DOCUMENTO PROGRAMMATICO DELLA SICUREZZA 2015 (D.Lgs 30 giugno 2003, 196)

Transcript

1 DOCUMENTO PROGRAMMATICO DELLA SICUREZZA 2015 (D.Lgs 30 giugno 2003, 196) Desio, 28 Febbraio 2015 Certificato Settore EA38,37 Servizi Sociali e Socio-Sanitari, Formazione Professionale, Orientamento e Integrazione lavorativa Azienda Speciale Consortile Consorzio Desio Brianza Via Lombardia, Desio (MB) Tel Fax web: C.F P.I DPS Pag.1/30

2 1 Finalità e ambito d applicazione Finalità Ambito d applicazione delle presenti direttive Analisi della situazione attuale Livello di Sicurezza fisica Livelli di responsabilità Tipologia archivi Archivi elettronici Archivi su PC non collegati Archivi su PC in rete locale Archivi cartacei Hardware Workstation Stampante e plotter Schede PCMCIA Assistente Personale Digitale (PDA) Software Aspetti legali Windows 2003/ XP Professional/Windows Strategia applicativi Office nel CoDeBri Applicazioni di Windows Software individuali Acquisizioni Standard Windows Workstation (Intel) Reti e comunicazione Terminologia Intranet Amministrazione generale Hardware Software Workstation Internet Dominio Internet Indirizzi Indirizzi personali Indirizzi istituzionali Regole ortografiche per indirizzi personali e ufficiali Indirizzi ufficiali Cookie Addestramento iniziale e continuo Addestramento iniziale Addestramento e formazione continua Addestramento specifico per gli incaricati del trattamento dei dati Gestione del Sistema Informatico del CoDeBri (Sicurezza) Hardware e sistemi Supporto applicazioni Sviluppo Appendici A Funzioni del Responsabile del Sistema Informatico A.1 Indicazioni generali A.2 Compiti nei confronti del CoDeBri B Responsabilità degli utenti DPS Pag.2/30

3 B.1 Consapevolezza dei collaboratori B.2 Protezione dei dati B.2.1 Workstation collegate in rete B.2.2 Workstation stand-alone e apparecchi portatili B.2.3 Misure generali B.3 Utilizzo delle password B.4 Protezione da virus B.5 Accesso ai dati in Internet B.6 Disposizioni sull uso indebito dell lntranet B.7 Installazioni B.8 Legislazione sulla protezione dei dati C Sicurezza tecnica C.1 Misure di C.2 Fonti di pericolo C.3 Misure C.3.1 Protezione tramite password C.3.2 Protezione dell accesso C.3.3 Protezione da virus C Procedimento in caso di comparsa di virus C.3.4 Backup giornaliero C.3.5 Misure relative all hardware C.3.6 Misure edilizie C.3.7 Ulteriori misure di D Scambio di dati (Esportazione/Importazione) D.1 Indicazioni fondamentali D.2 Presupposti D.2.2 Scambio di dati per E Impiego di computer portatili E.2 Computer portatili E.2.1 Configurazione E.2.2 Dati E.2.3 Update E.2.4 Salvataggio di E.2.5 Ripristino E.3 Sicurezza dei dati e protezione da virus F Salvataggio di uniforme F.1 Indicazioni fondamentali F.2 Svolgimento F.4 Compiti e responsabilità F.5 Conservazione e durata dei supporti di backup H. Terminologia DPS Pag.3/30

4 1 Finalità e ambito d applicazione 1.1 Finalità Le presenti direttive rappresentano il documento programmatico per la (DPS) e regolano l impiego delle risorse informatiche e documentali all interno della AZIENDA SPECIALE CONSORTILE CONSORZIO DESIO-BRIANZA (di seguito denominata CoDeBri). Tale documento è stato predisposto in modo da rispondere alle disposizioni del DL 196/2003. Ogni anno, viene aggiornato in relazione all evoluzione del settore e/o nel caso in cui subentrino, nel corso dell anno modifiche che implichino ulteriori revisioni del documento. Con l osservanza di queste direttive, s intende incentivare l impiego economico e rispettoso della normativa di legge di tutti i sistemi informatici, l armonizzazione nell acquisto, nella gestione e manutenzione dei componenti del sistema, nel collegamento dei dati in rete e nell addestramento. Questo documento è indirizzato a tutto il personale del CoDeBri (sia dipendente che esterno). 1.2 Ambito d applicazione delle presenti direttive Queste direttive sono vincolanti per il personale di tutte le sedi del CoDeBri: DESIO e sedi operative dislocate nel territorio di cui l azienda risulti responsabile per quanto concerne le operazioni di raccolta e gestione dei dati relativi agli utenti oggetto del contratto di somministrazione di servizi di assistenza stipulati con i proprietari degli immobili. 1.3 Analisi della situazione attuale CoDeBri è un Ente Pubblico, creato come Consorzio di funzioni nel 1982 da sei Comuni: Bovisio Masciago, Cesano Maderno, Desio, Muggiò, Nova Milanese e Varedo. Dal 1 gennaio 2009 è diventato Azienda Speciale Consortile, mantenendo il brand di Consorzio Desio-Brianza e la specificità di Ente Pubblico economico. Dalla costituzione si occupa della realtà territoriale nell Area della Formazione professionale, dell Orientamento e dei Servizi al Lavoro, in particolare compresi quelli per persone con disabilità. Dal 1987 poi, CoDeBri rivolge un attenzione particolare e aggiuntiva al mondo della disabilità, significata oggi dall Area Servizi alla Persona che gestisce 4 Centri Diurni per Disabili, il SID (Servizio Integrazione Disabili nelle scuole del territorio e di Assistenza domiciliare per disabili nei Comuni), dal 2011 Servizi relativi a Minori e famiglia (Psicologia di Ambito, Affidi e altro ancora). L analisi della situazione del trattamento dei dati è stata condotta tenendo conto del tipo di attività svolta dalla nostra azienda. L organizzazione delle attività è articolata come segue: Direzione generale. Direzione Amministrativa e delle Risorse Umane. Formazione professionale, Orientamento e Lavoro. Servizi alla Persona. CoDeBri dispone di 5 sedi: La sede legale, è situata a DESIO in VIA LOMBARDIA, 59. In questa sede vengono svolte le attività direzionali e le attività didattiche della Formazione professionale e dei Servizi al Lavoro dell azienda e sono conservati gli archivi cartacei e informatici relativi alle attività svolte dall azienda. Una Sede operativa (Centro Diurno Disabili - CDD) di CESANO MADERNO in VIA COL DI LANA, 13. In questa sede vengono svolte attività socio educative per allievi disabili e sono conservati una parte degli archivi cartacei ma non quelli informatici, (il centro è interconnesso alla sede centrale tramite VPN) relativi alle attività svolte dal centro. Una Sede operativa (Centro Diurno Disabili - CDD) di DESIO in VIA SANTA LIBERATA, 52. In questa sede vengono svolte attività socio educative per allievi disabili e sono conservati una parte degli archivi cartacei ma non quelli informatici, (il centro è interconnesso alla sede centrale tramite VPN) relativi alle attività svolte dal centro. DPS Pag.4/30

