120 maggio 2005

MISURE DI MISURE DI SICUREZZA SICUREZZA

INFORMATICA DEL INFORMATICA DEL NUOVO NUOVO

CODICE DELLA CODICE DELLA PRIVACYPRIVACY

(d.lgs. 30 giugno 2003, n. 196)(d.lgs. 30 giugno 2003, n. 196)consulenzaprivacy@ancitel.itconsulenzaprivacy@ancitel.it

220 maggio 2005

Sommario della presentazione

Le nuove misure di sicurezza I principi ispiratori Disciplinare tecnico – Allegato B Misure minime e misure idonee di sicurezza

320 maggio 2005

Le nuove misure di sicurezza

Il Codice in materia di protezione dei dati personali evidenzia:

particolare attenzione all'aspetto della sicurezza dei dati personali

obbligo di adozione di un insieme di misure di sicurezza

420 maggio 2005

Principi ispiratori

La norma appare come lo sviluppo di tre principi:

Integrità

Confidenzialità

Disponibilità

520 maggio 2005

Allegato - B

Descrive le modalità tecniche che il titolare, il responsabile e l'incaricato devono adottare nel caso di trattamento con strumenti elettronici.Per strumento elettronico si intendono:

gli elaboratori

i programmi per elaboratori

qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.

620 maggio 2005

Articolo 34 del codiceA autenticazione informatica

B adozione di procedure di gestione delle credenziali di autenticazione

C utilizzazione di un sistema di autorizzazione

D aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici

E protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici

F adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi

G tenuta di un aggiornato documento programmatico sulla sicurezza

H adozione di tecniche di cifratura per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

720 maggio 2005

Misure idonee e misure minime Le misure minime si possono definire comeil complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali che configurano un livello minimo di sicurezza

Le misure idonee dipendono dalle circostanze, dalla natura del dato trattato e dal trattamento effettuato

820 maggio 2005

Le misure minime

Le misure minime sono suddivisibili in tre aree:

l’autenticazione informatica

il sistema di autorizzazione informatica

la protezione di dati e di sistemi

920 maggio 2005

Autenticazione

Il controllo di chi accede:

agli elaboratori ai programmi e ad ogni altro strumento elettronico

deve essere garantito dall'autenticazione informatica che ha il compito di verificare e convalidare l'identità del soggetto.

1020 maggio 2005

Credenziali di autenticazione

Dati e dispositivi in possesso di una persona, da questa conosciuti o ad essa univocamente correlati utilizzati per l'autenticazione informatica.

Grazie a questi posso effettuare una verifica dell’identità in modo diretto o indiretto.

1120 maggio 2005

Credenziali di autenticazione

definizione di una procedura di autenticazione

sono associate individualmente

sono disattivate se non utilizzate a lungo

sono disattivate se l’incaricato non è più autorizzato al trattamento

sono impartite precise istruzioni sulla loro custodia

lo strumento elettronico non deve rimanere incustodito in una sessione

garanzia della disponibilità di un particolare trattamento

1220 maggio 2005

Gestione delle password

L’efficacia di una password deriva dalla sua capacità di non essere indovinata.

Le password devono:

avere una lunghezza minima di otto caratteri

non essere facilmente individuabili o riconducibili all’incaricato

devono essere modificate ogni tre o sei mesi

devono essere custodite diligentemente

1320 maggio 2005

Fornisce elevato livello di sicurezza in quanto la password ( scelta dall’operatore ) viene sostituita da :

SMART CARD

USB KEYS etc.

Si parla di doppia autenticazione in quanto oltre al possesso del dispositivo hardware è necessario ricordare un PW / PIN per accedere al dispositivo stesso.

La doppia autenticazione

1420 maggio 2005

Autenticazione biometrica

L’identificazione dell’utente avviene attraverso la scansione e l'analisi di caratteristiche fisiche quali:

il volto le impronte digitali l'iride

1520 maggio 2005

Autorizzazione

Il sistema stabilisce a quali aree (dati) del computer l’incaricato può accedere, dopo che si è autenticato , e quali azioni (trattamenti) può compiere.

Non è obbligatorio ma generalmente è necessario.

Il sistema prevede l’utilizzo combinato di

strumenti hardware e software

organizzazione operativa

Lo scopo è ottenere una profilazione gestita dagli strumenti

1620 maggio 2005

Protezione e ripristino dei dati

procedure e software che contrastino malware

aggiornamento dei sistemi

procedure di salvataggio dei file

formazione degli incaricati

1720 maggio 2005

Protezione di strumenti dei dati

Nel caso di trattamento di dati sensibili e giudiziari la norma prevede l’utilizzo di idonei strumenti per proteggersi da tentativi di intrusione

Tecnologie utili:

Firewall

IDS ( Intrusion Detection System )

VPN ( Virtual Private Network ) e crittografia

1820 maggio 2005

Ripristino dei dati

salvataggio dei dati con frequenza settimanale

custodia dei supporti removibili prodotti

verifica dell’efficacia

1920 maggio 2005

Documento programmatico sulla sicurezza

Requisito per la garanzia la sicurezza del trattamento dei dati personali è la corretta e completa compilazione del D.P.S.

In particolare evidenzia:

i trattamenti effettuati le modalità del trattamento la distribuzione dei compiti e delle responsabilità l’analisi dei rischi che incombono le contromisure in essere e da adottare

2020 maggio 2005

Il controllo sullo stato di sicurezza

La verifica dell’efficacia e della validità delle misure di sicurezza adottate è un punto fondamentale, nel processo per la sicurezza:

In un contesto tecnologico in rapidissima evoluzione, è necessario avere le massime garanzie circa la adeguatezza delle misure di sicurezza adottate, nei confronti del sempre più vasto, articolato ed aggiornato panorama delle minacce possibili.

2120 maggio 2005

Domande ? :-)

Grazie per l’attenzione !Grazie per l’attenzione !

2220 maggio 2005

Riferimenti

Sito ufficiale ANCITEL per la Privacy in Comune:http://www.privacy.ancitel.it/

Sito ufficiale del Garante per la protezione dei dati personali:http:// www.garanteprivacy.it

Clusit – Associazione italiana per la sicurezza informatica:http://www.clusit.it/

Ministro per l'innovazione e le tecnologie:http://www.innovazione.gov.it/ita/index.shtml