[DPS] Documento Protgrammatico sulla Sicurezza

[cagnaluia]

per compilare un accettabile DPS occorre senz altro sviluppare questi 4 punti:

1. Analisi dei rischi che incombono sui dati.
2. Misure adottate per garantire l'integrità e la disponibilità dei dati
3. previsione di idoei interventi formativi degli incaricati del trattamento dei dati per renderli ben coscienti dei rischi che incombono.
4. descrizione dei criteri da seguireper garantire l'adozione delle misure minime di sicurezza in caso di outsourcing dei trattamenti.

----------------------

Moh.... adesso come si fa una valutazione dei rischi? è troppo vasta!

come possono svilupparsi questi punti?

[lupetto2k]

Quote:

Originariamente inviato da cagnaluia
per compilare un accettabile DPS occorre senz altro sviluppare questi 4 punti:

1. Analisi dei rischi che incombono sui dati.
2. Misure adottate per garantire l'integrità e la disponibilità dei dati
3. previsione di idoei interventi formativi degli incaricati del trattamento dei dati per renderli ben coscienti dei rischi che incombono.
4. descrizione dei criteri da seguireper garantire l'adozione delle misure minime di sicurezza in caso di outsourcing dei trattamenti.

----------------------

Moh.... adesso come si fa una valutazione dei rischi? è troppo vasta!

come possono svilupparsi questi punti?

Anche io sono alle prese con il DPSS per la mia azienda (di cui sono amministratore di rete).

prendi i tuoi sistemi informatici oggetto del documento programmatico (in genere i server) e fai un elenco di tutti i rischi che possono correre (esempio mancanza di corrente, attacco di virus, guasto hw ecc).
a questo punto per ogni problema che può succedere valuta tempi di disservizio e possibili soluzioni già adottate o che si adottano quando si verifica per esempio:
rottura di un disco -> per i dati il sistema utilizza un RAID 5 che per la rottura di un disco non genera disservizio mentre la casa produttrice ci garantisce che in 4 ore lavorative me ne porta uno nuovo in sostituzione
oppure
se si sputtana il SO di un server -> i tempi per il rispristino sono di 2 ore

comunque devi anche specificare le misure prese per preservare ed evitarne la diffusione non consentita di dati (sensibili) dai vostri sistemi informatici (esempio policy adottate, misure di sicurezza adottate, protezione contro gli attacchi esterni, backup ecc)

nel documento devi in pratica descrivere il vostro sistema informatico e indicare la misure adottate e/o da adottare (in caso di problemi) per rendere sicuri i dati dell'azienda

[Plextor]

Quote:

Originariamente inviato da lupetto2k ... per esempio:
rottura di un disco -> per i dati il sistema utilizza un RAID 5 che per la rottura di un disco non genera disservizio mentre la casa produttrice ci garantisce che in 4 ore lavorative me ne porta uno nuovo in sostituzione
oppure
se si sputtana il SO di un server -> i tempi per il rispristino sono di 2 ore...

Sei sicuro?

Non ci capisco nulla di Leggi, ma da quanto sto cercando di capire non credo che nel DPS devi anche scrivere quanto tempo ci vuole per reinstallarti il wndows se si sputtana.

Se non erro nel documento bisogna scrivere:
- in che modo vengono salvati i dati personali (dei clienti, ...)
- in che modo vengono protetti da estranei
- in che modo vengono divulgati
Insomma cose di questo genere.

Quindi bisognerà spiegare il modo in cui si cerca di difendersi dai virus o dagli spy o cose varie e non quanto tempo ci vuole per reinstallare il windows.

Ma, ripeto, io in materia sono ignorante e quindi potrei sbagliarmi alla grande

[lupetto2k]

Quote:

Originariamente inviato da Plextor
Sei sicuro?

Non ci capisco nulla di Leggi, ma da quanto sto cercando di capire non credo che nel DPS devi anche scrivere quanto tempo ci vuole per reinstallarti il wndows se si sputtana.

Se non erro nel documento bisogna scrivere:
- in che modo vengono salvati i dati personali (dei clienti, ...)
- in che modo vengono protetti da estranei
- in che modo vengono divulgati
Insomma cose di questo genere.

Quindi bisognerà spiegare il modo in cui si cerca di difendersi dai virus o dagli spy o cose varie e non quanto tempo ci vuole per reinstallare il windows.

