SlideShare ist ein Scribd-Unternehmen logo

Le normative in materia di sicurezza informatica.

G
gmorelli78

Modulo 2 del corso sulla sicurezza informatica per gli insegnati dei team per l’innovazione digitale.

Internet
1 von 36
Downloaden Sie, um offline zu lesen
Modulo 2 - Le normative in materia di sicurezza informatica. La sicurezza informatica Relatore : Giuseppe Morelli
Attualità
La sicurezza è un processo dinamico. Non esistono soluzioni preconfezionate, o applicabili a tutti. E' impossibile raggiungere la sicurezza “assoluta”, in quanto non esistono sistemi sicuri. Occorre puntare a un grado ragionevole e adeguato di sicurezza. Oltre alla sicurezza logica non si deve dimenticare la sicurezza fisica. Sicurezza Informatica
Le normative in materia di sicurezza informatica /1 •  Codice in materia di protezione dei dati personali Legge n. 196/2003; •  Art. 51 del CAD. - Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni; •  Art. 21 DPCM regole tecniche SPC (1 aprile 2008); •  Art. 20, comma 3, lett b) DL 83/2012;
Le normative in materia di sicurezza informatica /2 •  Decreto crescita 2.0: DL 18 ottobre 2012 n. 179 convertito nella legge 17 dicembre 2012 n. 221 Art. 33‐septies, comma 1, Consolidamento e razionalizzazione dei siti e delle infrastrutture digitali del Paese. •  DPCM 24 gennaio 2013 GU n.66 del 19‐3‐ 2013 recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale.
NORMATIVA CARDINE: D.LGS. 196/2003 MISURE DI SICUREZZA MINIME IDONEE
Il nuovo Codice della privacy (D.Lgs. 196/2003), approvato alla fine di giugno 2003, rappresenta una vera e propria rivoluzione in questo settore. E' un Codice “voluminoso” con i suoi 186 articoli e 3 allegati; è entrato in vigore nel primo gennaio 2004 ed è un aggiornamento sostanziale del precedente D.P.R. 318/99. La Legge 196 del 2003
L'obiettivo fondamentale del Codice è: §  accorpare e semplificare i numerosi provvedimenti legislativi che hanno integrato la legge 675/96 in materia di protezione dei dati personali; §  introdurre di uno specifico disciplinare tecnico, allegato B, in materia di misure minime di sicurezza. Obiettivi della Legge 196/03
Art. 2 della l. 196/03: finalità Il presente testo unico, di seguito denominato “codice”, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.
Art. 4 della l. 196/03: Dato personale È qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Art. 4 della l. 196/03: Dati sensibili sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
Art. 4 della l. 196/03: Dati identificativi sono i dati personali che permettono l’identificazione diretta dell’interessato;
Art. 4 della l. 196/03: Dati giudiziari sono i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
Art. 5 della l. 196/03: oggetto ed ambito di applicazione Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
Art. 31 della l. 196/03: obbligo di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Art. 33 della legge 196/03: misure minime Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali
Inosservanza di misure minime e idonee Inosservanza delle misure minime Mancata adozione delle misure idonee Sanzione penale Responsabilità civile
Sanzioni Sono previste sanzioni amministrative e penali, per il responsabile legale dell’azienda e/o per il responsabile del trattamento dei dati e/o per chiunque, essendovi tenuto, omette di adottare le misure di sicurezza Gli illeciti amministrativi sono regolati dagli artt. 161/164, e puniti con sanzioni da 500 Euro a 60.000 Euro. Gli illeciti penali sono regolati dagli artt. 167/171, e puniti con grosse ammende o reclusione fino a 3 anni.
Art. 34 L. 196/03: misure minime /1 Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: •  autenticazione informatica; •  adozione di procedure di gestione delle credenziali di autenticazione; •  utilizzazione di un sistema di autorizzazione; •  aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
Art. 34 L. 196/03: Misure minime /2 •  protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; •  adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; •  tenuta di un aggiornato documento programmatico sulla sicurezza; •  adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Autenticazione informatica Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione Le credenziali di autenticazione possono consistere in: §  un codice per l'identificazione dell'incaricato associato a una parola chiave riservata; §  un dispositivo di autenticazione; §  una caratteristica biometrica dell'incaricato Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.
Autenticazione informatica Le tre tipologie di autenticazione al sistema informatico: §  in base a quello che si è (DNA, impronte digitali, impronta vocale, schema retinico, stile della grafia…); §  in base a quello che si ha (tesserino identificativo, badge, chiave hardware…); §  in base a quello che conosce (password, PIN …)
Le credenziali di autentificazione §  La parola chiave (password), quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. §  La password non può contenere riferimenti agevolmente riconducibili all'incaricato. §  La password è modificata dall’incaricato al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la password è modificata almeno ogni tre mesi.
