Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical H...
L’applicazione del Disciplinare Tecnico della 196 alla luce degli standard ISO sulla sicurezza
1. L’applicazione del Disciplinare Tecnico della
196 alla luce degli standard ISO sulla sicurezza
Ing. Enrico Fontana
Ing. Andrea Praitano
Ing. Giuseppe G. Zorzino
2. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
• La 196 e gli obblighi per i titolari
• L’autorizzazione n°4 del Garante per i professionisti
• Gli obblighi della 196 per i trattamenti elettronici
• Le modalità semplificate di applicazione del disciplinare tecnico
• La famiglia di standard ISO/IEC 27000
• Il DPS, e i documenti obbligatori della ISO 27001
• Quadro normativo (cogenza) vs sistema di certificazione (volontario)
• Confronto tra framework
Agenda
3. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Presentazione relatore – Enrico Fontana
• IT System Analyst
Ospedale Pediatrico Bambino Gesù Servizio
Sistemi Informativi e Telematici
• Specializzando in ―Gestione e Organizzazione
delle Aziende e dei Servizi Sanitari‖ – Università
Cattolica Roma – Policlinico Gemelli
4. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Il D.Lgs 196/2003
È il codice in materia di protezione dei dati personali, impropriamente
detto testo unico sulla privacy
DATI PERSONALI
DATI SENSIBILI
DATI GIURIDICI
D.Lgs. 196/2003 allegato B
Codice in materia di protezione dei dati personali Disciplinare tecnico in
materia di misure minime di sicurezza
Specifica i trattamenti con strumenti elettronici e non, che il titolare, il
responsabile (se presente) e l’incaricato devono rispettare
GLI ATTORI:
• Titolare
• Responsabile
• Incaricato
• Interessato
5. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Quali sono i DATI PERSONALI?
Sono tutte le informazioni relative a persone fisiche o giuridiche, oppure
enti ed associazioni, che consentano l’identificazione diretta o indiretta di
questi stessi soggetti
(art. 4, comma 1, lettere b e c)
DIRETTA
INDIRETTA
• NOME E COGNOME
• RAGIONE O DENOMINAZIONE SOCIALE
• CODICE FISCALE
• FOTOGRAFIA
• REGISTRAZIONE VIDEO O SONORA
• CODICE IDENTIFICATIVO
• NUMERO DI MATRICOLA
Dati Personali
6. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Quali sono i DATI SENSIBILI?
È considerato dato sensibile qualsiasi informazione
(art. 4, comma 1, lettera d) che riveli:
L’origine razziale ed etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l’adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché tutti i dati personali idonei a rivelare lo stato di
salute e la vita sessuale.
• Consenso scritto dell’interessato e autorizzazione del Garante
• Misure di sicurezza aggiuntive e più forti
Condizioni per il trattamento (non per enti pubblici):
Dati Sensibili
7. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
• Art.3, comma 1, lettere da a) a o) e da r) a u) del D.P.R 313/2002 in
materia di casellario giudiziale,
• Anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi
carichi pendenti,
• La qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del codice
di procedura penale.
Quali sono i DATI GIUDIZIARI?
Sono una categoria di dati personali, idonei a rivelare i
provvedimenti di cui (art. 4, comma 1, lettera e):
Dati Giudiziari
8. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Trattamento con Strumenti Elettronici
Presenza di un sistema di autenticazione e di credenziali per l’autenticazione
• User name / password
• Smart card / PIN
• Caratteristica biometrica
Agli incaricati sono impartite indicazioni scritte
per la necessaria riservatezza delle credenziali
Può essere presente un sistema di autorizzazione
9. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Altre misure di sicurezza
• Revisione almeno annuale dei profili degli incaricati e dei profili di
autorizzazione
• Presenza di SW anti Malware per la tutela dei dati personali.
Aggiornamento semestrale. Fix e Patch con cadenza annuale –
semestrale se in presenza di dati sensibili o giuridici
• Backup Settimanali
10. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Trattamento di dati Sensibili o Giudiziari
Richiede la stesura, da parte del titolare, di un Documento Programmatico
della Sicurezza (DPS)
• Periodicità annuale (ogni 31 marzo)
• Analisi dei Rischi
• Analisi della Sicurezza
• Recovery e Backup
• Formazione per gli incaricati
• Separazione o cifratura dei dati sullo stato di salute e vita sessuale
… e inoltre….
• Istruzioni per la conservazione di dispositivi
mobili e loro eliminazione
• Recovery in tempi certi, compatibili con esigenze
interessati, < 7 gg
11. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Misure semplificate
Per agevolare le attività di PMI e le attività dei liberi professionisti esistono
delle misure semplificate per applicare le misure minime di sicurezza
nel trattamento dei dati personali
•CONTESTO DI APPLICAZIONE: dati personali solo per attività contabili e
amministrative e come dati sensibili lo stato di salute o malattia dei propri dipendenti
(*) se con dati sensibili altrimenti annuale (**) due anni se PC non in rete
Caratteristica D.Lgs. 196/2003 Misure Semplificate
Istruzioni impartite SCRITTE ORALI
Sistema di autentic. e autor. Specifici Del S.O.
