Slitta al 31 dicembre 2005 l’adozione delle misure minime di sicurezza e al 31 marzo 2006 il termine imposto a coloro che hanno elaboratori “vecchi”. La proroga è contenuta nel decreto legge n. 266 del 9 novembre 2004 pubblicato sulla G.U. n. 264 del 10 novembre 2004.
Si tratta di un decreto che contiene una nutrita serie di proroghe, fra cui spiccano anche quelle relative ai giudici onorari e in materia di tutela dei non fumatori. È terminato il giallo sulla proroga dei termini per gli adempimenti di sicurezza di privacy. Seppur prevista nel testo provvisorio, entrato in consiglio dei ministri il 28 ottobre scorso, il comunicato stampa del governo sulla seduta non ne aveva fatto cenno, tanto da mettere in dubbio l’avvenuta approvazione. Ora il testo del decreto legge n. 266 scioglie ogni dubbio. Peraltro il testo provvisorio del decreto legge è stato ritoccato e integrato, rimediando un’anomalia iniziale. Il testo definitivo contiene anche lo slittamento dell’adempimento in scadenza al 31 marzo 2005 (adeguamento per i ´vecchi elaboratori’), non menzionato nel testo iniziale.
Le nuove scadenze sono dunque le seguenti. Innanzitutto slitta il termine per l’adozione delle misure minime di sicurezza che non erano previste dal dpr n. 318/1999. Si tratta delle misure minime “nuove” introdotte dall’allegato B) al codice della privacy (dlgs n. 196/2003). L’adempimento previsto dall’articolo 180, comma 1, del codice della privacy passa dal 30 giugno 2005 al 31 dicembre 2005. Si tratta della terza proroga: il testo iniziale del codice prevedeva addirittura la data del 30 giugno 2004. Risulta prorogata dunque anche la stesura del Documento programmatico sulla sicurezza, che lo stesso garante ha definito in un suo parere quale misura nuova.
Slitta inoltre il termine per l’adeguamento per il titolare del trattamento che dispone di strumenti elettronici, che per obiettive ragioni tecniche non consentono in tutto o in parte l’immediata applicazione delle misure minime previste dall’allegato B). Per tali situazioni il termine per l’adeguamento passa dal 30 settembre 2005 al 31 marzo 2006. Per questi casi rimane sempre l’obbligo di compilare un atto avente data certa in cui si descrivono le ragioni tecniche relative agli elaboratori, compilazione che, nel silenzio del decreto legge, si ritiene debba avvenire al più tardi entro il 31 dicembre 2005.
Le misure minime di sicurezza si possono riassumere nei seguenti punti:
- Utilizzare sistemi operativi che prevedano un sistema di autenticazione e autorizzazione (sono da escludere quindi Windows 95, 98, ME)
- Definire delle politiche di accesso ai dati basate sul minimo privilegio necessario
- AI computers o ai servers che contengono i dati, quando non presidiati, non deve essere dato accesso fisico (Stanze chiuse)
- devono essere utilizzate password personali, conosciute solo dall’utente. L’utente deve potersi cambiare la password quando necessario.
- Le password devono rispondere a requisiti di complessità (almeno otto caratteri, uso di caratteri alfanumerici, lettere maiuscole e minuscole, caratteri estesi)
- Le password devono avere una scadenza almeno trimestrale e non possono essere riutilizzate.
- Quando l’utente si allontana dal terminale, la sessione deve essere bloccata, è consigliabile utilizzare un salvaschermo con richiesta della password
- Chi si connette ad internet deve sempre essere protetto da un firewall
- Deve essere presente una protezione antivirus e quest’ultima deve essere costantemente aggiornata
- I sistemi e i programmi utilizzati devono essere aggiornati su base regolare (es. Windows update – questo sconsiglia l’uso di sistemi non più supportati dal produttore come Windows NT)
- I dati devono essere sempre disponibili e sicuri, devono essere ripristinabili in caso di perdita (Procedure di Backup e restore, predisposizione di un piano di disaster recovery)
- Le misure di sicurezza devono periodicamente essere riconsiderate ed adeguate ai progressi tecnici e all’evoluzione dei rischi.
- Distruzione dei supporti magnetici o ottici non più utilizzati e che potrebbero ancora contenere dati (Floppy, Nastri, CD, ecc.)
- Le password devono avere un ciclo di vita massimo di 6 mesi
N.B. Chi tratta dati sensibili (Medici, giudiziari, ecc.) è tenuto ad utilizzare tecniche crittografiche a protezione dei dati custoditi.
Software dedicati
Digibyte srl ha selezionato tra diversi software presenti sul mercato un prodotto che permette attraverso la compilazione di un questionario e la definizione della base dei dati di poter svolgere agevolmente la parte burocratica necessaria a soddisfare i requisiti di legge.
Inoltre Digibyte mette a disposizione la propria consulenza per quanto riguarda l’adeguamento tecnico della vostra struttura.
Il costo di tale software varia in base alle dimensioni aziendali.
La base di partenza è fissata in Euro 340 per il primo anno, si prevede anche un canone annuo di aggiornamento obbligatorio di Euro 100
Il software permette in maniera automatica la creazione delle lettere di incarico e dell’eventuale DPS in funzione dei parametri impostati attraverso il questionario.
Consulenza
Nel caso desideriate la consulenza di una persona della Digibyte per assistervi in questa procedura e aiutarvi a verificare la parte informatica è possibile prenotare un intervento al costo di Euro 288 per mezza giornata di consulenza, esclusa trasferta.
Verrà rilasciata dichiarazione sullo stato attuale della vostra struttura e una lista di adeguamenti da effettuare per soddisfare i requisiti minimi.
Ricordiamo che tra gli adempimenti minimi si trovano indicazioni ormai strettamente necessarie per il corretto funzionamento del vostro sistema informativo e che la loro implementazione funzionale è una buona occasione per innalzare il vostro livello di sicurezza.
Digibyte mette a disposizione dei propri clienti l’esperienza accumulata in questi anni nel campo della sicurezza.
Siamo in grado di installare:
- Antivirus e sistemi di filtraggio per la posta elettronica (Antivirus, Antispam, Content Filtering) e la navigazione su internet (Proxy servers, Antivirus per firewall, Content e URL Filtering)
- Sistemi di gestione degli aggiornamenti software (Patch Management)
- Sistemi Firewall Avanzati e Virtual Private Networks (VPN) basate sui protocolli IPSEC, L2TP, PPTP
- Definizione di policy IPSEC per l’accesso criptato alle informazioni
- Archiviazione sicura delle informazioni tramite Encrypting File System o PGP
- Installazione di autorità di certificazione per Public Key Infrastructure (PKI)
- Sistemi di autenticazione a tre fattori basati su crittografia asimmetrica in chiave pubblica/privata e accesso basato su Token o SmartCard
- Configurazioni per l’accesso protetto ai siti web (HTTPS SSL)
- Reti Wireless sicure basate sugli standard 802.1X e Radius
- Analisi della sicurezza dei sistemi.