> Codice in Materia di Protezione dei Dati Personali

Transcript

1 > Codice in Materia di Protezione dei Dati Personali Padova, 15 giugno 2004 David Bramini

2 > Codice in Materia di Protezione dei Dati Personali David Bramini: Partner di Visionest S.p.A. ( società di consulenza nell ambito organizzazione e sistemi informativi; Membro del Computer Security Institute ( organizzazione internazionale che si occupa di sicurezza dell informazione.

3 > Riflessioni su alcune Misure Minime di Sicurezza

4 > Riflessioni su alcune Misure Minime di Sicurezza Trattamenti con strumenti elettronici Sistema di autenticazione informatica Sistema di autorizzazione Altre misure di sicurezza Documento programmatico sulla sicurezza Ulteriori misure in caso di trattamento di dati sensibili o giudiziari Misure di tutela e garanzia Trattamenti senza l ausilio di strumenti elettronici

5 > Riflessioni su alcune Misure Minime di Sicurezza 1. Trattamento consentito agli incaricati autenticati; 2. Credenziali di autenticazione; 3. Associazione credenziali -> incaricato; 4. Segretezza della password; 5. Caratteristiche della password; 6. Incedibilità delle credenziali; 7. Credenziali inutilizzate; 8. Cambio di mansiani dell incaricato; 9. Custodia dell elaboratore; 10. Accesso ai dati in caso di assenza dell incaricato; 11. Dati destinati alla diffusione

6 > Riflessioni su alcune Misure Minime di Sicurezza 12. Sistema di autorizzazione; 13. Limitazioni degli accessi ai dati necessari; 14. Verifica periodica delle autorizzazioni; 15. Classi omogenee di incarico ed autorizzazione; 16. Anti-virus; 17. Patch; 18. Salvataggi; 19. Documento Programmatico sulla Sicurezza; 20. Protezione dati sensibili o giudiziari; 21. Istruzioni inerenti i supporti rimuovibili; 22. Distruzione supporti rimuovibili;

7 > Riflessioni su alcune Misure Minime di Sicurezza 23. Ripristino dell accesso in tempi certi; 24. Separazione/crittografia dati sanitari; 25. Conformità nella realizzazione di MMS in outsourcing; 26. Riferimento nella relazione di esercizio; 27. Istruzioni scritte sulla gestione documenti; 28. Controllo documenti con dati sensibili; 29. Controllo dell accesso agli archivi;

8 > Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

9 > Sistema di autenticazione informatica

10 > Sistema di autenticazione informatica Domanda: la password sul BIOS del calcolatore rappresenta una procedura di autenticazione? Domanda: i sistemi operativi che consentono l accesso al calcolatore senza una procedura di autenticazione possono essere utilizzabili?

11 > Sistema di autenticazione informatica

12 > Sistema di autenticazione informatica 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da: almeno otto caratteri oppure dal massimo consentito dal sistema; non contiene riferimenti agevolmente riconducibili all incaricato; è modificata da quest ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi; in caso di dati sensibili e di dati giudiziari è modificata almeno ogni tre mesi;

13 > Sistema di autenticazione informatica 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento: Esempio: Screen Saver con password; Spegnimento del calcolatore; Cavi di bloccaggio al tavolo per Notebook;

14 > Sistema di autenticazione informatica 10. Quando l accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata, sono impartite preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema....

15 > Sistema di autenticazione informatica...in tal caso la custodia delle copie delle credenziali è organizzata: garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l incaricato dell intervento effettuato.

16 > Sistema di autenticazione informatica Gestione delle Credenziali da parte del Custode: 1. Buste chiuse: Molte buste da produrre almeno 2 volte all anno; Gli utenti possono sbagliare a scrivere la password; Il custode può essere anche un non tecnico; 2. Cambiamento della password da parte dell amministratore del sistema: Si evitano le scartoffie Il custode può essere solo uno degli amministratori del sistema; L utente è automaticamente messo al corrente dell azione

17 > Altre misure di sicurezza

18 > Altre misure di sicurezza 16. I dati personali sono protetti contro il rischio di intrusione e dell azione di programmi di cui all art quinquies (che causano danno od interruzione) del codice penale mediante l attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. N.B: le misure minime di sicurezza possono non essere ritenute sufficienti (Art. 31 introduce il concetto di proteggere i dati secondo il progresso tecnico )

19 > Altre misure di sicurezza 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l aggiornamento è almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

20 > Documento programmatico sulla sicurezza 19. Il Documento Programmatico sulla Sicurezza deve contenere idonee informazioni riguardo: l elenco dei trattamenti di dati personali: Individuare il tipo di dati trattati (es: Clienti, Fornitori, Dipendenti,...); Strumenti usati per il trattamento (Software, archivi cartacei); Uffici/persone che eseguono il trattamento e la finalità

21 > Documento programmatico sulla sicurezza la distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati; Elencare le strutture in maniera coerente con l organigramma/mansionario; Può essere anche il momento per inserire un elenco dei responsabili interni ed esterni l analisi dei rischi che incombono sui dati;