Quale password? Password VIETATE: quelle che contengano riferimenti agevolmente riconducibili all'incaricato. Password SCONSIGLIATE: quelle costituite da parole contenute in un vocabolario Gli incaricati non possono lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento! (si suggerisce di utilizzare uno screensaver protetto da password) Lo stesso codice di autenticazione non può essere utilizzato per più di un incaricato, nemmeno in tempi diversi.
Sistema di autorizzazione Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. L'autorizzazione consente di differenziare i privilegi di accesso allo stesso sistema informatico da parte di più soggetti. Profilo di autorizzazione = insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti
Documento Programmatico della Sicurezza (DPS) /1 Entro il 31 marzo di ogni anno deve essere compilato o aggiornato dal Titolare del trattamento il “Documento Programmatico della Sicurezza” Ø  Deve essere citato nella relazione consuntiva del bilancio d’esercizio Ø  Deve essere conservato per presentazione in occasione di controlli Deve contenere, al minimo : §  L’elenco dei trattamenti di dati personali §  La distribuzione delle responsabilità nella struttura organizzativa in cui i dati vengono trattati §  L’analisi dei rischi che incombono sui dati
Documento Programmatico della Sicurezza (DPS) /2 §  Le misure già in essere e da adottare per garantire l’integrità e la disponibilità dei dati §  La descrizione dei criteri e delle procedure per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento §  La programmazione di eventi formativi per gli incaricati §  La descrizione dei criteri da adottare in caso di dati trattati anche da terzi, l’elenco dei terzi stessi e le modalità con cui i terzi dovranno trattare i dati §  La descrizione delle procedure di crittazione dei dati, in caso trattasi di dati sensibili e/o giudiziari Per la corretta compilazione www.garanteprivacy.it
In relazione ai nuovi scenari di rischio, alla crescente complessità dell'attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell'informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività. Art. 50 Bis L. 196/03: Continuità operativa
Le pubbliche amministrazioni definiscono il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale; Art. 50 Bis L. 196/03: Piano Continuità operativa
Le pubbliche amministrazioni definiscono il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l'innovazione. Art. 50 Bis L. 196/03: Disaster recovery
Con le regole tecniche adottate ai sensi dell'articolo 71 sono individuate le modalità che garantiscono l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture. 1-bis. DigitPA, ai fini dell'attuazione del comma 1: •  raccorda le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici; •  promuove intese con le analoghe strutture internazionali; •  segnala al Ministro per la pubblica amministrazione e l'innovazione il mancato rispetto delle regole tecniche di cui al comma 1 da parte delle pubbliche amministrazioni. Art. 51 Bis L. 196/03: Sicurezza dei dati, dei sistemi e delle infrastrutture delle PA /1
I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta. 2-bis. Le amministrazioni hanno l'obbligo di aggiornare tempestivamente i dati nei propri archivi, non appena vengano a conoscenza dell'inesattezza degli stessi. Art. 51 Bis L. 196/03: Sicurezza dei dati, dei sistemi e delle infrastrutture delle PA /2
Art. 12. DPCM Sicurezza del sistema di conservazione Nelle pubbliche amministrazioni, il responsabile della conservazione, di concerto con il responsabile della sicurezza e, nel caso delle pubbliche amministrazioni centrali, anche con il responsabile dell’ufficio di cui all’art. 17 del Codice, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, nel rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 [MINIME E IDONEE!] del decreto legislativo 30 giugno 2003, n. 196 e dal disciplinare tecnico di cui all’allegato B del medesimo decreto, nonché in coerenza con quanto previsto dagli articoli 50- bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale.
Misure minime e misure idonee Le misure minime di sicurezza individuate nel Codice della privacy (allegato B) sono necessari ma non sufficienti per garantire una sicurezza adeguata dei dati personali, sensibili e giudiziari. A queste misure minime è necessario affiancare delle misure idonee così come indicato anche nell'Art. 31 dove si parla di “adozione di idonee e preventive misure di sicurezza” in base al progesso tecnico. Ad esempio i tempi di aggiornamento dei sistemi di sicurezza indicati in almeno 6 mesi nell'allegato B non sono certamente sufficienti. Nella sicurezza informatica gli aggiornamenti sono a volte giornalieri (vedi ad esempio i sistemi antivirus o antispam). Lo stesso per i tempi di backup almeno settimanali che possono essere ridotti facilmente a tempi quotidiani grazie all'adozione di sistemi di backup automatizzati.
CONCLUSIONI Le misure minime di sicurezza non sono sufficienti per garantire realmente la privacy dei dati. La sicurezza non si ottiene semplicemente acquistando prodotti hardware o software. E' necessario adottare una cultura della sicurezza che non si limiti agli ambiti tecnici ma anche a quelli gestionali ed operativi in qualsiasi settore. Il nuovo Codice della privacy è solo un punto di partenza e non un punto di arrivo. Il DPS non deve essere considerato solo un adempimento ma uno strumento per identificare le problematiche legate alla gestione globale dei dati sensibili. “La sicurezza in un sistema informatico non è un prodotto ma un processo” Bruce Schneier
GRAZIE PER L’ATTENZIONE Giuseppe Morelli: info@giuseppemorelli.it

