documento programmatico sulla sicurezza premessa il documento programmatico sulla sicurezza...
TRANSCRIPT
DOCUMENTO DOCUMENTO PROGRAMMATICO SULLA PROGRAMMATICO SULLA
SICUREZZASICUREZZAPREMESSAPREMESSA
Il “documento programmatico sulla sicurezza”Il “documento programmatico sulla sicurezza” costituisce una sorta di manuale della sicurezza costituisce una sorta di manuale della sicurezza
dell'organizzazione ai fini del trattamento dei dati dell'organizzazione ai fini del trattamento dei dati personalipersonali tutelati dal Codice sulla privacytutelati dal Codice sulla privacy
Linee guida per la compilazione del Linee guida per la compilazione del documento programmatico sulla documento programmatico sulla
sicurezzasicurezza
PremessaPremessa Fonti normativeFonti normative Soggetti coinvolti nel trattamento dei datiSoggetti coinvolti nel trattamento dei dati
PremessaPremessa Il Codice sulla privacy (D.lgs.vo 196/03) impone a chiunque Il Codice sulla privacy (D.lgs.vo 196/03) impone a chiunque
tratta informazioni relative ad altre persone, imprese, enti od tratta informazioni relative ad altre persone, imprese, enti od associazioni di rispettare alcuni principi fondamentali a associazioni di rispettare alcuni principi fondamentali a garanzia della riservatezza dei dati stessi.garanzia della riservatezza dei dati stessi.
Il Codice prescrive precisi obblighi e comportamenti da Il Codice prescrive precisi obblighi e comportamenti da attuare nel trattare dati; questi obblighi sono sanzionati anche attuare nel trattare dati; questi obblighi sono sanzionati anche penalmente: è necessario, pertanto, procedere penalmente: è necessario, pertanto, procedere all’adeguamento dell’organizzazione al fine di rispettare gli all’adeguamento dell’organizzazione al fine di rispettare gli obblighi imposti dal Codice.obblighi imposti dal Codice.
La finalità del “documento programmatico della sicurezza”La finalità del “documento programmatico della sicurezza” è è quella di definire i criteri e le procedure per garantire la quella di definire i criteri e le procedure per garantire la sicurezza nel trattamento di dati personalisicurezza nel trattamento di dati personali
Fonti normativeFonti normative
Le disposizioni di legge principali concernenti la Le disposizioni di legge principali concernenti la corretta gestione di sistemi informatici sono:corretta gestione di sistemi informatici sono:
R.D. 22.4.1941 n. 633 e D.Lgs. 29.12.1992 n. 518 R.D. 22.4.1941 n. 633 e D.Lgs. 29.12.1992 n. 518 (tutela del diritto di autore sul software);(tutela del diritto di autore sul software);
L. 23.12.1993 n. 547 (reati legati all’informatica - L. 23.12.1993 n. 547 (reati legati all’informatica - modifiche al Codice penale);modifiche al Codice penale);
D.lgs.vo 30.6.2003 n.196 (recante il Codice in D.lgs.vo 30.6.2003 n.196 (recante il Codice in materia di protezione dei dati personali) e suo materia di protezione dei dati personali) e suo Disciplinare TecnicoDisciplinare Tecnico
Il TITOLAREIl TITOLARE Il RESPONSABILEIl RESPONSABILE l’INCARICATOl’INCARICATO L'’INTERESSATOL'’INTERESSATO
AMMINISTRATORE DI SISTEMAAMMINISTRATORE DI SISTEMA
Soggetti coinvolti nel trattamento dei Soggetti coinvolti nel trattamento dei datidati
DOCUMENTO PROGRAMMATICO DOCUMENTO PROGRAMMATICO PER LA SICUREZZAPER LA SICUREZZA
D.legsvo 196 del 30 giugno 2003D.legsvo 196 del 30 giugno 2003
INTRODUZIONEINTRODUZIONE
Il presente documento definisce lo stato di Il presente documento definisce lo stato di attuazione nell'istituzione scolastica attuazione nell'istituzione scolastica
<NOME DELL'ISTITUTO> , d'ora in poi <NOME DELL'ISTITUTO> , d'ora in poi ISTITUZIONE SCOLASTICA, per quanto ISTITUZIONE SCOLASTICA, per quanto disposto dal D.Leg. n° 196 del 30 giugno disposto dal D.Leg. n° 196 del 30 giugno 2003, artt. da 33 a 36 e ALLEGATO B 2003, artt. da 33 a 36 e ALLEGATO B “DISCIPLINARE TECNICO IN MATERIA “DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA”.DI MISURE MINIME DI SICUREZZA”.
