Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy

Transcript

1 Obblighi di sicurezza e relative sanzioni Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy L adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti di dati personali, come specificato dagli articoli 31 e 33 del Testo Unico. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall art. 33 è punito con l arresto sino a due anni o con l ammenda da diecimila euro a cinquantamila euro Obblighi e misure di sicurezza Entrata in vigore Il Testo Unico è in vigore dal 1 Gennaio Le nuove Misure Minime di Sicurezza devono essere adottate entro il 30 Giugno 2005 (art. 180 comma 1) Se esistono obiettive ragioni tecniche che non permettono l adozione delle nuove misure entro il 30 giugno: Entro il 30 giugno il titolare predispone un documento avente data certa per descrivere i motivi della mancata adozione Adotta ogni misura atta a ridurre i rischi Entro il 30 settembre 2005 provvede ad aggiornare i sistemi per garantire l adeguamento Misure Minime di Sicurezza per trattamenti eseguiti mediante strumenti elettronici ( i numeri tra parentesi rimandano ai punti del Disciplinare tecnico) Obblighi e misure di sicurezza Introduzione Accesso ai dati tramite password (1-11) L adeguamento alle misure minime di sicurezza implica l adozione di specifiche abitudini operative e la presenza di un adeguato sistema informatico che rendano possibile: LA GESTIONE DELL ACCESSO AI DATI TRAMITE PASSWORD LA PROTEZIONE DEI COMPUTER TRAMITE ANTIVIRUS L AGGIORNAMENTO DEI PROGRAMMI IL SALVATAGGIO PERIODICO DEI DATI Per accedere a un archivio contenente dati personali è necessario superare una fase di autenticazione tramite l inserimento di nome utente e password Tale password è segreta, strettamente personale, lunga almeno otto caratteri e non facilmente riconducibile al proprietario Se l archivio protetto contiene dati comuni, la password va cambiata ogni sei mesi, se invece si tratta di dati sensibili o giudiziari, essa va cambiata ogni tre mesi. Se non è utilizzata da almeno sei mesi va disattivata Se ci si avvale della collaborazione di personale dipendente, bisogna definire specifici profili di autorizzazione all accesso dei dati e incaricare per iscritto la persona al trattamento. Misure minime di sicurezza per trattamenti mediante strumenti elettronici 1

2 Gestione della riservatezza Profili di autorizzazione (12-14) Gli eventuali collaboratori (d ora in poi definiti come incaricati) devono ricevere istruzioni che indichino in quale modo il computer non deve essere lasciato incustodito durante le sessioni di lavoro (screen saver, logoff) (9) Devono essere individuati per iscritto soggetti incaricati (se diversi dal titolare) e modalità per l accesso a dati o sistemi di elaborazione in caso di assenza dell interessato per esclusive necessità di operatività o sicurezza del sistema (nomina del custode delle parole chiave) (10) Sono l insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti Essi possono essere definiti durante la creazione di un nuovo utente del computer, specificando il livello di accesso alle risorse disponibili. Devono essere definiti precedentemente all inizio del trattamento (13) Devono essere verificati almeno annualmente (14) Il sistema di autenticazione Il sistema di autorizzazione Protezione antivirus (16) Aggiornamenti dei programmi (17) i sistemi di elaborazione devono essere protetti dal rischio costituito da virus informatici e simili La protezione deve essere attiva anche per i sistemi non connessi in rete o che non accedono a internet Gli utenti non devono poter disattivare l antivirus L aggiornamento deve essere obbligatoriamente almeno semestrale, ma è necessario per la sicurezza del sistema informatico che sia quotidiano o al massimo settimanale! Programmi obsoleti possono costituire un rischio al corretto trattamento dei dati Essi devono essere aggiornati per: Prevenire la vulnerabilità di strumenti elettronici Correggerne i difetti Tale aggiornamento dev essere eseguito con cadenza almeno annuale o, in caso di trattamento di dati sensibili o giudiziari, con cadenza almeno semestrale. Protezione antivirus L aggiornamento dei programmi per elaboratore Aggiornamenti: consigli Aggiornamenti: i problemi (esempio) I produttori di software spesso mettono a disposizione gli aggiornamenti in modo gratuito e facilmente accessibile via Internet. Per esempio gli aggiornamenti dei prodotti Microsoft sono disponibili all indirizzo: Sistemi Operativi non conformi alle esigenze delle misure minime: Microsoft Windows 95 Microsoft Windows 98 Microsoft Windows Millennium Edition (ME) il loro sistema di autenticazione tramite password è fittizio e facilmente aggirabile Si rende necessario l aggiornamento a un sistema operativo più recente (2000, XP), non sempre supportato da computer di vecchia generazione L aggiornamento dei programmi per elaboratore 2

