Indice degli argomenti MiBAC – Corso sulla Sicurezza Informatica 17/12/2008 1.Lattenzione della...

Indice degli argomenti

MiBAC – Corso sulla Sicurezza Informatica 17/12/2008

1. L’attenzione della P.A. alla Sicurezza Informatica

2. Concetti di Sicurezza Informatica

3. Il processo per la gestione della sicurezza

4. Modello Organizzativo per la P.A.

1

L’attenzione della P.A. alla Sicurezza Informatica


2

“Le informazioni gestite dai sistemi informativi pubblici costituiscono una risorsa di valore strategico per il governo del Paese.”

Questo patrimonio deve essere efficacemente protetto e tutelato al fine di prevenire possibili alterazioni sul significato intrinseco delle informazioni stesse. E' noto infatti che esistono minacce di intrusione e possibilità di divulgazione non autorizzata di informazioni, nonché di interruzione e di distruzione del servizio. Lo stesso processo di innovazione tecnologica produce da un lato strumenti più sofisticati di "attacco", ma d'altro lato idonei strumenti di difesa e protezione.

PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO PER L'INNOVAZIONE E LE TECNOLOGIEDIRETTIVA 16 gennaio 2002 Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni.(G.U. 22 marzo 2002, n. 69)


L’informatica a servizio del cittadino


3

“La P.A. eroga i servizi alla collettività sempre più tramite le tecnologie informatiche.”

Decreto legislativo 12/02/ 1993, n. 39 - “Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche, a norma

Decreto legislativo 30/06/2003, n. 196 - “Codice in materia di protezione dei dati personali.”

Direttiva 27/11/2003 - “Direttiva per l’impiego della posta elettronica nelle pubbliche amministrazioni.”

Direttiva 18/12/2003 - “Linee guida in materia di digitalizzazione dell’amministrazione per l’anno 2004.”

Legge 9/1/2004, n. 4 - “Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici.”

D.P.R. 2/3/2004, n. 117 - “Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dell’articolo 27, comma 8, lettera b), della legge 16 gennaio 2003, n. 3.”

D.P.R. 11/2/2005, n. 68 - “Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3.”

D.P.R. 1/3/2005 n. 75 - “Regolamento di attuazione della legge 9 gennaio 2004, n. 4 per favorire l’accesso dei soggetti disabili agli strumenti informatici.”

Decreto legislativo 7 /3/2005, n. 82 - “Codice dell’amministrazione digitale.”


Obiettivo prioritario


4

I processi della P.A. per la missione istituzione a servizio del Cittadino necessitano della massima garanzia di affidabilità, integrità e correttezza delle informazioni e dei loro trattamenti .

La sicurezza informatica e delle comunicazioni (S-ICT) è uno egli obiettivi di massima rilevanza per assicurare servizi efficaci ed efficienti, attraverso:

- Utilizzo di tecnologie “sicure” (PEC)- Reti dedicate con alte prestazioni e elevati livelli di sicurezza (SPC)- Garanzia delle informazioni personali (Codice Privacy) - Conformità agli standard internazionali- Promozione della “cultura della sicurezza”- Attuazione di un “Modello organizzativo” per la sicurezza

Il raggiungimento degli obiettivi richiede di operare con professionalità e consapevolezza anche in materia di Sicurezza ICT.

Concetti di Sicurezza Informatica

Concetti base – Obiettivi di sicurezza 1


5

1) Disponibilità di risorseLe risorse informatiche (elaboratori, reti di comunicazione, dati) dovoono essere disponibili all’uso quando sono necessari.

Indisponibilità “controllate” (aggiornamento, manutenzione preventiva)Sono necessarie e devono essere gestite

Indisponibilità “incontrollate” (cause non volontarie)Devono essere adottati gli accorgimenti per evitarle e per minimizzare l’impatto sulle operazioni quando si verificano

2) Integrità dell’informazione

3) Riservatezza dell’informazione.

La tutela che le informazioni (i dati) non siano alterati.

La prevenzione dell’accesso alle informazioni alle persone che non ne hanno titolo.

E’ necessario preventivamente classificare le informazioni, determinare chi ha titolo all’accesso (per norma di legge, contratto fra le parti), quali trattamenti può effettuare.

Gli obiettivi di sicurezza sono esprimibili con i criteri RID


Concetti base – Obiettivi di sicurezza 2


6

L’utilizzo della Firma Digitale e delle tecniche crittografiche ha aggiunto due nuovi concetti, applicabili all’integrità di una transazione telematica o di un messaggio (es e-mail).

5) AutenticitàCertezza del legittimo autore di un messaggio o documento digitale.

6) Non Ripudio

Certezza dell’origine del documento o della transazione e prevenzione del disconoscimento da parte dell’autore.


Crittografia


7

La crittografia è utilizzata per rendere incomprensibile un messaggioa chi non è in possesso della chiave

Algoritmo metodo di cifraturaChiave elemento utilizzato per cifrare / decifrare il testo

Testo in chiaro

CIFRATURA

CHIAVE

Testo cifrato

Il processo deve essere REVERSIBILE, chi conosce la chiave deve ricostruire il messaggio originale

DECIFRATURA

L’algoritmo può essere pubblicoLa sicurezza del processo crittografico è costituita dalla segretezza della chiave (Principio di Kerchoff)

Testo in chiaro


Crittografia


8

TIPI di ALGORITMI CRITTOGRAFICI

SIMMETRICI

ASIMMETRICI

HASH

la chiave è unicaE nota sia al Mittente che al Destinatario

Per garantire RISERVATEZZA

2 coppie di chiavi diverse

Mittente

Destinatario

Per garantire INTEGRITA’Funzioni univoche e unidirezionali (non possono essere invertite)Trasformano un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata, strettamente dipendente dal testo.Piccole variazione del testo producono un hash diversoL’hash rappresenta l’ “impronta digitale” che identifica il testo in chiaro.

Per garantireRISERVATEZZA AUTENTICITA’Utilizzati anche per lo scambio di chiavi simmetriche


Crittografia Simmetrica – Chiave


9

OTP (One Time Pad) utilizzando una chiave: • di lunghezza uguale al messaggio• casuale• usata una sola volta

Caso teorico non applicabile in pratica. Occorre trovare il compromesso fra • Facile utilizzo per gli utenti legittimi Utilizzabile sui computer reali (potenza di calcolo limitata)

Piu corta del messaggio• Difficile decifratura per il possibile attaccante

Problematiche legate alla chiave

Creazione di sequenze casuali

Numero delle chiavi

Distribuzione

N=100

N utilizzatori N*(N-1)/2 Chiavi

Utilizzo di canali paralleli

4.950 Key


Crittografia Asimmetrica – Generazione delle chiavi


10

In fase di creazione si utilizzano funzioni matematiche che richiedono potenza di calcolo limitata (computabili) ma per le quali non è ancora stato dimostrato che esista un metodo pratico di risoluzione inversa

La soluzione inversa non è possibile tramite algoritmo, ma solo per tentativi (forza bruta) quasi impossibili da computare

Fattorizzazione numeri primi Dati due numeri primi tra loro è semplice e veloce calcolarne il prodottoDato il prodotto è molto difficile risalire a uno dei fattori primiPur conoscendo la chiave pubblica è impossibile risalire a quella privata

Le chiavi sono create dallo stesso algoritmo e sono correlate

Non possono essere ricavate l’una dall’altra


Crittografia Asimmetrica – Le Chiavi


11

la chiave privata é personale e segreta

la chiave pubblica è distribuita

RISERVATEZZAMittente invia un messaggio cifrato con la chiave pubblica del destinatarioDestinatario possiede la relativa chiave privata è può decifrarlo

AUTENTICITA’Mittente invia un messaggio cifrato con la PROPRIA chiave privataTutti coloro che hanno la chiave pubblica del mittente possono leggerlo

Le chiavi sono create dallo stesso algoritmo e sono correlate

Quello che si cifra con una chiave può essere decifrato solamente con l’altra chiave della coppia


Crittografia Simmetrica


12

CHIAVE BIT

ALGORITMO

40 RC2-40

56 DES

128 RC2-128

56 (x 3) 3DES

256 RC6

DEBOLE

FORTE

Il DES é stato forzato nel 1998, ma è ancora molto utilizzato, perché implementabile con soluzioni hw, economiche e veloci

La robustezza dipende fortemente dalla lunghezza della chiave

Il DES (Data Encryption System) impiega chiavi di 64 bit (56 effettivi + 8 di parità). Suddivide il testo in blocchi di 64 bit ciascuno e li cifra in successione per 16 volte.Ad ogni ciclo la chiave subisce una permutazione.

