Sicurezza Documentalea.a.2017/2018

DOCENTI:DOTT.SSAVALERIAFIONDA

DOTT.GIUSEPPEPIRRÒ

Organizzazione delcorso emodalità

d’esame

Calendario Didattico• Icorsiinizianoil02.10.2017eterminanoil22.12.2017.

• Lasessioneinvernalediesamivadal08.01.2018al03.03.2018.

Orario delle lezioni•Martedì11.00 – 13.00,aulaF,cubo20B,IIpiano.• Venerdí 11.00-13.00,aulaF,cubo20B,IIpiano.

•Modulo1• Lezione0:03/10/2017• Lezione1:06/10/2017• Lezione2:10/10/2017• Lezione3:13/10/2017• Lezione4:17/10/2017• Lezione5:20/10/2017• Lezione6:31/10/2017• Lezione7:03/11/2017• Lezione8:07/11/2017• Lezione9:10/11/2017• Lezione10:22/12/2017

Orario delle lezioni• Modulo2• Lezione11:14/11/2017• Lezione12:17/11/2017• Lezione13:21/11/2017• Lezione14:24/11/2017• Lezione15:28/11/2017• Lezione16:01/12/2017• Lezione17:05/12/2017• Lezione18:12/12/2017• Lezione19:15/12/2017• Lezione20:19/12/2017

Informazioni generali

• Ricevimento:ognilunedí dalle15alle16

•Paginadelcorso:www.mat.unical.it/fiondaà teachingàSicurezzaDocumentale

•Emaildocenti:fionda@mat.unical.it /valeria.fionda@unical.itpirro@icar.cnr.it

Programma delcorsoParteTeorica

• Dematerializzazione delle informazioni esicurezza informatica.• Tipidiattacchi informatici,misure esistemi disicurezza.• Normativa e Piani disicurezza• Formati digitali

PartePratica

• Robustezza dei formati dei dati• Sistemi diaccesso controllato alle informazioni• Sicurezza etutela dei dati

Materiale•Slidesfornite daldocente•Collegamenti afonti esterne sottoformadilink

Modalità d’esame•L’esame consta di:1. Esoneri svolti durante leesercitazioni:Esercizi dasvolgere

durante lelezioni e/oacasaedaconsegnare viaemail;2. Untestarisposta multipla sugli argomenti diteoria alla fine

delcorso.

Dematerializzazionedelle informazioni esicurezza informatica

Ladematerializzazione delle informazioni

Ladematerializzazione delle informazioni

Ladematerializzazione delle informazioni

Ladematerializzazione delle informazioniDematerializzazione

interfacce leggittimazione

Ivantaggi della dematerializzazione•Risparmio dicarta,energia espazio•Velocizzazione esemplificazione dell’accesso ai documenti•Accesso ai documenti svincolato dalluogo fisico•Forteriduzione dei costi legati alciclo della stampa•Semplificazione della gestione etracciabilità intemporealedei documenti•Riduzione degli errori legati aduna gestionemanuale deiprocessi

Digitalizzazione edematerializzazione

•Digitalizzazione: IMPATTOTECNOLOGICO

•Dematerializzazione:IMPATTOORGANIZZATIVO

Ildocumento Informatico•Ildocumento ANALOGICOè larappresentazioneNON“digitale”,ovvero NONinformatica,degli atti,fatti odatigiuridicamente rilevanti.

•Ildocumento INFORMATICOè larappresentazione“digitale”,ovvero informatica,degli atti,fatti odatigiuridicamente rilevanti.

