Documento Programmatico per la Sicurezza ex. Allegato B D.Lgs. 196/03

Transcript

1 Documento Programmatico per la Sicurezza ex. Allegato B D.Lgs. 196/03 C.S.R. Consorzio Servizi Rifiuti del Novese, Tortonese, Acquese ed Ovadese Via Paolo Giacometti Novi Ligure - AL Tel: P. IVA: Oggi... presenti il Responsabile del Trattamento dei dati, l incaricato di Sistema e l incaricato alla custodia delle parole Chiave, si approva la revisione annuale del seguente documento programmatico per la sicurezza. INDICE 1. Dati generali 2. Misure fisiche 3. Ulteriori misure fisiche 4. Server e sistemi presenti in sede 5. Elaboratori e apparecchi di accesso per gli utenti 6. Dispositivi di connessione verso l'esterno 7. Censimento banche dati 8. Misure logiche 9. Procedure di ripristino in caso di interruzione del servizio 10. Modalità di back up 11. Ulteriori dati e misure 12. Archivi cartacei 13. Previsione e analisi rischi 14. Criteri da adottare per dati affidati all'esterno della struttura 15. Formazione degli incaricati 16. Logiche nell'adozione di sistemi di protezione 17. Conclusioni 1. DATI GENERALI Sede: I locali sono situati all interno dell edificio del Municipio di Novi Ligure, in via Paolo Giacometti 22 a Novi Ligure (AL) Titolare del Trattamento: L'Ente: C.S.R. Consorzio Servizi Rifiuti del Novese, Tortonese, Acquese ed Ovadese - Via Paolo Giacometti Novi Ligure - AL nella persona del rappresentante legale Oreste Soro - nato a Tassarolo il 17/12/ Codice Fiscale: SRORST37T17L059Q Responsabile del Trattamento: Oreste Soro Responsabile Sicurezza Sistemi Informativi: Raffaella Campi Incaricato alla Custodia delle parole chiave e codici identificativi: Raffaella Campi

2 Incaricati al trattamento dei dati personali e comuni: Dipendenti: 1) Jari Calderone - nato a Ovada il 06/02/ Codice Fiscale: CLDJRA78B06G197I 2) Luisa Azzarone - nata a Voghera il 04/07/ Codice Fiscale: ZZRLSU61L44M109J 3) Raffaella Campi - nata a Novi Ligure il 26/09/ Codice Fiscale: CMPRFL72P66F965T Non Dipendenti: 4) Angelo Lo Destro - nato a Palermo il 13/08/ Codice Fiscale: LDSNGL57M13G273Z 5) Susi Pavese - nata a Tortona il 16/07/ Codice Fiscale: PVSSSU60L56L304W Ogni incaricato è stato nominato per iscritto ed ha avuto una nomina univoca e completa di istruzioni. Ogni incaricato ha accesso ai soli dati relativi al suo profilo di autorizzazione. Dati trattati: Dati sensibili e giudiziari Tipologia di dati sensibili e giudiziari: 1. Dati di appartenenza al sindacato gestiti al fine di effettuare le trattenute in busta paga. Tali dati relativi a lavoratori dipendenti sono comunicati all esterno solo per gli adempimenti amministrativi previsti dalla legge. 2. Dati indicativi di malattie particolari al fine di usufruire di particolari esenzioni o per fruire di permessi lavorativi. Tali dati sono relativi ai lavoratori dipendenti. 3. Dati inerenti la salute del dipendente (certificati medici) trattati al fine di gestire le assenze del personale. 4. Dati inerenti la salute, al fine dell adempimento di normative cogenti riguardanti in particolar modo igiene e sicurezza sul lavoro. 5. Dati inerenti alla salute trattati in pratiche assicurative. Incaricati al trattamento dei dati sensibili e giudiziari: 1) Angelo Lo Destro - nato a Palermo il 13/08/ Codice Fiscale: LDSNGL57M13G273Z 2) Jari Calderone - nato a Ovada il 06/02/ Codice Fiscale: CLDJRA78B06G197I 3) Luisa Azzarone - nata a Voghera il 04/07/ Codice Fiscale: ZZRLSU61L44M109J 4) Raffaella Campi - nata a Novi Ligure il 26/09/ Codice Fiscale: CMPRFL72P66F965T 5) Susi Pavese - nata a Tortona il 16/07/ Codice Fiscale: PVSSSU60L56L304W Personale esterno: 1) Dott.ssa Camusso Paola - medico incaricato dall'ufficio competente dell'asl N. 22 U.O. - Via Edilio Raggio, 12 - Novi Ligure. Terzi che trattano dati dell Ente, non appartenenti in maniera diretta all Ente stesso: Ditta ALMA S.p.a.: elaborazione paghe e contributi; Ditta ALMA TELEMATICA S.r.l.: trasmissione telematica adempimenti di legge; Ditta SI.RE. INFORMATICA S.r.l.: gestione sistema informatico. Questi soggetti hanno ricevuto una formale lettera di comunicazioni nella quale si impegnano, come attori esterni, a trattare i dati secondo i criteri dettati dalla Legge. Ditte, Enti e Personale esterno a cui vengono comunicati i dati per gli adempimenti di legge: Rag. Roberto Persi - Revisore dei Conti; Banca Popolare di Novara S.p.a. per il servizio di Tesoreria. Queste Persone/Enti non accedono direttamente ai dati ma solo a quanto viene fornito loro dal personale incaricato e solamente nei termini previsti per l'espletamento delle loro come previsto dalle vigenti leggi.

3 2. MISURE FISICHE Il trattamento di tutti i dati viene effettuato presso le seguenti stanze: 1. Ufficio Amministrativo 2. Ufficio Presidente 3. Archivio 4. Ufficio Segretario 5. Ufficio Ragioniera 6. Sala Consiglio - Riunioni 7. Ufficio Responsabile Tecnico Il Locale 1. ha accesso libero, porta con serratura, e non è protetto da nessun sistema di accesso. Il Locale 2. ha accesso libero, porta con serratura, e non è protetto da nessun sistema di accesso. Il Locale 3. ha accesso selezionato, porta con serratura, ed è protetto da chiavi per l'accesso. Il Locale 4. ha accesso libero, porta con serratura, e non è protetto da nessun sistema di accesso. Il Locale 5. ha accesso libero, porta con serratura, e non è protetto da nessun sistema di accesso. Il Locale 6. ha accesso libero, porta con serratura, ha un sensore d allarme collegato con il sistema d allarme del Municipio di Novi Ligure. Il Locale 7. ha accesso libero, porta con serratura, e non è protetto da nessun sistema di accesso. I locali contenenti dati sensibili e giudiziari non sono di libero accesso in quanto siti all interno dell edificio del Municipio di Novi Ligure. L accesso ai locali è consentito solo ai dipendenti, agli amministratori, agli incaricati e a personale autorizzato e accompagnato da dipendenti o amministratori dell Ente stesso. 3. ULTERIORI MISURE FISICHE La sede è protetta da un antifurto (il cui controllo è esterno all Ente stesso). Il Locale 3. (Archivio) ha un ulteriore porta verso l'esterno dell Ente, ma sempre all interno dell edificio. Tale porta viene sempre mantenuta chiusa. Il Locale 2. (Ufficio Presidente) ha un armadio chiuso a chiave per i dati sensibili. Elenco dei Server presenti nella sede: 4. SERVER E SISTEMI PRESENTI IN SEDE 1. Personal Computer: PIV 2.66Mhz, 256 Ram, HD 80GB, CD-ROM, CD-RW, FLOPPY (PC01CSR - RAFFAELLA) - Locale: Ufficio Amministrativo - Caratteristiche: Supporto Removibile, Antivirus, Firewall - Credenziali: Username e Password - Sistema Operativo: Windows XP; 2. Personal Computer: PIV 2.4Mhz, 256 Ram, HD 80GB, CD-ROM, CD-RW, FLOPPY (PC04CSR - SUSI) - Locale: Ufficio Ragioniera - Caratteristiche: Supporto Removibile, Antivirus, Firewall - Credenziali: Username e Password - Sistema Operativo: Windows XP. 5. ELABORATORI E APPARECCHIATURE DI ACCESSO PER GLI UTENTI Elenco degli Elaboratori presenti nella sede: 1. Personal Computer: PIV 2.66Mhz, 256 Ram, HD 80GB, CD-ROM, DVD-RW, FLOPPY (PC02CSR - LUISA) - Locale: Ufficio Amministrativo - Caratteristiche: Supporto Removibile, Antivirus, Firewall - Credenziali: Username e Password - Sistema Operativo: Windows XP; 2. Personal Computer: PIV 2.8Mhz, 256 Ram, HD 80GB, CD-ROM, CD-RW, FLOPPY (PC05CSR - JARI) - Locale: Ufficio Tecnico - Caratteristiche: Supporto Removibile, Antivirus, Firewall - Credenziali: Username e Password - Sistema Operativo: Windows XP; 3. Personal Computer: PIV 1.7Mhz, 256 Ram, HD 40GB, CD-ROM, FLOPPY (PC03CSR - LODESTRO) - Locale: Ufficio Segretario - Caratteristiche: Supporto Removibile, Antivirus - Credenziali: NESSUNA - Sistema Operativo: Windows 98 (*). (*) il personal computer n. 3 ha installato il sistema operativo Windows 98. Non ha accesso agli archivi di rete e rimane acceso solo per poco tempo. Di tutto questo si da notizia nell analisi dei rischi in allegato.

