La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA PREMESSA Il documento programmatico sulla sicurezza costituisce una sorta di manuale della sicurezza dell'organizzazione.

Presentazioni simili


Presentazione sul tema: "DOCUMENTO PROGRAMMATICO SULLA SICUREZZA PREMESSA Il documento programmatico sulla sicurezza costituisce una sorta di manuale della sicurezza dell'organizzazione."— Transcript della presentazione:

1 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA PREMESSA Il documento programmatico sulla sicurezza costituisce una sorta di manuale della sicurezza dell'organizzazione ai fini del trattamento dei dati personali tutelati dal Codice sulla privacy

2 Linee guida per la compilazione del documento programmatico sulla sicurezza Premessa Premessa Premessa Fonti normative Fonti normative Fonti normative Fonti normative Soggetti coinvolti nel trattamento dei dati Soggetti coinvolti nel trattamento dei dati Soggetti coinvolti nel trattamento dei dati Soggetti coinvolti nel trattamento dei dati

3 Premessa Il Codice sulla privacy (D.lgs.vo 196/03) impone a chiunque tratta informazioni relative ad altre persone, imprese, enti od associazioni di rispettare alcuni principi fondamentali a garanzia della riservatezza dei dati stessi. Il Codice sulla privacy (D.lgs.vo 196/03) impone a chiunque tratta informazioni relative ad altre persone, imprese, enti od associazioni di rispettare alcuni principi fondamentali a garanzia della riservatezza dei dati stessi. Il Codice prescrive precisi obblighi e comportamenti da attuare nel trattare dati; questi obblighi sono sanzionati anche penalmente: è necessario, pertanto, procedere alladeguamento dellorganizzazione al fine di rispettare gli obblighi imposti dal Codice. Il Codice prescrive precisi obblighi e comportamenti da attuare nel trattare dati; questi obblighi sono sanzionati anche penalmente: è necessario, pertanto, procedere alladeguamento dellorganizzazione al fine di rispettare gli obblighi imposti dal Codice. La finalità del documento programmatico della sicurezza è quella di definire i criteri e le procedure per garantire la sicurezza nel trattamento di dati personali La finalità del documento programmatico della sicurezza è quella di definire i criteri e le procedure per garantire la sicurezza nel trattamento di dati personali

4 Fonti normative Le disposizioni di legge principali concernenti la corretta gestione di sistemi informatici sono: Le disposizioni di legge principali concernenti la corretta gestione di sistemi informatici sono: R.D n. 633 e D.Lgs n. 518 (tutela del diritto di autore sul software); R.D n. 633 e D.Lgs n. 518 (tutela del diritto di autore sul software); L n. 547 (reati legati allinformatica - modifiche al Codice penale); L n. 547 (reati legati allinformatica - modifiche al Codice penale); D.lgs.vo n.196 (recante il Codice in materia di protezione dei dati personali) e suo Disciplinare Tecnico D.lgs.vo n.196 (recante il Codice in materia di protezione dei dati personali) e suo Disciplinare Tecnico

5 Il TITOLARE Il TITOLARE Il RESPONSABILE Il RESPONSABILE lINCARICATO lINCARICATO L'INTERESSATO L'INTERESSATO AMMINISTRATORE DI SISTEMA AMMINISTRATORE DI SISTEMA Soggetti coinvolti nel trattamento dei dati

6 DOCUMENTO PROGRAMMATICO PER LA SICUREZZA D.legsvo 196 del 30 giugno 2003

7 INTRODUZIONE Il presente documento definisce lo stato di attuazione nell'istituzione scolastica Il presente documento definisce lo stato di attuazione nell'istituzione scolastica, d'ora in poi ISTITUZIONE SCOLASTICA, per quanto disposto dal D.Leg. n° 196 del 30 giugno 2003, artt. da 33 a 36 e ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA., d'ora in poi ISTITUZIONE SCOLASTICA, per quanto disposto dal D.Leg. n° 196 del 30 giugno 2003, artt. da 33 a 36 e ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA.