5 Una Sede operativa (Centro Diurno Disabili - CDD) di MUGGIÒ in VIA DANTE, 5. In questa sede vengono svolta attività socio educative per allievi disabili e sono conservati una parte degli archivi cartacei ma non quelli informatici, (il centro è interconnesso alla sede centrale tramite VPN) relativi alle attività svolte dal centro. Una Sede operativa (Centro Diurno Disabili - CDD) di NOVA MILANESE in VIA BRODOLINI, 13. In questa sede viene svolta attività socio educative per allievi disabili e sono conservati una parte degli archivi cartacei ma non quelli informatici, (il centro è interconnesso alla sede centrale tramite VPN) relativi alle attività svolte dal centro. Una Sede operativa (Centro Diurno Integrato - CDI) di DESIO in CORSO ITALIA, 6. In questa sede viene svolta attività di assistenza per aziani e sono conservati una parte degli archivi cartacei ma non quelli informatici, (il centro è interconnesso alla sede centrale tramite internet e sistema di RDS Windows) relativi alle attività svolte dal centro. Una Sede operativa (Servizio Integrazione Lavoro - SIL) di MACHERIO in VIA ROMA, 38. In questa sede viene erogato il servizio di supporto per l integrazione al lavoro e sono conservati una parte degli archivi cartacei ma non quelli informatici, (il centro è interconnesso alla sede centrale tramite internet e sistema di RDS Windows) relativi alle attività svolte dal centro. Il personale operativo in organico alla data di redazione della presente è pari a 192 unità. Per trattamento dei dati, sono presenti negli archivi alcune informazioni sulle opinioni sindacali dei dipendenti e sulla salute di quest ultimi, queste ultime necessarie per la redazione dei documenti inerenti la posizione retributiva di ogni addetto, sono inoltre presenti informazioni riservate relativamente agli allievi disabili, si configura pertanto la sensibilità dei dati, come previsto dalla legge. Occorre, quindi, che i dati siano trattati con tutti quegli accorgimenti tecnici necessari a ridurre al minimo i rischi di manipolazione delle informazioni contenute negli archivi. Dal punto di vista fisico e logico, la situazione dell azienda si presenta in termini relativamente positivi, poiché sono già in essere alcune condizioni minime di garanzia. Oltretutto da parte dei nostri operatori vi è sempre stata una certa sensibilità a un trattamento sicuro e discreto dei dati sensibili. Vi sono però alcuni aspetti critici, sui quali stiamo intervenendo, che si elencano di seguito: gli incarichi per il trattamento dei dati, formalizzati con disposizioni scritte, verranno aggiornati ogni volta che cambiano gli operatori interessati; continua attenzione debbono avere gli archivi cartacei, per quanto riguarda la loro chiusura a chiave, la manipolazione e la conservazione dei documenti ivi contenuti, per le quali sono state impartite opportune istruzioni; per quanto riguarda gli archivi elettronici è stata effettuata la loro riorganizzazione, tramite la creazione di un unica rete locale e un archivio centrale, dislocato sul server aziendale situato nella sede principale di DESIO e collocato all interno di una stanza appositamente adeguata a tale scopo. Per gli archivi elettronici è stato inoltre completato e messo in funzione il sistema di protezione tramite password e user-id, che però va costantemente monitorato. Tenendo conto della situazione complessiva descritta, si può affermare che esiste, allo stato attuale, una certa metodologia di trattamento e di, anche se questa necessita di essere sviluppata secondo le indicazioni di legge. Senza tale sviluppo, potrebbe presentarsi qualche rischio, di entità ritenuta bassa, che potrebbe comunque mettere a repentaglio la dei dati posseduti. 1.4 Livello di Gli archivi contengono dati comuni, sensibili e giudiziari. Si ritiene di conseguenza di adottare, per motivi di cautela, le disposizioni di protezione adeguate ai dati sensibili, non essendo peraltro possibile tenere completamente separati gli uni dagli altri. 1.5 Sicurezza fisica Gli archivi cartacei sono collocati per tutte le sedi in armadi di legno o di ferro, dotati di serrature di. I dati contenuti negli archivi elettronici dei personal computer sono salvati periodicamente ed inoltre sono effettuate prove periodiche di ripristino. Periodicamente sono testate le procedure di riutilizzo. DPS Pag.5/30

