ASSOCIAZIONE DEGLI INDUSTRIALI DELLA PROVINCIA DI VERONA Verona, 17 Ottobre 2005 LA SICUREZZA DEL TRATTAMENTO DEI DATI E L’ IMPLEMENTAZIONE NELLE AZIENDE Analisi dei rischi aziendali Misure e politiche di sicurezza Documento Programmatico sulla Sicurezza Martino Toffalori Presidente ABS Computers srl

LE NUOVE MISURE DI SICUREZZA DEI DATI E DEI SISTEMI PERCHE’ ?

MISURE DI SICUREZZA DEI DATI E DEI SISTEMI Nuovi Rischi IERI I Sistemi Informativi presentavano rischi specifici intrinseci al CED, limitati all’ambiente chiuso, isolato e circoscritto. OGGI I Sistemi Informativi presentano nuovi rischi dovuti a : dimensioni, portabilità, memoria, connettività, diffusione. DOMANI Ulteriori nuovi rischi dovuti a : alta velocità e trasferimento ingente di dati, interconnettività planetaria, integrazione ambiente domestico e aziendale, collegamenti senza fili, sensori che seguono gli acquisti, biometria, videosorveglianza digitale, localizzazione di persone e oggetti.

MISURE DI SICUREZZA DEI DATI E DEI SISTEMI Nuovi Rischi Notebook, cellulari, palmari, tablet pc, microcamere, videocamere, webcam, memory pen, vpn, wireless access point, wi-fi, bluetooth, umts, sms, mms, gprs, gps……. Consumers, Partners Mobile Employees Customers Partners Suppliers

MISURE DI SICUREZZA DEI DATI E DEI SISTEMI Devono Garantire INTEGRITA’ La salvaguardia della esattezza dei dati, la difesa da manomissioni e da modifiche non autorizzate, il monitoraggio automatico degli accessi, ecc… CONFIDENZIALITA’ ( riservatezza) La protezione delle informazioni tramite l’accesso solo agli autorizzati, la protezione delle trasmissioni, il controllo accessi, ecc… DISPONIBILITA’ La garanzia per gli utenti della fruibilità dei dati delle informazioni e dei servizi, evitando la perdita o riduzione dei dati o dei servizi. Sono i 3 PRINCIPI alla base delle nuove MISURE DI SICUREZZA, principi già presenti in STANDARD internazionali ISO 17799:2000 – una parte di BS7799

LA STRUTTURA DELLA NORMATIVA SULLA SICUREZZA DEI DATI E DEI SISTEMI

STRUTTURA DELLE MISURE DI SICUREZZA Codice Disciplinare Tecnico Definizioni Art. 4 Trattamenti con strumenti elettronici Misure di sicurezza Art. 31 Regole da 1 a 26 Misure minime di sicurezza Art. 33 34 35 Trattamenti senza l’ausilio di strumenti elettronici Regole da 27 a 29 Adeguamento Art. 36 Disposizioni transitorie Art. 180 Punti = Regole Sanzioni Art. 169 Danni Art. 15 Altre Norme “trasversali”

Codice: Art.4, comma 3, lettera a - definizioni MISURE MINIME Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’articolo 31 I RISCHI DI Distruzione o perdita anche accidentale Accesso non autorizzato Trattamento non consentito Trattamento non conforme alle finalità

Codice: Art.31 - misure di sicurezza Art. 31. Obblighi di sicurezza 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Codice: Art.31, comma 1 - misure di sicurezza I DATI PERSONALI OGGETTO DI TRATTAMENTO SONO CUSTODITI CONTROLLATI anche in relazione alle CONOSCENZE acquisite in base al progresso tecnico NATURA dei dati CARATTERISTICHE del trattamento In modo da RIDURRE AL MINIMO mediante l’adozione di IDONEE PREVENTIVE MISURE DI SICUREZZA I RISCHI DI I RISCHI DI Distruzione o perdita anche accidentale Distruzione o perdita anche accidentale Accesso non autorizzato Accesso non autorizzato Trattamento non consentito Trattamento non consentito Trattamento non conforme alle finalità Trattamento non conforme alle finalità

Codice: Art.33 e 34 - misure minime di sicurezza Art. 33. Misure minime 1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. Art. 34. Trattamenti con strumenti elettronici 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Codice: Art.35 - Trattamenti senza l'ausilio di strumenti elettronici 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

