Analisi dei provvedimenti legislativi più rilevanti nel contesto della sicurezza ICT.

Guzzo Antonio 03/04/08
Scarica PDF Stampa
I principali riferimenti normativi nel settore della sicurezza ICT sono cosi dettagliati:

a) La tutela dei dati personaliLegge 31 dicembre 1996, n. 676, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali poi superata dal Decreto legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali (Testo unico sulla privacy);

 

Decreto legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personaliNello specifico ci siamo soffermati sull’allegato B del seguente codice con riferimento in maniera particolare alle misure minime di sicurezza cosi riassunte nei seguenti articoli:

 

Capo II – Misure minime di sicurezza

Art. 33. Misure minime1. Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

 

Art. 34. Trattamenti con strumenti elettronici1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

 

a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

Art. 34. Trattamenti con strumenti elettronicie) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

 

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

b) La firma digitaleAltro aspetto importante è quello concernente i riferimenti normativi dati dal legislatore sull’utilizzo della firma digitale che sono cosi dettagliati:

 

1. Decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004 – “Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici”pubblicato su G.U. 27 aprile 2004, n. 98;

2. Decreto legislativo 7 marzo 2005, n. 82 – “Codice dell’amministrazione digitale”pubblicato su G.U. 16 maggio 2005, n. 112;

Adesso nello specifico esamineremo alcuni articoli del cad cosi dettagliati:

Articolo 21. Valore probatorio del documento informatico sottoscritto1. Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza.

 

2. Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria.

Articolo 35 – Dispositivi sicuri e procedure per la generazione della firma5. La conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma qualificata prescritti dall’allegato III della direttiva 1999/93/CE è accertata, in Italia, in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell’informazione.

 

c) La Posta elettronica certificataDPR 11 febbraio 2005, n. 68 che disciplina l’utilizzo della PEC (posta elettronica certificata)

 

Le Regole tecniche (DM 2 novembre 2005) e le note integrative
Le modalità di accreditamento nell’elenco pubblico dei gestori (Circolare Cnipa 49/2005)

d) La Carta d’Identità Elettronica (CIE)– “Regolamento recante caratteristiche e modalità per rilascio della carta d’identità elettronica e del documento di identità elettronico, a norma dell’articolo 2, comma 10, della legge 15 maggio 1997, n. 127, come modificato dall’articolo 2, comma 4, della legge 16 giugno 1998, n. 191” pubblicato su G.U. 25

1. Decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437
novembre 1999, n. 277

2. Decreto 19 luglio 2000 – “Regole tecniche e di sicurezza relative alla carta d’identità elettronica e al documento d’identità elettronico” pubblicato su G.U. 21 luglio 2000, n. 169 – Supplemento Ordinario n. 116

e) La Carta Nazionale dei Servizi (CNS)– “Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dell’articolo 27, comma 8, lettera b), della Legge 16 gennaio 2003, n. 3” pubblicato su G.U. 6 maggio 2004, n. 105

1. Decreto del Presidente della Repubblica 2 marzo 2004, n. 117
Passiamo ora ad esaminare altri provvedimenti legislativi inerenti la sicurezza ICT

1. Decreto del Presidente del Consiglio dei Ministri 11 aprile 2002 – “Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell’informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato”pubblicato su G.U. 6 giugno 2002, n. 131°

2. Decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003 – “Approvazione dello Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dell’informazione, ai sensi dell’art. 10, comma 1, del decreto legislativo n. 10/2002” pubblicato su G.U. 27 aprile 2004, n. 98

f) La sicurezza nella PAPer quanto concerne i provvedimenti normativi inerenti la sicurezza nella pubblica amministrazione è doveroso citare i seguenti:

 

1. Direttiva del Ministro per l’innovazione e le tecnologie 16 gennaio 2002 – “Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni” pubblicato su G.U. 22 marzo 2002, n. 69;

2. Decreto del Ministro delle comunicazioni e del Ministro per l’innovazione e le tecnologie 24 luglio 2002 – “Istituzione del Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni.”

DL 7/3/2005 n. 82 (Codice dell’amministrazione digitale)1. Le pubbliche amministrazioni centrali garantiscono l’attuazione delle linee strategiche per la riorganizzazione e digitalizzazione dell’amministrazione definite dal Governo. A tale fine le predette amministrazioni individuano un centro di competenza cui afferiscono i compiti relativi a: c. indirizzo, coordinamento e monitoraggio della sicurezza informatica;

Articolo 17- Strutture per l’organizzazione, l’innovazione e le tecnologie

 

Articolo 17- Strutture per l’organizzazione, l’innovazione e le tecnologiej. pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di posta elettronica, protocollo informatico, firma digitale e mandato informatico, e delle norme in materia di sicurezza, accessibilità e fruibilità.

 

Articolo 51 – Sicurezza dei dati

 

2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.

Articolo 71 – Regole tecniche1. Le regole tecniche previste nel presente codice sono dettate, con decreti del Presidente del Consiglio dei Ministri o del Ministro delegato per l’innovazione e le tecnologie, di concerto con il Ministro per la funzione pubblica e con le amministrazioni di volta in volta indicate nel presente codice;

 

2. Le regole tecniche vigenti nelle materie del presente codice restano in vigore fino all’adozione delle regole tecniche adottate ai sensi del presente articolo.

(a cura del Dottor Antonio Guzzo – Responsabile CED – Sistemi Informativi del Comune di Praia a Mare)

1. Le norme di sicurezza definite nelle regole tecniche di cui all’articolo 71 garantiscono l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati.

Guzzo Antonio

Scrivi un commento

Accedi per poter inserire un commento