DOWNLOAD
SISTEMA PRIVACY.
Con l'entrata
in vigore del nuovo codice privacy, il quadro delle misure
di sicurezza, che devono essere adottate nel trattamento
dei dati personali, cambia profondamente.
Il termine per la predisposizione del DPS, per i soggetti
in precedenza non tenuti, ovvero per l'aggiornamento dello
stesso per quelli già obbligati in precedenza, e' il 31
dicembre 2005.
GARANTIRE:
riservatezza
integrità
disponibilità
Riservatezza: garantire l'accesso alle informazioni mediante
un controllo basato su "credenziali di autenticazione"
o altre tecniche di riconoscimento.
Integrità: tecniche e metodologie per consentire all'informazione
di "perdurare nel tempo" al di la della durata
fisica dei supporti su cui e registrata l'informazione e
di eventuali incidenti nell'ambito del sistema informativo.
Disponibilità: tecniche e metodologie per garantire che
l'informazione risulti "accessibile" nel momento
in cui essa e' necessaria per qualunque trattamento.
NEED TO KNOW:
La gestione delle informazioni deriva da una conoscenza
di:
asset
aziendali
funzioni
processi
di trattamento
conoscenza
del grado di affidabilità degli incaricati
SICUREZZA
fisica
logica
organizzativa
RISK ANALYSIS
applicazione di contromisure
trasferimento
del rischio
accettazione
del rischio
Indice di rischio = Impatto x Ricorrenza
BUSINESS CONTINUITY PLAN
(richiesto dalla norma: garantire max 7 gg. lavorativi)
organizzativo
tecnologico
formalizzato
MISURE
minime
idonee
IL DATO
E' un bene della persona, al pari della salute,
e deve essere tutelato. Il dato è riferibile sia a una persona
fisica che a una persona giuridica.
TRATTAMENTO DEI DATI
" Viene considerata "attività pericolosa"
"E'
sottoposta all'applicazione dell'articolo 2050 del Codice
Civile
ARTICOLO 2050 C.C.
Chi arreca danno nel corso del trattamento dei
dati personali deve "dimostrare" di aver adottato
tutte le cautele applicabili per la prevenzione di tale
incidente.
L'adozione delle cautele e delle contromisure adottate deve
essere "formalizzata e documentabile".
I SOGGETTI
L'interessato
Il titolare
del trattamento
Gli
incaricati e i responsabili
I DIRITTI DEGLI INTERESSATI
Articolo 7
INFORMATIVA E CONSENSO
Sono all'origine della liceità di qualsiasi trattamento
Possono
essere espressi in varia maniera (scritta, orale, procedurale,
implicita)
Per
i dati sensibili devono essere sempre documentati per iscritto.
CATEGORIE DI DATI
Anonimi
Personali
Pubblici
Comuni
Sensibili
Giudiziari
DATI PERSONALI COMUNI
Qualunque dato riferito a una persona fisica o
giuridica.
Esempi:
Dati
bancari
Fatture
di acquisto
DDT
"
Abitudini di consumo
DATI SENSIBILI (ART. 4)
Dati riferiti a:
Origine
razziale o etnica
Convinzioni
religiose, filosofiche o di altro genere
Opinioni
politiche
Adesione
a partiti, sindacati, associazioni o organismi a carattere
religioso, filosofico, politico o sindacale
Stato
di salute
Vita
sessuale
DATI GIUDIZIARI
Dati idonei:
A rilevare
i provvedimenti di cui all'art. 3, comma 1 lettere da a)
a o) e da r) a u) del DPR n. 313 del 14 novembre 2002 in
materia di Casellario Giudiziale, di Anagrafe delle Sanzioni
Amministrative dipendenti da reato e dei relativi Carichi
Pendenti
A rilevare
la qualità di imputato o indagato ai sensi dell'art. 60
e 61 del C.C.P.
