Sicurezza e Privacy. Requisiti minimi e adeguati. Il nuovo Testo Unico sulla Privacy

Transcript

1 Sicurezza e Privacy Implementazione dei requisiti minimi e adeguati di sicurezza alla luce del nuovo testo unico Ing. Stefano Zanero Politecnico di Milano Il nuovo Testo Unico sulla Privacy Entrato in vigore il 01/01/2004 Rinnova e consolida la legislazione in materia (in precedenza dispersa ) Rende molto più vincolanti controlli e sanzioni (sia civili sia penali) Semplifica, e al contempo rende più stringenti, i requisiti di sicurezza richiesti Requisiti minimi e adeguati Il testo impone requisiti adeguati, non minimi! Tuttavia, descrive dei requisiti minimi sotto i quali si ha responsabilità penale (art. 33) Sono individuati dal disciplinare tecnico o allegato B, che sostituisce il D.P.R. 318/99, abrogato, emanato in attuazione dell'art.15 della L.675/96, abrogata il mancato rispetto di dette misure ai sensi dell'art. 169 costituisce reato, punito con l'arresto fino a 2 anni o con l'ammenda da a Euro In mancanza di sicurezza adeguata (art. 31) resta comunque la responsabilità civile! art. 15: chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell'art c.c. Art. 2050: attività pericolosa inversione dell onere della prova Danni materiali e non materiali! 1

2 Ravvedimento operoso Prescrizione del Garante Termine massimo per la regolarizzazione non eccedente sei mesi Verifica dell adempimento da parte del Garante Pagamento di una somma pari al quarto del massimo dell ammendo stabilita per la contravvenzione Estinzione del reato Entrata in vigore Il Testo Unico è in vigore dal 1 Gennaio Le nuove Misure Minime di Sicurezza devono essere adottate entro il 30 Giugno 2004 (art. 180 comma1) Se esistono obiettive ragioni tecniche che non permettono l adozione delle nuove misure entro il 30 giugno: Entro il 30 giugno il titolare predispone un documento avente data certa per descrivere i motivi della mancata adozione Adotta ogni misura atta a ridurre i rischi Entro il 31 dicembre 2004 provvede ad aggiornare i sistemi per garantire l adeguamento Trattamenti mediante strumenti elettronici 2

3 Requisiti di autenticazione (1-11) Gli incaricati devono essere dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione La procedura può riguardare uno specifico trattamento o un insieme di trattamenti Il testo descrive correttamente i tre tipi di autenticazione informatica: ciò che si sa (mediante uno user-id associato ad una parola chiave riservata conosciuta solamente dall incaricato) ciò che si ha (mediante un token, eventualmente associato a user-id o parola chiave) ciò che si è (mediante una caratteristica biometrica dell interessato, eventualmente associata a user-id o parola chiave) User provisioning Provisioning: gestione delle credenziali utente Le credenziali di autenticazione non utilizzate da almeno 6 mesi devono essere disattivate (tranne quelle usate per soli scopi di gestione tecnica) (7) Le credenziali devono essere disattivate in caso di perdita della qualità che consente l accesso ai dati (8) Regole sugli user-id Ogni codice può essere utilizzato da un solo incaricato e non può essere assegnato ad altri, neppure in tempi diversi (i.e. non si può riutilizzare un nome utente, nemmeno se il precedente è stato disattivato) (6) Ad ogni incaricato possono eventualmente essere assegnati più codici per l identificazione (ad esempio per funzioni diverse) (3) 3

4 Regole sulle password La buona password è: conosciuta solamente dall incaricato (2) che deve assicurarne la riservatezza (4) (responsabilizzazione!) Lunga almeno otto caratteri sui sistemi ove è possibile (5) e non contiene riferimenti agevolmente riconducibili all incaricato (5) Modificata al primo utilizzo (5) e in seguito ogni sei mesi (ogni tre mesi per dati sensibili o giudiziari) (5) Regole sulle password Gli incaricati non devono lasciare il computer acceso e incustodito, e vanno istruiti e responsabilizzati sui metodi per evitare ciò (screen saver, log-off) (9) Devono essere individuati per iscritto soggetti incaricati e modalità per l accesso a dati o sistemi di elaborazione in caso di assenza dell interessato per esclusive necessità di operatività o sicurezza del sistema (nomina del custode delle parole chiave) (10) Le parole chiave non devono più essere conservate dal custode, tranne quando strettamente necessario, per fortuna! Sistema di autorizzazione (12-14) Sistema di autorizzazione: abilita l accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione Profilo di autorizzazione: associato ad una persona, individua i dati a cui può accedere e i trattamenti consentiti Scopo: regolare l accesso alle informazioni in base ad un corretto criterio di necessità delle stesse per svolgere le diverse attività lavorative Riguarda, ad esempio: Utilizzo di applicazioni o funzioni applicative Accesso alle informazioni, in lettura o in scrittura Tramite le applicazioni Direttamente sui database Accesso ad archivi di documenti, sistemi di posta elettronica, ecc. 4

5 I profili di autorizzazione Devono essere definiti precedentemente all inizio del trattamento (13) e verificati almeno annualmente (14) Possono essere definiti per singolo incaricato o per classi omogenee di incaricati (ad es. uffici o reparti) (13) Devono essere completi considerando quindi programmi, funzioni, archivi (12) E indispensabile definire il livello di dettaglio dei profili: Un dettaglio insufficiente non consente selettività nell accesso ai dati Un dettaglio eccessivo genera un sistema complesso e difficilmente gestibile E indispensabile la collaborazione dei responsabili funzionali e del settore HR E indispensabile un frequente aggiornamento (nuovi incaricati, cambiamenti di mansioni, ecc.) Anche in questo caso, un sistema di user provisioning efficiente può essere necessario! Individuazione degli ambiti di trattamento (15) Cosa significa ambito di trattamento dei dati? Finalità di trattamento Modalità di trattamento Ambiti di comunicazione o diffusione Devono essere definiti ed aggiornati almeno annualmente Devono essere documentati in forma scritta Possono essere definiti per incaricato o per classi omogenee (ad es. uffici o reparti) Protezione antivirus e senso dell umorismo (16) Tutti i sistemi di elaborazione (server, client) devono essere protetti dal rischio costituito da virus informatici e simili La protezione deve essere attiva anche per i sistemi non connessi in rete o che non accedono a internet Gli utenti non devono poter disattivare l antivirus L aggiornamento deve essere obbligatoriamente almeno semestrale (risate, grazie!) Come chiunque sa, per la sicurezza del sistema informatico aziendale, sarebbe opportuno un aggiornamento quotidiano, o al massimo settimanale! 5

6 L incubo delle patch (17) Il T.U. impone di applicare gli aggiornamenti volti a: Prevenire la vulnerabilità Correggere difetti Patch sia di sistema che applicative Solo le patch o anche gli aggiornamenti? E nel secondo caso, anche quelli a pagamento? Devono essere eseguiti con cadenza almeno annuale In caso di trattamento di dati sensibili o giudiziari con cadenza almeno semestrale Sembrano termini ridicoli, ma nella nostra esperienza di consulenza sono ben più di quello che gran parte delle aziende sono disposte a fare!!! Problemi di testing, problemi di upgrade hardware Politiche di backup (18) Il backup dei dati personali è obbligatorio! La frequenza di salvataggio minima deve essere almeno settimanale Una misura adeguata di sicurezza potrebbe prevedere però dei backup giornalieri automatici, almeno sui sistemi fondamentali! Istruzioni tecniche (18) Devono essere impartite istruzioni scritte per definire le modalità di esecuzione dei backup Individuazione dei dispositivi Individuazione degli archivi Frequenza di backup Modalità (backup completo, incrementale, differenziale) Rotazione dei dispositivi fisici Archiviazione sicura dei dispositivi di backup Definizione delle procedure di controllo e verifica 6

7 Definire le procedure (18) Il testo unico insiste sulla necessità di definire, per iscritto, le procedure Definizione delle responsabilità Definizione delle procedure in caso di incidente Definizione delle modalità di aggiornamento delle procedure Il documento programmatico è quasi una necessità anche per chi non sarebbe tenuto a redigerlo! Documento Programmatico Il documento programmatico è sia requisito minimo che strumento per dimostrare la buona fede nell implementazione adeguata Quando è necessario il DPS? Sempre, in caso di trattamento effettuato con mezzi elettronici; Sempre, in caso di trattamento di dati sensibili o giudiziari (in questo caso il T.U. detta la struttura del DPS) Anche quando non è obbligatorio, è implicitamente richiesto dall art. 31, in quanto parte essenziale di adeguate misure di sicurezza (responsabilità civile) Quando va redatto? Prima che qualsiasi trattamento possa avere luogo! E comunque entro il 01/06/2004 Lettura alternativa: entro il 31/03/2004 Il Documento Programmatico Descrive in maniera completa tutte le misure di sicurezza Deve essere redatto ed aggiornato annualmente entro il 31 marzo di ogni anno (19) Se è richiesta la relazione accompagnatoria del bilancio di esercizio, deve esserne riferito dell avvenuta redazione od aggiornamento (26) Non deve essere inviato al Garante, ma deve essere trattenuto presso il titolare del trattamento Non è richiesto che abbia data certa 7

8 Contenuti del DPS L elenco dei trattamenti dei dati personali (19.1) La distribuzione dei compiti e delle responsabilità (19.2) L analisi dei rischi che incombono sui dati (19.3) Le misure da adottare per garantire l integrità e la disponibilità dei dati e la protezione delle aree e dei locali rilevanti ai fini della loro custodia ed accessibilità (19.4) La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (19.5) La previsione degli interventi formativi (19.6) La descrizione dei criteri da adottare per garantire l adozione delle misure minime di sicurezza dei dati affidati all esterno della struttura del titolare (19.7) I criteri di cifratura o separazione dei dati sensibili o giudiziari (19.8) L elenco dei trattamenti (19.1) Database Modalità di trattamento Applicazioni Archivi Finalità di trattamento Ambiti di comunicazione Profili di autorizzazione degli incaricati Distribuzione di compiti e responsabilità (19.2) Gestione sistema di autenticazione Gestione sistema di autorizzazione Gestione del sistema antivirus Gestione del sistema anti-intrusione Gestione del sistema di backup/restore Aggiornamento del Documento Programmatico Possibili allegati: Istruzioni agli incaricati; Nomine di responsabili e custodi delle parole chiave Modalità di accesso ai sistemi in assenza dell incaricato 8

9 Analisi dei rischi (19.3) Elenco dei rischi individuati e delle possibili conseguenze in termini di: Distruzione o perdita dei dati Accesso non autorizzato alle informazioni o esecuzione di trattamenti non autorizzati Indisponibilità dei sistemi Presenza di informazioni errate Elenco delle contromisure che, per ogni rischio individuato sono poste in essere come misura di protezione, tenendo conto che le misure possono essere graduate per classi di dati, e che la medesima misura può avere effetto su rischi diversi. Criteri per garantire integrità e disponibilità (19.4) Sistema di autenticazione ed autorizzazione Sistema antivirus Sistema anti-intrusione informatica Procedure di sviluppo e avviamento di nuove applicazioni Gestione degli aggiornamenti dei programmi Organizzazione degli archivi degli utenti Protezione delle aree e dei locali (generali o specifici ai locali informatici) Sistemi anti-intrusione Vigilanza e controllo accessi Sistemi anti-incendio Criteri e modalità per il ripristino dei dati (19.5) Sistema di backup Dispositivi Archivi protetti Modalità di esecuzione Frequenza Criteri di rotazione e archiviazione Modalità di verifica Strumenti di segnalazione di eventuali errori Sistemi per assicurare la continuità di alimentazione Sistemi ridondanti o ad alta affidabilità RAID / Cluster / SAN Disaster recovery 9

10 Interventi formativi (19.6) Riguardano: Conoscenza dei rischi Conoscenza delle misure di sicurezza e dei comportamenti da adottare Responsabilità Devono essere erogati: Al momento dell ingresso in servizio In occasione di cambio di mansioni In occasione dell introduzione di nuovi strumenti E opportuno che siano documentati Criteri per i trattamenti all esterno (19.7) Documento di specifica di finalità, modalità, ed ambiti di comunicazione autorizzati per il trattamento Dichiarazione dell ente esterno a cui vengono affidati i dati di adozione delle misure di sicurezza Copia del Documento Programmatico del soggetto esterno, se dovuto o comunque disponibile Piani di controllo, se disponibili Cifratura o separazione dei dati sensibili (19.8) Cifratura: i dati sono archiviati utilizzando criteri di criptazione che ne rendono impossibile la lettura ai soggetti non autorizzati Tecnicamente complesso Normalmente non necessario Separazione: i dati sensibili o giudiziari sono memorizzati unicamente in archivi a cui utilizzando i profili di autorizzazione possono avere accesso solo i soggetti abilitati Applicazioni dotate di parola chiave Archivi ad accesso limitato 10