ANALISI DELLA SITUAZIONE ANALISI DELLA SITUAZIONE DELL'ISTITUZIONE DELL'ISTITUZIONE
SCOLASTICA SCOLASTICA
Descrizione del Sistema Informatico Descrizione del Sistema Informatico HardwareHardware
Reti locali ed altri sistemi di collegamento di terminali;Reti locali ed altri sistemi di collegamento di terminali; Server e sistemi multiutenti presenti nell'ISTITUZIONE Server e sistemi multiutenti presenti nell'ISTITUZIONE
SCOLASTICA con i relativi sistemi operativi utilizzati;SCOLASTICA con i relativi sistemi operativi utilizzati; Unità di accesso per gli utenti (terminali, personal computer, Unità di accesso per gli utenti (terminali, personal computer,
workstations, stampanti, telefax);workstations, stampanti, telefax); Elaboratori portatili;Elaboratori portatili; Collegamenti del sistema a rilevatori di presenze, od altri Collegamenti del sistema a rilevatori di presenze, od altri
dispositivi di acquisizione dati (lettore ottico, scanner);dispositivi di acquisizione dati (lettore ottico, scanner); Dispositivi di connessione verso l’esterno, per singoli utenti o Dispositivi di connessione verso l’esterno, per singoli utenti o
condivisi tra più utenti (modem, router).condivisi tra più utenti (modem, router).
SoftwareSoftware Sistemi operativi utilizzati;Sistemi operativi utilizzati; Applicazioni di tipo gestionale;Applicazioni di tipo gestionale; Applicazioni di office automation;Applicazioni di office automation; Software Didattico;Software Didattico; Sistemi di posta elettronica e strumenti di navigazione in Sistemi di posta elettronica e strumenti di navigazione in
Internet;Internet; Siti Internet interni o in hosting o housing presso provider;Siti Internet interni o in hosting o housing presso provider;
ANALISI DELLA SITUAZIONE ANALISI DELLA SITUAZIONE DELL'ISTITUZIONE DELL'ISTITUZIONE
SCOLASTICA SCOLASTICA
Analisi ed elenco dei dati personali Analisi ed elenco dei dati personali
Nella sezione dovranno essere individuate ed elencate:Nella sezione dovranno essere individuate ed elencate:
le le banche dati informatichebanche dati informatiche per il trattamento con strumenti elettroniciper il trattamento con strumenti elettronici I server e/o i sistemi su cui sono archiviati i datiI server e/o i sistemi su cui sono archiviati i dati Le applicazione utilizzate per il trattamentoLe applicazione utilizzate per il trattamento Le finalità del trattamentoLe finalità del trattamento Presenza di dati sensibili o giudiziariPresenza di dati sensibili o giudiziari
gli archivi cartacei gli archivi cartacei Dislocazione fisica degli archiviDislocazione fisica degli archivi Le finalità del trattamentoLe finalità del trattamento Presenza di dati sensibili o giudiziari.Presenza di dati sensibili o giudiziari.
Struttura organizzativa funzionale al Struttura organizzativa funzionale al trattamento dati e singole trattamento dati e singole
responsabilità responsabilità
Il “titolare del trattamento” dei dati;Il “titolare del trattamento” dei dati; Il/i “responsabile/i del trattamento” dati (se nominato/i in quanto Il/i “responsabile/i del trattamento” dati (se nominato/i in quanto
facoltativo)facoltativo) Gli “incaricati del trattamento” Gli “incaricati del trattamento” Profili di autorizzazione individuati per singolo incaricato o per classi Profili di autorizzazione individuati per singolo incaricato o per classi
omogenee di incaricati (es. Docenti, Segreteria Didattica, Segreteria omogenee di incaricati (es. Docenti, Segreteria Didattica, Segreteria Amministrativa, ecc.)Amministrativa, ecc.)
Il custode delle credenziali (amministratore del sistema informatico)Il custode delle credenziali (amministratore del sistema informatico) Gli eventuali prestatori di servizi che trattano all’esterno dell’impresa dati Gli eventuali prestatori di servizi che trattano all’esterno dell’impresa dati
per conto della stessa impresa (consulenti, professionisti, società di per conto della stessa impresa (consulenti, professionisti, società di assistenza software, ...)assistenza software, ...)..
L’Amministratore del Sistema L’Amministratore del Sistema InformaticoInformatico
L’Amministratore di sistema garantisce la L’Amministratore di sistema garantisce la tutela ed il corretto uso dei sistemi informatici tutela ed il corretto uso dei sistemi informatici e delle banche-dati in essa contenuti.e delle banche-dati in essa contenuti.
