INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.

Slides:

Advertisements

Presentazioni simili

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.

Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

La sicurezza dei sistemi informatici

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.

Informatica e Telecomunicazioni

Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:

Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.

Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.

Controlli sulle Società Partecipate

Sicurezza e Policy in Active Directory

Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.

Amministrazione di una rete con Active Directory

Amministrazione di una rete con Active Directory.

Amministrazione di una rete con Active Directory

Installazione di Active Directory

Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.

Il processo civile telematico

Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

Architettura Three Tier

Gruppo Windows Gian Piero Siroli, Dip. di Fisica, Universita di Bologna e INFN Workshop su Calcolo e Reti INFN, Otranto, Giugno 2006.

Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.

Documento informatico Ingegneria Informatica 31 marzo 2006 Prof. Pieremilio Sammarco.

S ILVIO S ALZA - Università di Roma La Sapienza – Aspetti tecnologici della conservazione permanente C ONVEGNO DocArea – Bologna 20 aprile Aspetti.

World Wide Web (www) Unita logica tra servizi fisicamente distinti Semplicita di accesso alle informazioni (navigazione ipertestuale) Tanti soggetti concorrono.

Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.

Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.

Centro di Assistenza Multicanale (C.A.M.) di Cagliari

“Misure minime di sicurezza: adempimenti tecnici e organizzativi”

DAGLI ARCHIVI AI DATABASE

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)

Stefano Di Giovannantonio ECM Consulting Solution Expert

Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività

D. Lgs 196/2003 Codice in materia di protezione dei dati personali.

22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.

La sicurezza delle reti informatiche : la legge sulla Privacy

LA BANDA LARGA RETE PRIVATA DELLE PUBBLICHE AMMINISTARZIONI DELLEMILIA- ROMAGNA Servizio Informatica Provincia di Ravenna.

Configurazione di una rete Windows

FESR Trinacria Grid Virtual Laboratory ADAT (Archivi Digitali Antico Testo) Salvatore Scifo TRIGRID Second TriGrid Checkpoint Meeting Catania,

Dischi in RAID  Redundant Array of Independent Disk Configurazione che permette di combinare più dischi secondo obiettivi di performance e ridondanza.

SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.

Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.

Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.

Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –

Un Asti, 18 marzo fasimoduli di apprendimentostrumenti e metodi 1.DINAMICA del LAVORO 1.Il comune come luogo di lavoro 2.Le figure.

Ing. Adriano Cavicchi Dirigente Generale S.I.N.A.P. Sistema Informativo Nazionale degli Appalti Pubblici Forum P.A. 10 maggio 2004.

Sistema pubblico di connettività Cooperazione Applicativa Cooperazione Applicativa Roberto Benzi 30 giugno 2005.

UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.

CSN1 21 Giugno 2004 P. Morettini 1 Commissione Calcolo e Reti Ruolo e composizione della commissione I working groups I workshops Geant 4 Reti e potenziamento.

Certificati e VPN.

© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza.

LA SICUREZZA NEL SISTEMA PUBBLICO DI CONNETTIVITA’ Ing. Mario Terranova Responsabile Ufficio Servizi Sicurezza e Certificazione Centro Nazionale per l’Informatica.

Harmony Roberto Cecchini Commissione Calcolo e Reti 20 Ottobre 2005.

Le basi di dati.

M ANUALE R IVIERE 2015 CARMELO GARREFFA Il piano della sicurezza Centroservizi S.r.l. – Società di Servizi dell’Unione Industriali di Savona.

Spunti in tema di evoluzione del diritto dell’obbligazione.

Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.

R. Brunetti INFN - Torino. Contenuti Cosa e’ uno CSIRT Gestione della sicurezza in EGI/IGI e IGI-CSIRT Servizi ed attivita’ previste Collaborazione con.

Ministero della Giustizia Dipartimento dell’Organizzazione Giudiziaria, del personale e dei servizi Direzione Generale per i sistemi informativi automatizzati.

26 Giugno 2007CSN1 - Frascati1 Temi di attualità nella CCR Accanto alla tradizionale attività di controllo dei finanziamenti per le infrastrutture di calcolo.

L'ICT Le tecnologie dell'informazione e della comunicazione, in acronimo TIC (in inglese Information and Communications Technology, in acronimo ICT), sono.

