delle altre norme?) Seminarioe CorsosullaPrivacy Ottobre-Novembre 2006 Università di Verona Giovanni Michele Bianco



Documenti analoghi
3. Accesso alle reti telematiche attraverso postazioni non vigilate. 4. Accesso alle reti telematiche attraverso tecnologia senza fili.

Dati e informazioni in azienda: sicurezza, vincoli legali e novità legislative. Gabriele Faggioli

!!!!!!!!!!!!!!!!!!!!!!! REGOLAMENTO* Wi-Fi* !!! !!!

Giunta regionale Gabinetto del Presidente della Giunta

Comune di Monticello Brianza

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ON LINE

Richiesta di account e/o accesso alle risorse Informatiche della Sezione di Cagliari

UN PICCOLO INTERNET POINT IN RICEVITORIA? HappyNet 2006 ed alcuni utili consigli!

COMUNE DI VILLONGO PROVINCIA DI BERGAMO REGOLAMENTO DELLE PUBBLICAZIONI ALL ALBO PRETORIO ON LINE

MINISTERO DELL INTERNO ISTITUTO PER LA VIGILANZA Dipartimento della Pubblica Sicurezza CONVENZIONE

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ONLINE

PROVINCIA DI LECCE SERVIZI INFORMATICI

REGOLAMENTO GENERALE PER L'UTILIZZO DELLA RETE TELEMATICA DI SAPIENZA UNIVERSITA DI ROMA #

COMUNE DI MELITO DI NAPOLI Provincia di Napoli

Software Gestionale Internet Point - NewXp

Posta elettronica, Internet e controlli sui dipendenti Relatore Avv. Giampiero Falasca

REGOLAMENTO ALBO ON LINE Allegato n. 4

INFORMATIVA SUI TRATTAMENTI DEI DATI PERSONALI

CARTA INTESTATA PREMESSA

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

Comune di San Martino Buon Albergo Provincia di Verona

REGOLAMENTO PER UTILIZZO DELLA RETE INTERNET TRAMITE TECNOLOGIA WI FI NELLA BIBLIOTECA COMUNALE GIUSEPPE ABBIATI

COMUNE DI CARASCO (Provincia di Genova)

REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014)

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Comune di San Salvo Provincia di Chieti REGOLAMENTO PER L ACCESSO AL SERVIZIO HOTSPOT WI-FI PUBBLICO

visto il trattato che istituisce la Comunità europea, in particolare l articolo 93, vista la proposta della Commissione,

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO PER LA DISCIPLINA

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

L amministratore di sistema. di Michele Iaselli

La recente normativa in tema di data retention

Settore Affari Generali e Istituzionali. Disciplinare per le Pubblicazioni on line

INFORMATIVA SULLA PRIVACY

Biblioteca Giuseppe Dossetti

La Privacy nelle Associazioni di Promozione Sociale

Codice partner: Profilo di segnalazione: All attenzione del legale rappresentante

REGOLAMENTO PROCEDURE DI PUBBLICAZIONE ALBO PRETORIO ONLINE

REGOLAMENTO INTERNET DELLA BIBLIOTECA DI FINO MORNASCO

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

INFORMATIVA PRIVACY E COOKIE POLICY

LA COOKIE POLICY DI QUESTO SITO

Il nuovo codice in materia di protezione dei dati personali

I dati : patrimonio aziendale da proteggere

COMUNE DI RENATE Provincia di Monza e Brianza

Strumenti digitali e privacy. Avv. Gloria Galli

Reti Pubbliche: Normative: ADSL

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

NOTE LEGALI E PRIVACY

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ON LINE

La Giunta Comunale. Visto il D.P.R n. 223 Regolamento Anagrafico e sue modifiche;

Allegato n. 19. Regolamento sulla gestione dell'albo on-line

UNIVERSITÀ DEGLI STUDI DI FERRARA. Area Informatica

COMUNE DI LAZISE - PROVINCIA DI VERONA - REGOLAMENTO SUL PROCEDIMENTO E SULL'ACCESSO AI DOCUMENTI AMMINISTRATIVI

Informativa sulla privacy

IL RETTORE. VISTO lo Statuto di autonomia dell Università del Salento ed in particolare l art. 29;

RACCOMANDAZIONE N. R (91) 10 DEL COMITATO DEI MINISTRI AGLI STATI MEMBRI SULLA COMUNICAZIONE A TERZI DI DATI PERSONALI DETENUTI DA ORGANISMI PUBBLICI

