Embed Size (px)
Citation preview
Sicurezza Documentalea.a.2017/2018
DOCENTI:DOTT.SSAVALERIAFIONDA
DOTT.GIUSEPPEPIRRÒ
Organizzazione delcorso emodalità
d’esame
Calendario Didattico• Icorsiinizianoil02.10.2017eterminanoil22.12.2017.
• Lasessioneinvernalediesamivadal08.01.2018al03.03.2018.
Orario delle lezioni•Martedì11.00 – 13.00,aulaF,cubo20B,IIpiano.• Venerdí 11.00-13.00,aulaF,cubo20B,IIpiano.
•Modulo1• Lezione0:03/10/2017• Lezione1:06/10/2017• Lezione2:10/10/2017• Lezione3:13/10/2017• Lezione4:17/10/2017• Lezione5:20/10/2017• Lezione6:31/10/2017• Lezione7:03/11/2017• Lezione8:07/11/2017• Lezione9:10/11/2017• Lezione10:22/12/2017
Orario delle lezioni• Modulo2• Lezione11:14/11/2017• Lezione12:17/11/2017• Lezione13:21/11/2017• Lezione14:24/11/2017• Lezione15:28/11/2017• Lezione16:01/12/2017• Lezione17:05/12/2017• Lezione18:12/12/2017• Lezione19:15/12/2017• Lezione20:19/12/2017
Informazioni generali
• Ricevimento:ognilunedí dalle15alle16
•Paginadelcorso:www.mat.unical.it/fiondaà teachingàSicurezzaDocumentale
•Emaildocenti:[email protected] /[email protected]@icar.cnr.it
Programma delcorsoParteTeorica
• Dematerializzazione delle informazioni esicurezza informatica.• Tipidiattacchi informatici,misure esistemi disicurezza.• Normativa e Piani disicurezza• Formati digitali
PartePratica
• Robustezza dei formati dei dati• Sistemi diaccesso controllato alle informazioni• Sicurezza etutela dei dati
Materiale•Slidesfornite daldocente•Collegamenti afonti esterne sottoformadilink
Modalità d’esame•L’esame consta di:1. Esoneri svolti durante leesercitazioni:Esercizi dasvolgere
durante lelezioni e/oacasaedaconsegnare viaemail;2. Untestarisposta multipla sugli argomenti diteoria alla fine
delcorso.
Dematerializzazionedelle informazioni esicurezza informatica
Ladematerializzazione delle informazioni
Ladematerializzazione delle informazioni
Ladematerializzazione delle informazioni
Ladematerializzazione delle informazioniDematerializzazione
interfacce leggittimazione
Ivantaggi della dematerializzazione•Risparmio dicarta,energia espazio•Velocizzazione esemplificazione dell’accesso ai documenti•Accesso ai documenti svincolato dalluogo fisico•Forteriduzione dei costi legati alciclo della stampa•Semplificazione della gestione etracciabilità intemporealedei documenti•Riduzione degli errori legati aduna gestionemanuale deiprocessi
Digitalizzazione edematerializzazione
•Digitalizzazione: IMPATTOTECNOLOGICO
•Dematerializzazione:IMPATTOORGANIZZATIVO
Ildocumento Informatico•Ildocumento ANALOGICOè larappresentazioneNON“digitale”,ovvero NONinformatica,degli atti,fatti odatigiuridicamente rilevanti.
•Ildocumento INFORMATICOè larappresentazione“digitale”,ovvero informatica,degli atti,fatti odatigiuridicamente rilevanti.
Laformazione deldocumentoInformatico•DOCUMENTIINFORMATICINATIVI:Redazione tramite l’utilizzo diappositi strumenti software
Aquisizione diundocumento Informaticoperviatelematica
Aquisizione diundocumento Informaticosu supporto informatico
Aquisizione diundocumento Informaticopercopia immagine•Acquisizione della copia immagine diundocumentoanalogico
Aquisizione diundocumento Informaticoperregistrazione•Acquisizione datransazioni oprocessi informatici
Aquisizione diundocumento Informaticoperregistrazione•Dimodulieformulari compilati dall’utente
Aquisizione diundocumento Informaticopergenerazione oraggruppamento•Generazione oraggruppamento,perviaautomatica,diuninsieme didati provenienti dauna opiu basi didati
Aquisizione diundocumento Informaticopergenerazione oraggruppamento•Generazione oraggruppamento,perviaautomatica,diuninsieme didati provenienti dauna opiu basi didati
Cosa significa conservare Idocumentiinformatici
Predisporreopportune misureperlaqualità ela sicurezzadeisistemi
Proteggere nel tempogli archivi digitali
Garantire autenticità,integrità,leggibilità ereperibilità deidocumenti informatici
Consentire l’accesso ai datiperfini diricerca
principiofondamentalelasicurezza diunsistema informatico è legata• ...moltoalprocesso concuiunsistema viene gestito• pianificazione,analisi dei rischi,gestione dei sistemi,formazione delpersonale,ecc.
• ...elimitatamente ai prodotti ealle tecnologie utilizzate• firewall,antivirus,ecc.
l’importanza degli aspetti tecnologicilaconoscenzadella tecnologia è comunque importante per:• comprendere levulnerabilità equindi i rischi• adottare contromisure che siano…• Efficaci• Economiche• Scalabili•Gestibili•Usabili
perché curarelasicurezza?evitare diincorrere indanni economici• conformità alle leggi (compliance)• es.D.Lgs.196/2003• il motore principale che muove il mercato della sicurezza è lapaura• diperdite economiche• dinonconformità alle leggi vigenti
chidovrebbe badare alla sicurezza(informatica)?• Imprese•pubblica amministrazione ed enti pubblici• chiunque utilizzi sistemi informatici perscopi economicamenterilevanti• anche senonascopo dilucro!• l’università (quanto valeil sistema dipaghe estipendidell’ateneo?)• lostudente che scrive latesi (quanto valeil documento“tesi.doc”il giorno primadella consegna?)
Ilmanuale digestione documentale
Pianodisicurezza•Garantire,monitorare econtrollare lasicurezza dei sistemiinformativi asupporto delSistemadiConservazione•Minimizzare i rischi• Soddisfare i requisiti relativi alla privacyealla protezione dei datipersonali trattati dall’organizzazione
Pianosicurezza• Iltema della sicurezza informatica della PAriveste un’importanzafondamentale perché necessaria pergarantire ladisponibilità,l'integrità elariservatezza delle informazioni delSistemainformativo della Pubblica amministrazione.• Essa è inoltre direttamente collegata ai principi diprivacyprevistidall’ordinamento giuridico.
Schemapianosicurezza - Agid
Personale responsabile della sicurezza•Nel manuale è necessario definire qualepersonalesiadedicatoallasicurezzainformaticadellaconservazione,conlerelativeresponsabilità• Responsabile della Sicurezza• Responsabile della sicurezza dei sistemi perlaconservazione
Procedurediproduzione,diffusione egestione della documentazione disicurezza• Leproceduredigestionedelladocumentazionedisicurezza,riguardanoleattivitàlegateall’acquisizione,produzione,archiviazioneediffusionedelmaterialerelativoallaCertificazionedellaSicurezzadelleInformazioni.• LaGestioneDocumentaledellaSicurezzadeveprevederelaproduzionedidocumentichedebbonoessereelaboratiepubblicati,inseguitoallafasedianalisideirischi,dalResponsabiledellaConservazionecomestrumentodicondivisionedelleproceduredisicurezzaalpersonale.
Procedureperladismissione oalienazione•Regolamentazionedelleproceduredidismissioneoalienazione• proceduradicancellazionedelleinformazioni;• proceduradidistruzionedeisupportinonriscrivibiliutilizzatiperlamemorizzazionedelleinformazioni;• proceduradicancellazionesicuradaisupportiriscrivibiliutilizzatiperlamemorizzazionedelleinformazioni• proceduraditriturazionedisupporti(qualiquellicartaceieanaloghi).
Procedureperlacontinuità operativa•Descrizionedellemisureadottateagarantirelacontinuitàoperativaqualiadesempioildisaster recovery,ilbackupdelleinformazioni,gliapparatiridondati.•Rappresentazione delgrado diaffidabilità mediante indicatorispecifici (MTBF- tempomedio fra i guasti,MTTR- Tempomedio diripristino).
Politiche diSicurezza•Procedureperil controllo degli accessi fisici elogici;•Politica digestione delle postazioni dilavoro (regoleperl’installazionedelsoftwaresullepostazionidilavoro,regoleperlalimitazionedellaconnettivitàasupportiesternicomeadesempioPenDrive);•Politica digestione dei canali dicomunicazione (e.g.,qualie-mail,sistemidiinstant messaging,VoIP,internet,accessiwireless)
Gestione degli incidenti• Sidefinisce“incidentedisicurezza”qualsiasieventochecompromettaominaccidicompromettereilcorrettofunzionamentodeisistemie/odelleretidell’organizzazioneol’integritàe/olariservatezzadelleinformazioniinessememorizzateodintransito,ocheviolilepolitichedisicurezzadefiniteoleleggiinvigore• Ilprocessodigestionedegliincidentièarticolatonelleseguentifasi:• rilevazione/identificazione/classificazione• contenimento• eliminazione• ripristino• follow-up• normeISO/IEC27001:2013,ISO/IEC27007eTR101533-02.
Riferimenti NormativiCodiceCivile,articolo2215bis- Documentazioneinformatica• Ilibri,irepertori,lescrittureeladocumentazionelacuitenutaèobbligatoriaperdisposizionedileggeodiregolamentoochesonorichiestidallanaturaodalledimensionidell'impresapossonoessereformatietenuticonstrumentiinformatici.• Ilibri,irepertorielescritturetenuticonstrumentiinformatici[…]hannol'efficaciaprobatoriadicuiagliarticoli2709e2710delcodicecivile.
Riferimenti NormativiDecretodelPresidentedellaRepubblica28dicembre2000,n.445 -TestoUnicodelledisposizionilegislativeeregolamentariinmateriadidocumentazioneamministrativa
b)DOCUMENTOINFORMATICOlarappresentazioneinformaticadiatti,fattiodatigiuridicamenterilevanti;
r)SISTEMADIGESTIONEINFORMATICADEIDOCUMENTIl'insiemedellerisorsedicalcolo,degliapparati,delleretidicomunicazioneedelleprocedureinformaticheutilizzatidalleamministrazioniperlagestionedeidocumenti;
Riferimenti NormativiDecretodelPresidentedellaRepubblica28dicembre2000,n.445 -Articolo8• Ildocumentoinformaticodachiunqueformato,laregistrazionesusupportoinformaticoelatrasmissioneconstrumentitelematici,sonovalidierilevantiatuttiglieffettidilegge,seconformialledisposizionidelpresentetestounico.• Leregoletecnicheperlaformazione,latrasmissione,laconservazione,laduplicazione,lariproduzioneelavalidazione,anchetemporale,deidocumentiinformaticisonodefinitecondecretodelPresidentedelConsigliodeiMinistrisentitil'Autoritàperl'informaticanellapubblicaamministrazioneeilgaranteperlaprotezionedeidatipersonali.Essesonoadeguatealleesigenzedettatedall'evoluzionedelleconoscenzescientificheetecnologiche,concadenzaalmenobiennale.• ConilmedesimodecretodelPresidentedelConsigliodeiMinistrisonodefinitelemisuretecniche,organizzativeegestionalivolteagarantirel'integrità,ladisponibilitàelariservatezzadelleinformazioni contenuteneldocumentoinformatico
Riferimenti NormativiDecretodelPresidentedellaRepubblica28dicembre2000,n.445 -Articolo51• Lepubblicheamministrazioniprovvedonoarealizzareorevisionaresistemiinformativifinalizzatiallatotaleautomazionedellefasidiproduzione,gestione,diffusioneedutilizzazionedeipropridati,documenti,procedimentiedattiinconformità alledisposizionidelpresentetestounicoedalledisposizionidileggesullatuteladellariservatezzadeidatipersonali.
Riferimenti NormativiDecretodelPresidentedellaRepubblica28dicembre2000,n.445 -Articolo52• Ilsistemadigestioneinformaticadeidocumenti,informaabbreviata"sistema"deve:a) garantirelasicurezzael'integritàdelsistema;e) consentire,incondizionidisicurezza,l'accessoalleinformazionidelsistemadapartedei
soggettiinteressati,nelrispettodelledisposizioniinmateriadituteladellepersoneedialtrisoggettirispettoaltrattamentodeidatipersonali;
Riferimenti NormativiDecretoLegislativo30giugno2003,n.196• Codiceinmateriadiprotezionedeidatipersonali(nonvienemaiusatalaparolaprivacy)• 186articolipiù3allegatie3codicidideontologia(77pagine)• Disciplinaretecnicoinmateriadimisureminimedisicurezza(password,antivirus,disabilitazioneutenti,disaster recovery ...)• Dirittoallaprotezionedeidatipersonali• Principiodisemplificazione(“nientedipiùdiquellocheserve...”)• Principiodinecessità(“...esoloseèproprionecessario”)• Trattamentodeidati(nonnecessariamenteelettronico)• “Datopersonale”vs“Datoanonimo”• Datogiudiziario(Art4comma1letteraerichiamaaltri5DPR...)• Datosensibile(“idoneoarivelarerazza,politica,sindacato...”)
Riferimenti NormativiDecretoLegislativo30giugno2003,n.196Articolo1• Chiunquehadirittoallaprotezionedeidatipersonalicheloriguardano.Articolo3• Isistemiinformativieiprogrammiinformaticisonoconfiguratiriducendoalminimol'utilizzazionedidatipersonaliedidatiidentificativi,inmododaescluderneiltrattamentoquandolefinalitàperseguiteneisingolicasipossonoessererealizzatemediante,rispettivamente,datianonimiodopportunemodalitàchepermettanodiidentificarel'interessatosoloincasodinecessità
Riferimenti NormativiDecretoLegislativo30giugno 2003,n.196Articolo31• Idatipersonalioggettoditrattamentosonocustoditiecontrollati,anche inrelazionealleconoscenzeacquisite inbasealprogressotecnico,allanaturadeidatiealle specifichecaratteristiche deltrattamento,inmododaridurrealminimo,mediantel'adozionediidoneeepreventivemisuredisicurezza,irischididistruzioneoperdita,ancheaccidentale,deidatistessi,diaccessononautorizzatooditrattamentononconsentitoononconformealle finalitàdella raccolta.
Articolo34• Iltrattamentodidatipersonalieffettuatoconstrumentielettronici èconsentitosolosesonoadottate[…] leseguentimisureminime:
a)autenticazione informatica;b)adozionediproceduredigestionedelle credenziali diautenticazione;c)utilizzazionediunsistemadiautorizzazione;d)aggiornamentoperiodicodell'individuazione dell'ambito deltrattamentoconsentitoaisingoliincaricatieaddettiallagestioneoallamanutenzionedegli strumentielettronici;
e)protezionedegli strumentielettronici edeidatirispettoatrattamentiilleciti didati,adaccessinonconsentitieadeterminati programmiinformatici;
f)adozionediprocedureperlacustodiadicopiedisicurezza,ilripristinodelladisponibilitàdeidatiedeisistemi;
g)[soppressa](1);h)adozioneditecnichedicifraturaodicodici identificativiperdeterminati trattamentididatiidoneiarivelare lostatodisaluteolavitasessualeeffettuatidaorganismisanitari.
Riferimenti NormativiDecretoLegislativo7marzo2005n.82Articolo14-bis• L'Agenziaperl'ItaliaDigitale(AgID)èprepostaallarealizzazionedegliobiettividell'AgendaDigitaleItaliana,incoerenzacongliindirizzidettatidalPresidentedelConsigliodeiministriodalMinistrodelegato,econl'Agendadigitaleeuropea.AgID,inparticolare,promuovel'innovazionedigitalenelPaeseel'utilizzodelletecnologiedigitalinell'organizzazionedellapubblicaamministrazioneenelrapportotraquesta,icittadinieleimprese,nelrispettodeiprincipidilegalità, imparzialitàetrasparenzaesecondocriteridiefficienza,economicitàedefficacia.Essaprestalapropriacollaborazionealleistituzioni dell'Unioneeuropeaesvolgeicompitinecessariperl'adempimentodegliobblighiinternazionaliassuntidalloStatonellemateriedicompetenza.• AgID svolgelefunzionidi:
a)emanazionediregole,standardeguidetecniche,nonchédivigilanzaecontrollosulrispettodellenormedicuialpresenteCodice,ancheattraversol'adozionediattiamministrativigenerali,inmateriadiagendadigitale,digitalizzazionedellapubblicaamministrazione,sicurezzainformatica,interoperabilitàecooperazioneapplicativatrasistemi informaticipubbliciequellidell'Unioneeuropea;
[…]
Riferimenti NormativiDecretoLegislativo7marzo2005n.82Articolo44• Ilsistemadi gestioneinformaticae conservazionedeidocumentiinformatici dellapubblicaamministrazione assicura.a) l'identificazione certadelsoggettochehaformatoildocumentoedell'amministrazioneo
dell'areaorganizzativaomogeneadiriferimentodicuiall'articolo50,comma4,deldecretodelPresidentedellaRepubblica28dicembre2000,n.445;
b) lasicurezzael'integritàdelsistemaedeidatiedocumentipresenti;f) l'accesso,incondizionidisicurezza,alleinformazionidelsistema,nelrispettodelle
disposizioniinmateriadituteladeidatipersonali;i) l'accessoremoto,incondizionidisicurezza,aidocumentieallerelativeinformazionidi
registrazionetramiteunidentificativounivoco;
Riferimenti NormativiDecretodelPresidentedelConsigliodeiMinistri3dicembre2013-RegoletecnicheinmateriadisistemadiconservazioneaisensidelDecretoLegislativon.82del2005;Art7• Ilsistemadiprotocolloinformaticoassicura:a) l’univocaidentificazioneedautenticazionedegliutenti;b) laprotezionedelle informazioni relativeaciascunutenteneiconfrontideglialtri;c) lagaranziadiaccessoallerisorseesclusivamente agliutentiabilitati;d) laregistrazionedelleattivitàrilevantiaifinidellasicurezzasvoltedaciascunutente,inmodo
taledagarantirnel’identificazione.• Ilsistemadiprotocolloinformaticodeveconsentireilcontrollodifferenziatodell’accesso allerisorsedelsistemaperciascunutenteogruppodiutenti.• Ilsistemadiprotocolloinformaticodeveconsentireiltracciamento diqualsiasieventodimodificadelleinformazionitrattateel’individuazionedelsuoautore.
obiettivi della sicurezza•confidenzialità oriservatezza osegretezza•dati letti solodachiè “autorizzato”•Integrità• dei dati:i dati nonsono stati modificati inmaniera incontrollata• dell’origine:l’origine dei dati è certa• dei sistemi:noncompromissione
•Disponibilità•dati oservizi sono disponibili peraccesso/uso
