1 DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. INCARICATO Credenziali di autenticazione Identificazione Autenticazione 2 AUTENTICAZIONE INFORMATICA 2. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave 3 AUTENTICAZIONE NON E’ IDENTIFICAZIONE Identificazione L’incaricato fornisce un codice di identificazione 1° Livello Solitamente un codice che non cambia: il proprio nome, il codice fiscale, un numero a scelta Autenticazione 2° Livello:Verifica 4 Inserimento del codice di verifica Autenticazione I requisiti dipendono dalla natura dell’interfaccia tra incaricato e sistema Applicazioni su PC Sono sufficienti: Identificazione visiva Registrazione manuale Utenti in linea Necessario un sistema di verifica automatizzato Manutenzione del sistema Rischio altissimo. Accesso consentito in aree controllate a mezzo verifica visiva e verifica automatica 5 Autenticazione Se i dipendenti utilizzano promiscuamente lo stesso terminale Facoltativa la ripetizione dell’autenticazione (ma raccomandabile) 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione 6 3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione. 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato. 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. 6. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali. 7 Assegnazione di una chiave per il primo accesso al sistema ALMENO 8 CARATTERI Dopo il primo accesso la chiave è disattivata L’incaricato inserisce la nuova chiave ALMENO 8 CARATTERI Disattivazione Dopo 6 mesi di utilizzo In caso di perdita della qualità dell’Incaricato 8 10. Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato. 9 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. NON LASCIARE INCUSTODITO LO STRUMENTO ELETTRONICO! 10 Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. 11 16. I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale. VIRUS!! Art 615 quinquies C.P. – Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (omissis) ..,Reclusione sino a due anni e multa fino a 20 milioni 12 VIRUS!! POSTA ELETTRONICA WORM Si propaga attraverso la posta elettronica. Distrugge i file e si moltiplica. E’ limitato all’ambiente Microsoft Windows. Se l’allegato viene aperto, il virus invia copie di se stesso a tutte le caselle elettroniche che si trovano negli indirizzi della rubrica. Installa un programma che cattura le parole chiave Allarme Virus! Diffusione velocissima. Utilizza tutti gli indirizzi di posta elettronica. Ha infettato il Fondo Monetario Internazionale, la NASA, ecc. NON AVVIARE MAI IL COMPUTER CON UN FLOPPY O UN CD ROM NON CONTROLLATO! 13 VIRUS!! POSTA ELETTRONICA DoS Denial of Service: il virus penetra nel sistema e crea una situazione di collasso mediante esaurimento delle risorse del sistema. Lo blocca e distrugge i dati Octopus Apre simultaneamente in rete un gran numero di connessioni, occupando sempre più memoria, fin quando questa si esaurisce ed il computer si blocca AGGIORNATE SEMPRE IL SISTEMA CON APPROPRIATI ANTIVIRUS! 14 VIRUS!! Computer ZOMBI Linee DSL POSTA ELETTRONICA Un computer collegato in rete viene asservito ad un sistema che gli impone di fare determinate operazioni Se si è collegati con DSL, l’indirizzo non cambia mai, a differenza di altri collegamenti, che impongono di volta in volta identificazioni diverse. Gli attacchi esterni diventano più facili, una volta individuato il sistema ASSICURATEVI CHE SULLA LINEA VI SIA SEMPRE UN FIREWALL! 15 VIRUS!! Spoofing Attacchi distribuiti POSTA ELETTRONICA Attacchi che impongono al sistema di analizzare una grande quantità di indirizzi fasulli, fino all’esaurimento delle risorse. Un sistema viene attaccato da virus di tipo Trojan (cavallo di Troia). A sua volta questo sistema diffonde il virus in migliaia di altri sistemi fino al collasso dell’intera rete. NON APRITE ALLEGATI SOSPETTI 16 VIRUS!! WORM Sobig.F POSTA ELETTRONICA Uno dei peggiori attacchi del 2003. L’apertura di un allegato lo diffonde sul sistema e su tutti i collegamenti in rete. Sfrutta una debolezza di Windows Blaster Ha obbligato 400 mila computer a collegarsi in un medesimo istante al sito Microsoft NON APRITE ALLEGATI SOSPETTI 17 BACKUP DEI DATI 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Le procedure devono prevedere: Luogo di conservazione delle copie Codifica delle etichette e dei contrassegni Frequenza di rotazione supporti Metodi per il trasferimento dei dati all’archivio esterno I dati possono essere copiati su floppy, CD ROM, cassette, HD esterni, dischi ottici. 