“Misure minime di sicurezza: adempimenti tecnici e organizzativi” Elisabetta Codarin – Security Consultant Risk Analysis and Management Area – CryptoNet S.p.A. elisabetta.codarin@cryptonet.it 19/02/2004
Il disciplinare tecnico I tempi per l’adeguamento Le misure minime Il disciplinare tecnico I tempi per l’adeguamento 19/02/2004
Responsabilità civile Necessità di sicurezza MISURE DI SICUREZZA “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta” (cfr. art. 31) “Nel quadro dei più generali obblighi di sicurezza di cui all’art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.” (cfr. art. 33) Responsabilità civile Responsabilità penale 19/02/2004
Misure Minime di Sicurezza (1) Trattamenti con strumenti elettronici (Art. 34) autenticazione informatica; adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; tenuta di un aggiornato documento programmatico sulla sicurezza; adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 19/02/2004
Misure Minime di Sicurezza (2) Trattamenti senza strumenti elettronici (Art. 35) Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e discipilina delle modalità di accesso finalizzata all’identificazione degli incaricati Istituzionalizzazione dell’obbligo di formalizzare le procedure interne anche per i trattamenti manuali 19/02/2004
Il disciplinare tecnico I tempi per l’adeguamento Le misure minime Il disciplinare tecnico I tempi per l’adeguamento 19/02/2004
Sistema di autenticazione informatica: metodi per l’autenticazione User name + password Caratteristica biometrica (+ user name / password) Token (+ user name / password) 19/02/2004
Sistema di autenticazione informatica: la gestione degli account e dei token univoco non riutilizzabile disattivabile procedure di gestione conservazione diligente ACCOUNT TOKEN 19/02/2004
Sistema di autenticazione informatica: la gestione delle password/1 minimo 8 caratteri (o il massimo consentito se inferiore) non deve contenere riferimenti all’utente modificabile dall’utente al primo utilizzo obbligo di modifica almeno ogni 6 mesi (3 mesi se a protezione di dati sensibili) custodia diligente e mantenimento della segretezza 19/02/2004
Sistema di autenticazione informatica: la gestione delle password/2 maggior frequenza nella sostituzione non riusabilità lunghezza maggiore prevedere l’utilizzo di lettere, numeri, caratteri alfanumerici discriminare tra maiuscole e minuscole non utilizzare vocaboli presenti nei dizionari non utilizzare sequenze ovvie sulla tastiera (es. qwerty, 123456) utilizzare passphrase (es. TUP:DIL2M = “testo unico privacy: dobbiamo implementare le misure minime”) stabilire un limite ai tentativi di accesso procedure di gestione sia per gli utenti che per gli amministratori 19/02/2004
Sistema di autorizzazione Garantire l’accesso ad applicazioni e/o dati in base alle caratteristiche dell’utente Profili di autorizzazione per singolo utente Profili di autorizzazione per gruppi di utenti 19/02/2004
Sistema di autorizzazione: due approcci Gestione decentralizzata: crea autorizzazioni per ogni singola piattaforma sfrutta le funzionalità delle piattaforme per definire i privilegi non richiede introduzione di altro software difficoltà di gestione (molti elenchi di privilegi, rischio di creare conflitti di privilegi) Gestione centralizzata: un unico elenco di privilegi valido per tutte le piattaforme richiede l’introduzione di nuovo software tre modalità di implementazione: directory LDAP, single sign-on, provisioning 19/02/2004
Sistema di autorizzazione: gestione centralizzata/ directory LDAP Elisa: Paghe NO C. Clienti SI User-id Password ELISA Directory LDAP ******** Contabilità clienti User-id Password ELISA Accesso concesso ******** Postazione utente Paghe Accesso negato 19/02/2004
X Sistema di autorizzazione: gestione centralizzata/single sign-on Elisa: Paghe NO C. Clienti SI C. Fornitori SI Banche SI Autenticazione a SSO User-id Password ELISA ******** SSO Server X Contabilità fornitori Postazione utente Paghe Banche Contabilità clienti 19/02/2004
X Sistema di autorizzazione: gestione centralizzata/provisioning Elisa: Div. Contabilità Div. Contabilità: Paghe NO Cont. Clienti SI t. Fornitori SI Server provisioning User-id Password ELISA ******** X Paghe Postazione utente User-id Password ELISA ******** Contabilità clienti 19/02/2004
Altre misure di sicurezza: verifica dell’elenco dei manutentori Necessità di verificare almeno annualmente l’elenco degli incaricati alla gestione e alla manutenzione dei sistemi informativi 19/02/2004
Altre misure di sicurezza: protezione da intrusioni Protezione da intrusione e da sw dannoso ANTIVIRUS FIREWALL IDS Aggiornamento almeno semestrale 19/02/2004
Aggiornamento periodico di programmi e sistemi operativi Altre misure di sicurezza: aggiornamenti Aggiornamento periodico di programmi e sistemi operativi SEMESTRALE per dati sensibili o giudiziari ANNUALE per gli altri dati 19/02/2004
Altre misure di sicurezza: back-up e disaster recovery almeno settimanale istruzioni organizzative istruzioni tecniche coordinato ad un piano di disaster recovery Disaster recovery obbligatorio per dati sensibili e giudiziari, utile per tutti ripristino dei dati entro 7 gg può essere integrato da un piano di business continuity 19/02/2004
Documento programmatico sulla sicurezza Obbligatorio per chi tratta dati sensibili o giudiziari. Da redigere ed aggiornare entro il 31 marzo di ogni anno. Elenco dei trattamenti di dati personali Distribuzione dei compiti e delle responsabilità Analisi dei rischi che incombono sui dati Misure per garantire integrità, disponibilità dei dati, protezione delle aree, dei locali Criteri e modalità per il ripristino della disponibilità dei dati Previsione di interventi formativi Criteri per misure minime in caso di trattamenti di dati affidati all’esterno Criteri per la cifratura/separazione dei dati sensibili dagli altri 19/02/2004
Ulteriori misure per iltrattamento di dati sensibili o giudiziari: uso di supporti rimovibili Uso dei supporti rimovibili Istruzioni per uso e custodia Istruzioni per il riutilizzo / la distruzione 19/02/2004
Ulteriori misure per il trattamento di dati sensibili o giudiziari: norme per i dati sanitari i dati sanitari sono trattati in modo da poter essere separati dagli altri dati dell’interessato i dati relativi all’identità genetica sono trattati in appositi locali, da addetti autorizzati i dati relativi all’identità genetica se trasferiti in formato cartaceo sono posti in contenitori dotati di serratura, se in formato elettronico sono cifrati 19/02/2004
Misure di tutela e garanzia Dichiarazione di conformità alle disposizioni del TUP per gli installatori di dispositivi che soddisfano le misure minime system integrator software house 19/02/2004
Il disciplinare tecnico I tempi per l’adeguamento Le misure minime Il disciplinare tecnico I tempi per l’adeguamento 19/02/2004
I tempi per l’adeguamento 31 marzo: redazione del DPS 30 giugno 2004: introduzione delle nuove misure minime 1 gennaio 2005: adeguamento mezzi e nuove misure minime per chi richiederà la propoga entro il 30 giugno 2004 19/02/2004
Grazie! elisabetta.codarin@cryptonet.it 19/02/2004