ALLEGATO A Dgr n. del pag. 1/58

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ALLEGATO A Dgr n. del pag. 1/58"

Transcript

1 giunta regionale 9^ legislatura ALLEGATO A Dgr n. del pag. 1/58 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 2013 dati personali trattati con strumenti elettronici (server) siti presso il DATA CENTER (CED) di Regione del Veneto - Giunta Regionale. (DOCUMENTO REDATTO SULLA BASE DELLE PRESCRIZIONI DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.LGS. 196/2003) Anno 2013

2 ALLEGATO A Dgr n. del pag. 2/58 INDICE D.P.S. Premessa... 3 Elenco dei trattamenti di dati personali (ex regola 19.1)... 4 Definizione... 4 Contenuti... 4 Distribuzione dei compiti e delle responsabilità (ex regola 19.2)... 5 Definizione... 5 Contenuti... 5 Definizioni dei Ruoli di Legge" e abbinamento con i "Ruoli Aziendali"... 5 Struttura Organizzativa per l ambito privacy e sicurezza... 6 Analisi dei rischi che incombono sui dati (ex regola 19.3)... 8 Definizione... 8 Contenuti... 8 Tabella 1). Analisi generale dei rischi per i server Misure in essere e da adottare (ex regola 19.4) Definizione Contenuti Sicurezza Fisica (Locali Data Center) Sicurezza Server (Data Center) Servizi di Sicurezza (Servizio SIC) a) servizio di gestione dei dispositivi di sicurezza perimetrale b) servizio di Intrusion Detection c) servizio di Content Security (Antivirus) d) servizio di Content Filtering (Antispam e URL filtering) e) servizio di Security Host Hardening Sistema di Identity e Access Management Controllo accessi logici Regole comportamentali Tabella 2). Le misure di sicurezza adottate o da adottare Criteri e modalità di ripristino della disponibilità dei dati (ex regola 19.5) Definizione Contenuti Attività di Backup & Restore Disaster Recovery Pianificazione degli interventi formativi previsti (ex regola 19.6) Definizione Contenuti Trattamenti affidati all esterno (ex regola 19.7) Definizione Contenuti Cifratura dei dati o separazione dei dati identificativi (ex regola 19.8) Definizione Contenuti Tabella T1-2013: Gestione Sistema Informativo Regionale Veneto (GESIRV) Principali Procedure Informative applicative/base dati Tabella T2-2013: Applicazioni in ambito sanitario Tabella T3-2013: Applicazioni in hosting/housing... 58

3 ALLEGATO A Dgr n. del pag. 3/58 Premessa I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (Art.31, D.Lgs. 196/2003). Il decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35 ha eliminato l obbligo della "tenuta di un aggiornato documento programmatico sulla sicurezza", previsto dall articolo 34, comma 1, lett. g), del D.Lgs. 30 giugno 2003 n.196, per il trattamento di dati personali effettuato con strumenti elettronici. Le altre misure di sicurezza previste dal D.Lgs. 196/2003, tuttavia, non sono state abrogate. In considerazione di ciò e al fine di continuare ad avere un documento annuale di riferimento in materia di sicurezza dei dati (come è avvenuto fino all anno 2011), il Titolare del Trattamento Giunta Regionale provvede con il presente documento, redatto su base facoltativa, all elaborazione del Documento Programmatico sulla Sicurezza 2013 (D.P.S. 2013) per i dati sensibili e giudiziari presenti sui Server regionali, siti presso il CED di Regione del Veneto Giunta Regionale, secondo quanto era previsto dalla regola 19 dell Allegato B) del D.Lgs. 196/2003, ora abrogata anch essa dal citato D.L. 5/2012. Il DATA CENTER (CED) di Regione del Veneto Giunta Regionale è situato presso la Direzione Sistemi Informativi, Complesso VEGA, Palazzo Lybra, Via Pacinotti n. 4, Venezia Marghera. Di fatto l'oggetto di tale documento abbraccia anche trattamenti di dati personali diversi da quelli sensibili e giudiziari, comunque ospitati in sistemi di elaborazione (server), ponendosi l'obiettivo di individuare i criteri e le procedure per garantire un più elevato livello di protezione fisica e logica non limitato ai dati sensibili e giudiziari, ma esteso ad un'area operativa più vasta. Per quanto concerne eventuali trattamenti di dati sensibili e/o giudiziari, memorizzati su stazioni di lavoro o server dislocati presso le diverse strutture regionali, afferenti all area Giunta Regionale, e non ospitati presso i server regionali del CED, i Responsabili del Trattamento (Segretari Regionali, Dirigenti di struttura e Responsabili delle segreterie degli organi politici) hanno ricevuto istruzioni con il documento: <<Regole relative al trattamento dei dati ed alla sicurezza informatica e compiti del Responsabile del Trattamento>> contenuto nell Allegato B alla DGR n. 240 del 15 marzo * * * Il Servizio di gestione, manutenzione, supporto e sviluppo di applicazioni presenti sui Server regionali, siti presso il CED di Regione del Veneto Giunta Regionale, è stato affidato, a conclusione di gara d appalto DIR1/2008 indetta dalla Direzione Sistema Informatico, ora Direzione Sistemi Informativi, per il periodo , alle imprese in RTI: - Engineering Ingegneria Informatica S.p.A. (impresa Mandataria), - IBM Italia S.p.A. (mandante), - Selex ES S.p.A. (mandante). Tale raggruppamento di imprese è subentrato e ha sostituito a tutti gli effetti le imprese incaricate del medesimo servizio negli anni precedenti. * * *

4 ALLEGATO A Dgr n. del pag. 4/58 Elenco dei trattamenti di dati personali (ex regola 19.1) Definizione l elenco dei trattamenti di dati personali sensibili e giudiziari; Contenuti. Ai fini del presente D.P.S., per "trattamento di dati si intende, qualunque operazione o complesso di operazioni, effettuati con l'ausilio di strumenti elettronici, concernenti: la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati (art.4 del D.Lgs. 196/2003). Intendendo per: a) "dati sensibili": i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; b) dati giudiziari : i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di penale. Nelle tabelle T1-2013, T e T (riportate in fondo al presente documento) sono indicate, per ciascun trattamento, le informazioni essenziali relative alla natura dei trattamenti, alla categoria dei dati ed al modello di comunicazione (rete web e/o client-server). In particolare, si segnala che: 1) la Tabella T1-2013, denominata Gestione Sistema Informativo Regionale Veneto (GESIRV), contiene l elenco delle principali procedure informative applicative/base dati risiedenti nei server di Regione del Veneto Giunta Regionale (ospitati presso il CED della Direzione Sistemi Informativi). Tale elenco è stato fornito dalle imprese in RTI (cfr. ex regola 19.2) che gestiscono il Servizio di gestione, manutenzione, supporto e sviluppo di applicazioni presenti sui Server regionali: - Engineering Ingegneria Informatica S.p.A. (impresa Mandataria), - IBM Italia S.p.A. (mandante), - Selex ES S.p.A. (mandante). 2) la Tabella T2-2013, Applicazioni in ambito sanitario, contiene delle applicazioni afferenti all ambito sanitario. Tale elenco è stato fornito dalla Direzione Controlli e Governo SSR, alla quale le applicazioni afferiscono per competenza, in qualità di Responsabile del trattamento designato dalla Giunta Regionale nonché di Responsabile esterno del trattamento designato dalle Aziende Sanitarie. 3) la Tabella T3-2013, Applicazioni in hosting/housing, contenente l elenco delle applicazioni ospitate su server la cui gestione è a carico degli Enti e delle Agenzie regionali, non è inserita nel presente documento ma è conservata agli atti della Direzione Sistemi Informativi. * * *

5 ALLEGATO A Dgr n. del pag. 5/58 Distribuzione dei compiti e delle responsabilità (ex regola 19.2) Definizione la distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati; Contenuti La regola 19.2 dell Allegato B) del D.Lgs. 196/2003 prevedeva che l'elaborazione del Documento Programmatico sulla Sicurezza avvenisse sulla base della distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati personali. L Amministrazione Regionale per poter sovrintendere con maggiore efficacia alle attività di coordinamento e controllo degli adempimenti in materia di Privacy e Sicurezza, ha inteso dotarsi di un'organizzazione più articolata rispetto ai ruoli previsti dalla normativa. Definizioni dei Ruoli di Legge" e abbinamento con i "Ruoli Aziendali" Di seguito si indicano i ruoli e le competenze assegnate all'interno della Regione del Veneto Giunta Regionale, per ognuna delle figure previste dalla vigente normativa: Titolare: persona fisica o giuridica o altro organismo cui competono le decisioni in ordine alle finalità e modalità del trattamento dei dati personali, compreso il profilo della sicurezza. In attuazione della Circolare Regionale n.5 del 8 maggio 1997, approvata con DGR n del 1997, la Giunta Regionale è stata individuata Titolare dei trattamenti effettuati dalle strutture facenti capo alla stessa Giunta. Responsabile del trattamento: persona fisica o giuridica preposta dal titolare al trattamento dei dati personali. I Responsabili dei Trattamenti sono stati identificati con i Responsabili delle Strutture così come di seguito definiti e con i soggetti pubblici e/o privati esterni all Amministrazione Regionale (Responsabili esterni), che svolgono trattamenti in nome e per conto della stessa. I compiti affidati al Responsabile del Trattamento sono specificati analiticamente per iscritto nel documento denominato: <<Regole relative al trattamento dei dati ed alla sicurezza informatica e compiti del Responsabile del Trattamento>>, diffuso in ambito regionale in occasione dell ultima designazione dei Responsabili del trattamento. Tale designazione è avvenuta con DGR n. 240 del 15 marzo 2011, tale deliberazione ha abrogato la precedente DGR n. 540 del Incaricato: persona fisica identificata tramite apposita nomina del Responsabile del trattamento che esegue le operazioni di trattamento. La nomina degli incaricati del trattamento rientra tra le competenze dei predetti Responsabili del trattamento. Tutto il personale della Regione del Veneto che tratta dati personali, in funzione delle mansioni attribuite, deve essere nominato Incaricato del trattamento, con un aggiornamento periodico dell ambito del trattamento medesimo. Amministratori di sistema: soggetti cui è conferito il compito di sovrintendere alle risorse del sistema operativo e/o di gestione dei data base e di consentirne l utilizzazione. Sono individuati nei Dirigenti Regionali in capo ai quali è configurabile la gestione e la responsabilità di un sistema informatico ovvero nei soggetti esterni incaricati della gestione del sistema informatico. Per quanto riguarda il Servizio di gestione, manutenzione, supporto e sviluppo delle applicazioni costituenti il sistema informativo della Regione del Veneto-Centro Sviluppo Servizi Territoriali mediante servizi di call center ed help desk (GESIRV), gara DIR1/2008, si è proceduto - con DDR n. 113 del del