.


Crittografia Asimmetrica – RSA


13

RSA (Rivest, Shamir, Adleman)Usa operatori esponenziali in aritmetica modulo NEsponente diverso per le funzioni di cifratura / decifratura

Può usare chiavi di diversa lunghezza, consigliabili almeno 1.024 bit.

Ha lo svantaggio che la creazione della coppia di chiavi è complessa

PRO Contro

Key Distribution Più lenta della simmetrica

Key management (fino a 1.000 volte)

Scalabilità (2*n)

Robusto (Key >= 1.024) Richiede potenza di calcolo.

Confidenzialità

Autenticità


Concetti base – Minaccia


14

I beni hanno un valore (anche se immateriali come le informazioni o i servizi) e devono essere protettu per evitare che possano subire una perdita, totale o parziale, del loro valore.ll valore di un bene viene attribuito in rapporto alla sua importanza (dalla normativa, dal proprietario del bene)secondo gli obiettivi fissati con i criteri di RID (Riservatezza, Integrità, Disponibilità).

Fatto o azione che potrebbe provocare la violazione di uno degli obiettivi di sicurezza.Possono avere origine umana, deliberata o accidentale, o avere una causa esterna naturale.Esempi: Fulmine: minaccia naturale

Guasto HW: minaccia accidentaleFurto : minaccia deliberataSw dannoso: può essere deliberato o accidentale

Minaccia


Concetti base – Vulnerabilità


15

Vulnerabilità

Tutti i beni hanno, per loro natura, delle vulnerabilità intrinseche, ovvero dei punti deboli, noti o ignoti.

Se esiste una minaccia che può sfruttare la vulnerabilità, si può verificare una violazione di un obiettivo di sicurezza.

Le vulnerabilità non implicano la certezza della violazione degli obiettivi di sicurezza

Impatto

Esprime le conseguenze, sul sistema informatico, a seguito della concretizzazione di una minaccia.

Dipende dagli obiettivi di sicurezza e dal valore attribuito al bene o al servizio


Concetti base – Rischio


16

Rischio

Quantifica la severità di una minaccia in relazione al sistema che si vuole proteggere.

Si esprime come relazione tra

la probabilità che una minaccia si realizzi P(m)

le conseguenze che può provocare (gravità del possibile impatto) G(i)

R = P(m) * G(i)

I valori associati al Rischio costituiscono l’elemento per sviluppare il processo di analisi e gestione del rischio e sono fondamentali per la progettazione di un sistema di sicurezza.


Come realizzare un sistema di sicurezza


17

quali risorse proteggere?

che importanza (valore) ha la risorsa?

da quali minacce occorre proteggere le risorse?

la probabilità che la minaccia si concretizzi?

quali misure di protezione si possono adottare?

quali sono i costi?

le misure già in atto sono ancora valide?

occorre una verifica periodica degli obiettivi?

Il processo di gestione della Sicurezza Informatica



18

Il processo (CICLO) della sicurezza




19

Obiettivo:

Definire i principali eventi potenzialmente dannosi Stimare la probabilità di accadimento relativa. Calcolare il rischioIndividuare le contromisure

Metodo:

Individuazione minacce e vulnerabilità

Calcolo del rischio: 1. Applicabilità: la minaccia può compromettere l’asset (0=no 1=si) 2. Impatto: applicabilità x criticità asset 3. Probabilità: che la minaccia si concretizzi (vulnerabilità presenti) 4. Rischio: impatto x probabilità (parametrizzati)


Gestione del rischio


20

quali risorse proteggere?

