L impatto del Decreto Legislativo 231/01 sui sistemi informativi. Michele Crudele www.crudele.it 2011-04



Documenti analoghi
L amministratore di sistema. di Michele Iaselli

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

PARTE SPECIALE Sezione II. Reati informatici

Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001

Il trattamento dei dati e le misure minime di sicurezza nelle aziende

Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

LIBRO SECONDO. Dei delitti in particolare TITOLO III. Dei delitti contro l'amministrazione della giustizia CAPO III

D.LGS. 231/2001: ADEMPIMENTI NELL AMBITO DELLA COMPLIANCE AZIENDALE Torino, 1 dicembre 2011

Regolamento attuativo delle linee guida del Garante in tema di utilizzo e controllo degli strumenti elettronici

MINISTERO DELL INTERNO ISTITUTO PER LA VIGILANZA Dipartimento della Pubblica Sicurezza CONVENZIONE

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Il quadro normativo sulla sicurezza informatica

Il controllo nell utilizzo delle strumentazioni informatiche e telematiche aziendali da parte dei collaboratori Avv.

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

ACAM Ambiente S.p.A.

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

Documento informatico e firme elettroniche

REV. 2015/00 Pag. 1 di 5

INDICAZIONI GENERALI

Parte speciale Reati informatici

INDICE. Prefazione... Nota metodologica degli autori...

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

Capitolo II STRUMENTI DI I.C.T. APPLICATI ALL IMPIEGO E ALLA FORMAZIONE DI BANCHE DATI

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. DI TRENITALIA S.p.A. Sintesi

La responsabilità amministrativa degli enti si estende ai delitti in materia di trattamento dei dati personali. Novità introdotte dal D.l. n. 93/2013.

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

IL MINISTRO DEL LAVORO E DELLE POLITICHE SOCIALI di concerto con IL MINISTRO DELLA SALUTE

Avv. Carlo Autru Ryolo

Faber System è certificata WAM School

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

La Giunta Comunale. Visto il D.P.R n. 223 Regolamento Anagrafico e sue modifiche;

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

PROGRAMMA CORSI PRIVACY 2013

Benvenuti alla SESSIONE INFORMATIVA SULLA VERIFICA ALBO ON LINE

Posta elettronica, Internet e controlli sui dipendenti Relatore Avv. Giampiero Falasca

Informatica giuridica. Prof. Alessandro Bugatti

LA FORMAZIONE E LA CONSERVAZIONE DELLA MEMORIA DIGITALE

REGOLAMENTO PROCEDURE DI PUBBLICAZIONE ALBO PRETORIO ONLINE

REGOLAMENTO SULLA FACOLTÀ DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI

REGOLAMENTO PER UTILIZZO DELLA RETE INTERNET TRAMITE TECNOLOGIA WI FI NELLA BIBLIOTECA COMUNALE GIUSEPPE ABBIATI

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.8) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio.

Regolamento per la tutela della riservatezza dei dati personali

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

L analisi dei rischi deve essere svolta con una chiara visione aziendale e deve richiedere la comprensione dei seguenti elementi:

Allegato A: Regole tecniche per la gestione dell identità.

LA FORMAZIONE CONTINUA: NON SOLO UN OBBLIGO MA UNA OPPORTUNITA

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

Ci si riferisce, in particolare, all'abuso della qualità di operatore di

Nuovo art. 4 St. Lav. e privacy

REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

InfoCertLog. Scheda Prodotto

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Comune di Inarzo Provincia di Varese REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NEL TERRITORIO DI INARZO

Strumenti digitali e privacy. Avv. Gloria Galli

FORMAZIONE AVANZATA IL CONSERVATORE DEI DOCUMENTI DIGITALI

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

SCHEMA DI DELIBERAZIONE

Comune di San Martino Buon Albergo Provincia di Verona

Allegato 3 Sistema per l interscambio dei dati (SID)

REGOLAMENTO PER LA DISCIPLINA

REGOLAMENTO PER LA GESTIONE DELL ALBO PRETORIO ON LINE

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

PROCEDURA UTILIZZO PORTALE DEI REFERTI LABORATORIO ANALISI AZIENDALE

Aspetti legali. Tutela legale del software

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

Modello di ORGANIZZAZIONE GESTIONE e CONTROLLO

Corso di Informatica

Matteo Colombo Esperto in materia di Privacy e D.Lgs. 231/2001, Amministratore Delegato di Labor Project

Il nuovo CAD L atto pubblico informatico

Identità certa nei processi online Identity & Service Provider SPID

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

PRIVACY POLICY DEL SITO WEB

Privacy e lavoro. Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati

Biblioteca Giuseppe Dossetti

LA SOLUZIONE PROPOSTA E L ATTIVAZIONE DEL SERVIZIO Luisa Semolic Insiel S.p.A.

