GDPR ed investigazione digitale. Digital Forensics e data breach, tecnologie, tecniche e procedure di risposta agli incidenti.

Documenti analoghi
Cyber Security. Digital Forensics e data breach, tecnologie, tecniche e procedure di risposta agli incidenti. ISACA Roma Chapter

Cybersecurity e Privacy oggi: normative e quotidianità

IL CANTIERE GDPR APPROCCIO PER VALUTARE L ADEGUAMENTO ALLE NORME REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.

PREPARARSI ALLA NUOVA PRIVACY: CONOSCERE ED APPLICARE IL GDPR IN AZIENDA GESTIRE LA SICUREZZA INFORMATICA

Il nuovo modello di gestione della privacy Davide Grassano

DATA BREACH E SICUREZZA INFORMATICA: La segnalazione delle violazioni tra GDPR e D.Lgs. 65/2018

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

Seminario sul suo recepimento in ISS

Bologna, 24/5/ 16 - Workshop Smart Metering: esperienze a confronto Cyber Security e Smart Meter

Nuovi strumenti di accountability dei titolari. a cura di Giuseppe D Acquisto 17 Maggio 2018

Sicurezza ICT: Aspetti legali, privacy (GDPR) e responsabilità

GDPR: il nuovo regolamento Privacy

S u m m e r M e e t i n g 2018

Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita

Gestione della violazione dei dati (Data Breach)

La corretta gestione dei processi informatici del nuovo GDPR

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

Cybersecurity e Hardware: che cosa prevede il GDPR

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Valutazione d impatto e gestione integrata dei rischi

GDPR. Il nuovo Regolamento Privacy Europeo. Sicurezza Informatica. Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari

Regolamento UE 2016/679, GDPR: Data Breach - adempimenti

Il nuovo Regolamento europeo sulla protezione dei dati personali

Le policy aziendali in materia di sicurezza informatica. Giuseppe Vaciago. Convegno di Studi La Criminalità Informatica e i Rischi per le Imprese

Disaster Recovery, Business Continuity

GDPR. presenta. Cosa cambia per noi con il nuovo Regolamento Europeo sulla Privacy?

DATA PROTECTION E PRIVACY OFFICER

Seminario sul suo recepimento in ISS

REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

IIS CODOGNO. Comunicazione. N. 9 AR COMUNICAZIONE INTERNA. da: Dirigente Scolastico. a: personale docente e non docente IIS Codogno

Gestione integrata dei rischi e data protection: casestudy

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

Swascan for GDPR SWASCAN. Il servizio di GDPR Chiavi in mano REGISTRATI E ACCEDI AL FREE TRIAL. In collaboration with CISCO

Ministero dell Istruzione, dell Università e della Ricerca

GDPR: azioni raccomandate dal legale

Ministero dell Istruzione, dell Università e della Ricerca Ufficio Scolastico Regionale per il LAZIO I.I.S."G.Marconi Via Reno snc Latina

LETTERA DI NOMINA DI RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI. Fasano (BR), / /20. Spett.le. tanto premesso, il Comune di Fasano La nomina

DATA BREACH E PROCEDURA PER LA GESTIONE DEGLI EVENTI:

Fintech District. The First Testing Cyber Security Platform. In collaboration with CISCO. Cloud or On Premise Platform

SWASCAN THE FIRST CLOUD CYBER SECURITY PLATFORM

I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

SWASCAN REGISTRATI E ACCEDI AL FREE TRIAL

ALLEGATO N.1) AL C.E.ed C. DI TE.RI. SRL SEZIONE 5 ART. 5.4 SEZ. Principi Generali compiti part. del Resp. lett. a)

LE RESPONSABILITÀ: LA GARANZIA DELLA SICUREZZA DEI DATI

Privacy in azienda: Il GDPR e l impatto sulle aziende

PROCEDURA DATA BREACH. Revisione: 00 del 03/05/2018 PROCEDURA DATA BREACH... 1 REVISIONI Figure interessate Oggetto...