6 1.6 Livelli di responsabilità Titolare del trattamento dei dati è il CoDeBri, mentre responsabile del trattamento è il suo rappresentante legale. Si distinguono però tre livelli di responsabilità. 1. responsabile del trattamento dei dati e della o amministratore di sistema. 2. incaricati del trattamento dei dati. 3. responsabile informatico. Il responsabile dei dati sovrintende alle risorse del sistema informativo dell azienda e ne consente l accesso e l utilizzo. Gli incaricati del trattamento dati sono coloro che sono stati autorizzati dal responsabile a compiere operazioni sui dati cui hanno accesso. Gli incaricati non sono tutti gli utenti, né gli utenti sono tutti incaricati. Gli incaricati possono accedere solo ai dati strettamente necessari ai loro compiti. Gli incarichi sono effettuati per iscritto e sono aggiornati ogni sei mesi o comunque più frequentemente, se necessario. Il responsabile informatico, in accordo con il Responsabile del trattamento dati, garantisce il buon funzionamento del sistema informatico, valuta i rischi che si corrono, avanza proposte di modifica del DPS. DPS Pag.6/30

7 2 Tipologia archivi 2.1 Archivi elettronici Per quanto riguarda la logica, si prevedono misure che riguardano sia i trattamenti di dati effettuati tramite archivi e supporti elettronici, sia i trattamenti di dati effettuati tramite archivi e supporti cartacei. I dati trattati tramite archivi elettronici si possono suddividere in due categorie: quelli trattati con elaboratori elettronici non accessibili da altri elaboratori o altri strumenti elettronici (detti stand alone), quelli trattati con elaboratori elettronici, accessibili da altri elaboratori o altri strumenti elettronici e collegati tra loro attraverso una rete locale non disponibile al pubblico. Per ognuna di queste categorie s individuano di seguito le misure di protezione minime Archivi su PC non collegati La misura minima prevista è l uso di password di accesso al PC da parte dell utilizzatore, da aggiornare ogni 90 giorni; la disconnessione dell utente in caso di pausa e di allontanamento dalla postazione per un periodo superiore a 5 minuti; l uso di programmi antivirus, da aggiornare mensilmente Archivi su PC in rete locale Le misure minime previste sono l uso di password di accesso alla rete locale da parte dell utilizzatore, da aggiornare ogni 90 giorni; l uso di un codice identificativo personale (user-id) da parte di ciascun utente o incaricato del trattamento dei dati; la disconnessione dell utente in caso di pausa e di allontanamento dalla postazione per un periodo superiore a 15 minuti; l uso di programmi antivirus, da aggiornare giornalmente; autorizzazioni di accesso singole o per gruppi di lavoro rilasciate agli incaricati del trattamento o della manutenzione. 2.2 Archivi cartacei Le misure previste sono le seguenti: 1 accesso riservato agli incaricati del trattamento dei dati, individuati per iscritto dal responsabile della ; 2 individuazione di un incaricato per ogni archivio effettuata dal responsabile della ; 3 chiusura a chiave degli archivi al termine della giornata di lavoro. DPS Pag.7/30

8 3 Posizione e compiti della funzione di responsabile informatico Il sistema informatico del CoDeBri è gestito dalla funzione Responsabile del Sistema Informatico che dipende dalla direzione generale Tale funzione (di seguito identificata come RSI) è stata introdotta con lo scopo di centralizzare le attività inerenti alla gestione e protezione del sistema informatico e di relazionarsi con i fornitori. Il compito principale del RSI nei confronti dell intero CoDeBri è il supporto professionale di tutti i collaboratori a livello informatico, i compiti comprendono: la garanzia di un funzionamento IT sicuro e affidabile la gestione e la manutenzione di tutti i componenti del sistema (contratti) la gestione e la manutenzione del sistema di dati collegati in rete l addestramento e la consulenza la valutazione e il test di componenti hardware e software la gestione di progetti IT e la coordinazione con i fornitori la coordinazione dello sviluppo ulteriore del sistema informatico la coordinazione dello sviluppo di software sulla base di sistemi operativi e linguaggi di programmazione indipendenti dai produttori (evitando il proliferare delle soluzioni individuali) In quest ambito, il RSI deve continuamente effettuare ottimizzazioni, valutando da una parte le esigenze fondate dei collaboratori e dall altra le possibilità tecniche di hardware e software offerte dal mercato, dando tuttavia priorità al rapporto costi e profitti. Al RSI spetta inoltre la costante osservazione del mercato dell informatica, per rilevarne continuamente le direzioni dello sviluppo e lasciarle confluire nelle direttive sull informatica. DPS Pag.8/30