6 ALLEGATO A Dgr n. del pag. 6/58 Dirigente della Direzione Sistema Informatico (ora Direzione Sistemi Informativi) - alla designazione di Responsabile esterno del trattamento delle imprese in RTI: - Engineering Ingegneria Informatica S.p.A. (impresa Mandataria), - IBM Italia S.p.A. (mandante), - SELE ES S.p.A. (mandante). Tale RTI ha ricevuto dal Dirigente della Direzione Sistema Informatico (ora Direzione Sistemi Informativi) una nota contenente istruzioni e criteri circa gli Amministratori di Sistema (provvedimento del Garante Privacy del , modificato in data , G.U. n. 149 del ). Per quanto riguarda la designazione degli Amministratori di Sistema il processo adottato si articola nei seguenti punti: 1. l RTI trasmette all Amministrazione regionale i Curricula Vitae degli Amministratori di Sistema (AdS) proposti; 2. l Amministrazione Regionale valuta l adeguatezza dell esperienza, professionalità e formazione dei soggetti proposti ed esprime il proprio benestare circa la designazione; 3. l RTI procede alla designazione formalmente dei soggetti predetti quali AdS, inserendo nell atto di nomina l ambito di gestione del sistema informatico di propria competenza. L elenco degli Amministratori di Sistema viene costantemente aggiornato con la predetta ed è conservato presso la segreteria della Direzione Sistemi Informativi, insieme al Curriculum di ogni singolo amministratore ed alle lettere di designazione. Per quanto concerne l eventuale parte residua delle apparecchiature, non rientranti nel servizio di gestione del C.S.S.T (GESIRV), sopracitato (es: apparecchiatura acquistata e gestita del tutto autonomamente dalle strutture regionali), la responsabilità delle funzioni di amministratore di sistema è ricoperta dal Responsabile del trattamento della struttura cui fanno capo le suddette apparecchiature. Struttura Organizzativa per l ambito privacy e sicurezza. Di seguito sono definite le funzioni specifiche espletate in ambito Privacy & Security dalle Strutture Regionali ed è schematizzato l assetto organizzativo di cui si è dotata l Amministrazione Regionale:

7 ALLEGATO A Dgr n. del pag. 7/58 Segreteria Generale della Programmazione: svolge attività di coordinamento generale e formulazione delle direttive necessarie ai fini dell'attuazione del D.Lgs. 196/2003 all'interno dell'amministrazione, come già disposto con circolare regionale n.8/2000 approvata con D.G.R. 917/2000. Segreterie Regionali: sovrintendono all'attività svolta in materia di privacy nella rispettiva area di competenza, come da indicazioni dettate con circolare regionale n.8/2000 approvata con D.G.R. 917/2000. Ufficio Sicurezza Informatica (Responsabile della Sicurezza): fornisce consulenza e attività tecnico-operativa per l'esecuzione delle politiche di sicurezza collaborando attivamente con il Comitato per la Sicurezza Informatica e Telematica. Ufficio Privacy: le attività svolte si possono riassumere in due macro-aree: 1. Coordinamento adempimenti regionali in materia di privacy e predisposizione di direttive per standardizzare i processi delle strutture regionali per il corretto trattamento e la sicurezza dei dati. 2. Pareri e consulenze alle strutture regionali su questioni relative a: privacy, diritto di accesso, riservatezza e diffusione dei dati personali. Organizzazione di incontri su questioni di privacy; cura dei rapporti con l Autorità Garante per la Protezione dei Dati Personali; partecipazione ai tavoli di lavoro interregionali in materia della privacy. Collabora con l Ufficio Sicurezza Informatica nelle attività di esecuzione delle politiche di sicurezza. Referenti Privacy di struttura: nominati dai Responsabili del trattamento, collaborano con questi e si relazionano con l'ufficio Privacy. * * *

8 ALLEGATO A Dgr n. del pag. 8/58 Analisi dei rischi che incombono sui dati (ex regola 19.3) Definizione l analisi dei rischi che incombono sui dati; Contenuti Sono stati individuati i principali eventi potenzialmente dannosi (minacce) che gravano sui Server per la sicurezza dei dati con valutazione della gravità rispetto ai rischi relativi alla disponibilità, confidenzialità ed integrità. Evento: contiene l elenco delle minacce che comportano rischi per la sicurezza dei dati personali sensibili e giudiziari. Gravità dell evento (alta, media, bassa): valutazione della gravità delle conseguenze (legate alla perdita di disponibilità, confidenzialità e integrità), anche in relazione alla probabilità stimata dell evento. Tabella 1). Analisi generale dei rischi per i server. Rischio e relativa gravità stimata Evento Dannoso Confidenzialità Integrità Disponibilità Bassa Media Alta Bassa Media Alta Bassa Media Alta Sottrazione di credenziali di autenticazione Comportamenti degli operatori Eventi relativi agli strumenti carenza di consapevolezza, disattenzione o incuria comportamenti sleali o fraudolenti errore materiale Utilizzo a rotazione della postazione di lavoro non regolamentato azione di virus informatici o di codici malefici spamming o altre tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti

9 ALLEGATO A Dgr n. del pag. 9/58 accessi esterni non autorizzati intercettazione di informazioni in rete accessi non autorizzati a locali/reparti ad accesso ristretto asportazione e furto di strumenti contenenti dati Eventi relativi al contesto eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria Guasto ai sistemi complementari (impianto elettrico, climatizzazione,...) Errori umani nella gestione della sicurezza fisica * * *

10 ALLEGATO A Dgr n. del pag. 10/58 Misure in essere e da adottare (ex regola 19.4) Definizione le misure da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; Contenuti In questa sezione sono riportate, in forma sintetica, le misure in essere e da adottare a contrasto dei rischi individuati dall analisi dei rischi. Per quanto riguarda il Servizio di gestione, manutenzione, supporto e sviluppo delle applicazioni costituenti il sistema informativo della Regione del Veneto-Centro Sviluppo Servizi Territoriali mediante servizi di call center ed help desk (GESIRV), gara DIR1/2008, lo stesso prevedeva un periodo di trasformazione, denominato Progetto di Convergenza, che aveva l obiettivo di portare modifiche all infrastruttura, alle architetture ed ai processi di gestione. Il Progetto di Convergenza è terminato in data 31 Dicembre 2012 ed attualmente il servizio è erogato nella modalità definita dal progetto stesso quale To-Be. Per misura ai sensi della regola 19.4 si intende lo specifico intervento tecnico od organizzativo, posto in essere per prevenire, contrastare e/o ridurre gli effetti relativi ad una specifica minaccia, comprese le attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. Si sottolinea che i trattamenti sono effettuati con server ospitati in aree garantite da livelli di protezione adeguati al grado di sicurezza richiesto dal trattamento. Il Data Center (CED) di Regione del Veneto Giunta Regionale si trova al primo piano della sede della Direzione Sistemi Informativi. Presso l Università di Padova è stata implementata una soluzione di hot standby in base alla quale dei sistemi di elaborazione pressoché uguali a quelli ospitati nel predetto Data Center (CED), con i medesimi software, configurazioni e dati, mantenuti costantemente allineati ( mirroring in tempo reale). Tali sistemi di elaborazione sono pronti ad entrare in funzione in qualsiasi momento per erogare i servizi nel caso in cui eventi disastrosi si verifichino al citato Data Center (CED). Sicurezza Fisica (Locali Data Center) Presso la Direzione Sistemi Informativi è attivo il servizio di vigilanza, con presenza di una guardia giurata, durante l orario di lavoro. Presso la stanza che ospita la guardia giurata è presente la centralina di rilevazione dell apertura delle porte di uscita di emergenza allarmate della Direzione Sistemi Informativi. Presso gli uffici della Direzione Sistemi Informativi è inoltre presente un sistema volumetrico di rilevazione presenze attivo durante le ore notturne dei giorni lavorativi e nei giorni non lavorativi. In aggiunta presso gli uffici della Direzione Sistemi Informativi è attivo un sistema di videosorveglianza, con telecamere a circuito chiuso, che registra i movimenti delle persone nei corridoi e negli spazi comuni. Controllo accessi fisici : l accesso fisico ai locali del Data Center è consentito alle sole persone appositamente autorizzate ed in possesso del badge magnetico che abilita l apertura della porta di ingresso del locale CED. Analogamente l accesso fisico ai locali dell Università di Padova, presso i quali sono ospitati i sistemi e le apparecchiature regionali su cui poggia la soluzione implementata di Disaster Recovery, è consentito alle sole persone autorizzate ed in possesso di apposito badge magnetico che ne abilita l accesso ai relativi locali.

