L’applicazione del Disciplinare Tecnico della
196 alla luce degli standard ISO sulla sicurezza
Ing. Enrico Fontana
Ing. Andrea Praitano
Ing. Giuseppe G. Zorzino
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
• La 196 e gli obblighi per i titolari
• L’autorizzazione n°4 del Garante per i professionisti
• Gli obblighi della 196 per i trattamenti elettronici
• Le modalità semplificate di applicazione del disciplinare tecnico
• La famiglia di standard ISO/IEC 27000
• Il DPS, e i documenti obbligatori della ISO 27001
• Quadro normativo (cogenza) vs sistema di certificazione (volontario)
• Confronto tra framework
Agenda
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Presentazione relatore – Enrico Fontana
• IT System Analyst
Ospedale Pediatrico Bambino Gesù Servizio
Sistemi Informativi e Telematici
• Specializzando in ―Gestione e Organizzazione
delle Aziende e dei Servizi Sanitari‖ – Università
Cattolica Roma – Policlinico Gemelli
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Il D.Lgs 196/2003
È il codice in materia di protezione dei dati personali, impropriamente
detto testo unico sulla privacy
DATI PERSONALIDATI SENSIBILI
DATI GIURIDICI
D.Lgs. 196/2003 allegato BCodice in materia di protezione dei dati personali Disciplinare tecnico in
materia di misure minime di sicurezza
Specifica i trattamenti con strumenti elettronici e non, che il titolare, il
responsabile (se presente) e l’incaricato devono rispettare
GLI ATTORI:
• Titolare
• Responsabile
• Incaricato
• Interessato
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Quali sono i DATI PERSONALI?
Sono tutte le informazioni relative a persone fisiche o giuridiche, oppure enti ed associazioni, che consentano l’identificazione diretta o indiretta di questi stessi soggetti(art. 4, comma 1, lettere b e c)
DIRETTA
INDIRETTA
• NOME E COGNOME
• RAGIONE O DENOMINAZIONE SOCIALE
• CODICE FISCALE
• FOTOGRAFIA
• REGISTRAZIONE VIDEO O SONORA
• CODICE IDENTIFICATIVO
• NUMERO DI MATRICOLA
Dati Personali
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Quali sono i DATI SENSIBILI?
È considerato dato sensibile qualsiasi informazione (art. 4, comma 1, lettera d) che riveli:
L’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché tutti i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
• Consenso scritto dell’interessato e autorizzazione del Garante
• Misure di sicurezza aggiuntive e più forti
Condizioni per il trattamento (non per enti pubblici):
Dati Sensibili
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
• Art.3, comma 1, lettere da a) a o) e da r) a u) del D.P.R 313/2002 in materia di casellario giudiziale,
• Anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti,
• La qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del codice di procedura penale.
Quali sono i DATI GIUDIZIARI?
Sono una categoria di dati personali, idonei a rivelare i provvedimenti di cui (art. 4, comma 1, lettera e):
Dati Giudiziari
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Trattamento con Strumenti Elettronici
Presenza di un sistema di autenticazione e di credenziali per l’autenticazione
• User name / password
• Smart card / PIN
• Caratteristica biometrica
Agli incaricati sono impartite indicazioni scritte
per la necessaria riservatezza delle credenziali
Può essere presente un sistema di autorizzazione
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Altre misure di sicurezza
• Revisione almeno annuale dei profili degli incaricati e dei profili di
autorizzazione
• Presenza di SW anti Malware per la tutela dei dati personali.
Aggiornamento semestrale. Fix e Patch con cadenza annuale –
semestrale se in presenza di dati sensibili o giuridici
• Backup Settimanali
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Trattamento di dati Sensibili o Giudiziari
Richiede la stesura, da parte del titolare, di un Documento Programmatico
della Sicurezza (DPS)
• Periodicità annuale (ogni 31 marzo)
• Analisi dei Rischi
• Analisi della Sicurezza
• Recovery e Backup
• Formazione per gli incaricati
• Separazione o cifratura dei dati sullo stato di salute e vita sessuale
… e inoltre….
• Istruzioni per la conservazione di dispositivi
mobili e loro eliminazione
• Recovery in tempi certi, compatibili con esigenze
interessati, < 7 gg
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Misure semplificate
Per agevolare le attività di PMI e le attività dei liberi professionisti esistono
delle misure semplificate per applicare le misure minime di sicurezza
nel trattamento dei dati personali
•CONTESTO DI APPLICAZIONE: dati personali solo per attività contabili e
amministrative e come dati sensibili lo stato di salute o malattia dei propri dipendenti
(*) se con dati sensibili altrimenti annuale (**) due anni se PC non in rete
Caratteristica D.Lgs. 196/2003 Misure Semplificate
Istruzioni impartite SCRITTE ORALI
Sistema di autentic. e autor. Specifici Del S.O.
Aggiornamento profili ANNUALE Quando necessario
Aggiornamenti SW Semestrale(*) Annuale (**)
BKP dati settimanale Mensile / differenziale
DPS annuale Annuale, ma semplificato. Da
aggiornare se cambiamenti
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Autorizzazione n°4 / 2008
Disciplina il trattamento dei dati sensibili, senza il consenso dell’interessato,
per liberi professionisti iscritti all’albo
Il trattamento può riguardare i dati sensibili relativi ai clienti, o a terzi che sono
strettamente legati con l’attività professionale legata al cliente
per alcune attività “professionali” non è
necessario richiedere la notifica dal
Garante sulla Privacy per il trattamento dei
dati personali
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
La Notifica
La Notifica al Garante (art. 37) non rappresenta più il principale obbligo del Titolare. Questa deve essere fatta solo nel caso di trattamento di:
• dati genetici, biometrici, o dati sull’ubicazione di persone
• dati idonei a rivelare lo stato di salute e la vita sessuale, trattati per particolari finalità sanitarie (procreazione assistita, dati sanitari trattati per via telematica, indagini epidemiologiche)
• dati idonei a rivelare la vita sessuale o la sfera psichica
• dati trattati volti a definire il profilo o la personalità dell’interessato
• dati sensibili registrati in banche dati ai fini della selezione del personale o per sondaggi d’opinione
• dati relativi al rischio sulla solvibilità economica (centrali dei rischi)
• I c.d. dati semi-sensibili (da individure a cura del Garante) qualora possano arrecare danno all’interessato
• Per la notifica dovrà essere apportato un nuovo modulo da spedire in formato elettronico e mediante l’uso di un dispositivo di firma elettronica (reperibile sul sito del Garante)
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
TITOLARE
INCARICATIINTERESSATI
RESPONSABILE
GARANTE
Le Figure Previste dal Codice Privacy
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
L'autorità preposta alla tutela della riservatezza dei dati personali è il Garante, ossia:
Organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica
con voto limitato (art. 153, comma 2)
Il Garante
www.garanteprivacy.it
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
L'autorità preposta alla tutela della riservatezza dei dati personali è il Garante, ossia:
Organo collegiale costituito da quattro componenti, eletti duedalla Camera dei deputati e due dal Senato dellaRepubblica con voto limitato (art. 153, comma 2
I principali compiti del Garante sono:
controllare la legittimità dei trattamenti
esaminare i ricorsi e le segnalazioni ricevute dagli interessati
vigilare nel rispetto delle norme che tutelano la vita privata
Comminare sanzioni amministrative pecuniarie in caso di violazione di alcune disposizioni di legge
Informare l’autorità giudiziaria qualora venga a conoscenza di gravi comportamenti illeciti
Il Garante
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
È la persona fisica, la persona giuridica, l’ente o
l’associazione cui si riferiscono i dati personali
Il trattamento di dati personali da parte di privati o di enti pubblicieconomici è ammesso soltanto con il consenso dell’interessato,espresso liberamente.
Il consenso per il trattamento di dei dati comuni può anche essereorale, mentre quello per i dati sensibili deve essere scritto.
L’Interessato
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
L’interessato (art. 7) ha il diritto di:
Diritti dell’interessato
• Conoscere i trattamenti che lo riguardano mediante l’accesso al
registro dei trattamenti presso il Garante;
• Essere informato dal Titolare circa le finalità del trattamento (art.
13);
• Ottenere dal Titolare la conferma, l’aggiornamento, la cancellazione,
la rettifica dei dati trattati, o la loro trasformazione in forma anonima;
• Opporsi in tutto o in parte, per motivi legittimi, al trattamento di dati
che lo riguardino;
• Chiedere il blocco dei dati trattati in violazione di legge.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
La persona fisica o giuridica, la Pubblica Amministrazione e
qualsiasi altro ente, associazione od organismo cui competono,
anche unitamente ad altro titolare, le decisioni in ordine alle
finalità, alle modalità del trattamento di dati personali ed
agli strumenti utilizzati, ivi compreso il profilo della
sicurezza.
• Titolare del trattamento è una Amministrazione Comunale, una Azienda
Sanitaria o Ospedaliera, una Azienda privata.
• Possibile cotitolarità fra organizzazioni autonome che operano sui dati
allo stesso livello.
Il titolare
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Sono le persone fisiche autorizzate a compiere operazionidi trattamento dal Titolare o dal Responsabile.Indispensabile individuare gli incaricati per rendere lecito iltrattamento.
“Le operazioni di trattamento possono essere effettuate solo da incaricatiche operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.”
La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.
Art. 20, comma 1
Art. 20, comma 2
Gli incaricati
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
È la persona fisica, la persona giuridica, la Pubblica Amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal titolare al
trattamento dei dati.
• I responsabili possono essere interni ed esterni all’azienda.
• La nomina di responsabile esterno garantisce il titolare.
• Il responsabile esterno attesta la conformità al disciplinare tecnico
“Ove necessario per esigenze organizzative,possono essere designati responsabili piùsoggetti, anche mediante suddivisione di compiti.”
Art. 29, comma 3
Il responsabile
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Lettera di incaricato
IncaricatoResponsabile
• Nessuna persona fisica può trattare dati personali associativi e, a nessun
titolo, se non ha ricevuto una lettera di incarico nominativa, con la specifica
indicazione di comportamento, tra i quali è evidentemente massima
l’istruzione di mantenere una assoluta riservatezza su tutti i dati di cui si
viene a conoscenza.
• È necessario,pertanto, consegnare ad ognuno la lettera di incarico e avere
a disposizione un elenco con nomi, cognomi, data di consegna della lettera
di incarico e copia di eventuali istruzioni specifiche.
• L’elenco deve essere sempre aggiornato.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Garante
Titolare
Notifica
Incaricato
Nomina
Incaricato
Nomina
Responsabile
Nomina
Interessato
Informativa
Consenso Ispeziona
Flusso generale
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Garante
Titolare
Incaricato
Incaricato Responsabile
Interessato
L’individuo può rivolgersi a chiunque per esercitare i propri diritti (Art. 7: consultare, modificare, cancellare, denunciare …) relativamente ai propri dati
Ispeziona
Esercizio diritti interessato
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Agli OBBLIGHI DI SICUREZZA (art.31)-I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da RIDURRE AL MINIMO, mediante l'adozione di IDONEE E PREVENTIVE MISURE DI SICUREZZA, i RISCHI di•distruzione o perdita, anche accidentale, dei dati stessi, •accesso non autorizzato o •trattamento non consentito o non conforme alle finalità della raccolta.
Dal PRINCIPIO DI NECESSITÀ (art.3)-ridurre al minimo l’utilizzo dei dati
Alle MISURE MINIME DI SICUREZZA (art. 33/35)MISURE MINIME DI SICUREZZA volte a garantire un LIVELLO MINIMO DI PROTEZIONE dei dati personali.L’articolo 34 prende in considerazione i trattamenti con strumenti elettronici mentre l’articolo 35 considera i trattamenti senza l’ausilio degli stessiPrescrizioni specifiche del Codice, alle quali il Titolare e il Responsabile devono attenersi (sazionate penalmente) individuate in un DISCIPLINARE TECNICO, allegato al Codice
Il Disciplinare viene aggiornato periodicamente in base all’evoluzione tecnica ed esperienza maturata nel settore (art.36)
Le Misure di sicurezza
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ART.31
Misure “Preventive ed Idonee”
Misure di sicurezza individuabili sulla base di soluzioni tecniche
concretamente disponibili
ART.33
Misure “Minime”
Individuate dal Disciplinare Tecnico (Allegato B)
Le Misure di sicurezza
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Riduzione del rischio significa raggiungere 3 OBIETTIVI:
INTEGRITÀ
DISPONIBILITÀ
RISERVATEZZA
Riduzione del rischio
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Riduzione del rischio significa raggiungere 3 OBIETTIVI:
Riduzione del rischio
INTEGRITÀ
DISPONIBILITÀ
RISERVATEZZA
Riservatezza dell’informazione: ovvero lariduzione a livelli minimi del rischio che terzinon autorizzati accedano all’informazione.L’informazione può essere fruita solo dallepersone autorizzate a compiere tale operazione(art. 15: “ridurre al minimo i rischi di accessonon autorizzato”)
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 29
INTEGRITÀ
DISPONIBILITÀ
RISERVATEZZA
Integrità dell’informazione: ovvero la riduzione a livelliaccettabili del rischio che possano avvenire cancellazioni omodifiche per interventi esterni o per inadeguatafunzionalità di programmi/supporti/linee di comunicazione(art. 15: “ridurre al minimo i rischi di distruzione operdita”).
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Riduzione del rischio significa raggiungere 3 OBIETTIVI:
Riduzione del rischio
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 30
INTEGRITÀ
DISPONIBILITÀ
RISERVATEZZADisponibilità dell’informazione: ovvero ridurre a livelliaccettabili il rischio vi siano impedimenti nell’accesso alleinformazioni a seguito di attacchi o al verificarsi dimalfunzionamenti (art. 15: “ridurre al minimo i rischi ditrattamento non consentito o non conforme alle finalità dellaraccolta”).
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Riduzione del rischio significa raggiungere 3 OBIETTIVI:
Riduzione del rischio
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime:
TRATTAMENTO SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (art.35)
Aggiornamento almeno annuale dell’ambito di trattamento consentito dagli incaricati
Istruzioni Scritte agli Incaricati su controllo e custodia degli atti/documenti contenente dati personali
L’accesso fisico agli archivi contenti dati sensibili o giudiziari deve essere controllato (badge, scanner,… o incaricati di vigilanza)
Le persone ammesse, a qualunque titolo, dopo l’orario di chiusuradevono essere identificate e registrate
Quando gli archivi non sono controllati, le persone che vi accedono sono preventivamente autorizzate
Disciplinare Tecnico - Allegato B
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Introduzione Relatore - Andrea Praitano
• Senior Service & Security Consultant di Business-e (IT Service Management, Information
Security Management, IT Governance, Privacy);
• Trainer FreeLance accreditato con EXIN (ITIL v2, ITIL v3 e ISO/IEC 20000);
• Membro del Consiglio Direttivo di itSMF Italia;
• Team Leader del Gruppo di Lavoro itSMF Italia ―ITIL & Analisi dei Rischi‖;
• Socio fondatore di ISIPM (IStituto Italiano di Project Management);
• Socio di ISACA Roma;
• Pubblicazioni (versione italiana):– Foundations of IT Service Management Basato su ITIL v3 (Van Haren Publishing);
– Foundations of IT Service Management Basato su ITIL (Van Haren Publishing);
– Introduzione a ITIL (OGC);
– ISO/IEC 20000 Pocket Guide (Van Haren Publishing);
• Membro del gruppo di lavoro CNIPA sulle best Practices;
• Analisi processi:– Certificazioni ISO/IEC 27001:2005 (Eutelia, TSF, Business-e);
– Consulenza Privacy (IT Way, Business-e, Ergom, gruppo Zambaiti, ecc.).
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Confronto ISO/IEC 27000 e DLgs 196:2003
DLgs 196:2003:• È una legge dello stato Italiano relativa alla
tutela della privacy;
• È obbligatoria la sua applicazione;
• Instaura un ―Sistema di Gestione della Privacy‖;
• Richiede delle revisioni almeno annuale (entro 31 marzo);
• Richiede almeno il rispetto di delle Misure Minime di Sicurezza;
• Richiede lo svolgimento dell’Analisi dei Rischi;
ISO/IEC 27000• È uno standard internazionale relativa alla
Sicurezza delle informazioni;
• È uno standard ―certificativo‖ (ISO/IEC
27001) di cui è facoltativa l’adozione;
• Instaura un Sistema di Gestione della
Sicurezza delle Informazioni;
• Instaura un sistema di miglioramento
continuo basato sul ciclo di Deming;
• Richiede il rispetto di delle ―Misure di
Sicurezza‖ congrue alle informazioni da
proteggere;
• Richiede lo svolgimento dell’Analisi dei
Rischi e ha una norma specifica (ISO/IEC
27005:2008) che indica come poter
svolgerla;
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
DLgs 196:2003 ISO/IEC 27000
Focus sui diritti del cittadino nella gestione, da parte delle organizzazioni, delle informazioni che lo riguardano
Focus sulle possibili conseguenze sul Business
DLgs 196:2003 e ISO/IEC 27000 NON sono la stessa cosa
DLgs 196:2003 e ISO/IEC 27000 NON sono in contrasto
La ISO/IEC 27000 può essere utilizzata per la conformità alla DLgs 196:2003
La conformità alla ISO/IEC 27001:2005 include la conformità al DLgs 196:2003 (controllo A.15.1.4) così come al DLgs.81/2008 (controllo A.15.1.1)
Aspetto importante
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
27001:2005ISMS requirements
27002:2005Code of practice
27003:2010Implementation
guidance
27004:2009Measurements
27005:2008Risk Management
27006:2007Requirements for
audit & cert. bodies
27007ISMS auditing
27010Inter-sector
communications
27011:2008Telecommunications
27013ISO/IEC 20000 and
ISO/IEC 27001
27014Security governance
27015Financial and
insurance
2701XISM Economics
Requisiti Linee Guida Di Settore
27000:2009Vocabulary
27008Audit on ISMS controls
Famiglia ISO/IEC 270xx
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 36
27006:2007Requirements for
audit & cert. bodies 50 pag.
27005:2008Risk Management 61 pag.
27004:2009Measurements
64 pag.
27003:2010Implementation
guidance
76 pag.
27002:2005Code of practice
129 pag.
Famiglia ISO/IEC 270xx
27001:2005ISMS requirements
27000:2009Vocabulary
26 pag.
