1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
2 20 maggio 2005 Sommario della presentazione Le nuove misure di sicurezza I principi ispiratori Disciplinare tecnico – Allegato B Misure minime e misure idonee di sicurezza
3 20 maggio 2005 Le nuove misure di sicurezza Il Codice in materia di protezione dei dati personali evidenzia: particolare attenzione all'aspetto della sicurezza dei dati personali obbligo di adozione di un insieme di misure di sicurezza
4 20 maggio 2005 Principi ispiratori La norma appare come lo sviluppo di tre principi: Integrità Confidenzialità Disponibilità
5 20 maggio 2005 Allegato - B Descrive le modalità tecniche che il titolare, il responsabile e l'incaricato devono adottare nel caso di trattamento con strumenti elettronici. Per strumento elettronico si intendono: gli elaboratori i programmi per elaboratori qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.
6 20 maggio 2005 Articolo 34 del codice A autenticazione informatica B adozione di procedure di gestione delle credenziali di autenticazione C utilizzazione di un sistema di autorizzazione D aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici E protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici F adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi G tenuta di un aggiornato documento programmatico sulla sicurezza H adozione di tecniche di cifratura per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari
7 20 maggio 2005 Misure idonee e misure minime Le misure minime si possono definire come il complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali che configurano un livello minimo di sicurezza Le misure idonee dipendono dalle circostanze, dalla natura del dato trattato e dal trattamento effettuato
8 20 maggio 2005 Le misure minime Le misure minime sono suddivisibili in tre aree: lautenticazione informatica il sistema di autorizzazione informatica la protezione di dati e di sistemi
9 20 maggio 2005 Autenticazione Il controllo di chi accede: agli elaboratori ai programmi e ad ogni altro strumento elettronico deve essere garantito dall'autenticazione informatica che ha il compito di verificare e convalidare l'identità del soggetto.
10 20 maggio 2005 Credenziali di autenticazione Dati e dispositivi in possesso di una persona, da questa conosciuti o ad essa univocamente correlati utilizzati per l'autenticazione informatica. Grazie a questi posso effettuare una verifica dellidentità in modo diretto o indiretto.
11 20 maggio 2005 Credenziali di autenticazione definizione di una procedura di autenticazione sono associate individualmente sono disattivate se non utilizzate a lungo sono disattivate se lincaricato non è più autorizzato al trattamento sono impartite precise istruzioni sulla loro custodia lo strumento elettronico non deve rimanere incustodito in una sessione garanzia della disponibilità di un particolare trattamento
12 20 maggio 2005 Gestione delle password Lefficacia di una password deriva dalla sua capacità di non essere indovinata. Le password devono: avere una lunghezza minima di otto caratteri non essere facilmente individuabili o riconducibili allincaricato devono essere modificate ogni tre o sei mesi devono essere custodite diligentemente
13 20 maggio 2005 Fornisce elevato livello di sicurezza in quanto la password ( scelta dalloperatore ) viene sostituita da : SMART CARD USB KEYS etc. Si parla di doppia autenticazione in quanto oltre al possesso del dispositivo hardware è necessario ricordare un PW / PIN per accedere al dispositivo stesso. La doppia autenticazione
14 20 maggio 2005 Autenticazione biometrica Lidentificazione dellutente avviene attraverso la scansione e l'analisi di caratteristiche fisiche quali: il volto le impronte digitali l'iride
15 20 maggio 2005 Autorizzazione Il sistema stabilisce a quali aree (dati) del computer lincaricato può accedere, dopo che si è autenticato, e quali azioni (trattamenti) può compiere. Non è obbligatorio ma generalmente è necessario. Il sistema prevede lutilizzo combinato di strumenti hardware e software organizzazione operativa Lo scopo è ottenere una profilazione gestita dagli strumenti
16 20 maggio 2005 Protezione e ripristino dei dati procedure e software che contrastino malware aggiornamento dei sistemi procedure di salvataggio dei file formazione degli incaricati
17 20 maggio 2005 Protezione di strumenti dei dati Nel caso di trattamento di dati sensibili e giudiziari la norma prevede lutilizzo di idonei strumenti per proteggersi da tentativi di intrusione Tecnologie utili: Firewall IDS ( Intrusion Detection System ) VPN ( Virtual Private Network ) e crittografia
18 20 maggio 2005 Ripristino dei dati salvataggio dei dati con frequenza settimanale custodia dei supporti removibili prodotti verifica dellefficacia
19 20 maggio 2005 Documento programmatico sulla sicurezza Requisito per la garanzia la sicurezza del trattamento dei dati personali è la corretta e completa compilazione del D.P.S. In particolare evidenzia: i trattamenti effettuati le modalità del trattamento la distribuzione dei compiti e delle responsabilità lanalisi dei rischi che incombono le contromisure in essere e da adottare
20 20 maggio 2005 Il controllo sullo stato di sicurezza La verifica dellefficacia e della validità delle misure di sicurezza adottate è un punto fondamentale, nel processo per la sicurezza: In un contesto tecnologico in rapidissima evoluzione, è necessario avere le massime garanzie circa la adeguatezza delle misure di sicurezza adottate, nei confronti del sempre più vasto, articolato ed aggiornato panorama delle minacce possibili.
21 20 maggio 2005 Domande ? :-) Grazie per lattenzione !
22 20 maggio 2005 Riferimenti Sito ufficiale ANCITEL per la Privacy in Comune: Sito ufficiale del Garante per la protezione dei dati personali: Clusit – Associazione italiana per la sicurezza informatica: Ministro per l'innovazione e le tecnologie: