[MontelLUG] [OT] Normativa e pareri in merito a backup criptati

Odeeno odeeno a yahoo.it
Lun 26 Mar 2012 11:34:20 CEST


Il 26 marzo 2012 08:06, Stefano Fraccaro <stefano.fraccaro a gmail.com>
ha scritto:
> Il 25/03/2012 23.51, Odeeno ha scritto:
>> Beh... non è proprio corretto :-D I dati propri ognuno è libero di
>> trattarli come vuole.
> Leggiti la norma... il testo unico dice chiaramente che anche le persone
> fisiche devono redigere un DPS se i dati personali che trattano sono
> destinati alla comunicazione o diffusione.

La norma me la sono letta BENE e ti dico... stiamo discutendo di
_nulla_ o meglio di una questione puramente teorica e confermo quanto
ho detto.
Prova a leggere tutta la norma: non scrivono "di terzi" perché, per le
prescrizioni i diritti gli OBBLIGHI le altre indicazioni che sono
date, non ha senso specificarlo. E qui chiuderei perché la questione
non mi interessa, preferisco parlar di cose concrete.

>> La norma tutela il diritto di chiunque che i propri dati siano trattati
>> secondo determinati criteri... dai terzi che ne fanno il trattamento.
>> Altrimenti andremmo nell'assurdo no? Che faccio, mi autodenuncio? Chiedo i
>> danni a me stesso?
> La norma non differenzia i terzi... dice che i dati personali/sensibili che
> NON sono tuoi e che sono oggetto di diffusione devono essere regolamentati
> da un dps: se li tieni per te non è un problema. Non ti puoi autodenunciare
> ma se diffondi al mondo i dati personali di tua sorella, per esempio, lei si
> potrebbe denunciarti.

Si... ma mia sorella non sono io: è un terzo per me... e torniamo al
discorso di prima. Sono terzi anche mia moglie, i futuri figli, mio
fratello gemello, ecc...


Torniamo invece alle questioni pratiche, che mi appassionano di più.
Samuele dice se criptare i backup...
Ti allego sotto il "Disciplinare tecnico in materia di misure minime
di sicurezza" aggiornato (si applica dal 10 febbraio 2012).
I punti importanti a mio avviso sono:
- questione password: il titolare del trattamento deve dare delle
"istruzioni" all'incaricato (punto 4); anche su come conservare le
credenziali;
- supporti di backup; vedi il punto 24 insieme al 21 e 22; se i dati
li trasporti all'esterno è ragionevole che siano cifrati; se sono
all'interno o conservati in locali il cui accesso è vincolato; chi si
porta a casa il supporto deve ricevere incarico e istruzioni; il DPS
prevedeva anche la valutazione di un rischio di perdita dei dati e
l'adozione di misure idonee commisurate al rischio. Per i backup
"interni" ci devono essere di vincoli di accesso (fisico: le
cassettine che vengono tenute dentro all'archivio riservato chiuso a
chiave, nella cassaforte, ... o informatico: credenziali ecc). Se
vengono i ladri... hanno il piede di porco o si portano via la
cassaforte con il contante e le cassettine dentro... ma a questo punto
dovresti cifrare anche tutti i dischi dei pc aziendali. Dovresti
pensare a conservare i server e i dati in luoghi chiusi e protetti e
non far conservare nulla nei pc dei dipendenti... ma come per il
firewall, nulla è del tutto al sicuro...

ps: peraltro... allo stesso modo ci sarebbe la questione della
cifratura dei PC portatili dell'azienda... proponi poi di dotarli di
comode valigette blindate in acciaio e dotate di serratura per il
trasporto di portatile e chiavette USB       =))))


