Seminario sul suo recepimento in ISS

Documenti analoghi
PREPARARSI ALLA NUOVA PRIVACY: CONOSCERE ED APPLICARE IL GDPR IN AZIENDA GESTIRE LA SICUREZZA INFORMATICA

Nuovi strumenti di accountability dei titolari. a cura di Giuseppe D Acquisto 17 Maggio 2018

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

S u m m e r M e e t i n g 2018

Kineo Energy e Facility S.r.l. Via dell Arcoveggio, Bologna (BO) Tel: Fax: C.F.-P.IVA-R.I.

Valutazione d impatto e gestione integrata dei rischi

DATA BREACH E SICUREZZA INFORMATICA: La segnalazione delle violazioni tra GDPR e D.Lgs. 65/2018

I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

COMUNE DI BORGONE SUSA CITTA METROPOLITANA DI TORINO

Ministero dell Istruzione, dell Università e della Ricerca Ufficio Scolastico Regionale per il LAZIO I.I.S."G.Marconi Via Reno snc Latina

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

GDPR. Il nuovo Regolamento Privacy Europeo. Sicurezza Informatica. Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari

GDPR - Audit Checklist DATA PROTECTION GAP ANALYSIS

GDPR: il nuovo regolamento Privacy

Regolamento UE 2016/679, GDPR: Data Breach - adempimenti

Ministero dell Istruzione, dell Università e della Ricerca

IIS CODOGNO. Comunicazione. N. 9 AR COMUNICAZIONE INTERNA. da: Dirigente Scolastico. a: personale docente e non docente IIS Codogno

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

DATA BREACH. Procedura da seguire in caso di data breach

Termini e definizioni. Art. 1 - Oggetto. Art. 2 - Titolare del trattamento. Art. 3 - Finalità del trattamento. Art. 4 - Responsabile del trattamento

REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

LE RESPONSABILITÀ: LA GARANZIA DELLA SICUREZZA DEI DATI

La corretta gestione dei processi informatici del nuovo GDPR

GDPR Il quadro normativo

COMUNE DI LAURIANO. Città Metropolitana di Torino

Gestione della violazione dei dati (Data Breach)

PROCEDURA DATA BREACH. Revisione: 00 del 03/05/2018 PROCEDURA DATA BREACH... 1 REVISIONI Figure interessate Oggetto...

GDPR. presenta. Cosa cambia per noi con il nuovo Regolamento Europeo sulla Privacy?

Bologna, 24/5/ 16 - Workshop Smart Metering: esperienze a confronto Cyber Security e Smart Meter

Privacy in azienda: Il GDPR e l impatto sulle aziende

CENTURION PAYROLL SERVICE SRL PRIVACY POLICY

ALLEGATI. A) Registro attività di trattamento

1. SCOPO E AMBITO DI APPLICAZIONE RUOLI PREVISTI UFFICI COINVOLTI... 6

Trattamenti con strumenti elettronici

PRIVACY POLICY- STUDIO DOTT. MONICA MELANI CDL PRIVACY POLICY

Alessandro Gaspari Data Center Specialist

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

Le policy aziendali in materia di sicurezza informatica. Giuseppe Vaciago. Convegno di Studi La Criminalità Informatica e i Rischi per le Imprese

02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione al problema. Obiettivi. Protezione dei dati e Privacy A.A

Decreto del Sindaco n. 7 del 03/08/2018 ATTO DI NOMINA A RESPONSABILE INTERNO AL TRATTAMENTO DEI DATI PERSONALI (SERVIZIO IT/CED)

REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

PRIVACY e SICUREZZA Dr. Antonio Piva

Il nuovo modello di gestione della privacy Davide Grassano

La gestione amministrativa e contabile è affidata da uno studio di consulenza esterno? (se si indicare Ragione sociale e indirizzo)

Azienda Servizi alla Persona A.S.P. Carlo Pezzani. Provincia di Pavia. Documento di Adozione delle Misure Minime di Sicurezza ALLEGATO A

DOCUMENTO PER LA SICUREZZA DEI TRATTAMENTI DI DATI PERSONALI

REGISTRO DELLE ATTIVITA DI TRATTAMENTO DATI PERSONALI

Sistemi informativi in ambito sanitario e protezione dei dati personali

Allegato DPS n. 5 Provincia di Latina

COMUNE DI QUINCINETTO CITTA METROPOLITANA DI TORINO

Violazione di dati personali ( Data breach ) INDICE

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

PROCEDURA PER DATA BREACH

REGOLAMENTO RECANTE NORME PER L INDIVIDUAZIONE DELLE MISURE MINIME DI SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI

ELENCO MISURE DI SICUREZZA

TITOLARE DEL TRATTAMENTO DOCUMENTO RIFERIMENTI NORMATIVI Comune di Cortemaggiore Piazza Patrioti, Cortemaggiore (PC) P.

