La sicurezza delle reti informatiche : la legge sulla Privacy

Slides:



Advertisements
Presentazioni simili
A cura di Fabio Della Casa
Advertisements

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Struttura del codice sulla privacy:
IL NUOVO CODICE DELLA PRIVACY DECRETO LEGISLATIVO N. 196 DEL 2003.
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Aspetti Tecnici e Requisiti IT
Sicurezza dei dati e privacy. Nel computer sono conservati dati molto importanti e per questo motivo si deve impararli a proteggerli.
CORSO PRIVACY PARTE GENERALE
Decreto legislativo 196/2003 ed il MEDICO DEL LAVORO Adempimenti correlati al Decreto Legislativo 196/2003 nella nostra attività professionale quotidiana.
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Il nuovo Codice sulla Privacy nella scuola
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
Milano Introduzione alla sicurezza informatica per il Codice della Privacy Prof. Avv. Giovanni Ziccardi - Università degli Studi di Milano
Riproduzione riservata
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
Gestione dei dati: obblighi e responsabilità1 Misure di sicurezza nel trattamento dei dati personali.
Ordine degli Ingegneri della Provincia di Napoli Commissione Informatica 1 Seminario sulla Sicurezza e sulla Protezione dei Dati Personali Napoli 11 novembre.
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
La tutela dei dati personali
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Brochure Privacy Con la nuova legge privacy diventa obbligatorio adottare un vero e proprio Sistema di Sicurezza Aziendale che protegga tutti i dati, siano.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
29/04/2014 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) A cura del dott. Angelo Salice.
ECDL Patente europea del computer MODULO 1 Concetti di base della tecnologia dellinformazione.
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
IL CODICE DELLA PRIVACY
ECDL Patente europea del computer MODULO 1 Concetti di base della tecnologia dellinformazione 1.5 Sicurezza.
IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY
Pubblicità legale (Albo on-line)
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
E. Bovo INFN1 Documento informatico e comunicazioni elettroniche. Tutela dei dati ed efficacia delle comunicazioni. Castiadas (CA) Eleonora.
© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Le associazioni possono costituirsi:
Storo 30 ottobre 2006 – Pierluigi Roberti Problemi legati al software e possibili soluzioni ReadyServices sas Pierluigi Roberti.
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
D.Lgs 196/03: Tutela della privacy
Cloud SIA V anno.
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
GR: Arzuffi - Carreri -Rinetti - Smiroldo MR 1 Sicurezza Diritto d’autore Aspetti giuridici.
ECDL European Computer Driving Licence
1 Sicurezza Diritto d’autore Aspetti giuridici. 2 La sicurezza dei dati Copia di Backup ( salvataggio), Password di accesso.
PRIVACY ED AVIS Una relazione pericolosa ?. La gestione dei dati: un adempimento importante!! La nostra associazione deve prestare particolare attenzione.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
1 2 DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA Sistema di autenticazione informatica 1.Il trattamento di dati personali con strumenti.
La tutela della Privacy ed il trattamento dei dati sensibili negli Uffici Giudiziari”. Corso di formazione in materia di “ La tutela della Privacy ed il.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

La sicurezza delle reti informatiche : la legge sulla Privacy Nicola Maggi – Genesys Software srl

Adeguamento del sistema informatico……. MISURE MINIME DI SICUREZZA, individuate negli artt. 31-36 e nell’Allegato B, obbligatorie per chi tratta i dati personali con strumenti elettronici. Nicola Maggi – Genesys Software srl

Quali sono le MISURE MINIME? AUTENTICAZIONE INFORMATICA SISTEMI DI AUTORIZZAZIONE MANUTENZIONE, PROTEZIONE E AGGIORNAMENTO ALTRE MISURE DI SICUREZZA ULTERIORI MISURE PER DATI SENSIBILI E GIUDIZIARI Nicola Maggi – Genesys Software srl