Laformazione deldocumentoInformatico•DOCUMENTIINFORMATICINATIVI:Redazione tramite l’utilizzo diappositi strumenti software

Aquisizione diundocumento Informaticoperviatelematica

Aquisizione diundocumento Informaticosu supporto informatico

Aquisizione diundocumento Informaticopercopia immagine•Acquisizione della copia immagine diundocumentoanalogico

Aquisizione diundocumento Informaticoperregistrazione•Acquisizione datransazioni oprocessi informatici

Aquisizione diundocumento Informaticoperregistrazione•Dimodulieformulari compilati dall’utente

Aquisizione diundocumento Informaticopergenerazione oraggruppamento•Generazione oraggruppamento,perviaautomatica,diuninsieme didati provenienti dauna opiu basi didati

Aquisizione diundocumento Informaticopergenerazione oraggruppamento•Generazione oraggruppamento,perviaautomatica,diuninsieme didati provenienti dauna opiu basi didati

Cosa significa conservare Idocumentiinformatici

Predisporreopportune misureperlaqualità ela sicurezzadeisistemi

Proteggere nel tempogli archivi digitali

Garantire autenticità,integrità,leggibilità ereperibilità deidocumenti informatici

Consentire l’accesso ai datiperfini diricerca

principiofondamentalelasicurezza diunsistema informatico è legata• ...moltoalprocesso concuiunsistema viene gestito• pianificazione,analisi dei rischi,gestione dei sistemi,formazione delpersonale,ecc.

• ...elimitatamente ai prodotti ealle tecnologie utilizzate• firewall,antivirus,ecc.

l’importanza degli aspetti tecnologicilaconoscenzadella tecnologia è comunque importante per:• comprendere levulnerabilità equindi i rischi• adottare contromisure che siano…• Efficaci• Economiche• Scalabili•Gestibili•Usabili

perché curarelasicurezza?evitare diincorrere indanni economici• conformità alle leggi (compliance)• es.D.Lgs.196/2003• il motore principale che muove il mercato della sicurezza è lapaura• diperdite economiche• dinonconformità alle leggi vigenti

chidovrebbe badare alla sicurezza(informatica)?• Imprese•pubblica amministrazione ed enti pubblici• chiunque utilizzi sistemi informatici perscopi economicamenterilevanti• anche senonascopo dilucro!• l’università (quanto valeil sistema dipaghe estipendidell’ateneo?)• lostudente che scrive latesi (quanto valeil documento“tesi.doc”il giorno primadella consegna?)

Ilmanuale digestione documentale

Pianodisicurezza•Garantire,monitorare econtrollare lasicurezza dei sistemiinformativi asupporto delSistemadiConservazione•Minimizzare i rischi• Soddisfare i requisiti relativi alla privacyealla protezione dei datipersonali trattati dall’organizzazione

Pianosicurezza• Iltema della sicurezza informatica della PAriveste un’importanzafondamentale perché necessaria pergarantire ladisponibilità,l'integrità elariservatezza delle informazioni delSistemainformativo della Pubblica amministrazione.• Essa è inoltre direttamente collegata ai principi diprivacyprevistidall’ordinamento giuridico.

Schemapianosicurezza - Agid

Personale responsabile della sicurezza•Nel manuale è necessario definire qualepersonalesiadedicatoallasicurezzainformaticadellaconservazione,conlerelativeresponsabilità• Responsabile della Sicurezza• Responsabile della sicurezza dei sistemi perlaconservazione

Procedurediproduzione,diffusione egestione della documentazione disicurezza• Leproceduredigestionedelladocumentazionedisicurezza,riguardanoleattivitàlegateall’acquisizione,produzione,archiviazioneediffusionedelmaterialerelativoallaCertificazionedellaSicurezzadelleInformazioni.• LaGestioneDocumentaledellaSicurezzadeveprevederelaproduzionedidocumentichedebbonoessereelaboratiepubblicati,inseguitoallafasedianalisideirischi,dalResponsabiledellaConservazionecomestrumentodicondivisionedelleproceduredisicurezzaalpersonale.

