Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Data mining

Basi giuridiche, protezione dei dati e sicurezza delle informazioni

Dipartimento
Ufficio
Dopo compilazione: AD USO INTERNO
Piano per la sicurezza dell’informazione e la
protezione dei dati (piano SIPD)
Template del 19.12.2013 (stato 01.03.2015)
Classificazione *
AD USO INTERNO
Stato **
Nome del progetto /
Oggetto da
proteggere
Numero del progetto
Template
Committente
Responsabile dei
processi operativi
Capoprogetto
RSIPD
Elaborato da
Verificato da
Approvazione del
committente del
progetto e / o del
responsabile dei
processi operativi
Versione
0.1
* AD USO INTERNO, CONFIDENZIALE, SEGRETO
** In corso di elaborazione, in corso di verifica, concluso/approvato
Data di stampa: 04.06.2017
Projektname:
Template
AD USO INTERNO
Controllo delle modifiche, verifica, approvazione
Versione
Data
Descrizione / Osservazioni
Nome
Distribuzione
Funzione
Nome
Dipartimento / Ufficio
ISIU
Template Versione 2.0 / Documento - Versione 0.1
Data di stampa 04.06.2017
2/15
Projektname:
Template
AD USO INTERNO
Fasi del progetto visionate
Inizializzazione
Funzione
Nome
Data
Nome
Data
Nome
Data
Nome
Data
CP / RSIPD
Pianificazione
Funzione
CP / RSIPD
Realizzazione
Funzione
CP / RSIPD
Introduzione
Funzione
CP / RSIPD
Conclusione / Consegna per la messa in esercizio
Funzione
Nome
Data
CP / RSIPD
RA
RS
Template Versione 2.0 / Documento - Versione 0.1
Data di stampa 04.06.2017
3/15
Projektname:
Template
AD USO INTERNO
Indice
1
In generale
5
1.1
1.2
1.3
Descrizione ............................................................................................................. 5
Tailoring .................................................................................................................. 5
Scopo del documento ............................................................................................ 5
2
Compendio
2.1
2.2
2.3
2.4
In generale .............................................................................................................. 6
Sintesi dei rischi residui ........................................................................................ 6
Osservazioni finali ................................................................................................. 6
Dichiarazione .......................................................................................................... 6
3
Basi giuridiche, protezione dei dati e sicurezza delle informazioni
conformemente all’OIAF, articoli 6 - 8
6
7
3.1
3.2
3.3
3.4
3.5
Basi giuridiche ....................................................................................................... 7
Protezione dei dati ................................................................................................. 7
Sicurezza delle informazioni ................................................................................. 8
Articolo 7 OIAF ....................................................................................................... 8
Articolo 8 capoverso 2 OIAF ................................................................................. 8
4
Elenco dei documenti rilevanti per la sicurezza
9
5
Classificazione secondo le Istruzioni CF
9
6
Descrizione del sistema rilevante per la sicurezza
6.1
6.2
6.3
6.4
6.5
Interlocutore / Responsabilità ............................................................................. 10
Descrizione del sistema globale ......................................................................... 10
Descrizione dei dati da elaborare........................................................................ 10
Diagramma dell’architettura / Matrice della comunicazione ............................. 11
Descrizione della tecnologia di base .................................................................. 11
7
Analisi dei rischi e misure di protezione
7.1
7.2
Copertura dei rischi mediante piani di sicurezza sovraordinati ....................... 12
Rischi residui ....................................................................................................... 13
8
Piano d’emergenza
13
9
Osservanza / Verifica / Collaudo delle misure di protezione
13
9.1
Collaudo del sistema ........................................................................................... 13
10
Liquidazione
13
11
Dichiarazioni
14
12
Abbreviazioni
15
13
Allegato
15
Template Versione 2.0 / Documento – Versione 0.1
Data di stampa 04.06.2017
10
12
4/15
Projektname:
Template
AD USO INTERNO
1 In generale
 Il testo in blu rappresenta un ausilio per la compilazione del documento.
 Gli elementi di testo in rosso costituiscono importanti indicazioni o questioni che
necessitano di un particolare chiarimento oppure che devono essere descritte
concretamente.
1.1
Descrizione
Il piano SIPD vale come documento principale per la sicurezza dell’informazione e la
protezione dei dati del progetto e durante l’esercizio. La classificazione viene eseguita in
funzione dell’analisi del bisogno di protezione secondo le Istruzioni del Consiglio federale
sulla sicurezza TIC nell’Amministrazione federale (di seguito: Istruzioni CF).
1.2
Tailoring
Nel caso di sistemi rilevanti per la sicurezza non è possibile rinunciare al piano SIPD.
Tuttavia, se non sono rilevanti, alcuni sottocapitoli possono essere tralasciati.
Se dalla classificazione eseguita conformemene al capitolo 5 (classificazione secondo le
Istruzioni CF) non risulta un elevato bisogno di protezione, l’analisi dei rischi (capitolo 7) può
essere tralasciata.
1.3
Scopo del documento
Il piano SIPD contiene i dati necessari per mantenere e migliorare la sicurezza delle
informazioni e la protezione dei dati.
Il presente documento riassume gli aspetti della sicurezza delle informazioni e della
protezione dei dati nel progetto.
Template Versione 2.0 / Documento – Versione 0.1
Druckdatum 04.06.2017
5/15
Projektname:
Template
AD USO INTERNO
2 Compendio
2.1
In generale
 Sintesi dei dati contenuti nel documento sull’analisi dei rischi effettuata, sulla sicurezza
dell’informazione e sulla protezione dei dati. Fornisce una panoramica sul potenziale di
rischio presente nel sistema esaminato.
2.2
Sintesi dei rischi residui
 Sintesi e valutazione dei rischi residui che devono essere assunti dai servizi responsabili.
2.3
Osservazioni finali
 Importanti osservazioni finali e conclusione sul presente oggetto da proteggere.
2.4
Dichiarazione
Apponendo la propria firma il/i responsabile/i dei processi operativi / il/i committente/i
conferma/no di aver preso atto dei rischi rimanenti (rischi residui) e di aver fatto tutto il
possibile nel limite delle proprie responsabilità al fine di ridurre o eliminare tali rischi. Il
responsabile dell’unità amministrativa si assume la responsabilità per eventuali rischi residui1
ancora presenti. A seconda della regolamentazione interna all’Ufficio, il documento può
essere firmato anche da un altro responsabile membro della direzione.
Responsabile dei processi operativi e committente / ISIU / Responsabile dell’unità
amministrativa o un altro responsabile membro della direzione
.................................
Data
.....................................
(Firma)
.................................
Data
.....................................
(Firma)
.................................
Data
.....................................
(Firma)
1
N. 3.4 Rischi residui Istruzioni CF
Template Versione 2.0 / Documento – Versione 0.1
Druckdatum 04.06.2017
6/15
Projektname:
Template
AD USO INTERNO
3 Basi giuridiche, protezione dei dati e sicurezza delle
informazioni conformemente all’OIAF, articoli 6 - 8
Per una base corretta di un progetto TIC costituiscono parte integrante gli articoli 6 - 8
dell’ordinanza sull’informatica nell’Amministrazione federale (OIAF) che recitano:
Articolo 6 Basi giuridiche, protezione dei dati e sicurezza delle informazioni
L’impiego delle TIC presuppone:
a. l’esistenza o la creazione di basi giuridiche sufficienti;
b. la garanzia della protezione dei dati delle persone interessate;
c. la garanzia di una sicurezza integrale delle informazioni.
Articolo 7 Strategie per la società dell’informazione
I progetti e le applicazioni TIC devono essere conformi agli obiettivi e alle direttive delle strategie del
Consiglio federale per una società dell’informazione.
Articolo 8 Coordinamento e documentazione
1 I responsabili dei progetti e delle applicazioni coordinano l’attuazione delle strategie e delle direttive TIC da
un punto di vista organizzativo e metodologico.
2 Essi provvedono segnatamente affinché, per ogni progetto e applicazione, le modalità di adempimento
delle condizioni di cui all’articolo 6 come pure degli obiettivi e delle direttive di cui all’articolo 7 siano
documentate in modo corrispondente al loro stato attuale.
