MiBAC – Corso sulla Sicurezza Informatica 17/12/2008

MiBAC – Corso sulla Sicurezza Informatica 17/12/2008
Indice degli argomenti L’attenzione della P.A. alla Sicurezza Informatica Concetti di Sicurezza Informatica Il processo per la gestione della sicurezza Modello Organizzativo per la P.A. 1

L’attenzione della P.A. alla Sicurezza Informatica “Le informazioni gestite dai sistemi informativi pubblici costituiscono una risorsa di valore strategico per il governo del Paese.” Questo patrimonio deve essere efficacemente protetto e tutelato al fine di prevenire possibili alterazioni sul significato intrinseco delle informazioni stesse. E' noto infatti che esistono minacce di intrusione e possibilità di divulgazione non autorizzata di informazioni, nonché di interruzione e di distruzione del servizio. Lo stesso processo di innovazione tecnologica produce da un lato strumenti più sofisticati di "attacco", ma d'altro lato idonei strumenti di difesa e protezione. PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO PER L'INNOVAZIONE E LE TECNOLOGIE DIRETTIVA 16 gennaio 2002 Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni.(G.U. 22 marzo 2002, n. 69) 2

L’attenzione della P.A. alla Sicurezza Informatica L’informatica a servizio del cittadino “La P.A. eroga i servizi alla collettività sempre più tramite le tecnologie informatiche.” Decreto legislativo 12/02/ 1993, n “Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche, a norma Decreto legislativo 30/06/2003, n “Codice in materia di protezione dei dati personali.” Direttiva 27/11/ “Direttiva per l’impiego della posta elettronica nelle pubbliche amministrazioni.” Direttiva 18/12/ “Linee guida in materia di digitalizzazione dell’amministrazione per l’anno 2004.” Legge 9/1/2004, n. 4 - “Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici.” D.P.R. 2/3/2004, n “Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dell’articolo 27, comma 8, lettera b), della legge 16 gennaio 2003, n. 3.” D.P.R. 11/2/2005, n “Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3.” D.P.R. 1/3/2005 n “Regolamento di attuazione della legge 9 gennaio 2004, n. 4 per favorire l’accesso dei soggetti disabili agli strumenti informatici.” Decreto legislativo 7 /3/2005, n “Codice dell’amministrazione digitale.” 3

L’attenzione della P.A. alla Sicurezza Informatica Obiettivo prioritario I processi della P.A. per la missione istituzione a servizio del Cittadino necessitano della massima garanzia di affidabilità, integrità e correttezza delle informazioni e dei loro trattamenti . La sicurezza informatica e delle comunicazioni (S-ICT) è uno egli obiettivi di massima rilevanza per assicurare servizi efficaci ed efficienti, attraverso: - Utilizzo di tecnologie “sicure” (PEC) Reti dedicate con alte prestazioni e elevati livelli di sicurezza (SPC) Garanzia delle informazioni personali (Codice Privacy) Conformità agli standard internazionali Promozione della “cultura della sicurezza” Attuazione di un “Modello organizzativo” per la sicurezza Il raggiungimento degli obiettivi richiede di operare con professionalità e consapevolezza anche in materia di Sicurezza ICT. 4

Concetti di Sicurezza Informatica Concetti base – Obiettivi di sicurezza 1 Gli obiettivi di sicurezza sono esprimibili con i criteri RID Disponibilità di risorse Le risorse informatiche (elaboratori, reti di comunicazione, dati) dovoono essere disponibili all’uso quando sono necessari. Indisponibilità “controllate” (aggiornamento, manutenzione preventiva) Sono necessarie e devono essere gestite Indisponibilità “incontrollate” (cause non volontarie) Devono essere adottati gli accorgimenti per evitarle e per minimizzare l’impatto sulle operazioni quando si verificano 2) Integrità dell’informazione La tutela che le informazioni (i dati) non siano alterati. 3) Riservatezza dell’informazione. La prevenzione dell’accesso alle informazioni alle persone che non ne hanno titolo. E’ necessario preventivamente classificare le informazioni, determinare chi ha titolo all’accesso (per norma di legge, contratto fra le parti), quali trattamenti può effettuare. 5