M inist e ro della Pubblica Istruz io n e

CONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA

COMUNE DI GAMBATESA Provincia di Campobasso

DISPOSIZIONI GENERALI

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009

REGOLAMENTO COMUNALE PER L ACCESSO ALLA RETE WI-FI DEL COMUNE DI VERRES

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

atf - federfarma brescia associazione dei titolari di farmacia della provincia di brescia

UNIVERSITÀ DEGLI STUDI DELL INSUBRIA

REGOLAMENTO SUL DIVIETO DI FUMO NEI LOCALI DELL UNIVERSITA TELEMATICA e-campus

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

EUROCONSULTANCY-RE. Privacy Policy

REGOLAMENTO PER LE MODALITÀ DI ACCESSO E DI USO DELLA RETE INFORMATICA DELL ITIS P. LEVI E ACCESSO E DI USO ALLA RETE INTERNET INDICE

GUIDA AL SERVIZIO INTERNET

Domande frequenti su Phoenix FailSafe

COMUNE DI TRESCORE CREMASCO. Provincia di Cremona REGOLAMENTO COMUNALE DI DISCIPLINA IMPIANTI DI VIDEOSORVEGLIANZA

Istruzioni operative per gli Incaricati del trattamento dei dati personali

SERVIZIO SISTEMI INFORMATIVI

PRIVACY POLICY DI digitaldictionary.it. Digital Dictionary Servizi s.r.l. Milano via Paleocapa 1, (MI) P.IVA/CF: REA: MI

Antiriciclaggio: potenziali conflitti tra normative di Paesi diversi. Il caso Filippine (Giovanni Imbergamo)

REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

Autenticazione federata per l accesso ad Internet. Caso d uso

Identità e autenticazione

LA PRIVACY POLICY DI QUESTO SITO WEB

COMUNE DI ATRANI PROVINCIA DI SALERNO REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ON - LINE

Regolamento per l'organizzazione del servizio relativo alla tenuta dell'albo pretorio on line

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

Ministero dell Ambiente e della Tutela del Territorio e del Mare

Articolo 126 bis TITOLO IV - Guida dei veicoli e conduzione degli animali Patente a punti

Creare una Rete Locale Lezione n. 1

ART. 1 OGGETTO ART. 2 FINALITA ART. 3 DEFINIZIONI DI RIFERIMENTO

REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

COMUNE DI CASTROREALE Provincia di Messina REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ON LINE

Devi fare una fattura elettronica alla PA? Tu fatturi, al resto ci pensiamo noi. Servizio Fatt-PA Visura

IL MINISTRO DELL ECONOMIA E DELLE FINANZE

SCHEMA DI DELIBERAZIONE

REGOLAMENTO PER LA GESTIONE DELL ALBO PRETORIO ON LINE

REGOLAMENTO RELATIVO ALL ACCESSO MEDIANTE VPN AI CENTRI SERVIZI DI INNOVAPUGLIA

Violazione dei dati aziendali

Sezione Reati ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita

Transcript:

Il Documento Programmatico di Sicurezza (ovvero, possiamo disinteressarci della Privacy e delle altre norme?) Seminarioe CorsosullaPrivacy Ottobre-Novembre 2006 Università di Verona Giovanni Michele Bianco

Possiamo disinteressarci? (parte 1) D.Lgs. 196/2003 (Codice della Privacy), Art. 169 (Misure di sicurezza) c. 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste all articolo 33 è punito con l arresto sino a due anni o con l ammenda da diecimila euro a cinquantamila euro. Chiunque: non il Rettore, o il Direttore Amministrativo, o il Preside, o il Direttore di Dipartimento, o il Dirigente, o l EP, o

Possiamo disinteressarci? (parte 2) Ci sono tante norme che inquadrano le nostre responsabilità, ad esempio: Il Decreto e la Legge Antiterrorismo D.M. 16/8/2005 e L. 155/2005 La policy del GARR Acceptable User Policy I regolamenti di Ateneo Regolamento Dati Sensibili Il Documento Programmatico di Sicurezza DPS 24 Marzo 2006

Possiamo disinteressarci? (parte 3) Ma anche il Codice Penale, ad esempio: Art. 615 quinques (diffusione programmi virus) E altre norme, ad esempio: L. 633/1941 e s.m.i. (Diritto d Autore)

Effetti del disinteressamento (parte 1) Settembre 2006 la rete di Ateneo decade di prestazioni al punto che nelle ore mattutine 10-13 non si riesce a lavorare né con i server interni né con InterNet Periodo critico 2 settimane Motivi dopo il periodo di indagine: 1 server Linux presso un Dipartimento non era gestito da tempo e era stato hackerato diventando un un server mondiale botnet Altri PC probabilmente senza antivirus sommavano i loro attacchi a quello del server Costo oltre alle 2 settimane di disagio e alla perdita di immagine, circa 8 mila Euro

Botnet? Una botnet èuna rete di computer collegati ad internet che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. Si possono così sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo denialof-service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali.

