Dps & c.

Un Ex Utente

Dps & c.

Scrivo questo intervento per cercare di aiutare tutti coloro che incocciano con le problematiche inerenti la gestione del proprio sistema informatico e relativa documentazione afferente le problematiche della privacy e del tanto vituperato DPS.

Il documento in questione sia o non sia obbligatorio non è altro che la fotografia della propria struttura informativa (notare il termine "informativa" e non informatica dato che copre per estensione qulsias circolazione di informazioni anche cartacee o telefoniche all'interno e all'esterno dell'azienda).

Quindi al di la dell'obbligo è bene (io direi necessario) provvedere ad una documentazione in merito, tale documentazione ha il compito di far prendere coscienza ai responsabili aziendali di che cosa , con che cosa e come le informazioni circolano nella loro realtà aziendale e quali rischi esse corrono, sia come deterioramento che come sottrazione delle stesse.

Il legislatore non ha fatto altro che recepire tale necessità, ovviamente snaturando il tutto ed incasinando le cose oltremodo sia pure con le più lodevoli intenzioni ma la cosa è assolutamente normale e prevedibile quando chi non conosce la materia legifera in merito senza affidarsi ad esperti del settore.

Veniamo quindi al nocciolo della questione, nelle realtà aziendali sarà quindi opportuno predisporre alcuni documenti che dovranno facilitare il lavoro e la manutenzione del sistema informativo e solo in seconda battuta soddisfare la legge in questione mediante eventuali integrazioni.

Dalla mia esperienza maturate in varie piccole realtà sono emersi alcuni problemi tipici e ricorrenti.

1. I responsabili aziendali non hanno di solito la benché minima idea della consistenza EFFETTIVA del loro parco informatico.

2. Non sanno in effetti chi si occupa di che cosa dal punto di vista dell'informazione se non in modo molto generico.

3. Non hanno alcun coordinamento dal punto di vista dell'assistenza e delle interazioni dei vari sistemi a loro disposizione.

Questo genera dispersione di risorse, rallentamento nel ripristino delle funzionalità in caso di guasti o malfunzionamenti e gravi rischi per l'integrità e la sicurezza dei dati.

La risposta ovvia parrebbe quella di nominare un EFFETTIVO coordinatore/responsabile per quanto sopra, purtroppo tale via non è praticabile per motivi economici, inoltre quando tutto funziona come previsto tale figura sarebbe disoccupata ed inevitabilmente fagocitata verso altri incarichi e non disponibile in caso di necessità.
Potrebbe anche venir sostituita per i più svariati motivi e quando il suo operato fosse necessario si troverebbe a non aver nulla in mano lasciato dal suo predecessore o almeno a doversi dannare per capirci qualche cosa. Senza dimenticare che quasi ovunque tale figura è avocata "ad interim" dal gran capo che per definizione conosce relativamente poco i problemi relativi e non fa altro in caso di bisogno che arpionare il primo che gli capita e sbolognare il problema contingente.

Detto questo e tenendo ben presente che il tutto si riferisce a piccole unità (diciamo fino a dieci addetti) l'obbiettivo da raggiungere è quello di predisporre documentazione tale da permettere ai manutentori e ai responsabili una buona conoscenza del sistema in generale e in dettaglio anche se dovessero vederlo per la prima volta.
A questo scopo noi predisponiamo presso il cliente una "nota tecnica" contenente informazioni sul sistema con una struttura standardizzata, non è niente di estemporaneo ma alla prova dei fatti ha facilitato in più occasioni gli interventi di ripristino e la stesura delle scartoffie di legge (Vedi appunto il DPS).

Un Ex Utente

(copertina)
[CENTER][CENTER] [/CENTER]
[CENTER](nota tecnica)[/CENTER]
[CENTER] [/CENTER]
[CENTER]Infrastruttura informatica[/CENTER]
[CENTER] [/CENTER][/CENTER]

[CENTER][CENTER]Nome azienda[/CENTER][/CENTER]

Un Ex Utente

0_0_01 Indice

---

0. Generale
** 0.1 Indice**
** 0.2 Revisioni**
** 0.3 Distribuzione**

---

1. Elementi della rete
** **1.0 Generale
** **1.0.99 Contatti

---

** 1.1 Router**
1.1.01- RT01-
** **1.2 Firewall
1.2.01- FW01-
** 1.**3 HUB
1.3.01- HU01- ** **
** **1.4 Access point
1.4.01- AP01-
** **1.5 Stampanti
1.5.01- PR01-
** **1.6 Server
1.6.01- SR01-
1.7 NAS
** 1.7.01- NS01-
** 1.8 Storage
** 1.8.01- ST01-
** 1.9 Personal Computer
1.9.01-PC01-
2. Parametri Internet
2.1 Connettività
** **2.1.01-
** 2.2 Messaggistica **
** **2.2.1- Mail

3. Mappa della rete
3.1 Piantine con punti di rete
3.1.1- Sede
3.2- Organizzazione RACK
3.2.1- Sede
4. Software
4.1 Sistemi operativi
** **4.1.5-
4.2- Protezioni software
** **4.2.1-
4.3- Software
** **4.3.1-
5. Impegno indirizzi di rete

---

6.