Centralizzazione del servizio di posta elettronica per l’INFN ─ INTEGRAZIONE ─ Ombretta Pinazza Per il Gruppo Mailing CCR, Marzo 2008.

Revisione Aziendale Lezione del Il Sistema di controllo interno.

Referenti ICT1 Progetto di Formazione-Intervento® per i Referenti ICT Le linee di Piano.

Riunione gruppo reti E. P.. IPMI Porta da mascherare sul router Scan IPMI e piano di indirizzamento (privato ?) Da fare nel piano generale quando si ha.

Gruppo sul Telelavoro: E. Amadei (BO), A. Cavalli (CNAF), R. Gomezel (TS), P. P. Ricci (CNAF), D. Riondino (LNF) Disciplinare per l'applicazione del Telelavoro.

Gruppo Mailing: studio sulla posta centralizzata Workshop CCR LNGS, 9 giugno 2008.

Il nuovo Disciplinare per l’uso delle risorse informatiche nell’INFN E. Bovo – E. Ronconi Servizio Legale e Contenzioso INFN Workshop CCR INFN - Isola.

23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.

Transcript della presentazione:

INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003

1 Gruppo di lavoro Harmony Componenti: –Silvia Arezzini; –Eleonora Bovo; –Roberto Cecchini; –Paolo Lo Re; –Ombretta Pinazza; –Alessandro Spanu..

Paestum, 11 Giugno Obiettivi originali DPsS (DPR 28/11/99 n. 318, dati personali sensibili): –criteri per la protezione delle aree e locali; –criteri per l’integrità dei dati; –criteri per la sicurezza delle trasmissioni e restrizioni di accesso; –piano di formazione del personale. Regolamento per l’uso delle Risorse di Calcolo.

Paestum, 11 Giugno Variazioni in corso d’opera Direttiva del 16/1/02 del Dip. per l’Innovazione e le Tecnologie: Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni –autodiagnosi del livello di adeguatezza della sicurezza; –attivazione delle necessarie iniziative per posizionarsi sulla “base minima di sicurezza”; –programma di azione per la sicurezza: creazione di un modello organizzativo nazionale di sicurezza; istituzione comitato nazionale di sicurezza; definizione schema nazionale di riferimento; formulazione di un piano nazionale di sicurezza per la PA; realizzazione della certificazione di sicurezza nella PA.

Paestum, 11 Giugno Fase operativa Sistema di gestione della sicurezza: –visione unitaria e strategica delle questioni di sicurezza; –corretta responsabilizzazione; –bilanciamento tra rischio e sicurezza; –separazione dei compiti, che distingua tra monitoraggio e verifica. Articolata in una serie di documenti –Carta della sicurezza. –Politiche generali. –Politiche specifiche. –Procedure specifiche.

Paestum, 11 Giugno Documenti (direttiva vs Harmony) Direttiva MinisterialeHarmony Carta della sicurezza Politiche generali di sicurezza Politiche specifiche di sicurezza (Norme)Regolamento di condotta Procedure specifiche  gestione della System Security;  gestione della Network Security;  ciclo di vita del software;  gestione operativa;  continuità del servizio (contingency plan);  gestione degli incidenti;  controllo e il monitoraggio del sistema di sicurezza;  sicurezza del personale.  Windows Base  Windows Avanzato  Mac  Unix Host Security  Servizi Centralizzati  Sicurezza delle LAN  Gestione degli incidenti informatici  Firewall e Router

Paestum, 11 Giugno Carta della Sicurezza Politiche e strategie di sicurezza; modello organizzativo; processi di attuazione; direttive per lo sviluppo, gestione, controllo e verifica delle misure da adottare.

Paestum, 11 Giugno Regolamento di condotta Regole per l’organizzazione, il personale ed i sistemi. Definizioni e concetti base. Contiene il Regolamento per l’uso delle risorse di calcolo.

Paestum, 11 Giugno Procedure specifiche Specifiche procedure per la gestione operativa: –host security; –network security; –gestione incidenti; –router e firewall. In continuo aggiornamento.

