Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

Transcript

1 Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

2 General Data Protection Regulation (GDPR)

3 General Data Protection Regulation (GDPR) Art.25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1. Tenendo conto... dei rischi aventi probabilità e gravità diverse... il titolare mette in atto misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti...

4 General Data Protection Regulation (GDPR) Art.25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 2. Il titolare mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati necessari per ogni specifica finalità... Tale obbligo vale per la quantità dei dati..., la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati a un numero indefinito di persone...

5 General Data Protection Regulation (GDPR) Art.25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 3. Un meccanismo di certificazione approvato... può essere utilizzato come elemento per dimostrare la conformità ai requisiti...

6 General Data Protection Regulation (GDPR) Art.35 Valutazione d'impatto sulla protezione dei dati 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie,... può presentare un rischio elevato, il titolare... effettua, prima di procedere, una valutazione dell'impatto sulla protezione dei dati.

7 General Data Protection Regulation (GDPR) Art.35 Valutazione d'impatto sulla protezione dei dati.. 7.La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento... b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità c) una valutazione dei rischi... d) le misure previste per affrontare i rischi, includendo le misure di sicurezza e i meccanismi per garantire la protezione dei dati...

8 General Data Protection Regulation (GDPR) Art.35 Valutazione d'impatto sulla protezione dei dati il titolare procede a un riesame per valutare se il trattamento dei dati... sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio...

9 General Data Protection Regulation (GDPR) Art.2 Certificazione 1... meccanismi di certificazione della protezione dei dati... allo scopo di dimostrare la conformità... dei trattamenti i meccanismi... possono... dimostrare la previsione di garanzie appropriate...

10 CHE COSA FARE QUINDI?

11 ISO/IEC 27002:201 Tecnologie informatiche - Tecniche per la sicurezza Raccolta di prassi sui controlli per la sicurezza delle informazioni

12 ANNEX A A.5 POLITICHE PER LA SICUREZZA DELLE INFORMAZIONI A.5.1 Indirizzi della direzione Riesame delle politiche

13 ANNEX A A.6 ORGANIZZAZIONE DELLA SICUREZZA DELLE INFORMAZIONI A.6.1 Organizzazione interna Ruoli e responsabilità Separazione dei compiti Contatti con le autorità Contatti con gruppi specialistici Sicurezza delle informazioni nella gestione dei progetti

14 ANNEX A A.6 ORGANIZZAZIONE DELLA SICUREZZA DELLE INFORMAZIONI A.6.2 Dispositivi portatili e telelavoro Politica per i dispositivi portatili Telelavoro

15 ANNEX A A.7 SICUREZZA DELLE RISORSE UMANE A.7.1 Prima dell impiego Screning Termini e condizioni di impiego

16 ANNEX A A.7 SICUREZZA DELLE RISORSE UMANE A.7.2 Durante dell impiego Responsabilità della Direzione Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni Processo disciplinare

17 ANNEX A A.7 SICUREZZA DELLE RISORSE UMANE A.7.3 Cessazione e variazione del rapporto di lavoro Cessazione o variazione delle responsabilità durante il rapporto di lavoro

18 ANNEX A A.8 GESTIONE DEGLI ASSET A.8.1 Responsabilità per gli asset Inventario degli asset Responsabilità degli asset Utilizzo accettabile degli asset Restituzione degli asset A.8.2 Classificazione delle informazioni Etichettatura delle informazioni Trattamento degli asset

19 ANNEX A A.8 GESTIONE DEGLI ASSET A.8.3 Trattamento dei supporti Gestione dei supporti rimovibili Dismissione dei supporti Trasporto dei supporti fisici

20 A.9 CONTROLLO DEGLI ACCESSI A.9.1 Requisiti per il business e per il controllo degli accessi Politica per il controllo degli accessi Accesso alla rete e ai servizi di rete A.9.2 Gestione degli accessi degli utenti Registrazione e de-registrazione degli utenti Provisioning degli accessi degli utenti Gestione dei diritti di accesso privilegiati Gestione delle informazioni segrete di autenticazione degli utenti Riesame dei diritti di accesso Rimozione o adattamento dei diritti di accesso

21 ANNEX A A.9 CONTROLLO DEGLI ACCESSI A.9.3 A.9. Responsabilità dell utente Utilizzo delle informazioni segrete di autenticazione Controllo degli accessi ai sistemi e alle applicazioni Limitazione dell accesso alle informazioni Procedure di log on sicure Sistema di gestione delle password Uso di programmi di utilità privilegiati Controllo degli accessi al codice sorgente dei programmi

22 ANNEX A A.10 CRITTOGRAFIA A.10.1 Controlli crittografici Politica d uso dei controlli crittografici Gestione delle chiavi

