Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoGiulietta Danieli Modificato 9 anni fa
1
© R. Larese 2003-2004 Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza
2
© R. Larese 2003-2004 Obblighi di sicurezza Art. 31 del Testo Unico: I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Obblighi e misure di sicurezza
3
© R. Larese 2003-2004 Misure Minime di Sicurezza Art. 33 del Testo Unico: Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. L’adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti di dati personali. Obblighi e misure di sicurezza
4
© R. Larese 2003-2004 Sanzioni Art. 169 del Testo Unico: Chiunque, essendovi tenuto, omette di adottare il misure minime previste dall’art. 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro Obblighi e misure di sicurezza
5
© R. Larese 2003-2004 “Ravvedimento operoso” Prescrizione del Garante Termine massimo per la regolarizzazione non eccedente sei mesi Verifica dell’adempimento da parte del Garante Pagamento di una somma pari al quarto del massimo dell’ammendo stabilita per la contravvenzione Estinzione del reato Obblighi e misure di sicurezza
6
© R. Larese 2003-2004 Entrata in vigore Il Testo Unico è in vigore dal 1° Gennaio 2004. Le nuove Misure Minime di Sicurezza devono essere adottate entro il 30 Giugno 2004 (art. 180 comma1) Se esistono obiettive ragioni tecniche che non permettono l’adozione delle nuove misure entro il 30 giugno: –Entro il 30 giugno il titolare predispone un documento avente data certa per descrivere i motivi della mancata adozione –Adotta ogni misura atta a ridurre i rischi –Entro il 31 dicembre 2004 provvede ad aggiornare i sistemi per garantire l’adeguamento Obblighi e misure di sicurezza
7
© R. Larese 2003-2004 Misure Minime di Sicurezza per trattamenti eseguiti mediante strumenti elettronici ( i numeri tra parentesi rimandano ai punti del Disciplinare tecnico)
8
© R. Larese 2003-2004 Autenticazione informatica (1-11) Il trattamento di dati personali è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Credenziali di autenticazione (2) : –Codice per l’identificazione dell’incaricato associato ad una parola chiave riservata conosciuta solamente dal medesimo –Dispositivo di autenticazione in possesso ed uso esclusivo (badge, smart card), anche associato a codice identificativo o parola chiave –Caratteristica biometrica dell’interessato (iride, impronta digitale ), anche associato a codice identificativo o parola chiave Misure minime di sicurezza per trattamenti mediante strumenti elettronici
9
© R. Larese 2003-2004 Autenticazione informatica ELABORATORE SISTEMA DI AUTENTICAZIONE UTENTI CODICE + PAROLA CHIAVE DISPOSITIVO DI AUTEN- TICANZIONE CARATTER. BIOMETRICA
10
© R. Larese 2003-2004 Gestione delle credenziali di autenticazione Le credenziali di autenticazione non utilizzate da almeno 6 mesi devono essere disattivate (tranne quelle usate per soli scopi di gestione tecnica) (7) Le credenziali devono essere disattivate in caso di perdita della qualità che consente l’accesso ai dati (8) Il sistema di autenticazione
11
© R. Larese 2003-2004 Codice per l’identificazione Ogni codice può essere utilizzato da un solo incaricato e non può essere assegnato ad altri incaricati, neppure in tempi diversi (6) Ad ogni incaricato possono eventualmente essere assegnati più codici per l’identificazione (ad esempio per funzioni diverse) (3) Il sistema di autenticazione
12
© R. Larese 2003-2004 Parola chiave (2-3-4-5-10) Riservata e conosciuta solamente dall’incaricato (2) L’incaricato deve assicurarne la riservatezza (4) La lunghezza minima è di otto caratteri (5) Non contiene riferimenti agevolmente riconducibili all’incaricato (5) Modificata al primo utilizzo (5) Modificata ogni sei mesi od ogni tre mesi (trattamento di dati sensibili o giudiziari) (5) Il sistema di autenticazione
13
© R. Larese 2003-2004 Gestione della riservatezza L’incaricato deve assicurare la riservatezza delle parole chiave (4) Gli incaricati devono ricevere istruzioni che indichino in quale modo il computer non deve essere lasciato incustodito durante le sessioni di lavoro (screen saver, log- off) (9) Devono essere individuati per iscritto soggetti incaricati e modalità per l’accesso a dati o sistemi di elaborazione in caso di assenza dell’interessato per esclusive necessità di operatività o sicurezza del sistema (nomina del custode delle parole chiave) (10) Il sistema di autenticazione