1) Inventario dei beni (Asset)

•Supporti informatici (sistemi, apparati, Applicativi, reti locali, reti geografiche,…)

•Impianti (corrente elettrica, UPS, aria condizionata/riscaldamento,….)•Locali (Sale CED, sale console, archivi)•Persone (manager, sviluppatori, utenti, sistemisti, ….)•Documenti (cartacei o in forma digitale)•Dati

In termini di RID Assegnando un valore numerico o qualitativo (Alto, Medio, Basso)fornisce la stima della gravita dell’Impatto G(I)

2) Classificazione dei beni (Asset)




21

3) Individuare le Minacce (Deliberate, Accidentali, ambiEntali)




22

4) Individuare le vulnerabilità




23

5) Stimare la probabilità dell’evento dannoso

Dipende dalla tipologia della minaccia e

Minacce Deliberate (Fattore Umano)La probabilità é funzione delle Vulnerabilità presenti nel sistema e della Motivazioni del potenziale attaccante

P = f(V,M)

Minacce accidentali e ambientaliLa probabilità é funzione delle Vulnerabilità presenti nel sistema e della probabilità statistica che si verifichi.La probabilità statistica deriva dai rilevamenti di eventi simili avvenuti in precedenza

P = f(V,p)




24

6) Stimare il rischio

Applicando la formula di correlazione Probabilità – Gravità dell’impattoR = P(m) * G(i)

Il livello di rischio è rappresentato mediante la “Matrice di rischio”, riportando nelle righe la probabilità che le minacce si concretizzino e nelle colonne l’impatto.

L’incrocio riga/colonna indica il livello di rischio.

1 Basso 2 Medio 3 Alto

3 Alto 3 Medio 6 Alto 9 Alto

2 Medio 2 Basso 4 Medio 6 Alto

1 Basso 1 Basso 2 Basso 4 Medio




25

6) Gestire il rischio

scopo• eliminare i rischi• ridurli entro limiti accettabili

I rischi non eliminabili possono essere ceduti a terzi, (polizze di assicurazione)es. furto, incendio e disastri naturali

Il rischio può essere controllo del attraverso opportune contromisure che agiscano sulle due componenti del rischio:

la gravità dell’impatto

la probabilità di attuazione della minaccia




26

6) Contromisure

La scelta delle contromisure da mettere in campo è dettata dall’analisi del rischio e dall’analisi costo/benefici delle contromisure.

Se la riduzione del rischio è ampiamente superiore al costo della contromisura, questa è efficace.

Se un certo rischio è di scarsa entità e la contromisura risulterebbe più costosa rispetto ai benefici, si può decidere di accettare il rischio senza alcuna contromisura. Vale anche nei casi in cui il rischio residuo (il rischio che rimane dopo l’adozione delle contromisure) non fosse significativamente inferiore al rischio iniziale.

Si possono classificare le contromisure in tre categorie a seconda che siano di di carattere fisico di tipo procedurale di tipo tecnico informatico




27

Contromisure di carattere fisico

Generalmente legate alla prevenzione e al controllo dell’accesso a installazioni, locali, attrezzature, mezzi di comunicazione.

Esempiedificio protetto e accessibile solo dopo il riconoscimento del personale autorizzato la collocazione in zona elevata non soggetta ad alluvioni, rilevatori e pompe per evacuare l’acquasistemi antincendioaccessi blindati e sorvegliati

protezione fisica delle linee di comunicazione contro intercettazioni, disturbi e danneggiamenti. canalizzazioni dei cavi di rete, schermature di vetri e pareti per contenere il campo delle reti




28

Contromisure di carattere tecnico informatico - 1

Realizzate attraverso mezzi hardware, firmware e software e prendono anche il nome di funzioni di sicurezza Identificazione e autenticazione di un individuo o un processo e ad autenticarne l’identità. funzione di accesso (login) a un sistema tramite nome utente (per l’identificazione) e password (per l’autenticazione dell’identità).Controllo degli accessiVerificano se il processo o l’utente, di cui è stata autenticata l’identità, ha il diritto di accedere alla risorsa richiesta e di eseguire l’operazione specificata (lettura, esecuzione, modifica, creazione, cancellazione).Rendicontabilità (accountability)permettono di attribuire la responsabilità degli eventi agli individui che li hanno causati.Verifica (audit). registrano gli eventi in un file (log) con informazioni su errori e a violazioni di sicurezza.