4 6. DISPOSITIVI DI CONNESSIONE VERSO L'ESTERNO Il collegamento verso l'esterno (Internet) avviene attraverso il seguente dispositivo: ADSL - modello router: US Robotics. Il collegamento tra i computer è effettuato tramite una rete Ethernet gestita attraverso uno Switch 24 porte 100 Mb/s. Ogni computer dispone di antivirus F-Prot ed ha il sistema di Firewall incluso nel sistema operativo Windows XP attivato (tranne il PC n. 3 che dispone solo di antivirus). 7. CENSIMENTO BANCHE DATI Elenco degli Archivi Informatici e Cartacei presenti nella Sede: 1) Archivio Amministrativo Informatico 2) Archivio Amministrativo Cartaceo 3) Archivio Ragioneria Informatico 4) Archivio Ragioneria Cartaceo 5) Archivio Tecnico Informatico 6) Archivio Tecnico Cartaceo 7) Archivio Programma Protocollo Informatico 8) Archivio Programma Contabilità Informatico 9) Archivio Storico Amministrativo Cartaceo 10) Archivio Storico Ragioneria Cartaceo 11) Archivio Storico Tecnico Cartaceo Archivi contenenti dati personali 1) Archivio Amministrativo Informatico Sottoarchivio: Archivio ATO Ambito Territoriale Ottimale - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Determine e Delibere - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Garante per l Editoria - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Lettere - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Loghi - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Marea - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Presidente - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Prog. Educaz. Ambientale - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Regolamenti - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico -

5 Dati Sottoarchivio: Archivio Servizio Tesoreria - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Varie - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati 2) Archivio Amministrativo Cartaceo Sottoarchivio: Progetto Educazione Ambientale - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 48) Sottoarchivio: Regolamenti - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Amministrativo, Custodia: Armadio (N2. 48) Sottoarchivio: Determine e Delibere - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 48) anno corrente, Scaffalatura storico Sottoarchivio: Acquisti e Manutenzione - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 48) Sottoarchivio: Sicurezza D.Lgs. 626/94 - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 48) Sottoarchivio: DPSS D.Lgs. 196/03 - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 48) Sottoarchivio: Protocollo - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Amministrativo, Custodia: Armadio (N2. 49) partenza anno corrente e registro, Scaffalatura arrivo anno corrente e storico Sottoarchivio: Garante per l editoria - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 48) Sottoarchivio: Quote consortili - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 48) Sottoarchivio: ATO/Coordinamento Consorzi del Piemonte - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 48) 3) Archivio Ragioneria Informatico Sottoarchivio: Archivio Economato - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Personale - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Ragioneria - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati 4) Archivio Ragioneria Cartaceo Sottoarchivio: Economato - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Amministrativo, Custodia: Armadio (N2. 48) anno corrente, Scaffalatura storico Sottoarchivio: Personale - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Amministrativo, Custodia: Armadio (N2. 48)

