1
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI
SICUREZZA
Sistema di autenticazione informatica
1.
Il trattamento di dati personali con strumenti elettronici è
consentito agli incaricati dotati di credenziali di autenticazione che
consentano il superamento di una procedura di autenticazione relativa
a uno specifico trattamento o a un insieme di trattamenti.
INCARICATO
Credenziali di autenticazione
Identificazione
Autenticazione
2
AUTENTICAZIONE INFORMATICA
2. Le credenziali di autenticazione consistono in un codice per
l’identificazione dell’incaricato associato a una parola chiave
riservata conosciuta solamente dal medesimo oppure in un dispositivo di
autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente
associato a un codice identificativo o a una parola chiave, oppure in una
caratteristica biometrica dell’incaricato, eventualmente associata a un
codice identificativo o a una parola chiave
3
AUTENTICAZIONE NON E’ IDENTIFICAZIONE
Identificazione
L’incaricato fornisce un codice di
identificazione
1° Livello
Solitamente un codice che non cambia:
il proprio nome, il codice fiscale, un
numero a scelta
Autenticazione
2° Livello:Verifica
4
Inserimento del codice di verifica
Autenticazione
I requisiti dipendono dalla natura
dell’interfaccia tra incaricato e sistema
Applicazioni su PC
Sono sufficienti:
Identificazione visiva
Registrazione manuale
Utenti in linea
Necessario un sistema di verifica
automatizzato
Manutenzione del sistema
Rischio altissimo.
Accesso consentito in aree controllate
a mezzo verifica visiva e verifica
automatica
5
Autenticazione
Se i dipendenti utilizzano
promiscuamente lo stesso
terminale
Facoltativa la ripetizione
dell’autenticazione (ma raccomandabile)
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti
e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei
dati personali destinati alla diffusione
6
3. Ad ogni incaricato sono assegnate o associate individualmente una o più
credenziali per l’autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie
cautele per assicurare la segretezza della componente riservata della credenziale
e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da
almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo
permetta, da un numero di caratteri pari al massimo consentito; essa non contiene
riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo
al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento
di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre
mesi.
6. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad
altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono
disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione
tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che
consente all’incaricato l’accesso ai dati personali.
7
Assegnazione di una chiave per il primo
accesso al sistema
ALMENO 8
CARATTERI
Dopo il primo accesso la chiave è
disattivata
L’incaricato inserisce la nuova chiave
ALMENO 8
CARATTERI
Disattivazione
Dopo 6 mesi di utilizzo
In caso di perdita
della qualità
dell’Incaricato
8
10. Quando l’accesso ai dati e agli strumenti elettronici è consentito
esclusivamente mediante uso della componente riservata della credenziale
per l’autenticazione, sono impartite idonee e preventive disposizioni scritte
volte a individuare chiaramente le modalità con le quali il titolare può
assicurare la disponibilità di dati o strumenti elettronici in caso di
prolungata assenza o impedimento dell’incaricato che renda indispensabile
e indifferibile intervenire per esclusive necessità di operatività e di
sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è
organizzata
garantendo
la
relativa
segretezza
e
individuando
preventivamente per iscritto i soggetti incaricati della loro custodia, i quali
devono informare tempestivamente l’incaricato dell’intervento effettuato.
9
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e
accessibile lo strumento elettronico durante una sessione di
trattamento.
NON LASCIARE INCUSTODITO
LO STRUMENTO ELETTRONICO!
10
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di
ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi
omogenee di incaricati, sono individuati e configurati anteriormente
all’inizio del trattamento, in modo da limitare l’accesso ai soli dati
necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la
sussistenza delle condizioni per la conservazione dei profili di
autorizzazione.
11
16. I dati personali sono protetti contro il rischio di intrusione e
dell’azione di programmi di cui all’art. 615-quinquies del codice
penale, mediante l’attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti
a prevenire la vulnerabilità di strumenti elettronici e a
correggerne difetti sono effettuati almeno annualmente. In caso
di trattamento di dati sensibili o giudiziari l’aggiornamento è
almeno semestrale.
VIRUS!!
Art 615 quinquies C.P. – Diffusione di programmi diretti a danneggiare o interrompere un
sistema informatico (omissis) ..,Reclusione sino a due anni e multa fino a 20 milioni
12
VIRUS!!
POSTA ELETTRONICA
WORM
Si propaga attraverso la posta elettronica.