Di seguito sono indicati in forma sintetica gli aspetti più importanti da considerare nel quadro
dell’attuazione della protezione di base TIC così come nell’allestimento del piano SIPD.
3.1
Basi giuridiche
Articolo 6 lettera a) OIAF l’esistenza o la creazione di basi giuridiche sufficienti.
Qui vengono indicate le basi giuridiche sulle quali si fonda il progetto TIC (da realizzare). Il
rilevamento di queste basi è conveniente se effettuato in collaborazione con il Servizio giuridico
dell’UA o dei dipatimenti.
3.2
Protezione dei dati
Articolo 6 lettera b) OIAF la garanzia della protezione dei dati delle persone interessate.
Ai sensi dell’articolo 13 della Costituzione federale svizzera e delle disposizioni legali della
Confederazione sulla protezione dei dati, ognuno ha diritto al rispetto della sua vita privata
nonché d’essere protetto da un impiego abusivo dei suoi dati personali. Le autorità federali si
attengono a queste disposizioni.
In questo punto viene stabilito se il trattamento dei dati è conforme alle prescrizioni della legge
sulla protezione dei dati. In particolare occorre verificare se la collezione di dati deve essere
notificata o meno all’incaricato federale della protezione dei dati e della trasparenza (IFPDT).
Valutazione d’impatto sulla protezione dei dati dell’IFPDT
L’IFPDT propone di sottoporre il progetto a una valutazione d’impatto sulla protezione dei dati
già durante la sua fase iniziale. A tal fine mette a disposizione uno strumento che permette di
porsi il prima possibile le domande corrette riguardanti il progetto.
Template Versione 2.0 / Documento – Versione 0.1
Druckdatum 04.06.2017
7/15
Projektname:
Template
AD USO INTERNO
L’ODIC SEC raccomanda di eseguire questa valutazione d’impatto sulla protezione dei dati e di
proncunciarsi in modo trasparente laddove venga indicata una necessità di intervento. Il
questionario è disponibile all’indirizzo seguente:
https://www.apps.edoeb.admin.ch/dsfa/it/index.html
3.3
Sicurezza delle informazioni
Articolo 6 lettera c) OIAF la garanzia di una sicurezza integrale delle informazioni.
Questo aspetto è affrontato con il presente piano SIPD.
3.4
Articolo 7 OIAF
Questo aspetto deve essere valutato a seconda della situazione nei relativi progetti. È
possibile che il progetto TIC non abbia alcuna relazione diretta con le strategie della società
dell’informazione.
3.5
Articolo 8 capoverso 2 OIAF
Tutti i progetti TIC devono essere documentati in modo corrispondente al loro stato attuale. Il
presente piano SIPD serve alla realizzazione di tale obiettivo.
Template Versione 2.0 / Documento – Versione 0.1
Druckdatum 04.06.2017
8/15
Projektname:
Template
AD USO INTERNO
4 Elenco dei documenti rilevanti per la sicurezza
Elenco di tutte le leggi, ordinanze, istruzioni, regolamentazioni, specificazioni tecniche ecc.
rilevanti ai fini della sicurezza delle informazioni.
Il presente elenco deve essere completato con i documenti interni dei dipartimenti e/o degli
Uffici.
Tipologia di
documento
Legge
Titolo
Legge federale del 19 giugno 1992 sulla protezione dei dati (LPD;
RS 235.1)
Legge federale del 26 giugno 1998 sull'archiviazione (LAr; RS 152.1)
Ordinanza
Ordinanza del 9 dicembre 2011 concernente l'informatica e la
telecomunicazione nell'Amministrazione federale (OIAF; RS 172.010.58)
Ordinanza del 4 luglio 2007 sulla protezione delle informazioni della
Confederazione (OPrl; RS 510.411), Intranet
Ordinanza del 14 giugno 1993 relativa alla legge federale sulla protezione
dei dati (OLPD; RS 235.11)
Ordinanza del 22 febbraio 2012 sul trattamento di dati personali derivanti
dall'utilizzazione dell'infrastruttura elettronica della Confederazione
(RS 172.010.442)
Istruzione
ODIC - Istruzioni del Consiglio federale sulla sicurezza TIC
nell'Amministrazione federale
Strategia
ODIC - Strategia TIC 2012–2015 della Confederazione
Linea direttrice
ODIC - Linee direttrici sulla sicurezza TIC nell'Amministrazione federale
Metodo
HERMES - Il metodo svizzero per la gestione di progetti
Altro
 L’autore può completare l’elenco.
