CERTIFICAZIONI INFORMATICHE

Transcript

1 Permanent Education and Knowledge on Information Technology Project CERTIFICAZIONI INFORMATICHE Aut. Ministero dell Istruzione, Università e Ricerca prot. A00DGPERS 6235 del 25/06/2010 Syllabus rev. 1.0 Gen. 2018

2 Sommario Fase 1 - REGOLE GENERALI DI PROTEZIONE DEI DA TI... 3 Fase 2 - RESPONSA BILITA'... 8 Fase 3 - TECNICHE PER GARANTIRE IL RISPETTO DEL REGOLAMENTO DI PROTEZIONE DI DATI... 14

3 Fase 1 - REGOLE GENERALI DI PROTEZIONE DEI DATI 1.1. Contesto normativo Cenni al concetto di privacy e protezione dei dati in Europa Protezione dei dati in Italia Standard e buone pratiche La normativa italiana/europea (Reg. EU. 679/2016) sulla protezione dei dati: fondamenti Ambito di applicazione Soggettivo Oggettivo Esclusioni Definizioni Soggetti obbligati Soggetti non obbligati 1.3. La normativa italiana/europea (Reg. EU. 679/2016) sulla protezione dei dati: principi Il binomio diritto / dovere nella protezione di dati Legittimità del trattamento Lealtà e trasparenza Limitazione delle finalità Minimizzazione di dati Esattezza dei dati 1.4. La normativa italiana/europea (Reg. EU. 679/2016) sulla protezione dei dati: legittimazione Raccolta dei dati Presso interessato Non presso interessato Informativa Contenuto PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

4 Consenso Forma del consenso Concessione Revoca Consenso dei minori Consenso informato: Scopo Trasparenza Conservazione Informazione obbligo di comunicazione agli interessati Categorie speciali di dati Dati relativi a infrazioni e condanne penali Dati medici Dati genetici Dati biometrici Dati relativi alla salute Trattamento che non richiede identificazione Basi legali diverse dal consenso Diritti degli interessati Trasparenza e informazione Accesso, rettifica, cancellazione Opposizione Limitazioni del trattamento Decisioni individuali automatizzate Profilazione Portabilità Eccezioni ai diritti La normativa italiana/europea (Reg. EU. 679/2016) sulla protezione dei dati: misure di conformità Le politiche di protezione dei dati Posizione legale degli intervenienti Titolare Co-titolare Responsabile Co-responsabile Incaricato del trattamento e suoi rappresentanti Rapporti tra i soggetti e formalizzazione La matrice poteri / doveri dell incaricato del trattamento Corrispondenza tra poteri su: PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

5 Documenti cartacei Documenti informatici Il registro delle attività di trattamento: identificazione dei trattamenti dei dati classificazione dei trattamenti dei dati La normativa italiana/europea (Reg. EU. 679/2016) sulla protezione dei dati: responsabilità proattiva Privacy by design e impostazioni predefinite Valutazione dell'impatto riguardante la protezione dei dati la consultazione preventiva Trattamenti ad alto rischio Sicurezza dei dati personali Sicurezza tecnica Sicurezza organizzativa Sicurezza fisica Le violazioni della sicurezza Notifica di violazioni all'autorità Notifica di violazioni all interessato Il responsabile della protezione dei dati (RPD/DPO). Contesto normativo Codici di condotta e certificazioni. Cenni 1.8. Il regolamento europeo sulla protezione dei dati. Responsabile Protezione Dati (RPD, DPO o Data Protection Officer) Designazione Processo decisionale Analisi del possibile conflitto di interesse Formalità nella scelta, rinnovo e cessazione Competenza professionale Negoziazione Comunicazione Il budget Formazione Capacità personali, lavoro di squadra, leadership, gestione delle attrezzature Obblighi e responsabilità Indipendenza Identificazione Collaborazione Autorizzazioni preventive Rapporti con le parti interessate Gestione dei reclami Comunicazione con l'autorità di protezione dei dati. PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