Aggiornamento profili ANNUALE Quando necessario
Aggiornamenti SW Semestrale(*) Annuale (**)
BKP dati settimanale Mensile / differenziale
DPS annuale Annuale, ma semplificato. Da
aggiornare se cambiamenti
12. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Autorizzazione n°4 / 2008
Disciplina il trattamento dei dati sensibili, senza il consenso dell’interessato,
per liberi professionisti iscritti all’albo
Il trattamento può riguardare i dati sensibili relativi ai clienti, o a terzi che sono
strettamente legati con l’attività professionale legata al cliente
per alcune attività “professionali” non è
necessario richiedere la notifica dal
Garante sulla Privacy per il trattamento dei
dati personali
13. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
La Notifica
La Notifica al Garante (art. 37) non rappresenta più il
principale obbligo del Titolare. Questa deve essere fatta solo nel
caso di trattamento di:
• dati genetici, biometrici, o dati sull’ubicazione di persone
• dati idonei a rivelare lo stato di salute e la vita sessuale, trattati per particolari finalità
sanitarie (procreazione assistita, dati sanitari trattati per via telematica, indagini
epidemiologiche)
• dati idonei a rivelare la vita sessuale o la sfera psichica
• dati trattati volti a definire il profilo o la personalità dell’interessato
• dati sensibili registrati in banche dati ai fini della selezione del personale o per
sondaggi d’opinione
• dati relativi al rischio sulla solvibilità economica (centrali dei rischi)
• I c.d. dati semi-sensibili (da individure a cura del Garante) qualora possano arrecare
danno all’interessato
• Per la notifica dovrà essere apportato un nuovo modulo da spedire in formato
elettronico e mediante l’uso di un dispositivo di firma elettronica (reperibile sul sito del
Garante)
14. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
TITOLARE
INCARICATI
INTERESSATI
RESPONSABILE
GARANTE
Le Figure Previste dal Codice Privacy
15. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
L'autorità preposta alla tutela della riservatezza dei
dati personali è il Garante, ossia:
Organo collegiale costituito da quattro componenti, eletti due
dalla Camera dei deputati e due dal Senato della Repubblica
con voto limitato (art. 153, comma 2)
Il Garante
www.garanteprivacy.it
16. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
L'autorità preposta alla tutela della riservatezza dei dati
personali è il Garante, ossia:
Organo collegiale costituito da quattro componenti, eletti due
dalla Camera dei deputati e due dal Senato della
Repubblica con voto limitato (art. 153, comma 2
I principali compiti del Garante sono:
controllare la legittimità dei trattamenti
esaminare i ricorsi e le segnalazioni ricevute dagli interessati
vigilare nel rispetto delle norme che tutelano la vita privata
Comminare sanzioni amministrative pecuniarie in caso di violazione di
alcune disposizioni di legge
Informare l’autorità giudiziaria qualora venga a conoscenza di gravi
comportamenti illeciti
Il Garante
17. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
È la persona fisica, la persona giuridica, l’ente o
l’associazione cui si riferiscono i dati personali
Il trattamento di dati personali da parte di privati o di enti pubblici
economici è ammesso soltanto con il consenso dell’interessato,
espresso liberamente.
Il consenso per il trattamento di dei dati comuni può anche essere
orale, mentre quello per i dati sensibili deve essere scritto.
L’Interessato
18. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
L’interessato (art. 7) ha il diritto di:
Diritti dell’interessato
• Conoscere i trattamenti che lo riguardano mediante l’accesso al
registro dei trattamenti presso il Garante;
• Essere informato dal Titolare circa le finalità del trattamento (art.
13);
• Ottenere dal Titolare la conferma, l’aggiornamento, la cancellazione,
la rettifica dei dati trattati, o la loro trasformazione in forma anonima;
• Opporsi in tutto o in parte, per motivi legittimi, al trattamento di dati
che lo riguardino;
• Chiedere il blocco dei dati trattati in violazione di legge.
19. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 1926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
La persona fisica o giuridica, la Pubblica Amministrazione e
qualsiasi altro ente, associazione od organismo cui competono,
anche unitamente ad altro titolare, le decisioni in ordine alle
finalità, alle modalità del trattamento di dati personali ed
agli strumenti utilizzati, ivi compreso il profilo della
sicurezza.
• Titolare del trattamento è una Amministrazione Comunale, una Azienda
Sanitaria o Ospedaliera, una Azienda privata.
• Possibile cotitolarità fra organizzazioni autonome che operano sui dati
allo stesso livello.
Il titolare
20. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Sono le persone fisiche autorizzate a compiere operazioni
di trattamento dal Titolare o dal Responsabile.
Indispensabile individuare gli incaricati per rendere lecito il
trattamento.
“Le operazioni di trattamento possono essere effettuate solo da incaricati
che operano sotto la diretta autorità del titolare o del responsabile,
attenendosi alle istruzioni impartite.”
La designazione è effettuata per iscritto e individua puntualmente l’ambito del
trattamento consentito.
Art. 20, comma 1
Art. 20, comma 2
Gli incaricati
21. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
È la persona fisica, la persona giuridica, la Pubblica Amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal titolare al
trattamento dei dati.
• I responsabili possono essere interni ed esterni all’azienda.
• La nomina di responsabile esterno garantisce il titolare.
• Il responsabile esterno attesta la conformità al disciplinare tecnico
“Ove necessario per esigenze organizzative,
possono essere designati responsabili più
soggetti, anche mediante suddivisione di compiti.”
Art. 29, comma 3
Il responsabile
22. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Lettera di incaricato
IncaricatoResponsabile
• Nessuna persona fisica può trattare dati personali associativi e, a nessun
titolo, se non ha ricevuto una lettera di incarico nominativa, con la specifica
indicazione di comportamento, tra i quali è evidentemente massima
l’istruzione di mantenere una assoluta riservatezza su tutti i dati di cui si
viene a conoscenza.
• È necessario,pertanto, consegnare ad ognuno la lettera di incarico e avere
a disposizione un elenco con nomi, cognomi, data di consegna della lettera
di incarico e copia di eventuali istruzioni specifiche.
• L’elenco deve essere sempre aggiornato.
23. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Garante
Titolare
Notifica
Incaricato
Nomina
Incaricato
Nomina
Responsabile
Nomina
Interessato
Informativa
Consenso Ispeziona
Flusso generale
24. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Garante
Titolare
Incaricato
Incaricato Responsabile
Interessato
L’individuo può rivolgersi a
chiunque per esercitare i propri
diritti (Art. 7: consultare,
modificare, cancellare,
denunciare …) relativamente ai
propri dati
Ispeziona
Esercizio diritti interessato
25. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Agli OBBLIGHI DI SICUREZZA (art.31)-I dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura
dei dati e alle specifiche caratteristiche del trattamento, in modo da RIDURRE AL MINIMO,
mediante l'adozione di IDONEE E PREVENTIVE MISURE DI SICUREZZA, i RISCHI di
•distruzione o perdita, anche accidentale, dei dati stessi,
•accesso non autorizzato o
•trattamento non consentito o non conforme alle finalità della raccolta.
Dal PRINCIPIO DI NECESSITÀ (art.3)-ridurre al minimo l’utilizzo dei dati
Alle MISURE MINIME DI SICUREZZA (art. 33/35)
MISURE MINIME DI SICUREZZA volte a garantire un LIVELLO MINIMO DI PROTEZIONE dei
dati personali.