Distrugge i file e si moltiplica. E’ limitato
all’ambiente Microsoft Windows. Se l’allegato viene
aperto, il virus invia copie di se stesso a tutte le
caselle elettroniche che si trovano negli indirizzi
della rubrica. Installa un programma che cattura le
parole chiave
Allarme
Virus!
Diffusione velocissima. Utilizza tutti gli indirizzi di
posta elettronica. Ha infettato il Fondo Monetario
Internazionale, la NASA, ecc.
NON AVVIARE MAI IL COMPUTER CON
UN FLOPPY O UN CD ROM NON
CONTROLLATO!
13
VIRUS!!
POSTA ELETTRONICA
DoS
Denial of Service: il virus penetra nel sistema e
crea una situazione di collasso mediante
esaurimento delle risorse del sistema. Lo blocca e
distrugge i dati
Octopus
Apre simultaneamente in rete un gran numero di
connessioni, occupando sempre più memoria, fin
quando questa si esaurisce ed il computer si blocca
AGGIORNATE SEMPRE IL SISTEMA CON
APPROPRIATI ANTIVIRUS!
14
VIRUS!!
Computer
ZOMBI
Linee DSL
POSTA ELETTRONICA
Un computer collegato in rete viene asservito ad un
sistema che gli impone di fare determinate
operazioni
Se si è collegati con DSL, l’indirizzo non cambia
mai, a differenza di altri collegamenti, che
impongono di volta in volta identificazioni diverse.
Gli attacchi esterni diventano più facili, una volta
individuato il sistema
ASSICURATEVI CHE SULLA LINEA VI
SIA SEMPRE UN FIREWALL!
15
VIRUS!!
Spoofing
Attacchi
distribuiti
POSTA ELETTRONICA
Attacchi che impongono al sistema di analizzare
una grande quantità di indirizzi fasulli, fino
all’esaurimento delle risorse.
Un sistema viene attaccato da virus di tipo Trojan
(cavallo di Troia). A sua volta questo sistema
diffonde il virus in migliaia di altri sistemi fino al
collasso dell’intera rete.
NON APRITE ALLEGATI SOSPETTI
16
VIRUS!!
WORM
Sobig.F
POSTA ELETTRONICA
Uno dei peggiori attacchi del 2003. L’apertura di
un allegato lo diffonde sul sistema e su tutti i
collegamenti in rete. Sfrutta una debolezza di
Windows
Blaster
Ha obbligato 400 mila computer a collegarsi in un
medesimo istante al sito Microsoft
NON APRITE ALLEGATI SOSPETTI
17
BACKUP DEI DATI
18. Sono impartite istruzioni organizzative e tecniche che prevedono il
salvataggio dei dati con frequenza almeno settimanale.
Le procedure devono prevedere:
Luogo di conservazione delle
copie
Codifica delle etichette e dei
contrassegni
Frequenza di rotazione supporti
Metodi per il trasferimento dei
dati all’archivio esterno
I dati possono essere copiati su floppy, CD ROM, cassette,
HD esterni, dischi ottici.
18
SUPPORTI PER IL BACKUP DEI DATI
Pregi
FLOPPY
Difetti
Soluzione più economica
Capacità di archiviazione bassa
Velocità trasferimento bassa
Resistenza all’usura e campi magnetici bassa
CASSETTE A
NASTRO
Basso costo
Automatismo di copie tramite software
Scarsa diffusione tra utenti medi
COMPACT DISC
Basso costo
Grande capacità
ALTRI SUPPORTI
19
Buona protezione da agenti esterni
TIPI di BACKUP DEI DATI
TIPI DI DATI DA COPIARE
Pregi
Difetti
Copia tutti i file del disco
COPIA COMPLETA
Lungo tempo di elaborazione
Operazione onerosa
Copia solo i file creati o modificati dopo
l’ultimo backup
COPIA INCREMENTALE
Utilizzo più efficiente del supporto
Minor tempo impiegato
Necessità di identificare la directory per
copiare tutti i file
COPIA
DIFFERENZIALE
20
Copia i dati confrontandoli con l’ultima copia di
backup.
Maggior tempo
LISTA DI CONTROLLO PER IL BACKUP DEI DATI
CONTROLLI SUGGERITI
 Il tipo di copia scelto garantisce l’integrità e la disponibilità immediata dei dati?
 Quali categorie di dati devono essere salvate?
 Con quale frequenza vengono fatti i backup?
 Con quale rapidità si possono recuperare i dati in caso di emergenza?
 Chi è autorizzato a recuperare le copie?
 E’ stata eseguita una simulazione delle operazioni in caso di crash del sistema?
 Dove e come sono conservate le copie di backup?