6 Sottoarchivio: Personale - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Ragioneria, Custodia: Scaffalatura Sottoarchivio: Personale - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Sensibili; Ubicazione: Sede Legale, Ufficio Presidente, Custodia: Armadio con serratura Sottoarchivio: Conto Annuale - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 48) Sottoarchivio: Anagrafe delle Prestazioni - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 48) Sottoarchivio: Enti previdenziali e assistenziali - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Ragioneria, Custodia: Scaffalatura Sottoarchivio: Tesoreria - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Ragioneria, Custodia: Scaffalatura Sottoarchivio: Contabilità - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Ragioneria, Custodia: Scaffalatura Sottoarchivio: Bilancio - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Ragioneria, Custodia: Scaffalatura Sottoarchivio: Fatture - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Ragioneria, Custodia: Scaffalatura Sottoarchivio: Varie - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Ragioneria, Custodia: Scaffalatura Sottoarchivio: Documentazione Sanitaria - Dati Trattati: Intero Archivio - Permessi: Medico Competente; Tipo: Cartaceo - Dati Personali Sensibili; Ubicazione: Sede Legale, Ufficio Presidente, Custodia: Armadio con serratura 5) Archivio Tecnico Informatico Sottoarchivio: Archivio Vecchia Gestione - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Comitato di Studio - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio ANCI CONAI - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Carta dei Servizi - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Conferimenti - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Costituzione Società - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Gare e Appalti - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Italeco Recupero - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Provincia - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Regione - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Regolamento Rifiuti Assimilati - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati

7 Sottoarchivio: Archivio Regolamento Speciale Consortile - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Riprogettaz. Servizi Racc. e Trasp. RSU - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Sottoarchivio: Archivio Tassa Tariffa - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati 6) Archivio Tecnico Cartaceo Sottoarchivio: Rupar - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Amministrativo, Custodia: Armadio (N2. 49) e Scaffalatura (storico) Sottoarchivio: Progetto Territoriale - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 49) Sottoarchivio: Organico - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Amministrativo, Custodia: Armadio (N2. 49) Sottoarchivio: Tassa Tariffa - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 49) Sottoarchivio: Riprogettazione servizi raccolta e trasporto RSU - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 49) Sottoarchivio: Società affidatarie servizio racc. e trasp. RSU - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 49) Sottoarchivio: Regione - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Amministrativo, Custodia: Armadio (N2. 49) Sottoarchivio: Provincia - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Amministrativo, Custodia: Armadio (N2. 49) Sottoarchivio: ANCI/CONAI - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 49) Sottoarchivio: Regolamento assimilazione - Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati, Custodia: Armadio (N2. 49) 7) Programma Protocollo Informatico Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Amministrativo 8) Programma Contabilità Informatico Dati Trattati: Intero Archivio - Permessi: ; Tipo: Informatico - Dati Personali Comuni; Ubicazione: Sede Legale, Ufficio Ragioneria 9) Archivio Storico Amministrativo Cartaceo Contenuto: documenti cartacei relativi all archivio 2) Archivio Amministrativo Cartaceo riguardanti anni precedenti quello corrente. Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Locale Archivio (chiuso a chiave)

8 10) Archivio Storico Ragioneria Cartaceo Contenuto: documenti cartacei relativi all archivio 4) Archivio Ragioneria Cartaceo riguardanti anni precedenti quello corrente. Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni (*); Ubicazione: Sede Legale, Locale Archivio (chiuso a chiave) (*) I dati sensibili contenuti nell Archivio 4 non vengono riportati nei dati dell archivio storico. 11) Archivio Storico Tecnico Cartaceo Contenuto: documenti cartacei relativi all archivio 6) Archivio Tecnico Cartaceo riguardanti anni precedenti quello corrente. Dati Trattati: Intero Archivio - Permessi: ; Tipo: Cartaceo - Dati Personali Comuni; Ubicazione: Sede Legale, Locale Archivio (chiuso a chiave) Situazione permessi accesso archivi: Azzarone Luisa Calderone Jari Campi Raffaella Lo Destro Angelo Pavese Susi Camusso Paola 1) Archivio Amministrativo Informatico 2) Archivio Amministrativo Cartaceo Accesso limitato (1) Accesso limitato (1) Accesso limitato (1) Accesso limitato (1) Accesso limitato (1) Accesso limitato (2) 3) Archivio Ragioneria Informatico 4) Archivio Ragioneria Cartaceo 5) Archivio Tecnico Informatico 6) Archivio Tecnico Cartaceo 7) Programma Protocollo Informatico 8) Programma Contabilità Informatico 9) Archivio Storico Amministrativo Cartaceo (3) 10) Archivio Storico Ragioneria Cartaceo (3) 11) Archivio Storico Tecnico Cartaceo (3)