---

7.

---

8. Telefonia

---

8.0 Linee telefoniche
** 8.0.1-
** 8.1 Centralino Oulx
** 8.1.1- Centralino
8.1.2- Configurazione
8.1.3- Utenze
** 8.8 FAX to mail
** **8.8.1- Utenze

8.9 SKYPE
** **8.9.1- Utenze SKYPE

---

9. Allegati

Un Ex Utente

[CENTER][CENTER] [/CENTER][/CENTER]
0_0_02 AGGIORNAMENTI
[CENTER][CENTER] [/CENTER]
[CENTER] [/CENTER]
[CENTER] [/CENTER][/CENTER]

---

---

---

---

---

---

---

---

---

---

0_0_03 LISTA DI DISTRIBUZIONE
[CENTER][CENTER] [/CENTER]
[CENTER] [/CENTER]
[CENTER] [/CENTER][/CENTER]

1 - Titolare del trattamento dei dati

2 - Responsabili del trattamento dei dati

3 - System administrator

4 -

5 -

Un Ex Utente

1_0_99 Contatti

---

---

---

XXXXX
** Ufficio 011-0000000**
** FAX 011-0000000**
** Pinco Pallo 347-0000000**

---

YYYYY
** Codice cliente: VIA-00000**
** Mail [email protected]**
** Sig. Caio Sempronio 800-00000000**
** Fax 800-00000000**

---

Un Ex Utente

1_1_01 RT01-(nome assegnato)

---

Descrizione: Router Internet
Marca: .
Modello: .
Localizzazione: (luogo dove è ubicato)

Tipo connessione: PPPOATM
Login: aliceadsl
Pw: aliceadsl

Indirizzo Pubblico: .
Subnet Pubblica: .

Indirizzo IP Lan : .
Subnet Mask Lan: .

Indirizzamento porte: .

---

Pw di gestione: .
-------------------------------------------------------------------------
DHCP server: (se la funzione è attiva specificare il range)

Wireless (se attivo specificare)

SSID: .
Channel .

---

Accesso: (criteri di protezione adottati)

Un Ex Utente

1_2_01 FW01-(nome assegnato)

Descrizione: Firewall principale
Marca: .
Modello: .
Localizzazione: (descrivere l'ubicazione)

Indirizzo WAN: .
Subnet WAN: .

Indirizzo LAN: .
Subnet LAN: .

Gestione:
Login: .
Password: .

DHCP server: (se attivo definire il range)

---

Policy: (definire le policy)

---

VPN: (se installata descriverne i parametri)

---

Un Ex Utente

1_4_01 AP01-(nome assegnato)

Nome: .
Descrizione: .
Marca: .
Modello: .
Localizzazione: (indicare ubicazione)

Indirizzo IP: .
Subnet Mask: .

Gestione
Login: .
Pw: .

Wireless

SSID: .
Channel: .
Network mode: .

Accesso: (descrivere le protezioni se attivate)o

Un Ex Utente

1.5.01 PR01-(nome assegnato)

Descrizione: Stampante con funzionalità di stampante di rete

Marca: .
Modello: .
Localizzazione: (indicare il luogo di installazione)

Indirizzo IP: .
Subnet Mask: .
Gateway: .

                    (se esistono o sono richieste particolarità di installazione od uso specificare)

Un Ex Utente

**1.6.01 **SR01-(nome assegnato)

---

Descrizione: .
Localizzazione: (indicare il luogo di ubicazione)

Marca: .
Modello: .
CPU: .
RAM: .
HD: .
Unità ottica: .

(indicare anche presenza di schede aggiuntivo o simili)

Indirizzo IP: .
Subnet Mask: .
Gateway: .
DNS: .
.

Gruppo di lavoro: .
Dominio: .
Sistema operativo: .

Protezioni software: .

Condivisioni:
\


\

Software installato: .

---

(Sulle pagine successive elencare gli utenti abilitati all'accesso ed ogni altra informazione utilie per una eventuale gestione o reinstallazione)

Un Ex Utente

1_7_01 NS01-(nome assegnato)

---

Descrizione: .
Localizzazione: (specificare localizzazione)

Marca: .
Modello: .
CPU: .
RAM: .
Capacità storage: .

Indirizzo IP: .
Subnet Mask: .
Gateway: .
Gruppo di lavoro: .