Codice: Art.36 - adeguamento 1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore. Viene rimandato al disciplinare tecnico l’elencazione delle regole che potranno essere modificate ed aggiornate periodicamente, ad ogni necessità. L’aggiornamento avviene in relazione all’evoluzione tecnica e all’esperienza maturata nel settore, con decreto del Ministero della giustizia di concerto con il Ministero per le innovazioni e le tecnologie Non sarà necessario dover intervenire sul codice

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA (Art DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA (Art. da 33 a 36 del codice)

MISURE MINIME DI SICUREZZA Prospetto indicativo Codice Disciplinare Tecnico Articolo 34 Trattamenti con strumenti elettronici Regole da 1 a 26 Lettera a Punto 1 Punto 2 AUTENTIFICAZIONE INFORMATICA Lettera b Punti 1e2 Punto 3 Punto 4 Punto 5 Punto 6 Punto 7 Punto 8 Punto 9 Punto 10 CREDENZIALI Lettera c Punto 12 Punto 13 Punto 14 SISTEMA DI AUTORIZZAZIONE Lettera d Punto 15 Punto 14 AMBITO DEL TRATTAMENTO – INCARICATI – ECC. Lettera e Punto 16 Punto 17 Punto 20 Punto 21 Punto 22 Punto 9 PROTEZIONE STRUMENTI Lettera f Punto 18 Punto 23 CUSTODIA E RIPRISTINO Lettera g Punto 19 Punto 26 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Lettera h Punto 24 CIFRATURA O DISGIUNZIONE DEI DATI Articolo 35 Trattamenti senza l’ausilio di strumenti elettronici Regole da 27 a 29 Lettera a Punto 27 AMBITO DEL TRATTAMENTO - INCARICATI Lettera b Punto 28 CUSTODIA Lettera c Punto 29 CONSERVAZIONE E ACCESSO AGLI ARCHIVI

DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Sistemi di autenticazione informatica e autorizzazione: Trattamento con accesso consentito attraversi sistemi di autenticazione con credenziali Punto 1 Credenziali costituite da codice utente + password ; oppure un dispositivo personale o caratteristica biometrica + eventuale codice / password Punto 2 Assegnazione o associazione di una o più credenziali per ogni incaricato Punto 3 Istruzioni agli incaricati per l’uso e la segretezza delle credenziali, dei dispositivi in possesso ed uso esclusivo dell’incaricato Punto 4 Password da almeno 8 caratteri o massimo possibile, non riconducibile all’incaricato, modificata al 1° uso, durata 6 o 3 mesi (dati sensibili e giudiziari) Punto 5 Divieto di assegnazione del medesimo codice utente, laddove utilizzato, ad altri incaricati. Neppure in tempi diversi. Punto 6 Disattivazione delle credenziali non usate da 6 mesi, salvo quelle per gestione tecnica Punto 7

DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Sistemi di autenticazione informatica e autorizzazione: Disattivazione delle credenziali in caso di perdita della qualità che consente all’incaricato l’accesso ai dati Punto 8 Istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento Punto 9 Idonee e preventive disposizioni per l’uso delle credenziali di un incaricato nel caso di impedimento dello stesso. Custodia copia credenziali. Comunicazione se utilizzate. Punto 10 Se per gli incaricati sono individuabili profili di autorizzazione di ambito diverso va utilizzato un sistema di autorizzazione Punto 12 Individuati e configurati singoli profili o per classi omogenee in modo da limitare l’accesso ai soli dati necessari Punto 13 Verifica periodica e comunque almeno annualmente della sussistenza delle condizioni per la conservazione dei profili Punto 14

LE CREDENZIALI SONO QUALCOSA CHE OGNI SOGGETTO… CONOSCE Parola chiave, Codici POSSIEDE Carta a microprocessore, certificati digitali E’ Caratteristiche Biometriche

L’ USO DELLA BIOMETRIA RICHIEDE IL RISPETTO DI ALCUNI FONDAMENTALI PRINCIPI … Il principio di necessità impone di accertare se la finalità perseguita non possa essere realizzata utilizzando dati che non coinvolgono il corpo; il principio di proporzionalità esige una considerazione rigorosa della legittimità di raccolte generalizzate rispetto a raccolte mirate, di una conservazione centralizzata o decentrata dei dati raccolti; il principio di dignità fa emergere la necessità di rispettare l’autonomia delle persone di fronte a particolari raccolte di dati (quelle riguardanti la salute, in primo luogo).