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA. Approvato con delibera di Consiglio comunale n. 36 del

INFOSECURITY 2005 La privacy nelle PMI Gabriele Faggioli. Milano febbraio 2005

C O M U N E D I S I D E R N O REGOLAMENTO

ALLEGATO C AREE DI ATTIVITA A RISCHIO REATO, REATI ASSOCIABILI E PRESIDI ORGANIZZATIVI

Reti wireless e pubbliche amministrazioni: promuovere lo sviluppo nel rispetto delle regole

ICT SECURITY N. 52 Gennaio/Febbraio 2007 Sicurezza informatica e responsabilità amministrativa degli enti. Autore: Daniela Rocca

REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA DEL COMUNE

COMUNE DI RENATE Provincia di Monza e Brianza

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

Roma,.. Spett.le. Società Cooperativa EDP La Traccia. Recinto II Fiorentini, n Matera (MT)

COMUNE DI CASTIGLIONE COSENTINO Prov. di Cosenza

RACCOMANDAZIONE N. R (91) 10 DEL COMITATO DEI MINISTRI AGLI STATI MEMBRI SULLA COMUNICAZIONE A TERZI DI DATI PERSONALI DETENUTI DA ORGANISMI PUBBLICI

Software Servizi Web UOGA

PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI INFORMATICI Approvato. Data. Rev C.d.A 02/01/2012

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici

COMUNE DI CAVERNAGO REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

DELIBERAZIONE N. 30/7 DEL

Privacy Policy di

COMUNE di ARTEGNA Provincia di Udine R E G O L A M E N T O DEL SERVIZIO INTERNET NELLA BIBLIOTECA COMUNALE DI ARTEGNA

i) Regolamento per l'utilizzo dei sistemi informatici dell Associazione Forte di Bard

Politica per la Sicurezza

COMUNE DI MELITO DI NAPOLI Provincia di Napoli

Transcript:

CORSO DI ALTA FORMAZIONE IN INFORMATION SECURITY MANAGEMENT 8ª EDIZIONE, ROMA FEBBRAIO 2011- SETTEMBRE 2011 ICT Risk Management Aspetti legali L impatto del Decreto Legislativo 231/01 sui sistemi informativi Profili giuridici e applicativi III parte Michele Crudele www.crudele.it 2011-04 04-14

RATIFICA 2008 DELLA CONVENZIONE DI BUDAPEST 2001 Origine delle modifiche al DLgs 231/01 Legge 48/2008: Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell ordinamento interno Service provider: any public or private entity that provides to users of its service the ability to communicate by means of a computer system Obtain the expeditious preservation of specified computer data, including traffic data oblige that person to preserve to a maximum of ninety days Nel 2001 si citava solamente la frode informatica a danno di ente pubblico 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 33

LE CATEGORIE DI REATI INFORMATICI Inviolabilità del domicilio informatico Accessi abusivi Diffusione di codici e apparecchiature dannose Inviolabilità dei segreti Intercettazione Danneggiamento Alterazione o distruzione di dati, programmi e informazioni Documento informatico e firma digitale Frodi dei certificatori Falso documento informatico Rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (Codice dell amministrazione digitale 2005) 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 34

I REATI INFORMATICI PIÙ COMUNI 640-ter: frode informatica Nel Dlgs 231/01 si applica solo se contro lo Stato o ente pubblico Il phishing tra truffa (raggiro) e frode (automatismi) 617-quinquies: installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche Cavalli di Troia 617-quater: intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche Sniffare il traffico La vulnerabilità delle connessioni senza fili 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 35

I REATI INFORMATICI TIPICI DI AZIENDE INFORMATICHE 491-bis: falsità in un documento informatico pubblico o privato Dichiarazione mendace via posta elettronica Manipolazione di documenti elettronici 615-ter: accesso abusivo ad un sistema informatico o telematico Il più frequente tra le sentenze della Cassazione Per spionaggio industriale Il caso Wikileaks 615-quater: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici Molto frequente, ma spesso a vantaggio del singolo Leggerezza nell autorizzare persone esterne 640-quinquies: truffa del certificatore di firma elettronica C è anche la posta elettronica certificata 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 36

GLI ALTRI REATI INFORMATICI 615-quinquies: diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico 635-bis: danneggiamento di informazioni, dati e programmi informatici 635-ter: danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità 635-quater: danneggiamento di sistemi informatici o telematici 635-quinquies: danneggiamento di sistemi informatici o telematici di pubblica utilità Gradazione di sanzioni penali: aggravante dell essere operatore di sistema Delibera del Garante della privacy 27/11/2008 sugli amministratori di sistema Forte correlazione e concorso tra tutti i reati informatici 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 37