22 > Introduzione all analisi del rischio

23 > Introduzione all analisi del rischio L analisi del rischio fornisce un processo che consente la rivisitazione sistematica dei rischi interni od esterni ad un organizzazione che possono causare: perdita di vantaggio competitivo impatti sulla produttività reputazione L analisi del rischio fornisce inoltre l identificazione delle contromisure per ricondurre tali rischi entro un livello accettabile per l azienda

24 > Introduzione all analisi del rischio L analisi del rischio è una disciplina nata negli anni 60 all interno dell industria nucleare Nel 1980 vengono rilasciati i primi modelli legati alla gestione del rischio dell informazione Ad oggi sono stati sviluppati decine di modelli e di approcci diversi al problema

25 > Introduzione all analisi del rischio Le organizzazioni più soddisfatte del proprio modello di analisi del rischio sono quelle che hanno definito: un processo relativamente semplice, adattabile a diverse business unit che coinvolge figure sia con competenze tecniche che di business rispetto alla risorsa oggetto dell analisi

26 Considera sia le vecchie che le nuove contromisure Analisi del Rischio > Analisi del rischio 1. Lista dei Rischi; 2. Priorità dei Rischi 3. Possibili Contomisure Analisi Vulnerabilità Costi/Benefici Implementazione Contromisure

27 > Introduzione all analisi del rischio Esempi di rischio da considerare: Accesso fisico non autorizzato; Accesso logico non autorizzato dall esterno; Accesso logico non autorizzato dall interno; Errori umani; Ingegneria Sociale; Guasti Hardware; Guasti Software; Black-out; Incendio

28 > Introduzione all analisi del rischio Esempi di contromisure da considerare: Controllo degli accessi, badge, serrature; Difesa perimetrale della rete (Firewall, etc...); Gestione attenta di password ed autorizzazioni; Formazione degli incaricati; Programmi di consapevolezza ; Service Level Agreement ; Gruppi di continuità; Dispositivi anti incendio

29 > Introduzione all analisi del rischio Gli investimenti per aumentare la sicurezza devono tenere conto che ci sarà sempre un rischio residuo da gestire. Investimento Rischio

30 > Documento programmatico sulla sicurezza le misure da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

31 > Documento programmatico sulla sicurezza la previsione di interventi formativi agli incaricati per renderli edotti: dei rischi, delle contromisure disponibili, della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare....

32 > Documento programmatico sulla sicurezza la descrizione dei criteri da adottare per garantire l adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all esterno della struttura del titolare; Es: Provider che gestiscono siti Web; Società di consulenza/assistenza sul sistema informativo;

33 > Documento programmatico sulla sicurezza per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell interessato.

34 > Documento programmatico sulla sicurezza Ulteriori suggerimenti per la redazione del DPS: Inserire come introduzione una descrizione del sistema informativo aziendale sufficiente a comprendere i servizi messi a disposizione verso l interno e verso l esterno dell azienda. Un inventario dettagliato dell hardware/software non è necessario Alla fine, del DPS può essere opportuno fare un cenno alle politiche scelte per implementare anche le altre misure di sicurezza che non è richiesto esplicitamente di documentare, es: modalità di aggiornamento/patching dei software, procedura di custodia delle credenziali,...

35 > Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l accesso abusivo, di cui all art. 615-ter (accesso abusivo in un sistema) informatico del codice penale, mediante l utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

36 > Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 23. Devono essere adottate idonee misure per garantire il ripristino dell accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

37 > Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati......, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati il trasferimento dei dati in formato elettronico è cifrato.

38 > Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, deve ricevere dall installatore una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

39 > Art 130: Comunicazioni indesiderate

40 > Art 130: Comunicazioni indesiderate 1. L uso di sistemi automatizzati di chiamata senza l intervento di un operatore per l invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell interessato. 2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.

41 > Art 130: Comunicazioni indesiderate... L interessato, al momento della raccolta e in occasione dell invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.

42 > Riservatezza Copyright 2000, 2004 Visionest S.p.A., tutti i diritti sono riservati, all rights reserved Nessuna parte di questo documento può essere riprodotta o trasmessa, in tutto o in parte, senza autorizzazione scritta di Visionest S.p.A., a persone fisiche o giuridiche che non siano l azienda indicata in intestazione. I contenuti del documento non possono altresì essere copiati, donati o venduti a terze parti senza autorizzazione scritta di Visionest S.p.A., né i suoi contenuti possono essere rivelati a persone fisiche o giuridiche che non siano indicati in intestazione senza autorizzazione scritta di Visionest S.p.A.. No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without the express written permission of Visionest S.p.A., to persons, physical or legal that are not part of the company indicated in the document heading. The information contained in this document can neither be copied, given or sold to third parties without the express written permission of Visionest S.p.A., nor can the this document be revealed to persons, physical or legal or that are not part of the company indicated in the document heading without the express written permission of Visionest S.p.A. Visionest S.p.A Via G.B. Ricci, Padova, Italy - tel. +39 (049) info@visionest.com

43 visionest.com