8 ANALISI DELLA SITUAZIONE DELL'ISTITUZIONE SCOLASTICA Descrizione del Sistema Informatico Descrizione del Sistema Informatico Hardware Hardware Reti locali ed altri sistemi di collegamento di terminali; Reti locali ed altri sistemi di collegamento di terminali; Server e sistemi multiutenti presenti nell'ISTITUZIONE SCOLASTICA con i relativi sistemi operativi utilizzati; Server e sistemi multiutenti presenti nell'ISTITUZIONE SCOLASTICA con i relativi sistemi operativi utilizzati; Unità di accesso per gli utenti (terminali, personal computer, workstations, stampanti, telefax); Unità di accesso per gli utenti (terminali, personal computer, workstations, stampanti, telefax); Elaboratori portatili; Elaboratori portatili; Collegamenti del sistema a rilevatori di presenze, od altri dispositivi di acquisizione dati (lettore ottico, scanner); Collegamenti del sistema a rilevatori di presenze, od altri dispositivi di acquisizione dati (lettore ottico, scanner); Dispositivi di connessione verso lesterno, per singoli utenti o condivisi tra più utenti (modem, router). Dispositivi di connessione verso lesterno, per singoli utenti o condivisi tra più utenti (modem, router).

9 Software Software Sistemi operativi utilizzati; Sistemi operativi utilizzati; Applicazioni di tipo gestionale; Applicazioni di tipo gestionale; Applicazioni di office automation; Applicazioni di office automation; Software Didattico; Software Didattico; Sistemi di posta elettronica e strumenti di navigazione in Internet; Sistemi di posta elettronica e strumenti di navigazione in Internet; Siti Internet interni o in hosting o housing presso provider; Siti Internet interni o in hosting o housing presso provider; ANALISI DELLA SITUAZIONE DELL'ISTITUZIONE SCOLASTICA

10 Analisi ed elenco dei dati personali Nella sezione dovranno essere individuate ed elencate: Nella sezione dovranno essere individuate ed elencate: le banche dati informatiche le banche dati informatiche per il trattamento con strumenti elettronici per il trattamento con strumenti elettronici I server e/o i sistemi su cui sono archiviati i dati I server e/o i sistemi su cui sono archiviati i dati Le applicazione utilizzate per il trattamento Le applicazione utilizzate per il trattamento Le finalità del trattamento Le finalità del trattamento Presenza di dati sensibili o giudiziari Presenza di dati sensibili o giudiziari gli archivi cartacei gli archivi cartacei Dislocazione fisica degli archivi Dislocazione fisica degli archivi Le finalità del trattamento Le finalità del trattamento Presenza di dati sensibili o giudiziari. Presenza di dati sensibili o giudiziari.

11 Struttura organizzativa funzionale al trattamento dati e singole responsabilità Il titolare del trattamento dei dati; Il titolare del trattamento dei dati; Il/i responsabile/i del trattamento dati (se nominato/i in quanto facoltativo) Il/i responsabile/i del trattamento dati (se nominato/i in quanto facoltativo) Gli incaricati del trattamento Gli incaricati del trattamento Profili di autorizzazione individuati per singolo incaricato o per classi omogenee di incaricati (es. Docenti, Segreteria Didattica, Segreteria Amministrativa, ecc.) Profili di autorizzazione individuati per singolo incaricato o per classi omogenee di incaricati (es. Docenti, Segreteria Didattica, Segreteria Amministrativa, ecc.) Il custode delle credenziali (amministratore del sistema informatico) Il custode delle credenziali (amministratore del sistema informatico) Gli eventuali prestatori di servizi che trattano allesterno dellimpresa dati per conto della stessa impresa (consulenti, professionisti, società di assistenza software,...). Gli eventuali prestatori di servizi che trattano allesterno dellimpresa dati per conto della stessa impresa (consulenti, professionisti, società di assistenza software,...).

12 LAmministratore del Sistema Informatico LAmministratore di sistema garantisce la tutela ed il corretto uso dei sistemi informatici e delle banche-dati in essa contenuti. LAmministratore di sistema garantisce la tutela ed il corretto uso dei sistemi informatici e delle banche-dati in essa contenuti. A tal fine predispone un REGOLAMENTO INTERNO che deve essere disponibile a tutto il personale che opera nel LABORATORIO INFORMATICO e/o negli uffici dotati di sistemi informatici. A tal fine predispone un REGOLAMENTO INTERNO che deve essere disponibile a tutto il personale che opera nel LABORATORIO INFORMATICO e/o negli uffici dotati di sistemi informatici.