Ma, ripeto, io in materia sono ignorante e quindi potrei sbagliarmi alla grande

no hai ragione.
il mio era un esempio (forse forviante).

Il discorso era che devi indicare come vengono trattati i dati e come sono protetti, indicando le varie criticità e le soluzioni adottate/adottabili nella tua rete

[Plextor]

ok grazie, infatti mi sembrava strano.
Però sono così ignorante in materia che tuttto poteva essere.

Conescendo poi la burocrazia italiana ...

[3mentina]

per il DPS andate sul sito del garante (se riuscite a connettervi) e scaricate la guida operativa, mi è stata molto utile!

ATTENZIONE
probabilmente prorogheranno dal 30 giugno a fine anno il termine di redazione del DPS

http://www.ilsole24ore.com/fc?cmd=ar...rticolo&back=0

[lupetto2k]

Quote:

Originariamente inviato da 3mentina
probabilmente prorogheranno dal 30 giugno a fine anno il termine di redazione del DPS

http://www.ilsole24ore.com/fc?cmd=ar...rticolo&back=0

sperem

[IlCarletto]

il sole 24 ore riporta proprio oggi la proroga al 31 marzo 2005, w i mulini

[3mentina]

cacchio!!

se me lo dicevano prima me la prendevo con comodo invece di sbattermmi così!

[cagnaluia]

io ho sviluppato tutti i punti...
regole 19.1 --- 19.8...
in modo sintetico e generalizzato ma coerentemente alla realtà aziendale.

non so.. ogni punto una paginetta... qualche tabella sui rischi..

nn vedo cosa scrivere di più...

[3mentina]

idem: 6 punti 6 pagine

poi ci sono le nomine responsabile e incaricati (scritte)

poi ci sono le istruzioni agli incaricati (scritte)

poi ci sono le informative ai dipendenti (scritte)

poi ci sono le informative ai clienti (scritte)

poi ci sono le informative ai fornitori (scritte)

poi ci sono...

[cagnaluia]

Quote:

Originariamente inviato da 3mentina
idem: 6 punti 6 pagine

poi ci sono le nomine responsabile e incaricati (scritte)

poi ci sono le istruzioni agli incaricati (scritte)

poi ci sono le informative ai dipendenti (scritte)

poi ci sono le informative ai clienti (scritte)

poi ci sono le informative ai fornitori (scritte)

poi ci sono...

e che cakkio...
ma dove le hai trovate?

[3mentina]

nella legge?
http://www.camera.it/parlam/leggi/de...ti/03196dl.htm

comunque rilassati: c'è tempo!

come utilità:
www.gpgnet.com/security/SICUREZZA.pdf
www.gpgnet.com/security/PRIVACY.pdf

buon divertimento!

[cagnaluia]

[lupetto2k]

Quote:

Originariamente inviato da 3mentina

comunque rilassati: c'è tempo!

bene

[tweester]

Quote:

Originariamente inviato da IlCarletto
il sole 24 ore riporta proprio oggi la proroga al 31 marzo 2005, w i mulini

Ciao,
non ho trovato in rete una conferma alla proroga a questa data, mica hai un link ?
Io ho trovato questo

http://www.google.it/search?q=cache:...ng_it&ie=UTF-8

nel quale vi è una relazione con le date da te indicate, ma cio non toglie che il DPS debba essere presentato sempre entro il 30 giugno CA

-EDIT- 12.00 trovato questo......

http://www.ilsole24ore.com/fc?cmd=ar...rticolo&back=0

[3mentina]

quindi?
confermi?

[tweester]

Quote:

Originariamente inviato da 3mentina
quindi?
confermi?

Confermo.

Per il documento c'è tempo fino al 31 dicembre 2004.

[cagnaluia]

ma.. fatto il documento... come bisogna procedere?

[tweester]

Quote:

Originariamente inviato da cagnaluia
ma.. fatto il documento... come bisogna procedere?

Io lavoro nel mondo della scuola pubblica, ma credo alla fine sia la stessa cosa per tutti.

In pratica il documento va compilato secondo le indicazioni fornite dal garante e va tenuto in direzione a disposizione di eventuali controlli degli organi competenti (guardia di finanza). La sua NON presenza o compilazione con le indicazioni previste comporta grosse multe e condanne penali notevoli.

Si dice che la data sia stata prorogata al 31 dicembre poichè il ministero di Giustizia non era in grado di adeguarsi in tempo a queste norme, ma ti posso assicurare che anche il mondo della scuola non lo era......