DATA BREACH. Procedura da seguire in caso di data breach

Processi, Tool, Servizi Professionali

La sicurezza nel GDPR. Giulio Vada Assintel Confcommercio Emilia-Romagna Country Manager G DATA Software Italia

SGSI CERT CSP POSTE ITALIANE

1. SCOPO E AMBITO DI APPLICAZIONE RUOLI PREVISTI UFFICI COINVOLTI... 6

Da una protezione perimetrale ad una user centric Security Summit Verona

POLICY PER LA COMUNICAZIONE DEL DATA BREACH

Kineo Energy e Facility S.r.l. Via dell Arcoveggio, Bologna (BO) Tel: Fax: C.F.-P.IVA-R.I.

Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale. mail:

Gestione della sicurezza e della conformità. Approccio olistico alla gestione di ISO/IEC 27001, data protection, privacy e PCI DSS

Avv. Giovanni Battista Gallus. Prepararsi al Regolamento europeo sul trattamento dei dati personali (GDPR): il ruolo del free/open source software

19 Edizione Forum ICT Security

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

GDPR Come valutare i rischi IT e la sicurezza dei dati

Violazione di dati personali ( Data breach ) INDICE

GDPR, le nuove regole per la protezione dei dati personali. Roma, 27 marzo 2018

Il Regolamento UE 2016/679 in materia di protezione dei dati personali e valutazioni d impatto

GDPR: Adempimenti e sanzioni. Valentina Amenta

Abbiamo investito tanto nel GDPR: e la sicurezza? Luca Bechelli

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

Aspetti legali dell'information security: data breach e responsabilità Avv. David D'Agostini

Da una protezione perimetrale ad una user centric Security Summit Treviso

Procedura di gestione delle violazioni di dati personali (Data Breach)

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

Information & Cyber Security Strategy: cosa fare. Alessio L.R. Pennasilico

A cura dell Avv. Federica Spuri Nisi

Procedura per la gestione delle violazioni dei dati personali (Data Breach)

Roma, 28/11/2018. «6 SICURO?» L esperienza INAIL

The first all-in-one Cloud Security Suite Platform

I Rischi del GDPR: minacce ed opportunità. Dott. Glauco Bertocchi- CISM Roma 03 /12/2018

Accordo per il trattamento di dati personali

\\\\\\\\\\\\ DIGITAL FORENSICS ALUMNI //////////// Newsletter 66 Maggio 2018 \\\\\\\\\\\\\\\\\\\\\\\\\/////////////////////////

Protection Regulation Italia

15 Aprile 2016, Trento

Conto alla rovescia verso il 25 maggio: il «set di strumenti» per gestire l impatto della nuova normativa

GCERTI ITALY ACCADEMY organizza il CORSO DI ALTA FORMAZIONE DATA PROTECTION OFFICER

IL TRATTAMENTO DEI DATI PERSONALI TRA CODICE DELLA PRIVACY E GDPR. Avv. Marco Giuri

Privacy e requisiti per la Cybersecurity nella PA

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

Corso di formazione manageriale Responsabile Protezione dei Dati RPD/DPO - UNI Personale Docente:

Alessandro Gaspari Data Center Specialist

La privacy per lo studio legale

COMUNE DI BORGONE SUSA CITTA METROPOLITANA DI TORINO

COMUNE DI CORIANO PROVINCIA DI RIMINI

GDPR: accountability e approccio dell OdI

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

CYBER RISK MANAGEMENT. Copyright 2017 MYR Consulting S.r.l. All Rights Reserved.

SWASCAN. Company Profile

Servizi di Sicurezza Gestiti

Bologna 15 maggio La gestione del rischio privacy e l impatto sull organizzazione aziendale

Transcript:

GDPR ed investigazione digitale Digital Forensics e data breach, tecnologie, tecniche e procedure di risposta agli incidenti.

Avv. Giuseppe Serafini Avvocato del Foro di Perugia. Perf. UNIMI - Cloud, Data Protection, Digital Forensics. BSI ISO / IEC 27001:2013 Lead Auditor. Master II - DPO & Privacy Expert; DPO - Alta Form. CNF - CNI. ECCE - European Certificate on Cybercrime Evidence. Digital Forensics Expert Witness. Docente Uni-PG / Scuola Forense Perugia. CSIG - Perugia. D.F.A. - Digital Forensics Alumni. C.S.A. - Cloud Security Alliance. CLUSIT - Associazione Italiana per la Sicurezza Informatica. (ISC)2 - Int. Inf. Systems Security Certification Consortium.

