Aggiornamento del 29 Settembre 2011

Slides:



Advertisements
Presentazioni simili
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Advertisements

Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Giuditta Cantoni, 4 E S.I.A I DATABASE. Definizione databese In informatica, il termine database, banca dati o base di dati (a volte abbreviato con il.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
Piano del miglioramento del Centro Immigrati Area Politiche di Sostegno Giovani e Sport U.O. Politiche per l’Immigrazione.
Il contratto di lavoro part-time
Informatica e processi aziendali
Settimane estive AGOSTO - SETTEMBRE 2017 con BarchettaBlu
Il contratto di lavoro intermittente
Piccoli chef centri invernali con BarchettaBlu
PRIVACY DAY Forum 2016 Denis Pizzol.
SOMMINISTRAZIONE.
Metodi Matematici per le Applicazioni Industriali
Social Media Governance
dCache Test effettuati al CNAF
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
CARATTERISTICHE DI UN DATACENTER
Lavoro occasionale Fonti: Articolo 54 bis del decreto legge 24 aprile 2017 n.50 , convertito in legge 21 giugno 2017 , n.96. Circolare INPS n 107 del 5/07/2017.
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
CRITTOGRAFIA Per crittografia si intende la protezione delle informazioni mediante l'utilizzo di codici e cifre. La crittografia è un componente fondamentale.
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Raccolta ed Analisi dei Requisiti nella Progettazione
Condividere dati di Excel tramite l'esportazione in un sito di SharePoint
Sicurezza informatica
Realizzato e gestito internamente da studenti e docenti dell'Istituto, il sito web è uno strumento fondamentale per la comunicazione tra i.
INFN-AAI Autenticazione e Autorizzazione
verifica di abilitazione all’attività di responsabile tecnico
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
IL LAVORO AGILE Aggiornato alla L. n. 81 del 22 maggio 2017 e alla Direttiva del Presidente del Consiglio dei Ministri 1 giugno 2017, n. 3 Per informazioni.
Aggiornato alla L. n. 81 del 22 maggio 2017
Recupero polizze assicurative
DIREZIONE REGIONALE VENETO Ufficio Attività Istituzionali
Esperienze e dubbi interpretativi sulle Misure Minime di Sicurezza
A cura del Dr. Roberto FALCO Ha collaborato Giorgio PAOLUCCI
L’esperienza del Comune di Cassano d’Adda
Il test di lingua italiana: il procedimento e i soggetti coinvolti
Predisposizione e presentazione della domanda di nullaosta
PREVENZIONE E SICUREZZA DEGLI AMBIENTI DI LAVORO
BRIVIDI E MISTERI io sottoscritto ……………………………….………………………………………………………
NUOVO RUOLO DEL R.S.P.P PER LA GESTIONE DELLA SICUREZZA SUL LAVORO

REGOLAMENTO PER L’ACCESSO, L’UTILIZZO E LA PROTEZIONE DELLE RISORSE INFORMATICHE Centro Servizi Informatici Università degli Studi di Bari Aldo Moro.
FORMAZIONE LAVORATORI CON HANDICAP INTELLETTIVO E PSICHICO
Il test di lingua italiana: il procedimento e i soggetti coinvolti
colore 2018 carnevale di barchettablu
Posta Elettronica Certificata
REGOLAMENTO PER LA SICUREZZA DEI SERVIZI ICT DELL’UNIVERSITA’ DEGLI STUDI DI BARI ALDO MORO Centro Servizi Informatici Università degli Studi di Bari.
I NUOVI SERVIZI-PRIVACY DI CONFINDUSTRIA VERONA
Mille modi per immettere i periodici elettronici in ACNP
PROGRAMMAZIONE ATTIVITA’ DICEMBRE 2013 – LUGLIO 2015 INVITI 2 – 3/2013
I principali compiti del datore di lavoro
Il test di lingua italiana: il procedimento e i soggetti coinvolti
Commercialisti & Revisori
Decreto legislativo 30 giugno 2003, n. 196
REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO DELL’UNIVERSITA’ DI BARI Centro Servizi Informatici Università degli.
IL DIRITTO ALLA PRIVACY
Il giornalista del futuro
DELIBERAZIONE DELLA GIUNTA REGIONALE 26 febbraio 2007, n. 178
INFN-AAI Autenticazione e Autorizzazione
Il Piano Didattico Personalizzato
Predisposizione e presentazione della domanda di nullaosta
IT SECURITY Controllo di accesso
Lavorare con Excel - Corso Base
Aspetti normativi del D.Lvo n. 196 del 2003
Unico 2009 – Esempi per la crisi
D.L. 25 giugno 2008 n. 112 convertito, con modificazioni,
Il protocollo informatico e il Manuale di Gestione
Corso formatori Forma.Temp Roma, 9 Aprile 2019
TEMPI? Dalle 08:00 del 16 gennaio alle 20:00 del 06 febbraio 2017;
CLOUD.
Transcript della presentazione:

Aggiornamento del 29 Settembre 2011 APPLICAZIONE DELLE DISPOSIZIONI DEL GARANTE PER LA PRIVACY SULLE CREDENZIALI DI ACCESSO AI SISTEMI ED AGLI APPLICATIVI WEB Aggiornamento del 29 Settembre 2011

DISPOSIZIONI DEL GARANTE TRATTATE Individuazione requisiti minimi di complessità per le password Individuazione criteri di conservazione delle password Disattivazione credenziali di autenticazione non utilizzate Individuazione procedure di disattivazione Istruzioni in ipotesi di assenza temporanea o permanente del lavoratore dal pc

Individuazione requisiti minimi di complessità per le password - Disposizioni del Garante Secondo quanto previsto dalla vigente normativa privacy (vedasi il Disciplinare tecnico in materia di misure di sicurezza, Allegato B al Decreto Legislativo n. 196/2003), ciascuna password deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; la password non deve contenere riferimenti agevolmente riconducibili all'incaricato (pertanto non si devono utilizzare nome e cognome o date particolari) e deve essere modificata con cadenza almeno semestrale (a titolo meramente esemplificativo e non esaustivo: dati amministrazione, dati commerciali) o trimestrale (a titolo meramente esemplificativo e non esaustivo: dati del personale dipendente, dati di utenti strutture sanitarie).

Individuazione requisiti minimi di complessità per le password CAF CNA per Software WEB Livello di Autorizzazione Il CAF Nazionale ha già adottato un sistema in grado di rispondere ai requisiti imposti dal Garante, sia in termini di complessità che in termini di durata. Ciascuna password ha una complessità calcolata sugli 8 caratteri di cui 6 determinati dal singolo utente e 2 assegnati in automatico dal sistema. La durata è stabilita, così come da disposizioni del Garante, nell’ordine dei 3 mesi. La possibilità di attivazione e di eventuale disattivazione degli utenti è in capo alla figura del Responsabile del trattamento delle sedi provinciali o all’Amministratore di sistema.

Sistemi Locali – Definizioni Generali Livello di Autenticazione I livelli di definizione delle password sono strutturati su 2 macrocategorie Nelle prime slide abbiamo considerato il livello di autorizzazione (Applicativo 730Web) nelle successive si riportano, a pura esemplificazione didattica, alcune regole generali valide per sistemi basati su architettura Microsoft, sia in configurazione di Dominio che in configurazione di Gruppo di Lavoro, identificabile come Livello di Autenticazione.

