CNIPA "Codice privacy" 26 novembre 2007 Sicurezza dei dati Quando si parla di sicurezza delle informazioni, i parametri di riferimento da considerare sono: Integrità Riservatezza Disponibilità 1
I parametri di riferimento l integrità ovvero la riduzione a livelli accettabili del rischio di cancellazioni o modifiche di informazioni a seguito sia di fatti accidentali e/o naturali, che di atti dolosi di soggetti non autorizzati I parametri di riferimento la riservatezza ovvero la riduzione a livelli accettabili del rischio di accesso improprio e dell'utilizzazione dell'informazione da parte di soggetti non autorizzati; 2
I parametri di riferimento la disponibilità ovvero la riduzione a livelli accettabili del rischio di impedimento agli utenti autorizzati di fruire del sistema informativo e di accedere e utilizzare le informazioni, sia a seguito di fatti accidentali e/o naturali che di atti dolosi di soggetti non autorizzati. Il corretto approccio al problema Quando si parla di sicurezza delle informazioni i parametri di riferimento da considerare sono: gli aspetti tecnici (sicurezza fisica e logica), organizzativi (definizione di ruoli, procedure, formazione), giuridici (leggi e raccomandazioni, normative interne), 3
Il corretto approccio al problema Il termine sicurezza in questo contesto indica quindi la capacità di salvaguardare la riservatezza, l'integrità e la disponibilità delle informazioni La sicurezza delle informazioni e le attività preventive Se partiamo dal ragionevole presupposto che non esiste né può esistere sicurezza in modo assoluto perché i rischi non possono mai essere ridotti a zero, come sicurezza informativa si deve pertanto intendere la capacità di prevenzione e/o reazione a minacce di tipo fisico e/o logico 4
La sicurezza delle informazioni e le attività preventive Tale prevenzione/reazione avviene soddisfacendo ad una serie di specifiche che hanno il nome di politiche della sicurezza e sono determinate a partire dall'analisi del rischio Un quadro delle possibili conseguenze dannose alterazione/interruzione di processi nel trattamento dei dati si riferisce al possibile degrado od addirittura all'interruzione dei processi di trattamento ; Le possibili conseguenze dannose sono: alterazione/interruzione del processo cui si riferisce il dato; alterazione/interruzione di altri processi correlati si riferisce al fatto che il dato potrebbe essere condiviso da più processi che pertanto verrebbero parimenti compromessi da una sua perdita di disponibilità; violazione delle norme di legge sulla criminalità informatica (L.547/93) si riferisce alle sanzioni penali, qualora, nel caso di perdita di integrità del dato, si configuri uno dei reati previsti dalla legge citata (es. la diffusione di virus, anche se non dolosa, rientra in questa fattispecie); 5
Un quadro delle possibili conseguenze dannose violazione delle norme di legge sulla tutela del software (L. 518/92) si riferisce alle sanzioni penali nel caso di violazione delle leggi citate. La perdita di integrità del dato in questo caso è prodotta dal suo utilizzo con software non autorizzato e/o non funzionante correttamente Le possibili conseguenze dannose sono: violazione obblighi di legge sulla conservazione dei dati si determina qualora il danneggiamento coinvolga dati che debbano essere conservati integri come indicato dalle varie norme in materia ; divulgazione di informazioni riservate con violazione di norme interne si manifesta quando vengano violate norme interne Un quadro delle possibili conseguenze dannose accesso non autorizzato a dati sensibili si riferisce alle sanzioni previste dalla legge per violazione alla segretezza dei dati sensibili Le possibili conseguenze dannose sono: alterazione di processi amministrativi si riferisce al fatto che la perdita di riservatezza in processi amministrativi può avere conseguenze rilevanti ; ricatti e/o minacce dall'esterno si concretizza in possibili azioni di rivalsa effettuate da esterni all'amministrazione, venuti in possesso di informazioni riservate rivendicazioni interne si concretizza invece in azioni da parte di personale interno che utilizzi informazioni riservate per perseguire propri scopi 6