Condivisioni: \

---

Gestione: Login:
Pw:

Utenti
Login Pw

Un Ex Utente

1_9_21 PC21-(nome assegnato)

Descrizione: .
Localizzazione: .

Marca: .
Modello: .
M/B: .
CPU: .
Video: .
RAM: .
HDD: .
Supporti rimuovibili: .

Indirizzo LAN: .
Subnet LAN: .
Gateway: .

DNS primario: .
DNS secondario: .

Dominio: .
Gruppo di lavoro: .

Sistema operativo: .

Protezioni: .

Software installato .

---

Assistenza remota:

---

Utenti:
Login Pw

Un Ex Utente

E così via per tutti gli altri elementi dell'indice, lo scopo del documento sarebbe quello di permettere a qualsiasi tecnico o responsabile di settore la comprensione della realtà informativa dell'azienda e la sua struttura informatica anche incontrandola per la prima volta e senza bisogno di mendicare informazioni quà e la per l'azienda.

Un Ex Utente

Consiglio inoltre di curare moltissimo l'elenco dei software utilizzati, specialmente per quanto riguarda la eventuale gestione di dati.
Quindi per la presenza di eventuali database sarà opportuno specificare bene di che tipo di dati si tratta, quali sono i criteri per le assegnazioni delle credenziali, i nomi utente assegnati e a chi sono stati assegnati e le modalità di backup adottate.

Tener ben presente che è estremamente opportuno (nel caso non si sia a conoscenza delle password utente) pretendere la consegna di buste chiuse con tali informazioni da parte degli utenti coinvolti.

Tali buste saranno custodite appunto dal "custode delle credenziali" Questo sempre nell'ottica di favorire il ripristino del sistema in caso di guasti o malfunzionamenti .... e rispettare una delle tante misure di sicurezza richieste.

Un Ex Utente

Alla sezione "protezioni" si indicheranno poi i software e gli apparati preposti alla sicurezza (antivirus, firewall software etc...) indicando le modalità di installazione e i criteri di aggiornamento.

Con ciò qualsiasi tecnico installatore o utente che dovesse fare manutenzione saprà cosa deve essere predisposto in caso di rifacimento di una macchina o manutenzione della stessa.

E questo rispetterà un'altra delle tante misure di sicurezza richieste.

Un Ex Utente

** Ecco ora un esempio di DPS**
-----------------------------------------------------------------------------------

[CENTER]Nominativo Azienda[/CENTER]

[CENTER]DOCUMENTO PROGRAMMATICO[/CENTER]

[CENTER]SULLA SICUREZZA[/CENTER]

[CENTER]DL 196/2003[/CENTER]

[CENTER]AGGIORNAMENTI[/CENTER]

(se nulla è cambiato dall'anno precedente ci si può limitare a ristampare questa pagina)

---

Revisione annuale del: 31/3/2011 (sostituisce ed annulla le versioni precedenti)

---

---

---

---

---

---

---

---

---

[CENTER]LISTA DI DISTRIBUZIONE[/CENTER]

---

1 - Titolare del trattamento

2 - Responsabili del trattamento

3 - System administrator

4 -

5 -

6 -

7 -

8 -

9 -

---

---

---

[CENTER]INDICE[/CENTER]

SCOPO E AMBITO DI APPLICAZIONE DEL DPSS

I ? ELENCO DEI TRATTAMENTI DI DATI PERSONALI

II - ELENCO CARICHE
Titolare del trattamento
**Nomina dei responsabili del trattamento **
Nomina degli incaricati del trattamento
Nomina degli Amministratori di sistema
Nomina del custode delle credenziali di autenticazione

III - ANALISI DEI RISCHI

IV - MISURE DI SICUREZZA E CONTROLLO ACCESSO AI LOCALI
Copie periodiche di Backup
Protezione da virus informatici o intrusioni non autorizzate nella propria rete informatica
Sistema di autenticazione informatica

V ? CRITERI DI RIPRISTINO DATI DANNEGGIATI

VI ? PIANO DI FORMAZIONE DEGLI INCARICATI

VII ? DATI AFFIDATI ALL?ESTERNO DELLA STRUTTURA

VIII ? CIFRATURA DEI DATI RELATIVI ALLO STATO DI SALUTE

[CENTER]ALLEGATI[/CENTER]

[CENTER]----------------------------------------------------------------------------------------------------------[/CENTER]

A010 ? Elenco sedi ed uffici nei quali avviene il trattamento dei dati;

A020 ? Elenco sedi ed uffici nei quali avviene il trattamento dei dati affidato all?esterno della struttura del titolare
(redatto solo all'occorrenza);

A030 ? Elenco degli incaricati al trattamento dei dati personali;

A031 ? Elenco Incaricati al trattamento dei dati con lettera di incarico collettiva (redatto solo all'occorrenza);