41 pag.
Tot. 447 pag.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
27001:2005ISMS requirements
27002:2005Code of practice
27003:2010Implementation
guidance
27004:2009Measurements
27005:2008Risk Management
27006:2007Requirements for
audit & cert. bodies
27007ISMS auditing
27010Inter-sector
communications
27011:2008Telecommunications
27013ISO/IEC 20000 and
ISO/IEC 27001
27014Security governance
27015Financial and
insurance
2701XISM Economics
Requisiti Linee Guida Di Settore
27000:2009Vocabulary
27008Audit on ISMS controls
Fornisce le indicazioni su
come implementare un ISMS
all’interno di
un’Organizzazione
Famiglia ISO/IEC 270xx
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 38
Timeline
ISO/IEC 27003:2010 - Figure 1 — ISMS project phases
ISO/IEC 27003:2010
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 39
5. Obtaining management approval for initiating an ISMS
project
Timeline
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 40
6 Defining ISMS scope, boundaries and ISMS policy
Timeline
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 41
Timeline
7. Conducting information security requirements analysis
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 42
8 Conducting risk assessment and planning risk treatment
Timeline
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 43
9 Designing the ISMS
Timeline
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
27001:2005ISMS requirements
27002:2005Code of practice
27003:2010Implementation
guidance
27004:2009Measurements
27005:2008Risk Management
27006:2007Requirements for
audit & cert. bodies
27007ISMS auditing
27010Inter-sector
communications
27011:2008Telecommunications
27013ISO/IEC 20000 and
ISO/IEC 27001
27014Security governance
27015Financial and
insurance
2701XISM Economics
Requisiti Linee Guida Di Settore
27000:2009Vocabulary
27008Audit on ISMS controls
Fornisce delle indicazioni su
come poter svolgere un’analisi
dei rischi e la successiva
gestione
Famiglia ISO/IEC 270xx
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ISO/IEC 27005:2008
• Fornisce indicazioni su come
svolgere, in modo strutturato:
– la fase di valutazione del rischio
(Risk Assessment);
– e di trattamento del rischio (Risk
Treatment)
Figure 1 - Information security risk management process
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 46
Definizione di Rischio
• La ISO/IEC 27000:2009 definisce Rischio come:
2.34 – risk: combination of the probability of an event (2.15 – event:
occurrence of a particular set of circumstances) and its consequence
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 47
Risk Assessment
• Il risk assessment è un processo che ha l’obiettivo di:
– Individuare e valutare i rischi a cui si è sottoposti;
– Ponderarne il livello rispetto ad una scala di significatività;
– Stabilire se sono accettabili o no, senza entrare nel merito del loro
trattamento.
Identificare gli
Asset
Identificare e
valutare le
minacce
Identificare e
valutare le
vulnerabilità
Valutare gli
impatti agli
asset e i danni
al business
Stimare il livello
di rischio
Stabilire se il
rischio è
accettabile
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 48
Approcci all’Analisi del Rischio
• Approcci quantitativi:
– richiedono che siano utilizzati valori reali sulla frequenza degli attacchi e
sulle perdite economiche conseguenti. Tali analisi sono condotte solo in
pochi casi e per valutazioni specifiche, posto che richiedono uno sforzo
elevato per la raccolta dei dati
• Approcci qualitativi:
– richiedono l’uso di parametri (per esempio ―Alto‖, ―Medio‖ e ―Basso‖) o
scale per le valutazioni. Non forniscono quindi dati esatti, ma
conducono comunque a risultati tra loro comparabili, che permettono
quindi di ordinare i rischi dai più alti ai più bassi.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
27001:2005ISMS requirements
27002:2005Code of practice
27003:2010Implementation
guidance
27004:2009Measurements
27005:2008Risk Management
27006:2007Requirements for
audit & cert. bodies
27007ISMS auditing
27010Inter-sector
communications
27011:2008Telecommunications
27013ISO/IEC 20000 and
ISO/IEC 27001
27014Security governance
27015Financial and
insurance
2701XISM Economics
Requisiti Linee Guida Di Settore
27000:2009Vocabulary
27008Audit on ISMS controls
Instaura un processo di
miglioramento continuo
basato sul Ciclo della Qualità
di Deming
Famiglia ISO/IEC 270xx
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ISO/IEC 27001:2005 schema principale
Instaura un modello atto a un
miglioramento continuo (oltre che
un miglioramento effettivo) e non
solo una “verifica” annuale del
DPS.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
27001:2005ISMS requirements
27002:2005Code of practice
27003:2010Implementation
guidance
27004:2009Measurements
27005:2008Risk Management
27006:2007Requirements for
audit & cert. bodies
27007ISMS auditing
27010Inter-sector
communications
27011:2008Telecommunications
27013ISO/IEC 20000 and
ISO/IEC 27001
27014Security governance
27015Financial and
insurance
2701XISM Economics
Requisiti Linee Guida Di Settore
27000:2009Vocabulary
27008Audit on ISMS controls
Fornisce delle indicazioni su
come instaurare un SGSI con
delle misure congrue alle
informazioni da proteggere
Famiglia ISO/IEC 270xx
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Struttura dei controlli ISO/IEC 27001/27002:2005
A.5 Politica per la sicurezzaA.5.1 Politica per la sicurezza delle informazioni
A.6 Organizzazione della sicurezza delle informazioniA.6.1 Organizzazione interna
A.6.2 Parti esterne
A.7 Gestione dei beniA.7.1 Responsabilità dei beni
A.7.2 Classificazione delle informazioni
A.8 Sicurezza delle risorse umaneA.8.1 Prima dell’impiego
A.8.2 Durante l’impiego
A.8.3 Interruzione o variazione d’impiego
A.9 Sicurezza fisica e ambientaleA.9.1 Aree sicure
A.9.2 Sicurezza delle apparecchiature