Empfohlen

Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
Concetti di base (per iniziare)
Concetti di base (per iniziare)Concetti di base (per iniziare)
Concetti di base (per iniziare)Lorenzo Cassarisi
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaVincenzo Calabrò
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Alfabetizzazione informatica 8 ore
Alfabetizzazione informatica 8 oreAlfabetizzazione informatica 8 ore
Alfabetizzazione informatica 8 oreBruno Marzemin
 
Cenni di informatica generale
Cenni di informatica generaleCenni di informatica generale
Cenni di informatica generaleGiuseppe Vetti
 

Empfohlen

Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
Concetti di base (per iniziare)
Concetti di base (per iniziare)Concetti di base (per iniziare)
Concetti di base (per iniziare)Lorenzo Cassarisi
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaVincenzo Calabrò
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Alfabetizzazione informatica 8 ore
Alfabetizzazione informatica 8 oreAlfabetizzazione informatica 8 ore
Alfabetizzazione informatica 8 oreBruno Marzemin
 
Cenni di informatica generale
Cenni di informatica generaleCenni di informatica generale
Cenni di informatica generaleGiuseppe Vetti
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Ergonomia e sicurezza (ecdl)
Ergonomia e sicurezza (ecdl)Ergonomia e sicurezza (ecdl)
Ergonomia e sicurezza (ecdl)Franco Iacovelli
 
HARDWARE & SOFTWARE
HARDWARE & SOFTWAREHARDWARE & SOFTWARE
HARDWARE & SOFTWAREGiuseppeSquillaci1
 
Architettura e nozioni di base
Architettura e nozioni di baseArchitettura e nozioni di base
Architettura e nozioni di baseFranco Marra
 
Modulo 1 ECDL
Modulo 1 ECDLModulo 1 ECDL
Modulo 1 ECDLAntonio Fini
 
MODULO 1-Informatica di Base
MODULO 1-Informatica di BaseMODULO 1-Informatica di Base
MODULO 1-Informatica di BaseLeonardo Pergolini
 
Concetti Di Base Di Informatica
Concetti Di Base Di InformaticaConcetti Di Base Di Informatica
Concetti Di Base Di InformaticaFrancesco Caliulo
 
Le cartelle di Windows 10 e "Esplora file"
Le cartelle di Windows 10 e "Esplora file"Le cartelle di Windows 10 e "Esplora file"
Le cartelle di Windows 10 e "Esplora file"Franco Marra
 
Corso di informatica di base lezione 1 - conoscere il pc
Corso di informatica di base lezione 1 - conoscere il pcCorso di informatica di base lezione 1 - conoscere il pc
Corso di informatica di base lezione 1 - conoscere il pcEnrico Mori
 
Informatica di base
Informatica di baseInformatica di base
Informatica di baseBruno Montalto
 
SD Corso Word
SD Corso WordSD Corso Word
SD Corso WordAndrea248812
 
Reti di computer e protocolli
Reti di computer e protocolliReti di computer e protocolli
Reti di computer e protocollifilibertodicarlo
 
Reti e internet
Reti e internetReti e internet
Reti e internetyrcorr
 
Crittografia
Crittografia Crittografia
Crittografia Andrea Gottardi
 
Sistemi Operativi: Introduzione - Lezione 01
Sistemi Operativi: Introduzione - Lezione 01Sistemi Operativi: Introduzione - Lezione 01
Sistemi Operativi: Introduzione - Lezione 01Majong DevJfu
 