29

Contromisure di carattere tecnico informatico - 2

Accuratezza delle informazioni.Esempio, la registrazione temporale (time stamp) dell’evento perché i file di logging forniscano informazioni attendibili, Affidabilità del servizio. contromisure per mantenere condizioni di alimentazione elettrica stabile, filtrata e senza interruzione (gruppi di continuità)difese dai malfunzionamenti hardware (monitoraggio e manutenzione preventiva)difese dai malfunzionamenti software (monitoraggio delle prestazioni, rollback delle transazioni non andate a buon fine, ripristino di uno stato precedente del sistema operativo, ripristino delle partizioni di disco a uno stato integro precedente). Scambio dati sicuro.destinate a garantire la sicurezza delle trasmissioni. autenticazione - controllo dell’accesso - riservatezzaintegrità (dell’hardware, dei dati e dei flussi di pacchetti TCP trasmessi) non ripudio.Esempio di contromisura in questa area é l’uso di crittografia

Il processo di gestione della Sicurezza informatica

Contromisure di carattere procedurale - 1


30

Definiscono le operazioni per eseguire un compito oppure regolano il comportamento degli addetti e degli utenti per gli aspetti che riguardano la sicurezza delle informazioni e delle risorse.

Mentre le contromisure fisiche proteggono l’accesso fisico alle risorse e le contromisure informatiche agiscono a livello hardware, firmware e software, le procedure operative e le regole di comportamento si applicano

alle personeScopi evitare che gli addetti ai sistemi informatici e gli utenti causino vulnerabilità e minacce accidentali

Promuovere la consapevolezza delle persone e far si che contribuiscano a mantenere i livelli di sicurezza riducendo i rischi residui lasciati dalle altre contromisure.




31

Esempi:

il controllo dell’identità dei visitatori e la limitazione delle aree a cui hanno accesso. Le istruzioni per la sua custodia del badge di riconoscimento così che non venga lasciato a disposizione di altri

Le password sono uno strumento di protezione informatico, ma le regole per la loro assegnazione, durata, utilizzo e custodia fanno parte delle contromisure procedurali per ridurre il rischio del furto d’identità.

norme comuni per le password:

utilizzare password di lunghezza minima prefissata (tipico maggiore di 8 caratteri)Rispondenti ai requisiti di complessità (lettere, maiuscole, numeri e caratteri speciali)Imposizione di modificarle periodicamentebloccare l’accesso dopo un numero limitato di tentativi errati;responsabilizzare gli assegnatari sugli effetti della mancata riservatezza




32

Le contromisure di tipo procedurale dovrebbero essere ridotte al minimo, Quando quando possibile è consigliabile utilizzare sistemi automatizzati, meno soggetti agli errori e dimenticanze.

EsempioL’aggiornamento degli antivirus che assicuri che il file di riconoscimento dei virus sia sempre allineato all’ultimo rilascioL’aggiornamento periodico del firmware dei firewall

Possono essere automatizzati tramite un sistema centralizzato

L’uso di determinate funzioni nell’utilizzo di specifici hardware e software, ove si preveda che possa aumentare i rischi per la sicurezza dovrebbe:

essere automatizzato per quanto possibileoggetto di norme procedurali per quanto dipende dal comportamento delle persone




33

Le contromisure di tipo procedurale possono integrare e rafforzare i sistemi automatizzati.

EsempioPer l’entità dell’impatto e la frequenza di guasti ai supporti magnetici è assolutamente necessario prevedere un sistema di salvataggio dei dati e dei programmi (backup), garantiscano il ripristino dopo un disastro (disaster recovery) o la continuità operativa (business continuity) a dispetto di qualsiasi evento catastrofico.

I backup possono essere automatizzati

E’ però importante definire una strategia di backup a più livelli (con diverse periodicità) e mettere in atto procedure che verifichino

esecuzione dei salvataggiintegrità e utilizzabilità dei supporti funzionalità del ripristino in caso di necessità seguito di un evento (test periodi)


Gli standard


34

Forniscono una guida per la progettazione e la gestione di un sistema di sicurezza

ISO 2700

27000 - Foundamental and vocabulary27001 - ISMS Requirements27002 - Code of practice of ISMS27003 - ISMS implementation guidance27004 - Measurements27005 - Risk Management27006 - Requirements for the accreditation of certification bodies27007 - Guidelines for ISMS auditing27011 - Information security management guidelines for telecommunications 27031 - ICT readiness for business continuity I27032 - Guidelines for cybersecurity 27033 - IT network security 27034 - Guidelines for application security 27799 - Security Management in Health using ISO/IEC 27002

Modello organizzativo per la PA


35

.Direttiva del 16 gennaio 2002 dal titolo: “Sicurezza informatica e delle telecomunicazioni nelle

pubbliche amministrazioni Statali

Obiettivo: adeguare la struttura organizzativa della P.A. coerentemente agli obiettivi fissati In materia di sicurezza dei servizi resi al cittadino tramite gli strumenti informatici

Il modello prevede che sia istituita un’organizzazione che assegna dei ruoli dotati di responsabilitàe di autonomia nonché di conoscenza dell’operatività per prendere decisioni, tenendo fede al principi della “separazione dei compiti”.