A032 ? Elenco degli incaricati al trattamento dei dati personali senza l'ausilio di strumenti elettronici;

A040 ? Piano di formazione degli incaricati;

A050 ? Sistema di autorizzazione e criteri di assegnazione delle password degli incaricati;

A051 ? Sistema di autorizzazione e criteri di assegnazione delle password per unita' organizzative
(redatto solo all'occorrenza);

A052 ? Sistema di autorizzazione ed accesso alle banche dati senza l'ausilio di strumenti elettronici;

A055 ? Elenco dei trattamenti di dati personali;

A060 ? Criteri di assegnazione delle password nei sistemi di elaborazione;

A070 ? Modalità di protezione dei dati;

A080 ? Ulteriori misure in caso di trattamento di dati sensibili o giudiziari;

A090 ? Elenco programmi adottati per la sicurezza dei dati trattati con strumenti elettronici;

A100 ? Procedura di backup e ripristino dati;

A115 ? Analisi dei rischi ambientali;

A120 ? Modalità di trattamento dei dati senza l?ausilio di strumenti elettronici.

C010 ? Lettera di incarico del responsabile del trattamento dei dati e mansioni assegnate
(redatta solo all'occorrenza);

C020 ? Nomina dell?incaricato del trattamento dei dati e mansioni assegnate;

C025 ? Lettera di incarico collettiva di un'unita' organizzativa (redatta solo all'occorrenza);

C030 ? Lettera di incarico dell?amministratore del sistema e mansioni assegnare;

C040 ? Lettera di incarico al custode delle credenziali si autenticazione e mansioni assegnate;

C050 ? Nomina del responsabile degli accessi ai locali;

C060 ? Lettera di incarico del responsabile esterno del trattamento dei dati e mansioni assegnate
(redatta solo all'occorrenza);

C070 ? Lettera di nomina di altri incarichi (redatta solo all'occorrenza).

---

E001 ? Organigrammi delle funzioni ed attribuzioni di incarico.

---

G901 ? Guida per il trattamento dei dati del personale.

G902 ? Guida Privacy (Ad uso degli incaricati).

G903 ? Guida per Responsabili/Addetti Information Tecnology.

G904 ? Guida per garantire il rispetto delle misure minime di sicurezza per i trattamenti in outsorcing.

G905 ? Guida per la sicurezza nel trattamento dei dati personali (Ad uso degli Incaricati/Utenti).

G906 ? Guida ai sistemi informativi e ai servizi telematici.

Un Ex Utente

SCOPO E AMBITO DI APPLICAZIONE DEL DPSS

Il presente Documento Programmatico Sulla Sicurezza (definito anche DPSS) è adottato, ai sensi delle disposizioni di cui all?Art. 34 del Decreto Legislativo n. 196 del 30 giugno 2003 e relativo allegato B, per definire le politiche di sicurezza in materia di trattamento di dati personali nonché i criteri tecnico-organizzativi per la loro attuazione. Il documento, inoltre, fornisce idonee informazioni relative alla tipologia di dati sensibili trattati e all?analisi dei rischi connessi all?utilizzo degli strumenti mediante i quali viene effettuato il trattamento.

Gli allegati al presente documento costituiscono parte integrante del Documento Programmatico Sulla Sicurezza dei dati.

Nel presente documento e nei relativi allegati i termini Trattamento, Dato personale, Dati identificativi, Dati sensibili, Dati giudiziari, Titolare, Responsabile, Incaricato, Interessato, Diffusione, Banca dati e tutti gli altri termini sono usati in conformità alle definizioni elencate all?art. 4 del Decreto Legislativo n. 196 del 30 giugno 2003.

In dettaglio il Documento Programmatico Sulla Sicurezza fornisce informazioni relative a:

l'elenco dei trattamenti di dati personali;

la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;

l'analisi dei rischi che incombono sui dati;

le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché le procedure da seguire per controllare l?accesso ai locali nei quali vengono conservati i dati oggetto del trattamento o l?accesso per via telematica;

la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento garantendone la disponibilità in tempi certi compatibili con i diritti degli interessati;

la predisposizione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi che incombono sui dati e dei modi per prevenire i danni, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare o sull?introduzione di nuovi strumenti utilizzati per il trattamento dei dati personali;

la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;

per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato (per gli organismi sanitari e gli esercenti le professioni sanitarie).

Il Documento Programmatico Sulla Sicurezza deve essere divulgato e illustrato a tutti gli incaricati nominati con apposite lettere di incarico allegate al presente documento.

Le sedi e i locali nei quali avviene il trattamento dei dati sono dettagliati nell?allegato A010.

Le tipologie di dati e le modalità di trattamento sono dettagliate nel modello A050 (A052 per le banche dati cartacee) intestato ad ogni soggetto che riceve l?incarico di accesso alle banche dati.