Concetti di Sicurezza Informatica Concetti base – Obiettivi di sicurezza 2 L’utilizzo della Firma Digitale e delle tecniche crittografiche ha aggiunto due nuovi concetti, applicabili all’integrità di una transazione telematica o di un messaggio (es ). Autenticità Certezza del legittimo autore di un messaggio o documento digitale. Non Ripudio Certezza dell’origine del documento o della transazione e prevenzione del disconoscimento da parte dell’autore. 6

Concetti di Sicurezza Informatica Crittografia La crittografia è utilizzata per rendere incomprensibile un messaggio a chi non è in possesso della chiave Algoritmo metodo di cifratura Chiave elemento utilizzato per cifrare / decifrare il testo Il processo deve essere REVERSIBILE, chi conosce la chiave deve ricostruire il messaggio originale Testo in chiaro Testo cifrato CIFRATURA CHIAVE DECIFRATURA Testo in chiaro L’algoritmo può essere pubblico La sicurezza del processo crittografico è costituita dalla segretezza della chiave (Principio di Kerchoff) 7

Concetti di Sicurezza Informatica Crittografia TIPI di ALGORITMI CRITTOGRAFICI SIMMETRICI ASIMMETRICI HASH la chiave è unica E nota sia al Mittente che al Destinatario Per garantire RISERVATEZZA 2 coppie di chiavi diverse Per garantire RISERVATEZZA AUTENTICITA’ Utilizzati anche per lo scambio di chiavi simmetriche Mittente Destinatario Per garantire INTEGRITA’ Funzioni univoche e unidirezionali (non possono essere invertite) Trasformano un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata, strettamente dipendente dal testo. Piccole variazione del testo producono un hash diverso L’hash rappresenta l’ “impronta digitale” che identifica il testo in chiaro. 8

Concetti di Sicurezza Informatica Crittografia Simmetrica – Chiave OTP (One Time Pad) utilizzando una chiave: di lunghezza uguale al messaggio casuale usata una sola volta Caso teorico non applicabile in pratica. Occorre trovare il compromesso fra Facile utilizzo per gli utenti legittimi Utilizzabile sui computer reali (potenza di calcolo limitata) Piu corta del messaggio Difficile decifratura per il possibile attaccante Problematiche legate alla chiave Creazione di sequenze casuali Numero delle chiavi Distribuzione N utilizzatori N*(N-1)/2 Chiavi N=100 4.950 Key Utilizzo di canali paralleli 9

Concetti di Sicurezza Informatica Crittografia Asimmetrica – Generazione delle chiavi Le chiavi sono create dallo stesso algoritmo e sono correlate Non possono essere ricavate l’una dall’altra In fase di creazione si utilizzano funzioni matematiche che richiedono potenza di calcolo limitata (computabili) ma per le quali non è ancora stato dimostrato che esista un metodo pratico di risoluzione inversa La soluzione inversa non è possibile tramite algoritmo, ma solo per tentativi (forza bruta) quasi impossibili da computare Fattorizzazione numeri primi Dati due numeri primi tra loro è semplice e veloce calcolarne il prodotto Dato il prodotto è molto difficile risalire a uno dei fattori primi Pur conoscendo la chiave pubblica è impossibile risalire a quella privata 10

Concetti di Sicurezza Informatica Crittografia Asimmetrica – Le Chiavi la chiave privata é personale e segreta la chiave pubblica è distribuita Le chiavi sono create dallo stesso algoritmo e sono correlate Quello che si cifra con una chiave può essere decifrato solamente con l’altra chiave della coppia RISERVATEZZA Mittente invia un messaggio cifrato con la chiave pubblica del destinatario Destinatario possiede la relativa chiave privata è può decifrarlo AUTENTICITA’ Mittente invia un messaggio cifrato con la PROPRIA chiave privata Tutti coloro che hanno la chiave pubblica del mittente possono leggerlo 11