Un quadro delle possibili conseguenze dannose perdita di disponibilità dei dati Alterazione/interruzione di processi nel trattamento dei dati Alterazione/interruzione del processo cui si riferisce il dato Alterazione/interruzione di altri processi correlati perdita di integrità dei dati Violazione delle norme di legge sulla criminalità informatica (L.547/93) Violazione delle norme di legge sulla tutela del software (L. 518/92) Possibili aperture di contenzioso con terze parti Violazione obblighi di legge in materia di conservazione dei dati Nuovo caricamento di dati e/o informazioni perdita di riservatezza dei dati Divulgazione di informazioni riservate con violazione di norme interne Accesso non autorizzato a dati personali /sensibili/giudiziari Alterazione di processi amministrativi Ricatti e/o minacce dall'esterno Rivendicazioni interne Le possibili forme di attacco o di danno furto di apparecchiature (con particolare riguardo ai dati eventualmente ivi contenuti); danneggiamento di apparecchiature (per l'aspetto di mancata disponibilità dei dati al trattamento); utilizzo improprio di apparecchiature copia indebita di dati e/o programmi (che consentano un accesso ai dati non autorizzato); lettura indebita di dati perdita di dati/o informazioni, sia su supporto cartaceo che altro; manipolazione, utilizzo e/o alterazione non autorizzata di dati e programmi; 7
Le possibili forme di attacco o di danno contagio a mezzo virus informatico (e modalità similari); anomalie di funzionamento di programmi (non dolose - errori); inserimento illegale di software; rilevazione indebita di dati in transito su rete interna/esterna; sottrazione di documenti cartacei; copia indebita di documenti cartacei; alterazione indebita di documenti cartacei; distruzione dolosa di documenti cartacei. L art. 34 del decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali prescrive che il trattamento dei dati personali effettuato con strumenti elettronici è consentito solo se, tra l altro, è adottato, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), un aggiornato documento programmatico sulla sicurezza 8
Il punto punto 19 del disciplinare tecnico contenuto nell allegato B) del Codice, indica quali debbano essere le idonee informazioni che dovranno essere riportate nel Documento Programmatico di Sicurezza 19. 1 In questa sezione devono essere elencati i trattamenti dei dati personali effettuati dal titolare, con l indicazione della loro natura e degli uffici che, all interno delle aree e degli Uffici in cui si articola l Amministrazione, operano il trattamento dei dati 9
19. 1 Tabella 1.1. Elenco dei trattamenti: informazioni di base. Identificativo del Trattamento Descrizione sintetica Natura dei dati trattati Struttura di riferimento Altre strutture che concorrono al trattamento Se Sensibili e /o giudiziari Se Sensibili e /o giudiziari Se Sensibili e /o giudiziari Data di aggiornamento: 19. 1 Tabella 1.2. Elenco dei trattamenti: descrizione degli strumenti utilizzati Identificativo del trattamento Eventuale banca dati Ubicazione fisica dei supporti di memorizzazione Tipologia di dispositivi di accesso Tipologia di interconnessione Data di aggiornamento: 10
19. 2 In questa sezione deve essere descritta la distribuzione dei compiti, rappresentando sinteticamente l organizzazione della struttura in cui è effettuato il trattamento dei dati personali, e le relative responsabilità. 19. 2 Tabella 2.1. Strutture preposte al trattamento dei dati sensibili e o Giudiziari. Struttura Responsabile Trattamenti operati dalla struttura Compiti della struttura 11
19. 3 Analisi dei rischi che incombono sui dati Scelta metodologica Nell analisi dei rischi che incombono sul trattamento dei dati personali e sensibili devono essere considerati i seguenti parametri di riferimento : l'integrità; la riservatezza,; la disponibilità, 19. 3 Analisi dei rischi che incombono sui dati Scelta metodologica L approccio metodologico seguito per garantire la sicurezza del trattamento dei dati personali deve tenere in debito conto sia gli aspetti tecnici (sicurezza fisica e logica), che gli aspetti organizzativi (definizione di ruoli, procedure, formazione), in ottemperanza a quanto dispone la normativa vigente 12
19. 3 Analisi dei rischi che incombono sui dati Scelta metodologica Le misure minime di sicurezza informatiche, utilizzate presso l Amministrazione e delle quali se ne descriveranno le applicazioni nel DPS, dovrebbero essere adottate tenendo presenti gli standard internazionali (ITSEC/ITSEM - Common Criteria) ovviamente adattati al contesto amministrativo in cui si opera. 19. 3 Analisi dei rischi che incombono sui dati Analisi delle vulnerabilità L analisi dei rischi deve essere effettuata avendo particolare riguardo agli uffici indicati al punto 19.2, presso i quali sono trattati i dati personali e ciò allo scopo di individuare le priorità di intervento 13
19. 3 Analisi dei rischi che incombono sui dati Analisi delle vulnerabilità Devono essere analiticamente riportate le strutture dell Amministrazione e le relative banche dati, già individuate nel precedente punto 19.1, che sono rilevanti ai fini del DPS e che potrebbero presentare una maggiore vulnerabilità nel trattamento dei dati personali. Al fine di assicurare una adeguata sicurezza a tali strutture, devono essere interpellati i responsabili degli uffici interessati per l identificazione delle vulnerabilità e per la valutazione delle iniziative più idonee da intraprendere 19. 4 Misure minime di sicurezza adottate e da adottare In questa sezione devono essere descritte le misure minime di sicurezza già adottate in attuazione della previgente normativa, nonché quelle che si intendono adottare alla luce del decreto legislativo n.196/2003 per contrastare i rischi individuati 14