Architettura di un computer, istituto tecnico
Architettura di un computer, istituto tecnicoArchitettura di un computer, istituto tecnico
Architettura di un computer, istituto tecnicocesarem
 
Nuova ECDL - 7-Online collaboration
Nuova ECDL - 7-Online collaborationNuova ECDL - 7-Online collaboration
Nuova ECDL - 7-Online collaborationNino Lopez
 
2 ecdl modulo2-online-essential explorer+gmail
2 ecdl modulo2-online-essential explorer+gmail2 ecdl modulo2-online-essential explorer+gmail
2 ecdl modulo2-online-essential explorer+gmailPietro Latino
 
Reti Informatiche
Reti InformaticheReti Informatiche
Reti Informatichebity1988
 
Informatica corso base hw e sw
Informatica corso base hw e swInformatica corso base hw e sw
Informatica corso base hw e swDaniele Bottoni Comotti
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 

Weitere ähnliche Inhalte

Was ist angesagt?

Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Ergonomia e sicurezza (ecdl)
Ergonomia e sicurezza (ecdl)Ergonomia e sicurezza (ecdl)
Ergonomia e sicurezza (ecdl)Franco Iacovelli
 
Architettura e nozioni di base
Architettura e nozioni di baseArchitettura e nozioni di base
Architettura e nozioni di baseFranco Marra
 
Concetti Di Base Di Informatica
Concetti Di Base Di InformaticaConcetti Di Base Di Informatica
Concetti Di Base Di InformaticaFrancesco Caliulo
 
Le cartelle di Windows 10 e "Esplora file"
Le cartelle di Windows 10 e "Esplora file"Le cartelle di Windows 10 e "Esplora file"
Le cartelle di Windows 10 e "Esplora file"Franco Marra
 
Corso di informatica di base lezione 1 - conoscere il pc
Corso di informatica di base lezione 1 - conoscere il pcCorso di informatica di base lezione 1 - conoscere il pc
Corso di informatica di base lezione 1 - conoscere il pcEnrico Mori
 
Reti di computer e protocolli
Reti di computer e protocolliReti di computer e protocolli
Reti di computer e protocollifilibertodicarlo
 
Reti e internet
Reti e internetReti e internet
Reti e internetyrcorr
 
Sistemi Operativi: Introduzione - Lezione 01
Sistemi Operativi: Introduzione - Lezione 01Sistemi Operativi: Introduzione - Lezione 01
Sistemi Operativi: Introduzione - Lezione 01Majong DevJfu
 
Architettura di un computer, istituto tecnico
Architettura di un computer, istituto tecnicoArchitettura di un computer, istituto tecnico
Architettura di un computer, istituto tecnicocesarem
 
Nuova ECDL - 7-Online collaboration
Nuova ECDL - 7-Online collaborationNuova ECDL - 7-Online collaboration
Nuova ECDL - 7-Online collaborationNino Lopez
 
2 ecdl modulo2-online-essential explorer+gmail
2 ecdl modulo2-online-essential explorer+gmail2 ecdl modulo2-online-essential explorer+gmail
2 ecdl modulo2-online-essential explorer+gmailPietro Latino
 
Reti Informatiche
Reti InformaticheReti Informatiche
Reti Informatichebity1988
 

Was ist angesagt? (20)

Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza Informatica
 
Ergonomia e sicurezza (ecdl)
Ergonomia e sicurezza (ecdl)Ergonomia e sicurezza (ecdl)
Ergonomia e sicurezza (ecdl)
 
HARDWARE & SOFTWARE
HARDWARE & SOFTWAREHARDWARE & SOFTWARE
HARDWARE & SOFTWARE
 
Architettura e nozioni di base
Architettura e nozioni di baseArchitettura e nozioni di base
Architettura e nozioni di base
 
Modulo 1 ECDL
Modulo 1 ECDLModulo 1 ECDL
Modulo 1 ECDL
 
MODULO 1-Informatica di Base
MODULO 1-Informatica di BaseMODULO 1-Informatica di Base
MODULO 1-Informatica di Base
 
Concetti Di Base Di Informatica
Concetti Di Base Di InformaticaConcetti Di Base Di Informatica
Concetti Di Base Di Informatica
 
Le cartelle di Windows 10 e "Esplora file"
Le cartelle di Windows 10 e "Esplora file"Le cartelle di Windows 10 e "Esplora file"
Le cartelle di Windows 10 e "Esplora file"
 