 C’è una copertura assicurativa per il recupero dei dati da parte di terzi?
 Le copie sono state adeguatamente contrassegnate?
 Si è stabilito il tempo di conservazione delle copie?
 Le copie vengono periodicamente verificate (leggibilità)?
 Perché si è scelto il supporto utilizzato invece di altri?
21
Documento programmatico sulla sicurezza - Contenuto
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati
sensibili o di dati giudiziari redige anche attraverso il responsabile, se
designato, un documento programmatico sulla sicurezza contenente
idonee informazioni riguardo:
Da redigersi o modificare entro il 31.3 di ogni anno
E’ il documento fondamentale organico, che analizza i rischi del sistema
informativo
E’ previsto solo per il trattamento dei dati GIUDIZIARI o SENSIBILI
MA E’ RACCOMANDABILE IN OGNI CASO
22
Documento programmatico sulla sicurezza - Contenuto
19.1. l’elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle
strutture preposte al trattamento dei dati;
19.3. l’analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l’integrità e la disponibilità dei
dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro
custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della
disponibilità dei dati in seguito a distruzione o danneggiamento di cui al
successivo punto 23;
23
Documento programmatico sulla sicurezza - Contenuto
19.6. la previsione di interventi formativi degli incaricati del trattamento, per
renderli edotti dei rischi che incombono sui dati, delle misure disponibili per
prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali
più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e
delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La
formazione è programmata già al momento dell’ingresso in servizio, nonché in
occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi
strumenti, rilevanti rispetto al trattamento di dati personali;
ATTENZIONE!
Ai cambi di mansione
Istruzioni sulla conservazione delle chiavi e
dei supporti
Inserire la formazione nell’orario di lavoro
Impedire il trattamento prima del termine
della formazione
Non abilitare le chiavi prima della conclusione
della formazione
24
ESEMPIO DI CONTENUTO DEL PIANO DI FORMAZIONE
1)
Analisi delle disposizioni di legge
2)
Analisi e studio del Disciplinare sulle misure minime di sicurezza
3)
Responsabilità civili e penali
4)
Le figure che intervengono: responsabile, titolare, incaricato
5)
Le notificazioni, l’Informativa, il Consenso
6)
Analisi degli apparati di sicurezza:
25
1)
Principi di sicurezza
2)
Misure di prevenzione e contenimento del danno
3)
Strumenti hardware e software di protezione
4)
Contenitori di sicurezza
5)
Sistemi anti intrusione
6)
Sistemi di spegnimento incendi, rimedi per allagamenti, cadute di tensione,
danni volontari o involontari alle apparecchiature
7)
Rischi di collegamenti internet
ESEMPIO DI CONTENUTO DEL PIANO DI FORMAZIONE
8)
Creazione e conservazione dei backup
9)
Comportamenti preventivi e procedure di emergenza
10) I rischi ed i rimedi in caso di disaster recovery
26
8)
Uso della manualistica
9)
Nozioni sulle norme previste dalla D.Lvo.626/94 (sicurezza)
Esempio di lista di controllo per la sicurezza dei computer
1.
Esiste un inventario aggiornato degli strumenti(computer) e dei supporti?
2.
I dischetti e gli altri supporti sono conservati in luoghi sicuri?
3.
E’ disponibile un elenco delle persone autorizzate all’accesso dei dati e dei
livelli consentiti per ognuno?
4.
Gli utilizzatori dei computer conoscono l’hardware in modo sufficiente a
prevenire danni accidentali?
5.
I sistemi di autenticazione sono efficienti, aggiornati e conformi ai profili
degli utilizzatori?
6.
Quando si installa nuovo software, gli incaricati sono informati del suo uso?
7.
Esiste un piano rigoroso che impone le copie di backup ed un controllo specifico
sulla sua attuazione?
8.
I rischi sono valutati ogni volta che si installa nuovo software o hardware?
9.
Vi sono sufficienti dispositivi di sicurezza atti ad impedire l’accesso non
autorizzato o il furto dei dati?
10. Esistono dispositivi di emergenza contro le scariche atmosferiche?
27
Esempio di lista di controllo per la sicurezza dei computer
11) Esiste un’adeguata protezione dei dati sensibili o giudiziari?
12) Sono state rispettate le distanze di visualizzazione da parte di terzi
13) E’ stata prevista una disattivazione temporanea del sistema, in caso di
abbandono temporaneo del posto di lavoro?
14) I supporti riutilizzabili sono stati adeguatamente cancellati, con tecniche
sicure?
