La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

The new value builder 19/02/2004 Elisabetta Codarin – Security Consultant Risk Analysis and Management Area – CryptoNet S.p.A.

Presentazioni simili


Presentazione sul tema: "The new value builder 19/02/2004 Elisabetta Codarin – Security Consultant Risk Analysis and Management Area – CryptoNet S.p.A."— Transcript della presentazione:

1 the new value builder 19/02/2004 Elisabetta Codarin – Security Consultant Risk Analysis and Management Area – CryptoNet S.p.A. Misure minime di sicurezza: adempimenti tecnici e organizzativi

2 the new value builder 19/02/2004 Le misure minime Il disciplinare tecnico I tempi per ladeguamento

3 the new value builder 19/02/2004 Necessità di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante ladozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta (cfr. art. 31) Nel quadro dei più generali obblighi di sicurezza di cui allart. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dellarticolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. (cfr. art. 33) MISURE DI SICUREZZA Responsabilità civileResponsabilità penale

4 the new value builder 19/02/2004 a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Misure Minime di Sicurezza (1) Misure Minime di Sicurezza (1) Trattamenti con strumenti elettronici (Art. 34)

5 the new value builder 19/02/2004 Misure Minime di Sicurezza (2) Misure Minime di Sicurezza (2) Trattamenti senza strumenti elettronici (Art. 35) a)Aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati o alle unità organizzative b)Previsione di procedure per unidonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti c)Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e discipilina delle modalità di accesso finalizzata allidentificazione degli incaricati Istituzionalizzazione dellobbligo di formalizzare le procedure interne anche per i trattamenti manuali

6 the new value builder 19/02/2004 Le misure minime Il disciplinare tecnico I tempi per ladeguamento

7 the new value builder 19/02/2004 Sistema di autenticazione informatica: metodi per lautenticazione Token (+ user name / password) Caratteristica biometrica (+ user name / password) User name + password

8 the new value builder 19/02/2004 Sistema di autenticazione informatica: la gestione degli account e dei token univoco non riutilizzabile disattivabile procedure di gestione conservazione diligente procedure di gestione ACCOUNT TOKEN

9 the new value builder 19/02/2004 Sistema di autenticazione informatica: la gestione delle password/1 la gestione delle password/1 minimo 8 caratteri (o il massimo consentito se inferiore) non deve contenere riferimenti allutente modificabile dallutente al primo utilizzo obbligo di modifica almeno ogni 6 mesi (3 mesi se a protezione di dati sensibili) custodia diligente e mantenimento della segretezza

10 the new value builder 19/02/2004 Sistema di autenticazione informatica: la gestione delle password/2 maggior frequenza nella sostituzione non riusabilità lunghezza maggiore prevedere lutilizzo di lettere, numeri, caratteri alfanumerici discriminare tra maiuscole e minuscole non utilizzare vocaboli presenti nei dizionari non utilizzare sequenze ovvie sulla tastiera (es. qwerty, ) utilizzare passphrase (es. TUP:DIL2M = testo unico privacy: dobbiamo implementare le misure minime) stabilire un limite ai tentativi di accesso procedure di gestione sia per gli utenti che per gli amministratori

11 the new value builder 19/02/2004 Sistema di autorizzazione Garantire laccesso ad applicazioni e/o dati in base alle caratteristiche dellutente Profili di autorizzazione per singolo utente Profili di autorizzazione per gruppi di utenti

12 the new value builder 19/02/2004 Sistema di autorizzazione: due approcci Gestione decentralizzata: Gestione decentralizzata: crea autorizzazioni per ogni singola piattaforma sfrutta le funzionalità delle piattaforme per definire i privilegi non richiede introduzione di altro software difficoltà di gestione (molti elenchi di privilegi, rischio di creare conflitti di privilegi) Gestione centralizzata: un unico elenco di privilegi valido per tutte le piattaforme richiede lintroduzione di nuovo software tre modalità di implementazione: directory LDAP, single sign-on, provisioning

13 the new value builder 19/02/2004 User-id Password Sistema di autorizzazione: gestione centralizzata/ directory LDAP Postazione utente Directory LDAP Contabilità clienti Paghe ******** Elisa: Paghe NO C. Clienti SI Elisa: Paghe NO C. Clienti SI Accesso negato Accesso concesso ELISA User-id Password ELISA ********