Paestum, 11 Giugno Matrice di lettura UtentiAmmimistratori S. Calcolo W9x/MEMacMac OSXUnixWnt/2k/xpUnix Carta della sicurezza CCCCCCC Regolamento di condotta CCCCCCC Windows base CCC Windows avanzato CC Mac CCC Unix host security CCC Servizi centralizzati CCC Gestione incidenti CCCC Sicurezza delle LAN C Firewall e router C

Paestum, 11 Giugno Sicurezza: aspetti fisici Servizio di vigilanza. Convenzioni con le Università. Sistemi anti-intrusione con procedure d’ingresso controllate nei locali che ospitano i centri di calcolo ed in quelli ove sono posti server ed elaboratori mediante i quali vengono trattati dati personali sensibili. Dispositivi antincendio e di continuità elettrica. Misure di protezione per le risorse distribuite al di fuori delle Strutture dell’Ente.

Paestum, 11 Giugno Sicurezza: aspetti logici Strumenti di protezione specifica di rete (firewall). Virtual Private Network. Meccanismi di controllo degli accessi ed autenticazione. Strumenti per la tutela della riservatezza e l’autenticità dei dati (crittografia e firma elettronica). Strumenti per l’integrità e disponibilità dei dati (sistemi di backup). Controllo della qualità del software utilizzato. Programmi antivirus.

Paestum, 11 Giugno Sicurezza: aspetti organizzativi La CC&R –coordina nell’individuazione delle politiche di sicurezza –provvede all’organizzazione dello CSIRT. L’INFN organizza attività di formazione ed aggiornamento.

Paestum, 11 Giugno Sicurezza: verifica misure Verifica periodica delle misure di sicurezza adottate mediante: –monitoraggio, effettuato da responsabili interni; –audit, svolto da soggetti diversi dai responsabili interni.

Paestum, 11 Giugno Articolazione organizzativa Utente Referente di gruppo di utenti Amministratore di sistema Servizio di Calcolo e Reti Direttore di Struttura

Paestum, 11 Giugno UtenteUtente Soggetto che ha accesso alle risorse di calcolo, in relazione alle funzioni ed attività che è chiamato a svolgere nell’ambito dell’Istituto. –Gli utenti autorizzati al trattamento dei dati personali sono individuati come incaricati del trattamento ai sensi dell’art. 8, comma 5 della legge n. 675/96.

Paestum, 11 Giugno ReferenteReferente Coordina gli utenti e l’uso delle risorse locali di uno o più gruppi, esperimenti o servizi, in accordo alle indicazioni del Servizio di Calcolo Compiti: –divulga, nell’ambito del proprio gruppo, le indicazioni del Servizio di Calcolo relative alla sicurezza delle risorse ed al corretto uso delle stesse; –in caso di necessità, fornisce al Servizio di Calcolo informazioni o accesso alle risorse di calcolo del proprio gruppo; –conserva ed aggiorna l’elenco delle risorse di calcolo e degli account del gruppo che rappresenta.

Paestum, 11 Giugno Amministratore di sistema Sovraintende alla gestione del sistema operativo di un computer. Compiti: –responsabile del software installato sui computer amministrati; –mantiene i sistemi al livello di sicurezza appropriato al loro uso; –verifica con regolarità l’integrità dei sistemi; –controlla e conserva i log di sistema; –segnala al Servizio di Calcolo incidenti, sospetti abusi e violazioni della sicurezza; –installa e mantiene aggiornati programmi antivirus.

Paestum, 11 Giugno Servizio Calcolo e Reti Gestisce le risorse di calcolo centrali, i servizi di rete, l’infrastruttura di trasmissione dati della Struttura e fornisce supporto tecnico agli utenti. Nel suo ambito è individuato un referente per lo CSIRT. Compiti: –controlla che gli accessi remoti alle risorse locali avvengano esclusivamente mediante l’uso di protocolli che prevedano l’autenticazione e la cifratura dei dati; –effettua la revisione periodica degli account; –effettua il monitoraggio dei sistemi gestiti; –realizza i sistemi di filtraggio e logging sugli apparati perimetrali della rete; –fornisce supporto per mantenere e incrementare la sicurezza delle risorse affidate agli utenti.

Paestum, 11 Giugno E dopo? Istituzione CSIRT INFN Monitoraggio e auditing procedure sicurezza. Manutenzione documenti tecnici. Un ruolo per il (comatoso) Security Group?