A.10 Gestione delle comunicazioni e dell'operativitàA.10.1 Procedure operative e responsabilità
A.10.2 Gestione dell’erogazione di servizi di terze parti
A.10.3 Pianificazione e approvazione dei sistemi
A.10.4 Protezione contro software dannosi e codici auto eseguibili
A.10.5 Back-up
A.10.6 Gestione della sicurezza della rete
A.10.7 Trattamento dei supporti
A.10.8 Trasmissione delle informazioni
A.10.9 Servizi di commercio elettronico
A.10.10 Monitoraggio
A.11 Controllo degli accessiA.11.1 Requisiti relativi al business per il controllo degli accessi
A.11.2 Gestione dell’accesso degli utenti
A.11.3 Responsabilità degli utenti
A.11.4 Controllo degli accessi alla rete
A.11.5 Controllo degli accessi al sistema operativo
A.11.6 Controllo degli accessi ad applicazioni e informazioni
A.11.7 Utilizzo di dispositivi portatili e telelavoro
A.12 Acquisizione, sviluppo e manutenzione dei sistemi informativiA.12.1 Requisiti di sicurezza dei sistemi informativi
A.12.2 Corretta elaborazione nelle applicazioni
A.12.3 Controlli crittografici
A.12.4 Sicurezza dei file di sistema
A.12.5 Sicurezza nei processi di sviluppo e supporto
A.12.6 Gestione delle vulnerabilità tecniche
A.13 Gestione degli incidenti relativi alla sicurezza delle informazioniA.13.1 Segnalazione degli eventi e dei punti di debolezza relativi alla
sicurezza delle informazioni
A.13.2 Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti
A.14 Gestione della continuità operativaA.14.1 Aspetti di sicurezza delle informazioni relativi alla gestione
della continuità operativa
A.15 ConformitàA.15.1 Conformità alle prescrizioni legali
A.15.2 Conformità a politiche e norme di sicurezza e conformità tecnica
A.15.3 Considerazioni sull’audit dei sistemi informativi
11 gruppi di controllo, suddivisi in 39 obiettivi,
per un totale di 133 misure di controllo
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 53
Introduzione relatore – Giuseppe G. Zorzino
• Security Architect di Tecnoindex S.p.A. (ICT Infrastructure, Application Services, Business
Intelligence, ERP, Solutions & Products)
• Socio di ISACA Roma
• Certificazioni– Lead Auditor ISO/IEC 27001:2006
– CISA - ISACA
– CGEIT - ISACA
– MCSA 2003:Security
– Security+ CompTIA
– CMMI appraiser
– Certificatore etico (future)
– ….
• Privacy (Gruppo Equitalia, Italia Nostra, ecc.)
• Freelance
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
NHS 'loses' thousands of medical recordsMonday, 25 May 2009
The personal medical records of tens of thousands of people have been lost by the NHS in a series of
grave data security leaks. Between January and April this year, 140 security breaches were reported
within the NHS.
Some computers containing medical records have been left by skips and stolen. Others were left on
encrypted discs – but the passwords allowing access were taped to the side
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
I controlli applicabiliCASE STUDY - 1
I controlli applicabiliCASE STUDY - 2
Important personal data lost by the Bank of Ireland7 May, 2008
The personal data of about 10 000 customers of the Bank of Ireland (BOI) are now in the possession of thieves as four laptops with the unencrypted data were stolen from the bank between June and October 2007.
The four stolen laptops had been used by staff working for the bank's life assurance division. Not only the customers' data including medical history, life assurance details, bank account details, names and addresses were not encrypted, but the bank notified the thefts to the Data Protection Commissioner in Ireland only on 18 April 2008.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Axia/Pfizer Data LossMay 31, 2007 Boston, Massachusetts
Two password-protected laptop computers belonging to Axia, a contractor for Pfizer, were stolen out of a locked car. As other valuable items were also stolen from the car, we hope that the Pfizer data on the laptops was not the real target of the theft.
A review of back-up data stored on Axia's servers indicated that in addition to proprietary Pfizer information, the laptops also contained some of confidential personal information. Authorities are continuing to investigate the incident and Pfizer and Axia have taken steps to protect security and privacy.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
I controlli applicabiliCASE STUDY - 3
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 57
Aspetti cogenti
• Sono molte le norme, decreti, regolamenti, direttive UE, raccomandazioni
inerenti la sicurezza delle informazioni
• L’organizzazione deve operare una ricerca attenta al fine di individuare tutti
i requisiti cogenti e quelli derivanti da regolamenti interni o con terze parti
• Il rispetto dei requisiti cogenti è un ―pre-requisito‖ per la certificazione ISO
27001
• Il DLgs 196/2003 è un requisito cogente
57
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 58
Riferimenti normativi - Sicurezza delle informazioni
• UNI CEI ISO/IEC 27001:2006 Tecnologia delle informazioni -Tecniche di
sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti
• ISO/IEC 27002:2005 Information technology – Security techniques – Code
of practice for information security management
• OCSE Linee guida sulla sicurezza dei sistemi e delle reti d’informazione –
25/07/2002
• ISO/IEC 27000:2009 Information technology – Security techniques –
Information security management systems – Overview and vocabulary
58
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 59
Panorama legislativo italiano: non solo 196/03
• La legislazione italiana presenta un vasto panorama legislativo e normativo
che disciplina i temi relativi alla sicurezza delle informazioni
• La conformità alla direttiva, che è un pre-requisito obbligatorio, presenta
notevole complessità
• Oltre che a leggi e norme, la conformità deve essere assicurata anche
rispetto a regolamenti interni, di settore, ecc.
