DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Premessa Il riferimento normativo del documento programmatico è il Decreto Legislativo 196 del 30/06/2003 che sostituisce il codice della privacy (decreto legge 675 del 31/12/1996) e il Dpr 318 del 28/07/1999 a partire dal 01/01/2004. Allegati al documento programmatico sulla sicurezza vengono conservati in via riservata ulteriori due documenti (allegato A e allegato B che contengono rispettivamente l’analisi dei rischi e le contromisure) che ne costituiscono parte integrante. Il documento programmatico e gli allegati sono riservati ai fini della sicurezza, non possono essere considerati atti pubblici e non sono allegati all’atto del Dirigente. Elenco dei trattamenti di dati personali E’ stata effettuata da parte del Servizio Sviluppo Organizzativo la ricognizione di tutti gli ambiti di trattamento presenti nel Comune di Carpi ed è stato predisposto l’elenco degli stessi con le modalità indicate dal Garante della Privacy nella circolare del giugno 2003. Tale elenco è allegato al presente documento come allegato C. La distribuzione dei compiti e delle responsabilita' nell'ambito delle strutture preposte al trattamento dei dati Con decreto sindacale 30/12/2000 il sindaco ha incaricato quali responsabili del trattamento dati i Dirigenti. I medesimi hanno provveduto a loro volta ad individuare gli incaricati del trattamento dei dati, suddivisi per compiti e responsabilità assegnati all’interno di ogni settore. In allegato al presente documento vengono inserite tutte le determine dirigenziali sopra richiamate. L'analisi dei rischi che incombono sui dati L’analisi dei rischi è riportata nell’Allegato A al DOCUMENTO PROGRAMMATICO SULLA SICUREZZA LA METODOLOGIA UTILIZZATA PER ATTUARE L'ANALISI DEI RISCHI Inventario: Identificazione delle risorse da proteggere - Elenco server Sono indicati i nomi dei server, i sistemi operativi, le banche dati memorizzate, la sicurezza hardware e software, il livello di sicurezza della rete, raggruppamento per banche dati per effettuare analisi dei rischi (asset) - Disegno degli apparati attivi che compongono la rete interna Per l'analisi dei rischi le risorse sono state raggruppate con questi criteri: - Individuato, utilizzando l'elenco server, le banche dati memorizzate sui server, e suddivise per sistema operativo e sicurezza rete - I server sono stati classificati in generale come hardware - Le workstation sono suddivise per sicurezza rete - Gli apparati attivi sono suddivisi per sicurezza rete (il riferimento è il disegno degli apparati attivi della rete interna) Ogni raggruppamento verrà chiamato ASSET Analisi dei rischi 1 Per l'analisi dei rischi è stato utilizzato il metodo Cramm Express, non utilizzando l'apposita procedura, ma simulandolo manualmente. IMPATTO PER ASSET Per ogni ASSET, vengono analizzati gli impatti suddivisi in sotto categorie di Indisponibilità, Modifica, Distruzione, Intrusione. Ad ogni coppia asset e impatto è associato un numero con scala da 1 a 10, dove 10 rappresenta l'impatto più grande. MINACCE, VULNERABILITA', RISCHI PER ASSET A ogni impatto sono associate più minacce, ad ogni asset vengono automaticamente assegnate tutte le minacce in corrispondenza agli impatti e per ognuna assegnato il valore massimo di impatto (es. se ad una minaccia corrispondono 3 impatti, per quella minaccia si prende il valore più alto tra quelli dei 3 impatti) In corrispondenza di ogni asset e minaccia si assegna poi un valore alla minaccia e un valore alla vulnerabilità. I numeri associati alla minaccia sono su una scala da 1 a 5 e rappresentano: 1 - Minaccia possibile ogni 10 anni 2 - Minaccia possibile ogni 3 anni 3 - Minaccia possibile ogni anno 4 - Minaccia possibile ogni 3 mesi 5 - Minaccia possibile ogni mese I numeri associati alle vulnerabilità (quanto siamo attaccabili dalle minacce) sono su una scala da 1 a 3: 1 - Un incidente (minaccia) ha meno del 33% di possibilità 2 - Un incidente (minaccia) ha dal 33% al 66% di possibilità 3 - Un incidente (minaccia) ha più del 66% di possibilità In base a una tabella fornita dal metodo Cramm, con i valori di impatto, minaccia, vulnerabilità si calcola il valore del rischio con una scala di valori da 1 a 7. CONTROMISURE IN FUNZIONE DELLE MINACCE E DEL RISCHIO Per ogni misura è possibile attivare diverse contromisure. In base al livello del rischio individuato si possono assegnare le contromisure prioritarie da adottare. Nell'allegato B vengono specificate tutte le contromisure intraprese. 