Esperienze e dubbi interpretativi sulle Misure Minime di Sicurezza

Slides:



Advertisements
Presentazioni simili
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
Riproduzione riservata
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
La sicurezza delle reti informatiche : la legge sulla Privacy
© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza.
Aspetti tecnici ed organizzativi per la corretta gestione dei sistemi informatici aziendali Dr. Riccardo Làrese Gortigo.
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
PROCESSO TELEMATICO.
Il contratto di lavoro intermittente
Aggiornamento del 29 Settembre 2011
GUIDA ON LINE Claudio Caso.
PRIVACY DAY Forum 2016 Denis Pizzol.
Vulnerability Assessment
ORGANIZZAZIONE DELLA ATTIVITA’ PROFESSIONALE E PRIVACY
Security & Privacy Integrità Riservatezza Disponibilità La Normativa
T I A P Trattamento Informatizzato Atti Processuali
CARATTERISTICHE DI UN DATACENTER
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
CRITTOGRAFIA Per crittografia si intende la protezione delle informazioni mediante l'utilizzo di codici e cifre. La crittografia è un componente fondamentale.
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Le strutture sanitarie devono fornire ai propri pazienti, prima della raccolta dei loro dati personali, un’informativa in cui siano indicate in modo analitico.
Sicurezza informatica
Incontro: Il Codice in materia di protezione dei Dati Personali
L’analisi del profilo di rischio antiriciclaggio
IL LAVORO AGILE Aggiornato alla L. n. 81 del 22 maggio 2017 e alla Direttiva del Presidente del Consiglio dei Ministri 1 giugno 2017, n. 3 Per informazioni.
Iscrizioni OnLine Einschreibungen
IL NUOVO SPAZIO WEB DELLA PROVINCIA CON DATI E INFORMAZIONI SULL’ORGANIZZAZIONE E IL PERSONALE DELLA PROVINCIA I dati sul personale sono stati estratti.
REGISTRO 2.0.
Il nuovo Regolamento Generale UE 2016/679
ISTITUTO NAZIONALE DI FISICA NUCLEARE Sezione di Napoli
IL DISASTER RECOVERY Ing. Massimiliano Zuffi
I controlli di condizionalità – identificazione e registrazione
Il test di lingua italiana: il procedimento e i soggetti coinvolti
Il protocollo elettronico (e altri servizi informatici)
Predisposizione e presentazione della domanda di nullaosta
Dr. Riccardo Làrese Gortigo
PREVENZIONE E SICUREZZA DEGLI AMBIENTI DI LAVORO
ASSOCIAZIONE DEGLI INDUSTRIALI DELLA PROVINCIA DI VERONA Verona, 17 Ottobre 2005 LA SICUREZZA DEL TRATTAMENTO DEI DATI E L’ IMPLEMENTAZIONE NELLE AZIENDE.
REGOLAMENTO PER L’ACCESSO, L’UTILIZZO E LA PROTEZIONE DELLE RISORSE INFORMATICHE Centro Servizi Informatici Università degli Studi di Bari Aldo Moro.
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
Il test di lingua italiana: il procedimento e i soggetti coinvolti
Posta Elettronica Certificata
REGOLAMENTO PER LA SICUREZZA DEI SERVIZI ICT DELL’UNIVERSITA’ DEGLI STUDI DI BARI ALDO MORO Centro Servizi Informatici Università degli Studi di Bari.
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
I NUOVI SERVIZI-PRIVACY DI CONFINDUSTRIA VERONA
I principali compiti del datore di lavoro
Il test di lingua italiana: il procedimento e i soggetti coinvolti
Decreto legislativo 30 giugno 2003, n. 196
REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO DELL’UNIVERSITA’ DI BARI Centro Servizi Informatici Università degli.
IL DIRITTO ALLA PRIVACY
DELIBERAZIONE DELLA GIUNTA REGIONALE 26 febbraio 2007, n. 178
Predisposizione e presentazione della domanda di nullaosta
IT SECURITY Controllo di accesso
Aspetti normativi del D.Lvo n. 196 del 2003
LE PROCEDURE DI EMERGENZA
La semplificazione nella gestione delle misure di sicurezza
CRITERI DI SCELTA E FINANZIAMENTO DEI PROGETTI DI ALTERNANZA SCUOLA-LAVORO Tutti i progetti prescelti devono rispondere alle caratteristiche di cui all’Art.
Il protocollo informatico e il Manuale di Gestione
Trasformazione digitale
Art. 12. Diritto all'educazione e all'istruzione 1. Al bambino da 0 a 3 anni handicappato é garantito l'inserimento negli asili nido. 2. É garantito il.
La FORMAZIONE nel contratto di assunzione dei Custodi Forestali
CLOUD.
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

Esperienze e dubbi interpretativi sulle Misure Minime di Sicurezza Dr. Riccardo Larese Gortigo Consulente Sistemi Informativi ed Organizzazione Aziendale r.larese@assind.vi.it – Cell. 348 3235194 © R. Larese Gortigo – 2007-2008

Le misure di sicurezza © R. Larese Gortigo – 2007-2008

Obblighi di sicurezza Art. 31 del Testo Unico: I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. © R. Larese Gortigo – 2007-2008

Misure Minime di Sicurezza Art. 33 del Testo Unico: Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. L’adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti di dati personali. © R. Larese Gortigo – 2007-2008

Il Documento Programmatico sulla Sicurezza © R. Larese Gortigo – 2007-2008

Il Documento Programmatico E’ obbligatorio in caso di trattamento di dati sensibili o giudiziari mediante strumenti informatici Il caso tipico: Utilizzo di badge per la registrazione degli orari di ingresso e uscita Raccolta dei dati su di un pc ed inserimento delle causali di assenza (ad es. malattia, permesso sindacale, festività religiose) Invio di un file o di un documento stampato ad un service esterno di elaborazione paghe Anche in questo caso si è nelle condizioni dell’obbligo, perché le attività del punto 2 configurano il trattamento di dati sensibili © R. Larese Gortigo – 2007-2008

Il Documento Programmatico (19) Descrive in maniera completa tutte le misure di sicurezza poste in essere nel caso di trattamento di dati personali sensibili o giudiziari Deve essere redatto ed aggiornato annualmente entro il 31 marzo di ogni anno (19) Se è richiesta la relazione accompagnatoria del bilancio di esercizio, deve esserne riferito dell’avvenuta redazione od aggiornamento (26) Non deve essere inviato al Garante, ma deve essere trattenuto presso il titolare del trattamento Non è richiesto che abbia data certa © R. Larese Gortigo – 2007-2008

Contenuti del Documento Programmatico L’elenco dei trattamenti dei dati personali (19.1) La distribuzione dei compiti e delle responsabilità (19.2) L’analisi dei rischi che incombono sui dati (19.3) Le misure da adottare per garantire l’integrità e la disponibilità dei dati e la protezione delle aree e dei locali rilevanti ai fini della loro custodia ed accessibilità (19.4) La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (19.5) La previsione degli interventi formativi (19.6) La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza dei dati affidati all’esterno della struttura del titolare (19.7) I criteri di cifratura o separazione dei dati sensibili o giudiziari (19.8) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 1.1) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 1.2) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 2) Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 3/parte I) © R. Larese Gortigo – 2007-2008

© R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 4.1) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 4.2) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 5.2) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 5.1) © R. Larese Gortigo – 2007-2008

Interventi formativi (19.6) Riguardano: Conoscenza dei rischi Conoscenza delle misure di sicurezza e dei comportamenti da adottare Responsabilità Devono essere erogati: Al momento dell’ingresso in servizio In occasione di cambio di mansioni In occasione dell’introduzione di nuovi strumenti E’ necessario che siano documentati © R. Larese Gortigo – 2007-2008

