R: responsabilita' aziendale per sistema informatico non protetto

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2002 ml@sikurezza.org
Soggetto: R: responsabilita' aziendale per sistema informatico non protetto
Mittente: Riccardo Raffaelli
Data: 12 Nov 2002 18:42:28 -0000

> Ora, l'azienda proprietaria del 
> sistema informatico in questione, e' responsabile in qualche 
> modo? Aveva l'obbligo di porre delle misure di sicurezza? 

La risposta è SI!

Sulla legge 675/96 mi pare si sia discusso parecchio anche in altro loco
(vedi ad es. http://www.interlex.it/attualit/colpevol.htm oppure ).
Essa stabilisce regole e responsabilità abbastanza chiare per chiunque
abbia a che fare con un sistema informativo; da un lato è reato accedere
senza autorizzazione ad un sistema informativo, dall'altro è reato non
adottare almeno le "misure minime" per impedire che tale accesso abbia
luogo. 

In particolare l'art.15 recita:
"I dati personali oggetto di trattamento devono essere custoditi e
controllati, anche in relazione alle conoscenze acquisite in base al
progresso tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al minimo, mediante
l'adozione di idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei dati stessi, di accesso
non autorizzato o di trattamento non consentito o non conforme alle
finalità della raccolta"
Da notare che non si parla solo di "accesso non autorizzato" ma anche
della potenziale perdita dei dati.
Si è quindi tenuti ad installare, compatibilmente con la riservatezza
dei dati e dal danno che ne possa derivare da perdita e/o sottrazione,
non solo il firewall, ma anche l'antivirus e un sistema di disaster
recovery.
Tra l'altro si prevede ad esempio la responsabilità non solo da parte di
chi produce un virus, ma anche da parte di chi lo distribuisce
inconsapevolmente, se non ha adottato le dovute misure preventive.

Bye
Riccardo Raffaelli


> -----Messaggio originale-----
> Da: Chiara Sambi [mailto:Sambi@ictc.it] 
> Inviato: venerdì 8 novembre 2002 12.05
> A: 'ml@sikurezza.org'
> Oggetto: responsabilita' aziendale per sistema informatico 
> non protetto
> 
> 
> Ciao a tutti,
> ho una domanda da porre in merito alla responsabilita' di una 
> azienda propietaria di un sistema informatico, che pero' non 
> ha protetto con misure di sicurezza (perche' per suoi motivi 
> non e' interessata a tutelarsi), ma qualcuno inserendosi in 
> modo abusivo in questo sistema effettua crimini informatici a 
> danno di qualcun'altro. Ora, l'azienda proprietaria del 
> sistema informatico in questione, e' responsabile in qualche 
> modo? Aveva l'obbligo di porre delle misure di sicurezza? 
> Grazie a chiunque mi dara' delucidazioni chiara
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
> 
> 
> 



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- R: responsabilita' aziendale per sistema informatico non protetto, Gelpi Andrea - Liste

In risposta a:
- responsabilita' aziendale per sistema informatico non protetto, Chiara Sambi

Data:
- precedente: Re: iptables e High Availability, Hypo
- successivo: Re: responsabilita' aziendale per sistema informatico non protetto, Rafal Marczewski
- indice

Argomento:
- precedente: responsabilita' aziendale per sistema informatico non protetto, Chiara Sambi
- successivo: R: responsabilita' aziendale per sistema informatico non protetto, Gelpi Andrea - Liste
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005