11 ALLEGATO A Dgr n. del pag. 11/58 Alimentazione elettrica: i rack (cabinet) fisici del Data Center contenenti i server sono dotati di alimentatori ridondati e collegati a linee preferenziali dell impianto di alimentazione elettrica. L impianto di alimentazione elettrica è dotato di UPS (uninterruptible power supply) e di un gruppo elettrogeno che entra automaticamente in funzione in caso di indisponibilità dell energia elettrica. Nei locali Data Center sono posizionati i quadri dell impianto elettrico che alimenta le apparecchiature ed i server. I quadri elettrici, dotati di chiusura a chiave, sono accessibili solo dal personale autorizzato. Impianto di condizionamento: i locali del Data Center che ospitano i dispositivi ed i sistemi di elaborazione sono dotati di un impianto di condizionamento in grado di mantenere la temperatura e l umidità ambientale entro i parametri ottimali di funzionamento delle apparecchiature stabiliti dai costruttori. I locali del Data Center che ospitano i dispositivi ed i sistemi di elaborazione oltre ad essere dotati di un sistema di rilevazione presenze volumetrico sono anche dotati di un sistema di rilevazione e spegnimento automatico di incendi che entra in funzione quando almeno due sensori ubicati all interno dei locali stessi rilevano simultaneamente un principio di incendio scatenando lo scarico del gas contenuto nelle bombole situate nel Data Center che causa l immediato spegnimento dell incendio. I sistemi e gli impianti di cui sono dotati i locali del Data Center sono sottoposti a verifiche periodiche programmate ed i componenti sono soggetti a regolare manutenzione preventiva e correttiva. I server sono contenuti in rack (cabinet), muniti di chiusura a chiave, dotati di alimentazione e di collegamenti di rete ridondati. Cablatura: i cavi di collegamento alla rete sono organizzati in armadi, dotati di chiusura a chiave ed appositamente etichettati. I collegamenti fisici sono effettuati solo dal personale autorizzato. I collegamenti sono registrati e siglati in appositi registri a livello di cabinet e conservati all interno dell armadio medesimo. Sicurezza Server (Data Center) I Server ospitati presso il CED della Regione del Veneto/Giunta Regionale sono classificati secondo due principali macrocategorie: - piattaforma Microsoft Windows based; - piattaforma -nix. (Unix (AI) e Linux. Il Progetto di Convergenza ha comportato, ove reso possibile dall architettura software delle applicazioni ospitate, un aggiornamento progressivo da piattaforme Microsoft Windows 2000 e 2003 a piattaforma Microsoft Windows 2008; questo garantisce, nel tempo, un adeguato grado di sicurezza poiché facilita la gestione dei sistemi, in quanto omogenei, e consente di rientrare nelle condizioni di supporto, da parte del fornitore; tale supporto non sarebbe garantito nel caso di utilizzo di piattaforme software obsolete. Attualmente i server della piattaforma Microsoft Windows, per la gran parte, operano con sistema operativo Microsoft Windows 2008 e, solo per una minima parte, per limiti delle componenti applicative, con sistema operativo Windows 2003 e Windows Le principali funzionalità alle quali sono dedicati i server su piattaforma Windows sono: domain controller (primario e secondario), proxy server, mail server, application server, file server e DB server. La piattaforma -nix è costituita da elaboratori con sistema operativo UNI (AI) e da elaboratori con sistema operativo Linux, con funzionalità di web server, application server, file server (NAS) e DB server.

12 ALLEGATO A Dgr n. del pag. 12/58 Anche per queste piattaforme, per le stesse motivazioni sopra specificate per i sistemi Microsoft Windows Based, il Progetto di Convergenza ha comportato un progressivo rinnovamento ed omogeneizzazione del sistema operativo. Le nuove piattaforme software, sopra menzionate, sono consolidate su architetture hardware, totalmente rinnovate, che prevedono l utilizzo di sistemi IBM Power 570 e piattaforme Blade. Queste architetture garantiscono elevate prestazioni, alta affidabilità e flessibilità di utilizzo; nello specifico: - Affidabilità/Ridondanza: la configurazione hardware dei server è basata, nelle componenti critiche su architetture cluster o in bilanciamento, abbinata alla ridondanza degli elementi critici (alimentatori, interfacce di rete, hard disk, etc) a garanzia di un elevata affidabilità. - Hard Disk RAID: in caso di guasto sugli hard disk, l affidabilità è assicurata dall adozione di dischi multipli in configurazione RAID (Redundant Array of Inexpensive Disks). - Condivisione dei dischi logici: i server sono configurati in modo da condividere i dischi logici solo per la parte strettamente necessaria. I servizi di monitoraggio implementati, dell infrastruttura e delle applicazioni, consentono di esercitare una sorveglianza costante, da parte degli incaricati della gestione e della manutenzione del servizio, sugli eventuali guasti, sui malfunzionamenti e sulle anomalie dei sistemi, al fine di garantire un servizio ottimale anche in rispetto di prefissati livelli di servizio. La piattaforma Tivoli Monitoring fornisce il servizio di monitoraggio a tutti i sistemi del SIRV - Sistema Informativo della Regione Veneto ed ai sistemi facenti parte del servizio housing (GEHOUSE). Il servizio di monitoraggio è erogato e garantito da competenze specialistiche, operanti presso un Centro di Monitoraggio, che hanno il compito di controllare attivamente lo stato dei servizi e degli eventi generati da sistema. Il servizio di monitoraggio prevede una copertura oraria h24; a fronte di specifici eventi critici è prevista un attività di escalation ai tecnici operanti in loco, anche in regime di reperibilità; tutto ciò è a garanzia della massima disponibilità dei servizi. Manutenzione dei server: la manutenzione è effettuata dagli addetti in possesso dei privilegi di Amministratore di Sistema, per le sole componenti di competenza. Attivazione dei Log: sui server sono abilitati i Log per la registrazione degli eventi potenzialmente critici sotto il profilo della sicurezza, quali ad esempio: fallimenti in fase di log-in, cambio dei privilegi, accesso ai file di sistema, Con riferimento al provvedimento del Garante Privacy Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (modificato in data ), l RTI, designato Responsabile esterno del trattamento (v. sopra, ex regola 19.2, Amministratori di Sistema), implementa meccanismi di registrazione degli access log (attività di login logout) degli Amministratori di Sistema, in conformità ai requisiti previsti dal Garante Privacy nel citato provvedimento. Servizi di Sicurezza (Servizio SIC) Il Servizio di gestione, manutenzione, supporto e sviluppo delle applicazioni costituenti il sistema informativo della Regione del Veneto-Centro Sviluppo Servizi Territoriali mediante servizi di call center ed help desk (GESIRV), prevede l erogazione dei seguenti Servizi di Sicurezza che sono implementati all interno del più generale Servizio denominato SIC: a) Servizio di gestione dei dispositivi di sicurezza perimetrale;

13 ALLEGATO A Dgr n. del pag. 13/58 b) Servizio di Intrusion Detection; c) Servizio di Content Security; d) Servizio di Content Filtering; e) Servizio di Security Host Hardening. I servizi sopra elencati prevedono l esistenza di componenti hardware e/o software, di processi di gestione e di strutture organizzative a governo e controllo dei servizi stessi. Di seguito, per ciascun servizio ne vengono illustrare le principali caratteristiche e contenuti. a) servizio di gestione dei dispositivi di sicurezza perimetrale Il servizio consente di attuare la politica per la sicurezza sui dispositivi di difesa perimetrale dell Amministrazione (per es. Firewall, VPN), provvedendo anche alla loro gestione sistemistica ed alla manutenzione. In questo ambito la protezione della rete aziendale della Regione del Veneto si basa sulle seguenti principali componenti, sistemi e soluzioni: a.1. Sistema di firewalling; a.2. Reti demilitarizzate (DMZ); a.3. Segregazione delle reti (Virtual Local Area Network VLAN); a.4. VPN (Virtual Private Network); a.1. Sistema di firewalling E lo strumento principale per la protezione perimetrale della rete. La sua principale funzione è filtrare il traffico di rete consentendo o inibendo il passaggio di determinati protocolli in base alla provenienza e/o destinazione del flusso dati. L implementazione dei sistema di firewalling realizzato prevede la suddivisione logica della rete in tre macroaree, Internet, Extranet ed Intranet, secondo lo schema di seguito riportato:

14 ALLEGATO A Dgr n. del pag. 14/58 Il sistema di firewalling, nelle componenti presenti presso il CED di Venezia Marghera, è basato su hardware in alta affidabilità; i firewall sono ridondati ed operano in modalità fail-over Active - Passive). La ridondanza è garantita anche da un punto di vista geografico in quanto la coppia di firewall è distribuita sui due CED: quello di Regione del Veneto a Venezia Marghera e quello dell Università di Padova a Padova (come descritto più oltre a proposito del Disaster Recovery). Tutti i firewall sono monitorati e configurati dal solo personale autorizzato ed incaricato quale Amministrazione di Sistema. Il traffico di rete gestito dagli apparati Firewall è filtrato, in funzione di precise politiche impostate, attraverso l applicazione di regole (Access Control List) che prescrivono ciò che è permesso e ciò che non è permesso. Qualsiasi cambiamento alla configurazione del sistema di firewalling avviene in modo controllato ed organizzato all interno di un processo di change management. Sulla rete Intranet è inoltre attivo un ulteriore livello di firewalling in modalità transparent, in grado di filtrare il traffico tra gli host attestati sullo stesso segmento LAN consentendo il passaggio del solo traffico autorizzato verso gli host che erogano servizi. Tale funzione è in via di dismissione poiché solo una minima parte dei server è ancora protetta dalla funzionalità trasparent del firewall. Il sistema di firewalling all interno della macroarea Intranet prevede l esistenza di un ulteriore livello di segregazione e filtraggio realizzato attraverso un firewall implementato in modalità routed. Questa soluzione permette di incrementare la capacità e la granularità di filtrare il traffico da e verso gli host, attestati sulla Intranet regionale, consentendo il passaggio del solo traffico autorizzato e congruente alle politiche impostate. In particolare il firewall routed è stato posto a protezione delle VLAN che ospitano i server più critici ed in generale a protezione delle componenti DataBase delle applicazioni ed il repository contenente i dati degli utenti regionali. a.2. Reti demilitarizzate (DMZ) Il sistema di firewalling implementato prevede l esistenza di reti DMZ (DeMilitarized Zone); attraverso le DMZ si realizza la separazione logica, organizzativa e fisica della rete Regionale. I servizi offerti e pubblicamente accessibili sono ospitati su server collegati a reti logicamente e fisicamente separati dalla rete interna (Intranet). Sono state realizzate più reti DMZ sulle quali sono fisicamente ospitati host che richiedono livelli di protezione differenti in funzione dei servizi dagli stessi erogati, attuando in tal modo una segregazione della rete. La realizzazione delle reti DMZ si pone l obiettivo di contenere gli effetti di un eventuale incidente di sicurezza ad un area (sottorete) il più possibile limitata, evitando il diffondersi degli effetti su servizi e/o sistemi critici. Lo schema logico di riferimento è il seguente:

15 ALLEGATO A Dgr n. del pag. 15/58 Per i servizi accessibili dalla macroarea Internet la soluzione architetturale adottata prevede l aggregazione di server con funzioni analoghe (Web Server, Application Server e Data Base Server) in sottoreti (DMZ) omogenee dal punto di vista della sicurezza secondo lo schema di seguito riportato. La soluzione implementata, consente un controllo accurato del traffico che attraversa i dispositivi di rete che eseguono funzioni di firewalling, quali ad esempio router (packet filtering), proxy e firewall.

