R: responsabilita' aziendale per sistema informatico non protetto

Salve,
	per essere precisi tutto quanto elencato è valido solo e soltanto se su
quel server sono presenti dati personali e/o sensibili.
Se invece il server in questione non raccoglie dati personali non può essere
sottoposto alla L.675/96 e quindi la ditta non può essere accusata di
mancata adozione di misure di sicurezza.
Ad esempio un server che contenga solo dati statistici, non è sottoposto,
per definizione, alla L 675/96.

In quest'ultimo caso è solo chi ha violato il server che è colpevole di
intrusione in un sistema informatico.

--
Gelpi ing. Andrea
--------------------------------
Landmines must be stopped. (CRI)
--------------------------------


> -----Messaggio originale-----
> Da: Riccardo Raffaelli [mailto:rraffaelli@adaconsulting.net]
> Inviato: sabato 9 novembre 2002 10.31
> A: ml@sikurezza.org
> Oggetto: R: responsabilita' aziendale per sistema informatico non
> protetto
>
>
> > Ora, l'azienda proprietaria del
> > sistema informatico in questione, e' responsabile in qualche
> > modo? Aveva l'obbligo di porre delle misure di sicurezza?
>
> La risposta è SI!
>
> Sulla legge 675/96 mi pare si sia discusso parecchio anche in altro loco
> (vedi ad es. http://www.interlex.it/attualit/colpevol.htm oppure ).
> Essa stabilisce regole e responsabilità abbastanza chiare per chiunque
> abbia a che fare con un sistema informativo; da un lato è reato accedere
> senza autorizzazione ad un sistema informativo, dall'altro è reato non
> adottare almeno le "misure minime" per impedire che tale accesso abbia
> luogo.
>
> In particolare l'art.15 recita:
> "I dati personali oggetto di trattamento devono essere custoditi e
> controllati, anche in relazione alle conoscenze acquisite in base al
> progresso tecnico, alla natura dei dati e alle specifiche
> caratteristiche del trattamento, in modo da ridurre al minimo, mediante
> l'adozione di idonee e preventive misure di sicurezza, i rischi di
> distruzione o perdita, anche accidentale, dei dati stessi, di accesso
> non autorizzato o di trattamento non consentito o non conforme alle
> finalità della raccolta"
> Da notare che non si parla solo di "accesso non autorizzato" ma anche
> della potenziale perdita dei dati.
> Si è quindi tenuti ad installare, compatibilmente con la riservatezza
> dei dati e dal danno che ne possa derivare da perdita e/o sottrazione,
> non solo il firewall, ma anche l'antivirus e un sistema di disaster
> recovery.
> Tra l'altro si prevede ad esempio la responsabilità non solo da parte di
> chi produce un virus, ma anche da parte di chi lo distribuisce
> inconsapevolmente, se non ha adottato le dovute misure preventive.
>
> Bye
> Riccardo Raffaelli
>
>
> > -----Messaggio originale-----
> > Da: Chiara Sambi [mailto:Sambi@ictc.it]
> > Inviato: venerdì 8 novembre 2002 12.05
> > A: 'ml@sikurezza.org'
> > Oggetto: responsabilita' aziendale per sistema informatico
> > non protetto
> >
> >
> > Ciao a tutti,
> > ho una domanda da porre in merito alla responsabilita' di una
> > azienda propietaria di un sistema informatico, che pero' non
> > ha protetto con misure di sicurezza (perche' per suoi motivi
> > non e' interessata a tutelarsi), ma qualcuno inserendosi in
> > modo abusivo in questo sistema effettua crimini informatici a
> > danno di qualcun'altro. Ora, l'azienda proprietaria del
> > sistema informatico in questione, e' responsabile in qualche
> > modo? Aveva l'obbligo di porre delle misure di sicurezza?
> > Grazie a chiunque mi dara' delucidazioni chiara
> >
> > ________________________________________________________
> > http://www.sikurezza.org - Italian Security Mailing List
> >
> >
> >
>
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List