6 Procedure La normativa italiana/europea (Reg. EU. 679/2016) sulla protezione dei dati e l'aggiornamento della Privacy. Trasferimenti internazionali di dati Il sistema decisionale di adeguatezza Trasferimenti tramite garanzie appropriate Regole aziendali Eccezioni Clausole contrattuali Norme d impresa Binding Corporate Rules Autorizzazione dell'autorità di controllo Sospensione temporanea La normativa italiana/europea (Reg. EU. 679/2016) sulla protezione dei dati: le autorità di controllo Autorità di Controllo (italiana) Dignità Sanzioni Comitato europeo per la protezione di Dati La tutela dell interessato Procedure di competenza del garante La tutela giurisdizionale Il diritto di indennizzo Linee guida per l'interpretazione del Regolamento Generale sulla Protezione dei Dati (RGPD) Articolo 29 dell EU RGDP Pareri del Comitato europeo per la protezione di dati Criteri degli organi di giurisdizione Valore giuridico dei pareri espressi Alcuni soggetti e settori produttivi interessati dalle procedure di protezione dati Sanitario, Farmaceutico, Investigativo Protezione dei minori Solvibilità patrimoniale Telecomunicazioni Videosorveglianza Assicurazione Pubblicità, ecc Altro. PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

7 1.13. Legislazione italiana sulla privacy con implicazioni sulla la protezione di dati Codice per la protezione dei dati Decreto legislativo n. 196 del 30/06/ Regolamento europeo con implicazioni sulla la protezione di dati Direttiva E-Privacy: Direttiva 2002/58 / CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva sulla privacy e comunicazioni elettroniche) o Regolamento e-privacy quando approvato Direttiva 2009/136 / CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, che modifica la direttiva 2002/22 / CE relativa al servizio universale e ai diritti degli utenti in relazione a reti e servizi delle comunicazioni elettroniche, la direttiva 2002/58 / CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e il regolamento (CE) n. 2006/2004 sulla cooperazione nel settore delle comunicazioni elettroniche il consumatori Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, l'accertamento o il perseguimento di reati o l'esecuzione di sanzioni penali e la libera circolazione di tali dati e che abroga la decisione quadro 2008/977 / GAI del Consiglio. PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

8 Fase 2 - RESPONSABILITA' 2.1. Analisi e gestione dei rischi legati al trattamento dei dati personali Introduzione Quadro generale per la valutazione e la gestione del rischio Concetti generali Valutazione del rischio Inventario e valutazione delle attività Inventario e valutazione delle minacce Tutele esistenti Valutazione della loro protezione Rischio risultante Gestione del rischio Concetti Attuazione Selezione e assegnazione di salvaguardie alle minacce Valutazione della protezione Rischio residuo Rischio accettabile Rischio non assumibile Metodologie per l'analisi e la gestione dei rischi Applicazione schema Iso A.3.1 Consenso (raccolta) A.3.2 Scelta e diritto di opposizione A.3.2-ADD Consenso (gestione) A.4.1 Legittimità delle finalità A.4.2 Specifica delle finalità A.5 Limitazione della raccolta dei dati A.6 Minimizzazione dei dati A.7.1 Limitazione dell uso, conservazione (oblio) e divulgazione A.7.2 Cancellazione sicura A.7.3 Notifica della divulgazione e delle violazioni (data breach) A.7.4 Registrazione della divulgazione A.7.5 Registrazione dei fornitori A.8 Accuratezza e qualità A.9.1 Informativa PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

