Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy

Obblighi di sicurezza e relative sanzioni
Le Misure Minime di Sicurezza
secondo il Testo Unico sulla Privacy
• L’adozione delle Misure Minime di Sicurezza è obbligatorio
per tutti coloro che effettuano trattamenti di dati personali,
come specificato dagli articoli 31 e 33 del Testo Unico.
• Chiunque, essendovi tenuto, omette di adottare le misure
minime previste dall’art. 33 è punito con l’arresto sino a
due anni o con l’ammenda da diecimila euro a
cinquantamila euro
Obblighi e misure di sicurezza
Entrata in vigore
• Il Testo Unico è in vigore dal 1° Gennaio 2004.
• Le nuove Misure Minime di Sicurezza devono essere
adottate entro il 30 Giugno 2005 (art. 180 comma 1)
• Se esistono obiettive ragioni tecniche che non
permettono l’adozione delle nuove misure entro il 30
giugno:
– Entro il 30 giugno il titolare predispone un documento avente
data certa per descrivere i motivi della mancata adozione
– Adotta ogni misura atta a ridurre i rischi
– Entro il 30 settembre 2005 provvede ad aggiornare i sistemi per
garantire l’adeguamento
Misure Minime di Sicurezza
per trattamenti eseguiti
mediante strumenti elettronici
( i numeri tra parentesi rimandano ai punti del Disciplinare tecnico)
Obblighi e misure di sicurezza
Introduzione
L’adeguamento alle misure minime di sicurezza
implica l’adozione di specifiche abitudini operative e
la presenza di un adeguato sistema informatico che
rendano possibile:
– LA GESTIONE DELL’ACCESSO AI DATI TRAMITE
PASSWORD
– LA PROTEZIONE DEI COMPUTER TRAMITE ANTIVIRUS
– L’AGGIORNAMENTO DEI PROGRAMMI
– IL SALVATAGGIO PERIODICO DEI DATI
Accesso ai dati tramite password (1-11)
• Per accedere a un archivio contenente dati personali è necessario
superare una fase di autenticazione tramite l’ inserimento di nome
utente e password
• Tale password è segreta, strettamente personale, lunga almeno otto
caratteri e non facilmente riconducibile al proprietario
• Se l’archivio protetto contiene dati comuni, la password va cambiata
ogni sei mesi, se invece si tratta di dati sensibili o giudiziari, essa
va cambiata ogni tre mesi. Se non è utilizzata da almeno sei mesi va
disattivata
• Se ci si avvale della collaborazione di personale dipendente, bisogna
definire specifici “profili” di autorizzazione all’accesso dei dati e
incaricare per iscritto la persona al trattamento.
Misure minime di sicurezza per trattamenti mediante strumenti elettronici
1
Gestione della riservatezza
Profili di autorizzazione (12-14)
• Gli eventuali collaboratori (d’ora in poi definiti come
incaricati) devono ricevere istruzioni che indichino in
quale modo il computer non deve essere lasciato
incustodito durante le sessioni di lavoro (screen saver, logoff) (9)
• Devono essere individuati per iscritto soggetti incaricati
(se diversi dal titolare) e modalità per l’accesso a dati o
sistemi di elaborazione in caso di assenza dell’interessato
per esclusive necessità di operatività o sicurezza del
sistema (nomina del custode delle parole chiave) (10)
• Sono l’insieme delle informazioni, univocamente associate
ad una persona, che consente di individuare a quali dati
essa può accedere, nonché i trattamenti ad essa consentiti
• Essi possono essere definiti durante la creazione di un
nuovo utente del computer, specificando il livello di
accesso alle risorse disponibili.
• Devono essere definiti precedentemente all’inizio del
trattamento (13)
• Devono essere verificati almeno annualmente (14)
Il sistema di autenticazione
Il sistema di autorizzazione
Protezione antivirus (16)
Aggiornamenti dei programmi (17)
• Tutti i sistemi di elaborazione devono essere protetti dal
rischio costituito da virus informatici e simili
• La protezione deve essere attiva anche per i sistemi non
connessi in rete o che non accedono a internet
• Gli utenti non devono poter disattivare l’antivirus
• L’aggiornamento deve essere obbligatoriamente almeno
semestrale, ma è necessario – per la sicurezza del
sistema informatico – che sia quotidiano o al massimo
settimanale!
• Programmi obsoleti possono costituire un rischio al corretto
trattamento dei dati
Protezione antivirus
• Essi devono essere aggiornati per:
– Prevenire la vulnerabilità di strumenti elettronici
– Correggerne i difetti
• Tale aggiornamento dev’essere eseguito con cadenza
almeno annuale o, in caso di trattamento di dati sensibili o
giudiziari, con cadenza almeno semestrale.
L’aggiornamento dei programmi per elaboratore
Aggiornamenti: consigli
Aggiornamenti: i problemi (esempio)
• I produttori di software spesso mettono a disposizione gli
aggiornamenti in modo gratuito e facilmente accessibile via
Internet.
