Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Data mining

1 - Delibere - In pubblicazione

annuncio pubblicitario 
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Premessa
Il riferimento normativo del documento programmatico è il Decreto Legislativo 196 del 30/06/2003 che
sostituisce il codice della privacy (decreto legge 675 del 31/12/1996) e il Dpr 318 del 28/07/1999 a partire
dal 01/01/2004.
Allegati al documento programmatico sulla sicurezza vengono conservati in via riservata ulteriori due
documenti (allegato A e allegato B che contengono rispettivamente l’analisi dei rischi e le contromisure) che
ne costituiscono parte integrante.
Il documento programmatico e gli allegati sono riservati ai fini della sicurezza, non possono essere
considerati atti pubblici e non sono allegati all’atto del Dirigente.
Elenco dei trattamenti di dati personali
E’ stata effettuata da parte del Servizio Sviluppo Organizzativo la ricognizione di tutti gli ambiti di trattamento
presenti nel Comune di Carpi ed è stato predisposto l’elenco degli stessi con le modalità indicate dal
Garante della Privacy nella circolare del giugno 2003.
Tale elenco è allegato al presente documento come allegato C.
La distribuzione dei compiti e delle responsabilita' nell'ambito delle strutture
preposte al trattamento dei dati
Con decreto sindacale 30/12/2000 il sindaco ha incaricato quali responsabili del trattamento dati i Dirigenti.
I medesimi hanno provveduto a loro volta ad individuare gli incaricati del trattamento dei dati, suddivisi per
compiti e responsabilità assegnati all’interno di ogni settore.
In allegato al presente documento vengono inserite tutte le determine dirigenziali sopra richiamate.
L'analisi dei rischi che incombono sui dati
L’analisi dei rischi è riportata nell’Allegato A al DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
LA METODOLOGIA UTILIZZATA PER ATTUARE L'ANALISI DEI RISCHI
Inventario: Identificazione delle risorse da proteggere
- Elenco server
Sono indicati i nomi dei server, i sistemi operativi, le banche dati memorizzate, la sicurezza hardware e
software, il livello di sicurezza della rete, raggruppamento per banche dati per effettuare analisi dei rischi
(asset)
- Disegno degli apparati attivi che compongono la rete interna
Per l'analisi dei rischi le risorse sono state raggruppate con questi criteri:
- Individuato, utilizzando l'elenco server, le banche dati memorizzate sui server, e suddivise per sistema
operativo e sicurezza rete
- I server sono stati classificati in generale come hardware
- Le workstation sono suddivise per sicurezza rete
- Gli apparati attivi sono suddivisi per sicurezza rete (il riferimento è il disegno degli apparati attivi della
rete interna)
Ogni raggruppamento verrà chiamato ASSET
Analisi dei rischi
1
Per l'analisi dei rischi è stato utilizzato il metodo Cramm Express, non utilizzando l'apposita procedura, ma
simulandolo manualmente.
IMPATTO PER ASSET
Per ogni ASSET, vengono analizzati gli impatti suddivisi in sotto categorie di Indisponibilità, Modifica,
Distruzione, Intrusione.
Ad ogni coppia asset e impatto è associato un numero con scala da 1 a 10, dove 10 rappresenta l'impatto
più grande.
MINACCE, VULNERABILITA', RISCHI PER ASSET
A ogni impatto sono associate più minacce, ad ogni asset vengono automaticamente assegnate tutte le
minacce in corrispondenza agli impatti e per ognuna assegnato il valore massimo di impatto (es. se ad una
minaccia corrispondono 3 impatti, per quella minaccia si prende il valore più alto tra quelli dei 3 impatti)
In corrispondenza di ogni asset e minaccia si assegna poi un valore alla minaccia e un valore alla
vulnerabilità.