Concetti di Sicurezza Informatica Crittografia Simmetrica La robustezza dipende fortemente dalla lunghezza della chiave Il DES (Data Encryption System) impiega chiavi di 64 bit (56 effettivi + 8 di parità). Suddivide il testo in blocchi di 64 bit ciascuno e li cifra in successione per 16 volte. Ad ogni ciclo la chiave subisce una permutazione. . DEBOLE CHIAVE BIT ALGORITMO 40 RC2-40 56 DES 128 RC2-128 56 (x 3) 3DES 256 RC6 FORTE Il DES é stato forzato nel 1998, ma è ancora molto utilizzato, perché implementabile con soluzioni hw, economiche e veloci 12

Concetti di Sicurezza Informatica Crittografia Asimmetrica – RSA RSA (Rivest, Shamir, Adleman) Usa operatori esponenziali in aritmetica modulo N Esponente diverso per le funzioni di cifratura / decifratura Può usare chiavi di diversa lunghezza, consigliabili almeno bit. Ha lo svantaggio che la creazione della coppia di chiavi è complessa PRO Contro Key Distribution Più lenta della simmetrica Key management (fino a volte) Scalabilità (2*n) Robusto (Key >= 1.024) Richiede potenza di calcolo. Confidenzialità Autenticità 13

Concetti di Sicurezza Informatica Concetti base – Minaccia I beni hanno un valore (anche se immateriali come le informazioni o i servizi) e devono essere protettu per evitare che possano subire una perdita, totale o parziale, del loro valore. ll valore di un bene viene attribuito in rapporto alla sua importanza (dalla normativa, dal proprietario del bene)secondo gli obiettivi fissati con i criteri di RID (Riservatezza, Integrità, Disponibilità). Minaccia Fatto o azione che potrebbe provocare la violazione di uno degli obiettivi di sicurezza. Possono avere origine umana, deliberata o accidentale, o avere una causa esterna naturale. Esempi: Fulmine: minaccia naturale Guasto HW: minaccia accidentale Furto : minaccia deliberata Sw dannoso: può essere deliberato o accidentale 14

Concetti di Sicurezza Informatica Concetti base – Vulnerabilità Vulnerabilità Tutti i beni hanno, per loro natura, delle vulnerabilità intrinseche, ovvero dei punti deboli, noti o ignoti. Se esiste una minaccia che può sfruttare la vulnerabilità, si può verificare una violazione di un obiettivo di sicurezza. Le vulnerabilità non implicano la certezza della violazione degli obiettivi di sicurezza Impatto Esprime le conseguenze, sul sistema informatico, a seguito della concretizzazione di una minaccia. Dipende dagli obiettivi di sicurezza e dal valore attribuito al bene o al servizio 15

Concetti di Sicurezza Informatica Concetti base – Rischio Rischio Quantifica la severità di una minaccia in relazione al sistema che si vuole proteggere. Si esprime come relazione tra la probabilità che una minaccia si realizzi P(m) le conseguenze che può provocare (gravità del possibile impatto) G(i) R = P(m) * G(i) I valori associati al Rischio costituiscono l’elemento per sviluppare il processo di analisi e gestione del rischio e sono fondamentali per la progettazione di un sistema di sicurezza. 16

Concetti di Sicurezza Informatica Come realizzare un sistema di sicurezza quali risorse proteggere? che importanza (valore) ha la risorsa? da quali minacce occorre proteggere le risorse? la probabilità che la minaccia si concretizzi? quali misure di protezione si possono adottare? quali sono i costi? le misure già in atto sono ancora valide? occorre una verifica periodica degli obiettivi? 17

