La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

“Misure minime di sicurezza: adempimenti tecnici e organizzativi”

PubblicatoBice Del prete Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "“Misure minime di sicurezza: adempimenti tecnici e organizzativi”"— Transcript della presentazione:

1 “Misure minime di sicurezza: adempimenti tecnici e organizzativi”
Elisabetta Codarin – Security Consultant Risk Analysis and Management Area – CryptoNet S.p.A. 19/02/2004

2 Il disciplinare tecnico I tempi per l’adeguamento
Le misure minime Il disciplinare tecnico I tempi per l’adeguamento 19/02/2004

3 Responsabilità civile
Necessità di sicurezza MISURE DI SICUREZZA “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta” (cfr. art. 31) “Nel quadro dei più generali obblighi di sicurezza di cui all’art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.” (cfr. art. 33) Responsabilità civile Responsabilità penale 19/02/2004

4 Misure Minime di Sicurezza (1) Trattamenti con strumenti elettronici (Art. 34)
autenticazione informatica; adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; tenuta di un aggiornato documento programmatico sulla sicurezza; adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 19/02/2004

5 Misure Minime di Sicurezza (2) Trattamenti senza strumenti elettronici (Art. 35)
Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e discipilina delle modalità di accesso finalizzata all’identificazione degli incaricati Istituzionalizzazione dell’obbligo di formalizzare le procedure interne anche per i trattamenti manuali 19/02/2004

6 Il disciplinare tecnico I tempi per l’adeguamento
Le misure minime Il disciplinare tecnico I tempi per l’adeguamento 19/02/2004

7 Sistema di autenticazione informatica: metodi per l’autenticazione
User name + password Caratteristica biometrica (+ user name / password) Token (+ user name / password) 19/02/2004

8 Sistema di autenticazione informatica:
la gestione degli account e dei token univoco non riutilizzabile disattivabile procedure di gestione conservazione diligente ACCOUNT TOKEN 19/02/2004

9 Sistema di autenticazione informatica: la gestione delle password/1
minimo 8 caratteri (o il massimo consentito se inferiore) non deve contenere riferimenti all’utente modificabile dall’utente al primo utilizzo obbligo di modifica almeno ogni 6 mesi (3 mesi se a protezione di dati sensibili) custodia diligente e mantenimento della segretezza 19/02/2004

10 Sistema di autenticazione informatica: la gestione delle password/2
maggior frequenza nella sostituzione non riusabilità lunghezza maggiore prevedere l’utilizzo di lettere, numeri, caratteri alfanumerici discriminare tra maiuscole e minuscole non utilizzare vocaboli presenti nei dizionari non utilizzare sequenze ovvie sulla tastiera (es. qwerty, ) utilizzare passphrase (es. TUP:DIL2M = “testo unico privacy: dobbiamo implementare le misure minime”) stabilire un limite ai tentativi di accesso procedure di gestione sia per gli utenti che per gli amministratori 19/02/2004

11 Sistema di autorizzazione
Garantire l’accesso ad applicazioni e/o dati in base alle caratteristiche dell’utente Profili di autorizzazione per singolo utente Profili di autorizzazione per gruppi di utenti 19/02/2004

12 Sistema di autorizzazione: due approcci
Gestione decentralizzata: crea autorizzazioni per ogni singola piattaforma sfrutta le funzionalità delle piattaforme per definire i privilegi non richiede introduzione di altro software difficoltà di gestione (molti elenchi di privilegi, rischio di creare conflitti di privilegi) Gestione centralizzata: un unico elenco di privilegi valido per tutte le piattaforme richiede l’introduzione di nuovo software tre modalità di implementazione: directory LDAP, single sign-on, provisioning 19/02/2004

13 Sistema di autorizzazione: gestione centralizzata/ directory LDAP
Elisa: Paghe NO C. Clienti SI User-id Password ELISA Directory LDAP ******** Contabilità clienti User-id Password ELISA Accesso concesso ******** Postazione utente Paghe Accesso negato 19/02/2004

14 X Sistema di autorizzazione: gestione centralizzata/single sign-on
Elisa: Paghe NO C. Clienti SI C. Fornitori SI Banche SI Autenticazione a SSO User-id Password ELISA ******** SSO Server X Contabilità fornitori Postazione utente Paghe Banche Contabilità clienti 19/02/2004

15 X Sistema di autorizzazione: gestione centralizzata/provisioning
Elisa: Div. Contabilità Div. Contabilità: Paghe NO Cont. Clienti SI t. Fornitori SI Server provisioning User-id Password ELISA ******** X Paghe Postazione utente User-id Password ELISA ******** Contabilità clienti 19/02/2004