L’articolo 34 prende in considerazione i trattamenti con strumenti elettronici mentre l’articolo
35 considera i trattamenti senza l’ausilio degli stessi
Prescrizioni specifiche del Codice, alle quali il Titolare e il Responsabile devono attenersi (sazionate
penalmente) individuate in un DISCIPLINARE TECNICO, allegato al Codice
Il Disciplinare viene aggiornato periodicamente in base all’evoluzione tecnica ed esperienza
maturata nel settore (art.36)
Le Misure di sicurezza
26. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ART.31
Misure “Preventive ed Idonee”
Misure di sicurezza individuabili
sulla base di soluzioni tecniche
concretamente disponibili
ART.33
Misure “Minime”
Individuate dal Disciplinare Tecnico
(Allegato B)
Le Misure di sicurezza
27. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Riduzione del rischio significa raggiungere 3 OBIETTIVI:
INTEGRITÀ
DISPONIBILITÀ
RISERVATEZZA
Riduzione del rischio
28. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Riduzione del rischio significa raggiungere 3 OBIETTIVI:
Riduzione del rischio
INTEGRITÀ
DISPONIBILITÀ
RISERVATEZZA
Riservatezza dell’informazione: ovvero la
riduzione a livelli minimi del rischio che terzi
non autorizzati accedano all’informazione.
L’informazione può essere fruita solo dalle
persone autorizzate a compiere tale operazione
(art. 15: “ridurre al minimo i rischi di accesso
non autorizzato”)
29. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 29
INTEGRITÀ
DISPONIBILITÀ
RISERVATEZZA
Integrità dell’informazione: ovvero la riduzione a livelli
accettabili del rischio che possano avvenire cancellazioni o
modifiche per interventi esterni o per inadeguata
funzionalità di programmi/supporti/linee di comunicazione
(art. 15: “ridurre al minimo i rischi di distruzione o
perdita”).
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 2926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Riduzione del rischio significa raggiungere 3 OBIETTIVI:
Riduzione del rischio
30. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 30
INTEGRITÀ
DISPONIBILITÀ
RISERVATEZZA
Disponibilità dell’informazione: ovvero ridurre a livelli
accettabili il rischio vi siano impedimenti nell’accesso alle
informazioni a seguito di attacchi o al verificarsi di
malfunzionamenti (art. 15: “ridurre al minimo i rischi di
trattamento non consentito o non conforme alle finalità della
raccolta”).
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Riduzione del rischio significa raggiungere 3 OBIETTIVI:
Riduzione del rischio
31. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici
è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico
contenuto nell’allegato B, le seguenti misure minime:
TRATTAMENTO SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (art.35)
Aggiornamento almeno annuale dell’ambito di trattamento consentito
dagli incaricati
Istruzioni Scritte agli Incaricati su controllo e custodia degli
atti/documenti contenente dati personali
L’accesso fisico agli archivi contenti dati sensibili o giudiziari deve essere
controllato (badge, scanner,… o incaricati di vigilanza)
Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura
devono essere identificate e registrate
Quando gli archivi non sono controllati, le persone che vi accedono sono
preventivamente autorizzate
Disciplinare Tecnico - Allegato B
32. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Introduzione Relatore - Andrea Praitano
• Senior Service & Security Consultant di Business-e (IT Service Management, Information
Security Management, IT Governance, Privacy);
• Trainer FreeLance accreditato con EXIN (ITIL v2, ITIL v3 e ISO/IEC 20000);
• Membro del Consiglio Direttivo di itSMF Italia;
• Team Leader del Gruppo di Lavoro itSMF Italia ―ITIL & Analisi dei Rischi‖;
• Socio fondatore di ISIPM (IStituto Italiano di Project Management);
• Socio di ISACA Roma;
• Pubblicazioni (versione italiana):
– Foundations of IT Service Management Basato su ITIL v3 (Van Haren Publishing);
– Foundations of IT Service Management Basato su ITIL (Van Haren Publishing);
– Introduzione a ITIL (OGC);
– ISO/IEC 20000 Pocket Guide (Van Haren Publishing);
• Membro del gruppo di lavoro CNIPA sulle best Practices;
• Analisi processi:
– Certificazioni ISO/IEC 27001:2005 (Eutelia, TSF, Business-e);
– Consulenza Privacy (IT Way, Business-e, Ergom, gruppo Zambaiti, ecc.).
33. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Confronto ISO/IEC 27000 e DLgs 196:2003
DLgs 196:2003:
• È una legge dello stato Italiano relativa alla
tutela della privacy;
• È obbligatoria la sua applicazione;
• Instaura un ―Sistema di Gestione della
Privacy‖;
• Richiede delle revisioni almeno annuale
(entro 31 marzo);
• Richiede almeno il rispetto di delle Misure
Minime di Sicurezza;
• Richiede lo svolgimento dell’Analisi dei
Rischi;
ISO/IEC 27000
• È uno standard internazionale relativa alla
Sicurezza delle informazioni;
• È uno standard ―certificativo‖ (ISO/IEC
27001) di cui è facoltativa l’adozione;
• Instaura un Sistema di Gestione della
Sicurezza delle Informazioni;
• Instaura un sistema di miglioramento
continuo basato sul ciclo di Deming;
• Richiede il rispetto di delle ―Misure di
Sicurezza‖ congrue alle informazioni da
proteggere;
• Richiede lo svolgimento dell’Analisi dei
Rischi e ha una norma specifica (ISO/IEC
27005:2008) che indica come poter
svolgerla;
34. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
DLgs 196:2003 ISO/IEC 27000
Focus sui diritti del cittadino nella
gestione, da parte delle organizzazioni,
delle informazioni che lo riguardano
Focus sulle possibili conseguenze
sul Business
DLgs 196:2003 e ISO/IEC 27000 NON sono la stessa cosa
DLgs 196:2003 e ISO/IEC 27000 NON sono in contrasto
La ISO/IEC 27000 può essere utilizzata per la conformità alla DLgs
196:2003
La conformità alla ISO/IEC 27001:2005 include la conformità al DLgs
196:2003 (controllo A.15.1.4) così come al DLgs.81/2008 (controllo
A.15.1.1)
Aspetto importante
35. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
27001:2005
ISMS requirements
27002:2005
Code of practice
27003:2010
Implementation
guidance
27004:2009
Measurements
27005:2008
Risk Management
27006:2007
Requirements for
audit & cert. bodies
27007
ISMS auditing
27010
Inter-sector
communications
27011:2008
Telecommunications
27013
ISO/IEC 20000 and
ISO/IEC 27001
27014
Security governance
27015
Financial and
insurance
2701X
ISM Economics
Requisiti Linee Guida Di Settore
27000:2009
Vocabulary
27008
Audit on ISMS controls
Famiglia ISO/IEC 270xx
36. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 36
27006:2007
Requirements for
audit & cert. bodies
50 pag.
