Upload
bice-del-prete
View
214
Download
1
Embed Size (px)
Citation preview
19/02/2004
the new value builder
Elisabetta Codarin – Security ConsultantRisk Analysis and Management Area – CryptoNet [email protected]
““Misure minime di sicurezza:Misure minime di sicurezza:adempimenti tecnici e organizzativi”adempimenti tecnici e organizzativi”
19/02/2004
the new value builder
Le misure minimeIl disciplinare tecnico
I tempi per l’adeguamento
19/02/2004
the new value builder
Necessità di sicurezzaNecessità di sicurezza
“I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta” (cfr. art. 31)
“Nel quadro dei più generali obblighi di sicurezza di cui all’art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.”
(cfr. art. 33)
MISURE DI SICUREZZA
Responsabilità civile Responsabilità penale
19/02/2004
the new value builder
a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;h) adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Misure Minime di Sicurezza (1)Misure Minime di Sicurezza (1)Trattamenti con strumenti elettronici (Art. 34)
19/02/2004
the new value builder
Misure Minime di Sicurezza (2)Misure Minime di Sicurezza (2)Trattamenti senza strumenti elettronici (Art. 35)
a) Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative
b) Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti
c) Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e discipilina delle modalità di accesso finalizzata all’identificazione degli incaricati
Istituzionalizzazione dell’obbligo di formalizzare le procedure interne anche per i trattamenti manuali
19/02/2004
the new value builder
Le misure minimeIl disciplinare tecnico
I tempi per l’adeguamento
19/02/2004
the new value builder
Sistema di autenticazione informatica:Sistema di autenticazione informatica:metodi per l’autenticazionemetodi per l’autenticazione
Token (+ user name/ password)
Caratteristica biometrica (+ user name/ password)
User name+ password
19/02/2004
the new value builder
Sistema di autenticazione informatica:Sistema di autenticazione informatica:la gestione degli account e dei tokenla gestione degli account e dei token
univoco non riutilizzabile disattivabile procedure di gestione
conservazione diligente procedure di gestione
ACCOUNT
TOKEN
19/02/2004
the new value builder
Sistema di autenticazione informatica:Sistema di autenticazione informatica: la gestione delle password/1la gestione delle password/1
minimo 8 caratteri (o il massimo consentito se inferiore)
non deve contenere riferimenti all’utente modificabile dall’utente al primo utilizzo
obbligo di modifica almeno ogni 6 mesi (3 mesi se a protezione di dati sensibili)
custodia diligente e mantenimento della segretezza
19/02/2004
the new value builder
Sistema di autenticazione informatica:Sistema di autenticazione informatica:la gestione delle password/2la gestione delle password/2
maggior frequenza nella sostituzione
non riusabilità
lunghezza maggiore
prevedere l’utilizzo di lettere, numeri, caratteri alfanumerici
discriminare tra maiuscole e minuscole
non utilizzare vocaboli presenti nei dizionari
non utilizzare sequenze ovvie sulla tastiera (es. qwerty, 123456)
utilizzare passphrase (es. TUP:DIL2M = “testo unico privacy: dobbiamo implementare le misure minime”)
stabilire un limite ai tentativi di accesso
procedure di gestione sia per gli utenti che per gli amministratori
19/02/2004
the new value builder
Sistema di autorizzazioneSistema di autorizzazione
Garantire l’accesso ad applicazioni e/o dati in base alle caratteristiche dell’utente
Profili di autorizzazione per
singolo utente
Profili di autorizzazione per
gruppi di utenti
19/02/2004
the new value builder
Sistema di autorizzazione:Sistema di autorizzazione:due approccidue approcci
Gestione decentralizzata:Gestione decentralizzata:
crea autorizzazioni per ogni singola piattaforma
sfrutta le funzionalità delle piattaforme per definire i privilegi
non richiede introduzione di altro software
difficoltà di gestione (molti elenchi di privilegi, rischio di creare conflitti di privilegi)
Gestione centralizzata:Gestione centralizzata:
un unico elenco di privilegi valido per tutte le piattaforme
richiede l’introduzione di nuovo software
tre modalità di implementazione: directory LDAP, single sign-on, provisioning
19/02/2004
the new value builder
User-id
Password
Sistema di autorizzazione:Sistema di autorizzazione:gestione centralizzata/ directory LDAPgestione centralizzata/ directory LDAP
Postazione utente
Directory LDAP
Contabilità clienti
Paghe
********
Elisa:Paghe NOC. Clienti SI
Elisa:Paghe NOC. Clienti SI
Accessonegato
Accessoconcesso
ELISA
User-id
Password
ELISA
********
19/02/2004
the new value builder
Sistema di autorizzazione:Sistema di autorizzazione:gestione centralizzata/single sign-ongestione centralizzata/single sign-on
Postazione utente
Autenticazione a SSO
User-idPassword
SSO Server
ELISA
********
Elisa:Paghe NOC. Clienti SIC. Fornitori SIBanche SI
Elisa:Paghe NOC. Clienti SIC. Fornitori SIBanche SI
Paghe
Contabilità clienti
X Contabilità fornitori
Banche
19/02/2004
the new value builder
Sistema di autorizzazione:Sistema di autorizzazione:gestione centralizzata/provisioninggestione centralizzata/provisioning
Elisa:Div. Contabilità
Elisa:Div. Contabilità
Div. Contabilità:Paghe NOCont. Clienti SI t. Fornitori SI
Div. Contabilità:Paghe NOCont. Clienti SI t. Fornitori SI
Paghe
Contabilità clienti
Server provisioning
XPostazione utente
User-id
Password
User-id
Password
ELISA
ELISA
********
********
19/02/2004
the new value builder
Altre misure di sicurezza:Altre misure di sicurezza:verifica dell’elenco dei manutentoriverifica dell’elenco dei manutentori
Necessità di verificare almeno annualmente l’elenco degli incaricati alla gestione e alla manutenzione dei sistemi informativi
19/02/2004
the new value builder
Altre misure di sicurezza:Altre misure di sicurezza:protezione da intrusioniprotezione da intrusioni
Protezione da intrusione e da sw dannoso
ANTIVIRUSFIREWALL
IDS
Aggiornamento almeno semestrale
19/02/2004
the new value builder
Altre misure di sicurezza:Altre misure di sicurezza:aggiornamentiaggiornamenti
Aggiornamento periodico di programmi e sistemi operativi
SEMESTRALE per dati sensibili o giudiziari
ANNUALE per gli altri dati
19/02/2004
the new value builder
Altre misure di sicurezza:Altre misure di sicurezza:back-up e disaster recoveryback-up e disaster recovery
Back-upBack-up
almeno settimanale
istruzioni organizzative
istruzioni tecniche
coordinato ad un piano di disaster recovery
Disaster recoveryDisaster recovery
obbligatorio per dati sensibili e giudiziari, utile per tutti
ripristino dei dati entro 7 gg
può essere integrato da un piano di business continuity
19/02/2004
the new value builder
Documento programmatico sulla sicurezzaDocumento programmatico sulla sicurezza
Obbligatorio per chi tratta dati sensibili o giudiziari.
Da redigere ed aggiornare entro il 31 marzo di ogni anno.
Elenco dei trattamenti di dati personali
Distribuzione dei compiti e delle responsabilità
Analisi dei rischi che incombono sui dati
Misure per garantire integrità, disponibilità dei dati, protezione delle aree, dei locali
Criteri e modalità per il ripristino della disponibilità dei dati
Previsione di interventi formativi
Criteri per misure minime in caso di trattamenti di dati affidati all’esterno
Criteri per la cifratura/separazione dei dati sensibili dagli altri
19/02/2004
the new value builder
Ulteriori misure per iltrattamento di dati sensibili o giudiziari:Ulteriori misure per iltrattamento di dati sensibili o giudiziari:uso di supporti rimovibiliuso di supporti rimovibili
Uso dei supporti rimovibili
Istruzioni per uso e custodia
Istruzioni per il riutilizzo / la distruzione
19/02/2004
the new value builder
Ulteriori misure per il trattamento di dati sensibili o giudiziari:Ulteriori misure per il trattamento di dati sensibili o giudiziari:norme per i dati sanitarinorme per i dati sanitari
i dati sanitari sono trattati in modo da poter essere separati dagli altri dati dell’interessato
i dati relativi all’identità genetica sono trattati in appositi locali, da addetti autorizzati
i dati relativi all’identità genetica se trasferiti in formato cartaceo sono posti in contenitori dotati di serratura, se in formato elettronico sono cifrati
19/02/2004
the new value builder
Misure di tutela e garanziaMisure di tutela e garanzia
Dichiarazione di conformità alle disposizioni del TUP per gli installatori di dispositivi che soddisfano le misure minime
system integrator
software house
19/02/2004
the new value builder
Le misure minimeIl disciplinare tecnico
I tempi per l’adeguamento
19/02/2004
the new value builder
I tempi per l’adeguamentoI tempi per l’adeguamento
31 marzo: redazione del DPS
30 giugno 2004: introduzione delle nuove misure minime
1 gennaio 2005: adeguamento mezzi e nuove misure minime per chi richiederà la propoga entro il 30 giugno 2004