La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Agenda Legge 196/03 e misure di sicurezza

PubblicatoEdda Vecchio Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Agenda Legge 196/03 e misure di sicurezza"— Transcript della presentazione:

0 La gestione dei dati in Sanità tra diritti di sicurezza e necessità di efficienza Mariangela Fagnani Roma – 5 Dicembre 2005

1 Agenda Legge 196/03 e misure di sicurezza
Sicurezza e privacy: approccio e metodologia Le principali soluzioni IBM Consulenza per gli adempimenti alla legge 196/03 Controllo accessi e sistema di autorizzazione Soluzioni di Business Continuity Certificazione del Sistema di Gestione della Sicurezza vs BS7799 Conformita’ alla norma HIPAA (Health Insurance Portability and Accountability Act) IBM Data Governance Council

2 Agenda Legge 196/03 e misure di sicurezza

3 protezione dei dati personali
Uno sguardo allo schema di sintesi della legge 196/03 : Codice in materia di protezione dei dati personali richiede Titolare D.lgs 196/’03 Organizzazione Responsabili Incaricati per Adempimenti Formali Informativa Consenso Notifica Autorizzazione del Garante DPSS Adempimenti Strutturali Inventario e selezione banche dati Analisi dei Rischi Contromisure di sicurezza Continuità del Business Formazione Procedure di risposta Sanzioni Penali Amministrative per evitare verso PERSONA FISICA O GIURIDICA cui si riferiscono i dati e le informazioni (dipendenti, clienti, fornitori, abbonati.....) Interessato

4 Il legislatore pone la sicurezza come condizione fondamentale al trattamento di dati personali
La Legge rende primaria la necessità di realizzare alcune misure di Sicurezza atte a custodire e proteggere i dati personali e le altre informazioni di valore per l'azienda Fiducia dell’utente nel servizio Non si può' gestire la privacy... ... senza una solida sicurezza!! Privacy Protezione dei dati personali Sicurezza

5 Le misure di sicurezza previste dalla legge: misure idonee e misure minime
Cosa sono? Sono l’insieme delle misure tecniche, informatiche, organizzative, logistiche e procedurali che configurano il livello di protezione necessario a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta Che caratteristiche devono avere? Quali possono essere? Le misure di sicurezza devono essere: preventive obbligatorie correlate al mezzo utilizzato crescenti Idonee (è l’obiettivo di sicurezza della legge) Tutte le misure di sicurezza necessarie a minimizzare i rischi in funzione delle caratteristiche organizzative e tecniche dell’azienda nonché dell’evoluzione tecnologica Minime (è il livello minimo delle misure idonee) devono essere adottate indipendentemente dalle caratteristiche dell’azienda. Hanno le seguenti caratteristiche: Rappresentano il livello “minimale” e non sono sufficienti a rappresentare l’obiettivo voluto dalla legge (“Misure Idonee”) Elenco pre-definito e identificate nel “disciplinare tecnico” incluso nel codice Privacy (all. B) Comuni Giudiz Sensib Sanit Genetici

6 Agenda Sicurezza e privacy: approccio e metodologia

7 raggiungimento di specifici requisiti
La corretta applicazione e gestione delle misure di sicurezza richiede il raggiungimento di specifici requisiti La sicurezza delle informazioni permette di governare e proteggere il valore e i requisiti dei dati Integrità Disponibilità Prevenire modifiche / alterazioni del contenuto / valore del dato Rendere accessibile il dato solo a chi ne ha necessità per svolgere il proprio lavoro Riservatezza Governo Proteggere, custodire, gestire il dato in funzione del valore assegnato Gestire in modo controllato le attività attraverso i sistemi informatici Dato Verificabilità Continuità Ricostruire chi ha fatto cosa per garantire accuratezza e completezza dei dati Garantire il servizio informatico e la disponibilità dei dati a fronte di possibili interruzioni

8 La sicurezza dei dati personali riguarda le risorse da proteggere, le responsabilità da definire e si realizza attraverso il bilanciamento di interventi orientati al contenimento dei maggiori rischi... Rischio: legale di business contrattuale Dato personale/sensibile Software di base Applicazioni informatiche Hardware Rete Archivi ... Risorse Rischio Misure di Sicurezza Responsabilità Organizzative, normative e tecniche di - Protezione - Controllo - Verifica Proteggere Gestire Usare Acquisire/Alienare