Sistemi di autenticazione informatica e autorizzazione: Logica di funzionamento Sistema di autenticazione Sistema di autorizzazione Dimostramelo dammi le tue credenziali OK Sei Rossi, La tua identità è autenticata Quindi puoi accedere, ma controllo a che cosa Ai dati e applicazioni del tuo profilo Dichiarazione di identità Il Signor Rossi, incaricato del trattamento, è autorizzato ad accedere ad alcuni dati e applicazioni, preventivamente determinate. È stato stabilito il suo profilo per l’accesso al sistema e a certi dati. Sono Mario Rossi Le mie credenziali sono : Parola chiave, Carte o altro Codice Identificativo (User ID) Ciò che Rossi: 1) Conosce 2) Possiede 3) E’ Credenziali di autenticazione

DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Aggiornamento periodico, almeno annuale, della lista degli incaricati, addetti alla gestione e manutenzione, redatta anche per classi omogenee Punto 15 Protezione dati da rischio intrusione e dall’azione di programmi di cui art.615-quinquies con idonei strumenti da aggiornare con cadenza almeno semestrale Punto 16 Art. 615-quinquies : Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o a esso pertinenti, ovvero l’interruzione, totale o parziale, o l’alterazione del suo funzionamento,….. Protezione degli strumenti elettronici e dei dati con aggiornamenti periodici dei programmi, volti a prevenire la vulnerabilità e correggerne i difetti. Da effettuarsi almeno annualmente o ogni 6 mesi per dati sensibili o giudiziari Punto 17 Istruzioni organizzative e tecniche per il salvataggio dati con frequenza almeno settimanale. (Art.34, c1,f : Custodia e ripristino dei dati e dei sistemi) Punto 18

DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Documento Programmatico sulla Sicurezza Documento programmatico sulla sicurezza contenente idonee informazioni. A cura del titolare di un trattamento dati, da adottare ed aggiornare entro il 31 marzo di ogni anno … Costituisce una sorta di manuale della sicurezza aziendale ai fini del trattamento dei dati tutelati dal Codice …. ….Rappresenta una misura opportuna per per analizzare la situazione aziendale ed organizzare le procedure a garanzia della sicurezza … Punto 19

DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Ulteriori misure in caso di trattamento di dati sensibili o giudiziari Protezione dati sensibili e giudiziari contro l’accesso di cui art.615-ter del codice penale con idonei strumenti elettronici Punto 20 Art. 615-ter : Accesso abusivo a un sistema Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito……… Istruzioni organizzative e tecniche per la custodia e l’uso dei supporti removibili al fine di evitare accessi non autorizzati e trattamenti non consentiti ai dati contenuti Punto 21 Distruzione dei supporti removibili non più utilizzati. Riutilizzo consentito, anche da altri Incaricati, solo se i dati contenuti sono stati cancellati e tecnicamente non ricostruibili Punto 22 Misure per il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli Strumenti elettronici, in tempi non superiori ai 7 giorni Punto 23 Gli organismi sanitari e gli esercenti le professioni sanitarie che trattano dati sulla salute e la vita sessuale devono adottare tecniche di cifratura o trattamento disgiunto. Locali con accesso protetto e trasferimento dati in formato elettronico cifrato Punto 24

DISCIPLINARE TECNICO Trattamenti con strumenti elettronici Misure di tutela e garanzia Il titolare di un trattamento dati che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta La conformità alle disposizioni del disciplinare tecnico Punto 25 Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza Punto 26

DISCIPLINARE TECNICO Trattamenti senza l’ausilio di strumenti elettronici Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione Punto 27 Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. Punto 28 L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. Punto 29

Esempio Adempimento ai punti 1,2,3,5,6,7,8,10,12,13,14,20,23,24 Novell Unix AS400 Internet email Server Windows 2003 Complicazioni !!!

