Agenda Legge 196/03 e misure di sicurezza

Slides:



Advertisements
Presentazioni simili
Certificazioni Infrastrutture IT di Telecom Italia
Advertisements

INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
1 I SOGGETTI TITOLARE AZ. SAN. RESPONSABILI INCARICATI DIPENDENTI DIRIGENTI SANITARI.
CORSO PRIVACY PARTE GENERALE
IL PROCESSO DI REVISIONE AZIENDALE
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
1 Lo Sportello Unico e la comunicazione Arezzo, 27 gennaio 2005.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Riproduzione riservata
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
ORSS Web 2012.
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Ottobre 2006 – Pag. 1
Convegno il fattore sicurezza slide n. 1 La messa a norma per il trattamento dei dati personali (privacy) Ing. Piero Giagnoni Milano, 4 dicembre 2001.
Il nuovo Codice in materia di protezione dei dati personali.
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
14 Aprile 2005 Presentazione v. 6 - Tutti I diritti riservati. Vietata la duplicazione e la distribuzione parziale o totale Presentazione della Società
Ministero dellIstruzione, dellUniversità e della Ricerca Servizio per lAutomazione Informatica e lInnovazione Tecnologica – Ufficio di Statistica -VII.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Stefano Di Giovannantonio ECM Consulting Solution Expert
Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
SISTEMI DI GESTIONE AMBIENTALE E MODELLO EX D. L.GS. 231/01
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
Chi è Ecosquare Società che gestisce il mercato telematico dei rifiuti, sottoprodotti industriali e derivati Tipologia clienti: produttori,
LE COMPONENTI DEL SISTEMA INFORMATIVO
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
“La gestione integrata del rischio nelle strutture sanitarie”
IL CODICE DELLA PRIVACY
IL SISTEMA DI GESTIONE QUALITA’
1© Copyright 2014 EMC Corporation. Tutti i diritti riservati. CONTINUOUS AVAILABILITY ORACLE Panoramica tecnica.
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
La Conservazione Sostitutiva e la Soluzione Una-Doc.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Marco Pellegrini, Direttore Marketing InfoCamere
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
Storo 30 ottobre 2006 – Pierluigi Roberti Problemi legati al software e possibili soluzioni ReadyServices sas Pierluigi Roberti.
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
Roma – 9 maggio 2005La Sicurezza informatica nella P.A.: strumenti e progetti Continuità Operativa per le PA Gaetano Santucci CNIPA Responsabile Area Indirizzo,
D.Lgs 196/03: Tutela della privacy
FITEL Telecomunicazioni Soluzioni per tecnologie informatiche e telecomunicazioni.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Tecnologia e Management delle Aziende sanitarie, l'approccio organizzato alle misure del Regolamento 2016/679 UE FILOMENA POLITO -24 GIUGNO 2016.
Transcript della presentazione:

La gestione dei dati in Sanità tra diritti di sicurezza e necessità di efficienza Mariangela Fagnani Roma – 5 Dicembre 2005

Agenda Legge 196/03 e misure di sicurezza Sicurezza e privacy: approccio e metodologia Le principali soluzioni IBM Consulenza per gli adempimenti alla legge 196/03 Controllo accessi e sistema di autorizzazione Soluzioni di Business Continuity Certificazione del Sistema di Gestione della Sicurezza vs BS7799 Conformita’ alla norma HIPAA (Health Insurance Portability and Accountability Act) IBM Data Governance Council

Agenda Legge 196/03 e misure di sicurezza

protezione dei dati personali Uno sguardo allo schema di sintesi della legge 196/03 : Codice in materia di protezione dei dati personali richiede Titolare D.lgs 196/’03 Organizzazione Responsabili Incaricati per Adempimenti Formali Informativa Consenso Notifica Autorizzazione del Garante DPSS Adempimenti Strutturali Inventario e selezione banche dati Analisi dei Rischi Contromisure di sicurezza Continuità del Business Formazione Procedure di risposta Sanzioni Penali Amministrative per evitare verso PERSONA FISICA O GIURIDICA cui si riferiscono i dati e le informazioni (dipendenti, clienti, fornitori, abbonati.....) Interessato

