estratto dall'allegato B che ?? quello che prevede le sanzione penali Altre misure di sicurezza 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati pu?? essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-*quinquies*del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilit?? di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento ?? almeno semestrale.
almeno annualmente non significa che bisogna aspettare un anno ma che al massimo un anno Se ?? noto ( e in questo caso lo ?? noto da anni) che un sistema operativo non verifica le misure minime ci sono due conseguenze legali immediate 1) i trattamenti non sono conformi alla normativa 2) il titolare si espone consapevolmente alle sanzioni penali le banche sono enti pubbliche fanno quello che gli pare ... Le Pubbliche amministrazioni (tra cui la sanit?? pubblica) sono soggette ad un vincolo costituzionale Articolo 97 della costituzione I pubblici uffici sono organizzati secondo disposizioni di legge, in modo che siano assicurati il buon andamento e l'imparzialit?? dell'amministrazione. I pubblici uffici non dispongono della "autonomia" di comportarsi arbitrariamente Ciao e Buona Pasqua :) Paolo Foletto Il giorno 18 aprile 2014 11:54, Massimo Ianigro <iani...@ba.issia.cnr.it>ha scritto: > ciao, > a mio avviso, secondo la normativa si ha l'obbligo di aggiornare i > sistemi secondo cadenze prestabilite (annuale o semestrale a seconda > del tipo di dati, artt. 15-16-17 allegato B del Codice) ma non si > parla di aggiornamenti del sistema operativo ma di "... programmi per > elaboratore volti a prevenire la vulnerabilit? di strumenti > elettronici e a correggerne difetti sono effettuati almeno > annualmente. In caso di trattamento di dati sensibili o giudiziari > l'aggiornamento ? almeno semestrale." > Premesso quindi che a interpretarla letteralmente XP diventa > non-compliant 6 o 12 mesi dopo l'otto aprile, a leggere in maniera non > estensiva gli articoli in questione, si potrebbe anche ritenere che > l'aggiornabilit? sia riferita ai programmi di protezione (quindi > antivirus e firewall locale) che potrebbero avere un loro ciclo di > vita disgiunto da quello del produttore del sistema operativo. > Peraltro nella esperienza reale, ci sono sistemi operativi che hanno > superato l'end-of-life (XP ha avuto un ciclo di vita eccezionalmente > lungo, ma molti hanno un life-cycle pi? corto) ma che vengono > mantenuti in esercizio (sanit?, banche, etc) considerando sufficiente > la manutenzione dei programmi di protezione piuttosto che il sistema > operativo tout-court. > Che poi questo sia diventata un'efficace arma commercial-terroristica > per molti venditori dell'ICT, non vi ? dubbio :-) > ciao > massimo > > > > On 16/04/14 21:08, paolo foletto wrote: > > in italia dall'8 aprile in base alla normativa sulla privacy l'uso di XP > > non ?? permesso nella Pubblica amministrazione, specialmente > > nel caso di trattamento di dati personali sensibili. > > Uk e Olanda hanno pagato per avere il tempo (1 anno) di fare la > migrazione, > > In italia semplicemente il problema non si ?? neanche posto almeno nelle > > PA. Molte aziende in effetti hanno colto l'occasione di migrare computer > > di 6/8 anni > > Ciao Paolo > > > > > > Il giorno 16 aprile 2014 17:12, Piero Cavina <p.cav...@gmail.com> ha > > scritto: > > > >> Oggi ero in un ospedale e nei vari ambulatori (dove presumo si > >> trattino dati personali..!) ho visto solo dei desktop XP (forse su > >> VDI).. se non ricordo male l'allegato tecnico alla legge sulla privacy > >> prevede che i programmi (e quindi immagino anche i sistemi operativi) > >> ricevano con una certa frequenza gli aggiornamenti di sicurezza, cosa > >> che non avverr?? pi?? gratuitamente per XP. > >> La mia opinione ?? che un computer XP con adeguato hardening, politiche > >> di utilizzo, e software applicativo (browser, office..) aggiornato ?? > >> comunque un computer sicuro, sicuramente pi?? sicuro di uno con un > >> sistema operativo aggiornato ma amministrato in modo superficiale. > >> Tuttavia la legge mi pare non lasci molto spazio a interpretazioni.. > >> Leggo che all'estero ci sono casi di pubbliche amministrazioni e > >> societ?? che pagano il supporto extra a Microsoft per ricevere le patch > >> per XP. Qualcuno sa come stanno andando le cose in Italia? > >> > >> > >> -- > >> Ciao, > >> P. > >> > >> ________________________________________________________ > >> http://www.sikurezza.org - Italian Security Mailing List > >> > >> > > > > > > > > ________________________________________________________ > > http://www.sikurezza.org - Italian Security Mailing List > > -- > _________________________________________ > Massimo Ianigro - iani...@ba.issia.cnr.it\________________________ > CNR - Istituto di Studi sui Sistemi Intelligenti per l'Automazione > Via Amendola, 122/D TEL: +39 080 5 929 424 > 70126 BARI - I ( www.issia.cnr.it ) FAX: +39 080 5 929 460 > SKYPE: massimo.ianigro > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- Studio Ingegneria dell'Informazione via Marconi,1 35040 Carceri (PD) cell 335 615 23 53 http://it.linkedin.com/in/paolofoletto Posta Elettronica Certificata paolo.foletto[at]ingpec.eu
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