Alcune semplici soluzioni Sistemi software : semplici applicazioni locali o di autenticazione per reti complesse tipo Novell OneNet Single Sign-On Sistemi hardware : Smart card, chiavi mem usb, chiavi bio usb Consentono di raggruppare e memorizzare le password e/o codici identificativi dei vari siti Internet / accessi a Server / apparecchiature / applicazioni Evitano il continuo cambiamento delle varie password e rendono le stesse più sicure

Comportamenti a rischio di dipendenti e collaboratori 28 Settembre 2005 Da tempo le società attive nel settore della sicurezza, gli analisti e gli osservatori cercano di mettere in guardia le aziende non semplicemente dai pericoli e dalle minacce provenienti dall'esterno, ma anche e soprattutto rispetto a una serie di comportamenti considerati rischiosi da parte di dipendenti e collaboratori,. Per anni si è parlato di una sorta di gap culturale, tra ciò che il mercato - vedi le aziende fornitrici di tecnologie e soluzioni per la sicurezza - propone e i comportamenti diffusi. Dopo anni il gap non può certo dirsi colmato, ma si assiste a una nuova consapevolezza da parte degli amministratori di rete e dei responsabili dei sistemi informativi, oggi più che mai consapevoli dei rischi provenienti proprio dall'interno. Lo testimonia Sophos, presentando i risultati di una indagine condotta proprio presso gli amministratori di rete. Il 79% degli interpellati, infatti, ritiene che gli impiegati possano mettere a rischio le aziende per cui lavorano usando Internet e la posta elettronica in maniera impropria. Non si tratta di volontà di dolo, si precisa nel report, ma di una mancanza di consapevolezza che rende indispensabile a questo punto una presa in carico seria e determinata delle policy di sicurezza da parte degli stessi vertici aziendali. Policy talmente serie che, secondo il 63% degli interpellati, dovrebbero comprendere richiami formali e finanche il licenziamento per chi non dovesse attenervisi. E per riassumere sinteticamente questi comportamenti a rischio, Sophos ha stilato una lista dei "sette peccati capitali" normalmente e impunemente commessi in orario di lavoro utilizzando le infrastrutture aziendali. 1) Scaricare musica e film 2) Aprire allegati ricevuti via mail o cliccare su link di mail non richieste 3) Navigare su siti pornografici o siti sospetti 4) Lanciare programmi “joke” ricevuti da amici e colleghi 5) Installare software non autorizzato o navigare su siti che si autolanciano 6) Fornire informazioni a sconosciuti via telefono o via mail 7) Usare la stessa password su diversi siti Internet o scambiare la password

DOCUMENTO PROGRAMMATICO PER LA SICUREZZA

Struttura del Documento Programmatico sulla Sicurezza ANNUO SULLA SICUREZZA Regole 19.1 - 19.8 Trattamenti Elenco dei trattamenti Nell’ambito delle strutture preposte ai Dati dipendenti Compiti e responsabilità Dati presenze Analisi dei rischi Che incombono sui dati Dati malattie Aree locali Integrità e disponibilità dati Protezione aree e locali Per la protezione custodia e accessibilità Dati sindacali Dopo distruzione o danneggiamento e in tempi certi Ripristino della disponibilità Dati contenzioso Dati fornitori Su rischi, misure preventive disponibili, norme Formazione degli incaricati Dati clientela Sicurezza e out sourcing Criteri per le misure minime Dati di mercato Salute e vita sessuale Criteri per la Altri dati Cifratura Separazione

Documento Programmatico Sicurezza Regola 19.1 ELENCO DEI TRATTAMENTI DI DATI PERSONALI IL CENSIMENTO DEI TRATTAMENTI Quali sono i trattamenti che svolgo Quali sono i dati che tratto A chi si riferiscono Con quale finalità Dove Da parte di chi Come Con quale modalità Che natura hanno Con quali rischi Con quale sicurezza

Documento Programmatico Sicurezza Regola 19.1 ELENCO DEI TRATTAMENTI DI DATI PERSONALI Qualunque adempimento richiede il preliminare censimento dei trattamenti E’ NECESSARIO CONOSCERE QUALI DATI TRATTIAMO, AD OPERA DI CHI, CON QUALI MEZZI Per fare l’informativa Per chiedere il consenso Per fare la notificazione Per gestire gli accessi Per gestire i consensi Per stabilire l’ambito del trattamento Per fornire istruzioni scritte Per nominare gli incaricati Per designare i responsabili Per le verifiche periodiche Per individuare le misure di sicurezza Per aggiornare le misure di sicurezza

Documento Programmatico Sicurezza Regola 19.2 LA DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ Come sono distribuiti Lista ambito istruzioni incaricati compiti responsabilità trattamenti compliance auditing nelle strutture personale Sicurezza fisica legale CED Sicurezza logica filiali che trattano i dati segreterie Ecc.