16 ALLEGATO A Dgr n. del pag. 16/58 In caso di incidente di sicurezza intervenendo opportunamente sulle regole che governano il traffico (Access Control List) configurate sui dispositivi sopra citati, si può contrastare il coinvolgimento dell intera infrastruttura di rete isolando per il tempo necessario le aree che richiedono eventuali interventi di bonifica. a.3. Segregazione delle Reti (Virtual Local Area Network VLAN) Sfruttando le funzionalità degli apparati di rete (switch) sono state implementate all interno delle varie DMZ le reti virtuali locali (VLAN) che consentono di raggruppare e confinare il traffico da e verso i dispositivi che fisicamente condividono lo stesso mezzo trasmissivo, virtualmente come se fossero appartenenti a reti distinte e separate. In particolare nella rete Intranet sono state realizzate più reti VLAN tra le quali una destinata al solo monitoraggio dei server ed una destinata a contenere tutte le postazioni di lavoro dell utenza regionale. In funzione della criticità dei sistemi facenti parte del SIRV - Sistema Informativo della Regione Veneto, si è provveduto a creare apposite VLAN distinte, nelle diverse DMZ, per ospitare i servizi erogati in modalità GESIRV, separandoli dai Sistemi gestiti in modalità housing (GEHOUSE). a.4. VPN (Virtual Private Network) Una rete VPN è un mezzo per trasportare il traffico in modo sicuro su una rete insicura. Le reti VPN sono utilizzate per garantire i requisiti di riservatezza ed integrità dei dati nel trasporto, realizzando un tunnel virtuale protetto tra mittente e destinatario, mediante tecniche di cifratura dei dati. All interno dell infrastruttura di Regione del Veneto l utilizzo prevalente dei collegamenti VPN riguarda l accesso alla rete aziendale della Regione del Veneto da parte di fornitori di servizi esterni e da utenti interni ai quali è concesso l accesso al sistema informativo quando non sono collegati direttamente alla rete Intranet (utenti mobili e telelavoratori). Le politiche di accesso in modalità VPN sono definite in funzione di gruppi omogenei di utenti ai quali sono state assegnate puntuali regole di accesso ai soli servizi autorizzati. Le VPN sono realizzate a livello di network (layer 3) utilizzando il protocollo IPSEC (client-to-site e site-tosite) a tale architettura è stata affiancata la modalità di accesso WEB VPN (clientless). I dispositivi della rete regionale che consentono la realizzazione dei collegamenti VPN (Firewall VPN) sono apparati ridondati in configurazione di alta affidabilità, ubicati sulla Extranet regionale (Macroarea), configurati e monitorati esclusivamente da personale addetto. b) servizio di Intrusion Detection Il Progetto di Convergenza ha portato all implementazione del servizio di IDS (Intrusion Detection System). Il servizio fornisce la valutazione di eventi, situazioni anomale o allarmi che possono rappresentare una minaccia per la sicurezza dell infrastruttura attraverso opportuni strumenti di rilevazione, provvedendo anche alla loro gestione sistemistica e manutenzione. Nello specifico il servizio ha messo a disposizione, sull infrastruttura di rete del CED di Regione del Veneto le seguenti sonde: - Sonde NIDS (Network Intrusion Detection System) che hanno il compito di individuare le azioni sospette verso alcune reti o porzioni di rete (Es. Internet, Extranet, Intranet, DMZ); - Sonde HIDS (Host Intrusion Detection System) che hanno il compito di monitorare costantemente l attività dei server che ospitano servizi critici (es. Web Server, Mail Server, Data Base Server, Proxy Server etc) individuando e segnalando eventi anomali o incidenti.

17 ALLEGATO A Dgr n. del pag. 17/58 Le sonde NIDS e HIDS sono integrate in un servizio di Virtual SOC che garantisce una vista comprensiva dei tentativi di accesso non autorizzati ai sistemi e che facilita l individuazione di potenziali esposizioni a rischi che possono determinare un incidente di sicurezza, consentendo di innescare rapidamente le procedure di analisi e di reazione all incidente stesso. Infatti il servizio di IDS oltre alla componente sonde mette a disposizione un sistema centralizzato di Analisi e Correlazione dei Log degli eventi di sicurezza, provenienti dalle sonde stesse dislocate sulla rete e sugli host critici, integrato con il servizio di Event Monitoring e Management; tale servizio è erogato dal SOC (Security Operation Center). Nello specifico le sonde NIDS e HIDS dislocate sulla rete e sugli host critici analizzano il traffico ed in funzione di specifiche politiche impostate e relative al riconoscimento delle firme di attacchi noti e/o comportamenti anomali riscontrati, generano eventi che vengono trasmessi al sistema SIEM Security Information ed Event Management; il motore di correlazione del SIEM e le politiche impostate generano allarmi che sono analizzati e gestiti localmente, presso la struttura dei Regione del Veneto, dal personale tecnico incaricato con tempi stabiliti dalla priorità assegnata agli allarmi stessi e secondo un processo di gestione degli eventi e degli incidenti di sicurezza. L attività di verifica ed analisi degli eventi generati è effettuata attraverso l utilizzo delle funzionalità e dagli strumenti del portale (VSOC Virtual SOC); il portale mette a disposizione, già normalizzati, gli eventi e gli allarmi generati. Il servizio è attivo h24. All automazione della generazione degli eventi di allarme effettuata dal SIEM segue, come in precedenza accennato, l attività di analisi dell evento; tale attività è svolta localmente dal personale tecnico che presidia i sistemi di Regione del Veneto. L attività di analisi è finalizzata a definire se l allarme è rappresentativo di un falso positivo o di un reale incidente. Nell ipotesi in cui l allarme sia originato da un reale incidente il personale tecnico agisce secondo un processo predefinito di gestione degli incidenti. c) servizio di Content Security (Antivirus) Il servizio provvede ad una gestione efficace delle contromisure atte a contrastare la diffusione dei codici malevoli, quali virus o worm su sistemi sia client (postazione di lavoro) sia server. Il servizio prevede anche la gestione sistemistica e la manutenzione dei componenti utilizzati. La rete regionale è dotata di un sistema antivirus che protegge preventivamente la rete Intranet ed i sistemi Server dagli effetti di un contagio da virus. La soluzione adottata, nell ottica dell alta disponibilità ed affidabilità si basa sulla suite di prodotti Symantec. Nello specifico su tutti Server Microsoft facenti parte del servizio GESIRV e su tutti i personal computer regionali gestiti all interno della gara DIR1/2008 è installato l antivirus Symantec Endpoint Protection. Il servizio erogato prevede la gestione dell intero sistema, comprendendo, tra le altre attività, la verifica dell aggiornamento delle signature dell antivirus ed il monitoraggio di situazioni anomale rilevabili attraverso le funzioni e le segnalazioni messe a disposizione dalla console di monitoraggio del prodotto. Il servizio è erogato attraverso l utilizzo di due server destinati alla gestione dell ambiente sia Server sia personal computer. d) servizio di Content Filtering (Antispam e URL filtering) Il servizio permette di ottimizzare l uso delle risorse infrastrutturali, quali la capacità di banda verso Internet o il sistema di Posta Elettronica (PEL), controllando l ammissibilità dei contenuti in transito rispetto alle politiche di sicurezza definite. Il servizio prevede anche la gestione sistemistica e la manutenzione dei dispositivi utilizzati (es. proxy).

18 ALLEGATO A Dgr n. del pag. 18/58 d.1. Antispam Data la rilevanza strategica dei sistemi di Posta Elettronica per l'operatività quotidiana della Regione del Veneto, particolare attenzione è stata attribuita ai sistemi di protezione di questo servizio. Nello specifico per l'operatività quotidiana della Regione del Veneto in tale contesto di servizio si inserisce la componente antispamming e più in generale la componente di Content Security e Filtering che preserva le caselle di posta regionali dalla ricezione di messaggi di posta non sollecitati (spamming) e di contenuti non idonei o malevoli. Il Progetto di Convergenza ha portato alla implementazione del prodotto Lotus Protector for Mail Security quale piattaforma di sicurezza della Posta Elettronica L architettura tecnologica prevede l esistenza di tre nodi distinti che replicano tra loro le configurazioni e che garantiscono l alta disponibilità del sistema di filtraggio. Queste tecnologie per la protezione dallo spam, dai virus e dal malware veicolati attraverso i messaggi di posta elettronica si avvale degli aggiornamenti quotidiani relativi allo spam (firme, URL, ecc.) provenienti dall IBM ISS Global Data Center, il nucleo della tecnologia IBM ISS per l analisi dei contenuti e per la scansione locale della posta elettronica, che consentono un filtraggio dello spam altamente efficiente ed efficace. d.2. URL filtering L accesso dei personal computer regionali alla rete Internet ed ai servizi e contenuti che la stessa rete mette a disposizione, non avviene direttamente, ma attraverso un server Proxy basato su software Microsoft ISA e previa fase di autenticazione ed autorizzazione. La componente proxy oltre a semplificare la gestione degli accessi ed eleva il grado di protezione dei personal computer regionali. A garanzia di una corretta navigazione, in linea con le politiche di Regione del Veneto (DGR n. 863 del , Allegato A, art. 10, comma 1 1 ) è stato introdotto un meccanismo filtraggio di siti non accessibili attraverso l utilizzo e la gestione di specifiche blacklist gestite da ISA Proxy. e) servizio di Security Host Hardening e.1. sicurezza sistemi server Il servizio provvede alla definizione, manutenzione e controllo delle politiche di configurazione e di aggiornamento dei sistemi server rilevanti per l Amministrazione Regionale, in termini di sistema operativo e di applicazioni di base. Tra le attività previste dal servizio si segnala: - L aggiornamento del software installato: il personale addetto provvede all aggiornamento del software di sistema dei server mediante l installazione di: nuove release, service pack, patch, suggerite dal produttore. Tali aggiornamenti sono effettuati a fronte di effettive necessità applicative e/o per correggere comportamenti anomali o bug. L aggiornamento delle hotfix di sicurezza, per eliminare le vulnerabilità individuate, è invece operato con cadenza periodica e comunque almeno con cadenza semestrale. Tuttavia le eventuali correzioni di sicurezza di livello critico possono essere applicate attraverso l esecuzione di attività di change in urgenza. 1 << L Amministrazione si impegna ad attuare, in primo luogo, misure tecniche di protezione contro l utilizzazione abusiva e i guasti tecnici (ad es. bloccando la navigazione in Internet nelle ore notturne e fino all inizio dell orario di servizio, filtrando taluni siti, etc.). Tali misure sono regolarmente adeguate allo stato più recente della tecnica. L adeguamento avviene anche dopo ogni problema tecnico.>>

