3. La sicurezza è un processo dinamico.
Non esistono soluzioni preconfezionate, o applicabili a
tutti.
E' impossibile raggiungere la sicurezza “assoluta”, in
quanto non esistono sistemi sicuri.
Occorre puntare a un grado ragionevole e adeguato di
sicurezza.
Oltre alla sicurezza logica non si deve dimenticare la
sicurezza fisica.
Sicurezza Informatica
4. Le normative in materia di
sicurezza informatica /1
• Codice in materia di protezione dei dati personali
Legge n. 196/2003;
• Art. 51 del CAD. - Sicurezza dei dati, dei sistemi e
delle infrastrutture delle pubbliche amministrazioni;
• Art. 21 DPCM regole tecniche SPC (1 aprile 2008);
• Art. 20, comma 3, lett b) DL 83/2012;
5. Le normative in materia di
sicurezza informatica /2
• Decreto crescita 2.0: DL 18 ottobre 2012 n. 179
convertito nella legge 17 dicembre 2012 n. 221
Art. 33‐septies, comma 1, Consolidamento e
razionalizzazione dei siti e delle infrastrutture
digitali del Paese.
• DPCM 24 gennaio 2013 GU n.66 del 19‐3‐
2013 recante indirizzi per la protezione
cibernetica e la sicurezza informatica
nazionale.
7. Il nuovo Codice della privacy (D.Lgs.
196/2003), approvato alla fine di
giugno 2003, rappresenta una vera e
propria rivoluzione in questo settore.
E' un Codice “voluminoso” con i suoi
186 articoli e 3 allegati; è entrato in
vigore nel primo gennaio 2004 ed è un
aggiornamento sostanziale del
precedente D.P.R. 318/99.
La Legge 196 del 2003
8. L'obiettivo fondamentale del Codice è:
§ accorpare e semplificare i numerosi
provvedimenti legislativi che hanno
integrato la legge 675/96 in materia
di protezione dei dati personali;
§ introdurre di uno specifico
disciplinare tecnico, allegato B, in
materia di misure minime di
sicurezza.
Obiettivi della Legge 196/03
9. Art. 2 della l. 196/03: finalità
Il presente testo unico, di seguito denominato
“codice”, garantisce che il trattamento dei
dati personali si svolga nel rispetto dei diritti e
delle libertà fondamentali, nonché della
dignità dell’interessato, con particolare
riferimento alla riservatezza, all'identità
personale e al diritto alla protezione dei dati
personali.
10. Art. 4 della l. 196/03:
Dato personale
È qualunque informazione relativa a persona
fisica, persona giuridica, ente od
associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un
numero di identificazione personale.
11. Art. 4 della l. 196/03:
Dati sensibili
sono i dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo
stato di salute e la vita sessuale;
12. Art. 4 della l. 196/03:
Dati identificativi
sono i dati personali che permettono
l’identificazione diretta dell’interessato;
13. Art. 4 della l. 196/03:
Dati giudiziari
sono i dati personali idonei a rivelare provvedimenti
di cui all'articolo 3, comma 1, lettere da a) a o) e da
r) a u), del d.P.R. 14 novembre 2002, n. 313, in
materia di casellario giudiziale, di anagrafe delle
sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti, o la qualità di imputato o di
indagato ai sensi degli articoli 60 e 61 del codice di
procedura penale;
14. Art. 5 della l. 196/03: oggetto ed
ambito di applicazione
Il presente codice disciplina il trattamento di
dati personali, anche detenuti all’estero,
effettuato da chiunque è stabilito nel territorio
dello Stato o in un luogo comunque soggetto
alla sovranità dello Stato.
15. Art. 31 della l. 196/03: obbligo di
sicurezza
I dati personali oggetto di trattamento sono
custoditi e controllati, anche in relazione alle
conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l'adozione di idonee
e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei
dati stessi, di accesso non autorizzato o di
trattamento non consentito o non conforme alle
finalità della raccolta.
16. Art. 33 della legge 196/03:
misure minime
Nel quadro dei più generali obblighi di
sicurezza di cui all'articolo 31, o previsti da
speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad
adottare le misure minime individuate nel
presente capo o ai sensi dell’articolo 58,
comma 3, volte ad assicurare un livello
minimo di protezione dei dati personali
17. Inosservanza di misure minime
e idonee
Inosservanza delle misure minime
Mancata adozione delle misure idonee
Sanzione penale
Responsabilità
civile
18. Sanzioni
Sono previste sanzioni amministrative e penali, per
il responsabile legale dell’azienda e/o per il
responsabile del trattamento dei dati e/o per
chiunque, essendovi tenuto, omette di adottare le
misure di sicurezza
Gli illeciti amministrativi sono regolati dagli artt.
161/164, e puniti con sanzioni da 500 Euro a
60.000 Euro.
Gli illeciti penali sono regolati dagli artt. 167/171,
e puniti con grosse ammende o reclusione fino a
3 anni.
19. Art. 34 L. 196/03:
misure minime /1
Il trattamento di dati personali effettuato con
strumenti elettronici è consentito solo se sono
adottate, nei modi previsti dal disciplinare tecnico
contenuto nell'allegato B), le seguenti misure
minime:
• autenticazione informatica;
• adozione di procedure di gestione delle
credenziali di autenticazione;
• utilizzazione di un sistema di autorizzazione;
• aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici;
20. Art. 34 L. 196/03:
Misure minime /2
• protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi
non consentiti e a determinati programmi
informatici;
• adozione di procedure per la custodia di copie
di sicurezza, il ripristino della disponibilità dei
dati e dei sistemi;
• tenuta di un aggiornato documento
programmatico sulla sicurezza;
• adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita
sessuale effettuati da organismi sanitari.
21. Autenticazione informatica
Il trattamento di dati personali con strumenti elettronici è
consentito agli incaricati dotati di credenziali di
autenticazione
Le credenziali di autenticazione possono consistere in:
§ un codice per l'identificazione dell'incaricato associato a
una parola chiave riservata;
§ un dispositivo di autenticazione;
§ una caratteristica biometrica dell'incaricato
Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie
cautele per assicurare la segretezza della componente riservata della
credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo
dell’incaricato.
22. Autenticazione informatica
Le tre tipologie di autenticazione al sistema
informatico:
§ in base a quello che si è (DNA, impronte
digitali, impronta vocale, schema retinico, stile della
grafia…);
§ in base a quello che si ha (tesserino
identificativo, badge, chiave hardware…);
§ in base a quello che conosce (password,
PIN …)
23. Le credenziali di autentificazione
§ La parola chiave (password), quando è prevista dal
sistema di autenticazione, è composta da almeno otto
caratteri oppure, nel caso in cui lo strumento
elettronico non lo permetta, da un numero di caratteri
pari al massimo consentito.
§ La password non può contenere riferimenti
agevolmente riconducibili all'incaricato.
§ La password è modificata dall’incaricato al primo
utilizzo e, successivamente, almeno ogni sei mesi. In
caso di trattamento di dati sensibili e di dati giudiziari
la password è modificata almeno ogni tre mesi.
24. Quale password?
Password VIETATE: quelle che contengano
riferimenti agevolmente riconducibili all'incaricato.
Password SCONSIGLIATE: quelle costituite da
parole contenute in un vocabolario
Gli incaricati non possono lasciare incustodito e
accessibile lo strumento elettronico durante una
sessione di trattamento! (si suggerisce di utilizzare
uno screensaver protetto da password)
Lo stesso codice di autenticazione non può essere
utilizzato per più di un incaricato, nemmeno in tempi
diversi.
25. Sistema di autorizzazione
Quando per gli incaricati sono individuati profili di
autorizzazione di ambito diverso è utilizzato un
sistema di autorizzazione. L'autorizzazione
consente di differenziare i privilegi di accesso allo
stesso sistema informatico da parte di più
soggetti.
Profilo di autorizzazione = insieme delle
informazioni, univocamente associate ad una
persona, che consente di individuare a quali dati
essa può accedere, nonché i trattamenti ad essa
consentiti
26. Documento Programmatico della
Sicurezza (DPS) /1
Entro il 31 marzo di ogni anno deve essere compilato o
aggiornato dal Titolare del trattamento il “Documento
Programmatico della Sicurezza”
Ø Deve essere citato nella relazione consuntiva del
bilancio d’esercizio
Ø Deve essere conservato per presentazione in
occasione di controlli
Deve contenere, al minimo :
§ L’elenco dei trattamenti di dati personali
§ La distribuzione delle responsabilità nella struttura
organizzativa in cui i dati vengono trattati
§ L’analisi dei rischi che incombono sui dati
27. Documento Programmatico della
Sicurezza (DPS) /2
§ Le misure già in essere e da adottare per garantire
l’integrità e la disponibilità dei dati
§ La descrizione dei criteri e delle procedure per il
ripristino della disponibilità dei dati in seguito a
distruzione o danneggiamento
§ La programmazione di eventi formativi per gli incaricati
§ La descrizione dei criteri da adottare in caso di dati
trattati anche da terzi, l’elenco dei terzi stessi e le
modalità con cui i terzi dovranno trattare i dati
§ La descrizione delle procedure di crittazione dei dati,
in caso trattasi di dati sensibili e/o giudiziari
Per la corretta compilazione www.garanteprivacy.it
28. In relazione ai nuovi scenari di rischio, alla
crescente complessità dell'attività istituzionale
caratterizzata da un intenso utilizzo della
tecnologia dell'informazione, le pubbliche
amministrazioni predispongono i piani di
emergenza in grado di assicurare la continuità
delle operazioni indispensabili per il servizio e il
ritorno alla normale operatività.