SICUREZZA INFORMATICA È un processo, non un prodotto È una mentalità, analoga a quella del sapersi muovere per le strade di una città affollata e trafficata La sicurezza non si raggiunge mai Le tipologie di violazione si evolvono Non è solo questione di tecnica Comportamenti prudenti Vivere in un ecosistema protetto, ma non isolato Condividere vuol dire rischiare La legislazione imperfetta: il decaduto decreto Pisanu Comportamenti con rischio per la sicurezza informatica Il valore del bene digitale La sottrazione di identità Più frequente di quanto si pensi Il diritto all oblio su Internet La persistenza dei dati, anche contro la volontà del proprietario 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 38

DELIBERA 13/2007 DEL GARANTE DELLA PRIVACY Linee guida del Garante per posta elettronica e Internet 1. Utilizzo della posta elettronica e della rete Internet nel rapporto di lavoro 2. Codice in materia di protezione dei dati e discipline di settore 3. Controlli e correttezza nel trattamento 4. Apparecchiature preordinate al controllo a distanza 5. Programmi che consentono controlli indiretti 6. Pertinenza e non eccedenza 7. Presupposti di liceità del trattamento: bilanciamento di interessi 8. Individuazione dei soggetti preposti 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 39

PROVVEDIMENTO 27 NOVEMBRE 2008 DEL GARANTE DELLA PRIVACY Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema 2f. Le registrazioni (access log) devono avere caratteristiche di completezza... Devono comprendere i riferimenti temporali e la descrizione dell evento che le ha generate e... conservate per un congruo periodo, non inferiore a sei mesi FAQ 15: non chiede in alcun modo che vengano registrati dati sull attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema Precisazioni: L'Autorità ha constatato che informazioni imprecise o anche talune azioni promozionali da parte di consulenti rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici. Le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell'amministratore di sistema o a una figura equivalente Le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso Per quanto concerne gli aspetti tecnici del provvedimento (in particolare, la conservazione dei log degli accessi effettuati dagli amministratori di sistema), l'adeguamento può avvenire anche con soluzioni a basso costo, validamente proposte e disponibili in rete (per esempio basate su software gratuito, anche con licenze di tipo open source), che possono costituire valide alternative all'impiego di prodotti commerciali o di apparati più sofisticati 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 40

UN DISCIPLINARE D USO DELLE RISORSE INFORMATICHE 1. Utilizzo della Posta Elettronica Uso strettamente aziendale 2. Accesso ed utilizzo di Internet Filtering 3. Prescrizioni interne sulla sicurezza dei dati e dei sistemi Tutele automatiche e buone pratiche Lecito scaricare freeware 4. Controlli sull utilizzo degli strumenti elettronici Analisi aggregate anonime Analisi nominali previa comunicazione alla RSU e agli interessati 5. Conseguenze in caso di mancato rispetto delle prescrizioni Provvedimenti disciplinari 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 41

LE RISORSE DEI SISTEMI INFORMATIVI In relazione al sistema di controlli delle attività sensibili Abilitare funzioni esistenti Completarle e renderle congruenti con le normative Garantire continuità di servizio Prevedere procedure alternative Gestire correttamente il backup Simulare audit esterno Considerare i sistemi informativi come attività sensibile Controllo incrociato delle operazioni degli amministratori Utile anche per evitare errori Ogni amministratore di sistema accede con le sue credenziali 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 42

DOCUMENT MANAGEMENT Gestisce il flusso in entrata e in uscita Protocollo informatico Gestisce la creazione di un progetto Gestisce acquisti e vendite Facilita il rispetto delle procedure di approvazione Autenticazione personale Firma digitale in alcuni casi Il potere dell amministratore di sistema Richieste di eccezione al flusso standard Documentarle fuori dal sistema 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 43

LOG MANAGEMENT Attivazione della registrazione degli eventi Livello di dettaglio da definire Differenza tra sistema operativo, applicazioni e traffico Internet Abilita la tracciabilità Tutto o solo attività sensibili? Decisione Autorizzazione Svolgimento Controllo Consente di analizzare lo storico degli eventi Problemi di privacy I tempi di conservazione Non inferiore a sei mesi, ma non superiore a... Attenzione a provvedimenti specifici per tipo di registrazione La situazione con il cloud computing 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 44

INTRANET Punto di comunicazione centrale Accesso obbligatorio all inizio di una sessione Pubblicazione di procedure e prassi consolidate Melius abundare quam deficere Sistema di verifica della lettura da parte degli interessati Equilibrio tra formalismo e comunicazione facilitata Lavorare con l ufficio comunicazione interna Opportunità della pubblicazione su web esterno Non tutto Codice etico 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 45

FONTI LEGALI AUTOREVOLI Il problema dei continui aggiornamenti delle leggi italiane La ricerca su Google può dare risultati non affidabili www.normattiva.it http://def.finanze.it http://dbase.ipzs.it www.garanteprivacy.it www.confindustria.it Servizi associativi / Responsabilità degli enti e modelli organizzativi 2011 - CEFRIEL e MIP - Michele Crudele: ICT risk management e decreto legislativo 231/01-2011-04-14 46

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back