19 ALLEGATO A Dgr n. del pag. 19/58 - Il controllo dei servizi accessibili da remoto: sui server sono attivi i servizi di rete strettamente necessari. Il personale addetto provvede alla regolare verifica dei servizi accessibili via rete (servizi in ascolto su porte prestabilite), procedendo alla disabilitazione dei servizi non strettamente necessari. - La configurazione dei sistemi server secondo best practice. e.2. sicurezza personal computer Fermo restando che il presente documento si riferisce prevalentemente alla sicurezza dei CED, il processo della sicurezza informatica non può prescindere da un corretto uso dei personal computer (fissi e portatili). Specifiche politiche di sicurezza, riguardanti l utilizzo dei personal computer, sono state diramate al personale ed implementate con l obiettivo di ridurre i rischi relativi alle minacce di sicurezza, preservando la confidenzialità, l integrità dei dati e la continuità dei servizi erogati dal servizio informatico regionale, anche con l adozione di configurazioni standard. L enforcement delle politiche emanate è stato effettuato mediante l applicazione di global policy a tutti gli utenti censiti in Active Directory, come descritte più oltre nel paragrafo Regole Comportamentali. Anche per i personal computer è previsto un aggiornamento costante delle hotfix di sicurezza per le quali non vi è data all utente la facoltà di rinunciare o rimandare l applicazione delle stesse. Sistema di Identity e Access Management E attivo un sistema di Identity and Access Management basato su servizi di Directory Service (es. LDAP) che raccoglie la globalità delle utenze regionali. Su tali servizi di directory poggiano le funzioni di profilatura e di autenticazione dell utenza per l accesso alle varie applicazioni. Il sistema di Identity consente di gestire in maniera integrata il processo di provisioning delle utenze (creazione, modifica, sospensione), nonché la funzione di autenticazione ed autorizzazione e di Web Single Sign On. Il sistema di autenticazione è centralizzato e svolge anche le funzioni di autorizzazione nonché di accounting per gli utenti della rete. Il sistema autenticazione usato prevalentemente si basa sull uso della coppia username / password. Controllo accessi logici L accesso ai server e dispositivi critici per attività di gestione ed amministrazione è consentito attraverso l utilizzo di protocolli sicuri quali SSH o RDP (protocollo per l Amministrazione dei server da parte degli Amministratori di Sistema). ovvero tramite la realizzazione di tunnel VPN/IPSEC. Per gli utenti provenienti dall esterno attraverso l utilizzo di VPN/IPSEC, il sistema di autenticazione si avvale di una architettura che fa uso del protocollo RADIUS.. Per gli utenti già autenticati a livello di rete, esiste un secondo livello di autenticazione ed autorizzazione gestito a livello applicativo basato sulla profilatura delle risorse e dei diritti di accesso ai dati (lettura, modifica/scrittura, cancellazione). Regole comportamentali ActiveDirectory e Norme Comportamentali per gli Utenti: la n. 540 del aveva già previsto l estensione del sistema centralizzato di gestione degli accessi (ActiveDirectory) alla totalità degli Utenti/Dipendenti regionali. La DGR, di cui sopra, aveva inoltre stabilito che tutti gli Utenti/Dipendenti regionali fossero censiti all interno del sistema centralizzato di gestione degli accessi (ActiveDirectory), al fine dell utilizzo delle applicazioni e dei servizi interni dell Amministrazione Regionale. Le predette soluzioni ed impostazioni sono state confermate dal documento: Norme Comportamentali per gli Utenti nell uso delle risorse informativo informatiche dell Amministrazione regionale, contenuto

20 ALLEGATO A Dgr n. del pag. 20/58 nell Allegato A alla DGR n. 240 del 15 marzo Tale deliberazione ha abrogato la precedente citata DGR n. 540 del La Giunta Regionale, in applicazione di quanto prescritto dal Garante per la protezione dei dati personali con provvedimento di data ("Lavoro: linee guida del Garante per Posta Elettronica e Internet") riguardante l'onere da parte dei datori di lavoro di specificare le modalità di utilizzo della posta elettronica e della rete internet da parte dei lavoratori, ha approvato altresì con DGR n. 863 del , un Disciplinare concernente l'utilizzo da parte dei propri dipendenti della posta elettronica, della rete internet e, in aggiunta a quanto previsto dal citato provvedimento del Garante, anche dei telefoni e fax. L'ambito di applicazione del citato documento è esteso, oltre ai dipendenti, anche ai dirigenti, a qualsiasi titolo inseriti nell'organizzazione regionale, senza distinzione di ruolo e/o livello, nonché ai collaboratori dell'amministrazione, a prescindere dal rapporto contrattuale intrattenuto con la stessa. L'Amministrazione Regionale, in base a quanto prescritto dall articolo 4 dello Statuto dei lavoratori, ha elaborato il suddetto Disciplinare, definendo un testo condiviso sia con le organizzazioni sindacali del Comparto che della Dirigenza. Attraverso l adozione delle norme comportamentali di cui sopra, la Regione del Veneto intende perseguire i seguenti obiettivi: - responsabilizzare gli utenti sulla necessità di utilizzare in modo "sicuro" le risorse informatiche dell Amministrazione Regionale; - minimizzare i rischi relativi alla sicurezza informatica; - preservare la confidenzialità/integrità dei dati e la continuità dei servizi erogati; - garantire la conformità dell accesso/utilizzo della rete regionale rispetto alle leggi e normative vigenti. Tabella 2). Le misure di sicurezza adottate o da adottare Minaccia Contrastata: è indicata la minaccia individuata nell analisi dei rischi che motiva l adozione della misura prevista. Misure già in essere: contiene l elenco delle contromisura già adottate. Misure da adottare e/o rinforzare: indica tra le misure proposte per contrastare le minacce, quelle che si prevede di adeguare o intensificare in un piano di implementazione della sicurezza. Si ricorda che le misure in oggetto riguardano i server con cui si effettuano trattamenti di dati sensibili e giudiziari, che sono situati nel CED presso la Direzione Sistemi Informativi. Minaccia Contrastata Misure Misure adottate Misure da adottare e/o rafforzare

ALLEGATOA alla Dgr n. 734 del 21 maggio 2013 pag. 1/58

ALLEGATOA alla Dgr n. 734 del 21 maggio 2013 pag. 1/58 giunta regionale 9^ legislatura ALLEGATOA alla Dgr n. 734 del 21 maggio 2013 pag. 1/58 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 2013 dati personali trattati con strumenti elettronici (server) siti presso

Dettagli

ALLEGATO A Dgr n. del pag. 1/46

ALLEGATO A Dgr n. del pag. 1/46 giunta regionale 9^ legislatura ALLEGATO A Dgr n. del pag. 1/46 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 2011 Per il trattamento di dati personali effettuato con strumenti elettronici siti presso il CED

Dettagli

Documento Programmatico sulla Sicurezza Parte generale

Documento Programmatico sulla Sicurezza Parte generale Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili

Dettagli

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196) Premessa

Dettagli

Documento programmatico sulle misure di sicurezza adottate per il trattamento dei dati personali con strumenti elettronici e supporti cartacei

Documento programmatico sulle misure di sicurezza adottate per il trattamento dei dati personali con strumenti elettronici e supporti cartacei Documento programmatico sulle misure di sicurezza adottate per il trattamento dei dati personali con strumenti elettronici e supporti cartacei In base al disciplinare tecnico in materia di misure di sicurezza

Dettagli

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DATI A.S. 2014/2015

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DATI A.S. 2014/2015 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DATI A.S. 2014/2015 Scuola Ipsia Dalmazio Birago Sede legale e operativa Corso Novara 65 10154 Torino Data redazione: 2.10.2012 Versione 1 Rev. 05 anno 2014/2015

Dettagli

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INDICE 1 OGGETTO... 2 2 DEFINIZIONI... 2 3 ORGANIZZAZIONE, COMPITI E RESPONSABILITA... 3 4 TRATTAMENTI EFFETTUATI... 4 4.1 TRATTAMENTI INTERNI... 4 4.2

Dettagli

Informazioni sul documento programmatico sulla sicurezza DPS Simone Zabberoni

Informazioni sul documento programmatico sulla sicurezza DPS Simone Zabberoni Informazioni sul documento programmatico sulla sicurezza DPS Simone Zabberoni Sicurezzainrete qualche dettaglio introduttivo http://www.sicurezzainrete.com/documento_programmatico_sulla_sicurezza.htm Le

Dettagli

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

Allegato 2. Scheda classificazione delle minacce e vulnerabilità Allegato 2 Scheda classificazione delle minacce e vulnerabilità LEGENDA In questa tabella si classificano le minacce per tipologia e si indica l impatto di esse sulle seguenti tre caratteristiche delle

Dettagli

A.1.1 Elenco dei trattamenti dei dati personali (Regola 19.1) Struttura di riferimento. 2 Repertorio decreti informatico Area Affari Generali SI 3

A.1.1 Elenco dei trattamenti dei dati personali (Regola 19.1) Struttura di riferimento. 2 Repertorio decreti informatico Area Affari Generali SI 3 Sezione A Dipartimento regionale del, dei Servizi Generali, di Quiescenza, Previdenza ed Assistenza del e uffici di diretta collaborazione dell Assessore ubicati in viale della Regione Siciliana n. 2226

Dettagli

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P. BOZZA D.P.S. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.iva Documento Programmatico sulla Sicurezza Indice finalità del documento inventario dei beni in dotazione

Dettagli

Progetto NAC (Network Access Control) MARCO FAGIOLO

Progetto NAC (Network Access Control) MARCO FAGIOLO Progetto NAC (Network Access Control) MARCO FAGIOLO Introduzione Per sicurezza in ambito ICT si intende: Disponibilità dei servizi Prevenire la perdita delle informazioni Evitare il furto delle informazioni

Dettagli

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI Questo documento illustra il quadro delle misure di sicurezza, organizzative, fisiche e logiche, adottate per il trattamento dei

Dettagli

Piano per la sicurezza dei documenti informatici

Piano per la sicurezza dei documenti informatici Allegato 1 Piano per la sicurezza dei documenti informatici 1 Sommario 1 Aspetti generali...3 2 Analisi dei rischi...3 2.1 Misure di sicurezza... 4 3 Misure Fisiche...4 3.1 Controllo accessi... 4 3.2 Sistema

Dettagli

ANALISI DELL INFRASTRUTTURA IT

ANALISI DELL INFRASTRUTTURA IT ITAS ANALISI DELL INFRASTRUTTURA IT Criticità di sicurezza Trento Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

Normativa sulla privacy negli. USA: http://aspe.hhs.gov/admnsimp/pl104191.htm Italia: http://www.garanteprivacy.it/garante/doc.jsp?