27005:2008
Risk Management 61 pag.
27004:2009
Measurements
64 pag.
27003:2010
Implementation
guidance
76 pag.
27002:2005
Code of practice
129 pag.
Famiglia ISO/IEC 270xx
27001:2005
ISMS requirements
27000:2009
Vocabulary
26 pag.
41 pag.
Tot. 447 pag.
37. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
27001:2005
ISMS requirements
27002:2005
Code of practice
27003:2010
Implementation
guidance
27004:2009
Measurements
27005:2008
Risk Management
27006:2007
Requirements for
audit & cert. bodies
27007
ISMS auditing
27010
Inter-sector
communications
27011:2008
Telecommunications
27013
ISO/IEC 20000 and
ISO/IEC 27001
27014
Security governance
27015
Financial and
insurance
2701X
ISM Economics
Requisiti Linee Guida Di Settore
27000:2009
Vocabulary
27008
Audit on ISMS controls
Fornisce le indicazioni su
come implementare un ISMS
all’interno di
un’Organizzazione
Famiglia ISO/IEC 270xx
38. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 3826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 38
Timeline
ISO/IEC 27003:2010 - Figure 1 — ISMS project phases
ISO/IEC 27003:2010
39. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 39
5. Obtaining management approval for initiating an ISMS
project
Timeline
40. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 40
6 Defining ISMS scope, boundaries and ISMS policy
Timeline
41. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 41
Timeline
7. Conducting information security requirements analysis
42. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 42
8 Conducting risk assessment and planning risk treatment
Timeline
43. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 43
9 Designing the ISMS
Timeline
44. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
27001:2005
ISMS requirements
27002:2005
Code of practice
27003:2010
Implementation
guidance
27004:2009
Measurements
27005:2008
Risk Management
27006:2007
Requirements for
audit & cert. bodies
27007
ISMS auditing
27010
Inter-sector
communications
27011:2008
Telecommunications
27013
ISO/IEC 20000 and
ISO/IEC 27001
27014
Security governance
27015
Financial and
insurance
2701X
ISM Economics
Requisiti Linee Guida Di Settore
27000:2009
Vocabulary
27008
Audit on ISMS controls
Fornisce delle indicazioni su
come poter svolgere un’analisi
dei rischi e la successiva
gestione
Famiglia ISO/IEC 270xx
45. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ISO/IEC 27005:2008
• Fornisce indicazioni su come
svolgere, in modo strutturato:
– la fase di valutazione del rischio
(Risk Assessment);
– e di trattamento del rischio (Risk
Treatment)
Figure 1 - Information security risk management process
46. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 46
Definizione di Rischio
• La ISO/IEC 27000:2009 definisce Rischio come:
2.34 – risk: combination of the probability of an event (2.15 – event:
occurrence of a particular set of circumstances) and its consequence
47. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 47
Risk Assessment
• Il risk assessment è un processo che ha l’obiettivo di:
– Individuare e valutare i rischi a cui si è sottoposti;
– Ponderarne il livello rispetto ad una scala di significatività;
– Stabilire se sono accettabili o no, senza entrare nel merito del loro
trattamento.
Identificare gli
Asset
Identificare e
valutare le
minacce
Identificare e
valutare le
vulnerabilità
Valutare gli
impatti agli
asset e i danni
al business
Stimare il livello
di rischio
Stabilire se il
rischio è
accettabile
48. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 48
Approcci all’Analisi del Rischio
• Approcci quantitativi:
– richiedono che siano utilizzati valori reali sulla frequenza degli attacchi e
sulle perdite economiche conseguenti. Tali analisi sono condotte solo in
pochi casi e per valutazioni specifiche, posto che richiedono uno sforzo
elevato per la raccolta dei dati
• Approcci qualitativi:
– richiedono l’uso di parametri (per esempio ―Alto‖, ―Medio‖ e ―Basso‖) o
scale per le valutazioni. Non forniscono quindi dati esatti, ma
conducono comunque a risultati tra loro comparabili, che permettono
quindi di ordinare i rischi dai più alti ai più bassi.
49. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 4926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
27001:2005
ISMS requirements
27002:2005
Code of practice
27003:2010
Implementation
guidance
27004:2009
Measurements
27005:2008
Risk Management
27006:2007
Requirements for
audit & cert. bodies
27007
ISMS auditing
27010
Inter-sector
communications
27011:2008
Telecommunications
27013
ISO/IEC 20000 and
ISO/IEC 27001
27014
Security governance
27015
Financial and
insurance
2701X
ISM Economics
Requisiti Linee Guida Di Settore
27000:2009
Vocabulary
27008
Audit on ISMS controls
Instaura un processo di
miglioramento continuo
basato sul Ciclo della Qualità
di Deming
Famiglia ISO/IEC 270xx
50. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ISO/IEC 27001:2005 schema principale
Instaura un modello atto a un
miglioramento continuo (oltre che
un miglioramento effettivo) e non
solo una “verifica” annuale del
DPS.
51. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
27001:2005
ISMS requirements
27002:2005
Code of practice
27003:2010
Implementation
guidance
27004:2009
Measurements
27005:2008
Risk Management
27006:2007
Requirements for
audit & cert. bodies
27007
ISMS auditing
27010
Inter-sector
communications
27011:2008
Telecommunications
27013
ISO/IEC 20000 and
ISO/IEC 27001
27014
Security governance
27015
Financial and
insurance
2701X
ISM Economics
Requisiti Linee Guida Di Settore
27000:2009
Vocabulary
27008
Audit on ISMS controls
Fornisce delle indicazioni su
come instaurare un SGSI con
delle misure congrue alle
informazioni da proteggere
Famiglia ISO/IEC 270xx
52. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Struttura dei controlli ISO/IEC 27001/27002:2005
A.5 Politica per la sicurezza
A.5.1 Politica per la sicurezza delle informazioni
A.6 Organizzazione della sicurezza delle informazioni
A.6.1 Organizzazione interna
A.6.2 Parti esterne
A.7 Gestione dei beni
A.7.1 Responsabilità dei beni
A.7.2 Classificazione delle informazioni
A.8 Sicurezza delle risorse umane
A.8.1 Prima dell’impiego
A.8.2 Durante l’impiego
A.8.3 Interruzione o variazione d’impiego
A.9 Sicurezza fisica e ambientale
A.9.1 Aree sicure
A.9.2 Sicurezza delle apparecchiature
A.10 Gestione delle comunicazioni e dell'operatività
A.10.1 Procedure operative e responsabilità
A.10.2 Gestione dell’erogazione di servizi di terze parti
A.10.3 Pianificazione e approvazione dei sistemi
A.10.4 Protezione contro software dannosi e codici auto eseguibili
A.10.5 Back-up
A.10.6 Gestione della sicurezza della rete
A.10.7 Trattamento dei supporti
A.10.8 Trasmissione delle informazioni
A.10.9 Servizi di commercio elettronico
A.10.10 Monitoraggio
A.11 Controllo degli accessi
A.11.1 Requisiti relativi al business per il controllo degli accessi
A.11.2 Gestione dell’accesso degli utenti
A.11.3 Responsabilità degli utenti
A.11.4 Controllo degli accessi alla rete
A.11.5 Controllo degli accessi al sistema operativo
A.11.6 Controllo degli accessi ad applicazioni e informazioni
A.11.7 Utilizzo di dispositivi portatili e telelavoro
A.12 Acquisizione, sviluppo e manutenzione dei sistemi informativi
A.12.1 Requisiti di sicurezza dei sistemi informativi
A.12.2 Corretta elaborazione nelle applicazioni
A.12.3 Controlli crittografici
A.12.4 Sicurezza dei file di sistema
A.12.5 Sicurezza nei processi di sviluppo e supporto
A.12.6 Gestione delle vulnerabilità tecniche
A.13 Gestione degli incidenti relativi alla sicurezza delle informazioni
A.13.1 Segnalazione degli eventi e dei punti di debolezza relativi alla
sicurezza delle informazioni
A.13.2 Gestione degli incidenti relativi alla sicurezza delle
informazioni e dei miglioramenti
A.14 Gestione della continuità operativa
A.14.1 Aspetti di sicurezza delle informazioni relativi alla gestione
della continuità operativa
A.15 Conformità
A.15.1 Conformità alle prescrizioni legali
A.15.2 Conformità a politiche e norme di sicurezza e conformità
tecnica
A.15.3 Considerazioni sull’audit dei sistemi informativi
11 gruppi di controllo, suddivisi in 39 obiettivi,
per un totale di 133 misure di controllo
53. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 53
Introduzione relatore – Giuseppe G. Zorzino
• Security Architect di Tecnoindex S.p.A. (ICT Infrastructure, Application Services, Business
Intelligence, ERP, Solutions & Products)
• Socio di ISACA Roma
• Certificazioni
– Lead Auditor ISO/IEC 27001:2006
– CISA - ISACA
– CGEIT - ISACA
– MCSA 2003:Security
– Security+ CompTIA
– CMMI appraiser
– Certificatore etico (future)
– ….
• Privacy (Gruppo Equitalia, Italia Nostra, ecc.)
• Freelance
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
54. NHS 'loses' thousands of medical records
Monday, 25 May 2009
The personal medical records of tens of thousands of people have been lost by the NHS in a series of
grave data security leaks. Between January and April this year, 140 security breaches were reported
within the NHS.
Some computers containing medical records have been left by skips and stolen. Others were left on
encrypted discs – but the passwords allowing access were taped to the side
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
I controlli applicabili
CASE STUDY - 1
55. I controlli applicabili
CASE STUDY - 2
Important personal data lost by the Bank of Ireland
7 May, 2008
The personal data of about 10 000 customers of the Bank of Ireland (BOI) are now in the possession
of thieves as four laptops with the unencrypted data were stolen from the bank between June and
October 2007.
The four stolen laptops had been used by staff working for the bank's life assurance division. Not only
the customers' data including medical history, life assurance details, bank account details, names and
addresses were not encrypted, but the bank notified the thefts to the Data Protection Commissioner in
Ireland only on 18 April 2008.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
56. Axia/Pfizer Data Loss
May 31, 2007 Boston, Massachusetts
Two password-protected laptop computers belonging to Axia, a contractor for Pfizer, were stolen out
of a locked car. As other valuable items were also stolen from the car, we hope that the Pfizer data on
the laptops was not the real target of the theft.
A review of back-up data stored on Axia's servers indicated that in addition to proprietary Pfizer
information, the laptops also contained some of confidential personal information. Authorities are
continuing to investigate the incident and Pfizer and Axia have taken steps to protect security and
privacy.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
I controlli applicabili
CASE STUDY - 3
57. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 57
Aspetti cogenti
• Sono molte le norme, decreti, regolamenti, direttive UE, raccomandazioni
inerenti la sicurezza delle informazioni
• L’organizzazione deve operare una ricerca attenta al fine di individuare tutti
i requisiti cogenti e quelli derivanti da regolamenti interni o con terze parti
• Il rispetto dei requisiti cogenti è un ―pre-requisito‖ per la certificazione ISO
27001
• Il DLgs 196/2003 è un requisito cogente
57
58. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 58
Riferimenti normativi - Sicurezza delle informazioni
• UNI CEI ISO/IEC 27001:2006 Tecnologia delle informazioni -Tecniche di
sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti
• ISO/IEC 27002:2005 Information technology – Security techniques – Code
of practice for information security management
• OCSE Linee guida sulla sicurezza dei sistemi e delle reti d’informazione –
25/07/2002
• ISO/IEC 27000:2009 Information technology – Security techniques –
Information security management systems – Overview and vocabulary
58
59. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 5926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 59
Panorama legislativo italiano: non solo 196/03
• La legislazione italiana presenta un vasto panorama legislativo e normativo
che disciplina i temi relativi alla sicurezza delle informazioni
• La conformità alla direttiva, che è un pre-requisito obbligatorio, presenta
notevole complessità
• Oltre che a leggi e norme, la conformità deve essere assicurata anche
rispetto a regolamenti interni, di settore, ecc.
59
60. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 60
Panorama legislativo e normativo
• Legge 22 aprile 1941, n. 633 e successive modifiche: protezione del diritto
d’autore e di altri diritti connessi al suo esercizio
• Legge 7 agosto 1990, n. 241: nuove norme in materia di procedimento
amministrativo e di diritto di accesso ai documenti amministrativi, e
successive modifiche ed integrazioni
• DLgs 29 dicembre 1992, n. 518: attuazione della direttiva 91/250/CEE
relativa alla tutela giuridica dei programmi per elaboratore
• Legge 18 agosto 2000, n. 248: nuove norme di tutela del diritto d’autore
con particolare riferimento all’Art 171-bis che sostituisce il precedente Art.