Il processo di gestione della Sicurezza Informatica Come realizzare un sistema di sicurezza Il processo (CICLO) della sicurezza 18

Il processo di gestione della Sicurezza Informatica Come realizzare un sistema di sicurezza Obiettivo: Definire i principali eventi potenzialmente dannosi Stimare la probabilità di accadimento relativa. Calcolare il rischio Individuare le contromisure Metodo: Individuazione minacce e vulnerabilità Calcolo del rischio: 1. Applicabilità: la minaccia può compromettere l’asset (0=no 1=si) 2. Impatto: applicabilità x criticità asset 3. Probabilità: che la minaccia si concretizzi (vulnerabilità presenti) 4. Rischio: impatto x probabilità (parametrizzati) 19

Il processo di gestione della Sicurezza Informatica Gestione del rischio quali risorse proteggere? 1) Inventario dei beni (Asset) Supporti informatici (sistemi, apparati, Applicativi, reti locali, reti geografiche,…) Impianti (corrente elettrica, UPS, aria condizionata/riscaldamento,….) Locali (Sale CED, sale console, archivi) Persone (manager, sviluppatori, utenti, sistemisti, ….) Documenti (cartacei o in forma digitale) Dati 2) Classificazione dei beni (Asset) In termini di RID Assegnando un valore numerico o qualitativo (Alto, Medio, Basso) fornisce la stima della gravita dell’Impatto G(I) 20

Il processo di gestione della Sicurezza Informatica Gestione del rischio 3) Individuare le Minacce (Deliberate, Accidentali, ambiEntali) 21

Il processo di gestione della Sicurezza Informatica Gestione del rischio 4) Individuare le vulnerabilità 22

Il processo di gestione della Sicurezza Informatica Gestione del rischio 5) Stimare la probabilità dell’evento dannoso Dipende dalla tipologia della minaccia e Minacce Deliberate (Fattore Umano) La probabilità é funzione delle Vulnerabilità presenti nel sistema e della Motivazioni del potenziale attaccante P = f(V,M) Minacce accidentali e ambientali della probabilità statistica che si verifichi. La probabilità statistica deriva dai rilevamenti di eventi simili avvenuti in precedenza P = f(V,p) 23

Il processo di gestione della Sicurezza Informatica Gestione del rischio 6) Stimare il rischio Applicando la formula di correlazione Probabilità – Gravità dell’impatto R = P(m) * G(i) 1 Basso 2 Medio 3 Alto 3 Alto 3 Medio 6 Alto 9 Alto 2 Medio 2 Basso 4 Medio 1 Basso 24

Il processo di gestione della Sicurezza Informatica Gestione del rischio 6) Gestire il rischio scopo eliminare i rischi ridurli entro limiti accettabili I rischi non eliminabili possono essere ceduti a terzi, (polizze di assicurazione) es. furto, incendio e disastri naturali Il rischio può essere controllo del attraverso opportune contromisure che agiscano sulle due componenti del rischio: la gravità dell’impatto la probabilità di attuazione della minaccia 25

Il processo di gestione della Sicurezza Informatica Gestione del rischio 6) Contromisure La scelta delle contromisure da mettere in campo è dettata dall’analisi del rischio e dall’analisi costo/benefici delle contromisure. Se la riduzione del rischio è ampiamente superiore al costo della contromisura, questa è efficace. Se un certo rischio è di scarsa entità e la contromisura risulterebbe più costosa rispetto ai benefici, si può decidere di accettare il rischio senza alcuna contromisura. Vale anche nei casi in cui il rischio residuo (il rischio che rimane dopo l’adozione delle contromisure) non fosse significativamente inferiore al rischio iniziale. Si possono classificare le contromisure in tre categorie a seconda che siano di di carattere fisico di tipo procedurale di tipo tecnico informatico 26

Il processo di gestione della Sicurezza Informatica Gestione del rischio Contromisure di carattere fisico Generalmente legate alla prevenzione e al controllo dell’accesso a installazioni, locali, attrezzature, mezzi di comunicazione. Esempi edificio protetto e accessibile solo dopo il riconoscimento del personale autorizzato la collocazione in zona elevata non soggetta ad alluvioni, rilevatori e pompe per evacuare l’acqua sistemi antincendio accessi blindati e sorvegliati protezione fisica delle linee di comunicazione contro intercettazioni, disturbi e danneggiamenti. canalizzazioni dei cavi di rete, schermature di vetri e pareti per contenere il campo delle reti 27

Il processo di gestione della Sicurezza Informatica Gestione del rischio Contromisure di carattere tecnico informatico - 1 Realizzate attraverso mezzi hardware, firmware e software e prendono anche il nome di funzioni di sicurezza Identificazione e autenticazione di un individuo o un processo e ad autenticarne l’identità. funzione di accesso (login) a un sistema tramite nome utente (per l’identificazione) e password (per l’autenticazione dell’identità). Controllo degli accessi Verificano se il processo o l’utente, di cui è stata autenticata l’identità, ha il diritto di accedere alla risorsa richiesta e di eseguire l’operazione specificata (lettura, esecuzione, modifica, creazione, cancellazione). Rendicontabilità (accountability) permettono di attribuire la responsabilità degli eventi agli individui che li hanno causati. Verifica (audit). registrano gli eventi in un file (log) con informazioni su errori e a violazioni di sicurezza. 28

Il processo di gestione della Sicurezza Informatica Gestione del rischio Contromisure di carattere tecnico informatico - 2 Accuratezza delle informazioni. Esempio, la registrazione temporale (time stamp) dell’evento perché i file di logging forniscano informazioni attendibili, Affidabilità del servizio. contromisure per mantenere condizioni di alimentazione elettrica stabile, filtrata e senza interruzione (gruppi di continuità) difese dai malfunzionamenti hardware (monitoraggio e manutenzione preventiva) difese dai malfunzionamenti software (monitoraggio delle prestazioni, rollback delle transazioni non andate a buon fine, ripristino di uno stato precedente del sistema operativo, ripristino delle partizioni di disco a uno stato integro precedente). Scambio dati sicuro. destinate a garantire la sicurezza delle trasmissioni. autenticazione - controllo dell’accesso - riservatezza integrità (dell’hardware, dei dati e dei flussi di pacchetti TCP trasmessi) non ripudio. Esempio di contromisura in questa area é l’uso di crittografia 29

Il processo di gestione della Sicurezza informatica Contromisure di carattere procedurale - 1 Definiscono le operazioni per eseguire un compito oppure regolano il comportamento degli addetti e degli utenti per gli aspetti che riguardano la sicurezza delle informazioni e delle risorse. Mentre le contromisure fisiche proteggono l’accesso fisico alle risorse e le contromisure informatiche agiscono a livello hardware, firmware e software, le procedure operative e le regole di comportamento si applicano alle persone Scopi evitare che gli addetti ai sistemi informatici e gli utenti causino vulnerabilità e minacce accidentali Promuovere la consapevolezza delle persone e far si che contribuiscano a mantenere i livelli di sicurezza riducendo i rischi residui lasciati dalle altre contromisure. 30

Il processo di gestione della Sicurezza informatica Contromisure di carattere procedurale - 2 Esempi: il controllo dell’identità dei visitatori e la limitazione delle aree a cui hanno accesso. Le istruzioni per la sua custodia del badge di riconoscimento così che non venga lasciato a disposizione di altri Le password sono uno strumento di protezione informatico, ma le regole per la loro assegnazione, durata, utilizzo e custodia fanno parte delle contromisure procedurali per ridurre il rischio del furto d’identità. norme comuni per le password: utilizzare password di lunghezza minima prefissata (tipico maggiore di 8 caratteri) Rispondenti ai requisiti di complessità (lettere, maiuscole, numeri e caratteri speciali) Imposizione di modificarle periodicamente bloccare l’accesso dopo un numero limitato di tentativi errati; responsabilizzare gli assegnatari sugli effetti della mancata riservatezza 31