14
© R. Larese 2003-2004 Cos’è cambiato dal DPR 318/99? Eliminata la classificazione dei sistemi di elaborazione: il sistema di autenticazione deve essere sempre utilizzato in modo integrale Rinforzata la definizione delle parole chiave Le parole chiave non devono essere conosciute nemmeno dal custode Responsabilizzazione maggiore degli incaricati Il sistema di autenticazione
15
© R. Larese 2003-2004 Sistema di autorizzazione (12-14) Profilo di autorizzazione: l’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti Sistema di autorizzazione: l’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati ed alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente Il sistema di autorizzazione
16
© R. Larese 2003-2004 Il sistema di autorizzazione E’ una necessità organizzativa, in quanto regola l’accesso alle informazioni in base ad un corretto criterio di necessità delle stesse per svolgere le diverse attività lavorative Riguarda, ad esempio: –Utilizzo di applicazioni o funzioni applicative –Accesso alle informazioni mediante applicazioni, definendone le modalità (lettura o scrittura) –Accesso diretto alle informazioni (database) –Accesso agli archivi (documenti, posta elettronica, ecc.) Il sistema di autorizzazione
17
© R. Larese 2003-2004 I profili di autorizzazione Devono essere definiti precedentemente all’inizio del trattamento (13) Devono essere verificati almeno annualmente (14) Possono essere definiti per singolo incaricato o per classi omogenee di incaricati (ad es. uffici o reparti) (13) Devono essere completi considerando quindi programmi, funzioni, archivi (12) Il sistema di autorizzazione
18
© R. Larese 2003-2004 Definizione dei profili E’ indispensabile definire il livello di dettaglio dei profili: –Un dettaglio insufficiente non consente selettività nell’accesso ai dati –Un dettaglio eccessivo genera un sistema complesso e difficilmente gestibile E’ indispensabile la collaborazione dei responsabili funzionali e del settore HR E’ indispensabile un frequente aggiornamento (nuovi incaricati, cambiamenti di mansioni, ecc.) E’ consigliabile disporre di uno strumento informatico per la gestione dei profili Il sistema di autorizzazione
19
© R. Larese 2003-2004 Cos’è cambiato dal DPR 318/99? Nel DPR/318 non era prevista la definizione dei profili di autorizzazione se non, parzialmente, per gli incaricati che eseguissero trattamenti di dati sensibili o giudiziari mediante sistemi informatici Il sistema di autorizzazione
20
© R. Larese 2003-2004 Individuazione degli ambiti di trattamento (15) Ambiti di trattamento dei dati personali: –Finalità –Modalità –Ambiti di comunicazione o diffusione Devono essere definiti ed aggiornati almeno annualmente Devono essere documentati in forma scritta Possono essere definiti per incaricato o per classi omogenee (ad es. uffici o reparti) Gli ambiti di trattamento
21
© R. Larese 2003-2004 Cos’è cambiato dal DPR 318/99? Gli ambiti possono essere definiti per classi omogenee di incaricati Gli ambiti di trattamento
22
© R. Larese 2003-2004 Protezione antivirus (16) Tutti i sistemi di elaborazione (server, client) devono essere protetti dal rischio costituito da virus informatici e simili La protezione deve essere attiva anche per i sistemi non connessi in rete o che non accedono a internet Gli utenti non devono poter disattivare l’antivirus L’aggiornamento deve essere obbligatoriamente almeno semestrale, ma è necessario – per la sicurezza del sistema informatico aziendale – che sia quotidiano o al massimo settimanale! Nulla è cambiato rispetto al DPR/318 Protezione antivirus
23
© R. Larese 2003-2004 Aggiornamenti dei programmi (17) Aggiornamenti di programmi per elaboratore volti a: –Prevenire la vulnerabilità si strumenti elettronici –Correggere difetti Devono essere eseguiti con cadenza almeno annuale In caso di trattamento di dati sensibili o giudiziari con cadenza almeno semestrale L’aggiornamento dei programmi per elaboratore