9 Note: (1): L'accesso è consentito a tutti i sottoarchivi tranne il sottoarchivio documentazione sanitaria. (2): L'accesso è limitato al solo sottoarchivio documentazione sanitaria. (3): Gli archivi indicati come storici ovvero: Archivio Storico Amministrativo Cartaceo Archivio Storico Ragioneria Cartaceo Archivio Storico Tecnico Cartaceo sono il riposizionare in ambiente separato (archivio) dei corrispondenti archivi per quanto riguarda i documenti relativi ad anni passati. A questi archivi vengono quindi applicati gli stessi criteri di permessi e di accessi da parte del personale del Consorzio dei corrispettivi, ovvero: Archivio Storico Amministrativo Cartaceo...stessi permessi di accesso di...archivio Amministrativo Cartaceo Archivio Storico Ragioneria Cartaceo...stessi permessi di accesso di...archivio Ragioneria Cartaceo Archivio Storico Tecnico Cartaceo...stessi permessi di accesso di...archivio Tecnico Cartaceo Non si ritiene quindi necessario formulare nuove lettere di incarico per gli accessi a questi archivi avendo essi gli stessi permessi di accesso. SI mantengono valide le lettere già firmate e incluse nella documentazione. 8. MISURE LOGICHE 1. Ogni incaricato è dotato di username univoco e personale. 2. Le password sono mantenute identiche tra gli incaricati in quanto facenti parte di un unico gruppo di lavoro. Username (personale) e password (comune) costituiscono le credenziali di autenticazione di ogni incaricato. 3. Le password sono cambiate almeno ogni sei mesi e ne viene tenuto traccia in un apposito registro. 4. I codici identificativi personali sono disattivati in caso di non utilizzo per più di sei mesi. 5. Ai dati particolari hanno accesso solo ed esclusivamente gli incaricati grazie ad un sistema di verifica che gli permette di accedere ad un server riservato oppure alla parte dell'elaboratore in cui sono conservati i dati particolari. 6. Gli antivirus sono aggiornati con le nuove impronte virali con meccanismo automatico. 7. I firewall installati nei sistemi vengono mantenuti aggiornati attraverso il meccanismo di aggiornamento automatico di Windows XP 8. I sistemi sono stati studiati in maniera da prevenire le intrusioni. Esiste un contratto di manutenzione dei sistemi e i tecnici possono essere chiamati in caso di necessità. 9. La logica con cui sono stati scelti i sistemi di protezione è contenuta nel presente DPPS. 10. L'Ente adotta le procedure di esecuzione back up di seguito riportate. 11. I supporti di memorizzazione rimovibili contenenti dati particolari se non utilizzati sono distrutti o resi inutilizzati attraverso la distruzione fisica dei supporti stessi. 9. PROCEDURE DI RIPRISTINO IN CASO DI INTERRUZIONE DEL SERVIZIO Il ripristino dei dati da un backup viene demandato alla ditta SI.RE. INFORMATICA S.r.l. con la quale l'ente ha un contratto di manutenzione ed assistenza telematica e non. In caso di necessità viene quindi richiesta l'assistenza della ditta esterna. Il personale dell'ente non è in grado di effettuare questa operazione autonomamente.

10 10. PROCEDURE E MODALITA' DI BACK UP Il backup dei dati viene effettuato utilizzando la seguente procedura automatica/manuale: Sul computer di Azzarone Luisa (PC n. 2) è installato il programma 7zip che effettua automaticamente il salvataggio dei dati presenti nei server da lunedì a giovedì alle ore 12,45. Tutti i giorni automaticamente viene creata una cartella con i dati zippati che poi l'operatore periodicamente salva su DVD, archiviato nell'ufficio del Presidente (armadio con serratura). Il salvataggio avviene su DVD riscrivibili in maniera circolare. Vengono conservati il backup più recente e quello precedente. 11. ULTERIORI DATI E MISURE I cavi della rete telematica interna si connettono a quelli della rete esterna, presso il locale 1 Ufficio Amministrativo senza ulteriori misure di protezione. I DVD di backup vengono conservati in un armadio chiuso a chiave nel locale n.2 (ufficio Presidente). Quando si decide di non utilizzare più un determinato supporto ottico, questo viene fisicamente distrutto. 12. ARCHIVI CARTACEI Gli archivi cartacei contenenti dati personali non sensibili vengono conservati in armadi senza serratura ma in uffici non aperti al pubblico. Gli archivi cartacei contenenti dati sensibili sono conservati in armadi chiusi a chiave. La chiave è conservata presso l'ufficio Amministrativo. Non vi sono particolari procedure per regolare e gestire l'accesso a queste chiavi. Si rimanda all'allegato B per l'analisi dettagliata dei rischi. 13. PREVISIONE E ANALISI DEI RISCHI 14. CRITERI DA ADOTTARE PER GARANTIRE L'ADOZIONE DELLE MISURE MINIME DI SICUREZZA IN CASO DI TRATTAMENTO DEI DATI AFFIDATI ALL'ESTERNO DELLA STRUTTURA DEL TITOLARE Alle ditte che trattano dati personali o che possono accedervi è stata inviata una lettera di incarico o di notifica contente le disposizioni a cui attenersi nel trattamento stesso. Le lettere, non appena ritornate debitamente firmate per accettazione, vengono allegate al fascicolo relativo al presente DPPS. 15. FORMAZIONE DEGLI INCARICATI Tutti gli incaricati hanno ricevuto un breve manuale che illustra i principali pericoli che incombono sui dati e i comportamenti da tenersi durante il loro trattamento (Allegato A). Sono allo studio la realizzazione di corsi più approfonditi.

11 16. LOGICHE NELL'ADOZIONE DEI SISTEMI DI PROTEZIONE I criteri che hanno guidato le varie scelte sono stati basati sull'analisi della situazione dell'ente, caratterizzata dai seguenti fatti: I locali non sono aperti al pubblico e sono all interno dell edificio che ospita il Municipio di Novi Ligure; Gli incaricati sono in numero molto limitato e lavorano a stretto contatto e sugli stessi insiemi di dati; La rete informatica è molto semplice; I dati trattati sono per la gran parte di tipo comune e non vi sono dati sensibili esterni al personale dell'ente; Ogni incaricato ha accesso di tipo Administrator al proprio computer; Tutti gli antivirus hanno un meccanismo di aggiornamento automatico delle impronte virali; Tutti i sistemi con il sistema Windows XP utilizzano il meccanismo di aggiornamento automatico per mantenere il sistema aggiornato riguardo alle vulnerabilità e il firewall in efficienza; In caso di necessità, esiste un contratto di assistenza e i sistemi possono essere controllati per verificarne l efficienza. 17. CONCLUSIONI Il presente documento deve essere aggiornato entro il 31 marzo di ogni anno. Le nomine verranno in questa occasione riviste ed eventualmente rinnovate. Gli allegati al presente documento devono ritenersi parte integrante del documento stesso. Chiunque può vedere il presente documento solo nella parte di suo interesse. Nell allegato C si include la planimetria dei locali. Letto, compilato, firmato, sottoscritto

12 Allegato A Manuale per la Sicurezza Ad Uso Degli Incaricati Ai sensi del Codice in materia di dati personali e del Disciplinare tecnico in materia di misure minime di sicurezza Questo manuale è stato consegnato a tutti gli Incaricati e ai Responsabili nell ambito del piano di formazione e di sensibilizzazione del personale incaricato al trattamento dei dati. Il suo contenuto rispecchia quanto richiesto in tema di formazione dal Decreto Legge 196/03 per la parte di conoscenza dei principali rischi e dei comportamenti da tenere.