Il processo di gestione della Sicurezza informatica Contromisure di carattere procedurale - 3 Le contromisure di tipo procedurale dovrebbero essere ridotte al minimo, Quando quando possibile è consigliabile utilizzare sistemi automatizzati, meno soggetti agli errori e dimenticanze. Esempio L’aggiornamento degli antivirus che assicuri che il file di riconoscimento dei virus sia sempre allineato all’ultimo rilascio L’aggiornamento periodico del firmware dei firewall Possono essere automatizzati tramite un sistema centralizzato L’uso di determinate funzioni nell’utilizzo di specifici hardware e software, ove si preveda che possa aumentare i rischi per la sicurezza dovrebbe: essere automatizzato per quanto possibile oggetto di norme procedurali per quanto dipende dal comportamento delle persone 32

Il processo di gestione della Sicurezza informatica Contromisure di carattere procedurale - 4 Le contromisure di tipo procedurale possono integrare e rafforzare i sistemi automatizzati. Esempio Per l’entità dell’impatto e la frequenza di guasti ai supporti magnetici è assolutamente necessario prevedere un sistema di salvataggio dei dati e dei programmi (backup), garantiscano il ripristino dopo un disastro (disaster recovery) o la continuità operativa (business continuity) a dispetto di qualsiasi evento catastrofico. I backup possono essere automatizzati E’ però importante definire una strategia di backup a più livelli (con diverse periodicità) e mettere in atto procedure che verifichino esecuzione dei salvataggi integrità e utilizzabilità dei supporti funzionalità del ripristino in caso di necessità seguito di un evento (test periodi) 33

Il processo di gestione della Sicurezza informatica Gli standard Forniscono una guida per la progettazione e la gestione di un sistema di sicurezza ISO 2700 Foundamental and vocabulary ISMS Requirements Code of practice of ISMS ISMS implementation guidance Measurements Risk Management Requirements for the accreditation of certification bodies Guidelines for ISMS auditing Information security management guidelines for telecommunications ICT readiness for business continuity I Guidelines for cybersecurity IT network security Guidelines for application security Security Management in Health using ISO/IEC 27002 34

Modello organizzativo per la PA Direttiva del 16 gennaio 2002 dal titolo: “Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni Statali Obiettivo: adeguare la struttura organizzativa della P.A. coerentemente agli obiettivi fissati In materia di sicurezza dei servizi resi al cittadino tramite gli strumenti informatici . Il modello prevede che sia istituita un’organizzazione che assegna dei ruoli dotati di responsabilità e di autonomia nonché di conoscenza dell’operatività per prendere decisioni, tenendo fede al principi della “separazione dei compiti”. Bilanciamento rischio/sicurezza valutare il bene, il livello di esposizione, definire le misure di protezione, bilanciamento fra gli investimenti per le contromisure e la diminuzione degli accadimenti; Monitoraggio del sistema: si intende l’attività di controllo continuo degli indicatori di performance, sicurezza e rischio, svolte dalla funzione/ruolo che realizza le misure di sicurezza. Verifica: attività di controllo saltuaria che si sviluppa attraverso un vero e proprio audit da parte di una funzione/ruolo (ICT auditing) diversa da chi ha realizzato la sicurezza. Fonte: CNIPA Quaderno 23 – Cap. 4 L’organizzazione di sicurezza delle amministrazioni 35

