analisi dei rischi - Confindustria Vicenza

CAPITOLO II
Misure di sicurezza
I. LE MISURE MINIME DI SICUREZZA
1. La sicurezza del trattamento dei dati e le misure minime
previste dal Codice della privacy
2. Periodicità delle verifiche sulle misure minime di sicurezza
3. Gli adempimenti:
• analisi della situazione e dei rischi aziendali
- Il sistema informatico aziendale
- Analisi del trattamento dei dati personali e rilevazione
dei dati personali sensibili o giudiziari
- Struttura organizzativa funzionale al trattamento dei dati
- Analisi dei rischi possibili e dei danni conseguenti
• individuazione delle misure di sicurezza e politiche di sicurezza
- Criteri e procedure per la protezione fisica delle aree e dei locali
interessati dalle misure di sicurezza e procedure per controllare
l’accesso delle persone autorizzate nei locali medesimi
- Procedure per assicurare l’integrità dei dati
- Procedure per la sicurezza delle trasmissioni dei dati
e per le restrizioni di accesso
- Piano di formazione
- Programma di revisione ed adeguamento del documento
programmatico
• analisi dei rischi
- Metodologia di analisi
- Identificazione delle risorse da proteggere
- Valutazione delle minacce e delle vulnerabilità dei beni
- Individuazione dell’esposizione al rischio
- Individuazione dell’insieme delle contromisure da realizzare e
definizione delle politiche di sicurezza
II. IL DOCUMENTO PROGRAMMATICO PER LA SICUREZZA
1. Linee guida per la compilazione del Documento programmatico
sulla sicurezza
Parte I – analisi situazione aziendale
1) Descrizione del sistema informatico aziendale;
2) Analisi del trattamento dei dati personali;
3) La distribuzione dei compiti e responsabilità all’interno della struttura;
4) L’analisi dei rischi che incombono sui dati;
Parte II – misure di sicurezza adottate e da adottare
5) Misure per garantire l’integrità e la disponibilità dei dati;
6) Criteri per la protezione delle aree e dei locali;
7) Criteri e modalità per assicurare l’integrità dei dati e la disponibilità in caso di
distruzione o danneggiamento;
8) La previsione di interventi formativi per gli incaricati del trattamento;
9) Criteri per garantire l'adozione delle misure minime nel caso di trattamenti affidati
all’esterno della struttura;
10) Criteri da adottare per la cifratura dei dati;
1. LA SICUREZZA DEL TRATTAMENTO DEI DATI E LE MISURE MINIME PREVISTE DAL
CODICE DELLA PRIVACY
La legge sulla privacy affronta il problema degli abusi potenzialmente connessi al
trattamento dei dati personali e delle conseguenti violazioni del diritto alla riservatezza
degli individui, sotto un duplice profilo:
1. impedire che un archivio venga utilizzato per scopi diversi da quelli per cui è stato
creato;
2. sanzionare severamente in sede penale il furto, la diffusione indebita e il
danneggiamento di informazioni custodite in archivi.
Si tratta di un profondo mutamento di prospettiva rispetto alla tutela
precedentemente offerta dal nostro ordinamento giuridico al diritto alla riservatezza
delle persone fisiche e giuridiche. Questa "rivoluzione", che prevede il trattamento dei
dati intimamente connesso al consenso espresso dell'interessato si collega, per la parte
che qui interessa, al concetto tradizionale di sicurezza informatica. In precedenza il
compito del cosiddetto "titolare" del trattamento dei dati poteva limitarsi, nella maggior
parte dei casi, alla valutazione della "affidabilità" tecnica del sistema; oggi, invece, il
concetto di sicurezza si estende fino a comprendere l’integrità dei dati e la correttezza
del loro utilizzo.
L’art.31 del Codice della privacy (D.lgs. 30 giugno 2003 n.196), che peraltro
riprende interamente quanto già previsto dall'art.15 della legge 675/96, dispone che "I
dati personali oggetto di trattamento devono essere custoditi e controllati, anche in
relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed
alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante
l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita,
anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta".
Le "misure di sicurezza" vengono descritte come misure di protezione idonee a
prevenire il rischio di perdita o distruzione dei dati anche solo accidentale, "di
accesso non autorizzato o di trattamento non consentito o non conforme alle
finalità della raccolta", confermando la definizione di "sicurezza" verso la quale
sembrano orientate le legislazioni di tutti i Paesi che si sono già occupati del problema.
Il quadro normativo dispone quindi che il Titolare del trattamento dei dati:
1. ha il dovere di "ridurre al minimo" i rischi di distruzione o perdita accidentale dei
dati;
2. deve prevenire accessi non autorizzati ai dati;
3. deve conseguentemente adottare "misure di sicurezza" adeguate all'importanza dei
dati custoditi negli archivi e in linea con le conoscenze acquisite in base al progresso
tecnologico.
Una politica "minima" della sicurezza dei sistemi informativi deve prevedere un
sistema di identificazione degli utenti, una politica degli accessi associata a
meccanismi logici e meccanici di protezione della integrità dei dati e misure normative
ed organizzative adeguate: non ha senso, ad esempio, investire cospicue risorse
economiche per installare un sistema di protezione, se gli operatori, non adeguatamente
sensibilizzati o addestrati, divulgano la password del loro PC.
Il concetto giuridico di sicurezza dei dati viene, a questo fine, collegato a quel
complesso di accorgimenti tecnici ed organizzativi che mirano a tutelare i beni
giuridici della confidenzialità (o riservatezza), della integrità e della disponibilità
delle informazioni trattate.
Per comprendere correttamente il significato di queste espressioni si deve aver
riguardo - secondo un riconosciuto criterio interpretativo - agli interessi che appaiono
meritevoli di tutela. Si definisce "sicuro" un sistema informativo in cui le
informazioni contenute vengono "garantite", attraverso i sistemi di sicurezza
predisposti, contro il pericolo di accessi o sottrazioni ad opera di persone non
autorizzate e contro il pericolo di manipolazioni, alterazioni o cancellazioni
involontarie o dolose (a scopo di danneggiamento o di frode) .
Rendere le informazioni riservate "non disponibili" da parte di chi non è autorizzato
significa parimenti, e sotto altro profilo, rendere tali informazioni disponibili nella loro
integrità originaria a chi ne ha diritto.
Per quanto attiene, più in particolare, ai sistemi informatici, anteriormente alla
Legge 675/96, nell'ordinamento giuridico italiano il concetto di sicurezza informatica
si ricavava da una attenta lettura degli articoli 615-ter e 615-quater del codice penale
(introdotti dalla legge 23 dicembre 1993 n. 547, più comunemente nota come "legge sui
computer crimes").
Sino alla approvazione della legge 675/96, queste norme sono state pertanto le
uniche ad occuparsi espressamente di un "sistema informatico o telematico protetto da
misure di sicurezza", al fine di sanzionare con la pena della reclusione il reato di
accesso abusivo ad un sistema informatico o telematico o la divulgazione dei suoi codici
di accesso. In pratica, commette il delitto di abusiva introduzione chiunque, senza
averne il diritto, si introduce (p.es.: si inserisce, come utente abusivo, direttamente,
attraverso un terminale o tramite collegamento telematico) in un sistema
informativo altrui (art.615 ter c.p.) Non è richiesto, perché si compia il reato, un
intento particolare o specifico. Non ha rilievo, cioè, che l'intruso agisca per fini di lucro
o semplicemente per diletto.
Tutti i sistemi contengono aree riservate ove l'accesso è consentito soltanto alle
persone autorizzate e non anche agli utenti esterni. È ben evidente, allora, che le "misure
di sicurezza" di cui parla l'art. 615-ter del codice penale possono consistere in
qualunque accorgimento idoneo allo scopo di interdire l'introduzione nel sistema
informativo da parte di chi non è autorizzato. Anche una semplice password, sotto
questo profilo, costituisce una (seppure minima) misura di sicurezza informatica.
Al medesimo concetto di sicurezza fa riferimento il successivo art. 615 quater
del codice penale (anch'esso introdotto dalla L.547/93) per sanzionare con la reclusione
sino a due anni e con la multa sino a 20 milioni di lire (nei casi aggravati) la detenzione
e diffusione abusiva dei "codici di accesso" ad un sistema informativo automatizzato.
Commette questo reato chiunque, a scopo di profitto o per recare danno, si procura,
o fornisce ad altri, "codici, parole chiave o altri mezzi idonei all'accesso" ad un
sistema informativo "protetto da misure di sicurezza".
Per la parte che qui interessa, questo articolo contiene una elencazione
esemplificativa delle "misure di sicurezza" che possono proteggere il sistema: la
"parola-chiave", come si vede, è considerata, unitamente ai "codici" e ad ogni altro
accorgimento (meccanico o logico) tra le possibili difese che debbono essere apprestate
per la protezione delle informazioni riservate.
Il Sistema informativo deve quindi tutelare la propria integrità attraverso
opportuni accorgimenti. Si tratta tanto delle caratteristiche intrinseche del progetto,
quanto di accorgimenti organizzativi e tecnici che debbono essere adottati per ridurre
al minimo (rendere poco probabile) la possibilità di un’intrusione. Ciò significa che un
sistema informativo è "sicuro" se viene progettato pensando alla disciplina delle
politiche di accesso.
Con la legge 675/96 veniva quindi introdotta, per la prima volta nel nostro
ordinamento, una specifica ipotesi di reato per l’omessa adozione delle misure
necessarie a garantire la sicurezza dei dati. Peraltro, a seguito delle modifiche apportate
con il D.lgs. 467/2001, il reato non veniva più qualificato come delitto, secondo quanto
originariamente prevedeva la legge 675, bensì come contravvenzione, con possibilità
per il suo autore di regolarizzare la propria posizione attraverso il sistema del
"ravvedimento operoso" sulla falsariga dell'analogo meccanismo esistente nella
legislazione sulla sicurezza sul lavoro.
Nell’attuale Codice della privacy (art.169) la fattispecie è rimasta nella sua
qualificazione di contravvenzione punibile con l’arresto sino a due anni o con
l’ammenda da 10 mila a 50 mila Euro. Poiché tale norma si applica "al trattamento
dei dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel
territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato" e
considerato che per "dato personale" si intende "qualunque informazione relativa a
persona fisica, persona giuridica o ente, identificati o identificabili anche
indirettamente", si tratta evidentemente di una disciplina che trova pratica applicazione
nell'ambito di tutti (o quasi) i sistemi di archiviazione cartacei o automatizzati che
contengano dati personali.
Rimane comunque lo strumento del ravvedimento operoso che consente al
trasgressore di estinguere il reato se: a) ha regolarizzato la propria posizione
(adottando le misure di sicurezza omesse) entro il termine indicato all’atto
dell’accertamento o, nei casi più complessi, con successivo provvedimento del Garante