I numeri associati alla minaccia sono su una scala da 1 a 5 e rappresentano:
1 - Minaccia possibile ogni 10 anni
2 - Minaccia possibile ogni 3 anni
3 - Minaccia possibile ogni anno
4 - Minaccia possibile ogni 3 mesi
5 - Minaccia possibile ogni mese
I numeri associati alle vulnerabilità (quanto siamo attaccabili dalle minacce) sono su una scala da 1 a 3:
1 - Un incidente (minaccia) ha meno del 33% di possibilità
2 - Un incidente (minaccia) ha dal 33% al 66% di possibilità
3 - Un incidente (minaccia) ha più del 66% di possibilità
In base a una tabella fornita dal metodo Cramm, con i valori di impatto, minaccia, vulnerabilità si calcola il
valore del rischio con una scala di valori da 1 a 7.
CONTROMISURE IN FUNZIONE DELLE MINACCE E DEL RISCHIO
Per ogni misura è possibile attivare diverse contromisure.
In base al livello del rischio individuato si possono assegnare le contromisure prioritarie da adottare.
Nell'allegato B vengono specificate tutte le contromisure intraprese.
2
Le Misure da adottare per garantire l'integrita' e la disponibilita' dei dati, nonche' la
protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilita'
Le contromisure da adottare possono essere suddivise in 4 ambiti di intervento che
sono contenute NELL’ALLEGATO B AL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
- Sicurezza fisica
- Sicurezza logica
- Sicurezza delle trasmissioni dei dati
- Sicurezza organizzativa
La descrizione dei criteri e delle modalita' per il ripristino della disponibilita' dei dati
in seguito a distruzione o danneggiamento
Anche le procedure adottate in caso di rilevazione problemi
sono contenute nell'ALLEGATO B AL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
La previsione di interventi formativi degli incaricati del trattamento, per renderli
edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire
eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu'
rilevanti in rapporto alle relative attivita', delle responsabilita' che ne derivano e
delle modalita' per aggiornarsi sulle misure minime adottate dal titolare
MANUALE PER LA SICUREZZA- ALLEGATO E
Il manuale per la sicurezza è stato suddiviso in due documenti, un documento operativo (e due allegati) dove
ci sono i compiti e le responsabilità degli incaricati, un documento organizzativo dove si chiede ai dirigenti
l’adozione di procedure organizzative.
- Il manuale per la sicurezza viene aggiornato in caso di cambiamenti organizzativi e tecnici
- Il manuale per la sicurezza viene pubblicato sulla intranet comunale.
PIANO DI INTERVENTO E FORMAZIONE
Il sistema informativo in concomitanza alla consegna ad incaricati di nuove postazioni di lavoro che
rispettano le misure minime di sicurezza, li raggrupperà organizzando dei brevi corsi dove consegnerà i
manuali per la sicurezza e fornirà indicazioni operative sull’utilizzo delle nuove postazioni.
Il settore organizzazione predispone un piano di formazione generale per gli incaricati relativo al trattamento
di dati personali, sensibili e penali.
Gli incaricati del sistema informativo parteciperanno a questi incontri per illustrare tutte le indicazioni fornite
nel manuale della sicurezza.
In questa sede verra' anche consegnato il manuale per la sicurezza agli incaricati.
Agli incaricati che entreranno in servizio successivamente, provvederà il sistema informativo che
predisponendo la postazione di lavoro, consegnerà il manuale per la sicurezza, e fornirà un minimo di
spiegazioni o singolarmente o organizzando dei brevi corsi per gruppi di incaricati.
Gli incaricati del sistema informativo provvedono a informare tempestivamente il dirigente del sistema
informativo di ogni eventuale problema di sicurezza di cui dovessero venire a conoscenza.
Il dirigente del sistema informativo, ove richiesto o ove se ne ravvisi la necessità, provvedera’ ad organizzare
riunioni per l’illustrazione e la diffusione degli accorgimenti da adottare in tema di sicurezza.
3
Il personale del sistema informativo per migliorare le conoscenze tecniche relative anche alla sicurezza,
partecipa periodicamente a corsi di formazione tecnica organizzati da società esterne.
Tutta la documentazione in merito alla formazione è conservata dall'ufficio personale.
Se la formazione è organizzata e gestita dal sistema informativo, tutta la documentazione verrà inviata
all'ufficio personale.
La Descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti dati di dati personali affidati, in conformità al codice,
all'esterno della struttura dal titolare
Tutte le persone giuridiche che effettuano trattamenti di dati personali, dovranno essere incaricate come
responsabili del trattamento dei dati da parte dei Dirigenti per le deleghe di loro competenza.
Periodicamente si procederà a monitorare e ad eseguire azioni di auditing secondo procedure apposite.
Dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24.
L'individuazione dei criteri da adottare per la cifratura o per la separazione di tali
dati dagli altri dati personali dall'interessato.
Il software che verrà acquistato dal 01/01/2004, deve essere certificato dal fornitore come conforme alle
disposizioni del decreto legislativo 196 del 30 giugno 2003 in particolare all'allegato B della legge
(disciplinare tecnico in materia di misure minime di sicurezza).
Per i software applicativi già presenti all'interno del Comune, secondo l'elenco dei trattamenti inventariati dal
servizio Organizzazione, che si allega al presente documento come allegato D, verrà verificata la conformità
con la legge.
A i fornitori di software già in uso, verrà richiesto l’adeguamento del software alle misure di sicurezza
imposte dal Decreto Legislativo 196 del 30/06/2003.
MONITORAGGIO E AUDIT DELLE MISURE ADOTTATE
L'efficacia e la validità nel tempo delle misure di sicurezze adottate deve essere oggetto di costante
monitoraggio attraverso la raccolta ed analisi dei log file, in modo da intercettare quanto prima eventuali
attacchi al sistema, tentativi riusciti o meno di accesso al sistema e l'esecuzione di operazioni sospette.
Tutte le attività di monitoraggio, e altre attività periodiche previste dal documento programmatico, saranno
documentate e raccolte in una apposita directory.
Inoltre il sistema informativo manterrà costantemente aggiornati gli allegati A e B al documento
programmatico, datando le modifiche e conservando le versioni precedenti.
Sarà a cura del sistema informativo verificare costantemente le misure di sicurezza adottate, anche attraverso
prodotti di vulnerability scan.
4
Documenti correlati
minaccia di vita sulla terra - Museo Civico di Scienze Naturali
minaccia di vita sulla terra - Museo Civico di Scienze Naturali
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ai sensi
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ai sensi
rapporto intervento - Provincia di Trieste
rapporto intervento - Provincia di Trieste
SERVIZIO DI FARMACOVIGILANZA VETERINARIA
SERVIZIO DI FARMACOVIGILANZA VETERINARIA
scheda audit pubblica illuminazione
scheda audit pubblica illuminazione
Per venire incontro alle esigenze organizzative del team per la
Per venire incontro alle esigenze organizzative del team per la
Allegato 1 - Riapertura Bando 5 TIM
Allegato 1 - Riapertura Bando 5 TIM
servizi di consulenza
servizi di consulenza
Sistema informativo di marketing
Sistema informativo di marketing
Bando di gara per la fornitura di un parco giochi per la Scuola
Bando di gara per la fornitura di un parco giochi per la Scuola
4 A Allegato-H-relazionefinalealunnoh.classeterza
4 A Allegato-H-relazionefinalealunnoh.classeterza
II - Confindustria Vicenza
II - Confindustria Vicenza
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 2004
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 2004
descrizione dei mezzi pubblicitari
descrizione dei mezzi pubblicitari
guida redazione dps - Comune di Campagnano di Roma
guida redazione dps - Comune di Campagnano di Roma
Ordine degli Ingegneri della Provincia di Benevento TABELLA DI
Ordine degli Ingegneri della Provincia di Benevento TABELLA DI
In radiologia
In radiologia
Quinto anno
Quinto anno
5 L`uomo, libertà creata nella e per la comunione
5 L`uomo, libertà creata nella e per la comunione
Registro di carico e scarico - All.9
Registro di carico e scarico - All.9
Pubblicità per acquisire membri
Pubblicità per acquisire membri
Allegato C - G. Pascoli
Allegato C - G. Pascoli
Scarica
annuncio pubblicitario