A tal fine predispone un REGOLAMENTO A tal fine predispone un REGOLAMENTO INTERNO che deve essere disponibile a tutto INTERNO che deve essere disponibile a tutto il personale che opera nel LABORATORIO il personale che opera nel LABORATORIO INFORMATICO e/o negli uffici dotati di INFORMATICO e/o negli uffici dotati di sistemi informatici.sistemi informatici.
Analisi dei rischi possibili e dei danni Analisi dei rischi possibili e dei danni conseguenti conseguenti
Alterazione/danneggiamento accidentale o dolosa del Alterazione/danneggiamento accidentale o dolosa del sistema, dei programmi e/o datisistema, dei programmi e/o dati
Diffusione/comunicazione non autorizzata sia Diffusione/comunicazione non autorizzata sia accidentale che dolosaaccidentale che dolosa
Danneggiamento delle risorse informatiche per Danneggiamento delle risorse informatiche per disastri naturali (incendi...)disastri naturali (incendi...)
Accessi non autorizzatiAccessi non autorizzati Sottrazione di elaboratori, programmi, supporti o datiSottrazione di elaboratori, programmi, supporti o dati Intrusioni dall’esterno nel sistemaIntrusioni dall’esterno nel sistema
- Misure di sicurezza adottate o da - Misure di sicurezza adottate o da adottare adottare
Procedure relative alle misure imposte dal Procedure relative alle misure imposte dal Disciplinare tecnico Disciplinare tecnico
Misure minime per i trattamenti Misure minime per i trattamenti informaticiinformatici
Definizione delle credenziali di autenticazione, individuate tra le seguenti Definizione delle credenziali di autenticazione, individuate tra le seguenti tipologie:tipologie:
Codice identificativo, più parola chiave (Codice identificativo, più parola chiave (login e passwordlogin e password)) Dispositivo di autenticazione (Dispositivo di autenticazione (smart card e similismart card e simili), più eventuale parola chiave), più eventuale parola chiave
Individuazione del custode delle credenziali (Individuazione del custode delle credenziali (generalmente è generalmente è l'amministratore di sistemal'amministratore di sistema))
Modalità di attivazione, variazione e gestione delle credenzialiModalità di attivazione, variazione e gestione delle credenziali Criteri di definizione dei profili di autorizzazioneCriteri di definizione dei profili di autorizzazione Attribuzione, revoca ed aggiornamento dei profili di autorizzazioneAttribuzione, revoca ed aggiornamento dei profili di autorizzazione Criteri di adozione, utilizzo e di aggiornamento dei sistemi antivirus Criteri di adozione, utilizzo e di aggiornamento dei sistemi antivirus
((l'aggiornamento del software antivirus deve essere fatto con cadenza l'aggiornamento del software antivirus deve essere fatto con cadenza almeno bisettimanale)almeno bisettimanale)..
Criteri di adozione, utilizzo e di aggiornamento dei sistemi di antintrusione Criteri di adozione, utilizzo e di aggiornamento dei sistemi di antintrusione ((firewallfirewall))
Verifica dell'efficacia ed efficienza dei sistemi antivirus e antintrusione Verifica dell'efficacia ed efficienza dei sistemi antivirus e antintrusione ((verifica annualeverifica annuale).).
Misure minime per i trattamenti Misure minime per i trattamenti cartaceicartacei
Procedure e modalità per l’organizzazione Procedure e modalità per l’organizzazione degli archivi cartacei ad accesso autorizzato;degli archivi cartacei ad accesso autorizzato;
Modalità di custodia dei dati particolari Modalità di custodia dei dati particolari durante l’utilizzo;durante l’utilizzo;
Modalità di identificazione e registrazione Modalità di identificazione e registrazione degli accessi ai dati particolari dopo l’orario di degli accessi ai dati particolari dopo l’orario di chiusura.chiusura.