13 Analisi dei rischi possibili e dei danni conseguenti Alterazione/danneggiamento accidentale o dolosa del sistema, dei programmi e/o dati Alterazione/danneggiamento accidentale o dolosa del sistema, dei programmi e/o dati Diffusione/comunicazione non autorizzata sia accidentale che dolosa Diffusione/comunicazione non autorizzata sia accidentale che dolosa Danneggiamento delle risorse informatiche per disastri naturali (incendi...) Danneggiamento delle risorse informatiche per disastri naturali (incendi...) Accessi non autorizzati Accessi non autorizzati Sottrazione di elaboratori, programmi, supporti o dati Sottrazione di elaboratori, programmi, supporti o dati Intrusioni dallesterno nel sistema Intrusioni dallesterno nel sistema

14 - Misure di sicurezza adottate o da adottare Procedure relative alle misure imposte dal Disciplinare tecnico Procedure relative alle misure imposte dal Disciplinare tecnico

15 Misure minime per i trattamenti informatici Definizione delle credenziali di autenticazione, individuate tra le seguenti tipologie: Definizione delle credenziali di autenticazione, individuate tra le seguenti tipologie: Codice identificativo, più parola chiave (login e password) Codice identificativo, più parola chiave (login e password) Dispositivo di autenticazione (smart card e simili), più eventuale parola chiave Dispositivo di autenticazione (smart card e simili), più eventuale parola chiave Individuazione del custode delle credenziali (generalmente è l'amministratore di sistema) Individuazione del custode delle credenziali (generalmente è l'amministratore di sistema) Modalità di attivazione, variazione e gestione delle credenziali Modalità di attivazione, variazione e gestione delle credenziali Criteri di definizione dei profili di autorizzazione Criteri di definizione dei profili di autorizzazione Attribuzione, revoca ed aggiornamento dei profili di autorizzazione Attribuzione, revoca ed aggiornamento dei profili di autorizzazione Criteri di adozione, utilizzo e di aggiornamento dei sistemi antivirus (l'aggiornamento del software antivirus deve essere fatto con cadenza almeno bisettimanale). Criteri di adozione, utilizzo e di aggiornamento dei sistemi antivirus (l'aggiornamento del software antivirus deve essere fatto con cadenza almeno bisettimanale). Criteri di adozione, utilizzo e di aggiornamento dei sistemi di antintrusione (firewall) Criteri di adozione, utilizzo e di aggiornamento dei sistemi di antintrusione (firewall) Verifica dell'efficacia ed efficienza dei sistemi antivirus e antintrusione (verifica annuale). Verifica dell'efficacia ed efficienza dei sistemi antivirus e antintrusione (verifica annuale).

16 Misure minime per i trattamenti cartacei Procedure e modalità per lorganizzazione degli archivi cartacei ad accesso autorizzato; Procedure e modalità per lorganizzazione degli archivi cartacei ad accesso autorizzato; Modalità di custodia dei dati particolari durante lutilizzo; Modalità di custodia dei dati particolari durante lutilizzo; Modalità di identificazione e registrazione degli accessi ai dati particolari dopo lorario di chiusura. Modalità di identificazione e registrazione degli accessi ai dati particolari dopo lorario di chiusura.

17 Criteri tecnici ed organizzativi per la protezione delle aree e dei locali e procedure di controllo per laccesso Localizzazione e limitazioni allaccesso del data center (localizzazione dei server); Localizzazione e limitazioni allaccesso del data center (localizzazione dei server); Dispositivi antintrusione (specifici per il data center o generali per tutto ledificio/stabilimento); Dispositivi antintrusione (specifici per il data center o generali per tutto ledificio/stabilimento); Dispositivi antincendio (estintori, manichette, impianti di rilevazione e/o spegnimento automatico); Dispositivi antincendio (estintori, manichette, impianti di rilevazione e/o spegnimento automatico); Sistemi di registrazione degli ingressi e di chiusura dei locali; Sistemi di registrazione degli ingressi e di chiusura dei locali; Presenza di un custode e/o di un servizio di vigilanza esterna; Presenza di un custode e/o di un servizio di vigilanza esterna; Custodia in armadi o classificatori ad accesso autorizzato; Custodia in armadi o classificatori ad accesso autorizzato; Modalità di custodia delle chiavi; Modalità di custodia delle chiavi;