24
© R. Larese 2003-2004 Aggiornamenti: i problemi Quali programmi? –Sistema operativo –Programmi applicativi –Programmi per il trattamento dei dati personali Quali aggiornamenti? –Service pack –Nuove versioni a pagamento In alcune condizioni un aggiornamento può non essere possibile, può non essere consigliabile, può essere molto costoso (ad es. può richiedere implementazioni dell’hardware) L’aggiornamento dei programmi per elaboratore
25
© R. Larese 2003-2004 Cos’è cambiato dal DPR 318/99? La misura minima di sicurezza non era prevista nel DPR/318 L’aggiornamento dei programmi per elaboratore
26
© R. Larese 2003-2004 Salvataggio dei dati (18) E’ obbligatorio il salvataggio dei dati personali (backup) La frequenza di salvataggio deve essere almeno settimanale, ma è opportuno che sia quotidiana Devono essere protetti tutti i dati: –Sistemi gestionali o ERP –Documenti degli utenti –Posta elettronica –… Devono essere impartite istruzioni (scritte) di carattere tecnico ed organizzativo per definirne le modalità di esecuzione Il salvataggio dei dati
27
© R. Larese 2003-2004 Istruzioni tecniche (18) Individuazione dei dispositivi Individuazione degli archivi Definizione delle frequenze Definizione delle modalità (backup completo, incrementale, differenziale) Definizione dei criteri di rotazione dei dispositivi Definizione dei criteri di archiviazione dei dispositivi Definizione delle procedure di controllo Il salvataggio dei dati
28
© R. Larese 2003-2004 Istruzioni organizzative (18) Definizione delle responsabilità Definizione delle procedure in caso di incidente Definizione delle modalità di aggiornamento delle procedure Il salvataggio dei dati
29
© R. Larese 2003-2004 Cos’è cambiato dal DPR 318/99? La misura di sicurezza non era regolamentata nel DPR/318 ma esisteva l’obbligo di descrivere le modalità di salvataggio nel Documento Programmatico per i titolari che erano soggetti alla relativa stesura Il salvataggio dei dati
30
© R. Larese 2003-2004 Misure Minime di Sicurezza per trattamenti riguardanti dati personali di tipo sensibile o giudiziario eseguiti mediante strumenti elettronici
31
© R. Larese 2003-2004 Dati sensibili o giudiziari (art. 4 lett. d ed e) Dati sensibili sono i dati personali idonei a rivelare: –L’origine razziale od etnica; –Le convinzioni religiose, filosofiche o di altro genere; –Le opinioni politiche; –L’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale –Lo stato di salute –La vita sessuale Dati giudiziari: –Provvedimenti di cui all’art.3 comma 1 lett. Da a) a o) ed r) del d.P.R. 14 nov 2002 n. 313 –La qualità di imputato o indagato Dati personali di tipo sensibile o giudiziario
32
© R. Larese 2003-2004 Il Documento Programmatico (19) Descrive in maniera completa tutte le misure di sicurezza poste in essere nel caso di trattamento di dati personali sensibili o giudiziari Deve essere redatto ed aggiornato annualmente entro il 31 marzo di ogni anno (19) Se è richiesta la relazione accompagnatoria del bilancio di esercizio, deve esserne riferito dell’avvenuta redazione od aggiornamento (26) Non deve essere inviato al Garante, ma deve essere trattenuto presso il titolare del trattamento Non è richiesto che abbia data certa Il Documento Programmatico sulla Sicurezza
33
© R. Larese 2003-2004 Il Documento Programmatico La redazione del Documento Programmatico è obbligatoria solamente nel caso di trattamento di dati sensibili o giudiziari mediante sistemi informatici, ma è consigliabile in ogni caso in quanto: –Documenta l’applicazione delle misure minime di sicurezza –Fornisce una “check-list” per tutte le misure di sicurezza in essere –Permette la verifica periodica delle procedure di sicurezza Il Documento Programmatico
34
© R. Larese 2003-2004 Significato del Documento Programmatico Per tutte le organizzazioni che, in base al Testo Unico, non sono più soggette alla Notifica dei trattamenti al Garante, il Documento Programmatico diviene il più importante documento che descrive le modalità dei trattamenti dei dati personali. Per questo motivo è opportuno che sia completo, chiaro e costantemente aggiornato Il Documento Programmatico
35