Criteri tecnici ed organizzativi per la Criteri tecnici ed organizzativi per la protezione delle aree e dei locali e protezione delle aree e dei locali e
procedure di controllo per l’accessoprocedure di controllo per l’accesso Localizzazione e limitazioni all’accesso del data center Localizzazione e limitazioni all’accesso del data center
(localizzazione dei server);(localizzazione dei server); Dispositivi antintrusione (specifici per il data center o generali Dispositivi antintrusione (specifici per il data center o generali
per tutto l’edificio/stabilimento);per tutto l’edificio/stabilimento); Dispositivi antincendio (estintori, manichette, impianti di Dispositivi antincendio (estintori, manichette, impianti di
rilevazione e/o spegnimento automatico);rilevazione e/o spegnimento automatico); Sistemi di registrazione degli ingressi e di chiusura dei locali;Sistemi di registrazione degli ingressi e di chiusura dei locali; Presenza di un custode e/o di un servizio di vigilanza esterna;Presenza di un custode e/o di un servizio di vigilanza esterna; Custodia in armadi o classificatori ad accesso autorizzato;Custodia in armadi o classificatori ad accesso autorizzato; Modalità di custodia delle chiavi;Modalità di custodia delle chiavi;
Criteri e procedure per assicurare Criteri e procedure per assicurare l’integrità e la disponibilità dei dati l’integrità e la disponibilità dei dati
Criteri di definizione del salvataggio dei dati (Criteri di definizione del salvataggio dei dati (il salvataggio il salvataggio può essere effettuato su CD/ DVD, chiavetta USB, jazz, su può essere effettuato su CD/ DVD, chiavetta USB, jazz, su nastronastro););
Procedure per l’esecuzione del backup;Procedure per l’esecuzione del backup; Definizione delle tecniche e dei criteri di backup;Definizione delle tecniche e dei criteri di backup; Procedure per la conservazione dei backup (utilizzo di Procedure per la conservazione dei backup (utilizzo di
casseforti od armadi ignifughi);casseforti od armadi ignifughi); Procedure per la verifica della registrazione dei backup;Procedure per la verifica della registrazione dei backup; Presenza di un responsabile per l’esecuzione e la verifica dei Presenza di un responsabile per l’esecuzione e la verifica dei
backup;backup; Procedura di sostituzione ed eliminazione dei dispositivi di Procedura di sostituzione ed eliminazione dei dispositivi di
conservazione obsoleti (cassette, nastri magnetici, supporti conservazione obsoleti (cassette, nastri magnetici, supporti ottici).ottici).
Criteri e procedure per assicurare Criteri e procedure per assicurare l’integrità e la disponibilità dei dati l’integrità e la disponibilità dei dati
Alimentazione: presenza di gruppi di Alimentazione: presenza di gruppi di continuità, sistemi collegati e tempi di continuità, sistemi collegati e tempi di funzionamento garantiti;funzionamento garantiti;
Sistemi dotati di mirroring, in RAID, di tipo Sistemi dotati di mirroring, in RAID, di tipo hot-swap, dotati di alimentazione ridondante, hot-swap, dotati di alimentazione ridondante, sistemi in cluster;sistemi in cluster;
Procedure di riutilizzo controllato dei supporti Procedure di riutilizzo controllato dei supporti di memorizzazione;di memorizzazione;
Climatizzazione dei locali.Climatizzazione dei locali.
Criteri e procedure per il ripristino Criteri e procedure per il ripristino dell’accesso ai dati (Piano di disaster dell’accesso ai dati (Piano di disaster
recovery)recovery)
Criteri di definizione per il ripristino dei dati (Criteri di definizione per il ripristino dei dati (a a seguito di distruzione o danneggiamento dei dati seguito di distruzione o danneggiamento dei dati stessi e/o degli strumenti elettronicistessi e/o degli strumenti elettronici););
Identificazione degli incidenti “eccezionali” dei Identificazione degli incidenti “eccezionali” dei sistemi informatici;sistemi informatici;
Definizione di procedure che assicurino tempi certi di Definizione di procedure che assicurino tempi certi di ripristino dei sistemi;ripristino dei sistemi;
Verifica periodica delle procedure attivate;Verifica periodica delle procedure attivate; Definizione di una Definizione di una policy policy di business continuity di business continuity
(modalità di lavoro in caso di disaster recovery).(modalità di lavoro in caso di disaster recovery).
FORMAZIONE E FORMAZIONE E ADEGUAMENTO DEL ADEGUAMENTO DEL
DOCUMENTO DOCUMENTO Piani di formazione per gli incaricati del Piani di formazione per gli incaricati del
trattamentotrattamento Calendario e contenuti degli incontri svolti o Calendario e contenuti degli incontri svolti o
previstiprevisti Conservazione della documentazione consegnataConservazione della documentazione consegnata Registrazione dei partecipanti agli incontri Registrazione dei partecipanti agli incontri
formativi formativi
FORMAZIONE E ADEGUAMENTO FORMAZIONE E ADEGUAMENTO DEL DOCUMENTODEL DOCUMENTO
Programma di revisione ed adeguamento Programma di revisione ed adeguamento Determinare la periodicità dei controlli Determinare la periodicità dei controlli
sull’efficienza ed efficacia delle misure previste sull’efficienza ed efficacia delle misure previste nel presente documento nel presente documento (almeno una volta (almeno una volta all’anno e comunque non oltre il 31 marzo di all’anno e comunque non oltre il 31 marzo di ciascun anno).ciascun anno).