D.Lgs. 30-06-2003, n. 196
Allegato B - Disciplinare tecnico in materia di misure minime di
sicurezza - ( artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile
ove designato e dell'incaricato, in caso di trattamento con strumenti
elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è
consentito agli incaricati dotati di credenziali di autenticazione che
consentano il superamento di una procedura di autenticazione relativa
a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per
l'identificazione dell'incaricato associato a una parola chiave
riservata conosciuta solamente dal medesimo oppure in un dispositivo
di autenticazione in possesso e uso esclusivo dell'incaricato,
eventualmente associato a un codice identificativo o a una parola
chiave, oppure in una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una parola
chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o
più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di
adottare le necessarie cautele per assicurare la segretezza della
componente riservata della credenziale e la diligente custodia dei
dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione,
è composta da almeno otto caratteri oppure, nel caso in cui lo
strumento elettronico non lo permetta, da un numero di caratteri pari
al massimo consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed è modificata da quest'ultimo al primo
utilizzo e, successivamente, almeno ogni sei mesi. In caso di
trattamento di dati sensibili e di dati giudiziari la parola chiave è
modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere
assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi
sono disattivate, salvo quelle preventivamente autorizzate per soli
scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della
qualità che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico durante una
sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito
esclusivamente mediante uso della componente riservata della
credenziale per l'autenticazione, sono impartite idonee e preventive
disposizioni scritte volte a individuare chiaramente le modalità con
le quali il titolare può assicurare la disponibilità di dati o
strumenti elettronici in caso di prolungata assenza o impedimento
dell'incaricato che renda indispensabile e indifferibile intervenire
per esclusive necessità di operatività e di sicurezza del sistema. In
tal caso la custodia delle copie delle credenziali è organizzata
garantendo la relativa segretezza e individuando preventivamente per
iscritto i soggetti incaricati della loro custodia, i quali devono
informare tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti
punti e quelle sul sistema di autorizzazione non si applicano ai
trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di
autorizzazione di ambito diverso è utilizzato un sistema di
autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi
omogenee di incaricati, sono individuati e configurati anteriormente
all'inizio del trattamento, in modo da limitare l'accesso ai soli dati
necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la
sussistenza delle condizioni per la conservazione dei profili di
autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno
annuale dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici, la lista degli incaricati può essere redatta
anche per classi omogenee di incarico e dei relativi profili di
autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e
dell'azione di programmi di cui all'art. 615-quinquies del codice
penale, mediante l'attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a
prevenire la vulnerabilità di strumenti elettronici e a correggerne
difetti sono effettuati almeno annualmente. In caso di trattamento di
dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono
il salvataggio dei dati con frequenza almeno settimanale.
Documento programmatico sulla sicurezza
Paragrafi da 19 a 19.8 (Paragrafi soppressi dall'art. 45, comma 1,
lettera d), D.L. 9 febbraio 2012, n. 5) .
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso
abusivo, di cui all'art. 615-ter del codice penale, mediante
l'utilizzo di idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia
e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine
di evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se
non utilizzati sono distrutti o resi inutilizzabili, ovvero possono
essere riutilizzati da altri incaricati, non autorizzati al
trattamento degli stessi dati, se le informazioni precedentemente in
essi contenute non sono intelligibili e tecnicamente in alcun modo
ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino
dell'accesso ai dati in caso di danneggiamento degli stessi o degli
strumenti elettronici, in tempi certi compatibili con i diritti degli
interessati e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie
effettuano il trattamento dei dati idonei a rivelare lo stato di
salute e la vita sessuale contenuti in elenchi, registri o banche di
dati con le modalità di cui all' articolo 22, comma 6, del codice,
anche al fine di consentire il trattamento disgiunto dei medesimi dati
dagli altri dati personali che permettono di identificare direttamente
gli interessati. I dati relativi all'identità genetica sono trattati
esclusivamente all'interno di locali protetti accessibili ai soli
incaricati dei trattamenti ed ai soggetti specificatamente autorizzati
ad accedervi; il trasporto dei dati all'esterno dei locali riservati
al loro trattamento deve avvenire in contenitori muniti di serratura o
dispositivi equipollenti; il trasferimento dei dati in formato
elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di
soggetti esterni alla propria struttura, per provvedere alla
esecuzione riceve dall'installatore una descrizione scritta
dell'intervento effettuato che ne attesta la conformità alle
disposizioni del presente disciplinare tecnico.
26. (Paragrafo soppresso dall'art. 45, comma 1, lettera d), D.L. 9
febbraio 2012, n. 5) .
Trattamenti senza l'ausilio di strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile,
ove designato, e dell'incaricato, in caso di trattamento con strumenti
diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al
controllo ed alla custodia, per l'intero ciclo necessario allo
svolgimento delle operazioni di trattamento, degli atti e dei
documenti contenenti dati personali. Nell'ambito dell'aggiornamento
periodico con cadenza almeno annuale dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati, la lista degli
incaricati può essere redatta anche per classi omogenee di incarico e
dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili
o giudiziari sono affidati agli incaricati del trattamento per lo
svolgimento dei relativi compiti, i medesimi atti e documenti sono
controllati e custoditi dagli incaricati fino alla restituzione in
maniera che ad essi non accedano persone prive di autorizzazione, e
sono restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è
controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di
chiusura, sono identificate e registrate. Quando gli archivi non sono
dotati di strumenti elettronici per il controllo degli accessi o di
incaricati della vigilanza, le persone che vi accedono sono
preventivamente autorizzate.




More information about the montellug mailing list