Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

[LEGGE] Documento Programmatico sulla Sicurezza (DPS)

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

[LEGGE] Documento Programmatico sulla Sicurezza (DPS)

Messaggioda ValeriaVitolo » ven dic 17, 2004 10:19 am

Un problema di fiducia...

Già, non vorrei proprio essere nei panni del "responsabile della privacy" che rischia reclusione fino a 2 anni e 125.000 euro di multa.... a dover scegliere fra mille prodotti e consulenti improvvisati che, alla fine, propongono "alghe per dimagrire....".

Alla fine chi ci rimette è solo l'utente finale: fa bene a fidarsi del negozio di pc abituale?


In estrema sintesi la legge sulla privacy
- tutela informazioni quali reddito, credo religioso, abitudini sessuali, salute, ecc.

- obbliga ad attuare le misure "IDONEE" affinchè:

1) nessuna persona (o programma) non autorizzato possa accedere alle informazioni riservate;

2) distruggere i dati riservati non più necessari (ad es. un cliente che cambia commercialista: il primo commercialista deve distruggere i dati relativi al vecchio cliente);

3) strumenti menzionati: crittografia, password, back up;

4) compilazione periodica di un documento programmatico della sicurezza (DPS).


Spesso sento in giro che la privacy è tutelata semplicemente con password e firewall.... ma ovviamente non è così. Anzi, vista la pena, non prenderei il problema sottogamba.

Quello che vorrei provare a fare è creare un ventaglio di soluzioni (a diversi livelli di complessità) che possa definitivamente risolvere i problemi sollevati dalla legge sulla privacy: http://www.camera.it/parlam/leggi/deleg ... 3196dl.htm


Se riterrete l'argomento interessante..... possiamo continuare insieme. [:-D]

fromtheflames: ho modificato il titolo per esplicare meglio il contenuto della discussione
thomas: metto in rilievo la discussione
Avatar utente
ValeriaVitolo
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: gio dic 16, 2004 6:59 pm

Messaggioda thomas » ven dic 17, 2004 10:40 am

UHm... mi piace e devo anche dire che quel ruolo di responsabile della privacy dovrei ricoprilrlo io: proprio per questo pongo la prima domanda.
L'azieda che dovrei gestire è un laboratorio alimentare, che memorizzata dati riguardanti i propri clienti e fornitori: i dati sono al solo livello informativo, nulla di più, quindi ragione sociale, partita iva, telefono, indirizzi e cose del genere; poi teniamo traccia degli ordini effettuati dai clienti e ne memorizziamo i DDT e le fatture.

La domanda è: sono dati sensibili?

A mio avviso no, ma proprio perché la legge è, di per se, poco chiara, vorrei avere qualche informazione in più.

L'azienda oltretutto si serve di tecnologie informatiche come supporto al proprio archivio, quindi si parla di backup; ancora, l'azienda è collegata alla rete, quindi dispone di apparecchi volti alla protezione della rete interna (e di tutto il materiale sopra citato).

Il DPS mi sembra una buona idea, ma vai a capire chi e come deve strutturarlo!
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda ValeriaVitolo » ven dic 17, 2004 11:19 am

Mmmm....

Innanzitutto un paio di distinzioni, ovvero la legge distingue tra:

1) dati personali (quelli del tuo caso) e dati sensibili (reddito, credo, ecc.)

2) trattazione informatica (con pc) e manuale (.... senza pc).


Nel tuo caso credo occorra:

- uno sbarramento semplice: password di accesso, firewall e backup dati;

- tutti i documenti connessi al DPS:
- lettere di incarico;
- analisi dei rischi;
- nomina del titolare e del responsabile;
- formulazione del DPS (annuale).

Ovviamente se vuoi essere zelante potresti implementare un sistema di crittazione e decrittazione automatica dei file contenenti tali informazioni.

Credo sia tutto.

P.s. cosa deve contenere e come si compila il DPS è riportato schematicamente nell'allegato della legge (vedi link).
Credo sia abbastanza fattibile.....
Tuttavia puoi sempre demandare il compito al legale del laboratorio.
Avatar utente
ValeriaVitolo
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: gio dic 16, 2004 6:59 pm


Messaggioda thomas » ven dic 17, 2004 11:28 am

Quindi ogni azienda, in pratica deve stilare il DPS...
Includo anche il mio elttricista di 60 anni? Accipicchia!