Interventi formativi (modalità possibili) La formazione riguarda tutti gli incaricati Formazione d’aula per tutti gli incaricati (anche in gruppi) Formazione d’aula per i responsabili, che successivamente svolgono attività di formazione agli incaricati Utilizzo dei servizi di formazione on-line della società Sùnapsis s.r.l. mediante l’accordo con Confindustria Verona © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 6) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 7) © R. Larese Gortigo – 2007-2008

Il modello del Garante (Tabella 7) © R. Larese Gortigo – 2007-2008

Il sistema di autenticazione © R. Larese Gortigo – 2007-2008

Autenticazione informatica ELABORATORE SISTEMA DI AUTENTICAZIONE CODICE + PAROLA CHIAVE DISPOSITIVO DI AUTEN-TICANZIONE CARATTER. BIOMETRICA UTENTI © R. Larese Gortigo – 2007-2008

Uno o più sistemi di autenticazione? Il Disciplinare Tecnico permette di: Configurare uno specifico sistema di autenticazione per ciascun trattamento oppure, in alternativa Un sistema di autenticazione comune per gruppi di trattamenti (cioè applicazioni), e quindi anche per tutti Il sistema di autenticazione comune è abitualmente quello utilizzato per l’accesso iniziale alla rete Ovviamente, se possibile, è sempre più semplice rendere conforme il sistema di autenticazione alla rete; altri possono essere usati, ma non necessariamente devono essere conformi al Disciplinare Tecnico. © R. Larese Gortigo – 2007-2008

Uno o più sistemi di autenticazione? L’utilizzo di un unico sistema di autenticazione è possibile solo se tutti gli accessi alle applicazioni ne prevedono il superamento. Può essere comunque opportuno configurare conformemente anche il sistema di autenticazione specifico per le applicazioni più “critiche”, come ad esempio quelle per la gestione delle risorse umane e/o di paghe e stipendi. © R. Larese Gortigo – 2007-2008

Utilizzo delle medesime credenziali Accade frequentemente – soprattutto nei reparti di produzione – che più utenti utilizzino lo stesso pc e le medesime credenziali: Se non vi è accesso a dati personali: la norma non si applica e quindi non si pone il problema (tutto può restare così!) Se vi è accesso (ad es. utilizzo della posta o di parti del sistema gestionale): è necessario rendere il sistema conforme Per garantire la conformità del sistema Creare le credenziali per ogni utente Utilizzare adeguatamente le credenziali… © R. Larese Gortigo – 2007-2008

Mancanza di un controllo centralizzato Tutte le reti dotate di un “controller” di dominio e la gran parte delle applicazioni permettono di configurare il sistema di autenticazione in modo conforme Quando questo avviene è necessario precedere alla configurazione Se non è possibile configurare il sistema in modo conforme: Le istruzioni agli incaricati dovranno indicare esplicitamente e dettagliatamente le procedure da seguire Si rende necessaria (purtroppo) la conservazione delle parole chiave in busta chiusa E’ opportuna una verifica della periodica modifica delle parole chiave da parte del “custode” Deve essere comunque garantita da tutti la riservatezza delle parole chiave © R. Larese Gortigo – 2007-2008

Il custode delle credenziali Deve essere sempre formalmente nominato Se più persone hanno accesso al server di dominio, tutte (anche i fornitori) vengono nominate custodi delle credenziali Se necessario, conserva fisicamente le buste chiuse con le parole chiave degli utenti Se il sistema è centralizzato, la custodia si riduce alla possibilità di accesso al server di dominio Controlla il comportamento degli utenti, richiedendo il rispetto dell’obbligo di riservatezza © R. Larese Gortigo – 2007-2008

Accesso in assenza dell’incaricato L’azienda ha la facoltà (per validi ed urgenti motivi) di accedere a dati e sistemi Non è permesso conoscere le parole chiave degli altri utenti, e quindi: Se il sistema è centralizzato Il custode modifica temporaneamente la password sul server Configura l’obbligo di modifica della password all’accesso successivo Se il sistema non è centralizzato Il custode apre la busta della password e permette l’accesso Al ritorno dell’incaricato, gli richiede di modificare la parola chiave e riceve la nuova busta chiusa Informa e giustifica l’accesso all’incaricato © R. Larese Gortigo – 2007-2008

Applicazioni web Relativo ad esempio a: utilizzo della posta da remoto, applicazioni gestionali, immissione e controllo ordini, altri servizi web: Se l’accesso non permette la gestione o la visualizzazione di dati di terzi si è fuori dal campo di applicazione della norma Se è possibile accedere a dati di terzi (es: posta elettronica), il sistema deve essere reso conforme al Disciplinare Tecnico © R. Larese Gortigo – 2007-2008

Salvataggio dei dati e disaster recovery © R. Larese Gortigo – 2007-2008

Salvataggio dei dati (18) E’ obbligatorio il salvataggio dei dati personali (backup) La frequenza di salvataggio deve essere almeno settimanale, ma è opportuno che sia quotidiana Devono essere protetti tutti i dati: Sistemi gestionali o ERP Documenti degli utenti Posta elettronica … Devono essere impartite istruzioni (scritte) di carattere tecnico ed organizzativo per definirne le modalità di esecuzione © R. Larese Gortigo – 2007-2008 Il salvataggio dei dati

Istruzioni tecniche (18) Individuazione dei dispositivi Individuazione degli archivi Definizione delle frequenze Definizione delle modalità (backup completo, incrementale, differenziale) Definizione dei criteri di rotazione dei dispositivi Definizione dei criteri di archiviazione dei dispositivi Definizione delle procedure di verifica © R. Larese Gortigo – 2007-2008

Istruzioni organizzative (18) Definizione delle responsabilità Definizione delle procedure in caso di incidente Definizione delle modalità di aggiornamento delle procedure © R. Larese Gortigo – 2007-2008

Sistema di “Disaster recovery” (23) L’obbligo si applica solamente ai dati personali di natura sensibile o giudiziaria Deve essere garantito l’accesso ai dati in caso di incidente (danneggiamento dei dati o degli strumenti) in tempi certi e comunque non superiori a sette giorni Modalità possibili: Backup completo dell’intero sistema (ghost) per permette di garantire l’accesso ai dati anche in caso di sostituzione Accordi con fornitori per tempi certi di riprestino Utilizzo di sistemi in “cluster” Duplicazione del sistema in un sito remoto Le modalità adottate devono essere documentate nel Dps © R. Larese Gortigo – 2007-2008 Ulteriori misure per il trattamento di dati sensibili o giudiziari

Dr. Riccardo Larese Gortigo r.larese@assind.vi.it Esperienze e dubbi interpretativi sulle Misure Minime di Sicurezza Domande e risposte Dr. Riccardo Larese Gortigo r.larese@assind.vi.it © R. Larese Gortigo – 2007-2008

Allegato – Scadenzario obblighi Misura Scadenza/periodicità Tipologia dati Disattivazione credenziali Entro sei mesi dal mancato utilizzo Tutti Subito, in caso di perdita della qualità Sostituzione autonoma parola chiave Ogni sei mesi Ogni tre mesi Comuni Sensibili o giud. Verifica profili Ogni anno Redazione lista incaricati Aggiornamento antivirus Ogni sei mesi ( consigliabile max. ogni settimana) © R. Larese Gortigo – 2007-2008

Allegato – Scadenzario obblighi Misura Scadenza/periodicità Tipologia dati Aggiornamento programmi Annualmente Ogni sei mesi Comuni Sensibili giud. Backup Settimanalmente (consigliabile ogni giorno) Tutti Aggiornamento DPS Ogni anno entro il 31 marzo Sensibili o giudiziari © R. Larese Gortigo – 2007-2008