Documento Programmatico Sicurezza Regola 19.3 ANALISI DEI RISCHI I RISCHI DI Distruzione o perdita anche accidentale Accesso non autorizzato Trattamento non consentito Trattamento non conforme alle finalità Maltempo, inondazioni, fulmini, terremoto, fuoco, attentati, guasti e omissioni HW, cadute di corrente, virus e worms, hacking sabotaggi, errori del software, comportamenti, organizzazione, logistica.

Documento Programmatico Sicurezza Regola 19.4 MISURE PER L’INTEGRITÀ E DISPONIBILITÀ DEI DATI INTEGRITA’ La salvaguardia della esattezza dei dati, la difesa da manomissioni e da modifiche non autorizzate, il monitoraggio automatico degli accessi, ecc… CONFIDENZIALITA’ ( riservatezza) La protezione delle informazioni tramite l’accesso solo agli autorizzati, la protezione delle trasmissioni, il controllo accessi, ecc… DISPONIBILITA’ La garanzia per gli utenti della fruibilità dei dati delle informazioni e dei servizi, evitando la perdita o riduzione dei dati o dei servizi. ELENCO DELLE MISURE ADOTTATE E DA ADOTTARE (Autenticazione, Antivirus, Firewall, Backup, Screensaver, Archiviazione doc., stampe e fax, Distruzione supporti e doc. Accessi aree e locali Eventi naturali, Eventi dolosi, ….)

Documento Programmatico Sicurezza Regola 19.4 MISURE PER LA PROTEZIONE DELLE AREE E DEI LOCALI (Accessi aree e locali, Archiviazione doc., stampe e fax, distruzione supporti e doc. eventi naturali, eventi dolosi, ….)

Documento Programmatico Sicurezza Regola 19.5 RIPRISTINO DELLA DISPONIBILITÀ DEI DATI Sono adottate Idonee misure Per garantire In caso di danneggiamento DEGLI STESSI O degli strumenti elettronici IL RIPRISTINO DELL’ACCESSO AI DATI IN TEMPI CERTI Compatibili con i diritti degli interessati E non superiore a 7 giorni

Documento Programmatico Sicurezza Regola 19.6 FORMAZIONE DEGLI INCARICATI OBIETTIVO DELLA FORMAZIONE È RENDERE EDOTTI GLI INCARICATI dei rischi delle misure della normativa delle responsabilità come aggiornarsi che Incombono sui dati di prevenzione In relazione all’attività svolta che ne derivano sulle misure minime QUANDO VA FATTA Ingresso In servizio cambio mansioni cambio tecnologie

Documento Programmatico Sicurezza Regola 19.7 SICUREZZA E OUT SOURCING La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare In caso di trattamenti esternalizzati Descrivere i criteri da adottare per garantire L’adozione delle misure In conformità al codice

Documento Programmatico Sicurezza Regola 19.8 SALUTE E VITA SESSUALE CHE EFFETTUANO IL TRATTAMENTO DI DATI IDONEI A RIVELARE LO STATO DI SALUTE E LA VITA SESSUALE GLI ORGANISMI SANITARI E GLI ESERCENTI LE PROFESSIONI SANITARIE CONTENUTI IN all’interno di locali protetti elenchi registri banche dati accessibili ai soli incaricati ai soggetti specificatamente autorizzati ad accedervi I dati relativi all’identità generica sono trattati Con criteri (Art. 22 comma 6) Il trasporto fuori dai locali avviene In contenitori muniti di serratura o dispositivi equipollenti cifratura separazione Il trasferimento elettronico è cifrato

COME PROCEDERE … CODICE 33 - 36 DISCIPLINARE TECNICO 1 - 29 CHECK-UP STRUTTURA Sistemi Elettronici e Trattamento Dati DPS 19.1 19.2 ANALISI RISCHI DETERMINAZIONE CRITERI E MODALITA’ (Trattamento, copie, formazione, ..) DPS 19.5 19.6 19.7 19.8 DPS 19.3 DPS 19.4 ATTIVAZIONE MISURE APPLICAZIONE E PIANIFICAZIONE