Nel caso i trattamenti avvengano all'interno di unità organizzative, come previsto dall'art 30 c.2 Dlgs. 196/03, le tipologie di dati e le modalità di trattamento sono dettagliate nel modello A051.

Le modalità di trattamento dei dati con l?ausilio di strumenti elettronici avvengono secondo i dettami della normativa con le modalità di accesso previste negli allegati A050 (A052 per le banche dati cartacee) e con le ulteriori specifiche descritte nell?allegato A080.

Le modalità di trattamento dati senza l?ausilio di strumenti elettronici verranno dettagliate nell?allegato A120 redatto dal Responsabile del trattamento o, in mancanza, dal Titolare.

Il presente documento è valido per un anno. Trascorso tale termine, e non oltre il 31 marzo di ogni anno, sarà oggetto di opportune revisioni per adeguarlo ad eventuali modifiche normative, al mutato livello di rischio a cui sono soggetti i dati trattati, ad eventuali assegnazioni o revoche di incarichi, all?utilizzo di nuovi strumenti informatici o in generale a un mutato assetto organizzativo.

I ? ELENCO DEI TRATTAMENTI DI DATI PERSONALI

Al Responsabile del trattamento dei dati è affidato il compito di redigere e di aggiornare l?elenco dei trattamenti effettuati sui dati personali (Modello A055).

II - ELENCO CARICHE

Titolare del trattamento

Al Titolare del trattamento spetta l?onere di individuare e incaricare uno o più Responsabili del Trattamento, qualora lo ritenesse opportuno. La nomina deve avvenire per iscritto e sempre per iscritto il Titolare elencherà in dettaglio le mansioni assegnate. Il Titolare, a tal proposito, redigerà apposita lettera di incarico che dovrà essere sottoscritta per accettazione dal Responsabile. Sarà cura del Titolare conservare in luogo sicuro una copia della lettera di incarico e istruire adeguatamente i Responsabili in merito agli incarichi assegnati.

Tra i compiti non delegabili assegnati al Titolare è prevista la vigilanza sul rispetto da parte dei Responsabili degli incarichi loro assegnati, nonché sulla diligente osservanza delle vigenti disposizioni in materia di trattamento, con particolare riguardo alle misure di sicurezza da adottare.

Se non venisse nominato alcun Responsabile del Trattamento, il Titolare ne assume il ruolo e tutte le responsabilità.

Il Titolare del trattamento provvederà ad agevolare l'accesso ai dati personali da parte dell'interessato, a fornirgli le informazioni richieste e a ridurre i tempi per il riscontro del richiedente.

**Nomina dei responsabili del trattamento **

In ottemperanza all?articolo 29 del D. lgs 196/2003, il Titolare del Trattamento può nominare uno o più Responsabili del trattamento con apposita lettera di incarico (Modello C010). La nomina avviene per iscritto. I Responsabili devono essere individuati fra soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, con particolare riguardo alla sicurezza dei dati. I Responsabili, pertanto, dovranno adottare tutte le misure idonee ad assicurare l?integrità dei dati oggetto del trattamento, a ridurre i rischi di diffusione o trattamento di dati non consentiti e mantenere in piena efficienza tutti gli strumenti e la struttura organizzativa al fine di perseguire gli scopi dettati dal presente DPSS.

Per esigenze organizzative il Titolare può suddividere i compiti fra i diversi Responsabili del trattamento nominati.

I Responsabili del trattamento hanno il dovere di informare tempestivamente il Titolare di eventuali incidenti o della sopravvenuta mancanza dei requisiti minimi di sicurezza richiesti.

Ai Responsabili è conferita possibilità di nominare uno o più Incaricati al trattamento e istruirli adeguatamente per renderli idonei a svolgere le mansioni assegnate.

Se non diversamente previsto nella lettera di incarico, la nomina dei Responsabili si intende a tempo indeterminato e decade o per dimissioni o per revoca comunicata per iscritto o con idonei mezzi informatici dal Titolare del trattamento.

Nomina degli incaricati del trattamento

Qualora la gestione delle banche dati richieda l?intervento operativo di altri soggetti, il Titolare o il Responsabile possono nominare uno o più Incaricati del trattamento con apposita comunicazione scritta (Modello C020, C025). Sempre per iscritto devono essere specificati i compiti loro assegnati. La lettera di incarico deve essere sottoscritta dal soggetto interessato e sarà cura del Responsabile della conservazione o del Titolare (a seconda di chi ha conferito l?incarico) custodire copia della lettera in luogo sicuro.