Normativa sulla privacy negli. USA: http://aspe.hhs.gov/admnsimp/pl104191.htm Italia: http://www.garanteprivacy.it/garante/doc.jsp? Normativa sulla privacy negli USA e in Italia USA: http://aspe.hhs.gov/admnsimp/pl104191.htm Italia: http://www.garanteprivacy.it/garante/doc.jsp?id=1042761 Complementi di Informatica Medica 1. Anno Accademico

Dettagli

Regione del Veneto. Norme comportamentali per gli Utenti. nell uso delle risorse informativo informatiche dell Amministrazione regionale

Regione del Veneto. Norme comportamentali per gli Utenti. nell uso delle risorse informativo informatiche dell Amministrazione regionale giunta regionale 9^ legislatura Regione del Veneto Norme comportamentali per gli Utenti nell uso delle risorse informativo informatiche dell Amministrazione regionale A cura della Direzione Sistema Informatico

Dettagli

Documento unico. composto da numero di pagine. Si richiede l apposizione del timbro postale per la data certa. Data. Firma del Presidente

Documento unico. composto da numero di pagine. Si richiede l apposizione del timbro postale per la data certa. Data. Firma del Presidente Documento unico composto da numero di pagine Si richiede l apposizione del timbro postale per la data certa. Data Firma del Presidente PROCEDURA PER IL TRATTAMENTO DEI DATI PERSONALI E DOCUMENTO PROGRAMMATICO

Dettagli

ORDINE DEGLI PSICOLOGI DELLA TOSCANA DOCUMENTO PROGRAMMATICO SULLA SICUREZZA. (ai sensi dell allegato B, 19, d. lgs. 196/2003 e successive modifiche)

ORDINE DEGLI PSICOLOGI DELLA TOSCANA DOCUMENTO PROGRAMMATICO SULLA SICUREZZA. (ai sensi dell allegato B, 19, d. lgs. 196/2003 e successive modifiche) ORDINE DEGLI PSICOLOGI DELLA TOSCANA DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ai sensi dell allegato B, 19, d. lgs. 196/2003 e successive modifiche) approvato dal Consiglio dell Ordine degli Psicologi

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Ministero dell Ambiente e della Tutela del Territorio e del Mare

Ministero dell Ambiente e della Tutela del Territorio e del Mare Ministero dell Ambiente e della Tutela del Territorio e del Mare DIREZIONE GENERALE PER GLI AFFARI GENERALI E DEL PERSONALE Divisione III Sistemi Informativi RDO PER LA FORNITURA DEL SERVIZIO PER LA CONDUZIONE

Dettagli

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI COMUNE DI ROSSANO VENETO SERVIZI INFORMATICI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI Allegato A) INDICE 1 INTRODUZIONE 2 ASPETTI GENERALI 2.1 Contenuti 2.2 Responsabilità 2.3 Applicabilità

Dettagli

Documento Programmatico sulla Sicurezza (D. Lgs. n. 196/2003 Codice in materia di Protezione dei Dati Personali )

Documento Programmatico sulla Sicurezza (D. Lgs. n. 196/2003 Codice in materia di Protezione dei Dati Personali ) Documento Programmatico sulla Sicurezza (D. Lgs. n. 196/2003 Codice in materia di Protezione dei Dati Personali ) DPS - Vers. 2.8 del 12/12/2014 pag. 1 di 10 1. Introduzione al Documento... 3 1.1 vità

Dettagli

CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA

CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA Una proposta per rispondere alla misura 4.4 (o e ) del Provvedimento del Garante del 28 novembre 2008. E' possibile dare il proprio

Dettagli

Si S curezza a sw w net il c orr r e r tto design del t uo s istema i nform r atico una soluzione

Si S curezza a sw w net il c orr r e r tto design del t uo s istema i nform r atico una soluzione Sicurezza asw net il corretto design del tuo sistema informatico una soluzione Sicurezza asw net un programma completo di intervento come si giunge alla definizione di un programma di intervento? l evoluzione

Dettagli

PROCEDURA PRIVACY PER RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI

PROCEDURA PRIVACY PER RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI Pag. 1 di 11 PROCEDURA PRIVACY PER RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI REV. DATA REDATTO APPROVATO Rev. 2 aprile 2014 Dr. Egidio Sesti Referente Aziendale Privacy Dr. Vitaliano De Salazar Direttore

Dettagli

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Obblighi di sicurezza e relative sanzioni Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy L adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

DIREZIONE GENERALE DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA. Dipartimento di Staff Aziendale. S.C. Centro Controllo Direzionale

DIREZIONE GENERALE DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA. Dipartimento di Staff Aziendale. S.C. Centro Controllo Direzionale DIREZIONE GENERALE DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA Dipartimento di Staff Aziendale S.C. Centro Controllo Direzionale S.C. Organizzazione dei Presidi Ospedalieri S.C. Comunicazione Sanitaria

Dettagli

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale

Dettagli

COMUNE DI TERNI DIREZIONE SICUREZZA E POLIZIA LOCALE CORPO DI POLIZIA MUNICIPALE GRUPPO OPERATIVO AFFARI GENERALI

COMUNE DI TERNI DIREZIONE SICUREZZA E POLIZIA LOCALE CORPO DI POLIZIA MUNICIPALE GRUPPO OPERATIVO AFFARI GENERALI COMUNE DI TERNI DIREZIONE SICUREZZA E POLIZIA LOCALE CORPO DI POLIZIA MUNICIPALE GRUPPO OPERATIVO AFFARI GENERALI Ufficio di Segreteria Cod. Fisc./Part. I.V.A. 00175660554 DOCUMENTO PROGRAMMATICO SULLA

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

G E N O V A -- P A R C H E G G I Documento di sintesi sulla protezione dei dati personali

G E N O V A -- P A R C H E G G I Documento di sintesi sulla protezione dei dati personali TITOLARE DEL TRATTAMENTO: Dott. Giovan Battista Seccacini RESPONSABILE DEL TRATTAMENTO: Sig. Persico Ermanno G E N O V A -- P A R C H E G G I Documento di sintesi sulla protezione dei dati personali Scopo

Dettagli

14/06/2004. Modalità controllo Verifica in campo Periodicità controllo Annuale. Tipologia Misura Fisica Data ultimo aggiornamento 15/12/2005

14/06/2004. Modalità controllo Verifica in campo Periodicità controllo Annuale. Tipologia Misura Fisica Data ultimo aggiornamento 15/12/2005 ID Misura M-001 Compilata Boscolo Paolo Data da Descrizione sintetica Impianto di allarme Gli spazi interessati alla misura in oggetto sono dotati di impianto di allarme in grado di rilevare e segnalare

Dettagli

Disciplinare per l uso dei sistemi informativi nell Unione Reno Galliera e nei comuni aderenti

Disciplinare per l uso dei sistemi informativi nell Unione Reno Galliera e nei comuni aderenti Disciplinare per l uso dei sistemi informativi nell Unione Reno Galliera e nei comuni aderenti Approvato con Delibera di Giunta N. 19 del 29/06/2010 Parte I Aspetti generali e comportamentali... 2 Art.

Dettagli

Liceo Scientifico Statale Leonardo. Regolamento per l utilizzo di telecamere nelle aree all aperto di pertinenza dell Istituto

Liceo Scientifico Statale Leonardo. Regolamento per l utilizzo di telecamere nelle aree all aperto di pertinenza dell Istituto Liceo Scientifico Statale Leonardo liceo artistico - liceo linguistico liceo scientifico delle scienze applicate Via F. Balestrieri, 6-25124 Brescia Regolamento per l utilizzo di telecamere nelle aree

Dettagli

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009 Premessa Le informazioni di seguito riportate sono riferite a tutto ciò che attiene (dal punto di vista logistico, organizzativo

Dettagli

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici Comune di Nola Provincia di Napoli Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici Sommario Articolo I. Scopo...2 Articolo II. Riferimenti...2 Articolo III. Definizioni

Dettagli

Riservatezza e protezione dei dati personali negli enti locali in relazione al codice Privacy: l esperienza del Comune di Treviglio

Riservatezza e protezione dei dati personali negli enti locali in relazione al codice Privacy: l esperienza del Comune di Treviglio Riservatezza e protezione dei dati personali negli enti locali in relazione al codice Privacy: l esperienza del Comune di Treviglio Ambito di applicazione e finalità Art. 1 (Diritto alla protezione dei

Dettagli

La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows. Relatore :Ing. Giuseppe Bono gbono@soluzionidimpresa.

