Adeguamenti dei personal computer e delle reti

Adeguamenti dei personal computer e delle reti
riguardo alla Privacy
Decreto Legislativo 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali"
I fatti:
nella Gazzetta Ufficiale n. 174 del 29 luglio 2003 viene pubblicato il Decreto Legislativo 30 giugno
2003, n. 196 "Codice in materia di protezione dei dati personali"
Questo decreto regolamenta il trattamento dati personali, ovvero tutte le informazioni personali
che registrate negli archivi; ci indica la necessità di richiedere l'autorizzazione al trattamento di tali
dati.
Vi è però una parte importante, l'allegato "b", il "DISCIPLINARE TECNICO IN MATERIA DI MISURE
MINIME DI SICUREZZA", che in pratica regolamenta il "Trattamenti con strumenti elettronici", quindi
il "come salvare dati sui computer".
Cosa fare:
tale allegato elenca alcuni provvedimenti di seguito descritti:
- E' necessario avere un codice di autenticazione (password) di almeno 8 caratteri, che non deve
avere riferimenti facilmente riconducibili all'utilizzatore; tale codice deve essere cambiato
dall'utilizzatore del computer al primo accesso e modificato successivamente ogni 6 mesi.
- I dati personali devono essere protetti contro il rischio di intrusione e dall'azione di programmi
dannosi. In pratica è necessario in ogni rete adottare un firewall e opportuni programmi antivirus,
aggiornati periodicamente; non si parla di hardware o software, quindi la linea di principio è che
un'azienda con più computer in rete e connessione adsl installerà un firewall hardware e antivirus sui
server e su tutti i pc, mentre in altri casi può bastare un firewall software, ad esempio per un'azienda
con una unica postazione.
- E' necessario avere dei backup almeno settimanali e un piano di “disaster recovery”, ovvero di
ricostruzione archivi in caso di perdita.
- Nel caso in cui sia un soggetto esterno all'azienda a provvedere all'installazione ed alla applicazione
delle misure minime di sicurezza, l'installatore deve redigere una "descrizione scritta dell'intervento
effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico".
- Nel caso in cui negli archivi siano contenuti “dati sensibili o giudiziari” è necessario redigere entro
il 31 marzo di ogni anno un "documento programmatico di sicurezza", cioè una relazione che elenca il
tipo di dati sensibili contenuti nell'archivio ed indica le procedure adottate per difenderli ed il tipo di
istruzione a cui è sottoposto il personale utilizzatore degli archivi.
I tempi:
entro il 30 giugno 2004 tutti dovranno adeguarsi alla normativa.
Sanzioni :
prevedono l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro.
Definizione di dati sensibili e giudiziari:
"dati sensibili" sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
"dati giudiziari" sono i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a
u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del
codice di procedura penale .
Soluzioni proposte:
1) Per prima cosa è necessario verificare la situazione delle password di accesso su ogni postazione
e sui server aziendali; in particolare si andrà ad immettere e rendere obbligatoria la password di
accesso, la password dello screen-saver e la password di accensione del PC (Bios).
2) Si andrà ad installare un firewall, in pratica un filtro in grado di bloccare gli accessi indesiderati dall’esterno;
in reti connesse ad internet tramite Adsl e router è consigliato un firewall hardware, mentre per realtà con un
solo pc connesso ad internet o con connessione tramite modem può essere sufficiente un programma firewall.
3) Su ogni PC e Server andrà installato un programma di antivirus che sia aggiornabile periodicamente.
4) Si deve prevedere una periferica di salvataggio dati automatizzato; tale periferica potrà essere un nastro
(streamer tape), un Cd-Dvd, un disco esterno (con connessione Usb, Firewire o Lan) o una Memory Key usb. La
periferica adatta verrà scelta sulla base del tipo di dati e della quantità dati da salvare. Si devono inoltre
prevedere backup differenziati o incrementali nei vari giorni della settimana.
5) Si redigerà un documento che certifica l’installazione e il corretto funzionamento di tutto quanto sopra.
6) Nel caso vi siano da trattare anche “dati sensibili o giudiziari” si progetterà un piano articolato di sicurezza, si
darà consulenza per redigere il DPS, "documento programmatico di sicurezza" .
Soluzioni e prezzi
Tutti gli adeguamenti alla legge della privacy verranno conteggiati in economia, quindi non vi sarà costo aggiuntivo
alla tariffa oraria già applicata per gli interventi. Saranno conteggiati a parte solo i software e le apparecchiature
hardware necessarie, elencate di seguito:
Firewall
Antivirus
Backup
Mister Web S.r.l.
Via Prada, 12
41058 Vignola MO
Tel. 059776204
Fax 059766334
[email protected]
www.misterweb.it
Firewall software Norton Internet security - 1 PC
€
84,00+Iva
Firewall hardware Zyxel Zywall - fino a 10 utenti
€
390,00+Iva
Firewall hardware Zyxel Zywall - fino a 30 utenti
€
650,00+Iva
Firewall hardware Cisco Pix - fino a 10 utenti
€
690,00+Iva
Firewall hardware Cisco Pix - fino a 50 utenti
€ 1.100,00+Iva
Norton Antivirus 2004 per PC
€ 68,00+Iva
Symantec Antivirus Small Business Edition 8.1 per server
e PC, 5 utenti
€ 390,00+Iva
Symantec Antivirus Small Business Edition 8.1 per server
e PC, 10 utenti
€ 680,00+Iva
Masterizzatore Cd R-RW (salva sino a 650Mb in ogni Cd)
€ 80,00+Iva
Masterizzatore Dvd (salva sino a 4,7Gb in ogni Dvd)
€ 150,00+Iva
Hdd esterno Usb 2.0 40Gb
€ 280,00+Iva
Memory Key usb 1Gb
€ 390,00+Iva
Per approfondire:
www.camera.it/parlam/leggi/deleghe/testi/03196dl.htm
www.garanteprivacy.it
www.interlex.it/675/indice.htm