Il Regolamento Generale Europeo sulla Protezione dei Dati Personali (UE 2016/679) Seminario sul suo recepimento in ISS Istituto Superiore di Sanità 9 maggio, 2018 Corrado Di Benedetto Servizio di Informatica
Argomenti Sistema Informatico Alcune minacce informatiche Sicurezza Informatica Obiettivi della sicurezza informatica Sicurezza fisica Sicurezza logica Sicurezza organizzativa Articolo 32 (Sicurezza del trattamento) Misure idonee di sicurezza Analisi dei rischi Misure di sicurezza organizzative Misure di sicurezza fisiche Misure di sicurezza logiche Data breach Data breach: obblighi del titolare
Sistema Informatico E composto da risorse hardware, software e dai dati utilizzati per le attività istituzionali. La consapevolezza delle minacce a cui esso può essere sottoposto permette di predisporre adeguate misure di sicurezza. Per minaccia si intende un qualsiasi evento non desiderato, volontario o accidentale, in grado di arrecare danno, direttamente o indirettamente.
Alcune minacce informatiche danneggiamenti, furti o inagibilità dei locali malfunzionamenti del sistema manipolazioni di dati o programmi perdita di privacy e riservatezza divulgazioni di dati e/o programmi uso illecito di risorse hardware e software difetti nei meccanismi di autenticazione e autorizzazione accesso alla rete locale senza le necessarie autorizzazioni difetti ed errori del software o backdoor furto di identità virus e worm informatici phishing
Sicurezza Informatica La Sicurezza Informatica può essere definita come l'insieme delle misure di carattere proceduraleorganizzativo e tecnologico atte a garantire la Riservatezza, l'integrità e la Disponibilità (RID) delle informazioni e dei servizi, gestiti o erogati.
Sicurezza Informatica Riservatezza (o confidenzialità): le informazioni devono essere accessibili direttamente o indirettamente solo agli utenti che ne hanno diritto e che sono stati autorizzati a farlo. Integrità: le informazioni devono essere protette da modifiche, danneggiamenti o cancellazioni ad opera di utenti non autorizzati o a causa di incidenti. Disponibilità: le informazioni devono essere sempre accessibili agli utenti che ne hanno diritto, nei tempi e nei modi previsti.
Obiettivi della sicurezza informatica Le misure di sicurezza informatica riguardano i seguenti ambiti: 1. La sicurezza fisica 2. La sicurezza logica 3. La sicurezza organizzativa
Sicurezza fisica Si intendono le tecniche e gli strumenti il cui obiettivo è quello di impedire agli utenti non autorizzati l accesso a risorse che costituiscono il sistema informatico. Come ad esempio l'utilizzo di porte di accesso blindate per l'accesso fisico a locali protetti, congiuntamente all'impiego di sistemi di identificazione personale. I sistemi informatici devono essere posti in luoghi sicuri, dotati di sorveglianza e/o di controllo degli accessi, nonché di sistemi di protezione da danni catastrofici (fuoco, acqua, sbalzi di corrente, altri eventi, ecc.).
Sicurezza logica Per sicurezza logica si intendono le tecniche e gli strumenti mediante i quali le informazioni e i dati di natura riservata sono resi sicuri, proteggendo gli stessi sia dalla possibilità che un utente non autorizzato possa accedervi (confidenzialità), sia dalla possibilità che un utente non autorizzato possa modificarli (integrità). Questo livello di sicurezza prevede l autenticazione e l autorizzazione dell'utente che accede ai sistemi informatici. Successivamente è previsto il processo di monitoraggio delle operazioni effettuate dall'utente in file di log.
Sicurezza organizzativa E relativa all individuazione delle procedure dirette alla implementazione, gestione e controllo delle misure di sicurezza adottate e attraverso l identificazione di: a) Ruoli, funzioni e responsabilità coinvolte nella realizzazione e gestione del sistema di sicurezza, con riferimento alla tutela sia dei dati di carattere scientifico sia dei dati personali, conformemente a al Nuovo Regolamento b) Procedure da seguire per preservare in sicurezza il sistema informatico regolamentando la condotta degli utenti
Articolo 32 (Sicurezza del trattamento) 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Articolo 32 (Sicurezza del trattamento) 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'unione o degli Stati membri.
Misure idonee di sicurezza
Analisi dei rischi E svolta nell ambito della Valutazione d impatto sulla protezione dei dati prevista dall art. 35 del nuovo Regolamento UE: 7. La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Misure di Sicurezza Organizzativa Analisi dei rischi Prescrizione di linee-guida di sicurezza Altre istruzioni interne Designazione degli incarichi Redazione di appositi mansionari Classificazione dei dati Formazione professionale Registrazione dei trattamenti Documentazione dei controlli periodici Verifiche periodiche su dati o trattamenti non consentiti o non corretti Distruzione controllata dei supporti Piano di disaster/ recovery
Misure di Sicurezza Fisica Vigilanza della sede Ingresso controllato nei locali ove ha luogo il trattamento Sistemi di allarme e/o di sorveglianza anti intrusione Registrazione degli accessi Autenticazione degli accessi Custodia in armadi blindati e/o ignifughi Deposito in cassaforte Custodia dei supporti in contenitori sigillati Controllo sull operato della manutenzione Dispositivi antincendio Continuità dell alimentazione elettrica Verifica della leggibilità dei supporti
Misure di Sicurezza Logica Identificazione dell utente Autenticazione dell utente Controllo degli accessi a dati e programmi Registrazione degli accessi Controlli aggiornamenti antivirus Sottoscrizione elettronica Cifratura dei dati memorizzati trasmessi Cifratura dei dati trasmessi Annotazione della fonte dei dati Annotazione del responsabile dell operazioni
Misure di sicurezza Logiche Rilevazione di intercettazioni Monitoraggio delle sessioni di lavoro Sospensione automatica delle sessioni di lavoro Verifiche automatizzate dei requisiti dei dati Controllo sull operato degli addetti alla manutenzione Controllo dei supporti consegnati in manutenzione
Data breach COSA È IL DATA BREACH? Violazione dei dati personali «Violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati» (Art. 4, definizione 12). La violazione può essere determinata da accesso abusivo ai sistemi informatici, ovvero da sottrazione o perdita di dati e supporti di memorizzazione.
Data breach: obblighi del titolare A partire dal 25 maggio 2018, qualsiasi episodio di data breach ritenuto dal Titolare rischioso per i diritti e le libertà degli interessati dovrà essere notificato all Autorità di controllo, entro 72 ore e comunque senza ingiustificato ritardo. Qualora inoltre la probabilità di tale rischio sia ritenuta elevata, dovranno essere informati delle violazioni anche gli interessati, sempre senza ingiustificato ritardo. Il Titolare dei Trattamenti dovrà in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all Autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze ed i provvedimenti adottati.
Grazie per l attenzione https://protezionedati.iss.it responsabile.protezionedati@iss.it