La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows. Relatore :Ing. Giuseppe Bono gbono@soluzionidimpresa. La sicurezza delle reti informatiche : la legge sulla Privacy e la piattaforma Windows Relatore :Ing. Giuseppe Bono gbono@soluzionidimpresa.it Legge 196/03: principi base E il D.Lgs. n 196 del 30 giugno

Dettagli

DIREZIONE GENERALE DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA. Dipartimento di Staff Aziendale. S.C. Organizzazione dei Presidi Ospedalieri

DIREZIONE GENERALE DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA. Dipartimento di Staff Aziendale. S.C. Organizzazione dei Presidi Ospedalieri DIREZIONE GENERALE DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA Dipartimento di Staff Aziendale S.C. Centro Controllo Direzionale S.C. Organizzazione dei Presidi Ospedalieri S.S.D. Controllo di Gestione

Dettagli

Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B

Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B Pagina 1 di 18 Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B Pagina 2 di 18 SCOPO DEL (DPS) GR Elettronica S.r.l. (di seguito azienda),

Dettagli

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati

CNIPA. Codice privacy Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati CNIPA "Codice privacy" 26 novembre 2007 Sicurezza dei dati Quando si parla di sicurezza delle informazioni, i parametri di riferimento da considerare sono: Integrità Riservatezza Disponibilità 1 I parametri

Dettagli

PRIVACY.NET. La soluzione per gestire gli adempimenti sulla tutela dei dati in azienda

PRIVACY.NET. La soluzione per gestire gli adempimenti sulla tutela dei dati in azienda open > PRIVACY.NET La soluzione per gestire gli adempimenti sulla tutela dei dati in azienda next > Il software è rivolto a: Chiunque tratta dati personali, con e senza strumenti elettronici, è tenuto

Dettagli

REGOLAMENTO COMUNALE RETE CIVICA COMUNALE

REGOLAMENTO COMUNALE RETE CIVICA COMUNALE REGOLAMENTO COMUNALE PER LA GESTIONE ED IL FUNZIONAMENTO DELLA RETE CIVICA COMUNALE Approvato con delibera di C.C. n. 93 del 4.11.2009 Modificato con delibera di C.C. n. 90 del 18.12.2014 ART.1 OGGETTO

Dettagli

La tutela della Privacy. Annoiatore: Stefano Pelacchi

La tutela della Privacy. Annoiatore: Stefano Pelacchi La tutela della Privacy Annoiatore: Stefano Pelacchi 1 Appunti Le organizzazioni del volontariato possono assumere qualsiasi forma giuridica prevista dal Libro I del Codice Civile compatibile con il proprio

Dettagli

Documento programmatico sulla sicurezza (ai sensi D.L.vo 196 del 30/06/03)

Documento programmatico sulla sicurezza (ai sensi D.L.vo 196 del 30/06/03) Documento programmatico sulla sicurezza (ai sensi D.L.vo 196 del 30/06/03) DISPOSIZIONI MINIME SULLA SICUREZZA E DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Il presente documento si compone di n. 13 pagine

Dettagli

Privacy. Argomenti della presentazione 9MARZO 2006. genesys software srl

Privacy. Argomenti della presentazione 9MARZO 2006. genesys software srl genesys software srl SISTEMI INFORMATIVI Via Rodolfo Redi, 3-70124 BARI Tel. 080/561.90.01 Fax 080/561.43.91 E-mail: genesys@genesysnet.it 9MARZO 2006 Privacy Argomenti della presentazione 1 PRIVACY IL

Dettagli

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo SISTEMA DI TELECONTROLLO RILHEVA GPRS (CARATTERISTICHE DEL VETTORE GPRS E SICUREZZE ADOTTATE) Abstract: Sicurezza del Sistema di Telecontrollo Rilheva Xeo4 ha progettato e sviluppato il sistema di telecontrollo

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

Ministero dell Ambiente e della Tutela del Territorio e del Mare

Ministero dell Ambiente e della Tutela del Territorio e del Mare Ministero dell Ambiente e della Tutela del Territorio e del Mare DIREZIONE GENERALE PER GLI AFFARI GENERALI E DEL PERSONALE Divisione III Sistemi Informativi RDO PER LA FORNITURA DEL SERVIZIO PER LA GESTIONE

Dettagli

MANSIONARIO PRIVACY. 1 Generalità 1. 2 Incaricati 3. 3 Incaricato all Amministrazione del Sistema 5. 4 Incaricato alla Custodia della Parole Chiave 6

MANSIONARIO PRIVACY. 1 Generalità 1. 2 Incaricati 3. 3 Incaricato all Amministrazione del Sistema 5. 4 Incaricato alla Custodia della Parole Chiave 6 1 Generalità 1 2 Incaricati 3 3 all Amministrazione del Sistema 5 4 alla Custodia della Parole Chiave 6 5 al Salvataggio dei Dati 7 6 alla Custodia della Sede Operativa 8 A Elenco degli Incaricati 9 B

Dettagli

CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE

CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEGLI STUDI LEGALI (DPS) Redatto ai sensi e per gli effetti dell art. 34, c. 1, lett. g) del D.Lgs 196/2003 e del

Dettagli

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Presentazione Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241

Dettagli

COMUNE DI CARMIANO. Provincia di Lecce

COMUNE DI CARMIANO. Provincia di Lecce COMUNE DI CARMIANO Provincia di Lecce Procedura aperta per l'affidamento del servizio di assistenza e manutenzione Hardware, Software di base, Sistemistica del SIC. Capitolato Tecnico 1. DEFINIZIONE DEL

Dettagli

PROVINCIA DI BENEVENTO

PROVINCIA DI BENEVENTO PROVINCIA DI BENEVENTO FORNITURA DI SERVIZI DI PRESIDIO DEL CENTRO DI CALCOLO E MANUTENZIONE CORRETTIVA ED EVOLUTIVA DEL SISTEMA INFORMATIVO DEL SETTORE AMMINISTRATIVO ALLEGATO TECNICO AL CAPITOLATO SPECIALE

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

FONDAMENTI DI DIRITTO DELL INFORMATICA

FONDAMENTI DI DIRITTO DELL INFORMATICA MASSIMO FARINA 171 3. Le disposizioni generali: principi Il Codice della privacy si apre, all art. 1, con un chiaro principio Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Il

Dettagli

1. Conoscenza dei dati trattati. 2. Conoscenza degli strumenti utilizzati. 3. Conoscenza del proprio ruolo all interno della struttura

1. Conoscenza dei dati trattati. 2. Conoscenza degli strumenti utilizzati. 3. Conoscenza del proprio ruolo all interno della struttura Corso 196/03 per i Responsabili e gli Incaricati del Trattamento Dati Percorso Formativo per l Incaricato del Trattamento Dati: Pre-requisiti: 1. Conoscenza dei dati trattati 2. Conoscenza degli strumenti

Dettagli

DIREZIONE GENERALE DIREZIONE SANITARIA DIREZIONE AMMINISTRATIVA. Servizio Prevenzione e Protezione. Dipartimento di Staff Aziendale

DIREZIONE GENERALE DIREZIONE SANITARIA DIREZIONE AMMINISTRATIVA. Servizio Prevenzione e Protezione. Dipartimento di Staff Aziendale DIREZIONE GENERALE DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA Servizio Prevenzione e Protezione Dipartimento di Staff Aziendale S.C. Centro Controllo Direzionale S.C. Sistemi Informativi S.S.D. Controllo

Dettagli

Regolamento per la videosorveglianza Titolare dei dati dott.ssa Giuseppina Presutto

Regolamento per la videosorveglianza Titolare dei dati dott.ssa Giuseppina Presutto Regolamento per la videosorveglianza Titolare dei dati dott.ssa Giuseppina Presutto INDICE Introduzione TITOLO I - Descrizione Art. 1. Definizioni specifiche Art. 2. Definizioni D.Lgs. n. 196/03 TITOLO

Dettagli

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Marco Misitano, CISSP, CISM Advanced Technologies, Security Cisco Systems Italy misi@cisco.com

Dettagli

Remote Service Solution. Descrizione del Servizio

Remote Service Solution. Descrizione del Servizio Remote Service Solution Descrizione del Servizio Redattore: Alberto Redi Luogo e Data Lugano, 25 Novembre 2008 Status: Finale All attenzione di: Protocollo: Security Lab Sagl ViaGreina 2 - CH 6900 Lugano

Dettagli

Comune di Nola Provincia di Napoli. Disciplinare interno per l utilizzo di Internet e posta elettronica da parte dei dipendenti

Comune di Nola Provincia di Napoli. Disciplinare interno per l utilizzo di Internet e posta elettronica da parte dei dipendenti Comune di Nola Provincia di Napoli Disciplinare interno per l utilizzo di Internet e posta elettronica da parte dei dipendenti Sommario 1. Oggetto... 2 2. Modalità di utilizzo delle postazioni di lavoro...

Dettagli

Strumenti digitali e privacy. Avv. Gloria Galli

Strumenti digitali e privacy. Avv. Gloria Galli Strumenti digitali e privacy Avv. Gloria Galli Codice in materia di protezione dei dati personali: Decreto legislativo n. 196 del 30/06/2003 Art. 4. Definizioni trattamento, qualunque operazione o complesso

Dettagli

Regolamento al trattamento dati per la piattaforma "Sofia" e Misure di Sicurezza adottate

Regolamento al trattamento dati per la piattaforma Sofia e Misure di Sicurezza adottate Regolamento al trattamento dati per la piattaforma "Sofia" e Pagina 1 di 10 INDICE 1. Definizioni 3 2. Individuazione dei tipi di dati e di operazioni eseguibili 4 3. Titolare del trattamento, oneri informativi

Dettagli

LORO SEDI. OGGETTO: Misure minime di sicurezza previste dal D. Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali)

LORO SEDI. OGGETTO: Misure minime di sicurezza previste dal D. Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali) Prot. n. 15546 Lecce, 24 giugno 2004 Ai Presidi di Facoltà Ai Direttori di Dipartimento e dei Centri con autonomia contabile e gestionale Ai Responsabili di Progetto Ai Direttori delle Scuole di Specializzazione

Dettagli

security Firewall UTM

security Firewall UTM security Firewall UTM Antispam Firewall UTM Antivirus Communication VPN IDS/IPS Security MultiWAN Hotspot MultiZona Aggiornamenti automatici Proxy Collaboration IP PBX Strumenti & Report Monitraggio Grafici

