Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea Gelpi ( partner Studio Nobile) gelpi.it L'applicazione del codice privacy da parte del tecnico
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Sommario Introduzione alla sicurezza informatica Confronto con la normativa precedente Disciplinare tecnico (allegato B) – Sistema di autenticazione – Sistema di autorizzazione – Altre misure di sicurezza – Documento programmatico sulla sicurezza – Trattamento di dati sensibili o giudiziari – Trattamento senza l'ausilio di strumenti elettronici
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Introduzione alla sicurezza informatica La sicurezza informatica si basa su 3 pilastri Cultura - la sensibilizzazione degli utenti al problema sicurezza informatica Organizzazione – enti e aziende devono verificare se i modelli organizzativi sono compatibili con la normativa Tecnica – fornisce quelle soluzioni che aiutano enti e aziende – L'informatica dovrebbe essere d'aiuto, anche se come dice una legge di Murphy per incasinare davvero le cose serve un computer
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Confronto con la normativa precedente Il nuovo testo sembra essere un insieme di tanti casi particolari, come mai? Misure di sicurezza – Art. 31 identico all'art. 15 comma 1 L. 675/96 – Art. 32 chiarisce meglio l'art. 2 DL 171/98 – Art. 33 misure minime obbligatorie – Art. 34 trattamenti con strumenti elettronici – Art. 35 trattamenti senza l'ausilio di strumenti elettronici – Art. 36 allegato B verrà aggiornato periodicamente – Allegato B – Disciplinare tecnico Certe comunicazioni elettroniche devono essere cifrate
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Confronto con la normativa precedente Problema art. 34 comma 1 lettera g) e allegato B punto 19 – 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: – g) tenuta di un aggiornato documento programmatico sulla sicurezza; – Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Sistema di autenticazione informatica Codici d'accesso – Dispositivo di autenticazione (ad esempio smart-card) – Identificativo (UserID) – Parola chaive (password) riservata e conosciuta solamente dall'incaricato – Parola chiave non contiene riferimenti agevolmente riconducibili all'incaricato – Disattivazione dei codici d'accesso se non usati da 6 mesi o cambio mansioni dell'incaricato – Posto di lavoro non può rimanere incustodito durante la sessione di lavoro – Vanno modificate le abitudini e l'organizzazione
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Sistema di autorizzazione Esiste in tutti i sistemi moderni Unix/Linux autorizzazioni nulle di default (va aperto) Windows autorizzazioni massime di default (va chiuso) Periodicamente vanno controllati i profili di autorizzazione – Pulizia dei profili vecchi e non più utilizzati
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Altre misure di sicurezza Obbligo dell'uso di antivirus per proteggere i dati personali – L'antivirus deve essere aggiornato almeno ogni 6 mesi dice il codice – Se l'antivirus non è aggiornato bastano ore o al massimo 2/3 giorni dal rilascio del virus per essere infettati, quindi: – L'antivirus deve essere aggiornato quasi tutti i giorni, minimo almeno settimanalmente
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Altre misure di sicurezza Obbligo di tenere aggiornati i sistemi – Almeno annualmente per i dati personali, semestralmente per i dati sensibili o giudiziari dice il codice – Nimdapatch 17/10/00 Virus 18/09/01 – CodeRedpatch 18/06/01 Virus 16/07/01 – SQL wormpatch 16/10/02 Virus 23/01/03 – Blasterpatch 16/07/03 Virus 11/08/03 – Almeno trimestralmente per i dati personali, mensilmente per i dati sensibili o giudiziari – Installare le patch richiede tempo e risorse (sono necessari dei test)
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Altre misure di sicurezza Obbligo di eseguire il backup almeno settimanalmente – Se si può è meglio fare backup tutti i giorni – Va controllato che il supporto sia leggibile – Vanno previste prove di ripristino dei dati – Dove conservare i supporti? Non dentro, sopra o in vicinanza del server I supporti vanno portati fuori dai locali, meglio ancora fuori dal palazzo
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Documento programmatico sulla sicurezza Deve essere redatto ogni anno (entro il 31 marzo) Deve contenere: – L'elenco dei trattamenti – L'analisi dei rischi – Le misure di sicurezza adottate sia per la protezione dei dati, che dei locali – Un piano di disaster recovery per il ripristino dei dati entro 7 giorni – Il piano di formazione degli incaricati – Le regole per i trattamenti eseguiti da esterni alla struttura – Per i dati idonei a rilevare lo stato di salute e la vita sessuale i criteri per la cifratura o la separazione dagli altri dati
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Trattamento di dati sensibili o giudiziari Devono essere protetti contro l'accesso abusivo mediante l'utilizzo di idonei strumenti elettronici Trattamenti su supporti removibili (Floppy, CD, chiavette USB, ecc...) – Alla fine del trattamento i supporti removibili vanno distrutti o i dati cancellati in modo sicuro (si fa prima a cambiare il supporto) Il trasferimento per via informatica di dati idonei a rilevare lo stato di salute e la vita sessuale deve essere cifrato
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Trattamento senza l'ausilio di strumenti elettronici Istruzioni scritte agli incaricati per il controllo e la custodia di atti e documenti Deve essere tenuta ed aggiornata ogni anno, la lista degli incaricati con i relativi profili di autorizzazione Per dati sensibili o giudiziari l'accesso è controllato. Va tenuto il registro di chi accede fuori orario Attenzione ai documenti lasciati sui tavoli o sulle scrivanie
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre GRAZIE ;-)
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Quadro Normativo Art Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Quadro Normativo Art. 34 (segue) e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
1 - Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre Quadro Normativo Art Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.