Il legislatore pone la sicurezza come condizione fondamentale al trattamento di dati personali La Legge rende primaria la necessità di realizzare alcune misure di Sicurezza atte a custodire e proteggere i dati personali e le altre informazioni di valore per l'azienda Fiducia dell’utente nel servizio Non si può' gestire la privacy... ... senza una solida sicurezza!! Privacy Protezione dei dati personali Sicurezza

Le misure di sicurezza previste dalla legge: misure idonee e misure minime Cosa sono? Sono l’insieme delle misure tecniche, informatiche, organizzative, logistiche e procedurali che configurano il livello di protezione necessario a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta Che caratteristiche devono avere? Quali possono essere? Le misure di sicurezza devono essere: preventive obbligatorie correlate al mezzo utilizzato crescenti Idonee (è l’obiettivo di sicurezza della legge) Tutte le misure di sicurezza necessarie a minimizzare i rischi in funzione delle caratteristiche organizzative e tecniche dell’azienda nonché dell’evoluzione tecnologica Minime (è il livello minimo delle misure idonee) devono essere adottate indipendentemente dalle caratteristiche dell’azienda. Hanno le seguenti caratteristiche: Rappresentano il livello “minimale” e non sono sufficienti a rappresentare l’obiettivo voluto dalla legge (“Misure Idonee”) Elenco pre-definito e identificate nel “disciplinare tecnico” incluso nel codice Privacy (all. B) Comuni Giudiz. Sensib. Sanit. Genetici

Agenda Sicurezza e privacy: approccio e metodologia

raggiungimento di specifici requisiti La corretta applicazione e gestione delle misure di sicurezza richiede il raggiungimento di specifici requisiti La sicurezza delle informazioni permette di governare e proteggere il valore e i requisiti dei dati Integrità Disponibilità Prevenire modifiche / alterazioni del contenuto / valore del dato Rendere accessibile il dato solo a chi ne ha necessità per svolgere il proprio lavoro Riservatezza Governo Proteggere, custodire, gestire il dato in funzione del valore assegnato Gestire in modo controllato le attività attraverso i sistemi informatici Dato Verificabilità Continuità Ricostruire chi ha fatto cosa per garantire accuratezza e completezza dei dati Garantire il servizio informatico e la disponibilità dei dati a fronte di possibili interruzioni

La sicurezza dei dati personali riguarda le risorse da proteggere, le responsabilità da definire e si realizza attraverso il bilanciamento di interventi orientati al contenimento dei maggiori rischi... Rischio: legale di business contrattuale Dato personale/sensibile Software di base Applicazioni informatiche Hardware Rete Archivi ... Risorse Rischio Misure di Sicurezza Responsabilità Organizzative, normative e tecniche di - Protezione - Controllo - Verifica Proteggere Gestire Usare Acquisire/Alienare

Per realizzare le misure di sicurezza dei dati personali è necessario verificarne lo stato attuale, il conseguente livello di rischio e individuare le adeguate contromisure Sicurezza della Rete hardware e software connessioni interne connessioni esterne Sicurezza logica identificazione e autenticazione software di autenticazione Sistema di autorizzazione Crittografia dei dati accessi remoti accessi al web antivirus Sicurezza Fisica installazioni, reti, aree riservate supporti magnetici uffici perimetri territorio PARC Dipendenti Volontari PC e Workstation necessità operative delle banche dati salvate protezione fisica protezione logica output e supporti removibili Pubblico Forze di Polizia Continuità del servizio gestione degli archivi operazioni di back-up ripristino attività informatiche gestione degli incidenti ASL Pubblica Amm.ne Locale Azienda Sanitaria Pazienti Operatori sanitari Aziende collegate Sicurezza nei trattamenti informatici tipologia di trattamento e sua finalità individuazione transazioni e output distribuzione e destinatari eliminazione duplicati Sviluppo e manutenzione applicazioni test e sviluppo utilizzo di dati appositi/mascheramento dati conversione degli archivi rilascio in produzione Ospedali Fornitori Verifica e controllo requisiti di audit log informatici registrazione degli accessi monitoring

Il programma di sicurezza si affronta adottando una metodologia per fasi, capace di comprendere e gestire gli asset rilevanti per il servizio fornito e per la sua tutela Comprensione dell’ Ecosistema Sanitario Individuazione delle scoperture di sicurezza e gap vs la legge(organizzative e tecnologiche) Prioritizzazione degli interventi Individuazione e disegno delle contromisure adeguate Implementazione delle soluzioni e dei prodotti Gestione del rischio (Certificazione di Sicurezza delle informazioni BS7799 –ISO/IEC 27001:2005) What should I do? Help me do it. Manage it. ASSESS PLAN DESIGN IMPLEMENT RUN Security Governance Assets Security

Agenda Le principali soluzioni IBM Consulenza per gli adempimenti alla legge 196/03 Controllo accessi e sistema di autorizzazione Soluzioni di Business Continuity Certificazione del Sistema di Gestione della Sicurezza vs BS7799 Conformita’ alla norma HIPAA (Health Insurance Portability and Accountability Act)

Le principali soluzioni IBM Consulenza per gli adempimenti alla legge 196/03 Adeguamento Privacy (196/03) Attività di supporto necessario alla realizzazione degli adempimenti formali della Legge 196/03, delle Misure Minime di Sicurezza ed alla stesura del Documento Programmatico sulla Sicurezza Attività previste Assessment Inventario banche dati Analisi dei rischi Individuazione delle misure di sicurezza Formazione e sensibilizzazione del personale Redazione del DPS Adempimenti formali sostanziali Banche dati sensibili personali Trattamento automatizzato “manuale” Organizzative Normative Tecnologiche Responsabili del trattamento Amministratori di sistema Incaricati Inventario banche dati 1 Evidenza delle aree di vulnerabilità e rischi correlati. 2 Adempimenti formali (lettere di incarico, istruzioni, informativa, consenso, notificazione, ..) 3 Memoranda per i ruoli di legge individuati 4 Misure di sicurezza minime o idonee 5 Flussi procedurali 6 Package di formazione 7 DPS 8 Risultati

Le principali soluzioni IBM Controllo accessi e sistema di autorizzazione Produttività e qualità del servizio ottimizzare processo di gestione “account” servizi per l’utente (Passw.Mgmt., SSO,..) Amministrazione controllata e delegabile consolidamento delle credenziali dell’utente all’interno di un unico repository centralizzato (LDAP) Sicurezza Politiche di sicurezza rafforzate Definizione di processi, procedure e tecnologie per la gestione della “Identità digitale”, intesa come rappresentazione di un utente e dei relativi diritti di autenticazione ed autorizzazione all’interno dell’organizzazione sanitaria, in funzione della criticita’ dei dati. Identity Management creazione, propagazione e gestione cemtralizzata delle informazioni che descrivono un utente. Access Management creazione, propagazione e gestione delle informazioni che servono per definire i diritti di autenticazione e autorizzazione dell’utente in relazione a risorse, servizi e dati. Strong Authentication adozione di strumenti per il riconoscimento degli utenti (token, smart card, impronta digitale, ....) Single SignOn Propagazione e sincronizzazione delle credenziali di accesso alla rete, sistemi, applicazioni Costi Amministrazione della sicurezza Audit e controllo Help desk Time to market Risposta dinamica al business Linee guida per lo sviluppo di nuove applicazioni

Le principali soluzioni IBM Controllo accessi e sistema di autorizzazione basati sul ruolo dell’utente L’accesso ai sistemi e ai dati e’ stabilito sulla base del ruolo/mansione dell’utente e della tipologia dei dati

Le principali soluzioni IBM Controllo accessi e sistema di autorizzazione: strong authentication Utente

Le principali soluzioni IBM Soluzione di Disaster Recovery Tier 0: No backups Tier 1: Backups off-site Tier 2: Backups off-site + Hot Site Tier 3: Electronic Vaulting in Remote Library Tier 4: Batch/Online DB shadowing and journaling Tier 5: SW two-phase commit Tier 6: Near zero data loss with remote disk mirroring Tier 7: Near zero or zero data loss with remote disk mirroring and highly automated recovery Weeks Days Hours Minutes RTO $ Recovery Rapid Recovery Continuity Centro Primario Centro Alternativo Off-Site Storage Scenario di disastro Off-Site and Hot Site

Le principali soluzioni IBM Soluzione di Business Continuity Centro Alternativo Scenario di disastro Continuity DUPLICAZIONE ON-LINE DATI FIBRA OTTICA (km) Centro Primario Tier 0: No backups Tier 1: Backups off-site Tier 2: Backups off-site + Hot Site Tier 3: Electronic Vaulting in Remote Library Tier 4: Batch/Online DB shadowing and journaling Tier 5: SW two-phase commit Tier 6: Near zero data loss with remote disk mirroring Tier 7: Near zero or zero data loss with remote disk mirroring and highly automated recovery Weeks Days Hours Minutes RTO $ Recovery Rapid Recovery Continuity

BCRS Center – Settimo Milanese (Milan) Le principali soluzioni IBM I centri di Business Continuity & Disaster Recovery di IBM BCRS Center – Worlwide BCRS Center – Settimo Milanese (Milan) BCRS – DR Centers 140 centri worldwide 71 in Europa 2 in Italia Servizi offerti Progettazione, realizzazione e gestione dei servizi e delle soluzioni di Disaster Recovery, High Availability e Business Continuity Centro di Disaster Recovery : primo in Italia per dimensioni, capacità ed eterogeneità di apparati, livelli di continuità garantiti e servizi forniti

Le principali soluzioni IBM Certificazione del sistema di gestione della sicurezza vs BS7799 - ISO/IEC 27001-2005 Obiettivo BS7799: ottimizzazione rapporto costi/benefici delle misure di sicurezza. BS7799 parte I “should” Elenca le “best practice” suggerite per implementare un programma per la sicurezza delle informazioni 1. Security Policy 2. Organization of Information Security 3. Asset management 4. Human Resources security 5. Physical and environmental Security 6. Communication and Operations management BS 7799 parte II “shall” Elenca i processi ed i controlli per implementare e certificare un sistema di gestione della sicurezza delle informazioni 7. Access Control 8. Information System Acquisition, Development and Maint. 9. Information Security Incident Management 10. Business Continuity Management 11. Compliance

Le principali soluzioni IBM Conformita’ alla norma HIPAA L’HIPAA definisce le regole e le linee guida che un Organismo sanitario pubblico o privato deve adottare per la protezione dei PHI (Protected Health Information: qualsiasi informazione individuale relativa allo stato di salute, condizione, trattamento, che rivelino l’identità dell’individuo o rappresentino una base importante per risalire all’identità dello stesso ) Obiettivi Security Guidelines Regole generali Assicurare la Confidenzialità, l’Integrità e la Disponibilità dei dati sanitari A Includere tutti gli aspetti della Security B Implementazione customizzata in relazione alla dimensione e complessità dell’organizzazione C Soluzioni non imposte ma adattabili ai progressi tecnologici D Sicurezza amministrativa Sicurezza fisica Sicurezza Tecnologica Requisiti organizzativi Politiche, procedure, documenti

Le principali soluzioni IBM Conformita’ alla norma HIPAA: l’offerta di consulenza di IBM L’approccio IBM consente l’integrazione degli adempimenti previsti dalle Leggi nazionali e internazionali sulla Privacy con l’HIPAA

Istituto Clinico in Lombardia Case history Istituto Clinico in Lombardia Obiettivi Conformita’ alla legge 196/03 per le Cliniche del Gruppo . Soluzione Servizi di consulenza, alla Holding e alle Cliniche del Gruppo, per: Adempimenti formali (notifica, nomine, etc) Inventario banche dati Analisi dei rischi DPS Formazione Proposte di progetti di miglioramento del livello di sìcurezza

Case history Proposta per la conformita’ dei pc che si connettono alla rete alle policy di sicurezza dell’istituto clinico + Tivoli Security Compliance Manager permette di Controllare sistemi ed applicazioni per evidenziare possibili vulnerabilità (qualità della password) Verificare la presenza di patch di sicurezza e livelli di software appropriati Integrato con Cisco Trust Agent, Cisco ACS, Tivoli Configuration Manager per effettuare la remediation dei pc. Cisco Self-Defending Network Identifies, prevents and adapts to threats Limits damage from viruses and worms Delivers new system-level threat defense & identity management capabilities

Agenda IBM Data Governance Council

IBM Data Governance Council Il 30 Giugno 2005 l’IBM ha costituito il “Data Governance Council” A questo Council partecipano altri software partners e gruppi di utenti (principalmente dal mondo bancario e governativo) ad oggi circa 40 Il Council ha un approccio datacentrico, focalizzato sull’interazione tra dati e processi di business Dal punto di vista del business l’ottica è quello di ottimizzare i processi, con gli aspetti di sicurezza, privacy e compliance Dal punto di vista tecnico lo scopo è quello di legare il data modelling, le definizioni dei metadati e le attività per la gestione del ciclo di vita degli stessi Il Council ha lo scopo di produrre soluzioni che risolvano i problemi evidenziati, mediante l’utilizzo degli strumenti disponibli.

La necessità di un approcio datacentrico L’esperienza della Data Governance di IBM Il modello di sicurezza dei dati L’esperienza quotidiana mostra come sia difficile per la direzione aziendale comprendere i modelli di sicurezza: La terminologia relativa alla sicurezza non è di uso comune (es. non-repudiation, message digest, provisioning) Le funzioni di sicurezza non sono spesso ben comprese e confuse dai non esperti (eg, authentication vs authorization vs access control) Il management percepisce i modelli di sicurezza come complessi E’ necessario che i modelli di sicurezza diventino meno tecnici e più orientati ai processi di business, quindi comprensibili dal management.

Un modello di sicurezza centrato sul controllo dei dati I modelli di sicurezza esistenti, basati sulla tecnologia devono essere ripensati un’ottica Datacentrica La protezione dei dati e il controllo del loro uso diventa indispensabile per la compliance con le varie normative (SOX, HIPAA, Legge Privacy, etc.) e per avere processi efficienti

Data-Centric Security Model Hardened OS Corporate & Regulatory Guidelines Physical Type Intrusion Prevention Data Classification Firewalls Strategy Usage Owner Integrity VPNs LOBs Regulatory Sales Legal DATA Risk Anti-virus Security Zones Product Design Marketing Protection Human Resources Standards Policy Origin Network Authentication Confidentiality Application Layer & Perimeter Security Infrastructure Data Owner & Custodian Retention Authentication Authorization

Grazie per l’attenzione

Le principali soluzioni IBM Certificazione del sistema di gestione della sicurezza vs BS7799 - ISO/IEC 27001-2005 Definizione delle Politiche Definizione dell’Ambito Inventario Asset Classificazione Asset Risk Assessment Risk Management Selezione Controlli Allineamento e integrazione col Sistema Qualità SOA Redazione documentazione ISMS AI, Fase 2 Gruppo di Audit Esperti tecnici ( ev .) Fase 1 Riesame della documentazione Mantenimento (chiusura NC) Risk treatment Plan Organizzazione di Sicurezza Procedure Business Continuity Plan Implementazione tecnologica

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.