16 Altre misure di sicurezza: verifica dell’elenco dei manutentori
Necessità di verificare almeno annualmente l’elenco degli incaricati alla gestione e alla manutenzione dei sistemi informativi 19/02/2004

17 Altre misure di sicurezza: protezione da intrusioni
Protezione da intrusione e da sw dannoso ANTIVIRUS FIREWALL IDS Aggiornamento almeno semestrale 19/02/2004

18 Aggiornamento periodico di programmi e sistemi operativi
Altre misure di sicurezza: aggiornamenti Aggiornamento periodico di programmi e sistemi operativi SEMESTRALE per dati sensibili o giudiziari ANNUALE per gli altri dati 19/02/2004

19 Altre misure di sicurezza: back-up e disaster recovery
almeno settimanale istruzioni organizzative istruzioni tecniche coordinato ad un piano di disaster recovery Disaster recovery obbligatorio per dati sensibili e giudiziari, utile per tutti ripristino dei dati entro 7 gg può essere integrato da un piano di business continuity 19/02/2004

20 Documento programmatico sulla sicurezza
Obbligatorio per chi tratta dati sensibili o giudiziari. Da redigere ed aggiornare entro il 31 marzo di ogni anno. Elenco dei trattamenti di dati personali Distribuzione dei compiti e delle responsabilità Analisi dei rischi che incombono sui dati Misure per garantire integrità, disponibilità dei dati, protezione delle aree, dei locali Criteri e modalità per il ripristino della disponibilità dei dati Previsione di interventi formativi Criteri per misure minime in caso di trattamenti di dati affidati all’esterno Criteri per la cifratura/separazione dei dati sensibili dagli altri 19/02/2004

21 Ulteriori misure per iltrattamento di dati sensibili o giudiziari:
uso di supporti rimovibili Uso dei supporti rimovibili Istruzioni per uso e custodia Istruzioni per il riutilizzo / la distruzione 19/02/2004

22 Ulteriori misure per il trattamento di dati sensibili o giudiziari:
norme per i dati sanitari i dati sanitari sono trattati in modo da poter essere separati dagli altri dati dell’interessato i dati relativi all’identità genetica sono trattati in appositi locali, da addetti autorizzati i dati relativi all’identità genetica se trasferiti in formato cartaceo sono posti in contenitori dotati di serratura, se in formato elettronico sono cifrati 19/02/2004

23 Misure di tutela e garanzia
Dichiarazione di conformità alle disposizioni del TUP per gli installatori di dispositivi che soddisfano le misure minime system integrator software house 19/02/2004

24 Il disciplinare tecnico I tempi per l’adeguamento
Le misure minime Il disciplinare tecnico I tempi per l’adeguamento 19/02/2004

25 I tempi per l’adeguamento
31 marzo: redazione del DPS 30 giugno 2004: introduzione delle nuove misure minime 1 gennaio 2005: adeguamento mezzi e nuove misure minime per chi richiederà la propoga entro il 30 giugno 2004 19/02/2004

26 Grazie! 19/02/2004

Scaricare ppt "“Misure minime di sicurezza: adempimenti tecnici e organizzativi”"

Presentazioni simili

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Struttura del codice sulla privacy:

Struttura del codice sulla privacy:
Effetti della 196/2003 sui sistemi informativi. Decreto legislativo del 30 giugno 2003 n.196 Chiunque tratta dati personali è tenuto a rispettare gli.

Effetti della 196/2003 sui sistemi informativi. Decreto legislativo del 30 giugno 2003 n.196 Chiunque tratta dati personali è tenuto a rispettare gli.
IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003.

IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003.
Aspetti Tecnici e Requisiti IT

Aspetti Tecnici e Requisiti IT
CORSO PRIVACY PARTE GENERALE

CORSO PRIVACY PARTE GENERALE
Decreto legislativo 196/2003 ed il MEDICO DEL LAVORO Adempimenti correlati al Decreto Legislativo 196/2003 nella nostra attività professionale quotidiana.

Decreto legislativo 196/2003 ed il MEDICO DEL LAVORO Adempimenti correlati al Decreto Legislativo 196/2003 nella nostra attività professionale quotidiana.
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.

Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
LA NORMATIVA DI RIFERIMENTO

LA NORMATIVA DI RIFERIMENTO
PRIVACY E SICUREZZA Normativa e adempimenti

PRIVACY E SICUREZZA Normativa e adempimenti
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.

1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.

Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.

Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali

La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.

Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.

Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Il nuovo Codice sulla Privacy nella scuola

Il nuovo Codice sulla Privacy nella scuola
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.

Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.

Presentazioni simili

Annunci Google