Modulo 2 - Le normative in materia di sicurezza informatica.

La sicurezza informatica

Relatore : Giuseppe Morelli

Attualità

La sicurezza è un processo dinamico.

Non esistono soluzioni preconfezionate, o applicabili a tutti.

E' impossibile raggiungere la sicurezza “assoluta”, in quanto non esistono sistemi sicuri.

Occorre puntare a un grado ragionevole e adeguato di sicurezza.

Oltre alla sicurezza logica non si deve dimenticare la sicurezza fisica.

Sicurezza Informatica

Le normative in materia di sicurezza informatica /1

• Codice in materia di protezione dei dati personali Legge n. 196/2003;

• Art. 51 del CAD. - Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni;

• Art. 21 DPCM regole tecniche SPC (1 aprile 2008);

• Art. 20, comma 3, lett b) DL 83/2012;

Le normative in materia di sicurezza informatica /2

•  Decreto crescita 2.0: DL 18 ottobre 2012 n. 179

convertito nella legge 17 dicembre 2012 n. 221 Art. 33‐septies, comma 1, Consolidamento e razionalizzazione dei siti e delle infrastrutture digitali del Paese.

•  DPCM 24 gennaio 2013 GU n.66 del 19‐3‐2013 recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale.

NORMATIVA CARDINE: D.LGS. 196/2003

MISURE DI SICUREZZA

MINIME

IDONEE

Il nuovo Codice della privacy (D.Lgs. 196/2003), approvato alla fine di giugno 2003, rappresenta una vera e propria rivoluzione in questo settore.

E' un Codice “voluminoso” con i suoi 186 articoli e 3 allegati; è entrato in vigore nel primo gennaio 2004 ed è un aggiornamento sostanziale del precedente D.P.R. 318/99.

La Legge 196 del 2003

L'obiettivo fondamentale del Codice è:

§  accorpare e semplificare i numerosi provvedimenti legislativi che hanno integrato la legge 675/96 in materia di protezione dei dati personali;

§  introdurre di uno specifico disciplinare tecnico, allegato B, in materia di misure minime di sicurezza.

Obiettivi della Legge 196/03

Art. 2 della l. 196/03: finalità

Il presente testo unico, di seguito denominato “codice”, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.

Art. 4 della l. 196/03: Dato personale

È qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Art. 4 della l. 196/03: Dati sensibili

sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

Art. 4 della l. 196/03: Dati identificativi

sono i dati personali che permettono l’identificazione diretta dell’interessato;

Art. 4 della l. 196/03: Dati giudiziari

sono i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;

Art. 5 della l. 196/03: oggetto ed ambito di applicazione

Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.

Art. 31 della l. 196/03: obbligo di sicurezza

I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da

ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di

distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di

trattamento non consentito o non conforme alle finalità della raccolta.

Art. 33 della legge 196/03: misure minime

Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da

speciali disposizioni, i titolari del trattamento sono comunque tenuti ad

adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali

Inosservanza di misure minime e idonee

Inosservanza delle misure minime

Mancata adozione delle misure idonee

Sanzione penale

Responsabilità civile

Sanzioni Sono previste sanzioni amministrative e penali, per il responsabile legale dell’azienda e/o per il responsabile del trattamento dei dati e/o per chiunque, essendovi tenuto, omette di adottare le misure di sicurezza

Gli illeciti amministrativi sono regolati dagli artt. 161/164, e puniti con sanzioni da 500 Euro a 60.000 Euro.

Gli illeciti penali sono regolati dagli artt. 167/171, e puniti con grosse ammende o reclusione fino a 3 anni.

Art. 34 L. 196/03: misure minime /1

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: •  autenticazione informatica; •  adozione di procedure di gestione delle

credenziali di autenticazione; •  utilizzazione di un sistema di autorizzazione; •  aggiornamento periodico dell'individuazione

dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

Art. 34 L. 196/03: Misure minime /2

•  protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

•  adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

•  tenuta di un aggiornato documento programmatico sulla sicurezza;

•  adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Autenticazione informatica Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione

Le credenziali di autenticazione possono consistere in: §  un codice per l'identificazione dell'incaricato associato a

una parola chiave riservata; §  un dispositivo di autenticazione; §  una caratteristica biometrica dell'incaricato Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.

Autenticazione informatica Le tre tipologie di autenticazione al sistema informatico: §  in base a quello che si è (DNA, impronte

digitali, impronta vocale, schema retinico, stile della grafia…);

§  in base a quello che si ha (tesserino identificativo, badge, chiave hardware…);

§  in base a quello che conosce (password, PIN …)

Le credenziali di autentificazione §  La parola chiave (password), quando è prevista dal

sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito.

§  La password non può contenere riferimenti agevolmente riconducibili all'incaricato.

§  La password è modificata dall’incaricato al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la password è modificata almeno ogni tre mesi.

Quale password? Password VIETATE: quelle che contengano riferimenti agevolmente riconducibili all'incaricato. Password SCONSIGLIATE: quelle costituite da parole contenute in un vocabolario Gli incaricati non possono lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento! (si suggerisce di utilizzare uno screensaver protetto da password)

Lo stesso codice di autenticazione non può essere utilizzato per più di un incaricato, nemmeno in tempi diversi.