Procedureperladismissione oalienazione•Regolamentazionedelleproceduredidismissioneoalienazione• proceduradicancellazionedelleinformazioni;• proceduradidistruzionedeisupportinonriscrivibiliutilizzatiperlamemorizzazionedelleinformazioni;• proceduradicancellazionesicuradaisupportiriscrivibiliutilizzatiperlamemorizzazionedelleinformazioni• proceduraditriturazionedisupporti(qualiquellicartaceieanaloghi).

Procedureperlacontinuità operativa•Descrizionedellemisureadottateagarantirelacontinuitàoperativaqualiadesempioildisaster recovery,ilbackupdelleinformazioni,gliapparatiridondati.•Rappresentazione delgrado diaffidabilità mediante indicatorispecifici (MTBF- tempomedio fra i guasti,MTTR- Tempomedio diripristino).

Politiche diSicurezza•Procedureperil controllo degli accessi fisici elogici;•Politica digestione delle postazioni dilavoro (regoleperl’installazionedelsoftwaresullepostazionidilavoro,regoleperlalimitazionedellaconnettivitàasupportiesternicomeadesempioPenDrive);•Politica digestione dei canali dicomunicazione (e.g.,qualie-mail,sistemidiinstant messaging,VoIP,internet,accessiwireless)

Gestione degli incidenti• Sidefinisce“incidentedisicurezza”qualsiasieventochecompromettaominaccidicompromettereilcorrettofunzionamentodeisistemie/odelleretidell’organizzazioneol’integritàe/olariservatezzadelleinformazioniinessememorizzateodintransito,ocheviolilepolitichedisicurezzadefiniteoleleggiinvigore• Ilprocessodigestionedegliincidentièarticolatonelleseguentifasi:• rilevazione/identificazione/classificazione• contenimento• eliminazione• ripristino• follow-up• normeISO/IEC27001:2013,ISO/IEC27007eTR101533-02.

Riferimenti NormativiCodiceCivile,articolo2215bis- Documentazioneinformatica• Ilibri,irepertori,lescrittureeladocumentazionelacuitenutaèobbligatoriaperdisposizionedileggeodiregolamentoochesonorichiestidallanaturaodalledimensionidell'impresapossonoessereformatietenuticonstrumentiinformatici.• Ilibri,irepertorielescritturetenuticonstrumentiinformatici[…]hannol'efficaciaprobatoriadicuiagliarticoli2709e2710delcodicecivile.

Riferimenti NormativiDecretodelPresidentedellaRepubblica28dicembre2000,n.445 -TestoUnicodelledisposizionilegislativeeregolamentariinmateriadidocumentazioneamministrativa

b)DOCUMENTOINFORMATICOlarappresentazioneinformaticadiatti,fattiodatigiuridicamenterilevanti;

r)SISTEMADIGESTIONEINFORMATICADEIDOCUMENTIl'insiemedellerisorsedicalcolo,degliapparati,delleretidicomunicazioneedelleprocedureinformaticheutilizzatidalleamministrazioniperlagestionedeidocumenti;

Riferimenti NormativiDecretodelPresidentedellaRepubblica28dicembre2000,n.445 -Articolo8• Ildocumentoinformaticodachiunqueformato,laregistrazionesusupportoinformaticoelatrasmissioneconstrumentitelematici,sonovalidierilevantiatuttiglieffettidilegge,seconformialledisposizionidelpresentetestounico.• Leregoletecnicheperlaformazione,latrasmissione,laconservazione,laduplicazione,lariproduzioneelavalidazione,anchetemporale,deidocumentiinformaticisonodefinitecondecretodelPresidentedelConsigliodeiMinistrisentitil'Autoritàperl'informaticanellapubblicaamministrazioneeilgaranteperlaprotezionedeidatipersonali.Essesonoadeguatealleesigenzedettatedall'evoluzionedelleconoscenzescientificheetecnologiche,concadenzaalmenobiennale.• ConilmedesimodecretodelPresidentedelConsigliodeiMinistrisonodefinitelemisuretecniche,organizzativeegestionalivolteagarantirel'integrità,ladisponibilitàelariservatezzadelleinformazioni contenuteneldocumentoinformatico

Riferimenti NormativiDecretodelPresidentedellaRepubblica28dicembre2000,n.445 -Articolo51• Lepubblicheamministrazioniprovvedonoarealizzareorevisionaresistemiinformativifinalizzatiallatotaleautomazionedellefasidiproduzione,gestione,diffusioneedutilizzazionedeipropridati,documenti,procedimentiedattiinconformità alledisposizionidelpresentetestounicoedalledisposizionidileggesullatuteladellariservatezzadeidatipersonali.