Bilanciamento rischio/sicurezzavalutare il bene, il livello di esposizione, definire le misure di protezione,bilanciamento fra gli investimenti per le contromisure e la diminuzione degli accadimenti;

Monitoraggio del sistema:si intende l’attività di controllo continuo degli indicatori di performance, sicurezza e rischio, svolte dalla funzione/ruolo che realizza le misure di sicurezza.

Verifica:attività di controllo saltuaria che si sviluppa attraverso un vero e proprio audit da parte di una funzione/ruolo (ICT auditing) diversa da chi ha realizzato la sicurezza.

Fonte: CNIPA Quaderno 23 – Cap. 4 L’organizzazione di sicurezza delle amministrazioni


Gli standard


36

.



37

.Il Ministro:Rappresenta il vertice dell’organizzazione per la sicurezza ed ha il compito di individuare esancire l’organizzazione della sicurezza idonea al proprio dicastero.

Consigliere tecnico per la sicurezza ICT:E’ il consulente strategico del Ministro, svolge anche il ruolo di collegamento tra il Comitato e il titolare del Dicastero

Comitato per la sicurezza ICTOrgano che definisce gli obiettivi e le politiche di sicurezza delle infrastrutture tecnologiche e del patrimonio informativo gestito prevalentemente con soluzioni automatizzate. Aapprova le norme in materia di sicurezza devono essere approvate

Responsabile della Sicurezza ICTÈ il soggetto responsabile della definizione delle soluzioni tecniche ed organizzative in attuazione delle direttive impartite dal Ministro direttamente o su indicazione del Comitato per la sicurezza ICT.




38

. Responsabile del Sistema Informativo AutomatizzatoIstituito dal decreto legislativo 39/93, gli compete la pianificazione degli interventi di automazione, l’adozione delle cautele e delle misure di sicurezza, la committenza delle attività da affidare all’esterno.

Gestore Esterno (outsourcer)È il fornitore di servizi che opera sotto il controllo del responsabile dei sistemi informativi

Referente locale per la sicurezza informatica Funge da elemento di contatto verso gli organismi del Ministero e nazionali che si occupano della materia.

Computer Emergency Response Team dell’Amministrazione - CERT-AM Specifici gruppi o uffici per la prevenzione e la gestione dei problemi causati da incidenti o attacchi al sistema informatico



Codice Privacy


39

.Il decreto legislativo 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (c.d. Codice Privacy) disciplina la normativa in materia di tutela dei dati personali

Contempla l’istituzione di figure specifiche per la realizzazione e la gestione di un sistema di sicurezza indirizzato allo specifico aspetto del trattamento dei dati personali

TITOLARE

Incaricati

Responsabile del trattamento

Distribuzione dei compiti e delle responsabilità


Codice Privacy


40

.

TITOLO IV SOGGETTI CHE EFFETTUANO IL TRATTAMENTO

Art. 28 (Titolare del trattamento)

1-Quando il trattamento è effettuato da …, da una pubblica amministrazione …… titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Art. 29 (Responsabile del trattamento)

1 - Il responsabile è designato dal titolare facoltativamente. 2 - Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.


Codice Privacy


41

.

TITOLO IV SOGGETTI CHE EFFETTUANO IL TRATTAMENTO

Art. 30 (Incaricati del trattamento)

1.Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.


Codice Privacy


42

.Art. 31 (Obblighi di sicurezza) Art. 33 (Misure minime) … i titolari del trattamento sono comunque tenuti ad adottare le misure minime …..

Art. 34 (Trattamenti con strumenti elettronici) 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.


