Privacy e Sicurezza delle Informazioni Mauro Bert GdL UNINFO Serie ISO/IEC 27000 Genova, 18/2/2011
Ente di normazione federato all UNI (Ente Nazionale Italiano di Unificazione) Promuove e partecipa allo sviluppo della normativa a livello nazionale nel settore delle tecnologie informatiche Rappresenta il punto di contatto italiano per numerosi comitati: ISO (International Organization for Standardization) IEC (International Electrotechnical Commission) ed ETSI (European Telecommunication Standard Institute) 2 Mauro Bert
La terminologia Codice della Privacy: Codice in materia di protezione dei dati personali (d.lg. n. 196/2003) Information Security: preservation of confidentiality, integrity and availability of information (ISO/IEC 27000) 3 Mauro Bert
Codice della privacy e Sicurezza Il Codice della privacy richiede che i dati personali siano trattati in modo appropriato e sicuro La Sicurezza ha come obiettivo di garantire che le informazioni siano protette in modo adeguato da accessi e modifiche non autorizzate, e che ne sia garantita la disponibilità La sicurezza dei dati personali non garantisce, di per sé, il rispetto della privacy dell interessato. E necessario, per questo, trattare i dati in modo conforme ai dettami del Codice della privacy 4 Mauro Bert
Modalità del trattamento e obblighi di sicurezza (dal Codice Privacy) I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi c) esatti e se necessario aggiornati d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati e) conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati f) custoditi e controllati in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito (confidentiality, integrity, availability) 5 Mauro Bert
ISO/IEC 27001 e 27002 Ci sono tanti modi per garantire la sicurezza delle informazioni gestite da un organizzazione Uno di questi è quello di fare riferimento alla norma, ISO/IEC 27001 e alla norma ISO/IEC 27002 E quindi necessario mettere in relazione le norme ISO/IEC 27001 e 27002 (requisiti, linee guida e best practices) con la Normativa privacy (prescrizioni, obblighi e sanzioni) 6 Mauro Bert
Normativa privacy e norme ISO/IEC 27000 Due diverse tipologie di documenti: 1. Indicazioni, principi generali e quadro di riferimento: Codice privacy e ISO/IEC 27001 2. Elenco di specifiche misure di sicurezza, obiettivi di controllo e linee guida per la loro implementazione: Disciplinare tecnico, Provvedimenti generali (AdS, Raee, ecc.) e ISO/IEC 27002 7 Mauro Bert
ISO/IEC 27001 in sintesi Tratta di impostare un Sistema per la Gestione della Sicurezza delle Informazioni (SGSI) che aiuta a: a) definire i requisiti di sicurezza dell organizzazione, compresi quelli legali b) effettuare una valutazione dei rischi c) documentare le attività svolte d) gestire e formare il personale addetto e) effettuare una periodica revisione 8 Mauro Bert
a) definire i requisiti di sicurezza, compresi quelli legali La norma ISO/IEC 27001 guida nel fare un analisi dei trattamenti di dati personali svolti dall organizzazione al fine di identificare quali parti della normativa si applicano allo specifica realtà e mi obbliga alla stesura di uno specifico documento, la Policy, che deve descrivere, fra l altro, il ruolo e l importanza che la protezione dei dati personali ricopre nell organizzazione L Allegato B del codice richiede la stesura di un DPS che contenga, fra l altro, l elenco dei trattamenti di dati personali 9 Mauro Bert
b) effettuare una valutazione dei rischi La norma ISO/IEC 27001 guida nel fare una completa e corretta analisi del rischio attraverso le sue diverse fasi: identificare i rischi, analizzare e ponderare i rischi, identificare e ponderare le opzioni per il trattamento dei rischi, scegliere gli obiettivi di controllo e i controlli per il trattamento dei rischi, ottenere l approvazione della direzione circa i rischi residui proposti. L Allegato B del codice richiede la stesura di un DPS che contenga, fra l altro, la descrizione dell analisi dei rischi che incombono sui dati 10 Mauro Bert
c) documentare le attività svolte La norma ISO/IEC 27001 elenca la documentazione che deve essere prodotta sul SGSI: a) le dichiarazioni documentate della politica e degli obiettivi del SGSI; b) il campo di applicazione del SGSI; c) le procedure e i controlli a supporto del SGSI; d) una descrizione della metodologia della valutazione del rischio; e) il rapporto della valutazione del rischio; f) il piano di trattamento del rischio; g) le procedure documentate necessarie all organizzazione per assicurare l efficace pianificazione, l operatività e il controllo dei propri processi di sicurezza delle informazioni e per descrivere come misurare l efficacia dei controlli; h) le registrazioni richieste dalla presente norma internazionale; e i) la Dichiarazione di Applicabilità. L Allegato B del codice richiede la stesura di un DPS che deve contenere buona parte dei documenti elencati sopra. Ulteriore documentazione è richiesta nei Provvedimenti generali (ad esempio i log degli amministratori di sistema) 11 Mauro Bert
d) gestire e formare il personale addetto La norma ISO/IEC 27001 richiede che tutto il personale, a cui vengano assegnate responsabilità definite all interno del SGSI, sia competente per svolgere i compiti richiesti: a) stabilendo le competenze del personale necessarie a effettuare lavori aventi effetto sul SGSI; b) fornendo formazione e addestramento o intraprendendo altre azioni (per esempio, impiegando personale competente) per soddisfare tali necessità; c) valutando l efficacia delle azioni intraprese; e d) conservando registrazioni circa l istruzione, formazione e addestramento, abilità, esperienza e qualifiche. Il Codice (art. 29 e 30) richiede un attenta cura nella designazione di responsabili e incaricati. L Allegato B del codice richiede la stesura di un DPS che contenga, fra l altro, la previsione di interventi formativi per responsabili e incaricati. 12 Mauro Bert
e) effettuare una periodica revisione La norma ISO/IEC 27001 richiede una revisione del SGSI dell organizzazione a intervalli pianificati (almeno una volta all anno) per assicurare la sua continua idoneità, adeguatezza ed efficacia. Tale riesame deve includere la valutazione delle opportunità per il miglioramento e l esigenza di apportare cambiamenti al SGSI, ivi compresi la politica per la sicurezza delle informazioni e gli obiettivi della stessa. I risultati dei riesami devono essere chiaramente documentati e le registrazioni devono essere conservate. L Allegato B del codice richiede la stesura di un DPS che deve essere aggiornato entro il 31 marzo di ogni anno. 13 Mauro Bert
ISO/IEC 27002 in sintesi Human resources security Segregation of duties Physical and environmental security Third party service delivery management Protection against malicious code Back-up Network security management Media handling Exchange of information Monitoring Access control Business continuity management 14 Mauro Bert
Back-up 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. (da Allegato B del Codice) 10.5.1 Information back-up (da ISO/IEC 27002) Control Back-up copies of information and software should be taken and tested regularly in accordance with the agreed backup policy. Implementation guidance Other information 15 Mauro Bert
Back-up: Implementation guidance Adequate back-up facilities should be provided to ensure that all essential information and software can be recovered following a disaster or media failure. The following items for information back up should be considered: a) the necessary level of back-up information should be defined; b) accurate and complete records of the back-up copies and restoration procedures should be produced; c) the extent (e.g. full or differential backup) and frequency of backups d) the back-ups should be stored in a remote location e) physical and environmental protection consistent with the standards applied at the main site; f) back-up media should be regularly tested; g) restoration procedures should be regularly checked to ensure that they can be completed within the time allotted h) in situations where confidentiality is of importance, back-ups should be protected by means of encryption. Back-up arrangements for individual systems should be regularly tested to ensure that they meet the requirements of business continuity plans. For critical systems, the backup arrangements should cover all systems information, applications, and data necessary to recover the complete system in the event of a disaster. The retention period for essential business information, and also any requirement for archive copies to be permanently retained should be determined. 16 Mauro Bert
Back-up: Other information Back up arrangements can be automated to ease the back-up and restore process. Such automated solutions should be sufficiently tested prior to implementation and at regular intervals. 17 Mauro Bert
Cosa, come e perché La normativa privacy, essendo una legge, prescrive delle azioni da fare o delle regole da seguire, ma non fornisce linee guida (cosa fare) La norma ISO/IEC 27001 suggerisce un approccio a sistema di gestione che, facendo riferimento al paradigma Plan-Do-Check-Act, permette una completa e corretta gestione nel tempo dei dati personali, basata su best practices riconosciute a livello mondiale (come e perché farlo) 18 Mauro Bert
ISO/IEC 27001 e Codice Privacy Rispettare la normativa privacy è una condizione necessaria per essere conformi alla norma ISO/IEC 27001 Essere conformi alla ISO/IEC 27001 non è necessario per adeguarsi alla normativa privacy, però 19 Mauro Bert
seguire le norme della famiglia ISO/IEC 27000 rende più efficace e completa la gestione della sicurezza delle informazioni, siano esse personali o non personali; costituisce indubbiamente un modo efficace per dimostrare di aver adottato valide ed idonee misure di sicurezza. 20 Mauro Bert
2 Parte: un diverso punto di vista sugli Standard e la Privacy 1. Standard internazionali (ISO/IEC JTC 1/SC 27/WG 1 Information security management systems) utili a soddisfare i requisiti di sicurezza imposti dal Codice della privacy (d.lg. n. 196/2003) 2. Standard internazionali per la protezione dei dati personali: Norme di legge uniformi a livello internazionale (Direttiva sulla protezione dei dati dell UE) Privacy Enhancing Technologies (PETs) (ISO/IEC JTC 1/SC 27/WG 5 Identity management and privacy technologies) 21 Mauro Bert
Il bisogno di standard internazionali per la Privacy La globalizzazione lancia nuove sfide anche sul versante della privacy: è necessario rafforzare il diritto alla privacy, ma assicurare, al tempo stesso, una libera, ma protetta e limitata, circolazione dei dati personali In Europa: differenti leggi anche se in riferimento ad una unica Direttiva. Servono cooperazione e coordinamento rafforzati per un applicazione più semplice e coerente delle norme nell UE Nel mondo: è necessario promuovere elevati standard internazionali di protezione dei dati personali 22 Mauro Bert
Cosa si sta facendo Open meeting on Data Protection and Privacy Brussels, 11 marzo 2011 presso CEN (Comitato Europeo di Normalizzazione) Obiettivo del meeting è quello di analizzare le attività di standardizzazione che possono essere portate avanti nell ambito della protezione dei dati personali Parteciperanno: Commissione Europea, DG Giustizia ENISA (European Network and Information Security Agency) e altri 23 Mauro Bert
Attività Privacy del Gruppo di Lavoro Serie ISO/IEC 27000 Il Gruppo di lavoro dedicato alle attività normative della famiglia 27000 si è attivato sul tema della Privacy con i seguenti principali obiettivi: far sì che i Titolari di trattamento di dati personali trovino nelle norme della famiglia 27000 delle linee guida che possano facilitare l implementazione delle misure richieste dal Codice, chiarendone il significato ed integrandole in un sistema coerente; permettere ai Titolari di realizzare un SGSI che integri in modo armonico e completo al suo interno tutte le misure prescritte dalla Normativa privacy italiana. 24 Mauro Bert
Grazie per l attenzione! Domande, commenti, osservazioni? mauro.bert@schmidtconsulting.it