Loro compito è quello di svolgere gli incarichi assegnati, dettagliatamente specificati nella lettera di incarico, sempre nel pieno rispetto del presente Documento Programmatico Sulla Sicurezza. In caso di incidenti o di conoscenza di circostanze che possano far venir meno i requisiti minimi di sicurezza, gli Incaricati dovranno comunicare tempestivamente tale circostanza al Responsabile del trattamento o, in mancanza, al Titolare.

Se non diversamente previsto nella lettera di incarico, gli Incaricati del trattamento vengono nominati a tempo indeterminato e decadono per dimissioni o per revoca.

Nomina degli Amministratori di sistema

Il Responsabile del trattamento o il Titolare conferiscono a uno o più incaricati le mansioni di gestione delle soluzioni informatiche sia hardware che software adottate per la gestione e la tenuta in sicurezza delle banche dati. La nomina avviene per iscritto e nella lettera di incarico (Modello C030) verranno dettagliati i compiti assegnati, compreso quello di approntare i mezzi necessari per effettuare le copie di sicurezza dei dati e il loro ripristino in caso di accidentale distruzione.

L?Amministratore di sistema ha anche l?onere di valutare periodicamente lo stato di efficienza delle soluzioni informatiche adottate e provvedere alla loro modifica o integrazione in base all?esperienza acquisita e al progresso tecnologico.

Qualora non fosse già stato incaricato un altro soggetto, l?Amministratore di sistema può essere nominato come custode delle credenziali di autenticazione (codici identificativi, User ID, Password, ecc.) assegnate ad ogni soggetto incaricato.

L?amministratore, nello svolgere questo incarico, si atterrà a quanto previsto nel presente DPSS per il Custode delle credenziali di autenticazione.

Nel caso in cui non venisse nominato alcun Amministratore di sistema, le relative mansioni saranno svolte dal Responsabile del trattamento o, in mancanza, dal Titolare.

Nomina del custode delle credenziali di autenticazione

Il Responsabile, di concerto con il Titolare, può nominare uno o più custodi delle credenziali di autenticazione per l?accesso ai sistemi di elaborazione dati. L?incarico viene assegnato per iscritto e la lettera deve essere conservata in un luogo sicuro da parte del soggetto che conferisce l?incarico.

Il *Custode delle credenziali *sottoscrive il modello A030 col quale prende visione di tutte le credenziali di accesso da custodire. Le credenziali non dovranno essere divulgate e dovranno essere custodite in luogo sicuro. Spetta al custode definire le modalità di utilizzo delle credenziali di autenticazione in caso di impedimenti o prolungata assenza dell?incaricato alle quali sono state assegnate.

In mancanza di un custode delle credenziali di autenticazione, le mansioni sopra riportate saranno svolte dall?Amministratore del sistema o, in mancanza, dal soggetto che ha conferito l?incarico (Responsabile o Titolare del trattamento).

III - ANALISI DEI RISCHI

L?analisi dei rischi ai quali sono soggetti i dati trattati vengono dettagliati nell?allegato A110 e A115**. **In tali documenti verrà compilata un?apposita lista dei rischi incombenti sui dati derivanti dal sistema di elaborazione, dal sistema operativo, dagli spplicativi o dall'ambiente in cui la banca dati è custodita. Nello stesso documento sono proposte le azioni correttive o preventive.L?analisi dei rischi è redatta in relazione al progresso tecnologico, alla sostituzione, integrazione e sostituzione di hardware, agli aggiornamenti o alla sostituzione di sistemi operativi e\o programmi applicativi.

IV - MISURE DI SICUREZZA E CONTROLLO ACCESSO AI LOCALI

In ottemperanza agli artt. 31, 32, 33, 34, 35 e 36 del D. Lgs 30/06/2003 n. 196, il presente DPSS prevede l?organizzazione di idonee misure di sicurezza da adottare volte a garantire la sicurezza dei dati. La sicurezza dei dati si esplica nella loro diligente custodia al fine di prevenirne alterazioni, distruzione, diffusioni non autorizzate o trattamenti non conformi alle finalità della raccolta.

Il Responsabile del trattamento o, in mancanza, il Titolare appronteranno tutti i mezzi necessari per il perseguimento dei fini legati alla sicurezza dei dati, sfruttando anche le conoscenze acquisite in base al progresso tecnico.

Sono previste specifiche misure di sicurezza sia per quanto riguarda la custodia di archivi elettronici e non, che l?accesso ai locali ove i dati oggetto del trattamento fisicamente sono conservati.

