La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows - Relatore :Ing. Giuseppe Bono
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
La sicurezza delle reti
informatiche :
la legge sulla Privacy e la
piattaforma Windows
Relatore :Ing. Giuseppe Bono
gbono@soluzionidimpresa.itLegge 196/03: principi base
E’ il D.Lgs. n° 196 del 30 giugno 2003
Riunisce in un Testo Unico le precedenti leggi sulla Privacy (L.
675/96, DPR 318/99)
Garantisce diritti e libertà fondamentali, la dignità dell’interessato e la
protezione dei dati personali, al passo con le tecnologie correnti.
“Chiunque ha diritto alla protezione dei dati personali che lo
riguardano” (art.1)
Chiunque tratta dati personali è tenuto a rispettare gli obblighi previsti
dal Testo Unico :
Aziende, Imprese, Ditte, Professionisti, Enti Pubblici, Scuole,
Organizzazioni ed esercenti le professioni Sanitarie, Banche,
Assicurazioni, Pubblica Amministrazione, Uffici Giudiziari ed
esercenti le professioni Giudiziarie, … e altre categorie ancora…
Devono essere protetti, in particolare :
Dati Personali, Dati Identificativi, Dati Giudiziari, Dati SensibiliLegge 196/03: principi base I dati devono essere : Completi, aggiornati e non eccedenti rispetto agli scopi Raccolti, registrati e conservati secondo gli scopi Trattati in modo lecito e corretto Trattati per un periodo di tempo non superiore a quello necessario agli scopi Il fine è ridurre al minimo le fonti di rischio e garantire la massima integrità, riservatezza, disponibilità ed aggiornamento delle informazioni Devono essere adottate idonee e preventive misure di sicurezza per garantire la protezione delle informazioni Le “misure di sicurezza” rappresentano un processo globale, per l’attuazione del quale sono richieste competenze specifiche ed attenzione diffusa
Disciplinare tecnico
Sono state predisposte una serie di “misure minime di sicurezza”,
individuate negli artt. 31-36 e nell’Allegato B del T.U., obbligatorie
per chi tratta i dati personali con strumenti elettronici :
Autenticazione informatica
Procedure di gestione delle credenziali di autenticazione
(password, codici identificativi, certificati digitali, carte a
microprocessore, caratteristiche biometriche)
Sistema di autorizzazione informatica
Protezione dei sistemi dagli accessi non consentiti (protezione
da virus, worm, trojans, accessi di persone non autorizzate)
Aggiornamento dei sistemi con le ultime patch
Procedure di backup e ripristino di dati e sistemi
Tenuta del “Documento Programmatico sulla Sicurezza” (DPS)
Tecniche di cifratura (per chi tratta dati idonei a rivelare lo stato
di salute o la vita sessuale di individui)Sanzioni
Sono previste sanzioni amministrative e penali, per il responsabile
legale dell’azienda e/o per il responsabile del trattamento dei dati
e/o per chiunque, essendovi tenuto, omette di adottare le misure di
sicurezza
Gli illeciti amministrativi sono regolati dagli artt. 161/164, e puniti
con sanzioni da 500 Eu a 60.000 Eu
Omessa informativa all’interessato
Omessa notificazione al Garante
Omessa esibizione di documenti al Garante
Cessione impropria dei dati
Gli illeciti penali sono regolati dagli artt. 167/171, e puniti con
grosse ammende o reclusione fino a 3 anni
Trattamento illecito dei dati personali
Falsità delle dichiarazioni e notificazioni al Garante
Omessa adozione delle misure minime di sicurezza
Inosservanza dei provvedimenti del garanteAutenticazione informatica
Procedimento con cui un individuo viene riconosciuto come tale
In un sistema informatico possono esserci varie forme di autenticazione
Ogni incaricato al trattamento dei dati deve essere munito di una o più
credenziali di autenticazione :
user-id + parola chiave (nome utente e password)
dispositivo di autenticazione + eventuale codice o parola chiave (smart card, USB
token o altro con codice annesso)
Caratteristica biometrica + eventuale codice o parola chiave (impronta digitale,
scansione iride o retina)
Le credenziali di autenticazione sono individuali per ogni incaricato
La parola chiave, se prevista, deve avere le seguenti caratteristiche:
Lunga almeno 8 caratteri (o lunga il massimo consentito)
Non contenere riferimenti agevolmente riconducibili all’incaricato
Modificata dall’incaricato al primo utilizzo, e poi almeno ogni 6 mesi (3 mesi se i
dati trattati sono dati sensibili e/o giudiziari)
L’incaricato non può cedere le proprie credenziali ad altri
Le credenziali vanno disattivate se non usate da almeno 6 mesi o se non si
possono più ritenere “riservate”Gestione credenziali
Il Titolare deve impartire istruzioni chiare agli incaricati su :
Come assicurare la segretezza delle credenziali di autenticazione
Come custodire con diligenza i dispositivi in possesso
Le modalità per non lasciare incustodito il proprio terminale di lavoro,