(termine eventualmente prorogabile in caso di particolare complessità o di oggettiva
difficoltà dell’adempimento e comunque mai superiore ai sei mesi); b) ha provveduto,
nei sessanta giorni successivi allo scadere del termine, al pagamento di una somma pari
al quarto del massimo dell’ammenda prevista per la contravvenzione (pari quindi a 20
mila Euro).
Passiamo quindi ad una illustrazione più dettagliata delle misure di sicurezza,
partendo dalla loro definizione e da un breve accenno alla disciplina precedente l’attuale
Codice della privacy. La legge 675/96 rimandava l’individuazione concreta delle misure
ad un regolamento emanato con Decreto del Presidente della Repubblica. Regolamento
che, tenuto conto delle conoscenze nel frattempo acquisite in base al progresso tecnico,
avrebbe dovuto essere necessariamente aggiornato con cadenza biennale.
Il legislatore provvedeva quindi con il D.P.R. 28 luglio 1999 n.318 ad individuare il
complesso delle misure, in particolare tecniche ed informatiche, che configurano il
livello minimo di protezione richiesto in relazione agli specifici rischi sopra ricordati.
Le misure di sicurezza venivano descritte distinguendole fra trattamenti effettuati con
strumenti elettronici e trattamenti effettuati con strumenti diversi da quelli elettronici,
(trattamenti quindi cartacei). Le misure variavano inoltre, divenendo sempre più
importanti e severe, a seconda che il trattamento riguardasse dati comuni o sensibili.
L’impostazione adottata dal legislatore nell’individuazione delle misure
minime di sicurezza è stata ripresa dal legislatore del Codice che distingue infatti fra
trattamenti con strumenti elettronici (art.34 del Codice) e trattamenti senza l’ausilio di
strumenti elettronici (art.35 del Codice). La descrizione dettagliata delle modalità di
attuazione delle misure minime viene invece effettuata rimandando ad un Disciplinare
tecnico allegato al Codice stesso che, con decreto ministeriale, verrà periodicamente
aggiornato (senza una specifica cadenza prefissata) in relazione all’evoluzione tecnica e
all’esperienza maturata nel settore.
Provvediamo quindi a descrivere le misure minime previste dal nuovo Codice
in relazione alle modalità tecniche di attuazione contenute nel Disciplinare tecnico,
partendo dalla loro definizione, peraltro immutata rispetto a quella contenuta nel citato
D.P.R. 318/99. Si definiscono infatti “misure minime” di sicurezza “il complesso delle
misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che
configurano il livello minimo di protezione richiesto in relazione ai rischi previsti
nell’articolo 31 del Codice”.
Con il nuovo Codice in materia di trattamento dei dati personali non sembrano
esservi particolari semplificazioni, anzi il numero delle misure minime di sicurezza
sembrerebbe aumentato. In realtà, al legislatore del Codice dobbiamo però sicuramente
riconoscere un tentativo di razionalizzazione delle misure, descritte con maggior
chiarezza rispetto al passato.
Nell’ambito dei trattamenti effettuati con strumenti elettronici, il codice
distingue innanzitutto fra procedure di autenticazione e di autorizzazione: ai sensi del
disciplinare tecnico, il trattamento di dati personali con strumenti elettronici è
consentito agli incaricati dotati di credenziali di autenticazione che permettono il
superamento di una procedura di autenticazione relativa ad uno specifico trattamento o a
più trattamenti. Le credenziali di autenticazione possono semplicemente consistere in un
codice per l’identificazione dell’incaricato associato ad una parola chiave. Il disciplinare
evidenzia però anche credenziali più complesse quali, per esempio, quelle consistenti in
una caratteristica biometria dell’incaricato, eventualmente associate ad un codice
identificativo o una parola chiave.
Il disciplinare tecnico specifica inoltre le caratteristiche che deve possedere la parola
chiave (almeno otto caratteri o, se lo strumento elettronico non lo permette, il numero
massimo di caratteri consentito), la sua durata massima (la parola chiave deve essere
immediatamente modificata dal singolo incaricato al momento dell’assegnazione e
successivamente modificata, sempre dall’incaricato, almeno ogni sei mesi per i dati
comuni ed ogni tre mese se si effettua trattamento di dati sensibili o giudiziari),
l’eventuale sua disattivazione (nel caso di non utilizzo prolungato per sei mesi o,
chiaramente, in caso di vicende che riguardino direttamente l’incaricato, il cui effetto
comporterebbe l’impossibilità di accedere ulteriormente ai dati) nonché l’evidente
obbligatorietà della segretezza.
Resta fermo l’obbligo per il Titolare di impartire agli incaricati del trattamento idonee e
preventive informazioni scritte circa l’utilizzo degli strumenti elettronici (in particolare
al fine di non lasciare incustoditi ed accessibili gli strumenti durante il lavoro),
l’adozione di adeguate cautele tese a garantire la segretezza della componente riservata
della credenziale, nonché le modalità con le quali verrà garantito al Titolare medesimo
la disponibilità di dati o strumenti elettronici in caso di prolungata assenza degli
incaricati. A tal fine, permane la figura del custode delle credenziali (o custode delle
parole chiave), seppur diversamente regolamentato dalle nuove disposizioni del
disciplinare tecnico, preventivamente individuato per iscritto.
L’autorizzazione agli incaricati costituisce invece una fase distinta e successiva
rispetto all’autenticazione. L’autorizzazione consente infatti al singolo incaricato (o ad
una serie di incaricati individuati anche per classi omogenee, es. addetti all’ufficio del
personale, all’ufficio commerciale, ecc.) di accedere a determinate categorie di dati. E’
evidente che, avendo come fine quello di limitare l’accesso ai dati solo a coloro che ne
facciano, sulla base delle mansioni svolte in azienda, effettivo trattamento, i profili di
autorizzazione dovranno essere individuati preventivamente all’inizio del trattamento
stesso nell’ambito dell’assegnazione e delle istruzioni scritte fornite a ciascun
incaricato.
Fra le ulteriori misure, alcune delle quali già previste dal D.P.R. 318/99,
evidenziamo l’obbligo di adottare programmi antivirus, antintrusione e programmi volti
a prevenire la vulnerabilità di strumenti elettronici e di correggerne i difetti (c.d. patch o
programmi update), l’obbligo di effettuare il salvataggio dei dati (back up) con
frequenza almeno settimanale, specifiche disposizioni per la riutilizzazione o
distruzione dei supporti rimovibili contenenti dati sensibili, previo controllo sulla non
recuperabilità delle informazioni precedentemente contenute in tali supporti..
Riteniamo opportuno segnalare la scomparsa dalla disciplina introdotta dal
Codice della privacy, della figura dell’amministratore di sistema, che il D.P.R. 318/99
definiva come il soggetto cui è conferito il compito di sovrintendere alle risorse del
sistema operativo di un elaboratore o di un sistema di base dati e di consentirne
l'utilizzazione. Dobbiamo comunque constatare come l’amministratore di sistema, nel
breve periodo di durata del D.P.R. 318/99, sia divenuto nelle realtà aziendali una figura
certamente di riferimento. Pertanto, sebbene non venga più prevista dal nuovo Codice e
dal disciplinare tecnico, è bene comunque che all’interno delle aziende vi sia la presenza
di un referente per i sistemi informatici che potrà eventualmente essere inquadrato come
Responsabile (con gli oneri ed i diritti che però ne conseguono) o, più semplicemente,
come incaricato del trattamento con specifiche mansioni strettamente attinenti a quelle
in passato già ricoperte come amministratore di sistema. La rilevanza di tale figura è
stata riconosciuta anche dal Garante che con proprio provvedimento generale
(27.11.2008) ha prescritto obbligatoriamente (salvo che per le realtà in cui si svolgono
esclusivamente trattamenti per fini amministrativi-contabili) alcuni requisiti e cautele
nella designazione e nell’espletamento delle funzioni legate a questo ruolo aziendale.
Tra le originarie misure di sicurezza, particolare rilevanza ha sempre rivestito il
documento programmatico sulla sicurezza (DPS), peraltro anch’esso già previsto
come misure di sicurezza dal D.P.R. 318/99.
A differenza però della previgente disciplina, viene ampliato il suo ambito
applicativo dovendo infatti essere adottato da tutte le aziende nelle quali si effettui un
trattamento di dati sensibili o giudiziari con strumenti elettronici. In passato tale misura
veniva prevista solo se il trattamento informatico di dati sensibili era effettuato con
strumenti elettronici collegati ad una rete informatica accessibile dall’esterno. Il
disciplinare tecnico impone invece la predisposizione del documento programmatico
anche se il trattamento dei dati sensibili viene effettuato con elaboratori isolati, non
collegati alla rete.
Tale particolare misura (DPS) è stata oggetto di più interventi, fino a giungere ,
nel 2012, alla sua abrogazione.
La Legge 6 agosto 2008 n. 133 aveva, infatti, inserito un comma 1-bis all’art. 34 del
Codice della privacy (D.Lgs. n. 196 del 2003), prevedendo la possibilità, a determinare
condizioni, di procedere all’eventuale autocertificazione sostitutiva del Documento
Programmatico sulla Sicurezza.
Infine, con l’articolo 45 del d.l. n. 5/2012 (convertito con legge n. 35/2012) è stato
completamente abrogato l’obbligo di predisporre tale DPS.
Le aziende potranno, quindi, scegliere se continuare a redigere e tenere aggiornato un
proprio Documento Programmatico sulla Sicurezza quale utile strumento volontario di
cui usufruire nella gestione corretta dei dati personali, ovvero avvalersi della norma
semplificativa che ha abrogato l’obbligo sanzionato.
Evidenziamo peraltro che, unitamente alla abrogazione dell’obbligo di predisporre il
DPS è venuto meno, correlativamente, anche l’obbligo di farne menzione nella
relazione accompagnatoria del bilancio di esercizio.
Nell’ambito dei trattamenti effettuati senza l’ausilio di strumenti elettronici, si richiede
che agli incaricati, preventivamente individuati anche per classi omogenee, siano
impartite istruzioni scritte per una corretta custodia e controllo dei documenti e degli
atti. Particolare attenzione dovrà essere posta a quei documenti che contengano dati
sensibili o giudiziari per i quali sussistono maggiori cautele: controllo dell’accesso agli
archivi contenenti tali documenti nonché identificazione e registrazione di coloro che
vengono ammesse agli archivi dopo il normale orario di chiusura. Sparisce comunque
dalla nuova disciplina l’obbligo di custodire i documenti contenenti dati sensibili in
archivi muniti di serratura.
2. Periodicità delle verifiche sulle misure minime di sicurezza
Non è sufficiente la semplice adozione delle misure minime di sicurezza. E’
infatti indispensabile, affinché la politica di sicurezza intrapresa dall’azienda risulti
efficace, provvedere al loro costante aggiornamento, perlomeno secondo le periodicità
indicate dallo stesso legislatore nel Codice della privacy.
Di seguito provvediamo ad elencare le misure minime di sicurezza
(distinguendole sempre fra misure relative a trattamenti effettuati con l’ausilio di
