DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

Slides:

Advertisements

Presentazioni simili

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.

Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003.

Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Reti scolastiche, sicurezza e politiche uso accettabile Dario Zucchini 8° Forum Biblioteca Virtuale Moncalieri.

Aspetti Tecnici e Requisiti IT

NEI COMPUTER CI SONO DATI IMPORTANTI E PER QUESTO È OPPORTUNO FARE PERIODICAMENTE COPIE DI BACKUP DEI DATI SU CD-ROM, PENNE USB O NASTRI MAGNETICI, PER.

Sicurezza dei dati e privacy. Nel computer sono conservati dati molto importanti e per questo motivo si deve impararli a proteggerli.

CORSO PRIVACY PARTE GENERALE

CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.

LA NORMATIVA DI RIFERIMENTO

FORMAZIONE E PARTECIPAZIONE

1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.

Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.

Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.

La tutela dei dati personali

Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.

Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.

Il nuovo Codice sulla Privacy nella scuola

Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.

PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO

Riproduzione riservata

Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:

Gestione dei dati: obblighi e responsabilità1 Misure di sicurezza nel trattamento dei dati personali.

Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.

FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE

Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)

“Misure minime di sicurezza: adempimenti tecnici e organizzativi”

Visual Privacy Programma per la gestione del Documento Programmatico sulla Sicurezza Programma per la gestione del Documento Programmatico sulla Sicurezza.

Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -

1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)

Per la gestione dei dati personali: Per la gestione dei dati personali:

D. Lgs 196/2003 Codice in materia di protezione dei dati personali.

22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.

D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.

PRIVACY: Adempimenti e Opportunità

La sicurezza delle reti informatiche : la legge sulla Privacy

1 La Protezione dei Dati Personali Il modello Basilicata dott. Vincenzo Veneziano PROGETTO SEMPLIFICAZIONE.

20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)

20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:

“La gestione integrata del rischio nelle strutture sanitarie”

IL CODICE DELLA PRIVACY

ECDL Patente europea del computer MODULO 1 Concetti di base della tecnologia dellinformazione 1.5 Sicurezza.

Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.

IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY

 Programma  Concetto di privacy  Fonti normative e loro evoluzione  Definizioni: figure sogg. e terminologie  Adempimenti  Misure di sicurezza 

SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.

Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.

Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.

Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.

LO SPORTELLO UNICO DELL’ EDILIZIA

CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.

R:\2.Scambio\Normativa_Privacy

Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.

© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza.

INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.

Le associazioni possono costituirsi:

D.Lgs 196/03: Tutela della privacy

Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.

1 Sicurezza Diritto d’autore Aspetti giuridici. 2 La sicurezza dei dati Copia di Backup ( salvataggio), Password di accesso.

Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.

Protezione dei dati personali: Soggetti, compiti e responsabilità 15° Censimento generale della popolazione e delle abitazioni Formazione UCC Prefettura.

Spunti in tema di evoluzione del diritto dell’obbligazione.

Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.

Sicurezza nei sistemi aziendali. La complessità dei sistemi informatici, la sempre maggiore integrazione tra elementi eterogenei, la crescita dell’accessibilità.

La tutela della Privacy ed il trattamento dei dati sensibili negli Uffici Giudiziari”. Corso di formazione in materia di “ La tutela della Privacy ed il.

Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.

La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.

Transcript della presentazione:

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA PREMESSA Il “documento programmatico sulla sicurezza” costituisce una sorta di manuale della sicurezza dell'organizzazione ai fini del trattamento dei dati personali tutelati dal Codice sulla privacy

Linee guida per la compilazione del documento programmatico sulla sicurezza Premessa Fonti normative Soggetti coinvolti nel trattamento dei dati

Premessa Il Codice sulla privacy (D.lgs.vo 196/03) impone a chiunque tratta informazioni relative ad altre persone, imprese, enti od associazioni di rispettare alcuni principi fondamentali a garanzia della riservatezza dei dati stessi. Il Codice prescrive precisi obblighi e comportamenti da attuare nel trattare dati; questi obblighi sono sanzionati anche penalmente: è necessario, pertanto, procedere all’adeguamento dell’organizzazione al fine di rispettare gli obblighi imposti dal Codice. La finalità del “documento programmatico della sicurezza” è quella di definire i criteri e le procedure per garantire la sicurezza nel trattamento di dati personali

Fonti normative Le disposizioni di legge principali concernenti la corretta gestione di sistemi informatici sono: R.D. 22.4.1941 n. 633 e D.Lgs. 29.12.1992 n. 518 (tutela del diritto di autore sul software); L. 23.12.1993 n. 547 (reati legati all’informatica - modifiche al Codice penale); D.lgs.vo 30.6.2003 n.196 (recante il Codice in materia di protezione dei dati personali) e suo Disciplinare Tecnico

Soggetti coinvolti nel trattamento dei dati Il TITOLARE Il RESPONSABILE l’INCARICATO L'’INTERESSATO AMMINISTRATORE DI SISTEMA

DOCUMENTO PROGRAMMATICO PER LA SICUREZZA D DOCUMENTO PROGRAMMATICO PER LA SICUREZZA D.legsvo 196 del 30 giugno 2003

INTRODUZIONE Il presente documento definisce lo stato di attuazione nell'istituzione scolastica <NOME DELL'ISTITUTO> , d'ora in poi ISTITUZIONE SCOLASTICA, per quanto disposto dal D.Leg. n° 196 del 30 giugno 2003, artt. da 33 a 36 e ALLEGATO B “DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA”.

ANALISI DELLA SITUAZIONE DELL'ISTITUZIONE SCOLASTICA Descrizione del Sistema Informatico Hardware Reti locali ed altri sistemi di collegamento di terminali; Server e sistemi multiutenti presenti nell'ISTITUZIONE SCOLASTICA con i relativi sistemi operativi utilizzati; Unità di accesso per gli utenti (terminali, personal computer, workstations, stampanti, telefax); Elaboratori portatili; Collegamenti del sistema a rilevatori di presenze, od altri dispositivi di acquisizione dati (lettore ottico, scanner); Dispositivi di connessione verso l’esterno, per singoli utenti o condivisi tra più utenti (modem, router).

ANALISI DELLA SITUAZIONE DELL'ISTITUZIONE SCOLASTICA Software Sistemi operativi utilizzati; Applicazioni di tipo gestionale; Applicazioni di office automation; Software Didattico; Sistemi di posta elettronica e strumenti di navigazione in Internet; Siti Internet interni o in hosting o housing presso provider;

Analisi ed elenco dei dati personali Nella sezione dovranno essere individuate ed elencate: le banche dati informatiche per il trattamento con strumenti elettronici I server e/o i sistemi su cui sono archiviati i dati Le applicazione utilizzate per il trattamento Le finalità del trattamento Presenza di dati sensibili o giudiziari gli archivi cartacei Dislocazione fisica degli archivi Presenza di dati sensibili o giudiziari.

Struttura organizzativa funzionale al trattamento dati e singole responsabilità Il “titolare del trattamento” dei dati; Il/i “responsabile/i del trattamento” dati (se nominato/i in quanto facoltativo) Gli “incaricati del trattamento” Profili di autorizzazione individuati per singolo incaricato o per classi omogenee di incaricati (es. Docenti, Segreteria Didattica, Segreteria Amministrativa, ecc.) Il custode delle credenziali (amministratore del sistema informatico) Gli eventuali prestatori di servizi che trattano all’esterno dell’impresa dati per conto della stessa impresa (consulenti, professionisti, società di assistenza software, ...).

L’Amministratore del Sistema Informatico L’Amministratore di sistema garantisce la tutela ed il corretto uso dei sistemi informatici e delle banche-dati in essa contenuti. A tal fine predispone un REGOLAMENTO INTERNO che deve essere disponibile a tutto il personale che opera nel LABORATORIO INFORMATICO e/o negli uffici dotati di sistemi informatici.

Analisi dei rischi possibili e dei danni conseguenti Alterazione/danneggiamento accidentale o dolosa del sistema, dei programmi e/o dati Diffusione/comunicazione non autorizzata sia accidentale che dolosa Danneggiamento delle risorse informatiche per disastri naturali (incendi...) Accessi non autorizzati Sottrazione di elaboratori, programmi, supporti o dati Intrusioni dall’esterno nel sistema

- Misure di sicurezza adottate o da adottare Procedure relative alle misure imposte dal Disciplinare tecnico

Misure minime per i trattamenti informatici Definizione delle credenziali di autenticazione, individuate tra le seguenti tipologie: Codice identificativo, più parola chiave (login e password) Dispositivo di autenticazione (smart card e simili), più eventuale parola chiave Individuazione del custode delle credenziali (generalmente è l'amministratore di sistema) Modalità di attivazione, variazione e gestione delle credenziali Criteri di definizione dei profili di autorizzazione Attribuzione, revoca ed aggiornamento dei profili di autorizzazione Criteri di adozione, utilizzo e di aggiornamento dei sistemi antivirus (l'aggiornamento del software antivirus deve essere fatto con cadenza almeno bisettimanale). Criteri di adozione, utilizzo e di aggiornamento dei sistemi di antintrusione (firewall) Verifica dell'efficacia ed efficienza dei sistemi antivirus e antintrusione (verifica annuale).

Misure minime per i trattamenti cartacei Procedure e modalità per l’organizzazione degli archivi cartacei ad accesso autorizzato; Modalità di custodia dei dati particolari durante l’utilizzo; Modalità di identificazione e registrazione degli accessi ai dati particolari dopo l’orario di chiusura.

Criteri tecnici ed organizzativi per la protezione delle aree e dei locali e procedure di controllo per l’accesso Localizzazione e limitazioni all’accesso del data center (localizzazione dei server); Dispositivi antintrusione (specifici per il data center o generali per tutto l’edificio/stabilimento); Dispositivi antincendio (estintori, manichette, impianti di rilevazione e/o spegnimento automatico); Sistemi di registrazione degli ingressi e di chiusura dei locali; Presenza di un custode e/o di un servizio di vigilanza esterna; Custodia in armadi o classificatori ad accesso autorizzato; Modalità di custodia delle chiavi;

Criteri e procedure per assicurare l’integrità e la disponibilità dei dati Criteri di definizione del salvataggio dei dati (il salvataggio può essere effettuato su CD/ DVD, chiavetta USB, jazz, su nastro); Procedure per l’esecuzione del backup; Definizione delle tecniche e dei criteri di backup; Procedure per la conservazione dei backup (utilizzo di casseforti od armadi ignifughi); Procedure per la verifica della registrazione dei backup; Presenza di un responsabile per l’esecuzione e la verifica dei backup; Procedura di sostituzione ed eliminazione dei dispositivi di conservazione obsoleti (cassette, nastri magnetici, supporti ottici).

Criteri e procedure per assicurare l’integrità e la disponibilità dei dati Alimentazione: presenza di gruppi di continuità, sistemi collegati e tempi di funzionamento garantiti; Sistemi dotati di mirroring, in RAID, di tipo hot-swap, dotati di alimentazione ridondante, sistemi in cluster; Procedure di riutilizzo controllato dei supporti di memorizzazione; Climatizzazione dei locali.

Criteri e procedure per il ripristino dell’accesso ai dati (Piano di disaster recovery) Criteri di definizione per il ripristino dei dati (a seguito di distruzione o danneggiamento dei dati stessi e/o degli strumenti elettronici); Identificazione degli incidenti “eccezionali” dei sistemi informatici; Definizione di procedure che assicurino tempi certi di ripristino dei sistemi; Verifica periodica delle procedure attivate; Definizione di una policy di business continuity (modalità di lavoro in caso di disaster recovery).

FORMAZIONE E ADEGUAMENTO DEL DOCUMENTO Piani di formazione per gli incaricati del trattamento Calendario e contenuti degli incontri svolti o previsti Conservazione della documentazione consegnata Registrazione dei partecipanti agli incontri formativi

FORMAZIONE E ADEGUAMENTO DEL DOCUMENTO Programma di revisione ed adeguamento Determinare la periodicità dei controlli sull’efficienza ed efficacia delle misure previste nel presente documento (almeno una volta all’anno e comunque non oltre il 31 marzo di ciascun anno).