Adempimenti legge sulla privacy 196/2003 HELP!

[ValeriaVitolo]

Ciao a tutti,
per la legge sulla PRIVACY
bisogna adottare delle misure informatiche tese ad impedire che persone non autorizzate possano avere accesso ai dati riservati.

Questo significa che i dati sul pc devono essere in qualche modo protetti anche contro, ad es., il furto del pc e/o dei supporti di backup (e quindi valide sia contro azioni che possano bypassare il sistema operativo, e sia in caso di "distruzione" del pc stesso).

Mi spiego meglio: è vero che windowsxp ha la funzione di crittografia, ma suppongo che se i file non vengono letti da quell'utente (ovvero da quell'utente su QUEL PC) non siano utilizzabili.

Quindi occorrerebbe utilizzare un sw per la crittografia dei dati, magari che consenta anche di effettuare il backup degli stessi (meglio ancora se supporta l'incrementale).

Qualcuno sa indicarmi quale software meglio soddisfa quanto richiesto dalla legge?

Grazie a tutti.

[bluepix]

Chiarisco che non sono un esperto in sicurezza e non conosco le modalita hardware e software sul quale lavori, ma credo che la strada della crittografia delle informazioni sia da escludere a priori per le seguenti ragioni:
1) i programmi di gestione dei dati(procedure) normalmente non sono in grado di elaborare dati crittografati tranne per i programmi di office che prevedono di salvare i dati con password che, che crittografano il file durante il salvataggio.
2) L'eventuale assenza del gestore dei dati rende di fatto inutilizzabile il dato stesso in quanto, per definizione, la password di accesso non è nota ad altri.
3) L'utilizzo di troppe password o di password complesse crea per il lavoratore la necessità di trascrivere la stringa su qualche supporto così da non dimenticarla e rendere impossibile il lavoro.

Opterei di conseguenza su una password di accesso alla macchina con una gestione centralizzata della stessa.
Mi spiego: il responsabile della sicurezza definisce i profili di accesso, assegna le password secondo gli standard minimi di sicurezza, ne controlla la periodica modifica,ne tiene una copia e la comunica in caso di accertata necessità alla persona che sostituisce il titolare.
I dipendenti tenuti al backup dei dati, dopo il salvataggio, consegnano la copia di salvataggio con i propri dati all'incaricato che sarà tenuto a tenerla in luogo sicuro (una cassaforte a prova di fiamma) e a consegnarla solo al dipendente/proprietario dietro presentazione di domanda scritta.

E' da valutare se oltre alla password di login, sia necessario(se possibile dal BIOS) avere una password da inserire all'accensione della macchina.

Oltre questo occorre valutare cosa occorre fare per non avere copie pirata dei dati sensibili.

1) che i PC con dati sensibili siano collegati ad internet

[andorra24]

Ritengo che la scelta più sensata ricada sui software di crittatura che operano attraverso l'utilizzo di un "drive virtuale" cifrato (Blowfish a 448 bit oppure AES a 256) e protetto da password. In tal modo, è possibile proteggere i dati anche spostandoli da un pc all'altro utilizzando sempre le stesse credenziali di autenticazione e, al tempo stesso, assicurando una protezione dei dati anche in caso di furto dei supporti di storage. Inoltre, questa tipologia di software consente di non stravolgere le abitudini di utilizzo degli utenti, risultando semplice ed efficace nell'impiego. Infine, l'intero contenuto del volume virtuale confluisce in un unico file criptato con conseguente facilità di backup dei dati sensibili.
A tal proposito, il mio consiglio ricade sull'ottimo "Cryptainer", questo è il link del distributore italiano http://www.cryptainer.it/ , dove potrai trovare anche altre info in merito al funzionamento del software in questione.

[nicolarush]

Quote:

Originariamente inviato da ValeriaVitolo

Ciao a tutti,
per la legge sulla PRIVACY
bisogna adottare delle misure informatiche tese ad impedire che persone non autorizzate possano avere accesso ai dati riservati.

Questo significa che i dati sul pc devono essere in qualche modo protetti anche contro, ad es., il furto del pc e/o dei supporti di backup (e quindi valide sia contro azioni che possano bypassare il sistema operativo, e sia in caso di "distruzione" del pc stesso).

Mi spiego meglio: è vero che windowsxp ha la funzione di crittografia, ma suppongo che se i file non vengono letti da quell'utente (ovvero da quell'utente su QUEL PC) non siano utilizzabili.

Quindi occorrerebbe utilizzare un sw per la crittografia dei dati, magari che consenta anche di effettuare il backup degli stessi (meglio ancora se supporta l'incrementale).

Qualcuno sa indicarmi quale software meglio soddisfa quanto richiesto dalla legge?

Grazie a tutti.

se non ricordo male in linea di max devi avere antivirus,firewall
fare backup,usare un sistema di password e predisporre il documento programmatico della sicurezza

[ValeriaVitolo]

Tra le cose che ho visto su internet ho trovato vari sw di criptazione:
cryptainer
drivecrypt
pgp 9

...

solo che:

1) mi è difficile scegliere il prodotto migliore;
2) non mi è chiarissimo come fare il back-up (magari automatico) dei file/cartelle/partizioni criptate....