Effetti del disinteressamento (parte 2) Settembre 2006 Il NOC (networking Operating Center) del GARR ci notifica informalmente 3 right infringements ovverosia, notifiche di violazione dei diritti d autore perché da PC del nostro Ateneo sono stati scaricati film o programmi Indagine Abbiamo notificato ai tecnici che avremmo escluso quei PC dalla navigazione in InterNet Costo Ci potrebbero essere solamente effetti amministrativi e penali per chi ha violato i diritti d autore Fino a quando rimarranno informali le notifiche di violazione?

Quindi Possiamo disinteressarci? Delle norme Della gestione dei server Del mantenimento del PC dato in dotazione Di chi accede alle postazioni Di chi introduce access point Wi-Fi Di chi si connette con il proprio portatile Dell antivirus Del peer-to-peer Tutto questo determina l insieme dei rischi cui siamo sottoposti e da qui parte l elaborazione del Documento Programmatico di Sicurezza

Approfondimenti Per capire meglio i nostri confini dal punto di vista tecnico/organizzativo, saranno approfonditi, in particolare: Il Decreto Antiterrorismo D.M. 16/8/2005 La Legge Antiterrorismo L. 155/2005 Le policy del GARR Acceptable User Policy Il Documento Programmatico di Sicurezza DPS 24 Marzo 2006 La proposta di policy MM.4 Policy MM.4

Decreto Min. Int. 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad Internet utilizzando tecnologia senza fili, ai sensi dell articolo 7, comma 4, del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155

Art. 1. - Obblighi dei titolari e dei gestori c. 1 l. a) Accesso controllato c. 1 l. b) Identificazione degli utilizzatori c. 1 l. c) Monitoraggio Conservazione dati per aut. giud. e P.S. fino al 31/12/2007

Art. 2. Monitoraggio delle attivita c. 1) I soggetti di cui all'art. 1 adottano le misure necessarie a memorizzare e mantenere i dati relativi alla data ed ora della comunicazione e alla tipologia del servizio utilizzato, abbinabili univocamente al terminale utilizzato dall'utente, esclusi comunque i contenuti delle comunicazioni.

Art. 3. - Accesso alle reti telematiche attraverso postazioni non vigilate gli abbonamenti, forniti anche mediante credenziali di accesso prepagate o gratuite, non potranno avere validita' superiore ai dodici mesi dall'ultima operazione di identificazione. In deroga a quanto previsto al comma 1, possono consentirsi tempi di utilizzazione maggiori e comunque non superiori a cinque anni, nel caso di credenziali di accesso ad uso plurimo utilizzabili esclusivamente dai frequentatori di centri di ricerca, università ed altri istituti di istruzione per i terminali installati all interno delle medesime strutture.

Art. 4. Accesso alle reti telematiche attraverso tecnologia senza fili I soggetti che offrono accesso alle reti telematiche utilizzando tecnologia senza fili in aree messe a disposizione del pubblico sono tenuti ad adottare le misure fisiche o tecnologiche occorrenti per impedire l uso di apparecchi terminali che non consentono l identificazione dell utente, ovvero ad utenti che non siano identificati secondo le modalità di cui all art. 1.

Perchè riguarda UniVr fornitore di apparecchi terminali utilizzabili per le comunicazioni telematiche ( ) a frequentatori di centri di ricerca (art. 3) soggetto che offre accesso alle reti telematiche utilizzando tecnologie senza fili in aree messe a disposizione del pubblico (art. 4)

Frequentatori Coloro i quali, pur non essendo dipendenti nè associati, in modo più o meno occasionale hanno accesso alle sedi e ai quali sia consentito l uso di apparecchi terminali per la connessione ad Internet (ad esempio studenti, ospiti) L art. 3 richiede che Univr metta in atto misure idonee a: impedire l accesso ai terminali a soggetti non preventivamente identificati identificare chi accede mediante acquisizione di dati anagrafici e copia del documento di identità informare chi accede delle condizioni d uso rendere disponibili i dati acquisiti alla polizia postale, giudiziaria o all Autorità Giudiziaria solo ove queste autorità lo richiedano assicurare il trattamento e la conservazione dei dati fino al 31.12.2007 (tratto da INFN)