18 SUPPORTI PER IL BACKUP DEI DATI Pregi FLOPPY Difetti Soluzione più economica Capacità di archiviazione bassa Velocità trasferimento bassa Resistenza all’usura e campi magnetici bassa CASSETTE A NASTRO Basso costo Automatismo di copie tramite software Scarsa diffusione tra utenti medi COMPACT DISC Basso costo Grande capacità ALTRI SUPPORTI 19 Buona protezione da agenti esterni TIPI di BACKUP DEI DATI TIPI DI DATI DA COPIARE Pregi Difetti Copia tutti i file del disco COPIA COMPLETA Lungo tempo di elaborazione Operazione onerosa Copia solo i file creati o modificati dopo l’ultimo backup COPIA INCREMENTALE Utilizzo più efficiente del supporto Minor tempo impiegato Necessità di identificare la directory per copiare tutti i file COPIA DIFFERENZIALE 20 Copia i dati confrontandoli con l’ultima copia di backup. Maggior tempo LISTA DI CONTROLLO PER IL BACKUP DEI DATI CONTROLLI SUGGERITI Il tipo di copia scelto garantisce l’integrità e la disponibilità immediata dei dati? Quali categorie di dati devono essere salvate? Con quale frequenza vengono fatti i backup? Con quale rapidità si possono recuperare i dati in caso di emergenza? Chi è autorizzato a recuperare le copie? E’ stata eseguita una simulazione delle operazioni in caso di crash del sistema? Dove e come sono conservate le copie di backup? C’è una copertura assicurativa per il recupero dei dati da parte di terzi? Le copie sono state adeguatamente contrassegnate? Si è stabilito il tempo di conservazione delle copie? Le copie vengono periodicamente verificate (leggibilità)? Perché si è scelto il supporto utilizzato invece di altri? 21 Documento programmatico sulla sicurezza - Contenuto 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: Da redigersi o modificare entro il 31.3 di ogni anno E’ il documento fondamentale organico, che analizza i rischi del sistema informativo E’ previsto solo per il trattamento dei dati GIUDIZIARI o SENSIBILI MA E’ RACCOMANDABILE IN OGNI CASO 22 Documento programmatico sulla sicurezza - Contenuto 19.1. l’elenco dei trattamenti di dati personali; 19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; 19.3. l’analisi dei rischi che incombono sui dati; 19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 23 Documento programmatico sulla sicurezza - Contenuto 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; ATTENZIONE! Ai cambi di mansione Istruzioni sulla conservazione delle chiavi e dei supporti Inserire la formazione nell’orario di lavoro Impedire il trattamento prima del termine della formazione Non abilitare le chiavi prima della conclusione della formazione 24 ESEMPIO DI CONTENUTO DEL PIANO DI FORMAZIONE 1) Analisi delle disposizioni di legge 2) Analisi e studio del Disciplinare sulle misure minime di sicurezza 3) Responsabilità civili e penali 4) Le figure che intervengono: responsabile, titolare, incaricato 5) Le notificazioni, l’Informativa, il Consenso 6) Analisi degli apparati di sicurezza: 25 1) Principi di sicurezza 2) Misure di prevenzione e contenimento del danno 3) Strumenti hardware e software di protezione 4) Contenitori di sicurezza 5) Sistemi anti intrusione 6) Sistemi di spegnimento incendi, rimedi per allagamenti, cadute di tensione, danni volontari o involontari alle apparecchiature 7) Rischi di collegamenti internet ESEMPIO DI CONTENUTO DEL PIANO DI FORMAZIONE 8) Creazione e conservazione dei backup 9) Comportamenti preventivi e procedure di emergenza 10) I rischi ed i rimedi in caso di disaster recovery 26 8) Uso della manualistica 9) Nozioni sulle norme previste dalla D.Lvo.626/94 (sicurezza) Esempio di lista di controllo per la sicurezza dei computer 1. Esiste un inventario aggiornato degli strumenti(computer) e dei supporti? 2. I dischetti e gli altri supporti sono conservati in luoghi sicuri? 3. E’ disponibile un elenco delle persone autorizzate all’accesso dei dati e dei livelli consentiti per ognuno? 4. Gli utilizzatori dei computer conoscono l’hardware in modo sufficiente a prevenire danni accidentali? 5. I sistemi di autenticazione sono efficienti, aggiornati e conformi ai profili degli utilizzatori? 