strumenti elettronici e misure relative a trattamenti di tipo cartaceo), evidenziandone le
periodicità di aggiornamento richieste dall’attuale disciplinare tecnico contenuto
nell’Allegato B) al Codice. Nell’ultima colonna viene riportato il numero del
disciplinare tecnico cui si riferisce la specifica misura.
TRATTAMENTO CON L’AUSILIO DI STRUMENTI ELETTRONICI
MISURE DA
VERIFICARE
Credenziali di
autenticazione
DESCRIZIONE
MISURA
disattivazione in caso di
mancato utilizzo dei
medesimi per un periodo
superiore ai 6 mesi
Credenziali di
disattivazione in caso di
autenticazione perdita della qualità che
consente all’incaricato
l’accesso ai dati personali
Codice per
una volta assegnato, non
l’identificazione può essere assegnato ad
altri incaricati
Parola chiave
per il trattamento di dati
personali deve essere
modificata ogni sei mesi
Parola chiave
per il trattamento di dati
sensibili deve essere
modificata ogni tre mesi
Profili di
possono essere individuati
autorizzazione per singolo incaricato o
per classi omogenee di
incaricati
Profili di
verificare la sussistenza
autorizzazione delle condizioni per la
conservazione dei profili
di autorizzazione
Lista degli
può essere redatta anche
incaricati
per classi omogenee di
autorizzati
incarico
Tipologia dei
dati
Tutti i dati
CADENZA
6 mesi
Disciplinare
tecnico
7
Tutti i dati
sempre
8
Tutti i dati
sempre
6
Dati comuni
6 mesi
5
Dati sensibili e
giudiziari
3 mesi
5
Tutti i dati
sempre
13
Tutti i dati
1 anno
14
Tutti i dati
1 anno
15
Antivirus
Patch o
programmi
update
Patch o
programmi
update
Backup
efficacia ed
aggiornamento sono
verificati con cadenza
almeno semestrale.
Programmi per elaboratore
volti a correggere difetti e
prevenire la vulnerabilità
degli strumenti elettronici
Programmi per elaboratore
volti a correggere difetti e
prevenire la vulnerabilità
degli strumenti elettronici
salvataggio dei dati con
frequenza settimanale
Sistemi
antintrusione
protezione contro
l’accesso abusivo nel caso
di trattamento di dati
sensibili
Custodia dei
istruzioni
supporti
organizzative e tecniche
rimovibili di
per la loro custodia e
memorizzazione utilizzo
Riutilizzo dei
se non utilizzati
supporti di
devono essere distrutti o
memorizzazione resi inutilizzabili,
controllo sulla non
recuperabilità delle
informazioni
precedentemente
contenute
Tutti i dati
6 mesi
16
Dati comuni
1 anno
17
Dati sensibili e
giudiziari
6 mesi
17
Tutti i dati
7 giorni
18
Dati sensibili e
giudiziari
sempre
20
Dati sensibili e
giudiziari
sempre
21
Dati sensibili e
giudiziari
sempre
22
TRATTAMENTO SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
MISURE DA DESCRIZIONE
VERIFICARE MISURA
Istruzioni scritte Finalizzate al controllo e
custodia dei documenti
Profili di
autorizzazione
Procedure di
controllo e
custodia
Individuazione dell’ambito
del trattamento consentito
agli incaricati, individuati
anche per classi omogenee
Al fine di non consentire
l’accesso a persone prive
di autorizzazione
Tipologia dei
dati
Tutti i dati
CADENZA
sempre
Disciplinare
tecnico
27
Tutti i dati
1 anno
27
Dati sensibili e
giudiziari
sempre
28
Accesso
controllato agli
archivi
Autorizzazione
preventiva
all’accesso
Le persone ammesse dopo
l’orario di chiusura devono
essere identificate e
registrate
qualora gli archivi non
siano dotati di strumenti
elettronici per il controllo
degli accessi o di incaricati
alla vigilanza
Dati sensibili e
giudiziari
sempre
29
Dati sensibili e
giudiziari
sempre
29
3. GLI ADEMPIMENTI
Nell’adozione delle misure minime di sicurezza è opportuno che le aziende svolgano
una serie di adempimenti che si possono sintetizzare in una preliminare analisi della
realtà dell’azienda e dei rischi cui la stessa potrebbe essere soggetta ed in una
conseguente individuazione delle misure minime da adottare.
ANALISI DELLA SITUAZIONE E DEI RISCHI AZIENDALI
Il sistema informatico aziendale
È innanzitutto necessario avere un quadro preciso degli elementi fondamentali del
sistema informatico dell’Azienda, con particolare riguardo agli aspetti hardware e
alla classificazione dei dati come previsto dal Disciplinare Tecnico in materia di
misure minime di sicurezza.
In particolare si dovrà descrivere l’architettura del sistema informatico, nel quale
dovranno essere individuati i dispositivi rilevanti ai fini della sicurezza informatica.
Analisi del trattamento dei dati personali e rilevazione dei dati sensibili o
giudiziari
È quindi necessario verificare le applicazioni esistenti e, sulla base delle
informazioni gestite, determinare se esse trattano, anche potenzialmente, dati
personali secondo quanto previsto dal Codice sulla privacy.
Scopo dell’analisi è di inventariare e mappare gli archivi contenenti dati personali e
di verificare l’aderenza degli stessi alle disposizioni normative.
Oggetto dell’analisi inventariale sono quindi i trattamenti effettuati con strumenti
elettronici o senza (archivi cartacei).
Gli archivi, cartacei o elettronici, vengono inventariati con una descrizione,
sommaria ma esplicativa, dei contenuti.
Per ciascun tipo di archivio è opportuno identificare:
a. l’area aziendale di appartenenza
b. le finalità del trattamento
c. la natura dei dati
d. le modalità di trattamento
e. l’ubicazione fisica di conservazione
f. le categorie di soggetti cui si riferiscono i dati
g. gli identificativi degli utenti di sede e/o periferici
h. l’eventuale ricorso a società outsourcers o altre entità esterne
i. le misure di sicurezza e di protezione dei dati applicate
Struttura organizzativa funzionale al trattamento dei dati
L’analisi della situazione aziendale prosegue verificando gli elementi fondamentali
della struttura organizzativa coinvolti nel trattamento dei dati personali, in
particolare, le nomine ai: Responsabile del Trattamento (art.29 ), Responsabile dei
sistemi informativi (se previsti) ed incaricati del trattamento (art. 30 ) suddivisi per
area.
A ciascuna “figura” devono essere stati assegnati compiti dettagliati, con
specificazione degli archivi ai quali hanno accesso e con le relative responsabilità.
Nella lettera d’incarico al personale che effettua trattamenti su dati personali
sensibili potranno essere concessi profili di autorizzazione individuali o per classi
omogenee (art. 13 del Disciplinare tecnico.
La figura di “Preposto alla custodia delle parole chiave”, ai sensi dell’art. 10 del
Disciplinare Tecnico, può essere assorbita in quella del Responsabile dei sistemi
informativi.
I dati sanitari risulteranno adeguatamente protetti nell’archivio sanitario presso i
locali dell’infermeria sotto la responsabilità del Medico Del Lavoro ai sensi della
normativa sulla sicurezza sul luogo del lavoro prevista dal T.U. n. 81/2008.
Le società outsourcers potranno essere nominate Responsabili “esterni” del
trattamento dei dati personali ai cui hanno accesso, specificando la natura dei dati e
le finalità del trattamento, con una chiara ripartizione delle competenze tra il
Titolare del trattamento e la società esterna stessa.
Infine, nella eventuale predisposizione del D.P.S., si consiglia di porre in allegato
allo stesso documento:
- atto di nomina del Responsabile del Trattamento da parte del C.d.A.
- atto di nomina del Responsabile dei sistemi informativi.
- istruzioni scritte agli incaricati autorizzati del trattamento su dati sensibili o
giudiziari
- elenco delle società esterne outsocurcers
- atto di nomina delle società esterne responsabili esterne pro tempore
- organigramma aziendale
Analisi dei rischi possibili e dei danni conseguenti
Si dovranno esplicitare le misure minime da adottare a garanzia dell’integrità e
disponibilità dei dati. La fase di analisi dei rischi svolge un ruolo centrale nella
definizione delle linee guida che si intendono adottare per predisporre misure tali da
garantire la sicurezza dei dati trattati.
Si tratta di un’analisi preliminare e indicativa basata su considerazioni soggettive
che l’Azienda dovrà riservarsi di approfondire applicando una metodologia di
analisi consolidata.
Dovranno quindi essere considerati:
- i rischi di distruzione e/o perdita dei dati anche accidentale;
- i rischi di accesso non autorizzato ai dati;
- i rischi di trattamento non consentito o non conforme.
INDIVIDUAZIONE DELLE MISURE DI SICUREZZA E POLITICHE DI SICUREZZA
Sarà necessario che l’Azienda evidenzi in che modo le misure minime di sicurezza,
previste per le diverse classi o categorie di rischio, vengono realizzate nella realtà
tecnologica ed organizzativa aziendale.
Si dovrà pertanto distinguere le misure minime per i trattamenti informatici:
- modalità di attivazione, variazione e gestione delle parole chiave per l’accesso ai
dati personali;
- criteri di definizione, di attribuzione e di gestione delle credenziali di
autenticazione;
- criteri di utilizzo e di aggiornamento dei programmi antivirus;
- modalità di accesso - autorizzazioni e registrazione delle stesse autorizzazioni
assegnate agli incaricati – ai dati sensibili o giudiziari;
- Criteri per garantire la predisposizione delle misure minime nel caso di trattamenti
affidati all’esterno della struttura aziendale;
e le misure minime per i trattamenti cartacei:
- procedure e modalità di organizzazione degli archivi cartacei ad accesso
selezionato;
- Criteri tecnici ed organizzativi per la protezione delle aree e dei locali e procedure
di controllo per l’accesso;
Altre misure, di carattere organizzativo, dirette ad assicurare la riservatezza,
l’integrità e la disponibilità dei dati potranno essere rappresentate dal “Regolamento
aziendale per l’utilizzo del sistema informatico”.
Criteri e procedure per la protezione fisica delle aree e dei locali interessati dalle
misure di sicurezza e procedure per controllare l’accesso delle persone
autorizzate nei locali medesimi
Il ruolo della sicurezza fisica è quello di proteggere le persone che operano sui
sistemi, le aree e le componenti del sistema informativo.
Sarà opportuno adottare criteri e procedure intese a prevenire accessi fisici non
autorizzati, danni o interferenze con lo svolgimento dei servizi informatici.
Le contromisure adottate si riferiranno alla definizione di aree ad accesso
controllato e selezionato, ai controlli fisici all’accesso, ai sistemi di chiusura dei
locali, al possesso delle chiavi, alla protezione fisica dei supporti, alla sicurezza
della “Sala macchine” rispetto a danneggiamenti accidentali o intenzionali.
Procedure per assicurare l’integrità dei dati
Il campo di applicazione della sicurezza logica riguarda la protezione
dell’informazione e, conseguentemente, di dati, applicazioni, sistemi e reti.
Le contromisure di sicurezza logica sono quindi costituite da un insieme di misure
di carattere tecnologico e di natura procedurale e organizzativa.
Dovranno essere previsti criteri e procedure per fronteggiare eventi che possono
portare alla distruzione dei dati o comprometterne la loro integrità:
- procedura di salvataggio e archiviazione dei dati aziendali;
- procedura per il ripristino dell’accesso ai dati (Piano di disaster Recovery)
- procedura di riutilizzo controllato dei supporti;
- procedura antivirus;
Altre misure, di carattere organizzativo, dirette ad assicurare l’integrità dei dati
potranno essere rappresentate dal Regolamento aziendale per l’utilizzo del
sistema informatico, consegnato a tutti gli incaricati del trattamento unitamente
alle lettere di incarico.
Procedure per la sicurezza delle trasmissioni dei dati e per le restrizioni di
accesso
Il crescente utilizzo delle reti di telecomunicazioni locali o geografiche espone i
sistemi informativi automatizzati e le informazioni trattate a molteplici attacchi alla
disponibilità, integrità e riservatezza: l’obbiettivo sarà di impedire che i dati
possano essere intercettati, ed eventualmente alterati, durante la trasmissione.
Dovrà pertanto essere garantito l’utilizzo della rete esclusivamente da chi è
autorizzato e secondo modalità definite dai profili di abilitazione, attivando i servizi
di sicurezza.
È inoltre opportuno prevedere nel Regolamento aziendale per l’utilizzo del sistema
informatico, delle disposizioni organizzative di limitazione all’utilizzo di Internet e
della Posta Elettronica.
Piano di formazione
Una corretta politica dei dati personali, così come delineata dal codice sulla privacy
potrebbe essere accompagnata da un facoltativo ed articolato programma di
informazione e formazione per gli incaricati.
L’Azienda dovrà quindi sviluppare linee guida e pianificare una formazione diretta
a diffondere al suo interno la cultura della sicurezza informatica e le politiche di
gestione dei dati personali.
Programma di revisione ed adeguamento del documento programmatico
Il Documento Programmatico, qualora l’azienda decida volontariamente di
predisporlo, deve intendersi come un vero e proprio piano per la sicurezza, diretto
ad avviare un processo di gestione del sistema in grado di essere costantemente
aggiornato.
L’obbiettivo della revisione è di controllare e mantenere dei livelli adeguati di
sicurezza nel tempo.
Questo documento rappresenta una misura opportuna per analizzare la situazione
aziendale ed organizzare le procedure a garanzia della sicurezza nei trattamenti.
ANALISI DEI RISCHI
L’analisi dei rischi costituisce la fase di partenza delle attività di progettazione del piano
aziendale della sicurezza. Le attività raggruppate al suo interno sono da considerarsi
momenti diversi di una medesima macro-fase di progettazione, e contribuiscono alla
definizione di quello che nella terminologia Information Technology Security
Evaluation Criteria (ITSEC) è definito essere il Security Target.
L’analisi in oggetto consente all’azienda di:
o acquisire consapevolezza e visibilità sul livello di esposizione al rischio del proprio
patrimonio informativo,
o avere una mappa preliminare dell’insieme delle possibili contromisure di sicurezza
da realizzare.
Metodologia di analisi
L’analisi dei rischi può essere effettuata sulla base delle linee guida per la definizione
di un piano per la sicurezza dei sistemi informativi automatizzati elaborate dal
DigitPA (Autorità per l’Informatizzazione nella Pubblica Amministrazione).
La quantizzazione del rischio può essere basata su considerazioni soggettive unitamente
all’istituzione di una scala semiqualitativa che individuerà varie soglie di rischio. La
scala individuata prevede quattro indici di rischio:
Indice
Lieve (L)
Medio (M)
Descrizione
Con questa soglia viene individuato un rischio molto basso che
identifica una minaccia remota e comunque rapidamente reversibile
od ovviabile.
Con questa soglia viene individuato un rischio superiore al
precedente identificante una minaccia remota ma i cui effetti non
sono totalmente o parzialmente reversibili od ovviabili. In tale caso è
già consigliabile pensare ad accorgimenti per contenere il rischio.
Grave o
Gravissimo (G)
Con queste soglie viene individuato un rischio che è sicuramente
inaccettabile pensare di correre, pertanto dovrà sicuramente essere
attivato un insieme di contromisure (di natura fisica, logica,
organizzativa) per abbattere il rischio e contenerlo a livelli
accettabili.
Tabella 1
L’obiettivo dell’analisi dei rischi è, da un lato, acquisire consapevolezza e visibilità sul
livello di esposizione al rischio del proprio patrimonio informativo e, dall’altro, avere
una mappa delle contromisure di sicurezza da realizzare.
L’analisi dei rischi si articola sostanzialmente nei seguenti moduli:
1. identificazione delle risorse da proteggere
2. valutazione delle minacce e della vulnerabilità dei beni
3. individuazione dell’esposizione al rischio
4. individuazione dell’insieme delle contromisure da realizzare e definizione delle
politiche di sicurezza
1. Identificazione delle risorse da proteggere
Il primo passo da compiere nella definizione di un piano di sicurezza è l’individuazione
degli elementi del sistema informativo automatizzato che necessitano protezione e delle
minacce a cui gli stessi possono essere sottoposti. Nello svolgimento di tale fase devono
essere presi in considerazione tutti gli aspetti possibili senza trascurare il benché
minimo dettaglio; ossia bisogna tenere sotto controllo ogni fattore, sia tecnologico che
umano.
Anche se alcune cose sembrano ovvie, è opportuno procedere ad una elencazione di
tutte le possibili componenti che hanno un impatto con il problema sicurezza. Occorre
analizzare inoltre anche le relazioni che le singole componenti hanno fra loro e, più in
generale, con il resto dell'ambiente. Occorre, cioè, rappresentare e classificare non solo
le componenti, ma anche come queste sono relazionate tra di loro, sia fisicamente che
logicamente, definendo così un disegno completo del Sistema Informatico.
Si tratta quindi di specificare quale e’ il patrimonio informativo in termini di dati e
risorse elaborative che sarà oggetto del Piano della Sicurezza. Nello svolgimento di tale
fase devono essere presi in considerazione tutti gli aspetti possibili senza trascurare il
benché minimo dettaglio; ossia bisogna tenere sotto controllo ogni fattore, sia
tecnologico che umano.
a) Risorse Hardware
Rientrano in questa categoria le CPU, terminali, workstation, personal computer,
stampanti, disk drive, linee di comunicazione, server, router. Le principali minacce a cui
questi dispositivi sono sottoposti sono: mal funzionamenti dovuti a guasti o sabotaggi,
mal funzionamenti dovuti a eventi naturali quali allagamenti e incendi, furti e
intercettazione.
Quest’ultima minaccia interessa gli apparati di rete cioè le linee di comunicazione, i
router e i server. E’ infatti possibile effettuare il monitoraggio indebito o la alterazione
della trasmissione di dati effettuata da questi apparati, sia che questa avvenga tra
terminali, tra computer, tra stazioni di lavoro periferiche e sistemi centrali di
elaborazione. Un altro caso potrà riguardare i video intercettando le onde
elettromagnetiche da questi emesse per ricostruirne remotamente l’immagine.
b) Risorse Software
Rientrano in questa categoria i Sistemi Operativi e Software di Base (utility,
diagnostici), Software Applicativi, Gestori di basi di dati, Software di rete, i programmi
in formato sorgente e oggetto, ecc. Le minacce principali legate all’uso di questi
prodotti potranno essere:
 la presenza di errori involontari commessi in fase di progettazione e/o
implementazione che consentono ad utenti non autorizzati l’esecuzione di
operazioni e programmi riservati a particolari categorie di utenti;
 la presenza di codice malizioso inserito volontariamente dai programmatori
dell’applicazione stessa, al fine di poter svolgere operazioni non autorizzate sul
sistema o per danneggiare lo stesso. Rientrano in questa categoria di minacce i virus,
i trojan horse, le bombe logiche, le backdoor;
 attacchi di tipo denial of service, vengono generalmente portati a servizi di rete ma
sono facilmente estendibili a un qualunque servizio. Si tratta di attacchi non
distruttivi il cui obiettivo è saturare la capacità di risposta di un servizio con
l’obiettivo ultimo di renderlo inutilizzabile agli altri utenti del sistema.
Particolare importanza ricoprono anche i formati sorgente delle applicazioni, che
possono essere oggetto di furto per un’eventuale rivendita ad altre organizzazioni o di
modifica per l’inserimento di codice malizioso.
c) Dati
Intendiamo con dati il contenuto degli archivi, delle Basi di dati, dati di transito, copie
storiche, file di log, ecc.
Le minacce a cui i dati sono sottoposti sono legate alle debolezze dei sistemi operativi e
delle applicazioni che operano sulle macchine su cui risiedono e sono riconducibili a
due categorie:
 accesso non autorizzato cioè la possibilità per utenti esterni o interni di visualizzare
informazioni riservate a particolari categorie di utenti;
 modifiche deliberate o accidentali, vale a dire la possibilità da una parte per utenti
non autorizzati di modificare o cancellare dati a loro “non appartenenti”, dall’altra il
verificarsi di errori commessi da utenti autorizzati che inavvertitamente procedono
alla modifica o cancellazione di informazioni significative.
d) Le Risorse Professionali
Intendiamo appartenenti a questa categoria gli Amministratori di sistemi, i
sistemisti, i programmatori, gli operatori, gli utenti finali, i manutentori hardware e
software, i consulenti ecc. E’ questa una categoria alquanto particolare in quanto può
essere oggetto di minacce che compromettono la sicurezza del sistema ma può a sua
volta costituire una minaccia per la sicurezza del sistema.
Nel primo caso il personale può essere oggetto di attacchi così detti di social
engineering in cui estranei cercano attraverso varie strategie di ottenere informazioni
utili ad attaccare il sistema quali le password degli utenti, il contenuto dei file di
configurazione, gli indirizzi IP delle macchine e via dicendo.
Il personale per contro diventa una minaccia quando matura motivi di rivalsa nei
confronti dell’amministrazione o quando ha una scarsa consapevolezza del problema
sicurezza.
e) Documentazioni Cartacee
Si intende appartenenti a questa categoria la documentazione relativa ai programmi,
all'hardware, ai sistemi, alle procedure di gestione, ecc. Le principali minacce a cui tali
elementi sono sottoposti sono la distruzione e/o l’alterazione ad opera di eventi naturali,
di azioni accidentali e di comportamenti intenzionali.
f) Supporti di memorizzazione
Si tratta dei supporti su cui vengono tenute le copie dei sw installati, le copie dei file di
log e dei back-up. Le principali minacce a tali dispositivi, oltre a quelli già menzionati
per i dispositivi cartacei, sono:
 il deterioramento nel tempo;
 l’inaffidabilità del mezzo fisico che in alcuni casi può presentare difetti di
costruzione che ne compromettono il buon funzionamento nel tempo;
 l’evoluzione tecnologica e del mercato.
2. Valutazione delle minacce e della vulnerabilità dei beni
L’individuazione delle minacce e delle vulnerabilità a cui sono esposti i beni del
patrimonio informativo è fondamentale per valutare successivamente l’esposizione al
rischio.
La valutazione delle minacce e delle vulnerabilità prende in considerazione molte
tipologie di potenziali problemi, ognuna delle quali può interessare differenti parti del
sistema.
Le categorie delle minacce possono essere raggruppate nelle seguenti aree:





penetrazione logica
penetrazione nelle reti di comunicazione
guasti tecnici delle apparecchiature
errori umani
minacce fisiche
Vulnerabilità e minacce dovrebbero essere classificate in termini qualitativi e poi
correlate ai beni per individuare gli impatti e determinare quindi la misura del rischio in
relazione ai diversi servizi informativi.
Di seguito è riportata l’identificazione di alcuni rischi individuabili in una generica
azienda:
 Risorse hardware.
I rischi legati alle risorse hardware (es.: personal computer, PC portatili, server,
router, linee di comunicazione, Firewall) sono, in ordine decrescente di
importanza:
 guasti o sabotaggio;
 furto;
 eventi fortuiti o calamitosi (es.: incendi, allagamenti).
 Risorse software.
I rischi legati alle risorse software (es.: sistemi operativi, software di base,
software applicativi, software di rete, gestori di database) sono, in ordine
decrescente di importanza:
 errori umani involontari per imperizia, negligenza o imprudenza;
 codici maliziosi (programmi distruttivi o inibitori).
 Dati.
I rischi legati ai dati memorizzati su supporto elettronico (es.: database, dati di
transito, copie storiche, file di log) sono, in ordine decrescente di importanza:
 errori umani per imperizia, negligenza o imprudenza (es.: trattamento non
consentito o non conforme, accesso non autorizzato);
 modifiche accidentali;
 debolezza del sistema operativo o delle applicazioni.
 Risorse professionali.
I rischi legati alle risorse professionali (es.: Amministratori di Sistema,
sistemisti, programmatori, utenti finali, manutentori hardware e software,
consulenti) sono, in ordine decrescente di importanza:
 errori umani per scarsa consapevolezza del problema sicurezza (imperizia,
negligenza o imprudenza);
 attacchi per motivi di rivalsa.
 Documentazioni cartacee.
I rischi legati alle documentazioni cartacee (es.: manuali hardware, di
programmi, di sistemi, di applicazioni) sono, in ordine decrescente di
importanza:
 alterazioni/distruzioni per imperizia, negligenza, imprudenza o per motivi di
rivalsa;
 alterazioni/distruzioni per eventi fortuiti o calamitosi (es.: incendi,
allagamenti).
 Supporti di memorizzazioni.
I rischi legati ai supporti di memorizzazione (es.: server, cassette, cartucce)
sono, in ordine decrescente di importanza:




deterioramento nel tempo;
inaffidabilità del supporto;
evoluzione tecnologica;
eventi fortuiti o calamitosi (es.: incendi, allagamenti).
3. Individuazione dell’esposizione al Rischio
La misura del rischio cui è esposto il sistema informativo automatizzato viene
determinata dalla combinazione dei seguenti elementi:



il valore dei beni: dati e risorse elaborative;
il livello delle minacce ai suddetti beni;
il livello di vulnerabilità dei suddetti beni.
Tipicamente la misura del rischio viene formalizzata attraverso una matrice di
correlazione che consente di evidenziare per ogni minaccia considerata le criticità
relative ai singoli beni ed al servizio informativo nel suo complesso, in funzione degli
impatti relativi agli elementi di integrità, riservatezza e disponibilità considerati.
L’analisi di tale matrice consente di evidenziare l’entità (livello) del rischio associata ai
diversi beni e di capire quali sono i principali problemi, in termini di minacce e
vulnerabilità, che minano la sicurezza del Sistema Informativo Automatizzato.
Analisi dei rischi sui luoghi fisici
Il verificarsi della violazione di uno degli elementi di rischio comporta, in qualsiasi
caso, l’insorgere di perdite economico-finanziarie e l’aumento dei costi di gestione.
Codice
Elemento di rischio
Rischio
F.1
Intrusione/Furto
F.2
Allagamento
F.3
Incendio
Conseguenze
Effetti specifici
Duplicazione e diffusione a scopo Sanzioni civili
di lucro e/o danneggiamento Sanzioni penali
dell’immagine aziendale.
Resp.
contrattuali
Alterazione o distruzione di Resp.
programmi e/o dati
contrattuali
Alterazione o distruzione di Resp.
programmi e/o dati
contrattuali
Livello
L
M
M
Analisi dei rischi sulle risorse hardware
Il verificarsi della violazione di uno degli elementi di rischio comporta, in qualsiasi
caso, l’insorgere di perdite economico-finanziarie e l’aumento dei costi di gestione.
Codice
Elemento di rischio
Rischio
Conseguenze
Effetti specifici
Livello
H.1
H.2
H.3
H.4
Uso non autorizzato Alterazione o distruzione
dell’hardware
programmi e/o dati
di Sanzioni civili
Sanzioni penali
Resp.
contrattuali
Manomissione/
Alterazione o distruzione di Sanzioni civili
sabotaggio
programmi e/o dati
Sanzioni penali
Resp.
contrattuali
Probabilità/
Perdita parziale o completa di Sanzioni civili
frequenza di guasto programmi e/o dati
Sanzioni penali
Resp.
contrattuali
Rischi
connessi Perdita parziale o completa di Sanzioni civili
all’alimentazione
programmi e/o dati;
Sanzioni penali
elettrica
Impossibilità di utilizzo dei dati Resp.
per periodi di tempo limitati.
contrattuali
L
L
L
L
Analisi dei rischi sulle risorse dati
Il verificarsi della violazione di uno degli elementi di rischio comporta, in qualsiasi
caso, l’insorgere di perdite economico-finanziarie e l’aumento dei costi di gestione.
Codice
Elemento di rischio
Rischio
D.1
D.2
D.3
D.4
Accesso
autorizzato
Conseguenze
Effetti specifici
non Violazione privacy;
Perdita parziale o completa di dati;
Manomissione e alterazione dei
dati.
Modifica
e/o Perdita parziale o completa di dati;
cancellazione non Manomissione e alterazione dei
autorizzata di dati
dati.
Impossibilità
di
ripristinare copie di
backup
Trattamento
non
consentito o non
conforme
alle
finalità
della
raccolta
Sanzioni civili
Sanzioni penali
Resp.
contrattuali
Sanzioni civili
Sanzioni penali
Resp.
contrattuali
Perdita parziale o completa di dati. Sanzioni civili
Sanzioni penali
Resp.
contrattuali
Violazione privacy.
Sanzioni civili
Sanzioni penali
Livello
L
M
(per il
cartaceo)
L
L
L
Analisi dei rischi sulle risorse software
Il verificarsi della violazione di uno degli elementi di rischio comporta, in qualsiasi
caso, l’insorgere di perdite economico-finanziarie e l’aumento dei costi di gestione.
Codice
Elemento di rischio
Rischio
S.1
Conseguenze
Violazione Accesso Manomissione,
alterazione
Effetti specifici
e/o Sanzioni civili
Livello
L
S.2
S.3
cancellazione delle basi dati
connesse
Manomissione configurazioni.
Errori software che Perdita parziale o completa di dati;
minacciano
Impossibilità di utilizzo dei dati.
l’integrità dei dati
Presenza di un
codice
non
conforme
alle
specifiche
di
programma
Sanzioni penali
Resp.
contrattuali
Sanzioni civili
Sanzioni penali
Resp.
contrattuali
Perdita parziale o completa di dati; Sanzioni civili
Impossibilità di utilizzo dei dati;
Sanzioni penali
Violazione della Privacy.
Resp.
contrattuali
L
M
Analisi dei rischi sulle risorse professionali
Il verificarsi della violazione di uno degli elementi di rischio comporta, in qualsiasi
caso, l’insorgere di perdite economico-finanziarie e l’aumento dei costi di gestione.
Codice
Elemento di rischio
Rischio
P.1
P.2
P.3
Conseguenze
Attacchi di social Violazione Privacy;
engineering
Perdita parziale o completa di dati;
Manomissione e alterazione dei
dati;
Perdita del controllo del sistema.
Minacce fisiche
Violazione Privacy;
Perdita parziale o completa di dati;
Manomissione e alterazione dei
dati;
Perdita del controllo del sistema.
Loro stessi per Violazione Privacy;
motivi di rivalsa
Perdita parziale o completa di dati;
Manomissione e alterazione dei
dati;
Perdita del controllo del sistema.
Effetti specifici
Sanzioni civili
Sanzioni penali
Resp.
contrattuali
Sanzioni civili
Sanzioni penali
Resp.
contrattuali
Sanzioni civili
Sanzioni penali
Resp.
contrattuali
4. Individuazione dell’insieme delle contromisure da realizzare e definizione
delle politiche di sicurezza
L’ Analisi dei Rischi si conclude tipicamente con l’individuazione di un insieme di
possibili contromisure, di natura fisica, logica ed organizzativa, che potrebbero essere
adottate al fine di abbattere l’entità del rischio precedentemente individuata.
 sicurezza fisica diretta a prevenire accessi fisici non autorizzati, danni o
interferenze con lo svolgimento dei servizi IT e a proteggere le apparecchiature
hardware da danni accidentali o intenzionali. Comprende, quindi, anche la
Livello
L
L
L
sicurezza degli impianti di alimentazione e di condizionamento, la
manutenzione dell’hardware e la protezione da manomissioni o furti;
 sicurezza logica diretta alla protezione dell’informazione e di conseguenza di
dati, applicazioni, sistemi e reti;
 sicurezza organizzativa diretta alla definizione di ruoli, compiti, responsabilità
e procedure per regolamentare gli aspetti organizzativi della Politica di
Sicurezza.
Dopo la definizione dei livelli di criticità è quindi possibile definire per ciascuna
componente del sistema informativo automatizzato e per ciascuna delle minacce a cui è
sottoposto il livello di rischio che si potrebbe ritenere accettabile.
Anche in questo caso una matrice delle contromisure da attuare dovrebbe contenere
almeno le seguenti categorie per singola minaccia:






vulnerabilità;
danno potenziale;
probabilità dell’evento;
costo di ripristino;
priorità nell’implementazione dei meccanismi di sicurezza;
contromisure urgenti, ordinarie, future.
Questo insieme di contromisure, in questa fase del progetto, ha una valenza
sostanzialmente indicativa, in quanto la scelta dello specifico mix di contromisure da
adottare e’ subordinata dalle successive fasi di progetto:
 individuazione degli obiettivi di Sicurezza (Politiche di Sicurezza);
 strategia di Gestione del Rischio, ovvero valutazione del rischio da abbattere e del
rischio residuo ritenuto accettabile.
Di seguito, viene inserita una tabella d’esempio per consentire una più agevole
individuazione dei rischi e l’indicazione delle relative contromisure adottate in azienda:
ANALISI DEI RISCHI
Supporto
Informatico
Elemento di rischio
Eventi fortuiti o calamitosi:
Soglia individuata
Eventuale motivazione
Cons
Alterazione o
Informatico
incendio
L
M
G
 GG A norma con la L.626/94
allagamento
L
M
G
 GG Area non soggetta
terremoto
L
M
G
 GG Area non soggetta
altro
L
M
G
 GG
deterioramento nel tempo
L
M
G
 GG
inaffidabilità del mezzo fisico
L
M
G
 GG
malfunzionamenti HW e/o SW
L
M
G
 GG

programmi o
Danneggiame
informatiche,
distruzione di
Informatico
intrusione fisica negli ambienti o
telematica
L
M
G
 GG Sistema di sorveglianza
Duplicazione
scopo di lucro
danneggiare
Informatico
virus
L
M
G
 GG Antivirus
Divulgazione
non autorizza
distruzione di
Informatico
errori umani per imperizia, negligenza o
L
imprudenza
M
G
 GG
Divulgazione
non autorizza
distruzione di
Eventi fortuiti o calamitosi:
Cartaceo
Cartaceo
incendio
L
M
G
 GG A norma con la L.626/94
allagamento
L
M
G
 GG Area non soggetta
terremoto
L
M
G
 GG Area non soggetta
altro
L
M
G
 GG
intrusione fisica negli ambienti
L
M
G
 GG
eventi dolosi
L
M
G
 GG
errori umani per imperizia, negligenza o  L
imprudenza
M
G
 GG

Cartaceo
* Inserire i riferimenti alle procedure adottate in azienda
Alterazione o
programmi o
Duplicazione
scopo di lucro
danneggiare
Divulgazione
non autorizza
distruzione di
II
DOCUMENTO PROGRAMMATICO PER LA SICUREZZA
(documento organizzativo facoltativo)
Linee guida per la compilazione del documento programmatico sulla sicurezza, qualora
venga predisposto volontariamente dall’azienda, non essendo più una misura di
sicurezza obbligatoria a pena di sanzioni.
(nel capitolo sulla modulistica è riportato un modello sintetico di linee guida per la
compilazione del documento programmatico sulla sicurezza)
Il documento programmatico sulla sicurezza definisce le politiche di sicurezza adottate
dal titolare in materia di trattamento dei dati personali. Nel documento programmatico
si esplicitano le misure di sicurezza adottate e quelle che si intende adottare per
garantire un adeguato livello di protezione per i dati personali al cui trattamento si
procede.
Il documento programmatico, pertanto, presenta in primo luogo un'analisi della
situazione aziendale attuale e dei trattamenti in corso presso il titolare. Punto di partenza
del documento programmatico è la descrizione del sistema informatico presente
nell'impresa, sia nelle sue componenti hardware che in quelle software, e la definizione
di un elenco dei trattamenti di dati personali riferibili al titolare.
La redazione del documento programmatico, inoltre, consiste in un processo dinamico:
oltre ad una descrizione delle misure in essere, infatti, il titolare esplicita le misure che
intende adottare nel quadro di un piano di riferimento per garantire la sicurezza dei dati.
Parte 1 - Analisi situazione aziendale
1) Descrizione del Sistema Informatico Aziendale
Il capitolo presenta gli elementi fondamentali del sistema informatico aziendale.
In particolare, deve essere descritta l’architettura del sistema, individuando tutte le sue
componenti, quali ad es. :
Hardware

Server e sistemi multiutenti presenti in azienda con i relativi sistemi operativi
utilizzati

Reti locali ed altri sistemi di collegamento di terminali

Elaboratori portatili

Unità di accesso per gli utenti (terminali, personal computer, workstation,
stampanti, telefax)

Dispositivi di connessione verso l’esterno, per singoli utenti o condivisi tra più
utenti

Collegamenti del sistema ad apparecchiature di produzione, rilevatori di
presenze, od altri dispositivi di acquisizione dati
Software

Applicazioni di tipo gestionale

Applicazioni di office automation

Applicazioni tecniche o grafiche (CAD/CAM, progettazione, ecc.)

Sistemi di posta elettronica e strumenti di navigazione in Internet

Siti Internet interni o in hosting o housing presso provider

Altri casi .............................................................................
2) Analisi dei trattamenti dei dati personali
Si devono considerare tutti i trattamenti di dati personali (sensibili e non) effettuati in
azienda. Si ricorda che la definizione di trattamento è ampia (cfr. art. 4 lett. a) del
Codice, secondo la quale è trattamento dei dato ogni operazione (…) concernente la
raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la
distruzione dei dati).
Si procederà dunque ad un censimento dei trattamenti individuando, per ogni categoria,
le modalità specifiche di trattamento e descrivendo le tipologie di dati considerati.
Il livello di cautele da adottare per predisporre misure di sicurezza idonee varia a
seconda della tipologia di dati che vengono trattati. Tali misure, pertanto, dovranno
assumere un carattere crescente a seconda che si tratti di dati personali comuni,
giudiziari, sensibili oppure sulla salute o sulla vita sessuale o riguardanti il menoma (i
dati appartenenti a queste ultime tre categorie ricevono una specifica disciplina nel
disciplinare tecnico). Nell’effettuare il censimento dei trattamenti interni alla struttura,
pertanto, sarà opportuno specificare la natura dei dati al cui trattamento si procede
Particolare attenzione va posta all’utilizzo dei prodotti di office automation, data la
libertà d’azione che tali prodotti concedono agli utenti con riferimento tanto al
contenuto dei documenti generati quanto alla loro gestione.
La presentazione dovrà essere il più possibile completa, illustrando anche eventuali
applicazioni che, pur non riguardando dati personali, sono gestite mediante il sistema
informatico aziendale.
Nella sezione dovranno essere individuate ed elencate le “banche dati” realizzate con le
specifiche applicazioni in uso ( ad es. clienti/fornitori; dipendenti; curricula...) nonché
le finalità di trattamento.
In modo analogo dovrà essere effettuata l’analisi degli archivi cartacei.
3) La distribuzione di compiti e responsabilità all'interno della struttura
Sarà necessario esplicitare gli elementi portanti della struttura organizzativa aziendale
in materia di privacy, menzionando i soggetti che hanno specifiche responsabilità nel
trattamento dei dati personali.
Si ricorda che il Codice contiene disposizioni specifiche in materia di organizzazione
interna e disciplina le figure del responsabile (art. 29) e dell'incaricato al trattamento dei
dati personali (art. 30).
La nomina di uno o più responsabili, in particolare, consente al titolare di razionalizzare
la struttura interna delegando parzialmente compiti e responsabilità.
In particolare, nella sezione vengono evidenziati:

Il “titolare del trattamento” dei dati

Il/i “responsabile/i del trattamento” dati, se esistenti (*)

Il “responsabile dei sistemi informativi” se esistente (*)

Gli “incaricati del trattamento” suddividendoli per classi omogenee a seconda
delle tipologie di trattamento dei dati a cui accedono e dei diversi profili di
autorizzazione.