Corso di informatica di base lezione 1 - conoscere il pc
Corso di informatica di base lezione 1 - conoscere il pcCorso di informatica di base lezione 1 - conoscere il pc
Corso di informatica di base lezione 1 - conoscere il pc
 
Informatica di base
Informatica di baseInformatica di base
Informatica di base
 
SD Corso Word
SD Corso WordSD Corso Word
SD Corso Word
 
Reti di computer e protocolli
Reti di computer e protocolliReti di computer e protocolli
Reti di computer e protocolli
 
Reti e internet
Reti e internetReti e internet
Reti e internet
 
Crittografia
Crittografia Crittografia
Crittografia
 
Sistemi Operativi: Introduzione - Lezione 01
Sistemi Operativi: Introduzione - Lezione 01Sistemi Operativi: Introduzione - Lezione 01
Sistemi Operativi: Introduzione - Lezione 01
 
Architettura di un computer, istituto tecnico
Architettura di un computer, istituto tecnicoArchitettura di un computer, istituto tecnico
Architettura di un computer, istituto tecnico
 
Nuova ECDL - 7-Online collaboration
Nuova ECDL - 7-Online collaborationNuova ECDL - 7-Online collaboration
Nuova ECDL - 7-Online collaboration
 
2 ecdl modulo2-online-essential explorer+gmail
2 ecdl modulo2-online-essential explorer+gmail2 ecdl modulo2-online-essential explorer+gmail
2 ecdl modulo2-online-essential explorer+gmail
 
Reti Informatiche
Reti InformaticheReti Informatiche
Reti Informatiche
 
Informatica corso base hw e sw
Informatica corso base hw e swInformatica corso base hw e sw
Informatica corso base hw e sw
 

Andere mochten auch

Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 
I servizi offerti da internet: posta elettronica, cloud computing, forum e so...
I servizi offerti da internet: posta elettronica, cloud computing, forum e so...I servizi offerti da internet: posta elettronica, cloud computing, forum e so...
I servizi offerti da internet: posta elettronica, cloud computing, forum e so...gmorelli78
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel webgmorelli78
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...AmmLibera AL
 
Sicurezza informatica personale e protezione della privacy
Sicurezza informatica personale e protezione della privacySicurezza informatica personale e protezione della privacy
Sicurezza informatica personale e protezione della privacyMaurizio Graffio Mazzoneschi
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?Natascia Edera
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
 
Progetto sanità 2.0 v1.1
Progetto sanità 2.0 v1.1Progetto sanità 2.0 v1.1
Progetto sanità 2.0 v1.1Idelfo Borgo
 
Innovazione digitale in sanità
Innovazione digitale in sanitàInnovazione digitale in sanità
Innovazione digitale in sanitàPietro Leo
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiFabio Guasconi
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
GDPR Tutorial - 7 Registri e protezione dei dati
GDPR Tutorial - 7 Registri e protezione dei dati GDPR Tutorial - 7 Registri e protezione dei dati
GDPR Tutorial - 7 Registri e protezione dei dati Massimo Carnevali
 
Sicurezza in Rete ed uso consapevole dei Social network
Sicurezza in Rete ed uso consapevole dei Social networkSicurezza in Rete ed uso consapevole dei Social network
Sicurezza in Rete ed uso consapevole dei Social networkRoBisc
 
Corso di "Sicurezza delle Reti Applicata"
Corso di "Sicurezza delle Reti Applicata"Corso di "Sicurezza delle Reti Applicata"
Corso di "Sicurezza delle Reti Applicata"Gian Luca Petrillo
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Infografica: Tutti i numeri del successo SmartSign in Caf Cisl
Infografica: Tutti i numeri del successo SmartSign in Caf CislInfografica: Tutti i numeri del successo SmartSign in Caf Cisl
Infografica: Tutti i numeri del successo SmartSign in Caf CislITWorking srl
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma DigitaleMario Varini
 

Andere mochten auch (20)

Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridica
 
I servizi offerti da internet: posta elettronica, cloud computing, forum e so...
I servizi offerti da internet: posta elettronica, cloud computing, forum e so...I servizi offerti da internet: posta elettronica, cloud computing, forum e so...
I servizi offerti da internet: posta elettronica, cloud computing, forum e so...
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel web
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
 
Sicurezza informatica personale e protezione della privacy
Sicurezza informatica personale e protezione della privacySicurezza informatica personale e protezione della privacy
Sicurezza informatica personale e protezione della privacy
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
 
Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?Sicurezza Informatica: Strumenti o Persone?
Sicurezza Informatica: Strumenti o Persone?
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
 
Progetto sanità 2.0 v1.1
Progetto sanità 2.0 v1.1Progetto sanità 2.0 v1.1
Progetto sanità 2.0 v1.1
 
Innovazione digitale in sanità
Innovazione digitale in sanitàInnovazione digitale in sanità
Innovazione digitale in sanità
 
Internet of Things
Internet of ThingsInternet of Things
Internet of Things
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamenti
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
GDPR Tutorial - 7 Registri e protezione dei dati
GDPR Tutorial - 7 Registri e protezione dei dati GDPR Tutorial - 7 Registri e protezione dei dati
GDPR Tutorial - 7 Registri e protezione dei dati
 
Sicurezza in Rete ed uso consapevole dei Social network
Sicurezza in Rete ed uso consapevole dei Social networkSicurezza in Rete ed uso consapevole dei Social network
Sicurezza in Rete ed uso consapevole dei Social network
 
Corso di "Sicurezza delle Reti Applicata"
Corso di "Sicurezza delle Reti Applicata"Corso di "Sicurezza delle Reti Applicata"
Corso di "Sicurezza delle Reti Applicata"
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
Infografica: Tutti i numeri del successo SmartSign in Caf Cisl
Infografica: Tutti i numeri del successo SmartSign in Caf CislInfografica: Tutti i numeri del successo SmartSign in Caf Cisl
Infografica: Tutti i numeri del successo SmartSign in Caf Cisl
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma Digitale
 

Ähnlich wie Le normative in materia di sicurezza informatica.

2011 11-17 videosorveglianza
2011 11-17 videosorveglianza2011 11-17 videosorveglianza
2011 11-17 videosorveglianzaMarzio Vaglio
 
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTContinuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTSergio Primo Del Bello
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacyRaimondo Villano
 
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...Digital Law Communication
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informaticaCouncil of Europe
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemGiuseppe Torre
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthAdriano Bertolino
 
Normativa Mobile device, Marketing, Videosorveglianza
Normativa Mobile device, Marketing, VideosorveglianzaNormativa Mobile device, Marketing, Videosorveglianza
Normativa Mobile device, Marketing, VideosorveglianzaPolaris informatica
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 

Ähnlich wie Le normative in materia di sicurezza informatica. (20)

2011 11-17 videosorveglianza
2011 11-17 videosorveglianza2011 11-17 videosorveglianza
2011 11-17 videosorveglianza
 
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTContinuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
 
M. Parretti - Privacy e Conservazione
M. Parretti - Privacy e ConservazioneM. Parretti - Privacy e Conservazione
M. Parretti - Privacy e Conservazione
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacy
 
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
Avvocato carozzi
Avvocato carozziAvvocato carozzi
Avvocato carozzi
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informatica
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystem
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
 
Normativa Mobile device, Marketing, Videosorveglianza
Normativa Mobile device, Marketing, VideosorveglianzaNormativa Mobile device, Marketing, Videosorveglianza
Normativa Mobile device, Marketing, Videosorveglianza
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r
 
Gdpr marco longoni
Gdpr marco longoniGdpr marco longoni
Gdpr marco longoni
 

Le normative in materia di sicurezza informatica.