59
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 60
Panorama legislativo e normativo
• Legge 22 aprile 1941, n. 633 e successive modifiche: protezione del diritto d’autore e di altri diritti connessi al suo esercizio
• Legge 7 agosto 1990, n. 241: nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi, e successive modifiche ed integrazioni
• DLgs 29 dicembre 1992, n. 518: attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per elaboratore
• Legge 18 agosto 2000, n. 248: nuove norme di tutela del diritto d’autore con particolare riferimento all’Art 171-bis che sostituisce il precedente Art. 171-bis della legge n.633 22/04/1941
• DLgs 9 aprile 2008, n. 81: ―Attuazione dell’articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro‖
60
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 61
Panorama legislativo e normativo
• Raccomandazione CE n.89/9: una lista minima ed una facoltativa in materia di reati informatici
• D.P.C.M. 15 febbraio 1989: coordinamento delle iniziative e pianificazioni degli investimenti in materia di automazione nelle amministrazioni pubbliche
• DLgs 6 maggio 1999, n. 169: attuazione della direttiva 96/9/CE relativa alla tutela giuridica delle banche di dati
• DLgs 28 dicembre 2001 n. 467: norme penali a tutela della riservatezza dei dati personali
• DLgs 8 giugno 2001 n. 231: responsabilità amministrativa delle persone giuridiche
• D.P.R. 513/97: regolamento contenente i criteri e le modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici a norma dell’Art. 15, comma 2, della legge 15 marzo 1997, n.59
61
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 62
Panorama legislativo e normativo
• DPCM 338/01 (S.I.A.E.): disciplina, ai sensi dell’art. 181-bis della legge 22 aprile 1941 n. 633, come modificato dalla legge 18 agosto 2000 n. 248, le caratteristiche del contrassegno da apporre sui supporti magnetici
• DLgs 70/2003 (artt. 14 e segg.): attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico
• DLgs 30/2005 (art. 98): codice della proprietà industriale a norma dell’art. 15 legge n. 273/2002
• Legge 23 dicembre 1993 n. 547: modificazioni ed integrazioni delle norme del codice penale e del codice di procedura penale in tema di criminalità informatica
• Legge 28 dicembre 2005 n. 262: ―Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari‖
62
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6363
Codice penale (estratto)
• Art. 615 ter - Accesso abusivo ad un sistema informatico o telematico
• Art. 615 quater - Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
• Art. 615 quinquies - Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico
• Art. 616 - Violazione, sottrazione e soppressione di corrispondenza
• Art. 617 quater - Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
• Art. 617 quinquies - Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche
• Art. 617 sexies - Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche
• Art. 635 bis - Danneggiamento di informazioni, dati e programmi informatici
• Art. 635 ter - Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità
• Art. 635 quater - Danneggiamento di sistemi informatici o telematici
• Art. 635 quinquies - Danneggiamento di sistemi informatici o telematici di pubblica utilità
• Art. 640 ter - Frode informatica
• Art. 640 quinquies - Frode informatica del soggetto che presta servizi di certificazione di firma elettronica
• Art.12 Legge 197-1991 - Carte di credito, di pagamento e documenti che abilitano al prelievo di denaro contante.
NEWS !!!!!
From April 6th, the ICO's heftiest penalty for "deliberate
or negligent" contravention of the Data Protection Act
increased to £500,000, compared with £5,000 previously
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 64
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 65
Volontario vs Obbligatorio
Tipo Applicabilità Esempio
Leggi
obbligatorio
• Paese• Settore• Può essere specifico (standard)
• SOX, HIPAA, GLBA• EU Data Protection Directive• DLgs 196/2003• DLgs 231/2001
Regolamenti
obbligatorio
• Settore (sostiene le leggi)• Può variare da paese a paese
• Basilea II• Informazioni sanitarie• Sicurezza sul lavoro (DLgs81-08)
Policiesobbligatorio
• Settore (sostiene le leggi e regolamenti)• Può variare da paese a paese
• Energia nucleare• Informazioni sanitarie
Standardsobbligatorio
• Settore (sostiene le leggi e regolamenti)• Può variare da paese a paese
• PCI DSS• NERC CIP
Politiche organizzative
discrezionale
• Esigenze specifiche di business• Specifiche di GRC
• HR• Sicurezza• Risk management
Standards
discrezionale
• Aree specifiche (qualità, sicurezza, ERM, ecc.)• Può essere un requisito per la certificazione• Supporta gli obiettivi di controllo per GRC• Miglioramento dei processi
• ISO/IEC 27001• ISO/IEC 20000-1• ISO/IEC 31000
Guidelines
discrezionale
• Sostiene lo standard• Supporta gli obiettivi di controllo per GRC• Miglioramento dei processi• Talvolta è considerato uno standard de facto
• ISO/IEC 27002, 20000-2• BS31100, COSO ERM• ITIL• COBIT
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 66
Sinergia tra volontario ed obbligatorio
• La norma, di per sé volontaria, diventa modello e strumento per
adempiere al meglio gli aspetti obbligatori, e in tal senso viene
scelta dagli Organismi (Ministeri, Enti, ecc.)
• Di contro, l’applicazione della norma, senza precisi vincoli
obbligatori, garantisce le migliori pratiche nella gestione dei sistemi
per la sicurezza delle informazioni
66
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 67
Rapporto tra D.Lgs 196/03 e ISO 27001
D.Lgs.196/2003 ISO 27001
Cosa protegge
Tutte le banche dati
personali e particolari così
come definite nel decreto
L’ampiezza (o scopo o
ambito dell’applicazione)
può essere definito
liberamente (l’intera
azienda, un solo processo,
ecc.)
Criteri di riferimento per la
protezione dei dati
Misure minime di sicurezza
definite nell’Allegato B
Controlli elencati in dettaglio
nell’ISO 27002:2005 più
eventuali nuovi controlli
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 68
Rapporto tra D.Lgs 196/03 e ISO 27001
• La norma ISO 27001 è focalizzata sull’infrastruttura in tutti i suoi
aspetti, e non sugli specifici controlli adottati. Quindi ha un ambito
più esteso
• L’implementazione di un SGSI in maniera corretta presuppone
obbligatoriamente il rispetto della legge e l’adozione di controlli
specifici a riguardo
• La conformità con ISO 27001 in sé non conferisce immunità agli
obblighi legali
68
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 69
Rapporto tra D.Lgs 196/03 e ISO 27001
• Esistono diverse analogie tra i controlli previsti dall’Allegato B della Legge
sulla Privacy ed i controlli indicati in ISO 27002:2005
• Un’attenta applicazione della legge sulla privacy può essere un ottimo punto
di partenza soprattutto se supportata da una valutazione dei rischi
• ISO 27001: tutela dei dati personali non solo come obbligo di legge, ma
anche in termini di efficienza, all’interno di un sistema di qualità aziendale
69
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 70
Rapporto tra D.Lgs 196/03 e ISO 27001 - alcuni esempi -
All.B – Disciplinare tecnico..
4. Con le istruzioni impartite agli
incaricati è prescritto di adottare le
necessarie cautele per assicurare la
segretezza della compo-nente
riservata della cre-denziale e la
diligente cu-stodia dei dispositivi in
pos-sesso ed uso esclusivo
dell’incaricato.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
A.11.3.1 Utilizzo delle password
Controllo - Gli utenti devono seguire
istruzioni di sicurezza valide per la
scelta e l'utilizzo delle password.