19. 4 Misure minime di sicurezza adottate e da adottare Per misura minima di sicurezza si intende non soltanto l intervento tecnico ed organizzativo volto a prevenire, contrastare o ridurre i rischi individuati, ma anche tutte le attività volte a verificare ed a controllare nel tempo il corretto uso del trattamento dei dati. Senza procedure di controllo periodico, infatti, nessuna misura di sicurezza può essere considerata efficace 19. 4 Criteri e procedure volte a garantire l'integrità dei dati e la sicurezza delle trasmissioni Sicurezza organizzativa A) Procedure relative all'accesso fisico agli archivi e ai locali contenenti archivi B) Procedure per l'accesso alla Sala Server C) Procedure per la conservazione ed il ripristino dei dati personali su supporto informatico D) Procedure per la conservazione dei supporti informatici E) Procedure per il reimpiego di strumenti e supporti informatici F) Procedure di comportamento in caso di anomalie G) Procedure per la sorveglianza degli apparati di trasmissione H) Procedure per la trasmissione dei documenti cartacei contenenti dati personali, sensibili, giudiziari 15
19. 4 Criteri e procedure volte a garantire l'integrità dei dati e la sicurezza delle trasmissioni Sicurezza logica A) Sicurezza delle informazioni memorizzate B) Codici identificativi di accesso C) Password per il controllo logico degli accessi D) Sicurezza e riservatezza dei dati E) Integrità dei dati F) Sicurezza e riservatezza dei canali trasmissivi 19. 4 Criteri e procedure volte a garantire l'integrità dei dati e la sicurezza delle trasmissioni Sicurezza fisica A) Strumenti per selezionare l'accesso fisico agli archivi o locali contenenti archivi B) Strumenti per l integrità della Sala Server 16
19. 5 Criteri e modalità di ripristino della disponibilità dei dati In questa sezione devono essere descritti i criteri e le procedure adottate per il salvataggio dei dati e per il loro ripristino in caso di danneggiamento o di inaffidabilità della base dati. La delicatezza di tali attività deriva direttamente dalla eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che le copie dei dati siano disponibili e le procedure efficaci ogni qualvolta ci sia la necessità. 19. 5 Criteri e modalità di ripristino della disponibilità dei dati SALVATAGGIO Data base Data di aggiornamento: Dati sensibili o giudiziari contenuti Se dati sensibili e/o giudiziari Criteri individuati per il salvataggio (procedure operative in essere) Viene effettuato con cadenza settimanale, il backup completo dei database. Le copie di sicurezza sono conservate in luogo diverso da quello di elaborazione e custodite in cassaforte. Ogni copia di sicurezza viene etichettata per tipo di database e data di salvataggio. Le copie vengono effettuate su nastri magnetici Struttura operativa incaricata del salvataggio 17
19. 5 Criteri e modalità di ripristino della disponibilità dei dati RIPRISTINO Database/archivio Scheda operativa -Prima di effettuare il ripristino dei dati viene verificata la disponibilità operativa del server, la congruità delle applicazioni. -Il ripristino avviene ripristinando in linea i nastri e le procedure di restore sono eseguite dal personale dell Ufficio Pianificazione delle prove di ripristino Annualmente vengono testate le procedure di ripristino. Data di aggiornamento: 19. 6 Pianificazione degli interventi formativi degli incaricati del trattamento In questa sezione sono indicate le azioni che si intendono intraprendere in tema di formazione per gli incaricati del trattamento di dati personali rilevanti ai fini del Documento Programmatico di Sicurezza 18
19. 6 Pianificazione degli interventi formativi degli incaricati del trattamento Descrizione sintetica Si prevede di fare dei corsi di formazione per gli incaricati del trattamento, che tratteranno le seguenti tematiche: a)normativa vigente in materia di privacy, con particolare riferimento alle mansioni svolte dall incaricato; b)analisi dettagliata del disciplinare tecnico; c)analisi dei rischi che incombono sui dati; d)misure esistenti per fronteggiare gli eventi dannosi; e)modalità e procedure di attuazione delle norme all'interno del Data di aggiornamento: Incaricati Calendario 19. 7 Trattamenti affidati all esterno Devono essere descritti i criteri da adottare o adottati, per garantire l adozione delle misure minime di sicurezza, in caso di trattamenti di dati personali affidati all esterno della struttura del titolare. 19