1) Autenticazione informatica Procedimento con cui un individuo viene riconosciuto come tale In un sistema informatico possono esserci varie forme di autenticazione Ogni incaricato al trattamento dei dati deve essere munito di una o più credenziali di autenticazione : La password, se prevista, deve avere le seguenti caratteristiche: Lunga almeno 8 caratteri (o lunga il massimo consentito) Non contenere riferimenti agevolmente riconducibili all’incaricato Modificata dall’incaricato al primo utilizzo, e poi almeno ogni 6 mesi (3 mesi se i dati trattati sono dati sensibili e/o giudiziari) Nicola Maggi – Genesys Software srl

1) Autenticazione informatica Le credenziali di autenticazione sono individuali per ogni incaricato L’incaricato non può cedere le proprie credenziali ad altri Le credenziali vanno disattivate se non usate da almeno 6 mesi o se non si possono più ritenere “riservate” Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl Gestione credenziali Il Titolare deve istruire gli incaricati su : SEGRETEZZA delle credenziali di autenticazione CUSTODIA dei dispositivi in possesso MODALITA’ per non lasciare incustodito il terminale di lavoro, durante una sessione di trattamento dei dati Il Titolare deve istruire gli incaricati in merito : ACCESSO ai dati e agli strumenti elettronici, in caso di: PROLUNGATA assenza dell’incaricato, che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e sicurezza del sistema IRREPERIBILITA’ dell’incaricato, o mancanza delle credenziali di autenticazione GESTIONE delle copie delle credenziali di autenticazione, l’identificazione dei responsabili delle copie, e delle relative procedure da utilizzare nel caso queste debbano essere utilizzate Nicola Maggi – Genesys Software srl

2) Sistema di autorizzazione Un sistema informatico, dopo aver autenticato un utente, cerca il suo “Profilo di Autorizzazione”, cioè l’insieme delle informazioni associate ad esso, che consente di individuare a quali dati può accedere e con quale modalità Nicola Maggi – Genesys Software srl

2) Sistema di autorizzazione I profili di autorizzazione possono essere creati Per ciascun incaricato Per classi omogenee di incaricati Devono essere creati prima dell’inizio del trattamento dei dati Devono periodicamente (almeno una volta l’anno) essere verificati, per garantirne la continua coerenza Si possono NON applicare quando i dati trattati sono destinati alla diffusione pubblica Nicola Maggi – Genesys Software srl

3) Protezione e aggiornamento RIVEDERE lista incaricati e profili di autorizzazione (almeno annualmente) SALVATAGGIO dei dati (almeno settimanale), AGGIORNAMENTO software annuale (semestrale dati sensibili e/o giudiziari) vulnerabilità correggere difetti AGGIORNAMENTO Antivirus, Antispyware e Firewall: appena ne esiste uno disponibile PROTEGGERE dati da rischi di intrusione Sanzioni per diffusione di programmi aventi per scopo il danneggiamento di un sistema informatico Nicola Maggi – Genesys Software srl

4) Altre misure di sicurezza Protezione dei sistemi dagli accessi non consentiti (protezione da virus, worm, trojans, accessi di persone non autorizzate, utilizzo di firewall) Aggiornamento dei sistemi con le ultime patch Nicola Maggi – Genesys Software srl

4) Altre misure di sicurezza Procedure di backup e ripristino di dati e sistemi A B C PC Client Server Backup Nicola Maggi – Genesys Software srl

5) Ulteriori misure per dati sensibili e/o giudiziari CIFRATURA dei dati, sia su supporti magnetici, che quando in trasferimento da un elaboratore all’altro ISTRUIRE al trattamento dei supporti (CD, DVD, Floppy) che contengono tali dati sensibili DISTRUGGERE supporti se non utilizzati Se non distrutti, possono essere riutilizzati da altre persone non autorizzate al trattamento dei dati, SOLO SE questi sono stati resi non intelligibili o tecnicamente in alcun modo ricostruibili RIPRISTINO dei dati al massimo entro 7 giorni, in caso di distruzione o danneggiamento degli stessi Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl Disciplinare tecnico Tenuta del “Documento Programmatico sulla Sicurezza” Tecniche di cifratura (per chi tratta dati idonei a rivelare lo stato di salute o la vita sessuale di individui) Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl DPS COMPILARE e AGGIORNARE entro il 31 marzo di ogni anno dal Titolare del trattamento il “Documento Programmatico della Sicurezza” Deve essere citato nella relazione consuntiva del bilancio d’esercizio Deve essere conservato per presentazione in occasione di controlli Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl DPS Deve contenere: L’elenco dei trattamenti di dati personali La distribuzione delle responsabilità nella struttura organizzativa Analisi dei Rischi Le misure già in essere e da adottare per garantire l’integrità e la disponibilità dei dati Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl DPS Deve contenere: 5. La descrizione dei criteri e delle procedure per il ripristino dei dati 6. La programmazione di eventi formativi per gli incaricati del trattamento 7. OUTSOURCING 8. La descrizione delle procedure di crittazione Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl DPS CONTENUTO MINIMO 1) L’elenco dei trattamenti di dati personali: Individuazione dei trattamenti effettuati Natura dei dati Struttura dell’azienda (ufficio, funzione, ecc…) Strumenti elettronici impiegati Collaborazioni esterne Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl DPS CONTENUTO MINIMO 2) La distribuzione delle responsabilità nella struttura organizzativa TITOLARE RESPONSABILE INCARICATO Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl DPS CONTENUTO MINIMO 3) L’ANALISI DEI RISCHI L'analisi dei rischi consente di acquisire consapevolezza e visibilità sul livello di esposizione al rischio del proprio patrimonio informativo ed avere una mappa preliminare dell'insieme delle possibili contromisure di sicurezza da realizzare. CONSENTE DI: individuare le risorse del patrimonio informativo identificare le minacce identificare le vulnerabilità definire le contromisure Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl DPS CONTENUTO MINIMO 4) Le misure già in essere e da adottare per garantire l’integrità e la disponibilità dei dati: Antivirus Firewall Autenticazione Chiusura di schedari Custodia dei supporti Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl DPS CONTENUTO MINIMO 5) La descrizione dei criteri e delle procedure per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento DISASTER RECOVERY Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl DPS CONTENUTO MINIMO 6) La programmazione di eventi formativi per gli incaricati del trattamento. Prevedere interventi formativi sia al momento del conferimento dell’incarico, sia ogni volta che si introducono nuovi strumenti per il trattamento Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl DPS CONTENUTO MINIMO 7) OUTSOURCING: Descrivere i criteri da adottare in caso di: dati trattati anche da terzi, l’elenco dei terzi stessi le modalità di trattamento dei dati (trasferimento di dati presso studi contabili per elaborazione buste paghe, studi legali per notifiche legali) Nicola Maggi – Genesys Software srl

Nicola Maggi – Genesys Software srl DPS CONTENUTO MINIMO 8) La descrizione delle procedure di crittazione dei dati, in caso trattasi di dati sensibili e/o giudiziari Nicola Maggi – Genesys Software srl

Informazioni aggiuntive Il Titolare può rivolgersi a consulenti esterni per rendere conforme la sua organizzazione Deve provvedere a farsi rilasciare una descrizione scritta di quali sono stati gli interventi che attestano la conformità alla normativa Documentare le ragioni per l’utilizzo di strumenti informatici “OBSOLETI” (che non consentono l’applicazione delle misure minime di sicurezza secondo le modalità tecniche dell’Allegato B) da conservare presso la struttura. In questo caso, il Titolare è comunque tenuto all’aggiornamento dei propri strumenti informatici entro e non oltre il 31 marzo 2006 Nicola Maggi – Genesys Software srl

…..OBBLIGATORIO ADEGUARSI!! …..31 Marzo 2006…. …..OBBLIGATORIO ADEGUARSI!! Grazie. Nicola Maggi – Genesys Software srl