© R. Larese 2003-2004 Contenuti del Documento Programmatico L’elenco dei trattamenti dei dati personali (19.1) La distribuzione dei compiti e delle responsabilità (19.2) L’analisi dei rischi che incombono sui dati (19.3) Le misure da adottare per garantire l’integrità e la disponibilità dei dati e la protezione delle aree e dei locali rilevanti ai fini della loro custodia ed accessibilità (19.4) La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (19.5) La previsione degli interventi formativi (19.6) La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza dei dati affidati all’esterno della struttura del titolare (19.7) I criteri di cifratura o separazione dei dati sensibili o giudiziari (19.8) Il Documento Programmatico
36
© R. Larese 2003-2004 L’elenco dei trattamenti (19.1) Database Modalità di trattamento –Applicazioni –Archivi Finalità di trattamento Ambiti di comunicazione Profili di autorizzazione degli incaricati Il Documento Programmatico
37
© R. Larese 2003-2004 Distribuzione di compiti e responsabilità (19.2) Gestione sistema di autenticazione Gestione sistema di autorizzazione Gestione del sistema antivirus Gestione del sistema anti-intrusione Gestione del sistema di backup/restore Aggiornamento del Documento Programmatico Possibili allegati: –Istruzioni agli incaricati; –Nomine di responsabili e custodi delle parole chiave –Modalità di accesso ai sistemi in assenza dell’incaricato Il Documento Programmatico
38
© R. Larese 2003-2004 Analisi dei rischi (19.3) Elenco dei rischi individuati e delle possibili conseguenze in termini di: –Distruzione o perdita dei dati –Accesso non autorizzato alle informazioni o esecuzione di trattamenti non autorizzati –Indisponibilità dei sistemi –Presenza di informazioni errate Elenco delle contromisure che, per ogni rischio individuato sono poste in essere come misura di protezione, tenendo conto che le misure possono essere graduate per classi di dati, e che la medesima misura può avere effetto su rischi diversi. Il Documento Programmatico
39
© R. Larese 2003-2004 Criteri per garantire integrità e disponibilità (19.4) Sistema di autenticazione ed autorizzazione Sistema antivirus Sistema anti-intrusione informatica Procedure di sviluppo e avviamento di nuove applicazioni Gestione degli aggiornamenti dei programmi Organizzazione degli archivi degli utenti Protezione delle aree e dei locali (generali o specifici ai locali informatici) –Sistemi anti-intrusione –Vigilanza e controllo accessi –Sistemi anti-incendio Il Documento Programmatico
40
© R. Larese 2003-2004 Criteri e modalità per il ripristino dei dati (19.5) Sistema di backup –Dispositivi –Archivi protetti –Modalità di esecuzione –Frequenza –Criteri di rotazione e archiviazione –Modalità di verifica –Strumenti di segnalazione di eventuali errori Sistemi per assicurare la continuità di alimentazione Sistemi ridondanti o ad alta affidabilità –RAID / Cluster / SAN … Disaster recovery Il Documento Programmatico
41
© R. Larese 2003-2004 Interventi formativi (19.6) Riguardano: –Conoscenza dei rischi –Conoscenza delle misure di sicurezza e dei comportamenti da adottare –Responsabilità Devono essere erogati: –Al momento dell’ingresso in servizio –In occasione di cambio di mansioni –In occasione dell’introduzione di nuovi strumenti E’ opportuno che siano documentati Il Documento Programmatico
42
© R. Larese 2003-2004 Criteri per i trattamenti all’esterno (19.7) Documento di specifica di finalità, modalità, ed ambiti di comunicazione autorizzati per il trattamento Dichiarazione dell’ente esterno a cui vengono affidati i dati di adozione delle misure di sicurezza Copia del Documento Programmatico del soggetto esterno, se dovuto o comunque disponibile Piani di controllo, se disponibili Il Documento Programmatico
43
© R. Larese 2003-2004 Cifratura o separazione dei dati sensibili (19.8) Cifratura: i dati sono archiviati utilizzando criteri di criptazione che ne rendono impossibile la lettura ai soggetti non autorizzati –Tecnicamente complesso –Normalmente non necessario Separazione: i dati sensibili o giudiziari sono memorizzati unicamente in archivi a cui – utilizzando i profili di autorizzazione – possono avere accesso solo i soggetti abilitati –Applicazioni dotate di parola chiave –Archivi ad accesso limitato Il Documento Programmatico