durante una sessione di trattamento dei dati
Inoltre il Titolare deve impartire istruzioni agli incaricati in merito :
Alla modalità di accesso ai dati e agli strumenti elettronici, in caso di
prolungata assenza o impedimento dell’incaricato, che renda
indispensabile e indifferibile intervenire per esclusive necessità di
operatività e sicurezza del sistema
Alla procedura da seguire nel caso in cui l’incaricato sia irreperibile,
oppure non sia più in possesso delle sue credenziali di autenticazione, e
si renda nel frattempo necessario un intervento sui dati
All’organizzazione delle copie delle credenziali di autenticazione,
l’identificazione dei responsabili delle copie, e delle relative procedure da
utilizzare nel caso queste debbano essere utilizzateSistema di autorizzazione Un sistema informatico, dopo aver autenticato una persona, cerca il suo “Profilo di Autorizzazione”, cioè l’insieme delle informazioni associate ad una persona, che consente di individuare a quali dati essa può accedere e con quale modalità I profili di autorizzazione possono essere creati Per ciascun incaricato Per classi omogenee di incaricati Devono essere creati prima dell’inizio del trattamento dei dati Devono periodicamente (almeno una volta l’anno) essere verificati, per garantirne la continua coerenza Si possono NON applicare quando i dati trattati sono destinati alla diffusione pubblica
Protezione e aggiornamento
Per l’intero sistema informatico, rivedere e, se necessario, riorganizzare
almeno annualmente gli ambiti di trattamento, la lista degli incaricati e i
profili di autorizzazione
Munirsi di procedure per il salvataggio dei dati, da effettuarsi almeno con
cadenza settimanale
Munirsi di procedure per l’aggiornamento dei software di elaborazione, allo
scopo di prevenire vulnerabilità e correggere difetti, da effettuarsi almeno
con cadenza annuale (semestrale per dati sensibili e/o giudiziari)
L’aggiornamento di programmi Antivirus, Antispyware e Firewall deve
essere eseguito non appena ne esiste uno disponibile
I dati personali devono essere protetti dal rischio di intrusione, utilizzando
opportuni strumenti elettronici
Chiunque diffonde, comunica, consegna un programma informatico avente
per scopo il danneggiamento, l’interruzione o l’alterazione di un sistema
informatico, è punito con ammenda e reclusioneDati sensibili e/o giudiziari
Ulteriori misure di sicurezza :
Prevedere tecniche di cifratura dei dati medesimi, sia quando
memorizzati su supporti magnetici, che quando in
trasferimento da un elaboratore all’altro
Impartire istruzioni precise su come trattare i supporti rimovibili
(CD, DVD, Floppy) che contengono tali dati sensibili
Tali supporti rimovibili devono essere distrutti se non utilizzati
Se non distrutti, possono essere riutilizzati da altre persone
non autorizzate al trattamento dei dati, SOLO SE questi sono
stati resi non intelligibili o tecnicamente in alcun modo
ricostruibili
Prevedere procedure di ripristino dei dati al massimo entro 7
giorni, in caso di distruzione o danneggiamento degli stessiDPS
Entro il 31 marzo di ogni anno deve essere compilato o aggiornato dal Titolare del
trattamento il “Documento Programmatico della Sicurezza”
Deve essere citato nella relazione consuntiva del bilancio d’esercizio
Deve essere conservato per presentazione in occasione di controlli
Deve contenere, al minimo :
L’elenco dei trattamenti di dati personali
La distribuzione delle responsabilità nella struttura organizzativa in cui i dati
vengono trattati
L’analisi dei rischi che incombono sui dati
Le misure già in essere e da adottare per garantire l’integrità e la disponibilità dei
dati
La descrizione dei criteri e delle procedure per il ripristino della disponibilità dei
dati in seguito a distruzione o danneggiamento
La programmazione di eventi formativi per gli incaricati
La descrizione dei criteri da adottare in caso di dati trattati anche da terzi, l’elenco
dei terzi stessi e le modalità con cui i terzi dovranno trattare i dati
La descrizione delle procedure di crittazione dei dati, in caso trattasi di dati
sensibili e/o giudiziari
Per la corretta compilazione, eventualmente usare software applicativi o consultare
www.garanteprivacy.itInformazioni aggiuntive
E’ facoltà del Titolare rivolgersi a consulenti esterni per rendere
conforme la sua organizzazione al Testo Unico sulla Privacy
Deve provvedere a farsi rilasciare una descrizione scritta di
quali sono stati gli interventi che attestano la conformità alla
normativa
E’ prevista la possibilità per chi utilizza strumenti informatici
“obsoleti” (che non consentono l’applicazione delle misure minime
di sicurezza secondo le modalità tecniche dell’Allegato B), di
descriverne le ragioni in un documento a data certa (non oltre il
31/12/2005) da conservare presso la struttura.