Sample test Informatica Giuridica modulo: Protezione dati personali: Privacy e Sicurezza

Nuovo regolamento europeo sulla Privacy (N 679/2016/UE) - GDPR - In vigore dal 25 maggio Seminario informativo 06 Luglio 2018

IL REGOLAMENTO PRIVACY EUROPEO. n.679/2016. Avv. Barbara Anzani

A cura dell Avv. Federica Spuri Nisi

Prof. ssa A. Busacca Università Mediterranea di Reggio Calabria. Data protection prospettive e novità tra GDPR e strumenti rimediali interni

Checklist di base per prepararsi al regolamento generale sulla protezione dei dati

Prof. ssa A. Busacca Università Mediterranea di Reggio Calabria. Data protection prospettive e novità tra GDPR e strumenti rimediali interni

Bologna 15 maggio La gestione del rischio privacy e l impatto sull organizzazione aziendale

COMUNE DI CORIANO PROVINCIA DI RIMINI

Corso di formazione per incaricati del trattamento dei dati personali Anno Eleonora Bovo

Ministero dell Interno Dipartimento per gli Affari Interni e Territoriali Direzione Centrale per i Servizi Demografici

OPENTUR SRL Via Privata Giovannino De Grassi, 12, Milano (MI) P.IVA

INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI

IMPLEMENTAZIONE DEL REGISTRO. Massimo Ippoliti Consiglio Nazionale delle Ricerche

REGOLAMENTO COMUNALE PER L INSTALLAZIONE E LA TENUTA DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

PIANO PER LA SICUREZZA INFORMATICA ANNO 2015

Necessità di un approccio sistemico

GDPR: Adempimenti e sanzioni. Valentina Amenta

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

Procedura Nr P 04 GESTIONE DI DATA BREACH AI SENSI DEL GDPR (REGOLAMENTO EUROPEO 679/2016)

PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY

VALUTAZIONE ARCHIVI INFORMATICI

Processi, Tool, Servizi Professionali

Gestione Data Breach

POLICY PER LA COMUNICAZIONE DEL DATA BREACH

Il/la sottoscritto/a..., (nome e cognome) nato/a a.., il..., residente in...(prov...),..., (indirizzo)

Dal codice privacy al nuovo regolamento generale UE sulla protezione dei dati personali 679/2016: quali adempimenti per le imprese

Cybersecurity e Hardware: che cosa prevede il GDPR

GDPR: accountability e approccio dell OdI

POLITICA PER LA PROTEZIONE DEI DATI PERSONALI

MODULO DI RICHIESTA DI ADESIONE

Codice in materia di protezione dei dati personali.

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

INFORMATIVA FORNITORI

1. INFORMATIVA. sempre e comunque e soprattutto acquisire la ricevuta di averla comunicata all interessato

Transcript:

Il Regolamento Generale Europeo sulla Protezione dei Dati Personali (UE 2016/679) Seminario sul suo recepimento in ISS Istituto Superiore di Sanità 9 maggio, 2018 Corrado Di Benedetto Servizio di Informatica

Argomenti Sistema Informatico Alcune minacce informatiche Sicurezza Informatica Obiettivi della sicurezza informatica Sicurezza fisica Sicurezza logica Sicurezza organizzativa Articolo 32 (Sicurezza del trattamento) Misure idonee di sicurezza Analisi dei rischi Misure di sicurezza organizzative Misure di sicurezza fisiche Misure di sicurezza logiche Data breach Data breach: obblighi del titolare

Sistema Informatico E composto da risorse hardware, software e dai dati utilizzati per le attività istituzionali. La consapevolezza delle minacce a cui esso può essere sottoposto permette di predisporre adeguate misure di sicurezza. Per minaccia si intende un qualsiasi evento non desiderato, volontario o accidentale, in grado di arrecare danno, direttamente o indirettamente.

Alcune minacce informatiche danneggiamenti, furti o inagibilità dei locali malfunzionamenti del sistema manipolazioni di dati o programmi perdita di privacy e riservatezza divulgazioni di dati e/o programmi uso illecito di risorse hardware e software difetti nei meccanismi di autenticazione e autorizzazione accesso alla rete locale senza le necessarie autorizzazioni difetti ed errori del software o backdoor furto di identità virus e worm informatici phishing

Sicurezza Informatica La Sicurezza Informatica può essere definita come l'insieme delle misure di carattere proceduraleorganizzativo e tecnologico atte a garantire la Riservatezza, l'integrità e la Disponibilità (RID) delle informazioni e dei servizi, gestiti o erogati.

Sicurezza Informatica Riservatezza (o confidenzialità): le informazioni devono essere accessibili direttamente o indirettamente solo agli utenti che ne hanno diritto e che sono stati autorizzati a farlo. Integrità: le informazioni devono essere protette da modifiche, danneggiamenti o cancellazioni ad opera di utenti non autorizzati o a causa di incidenti. Disponibilità: le informazioni devono essere sempre accessibili agli utenti che ne hanno diritto, nei tempi e nei modi previsti.