9 Per realizzare le misure di sicurezza dei dati personali è necessario verificarne lo stato attuale, il conseguente livello di rischio e individuare le adeguate contromisure Sicurezza della Rete hardware e software connessioni interne connessioni esterne Sicurezza logica identificazione e autenticazione software di autenticazione Sistema di autorizzazione Crittografia dei dati accessi remoti accessi al web antivirus Sicurezza Fisica installazioni, reti, aree riservate supporti magnetici uffici perimetri territorio PARC Dipendenti Volontari PC e Workstation necessità operative delle banche dati salvate protezione fisica protezione logica output e supporti removibili Pubblico Forze di Polizia Continuità del servizio gestione degli archivi operazioni di back-up ripristino attività informatiche gestione degli incidenti ASL Pubblica Amm.ne Locale Azienda Sanitaria Pazienti Operatori sanitari Aziende collegate Sicurezza nei trattamenti informatici tipologia di trattamento e sua finalità individuazione transazioni e output distribuzione e destinatari eliminazione duplicati Sviluppo e manutenzione applicazioni test e sviluppo utilizzo di dati appositi/mascheramento dati conversione degli archivi rilascio in produzione Ospedali Fornitori Verifica e controllo requisiti di audit log informatici registrazione degli accessi monitoring

10 Il programma di sicurezza si affronta adottando una metodologia per fasi, capace di comprendere e gestire gli asset rilevanti per il servizio fornito e per la sua tutela Comprensione dell’ Ecosistema Sanitario Individuazione delle scoperture di sicurezza e gap vs la legge(organizzative e tecnologiche) Prioritizzazione degli interventi Individuazione e disegno delle contromisure adeguate Implementazione delle soluzioni e dei prodotti Gestione del rischio (Certificazione di Sicurezza delle informazioni BS7799 –ISO/IEC 27001:2005) What should I do? Help me do it. Manage it. ASSESS PLAN DESIGN IMPLEMENT RUN Security Governance Assets Security

11 Agenda Le principali soluzioni IBM
Consulenza per gli adempimenti alla legge 196/03 Controllo accessi e sistema di autorizzazione Soluzioni di Business Continuity Certificazione del Sistema di Gestione della Sicurezza vs BS7799 Conformita’ alla norma HIPAA (Health Insurance Portability and Accountability Act)

12 Le principali soluzioni IBM Consulenza per gli adempimenti alla legge 196/03
Adeguamento Privacy (196/03) Attività di supporto necessario alla realizzazione degli adempimenti formali della Legge 196/03, delle Misure Minime di Sicurezza ed alla stesura del Documento Programmatico sulla Sicurezza Attività previste Assessment Inventario banche dati Analisi dei rischi Individuazione delle misure di sicurezza Formazione e sensibilizzazione del personale Redazione del DPS Adempimenti formali sostanziali Banche dati sensibili personali Trattamento automatizzato “manuale” Organizzative Normative Tecnologiche Responsabili del trattamento Amministratori di sistema Incaricati Inventario banche dati 1 Evidenza delle aree di vulnerabilità e rischi correlati. 2 Adempimenti formali (lettere di incarico, istruzioni, informativa, consenso, notificazione, ..) 3 Memoranda per i ruoli di legge individuati 4 Misure di sicurezza minime o idonee 5 Flussi procedurali 6 Package di formazione 7 DPS 8 Risultati

13 Le principali soluzioni IBM Controllo accessi e sistema di autorizzazione
Produttività e qualità del servizio ottimizzare processo di gestione “account” servizi per l’utente (Passw.Mgmt., SSO,..) Amministrazione controllata e delegabile consolidamento delle credenziali dell’utente all’interno di un unico repository centralizzato (LDAP) Sicurezza Politiche di sicurezza rafforzate Definizione di processi, procedure e tecnologie per la gestione della “Identità digitale”, intesa come rappresentazione di un utente e dei relativi diritti di autenticazione ed autorizzazione all’interno dell’organizzazione sanitaria, in funzione della criticita’ dei dati. Identity Management creazione, propagazione e gestione cemtralizzata delle informazioni che descrivono un utente. Access Management creazione, propagazione e gestione delle informazioni che servono per definire i diritti di autenticazione e autorizzazione dell’utente in relazione a risorse, servizi e dati. Strong Authentication adozione di strumenti per il riconoscimento degli utenti (token, smart card, impronta digitale, ....) Single SignOn Propagazione e sincronizzazione delle credenziali di accesso alla rete, sistemi, applicazioni Costi Amministrazione della sicurezza Audit e controllo Help desk Time to market Risposta dinamica al business Linee guida per lo sviluppo di nuove applicazioni

14 Le principali soluzioni IBM Controllo accessi e sistema di autorizzazione basati sul ruolo dell’utente L’accesso ai sistemi e ai dati e’ stabilito sulla base del ruolo/mansione dell’utente e della tipologia dei dati

15 Le principali soluzioni IBM Controllo accessi e sistema di autorizzazione: strong authentication
Utente

16 Le principali soluzioni IBM Soluzione di Disaster Recovery
Tier 0: No backups Tier 1: Backups off-site Tier 2: Backups off-site + Hot Site Tier 3: Electronic Vaulting in Remote Library Tier 4: Batch/Online DB shadowing and journaling Tier 5: SW two-phase commit Tier 6: Near zero data loss with remote disk mirroring Tier 7: Near zero or zero data loss with remote disk mirroring and highly automated recovery Weeks Days Hours Minutes RTO $ Recovery Rapid Recovery Continuity Centro Primario Centro Alternativo Off-Site Storage Scenario di disastro Off-Site and Hot Site

17 Le principali soluzioni IBM Soluzione di Business Continuity
Centro Alternativo Scenario di disastro Continuity DUPLICAZIONE ON-LINE DATI FIBRA OTTICA (km) Centro Primario Tier 0: No backups Tier 1: Backups off-site Tier 2: Backups off-site + Hot Site Tier 3: Electronic Vaulting in Remote Library Tier 4: Batch/Online DB shadowing and journaling Tier 5: SW two-phase commit Tier 6: Near zero data loss with remote disk mirroring Tier 7: Near zero or zero data loss with remote disk mirroring and highly automated recovery Weeks Days Hours Minutes RTO $ Recovery Rapid Recovery Continuity

18 BCRS Center – Settimo Milanese (Milan)
Le principali soluzioni IBM I centri di Business Continuity & Disaster Recovery di IBM BCRS Center – Worlwide BCRS Center – Settimo Milanese (Milan) BCRS – DR Centers 140 centri worldwide 71 in Europa 2 in Italia Servizi offerti Progettazione, realizzazione e gestione dei servizi e delle soluzioni di Disaster Recovery, High Availability e Business Continuity Centro di Disaster Recovery : primo in Italia per dimensioni, capacità ed eterogeneità di apparati, livelli di continuità garantiti e servizi forniti

19 Le principali soluzioni IBM Certificazione del sistema di gestione della sicurezza vs BS ISO/IEC Obiettivo BS7799: ottimizzazione rapporto costi/benefici delle misure di sicurezza. BS7799 parte I “should” Elenca le “best practice” suggerite per implementare un programma per la sicurezza delle informazioni 1. Security Policy 2. Organization of Information Security 3. Asset management 4. Human Resources security 5. Physical and environmental Security 6. Communication and Operations management BS 7799 parte II “shall” Elenca i processi ed i controlli per implementare e certificare un sistema di gestione della sicurezza delle informazioni 7. Access Control 8. Information System Acquisition, Development and Maint. 9. Information Security Incident Management 10. Business Continuity Management 11. Compliance

20 Le principali soluzioni IBM Conformita’ alla norma HIPAA
L’HIPAA definisce le regole e le linee guida che un Organismo sanitario pubblico o privato deve adottare per la protezione dei PHI (Protected Health Information: qualsiasi informazione individuale relativa allo stato di salute, condizione, trattamento, che rivelino l’identità dell’individuo o rappresentino una base importante per risalire all’identità dello stesso ) Obiettivi Security Guidelines Regole generali Assicurare la Confidenzialità, l’Integrità e la Disponibilità dei dati sanitari A Includere tutti gli aspetti della Security B Implementazione customizzata in relazione alla dimensione e complessità dell’organizzazione C Soluzioni non imposte ma adattabili ai progressi tecnologici D Sicurezza amministrativa Sicurezza fisica Sicurezza Tecnologica Requisiti organizzativi Politiche, procedure, documenti

21 Le principali soluzioni IBM Conformita’ alla norma HIPAA: l’offerta di consulenza di IBM
L’approccio IBM consente l’integrazione degli adempimenti previsti dalle Leggi nazionali e internazionali sulla Privacy con l’HIPAA

22 Istituto Clinico in Lombardia
Case history Istituto Clinico in Lombardia Obiettivi Conformita’ alla legge 196/03 per le Cliniche del Gruppo . Soluzione Servizi di consulenza, alla Holding e alle Cliniche del Gruppo, per: Adempimenti formali (notifica, nomine, etc) Inventario banche dati Analisi dei rischi DPS Formazione Proposte di progetti di miglioramento del livello di sìcurezza