DATI PUBBLICI E ANONIMI
Non sono tutelati dalla normativa
Dato pubblico = accessibile in elenchi di informazioni aperte
al pubblico
Dato anonimo = non riferibile ad alcuna persona
INFORMATIVA E CONSENSO
Bisogna sempre rendere una specifica "informativa"
all'interessato, e ottenere da questo un "consenso"
Il "consenso"
puo' essere implicito nel caso in cui il trattamento di
dati sia contestuale e pienamente associato all'esecuzione
di altro genere di contratto tra le pari
L'informativa
puo' essere resa anche oralmente o mediante altri mezzi
Devono
sempre essere resi e documentati per iscritto nel caso in
cui il trattamento riguardi dati sensibili o giudiziari
LETTERE DI INCARICO
E' necessario individuare con precisione le funzioni
di trattamento dati, e allocare di conseguenza compiti e
responsabilità nell'ambito della struttura
Viene strutturato un "organigramma" di compiti
e funzioni connesse al trattamento di dati personali, da
cui scaturiscono lettere di incarico apposite per:
Gli
incaricati interni del trattamento
Gli
incaricati esterni di specifici trattamenti
I responsabili
individuati
TRATTAMENTI SVOLTI ALL'ESTERO
Nel caso in cui un Titolare deleghi il trattamento
di dati all'estero, questo può avvenire purche':
Sia
menzionata tale fattispecie nell'informativa all'interessato
Sia
assicurato il rispetto delle medesime misure minime anche
per il trattamento svolto all'estero:
Stati
UE: omogeneità normativa
Stati
extra UE: trattati specifici in materia o in loro assenza,
accordi contrattuali con il soggetto estero.
MISURE MINIME DI SICUREZZA
AUTENTICAZIONE INFORMATICA
Articolo 34 commi a) e b) - Allegato B punti da 1 a 11
Uso
di credenziali di autenticazione esclusive
Procedura
di assegnazione, gestione e disattivazione delle credenziali
di autenticazione
Segretezza
della componente riservata della credenziale (password)
Lunghezza
minima password 8 caratteri alfanumerici
Variazione
password almeno semestrale (trimestrale per i trattamenti
di dati sensibili e giudiziari)
Non
e' possibile rassegnare la credenziale ad un diverso incaricato
Disattivazione
automatica in caso di 6 mesi di inutilizzo
Prevenzione
di accessi non autorizzati a sessioni non presidiate
Accesso
in caso di assenza prolungata dell'incaricato o altre specifiche
esigenze organizzative
Modifica
dopo il primo utilizzo da parte dell'incaricato
SISTEMA DI AUTORIZZAZIONE
Obbligo di adottare un sistema di autorizzazione
Obbligo
di configurare i profili di accesso e utilizzo
Verifica
periodica dei profili di accesso
Aggiornamento
periodico della lista degli incaricati
STRUMENTI ANTI-INTRUSIONE
Utilizzo di strumenti contro il rischio di intrusione o
di programmi pericolosi
Antivirus
/ antispam / anti spyware
Firewall
IDS
Aggiornamento
almeno semestrale
ATTESTATO DI CONFORMITÀ
Conformità tecnologica alle misure di sicurezza
Rilasciata
dal produttore terzo
Applicabile
a software e/o specifici apparati hardware
SALVATAGGIO DEI DATI
Backup
Cadenza
almeno settimanale
Protezione
delle copie di backup e archiviazione sicura dei supporti
Procedure
di ripristino in caso di incidenti (fino alla previsione
di disaster recovery plan)
Tecniche
di rotazione e gestione dei supporti
AGGIORNAMENTO SOFTWARE
Patching sistemi operativi
Correzione
di errori
Aggiornamenti
generici del software
Cadenza
annuale o semestrale per dati sensibili e giudiziari
PREVENZIONE DI ACCESSI ABUSIVI AI DATI
Richiesto per trattamenti di dati sensibili e giudiziari
Firewall
IDS
Gestione
e analisi dei log
CUSTODIA DEI SUPPORTI REMOVIBILI
Richiesto per trattamenti di dati sensibili e giudiziari
Qualunque
supporto esterno (floppy, CD, pendrive, HD portatili ecc.)
Custodia
fisica o mediante strumenti elettronici
RIPRISTINO DELL'ACCESSO AI DATI
Richiesto
per trattamenti di dati sensibili e giudiziari
Misura
di sicurezza organizzativa e tecnologica
Ripristino
entro 7 giorni dalla data dell'incidente
Disaster
recovery plan
Periodici
test di efficacia e addestramento
SICUREZZA FISICA
Sicurezza
perimetrale e di accesso ai locali
Clear
desk policy (mantenimento del posto di lavoro "pulito"
da informazioni riservate)
Sicurezza
durante i trattamenti
Archiviazione
sicura
SICUREZZA ORGANIZZATIVA
Assegnazione
dei compiti e delle responsabilità
Busines
continuità plan
Disaster
recovery
Formazione
degli incaricati
METODOLOGIE DI ASSESMENT
PRE - ASSESSMENT
Attività tesa all'analisi preliminare dell'azienda:
Processi
di trattamento dati
Tipologie
di dati
Risorse
umane
Asset
informativi
GAP ANALYSIS
Identifica le non conformità rispetto alla normativa.
Individua e suggerisce azioni correttive:
Organizzative
Misure
di sicurezza
