privacy e sicurezza delle informazioni · 2014-01-16 · 4 mauro bert codice della privacy e...
TRANSCRIPT
Privacy e Sicurezza delle Informazioni
Mauro BertGdL UNINFO
“Serie ISO/IEC 27000”
Genova, 18/2/2011
2 Mauro Bert
• Ente di normazione federato all’UNI (Ente Nazionale Italiano di Unificazione)
• Promuove e partecipa allo sviluppo della normativa a livello nazionale nel settore delle tecnologie informatiche
• Rappresenta il punto di contatto italiano per numerosi comitati: – ISO (International Organization for Standardization)– IEC (International Electrotechnical Commission) ed – ETSI (European Telecommunication Standard
Institute)
3 Mauro Bert
La terminologia
• Codice della Privacy: Codice in materia di protezione dei dati personali (d.lg. n. 196/2003)
• Information Security: preservation of confidentiality, integrity and availability of information (ISO/IEC 27000)
4 Mauro Bert
Codice della privacy e Sicurezza
• Il Codice della privacy richiede che i dati personali siano trattati in modo appropriato e sicuro
• La Sicurezza ha come obiettivo di garantire che le informazioni siano protette in modo adeguato da accessi e modifiche non autorizzate, e che ne sia garantita la disponibilità
• La sicurezza dei dati personali non garantisce, di per sé, il rispetto della privacy dell’interessato. E’ necessario, per questo, trattare i dati in modo conforme ai dettami del Codice della privacy
5 Mauro Bert
Modalità del trattamento e obblighi di sicurezza (dal Codice Privacy)
I dati personali oggetto di trattamento sono:a) trattati in modo lecito e secondo correttezzab) raccolti e registrati per scopi determinati, espliciti e legittimi, ed
utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi
c) esatti e se necessario aggiornatid) pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o successivamente trattatie) conservati per un periodo di tempo non superiore a quello
necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati
f) custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito (confidentiality, integrity, availability)
6 Mauro Bert
ISO/IEC 27001 e 27002• Ci sono tanti modi per garantire la sicurezza
delle informazioni gestite da un’organizzazione • Uno di questi è quello di fare riferimento alla
norma, ISO/IEC 27001 e alla norma ISO/IEC 27002
• E’ quindi necessario mettere in relazione – le norme ISO/IEC 27001 e 27002 (requisiti, linee
guida e best practices) con – la Normativa privacy (prescrizioni, obblighi e sanzioni)
7 Mauro Bert
Normativa privacy e norme ISO/IEC 27000
Due diverse tipologie di documenti:1. Indicazioni, principi generali e quadro di
riferimento: Codice privacy e ISO/IEC 270012. Elenco di specifiche misure di sicurezza,
obiettivi di controllo e linee guida per la loro implementazione: Disciplinare tecnico, Provvedimenti generali (AdS, Raee, ecc.) e ISO/IEC 27002
8 Mauro Bert
ISO/IEC 27001 in sintesi
Tratta di impostare un Sistema per la Gestione della Sicurezza delle Informazioni (SGSI) che aiuta a:
a) definire i requisiti di sicurezza dell’organizzazione, compresi quelli legali
b) effettuare una valutazione dei rischic) documentare le attività svolted) gestire e formare il personale addettoe) effettuare una periodica revisione
9 Mauro Bert
a) definire i requisiti di sicurezza, compresi quelli legali
• La norma ISO/IEC 27001 guida nel fare un’analisi dei trattamenti di dati personali svolti dall’organizzazione al fine di identificare quali parti della normativa si applicano allo specifica realtà e mi obbliga alla stesura di uno specifico documento, la Policy, che deve descrivere, fra l’altro, il ruolo e l’importanza che la protezione dei dati personali ricopre nell’organizzazione
• L’Allegato B del codice richiede la stesura di un DPS che contenga, fra l’altro, l’elenco dei trattamenti di dati personali
10 Mauro Bert
b) effettuare una valutazione dei rischi
• La norma ISO/IEC 27001 guida nel fare una completa e corretta analisi del rischio attraverso le sue diverse fasi: – identificare i rischi, – analizzare e ponderare i rischi, – identificare e ponderare le opzioni per il trattamento dei rischi, – scegliere gli obiettivi di controllo e i controlli per il trattamento dei
rischi, – ottenere l’approvazione della direzione circa i rischi residui
proposti.• L’Allegato B del codice richiede la stesura di un DPS
che contenga, fra l’altro, la descrizione dell’analisi dei rischi che incombono sui dati
11 Mauro Bert
c) documentare le attività svolte• La norma ISO/IEC 27001 elenca la documentazione che deve essere
prodotta sul SGSI:a) le dichiarazioni documentate della politica e degli obiettivi del SGSI;b) il campo di applicazione del SGSI;c) le procedure e i controlli a supporto del SGSI;d) una descrizione della metodologia della valutazione del rischio;e) il rapporto della valutazione del rischio;f) il piano di trattamento del rischio;g) le procedure documentate necessarie all’organizzazione per assicurare l’efficace
pianificazione, l’operatività e il controllo dei propri processi di sicurezza delle informazioni e per descrivere come misurare l’efficacia dei controlli;
h) le registrazioni richieste dalla presente norma internazionale; ei) la Dichiarazione di Applicabilità.
• L’Allegato B del codice richiede la stesura di un DPS che deve contenere buona parte dei documenti elencati sopra. Ulteriore documentazione è richiesta nei Provvedimenti generali (ad esempio i log degli amministratori di sistema)
12 Mauro Bert
d) gestire e formare il personale addetto
• La norma ISO/IEC 27001 richiede che tutto il personale, a cui vengano assegnate responsabilità definite all’interno del SGSI, sia competente per svolgere i compiti richiesti:a) stabilendo le competenze del personale necessarie a effettuare lavori
aventi effetto sul SGSI;b) fornendo formazione e addestramento o intraprendendo altre azioni
(per esempio, impiegando personale competente) per soddisfare tali necessità;
c) valutando l’efficacia delle azioni intraprese; ed) conservando registrazioni circa l’istruzione, formazione e
addestramento, abilità, esperienza e qualifiche.
• Il Codice (art. 29 e 30) richiede un’attenta cura nella designazione di responsabili e incaricati. L’Allegato B del codice richiede la stesura di un DPS che contenga, fra l’altro, la previsione di interventi formativi per responsabili e incaricati.
13 Mauro Bert
e) effettuare una periodica revisione
• La norma ISO/IEC 27001 richiede una revisione del SGSI dell’organizzazione a intervalli pianificati (almeno una volta all’anno) per assicurare la sua continua idoneità, adeguatezza ed efficacia. Tale riesame deve includere la valutazione delle opportunità per il miglioramento e l’esigenza di apportare cambiamenti al SGSI, ivi compresi la politica per la sicurezza delle informazioni e gli obiettivi della stessa. I risultati dei riesami devono essere chiaramente documentati e le registrazioni devono essere conservate.
• L’Allegato B del codice richiede la stesura di un DPS che deve essere aggiornato entro il 31 marzo di ogni anno.
14 Mauro Bert
ISO/IEC 27002 in sintesi• Human resources security• Segregation of duties• Physical and environmental security• Third party service delivery management• Protection against malicious code• Back-up• Network security management• Media handling• Exchange of information• Monitoring• Access control• Business continuity management
15 Mauro Bert
Back-up• 18. Sono impartite istruzioni organizzative e tecniche che
prevedono il salvataggio dei dati con frequenza almeno settimanale. (da Allegato B del Codice)
• 10.5.1 Information back-up (da ISO/IEC 27002)ControlBack-up copies of information and software should be taken and
tested regularly in accordance with the agreed backup policy.Implementation guidance…Other information…
16 Mauro Bert
Back-up: Implementation guidance
Adequate back-up facilities should be provided to ensure that all essential information and softwarecan be recovered following a disaster or media failure.The following items for information back up should be considered:a) the necessary level of back-up information should be defined;b) accurate and complete records of the back-up copies and restoration procedures should be
produced;c) the extent (e.g. full or differential backup) and frequency of backups d) the back-ups should be stored in a remote locatione) physical and environmental protection consistent with the standards applied at the main site; f) back-up media should be regularly tested;g) restoration procedures should be regularly checked to ensure that they can be completed within
the time allotted h) in situations where confidentiality is of importance, back-ups should be protected by means of
encryption.
Back-up arrangements for individual systems should be regularly tested to ensure that they meet therequirements of business continuity plans. For critical systems, the backup arrangements should
cover all systems information, applications, and data necessary to recover the complete system in the event
of a disaster.The retention period for essential business information, and also any requirement for archive copies
tobe permanently retained should be determined.
17 Mauro Bert
Back-up: Other information
Back up arrangements can be automated to ease the back-up and restore process. Such automated solutions should be sufficiently tested prior to implementation and at regular intervals.
18 Mauro Bert
Cosa, come e perché• La normativa privacy, essendo una legge,
prescrive delle azioni da fare o delle regole da seguire, ma non fornisce linee guida (cosa fare)
• La norma ISO/IEC 27001 suggerisce un approccio a “sistema di gestione” che, facendo riferimento al paradigma Plan-Do-Check-Act, permette una completa e corretta gestione nel tempo dei dati personali, basata su “best practices” riconosciute a livello mondiale (come e perché farlo)
19 Mauro Bert
ISO/IEC 27001 e Codice Privacy
• Rispettare la normativa privacy è una condizione necessaria per essere conformi alla norma ISO/IEC 27001
• Essere conformi alla ISO/IEC 27001 non è necessario per adeguarsi alla normativa privacy, però …
20 Mauro Bert
… seguire le norme della famiglia ISO/IEC 27000
• rende più efficace e completa la gestione della sicurezza delle informazioni, siano esse personali o non personali;
• costituisce indubbiamente un modo efficace per dimostrare di aver adottato valide ed idonee misure di sicurezza.
21 Mauro Bert
2° Parte: un diverso punto di vista sugli Standard e la Privacy 1. Standard internazionali (ISO/IEC JTC 1/SC
27/WG 1 Information security management systems) utili a soddisfare i requisiti di sicurezza imposti dal Codice della privacy (d.lg. n. 196/2003)
2. Standard internazionali per la protezione dei dati personali:
• Norme di legge uniformi a livello internazionale (Direttiva sulla protezione dei dati dell’UE)
• Privacy Enhancing Technologies (PETs) (ISO/IEC JTC 1/SC 27/WG 5 Identity management and privacy technologies)
22 Mauro Bert
Il bisogno di standard internazionali per la Privacy
• La globalizzazione lancia nuove sfide anche sul versante della privacy: è necessario rafforzare il diritto alla privacy, ma assicurare, al tempo stesso, una libera, ma protetta e limitata, circolazione dei dati personali
• In Europa: differenti leggi anche se in riferimento ad una unica Direttiva. Servono cooperazione e coordinamento rafforzati per un’applicazione più semplice e coerente delle norme nell’UE
• Nel mondo: è necessario promuovere elevati standard internazionali di protezione dei dati personali
23 Mauro Bert
Cosa si sta facendo• Open meeting on Data Protection and Privacy
Brussels, 11 marzo 2011 presso CEN (Comitato Europeo di Normalizzazione)
• Obiettivo del meeting è quello di analizzare le attività di standardizzazione che possono essere portate avanti nell’ambito della protezione dei dati personali
• Parteciperanno:– Commissione Europea, DG Giustizia– ENISA (European Network and Information Security Agency)– e altri
24 Mauro Bert
Attività “Privacy” del Gruppo di Lavoro “Serie ISO/IEC 27000”
Il Gruppo di lavoro dedicato alle attività normative della famiglia 27000 si è attivato sul tema della Privacy con i seguenti principali obiettivi:
• far sì che i Titolari di trattamento di dati personali trovino nelle norme della famiglia 27000 delle linee guida che possano facilitare l’implementazione delle misure richieste dal Codice, chiarendone il significato ed integrandole in un sistema coerente;• permettere ai Titolari di realizzare un SGSI che integri in modo armonico e completo al suo interno tutte le misure prescritte dalla Normativa privacy italiana.