6. Quando si installa nuovo software, gli incaricati sono informati del suo uso? 7. Esiste un piano rigoroso che impone le copie di backup ed un controllo specifico sulla sua attuazione? 8. I rischi sono valutati ogni volta che si installa nuovo software o hardware? 9. Vi sono sufficienti dispositivi di sicurezza atti ad impedire l’accesso non autorizzato o il furto dei dati? 10. Esistono dispositivi di emergenza contro le scariche atmosferiche? 27 Esempio di lista di controllo per la sicurezza dei computer 11) Esiste un’adeguata protezione dei dati sensibili o giudiziari? 12) Sono state rispettate le distanze di visualizzazione da parte di terzi 13) E’ stata prevista una disattivazione temporanea del sistema, in caso di abbandono temporaneo del posto di lavoro? 14) I supporti riutilizzabili sono stati adeguatamente cancellati, con tecniche sicure? 15) In caso di eliminazione di computer, si è provveduto ad eliminare i dati in esso contenuti? 28 CAPITOLI CONSIGLIATI DEL DPS 1 CAPITOLO I – INQUADRAMENTO STRUTTURALE E ORGANIZZATIVO 1. Inquadramento dei dati e modalità di trattamento 2. Elaborazione dell’organigramma delle persone che hanno accesso ai dati 3. Descrizione dei ruoli e delle responsabilità di ciascun incaricato CAPITOLO II – ANALISI DEI RISCHI 1. Rischi di distruzione o perdita intenzionale o accidentale 2. Rischi di violazione dell’integrità dei dati 3. Rischi di accesso non autorizzato 4. Rischi connessi alla rete, ed al reimpiego dei supporti di sicurezza CAPITOLO III – MISURE DI CONTENIMENTO DEL RISCHIO 1. Misure di prevenzione 2. Misure di contenimento e riduzione del danno 3. Misure atte a coprire patrimonialmente il danno (assicurazione) 29 CAPITOLI CONSIGLIATI DEL DPS 2 CAPITOLO IV – CONTINENCY PLANNING E DISASTER RECOVERY 1. Descrizione del piano di emergenza per consentire al titolare l’immediata disponibilità dei dati danneggiati o perduti CAPITOLO V – PROGRAMMA DI FORMAZIONE DEGLI INCARICATI 1. Formazione degli addetti (incaricati) CAPITOLO VI – CAUTELE IN CASO DI AFFIDAMENTO A TERZI 1. Caso di affidamento della sicurezza ad una struttura esterna 2. Istruzioni analitiche da impartire al terzo 3. Istituzione dei controlli del rispetto delle istruzioni CAPITOLO VII – MISURE PER TRATTAMENTO DATI SENSIBILI 1. Criteri per la cifratura o separazione dagli altri dati, per i dati personali sensibili (stato di salute, vita sessuale, origini razziali, opinioni politiche ecc.) CAPITOLO VIII – PIANO DI VERIFICHE E AGGIORNAMENTO 1. Modalità di controllo e aggiornamento del DPS 30 Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’ art. 615- ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 31 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Come può essere creato un danno al sistema? Utilizzo di sistemi di autenticazione non annullati Accesso attraverso linee non sufficientemente protette Danni provocati al sistema da agenti esterni (p.es. estintori,ecc.) Contraffazioni di documenti di accesso 32 RIUTILIZZO E CANCELLAZIONE DEI SUPPORTI Disposizione applicabile ai dati sensibili e giudiziari MA CONSIGLIABILE IN OGNI CASO Tutti i supporti di memoria possono trattenere dati anche se si è certi di averli cancellati: RAM (Random Access Memory) : in genere i dati si perdono con il mancare dell’alimentazione ma talvolta non si cancellano ROM (Read Only Memory) : i dati ivi caricati non si cancellano Supporti magnetici: dischi, cassette, stampanti laser con memoria, fax con memoria, scanner, copie automatiche di backup su disco fisso in directory solitamente non usate 33 RIUTILIZZO E CANCELLAZIONE DEI SUPPORTI Floppy Altri supporti magnetici Quando si cancella si elimina solo la FAT. E’ quindi possibile ripristinare i dati con semplici programmi di recupero in commercio. Per essere sicuri dell’eliminazione dei dati occorre sovrascrivere sul supporto Supporti e documentazio ne cartacei Forse i più insidiosi. Occorre un distruggi documenti. Evitare i cestini e contenitori di riciclaggio carta. ELIMINAZIONE Non gettare via i supporti usati senza averli resi inservibili. Per es. floppy, CD, ecc. possono essere bruciati o deformati con la fiamma di un accendino. 34 Misure di tutela e garanzia 26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. ! OBBLIGO DI INDICAZIONE NELLA NOTA INTEGRATIVA O SOLO NELLA RELAZIONE SULLA GESTIONE? SI ATTENDONO CHIARIMENTI 35