3 Salvataggio dei dati (18) E obbligatorio il salvataggio dei dati personali (backup) La frequenza di salvataggio deve essere almeno settimanale, ma è opportuno che sia quotidiana Devono essere protetti tutti i dati trattati Devono essere impartite istruzioni (scritte) di carattere tecnico ed organizzativo per formare eventuali collaboratori su come eseguire le procedure di salvataggio Misure Minime di Sicurezza per trattamenti riguardanti dati personali di tipo sensibile o giudiziario eseguiti mediante strumenti elettronici Il salvataggio dei dati Introduzione Protezione anti-intrusione (20) Nel caso in cui si utilizzi il computer per il trattamento di dati sensibili o giudiziari, oltre all adeguamento alle misure minime appena descritte, vanno adottate ulteriori misure ed è necessaria la redazione del Documento Programmatico Sulla Sicurezza (D.P.S.) I sistemi di elaborazione devono essere protetti contro il rischio di intrusione mediante firewall Un firewall controlla il traffico da e verso l esterno della rete, in particolare con internet, bloccando quello indesiderato e potenzialmente pericoloso Possono essere utilizzati Firewall software Firewall hardware E necessario un costante aggiornamento del firewall, che in caso contrario diventa velocemente vulnerabile In aggiunta al firewall, può essere opportuno utilizzare un IDS (Intrusion Detection System) sulla Sicurezza Ulteriori misure per il trattamento di dati sensibili o giudiziari Supporti removibili (cdrom, floppy, dischi esterni) (21-22) Devono essere adottate istruzioni organizzative e tecniche per regolare (21): Le modalità d uso Le modalità di custodia Quando non più utilizzati devono essere (22): Distrutti o resi inutilizzabili oppure Resi non intelleggibili e in alcun modo ricostruibili Sistema di Disaster recovery (23) Deve essere garantito l accesso ai dati in caso di incidente (danneggiamento dei dati o degli strumenti) in tempi certi e comunque non superiori a sette giorni Ulteriori misure per il trattamento di dati sensibili o giudiziari Ulteriori misure per il trattamento di dati sensibili o giudiziari 3

4 (19) Contenuti del Documento Programmatico Descrive in maniera completa tutte le misure di sicurezza poste in essere nel caso di trattamento di dati personali sensibili o giudiziari Deve essere redatto ed aggiornato annualmente entro il 31 marzo di ogni anno (19) Non deve essere inviato al Garante, ma deve essere trattenuto presso il titolare del trattamento Non è richiesto che abbia data certa L elenco dei trattamenti dei dati personali (19.1) La distribuzione dei compiti e delle responsabilità (19.2) L analisi dei rischi che incombono sui dati (19.3) Le misure da adottare per garantire l integrità e la disponibilità dei dati e la protezione delle aree e dei locali rilevanti ai fini della loro custodia ed accessibilità (19.4) La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (19.5) La previsione degli interventi formativi (19.6) La descrizione dei criteri da adottare per garantire l adozione delle misure minime di sicurezza dei dati affidati all esterno della struttura del titolare (19.7) sulla Sicurezza L elenco dei trattamenti (19.1) Distribuzione di compiti e responsabilità (19.2) Quali sono i dati trattati Come vengono trattati Programmi destinati al trattamento Archivi che li contengono Finalità di trattamento Ambiti di comunicazione a terzi Descrizione dei profili di autorizzazione degli incaricati (se diversi dal titolare) Gestione sistema di autenticazione Gestione sistema di autorizzazione Gestione del sistema antivirus Gestione del sistema anti-intrusione Gestione del sistema di backup/restore Aggiornamento del Documento Programmatico Possibili allegati: Istruzioni agli incaricati; Nomine di responsabili e custodi delle parole chiave Modalità di accesso ai sistemi in assenza dell incaricato Analisi dei rischi (19.3) Criteri per garantire integrità e disponibilità (19.4) Elenco dei rischi individuati e delle possibili conseguenze in termini di: Distruzione o perdita dei dati Accesso non autorizzato alle informazioni o esecuzione di trattamenti non autorizzati Indisponibilità dei sistemi Presenza di informazioni errate Elenco delle contromisure che, per ogni rischio individuato sono poste in essere come misura di protezione, tenendo conto che le misure possono essere graduate per classi di dati, e che la medesima misura può avere effetto su rischi diversi. Sistema di autenticazione ed autorizzazione Sistema antivirus Sistema anti-intrusione informatica Procedure di sviluppo e avviamento di nuove applicazioni Gestione degli aggiornamenti dei programmi Organizzazione degli archivi degli utenti Protezione delle aree e dei locali (generali o specifici ai locali informatici) Sistemi anti-intrusione Vigilanza e controllo accessi Sistemi anti-incendio 4