Ancora: l'azienda che mi fornisce il programma gestionale, che vincoli ha nei miei riguardi con il DPS? Credo sia logico ipotizzare che assieme al loro programma debbano stilare e fornire a me che sono loro cliente, la parte del documento che li vede partecipi (quella relativa al funzionamento del programma stesso).
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda ValeriaVitolo » ven dic 17, 2004 1:11 pm

Deve farlo chiunque tratti dati personali (ancor più dati sensibili).

comunque questo è il caso.... diciamo così BANALE ben altra storia sono i dati sensibili....




P.s. ricorda la pwd almeno 8 caratteri; ID e PWD non riconducibili alla persona.... (cioè PINCOPALLINO non avrà userid PINPALL).

Ciao.
Avatar utente
ValeriaVitolo
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: gio dic 16, 2004 6:59 pm

Messaggioda ValeriaVitolo » sab dic 18, 2004 10:03 am

Passiamo ad esaminare i casi reali di maggiore complessità (datemi una manina però [!!!] ).

Viste gli obblighi della legge, vediamo il primo caso, il più semplice.

Caso 1: Un parroco ha l'archivio dei fedeli su un file Excel (o ACCESS sarebbe uguale), dove annota battezzati e cresimati, nome, cognome, ecc.
Il DATO SENSIBILE in questo caso c'è ed è il CREDO RELIGIOSO.

Ipotesi 1: il parroco è l'unico ad usare il pc, che è pure connesso ad internet.

Cosa deve fare il parroco per essere in regola con la legge (informaticamente parlando?)


P.s. Non credo che l'azienda che fornisca il sw di gestione abbia OBBLIGHI espliciti relativamente al DPS.
Avatar utente
ValeriaVitolo
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: gio dic 16, 2004 6:59 pm

Messaggioda thomas » sab dic 18, 2004 10:51 am

ValeriaVitolo ha scritto:P.s. Non credo che l'azienda che fornisca il sw di gestione abbia OBBLIGHI espliciti relativamente al DPS.


Ti rispondo in merito a questo, perché credo che la mia software house sia la prima a dovermi garantire l'integrità e la riservatezza sui dati che manipola il suo programma, magari adottando tecniche ci crittazione documentate e descritte per bene...
Una sorta di certificazione (che ben presto arriverà anche per il software).


Poi una note generale: un recente decreto ha proprogato al 30 di settembre del 2005 (se non ricordo male) gli obblighi di legge in materia di privacy, per favorire l'adeguamento di tutti.

Per il parroco, la cosa è particolare secondo me: la realtà parroco non ha nulla a che vedere con l'azienda; io credo addirittura che i documenti redatti dal parroco o chi per esso, non siano in alcuna maniera ufficiali... è un mio sentore, nulla di certo.

Se così non fosse, allora anche mia madre che scrivere sui fogli i dati dei bambini che partecipano al catechismo, dovrebbe stilare il DPS...
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda Rancid » sab dic 18, 2004 11:44 am

fromtheflames ha scritto:Ti rispondo in merito a questo, perché credo che la mia software house sia la prima a dovermi garantire l'integrità e la riservatezza sui dati che manipola il suo programma, magari adottando tecniche ci crittazione documentate e descritte per bene...


mi sto informando ..interessa anche a me la cosa
Non è la mera fotografia che mi interessa. Quel che voglio è catturare quel minuto, parte della realtà.
The Medium Is The Messagge
Avatar utente
Rancid
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2417
Iscritto il: mar nov 25, 2003 1:58 pm
Località: Haunted City

Messaggioda ValeriaVitolo » mar dic 21, 2004 11:50 am

1. La proroga è fino a giugno 2005.

2. Il responsabile sei tu, quindi tu devi preoccuparti di usare gli strumenti giusti.... Se scegli un programma gestionale piuttosto che un altro è un tuo diritto ma anche un tuo ONERE.

3. Documenti ufficiali: non importa se siano ufficiali o no, quello che conta è tutelare i dati personali (ancor più i sensibili).

4. Per assurdo anche una lettera di Word con estremi SENSIBILI è un documento a rischio.....


Stavolta vorrei porla io una domandina:

Un'agenzia di assicurazioni ha una connessione VPN con il SERVER (VPN) dell'agenzia generale, ed una connessione ad Internet ADSL con IP statico.

La domanda è: questa soluzione è ASSOLUTAMENTE sicura?

[fischio]
Avatar utente
ValeriaVitolo
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: gio dic 16, 2004 6:59 pm

Messaggioda thomas » mar dic 21, 2004 12:26 pm

ValeriaVitolo ha scritto:1. La proroga è fino a giugno 2005.