In questo caso, il Titolare è comunque tenuto all’aggiornamento dei
propri strumenti informatici entro e non oltre il 31 marzo 2006Soluzioni ……. Soluzioni adatte per le aziende che dispongono di almeno un server di rete e di un numero variabile di pc client La presenza del server di rete permette la centralizzazione di una serie di operazioni, quali autenticazione, backup, gestione patch, ecc.. In particolare, le ultime versioni dei sistemi operativi Microsoft (Windows XP, lato client, e Windows Server 2003, lato server) unitamente alla suite di Office 2003, offrono una serie di funzionalità che rende semplice adeguare il proprio sistema informativo alle misure minime Licenza Software Assurance per il continuo e immediato aggiornamento Firewall Hardware o Sistemi Linux Server
Autenticazione e autorizzazione
Active Directory è la soluzione migliore e adatta ad azienda di ogni dimensione
Utilizza sistemi di autenticazione standard (Kerberos, certificati X.509, smart
card…)
Gestione centralizzata dei profili utenti
Facile gestione delle Liste di Controllo degli accessi per l’impostazione delle
autorizzazioni
Protezione e gestione delle password (lunghezza min/max, scadenza,
rinnovo, complessità…)
Gestione della sicurezza anche dei client collegati
Utilizzo di protocolli standard per l’accesso ai dati (LDAP)
Gestione dell’accesso al software (non solo ai dati) con le Software Restriction
Policy
Possibilità di crittografia aumentate con Windows Server 2003
Supporto e protezione di tutti i protocolli di accesso alle informazioni utilizzati
in InternetProtezione da codici maligni (Microsoft )
ISA Server 2004 è il prodotto migliore per difenderci da virus, worm, trojans ed
altri codici maligni
E’ un firewall multilivello di classe Enterprise
Esegue packet filtering, stateful filtering, application-layer filtering
Controlla l’accesso a Internet degli utenti
“Pubblica” su Internet qualunque server interno
Rileva comuni tentativi di attacco alla rete (IDS)
Rende disponibile in maniera sicura la posta elettronica agli utenti esterni
Connette in maniera sicura sedi distaccate
Assicura un accesso più veloce al contenuto di Internet
Gestisce in maniera sicura i dati lungo connessioni VPN
La versione Enterprise fornisce anche caratteristiche di Load Balancing e
centralizzazione delle policy, per una totale scalabilità anche per aziende
molto grandiProtezione da codici maligni (Open Source) Firewall Server Linux è un ottimo prodotto per difenderci da virus, worm, trojans ed altri codici maligni E’ un firewall multilivello di classe Enterprise Esegue packet filtering, stateful filtering, application-layer filtering Controlla l’accesso a Internet degli utenti, se configurato correttamente “Pubblica” su Internet qualunque server interno tramite il Web Server Apache Rileva comuni tentativi di attacco alla rete (IDS) Rende disponibile in maniera sicura la posta elettronica agli utenti esterni Connette in maniera sicura sedi distaccate con diversi protocolli sicuri Assicura un accesso più veloce al contenuto di Internet
Aggiornamento dei sistemi
Due soluzioni di tipo centralizzato
WSUS e SMS 2003 (Windows Server Update Services)
GRATUITO!
Scarica e installa automaticamente e in maniera mirata patch e update di
diversi prodotti Microsoft
Capacità di reporting e opzioni di database
Gestione semplice via web
Update per i Sistemi linux
Gestione dell’inventario del software e degli asset informatici
Aggiornamento del Kernel
Identificazione delle vulnerabilità e distribuzione di patch e update in maniera
mirata
Potenti capacità di reporting e database
Monitoring delle applicazioni
Integrazione con i servizi di Active Directory e KerbosBackup e ripristino dei dati
SQL Server e My SQL garantiscono l’affidabilità e la sicurezza delle basi di
dati
Supporta diverse tecnologie hardware e software per la gestione dell’alta
affidabilità.
SQL Server e My SQL garantiscono il pieno supporto dei requisiti di legge per
il trattamento dei dati:
Crittografia automatica del traffico tra client e server di una rete
Crittografia del file system
Microsoft Exchange Server 2003 o Mail Server Linux ( Postfix, Dovecot e
FechMail ) sono le soluzioni alle problematiche legate all’antispamming ed
alla gestione in sicurezza della posta elettronica. In particolare
Accesso sicuro via Internet da Outlook o Web Mail Su Server Mail
Controllo della junk mail con supporto in tempo reale per blacklists ed
anti spamming e filtri sulla connessione
Scollegamento automatico dopo un periodo di inattività
Centralizzazione dei servizi di ripristino delle caselle postali
Centralizzazione dei servizi di ripristino dello storage.La Sicurezza per Passione
Ing. Giuseppe Bono
gbono@soluzionidimpresa.it
© 2009 Ing. Giuseppe Bono All rights reserved.Puoi anche leggere
