DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "DOCUMENTO PROGRAMMATICO SULLA SICUREZZA"

Lazzaro Di Carlo
5 anni fa
Visualizzazioni

1 COMUNE di CERVIGNANO D ADDA PROVINCIA di LODI P.zza del Municipio, 1 Tel * Fax DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Aggiornamento del 31 marzo 2010

2 1. ELENCO DEI TRATTAMENTI DEI DATI. Il comune di CERVIGNANO D ADDA ha analizzato e censito tutti gli archivi cartacei ed informatici (ALLEGATO ELENCO BANCHE DATI) Tale elenco verrà aggiornato annualmente al fine di aggiungere eventuali nuove banche dati trattate dall ente Titolare. 2. LA DISTRIBUZIONE DI COMPITI E RESPONSABILITA Il titolare e responsabile del trattamento che risulta poter essere, come previsto dall art. 28 del nuovo Codice sulla Privacy, l Ente stesso nella figura del Sindaco. Gli incaricati del trattamento (lettere d incarico allegate) L incaricato della custodia delle Copie delle Credenziali Sig.ra Mazzucco Amneris L incaricato delle copie di sicurezza delle banche dati Sig.ra Spini Lorenza I responsabili del trattamento in Outsourcing - (lettere d incarico allegate) 3. LE RISORSE DA PROTEGGERE E L ANALISI DEI RISCHI Sono state individuate quattro soglie di rischio: LIEVE: si tratta di un rischio molto basso che identifica una minaccia remota e comunque rapidamente reversibile od ovviabile. MEDIO: viene individuato un rischio superiore al precedente identificante una minaccia remota, ma i cui effetti non sono totalmente o parzialmente reversibili od ovviabili. In tale caso è già consigliabile pensare ad accorgimenti per contenere il rischio. GRAVE E GRAVISSIMO: qui vengono individuati i rischi che è sicuramente inaccettabile correre. Pertanto dovrà sicuramente essere un insieme di contromisure per abbattere il rischio e contenerlo in livelli accettabili. Gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati si possono riassumere in tre categorie: COMPORTAMENTI DEGLI OPERATORI 1. sottrazione di credenziali di autenticazione 2. carenza di consapevolezza, disattenzione o incuria 3. comportamenti sleali o fraudolenti 4. errore materiale EVENTI RELATIVI AGLI STRUMENTI 1. azione di virus informatici o di programmi che possono recare danno ai dati 2. tecniche di sabotaggio informatico 3. malfunzionamento, indisponibilità o degrado degli strumenti informatici 4. accessi esterni non autorizzati 5. intercettazione di informazioni in rete. EVENTI RELATIVI AL CONTESTO FISICO-AMBIENTALE 1. ingressi non autorizzati a locali/aree ad accesso ristretto e riservato 2. sottrazione di strumenti informatici contenenti dati 3. eventi distruttivi, naturali o artificiali, nonché dolosi, accidentali o dovuti ad incuria 4. guasto a sistemi complementari 5. errori umani nella gestione della sicurezza fisica 2

3 LUOGHI FISICI Città: Cervignano d Adda Indirizzo Sede: Piazza del Municipio 1 Il Comune occupa tutta la palazzina di due piani Locali Dispositivo di protezione (presenza di porte blindate, serrature, antifurto, etc ) Descrizione e posizione Uso (ufficio titolare, ufficio operativo, archivio, locale server, etc ) Note Locale 01 Ufficio segreteria protocollo - ragioneria A tale ufficio si può accedere con serratura. A destra delle scale Locale 02 Ufficio anagrafe A tale ufficio si può accedere Locale 03 Ufficio Sindaco A tale ufficio si può accedere Locale 04 Ufficio tecnico A tale ufficio si può accedere Piano secondo LA RETE INFORMATICA La rete informatica del comune è composta da 7 personal computer collegati ad un server centrale attraverso un cablaggio strutturato 10/100 gestito uno switch di rete; il collegamento alla rete internet è centralizzato con una connessione ADSL distribuita attraverso un router e protetta un firewall. Il server è dotato di gruppo di continuità che protegge il da sbalzi improvvisi di tensione e garantisce uno shutdown automatico della macchina. Tutti gli applicativi ed i dati sono situati sul server, il quale non distribuisce le credenziali di accesso al dominio con scadenza automatica. Le password non sono modificate periodicamente. Sono state create delle permission in modo che l utente abbia accesso solo alle cartelle in cui è autorizzato lavorare. Le password possono essere disabilitate o modificate dall ogni qual volta se ne presenti la necessità. Lo stesso tipo di gestione delle password è impostato nella suite gestionale. Il è dotato di antivirus centralizzato che risiede sul server ogni PC è configurato con un software antivirus (NOD 32). LE RISORSE DATI Ulteriori specifiche sono presenti negli allegati 3