  • 1. Modulo 2 - Le normative in materia di sicurezza informatica. La sicurezza informatica Relatore : Giuseppe Morelli
  • 3. La sicurezza è un processo dinamico. Non esistono soluzioni preconfezionate, o applicabili a tutti. E' impossibile raggiungere la sicurezza “assoluta”, in quanto non esistono sistemi sicuri. Occorre puntare a un grado ragionevole e adeguato di sicurezza. Oltre alla sicurezza logica non si deve dimenticare la sicurezza fisica. Sicurezza Informatica
  • 4. Le normative in materia di sicurezza informatica /1 •  Codice in materia di protezione dei dati personali Legge n. 196/2003; •  Art. 51 del CAD. - Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni; •  Art. 21 DPCM regole tecniche SPC (1 aprile 2008); •  Art. 20, comma 3, lett b) DL 83/2012;
  • 5. Le normative in materia di sicurezza informatica /2 •  Decreto crescita 2.0: DL 18 ottobre 2012 n. 179 convertito nella legge 17 dicembre 2012 n. 221 Art. 33‐septies, comma 1, Consolidamento e razionalizzazione dei siti e delle infrastrutture digitali del Paese. •  DPCM 24 gennaio 2013 GU n.66 del 19‐3‐ 2013 recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale.
  • 6. NORMATIVA CARDINE: D.LGS. 196/2003 MISURE DI SICUREZZA MINIME IDONEE
  • 7. Il nuovo Codice della privacy (D.Lgs. 196/2003), approvato alla fine di giugno 2003, rappresenta una vera e propria rivoluzione in questo settore. E' un Codice “voluminoso” con i suoi 186 articoli e 3 allegati; è entrato in vigore nel primo gennaio 2004 ed è un aggiornamento sostanziale del precedente D.P.R. 318/99. La Legge 196 del 2003
  • 8. L'obiettivo fondamentale del Codice è: §  accorpare e semplificare i numerosi provvedimenti legislativi che hanno integrato la legge 675/96 in materia di protezione dei dati personali; §  introdurre di uno specifico disciplinare tecnico, allegato B, in materia di misure minime di sicurezza. Obiettivi della Legge 196/03
  • 9. Art. 2 della l. 196/03: finalità Il presente testo unico, di seguito denominato “codice”, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.
  • 10. Art. 4 della l. 196/03: Dato personale È qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
  • 11. Art. 4 della l. 196/03: Dati sensibili sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
  • 12. Art. 4 della l. 196/03: Dati identificativi sono i dati personali che permettono l’identificazione diretta dell’interessato;
  • 13. Art. 4 della l. 196/03: Dati giudiziari sono i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
  • 14. Art. 5 della l. 196/03: oggetto ed ambito di applicazione Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
  • 15. Art. 31 della l. 196/03: obbligo di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
  • 16. Art. 33 della legge 196/03: misure minime Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali
  • 17. Inosservanza di misure minime e idonee Inosservanza delle misure minime Mancata adozione delle misure idonee Sanzione penale Responsabilità civile
  • 18. Sanzioni Sono previste sanzioni amministrative e penali, per il responsabile legale dell’azienda e/o per il responsabile del trattamento dei dati e/o per chiunque, essendovi tenuto, omette di adottare le misure di sicurezza Gli illeciti amministrativi sono regolati dagli artt. 161/164, e puniti con sanzioni da 500 Euro a 60.000 Euro. Gli illeciti penali sono regolati dagli artt. 167/171, e puniti con grosse ammende o reclusione fino a 3 anni.
  • 19. Art. 34 L. 196/03: misure minime /1 Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: •  autenticazione informatica; •  adozione di procedure di gestione delle credenziali di autenticazione; •  utilizzazione di un sistema di autorizzazione; •  aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
  • 20. Art. 34 L. 196/03: Misure minime /2 •  protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; •  adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; •  tenuta di un aggiornato documento programmatico sulla sicurezza; •  adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
  • 21. Autenticazione informatica Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione Le credenziali di autenticazione possono consistere in: §  un codice per l'identificazione dell'incaricato associato a una parola chiave riservata; §  un dispositivo di autenticazione; §  una caratteristica biometrica dell'incaricato Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.
  • 22. Autenticazione informatica Le tre tipologie di autenticazione al sistema informatico: §  in base a quello che si è (DNA, impronte digitali, impronta vocale, schema retinico, stile della grafia…); §  in base a quello che si ha (tesserino identificativo, badge, chiave hardware…); §  in base a quello che conosce (password, PIN …)
  • 23. Le credenziali di autentificazione §  La parola chiave (password), quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. §  La password non può contenere riferimenti agevolmente riconducibili all'incaricato. §  La password è modificata dall’incaricato al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la password è modificata almeno ogni tre mesi.
  • 24. Quale password? Password VIETATE: quelle che contengano riferimenti agevolmente riconducibili all'incaricato. Password SCONSIGLIATE: quelle costituite da parole contenute in un vocabolario Gli incaricati non possono lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento! (si suggerisce di utilizzare uno screensaver protetto da password) Lo stesso codice di autenticazione non può essere utilizzato per più di un incaricato, nemmeno in tempi diversi.
