“Misure minime di sicurezza: adempimenti tecnici e organizzativi”

Slides:



Advertisements
Presentazioni simili
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Struttura del codice sulla privacy:
Effetti della 196/2003 sui sistemi informativi. Decreto legislativo del 30 giugno 2003 n.196 Chiunque tratta dati personali è tenuto a rispettare gli.
IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003.
Aspetti Tecnici e Requisiti IT
CORSO PRIVACY PARTE GENERALE
Decreto legislativo 196/2003 ed il MEDICO DEL LAVORO Adempimenti correlati al Decreto Legislativo 196/2003 nella nostra attività professionale quotidiana.
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
LA NORMATIVA DI RIFERIMENTO
PRIVACY E SICUREZZA Normativa e adempimenti
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Il nuovo Codice sulla Privacy nella scuola
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Milano Introduzione alla sicurezza informatica per il Codice della Privacy Prof. Avv. Giovanni Ziccardi - Università degli Studi di Milano
SICUREZZA OBBLIGATORIA: COSA CAMBIA NELLA FORMAZIONE? Incontro con SPISAL sul nuovo Accordo Stato - Regioni 1 marzo 2012.
Riproduzione riservata
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
“Testo Unico sulla Privacy”
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
La tutela dei dati personali
Visual Privacy Programma per la gestione del Documento Programmatico sulla Sicurezza Programma per la gestione del Documento Programmatico sulla Sicurezza.
Linformatizzazione dellArchivio Cartaceo degli Uffici Tecnici Comunali Aprile 2008 Studio AESSE Servizi Tecnici Informatici COMUNE /ASSOCIAZIONE.
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Brochure Privacy Con la nuova legge privacy diventa obbligatorio adottare un vero e proprio Sistema di Sicurezza Aziendale che protegga tutti i dati, siano.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
A cura di Rag. Malfara Sacchini Mario - Vibo Valentia 5 Novembre 2006 Il Codice della Privacy Sintesi normativa e cenni applicativi a cura di Malfarà Sacchini.
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
IL CODICE DELLA PRIVACY
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
E. Bovo INFN1 Documento informatico e comunicazioni elettroniche. Tutela dei dati ed efficacia delle comunicazioni. Castiadas (CA) Eleonora.
© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Le associazioni possono costituirsi:
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
D.Lgs 196/03: Tutela della privacy
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
ECDL European Computer Driving Licence
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
Protezione dei dati personali: Soggetti, compiti e responsabilità 15° Censimento generale della popolazione e delle abitazioni Formazione UCC Prefettura.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
La tutela della Privacy ed il trattamento dei dati sensibili negli Uffici Giudiziari”. Corso di formazione in materia di “ La tutela della Privacy ed il.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

“Misure minime di sicurezza: adempimenti tecnici e organizzativi” Elisabetta Codarin – Security Consultant Risk Analysis and Management Area – CryptoNet S.p.A. elisabetta.codarin@cryptonet.it 19/02/2004

Il disciplinare tecnico I tempi per l’adeguamento Le misure minime Il disciplinare tecnico I tempi per l’adeguamento 19/02/2004

Responsabilità civile Necessità di sicurezza MISURE DI SICUREZZA “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta” (cfr. art. 31) “Nel quadro dei più generali obblighi di sicurezza di cui all’art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.” (cfr. art. 33) Responsabilità civile Responsabilità penale 19/02/2004

Misure Minime di Sicurezza (1) Trattamenti con strumenti elettronici (Art. 34) autenticazione informatica; adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; tenuta di un aggiornato documento programmatico sulla sicurezza; adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 19/02/2004

Misure Minime di Sicurezza (2) Trattamenti senza strumenti elettronici (Art. 35) Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e discipilina delle modalità di accesso finalizzata all’identificazione degli incaricati Istituzionalizzazione dell’obbligo di formalizzare le procedure interne anche per i trattamenti manuali 19/02/2004

Il disciplinare tecnico I tempi per l’adeguamento Le misure minime Il disciplinare tecnico I tempi per l’adeguamento 19/02/2004

Sistema di autenticazione informatica: metodi per l’autenticazione User name + password Caratteristica biometrica (+ user name / password) Token (+ user name / password) 19/02/2004

Sistema di autenticazione informatica: la gestione degli account e dei token univoco non riutilizzabile disattivabile procedure di gestione conservazione diligente ACCOUNT TOKEN 19/02/2004

Sistema di autenticazione informatica: la gestione delle password/1 minimo 8 caratteri (o il massimo consentito se inferiore) non deve contenere riferimenti all’utente modificabile dall’utente al primo utilizzo obbligo di modifica almeno ogni 6 mesi (3 mesi se a protezione di dati sensibili) custodia diligente e mantenimento della segretezza 19/02/2004

