Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoLucca Caldas Cunha Modificato 6 anni fa
1
Esperienze e dubbi interpretativi sulle Misure Minime di Sicurezza
Dr. Riccardo Larese Gortigo Consulente Sistemi Informativi ed Organizzazione Aziendale – Cell © R. Larese Gortigo –
2
Le misure di sicurezza © R. Larese Gortigo –
3
Obblighi di sicurezza Art. 31 del Testo Unico: I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. © R. Larese Gortigo –
4
Misure Minime di Sicurezza
Art. 33 del Testo Unico: Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. L’adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti di dati personali. © R. Larese Gortigo –
5
Il Documento Programmatico sulla Sicurezza
© R. Larese Gortigo –
6
Il Documento Programmatico
E’ obbligatorio in caso di trattamento di dati sensibili o giudiziari mediante strumenti informatici Il caso tipico: Utilizzo di badge per la registrazione degli orari di ingresso e uscita Raccolta dei dati su di un pc ed inserimento delle causali di assenza (ad es. malattia, permesso sindacale, festività religiose) Invio di un file o di un documento stampato ad un service esterno di elaborazione paghe Anche in questo caso si è nelle condizioni dell’obbligo, perché le attività del punto 2 configurano il trattamento di dati sensibili © R. Larese Gortigo –
7
Il Documento Programmatico (19)
Descrive in maniera completa tutte le misure di sicurezza poste in essere nel caso di trattamento di dati personali sensibili o giudiziari Deve essere redatto ed aggiornato annualmente entro il 31 marzo di ogni anno (19) Se è richiesta la relazione accompagnatoria del bilancio di esercizio, deve esserne riferito dell’avvenuta redazione od aggiornamento (26) Non deve essere inviato al Garante, ma deve essere trattenuto presso il titolare del trattamento Non è richiesto che abbia data certa © R. Larese Gortigo –
8
Contenuti del Documento Programmatico
L’elenco dei trattamenti dei dati personali (19.1) La distribuzione dei compiti e delle responsabilità (19.2) L’analisi dei rischi che incombono sui dati (19.3) Le misure da adottare per garantire l’integrità e la disponibilità dei dati e la protezione delle aree e dei locali rilevanti ai fini della loro custodia ed accessibilità (19.4) La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (19.5) La previsione degli interventi formativi (19.6) La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza dei dati affidati all’esterno della struttura del titolare (19.7) I criteri di cifratura o separazione dei dati sensibili o giudiziari (19.8) © R. Larese Gortigo –
9
Il modello del Garante (Tabella 1.1)
© R. Larese Gortigo –
10
Il modello del Garante (Tabella 1.2)
© R. Larese Gortigo –
11
Il modello del Garante (Tabella 2)
Ad esempio: acquisizione e caricamento dei dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.). © R. Larese Gortigo –
12
Il modello del Garante (Tabella 3/parte I)
© R. Larese Gortigo –
13
© R. Larese Gortigo –
14
Il modello del Garante (Tabella 4.1)
© R. Larese Gortigo –
15
Il modello del Garante (Tabella 4.2)
© R. Larese Gortigo –
16
Il modello del Garante (Tabella 5.2)
© R. Larese Gortigo –
17
Il modello del Garante (Tabella 5.1)
© R. Larese Gortigo –
18
Interventi formativi (19.6)
Riguardano: Conoscenza dei rischi Conoscenza delle misure di sicurezza e dei comportamenti da adottare Responsabilità Devono essere erogati: Al momento dell’ingresso in servizio In occasione di cambio di mansioni In occasione dell’introduzione di nuovi strumenti E’ necessario che siano documentati © R. Larese Gortigo –
19
Interventi formativi (modalità possibili)
La formazione riguarda tutti gli incaricati Formazione d’aula per tutti gli incaricati (anche in gruppi) Formazione d’aula per i responsabili, che successivamente svolgono attività di formazione agli incaricati Utilizzo dei servizi di formazione on-line della società Sùnapsis s.r.l. mediante l’accordo con Confindustria Verona © R. Larese Gortigo –
20
Il modello del Garante (Tabella 6)
© R. Larese Gortigo –
21
Il modello del Garante (Tabella 7)
© R. Larese Gortigo –
22
Il modello del Garante (Tabella 7)
© R. Larese Gortigo –
23
Il sistema di autenticazione
© R. Larese Gortigo –
24
Autenticazione informatica
ELABORATORE SISTEMA DI AUTENTICAZIONE CODICE + PAROLA CHIAVE DISPOSITIVO DI AUTEN-TICANZIONE CARATTER. BIOMETRICA UTENTI © R. Larese Gortigo –
25
Uno o più sistemi di autenticazione?
Il Disciplinare Tecnico permette di: Configurare uno specifico sistema di autenticazione per ciascun trattamento oppure, in alternativa Un sistema di autenticazione comune per gruppi di trattamenti (cioè applicazioni), e quindi anche per tutti Il sistema di autenticazione comune è abitualmente quello utilizzato per l’accesso iniziale alla rete Ovviamente, se possibile, è sempre più semplice rendere conforme il sistema di autenticazione alla rete; altri possono essere usati, ma non necessariamente devono essere conformi al Disciplinare Tecnico. © R. Larese Gortigo –
26
Uno o più sistemi di autenticazione?
L’utilizzo di un unico sistema di autenticazione è possibile solo se tutti gli accessi alle applicazioni ne prevedono il superamento. Può essere comunque opportuno configurare conformemente anche il sistema di autenticazione specifico per le applicazioni più “critiche”, come ad esempio quelle per la gestione delle risorse umane e/o di paghe e stipendi. © R. Larese Gortigo –
27
Utilizzo delle medesime credenziali
Accade frequentemente – soprattutto nei reparti di produzione – che più utenti utilizzino lo stesso pc e le medesime credenziali: Se non vi è accesso a dati personali: la norma non si applica e quindi non si pone il problema (tutto può restare così!) Se vi è accesso (ad es. utilizzo della posta o di parti del sistema gestionale): è necessario rendere il sistema conforme Per garantire la conformità del sistema Creare le credenziali per ogni utente Utilizzare adeguatamente le credenziali… © R. Larese Gortigo –
28
Mancanza di un controllo centralizzato
Tutte le reti dotate di un “controller” di dominio e la gran parte delle applicazioni permettono di configurare il sistema di autenticazione in modo conforme Quando questo avviene è necessario precedere alla configurazione Se non è possibile configurare il sistema in modo conforme: Le istruzioni agli incaricati dovranno indicare esplicitamente e dettagliatamente le procedure da seguire Si rende necessaria (purtroppo) la conservazione delle parole chiave in busta chiusa E’ opportuna una verifica della periodica modifica delle parole chiave da parte del “custode” Deve essere comunque garantita da tutti la riservatezza delle parole chiave © R. Larese Gortigo –
29
Il custode delle credenziali
Deve essere sempre formalmente nominato Se più persone hanno accesso al server di dominio, tutte (anche i fornitori) vengono nominate custodi delle credenziali Se necessario, conserva fisicamente le buste chiuse con le parole chiave degli utenti Se il sistema è centralizzato, la custodia si riduce alla possibilità di accesso al server di dominio Controlla il comportamento degli utenti, richiedendo il rispetto dell’obbligo di riservatezza © R. Larese Gortigo –
30
Accesso in assenza dell’incaricato
L’azienda ha la facoltà (per validi ed urgenti motivi) di accedere a dati e sistemi Non è permesso conoscere le parole chiave degli altri utenti, e quindi: Se il sistema è centralizzato Il custode modifica temporaneamente la password sul server Configura l’obbligo di modifica della password all’accesso successivo Se il sistema non è centralizzato Il custode apre la busta della password e permette l’accesso Al ritorno dell’incaricato, gli richiede di modificare la parola chiave e riceve la nuova busta chiusa Informa e giustifica l’accesso all’incaricato © R. Larese Gortigo –
31
Applicazioni web Relativo ad esempio a: utilizzo della posta da remoto, applicazioni gestionali, immissione e controllo ordini, altri servizi web: Se l’accesso non permette la gestione o la visualizzazione di dati di terzi si è fuori dal campo di applicazione della norma Se è possibile accedere a dati di terzi (es: posta elettronica), il sistema deve essere reso conforme al Disciplinare Tecnico © R. Larese Gortigo –
32
Salvataggio dei dati e disaster recovery
© R. Larese Gortigo –
33
Salvataggio dei dati (18)
E’ obbligatorio il salvataggio dei dati personali (backup) La frequenza di salvataggio deve essere almeno settimanale, ma è opportuno che sia quotidiana Devono essere protetti tutti i dati: Sistemi gestionali o ERP Documenti degli utenti Posta elettronica … Devono essere impartite istruzioni (scritte) di carattere tecnico ed organizzativo per definirne le modalità di esecuzione © R. Larese Gortigo – Il salvataggio dei dati
34
Istruzioni tecniche (18)
Individuazione dei dispositivi Individuazione degli archivi Definizione delle frequenze Definizione delle modalità (backup completo, incrementale, differenziale) Definizione dei criteri di rotazione dei dispositivi Definizione dei criteri di archiviazione dei dispositivi Definizione delle procedure di verifica © R. Larese Gortigo –
35
Istruzioni organizzative (18)
Definizione delle responsabilità Definizione delle procedure in caso di incidente Definizione delle modalità di aggiornamento delle procedure © R. Larese Gortigo –
36
Sistema di “Disaster recovery” (23)
L’obbligo si applica solamente ai dati personali di natura sensibile o giudiziaria Deve essere garantito l’accesso ai dati in caso di incidente (danneggiamento dei dati o degli strumenti) in tempi certi e comunque non superiori a sette giorni Modalità possibili: Backup completo dell’intero sistema (ghost) per permette di garantire l’accesso ai dati anche in caso di sostituzione Accordi con fornitori per tempi certi di riprestino Utilizzo di sistemi in “cluster” Duplicazione del sistema in un sito remoto Le modalità adottate devono essere documentate nel Dps © R. Larese Gortigo – Ulteriori misure per il trattamento di dati sensibili o giudiziari
37
Dr. Riccardo Larese Gortigo r.larese@assind.vi.it
Esperienze e dubbi interpretativi sulle Misure Minime di Sicurezza Domande e risposte Dr. Riccardo Larese Gortigo © R. Larese Gortigo –
38
Allegato – Scadenzario obblighi
Misura Scadenza/periodicità Tipologia dati Disattivazione credenziali Entro sei mesi dal mancato utilizzo Tutti Subito, in caso di perdita della qualità Sostituzione autonoma parola chiave Ogni sei mesi Ogni tre mesi Comuni Sensibili o giud. Verifica profili Ogni anno Redazione lista incaricati Aggiornamento antivirus Ogni sei mesi ( consigliabile max. ogni settimana) © R. Larese Gortigo –
39
Allegato – Scadenzario obblighi
Misura Scadenza/periodicità Tipologia dati Aggiornamento programmi Annualmente Ogni sei mesi Comuni Sensibili giud. Backup Settimanalmente (consigliabile ogni giorno) Tutti Aggiornamento DPS Ogni anno entro il 31 marzo Sensibili o giudiziari © R. Larese Gortigo –
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.