9 A.9.2 Apertura e trasparenza A.10.1 Accesso ai dati da parte dell interessato A.10.2 Diritto di rettifica A.10.3 Gestione dei reclaim A.11.1 Governo (e DPO) A.11.2 Privacy impact assessment A.11.3-ADD Rapporti con i clienti (titolari e super-fornitori) A.11.3 Requisiti per i fornitori A.11.4 Monitoraggio e audit A.11.5 Sensibilizzazione e formazione A.11.6 Reporting A.12 Sicurezza e autorizzazioni A.13.1 Conformità A.13.2 Trasferimenti extra-ue Applicazione schema Iso A Politiche per la sicurezza delle informazioni A Riesame delle politiche per la sicurezza delle informazioni A Ruoli e responsabilità per la sicurezza delle informazioni A Separazione dei compiti A Contatti con le autorità A Contatti con gruppi specialistici A Sicurezza delle informazioni nella gestione dei progetti A Politica per i dispositivi portatili A Telelavoro A Screening A Termini e condizioni di impiego A Responsabilità della direzione A Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni A Processo disciplinare A Cessazione o variazione delle responsabilità durante il rapporto di lavoro A Inventario degli asset A Responsabilità degli asset A Utilizzo accettabile degli asset A Restituzione degli asset A Classificazione delle informazioni A Etichettatura delle informazioni A Trattamento degli asset A Gestione dei supporti rimovibili PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

10 A Dismissione dei supporti A Trasporto dei supporti fisici A Politica di controllo degli accessi A Accesso alle reti e ai servizi di rete A Registrazione e de-registrazione degli utenti A Provisioning degli accessi degli utenti A Gestione dei diritti di accesso privilegiato A Gestione delle informazioni segrete di autenticazione degli utenti A Riesame dei diritti di accesso degli utenti A Rimozione o adattamento dei diritti di accesso A Utilizzo delle informazioni segrete di autenticazione A Limitazione dell accesso alle informazioni A Procedure di log-on sicure A Sistema di gestione delle password A Uso di programmi di utilità privilegiati A Controllo degli accessi al codice sorgente dei programmi A Politica sull uso dei controlli crittografici A Gestione delle chiavi A Perimetro di sicurezza fisica A Controlli di accesso fisico A Rendere sicuri uffici, locali e strutture A Protezione contro minacce esterne ed ambientali A Lavoro in aree sicure A Aree di carico e scarico A Disposizione delle apparecchiature e loro protezione A Infrastrutture di support A Sicurezza dei cablaggi A Manutenzione delle apparecchiature A Trasferimento degli asset A Sicurezza delle apparecchiature e degli asset all esterno delle sedi A Dismissione sicura o riutilizzo delle apparecchiature A Apparecchiature incustodite degli utenti A Politica di schermo e scrivania puliti A Procedure operative documentate A Gestione dei cambiamenti (sistemistici) A Gestione della capacità A Separazione degli ambienti di sviluppo, test e produzione A Controlli contro il malware A Backup delle informazioni A Raccolta di log degli eventi (e monitoraggio) PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

11 A Protezione delle informazioni di log A Log di amministratori e operatori A Sincronizzazione degli orologi A Installazione del software sui sistemi di produzione A Gestione delle vulnerabilità tecniche A Limitazioni all installazione del software A Controlli per l audit dei sistemi informative A Controlli di rete A Sicurezza dei servizi di rete A Segregazione nelle reti A Politiche e procedure per il trasferimento delle informazioni A Accordi per il trasferimento delle informazioni A Messaggistica elettronica A Accordi di riservatezza o di non divulgazione A Analisi e specifica dei requisiti per la sicurezza delle informazioni A Sicurezza dei servizi applicativi su reti pubbliche A Protezione delle transazioni dei servizi applicative A Politica per lo sviluppo sicuro A Procedure per il controllo dei cambiamenti di Sistema A Riesame tecnico delle applicazioni in seguito a cambiamenti nelle piattaforme operative A Limitazioni ai cambiamenti dei pacchetti software A Principi per l ingegnerizzazione sicura dei sistemi A Ambiente di sviluppo sicuro A Sviluppo affidato all esterno A Test di sicurezza dei sistemi A Test di accettazione dei sistemi A Protezione dei dati di test A Politica per la sicurezza delle informazioni nei rapporti con i fornitori A Indirizzare la sicurezza all interno degli accordi con i fornitori A Filiera di fornitura per l ICT (Information and communication technology) A Monitoraggio e riesame dei servizi dei fornitori A Gestione dei cambiamenti ai servizi dei fornitori A Gestione degli incidenti: Responsabilità e procedure A Segnalazione degli eventi relativi alla sicurezza delle informazioni PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