Codice Privacy


43

.Nell’ ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA

Sono indicate le Regole Tecniche per i Trattamenti con strumenti elettronici

Regola 1 - procedura di autenticazione

Regola 3 - credenziali per l’autenticazione assegnate individualmente

Regola 5 - La parola chiave è composta da almeno otto caratteri, è modificata al primo utilizzo e almeno ogni sei mesi (tre mesi per trattamento di dati sensibili e giudiziari)

Regola 16 - protezione contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale (codice maligno), mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

Regola 17 - Gli aggiornamenti periodici dei programmi a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente (6 mesi per trattamento di dati sensibili o giudiziari )


Codice Privacy


44

Nell’ ALLEGATO B - DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA

Sono indicate le Regole Tecniche per i Trattamenti con strumenti elettronici

Regola 18 - salvataggio dei dati con frequenza almeno settimanale.

Regola 19 - documento programmatico sulla sicurezza

Regola 19.1 - analisi dei rischi che incombono sui dati

Regola 19.4 - le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché

la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità


Codice dell'amministrazione digitale


45

Decreto legislativo 7 marzo 2005, n. 82 “Codice dell'amministrazione digitale.”

Articolo 51 - Sicurezza dei datiLe norme di sicurezza definite nelle regole tecniche di cui all'articolo 71 garantiscono l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non

consentito o non conforme alle finalità della raccolta..

Articolo 71 - Regole tecnicheLe regole tecniche previste nel presente codice sono dettate [omissis] in modo da garantire la coerenza tecnica con le regole tecniche sul sistema pubblico di connettività e con le regole di cui al disciplinare pubblicato in allegato B al decreto legislativo 30 giugno 2003, n. 196.


Codice dell'amministrazione digitale


46

Istituzione di SPC

Articolo 73 - Sistema pubblico di connettività (SPC)

il Sistema pubblico di connettività (SPC), al fine di assicurare il coordinamento informativo e informatico dei dati tra le amministrazioni centrali, regionali e locali e promuovere l’omogeneità nella elaborazione e trasmissione dei dati stessi, finalizzata allo scambio e diffusione delle informazioni tra le pubbliche amministrazioni e alla realizzazione di servizi integrati

l’insieme di infrastrutture tecnologiche e di regole tecniche, per lo sviluppo, la condivisione, l’integrazione e la diffusione del patrimonio informativo e dei dati della pubblica amministrazione, necessarie per assicurare l’interoperabilità di base ed evoluta e la cooperazione applicativa dei sistemi informatici e dei flussi informativi, garantendo la sicurezza, la riservatezza delle informazioni, nonché la salvaguardia e l’autonomia del patrimonio informativo di ciascuna pubblica amministrazione


Sistema Pubblico di Connettività


47

L’organizzazione del Sistema di Sicurezza del SPC, ispirata al modello proposto dall’International Standard Organisation (ISO)

Fonte: CNIPA Sistema Pubblico di connettività - Organizzazione di sicurezza


Sistema Pubblico di Connettività


48

Comitato strategico sicurezza SPCStruttura collegiale che si occupa dell’indirizzo strategico generale della sicurezza SPC

Struttura di Coordinamento di SPC (SC-SPC)indirizzo operativo e controllo sull’intero sistema, facendo in modo che vengano assicurati i

livellodi sicurezza stabiliti.

Centro di gestione della sicurezza SPC (CG-SIC)realizza la componente centrale del sistema di sicurezza distribuito SPC dedicata al

antenimento e alla verifica del livello di sicurezza minimo garantito sul SPC.

provider qualificati secondo le regole di qualità e di sicurezza definite in ambito SPC

Ogni PA dovrà rispettare i requisiti minimi di sicurezza SPC anche all’interno del proprio dominio di competenza, la sicurezza del SPC dipende dalla sicurezza di tutti i suoi componenti

Unità locale di Sicurezza SPCstruttura organizzativa in ciascun Dominio di una Pubblica Amministrazione, e per ogni

provider che gestisce gli aspetti relativi alla sicurezza dell’infrastruttura I&T connessa al SPC che si trova nel proprio dominio di amministrazione

Fonte: CNIPA Sistema Pubblico di connettività - Organizzazione di sicurezza

Indice degli argomenti MiBAC – Corso sulla Sicurezza Informatica 17/12/2008 1.Lattenzione della...

Documents

Transcript of Indice degli argomenti MiBAC – Corso sulla Sicurezza Informatica 17/12/2008 1.Lattenzione della...