5 Criteri e modalità per il ripristino dei dati (19.5) Sistema di backup Dispositivi Archivi protetti Modalità di esecuzione Frequenza Criteri di rotazione e archiviazione Modalità di verifica Strumenti di segnalazione di eventuali errori Sistemi per assicurare la continuità di alimentazione Sistemi ridondanti o ad alta affidabilità RAID / Cluster / SAN Disaster recovery (ripristino in seguito a disastro informatico) Interventi formativi su dipendenti e collaboratori (19.6) Riguardano: Conoscenza dei rischi Conoscenza delle misure di sicurezza e dei comportamenti da adottare Responsabilità Devono essere erogati: Al momento dell ingresso in servizio In occasione di cambio di mansioni In occasione dell introduzione di nuovi strumenti E opportuno che siano documentati Criteri per i trattamenti all esterno (19.7) Un caso concreto (esempio di D.P.S.) Documento di specifica di finalità, modalità, ed ambiti di comunicazione autorizzati per il trattamento Dichiarazione dell ente esterno a cui vengono affidati i dati di adozione delle misure di sicurezza Copia del Documento Programmatico del soggetto esterno, se dovuto o comunque disponibile Il D.P.S. di uno psicologo che tratta dati sensibili con l ausilio di strumenti elettronici Questo caso non necessita di particolari adeguamenti tecnologici, in quanto la struttura informatica del Titolare e` già conforme alle richieste del TUP Sara` messo online come fac-simile di documento programmatico sulla sicurezza Allegato Scadenzario obblighi Allegato Scadenzario obblighi Misura Scadenza/periodicità Tipologia dati Misura Scadenza/periodicità Tipologia dati Disattivazione credenziali Disattivazione credenziali Sostituzione autonoma parola chiave Verifica profili Entro sei mesi dal mancato utilizzo Subito, in caso di perdita della qualità Ogni sei mesi Ogni tre mesi Ogni anno Comuni Sensibili o giud. Aggiornamento programmi Backup Aggiornamento DPS Annualmente Ogni sei mesi Settimanalmente (consigliabile ogni giorno) Ogni anno entro il 31 marzo Comuni Sensibili giud. Sensibili o giudiziari Redazione lista incaricati Ogni anno Aggiornamento antivirus Ogni sei mesi ( consigliabile max. ogni settimana) 5

6 A chi rivolgersi Dichiarazione di conformità (25) Il mercato offre numerose aziende e consulenti in grado di analizzare la Vostra situazione informatica e di proporvi la miglior soluzione per l adeguamento alle misure minime di sicurezza. Per la redazione del D.P.S.S. ci si può rivolgere a studi specializzati o ai propri consulenti legali o fiscali. Vi sono infine aziende che propongono soluzioni pacchettizzate e che affrontano la problematica a 360 gradi. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura per provvedere alla esecuzione deve pretendere dall installatore una descrizione scritta dell intervento che ne attesta la conformità alle disposizioni del Disciplinare Tecnico Riguarda, ad esempio: Installazione della rete locale Installazione del sistema antivirus Installazione del firewall Installazione di software per il trattamento di dati sensibili o giudiziari (paghe e stipendi) Misure di tutela e garanzia Domande o chiarimenti 6