70
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 71
Rapporto tra D.Lgs 196/03 e ISO 27001 - alcuni esempi -
All.B – Disciplinare tecnico..
16. I dati personali sono protetti contro il
rischio di intrusione e dell’azione di
programmi di cui all’art. 615-quinquies
del codice penale, mediante
l’attivazione di idonei strumenti
elettronici da aggiornare con cadenza
almeno semestrale.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
A.10.4 Protezione contro software
dannosi e codici autoeseguibili
Obiettivo: Proteggere l’integrità del
software e delle informazioni
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 72
Rapporto tra D.Lgs 196/03 e ISO 27001 - alcuni esempi -
All.B – Disciplinare tecnico…
19.2. la distribuzione dei compiti e delle
responsabilità nell’ambito delle
strutture preposte al trattamento dei
dati
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
A.7.1.2 Responsabilità dei beni
Controllo: Tutte le informazioni e i
beni associati alle strutture di
elaborazione delle informazioni
devono essere sotto la
"responsabilità" di una parte
designata dell’organizzazione.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 73
Rapporto tra D.Lgs 196/03 e ISO 27001 - alcuni esempi -
All.B – Disciplinare tecnico..
22. I supporti rimovibili contenenti dati
sensibili o giudiziari se non utilizzati
sono distrutti o resi inutilizzabili ….
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
A.10.7.2 Dismissione dei supporti
Controllo - La dismissione dei
supporti non più necessari deve
avvenire in modo sicuro, attraverso
l’utilizzo di procedure formali.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 74
Prescrizioni 196/03 vs ISO 27001:2006 - Sicurezza Logica
A.5 Politica per la sicurezza
A.6 Organizzazione della sicurezza delle
informazioni
A.7 Gestione dei beni
A.8 Sicurezza delle risorse umane
A.9 Sicurezza fisica e ambientale
A.10 Gestione delle comunicazioni e
dell'operatività
A.11 Controllo degli accessi
A.12 Acquisizione, sviluppo e manutenzione dei
sistemi informativi
A.13 Gestione degli incidenti relativi alla
sicurezza delle informazioni
A.14 Gestione della continuità operativa
A.15 Conformità
1) Idonei sistemi anti-intrusione da aggiornare a
cadenza almeno semestrale
2) Hardening & Patching a cadenza almeno
semestrale
3) Politiche di Backup
4) Protezione dei dati trattati
5) Sistema di cifratura dei dati giudiziari che renda
le informazioni non intellegibili
6) Tracciamento delle attività del personale
amministratore di sistema (audit log)
7) Conservazione dei dati fino al termine della
necessità di utilizzo
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 75
Prescrizioni 196/03 vs ISO 27001:2006 - Sicurezza Organizzativa
A.5 Politica per la sicurezza
A.6 Organizzazione della sicurezza delle
informazioni
A.7 Gestione dei beni
A.8 Sicurezza delle risorse umane
A.9 Sicurezza fisica e ambientale
A.10 Gestione delle comunicazioni e
dell'operatività
A.11 Controllo degli accessi
A.12 Acquisizione, sviluppo e manutenzione dei
sistemi informativi
A.13 Gestione degli incidenti relativi alla
sicurezza delle informazioni
A.14 Gestione della continuità operativa
A.15 Conformità
1) Adozione di un modello organizzativo basato su ―need
to know‖ e ―segregation of duties‖
2) Separazione logica tra dati personali e altri dati
3) Assegnazione individuale per ciascun incaricato di
credenziali per l'autenticazione
4) Definizione di politiche di controllo sulle credenziali di
autenticazione
5) Sistemi di autorizzazione, ovvero separazione tra chi
assegna le credenziali e chi le utilizza
6) Istruzioni agli incaricati (riservatezza credenziali ed
informazioni)
7) Controlli sulla sussistenza delle condizioni per la
conservazione dei profili di accesso
8) Controlli interni per verificare periodicamente le misure
organizzative e tecniche
9) Documento programmatico sulla sicurezza
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 76
Prescrizioni 196/03 vs ISO 27001:2006 - Sicurezza Fisica
A.5 Politica per la sicurezza
A.6 Organizzazione della sicurezza delle informazioni
A.7 Gestione dei beni
A.8 Sicurezza delle risorse umane
A.9 Sicurezza fisica e ambientale
A.10 Gestione delle comunicazioni e dell'operatività
A.11 Controllo degli accessi
A.12 Acquisizione, sviluppo e manutenzione dei sistemi
informativi
A.13 Gestione degli incidenti relativi alla sicurezza delle
informazioni
A.14 Gestione della continuità operativa
A.15 Conformità
1. Le attrezzature informatiche e le
informazioni devono essere gestite con
misure atte a garantire l'integrità e la
disponibilità dei dati, nonché la
protezione delle aree e dei locali,
rilevanti ai fini della loro custodia e
accessibilità (es. registrazione
identificativi delle persone ammesse
fuori orario lavorativo, riferimenti
temporali)
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Integrazioni con altri Framework
• Esistono numerosi Framework, good practices o standard che si integrano,
fra di loro, su aspetti specifici.
• L’adozione di framework aiuta un’Organizzazione ad approcciare le cose in
modo strutturato partendo da esperienze di comunità ampie ed
internazionali.
• I Framework devono essere contestualizzati all’Organizzazione tenendo
conto delle dimensioni, della cultura e della storia.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000IT Operation
GovernanceGovernance IT
Servic
e M
an
ag
em
en
t
Ap
pli
cati
on
Develo
pm
en
t
IT S
ecu
rit
y
Pro
ject
Man
ag
em
en
t
IT P
lan
nin
g
Qu
ali
ty S
yste
m
78
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Istruzioni di Lavoro Processi di esecuzione StrategiaProcessi di controllo
MOF
ITIL v3 ITIL v3
ISO/IEC 27000
COBIT
ISO/IEC 38500:2008
TMap
Prince2
MSP
ASL ASL
Posizionamento reciproco dei modelli
PMBoK
ITIL v2 ITIL v2
ISO/IEC 20k ISO20k
CoSO
BS25999
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 80
BS 25999
• Proprietario: BSI (UK)
• Tipologia di framework: standard
• Ambito: Business Continuity Management
• Descrizione:
– è uno standard che si pone l’obiettivo di organizzare un piano logistico
finalizzato a documentare il modo in cui un’organizzazione può far
tornare operative le sue funzioni critiche entro un predeterminato
periodo di tempo, congruo rispetto alle esigenze di Business, dopo un
disastro o un grave danno.