12 A Segnalazione dei punti di debolezza relativi alla sicurezza delle informazioni A Valutazione e decisione sugli eventi relativi alla sicurezza delle informazioni A Risposta agli incidenti relativi alla sicurezza delle informazioni A Apprendimento dagli incidenti relativi alla sicurezza delle informazioni 2.3. Programma di conformità per la protezione dei dati e per la sicurezza nelle organizzazioni Il programma di protezione dei dati nel contesto dell'organizzazione La progettazione l'attuazione Obiettivi del programma di conformità Il principio di accountability (responsabilizzazione) Culpa in eligendo Culpa in vigilando Necessità di poter dimostrare a posteriori di avere correttamente scelto collaboratori Necessità di poter dimostrare a posteriori di avere correttamente determinate soluzioni Necessità di poter dimostrare a posteriori di avere correttamente scelto fornitori Necessità di poter dimostrare a posteriori di avere correttamente impartito idonee istruzioni Necessità di poter dimostrare a posteriori di avere correttamente impartito monitorato l effettiva esecuzione delle istruzioni 2.4. Sicurezza delle informazioni Quadro normativo Attuazione della sicurezza delle informazioni Security by design e per impostazione predefinita Il ciclo di vita dei sistemi informativi Integrazione della sicurezza e della privacy nel ciclo di vita Il controllo di qualità della IS Valutazione dell'impatto della protezione dei dati "Data Protection Impact Assessment - DPIA" Introduzione e fondamenti dell'dpia: origine, concetto e caratteristiche dell'dpia Portata e necessità Standard. PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

13 Esecuzione di una valutazione d'impatto Aspetti preparatori e organizzativi Analisi della necessità di effettuare la valutazione e le consultazioni precedente. PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

14 Fase 3 - TECNICHE PER GARANTIRE IL RISPETTO DEL REGOLAMENTO DI PROTEZIONE DI DATI 3.1. Il controllo della protezione dei dati Il processo di audit Domande generali e approccio alla verifica Caratteristiche di base dell Audit Preparazione del rapporto di audit Granularità del rapporto di audit Aspetti di base e importanza del rapporto di audit Esecuzione audit follow-up azioni correttive Audit dei sistemi Informativi Il ruolo dell'auditing nei sistemi informativi Concetti di base Standard e linee guida di audit IS Controllo interno e miglioramento continuo Buone pratiche Integrazione dell'audit di protezione dei dati nella revisione di IS Pianificazione Esecuzione Follow-up azioni correttive La gestione della sicurezza dei trattamenti Sistema di sicurezza nazionale, ISO / IEC 27001: 2013 (UNE ISO / IEC 27001: 2014: Iso 29151, requisiti per i sistemi di gestione della sicurezza delle informazioni, ISMS) Gestione della sicurezza delle attività Sicurezza logica Sicurezza procedurale. PEKIT PRIVACY GDPR DPO - SYLLA BUS REV

15 Sicurezza fisica Sicurezza applicata a IT Documentazione Disaster Recovery Business Continuity Pianificazione e gestione del recupero dei disastri Protezione dei beni tecnici Protezione dei beni documentari Altre nozioni Il cloud computing Gli Smartphone Social network Big data ed elaborazione dei profili Internet delle cose (IoT) Tecnologie di monitoraggio utente Blockchain e sviluppi tecnologici PEKIT PRIVACY GDPR DPO - SYLLA BUS REV