Modello organizzativo per la PA Gli standard . 36

Modello organizzativo per la PA Il Ministro: Rappresenta il vertice dell’organizzazione per la sicurezza ed ha il compito di individuare e sancire l’organizzazione della sicurezza idonea al proprio dicastero. Consigliere tecnico per la sicurezza ICT: E’ il consulente strategico del Ministro, svolge anche il ruolo di collegamento tra il Comitato e il titolare del Dicastero Comitato per la sicurezza ICT Organo che definisce gli obiettivi e le politiche di sicurezza delle infrastrutture tecnologiche e del patrimonio informativo gestito prevalentemente con soluzioni automatizzate. Aapprova le norme in materia di sicurezza devono essere approvate Responsabile della Sicurezza ICT È il soggetto responsabile della definizione delle soluzioni tecniche ed organizzative in attuazione delle direttive impartite dal Ministro direttamente o su indicazione del Comitato per la sicurezza ICT. . Fonte: CNIPA Quaderno 23 – Cap. 4 L’organizzazione di sicurezza delle amministrazioni 37

Modello organizzativo per la PA . Responsabile del Sistema Informativo Automatizzato Istituito dal decreto legislativo 39/93, gli compete la pianificazione degli interventi di automazione, l’adozione delle cautele e delle misure di sicurezza, la committenza delle attività da affidare all’esterno. Gestore Esterno (outsourcer) È il fornitore di servizi che opera sotto il controllo del responsabile dei sistemi informativi Referente locale per la sicurezza informatica Funge da elemento di contatto verso gli organismi del Ministero e nazionali che si occupano della materia. Computer Emergency Response Team dell’Amministrazione - CERT-AM Specifici gruppi o uffici per la prevenzione e la gestione dei problemi causati da incidenti o attacchi al sistema informatico Fonte: CNIPA Quaderno 23 – Cap. 4 L’organizzazione di sicurezza delle amministrazioni 38

Modello organizzativo per la PA Codice Privacy Il decreto legislativo 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (c.d. Codice Privacy) disciplina la normativa in materia di tutela dei dati personali Contempla l’istituzione di figure specifiche per la realizzazione e la gestione di un sistema di sicurezza indirizzato allo specifico aspetto del trattamento dei dati personali . Distribuzione dei compiti e delle responsabilità 39

Modello organizzativo per la PA Codice Privacy . TITOLO IV SOGGETTI CHE EFFETTUANO IL TRATTAMENTO Art. 28 (Titolare del trattamento) 1-Quando il trattamento è effettuato da …, da una pubblica amministrazione …… titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Art. 29 (Responsabile del trattamento) 1 - Il responsabile è designato dal titolare facoltativamente. 2 - Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 40

Modello organizzativo per la PA Codice Privacy . TITOLO IV SOGGETTI CHE EFFETTUANO IL TRATTAMENTO Art. 30 (Incaricati del trattamento) Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima. 41

Modello organizzativo per la PA Codice Privacy Art. 31 (Obblighi di sicurezza) Art. 33 (Misure minime) … i titolari del trattamento sono comunque tenuti ad adottare le misure minime ….. Art. 34 (Trattamenti con strumenti elettronici) 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. . 42

Modello organizzativo per la PA Codice Privacy . Nell’ ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA Sono indicate le Regole Tecniche per i Trattamenti con strumenti elettronici Regola 1 - procedura di autenticazione Regola 3 - credenziali per l’autenticazione assegnate individualmente Regola 5 - La parola chiave è composta da almeno otto caratteri, è modificata al primo utilizzo e almeno ogni sei mesi (tre mesi per trattamento di dati sensibili e giudiziari) Regola 16 - protezione contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale (codice maligno), mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. Regola Gli aggiornamenti periodici dei programmi a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente (6 mesi per trattamento di dati sensibili o giudiziari ) 43

Modello organizzativo per la PA Codice Privacy Nell’ ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA Sono indicate le Regole Tecniche per i Trattamenti con strumenti elettronici Regola 18 - salvataggio dei dati con frequenza almeno settimanale. Regola documento programmatico sulla sicurezza Regola analisi dei rischi che incombono sui dati Regola le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità 44