  • 25. Sistema di autorizzazione Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. L'autorizzazione consente di differenziare i privilegi di accesso allo stesso sistema informatico da parte di più soggetti. Profilo di autorizzazione = insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti
  • 26. Documento Programmatico della Sicurezza (DPS) /1 Entro il 31 marzo di ogni anno deve essere compilato o aggiornato dal Titolare del trattamento il “Documento Programmatico della Sicurezza” Ø  Deve essere citato nella relazione consuntiva del bilancio d’esercizio Ø  Deve essere conservato per presentazione in occasione di controlli Deve contenere, al minimo : §  L’elenco dei trattamenti di dati personali §  La distribuzione delle responsabilità nella struttura organizzativa in cui i dati vengono trattati §  L’analisi dei rischi che incombono sui dati
  • 27. Documento Programmatico della Sicurezza (DPS) /2 §  Le misure già in essere e da adottare per garantire l’integrità e la disponibilità dei dati §  La descrizione dei criteri e delle procedure per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento §  La programmazione di eventi formativi per gli incaricati §  La descrizione dei criteri da adottare in caso di dati trattati anche da terzi, l’elenco dei terzi stessi e le modalità con cui i terzi dovranno trattare i dati §  La descrizione delle procedure di crittazione dei dati, in caso trattasi di dati sensibili e/o giudiziari Per la corretta compilazione www.garanteprivacy.it
  • 28. In relazione ai nuovi scenari di rischio, alla crescente complessità dell'attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell'informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività. Art. 50 Bis L. 196/03: Continuità operativa
  • 29. Le pubbliche amministrazioni definiscono il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale; Art. 50 Bis L. 196/03: Piano Continuità operativa
  • 30. Le pubbliche amministrazioni definiscono il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l'innovazione. Art. 50 Bis L. 196/03: Disaster recovery
  • 31. Con le regole tecniche adottate ai sensi dell'articolo 71 sono individuate le modalità che garantiscono l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture. 1-bis. DigitPA, ai fini dell'attuazione del comma 1: •  raccorda le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici; •  promuove intese con le analoghe strutture internazionali; •  segnala al Ministro per la pubblica amministrazione e l'innovazione il mancato rispetto delle regole tecniche di cui al comma 1 da parte delle pubbliche amministrazioni. Art. 51 Bis L. 196/03: Sicurezza dei dati, dei sistemi e delle infrastrutture delle PA /1
  • 32. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta. 2-bis. Le amministrazioni hanno l'obbligo di aggiornare tempestivamente i dati nei propri archivi, non appena vengano a conoscenza dell'inesattezza degli stessi. Art. 51 Bis L. 196/03: Sicurezza dei dati, dei sistemi e delle infrastrutture delle PA /2
  • 33. Art. 12. DPCM Sicurezza del sistema di conservazione Nelle pubbliche amministrazioni, il responsabile della conservazione, di concerto con il responsabile della sicurezza e, nel caso delle pubbliche amministrazioni centrali, anche con il responsabile dell’ufficio di cui all’art. 17 del Codice, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, nel rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 [MINIME E IDONEE!] del decreto legislativo 30 giugno 2003, n. 196 e dal disciplinare tecnico di cui all’allegato B del medesimo decreto, nonché in coerenza con quanto previsto dagli articoli 50- bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale.
  • 34. Misure minime e misure idonee Le misure minime di sicurezza individuate nel Codice della privacy (allegato B) sono necessari ma non sufficienti per garantire una sicurezza adeguata dei dati personali, sensibili e giudiziari. A queste misure minime è necessario affiancare delle misure idonee così come indicato anche nell'Art. 31 dove si parla di “adozione di idonee e preventive misure di sicurezza” in base al progesso tecnico. Ad esempio i tempi di aggiornamento dei sistemi di sicurezza indicati in almeno 6 mesi nell'allegato B non sono certamente sufficienti. Nella sicurezza informatica gli aggiornamenti sono a volte giornalieri (vedi ad esempio i sistemi antivirus o antispam). Lo stesso per i tempi di backup almeno settimanali che possono essere ridotti facilmente a tempi quotidiani grazie all'adozione di sistemi di backup automatizzati.
  • 35. CONCLUSIONI Le misure minime di sicurezza non sono sufficienti per garantire realmente la privacy dei dati. La sicurezza non si ottiene semplicemente acquistando prodotti hardware o software. E' necessario adottare una cultura della sicurezza che non si limiti agli ambiti tecnici ma anche a quelli gestionali ed operativi in qualsiasi settore. Il nuovo Codice della privacy è solo un punto di partenza e non un punto di arrivo. Il DPS non deve essere considerato solo un adempimento ma uno strumento per identificare le problematiche legate alla gestione globale dei dati sensibili. “La sicurezza in un sistema informatico non è un prodotto ma un processo” Bruce Schneier
  • 36. GRAZIE PER L’ATTENZIONE Giuseppe Morelli: info@giuseppemorelli.it