11 Dichiarazione di conformità (25) Il titolare che si avvale di soggetti terzi per ottemperare alle misure minime di sicurezza deve ricevere dall installatore una descrizione scritta dell intervento che ne attesta la conformità alle disposizioni del Disciplinare Tecnico Riguarda, ad esempio: Configurazione della rete locale Installazione del sistema antivirus Installazione e configurazione di firewall e IDS Installazione di software per il trattamento di dati Trattamenti di dati sensibili Dati sensibili o giudiziari Dati sensibili: sono i dati personali idonei a rivelare L origine razziale od etnica; Le convinzioni religiose, filosofiche o di altro genere; Le opinioni politiche; L adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale Lo stato di salute La vita sessuale Dati giudiziari: Provvedimenti di cui all art.3 comma 1 lett. Da a) a o) ed r) del d.p.r. 14 nov 2002 n. 313 La qualità di imputato o indagato 11

12 Protezione anti-intrusione (20) I sistemi di elaborazione contenenti dati sensibili o giudiziari devono essere protetti contro il rischio di intrusione Ad esempio, risulta chiaro che l utilizzo di firewall e sistemi di intrusion detection e/o prevention sia quasi obbligato E necessario un costante aggiornamento di questi sistemi, che non sono certo plug&play Supporti removibili (21-22) Nel caso di dati sensibili, le misure minime per l uso di supporti rimovibili sono più stringenti Devono essere impartite istruzioni organizzative e tecniche per regolare (21): Le modalità d uso Le modalità di custodia Quando non più utilizzati devono essere (22): Distrutti o resi inutilizzabili Resi non intelligibili o ricostruibili (crittografia?) Sistema di Disaster recovery (23) Per i dati sensibili, è previsto un tempo certo per l attivazione e il completamento delle procedure di disaster recovery Deve essere garantito l accesso ai dati in caso di incidente (danneggiamento dei dati o degli strumenti) in tempi certi e comunque non superiori a sette giorni 12

13 Trattamenti non elettronici Istruzioni agli incaricati (27) Modalità di controllo e custodia di atti e documenti La lista degli incaricati può essere redatta per classi omogenee di incarico e dei relativi profili di autorizzazione Custodia (dati sensibili o giudiziari) (28) Custoditi dagli incaricati fino alla conclusione dei trattamenti, assicurando che non vi sia accesso da parte di soggetti non autorizzati Consegnati a conclusione dei trattamenti 13

14 Archiviazione (dati sensibili o giudiziari) (29) Accessi controllati agli archivi Identificazione e registrazione degli accessi fuori dall orario di chiusura Autorizzazione agli incaricati, in caso di accesso controllato mediante strumenti elettronici Il Documento Programmatico Tre perché Perché realizzare correttamente le misure? La tentazione di risolvere il problema all italiana, con un DPS fotocopia e senza una reale analisi, è forte Una simile operazione diminuisce il costo, ma rende l utilità delle misure pari a zero Effettuare a regola d arte l intervento di analisi dei rischi, messa in sicurezza e stesura del DPS può essere l occasione di una crescita culturale aziendale, e anche un buon investimento in efficienza 14

15 Perché chiedere consiglio? Perché le conoscenze specifiche nel settore della sicurezza non sono presenti nella propria impresa Perché si tratta di una materia complessa in cui si rischia di non riuscire a valutare correttamente costi e benefici delle singole misure Perché un occhio esterno, allenato, è più facilmente in grado di aiutare il management interno a trovare e definire il percorso giusto Perché Secure Network? Per le Persone: giovani cresciuti nel settore con elevate competenze accademiche e professionali Per l Innovazione: siamo inseriti nelle principali comunità di ricerca, in particolare a livello universitario, nel campo della sicurezza informatica Per l Indipendenza: non siamo legati a nessun prodotto in particolare, e quindi garantiamo di elaborare la soluzione migliore in base alle esigenze del cliente Per la Focalizzazione: offriamo una gamma completa di servizi, ma esclusivamente nell ambito della sicurezza informatica Per la Personalizzazione: i percorsi di Secure Network sono tagliati a misura delle esigenze del cliente Riferimenti Per ulteriori informazioni: s.zanero@securenetwork.it Materiali aggiuntivi sul sito web: 15