Wi-Fi il decreto richiede che siano identificabili gli utilizzatori delle reti wireless in aree messe a disposizione del pubblico. In particolare, si dovrà prestare particolare attenzione alle reti che si estendono in strade, piazze, giardini pubblici, aree universitarie, e alle reti wireless attivate in occasione di convegni, eventi e altre manifestazioni di formazione e promozione scientifica. Per questi casi, il Decreto specifica che è necessario: impedire l uso di terminali che non consentano l identificazione dell utente impedire l uso ad utenti che non siano preventivamente identificati. Anche per Univr risulta quindi necessario identificare i soggetti ai quali è consentito l accesso wireless alla rete; tale identificazione deve avvenire mediante acquisizione dei dati anagrafici riportati su un documento di identità e riproduzione del documento. (tratto da INFN)

È indispensabile collaborare E indispensabile la collaborazione di chi organizza l evento e/o predispone server e/o accessi: il Centro di Resposanbilità (Facoltà, Dipartimento, Biblioteca centralizzata, Centro, Amm. Centrale) Si suggerisce di informare preventivamente i partecipanti e raccogliere in anticipo i dati anagrafici, ove possibile Se è previsto un sito/pagina web per la Conferenza si suggerisce di mettere online l avviso riguardante la raccolta dati anagrafici e l informativa privacy (tratto da INFN)

Legge 155, 31 Luglio 2005 Conversione in legge, con modificazioni, del decreto legge 27 luglio 2005, n. 144, recante misure urgenti per il contrasto del terrorismo internazionale

Art. 6.- Nuove norme sui dati del traffico telefonico e telematico C. 1. A decorrere dalla data di entrata in vigore del presente decreto e fino al 31 dicembre 2007 é sospesa l'applicazione delle disposizioni di legge, di regolamento o dell'autorità amministrativa che prescrivono o consentono la cancellazione dei dati del traffico telefonico o telematico, anche se non soggetti a fatturazione, e gli stessi, esclusi comunque i contenuti delle comunicazioni, e limitatamente alle informazioni che consentono la tracciabilità degli accessi, nonché, qualora disponibili, dei servizi, debbono essere conservati fino a quella data dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico, fatte salve le disposizioni vigenti che prevedono un periodo di conservazione ulteriore.

Art. 6.- Nuove norme sui dati del traffico telefonico e telematico C. 2. All'articolo 55, comma 7, del decreto legislativo 1 agosto 2003, n. 259, le parole «al momento dell'attivazione del servizio.» sono sostituite (OMISSIS) Il comma 2 modifica altre norme, tra cui quella della Privacy

Acceptable User Policy GARR Art. 1 La Rete Italiana dell'università e della Ricerca Scientifica, denominata comunemente "la rete del GARR", si fonda su progetti di collaborazione scientifica ed accademica tra le Università e gli Enti di Ricerca pubblici italiani. Di conseguenza il servizio di rete GARR è destinato principalmente alla comunità che afferisce al Ministero dell'università e della Ricerca Scientifica e Tecnologica (MURST). (OMISSIS) L'utilizzo della rete è comunque soggetto al rispetto delle Acceptable User Policy (AUP) da parte di tutti gli utenti GARR.

Cosa hanno in comune le norme? Il D.M., la Legge 155 e la Policy del GARR hanno in comune: L identificazione di chi accede Il D.M. e la Legge 155 aggiungono, tra l altro: L archiviazione del flusso dati (non del contenuto) La Policy GARR aggiunge, tra l altro: Che gli utenti siano a conoscenza dei limiti (doveri) di utilizzo Che gli utenti si responsabilizzino per evitare la non conformità alle norme

Il DPS (CdA( 24 Marzo 2006) In base all Articolo 34 del d.lgs 196/2003 Codice in Materia di Protezione dei Dati Personali, e alla Regola 19 dell Allegato B Disciplinare tecnico in materia di misure minime di sicurezza

La proposta di policy MM.4 Nasce allo scopo di regolare il flusso dei frequentatori negli spazi di Univr, ivi compreso lo spazio virtuale delle rete Tiene conto delle norme recenti (D.M. 16 Agosto 2005 e L. 155/2005) sul fatto di riconoscere chi fa che cosa e di archiviare il traffico Tiene conto del D.Lgs. 196/2003 per responsabilizzare gli utenti/propositori della rete Chi installa e gestisce un server Chi installa e gestisce un Access Point Chi

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back