9 4 Hardware Tutto l hardware (incl. le periferiche come, CD, DVD, stampanti, scanner ecc.) viene acquistato, collaudato e installato dal RSI che coordina i servizi offerti dai fornitori. 4.1 Workstation A livello delle workstation, vengono supportati sistemi operativi con Windows 7 e successive evoluzioni. I requisiti minimi vengono costantemente valutati e adattati alle nuove esigenze. 4.2 Stampante e plotter Questo mercato è soggetto ad un continuo mutamento, l RSI cerca di effettuare le scelte in base ai seguenti criteri: Copertura delle esigenze (network approach) Concetto generale Redditività (acquisto, manutenzione) Stabilità Disponibilità del software Assistenza La pratica ha dimostrato che solo apparecchi collaudati preservano da spiacevoli sorprese, per questo motivo, i nuovi modelli vengono consigliati e approvati per l utente finale solo dopo un collaudo di funzionamento eseguito dal RSI. 4.3 Schede PCMCIA Per workstation portatili (laptop, notebook), il collegamento a reti pubbliche e private viene reso possibile tramite schede integrate o tramite tecnologia WIFI. 4.4 Assistente Personale Digitale (PDA) Nel corso dello sviluppo tecnico, gli apparecchi portatili sono diventati sempre più piccoli e funzionali. Per gli assistenti digitali, viene implementato e supportato il collegamento ad Outlook. In questo modo, gli assistenti personali digitali con calendario, compiti, appunti ecc., vengono sincronizzati con il computer sul posto di lavoro. In merito alla sincronizzazione di , valgono le direttive riportate nell Appendice D. Il software di sincronizzazione viene installato e configurato dal RSI. Il RSI assicura il collegamento alla workstation. Per il supporto dei sistemi sopra menzionati, il RSI non è responsabile. DPS Pag.9/30

10 5 Software Nella valutazione del software, si tiene notevolmente conto dell aspetto relativo ai sistemi operativi e applicazioni quotati sul mercato, nonché dei criteri della compatibilità e dell integrabilità. La limitazione dei sistemi operativi, delle applicazioni e dei dati è il presupposto fondamentale per il funzionamento redditizio, flessibile e quanto più possibile affidabile all interno del CoDeBri. Da queste riflessioni, sono stati costituiti gli standard di software per CoDeBri. Tutti gli standard vengono testati prima dell approvazione da parte del RSI. 5.1 Aspetti legali Solo i software di cui si disponga della licenza sono validi. Questo principio fa parte delle direttive quadro del CoDeBri. La violazione di questo principio rappresenta un reato punibile penalmente. Allo stesso modo, è di regola punibile la contemporanea installazione di una licenza su più sistemi. Una licenza valida costituisce in ogni caso il presupposto per il supporto da parte del produttore o commerciante. I diritti sullo sviluppo o sul software configurati da parte delcodebri restano riservati a quest ultima, In questo modo, è vietata la trasmissione del software o di sue descrizioni tecniche a terzi senza approvazione della direzione generale. 5.2 Windows 2003/2008/2012 Windows 2003/2008 sono i Sistemi Operativi standard per le interfacce col server. 5.3 Windows 7 Sistema operativo standard per interfacce e workstation Strategia applicativi Office nel CoDeBri I seguenti prodotti valgono come standard per le workstation. Sistema operativo: Windows 7 Applicativi: Office 2010/2013 Professional Applicazioni di Windows Le direttive per il settore informatico vengono aggiornate di anno in anno. Poiché i termini dei cicli dei prodotti e dei cicli degli aggiornamenti non possono essere fissati in coincidenza con quelli delle direttive per il settore informatico, se necessario, le versioni attuali dei software e le date di attivazione vengono regolate in comunicazioni interne separate. Tipo di prodotto Nome Commento Antivirus Microsoft Security Essential Sa Microsoft Screensaver Vengono impiegati solo salvaschermo originali Microsoft Pacchetto per ufficio Microsoft Office 2010/ Word 2010/2013 Videoscrittura - Excel 2010/2013 Fogli elettronici - Powerpoint 2010/2013 Presentazioni Desktop Publishing Adobe Acrobat 9.0/10.x PDF Outlook 2010/2013 Mail Client Compressione file Sistema nativo di Windows Winzip Software di sincronizzazione per - MS Activ-Sync assistente digitale Browser WWW MS Internet Explorer 9.X e versioni succesive Google Chrome DPS Pag.10/30

11 5.4 Software individuali Acquisizioni I software individuali, ad es. software di Windows vengono acquistati esclusivamente dopo aver interpellato il RSI Standard Windows Workstation (Intel) Nell ambito dell uniformazione e dell ottimizzazione dei costi, vengono create configurazioni standard di Windows. Dello standard per le workstation fanno parte i seguenti prodotti: Prodotto Hardware attuale Sistema operativo Windows 7 Pacchetto per ufficio MS Office Professional Mail, calendario MS Outlook Antivirus Microsoft SC Endpoint Protection Compressione file Sistema nativo di windows Browser WWW MS Internet Explorer DPS Pag.11/30

12 6 Reti e comunicazione 6.1 Terminologia Per la terminologia vedi l appendice. 6.2 Intranet Amministrazione generale La rete delcodebri viene amministrata esclusivamente dal RSI. Il RSI definisce e documenta per ogni rete i dati di configurazione essenziali come: Range di indirizzi Default Router, maschera di rete Indirizzi per i server di tutti i servizi Assegnazione di nomi Hardware Le reti locali (LAN) sono strutturate sul base ETHERNET. Il protocollo utilizzato è TCP/IP. I componenti di rete, come l hub, il router, il bridge, il terminal server, il repeater e il transceiver, vengono utilizzati dal RSI secondo lo stato della tecnica rispettivamente più avanzato, in considerazione delle esigenze effettive Software Con Windows Server è disponibile TCP/IP. La definizione dei parametri di rete deve essere assicurata dal RSI Workstation L incorporazione delle workstation avviene tramite il server Windows 2008.Le workstation vengono impiegate solo nella rete. Il trasferimento di dati è possibile su usb key o con altri supporti solo se preventivamente autorizzati dalla direzione generale/rsi (si veda l Appendice C e D). 6.3 Internet Dominio Internet Il dominio per la presenza sul mercato mondiale del CoDeBri è: Questi domini sono di proprietà esclusiva del CoDeBri. Gli indirizzi devono essere riportati su documenti ufficiali e moduli nel modo seguente: Indirizzo Web Spiegazione Master Web-Server CONSORZIO Alias di codebri.mb.it 6.4 Indirizzi Indirizzi personali Di seguito andremo a spiegare le assegnazioni di nomi degli indirizzi . Per indirizzare una mail al singolo utente (indirizzi personali), viene utilizzato il seguente formato: nomecognome@codebri.mb.it Esempio: marcorossi@codebri.mb.it DPS Pag.12/30

13 6.4.2 Indirizzi istituzionali Ai collaboratori, che sono impiegati in Aree/Funzioni, possono essere assegnati indirizzi neutrali e non personali. Vale lo stesso formato dell indirizzo personale (si veda il punto 6.4.1). Esempio: area/funzione@codebri.mb.it uff.qualita@codebri.mb.it uff.amministrazione@codebri.mb.it oppure qualita@codebri.mb.it direzione@codebri.mb.it Regole ortografiche per indirizzi personali e ufficiali Maiuscole/minuscole Generalmente vengono utilizzati caratteri minuscoli. Caratteri speciali I caratteri speciali come é, è,, ecc. vengono scritti senza accento e segni diacritici. Ad. es. René rene Nomi Nomi composti I nomi separati da uno spazio o una cosiddetta Middle Initial vengono separati da un punto (.) Ad es. Anna Maria - anna.maria Cognomi Cognomi composti I cognomi separati da uno spazio vengono separati da una lineetta Ad es. Buffa Buccheri buffa-buccheri Nomi di partner Se ne sconsiglia l uso, tuttavia se necessario trattare come cognomi composti Prefissi e articoli I prefissi e gli articoli vengono separati da un punto (.) Ad es. d Anzi d.anzi La Mattina la.mattina Aggiunta L aggiunta viene utilizzata solo quando viene acquisita una seconda persona con lo stesso nome (ossia, la persona acquisita per prima non ha mai un aggiunta). L aggiunta viene stabilita nel modo seguente: nessuna aggiunta marco.rossi@codebri.mb.it numerazione (1..) marco.rossi.1@codebri.mb.it Indirizzi ufficiali Su documenti ufficiali e moduli è consentito solo l uso dei seguenti indirizzi: formazione@codebri.mb.it direzionegenerale@codebri.mb.it sp@codebri.mb.it Per la presenza sul mercato, viene utilizzato lo stesso dominio codebri.mb.it 6.5 Cookie Alcuni Web Server necessitano depositare le informazioni relative ai cookie (vedere terminologia in appendice) sul disco rigido del computer, per consentire una corretta identificazione dell utente. Depositando il cookie, il Web Server può registrare l ultima azione eseguita e ricominciare da quel punto, quando l utente prosegue. Si raccomanda a tal fine di navigare solo su pagine con contenuto inerente al lavoro; infatti, solo i fornitori seri si preoccupano di impiegare i cookie solo al fine di migliorare il proprio servizio e non per causare danni o per spiare informazioni. DPS Pag.13/30

14 7 Addestramento iniziale e continuo Il RSI è responsabile dell addestramento del software di base messo a disposizione. Laddove è opportuno, il RSI collabora con offerenti di corsi e formatori esterni. 7.1 Addestramento iniziale Ogni nuovo collaboratore del CoDeBri viene addestrato, all atto della assunzione, in merito alla modalità di gestione del sistema informatico, per le parti di sua competenza, della posta elettronica, della navigazione su internet (nell ipotesi in cui la sua attività richieda l utilizzo di tale strumento) e degli applicativi di office (nella misura in cui ne è richiesta l utilizzazione). 7.2 Addestramento e formazione continua Il RSI rileva annualmente le esigenze di formazione, relative alla innovazione tecnologica, specifiche per i vari collaboratori. Tali esigenze sono predisposte sulla base delle esigenze di mercato ed organizzative interne, delle opportunità connesse alla innovazione tecnologica, e delle carenze rilavate nel corso del periodo precedente. Tale raccolta di esigenze viene, a seguito del benestare della Direzione, eventualmente coinvolgendo fornitori esterni, direttamente dal RSI e debita approvazione della direzione generale. 7.3 Addestramento specifico per gli incaricati del trattamento dei dati Gli incaricati per il trattamento dei dati sono scelti dalla Direzione, coadiuvata dal RSI, tra persone dotate di adeguata esperienza, capacità ed affidabilità in base alle esigenze di trattamento di dati presenti all interno del CoDeBri. devono essere formati, con frequenza almeno annuale, sotto la responsabilità del RSI in relazione ai: rischi che incombono sui dati misure per prevenire eventi dannosi disciplina sulla protezione dei dati più rilevanti in rapporto alle relative attività responsabilità che ne derivano modalità per aggiornarsi sulle misure minime adottate del CoDeBri Inoltre l aggiornamento della attività formativa è svolto in occasione di ogni cambiamento di mansioni o introduzione di nuovi e significativi strumenti rilevanti per il trattamento dei dati informatici. DPS Pag.14/30

15 8 Gestione del Sistema Informatico del CoDeBri (Sicurezza) Il RSI in collaborazione con il Responsabile della è responsabile della delle macchine che si trovano sotto la sua custodia (ad es. accesso, accesso ai dati, protezione antincendio, condizionamento dell aria, sistema di potenza a continuità assoluta). Sempre sotto la sua responsabilità avviene il salvataggio di (backup) (si veda l Appendice F). Il RSI regola la protezione tramite password sui computer che si trovano sotto la sua assistenza. Per motivi di, la password di sistema è nota solo al RSI ed al Responsabile Amministrativo. 8.1 Hardware e sistemi Il RSI è responsabile del funzionamento corretto dell hardware e di tutti i sistemi IT. Ne fanno parte soprattutto i seguenti compiti. Manutenzione dell hardware Assicurazione della manutenzione da parte di fornitori Eliminazione di problemi di hardware in cooperazione con il produttore Espansioni dell hardware Installazione di aggiornamenti del sistema operativo Assicurazione dello stato aggiornato della versione del sistema operativo Data mirroring Manutenzione e espansione del data mirroring Riconoscimento di dischi guasti ed esecuzione delle misure necessarie di eliminazione dei guasti Backup / Ripristino Esecuzione e controllo giornaliero del backup Ripristino dell intero sistema o di singoli file in caso di necessità Verifica del nastro di backup ed esecuzione di test di ripristino Manutenzione dello Spooling del sistema operativo Configurazione di nuove stampanti Eliminazione di guasti in caso di problemi alle periferiche Riorganizzazione Performance e Tuning Monitoraggio della performance del sistema e introduzione di eventuali misure necessarie di tuning. 8.2 Supporto applicazioni Ricezione di comunicati dei collaboratori Analisi dei comunicati (errore, consulting, customizing ecc.) Ricerca ed installazione di patch corrispondenti Correzione di impostazioni errate Istruzione e addestramento dei collaboratori al fine di evitare errori di manipolazione Consulting per questioni riguardanti funzioni ed attività complesse per questioni riguardanti le procedure nell ambiente di Microsoft Office non documentate o impartite a sufficienza Autorizzazioni Consulenza, acquisizione e gestione di profili di autorizzazione sulla base delle prescrizioni della direzione DPS Pag.15/30

16 9 Sviluppo Il livello di rischio evidenziato impone comunque lo sviluppo di misure adeguate, che si descrivono di seguito: 1. Inventario dettagliato di tutte le dotazioni HW e Sw di proprietà dell azienda; 2. adozione di direttive e di misure per ridurre i rischi connessi a possibile leggerezza nell uso dei personal computer e controllo del loro rispetto; 3. predisposizione di direttive adeguate a garantire la chiusura a chiave di tutti gli armadi contenenti archivi cartacei di dati sensibili, 4. interventi di formazione del personale interessato alla del trattamento dati, 5. aggiornamento di lettere formali di incarico di trattamento dei dati secondo le diverse competenze. DESIO L AZIENDA SPECIALE CONSORTILE CONSOZIO DESIO-BRIANZA IL LEGALE RAPPRESENTANTE e DPS Pag.16/30

17 Appendici A Funzioni del Responsabile del Sistema Informatico A.1 Indicazioni generali Il responsabile del sistema informatico (RSI) gode delle competenze necessarie e la sua posizione all interno del CoDeBri è in staff alla direzione generale come definita, nel mansionario e nell organigramma allegati in modo tale da consentirgli di adempiere efficientemente ed efficacemente ai compiti assegnatigli, ricorrendo se necessario al supporto/consulenza di fornitori esterni. A.2 Compiti nei confronti del CoDeBri Il responsabile per l informatica RSI: sottopone alla direzione generale del CoDeBri i problemi che si verificano tra gli utenti (errori di sistema, errori di programma, problemi di hardware, errori di utenti) per valutare azioni correttive volte ad eliminare le cause dei problemi; coordina tutti i contatti con gli utenti e li sostiene in caso di necessità nella localizzazione di errori e nell eliminazione di problemi o guasti; coordina tutti i contatti con i fornitori; monitora regolarmente lo stato dell Hardware e del Software; verifica che il salvataggio di dati dei computer siano eseguiti secondo le direttive; rileva le esigenze di addestramento in informatica (formazione base e continua) dei propri utenti e presenta richieste in merito per il budget annuale relativo all addestramento; supporta le Aree/Sedi/Servizi in tutte le questioni d informatica e predispone il supporto corrispondente. B Responsabilità degli utenti B.1 Consapevolezza dei collaboratori I dati salvati in forma elettronica costituiscono un capitale del CoDeBri. Ogni collaboratore deve essere consapevole del significato e deve operare con l accuratezza e il dovere di fedeltà opportuni. Con l impiego di , WWW e FTP, si consente lo scambio elettronico mondiale di dati. Ogni importazione di dati (ossia il salvataggio di dati provenienti da fonti esterne sulla workstation o sul server dei dati) comporta il rischio di infettarsi con virus. Per questo motivo, è necessario richiamare l attenzione dei collaboratori sui pericoli e sulla necessità di. Gli aspetti della vengono trasferiti alla responsabilità propria dei singoli collaboratori incaricati. I collaboratori devono essere periodicamente istruiti sui propri doveri e responsabilità da parte del responsabile per l informatica del CoDeBri. B.2 Protezione dei dati B.2.1 Workstation collegate in rete Tutti i dati devono essere archiviati sul server centrale e non sulle workstation. Sul server, i dati sono protetti dalla password personale. E opportuno che ogni qualvolta ci si allontana dal posto di lavoro con la workstation attiva, la stessa venga messa in stato di blocco di, diversamente provvederà in automatico il sistema trascorsi 5 minuti. B.2.2 Workstation stand-alone e apparecchi portatili Tutte le workstation stand-alone (workstation non collegate alla rete) e gli apparecchi portatili (laptop, notebook, assistenti digitali personali) devono essere protetti tramite password dall utilizzo non autorizzato. E opportuno che il tempo di standby per ogni workstation o portatile sia al massimo di 5 minuti. Per le workstation stand-alone, il backup centrale non ha luogo. L utente è di conseguenza responsabile del salvataggio periodico dei propri dati. Il dipendente, nell uso degli apparecchi mobili, deve assicurare che DPS Pag.17/30

18 nessuna persona non autorizzata abbia accesso al computer. Ciò vale in particolar modo per l utilizzo fuori sede, ad es. in viaggio, a casa o presso la sede di clienti. B.2.3 Misure generali I file possono avere un carattere molto riservato (ad es. dati sensibili o dati di mercato), per questo motivo, necessitano di particolari misure protettive: la duplicazione deve essere limitata solo ai casi effettivamente indispensabili i dati sensibili (ad es. banche dati con riferimenti politici, sindacali, religiosi, riconducibili a disabilità di ogni genere) devono essere ulteriormente protetti mediante password. i dati temporanei, ossia quei dati che vengono esportati da un altra applicazione per essere letti con una seconda applicazione, devono essere cancellati immediatamente dopo il loro utilizzo. quando si abbandona il posto di lavoro, anche per l intervallo di pranzo, si deve spegnere la workstation (risparmio di energia) o attivare il salvaschermo protetto con password personale, di modo che non possano essere scaricati dati in modo incontrollato su supporti portatili ad uso improprio. B.3 Utilizzo delle password Le password sono personali, ossia è nella responsabilità del collaboratore che non ne venga fatto uso illecito. Se si rende necessario conservare la password per iscritto, deve essere conservata in un luogo inaccessibile a persone non autorizzate. Ogni password deve essere cambiata ogni 90 giorni ad intervalli regolari. A tal fine il sistema segnalerà ai collaboratori, la necessità di modificare la password. Come password, si deve scegliere una cosiddetta password robusta caratterizzata da: lunghezza uguale o superiore agli 8 caratteri alfanumerica che contenga sia numeri che lettere, meglio ancora se con maiuscole e caratteri speciali evitare di scegliere nomi legati all ambiente lavorativo o personale, quindi nessun nome, data di nascita, indirizzo, numero di telefono, di membri della propria famiglia o della cerchia di conoscenze B.4 Protezione da virus L utilizzo di supporti di dati esterni (CD, DVD, supporti ottici, memorie USB), allegati di e file trasferiti richiede cautela. I programmi antivirus sono disponibili su tutte le workstation. Ogni utente è assolutamente obbligato ad utilizzare la scansione antivirus, quando vengono salvati dati da fonti esterne. I file compressi devono essere decompressi prima che si possa controllare la presenza di virus. Senza approvazione del RSI, non è consentito copiare o scaricare sulle workstation file eseguibili (ad es..exe,.com,.bat). B.5 Accesso ai dati in Internet L accesso ad Internet è consentito solo per scopi di lavoro. Non è consentito al dipendente di accedere a dati il cui contenuto sia dubbio o di trasferirli nella rete del CoDeBri. Questo vale in particolar modo per dati di contenuto illecito, come l istigazione ad atti criminali, pornografia ecc. B.6 Disposizioni sull uso indebito dell lntranet Non è consentito ad alcun collaboratore di stabilire collegamenti (link) per scopi privati dalla propria Home page privata agli indirizzi personali del CoDeBri (ad es. dominio codebri.mb.it). Non è inoltre consentita la deviazione elettronica di da o verso post office privati per l uso privato. B.7 Installazioni Il collaboratore non può installare alcun software senza l approvazione del RSI. Ciò vale in particolar modo per apparecchi portatili. È vietato inoltre il collegamento di hardware privato alle workstation (modem, stampante, disk, drive CD- ROM, scheda audio, microfono). DPS Pag.18/30

19 B.8 Legislazione sulla protezione dei dati Sono vincolanti le disposizioni di legge sulla protezione dei dati per tutti i collaboratori che hanno accesso a dati o ne eseguono il trattamento/elaborazione. Punto centrale della legge sono tuttavia i dati personali e la protezione della personalità. Per impedire che i dipendenti entrino inutilmente in conflitto con le disposizioni della legge, è valido il seguente regolamento: Non è consentito salvare o gestire dati personali a tenore della legge sulla protezione dei dati su computer al di fuori della rete (computer del posto di lavoro, laptop, notebook). Eventuali eccezioni motivate necessitano dell autorizzazione del responsabile del trattamento dei dati del CoDeBri. C Sicurezza tecnica Le seguenti misure di contribuiscono in maniera essenziale alla dell ambiente informatico. Esse devono essere sistematicamente messe in atto, rispettate e controllate da ogni collaboratore. Gli utenti sono infatti tenuti ad attenersi alle sue prescrizioni. C.1 Misure di Prevenzione dei danni, ossia misure preventive (che hanno la massima priorità) Diminuzione dei danni: misure atte a mantenere la conseguenza del danno la più ridotta possibile. Poiché sussiste sempre un rischio residuo, quest ultimo non può essere trascurato, pertanto sarà compito del RSI definire un piano di come procedere in caso di un guasto del disco, disaster recovering. C.2 Fonti di pericolo Il rischio maggiore è costituito come sempre dall uomo. Si può trattare sia di collaboratori del CoDeBri che di terzi, i danni possono insorgere involontariamente (errori di manipolazione), per negligenza (inavvertenza, leggerezza) in mala fede e/o con dolo (atto criminale). In tutte e tre le categorie menzionate, una seria fonte di pericolo è costituita dai virus. Difetti tecnici: guasto del sistema e delle periferiche, mancanza di corrente, difetti nella rete (LAN/WAN) ecc. Danni causati da elementi naturali come fulmini, fuoco, acqua, terremoti ecc. Sabotaggio C.3 Misure C.3.1 Protezione tramite password Nessun tipo di accesso alla rete deve essere possibile senza protezione con password Nessuna workstation stand-alone o apparecchi portatili deve essere accessibile senza password Nessuna assegnazione di account la cui password deve essere nota a più dipendenti. Le password utilizzate devono sempre essere di tipo robusto C.3.2 Protezione dell accesso Le persone hanno accesso solo ai dati di cui necessitano realmente. La struttura delle directory e i diritti di accesso sono dimensionati in modo corrispondente. C.3.3 Protezione da virus I programmi antivirus vengono installati su tutti i server di dati e su tutte le workstation con Windows (inclusi i computer portatili). Il RSI si occupa della loro fornitura, distribuzione e installazione. C Procedimento in caso di comparsa di virus Quando il virus compare, il software antivirus riconosce il virus, ma non sempre lo può eliminare. se ciò avvenisse l interessato invia una comunicazione al RSI con una descrizione dettagliata. Il RSI controlla se questo virus e le misure di soppressione siano già noti. DPS Pag.19/30

20 Se il virus e le misure di soppressione sono già noti, il RSI invia una Mail a tutti i collaboratori con: argomento, descrizione, sintomi, effetti, procedimento, termine, scadenza con feedback dei responsabili al RSI, oppure prende se possibile le misure necessarie direttamente Se il virus non è ancora noto e non può neanche essere eliminato, inoltra la chiamata ad esperti esterni. Gli esperti di virus analizzano la situazione e chiariscono come procedere con il fornitore del software antivirus, e se è necessario introdurre e distribuire immediatamente una nuova versione o un patch. Il RSI invia, una Mail a tutti gli utenti della lan aziendale C.3.4 Backup giornaliero Questo comprende tutti i dati rilevanti (banche dati, dati di utenti, programmi, configurazioni) salvati sul server del CoDeBri. Le copie di vanno conservate in dispositivo NAS. Le modalità operative con cui effettuare il backup dei dati sono documentate nell Allegato F. C.3.5 Misure relative all hardware Non deve essere collegato alla rete alcun apparecchio senza averlo concordato precedentemente con il RSI C.3.6 Misure edilizie I server di dati, backup, mezzi e componenti di rete sono posti in un locale chiudibile, il cui uso non viene contrassegnato in modo particolare. Si consiglia l impiego di impianti di condizionamento, dispositivi antincendio e sistemi di continuità opportunamente proporzionati. Deve essere sempre a portata di mano un estintore, il cui modo d impiego deve essere noto. C.3.7 Ulteriori misure di Tutti coloro che hanno a che fare con l informatica, devono essere regolarmente informati ed aggiornati sul concetto di. Deve essere, inoltre, richiamata l attenzione sulle conseguenze di una violazione delle norme di. L attenta osservazione dei posti di lavoro, l approfondire eventi insoliti e comunicarli al responsabile per l informatica può aiutare a riconoscere in anticipo eventuali lacune nel Sistema di. D Scambio di dati (Esportazione/Importazione) D.1 Indicazioni fondamentali Una collaborazione efficiente con i partner (clienti, fornitori) richiede sempre più uno scambio di grandi quantità di dati. Il trasferimento di dati viene eseguito tramite il sistema di posta elettronica Exchange Server 2010 e Outlook 2010, a tutti gli utenti viene anche messo a disposizione un accesso tramite web mail protetta. Le piattaforme di comunicazione offrono ad ogni utente (visto dal punto di vista tecnico) nella rete del CoDeBri le seguenti possibilità: posta elettronica all interno del CoDeBri e con terzi in tutto il mondo. acquisizione d informazioni dall intranet (rete interna del CoDeBri) e da extranet ad Internet (pubblico). Ai dipendenti in viaggio possono inoltre essere assegnati account di mail Esterni. L account deve essere richiesto al RSI che installa il software di comunicazione sul computer portatile e assicura la coordinazione amministrativa e la gestione con il provider globale. D.2 Presupposti Il responsabile per l informatica (RSI) svolge i propri incarichi relativi a tutti gli aspetti della in modo completo. L acquisizione di informazioni da Internet comporta il pericolo di infettarsi con virus. Per questo motivo, è necessario richiamare l attenzione di ogni utente sulle proprie responsabilità (Appendice B). DPS Pag.20/30