Modello organizzativo per la PA Codice dell'amministrazione digitale Decreto legislativo 7 marzo 2005, n. 82 “Codice dell'amministrazione digitale.” Articolo 51 - Sicurezza dei dati Le norme di sicurezza definite nelle regole tecniche di cui all'articolo 71 garantiscono l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.. Articolo 71 - Regole tecniche Le regole tecniche previste nel presente codice sono dettate [omissis] in modo da garantire la coerenza tecnica con le regole tecniche sul sistema pubblico di connettività e con le regole di cui al disciplinare pubblicato in allegato B al decreto legislativo 30 giugno 2003, n. 196. 45

Modello organizzativo per la PA Codice dell'amministrazione digitale Istituzione di SPC Articolo 73 - Sistema pubblico di connettività (SPC) il Sistema pubblico di connettività (SPC), al fine di assicurare il coordinamento informativo e informatico dei dati tra le amministrazioni centrali, regionali e locali e promuovere l’omogeneità nella elaborazione e trasmissione dei dati stessi, finalizzata allo scambio e diffusione delle informazioni tra le pubbliche amministrazioni e alla realizzazione di servizi integrati l’insieme di infrastrutture tecnologiche e di regole tecniche, per lo sviluppo, la condivisione, l’integrazione e la diffusione del patrimonio informativo e dei dati della pubblica amministrazione, necessarie per assicurare l’interoperabilità di base ed evoluta e la cooperazione applicativa dei sistemi informatici e dei flussi informativi, garantendo la sicurezza, la riservatezza delle informazioni, nonché la salvaguardia e l’autonomia del patrimonio informativo di ciascuna pubblica amministrazione 46

Modello organizzativo per la PA Sistema Pubblico di Connettività L’organizzazione del Sistema di Sicurezza del SPC, ispirata al modello proposto dall’International Standard Organisation (ISO) Fonte: CNIPA Sistema Pubblico di connettività - Organizzazione di sicurezza 47

Modello organizzativo per la PA Sistema Pubblico di Connettività Comitato strategico sicurezza SPC Struttura collegiale che si occupa dell’indirizzo strategico generale della sicurezza SPC Struttura di Coordinamento di SPC (SC-SPC) indirizzo operativo e controllo sull’intero sistema, facendo in modo che vengano assicurati i livello di sicurezza stabiliti. Centro di gestione della sicurezza SPC (CG-SIC) realizza la componente centrale del sistema di sicurezza distribuito SPC dedicata al antenimento e alla verifica del livello di sicurezza minimo garantito sul SPC. provider qualificati secondo le regole di qualità e di sicurezza definite in ambito SPC Ogni PA dovrà rispettare i requisiti minimi di sicurezza SPC anche all’interno del proprio dominio di competenza, la sicurezza del SPC dipende dalla sicurezza di tutti i suoi componenti Unità locale di Sicurezza SPC struttura organizzativa in ciascun Dominio di una Pubblica Amministrazione, e per ogni provider che gestisce gli aspetti relativi alla sicurezza dell’infrastruttura I&T connessa al SPC che si trova nel proprio dominio di amministrazione Fonte: CNIPA Sistema Pubblico di connettività - Organizzazione di sicurezza 48

MiBAC – Corso sulla Sicurezza Informatica 17/12/2008

Presentazioni simili

Presentazione sul tema: "MiBAC – Corso sulla Sicurezza Informatica 17/12/2008"— Transcript della presentazione:

Presentazioni simili

Sul progetto

Feed-back

Entrare

Autorizzarsi attraverso i social network:

MiBAC – Corso sulla Sicurezza Informatica 17/12/2008

Presentazioni simili

Presentazione sul tema: "MiBAC – Corso sulla Sicurezza Informatica 17/12/2008"— Transcript della presentazione:

Presentazioni simili

Sul progetto

Feed-back