La procedura di preservazione dal rischio di perdita dei dati trattati con mezzi informatici o dalla divulgazione non autorizzata si esplica nella previsione di un piano basato su:

Copie periodiche di Backup.
Tale procedura, che il Responsabile del trattamento o il Titolare stileranno di concerto con l?amministratore di sistema, dovrà fornire le istruzioni e le modalità in merito al tipo di supporto utilizzato, all?impiego di specifici software per salvataggi automatizzati, alla nomina degli Incaricati del trattamento che eseguiranno le copie di Backup, alla custodia dei supporti nei quali sono stati memorizzati i dati, alla distruzione dei supporti dopo un certo lasso di tempo o comunque alla cancellazione dei dati dai supporti di Backup in maniera tale da impedire ogni possibile consultazione. La procedura di salvataggio prevede anche il monitoraggio di tutte le operazioni affinché il Responsabile o il Titolare possano individuare periodicamente circostanze che impongano l?adozione di un diverso piano di Backup o il suo aggiornamento. Il salvataggio dei dati dovrà avvenire con cadenza almeno settimanale. La procedura di Backup è dettagliata nell?allegato A100e sarà resa nota a tutti gli incaricati del backup.

**Protezione da virus informatici o intrusioni non autorizzate nella propria rete informatica. **
Il Responsabile del trattamento o il Titolare incaricano l?amministratore del sistema ad approntare tutte le misure di sicurezza idonee a prevenire e ridurre infezioni da Virus informatici o da intrusioni non autorizzate nel sistema. L?amministratore provvederà a dettagliare nell?allegato A090 tutte le misure adottate compresi l?utilizzo di appositi programmi Antivirus, Firewall e qualsiasi ulteriore soluzione informatica che ritenesse opportuna per diminuire la vulnerabilità del sistema. E? anche compito dell?amministratore pianificare il lavoro relativo all?installazione degli aggiornamenti messi a disposizione delle case produttrici di software per correggere i difetti dei programmi o dei sistemi operativi utilizzati. L?amministratore può prevedere anche che il periodico aggiornamento dei programmi utilizzati per garantire la sicurezza informatica avvenga in un arco di tempo inferiore a quanto previsto dal D. Lgs 30/06/2003 n. 196.

Tutte le misure di sicurezza previste dall?amministratore di sistema dovranno essere periodicamente valutate per adattare la procedura all?evoluzione tecnologica. L?amministratore di sistema dovrà provvedere ad istruire adeguatamente eventuali incaricati al trattamento e consegnargli copia degli allegati A090(elenco programmi antivirus). In caso di infezione del sistema da parte di Virus informatici, l?amministratore del sistema dovrà tempestivamente adottare tutte le misure idonee per isolare il sistema ed evitare che il danno venga esteso ad altri elaboratori; dovrà quindi individuare le cause di tale infezione e provvedere a rimuoverle.

**Sistema di autenticazione informatica. **
Così come previsto dall?Allegato B al D. lgs 196/2003, il trattamento dei dati personali con strumenti elettronici è consentito solo agli incaricati dotati di credenziali di autenticazione che consentono il superamento di una procedura di autenticazione. Il Responsabile del trattamento (o in mancanza, il Titolare), in accordo con gli Amministratori di sistema, definisce le modalità di assegnazione delle credenziali di autenticazione agli incaricati del trattamento. Le credenziali possono consistere nell?assegnazione di User ID e password o nell?utilizzo di dispositivi associati ad un codice identificativo o anche ad una caratteristica biometrica. Ad ogni soggetto autorizzato all?accesso alle banche dati possono essere assegnate anche più credenziali per l?autenticazione in base alle esigenze organizzative o al numero di banche dati gestite. Se fra le credenziali è prevista l?assegnazione di una password, questa non deve essere di lunghezza inferiore agli otto caratteri (o al numero massimo possibile se lo strumento elettronico utilizzato non lo consente).

Al primo utilizzo delle password, l?incaricato provvederà a modificarla e successivamente la modificherà periodicamente con cadenza almeno semestrale, a meno che la banca dati non contenga dati sensibili; in quest?ultimo caso la parola chiave andrà modificata ogni tre mesi. Ogni persona incaricata al trattamento dei dati deve adottare tutte le cautele possibili per garantire la segretezza delle credenziali di autenticazione assegnatele.

Per ciò che concerne la gestione dei dati non trattati con strumenti elettronici, viene appositamente definita la modalità di trattamento e i vari supporti utilizzati. Vengono altresì definite tutte le misure di sicurezza da adottare per evitare l?accidentale perdita o danneggiamento dei dati. Tutte le modalità di trattamento dati senza l?ausilio di strumenti elettronici e della loro sicurezza sono dettagliate nell?allegato A120.

L?allegato A120 conterrà le modalità di accesso ai locali dove fisicamente vengono gestite le banche dati, sia nel caso di dati trattati con l?ausilio di strumenti elettronici che con altri strumenti. Sarà cura del Responsabile (o in assenza, del Titolare) redigere tale documento.