Dettagli

201509241305 Manuale di Gestione MIUR ALLEGATO n. 5 Pag. 1

201509241305 Manuale di Gestione MIUR ALLEGATO n. 5 Pag. 1 Indice dei contenuti GENERALITÀ 1. ASPETTI DI SICUREZZA INERENTI LA FORMAZIONE DEI DOCUMENTI 2. ASPETTI DI SICUREZZA INERENTI LA GESTIONE DEI DOCUMENTI 3. COMPONENTE ORGANIZZATIVA DELLA SICUREZZA 4. COMPONENTE

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

Tecnologie Informatiche. security. Rete Aziendale Sicura

Tecnologie Informatiche. security. Rete Aziendale Sicura Tecnologie Informatiche security Rete Aziendale Sicura Neth Security è un sistema veloce, affidabile e potente per la gestione della sicurezza aziendale, la protezione della rete, l accesso a siti indesiderati

Dettagli

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali Manuale Informativo Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali INDEX Il D.Lgs. 196/2003 Termini e Fondamenti Gli attori Organizzazione e Responsabilità

Dettagli

Il nuovo codice in materia di protezione dei dati personali

Il nuovo codice in materia di protezione dei dati personali Il nuovo codice in materia di protezione dei dati personali Si chiude il capitolo, dopo sette anni dalla sua emanazione, della legge 675 sulla privacy. Questa viene sostituita da un testo di legge unico

Dettagli

Fac-simile documento programmatico sulla sicurezza nel trattamento dei dati personali

Fac-simile documento programmatico sulla sicurezza nel trattamento dei dati personali Fac-simile documento programmatico sulla sicurezza nel trattamento dei dati personali Scopo di questo documento è di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, da

Dettagli

PIANO DI SICUREZZA DEI DOCUMENTI INFORMATICI (ver. 1.0)

PIANO DI SICUREZZA DEI DOCUMENTI INFORMATICI (ver. 1.0) Manuale di gestione informatica dei documenti Comune di Castelfranco Emilia ALLEGATO 9 PIANO DI SICUREZZA DEI DOCUMENTI INFORMATICI (ver. 1.0) Sommario Acronimi... 2 Obiettivi... 2 Generalità... 2 Formazione

Dettagli

IT for education. soluzioni avanzate per la gestione della rete informatica del tuo Istituto

IT for education. soluzioni avanzate per la gestione della rete informatica del tuo Istituto IT for education soluzioni avanzate per la gestione della rete informatica del tuo Istituto Gli Istituti Scolastici spesso non sono dotati di una struttura centralizzata ed efficiente dedicata alla gestione

Dettagli

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00 Documento Programmatico sulla Sicurezza delle Informazioni Ver. 1.00 20 Ottobre 1998 InfoCamere S.C.p.A. Documento Programmatico sulla Sicurezza delle Informazioni Indice 1. Introduzione...3 2. Principi

Dettagli

DISCIPLINARE AZIENDALE IN MATERIA DI UTILIZZO E CONTROLLO DEGLI STRUMENTI INFORMATICI

DISCIPLINARE AZIENDALE IN MATERIA DI UTILIZZO E CONTROLLO DEGLI STRUMENTI INFORMATICI DISCIPLINARE AZIENDALE IN MATERIA DI UTILIZZO E CONTROLLO DEGLI STRUMENTI INFORMATICI Entrata in vigore:02/03/10 PREMESSO CHE La Società (di seguito indicata anche come titolare ) mette a disposizione

Dettagli

Istituto Comprensivo Statale Villanova d Asti (AT) Scuola dell Infanzia, Primaria, Secondaria di 1

Istituto Comprensivo Statale Villanova d Asti (AT) Scuola dell Infanzia, Primaria, Secondaria di 1 Pagina 1 di 8 REGOLAMENTO SULL USO DI INTERNET E DELLA POSTA ELETTRONICA MESSO A DISPOSIZONE DEI DIPENDENTI PER L ESERCIZIO DELLE FUNZIONI D UFFICIO () Approvato con deliberazione del Consiglio di Istituto

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

ISTRUZIONI PER IL TRATTAMENTO DEI DATI PERSONALI

ISTRUZIONI PER IL TRATTAMENTO DEI DATI PERSONALI ALLEGATO 2 ISTRUZIONI PER IL TRATTAMENTO DEI DATI PERSONALI Con questo documento si intende offrire: - una precisazione in ordine ai termini ed ai concetti più frequentemente richiamati dalla normativa

Dettagli

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI REGOLAMENTO CONCERNENTE LA NOMINA E LE FUNZIONI DELL AMMINISTRATORE DI SISTEMA E GLI ADEMPIMENTI IN MATERIA DI OSSERVANZA DELLE MISURE DI SICUREZZA PRIVACY 1 ARTICOLO 1 - SCOPO DEL REGOLAMENTO Il presente

Dettagli

(Allegato C ) Allegato C. Misure di sicurezza. Il presente allegato descrive le caratteristiche della

(Allegato C ) Allegato C. Misure di sicurezza. Il presente allegato descrive le caratteristiche della (Allegato C ) Allegato C Misure di sicurezza Il presente allegato descrive le caratteristiche della piattaforma e le misure adottate per garantire l'integrita' e la riservatezza dei dati scambiati e conservati,

Dettagli

Parco del Mincio Documento Programmatico sulla Sicurezza

Parco del Mincio Documento Programmatico sulla Sicurezza Documento Programmatico sulla Sicurezza Codice in materia di protezione dei dati personali D. Lgs. 196 / 2003 2 / 24 1) Oggetto e Definizioni Il presente documento ha la funzione di informare gli incaricati

Dettagli

mission alta disponibilità resilienza paradigma buon senso

mission alta disponibilità resilienza paradigma buon senso 1 Fill In the Blanks ha, fin dalla sua nascita, avuto una specifica mission: progettare e realizzare architetture informatiche ad alta disponibilità, quindi con caratterizzazione di una accentuata resilienza.

Dettagli

Open Source Day 2013. Marco Vanino mvan@spin.it

Open Source Day 2013. Marco Vanino mvan@spin.it Open Source Day 2013 La sicurezza negli ambienti virtualizzati Marco Vanino mvan@spin.it Sicurezza in ambiente virtualizzato 1 computer fisico = 1 computer logico Virtualizzazione 1 computer fisico = N

Dettagli

Registro elettronico scuola ospedaliera rel. 5.0

Registro elettronico scuola ospedaliera rel. 5.0 Registro elettronico scuola ospedaliera rel. 5.0 REGOLAMENTO SULL USO DEL REGISTRO ELETTRONICO E NORME SUL RISPETTO DELLA PRIVACY 1/8 DOCENTE AMMINISTRATORE SCUOLA OSPEDALIERA Riferimenti normativi I riferimenti

Dettagli

L'anno il giorno del mese di, nella sede municipale del Comune di Nome_Ente

L'anno il giorno del mese di, nella sede municipale del Comune di Nome_Ente CONVENZIONE FRA IL COMUNE DI NOME_ENTE E PUBBLICHE AMMINISTRAZIONI O GESTORI DI PUBBLICO SERVIZIO, PER L'ACCESSO IN CONSULTAZIONE DELLA BANCA DATI DELL ANAGRAFE DELLA POPOLAZIONE L'anno il giorno del mese

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING Il servizio, fornito attraverso macchine server messe

Dettagli

Autorità per l Informatica nella Pubblica Amministrazione

Autorità per l Informatica nella Pubblica Amministrazione Autorità per l Informatica nella Pubblica Amministrazione Lotto 2 - Interoperabilità Allegato C/1 INDICE PROGETTO TECNICO INDICE DEL PROGETTO 1 SERVIZI PER L'INTEROPERABILITÀ NEL DOMINIO DELLA RETE UNITARIA

Dettagli

U N CASE DI SUCCESSO NEL SETTORE ASSICURATIVO

U N CASE DI SUCCESSO NEL SETTORE ASSICURATIVO U N CASE DI SUCCESSO NEL SETTORE ASSICURATIVO Aditinet Consulting SpA Sede Legale: viale Odone Belluzzi, 57 00128 Roma tel. 06.45439252, fax 06.45439253 Partita IVA e Codice Fiscale: 04137280964 Capitale

Dettagli

C e n t o. 9 6 ti mette in regola con la Legge sulla Privacy

C e n t o. 9 6 ti mette in regola con la Legge sulla Privacy Privacy 2004 Il Nuovo Testo Unico sulla Privacy (D.L. n.196 del 30 giugno 2003) è già in vigore. Le norme prevedono vincoli rigorosi e pene severe in caso di inadempienza. Impegnarsi autonomamente per

Dettagli

MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI D.Lgs. 196/03 artt.31-36 Allegato B Art. 31 (Obblighi di sicurezza) 1. I dati personali oggetto di trattamento sono custoditi e controllati,

Dettagli

Esempio di Documento Programmatico sulla Sicurezza per una Pubblica Amministrazione

Esempio di Documento Programmatico sulla Sicurezza per una Pubblica Amministrazione Esempio di Documento Programmatico sulla Sicurezza per una Pubblica Amministrazione Agenda Sessione 1 Sessione 2 Scenario Elementi essenziali del DPS Analisi del contesto Sessione 3 Analisi dei rischi

Dettagli

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012 Architetture dei WIS Prof.ssa E. Gentile a.a. 2011-2012 Definizione di WIS Un WIS può essere definito come un insieme di applicazioni in grado di reperire, cooperare e fornire informazioni utilizzando

Dettagli

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Sicurezza: esperienze sostenibili e di successo Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Dott. Sergio Rizzato (Ferplast SpA) Dott. Maurizio

Dettagli

Realizzazione di hotspot wireless per l Università degli Studi di Milano

Realizzazione di hotspot wireless per l Università degli Studi di Milano Realizzazione di hotspot wireless per l Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI STUDI DI MILANO Workshop GARR-X, 3 Aprile 2008 Agenda

Dettagli

INFORMATIVA AI SENSI DELL'ART. 13 DEL DECRETO LEGISLATIVO 30 GIUGNO 2003 - CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

INFORMATIVA AI SENSI DELL'ART. 13 DEL DECRETO LEGISLATIVO 30 GIUGNO 2003 - CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI 1 Informativa Privacy Fondazione Ettore Sansavini per Ricerca Scientifica Onlus INFORMATIVA AI SENSI DELL'ART. 13 DEL DECRETO LEGISLATIVO 30 GIUGNO 2003 - CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Dettagli