Computer in dominio Se la rete aziendale è basata su un dominio, è possibile utilizzare le Group Policy di dominio, presenti da Windows 2000 Server in poi. Le Group Policy sono applicate a tutti gli utenti e i computer che fanno parte del dominio e permettono di definire: Criteri per le password utente Lunghezza minima della password Scadenza della password Tempo minimo prima di poter cambiare la password Numero di password che vengono registrate (e che non è possibile utilizzare quando si cambia la password) Criteri di alta complessità (lettere-numero, maiuscole, caratteri non alfanumerici) Non viene fatto nessun controllo sul fatto che gli utenti non usino nome, cognome o date riconducibili all’utente Policy di sicurezza, es: blocco delle password in caso di tentativo di accesso falliti

Computer in Workgroup Se la rete aziendale non è basata su un dominio ma è un semplice workgroup è possibile definire le stesse Policy, solo che vanno configurate manualmente su ogni computer Le configurazioni che si possono utilizzare sono le stesse Aumentano i costi amministrativi: bisogna applicare le Policy manualmente su ogni PC

Individuazione criteri di conservazione delle password – regole generali una volta individuata/e la/e password, la/e stessa/e dovrà/anno essere conservata/e al fine di: 6a) evitare accessi ai contenuti del pc da parte di lavoratori non autorizzati al trattamento di dati o informazioni di competenza del titolare della password; 6b) evitare accessi ai contenuti del pc da parte di soggetti terzi estranei alla struttura. L'azienda potrà individuare dei criteri di conservazione direttamente nella policy interna, specificando le modalità mediante le quali potranno essere ridotti i rischi di conoscibilità delle password (a titolo meramente esemplificativo e non esaustivo: non scrivere le password su post-it affissi al pc non comunicare la password via telefono o via mail in caso di mancanza di assoluta certezza circa l'identità della controparte

Applicazione in Dominio e in Workgroup Se i computer fanno parte di un dominio è possibile: Impedire l’accesso ai computer della rete se non a utenti autorizzati tramite credenziali di accesso (username/password) Gestire l’autorizzazione alle risorse (File, Cartelle, Stampanti, Cartelle condivise) usando le credenziali di accesso Se i computer non fanno parte di un dominio è possibile gestire l’accesso (gli utenti) localmente

Disattivazione credenziali di autenticazione non utilizzate e procedure di disattivazione Regole generali per i livelli di Autenticazione 7) Disattivazione credenziali di autenticazione non utilizzate: come per il precedente punto, tale operazione è obbligatoria ai sensi di legge. Difatti, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica, le credenziali di autenticazione non utilizzate da almeno sei mesi devono essere disattivate. 8) Individuazione procedure di disattivazione: il datore di lavoro dovrà preventivamente individuare delle procedure di disattivazione delle credenziali di autenticazione, qualora un lavoratore venga allocato in altra area o concluda il rapporto lavorativo. Difatti, oltre ad essere obbligatorio per legge, appare un importante misura di salvaguardia delle informazioni aziendali, avere una procedura di disattivazione che consenta pressoché nell'immediatezza dell'evento, di negare l'accesso dell'ex lavoratore ai dati ed alle informazioni disponibili sino a quel momento per lo svolgimento delle attività.

Istruzioni in ipotesi di assenza temporanea o permanente del lavoratore dal pc La policy aziendale prevede espressamente le istruzioni affinché non sia lasciato incustodito o accessibile il contenuto del pc su cui il lavoratore opera; a tal fine le politiche relative alla gestione dello screen saver,consentiranno di evitare rischi di accessi da parte di personale interno non autorizzato, o soggetti esterni, ai dati ed alle informazioni gestite.

Applicazione in Dominio e in Workgroup Se la rete aziendale è basata su un dominio, è possibile utilizzare le Group Policy di dominio, presenti da Windows 2000 Server in poi. Le Group Policy sono applicate a tutti gli utenti e i computer che fanno parte del dominio e permettono di definire: L’utilizzo di Screen Saver protetto da Password Il tempo attivazione dello Screen Saver (dopo un certo numero di minuti di inutilizzo del computer) Se la rete aziendale non è basata su un dominio ma è un semplice workgroup è possibile definire le stesse Policy, solo che vanno configurate manualmente su ogni computer