CHECK UP STRUTTURA – RACCOLTA DATI RETE DATI : Rete principale (DHCP/IP statici) : Sottoreti (DHCP/IP statici): Reti pubbliche (IP pubblico) : Reti wireless (DHCP/IP statici): Sistemi di connessione / interconnessione tra le reti (switch, router, firewall,etc.) : Dislocazione e numero prese di rete (totali / libere) : Accesso verso Internet (singolo / condiviso, tipo) : Connessione con aziende esterne (linee dedicate / internet) : Accesso dall’esterno (dipendenti, clienti, fornitori, etc.) :

CHECK UP STRUTTURA – RACCOLTA DATI SERVER : Numero e tipo hw : Dislocazione ed accesso fisico : Sistema operativo (Unix, Linux, Novell, Windows), licenza e revisione : Gestione dominio (nome), file server, printer server, posta, proxy : Sistema di sicurezza dati (tape backup, raid, backup remoto, raid remoto etc.): Gestione del backup (n.supporti, frequenza, conservazione, disaster recovery, etc.): Protezione di alimentazione (ups, stabilizzatore, etc.) : Protezione accesso al sistema (pwd admin, pwd bios, screen saver con pwd, etc.) : Protezione accesso al sistema tramite dispositivi di autenticazione (smart card, badge, biometria,etc.):

CHECK UP STRUTTURA – RACCOLTA DATI PC / WORKSTATION : Numero e tipo PC desktop / ws : Numero e tipo PC portatili : Sistemi operativi (Win95, Win98, Win2000, WinXP HE, WinXP Pro, etc.), licenza e revisione : Sistemi locali di copia (floppy, masterizzatore, etc.) : Protezione accesso al sistema (pwd bios, usr locale, dominio, screen saver con pwd, etc.) : Protezione accesso al sistema tramite dispositivi di autenticazione (smart card, badge, biometria,etc.):

CHECK UP STRUTTURA – RACCOLTA DATI ALTRO HARDWARE : Numero, tipo hw e dislocazione fisica stampanti di rete : Numero tipo e dislocazione fisica sistema fax (apparecchiatura / software ) : Protezione di alimentazione centralizzata e dislocazione fisica (ups, stabilizzatore, etc.) : …….

CHECK UP STRUTTURA – RACCOLTA DATI APPLICAZIONI SOFTWARE E RELATIVI ARCHIVI : Applicazioni di tipo gestionali tipo contabilità, paghe, etc. (licenza e revisione): Applicazioni per marketing / proposte commerciali (licenza e revisione): Applicazioni di office automation (licenza e revisione): Applicazioni tecniche / grafiche (licenza e revisione): Strumenti per navigazione internet (licenza e revisione): Siti Internet WEB locali / presso provider : Posta elettronica (licenza e revisione): Software antivirus (licenza e revisione): Software di firewall / protezione (licenza e revisione):

CHECK UP STRUTTURA – RACCOLTA DATI Dislocazione archivi elettronici, cartacei, etc. (Server/PC, armadi, etc.) : Identificazione eventuali dati sensibili (tipo / database) : Sistemi per la generazione dei profili/usr, modifica periodica e conservazione pwd : Gestione pwd relative alle apparecchiature fisse e soggette a manutenzione (switch, router, firewall, server / bridge su AS400, etc.) : Consulenza con trattamento dati all’esterno : Assistenza HW / SW affidata ad aziende esterne :  Assistenza della connettività Internet / sito WEB affidata ad aziende esterne : Sistemi di comunicazione audio / video ( Videoconferenza) : Sistemi di accesso fisico / sicurezza (Badge, Controlli audio/video, Antifurto, Antincendio, etc.) : Schema di Configurazione sistema esistente :  Pianta e descrizione aree / locali :

COMPOSIZIONE tipica del DPS DOCUMENTO PRINCIPALE Riservato : Titolare/Responsabile ALLEGATI STANDARD (Informativa, lettera di incarico al responsabile o agli incaricati, autorizzazione al trattamento, dichiarazioni di conformità dell’installatore, piano interventi formativi, …..) ALLEGATI RISERVATI (Schemi tecnici impianti informatici / antifurto / intrusione / incendio, piante aree / locali, password e codici delle Apparecchiature informatiche / controllo /sicurezza, ….)

DOMANDE ? Martino Toffalori martino@abscomputers.it