Musa, quell'uom di multiforme ingegno   Dimmi, che molto errò, poich'ebbe a terra Gittate d'Ilïòn le sacre torri; Che città vide molte, e delle genti L'indol conobbe; che sovr'esso il mare Molti dentro del cor sofferse affanni, Mentre a guardar la cara vita intende, E i suoi compagni a ricondur: ma indarno Ricondur desïava i suoi compagni, Ché delle colpe lor tutti periro. (Omero, I Libro Odissea)

Sicurezza Informatica

Documento programmatico sulla sicurezza

• Introduzione
• Struttura della documentazione - NIST
• Struttura della documentazione - BSI

Le disposizioni introdotte dal D. Lgs. 196 del 30 giugno 2003 impongono la predisposizione di misure di sicurezza obbligatorie per il trattamento di dati personali e tra queste la formulazione e l'aggiornamento, obbligatorio con cadenza almeno annuale per chi effettua trattamenti su dati sensibili o giudiziari, del Documento Programmatico sulla Sicurezza, per definire, sulla base dell'analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati soggetti alla normativa, i seguenti elementi, dedotti dal Disciplinare Tecnico del Codice:

1. l'elenco dei trattamenti di dati personali;
2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
3. l'analisi dei rischi che incombono sui dati;
4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Come espresso dal punto 26 del Disciplinare Tecnico, sussiste nel caso l'obbligo per il titolare che "... riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza".

In questo senso il Codice, pur senza indicare criteri di riferimento, suggerisce procedure, per descrivere la gestione della sicurezza dei dati, che possono facilmente individuarsi in standard internazionali come, ad esempio, il BS 7799 e i successivi ISO 17799 e ISO 27001, che hanno come obiettivo quello di "proteggere i Dati e le Informazioni da una vasta gamma di minacce al fine di assicurarne integrità, riservatezza e disponibilità creando un Sistema di Gestione della Sicurezza delle Informazioni (SGSI)".

Il documento ha l'obiettivo di organizzare e fornire le informazioni relative a tutte le misure di sicurezza, e cioé al complesso degli accorgimenti tecnici, informatici, organizzativi, logistici e procedurali di sicurezza, adottate o da adottare, in relazione alla tipologia delle varie banche dati, per ridurre al minimo i rischi della loro distruzione o perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta.

In questo articolo viene fornito un modello per la compilazione del documento che si basa su due diverse procedure per la realizzazione dell'analisi sul rischio, quella proposta dal NIST statunitense e quella proposta dal BSI tedesco, che nei due casi ne determinano la struttura definitiva.