Valutazione d impatto e gestione integrata dei rischi

Documenti analoghi
Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita

Dal codice privacy al nuovo regolamento generale UE sulla protezione dei dati personali 679/2016: quali adempimenti per le imprese

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Giugno Carnelutti Studio Legale Associato

Data Privacy Officer. A cura di: Francesca Scarazzai e Cristina Chiantia. Dottori Commercialisti

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Praticamente GDPR a cura di Oracle Community for Security e con la collaborazione di Europrivacy

I REGISTRI DELLE ATTIVI TA DI TRATTAMENTO, il fulcro del sistema gestionale privacy nel sistema sanitario

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

KeyMap Analisi del Rischio

LA NORMA INTERNAZIONALE SPECIFICA I REQUISITI DI UN SISTEMA DI GESTIONE PER LA QUALITÀ PER UN'ORGANIZZAZIONE CHE:

La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

LA PROFESSIONALITÀ DEL DATA PROTECTION OFFICER FORMAZIONE OBBLIGATORIA NEL NUOVO REGOLAMENTO

SGSI CERT CSP POSTE ITALIANE

Le certificazioni nel nuovo regolamento UE sulla privacy

DATA PROTECTION & GDPR Misure di sicurezza informatiche ed assicurative nel trattamento dei dati personali

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

Proposta per l organizzazione della Sicurezza Informatica dell ISTI

"Organizzazione del lavoro, Responsabilità amministrativa degli enti ed efficacia esimente ai sensi dell'art. 30 dlgs 81/08: l'importanza

Sistemi informativi in ambito sanitario e protezione dei dati personali

DECISIONE 2009/316/GAI

Il Regolamento generale sulla protezione dei dati (GDPR) MODULO 1

Indice. Lo scenario. GDPR: La norma. La compliance in 5 punti. Tutto quello che c è da sapere - Infografica

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Le policy aziendali in materia di sicurezza informatica. Giuseppe Vaciago. Convegno di Studi La Criminalità Informatica e i Rischi per le Imprese

Sezione 1 - Gestione e governance della protezione dei dati

ISO 9001:2015 LA STRUTTURA DELLA NORMA

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

Milano, 13 ottobre 2016

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

SISTEMA UNIFICATO D IDENTITA DIGITALE

Nuovo Regolamento Europeo Privacy. Gubbio, Perugia Marzo 2016

Incontri di formazione

AREA C: SISTEMI INTEGRATI

I sistemi di gestione della salute e sicurezza sul lavoro. La norma OHSAS 18001

LA STRUTTURA DELL ISO 9001:2015

Video Analytics e sicurezza. Ivano Pattelli Security Solution Lead Hewlett Packard Enterprise

Politica per la Qualità, la Sicurezza delle Informazioni e la Sicurezza sul lavoro

Piani di vigilanza per il monitoraggio sui reati informatici. Dr. Giuseppe DEZZANI Informatico Forense

La nuova edizione della norma ISO (seconda parte)

CONSULENTE DELLA PRIVACY

I passi per la certificazione del Sistema di Gestione dell Energia in conformità alla norma ISO Giovanni Gastaldo Milano, 4 ottobre 2011

Procedure di Adeguamento SGA ISO 14001:2015 Indicazioni Operative. N. Anzalone - Milano

I Modelli di organizzazione e di gestione (MOG) con efficacia esimente ex art. 30 DLgs 81/08: il punto di vista delle Regioni

FACILITARE LA PREPARAZIONE ALLE SFIDE DELLA VALUTAZIONE DEI RISCHI E DELLA CONFORMITÀ IMPOSTE DAL GDPR CON RSA SECURITY

Regolamento UE sulla protezione dei dati Analisi e valutazioni di impatto per le aziende

MANUALE SISTEMA DI GESTIONE INTEGRATO QUALITA AMBIENTE E SICUREZZA

Approccio operativo per la redazione del Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 8 giugno 2001, n. 231

Considerazioni sul Risk Management

PRIVACY: COSA CAMBIA CON IL NUOVO REGOLAMENTO EUROPEO?

MANUALE SISTEMA DI GESTIONE INTEGRATO QUALITA E AMBIENTE

La UNI EN ISO 9001:2015 e il Risk Based Thinking

IL NUOVO REGOLAMENTO EUROPEO IN TEMA DI PRIVACY: ASPETTI PRATICI DI ADEMPIMENTO

Informazione documentata

ASSESSMENT GDPR ORGANIZZATIVO E TECNOLOGICO

I s is temi di ges tione ambientale (SGA)

QUESTIONARIO 2: PIANIFICAZIONE DEL MIGLIORAMENTO

Approccio alla gestione del rischio

Obblighi di controllo dei Fornitori esterni. EUDA Applicazioni sviluppate dall utente finale

PRESCRIZIONI PARTICOLARI DIRETTIVA 2014/33/UE ALLEGATO VI Garanzia della Qualità del Prodotto dei Componenti di Sicurezza per Ascensori

MASTER Orbit4BC TOOL PER IL BUSINESS CONTINUITY MANAGEMENT

L esperienza di Snam Rete Gas

PROTEZIONE DEI DATI: QUALE RUOLO PER LA CERTIFICAZIONE?