18 Criteri e procedure per assicurare lintegrità e la disponibilità dei dati Criteri di definizione del salvataggio dei dati (il salvataggio può essere effettuato su CD/ DVD, chiavetta USB, jazz, su nastro); Criteri di definizione del salvataggio dei dati (il salvataggio può essere effettuato su CD/ DVD, chiavetta USB, jazz, su nastro); Procedure per lesecuzione del backup; Procedure per lesecuzione del backup; Definizione delle tecniche e dei criteri di backup; Definizione delle tecniche e dei criteri di backup; Procedure per la conservazione dei backup (utilizzo di casseforti od armadi ignifughi); Procedure per la conservazione dei backup (utilizzo di casseforti od armadi ignifughi); Procedure per la verifica della registrazione dei backup; Procedure per la verifica della registrazione dei backup; Presenza di un responsabile per lesecuzione e la verifica dei backup; Presenza di un responsabile per lesecuzione e la verifica dei backup; Procedura di sostituzione ed eliminazione dei dispositivi di conservazione obsoleti (cassette, nastri magnetici, supporti ottici). Procedura di sostituzione ed eliminazione dei dispositivi di conservazione obsoleti (cassette, nastri magnetici, supporti ottici).

19 Criteri e procedure per assicurare lintegrità e la disponibilità dei dati Alimentazione: presenza di gruppi di continuità, sistemi collegati e tempi di funzionamento garantiti; Alimentazione: presenza di gruppi di continuità, sistemi collegati e tempi di funzionamento garantiti; Sistemi dotati di mirroring, in RAID, di tipo hot-swap, dotati di alimentazione ridondante, sistemi in cluster; Sistemi dotati di mirroring, in RAID, di tipo hot-swap, dotati di alimentazione ridondante, sistemi in cluster; Procedure di riutilizzo controllato dei supporti di memorizzazione; Procedure di riutilizzo controllato dei supporti di memorizzazione; Climatizzazione dei locali. Climatizzazione dei locali.

20 Criteri e procedure per il ripristino dellaccesso ai dati (Piano di disaster recovery) Criteri di definizione per il ripristino dei dati (a seguito di distruzione o danneggiamento dei dati stessi e/o degli strumenti elettronici); Criteri di definizione per il ripristino dei dati (a seguito di distruzione o danneggiamento dei dati stessi e/o degli strumenti elettronici); Identificazione degli incidenti eccezionali dei sistemi informatici; Identificazione degli incidenti eccezionali dei sistemi informatici; Definizione di procedure che assicurino tempi certi di ripristino dei sistemi; Definizione di procedure che assicurino tempi certi di ripristino dei sistemi; Verifica periodica delle procedure attivate; Verifica periodica delle procedure attivate; Definizione di una policy di business continuity (modalità di lavoro in caso di disaster recovery). Definizione di una policy di business continuity (modalità di lavoro in caso di disaster recovery).

21 FORMAZIONE E ADEGUAMENTO DEL DOCUMENTO Piani di formazione per gli incaricati del trattamento Piani di formazione per gli incaricati del trattamento Calendario e contenuti degli incontri svolti o previsti Calendario e contenuti degli incontri svolti o previsti Conservazione della documentazione consegnata Conservazione della documentazione consegnata Registrazione dei partecipanti agli incontri formativi Registrazione dei partecipanti agli incontri formativi

22 FORMAZIONE E ADEGUAMENTO DEL DOCUMENTO Programma di revisione ed adeguamento Programma di revisione ed adeguamento Determinare la periodicità dei controlli sullefficienza ed efficacia delle misure previste nel presente documento (almeno una volta allanno e comunque non oltre il 31 marzo di ciascun anno). Determinare la periodicità dei controlli sullefficienza ed efficacia delle misure previste nel presente documento (almeno una volta allanno e comunque non oltre il 31 marzo di ciascun anno).


Scaricare ppt "DOCUMENTO PROGRAMMATICO SULLA SICUREZZA PREMESSA Il documento programmatico sulla sicurezza costituisce una sorta di manuale della sicurezza dell'organizzazione."

Presentazioni simili


Annunci Google