Chiedo venia.. è vero; mi sono confuso con la proroga per i ritardatari
ValeriaVitolo ha scritto:Stavolta vorrei porla io una domandina:

Un'agenzia di assicurazioni ha una connessione VPN con il SERVER (VPN) dell'agenzia generale, ed una connessione ad Internet ADSL con IP statico.

La domanda è: questa soluzione è ASSOLUTAMENTE sicura?

[fischio]

Se la si mette in questa maniera, chi può ritenersi sicuro?

Ovvero, si pretende la sicurezza quando neanche le reti governative sono sicure?
La "domanda di risposta" è: "ci siamo rimbecilliti?" (leggi con ironia)

Io credo che le misure minime di sicurezza siano router(gateway)+firewall, poi sta agli amministratori farli funzionare e ai produttori non prevedere bachi.
Se si vuole una rete sicura (leggi difficile ma non impossibile da bucare), allora compriamo per ogni azienda almeno 5 firewall in serie, di marche e modelli differenti... allora si che è un po' più complicato...

Secondo me questo documento non sarà altra che una stesura per bene di tutti i nostri (dei sistemisti) documenti interni...
Sarà invece dura mettere in testa agli utenti di cambiare le password ogni tanto e metterne sempre una diversa e astratta dal proprio essere, ricordandogli di non appendere un postit sul monitor/sotto la tastiera/nel cassetto con la password in bella vista... Secondo me questo è il punto cruciale.

Per quello che mi riguarda, tutto quello che posso in materia di sicurezza è fatto e documentato...

Quindi, quando ti riferisci alla VPN, se hai un firewall configurato ad entrambi i lati del tunnel, non di dovrebbero essere problemi.


Mi piacerebbe discutere anche dell'istruzione degli utenti: mica tutti hanno memoria per ricordarsi una password diversa ogni "quellichesono" mesi... insomma, hanno ben altre cose in mente da fare/ricordare..
Tanto vale comprare dei lettori di impronte digitali o di iride per l'accesso ai sistemi!!! O no?

(un pensierino sui lettori di impronte ce lo faccio!)
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda ValeriaVitolo » mar dic 21, 2004 1:04 pm

Un'agenzia di assicurazioni ha una connessione VPN con il SERVER (VPN) dell'agenzia generale, ed una connessione ad Internet ADSL con IP statico.
La domanda è: questa soluzione è ASSOLUTAMENTE sicura?


Quindi, quando ti riferisci alla VPN, se hai un firewall configurato ad entrambi i lati del tunnel, non di dovrebbero essere problemi.


Beh.... consentimi dal basso della mia inesperienza di dissentire.

L'anello debole della catena è la piccola agenzia.

Vediamo perché.

Postulato: la piccola agenzia non ha i mezzi dell'agenzia generale, quindi supporremo che userà (al massimo) un firewall software, un antivirus e che farà una scarsa manutenzione tecnica. L'agenzia non ha un collegamento esclusivo con l'AZIENDA MADRE, ma usa anche internet per navigare normalmente.

Prima considerazione: è vero che chi entra è autenticato, ma non sappiamo cosa (o chi) porta con sè....
Seconda: non sappiamo se qualche furbetto maschera il suo IP come l'IP statico della filiale per entrare indisturbato nell'agenzia generale...
ed accede a tutti i dati riservati!

Cioè se la filiale prende qualcosa, diciamo che compromette un po' anche la sicurezza della generale, pur supponendo (ma c'è davvero?) una crittazione dei pacchetti.

Per quanto riguarda la PRIVACY:
la risposta è assolutamente un NO secco, in quanto non basta una connessione VPN, crittata, aperta solo negli orari di ufficio ed alle informazioni riservate di pertinenza cioè solo quelle di quell'agenzia e non di altre(ehehhehe).....

E' un NO soprattutto perché i dati riservati (almeno quelli della filiale) sono custodite anche sul pc locale.... e cos'è l'agenzia generale se non una somma di filiali?

[devil]


Soluzioni?
Avatar utente
ValeriaVitolo
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: gio dic 16, 2004 6:59 pm

Messaggioda thomas » mar dic 21, 2004 1:24 pm

ValeriaVitolo ha scritto:
Un'agenzia di assicurazioni ha una connessione VPN con il SERVER (VPN) dell'agenzia generale, ed una connessione ad Internet ADSL con IP statico.
La domanda è: questa soluzione è ASSOLUTAMENTE sicura?


