1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno...
-
Upload
gaetana-di-maio -
Category
Documents
-
view
220 -
download
1
Transcript of 1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno...
120 maggio 2005
MISURE DI MISURE DI SICUREZZA SICUREZZA
INFORMATICA DEL INFORMATICA DEL NUOVO NUOVO
CODICE DELLA CODICE DELLA PRIVACYPRIVACY
(d.lgs. 30 giugno 2003, n. 196)(d.lgs. 30 giugno 2003, n. 196)[email protected]@ancitel.it
220 maggio 2005
Sommario della presentazione
Le nuove misure di sicurezza I principi ispiratori Disciplinare tecnico – Allegato B Misure minime e misure idonee di sicurezza
320 maggio 2005
Le nuove misure di sicurezza
Il Codice in materia di protezione dei dati personali evidenzia:
particolare attenzione all'aspetto della sicurezza dei dati personali
obbligo di adozione di un insieme di misure di sicurezza
420 maggio 2005
Principi ispiratori
La norma appare come lo sviluppo di tre principi:
Integrità
Confidenzialità
Disponibilità
520 maggio 2005
Allegato - B
Descrive le modalità tecniche che il titolare, il responsabile e l'incaricato devono adottare nel caso di trattamento con strumenti elettronici.Per strumento elettronico si intendono:
gli elaboratori
i programmi per elaboratori
qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.
620 maggio 2005
Articolo 34 del codiceA autenticazione informatica
B adozione di procedure di gestione delle credenziali di autenticazione
C utilizzazione di un sistema di autorizzazione
D aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
E protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici
F adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
G tenuta di un aggiornato documento programmatico sulla sicurezza
H adozione di tecniche di cifratura per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari
720 maggio 2005
Misure idonee e misure minime Le misure minime si possono definire comeil complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali che configurano un livello minimo di sicurezza
Le misure idonee dipendono dalle circostanze, dalla natura del dato trattato e dal trattamento effettuato
820 maggio 2005
Le misure minime
Le misure minime sono suddivisibili in tre aree:
l’autenticazione informatica
il sistema di autorizzazione informatica
la protezione di dati e di sistemi
920 maggio 2005
Autenticazione
Il controllo di chi accede:
agli elaboratori ai programmi e ad ogni altro strumento elettronico
deve essere garantito dall'autenticazione informatica che ha il compito di verificare e convalidare l'identità del soggetto.
1020 maggio 2005
Credenziali di autenticazione
Dati e dispositivi in possesso di una persona, da questa conosciuti o ad essa univocamente correlati utilizzati per l'autenticazione informatica.
Grazie a questi posso effettuare una verifica dell’identità in modo diretto o indiretto.
1120 maggio 2005
Credenziali di autenticazione
definizione di una procedura di autenticazione
sono associate individualmente
sono disattivate se non utilizzate a lungo
sono disattivate se l’incaricato non è più autorizzato al trattamento
sono impartite precise istruzioni sulla loro custodia
lo strumento elettronico non deve rimanere incustodito in una sessione
garanzia della disponibilità di un particolare trattamento
1220 maggio 2005
Gestione delle password
L’efficacia di una password deriva dalla sua capacità di non essere indovinata.
Le password devono:
avere una lunghezza minima di otto caratteri
non essere facilmente individuabili o riconducibili all’incaricato
devono essere modificate ogni tre o sei mesi
devono essere custodite diligentemente
1320 maggio 2005
Fornisce elevato livello di sicurezza in quanto la password ( scelta dall’operatore ) viene sostituita da :
SMART CARD
USB KEYS etc.
Si parla di doppia autenticazione in quanto oltre al possesso del dispositivo hardware è necessario ricordare un PW / PIN per accedere al dispositivo stesso.
La doppia autenticazione
1420 maggio 2005
Autenticazione biometrica
L’identificazione dell’utente avviene attraverso la scansione e l'analisi di caratteristiche fisiche quali:
il volto le impronte digitali l'iride
1520 maggio 2005
Autorizzazione
Il sistema stabilisce a quali aree (dati) del computer l’incaricato può accedere, dopo che si è autenticato , e quali azioni (trattamenti) può compiere.
Non è obbligatorio ma generalmente è necessario.
Il sistema prevede l’utilizzo combinato di
strumenti hardware e software
organizzazione operativa
Lo scopo è ottenere una profilazione gestita dagli strumenti
1620 maggio 2005
Protezione e ripristino dei dati
procedure e software che contrastino malware
aggiornamento dei sistemi
procedure di salvataggio dei file
formazione degli incaricati
1720 maggio 2005
Protezione di strumenti dei dati
Nel caso di trattamento di dati sensibili e giudiziari la norma prevede l’utilizzo di idonei strumenti per proteggersi da tentativi di intrusione
Tecnologie utili:
Firewall
IDS ( Intrusion Detection System )
VPN ( Virtual Private Network ) e crittografia
1820 maggio 2005
Ripristino dei dati
salvataggio dei dati con frequenza settimanale
custodia dei supporti removibili prodotti
verifica dell’efficacia
1920 maggio 2005
Documento programmatico sulla sicurezza
Requisito per la garanzia la sicurezza del trattamento dei dati personali è la corretta e completa compilazione del D.P.S.
In particolare evidenzia:
i trattamenti effettuati le modalità del trattamento la distribuzione dei compiti e delle responsabilità l’analisi dei rischi che incombono le contromisure in essere e da adottare
2020 maggio 2005
Il controllo sullo stato di sicurezza
La verifica dell’efficacia e della validità delle misure di sicurezza adottate è un punto fondamentale, nel processo per la sicurezza:
In un contesto tecnologico in rapidissima evoluzione, è necessario avere le massime garanzie circa la adeguatezza delle misure di sicurezza adottate, nei confronti del sempre più vasto, articolato ed aggiornato panorama delle minacce possibili.
2120 maggio 2005
Domande ? :-)
Grazie per l’attenzione !Grazie per l’attenzione !
2220 maggio 2005
Riferimenti
Sito ufficiale ANCITEL per la Privacy in Comune:http://www.privacy.ancitel.it/
Sito ufficiale del Garante per la protezione dei dati personali:http:// www.garanteprivacy.it
Clusit – Associazione italiana per la sicurezza informatica:http://www.clusit.it/
Ministro per l'innovazione e le tecnologie:http://www.innovazione.gov.it/ita/index.shtml