Riferimenti NormativiDecretodelPresidentedellaRepubblica28dicembre2000,n.445 -Articolo52• Ilsistemadigestioneinformaticadeidocumenti,informaabbreviata"sistema"deve:a) garantirelasicurezzael'integritàdelsistema;e) consentire,incondizionidisicurezza,l'accessoalleinformazionidelsistemadapartedei

soggettiinteressati,nelrispettodelledisposizioniinmateriadituteladellepersoneedialtrisoggettirispettoaltrattamentodeidatipersonali;

Riferimenti NormativiDecretoLegislativo30giugno2003,n.196• Codiceinmateriadiprotezionedeidatipersonali(nonvienemaiusatalaparolaprivacy)• 186articolipiù3allegatie3codicidideontologia(77pagine)• Disciplinaretecnicoinmateriadimisureminimedisicurezza(password,antivirus,disabilitazioneutenti,disaster recovery ...)• Dirittoallaprotezionedeidatipersonali• Principiodisemplificazione(“nientedipiùdiquellocheserve...”)• Principiodinecessità(“...esoloseèproprionecessario”)• Trattamentodeidati(nonnecessariamenteelettronico)• “Datopersonale”vs“Datoanonimo”• Datogiudiziario(Art4comma1letteraerichiamaaltri5DPR...)• Datosensibile(“idoneoarivelarerazza,politica,sindacato...”)

Riferimenti NormativiDecretoLegislativo30giugno2003,n.196Articolo1• Chiunquehadirittoallaprotezionedeidatipersonalicheloriguardano.Articolo3• Isistemiinformativieiprogrammiinformaticisonoconfiguratiriducendoalminimol'utilizzazionedidatipersonaliedidatiidentificativi,inmododaescluderneiltrattamentoquandolefinalitàperseguiteneisingolicasipossonoessererealizzatemediante,rispettivamente,datianonimiodopportunemodalitàchepermettanodiidentificarel'interessatosoloincasodinecessità

Riferimenti NormativiDecretoLegislativo30giugno 2003,n.196Articolo31• Idatipersonalioggettoditrattamentosonocustoditiecontrollati,anche inrelazionealleconoscenzeacquisite inbasealprogressotecnico,allanaturadeidatiealle specifichecaratteristiche deltrattamento,inmododaridurrealminimo,mediantel'adozionediidoneeepreventivemisuredisicurezza,irischididistruzioneoperdita,ancheaccidentale,deidatistessi,diaccessononautorizzatooditrattamentononconsentitoononconformealle finalitàdella raccolta.

Articolo34• Iltrattamentodidatipersonalieffettuatoconstrumentielettronici èconsentitosolosesonoadottate[…] leseguentimisureminime:

a)autenticazione informatica;b)adozionediproceduredigestionedelle credenziali diautenticazione;c)utilizzazionediunsistemadiautorizzazione;d)aggiornamentoperiodicodell'individuazione dell'ambito deltrattamentoconsentitoaisingoliincaricatieaddettiallagestioneoallamanutenzionedegli strumentielettronici;

e)protezionedegli strumentielettronici edeidatirispettoatrattamentiilleciti didati,adaccessinonconsentitieadeterminati programmiinformatici;

f)adozionediprocedureperlacustodiadicopiedisicurezza,ilripristinodelladisponibilitàdeidatiedeisistemi;

g)[soppressa](1);h)adozioneditecnichedicifraturaodicodici identificativiperdeterminati trattamentididatiidoneiarivelare lostatodisaluteolavitasessualeeffettuatidaorganismisanitari.