5 Classificazione secondo le Istruzioni CF
 La classificazione dell’oggetto da proteggere deve essere eseguita secondo l’analisi del
bisogno di protezione, ODIC - Analisi del bisogno di protezione.
 Con le valutazioni dell’analisi del bisogno di protezione devono essere stimate e descritte
nel documento anche le eventuali ripercussioni finanziarie dei requisiti di sicurezza.
Per l’analisi del bisogno di protezione approvata si veda l’allegato.
Template Versione 2.0 / Documento – Versione 0.1
Druckdatum 04.06.2017
9/15
Projektname:
Template
AD USO INTERNO
6 Descrizione del sistema rilevante per la sicurezza
 Descrizione dettagliata degli elementi del sistema, delle applicazioni, delle collezioni di
dati esistenti ed elaborate e dei loro processi rilevanti per la sicurezza.
6.1
Interlocutore / Responsabilità
Chi
Nome
Account manager
Gestore del sistema
Capoprogetto / Interlocutore
presso il FP
ISID
ISIU
CPU
Detentore dei dati
Responsabile delle
applicazioni
Cerchia di utenti
Altri servizi
6.2
Descrizione del sistema globale
 Descrizione delle funzionalità rilevanti per la sicurezza come i ruoli, il metodo di
autenticazione, il backup, i processi di supporto e manutenzione (eventualmente
manutenzione a distanza), SLA ecc. È possibile fare riferimento anche a documenti
corrispondenti (nome, data di allestimento, unità di salvataggio ecc.). La descrizione deve
essere formulata in modo completo, comprensibile e chiaro anche per persone non
coinvolte.
6.3
Descrizione dei dati da elaborare
 Descrizione dei dati e delle strutture (ad es. banca dati utilizzata).
 Le seguenti questioni devono essere chiarite e/o descritte:
-  La collezione di dati è stata notificata all’IFPDT?
-  Occorre allestire un regolamento per il trattamento dei dati?
Quali strumenti ausiliari sono disponibili il template Regolamento per il trattamento
dei dati, l’ordinanza relativa alla LPD e la Guida ai provvedimenti tecnici e
organizzativi concernenti la protezione dei dati.
-  Esiste una base legale sul trattamento elettronico dei dati?
-  I dati devono essere messi a disposizione dell’Archivio federale sotto forma
elettronica?
-  Nel caso di informazioni classificate devono essere osservate l’ordinanza sulla
protezione delle informazioni e le prescrizioni in materia di trattamento (cfr. OPrl; RS
510.411, Intranet).
Template Versione 2.0 / Documento – Versione 0.1
Druckdatum 04.06.2017
10/15
Projektname:
6.4
Template
AD USO INTERNO
Diagramma dell’architettura / Matrice della comunicazione
 Inserire un diagramma dell’architettura e una matrice della comunicazione.
6.5
Descrizione della tecnologia di base
 Descrizione delle tecnologie adoperate come ad esempio piattaforme di server, sistemi
operativi, ambienti di sistema, reti, funzioni crittografiche ecc. Queste tecnologie devono
essere descritte in modo completo, comprensibile e chiaro anche per persone non coinvolte.
Template Versione 2.0 / Documento – Versione 0.1
Druckdatum 04.06.2017
11/15
Projektname:
Template
AD USO INTERNO
7 Analisi dei rischi e misure di protezione
 Descrizione dei fattori di rischio rilevanti (disponibilità, confidenzialità, integrità,
tracciabilità), elenco e valutazione dei rischi.
L’analisi dei rischi dettagliata deve essere effettuata in base al documento Excel allegato al
presente piano.