23 Case history Proposta per la conformita’ dei pc che si connettono alla rete alle policy di sicurezza dell’istituto clinico + Tivoli Security Compliance Manager permette di Controllare sistemi ed applicazioni per evidenziare possibili vulnerabilità (qualità della password) Verificare la presenza di patch di sicurezza e livelli di software appropriati Integrato con Cisco Trust Agent, Cisco ACS, Tivoli Configuration Manager per effettuare la remediation dei pc. Cisco Self-Defending Network Identifies, prevents and adapts to threats Limits damage from viruses and worms Delivers new system-level threat defense & identity management capabilities

24 Agenda IBM Data Governance Council

25 IBM Data Governance Council
Il 30 Giugno 2005 l’IBM ha costituito il “Data Governance Council” A questo Council partecipano altri software partners e gruppi di utenti (principalmente dal mondo bancario e governativo) ad oggi circa 40 Il Council ha un approccio datacentrico, focalizzato sull’interazione tra dati e processi di business Dal punto di vista del business l’ottica è quello di ottimizzare i processi, con gli aspetti di sicurezza, privacy e compliance Dal punto di vista tecnico lo scopo è quello di legare il data modelling, le definizioni dei metadati e le attività per la gestione del ciclo di vita degli stessi Il Council ha lo scopo di produrre soluzioni che risolvano i problemi evidenziati, mediante l’utilizzo degli strumenti disponibli.

26 La necessità di un approcio datacentrico L’esperienza della Data Governance di IBM
Il modello di sicurezza dei dati L’esperienza quotidiana mostra come sia difficile per la direzione aziendale comprendere i modelli di sicurezza: La terminologia relativa alla sicurezza non è di uso comune (es. non-repudiation, message digest, provisioning) Le funzioni di sicurezza non sono spesso ben comprese e confuse dai non esperti (eg, authentication vs authorization vs access control) Il management percepisce i modelli di sicurezza come complessi E’ necessario che i modelli di sicurezza diventino meno tecnici e più orientati ai processi di business, quindi comprensibili dal management.

27 Un modello di sicurezza centrato sul controllo dei dati
I modelli di sicurezza esistenti, basati sulla tecnologia devono essere ripensati un’ottica Datacentrica La protezione dei dati e il controllo del loro uso diventa indispensabile per la compliance con le varie normative (SOX, HIPAA, Legge Privacy, etc.) e per avere processi efficienti

28 Data-Centric Security Model
Hardened OS Corporate & Regulatory Guidelines Physical Type Intrusion Prevention Data Classification Firewalls Strategy Usage Owner Integrity VPNs LOBs Regulatory Sales Legal DATA Risk Anti-virus Security Zones Product Design Marketing Protection Human Resources Standards Policy Origin Network Authentication Confidentiality Application Layer & Perimeter Security Infrastructure Data Owner & Custodian Retention Authentication Authorization

29 Grazie per l’attenzione

30 Le principali soluzioni IBM Certificazione del sistema di gestione della sicurezza vs BS ISO/IEC Definizione delle Politiche Definizione dell’Ambito Inventario Asset Classificazione Asset Risk Assessment Risk Management Selezione Controlli Allineamento e integrazione col Sistema Qualità SOA Redazione documentazione ISMS AI, Fase 2 Gruppo di Audit Esperti tecnici ( ev .) Fase 1 Riesame della documentazione Mantenimento (chiusura NC) Risk treatment Plan Organizzazione di Sicurezza Procedure Business Continuity Plan Implementazione tecnologica

Scaricare ppt "Agenda Legge 196/03 e misure di sicurezza"

Presentazioni simili

Certificazioni Infrastrutture IT di Telecom Italia

Certificazioni Infrastrutture IT di Telecom Italia
INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library

INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.

Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:

Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.

Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
1 I SOGGETTI TITOLARE AZ. SAN. RESPONSABILI INCARICATI DIPENDENTI DIRIGENTI SANITARI.

1 I SOGGETTI TITOLARE AZ. SAN. RESPONSABILI INCARICATI DIPENDENTI DIRIGENTI SANITARI.
CORSO PRIVACY PARTE GENERALE

CORSO PRIVACY PARTE GENERALE
IL PROCESSO DI REVISIONE AZIENDALE

IL PROCESSO DI REVISIONE AZIENDALE
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.

Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
LA NORMATIVA DI RIFERIMENTO

LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.

1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
1 Lo Sportello Unico e la comunicazione Arezzo, 27 gennaio 2005.

1 Lo Sportello Unico e la comunicazione Arezzo, 27 gennaio 2005.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.

Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.

Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali

La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.

Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.

Presentazioni simili

Annunci Google