Introduzione. GDPR Agenda Digital Forensics & Information Security Data Breach Notification NIST 800-86 // ISO IEC 27037:2012 Question & Answers

Scenario - Tags Change Management; Cyber Crime; Loss; Ethical Hacking; IoT; Information Security; ISO/IEC 27000; 27001; 27037; PDCA; Penetration Testing; Terms & Conditions May Apply; Vulnerability Assessment; PCI - DSS; RoE; Corporate Forensics; Black Box; Data Protection Policy; NIST; Cod. Pen. Risk Mitigation; Digital Forensics; Data Protection; OWASP; Out of Jail; SQL Injection; Kali Linux; Computer Security Incident Response Team; CSIRT; Privacy Shield; Digital Evidence; Data Protection Officer; Privacy Impact Analysis; Cyber War; Tallin Manual; Attack Surface; NIS Directive; Cyber Security Awareness Program; Wassenaar Arrangement; Cipher Block; Cryptography; Cass. S.U. 28/07/2016 ; Cybersecurity Report (CIS); Critical Infrastructure Cybersecurity (NIST); CERTFin; Cyber Weapon.

Legal Framework EU GDPR - Reg. 679/2016 - Data Protection. Art. 24 (R). Responsabilità del titolare del trattamento 1. - Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. - Responsabile del Trattamento - (Art. 28); - Sicurezza - (Art. 32); - Data Breach Notification - (Art. 33 e ss); - Data Protection Officer - (Art. 37-39); - Provv. 27.11.2008 Amministratori di Sistema. - Cod. Proc. Pen. / Cod. Proc. Civ. - Digital Forensics. I. ISO/IEC 27000 Family (ISO/IEC 27037:2012); II. NIST 800-86 - Guide to Integrating Forensic Techniques into Incident Response. III. NIST SP 800-61, R2 - Computer Security Incident Handling Guide

Reg. E.U. 27.04.2016 Nr. 679. Art. 32 - Sicurezza del Trattamento. Violazione dei dati personali. La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l accesso ai dati personali trasmessi, conservati o comunque trattati; (1). - Tenendo conto dello stato dell arte e dei costi di attuazione, nonché della natura, dell oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: - (a). - la pseudonimizzazione e la cifratura dei dati personali; - (b). - la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; - (c). - la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; - (d). - una procedura per testare, verificare e valutare regolarmente l efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. (2). - Nel valutare l adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

ISO/IEC 27001:2013 A.12.4 Logging and monitoring. Objective: To record events and generate evidence. A.12.4.1 Event logging Event logs recording user activities, exceptions, faults and information security events shall be produced, kept and regularly reviewed. A.12.4.2 Protection of log information Logging facilities and log information shall be protected against tampering and unauthorized access. A.12.4.3 Administrator and operator logs System administrator and system operator activities shall be logged and the logs protected and regularly reviewed. A.12.4.4 Clock synchronisation The clocks of all relevant information processing systems within an organization or security domain shall be synchronised to a single reference time source. A.16 Information security incident management. A.16.1.7 Collection of evidence The organization shall define and apply procedures for the identification, collection, acquisition and preservation of information, which can serve as evidence.

Considerando - Art. 33 (88). - Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notifica delle violazioni di dati personali: Digital Evidence Any data stored or transmitted using a computer that support or refuse a theory of how an offense occurred or that address critical elements of the offense such as intent or alibi. - è opportuno tenere debitamente conto delle circostanze di tale violazione, ad esempio stabilire se i dati personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il rischio di furto d'identità o altre forme di abuso. - Inoltre, è opportuno che tali modalità e procedure tengano conto dei legittimi interessi delle autorità incaricate dell'applicazione della legge, qualora una divulgazione prematura possa ostacolare inutilmente l'indagine sulle circostanze di una violazione di dati personali. * (33.3). - La notifica di cui al paragrafo 1 deve almeno: (a). - descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione (...); (b). - comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; (c). - descrivere le probabili conseguenze della violazione dei dati personali (d). - descrivere le misure adottate o di cui si propone l adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Incident Response - Digital Forensics

Conclusioni

Grazie per l attenzione. Avv. Giuseppe Serafini www.giuseppeserafini.legal giuseppe.serafini@ordineavvocati.perugia.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back