14 the new value builder 19/02/2004 Sistema di autorizzazione: gestione centralizzata/single sign-on Postazione utente Autenticazione a SSO User-id Password SSO Server ELISA ******** Elisa: Paghe NO C. Clienti SI C. Fornitori SI Banche SI Elisa: Paghe NO C. Clienti SI C. Fornitori SI Banche SI Paghe Contabilità clienti X Contabilità fornitori Banche

15 the new value builder 19/02/2004 Sistema di autorizzazione: gestione centralizzata/provisioning Elisa: Div. Contabilità Elisa: Div. Contabilità Div. Contabilità: Paghe NO Cont. Clienti SI t. Fornitori SI Div. Contabilità: Paghe NO Cont. Clienti SI t. Fornitori SI Paghe Contabilità clienti Server provisioning X Postazione utente User-id Password User-id Password ELISA ********

16 the new value builder 19/02/2004 Altre misure di sicurezza: verifica dellelenco dei manutentori Necessità di verificare almeno annualmente lelenco degli incaricati alla gestione e alla manutenzione dei sistemi informativi

17 the new value builder 19/02/2004 Altre misure di sicurezza: protezione da intrusioni Protezione da intrusione e da sw dannoso ANTIVIRUS FIREWALL IDS Aggiornamento almeno semestrale

18 the new value builder 19/02/2004 Altre misure di sicurezza: aggiornamenti Aggiornamento periodico di programmi e sistemi operativi SEMESTRALE per dati sensibili o giudiziari ANNUALE per gli altri dati

19 the new value builder 19/02/2004 Altre misure di sicurezza: back-up e disaster recovery Back-up almeno settimanale istruzioni organizzative istruzioni tecniche coordinato ad un piano di disaster recovery Disaster recovery obbligatorio per dati sensibili e giudiziari, utile per tutti ripristino dei dati entro 7 gg può essere integrato da un piano di business continuity

20 the new value builder 19/02/2004 Documento programmatico sulla sicurezza Obbligatorio per chi tratta dati sensibili o giudiziari. Da redigere ed aggiornare entro il 31 marzo di ogni anno. Elenco dei trattamenti di dati personali Distribuzione dei compiti e delle responsabilità Analisi dei rischi che incombono sui dati Misure per garantire integrità, disponibilità dei dati, protezione delle aree, dei locali Criteri e modalità per il ripristino della disponibilità dei dati Previsione di interventi formativi Criteri per misure minime in caso di trattamenti di dati affidati allesterno Criteri per la cifratura/separazione dei dati sensibili dagli altri

21 the new value builder 19/02/2004 Ulteriori misure per iltrattamento di dati sensibili o giudiziari: uso di supporti rimovibili Uso dei supporti rimovibili Istruzioni per uso e custodia Istruzioni per il riutilizzo / la distruzione

22 the new value builder 19/02/2004 Ulteriori misure per il trattamento di dati sensibili o giudiziari: norme per i dati sanitari i dati sanitari sono trattati in modo da poter essere separati dagli altri dati dellinteressato i dati relativi allidentità genetica sono trattati in appositi locali, da addetti autorizzati i dati relativi allidentità genetica se trasferiti in formato cartaceo sono posti in contenitori dotati di serratura, se in formato elettronico sono cifrati

23 the new value builder 19/02/2004 Misure di tutela e garanzia Dichiarazione di conformità alle disposizioni del TUP per gli installatori di dispositivi che soddisfano le misure minime system integrator software house

24 the new value builder 19/02/2004 Le misure minime Il disciplinare tecnico I tempi per ladeguamento

25 the new value builder 19/02/2004 I tempi per ladeguamento 31 marzo: redazione del DPS 30 giugno 2004: introduzione delle nuove misure minime 1 gennaio 2005: adeguamento mezzi e nuove misure minime per chi richiederà la propoga entro il 30 giugno 2004

26 the new value builder 19/02/2004 Grazie!


Scaricare ppt "The new value builder 19/02/2004 Elisabetta Codarin – Security Consultant Risk Analysis and Management Area – CryptoNet S.p.A."

Presentazioni simili


Annunci Google