 I seguenti fogli di calcolo devono essere compilati:
- foglio di calcolo «Griglia SIPD»: copertina, riprendere le informazioni del documento
Word;
- foglio di calcolo «Rischio»: valutare i pericoli/le minacce in funzione dei quattro
aspetti confidenzialità, disponibilità, integrità e tracciabilità;
- foglio di calcolo «Bisogni e misure».
 Risultati:
- dai grafici contenuti nei fogli di calcolo «Confidenzialità», «Disponibilità», «Integrità»,
«Tracciabilità», «Sintesi» e «Sintesi grafici radar» è possibile definire la categoria in
cui rientra il rischio valutato:
o verde: rischi inerenti all’oggetto da proteggere in quanto tale oppure che
possono essere tralasciati. Tali rischi devono poter essere ridotti al minimo
con semplici misure;
o giallo: rischi con ripercussioni considerevoli che devono pertanto essere
ridotti;
o rosso: grandi rischi con ripercussioni critiche o catastrofiche che devono
assolutamente essere ridotti.
 È possibile consultare requisiti di sicurezza che vanno oltre la protezione TIC di base in
particolare negli standard ISO 27001/27002 all’indirizzo ODIC - Uso degli standard ISO e nei
manuali per la protezione di base dell’Ufficio federale tedesco per la sicurezza informatica
(BSI).
 I rischi che non possono essere trattati (ridotti) o che possono esserlo solo in misura
insufficiente devono figurare come rischi residui nel piano SIPD (capitolo 7) ed essere
riassunti brevemente nel compendio (capitolo 2.2). I responabili devono essere informati di
tali rischi e assumersene la responsabilità.
7.1
Copertura dei rischi mediante piani di sicurezza sovraordinati
Rischi e pericoli vengono coperti in parte attraverso piani di sicurezza sovraordinati o SLA.
Le analisi dei rischi sono già state effettuate a un livello superiore. Nell’elenco seguente
devono essere riportati i piani di sicurezza sovraordinati che influiscono sul progetto.
Piano / SLA / Documentazione
Versione
Requisiti minimi di sicurezza
secondo le Istruzioni CF
Template Versione 2.0 / Documento – Versione 0.1
Data di
convalida
Descrizione della protezione
1.1.14
Protezione di base generale
Druckdatum 04.06.2017
12/15
Projektname:
7.2
Template
AD USO INTERNO
Rischi residui
Nella seguente tabella devono essere elencati esplicitamente tutti i rischi risultanti dal file
Excel che non è possibile coprire (ridurre) nonostante tutte le misure di sicurezza.
N.
Valore
Ulteriori misure /
Osservazioni
Rischio residuo
8 Piano d’emergenza
 Descrizione della pianificazione d’emergenza e di prevenzione delle catastrofi volte a
garantire il mantenimento e il ripristino della capacità operativa in situazioni straordinarie. A
tal proposito possono essere utili ad esempio:
- il template Piano d'emergenza;
- lo standard 100-4 Gestione delle emergenze (www.bsi.bund.de, standard per la
protezione di base TI);
- gli standard ISO/IEC 27001 e 27002 (capitolo 17: Garanzia della capacità operativa).
9 Osservanza / Verifica / Collaudo delle misure di protezione
 Descrizione della regolamentazione per l’esecuzione nel quadro del progetto o
successivamente in fase di esercizio, di revisioni e verifiche delle attività di sicurezza delle
informazioni (annunciate o meno).
9.1
Collaudo del sistema
 Durante i processi di sviluppo occorre sottoporre i sistemi nuovi e aggiornati a verifica ed
esame approfonditi. I sistemi devono inoltre essere oggetto di una pianificazione dettagliata
delle attività, dell’esecuzione di test e dei risultati attesi in condizioni diverse. Come per i
progetti di sviluppo interni, simili verifiche devono essere eseguite dapprima dal team di
sviluppo. In seguito dovrebbero essere effettuati collaudi indipendenti (sia nel caso di progetti
di sviluppo interni sia per quelli esterni). L’obiettivo è assicurare che il sistema funzioni solo e
soltanto come previsto (cfr. ISO27002:2013 capitoli 14.1 e 14.1.2). L’entità delle verifiche
dovrebbe essere commisurata all’importanza e alle caratteristiche del sistema.