Quindi, quando ti riferisci alla VPN, se hai un firewall configurato ad entrambi i lati del tunnel, non di dovrebbero essere problemi.


Soluzioni?


Sono stato poco chiaro nel post precedente!

Secondo me è impossibile adeguare tutte le entità che utilizzano la rete (intesa come internet) verso un sistema sicuro a priori (se davvero esiste).
1) non ci sono spesso i fondi
2) non c'è la testa delle persone: ancora sono molti che utilizzano i pc della ditta in cui lavorano per fare i loro porci comodi... mi spiace per tutti quello che lo fanno, ma è un comportamento assolutamente irriverente!
3) non c'è la testa degli amministratori: che dir si voglia, ma a quanto pare gli amministratori italiani delle piccole-medie imprese (le grandi se li possono permettere), sono spesso persone "che ne sanno di computer" e che "aiutano" il proprietario: i proprietari stessi non sono ancora entrati nell'ottica che la sicurezza informatica è importante e va finanziata!

Quindi ci vediamo concordi.

Ma quello che mi fa riflettere e scrivere
fromtheflames ha scritto:Quindi, quando ti riferisci alla VPN, se hai un firewall configurato ad entrambi i lati del tunnel, non di dovrebbero essere problemi.
è il semplice fatto che non può, lo stato, imporre la sicurezza come "assoluta", mi spiego: sarà per ovvie ragioni un processo lento, la nuova generazione sarà certamente più volta a questo tipo di cose, ma "finchè mio padre crede che spendere 2000 euro per un server ridondante in processore, alimentazione, dischi, schede, ecc... siano cose per chi ha una grande azienda" (e bada bene, non ho sparato una cifra da server vero!), allora il DPS sarà una farsa... E questo lo stato lo sa.
Ecco perché mi sono limitato al firewall sugli endpoint della vpn.

Le soluzioni sicure non partiranno certo da noi, prima va messa in sicurezza la Rete, che purtroppo per forza di cose, sicura non la sarà mai!
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda ValeriaVitolo » mar dic 21, 2004 5:26 pm

Già...

Ma quello che desideravo era dare qualche dritta per aiutare chi deve ottemperare quella legge....
Forse in un forum non si può discernere tutti i casi, ma magari dare qualche specifica tecnica sui casi più comuni forse si....

In conclusione, è possibile provare a formulare qualche soluzione (implementazione tecnico/informatica) di casi reali ?

[cuore]

Ciauz
Avatar utente
ValeriaVitolo
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: gio dic 16, 2004 6:59 pm

Messaggioda thomas » mar dic 21, 2004 8:27 pm

ValeriaVitolo ha scritto:Già...

Ma quello che desideravo era dare qualche dritta per aiutare chi deve ottemperare quella legge....
Forse in un forum non si può discernere tutti i casi, ma magari dare qualche specifica tecnica sui casi più comuni forse si....

In conclusione, è possibile provare a formulare qualche soluzione (implementazione tecnico/informatica) di casi reali ?

[cuore]

Ciauz


Hai ragione...
Però, mi sembra più utile forse, piuttosto che studiare dei casi reali, studiare invece soluzioni comuni a più casi reali: ad esempio come implementare la protezione con password (che a mio avviso è il punto debole), descrivere una semplice struttura di protezione della rete (apparati hw e sw quali router/firewall/gateway), illustrare alcune tecniche di protezione dei dati (crypt) e conservazione degli stessi (backup), ...

Che ne dici? Altrimenti possiamo fare come dici tu, cominciando da qualche realtà...

PS: a tutti gli altri: non ci credo che siamo così pochi interessati a questa materia! La discussione è interessantissima, potrebbe evolvere addirittura in homepage secondo me; quindi partecipate cazzarola!! [sedia]
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda thomas » mar dic 21, 2004 8:37 pm

Art.4 DL 196/2003 ha scritto:1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
i) "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
l) "comunicazione", il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile;
o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
p) "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o piu' unita' dislocate in uno o piu' siti;
q) "Garante", l'autorita' di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675,


Rileggendo queste definizioni, mi sorge un dubbio: l'impiegato che lavora presso la mia azienda e che, di tanto in tanto, deve emettere una fattura, quindi ricerca il cliente nel database e compila i campi della fattura, come/cosa c'entra in tutto questo?
A primo avviso si tratterebbe di "incaricato", ma se la sola funzione che può avere è quella di consultare il databse, simane ancora "incaricato"?
Ovvero: mi deve inserire anche lui nome utente/password sul terminale o posso lasciare le sessioni aperte per tutta la durata della giornata lavorativa? (chiaramente consentendo l'accesso fisico ai soli impiegati)
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda ValeriaVitolo » mer dic 22, 2004 11:04 am

Mi piace [applauso].