Principali adempimenti privacy

Coordinamento organizzativo nazionale dei Manager didattici per la qualità

PIANO OPERATIVO PER LA VALUTAZIONE DELL ADEGUAMENTO ALLE NORME DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.

ISO 14001:2015 NUOVI APPROCCI DELL AUDIT DI CERTIFICAZIONE

Corso per Progettisti dei Sistemi di Gestione per la Qualità UNI EN ISO 9001:2008 PROGRAMMA DEL CORSO 32 ORE

Privacy e Cybersecurity nella sanità

GDPR IL NUOVO REGOLAMENTO N. 679/2016 UE SULLA PROTEZIONE DEI DATI PERSONALI G U I D E L I N E S, R E G O L E, I M PAT T I E SANZIONI

La norma ISO «Food Safety Management System»

Cybersecurity per la PA: approccio multicompliance Sogei

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS (Information Security Management Systems) AUDITOR / RESPONSABILI GRUPPO DI AUDIT

EBA/GL/2015/ Orientamenti

Come affrontare le minacce alla sicurezza IT. Roma, 16 Giugno 2010

Third Party Assurance Reporting

Politica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE)

Alessandra Peverini Milano 19 ottobre 2015 LA NUOVA NORMA ISO 9001:2015 E I RISCHI GESTIONALI

COMPLIANCE PENALE Adozione ed Aggiornamento del Modello 231 Approccio Operativo

Tracciabilità, coordinamento verticale e governance delle filiere agro-alimentari

Codice Privacy. Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle P.a.

LA NUOVA NORMA ISO 9001:2015

Dott. Filippo Lorè Consulente Privacy

Gazzetta ufficiale dell'unione europea

Politica sulla Privacy

CASE STUDY: SISTEMA INTEGRATO ISO:9001-GVP

La predisposizione ed implementazione del M.O.G. ex d.lgs 231/2001. Roma: 20 Ottobre 2015 Corte di Cassazione

Consulenza e Software, insieme per la certificazione ISO : presentazione di un caso reale

MONITORAGGIO COOPERATIVE, SUBAPPALTATORI E FORNITORI

Come cambieranno gli audit sui sistemi di gestione

Transcript:

Privacy e Data Protection Il dialogo con le imprese alla luce del nuovo Regolamento europeo sulla privacy Valutazione d impatto e gestione integrata dei rischi Andrea Foschi Bologna, 11 maggio 2017 1

REGOLAMENTO (UE) 2016/679 Art 24 Art. 24 - Responsabilità del titolare del trattamento 1.Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. 2.Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento. 3.L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento. 2

REGOLAMENTO (UE) 2016/679 Art 32 Art. 32 - Sicurezza del trattamento 1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2.Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3

Le domande da porsi Posso basarmi su codici di condotta (art.40) o devo andare verso un modello di valutazione dei rischi vero e proprio? Mi oriento verso un modello di analisi dei rischi classica o seguo strade semplificate che passano dall adozione di buone prassi, fra cui quelle indicate dal testo di legge? E possibile immaginare un analisi e gestione dei rischi per il GDPR avulsa da tutto il resto del contesto della sicurezza delle informazioni di business dell azienda? E sufficiente una semplice analisi dei rischi e relativa applicazione delle contromisure o è opportuno integrarla all interno di un più ampio sistema di gestione della sicurezza delle informazioni? 4

Quando è necessario il PIA (art. 35) Quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. a)una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b)il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; (ex sensibili e giudiziari) c)la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. 5

I contenuti del PIA (art. 35) 7. La valutazione contiene almeno: a)una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b)una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c)una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; d)le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. 6

Fasi di un processo PIA Valutazione della necessità (o opportunità) di sviluppare un PIA Identificazione dei trattamenti Identificazione del team di lavoro (DPO, Risk manager, esperti, ecc) Identificazione dei rischi Identificazione delle soluzioni (mitigazione dei rischi) Formalizzazione e approvazione del piano Applicazione del piano 7

Analisi e gestione del rischio in ambito 27001 Definizione dell ambito di validità del SGSI Ambito del SGSI Minacce Vulnerabilità impatti Definizione Asset Model Asset Model Approccio aziend. Alla gestione del Rischio Obiettivi di controllo Nuova organizzazione Strategie di business Analisi del rischio Gestione del rischio Selezione dei controlli da realizzare Piano di sicurezza Analisi del rischio Gestione del rischio Controlli selezionati e giustificati Livello strategico Livello tattico Livello operativo Nuovi standard implementativi 8