4 ANALISI RISCHI RISCHI 1. Comportamenti degli operatori 2. eventi relativi agli strumenti 3. eventi relativi al contesto 1. sottrazione di credenziali autenticazione 1. carenza consapevolezza, disattenzione o incuria RISCHIO PRESENTE 1. comportamenti sleali o fraudolenti Errore materiale 2. Azione di virus informatici o maloware RISCHIO ASSENTE GRAVITA Medio: tutti gli elaboratori hanno un operativo professionale ma la gestione delle password non è automatizzata ed è latente Media: non vi è molta consapevolezza per alcuni incaricati riguardo le novità apportate dalla normativa vigente Media: su tutti gli elaboratori è installato un antivirus, ma non è un professionale centralizzato e aggiornato quotidianamente dal server 2. Tecniche di sabotaggio Tutti i pc sono protetti con firewall 2. Malfunzionamento, indisponibilità o degrado degli strumenti 2. Accessi esterni non autorizzati a locali o aree comunali Media, gli elaboratori non sono di ultima generazione e non sono coperti da garanzia con intervento in loco. bassa: gli edifici hanno accessi presidiati o con porte chiuse a chiave. Sistema di allarme antintrusione 2. Intercettazione di informazioni in rete 3. ingressi non autorizzati a locali/aree ad accesso ristretto media, non è presente una sala server dotata di porta blindata 3. Sottrazione di strumenti contenenti i dati media: supporti backup sono conservati nella stessa stanza del server 3. eventi distruttivi, naturali o artificiali, nonché dolosi Media. Gli edifici sono dotati di un numero idoneo di estintori a norma di legge, ma sono sprovvisti di sistemi di rilevazione fumi. 3. guasto sistemi complementari Presenza gruppi di continuità 4. MISURE DA ADOTTARE PER GARANTIRE L INTEGRITA E LA DISPONIBILITA DEI DATI, NONCHE LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITA In questo spazio sono individuate le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia, come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. 4.1 PIANO DI ADEGUAMENTO ALLA MISURE MINIME DI SICUREZZA. L obiettivo deve essere quello di applicare non tanto le misure minime quanto quelle idonee e necessarie a tutelare con efficacia i dati oggetto del trattamento. Quindi analizzati i rischi, vanno adottate le misure che maggiormente riescano a contrastare le minacce più gravi alla struttura e agli strumenti che operano il trattamento. Le misure da adottare nel Comune di Cervignano d Adda sono analizzate nella seguente tabella. 4

5 MISURE MINIME Impianto allarme Impianto antincendio Cambio periodico delle credenziali Copie delle credenziali conservate in busta chiusa DESCRIZIONE RISCHI Accesso ai dati non autorizzato, furto Perdita di dati a causa di eventi distruttivi MISURE ADOTTATE Installato impianto di allarme e videosorveglianza Estintori a norma Custodia delle credenziali in cassaforte Backup dati Perdita di dati Salvataggio giornaliero dei dati presenti su server Conservazione supporti di backup Acquisto periodico di supporti di backup Perdita di dati Perdita di dati Conservazione in cassaforte Sostituzione annuale DA ADOTTARE Installare impianto rilevazione fumi Sistema di credenziali di autenticazione Implementare con un hard disk LAN o un NAS Conservazione in tesoreria Sala server Perdita di dati Server collocato in un apposita sala sempre chiusa a chiave e climatizzata Sistema Firewall Sistema antivirus Gruppo di continuità Armadi per dati personali Consapevolezza incaricati in materia di sicurezza nel trattamento dei dati personali Accessi esterni non autorizzati Virus informatici dannosi per i software dei client e del server Perdita di dati a causa di guasti Perdita o furto di dati, accesso non autorizzato Armadi con serratura adeguati formazione PERSONE PREPOSTE Uff. tecnico Uff. tecnico 4.2 CONSERVAZIONE DEI DATI E BACKUP Giornalmente (nelle ore notturne) viene effettuato il backup su nastro magnetoottico criptato dal server e ne viene verificato l esito; l apparecchio dei backup risiede nell armadio server. Per quel che concerne la conservazione dei dati, sia cartacei che elettronici, si rimanda all opportuno allegato del manuale di gestione del protocollo informatico, adottato dall Ente. Il titolare del trattamento 5

Documenti analoghi

PIANO PER LA SICUREZZA INFORMATICA ANNO 2015

Manuale di gestione documentale Allegato 15 PIANO PER LA SICUREZZA INFORMATICA ANNO 2015 Sommario 1 Introduzione... 1 2 L architettura dell infrastruttura informatica... 2 2.1 Caratteristiche dei locali...