Faccio una premessa... perdonatemi le cavolate che dirò... non sono brava [fischio]

Innanzitutto per sicurezza non intenderemo mai l'ASSOLUTA ma almeno un ottimo livello (soprattutto in termini di costo/benficio).

Tranne eccezioni poco diffuse possiamo concentrarci e dividere i casi in:

1) un solo utente accede al pc e ai dati riservati;
2) più utenti accedono ai dati riservati ma a diversi privilegi;
3) utenti anche in remoto che accedono ai dati ma a diversi privilegi.


Una semplificazione per tutti: la macchina che tratta i dati non dovrebbe collegarsi a internet. Può farlo solo se il budget del cliente è adeguato per garantire una "buona" protezione.


Le priorità che abbiamo sono:
1) nessuna persona (o programma) non autorizzato deve avere accesso ai dati personali;
2) se non è più necessario bisogna DISTRUGGERE i dati personali del soggetto (ad es. un cliente che cambia commercialista);
3) ripristinare l'accessibilità ai dati entro pochi giorni in caso di problema tecnico.

Li vediamo insieme uno per volta?
Avatar utente
ValeriaVitolo
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: gio dic 16, 2004 6:59 pm

Messaggioda Mr.TFM » mer dic 22, 2004 11:17 am

Abbiate pazienza, mi sono fermato alla 6 sisposta, poi non ce l'ho fatta a leggere tutto... Avete scritto un bel po'!
Comunque, anche mia mamma. impiegata statale in un Istituto comprensivo (le vecchie scuole medie e elementari) recentemente ha dovuto seguire un corso prpprio per conformare il suo ufficio a questa legge!
Tutto dovrà essere coperto da password, cambiate periodicamente e tenute in cassaforte....
Già quello è stressante, poi se tutto il lavoro cartaceo e digitale deve essere coperto..... Beh, immaginate che casino! [sedia] [sedia] [sedia]


Ma chi l'ha studiata 'sta legge Rodotà? (n.d.a. il Garante delle Privacy?)
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda thomas » mer dic 22, 2004 11:34 am

ValeriaVitolo ha scritto:Una semplificazione per tutti: la macchina che tratta i dati non dovrebbe collegarsi a internet. Può farlo solo se il budget del cliente è adeguato per garantire una "buona" protezione.


Valeria, questa semplificazione ci butta fuori dalla realtà però!!
Per evitare ogni dubbio, perché non discutiamo un attimino di questa prima...

Secondo me, occorre ipotizzare non una sola macchina, ma una rete di macchine, con la possibilità poi di andare in internet: questa è la situazione mediamente diffusa.

Prendendo quindi in considerazione questa situazione, cerchiamo di capire cosa occorre fare per "chiuderci" (proteggere la rete), poi passeremo allo studio delle prassi interne.

Sempre guardando ad un livello di compromesso tra budget e tecnologia, io ho individuato questi punti per quanto riguarda la protezione della rete.
- Protezione interna
1) circoscrizione fisica degli ambienti ove sono poste le macchine (nessun estraneo deve avere la possibilità di sedersi ad un pc, accenderlo ed utilizzarlo - se non espressamente voluto); quindi qui entrano in ballo i sistemi di sicurezza visiva e sorveglianza (allarmi, telecamere, ecc..), roba che non so se debba essere trattata nel DPS.
- Protezione esterna (tenendo sempre presente le misure di sorveglianza fisica)
1) un solo punto è direttamente collegato alla Rete (internet): tale punto deve essere protetto. Quindi è ammissibile ipotizzare a servizi di gateway e firewalling, implementati da diversi strumenti o anche dallo stesso; tali servizi hanno da essere configurati secondo le specifiche aziendali (es: accesso dall'esterno alla rete interna tramite secure shell, forwarding delle richieste alla porta 80 del router verso un server interno, ecc...); tutti questi punti devono essere documentati
2) ogni pc della rete interna si collega all'esterno tramite il punto di accesso alla Rete; qui entrano in gioco dispositivi come switch e hub, ma (ancora) non so se la topologia della rete deve essere esplicata.