 Riassunto della verifica effettuata (chi, quando, cosa e risultato)
10 Liquidazione
 Descrizione dei punti da osservare per la messa fuori esercizio di un sistema, di
un’applicazione e/o di una collezione di dati.
Template Versione 2.0 / Documento – Versione 0.1
Druckdatum 04.06.2017
13/15
Projektname:
Template
AD USO INTERNO
11 Dichiarazioni
Apponendo la propria firma il/i responsabile/i dei processi operativi / il/i committente/i,
l’ISIU/ISID e il fornitore di prestazioni conferma/no di avere verificato le misure di sicurezza
esposte secondo le prescrizioni vigenti (in funzione dell’adeguatezza, dell’attuabilità e della
completezza) e che tutti i requisiti di sicurezza noti sono soddisfatti.
 È possibile aggiungere altre persone.
-------------------------Responsabile dei processi operativi / Committente
.................................
Data
.....................................
(Firma)
-------------------------ISIU/ISID
.................................
Data
.....................................
(Firma)
-------------------------Fornitore di prestazioni
.................................
Data
.....................................
(Firma)
Template Versione 2.0 / Documento – Versione 0.1
Druckdatum 04.06.2017
14/15
Projektname:
Template
AD USO INTERNO
12 Abbreviazioni
Definizioni, acronimi e abbreviazioni
Termine /
Abbreviazione
RA
Significato
Responsabile delle applicazioni
LPD
Legge federale sulla protezione dei dati
OLPD
Ordinanza relativa alla legge federale sulla protezione dei dati
IFPDT
Incaricato federale della protezione dei dati e della trasparenza
ISIU
Incaricato della sicurezza informatica di un’unità organizzativa
ISID
Incaricato della sicurezza informatica del Dipartimento
Piano SIPD
Piano per la sicurezza dell’informazione e la protezione dei dati
Responsabile della sicurezza informatica e della protezione dei dati
nel quadro del progetto, secondo HERMES
Consulente per la protezione dei dati
RSIPD
CPU
CP
Schuban
Capoprogetto
Protect Analyzer, strumento per la definizione dettagliata / ulteriore
del bisogno di protezione
Analisi del bisogno di protezione
SLA
Service Level Agreement
RS
Responsabile dei sistemi
Istruzioni del Consiglio federale sulla sicurezza TIC
nell’Amministrazione federale del 14.8.2013
ProtAn
Istruzioni CF
13 Allegato
 Qui vengono allegati altri documenti pertinenti, tra cui:
 analisi del bisogno di protezione;
 ProtAn (se disponibile);
 regolamento per il trattamento dei dati secondo la LPD (se richiesto);
 altra documentazione.
Template Versione 2.0 / Documento – Versione 0.1
Druckdatum 04.06.2017
15/15
Documenti correlati
Documento Template
Documento Template
Economia Politica Istituzioni di Economia Politica
Economia Politica Istituzioni di Economia Politica
Registro federale degli edifici e delle abitazioni: Modulo d`iscrizione
Registro federale degli edifici e delle abitazioni: Modulo d`iscrizione
Piano per la sicurezza delle informazioni e la protezione dei dati
Piano per la sicurezza delle informazioni e la protezione dei dati
la vittoria della rivoluzione americana segnò la nascita degli stati
la vittoria della rivoluzione americana segnò la nascita degli stati
4G V-Flex
4G V-Flex
Risultati 12/4 - Dipartimento di Economia e Impresa
Risultati 12/4 - Dipartimento di Economia e Impresa
Fisica moderna
Fisica moderna
ISTITUTO MAGISTRALE STATALE “REGINA MARGHERITA” Licei
ISTITUTO MAGISTRALE STATALE “REGINA MARGHERITA” Licei
prove-invalsi-2017 - Istituto Comprensivo "Benedetto Croce" Lauro
prove-invalsi-2017 - Istituto Comprensivo "Benedetto Croce" Lauro
Elenco convenzioni marzo 2017 - Torino
Elenco convenzioni marzo 2017 - Torino
convocazione Collegio Docenti del 17-05-2017
convocazione Collegio Docenti del 17-05-2017
Scarica