171-bis della legge n.633 22/04/1941
• DLgs 9 aprile 2008, n. 81: ―Attuazione dell’articolo 1 della legge 3 agosto
2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di
lavoro‖
60
61. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 61
Panorama legislativo e normativo
• Raccomandazione CE n.89/9: una lista minima ed una facoltativa in
materia di reati informatici
• D.P.C.M. 15 febbraio 1989: coordinamento delle iniziative e pianificazioni
degli investimenti in materia di automazione nelle amministrazioni pubbliche
• DLgs 6 maggio 1999, n. 169: attuazione della direttiva 96/9/CE relativa alla
tutela giuridica delle banche di dati
• DLgs 28 dicembre 2001 n. 467: norme penali a tutela della riservatezza
dei dati personali
• DLgs 8 giugno 2001 n. 231: responsabilità amministrativa delle persone
giuridiche
• D.P.R. 513/97: regolamento contenente i criteri e le modalità per la
formazione, l’archiviazione e la trasmissione di documenti con strumenti
informatici e telematici a norma dell’Art. 15, comma 2, della legge 15 marzo
1997, n.59
61
62. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 62
Panorama legislativo e normativo
• DPCM 338/01 (S.I.A.E.): disciplina, ai sensi dell’art. 181-bis della legge 22
aprile 1941 n. 633, come modificato dalla legge 18 agosto 2000 n. 248, le
caratteristiche del contrassegno da apporre sui supporti magnetici
• DLgs 70/2003 (artt. 14 e segg.): attuazione della direttiva 2000/31/CE
relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel
mercato interno, con particolare riferimento al commercio elettronico
• DLgs 30/2005 (art. 98): codice della proprietà industriale a norma dell’art.
15 legge n. 273/2002
• Legge 23 dicembre 1993 n. 547: modificazioni ed integrazioni delle norme
del codice penale e del codice di procedura penale in tema di criminalità
informatica
• Legge 28 dicembre 2005 n. 262: ―Disposizioni per la tutela del risparmio e
la disciplina dei mercati finanziari‖
62
63. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6363
Codice penale (estratto)
• Art. 615 ter - Accesso abusivo ad un sistema informatico o telematico
• Art. 615 quater - Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o
telematici
• Art. 615 quinquies - Diffusione di apparecchiature, dispositivi o programmi informatici diretti a
danneggiare o interrompere un sistema informatico o telematico
• Art. 616 - Violazione, sottrazione e soppressione di corrispondenza
• Art. 617 quater - Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche
o telematiche
• Art. 617 quinquies - Installazione di apparecchiature atte ad intercettare, impedire od interrompere
comunicazioni informatiche o telematiche
• Art. 617 sexies - Falsificazione, alterazione o soppressione del contenuto di comunicazioni
informatiche o telematiche
• Art. 635 bis - Danneggiamento di informazioni, dati e programmi informatici
• Art. 635 ter - Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o
da altro ente pubblico o comunque di pubblica utilità
• Art. 635 quater - Danneggiamento di sistemi informatici o telematici
• Art. 635 quinquies - Danneggiamento di sistemi informatici o telematici di pubblica utilità
• Art. 640 ter - Frode informatica
• Art. 640 quinquies - Frode informatica del soggetto che presta servizi di certificazione di firma
elettronica
• Art.12 Legge 197-1991 - Carte di credito, di pagamento e documenti che abilitano al prelievo di
denaro contante.
64. NEWS !!!!!
From April 6th, the ICO's heftiest penalty for "deliberate
or negligent" contravention of the Data Protection Act
increased to £500,000, compared with £5,000 previously
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 64
65. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 65
Volontario vs Obbligatorio
Tipo Applicabilità Esempio
Leggi
obbligatorio
• Paese
• Settore
• Può essere specifico (standard)
• SOX, HIPAA, GLBA
• EU Data Protection Directive
• DLgs 196/2003
• DLgs 231/2001
Regolamenti
obbligatorio
• Settore (sostiene le leggi)
• Può variare da paese a paese
• Basilea II
• Informazioni sanitarie
• Sicurezza sul lavoro (DLgs81-08)
Policies
obbligatorio
• Settore (sostiene le leggi e regolamenti)
• Può variare da paese a paese
• Energia nucleare
• Informazioni sanitarie
Standards
obbligatorio
• Settore (sostiene le leggi e regolamenti)
• Può variare da paese a paese
• PCI DSS
• NERC CIP
Politiche organizzative
discrezionale
• Esigenze specifiche di business
• Specifiche di GRC
• HR
• Sicurezza
• Risk management
Standards
discrezionale
• Aree specifiche (qualità, sicurezza, ERM, ecc.)
• Può essere un requisito per la certificazione
• Supporta gli obiettivi di controllo per GRC
• Miglioramento dei processi
• ISO/IEC 27001
• ISO/IEC 20000-1
• ISO/IEC 31000
Guidelines
discrezionale
• Sostiene lo standard
• Supporta gli obiettivi di controllo per GRC
• Miglioramento dei processi
• Talvolta è considerato uno standard de facto
• ISO/IEC 27002, 20000-2
• BS31100, COSO ERM
• ITIL
• COBIT
66. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 66
Sinergia tra volontario ed obbligatorio
• La norma, di per sé volontaria, diventa modello e strumento per
adempiere al meglio gli aspetti obbligatori, e in tal senso viene
scelta dagli Organismi (Ministeri, Enti, ecc.)
• Di contro, l’applicazione della norma, senza precisi vincoli
obbligatori, garantisce le migliori pratiche nella gestione dei sistemi
per la sicurezza delle informazioni
66
67. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 67
Rapporto tra D.Lgs 196/03 e ISO 27001
D.Lgs.196/2003 ISO 27001
Cosa protegge
Tutte le banche dati
personali e particolari così
come definite nel decreto
L’ampiezza (o scopo o
ambito dell’applicazione)
può essere definito
liberamente (l’intera
azienda, un solo processo,
ecc.)
Criteri di riferimento per la
protezione dei dati
Misure minime di sicurezza
definite nell’Allegato B
Controlli elencati in dettaglio
nell’ISO 27002:2005 più
eventuali nuovi controlli
68. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 68
Rapporto tra D.Lgs 196/03 e ISO 27001
• La norma ISO 27001 è focalizzata sull’infrastruttura in tutti i suoi
aspetti, e non sugli specifici controlli adottati. Quindi ha un ambito
più esteso
• L’implementazione di un SGSI in maniera corretta presuppone
obbligatoriamente il rispetto della legge e l’adozione di controlli
specifici a riguardo
• La conformità con ISO 27001 in sé non conferisce immunità agli
obblighi legali
68
69. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 6926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 69
Rapporto tra D.Lgs 196/03 e ISO 27001
• Esistono diverse analogie tra i controlli previsti dall’Allegato B della Legge
sulla Privacy ed i controlli indicati in ISO 27002:2005
• Un’attenta applicazione della legge sulla privacy può essere un ottimo punto
di partenza soprattutto se supportata da una valutazione dei rischi
• ISO 27001: tutela dei dati personali non solo come obbligo di legge, ma
anche in termini di efficienza, all’interno di un sistema di qualità aziendale
69
70. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 70
Rapporto tra D.Lgs 196/03 e ISO 27001 - alcuni esempi -
All.B – Disciplinare tecnico..
4. Con le istruzioni impartite agli
incaricati è prescritto di adottare le
necessarie cautele per assicurare la
segretezza della compo-nente
riservata della cre-denziale e la
diligente cu-stodia dei dispositivi in
pos-sesso ed uso esclusivo
dell’incaricato.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
A.11.3.1 Utilizzo delle password
Controllo - Gli utenti devono seguire
istruzioni di sicurezza valide per la
scelta e l'utilizzo delle password.
70
71. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 71
Rapporto tra D.Lgs 196/03 e ISO 27001 - alcuni esempi -
All.B – Disciplinare tecnico..
16. I dati personali sono protetti contro il
rischio di intrusione e dell’azione di
programmi di cui all’art. 615-quinquies
del codice penale, mediante
l’attivazione di idonei strumenti
elettronici da aggiornare con cadenza
almeno semestrale.
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
A.10.4 Protezione contro software
dannosi e codici autoeseguibili
Obiettivo: Proteggere l’integrità del
software e delle informazioni
72. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 72
Rapporto tra D.Lgs 196/03 e ISO 27001 - alcuni esempi -
All.B – Disciplinare tecnico…
19.2. la distribuzione dei compiti e delle
responsabilità nell’ambito delle
strutture preposte al trattamento dei
dati
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
A.7.1.2 Responsabilità dei beni
Controllo: Tutte le informazioni e i
beni associati alle strutture di
elaborazione delle informazioni
devono essere sotto la
"responsabilità" di una parte
designata dell’organizzazione.
73. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7326 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 73
Rapporto tra D.Lgs 196/03 e ISO 27001 - alcuni esempi -
All.B – Disciplinare tecnico..
22. I supporti rimovibili contenenti dati
sensibili o giudiziari se non utilizzati
sono distrutti o resi inutilizzabili ….
26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
A.10.7.2 Dismissione dei supporti
Controllo - La dismissione dei
supporti non più necessari deve
avvenire in modo sicuro, attraverso
l’utilizzo di procedure formali.
74. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 74
Prescrizioni 196/03 vs ISO 27001:2006 - Sicurezza Logica
A.5 Politica per la sicurezza
A.6 Organizzazione della sicurezza delle
informazioni
A.7 Gestione dei beni
A.8 Sicurezza delle risorse umane
A.9 Sicurezza fisica e ambientale
A.10 Gestione delle comunicazioni e
dell'operatività
A.11 Controllo degli accessi
A.12 Acquisizione, sviluppo e manutenzione dei
sistemi informativi
A.13 Gestione degli incidenti relativi alla
sicurezza delle informazioni
A.14 Gestione della continuità operativa
A.15 Conformità
1) Idonei sistemi anti-intrusione da aggiornare a
cadenza almeno semestrale
2) Hardening & Patching a cadenza almeno
semestrale
3) Politiche di Backup
4) Protezione dei dati trattati
5) Sistema di cifratura dei dati giudiziari che renda
le informazioni non intellegibili
6) Tracciamento delle attività del personale
amministratore di sistema (audit log)
7) Conservazione dei dati fino al termine della
necessità di utilizzo
75. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 75
Prescrizioni 196/03 vs ISO 27001:2006 - Sicurezza Organizzativa
A.5 Politica per la sicurezza
A.6 Organizzazione della sicurezza delle
informazioni
A.7 Gestione dei beni
A.8 Sicurezza delle risorse umane
A.9 Sicurezza fisica e ambientale
A.10 Gestione delle comunicazioni e
dell'operatività
A.11 Controllo degli accessi
A.12 Acquisizione, sviluppo e manutenzione dei
sistemi informativi
A.13 Gestione degli incidenti relativi alla
sicurezza delle informazioni
A.14 Gestione della continuità operativa
A.15 Conformità
1) Adozione di un modello organizzativo basato su ―need
to know‖ e ―segregation of duties‖
2) Separazione logica tra dati personali e altri dati
3) Assegnazione individuale per ciascun incaricato di
credenziali per l'autenticazione
4) Definizione di politiche di controllo sulle credenziali di
autenticazione
5) Sistemi di autorizzazione, ovvero separazione tra chi
assegna le credenziali e chi le utilizza
6) Istruzioni agli incaricati (riservatezza credenziali ed
informazioni)
7) Controlli sulla sussistenza delle condizioni per la
conservazione dei profili di accesso
8) Controlli interni per verificare periodicamente le misure
organizzative e tecniche
9) Documento programmatico sulla sicurezza
76. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 76
Prescrizioni 196/03 vs ISO 27001:2006 - Sicurezza Fisica
A.5 Politica per la sicurezza
A.6 Organizzazione della sicurezza delle informazioni
A.7 Gestione dei beni
A.8 Sicurezza delle risorse umane
A.9 Sicurezza fisica e ambientale
A.10 Gestione delle comunicazioni e dell'operatività
A.11 Controllo degli accessi
A.12 Acquisizione, sviluppo e manutenzione dei sistemi
informativi
A.13 Gestione degli incidenti relativi alla sicurezza delle
informazioni
A.14 Gestione della continuità operativa
A.15 Conformità
1. Le attrezzature informatiche e le
informazioni devono essere gestite con
misure atte a garantire l'integrità e la
disponibilità dei dati, nonché la
protezione delle aree e dei locali,
rilevanti ai fini della loro custodia e
accessibilità (es. registrazione
identificativi delle persone ammesse
fuori orario lavorativo, riferimenti
temporali)
77. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Integrazioni con altri Framework
• Esistono numerosi Framework, good practices o standard che si integrano,
fra di loro, su aspetti specifici.
• L’adozione di framework aiuta un’Organizzazione ad approcciare le cose in
modo strutturato partendo da esperienze di comunità ampie ed
internazionali.
• I Framework devono essere contestualizzati all’Organizzazione tenendo
conto delle dimensioni, della cultura e della storia.
78. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
IT Operation
Governance
Governance ITServiceManagement
ApplicationDevelopment
ITSecurity
ProjectManagement
ITPlanning
QualitySystem
78
79. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 7926 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Istruzioni di Lavoro Processi di esecuzione StrategiaProcessi di controllo
MOF
ITIL v3 ITIL v3
ISO/IEC 27000
COBIT
ISO/IEC 38500:2008
TMap
Prince2
MSP
ASL ASL
Posizionamento reciproco dei modelli
PMBoK
ITIL v2 ITIL v2
ISO/IEC 20k ISO20k
CoSO
BS25999
80. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8026 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 80
BS 25999
• Proprietario: BSI (UK)
• Tipologia di framework: standard
• Ambito: Business Continuity Management
• Descrizione:
– è uno standard che si pone l’obiettivo di organizzare un piano logistico
finalizzato a documentare il modo in cui un’organizzazione può far
tornare operative le sue funzioni critiche entro un predeterminato
periodo di tempo, congruo rispetto alle esigenze di Business, dopo un
disastro o un grave danno.
• Associazioni/enti di riferimento: BSI.
81. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8126 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 81
BS 25999
82. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8226 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ITIL® – Information Technology Infrastructure Library
• Proprietario: OGC - The Office of Government Commerce (UK)
• Tipologia di framework: framework proprietario (ma ha tutte le
caratteristiche di un framework pubblico)
• Ambito: IT Service Management
• Descrizione:
– modello di gestione dei servizi IT basato su un approccio per processi. È stato
creato dall’OGC inglese. È un modello di Best Practice maturate inizialmente nel
contesto Britannico e adesso a livello globale. È un modello di riferimento per la
gestione operativa delle attività di supporto, gestione e cambiamenti
relativamente all’infrastruttura IT alle persone e ai sistemi. Nel luglio del 2007 è
stata pubblicata la versione 3 del modello.
• Associazioni/enti di riferimento: OGC; itSMF International; itSMF Italia.
84. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8426 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
Processi del Service Strategy:
• Service Portfolio Management;
• Demand Management;
• Financial Management.
Processi del Service Design:
• Service Catalogue Management;
• Service Level Management;
• Supplier Management;
• Capacity Management;
• Availability Management;
• IT Service Continuity Management;
• Information Security Management.
Processi del Service Transition:
• Service Asset and Configuration Management;
• Change Management;
• Release and Deployment Management;
Processi del Service Operation:
• Event Management;
• Incident Management;
• Problem Management;
• Request Fulfilment;
• Access Management.
Funzioni del Service Operation:
• Service Desk;
• IT Operation Management;
• Technical Management;
• Application Management.
Processi del Continual Service Improvement:
• CSI Improvement Process;
85. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8526 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
COBIT - Control Objectives for Information and related Technology
• Proprietario: IT Governance Institute/ISACA (USA)
• Tipologia di framework: framework proprietario
• Ambito: IT Governance/Auditing
• Descrizione:
– è un insieme di Best Practice per il governo dell’IT. È stato creato
dall’Information Systems Audit and Control Association (ISACA) e dal IT
Governance Institute (ITGI). Fornisce ai dirigenti, auditor e utenti IT una serie di
misure, indicatori, processi e le migliori pratiche per l’uso, il Governo e controllo
dell’IT di un’azienda.
• Associazioni/enti di riferimento: IT Governance Institute; ISACA; AIEA;
ISACA Roma.
86. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8626 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
PO1 Definire un Piano
Strategico per l'IT
PO2 Definire l’architettura
informatica
PO3 Definire gli indirizzi
tecnologici
PO4 Definire i processi,
l’organizzazione e le
relazioni dell’IT
PO5 Gestire gli investimenti
IT
PO6 Comunicare gli obiettivi e
gli orientamenti della
direzione
PO7 Gestire le risorse umane
dell’IT
PO8 Gestire la Qualità
PO9 Valutare e Gestire i
Rischi Informatici
PO10 Gestire i Progetti
AI1 Identificare soluzioni automatizzate
AI2 Acquisire e mantenere il software applicativo
AI3 Acquisire e mantenere l’infrastruttura tecnologica
AI4 Permettere il funzionamento e l’uso
AI5 Approvvigionamento delle risorse IT
AI6 Gestire le modifiche
AI7 Installare e certificare soluzioni e modifiche
DS1 Definire e gestire i livelli di
servizio
DS2 Gestire i servizi di terze parti
DS3 Gestire le prestazioni e la
capacità produttiva
DS4 Assicurare la continuità di
servizio
DS5 Garantire la sicurezza dei
sistemi
DS6 Identificare e attribuire i costi
DS7 Formare e addestrare gli utenti
DS8 Gestione del Service Desk e
degli incidenti
DS9 Gestione della configurazione
DS10 Gestione dei problemi
DS11 Gestione dei dati
DS12 Gestione dell’ambiente fisico
DS13 Gestione delle operazioni
ME1 Monitorare e valutare le
prestazioni dell’IT
ME2 Monitorare e valutare i
controlli interni
ME3 Assicurare la
conformità alla
normativa
ME4 Istituzione dell’IT
Governance
COBIT schema principale
Monitoraggio e
Valutazione
(ME)
Pianificazione e
Organizzazione
(PO)
Erogazione e
Supporto (DS) Acquisizione e
Implementazione
(AI)
87. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8726 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ISO/IEC 20000:2005
• Proprietario: ISO/IEC
• Tipologia di framework: standard pubblico
• Ambito: IT Service Management
• Descrizione:
– evoluzione del BS 15000. È la norma ISO che certifica l’aderenza
dell’organizzazione IT a dei principi di riferimento. È la certificazione ISO relativa
all’IT Service Management, è nata con un approccio ―bottom-up‖ dalle best
practices ITIL v2. è composta da due parti principali, ISO/IEC 20000-1 che
rappresenta le Specification e la ISO/IEC 20000-2 che rappresenta il Code of
Practices. Prevede la possibilità di certificazione delle organizzazioni secondo la
ISO/IEC 20000-1:2005.
• Associazioni/enti di riferimento: ISO; IEC; UNI; UNINFO.
88. 26 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000 8826 aprile 2010 DLgs 196:2003 e famiglia ISO/IEC 27000
ISO/IEC 20000:2005 schema principale