• Associazioni/enti di riferimento: BSI.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 81
BS 25999
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ITIL® – Information Technology Infrastructure Library
• Proprietario: OGC - The Office of Government Commerce (UK)
• Tipologia di framework: framework proprietario (ma ha tutte le
caratteristiche di un framework pubblico)
• Ambito: IT Service Management
• Descrizione:
– modello di gestione dei servizi IT basato su un approccio per processi. È stato
creato dall’OGC inglese. È un modello di Best Practice maturate inizialmente nel
contesto Britannico e adesso a livello globale. È un modello di riferimento per la
gestione operativa delle attività di supporto, gestione e cambiamenti
relativamente all’infrastruttura IT alle persone e ai sistemi. Nel luglio del 2007 è
stata pubblicata la versione 3 del modello.
• Associazioni/enti di riferimento: OGC; itSMF International; itSMF Italia.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
• Il Service Strategy (SS) è il perno centrale
attorno al quale ruota tutto il ciclo di vita del
servizio;
© Crown copyright 2008 Reproduced under license from OGC
• Il Continual Service Improvement (CSI)
supporta l’attuazione dei programmi e dei
progetti di miglioramento sulla base degli
obiettivi strategici.
• Il Service Operation (SO) contiene le best
practice per la gestione dell’esercizio dei servizi;
• Il Service Transition (ST) è la guida per
migliorare l’introduzione in esercizio di
cambiamenti;
• Il Service Design (SD) è la guida per
progettare e sviluppare i processi e i servizi di
gestione. Traduce gli obiettivi strategici in
Service Portfolio e Service Asset;
ITIL® schema principale
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Processi del Service Strategy:
• Service Portfolio Management;
• Demand Management;
• Financial Management.
Processi del Service Design:
• Service Catalogue Management;
• Service Level Management;
• Supplier Management;
• Capacity Management;
• Availability Management;
• IT Service Continuity Management;
• Information Security Management.
Processi del Service Transition:
• Service Asset and Configuration Management;
• Change Management;
• Release and Deployment Management;
Processi del Service Operation:
• Event Management;
• Incident Management;
• Problem Management;
• Request Fulfilment;
• Access Management.
Funzioni del Service Operation:
• Service Desk;
• IT Operation Management;
• Technical Management;
• Application Management.
Processi del Continual Service Improvement:
• CSI Improvement Process;
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
COBIT - Control Objectives for Information and related Technology
• Proprietario: IT Governance Institute/ISACA (USA)
• Tipologia di framework: framework proprietario
• Ambito: IT Governance/Auditing
• Descrizione:
– è un insieme di Best Practice per il governo dell’IT. È stato creato
dall’Information Systems Audit and Control Association (ISACA) e dal IT
Governance Institute (ITGI). Fornisce ai dirigenti, auditor e utenti IT una serie di
misure, indicatori, processi e le migliori pratiche per l’uso, il Governo e controllo
dell’IT di un’azienda.
• Associazioni/enti di riferimento: IT Governance Institute; ISACA; AIEA;
ISACA Roma.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
PO1 Definire un Piano Strategico per l'IT
PO2 Definire l’architettura informatica
PO3 Definire gli indirizzi tecnologici
PO4 Definire i processi, l’organizzazione e le relazioni dell’IT
PO5 Gestire gli investimenti IT
PO6 Comunicare gli obiettivi e gli orientamenti della direzione
PO7 Gestire le risorse umane dell’IT
PO8 Gestire la QualitàPO9 Valutare e Gestire i
Rischi InformaticiPO10 Gestire i Progetti
AI1 Identificare soluzioni automatizzateAI2 Acquisire e mantenere il software applicativoAI3 Acquisire e mantenere l’infrastruttura tecnologicaAI4 Permettere il funzionamento e l’usoAI5 Approvvigionamento delle risorse ITAI6 Gestire le modificheAI7 Installare e certificare soluzioni e modifiche
DS1 Definire e gestire i livelli di servizio
DS2 Gestire i servizi di terze partiDS3 Gestire le prestazioni e la
capacità produttivaDS4 Assicurare la continuità di
servizioDS5 Garantire la sicurezza dei
sistemiDS6 Identificare e attribuire i costiDS7 Formare e addestrare gli utentiDS8 Gestione del Service Desk e
degli incidentiDS9 Gestione della configurazioneDS10 Gestione dei problemiDS11 Gestione dei datiDS12 Gestione dell’ambiente fisicoDS13 Gestione delle operazioni
ME1 Monitorare e valutare le prestazioni dell’IT
ME2 Monitorare e valutare i controlli interni
ME3 Assicurare la conformità alla normativa
ME4 Istituzione dell’IT Governance
COBIT schema principale
Monitoraggio e Valutazione
(ME)
Pianificazione e Organizzazione
(PO)
Erogazione e Supporto (DS)
Acquisizione e Implementazione
(AI)
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ISO/IEC 20000:2005
• Proprietario: ISO/IEC
• Tipologia di framework: standard pubblico
• Ambito: IT Service Management
• Descrizione:
– evoluzione del BS 15000. È la norma ISO che certifica l’aderenza
dell’organizzazione IT a dei principi di riferimento. È la certificazione ISO relativa
all’IT Service Management, è nata con un approccio ―bottom-up‖ dalle best
practices ITIL v2. è composta da due parti principali, ISO/IEC 20000-1 che
rappresenta le Specification e la ISO/IEC 20000-2 che rappresenta il Code of
Practices. Prevede la possibilità di certificazione delle organizzazioni secondo la
ISO/IEC 20000-1:2005.
• Associazioni/enti di riferimento: ISO; IEC; UNI; UNINFO.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ISO/IEC 20000:2005 schema principale
Riferimenti
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 89
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 90