Data questa premessa (sicuramente integrabile e, anzi, vi prego di farlo, magari con colori diversi - non conosco tutto, quindi posso dimenticare delle cose) possiamo prendere in esame il singolo pc e tutto quello che ha detto Valeria poco fa.

Io quest'oggi non sarò presente, ma domani leggerò tutto

Se serve una realtà, possiamo lavorare su una delle nostre o su più realtà delle nostre, così ci mettiamo avanti col lavoro!

Per Valeria: la tua voglia di conoscenza in questo campo, mi incuriosisce... lavori nella sistemistica?
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda thomas » mer dic 22, 2004 11:44 am

Mr.TFM ha scritto:Ma chi l'ha studiata 'sta legge Rodotà? (n.d.a. il Garante delle Privacy?)


E' un casino, è vero...
Ma a conti fatti, questa legge ci porterebbe all'avanguardia per quanto riguarda la sicurezza nazionale; non so quanti altri Paesi debbano fare i conti con questa materia in siffatta ([coca] ) maniera, ma sono certo che se chiunque dovesse aver a che fare con qualsiasi tipo di dato, implementerebbe misure protettive "minime", allora si complicherebbe abbastanza la vita di chi sfrutta questi buchi nelle imprese... e non è roba da film! La speculazione aziendale esiste da decenni...

A me piacerebbe veder implementate queste misure nel più breve tempo possibile, ma ottimisticamente parlando non ne vedo la realizzazione se non tra un paio di anni (e via alle deroghe!). Speriamo solo non vada cestinata!

A proposito:
Art. 5
(Oggetto ed ambito di applicazione)

1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque e' stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranita' dello Stato.

2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque e' stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali.

3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali e' soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilita' e di sicurezza dei dati di cui agli articoli 1 e 31.

Si parla di applicazione per tutti e tutto quello che è sul territorio nazionale!
Insomma, anche la mia cara Apple, se un domani decidesse di spostare i suoi server qui in Italia per via che costano meno (utopia), nonostante sia una società californiana dovrà sottostare alle leggi italiane (per quel che riguarda la privacy appunto)!
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda ValeriaVitolo » mer dic 22, 2004 1:16 pm

Internet è una componente critica quindi, volendo schematizzare, supponiamo una risoluzione "semplice" del primo caso; la questione la affronteremo nei casi successivi (costo/beneficio).

In verità esiste una problematica e non da poco: come vengono usati i dati riservati?

Cioè, è presumibile che i dati riservati (o sensibili) siano in un database.

MA.... (e che ma), vengono solo consultati visivamente o vengono utilizzati da un programma esterno, magari un programma gestionale?

Viste le mie limitatissime conoscenze prenderò in considerazione solo la prima ipotesi.

Facciamo un po' di luce.
Caso 1: Un solo utente accede al PC ed ai dati riservati.

Per impedire l'accesso alle persone non autorizzate (senza dimenticare il pc può anche essere sottratto illegalmente heheheh....) occorrerà:

1) un valido sistema di Log-in: quindi un sistema operativo recente (Windows XPpro e similari) ed aggiornato (Service pack e patch), formattato NTFS;

2) L'amministratore (o il tecnico hw/sw) creerà il profilo utente, ma l'utente deve cambiare la PWD (che sarà ignota al tecnico);
[magari il cliente potrebbe firmare un documento in cui dichiara di aver cambiato la pwd]

3) per impedire che estranei possano sedersi al pc, credo basti una pwd allo screen saver oppure il cliente dovrà disconnettersi ogni volta che si alza o cose così.....

4) un valido sistema di crittazione dei file riservati con pwd: beh per questo punto c'è un pacchetto interessante Drivecrypt
http://www.securstar.com/products_drivecrypt.php
che tra i suoi punti di forza ha la crittazione/decrittazione automatica;

5) un sistema per il ripristino dei dati: credo basti una configurazione RAID 1, ovvero due dischi in raid;

6) un sistema per la distruzione dei dati non necessari: credo basti DATA ERASER della ONTRACK (o similari);

7) e magari: un UPS.

Questa è la soluzione completa del primo caso.
Adesso passerei la palla: troppo complesso per me.

P.s. comunque provo a scrivere qualcosa..... tanto mi correggerete voi no? [:-D]
Avatar utente
ValeriaVitolo
Aficionado
Aficionado
 
Messaggi: 25
Iscritto il: gio dic 16, 2004 6:59 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 19 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising