterazione o distruzione dei programmi informatici, nonché alle azioni volte al malfunzionamento di sistemi informatici e telematici. Viene sancita l’applicazioni delle disposizioni concernenti gli atti pubblici e le scritture, anche ai documenti informatici; si introduce il concetto di “domicilio informatico”; v iene equiparata la corrispondenza informatica o telematica a quella epistolare, telegrafica e telefonica; viene punito il furto e la diffusione di password.

62 La legge sulla Privacy In termini di riservatezza e privacy, la legislazione vigente non mira ad impedire il trattamento dei dati personali, bensì a regolamentarlo, permettendo all’interessato di conoscere la finalità del trattamento dei suoi dati e subordinandone la legittimità, al consenso informato della persona. In termini di riservatezza e privacy, la legislazione vigente non mira ad impedire il trattamento dei dati personali, bensì a regolamentarlo, permettendo all’interessato di conoscere la finalità del trattamento dei suoi dati e subordinandone la legittimità, al consenso informato della persona. La legge 31 dicembre 1996 n. 675, comunemente nota come “legge sulla privacy” finalizza alla tutela delle persone rispetto al trattamento dei dati personali. Questa legge prevedeva al suo art. 15, l’emanazione di un regolamento riguardante le misure minime di sicurezza per il trattamento dei dati personali. Tale regolamento veniva pubblicato con il Decreto del Presidente della Repubblica 28 luglio 1999 n La legge 31 dicembre 1996 n. 675, comunemente nota come “legge sulla privacy” finalizza alla tutela delle persone rispetto al trattamento dei dati personali. Questa legge prevedeva al suo art. 15, l’emanazione di un regolamento riguardante le misure minime di sicurezza per il trattamento dei dati personali. Tale regolamento veniva pubblicato con il Decreto del Presidente della Repubblica 28 luglio 1999 n Norme sulla sicurezza Norme sulla sicurezza

63 A decorrere dal 1° gennaio 2004 la legge 675/96 è stata abrogata e sostituita dal Decreto legislativo 30 giugno 2003 n. 196 – “Codice in materia di protezione dei dati personali”, il quale estende la legge sulla privacy del 1996 e il suo regolamento del 1999 sulle misure minime di sicurezza. Uno dei primi aspetti è comprendere il significato dei termini “ trattamento”, “dati identificativi” e soprattutto “dati personali” e “dati sensibili”.

64 “trattamento”: qualunque operazione o complesso di operazioni, effettuanti anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il rafforzo, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati; “dato personale”: qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

65 “dati identificativi”: i dati personali che permettono l’identificazione diretta dell’interessato; “dati sensibili”: i dati personali idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale.

66 La finalità della legge riguarda la garanzia che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali e della dignità dell’interessato, con particolare riferimento alla riservatezza e protezione dei suoi dati personali. Riassumendo gli aspetti della legge, possiamo evidenziare 3 aspetti fondamentali:  Il diritto di accesso della persona ai dati che lo riguardano;  La legittimità e le finalità del trattamento dei dati personali;  Il consenso informato dell’interessato.

67 Cosa si rischia se non si rispettano le norme sulla protezione e sul trattamento dei dati personali Le sanzioni possono essere sia di carattere risarcitorio che di Le sanzioni possono essere sia di carattere risarcitorio che di carattere amministrativo e penale. Aspetto risarcitorio: è previsto l’art. 15 che cita: “chiunque cagioni danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art del codice civile”. Norme sulla sicurezza Norme sulla sicurezza

68 Sanzioni amministrative: L’omessa o inidonea informativa all’interessato, sanzionata dall’art. 161, prevede multe da a euro che possono arrivare fino a euro nei casi di dati sensibili giudiziari o di trattamenti che presentano rischi specifici. Sanzioni penali: sono stabilite dall’art. 167 che riguarda il trattamento illecito di dati e nel quale, se dal fatto deriva nocumento, è prevista la reclusione da un minimo di 6 mesi ad un massimo di 3 anni, in funzione degli articoli violati e della tipologia di violazione.

69 Definizione “legale” di Sicurezza Informatica Sicurezza tecnica Sicurezza logistica Sicurezza legale Sicurezza applicazioni Sicurezza dei programmi Sicurezza dei dati Sicurezza fisica Norme sulla sicurezza Norme sulla sicurezza

70 Progetto realizzato da : Sinatra Stefania


Scaricare ppt "Sicurezza Informatica. Come nasce il problema di sicurezza informatica? Fino a pochi anni fa, l’uso del PC non comportava preoccupazioni nella protezione."

Presentazioni simili


Annunci Google