Art. 50 Bis L. 196/03:
Continuità operativa
29. Le pubbliche amministrazioni definiscono il piano di
continuità operativa, che fissa gli obiettivi e i principi
da perseguire, descrive le procedure per la
gestione della continuità operativa, anche affidate a
soggetti esterni. Il piano tiene conto delle potenziali
criticità relative a risorse umane, strutturali,
tecnologiche e contiene idonee misure preventive.
Le amministrazioni pubbliche verificano la
funzionalità del piano di continuità operativa con
cadenza biennale;
Art. 50 Bis L. 196/03:
Piano Continuità operativa
30. Le pubbliche amministrazioni definiscono il piano di disaster
recovery, che costituisce parte integrante di quello di
continuità operativa di cui alla lettera a) e stabilisce le
misure tecniche e organizzative per garantire il
funzionamento dei centri di elaborazione dati e delle
procedure informatiche rilevanti in siti alternativi a quelli di
produzione. DigitPA, sentito il Garante per la protezione dei
dati personali, definisce le linee guida per le soluzioni
tecniche idonee a garantire la salvaguardia dei dati e delle
applicazioni informatiche, verifica annualmente il costante
aggiornamento dei piani di disaster recovery delle
amministrazioni interessate e ne informa annualmente il
Ministro per la pubblica amministrazione e l'innovazione.
Art. 50 Bis L. 196/03:
Disaster recovery
31. Con le regole tecniche adottate ai sensi dell'articolo 71
sono individuate le modalità che garantiscono l'esattezza, la
disponibilità, l'accessibilità, l'integrità e la riservatezza dei
dati, dei sistemi e delle infrastrutture.
1-bis. DigitPA, ai fini dell'attuazione del comma 1:
• raccorda le iniziative di prevenzione e gestione degli
incidenti di sicurezza informatici;
• promuove intese con le analoghe strutture internazionali;
• segnala al Ministro per la pubblica amministrazione e
l'innovazione il mancato rispetto delle regole tecniche di
cui al comma 1 da parte delle pubbliche amministrazioni.
Art. 51 Bis L. 196/03: Sicurezza dei dati,
dei sistemi e delle infrastrutture delle PA /1
32. I documenti informatici delle pubbliche
amministrazioni devono essere custoditi e
controllati con modalità tali da ridurre al minimo i
rischi di distruzione, perdita, accesso non
autorizzato o non consentito o non conforme alle
finalità della raccolta.
2-bis. Le amministrazioni hanno l'obbligo di
aggiornare tempestivamente i dati nei propri archivi,
non appena vengano a conoscenza dell'inesattezza
degli stessi.
Art. 51 Bis L. 196/03: Sicurezza dei dati,
dei sistemi e delle infrastrutture delle PA /2
33. Art. 12. DPCM Sicurezza del
sistema di conservazione
Nelle pubbliche amministrazioni, il responsabile della
conservazione, di concerto con il responsabile della sicurezza e,
nel caso delle pubbliche amministrazioni centrali, anche con il
responsabile dell’ufficio di cui all’art. 17 del Codice, provvede a
predisporre, nell’ambito del piano generale della sicurezza, il
piano della sicurezza del sistema di conservazione, nel rispetto
delle misure di sicurezza previste dagli articoli da 31 a 36
[MINIME E IDONEE!] del decreto legislativo 30 giugno 2003, n.
196 e dal disciplinare tecnico di cui all’allegato B del medesimo
decreto, nonché in coerenza con quanto previsto dagli articoli 50-
bis e 51 del Codice e dalle relative linee guida emanate
dall’Agenzia per l’Italia digitale.
34. Misure minime e misure idonee
Le misure minime di sicurezza individuate nel Codice della privacy
(allegato B) sono necessari ma non sufficienti per garantire una
sicurezza adeguata dei dati personali, sensibili e giudiziari.
A queste misure minime è necessario affiancare delle misure idonee
così come indicato anche nell'Art. 31 dove si parla di “adozione di
idonee e preventive misure di sicurezza” in base al progesso
tecnico.
Ad esempio i tempi di aggiornamento dei sistemi di sicurezza indicati
in almeno 6 mesi nell'allegato B non sono certamente sufficienti.
Nella sicurezza informatica gli aggiornamenti sono a volte giornalieri
(vedi ad esempio i sistemi antivirus o antispam).
Lo stesso per i tempi di backup almeno settimanali che possono
essere ridotti facilmente a tempi quotidiani grazie all'adozione di
sistemi di backup automatizzati.
35. CONCLUSIONI
Le misure minime di sicurezza non sono sufficienti per garantire
realmente la privacy dei dati.
La sicurezza non si ottiene semplicemente acquistando prodotti
hardware o software.
E' necessario adottare una cultura della sicurezza che non si limiti
agli ambiti tecnici ma anche a quelli gestionali ed operativi in
qualsiasi settore.
Il nuovo Codice della privacy è solo un punto di partenza e non un
punto di arrivo.
Il DPS non deve essere considerato solo un adempimento ma uno
strumento per identificare le problematiche legate alla gestione
globale dei dati sensibili.
“La sicurezza in un sistema informatico non è un prodotto ma un
processo” Bruce Schneier