Obiettivi della sicurezza informatica Le misure di sicurezza informatica riguardano i seguenti ambiti: 1. La sicurezza fisica 2. La sicurezza logica 3. La sicurezza organizzativa

Sicurezza fisica Si intendono le tecniche e gli strumenti il cui obiettivo è quello di impedire agli utenti non autorizzati l accesso a risorse che costituiscono il sistema informatico. Come ad esempio l'utilizzo di porte di accesso blindate per l'accesso fisico a locali protetti, congiuntamente all'impiego di sistemi di identificazione personale. I sistemi informatici devono essere posti in luoghi sicuri, dotati di sorveglianza e/o di controllo degli accessi, nonché di sistemi di protezione da danni catastrofici (fuoco, acqua, sbalzi di corrente, altri eventi, ecc.).

Sicurezza logica Per sicurezza logica si intendono le tecniche e gli strumenti mediante i quali le informazioni e i dati di natura riservata sono resi sicuri, proteggendo gli stessi sia dalla possibilità che un utente non autorizzato possa accedervi (confidenzialità), sia dalla possibilità che un utente non autorizzato possa modificarli (integrità). Questo livello di sicurezza prevede l autenticazione e l autorizzazione dell'utente che accede ai sistemi informatici. Successivamente è previsto il processo di monitoraggio delle operazioni effettuate dall'utente in file di log.

Sicurezza organizzativa E relativa all individuazione delle procedure dirette alla implementazione, gestione e controllo delle misure di sicurezza adottate e attraverso l identificazione di: a) Ruoli, funzioni e responsabilità coinvolte nella realizzazione e gestione del sistema di sicurezza, con riferimento alla tutela sia dei dati di carattere scientifico sia dei dati personali, conformemente a al Nuovo Regolamento b) Procedure da seguire per preservare in sicurezza il sistema informatico regolamentando la condotta degli utenti

Articolo 32 (Sicurezza del trattamento) 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Articolo 32 (Sicurezza del trattamento) 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'unione o degli Stati membri.

Misure idonee di sicurezza

Analisi dei rischi E svolta nell ambito della Valutazione d impatto sulla protezione dei dati prevista dall art. 35 del nuovo Regolamento UE: 7. La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Misure di Sicurezza Organizzativa Analisi dei rischi Prescrizione di linee-guida di sicurezza Altre istruzioni interne Designazione degli incarichi Redazione di appositi mansionari Classificazione dei dati Formazione professionale Registrazione dei trattamenti Documentazione dei controlli periodici Verifiche periodiche su dati o trattamenti non consentiti o non corretti Distruzione controllata dei supporti Piano di disaster/ recovery

Misure di Sicurezza Fisica Vigilanza della sede Ingresso controllato nei locali ove ha luogo il trattamento Sistemi di allarme e/o di sorveglianza anti intrusione Registrazione degli accessi Autenticazione degli accessi Custodia in armadi blindati e/o ignifughi Deposito in cassaforte Custodia dei supporti in contenitori sigillati Controllo sull operato della manutenzione Dispositivi antincendio Continuità dell alimentazione elettrica Verifica della leggibilità dei supporti

Misure di Sicurezza Logica Identificazione dell utente Autenticazione dell utente Controllo degli accessi a dati e programmi Registrazione degli accessi Controlli aggiornamenti antivirus Sottoscrizione elettronica Cifratura dei dati memorizzati trasmessi Cifratura dei dati trasmessi Annotazione della fonte dei dati Annotazione del responsabile dell operazioni

Misure di sicurezza Logiche Rilevazione di intercettazioni Monitoraggio delle sessioni di lavoro Sospensione automatica delle sessioni di lavoro Verifiche automatizzate dei requisiti dei dati Controllo sull operato degli addetti alla manutenzione Controllo dei supporti consegnati in manutenzione

Data breach COSA È IL DATA BREACH? Violazione dei dati personali «Violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati» (Art. 4, definizione 12). La violazione può essere determinata da accesso abusivo ai sistemi informatici, ovvero da sottrazione o perdita di dati e supporti di memorizzazione.

Data breach: obblighi del titolare A partire dal 25 maggio 2018, qualsiasi episodio di data breach ritenuto dal Titolare rischioso per i diritti e le libertà degli interessati dovrà essere notificato all Autorità di controllo, entro 72 ore e comunque senza ingiustificato ritardo. Qualora inoltre la probabilità di tale rischio sia ritenuta elevata, dovranno essere informati delle violazioni anche gli interessati, sempre senza ingiustificato ritardo. Il Titolare dei Trattamenti dovrà in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all Autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze ed i provvedimenti adottati.

Grazie per l attenzione https://protezionedati.iss.it responsabile.protezionedati@iss.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back