Riferimenti NormativiDecretoLegislativo7marzo2005n.82Articolo14-bis• L'Agenziaperl'ItaliaDigitale(AgID)èprepostaallarealizzazionedegliobiettividell'AgendaDigitaleItaliana,incoerenzacongliindirizzidettatidalPresidentedelConsigliodeiministriodalMinistrodelegato,econl'Agendadigitaleeuropea.AgID,inparticolare,promuovel'innovazionedigitalenelPaeseel'utilizzodelletecnologiedigitalinell'organizzazionedellapubblicaamministrazioneenelrapportotraquesta,icittadinieleimprese,nelrispettodeiprincipidilegalità, imparzialitàetrasparenzaesecondocriteridiefficienza,economicitàedefficacia.Essaprestalapropriacollaborazionealleistituzioni dell'Unioneeuropeaesvolgeicompitinecessariperl'adempimentodegliobblighiinternazionaliassuntidalloStatonellemateriedicompetenza.• AgID svolgelefunzionidi:

a)emanazionediregole,standardeguidetecniche,nonchédivigilanzaecontrollosulrispettodellenormedicuialpresenteCodice,ancheattraversol'adozionediattiamministrativigenerali,inmateriadiagendadigitale,digitalizzazionedellapubblicaamministrazione,sicurezzainformatica,interoperabilitàecooperazioneapplicativatrasistemi informaticipubbliciequellidell'Unioneeuropea;

[…]

Riferimenti NormativiDecretoLegislativo7marzo2005n.82Articolo44• Ilsistemadi gestioneinformaticae conservazionedeidocumentiinformatici dellapubblicaamministrazione assicura.a) l'identificazione certadelsoggettochehaformatoildocumentoedell'amministrazioneo

dell'areaorganizzativaomogeneadiriferimentodicuiall'articolo50,comma4,deldecretodelPresidentedellaRepubblica28dicembre2000,n.445;

b) lasicurezzael'integritàdelsistemaedeidatiedocumentipresenti;f) l'accesso,incondizionidisicurezza,alleinformazionidelsistema,nelrispettodelle

disposizioniinmateriadituteladeidatipersonali;i) l'accessoremoto,incondizionidisicurezza,aidocumentieallerelativeinformazionidi

registrazionetramiteunidentificativounivoco;

Riferimenti NormativiDecretodelPresidentedelConsigliodeiMinistri3dicembre2013-RegoletecnicheinmateriadisistemadiconservazioneaisensidelDecretoLegislativon.82del2005;Art7• Ilsistemadiprotocolloinformaticoassicura:a) l’univocaidentificazioneedautenticazionedegliutenti;b) laprotezionedelle informazioni relativeaciascunutenteneiconfrontideglialtri;c) lagaranziadiaccessoallerisorseesclusivamente agliutentiabilitati;d) laregistrazionedelleattivitàrilevantiaifinidellasicurezzasvoltedaciascunutente,inmodo

taledagarantirnel’identificazione.• Ilsistemadiprotocolloinformaticodeveconsentireilcontrollodifferenziatodell’accesso allerisorsedelsistemaperciascunutenteogruppodiutenti.• Ilsistemadiprotocolloinformaticodeveconsentireiltracciamento diqualsiasieventodimodificadelleinformazionitrattateel’individuazionedelsuoautore.

obiettivi della sicurezza•confidenzialità oriservatezza osegretezza•dati letti solodachiè “autorizzato”•Integrità• dei dati:i dati nonsono stati modificati inmaniera incontrollata• dell’origine:l’origine dei dati è certa• dei sistemi:noncompromissione

•Disponibilità•dati oservizi sono disponibili peraccesso/uso