In ogni caso è fatto divieto a qualunque soggetto di divulgare informazioni concernenti i dati oggetto del trattamento, effettuarne copie di qualsiasi natura (su supporti cartacei, informatici, audiovisivi, ecc.) e distruggere, sottrarre o manipolare il contenuto delle banche dati se non espressamente autorizzato dal Responsabile o dal Titolare.

V ? CRITERI DI RIPRISTINO DATI DANNEGGIATI

In caso di distruzione o danneggiamento dei dati oggetto del trattamento, ogni incaricato, di concerto con l?amministratore del sistema, provvederà a ripristinare i dati mediante utilizzo delle copie di backup realizzate in conformità a quanto descritto nell?allegato A100. L?amministratore può anche prevedere l?utilizzo di altri strumenti in suo possesso (supporti cartacei, e-mail, registrazioni audiovisive, ecc.) per ricostruire nel modo più fedele possibile i dati distrutti o danneggiati, sia quelli trattati con l?ausilio di strumenti elettronici che quelli trattati con altri tipi di strumenti. In caso di distruzione o danneggiamento degli strumenti utilizzati per l?accesso ai dati, l?Amministratore di sistema (o in mancanza un incaricato nominato dal Responsabile o dal Titolare) provvederà tempestivamente al ripristino del normale stato di utilizzo dei suddetti strumenti o alla loro sostituzione.

La procedura di ripristino o di accesso ai dati avverrà comunque in tempi compatibili con i diritti degli interessati in conformità al punto 23 dell?allegato B del D. Lgs 196/2003.

Ad ogni evento che comporti distruzione, danneggiamento o problemi di accesso ai dati dovrà essere opportunamente aggiornata l?analisi dei rischi di cui al punto III del presente DPSS.

VI ? PIANO DI FORMAZIONE DEGLI INCARICATI

Al Responsabile (o in mancanza al Titolare) spetta il compito di provvedere all?opportuna formazione di tutti gli incaricati al trattamento dei dati al fine di:

garantire il massimo rispetto delle procedure elencate nel presente DPSS

rendere edotto il personale sui rischi che incombono sui dati

informare il personale sulle responsabilità che ne derivano

Il Responsabile (o il Titolare) valuterà opportunamente il livello di preparazione dei singoli addetti in merito alle procedure (informatiche e non) utilizzate per il trattamento e la custodia dei dati; eventuali lacune saranno colmate con appositi interventi formativi volti a rendere i soggetti interessati idonei a svolgere gli incarichi loro assegnati.

Il Titolare o il Responsabile, con cadenza almeno annuale, provvederanno a verificare le esigenze di formazione del personale in base all?esperienza acquisita, al progresso tecnologico o al cambiamento di mansioni.

I piani di formazione sono dettagliati nell?allegato A040.

VII ? DATI AFFIDATI ALL?ESTERNO DELLA STRUTTURA

Qualora il trattamento dei dati venisse affidato in parte o in toto a soggetti esterni alla struttura, la nomina di tali soggetti avverrà per iscritto mediante lettera di incarico. Il Titolare conserverà in luogo sicuro copia di tale lettera.

La scelta dei Responsabili del trattamento dati in esterno deve ricadere su soggetti che forniscano i requisiti di affidabilità previsti dal D. Lgs 196/2003 (art. 29 comma 2).

Sarà compito del Responsabile esterno nominare gli incaricati e impartire loro la dovuta istruzione per garantire il trattamento e la conservazione dei dati in modo puntuale, lecito e sicuro.

Ogni trattamento di dati affidato a terzi verrà elencato nell?apposito allegato A020. Nello stesso documento dovranno essere riportati anche i luoghi dove vengono fisicamente trattati e conservati i dati. Al Titolare del trattamento spetta il compito di vigilare sull?operato del Responsabile esterno affinché non vengano mai meno le misure minime di sicurezza dei dati.

VIII ? CIFRATURA DEI DATI RELATIVI ALLO STATO DI SALUTE

Qualora la tipologia dei dati trattati comprendesse anche quelli di tipo sanitario relativi allo stato di salute o alla vita sessuale nell?allegato A080verranno previste idonee misure per gestire la separazione dei dati dall?individuazione diretta dell?interessato ed individuare i casi in cui necessita la loro cifratura.

(eventualmente inserire luogo e data, in tal caso in fase di aggiornamento annuale ricordarsi di ristampare anche questa pagina e farla firmare al responsabile)

**Il titolare del trattamento **I responsabili del trattamento

Un Ex Utente

A questo punto si può instaurare una discussione su come devono essere compilati ed implementati gli allegati.

Un Ex Utente

L'evoluzione delle leggi ha portato all'eliminazione dell'obbligo di compilazione del documento di cui sopra.
Resta l'obbligo di adottare le misure di sicurezza necessarie e documentare idoneamente il tutto ...
Ovvero, di fatto, compilare con altro nome il documento di cui sopra ....