Plz help.

[nicolarush]

Quote:

Originariamente inviato da ValeriaVitolo

Tra le cose che ho visto su internet ho trovato vari sw di criptazione:
cryptainer
drivecrypt
pgp 9

...

solo che:

1) mi è difficile scegliere il prodotto migliore;
2) non mi è chiarissimo come fare il back-up (magari automatico) dei file/cartelle/partizioni criptate....

Plz help.

io per il criptaggio ho scelto una soluzione hardware:abit secure ide
per il backup invece norton ghost

[ValeriaVitolo]

Mmmm.....

Perchè hai scelto GHOST?
Ma lo usi per la "PICCOLA" partizione dati o per tutto il disco? (trovo improbabile o quanto meno infelice procedere ad una copia integrale del disco ad ogni backup).

Grazie per la disponibilità.
Ciauz.

[ValeriaVitolo]

Dopo un'attenta analisi devo convenire che la soluzione proposta da Andorra24 (drive virtuale) sia effettivamente il miglior compromesso tra protezione e "facilità_d'uso" sempre nel rispetto della legge sulla privacy.

Non ho visto il sw che mii ha consigliato (cryptainer) anche perchè sono rimasta impressionata dalla potenza di PGP Professional 9.0, o meglio di come soddisfi praticamente tutti i requisiti del decreto (internet a parte).

Addirittura consente la distruzione (sicura: ovvero rendendo impossibile il ripristino) dei file riservati non + necessari! o la pulizia delle aree del disco che non contengono dati !!! (Wiping: che eviterei per non invecchiare precocemente l'HD).

Resta un problemino il backp. E' vero che il disco virtuale genera un solo file facilmente salvabile, ma non sono ancora riuscita a scegliere lo strumento:
masterizzazione dvd, disco usb, nastro.....
Per rendere la procedura automatizzata (magari utilizzando le operazioni pianificate + backup incluse in wxp pro) dovrei rinunciare alla masterizzazione che mi consentirebbe di avere uno storico dei backup in maniera tale da poter accedere al primo (cronologicamnete) backup utile.....
Scrivendo su HD o su nastro credo dovrei (e potrei) avere solo un file di backup....
o c'è qualche strumento che mi consente di salvare il file come nomebackup_data?

Cao e grazie.

[ironia]

ba ma che credete alle 3 guerra mondiale'??


windows la crittografia di windows, basta quella , rapida e veloce

prime domande per il backup:
hai un server??
quanti dati devi salvare?

backup dipende quanto vuoi spendere, se hai un server (ricordo l'obbligo di ripristinar el'operativita entro 7 giorni), quindi devi fare ad esempio backup di active directory, exchange, lotus..ec...devi affidarrti a un buon programma tipo
per un software professionale tipo veritas partono 1000 euro


di chiedo le dimensione perchè un tape per 20/40 gb di dati comrpesis costa una 15 di euro

un tape per 80/160 gb comrpesi puo' costare anche 70/80 euro

potresti valutare anche un hd usb...

il tutto piu' iva


un'armadio ignifugo costa non meno di 2000 euro indi o vi affittate una cassetta di sicurezza in banca che costa meno oppure conservate le cassette in un'altro luogo

[ironia]

confermo che il backup di microsoft fa un file solo (come veritas..ecc..)



ciaooo

[ValeriaVitolo]

x Ironia:
1) si può decidere di essere (completamente o "QUASI") in regola con il Decreto.... e secondo quanto sancito: evitare che terzi (non autorizzati) possano avere accesso ai dati.... quindi anche senza 3* guerra mondiale basta un furto del pc....

2) crittografia di windows.... beh l'ho scartata praticamente subito perchè per avere accesso ai dati occorre che sia quell'utente ad accedere a quel pc: ovvero basta che salti il profilo (o anche l'hd) per salutare definitivamente i dati....
Inoltre ignoro - ma a questo punto dell'analisi è superfluo - che tipo di crittazione sia.... (quanti bit, ecc.)

3) quali dati salvare: essenzialmente quelli che contengono dati riservati (quindi nessun active directory o altro) in linea di massima (con un drive virtuale) 200/300 MB..... credo siano sufficienti

4) una chicca potrebbe essere fare il backup su un disco remoto, ma siccome siamo (molto) umani possiamo optare per un dispositivo locale... ma quale?
Sicuramente non un server (troppo costoso) e comunque un qualcosa che ci consente di avere uno storico.
Il backup su dvd non sarebbe automatico ma consentirebbe di separare fisicamente il pc dal backup....

Cerco ancora.....

Byez

[ironia]

crittografia di windows.... beh l'ho scartata praticamente subito perchè per avere accesso ai dati occorre che sia quell'utente ad accedere a quel pc: ovvero basta che salti il profilo (o anche l'hd) per salutare definitivamente i dati....
Inoltre ignoro - ma a questo punto dell'analisi è superfluo - che tipo di crittazione sia.... (quanti bit, ecc.)

---------

è qui che entra in gioco il backup e la sicurezza....

per me ti fai troppe turbe..ricorda che tutto cio che metti sup DPS poi lo devi rispettare..


ciaoo