ISO31000 Standard di riferimento ISO31000 Fornisce i principi e le Linee guida generali sulla Gestione del Rischio E utilizzata per armonizzare i processi della gestione del rischio nelle norme attuali e future. Fornisce un approccio comune a supporto di norme che riguardano rischi e/o settori specifici e non sostituisce tali norme. 9

ISO/IEC 29134 A breve sarà rilasciata la norma ISO/IEC 29134 Privacy Impact Assessment Methodology La norma si basa sulla ISO31000 e definisce in modo più approfondito : Un processo articolato per lo sviluppo del Privacy Impact Assessment Un processo per il riesame periodico Un modello di rapporto per la valutazione Un esempio per la stima degli impatti Definisce inoltre un elenco di quasi 50 minacce su cui valutare gli impatti e le probabilità ( basato su scale di 4 valori) 10

ISO/IEC 29151 Entro fine 2017 sarà disponibile anche la norma ISO/IEC 29151 Code of practice for personally identifiable information protection. La norma definisce gli obiettivi di controllo, i controlli e le linee guida per l'attuazione dei controlli, per soddisfare i requisiti identificati da una valutazione di rischio e di impatto connessi alla protezione delle informazioni personali. Lo standard è basato sulle linee guida della ISO/IEC 27002 e recepisce oltre 110 controlli della ISO/IEC 27001 aggiungendone altri specifici. 11

Elementi caratteristici Analisi Rischi Analisi dei Rischi GDPR Asset Model Registro dei trattamenti Dimensioni di analisi R,I,D C -> GDPR Vulnerabilità e minacce GDPR, ISO27001, ISO29134, ISO29151 12

Modello R.I.D..C Disponibilità D.Lgs 231 Integrità Sicurezza Conformità Privacy & GDPR Riservatezza Riservatezza 13

Approccio all analisi rischi GDPR In conclusione l analisi dei rischi sui trattamenti GDPR : E in parte già inclusa nelle dimensioni di analisi RID qualora asset e minacce siano tutti correttamente definiti Per maggior sicurezza comunque può essere definita una (o più) dimensione/i di analisi (es. Conformità GDPR) per includere anche i rischi specifici legislativi E possibile partire dalle minacce base proposte da disciplinari sulla sicurezza delle informazioni (ISO27001) andandole a specializzare ulteriormente (GDPR, ISO29134, ISO29151) 14

R1 : Codici di condotta (art. 40) Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del presente regolamento, ad esempio relativamente a :... h) le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all'articolo 32; = effettuare dei PIA e relative analisi dei rischi per tipologia di attività e quindi per classi omogenee di business... e di rischio. = Riduzione dei costi, analisi rischi più accurata, maggior tutela 15

R2 : Approccio a requisiti minimi In un approccio molto semplificato dove si ipotizza che : mancanza di un controllo di sicurezza = vulnerabilità potrei concentrarmi direttamente sulle contromisure. Criptazione Pseudonimizzazi one Accountability Anonimizzazione Log Management Hardening Minimo Privilegio Autenticazione Strong, Multilevel, Federata Controllo Accessi Role Management SOD Ma : -Le misure identificate potrebbero essere non idonee -Non riesco a dimostrare una correlazione fra rischio e controlli -Potrei implementare contromisure eccessive Attenzione all effetto misure minime di sicurezza del Dlgs 196/03 16

R3 : Visione GDPR centrica? Un azienda che ha la necessità di fare dei PIA avrà, per tipologia di Business e complessità, sicuramente anche problematiche di sicurezza sulle informazioni di Business Nell ambito della compliance non esiste solo l aspetto del GDPR collegato alla sicurezza delle informazioni... non ultimo il D.Lgs 231 (ma anche altro) I costi per fare dei PIA estesi e relative analisi dei rischi non hanno ordini di grandezza differenti rispetto ad affrontare il tema della sicurezza delle informazioni in modo più esteso Include valenze anche di Business nella gestione della sicurezza delle informazioni rende più efficace anche la parte di compliance. 17

R4 : Sistema di gestione - SGSI Obiettivo del SGSI (27001) Insieme di regole e procedure per la progettazione e realizzazione di tutti gli aspetti di funzionamento, monitoraggio, revisione, mantenimento e miglioramento della Sicurezza delle Informazioni in azienda. Analisi del rischio Sicurezza dell informazione Fasi Gestione del rischio Specifiche per un Sistema di gestione documentato e orientato ai rischi di business dell azienda Si identificano le decisioni che l azienda deve intraprendere in funzione del rispetto dei tre requisiti della sicurezza (riservatezza, integrità, disponibilità e altro) l implementazione di un sistema di gestione integrato e completo sulla sicurezza (SGSI) innalza il livello di protezione delle informazioni 18

Riferimenti Andrea Foschi afoschi@soluzioniaziendali.net Soluzioni srl Via Andrea Ercolani, 9 40026 Imola info@soluzioniaziendali.net www.soluzioniaziendali.net 19

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back