15) In caso di eliminazione di computer, si è provveduto ad eliminare i dati in esso
contenuti?
28
CAPITOLI CONSIGLIATI DEL DPS
1
CAPITOLO I – INQUADRAMENTO STRUTTURALE E ORGANIZZATIVO
1.
Inquadramento dei dati e modalità di trattamento
2.
Elaborazione dell’organigramma delle persone che hanno accesso ai dati
3.
Descrizione dei ruoli e delle responsabilità di ciascun incaricato
CAPITOLO II – ANALISI DEI RISCHI
1.
Rischi di distruzione o perdita intenzionale o accidentale
2.
Rischi di violazione dell’integrità dei dati
3.
Rischi di accesso non autorizzato
4.
Rischi connessi alla rete, ed al reimpiego dei supporti di sicurezza
CAPITOLO III – MISURE DI CONTENIMENTO DEL RISCHIO
1.
Misure di prevenzione
2.
Misure di contenimento e riduzione del danno
3.
Misure atte a coprire patrimonialmente il danno (assicurazione)
29
CAPITOLI CONSIGLIATI DEL DPS
2
CAPITOLO IV – CONTINENCY PLANNING E DISASTER RECOVERY
1.
Descrizione del piano di emergenza per consentire al titolare l’immediata
disponibilità dei dati danneggiati o perduti
CAPITOLO V – PROGRAMMA DI FORMAZIONE DEGLI INCARICATI
1.
Formazione degli addetti (incaricati)
CAPITOLO VI – CAUTELE IN CASO DI AFFIDAMENTO A TERZI
1.
Caso di affidamento della sicurezza ad una struttura esterna
2.
Istruzioni analitiche da impartire al terzo
3.
Istituzione dei controlli del rispetto delle istruzioni
CAPITOLO VII – MISURE PER TRATTAMENTO DATI SENSIBILI
1.
Criteri per la cifratura o separazione dagli altri dati, per i dati personali
sensibili (stato di salute, vita sessuale, origini razziali, opinioni politiche ecc.)
CAPITOLO VIII – PIANO DI VERIFICHE E AGGIORNAMENTO
1.
Modalità di controllo e aggiornamento del DPS
30
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui
all’ art. 615- ter del codice penale, mediante l’utilizzo di idonei strumenti
elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e
l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare
accessi non autorizzati e trattamenti non consentiti.
31
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non
utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere
riutilizzati da altri incaricati, non autorizzati al trattamento degli
stessi dati, se le informazioni precedentemente in essi contenute non
sono intelligibili e tecnicamente in alcun modo ricostruibili.
Come può essere creato un danno al sistema?
Utilizzo di sistemi di autenticazione non annullati
Accesso attraverso linee non sufficientemente protette
Danni provocati al sistema da agenti esterni (p.es. estintori,ecc.)
Contraffazioni di documenti di accesso
32
RIUTILIZZO E CANCELLAZIONE DEI SUPPORTI
Disposizione applicabile ai dati sensibili e giudiziari
MA CONSIGLIABILE IN OGNI CASO
Tutti i supporti di memoria possono trattenere dati anche se si è certi di
averli cancellati:
 RAM (Random Access Memory) : in genere i dati si perdono con il
mancare dell’alimentazione ma talvolta non si cancellano
 ROM (Read Only Memory) : i dati ivi caricati non si cancellano
 Supporti magnetici: dischi, cassette, stampanti laser con memoria, fax
con memoria, scanner, copie automatiche di backup su disco fisso in
directory solitamente non usate
33
RIUTILIZZO E CANCELLAZIONE DEI SUPPORTI
Floppy
Altri supporti magnetici
Quando si cancella si elimina solo la FAT. E’ quindi possibile
ripristinare i dati con semplici programmi di recupero in
commercio. Per essere sicuri dell’eliminazione dei dati
occorre sovrascrivere sul supporto
Supporti e
documentazio
ne cartacei
Forse i più insidiosi. Occorre un distruggi documenti. Evitare
i cestini e contenitori di riciclaggio carta.
ELIMINAZIONE
Non gettare via i supporti usati senza averli resi inservibili.
Per es. floppy, CD, ecc. possono essere bruciati o deformati
con la fiamma di un accendino.
34
Misure di tutela e garanzia
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio
d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del
documento programmatico sulla sicurezza.
!
OBBLIGO DI INDICAZIONE NELLA NOTA INTEGRATIVA O
SOLO NELLA RELAZIONE SULLA GESTIONE?
SI ATTENDONO CHIARIMENTI
35