23 ANNEX A A.11 AREE SICURE A.11.1 Aree sicure Perimetro di sicurezza fisica Controlli di accesso fisico Rendere sicuri uffici, locali e strutture Protezione contro minacce esterne ed ambientali Lavoro in aree sicure Aree di carico e scarico

24 ANNEX A A.12 SICUREZZA DELLE ATTIVITA OPERATIVE A.12.1 Procedure operative e responsabilità Procedure operative documentate Gestione dei cambiamenti Gestione delle capacità Separazione degli ambienti di sviluppo, test e produzione A.12.2 Protezione dal malware Controlli contro il malware A.12.3 Backup Backup delle informazioni

25 A.12 SICUREZZA DELLE ATTIVITA OPERATIVE ANNEX A A.12. Raccolta log e monitoraggio Raccolta log degli eventi Protezione delle informazioni di log Log di amministratori e operatori Sincronizzazione degli orologi A.12.5 Controllo del software di produzione Installazione di software sui sistemi di produzione A.12.6 Gestione delle vulnerabilità tecniche Limitazioni all installazione del software A.12.7 Considerazioni sull audit dei sistemi informativi Controlli per l audit dei sistemi informativi

26 A.13 SICUREZZA DELLE COMUNICAZIONI ANNEX A A.13.1 Gestione della sicurezza della rete Controlli di rete Sicurezza dei servizi di rete Segregazione delle reti A.13.2 Trasferimento delle informazioni Politiche e procedure per il trasferimento delle informazioni Accordi per il trasferimento delle informazioni Messaggistica elettronica Accordi di riservatezza e non divulgazione

27 A.1 ACQUISIZIONE, SVILUPPO E MANUTENZIONE DEI SISTEMI A.1.1 Requisiti di sicurezza dei sistemi informativi ANNEX A Analisi e specifica dei requisiti per la sicurezza delle informazioni Sicurezza dei servizi applicativi su reti pubbliche Protezione delle transazioni dei sistemi applicativi A.1.2 Sicurezza nei processi di sviluppo e di supporto Politica per lo sviluppo sicuro Procedure per il controllo dei cambiamenti di sistema Riesame tecnico delle applicazioni in seguito a cambiamenti nelle piattaforme operative Limitazioni ai cambiamenti dei pacchetti software Principi per l ingegnerizzazione sicura dei sistemi Ambiente di sviluppo sicuro Sviluppo affidato all esterno Test di sicurezza dei sistemi Test di accettazione dei sistemi A.1.3 Dati di test Protezione dei dati di test

28 ANNEX A A.15 RELAZIONE CON I FORNITORI A.15.1 Sicurezza delle informazioni nelle relazioni con i fornitori Politiche per la sicurezza delle informazioni nei rapporti con i fornitori Indirizzare la sicurezza all interno degli accordi con i fornitori Filiera di fornitura per ICT A.15.2 Gestione dell erogazione dei servizi dei fornitori Monitoraggio e riesame dei servizi dei fornitori Gestione dei cambiamenti ai servizi dei fornitori

29 ANNEX A A.16 GESTIONE DEGLI INCIDENTI RELATIVI ALLA SICUREZZA DELLE INFORMAZIONI A.16.1 Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti Responsabilità e procedure Segnalazione degli eventi relativi alla sicurezza delle informazioni Segnalazione dei punti di debolezza relativi alla sicurezza delle informazioni Valutazione e decisione sugli eventi relativi alla sicurezza delle informazioni Risposta agli incidenti relativi alla sicurezza delle informazioni Apprendimento dagli incidenti di sicurezza delle informazioni Raccolta delle evidenze

30 ANNEX A A.17 ASPETTI RELATIVI ALLA SICUREZZA DELLE INFORMAZIONI DELLA CONTINUITA OPERATIVA A.17.1 Continuità della sicurezza delle informazioni Pianificazione della continuità della sicurezza delle informazioni Attuazione della continuità della sicurezza delle informazioni Verifica, riesame e valutazione della continuità della sicurezza delle informazioni Ridondanze Disponibilità delle strutture per l erogazione delle informazioni

31 A.18 CONFORMITA ANNEX A A.18.1 Conformità ai requisiti cogenti e contrattuali Identificazione della legislazione applicabile e dei requisiti contrattuali Diritti di proprietà intellettuale Protezione delle registrazioni Privacy e protezione dei dati personali Regolamentazione sui controlli crittografici A.18.2 Riesami della sicurezza delle informazioni Riesame indipendente della sicurezza delle informazioni Conformità alle politiche e alle norme per la sicurezza Verifica tecnica delle conformità

32 Daniele Gombi Polaris Informatica SRL - Via XXIV Maggio n 28/c - Tel Mail: privacy@polaris.it