Sistema di autorizzazione Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. L'autorizzazione consente di differenziare i privilegi di accesso allo stesso sistema informatico da parte di più soggetti.

Profilo di autorizzazione = insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti

Documento Programmatico della Sicurezza (DPS) /1 Entro il 31 marzo di ogni anno deve essere compilato o aggiornato dal Titolare del trattamento il “Documento Programmatico della Sicurezza” Ø  Deve essere citato nella relazione consuntiva del

bilancio d’esercizio Ø  Deve essere conservato per presentazione in

occasione di controlli Deve contenere, al minimo : §  L’elenco dei trattamenti di dati personali §  La distribuzione delle responsabilità nella struttura

organizzativa in cui i dati vengono trattati §  L’analisi dei rischi che incombono sui dati

Documento Programmatico della Sicurezza (DPS) /2 §  Le misure già in essere e da adottare per garantire

l’integrità e la disponibilità dei dati §  La descrizione dei criteri e delle procedure per il

ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento

§  La programmazione di eventi formativi per gli incaricati §  La descrizione dei criteri da adottare in caso di dati

trattati anche da terzi, l’elenco dei terzi stessi e le modalità con cui i terzi dovranno trattare i dati

§  La descrizione delle procedure di crittazione dei dati, in caso trattasi di dati sensibili e/o giudiziari

Per la corretta compilazione www.garanteprivacy.it

In relazione ai nuovi scenari di rischio, alla crescente complessità dell'attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell ' informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.

Art. 50 Bis L. 196/03: Continuità operativa

Le pubbliche amministrazioni definiscono il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;

Art. 50 Bis L. 196/03: Piano Continuità operativa

Le pubbliche amministrazioni definiscono il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire i l funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l'innovazione.

Art. 50 Bis L. 196/03: Disaster recovery

Con le regole tecniche adottate ai sensi dell'articolo 71 sono individuate le modalità che garantiscono l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture.

1-bis. DigitPA, ai fini dell'attuazione del comma 1: •  raccorda le iniziative di prevenzione e gestione degli

incidenti di sicurezza informatici; •  promuove intese con le analoghe strutture internazionali; •  segnala al Ministro per la pubblica amministrazione e

l'innovazione il mancato rispetto delle regole tecniche di cui al comma 1 da parte delle pubbliche amministrazioni.

Art. 51 Bis L. 196/03: Sicurezza dei dati, dei sistemi e delle infrastrutture delle PA /1

I document i in fo rmat ic i de l le pubb l iche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.

2-bis. Le amministrazioni hanno l'obbligo di aggiornare tempestivamente i dati nei propri archivi, non appena vengano a conoscenza dell'inesattezza degli stessi.

Art. 51 Bis L. 196/03: Sicurezza dei dati, dei sistemi e delle infrastrutture delle PA /2

Art. 12. DPCM Sicurezza del sistema di conservazione

Nelle pubbliche amministrazioni, i l responsabile della conservazione, di concerto con il responsabile della sicurezza e, nel caso delle pubbliche amministrazioni centrali, anche con il responsabile dell’ufficio di cui all’art. 17 del Codice, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, nel rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 [MINIME E IDONEE!] del decreto legislativo 30 giugno 2003, n. 196 e dal disciplinare tecnico di cui all’allegato B del medesimo decreto, nonché in coerenza con quanto previsto dagli articoli 50-bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale.

Misure minime e misure idonee Le misure minime di sicurezza individuate nel Codice della privacy (allegato B) sono necessari ma non sufficienti per garantire una sicurezza adeguata dei dati personali, sensibili e giudiziari.

A queste misure minime è necessario affiancare delle misure idonee così come indicato anche nell'Art. 31 dove si parla di “adozione di idonee e preventive misure di sicurezza” in base al progesso tecnico.

Ad esempio i tempi di aggiornamento dei sistemi di sicurezza indicati in almeno 6 mesi nell'allegato B non sono certamente sufficienti. Nella sicurezza informatica gli aggiornamenti sono a volte giornalieri (vedi ad esempio i sistemi antivirus o antispam).

Lo stesso per i tempi di backup almeno settimanali che possono essere ridotti facilmente a tempi quotidiani grazie all'adozione di sistemi di backup automatizzati.

CONCLUSIONI Le misure minime di sicurezza non sono sufficienti per garantire realmente la privacy dei dati. La sicurezza non si ottiene semplicemente acquistando prodotti hardware o software.

E' necessario adottare una cultura della sicurezza che non si limiti agli ambiti tecnici ma anche a quelli gestionali ed operativi in qualsiasi settore.

Il nuovo Codice della privacy è solo un punto di partenza e non un punto di arrivo.

Il DPS non deve essere considerato solo un adempimento ma uno strumento per identificare le problematiche legate alla gestione globale dei dati sensibili.

“La sicurezza in un sistema informatico non è un prodotto ma un processo” Bruce Schneier

GRAZIE PER L’ATTENZIONE

Giuseppe Morelli: info@giuseppemorelli.it