• Sistemi Operativi non conformi alle esigenze delle
misure minime:
• Per esempio gli aggiornamenti dei prodotti Microsoft ®
sono disponibili all’indirizzo:
http://windowsupdate.microsoft.com
– Microsoft Windows 95
– Microsoft Windows 98
– Microsoft Windows Millennium Edition (ME)
il loro sistema di autenticazione tramite password è fittizio
e facilmente aggirabile
• Si rende necessario l’aggiornamento a un sistema
operativo più recente (2000, XP), non sempre supportato
da computer di vecchia generazione
L’aggiornamento dei programmi per elaboratore
2
Salvataggio dei dati (18)
• E’ obbligatorio il salvataggio dei dati personali (backup)
• La frequenza di salvataggio deve essere almeno
settimanale, ma è opportuno che sia quotidiana
• Devono essere protetti tutti i dati trattati
• Devono essere impartite istruzioni (scritte) di carattere
tecnico ed organizzativo per formare eventuali collaboratori
su come eseguire le procedure di salvataggio
Misure Minime di Sicurezza
per trattamenti riguardanti dati
personali di tipo sensibile o
giudiziario eseguiti mediante
strumenti elettronici
Il salvataggio dei dati
Introduzione
Protezione anti-intrusione (20)
• Nel caso in cui si utilizzi il computer per il trattamento di
dati sensibili o giudiziari, oltre all’adeguamento alle
misure minime appena descritte, vanno adottate ulteriori
misure ed è necessaria la redazione del Documento
Programmatico Sulla Sicurezza (D.P.S.)
• I sistemi di elaborazione devono essere protetti contro il
rischio di intrusione mediante firewall
• Un firewall controlla il traffico da e verso l’esterno della
rete, in particolare con internet, bloccando quello
indesiderato e potenzialmente pericoloso
• Possono essere utilizzati
– Firewall software
– Firewall hardware
• E’ necessario un costante aggiornamento del firewall, che
in caso contrario diventa velocemente vulnerabile
• In aggiunta al firewall, può essere opportuno utilizzare un
IDS (Intrusion Detection System)
Il Documento Programmatico sulla Sicurezza
Ulteriori misure per il trattamento di dati sensibili o giudiziari
Supporti removibili (cdrom, floppy, dischi
esterni) (21-22)
Sistema di “Disaster recovery”
• Devono essere adottate istruzioni organizzative e tecniche
per regolare (21):
• Deve essere garantito l’accesso ai dati in caso di incidente
(danneggiamento dei dati o degli strumenti) in tempi certi
e comunque non superiori a sette giorni
– Le modalità d’uso
– Le modalità di custodia
(23)
• Quando non più utilizzati devono essere (22):
– Distrutti o resi inutilizzabili
oppure
– Resi non intelleggibili e in alcun modo ricostruibili
Ulteriori misure per il trattamento di dati sensibili o giudiziari
Ulteriori misure per il trattamento di dati sensibili o giudiziari
3
Il Documento Programmatico (19)
Contenuti del Documento Programmatico
• Descrive in maniera completa tutte le misure di sicurezza
poste in essere nel caso di trattamento di dati personali
sensibili o giudiziari
• Deve essere redatto ed aggiornato annualmente entro il 31
marzo di ogni anno (19)
• Non deve essere inviato al Garante, ma deve essere
trattenuto presso il titolare del trattamento
• Non è richiesto che abbia data certa
•
•
•
•
L’elenco dei trattamenti dei dati personali (19.1)
La distribuzione dei compiti e delle responsabilità (19.2)
L’analisi dei rischi che incombono sui dati (19.3)
Le misure da adottare per garantire l’integrità e la disponibilità dei
dati e la protezione delle aree e dei locali rilevanti ai fini della loro
custodia ed accessibilità (19.4)
• La descrizione dei criteri e delle modalità per il ripristino della
disponibilità dei dati (19.5)
• La previsione degli interventi formativi (19.6)
• La descrizione dei criteri da adottare per garantire l’adozione delle
misure minime di sicurezza dei dati affidati all’esterno della struttura
del titolare (19.7)
Il Documento Programmatico sulla Sicurezza
Il Documento Programmatico
Distribuzione di compiti e responsabilità
L’elenco dei trattamenti (19.1)
• Quali sono i dati trattati
• Come vengono trattati
– Programmi destinati al trattamento
– Archivi che li contengono
• Finalità di trattamento
• Ambiti di comunicazione a terzi
• Descrizione dei profili di autorizzazione degli incaricati (se
diversi dal titolare)
(19.2)
•
•
•
•
•
•
•
Gestione sistema di autenticazione
Gestione sistema di autorizzazione
Gestione del sistema antivirus
Gestione del sistema anti-intrusione
Gestione del sistema di backup/restore
Aggiornamento del Documento Programmatico
Possibili allegati:
– Istruzioni agli incaricati;
– Nomine di responsabili e custodi delle parole chiave
– Modalità di accesso ai sistemi in assenza dell’incaricato
Il Documento Programmatico
Il Documento Programmatico
Analisi dei rischi (19.3)
Criteri per garantire integrità e disponibilità
• Elenco dei rischi individuati e delle possibili conseguenze
in termini di:
•
•
•
•
•
•
•
– Distruzione o perdita dei dati
– Accesso non autorizzato alle informazioni o esecuzione di
trattamenti non autorizzati
– Indisponibilità dei sistemi
– Presenza di informazioni errate
• Elenco delle contromisure che, per ogni rischio
individuato sono poste in essere come misura di
protezione, tenendo conto che le misure possono essere
graduate per classi di dati, e che la medesima misura può
avere effetto su rischi diversi.
Il Documento Programmatico
(19.4)
Sistema di autenticazione ed autorizzazione
Sistema antivirus
Sistema anti-intrusione informatica
Procedure di sviluppo e avviamento di nuove applicazioni
Gestione degli aggiornamenti dei programmi
Organizzazione degli archivi degli utenti
Protezione delle aree e dei locali (generali o specifici ai
locali informatici)
– Sistemi anti-intrusione
– Vigilanza e controllo accessi
– Sistemi anti-incendio
Il Documento Programmatico
4
Criteri e modalità per il ripristino dei dati
(19.5)
• Sistema di backup
–
–
–
–
–
–
–
Interventi formativi su dipendenti e
collaboratori (19.6)
• Riguardano:
Dispositivi
Archivi protetti
Modalità di esecuzione
Frequenza
Criteri di rotazione e archiviazione
Modalità di verifica
Strumenti di segnalazione di eventuali errori
– Conoscenza dei rischi
– Conoscenza delle misure di sicurezza e dei comportamenti da
adottare
– Responsabilità
• Devono essere erogati:
• Sistemi per assicurare la continuità di alimentazione
• Sistemi ridondanti o ad alta affidabilità
– RAID / Cluster / SAN …
– Al momento dell’ingresso in servizio
– In occasione di cambio di mansioni
– In occasione dell’introduzione di nuovi strumenti
• E’ opportuno che siano documentati
• Disaster recovery (ripristino in seguito a disastro
informatico)
Il Documento Programmatico
Il Documento Programmatico
Criteri per i trattamenti all’esterno (19.7)
• Documento di specifica di finalità, modalità, ed ambiti di
comunicazione autorizzati per il trattamento
• Dichiarazione dell’ente esterno a cui vengono affidati i dati
di adozione delle misure di sicurezza
• Copia del Documento Programmatico del soggetto
esterno, se dovuto o comunque disponibile
Un caso concreto (esempio di D.P.S.)
• Il D.P.S. di uno psicologo che tratta dati sensibili con
l’ausilio di strumenti elettronici
• Questo caso non necessita di particolari
adeguamenti tecnologici, in quanto la struttura
informatica del Titolare e` già conforme alle richieste
del TUP
• Sara` messo online come fac-simile di documento
programmatico sulla sicurezza
Il Documento Programmatico
Allegato – Scadenzario obblighi
Allegato – Scadenzario obblighi
Misura
Scadenza/periodicità
Tipologia dati
Disattivazione
credenziali
Entro sei mesi dal mancato
utilizzo
Tutti
Disattivazione
credenziali
Subito, in caso di perdita della
qualità
Tutti
Sostituzione autonoma
parola chiave
Ogni sei mesi
Ogni tre mesi
Comuni
Sensibili o giud.
Verifica profili
Ogni anno
Tutti
Redazione lista
incaricati
Ogni anno
Tutti
Aggiornamento
antivirus
Ogni sei mesi ( consigliabile
max. ogni settimana)
Tutti
Misura
Scadenza/periodicità
Tipologia dati
Aggiornamento
programmi
Annualmente
Ogni sei mesi
Comuni
Sensibili giud.
Backup
Settimanalmente (consigliabile
ogni giorno)
Tutti
Aggiornamento DPS
Ogni anno entro il 31 marzo
Sensibili o
giudiziari
5
A chi rivolgersi
•
Il mercato offre numerose aziende e consulenti in grado di analizzare
la Vostra situazione informatica e di proporvi la miglior soluzione per
l’adeguamento alle misure minime di sicurezza.
•
Per la redazione del D.P.S.S. ci si può rivolgere a studi specializzati o
ai propri consulenti legali o fiscali.
•
Vi sono infine aziende che propongono soluzioni “pacchettizzate” e
che affrontano la problematica a 360 gradi.
Dichiarazione di conformità (25)
• Il titolare che adotta misure minime di sicurezza
avvalendosi di soggetti esterni alla propria struttura per
provvedere alla esecuzione deve pretendere
dall’installatore una descrizione scritta dell’intervento che
ne attesta la conformità alle disposizioni del Disciplinare
Tecnico
• Riguarda, ad esempio:
–
–
–
–
Installazione della rete locale
Installazione del sistema antivirus
Installazione del firewall
Installazione di software per il trattamento di dati sensibili o
giudiziari (paghe e stipendi)
Misure di tutela e garanzia
Domande o chiarimenti
6