Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy
Transcript
Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy
Obblighi di sicurezza e relative sanzioni Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy • L’adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti di dati personali, come specificato dagli articoli 31 e 33 del Testo Unico. • Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’art. 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro Obblighi e misure di sicurezza Entrata in vigore • Il Testo Unico è in vigore dal 1° Gennaio 2004. • Le nuove Misure Minime di Sicurezza devono essere adottate entro il 30 Giugno 2005 (art. 180 comma 1) • Se esistono obiettive ragioni tecniche che non permettono l’adozione delle nuove misure entro il 30 giugno: – Entro il 30 giugno il titolare predispone un documento avente data certa per descrivere i motivi della mancata adozione – Adotta ogni misura atta a ridurre i rischi – Entro il 30 settembre 2005 provvede ad aggiornare i sistemi per garantire l’adeguamento Misure Minime di Sicurezza per trattamenti eseguiti mediante strumenti elettronici ( i numeri tra parentesi rimandano ai punti del Disciplinare tecnico) Obblighi e misure di sicurezza Introduzione L’adeguamento alle misure minime di sicurezza implica l’adozione di specifiche abitudini operative e la presenza di un adeguato sistema informatico che rendano possibile: – LA GESTIONE DELL’ACCESSO AI DATI TRAMITE PASSWORD – LA PROTEZIONE DEI COMPUTER TRAMITE ANTIVIRUS – L’AGGIORNAMENTO DEI PROGRAMMI – IL SALVATAGGIO PERIODICO DEI DATI Accesso ai dati tramite password (1-11) • Per accedere a un archivio contenente dati personali è necessario superare una fase di autenticazione tramite l’ inserimento di nome utente e password • Tale password è segreta, strettamente personale, lunga almeno otto caratteri e non facilmente riconducibile al proprietario • Se l’archivio protetto contiene dati comuni, la password va cambiata ogni sei mesi, se invece si tratta di dati sensibili o giudiziari, essa va cambiata ogni tre mesi. Se non è utilizzata da almeno sei mesi va disattivata • Se ci si avvale della collaborazione di personale dipendente, bisogna definire specifici “profili” di autorizzazione all’accesso dei dati e incaricare per iscritto la persona al trattamento. Misure minime di sicurezza per trattamenti mediante strumenti elettronici 1 Gestione della riservatezza Profili di autorizzazione (12-14) • Gli eventuali collaboratori (d’ora in poi definiti come incaricati) devono ricevere istruzioni che indichino in quale modo il computer non deve essere lasciato incustodito durante le sessioni di lavoro (screen saver, logoff) (9) • Devono essere individuati per iscritto soggetti incaricati (se diversi dal titolare) e modalità per l’accesso a dati o sistemi di elaborazione in caso di assenza dell’interessato per esclusive necessità di operatività o sicurezza del sistema (nomina del custode delle parole chiave) (10) • Sono l’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti • Essi possono essere definiti durante la creazione di un nuovo utente del computer, specificando il livello di accesso alle risorse disponibili. • Devono essere definiti precedentemente all’inizio del trattamento (13) • Devono essere verificati almeno annualmente (14) Il sistema di autenticazione Il sistema di autorizzazione Protezione antivirus (16) Aggiornamenti dei programmi (17) • Tutti i sistemi di elaborazione devono essere protetti dal rischio costituito da virus informatici e simili • La protezione deve essere attiva anche per i sistemi non connessi in rete o che non accedono a internet • Gli utenti non devono poter disattivare l’antivirus • L’aggiornamento deve essere obbligatoriamente almeno semestrale, ma è necessario – per la sicurezza del sistema informatico – che sia quotidiano o al massimo settimanale! • Programmi obsoleti possono costituire un rischio al corretto trattamento dei dati Protezione antivirus • Essi devono essere aggiornati per: – Prevenire la vulnerabilità di strumenti elettronici – Correggerne i difetti • Tale aggiornamento dev’essere eseguito con cadenza almeno annuale o, in caso di trattamento di dati sensibili o giudiziari, con cadenza almeno semestrale. L’aggiornamento dei programmi per elaboratore Aggiornamenti: consigli Aggiornamenti: i problemi (esempio) • I produttori di software spesso mettono a disposizione gli aggiornamenti in modo gratuito e facilmente accessibile via Internet. • Sistemi Operativi non conformi alle esigenze delle misure minime: • Per esempio gli aggiornamenti dei prodotti Microsoft ® sono disponibili all’indirizzo: http://windowsupdate.microsoft.com – Microsoft Windows 95 – Microsoft Windows 98 – Microsoft Windows Millennium Edition (ME) il loro sistema di autenticazione tramite password è fittizio e facilmente aggirabile • Si rende necessario l’aggiornamento a un sistema operativo più recente (2000, XP), non sempre supportato da computer di vecchia generazione L’aggiornamento dei programmi per elaboratore 2 Salvataggio dei dati (18) • E’ obbligatorio il salvataggio dei dati personali (backup) • La frequenza di salvataggio deve essere almeno settimanale, ma è opportuno che sia quotidiana • Devono essere protetti tutti i dati trattati • Devono essere impartite istruzioni (scritte) di carattere tecnico ed organizzativo per formare eventuali collaboratori su come eseguire le procedure di salvataggio Misure Minime di Sicurezza per trattamenti riguardanti dati personali di tipo sensibile o giudiziario eseguiti mediante strumenti elettronici Il salvataggio dei dati Introduzione Protezione anti-intrusione (20) • Nel caso in cui si utilizzi il computer per il trattamento di dati sensibili o giudiziari, oltre all’adeguamento alle misure minime appena descritte, vanno adottate ulteriori misure ed è necessaria la redazione del Documento Programmatico Sulla Sicurezza (D.P.S.) • I sistemi di elaborazione devono essere protetti contro il rischio di intrusione mediante firewall • Un firewall controlla il traffico da e verso l’esterno della rete, in particolare con internet, bloccando quello indesiderato e potenzialmente pericoloso • Possono essere utilizzati – Firewall software – Firewall hardware • E’ necessario un costante aggiornamento del firewall, che in caso contrario diventa velocemente vulnerabile • In aggiunta al firewall, può essere opportuno utilizzare un IDS (Intrusion Detection System) Il Documento Programmatico sulla Sicurezza Ulteriori misure per il trattamento di dati sensibili o giudiziari Supporti removibili (cdrom, floppy, dischi esterni) (21-22) Sistema di “Disaster recovery” • Devono essere adottate istruzioni organizzative e tecniche per regolare (21): • Deve essere garantito l’accesso ai dati in caso di incidente (danneggiamento dei dati o degli strumenti) in tempi certi e comunque non superiori a sette giorni – Le modalità d’uso – Le modalità di custodia (23) • Quando non più utilizzati devono essere (22): – Distrutti o resi inutilizzabili oppure – Resi non intelleggibili e in alcun modo ricostruibili Ulteriori misure per il trattamento di dati sensibili o giudiziari Ulteriori misure per il trattamento di dati sensibili o giudiziari 3 Il Documento Programmatico (19) Contenuti del Documento Programmatico • Descrive in maniera completa tutte le misure di sicurezza poste in essere nel caso di trattamento di dati personali sensibili o giudiziari • Deve essere redatto ed aggiornato annualmente entro il 31 marzo di ogni anno (19) • Non deve essere inviato al Garante, ma deve essere trattenuto presso il titolare del trattamento • Non è richiesto che abbia data certa • • • • L’elenco dei trattamenti dei dati personali (19.1) La distribuzione dei compiti e delle responsabilità (19.2) L’analisi dei rischi che incombono sui dati (19.3) Le misure da adottare per garantire l’integrità e la disponibilità dei dati e la protezione delle aree e dei locali rilevanti ai fini della loro custodia ed accessibilità (19.4) • La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati (19.5) • La previsione degli interventi formativi (19.6) • La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza dei dati affidati all’esterno della struttura del titolare (19.7) Il Documento Programmatico sulla Sicurezza Il Documento Programmatico Distribuzione di compiti e responsabilità L’elenco dei trattamenti (19.1) • Quali sono i dati trattati • Come vengono trattati – Programmi destinati al trattamento – Archivi che li contengono • Finalità di trattamento • Ambiti di comunicazione a terzi • Descrizione dei profili di autorizzazione degli incaricati (se diversi dal titolare) (19.2) • • • • • • • Gestione sistema di autenticazione Gestione sistema di autorizzazione Gestione del sistema antivirus Gestione del sistema anti-intrusione Gestione del sistema di backup/restore Aggiornamento del Documento Programmatico Possibili allegati: – Istruzioni agli incaricati; – Nomine di responsabili e custodi delle parole chiave – Modalità di accesso ai sistemi in assenza dell’incaricato Il Documento Programmatico Il Documento Programmatico Analisi dei rischi (19.3) Criteri per garantire integrità e disponibilità • Elenco dei rischi individuati e delle possibili conseguenze in termini di: • • • • • • • – Distruzione o perdita dei dati – Accesso non autorizzato alle informazioni o esecuzione di trattamenti non autorizzati – Indisponibilità dei sistemi – Presenza di informazioni errate • Elenco delle contromisure che, per ogni rischio individuato sono poste in essere come misura di protezione, tenendo conto che le misure possono essere graduate per classi di dati, e che la medesima misura può avere effetto su rischi diversi. Il Documento Programmatico (19.4) Sistema di autenticazione ed autorizzazione Sistema antivirus Sistema anti-intrusione informatica Procedure di sviluppo e avviamento di nuove applicazioni Gestione degli aggiornamenti dei programmi Organizzazione degli archivi degli utenti Protezione delle aree e dei locali (generali o specifici ai locali informatici) – Sistemi anti-intrusione – Vigilanza e controllo accessi – Sistemi anti-incendio Il Documento Programmatico 4 Criteri e modalità per il ripristino dei dati (19.5) • Sistema di backup – – – – – – – Interventi formativi su dipendenti e collaboratori (19.6) • Riguardano: Dispositivi Archivi protetti Modalità di esecuzione Frequenza Criteri di rotazione e archiviazione Modalità di verifica Strumenti di segnalazione di eventuali errori – Conoscenza dei rischi – Conoscenza delle misure di sicurezza e dei comportamenti da adottare – Responsabilità • Devono essere erogati: • Sistemi per assicurare la continuità di alimentazione • Sistemi ridondanti o ad alta affidabilità – RAID / Cluster / SAN … – Al momento dell’ingresso in servizio – In occasione di cambio di mansioni – In occasione dell’introduzione di nuovi strumenti • E’ opportuno che siano documentati • Disaster recovery (ripristino in seguito a disastro informatico) Il Documento Programmatico Il Documento Programmatico Criteri per i trattamenti all’esterno (19.7) • Documento di specifica di finalità, modalità, ed ambiti di comunicazione autorizzati per il trattamento • Dichiarazione dell’ente esterno a cui vengono affidati i dati di adozione delle misure di sicurezza • Copia del Documento Programmatico del soggetto esterno, se dovuto o comunque disponibile Un caso concreto (esempio di D.P.S.) • Il D.P.S. di uno psicologo che tratta dati sensibili con l’ausilio di strumenti elettronici • Questo caso non necessita di particolari adeguamenti tecnologici, in quanto la struttura informatica del Titolare e` già conforme alle richieste del TUP • Sara` messo online come fac-simile di documento programmatico sulla sicurezza Il Documento Programmatico Allegato – Scadenzario obblighi Allegato – Scadenzario obblighi Misura Scadenza/periodicità Tipologia dati Disattivazione credenziali Entro sei mesi dal mancato utilizzo Tutti Disattivazione credenziali Subito, in caso di perdita della qualità Tutti Sostituzione autonoma parola chiave Ogni sei mesi Ogni tre mesi Comuni Sensibili o giud. Verifica profili Ogni anno Tutti Redazione lista incaricati Ogni anno Tutti Aggiornamento antivirus Ogni sei mesi ( consigliabile max. ogni settimana) Tutti Misura Scadenza/periodicità Tipologia dati Aggiornamento programmi Annualmente Ogni sei mesi Comuni Sensibili giud. Backup Settimanalmente (consigliabile ogni giorno) Tutti Aggiornamento DPS Ogni anno entro il 31 marzo Sensibili o giudiziari 5 A chi rivolgersi • Il mercato offre numerose aziende e consulenti in grado di analizzare la Vostra situazione informatica e di proporvi la miglior soluzione per l’adeguamento alle misure minime di sicurezza. • Per la redazione del D.P.S.S. ci si può rivolgere a studi specializzati o ai propri consulenti legali o fiscali. • Vi sono infine aziende che propongono soluzioni “pacchettizzate” e che affrontano la problematica a 360 gradi. Dichiarazione di conformità (25) • Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura per provvedere alla esecuzione deve pretendere dall’installatore una descrizione scritta dell’intervento che ne attesta la conformità alle disposizioni del Disciplinare Tecnico • Riguarda, ad esempio: – – – – Installazione della rete locale Installazione del sistema antivirus Installazione del firewall Installazione di software per il trattamento di dati sensibili o giudiziari (paghe e stipendi) Misure di tutela e garanzia Domande o chiarimenti 6