Il “custode delle credenziali”,

Gli eventuali prestatori di servizi che trattano all’esterno dell’impresa dati per
conto della stessa impresa (consulenti elaborazione paghe, professionisti,
società di certificazione del bilancio, società di assistenza software, ...)
Il documento potrà contenere, in allegato, gli atti di nomina dei responsabili,
amministratori di sistema, le istruzioni scritte comunicate agli incaricati (nominative,
ripartite per funzione, area ...) ed al custode delle chiavi.
(*) per queste figure la nomina è facoltativa
4) L'analisi dei rischi che incombono sui dati (*)
Nel’eventuale documento programmatico vanno esplicitate le misure minime da
adottare a garanzia dell'integrità e della disponibilità dei dati. La fase di analisi dei rischi
svolge un ruolo centrale nella definizione del documento programmatico per predisporre
misure tali da garantire la sicurezza dei dati trattati.
I possibili rischi che gravano sui dati (direttamente o, indirettamente se riferiti alle
strutture mediante le quali si procede al trattamento) sono numerosi e difficilmente
catalogabili.
Essi possono essere ricondotti alle seguenti categorie:

danneggiamento e/o sottrazione delle strutture di hardware;

danneggiamento (doloso, colposo o accidentale) del server, del software e dei
dati contenuti al loro interno;

conseguenze negative di ogni tipo derivanti da accessi non autorizzati (di
soggetti con profilo diverso di autorizzazione o di altri soggetti esterni alla
struttura);

distruzione, alterazione, diffusione e/o comunicazione non autorizzata dei dati,
anche di quelli meramente personali.
* Per l’attività di analisi dei rischi, seguire gli adempimenti descritti nel capitolo
precedente
Parte II: Misure di sicurezza adottate o da adottare
5) Misure per garantire l’integrità e la disponibilità dei dati
Lo sviluppo di questa sezione rappresenta diretta conseguenza dell'attività di
individuazione dei rischi svolta nella parte precedente. Si dovranno individuare misure
tali da garantire l'integrità dei dati e la loro disponibilità, nonché la protezione delle
strutture in cui i dati vengono custoditi e mediante le quali si accede agli stessi (punto
19.4 del disciplinare tecnico).
Dopo aver definito le misure necessarie, pertanto, si espliciteranno le modalità in cui le
misure minime di sicurezza vengono realizzate nella realtà organizzativa dell'impresa.
In particolare, per quanto riguarda le misure minime per il trattamento effettuato con
strumenti informatici, le disposizioni del Codice impongono di individuare:

le credenziali di autenticazione (scegliendo tra le seguenti tipologie previste nel
disciplinare tecnico) e le modalità di gestione delle stesse;

un sistema di autorizzazione, definendo i profili per classi e mantenendoli
aggiornati;

criteri di utilizzo e di aggiornamento dei programmi antivirus;

le regole relative all'impiego dei programmi di antintrusione

le modalità di esecuzione degli aggiornamenti/upgrade dei programmi.
6) Criteri per la protezione delle aree e dei locali
Quanto ai criteri per la protezione delle aree e dei locali (rif. punto 19.4 del disciplinare
tecnico) essi sono assai vari ed andranno individuati a seconda della strumentazione
posseduta e delle circostanze presenti nel caso concreto.
Potranno essere evidenziate una o più delle seguenti misure per la protezione fisica dei
server e dei singoli elaboratori situati nei locali dell'azienda:

Localizzazione e limitazioni all’accesso del server

Sistemi di registrazione degli accessi e delle uscite dei dipendenti e del
personale esterno

Sistemi di chiusura dei locali, sia in generale, sia nello specifico dei locali
ove sono custoditi i sistemi

Presenza di un custode

Esistenza di un servizio di vigilanza esterna

Dispositivi antincendio (estintori, manichette, impianti di rilevazione e/o
spegnimento automatico)

Dispositivi antintrusione (specifici o generali per tutto
l’edificio/stabilimento)

Custodia in armadi o classificatori non accessibili

Modalità di custodia delle chiavi

Rilevazione trattamenti biometrici

Alimentazione: presenza di gruppi di continuità, sistemi collegati e tempi di
funzionamento garantiti

Climatizzazione dei locali

..........................................................
Si ricorda, inoltre, che le misure di sicurezza vanno adottate non solo in riferimento
agli elaboratori presenti nell'azienda ma anche in riferimento ad altri strumenti
elettronici (computer palmari, notebook etc.) detenuti a vario titolo da responsabili e/o
incaricati sui quali transitano dati personali.
Potranno essere evidenziate una o più delle seguenti misure per la protezione delle
infrastrutture di rete:

Sistemi di Firewall software o hardware

Limitazioni di routing

Disposizioni organizzative di limitazione dell’utilizzo di Internet
(prescrizioni sull’utilizzo della rete Internet e della posta elettronica da
inserire nelle istruzioni scritte agli incaricati)

Controlli sui software di comunicazione sui computer degli utenti (ad es.
accesso remoto)
7) Criteri e modalità per assicurare l’integrità dei dati e la disponibilità in caso
di distruzione o danneggiamento.
In questa sezione vanno definiti i criteri e le procedure per assicurare l’integrità e la
disponibilità dei dati in caso di loro distruzione e/o danneggiamento. Il disciplinare
tecnico, infatti, dispone l'adozione di procedure in grado di garantire il ripristino dei dati
nel caso di danni a questi ultimi o alle strutture mediante le quali si procede al
trattamento.
Andranno pertanto descritte:
1. le modalità di backup dei dati e la sua conservazione:

Procedure per l’esecuzione dei backup

Procedure per l’archiviazione dei backup

Tipi e numero di copie dei backup eseguiti

Utilizzo di casseforti od armadi ignifughi per l’archiviazione dei backup

Criteri di rotazione dei dispositivi e di eliminazione dei dispositivi obsoleti

Procedure per la verifica della registrazione dei backup

Presenza di un responsabile per l’esecuzione e la verifica dei backup

Procedure di riutilizzo controllato dei supporti di memorizzazione
2. le procedure per il ripristino dei dati:


Piano di disaster recovery e/o business continuity
Ulteriori accorgimenti tecnici per il salvataggio dei dati (sistemi dotati di
mirroring, in RAID, di tipo hot-swap, dotati di alimentazione ridondante,
sistemi in cluster)
8) La previsione di interventi formativi per gli incaricati del trattamento
Gli adempimenti in termini di formazione (non più obbligatori a seguito
dell’abrogazione del punto 19 del disciplinare tecnico allegato al codice) nei confronti
degli incaricati sono comunque opportuni e devono essere definiti in maniera specifica.
Nella sezione dell’eventuale documento programmatico, pertanto, si dovrà definire il
numero, le tipologie ed i contenuti degli incontri formativi a cui si intende procedere.
Si tratta, in generale, di avviare un processo di introduzione e diffusione della cultura
della sicurezza informatica, ovvero, in senso stretto, di formazione finalizzata alla
diffusione e conoscenza delle misure di sicurezza adottate in Azienda.
●
Tipologia e contenuto della formazione
●
Destinatari
●
Conservazione della documentazione consegnata
●
Pianificazione “indicativa” degli incontri previsti
Sarà opportuno conservare tutta la documentazione di cui ci si è avvalsi nell'attività di
formazione e prevedere sistemi per registrare la partecipazione, così da poter provare
l'avvenuta formazione degli incaricati.
9) Criteri per garantire l'adozione delle misure minime nel caso di trattamenti
affidati all’esterno della struttura
E’ opportuno descrivere i criteri da adottare per garantire il rispetto delle misure minime
nel caso in cui alcuni trattamenti (o parti di esso) siano effettuati all'esterno della
struttura.
Una modalità per garantire l’adozione di misure minime da parte dei soggetti esterni è
di predisporre apposite clausole contrattuali mediante le quali concordare determinati
comportamenti in materia di sicurezza nel trattamento dei dati.