44
© R. Larese 2003-2004 Ulteriori misure nel caso di trattamenti di dati sensibili o giudiziari
45
© R. Larese 2003-2004 Protezione anti-intrusione (20) I sistemi di elaborazione devono essere protetti contro il rischio di intrusione mediante firewall Un firewall controlla il traffico da e verso l’esterno della rete, in particolare con internet, bloccando quello indesiderato e potenzialmente pericoloso Possono essere utilizzati –Firewall software –Firewall hardware E’ necessario un costante aggiornamento del firewall, che in caso contrario diventa velocemente vulnerabile In aggiunta al firewall, può essere opportuno utilizzare un IDS (Intrusion Detection System) Ulteriori misure per il trattamento di dati sensibili o giudiziari
46
© R. Larese 2003-2004 Supporti removibili (21-22) Devono essere impartite istruzioni organizzative e tecniche per regolare (21) : –Le modalità d’uso –Le modalità di custodia Quando non più utilizzati devono essere (22) : –Distrutti o resi inutilizzabili oppure –Resi non intelleggibili e in alcun modo ricostruibili Ulteriori misure per il trattamento di dati sensibili o giudiziari
47
© R. Larese 2003-2004 Sistema di “Disaster recovery” (23) Deve essere garantito l’accesso ai dati in caso di incidente (danneggiamento dei dati o degli strumenti) in tempi certi e comunque non superiori a sette giorni Ulteriori misure per il trattamento di dati sensibili o giudiziari
48
© R. Larese 2003-2004 Misure di tutela e garanzia
49
© R. Larese 2003-2004 Dichiarazione di conformità (25) Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento che ne attesta la conformità alle disposizioni del Disciplinare Tecnico Riguarda, ad esempio: –Installazione della rete locale –Installazione del sistema antivirus –Installazione del firewall –Installazione di software per il trattamento di dati sensibili o giusiziari (paghe e stipendi) Misure di tutela e garanzia
50
© R. Larese 2003-2004 Relazione di bilancio (26) Il titolare riferisce, nella relazione accompagnatoria del bilancio di esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza Misure di tutela e garanzia
51
© R. Larese 2003-2004 Trattamenti senza l’ausilio di strumenti elettronici
52
© R. Larese 2003-2004 Istruzioni agli incaricati (27) Modalità di controllo e custodia di atti e documenti La lista degli incaricati può essere redatta per classi omogenee di incarico e dei relativi profili di autorizzazione Trattamenti senza l’ausilio di strumenti elettronici
53
© R. Larese 2003-2004 Custodia (dati sensibili o giudiziari) (28) Custoditi dagli incaricati fino alla conclusione dei trattamenti, assicurando che non vi sia accesso da parte di soggetti non autorizzati Consegnati a conclusione dei trattamenti Trattamenti senza l’ausilio di strumenti elettronici
54
© R. Larese 2003-2004 Archiviazione (dati sensibili o giudiziari) (29) Accessi controllati agli archivi Identificazione e registrazione degli accessi fuori dall’orario di chiusura Autorizzazione agli incaricati, in caso di accesso controllato mediante strumenti elettronici Il Documento Programmatico
55
© R. Larese 2003-2004 Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Domande e risposte Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza
56
© R. Larese 2003-2004 Allegato – Scadenzario obblighi MisuraScadenza/periodicitàTipologia dati Disattivazione credenziali Entro sei mesi dal mancato utilizzo Tutti Disattivazione credenziali Subito, in caso di perdita della qualità Tutti Sostituzione autonoma parola chiave Ogni sei mesi Ogni tre mesi Comuni Sensibili o giud. Verifica profiliOgni annoTutti Redazione lista incaricati Ogni annoTutti Aggiornamento antivirus Ogni sei mesi ( consigliabile max. ogni settimana) Tutti
57
© R. Larese 2003-2004 Allegato – Scadenzario obblighi MisuraScadenza/periodicitàTipologia dati Aggiornamento programmi Annualmente Ogni sei mesi Comuni Sensibili giud. BackupSettimanalmente (consigliabile ogni giorno) Tutti Aggiornamento DPSOgni anno entro il 31 marzoSensibili o giudiziari
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.