2 Le Misure da adottare per garantire l'integrita' e la disponibilita' dei dati, nonche' la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilita' Le contromisure da adottare possono essere suddivise in 4 ambiti di intervento che sono contenute NELL’ALLEGATO B AL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA - Sicurezza fisica - Sicurezza logica - Sicurezza delle trasmissioni dei dati - Sicurezza organizzativa La descrizione dei criteri e delle modalita' per il ripristino della disponibilita' dei dati in seguito a distruzione o danneggiamento Anche le procedure adottate in caso di rilevazione problemi sono contenute nell'ALLEGATO B AL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA La previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu' rilevanti in rapporto alle relative attivita', delle responsabilita' che ne derivano e delle modalita' per aggiornarsi sulle misure minime adottate dal titolare MANUALE PER LA SICUREZZA- ALLEGATO E Il manuale per la sicurezza è stato suddiviso in due documenti, un documento operativo (e due allegati) dove ci sono i compiti e le responsabilità degli incaricati, un documento organizzativo dove si chiede ai dirigenti l’adozione di procedure organizzative. - Il manuale per la sicurezza viene aggiornato in caso di cambiamenti organizzativi e tecnici - Il manuale per la sicurezza viene pubblicato sulla intranet comunale. PIANO DI INTERVENTO E FORMAZIONE Il sistema informativo in concomitanza alla consegna ad incaricati di nuove postazioni di lavoro che rispettano le misure minime di sicurezza, li raggrupperà organizzando dei brevi corsi dove consegnerà i manuali per la sicurezza e fornirà indicazioni operative sull’utilizzo delle nuove postazioni. Il settore organizzazione predispone un piano di formazione generale per gli incaricati relativo al trattamento di dati personali, sensibili e penali. Gli incaricati del sistema informativo parteciperanno a questi incontri per illustrare tutte le indicazioni fornite nel manuale della sicurezza. In questa sede verra' anche consegnato il manuale per la sicurezza agli incaricati. Agli incaricati che entreranno in servizio successivamente, provvederà il sistema informativo che predisponendo la postazione di lavoro, consegnerà il manuale per la sicurezza, e fornirà un minimo di spiegazioni o singolarmente o organizzando dei brevi corsi per gruppi di incaricati. Gli incaricati del sistema informativo provvedono a informare tempestivamente il dirigente del sistema informativo di ogni eventuale problema di sicurezza di cui dovessero venire a conoscenza. Il dirigente del sistema informativo, ove richiesto o ove se ne ravvisi la necessità, provvedera’ ad organizzare riunioni per l’illustrazione e la diffusione degli accorgimenti da adottare in tema di sicurezza. 3 Il personale del sistema informativo per migliorare le conoscenze tecniche relative anche alla sicurezza, partecipa periodicamente a corsi di formazione tecnica organizzati da società esterne. Tutta la documentazione in merito alla formazione è conservata dall'ufficio personale. Se la formazione è organizzata e gestita dal sistema informativo, tutta la documentazione verrà inviata all'ufficio personale. La Descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti dati di dati personali affidati, in conformità al codice, all'esterno della struttura dal titolare Tutte le persone giuridiche che effettuano trattamenti di dati personali, dovranno essere incaricate come responsabili del trattamento dei dati da parte dei Dirigenti per le deleghe di loro competenza. Periodicamente si procederà a monitorare e ad eseguire azioni di auditing secondo procedure apposite. Dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24. L'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dall'interessato. Il software che verrà acquistato dal 01/01/2004, deve essere certificato dal fornitore come conforme alle disposizioni del decreto legislativo 196 del 30 giugno 2003 in particolare all'allegato B della legge (disciplinare tecnico in materia di misure minime di sicurezza). Per i software applicativi già presenti all'interno del Comune, secondo l'elenco dei trattamenti inventariati dal servizio Organizzazione, che si allega al presente documento come allegato D, verrà verificata la conformità con la legge. A i fornitori di software già in uso, verrà richiesto l’adeguamento del software alle misure di sicurezza imposte dal Decreto Legislativo 196 del 30/06/2003. MONITORAGGIO E AUDIT DELLE MISURE ADOTTATE L'efficacia e la validità nel tempo delle misure di sicurezze adottate deve essere oggetto di costante monitoraggio attraverso la raccolta ed analisi dei log file, in modo da intercettare quanto prima eventuali attacchi al sistema, tentativi riusciti o meno di accesso al sistema e l'esecuzione di operazioni sospette. Tutte le attività di monitoraggio, e altre attività periodiche previste dal documento programmatico, saranno documentate e raccolte in una apposita directory. Inoltre il sistema informativo manterrà costantemente aggiornati gli allegati A e B al documento programmatico, datando le modifiche e conservando le versioni precedenti. Sarà a cura del sistema informativo verificare costantemente le misure di sicurezza adottate, anche attraverso prodotti di vulnerability scan. 4