Sistema di autenticazione informatica: la gestione delle password/2 maggior frequenza nella sostituzione non riusabilità lunghezza maggiore prevedere l’utilizzo di lettere, numeri, caratteri alfanumerici discriminare tra maiuscole e minuscole non utilizzare vocaboli presenti nei dizionari non utilizzare sequenze ovvie sulla tastiera (es. qwerty, 123456) utilizzare passphrase (es. TUP:DIL2M = “testo unico privacy: dobbiamo implementare le misure minime”) stabilire un limite ai tentativi di accesso procedure di gestione sia per gli utenti che per gli amministratori 19/02/2004

Sistema di autorizzazione Garantire l’accesso ad applicazioni e/o dati in base alle caratteristiche dell’utente Profili di autorizzazione per singolo utente Profili di autorizzazione per gruppi di utenti 19/02/2004

Sistema di autorizzazione: due approcci Gestione decentralizzata: crea autorizzazioni per ogni singola piattaforma sfrutta le funzionalità delle piattaforme per definire i privilegi non richiede introduzione di altro software difficoltà di gestione (molti elenchi di privilegi, rischio di creare conflitti di privilegi) Gestione centralizzata: un unico elenco di privilegi valido per tutte le piattaforme richiede l’introduzione di nuovo software tre modalità di implementazione: directory LDAP, single sign-on, provisioning 19/02/2004

Sistema di autorizzazione: gestione centralizzata/ directory LDAP Elisa: Paghe NO C. Clienti SI User-id Password ELISA Directory LDAP ******** Contabilità clienti User-id Password ELISA Accesso concesso ******** Postazione utente Paghe Accesso negato 19/02/2004

X Sistema di autorizzazione: gestione centralizzata/single sign-on Elisa: Paghe NO C. Clienti SI C. Fornitori SI Banche SI Autenticazione a SSO User-id Password ELISA ******** SSO Server X Contabilità fornitori Postazione utente Paghe Banche Contabilità clienti 19/02/2004

X Sistema di autorizzazione: gestione centralizzata/provisioning Elisa: Div. Contabilità Div. Contabilità: Paghe NO Cont. Clienti SI t. Fornitori SI Server provisioning User-id Password ELISA ******** X Paghe Postazione utente User-id Password ELISA ******** Contabilità clienti 19/02/2004

Altre misure di sicurezza: verifica dell’elenco dei manutentori Necessità di verificare almeno annualmente l’elenco degli incaricati alla gestione e alla manutenzione dei sistemi informativi 19/02/2004

Altre misure di sicurezza: protezione da intrusioni Protezione da intrusione e da sw dannoso ANTIVIRUS FIREWALL IDS Aggiornamento almeno semestrale 19/02/2004

Aggiornamento periodico di programmi e sistemi operativi Altre misure di sicurezza: aggiornamenti Aggiornamento periodico di programmi e sistemi operativi SEMESTRALE per dati sensibili o giudiziari ANNUALE per gli altri dati 19/02/2004

Altre misure di sicurezza: back-up e disaster recovery almeno settimanale istruzioni organizzative istruzioni tecniche coordinato ad un piano di disaster recovery Disaster recovery obbligatorio per dati sensibili e giudiziari, utile per tutti ripristino dei dati entro 7 gg può essere integrato da un piano di business continuity 19/02/2004

Documento programmatico sulla sicurezza Obbligatorio per chi tratta dati sensibili o giudiziari. Da redigere ed aggiornare entro il 31 marzo di ogni anno. Elenco dei trattamenti di dati personali Distribuzione dei compiti e delle responsabilità Analisi dei rischi che incombono sui dati Misure per garantire integrità, disponibilità dei dati, protezione delle aree, dei locali Criteri e modalità per il ripristino della disponibilità dei dati Previsione di interventi formativi Criteri per misure minime in caso di trattamenti di dati affidati all’esterno Criteri per la cifratura/separazione dei dati sensibili dagli altri 19/02/2004

Ulteriori misure per iltrattamento di dati sensibili o giudiziari: uso di supporti rimovibili Uso dei supporti rimovibili Istruzioni per uso e custodia Istruzioni per il riutilizzo / la distruzione 19/02/2004

Ulteriori misure per il trattamento di dati sensibili o giudiziari: norme per i dati sanitari i dati sanitari sono trattati in modo da poter essere separati dagli altri dati dell’interessato i dati relativi all’identità genetica sono trattati in appositi locali, da addetti autorizzati i dati relativi all’identità genetica se trasferiti in formato cartaceo sono posti in contenitori dotati di serratura, se in formato elettronico sono cifrati 19/02/2004

Misure di tutela e garanzia Dichiarazione di conformità alle disposizioni del TUP per gli installatori di dispositivi che soddisfano le misure minime system integrator software house 19/02/2004

Il disciplinare tecnico I tempi per l’adeguamento Le misure minime Il disciplinare tecnico I tempi per l’adeguamento 19/02/2004

I tempi per l’adeguamento 31 marzo: redazione del DPS 30 giugno 2004: introduzione delle nuove misure minime 1 gennaio 2005: adeguamento mezzi e nuove misure minime per chi richiederà la propoga entro il 30 giugno 2004 19/02/2004

Grazie! elisabetta.codarin@cryptonet.it 19/02/2004