Documento Programmatico sulla Sicurezza

Transcript

1 Pagina 1 di 1 Documento Programmatico sulla Sicurezza Decreto Legislativo 196/2003

2 Indice INDICE Rev 2 Pagina 1 di 1 INDICE 01 PRESENTAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 02 ELENCO DEI TRATTAMENTI E RIPARTIZIONE DEI COMPITI E DELLE RESPONSABILITA 03 ANALISI E VALUTAZIONE DEI RISCHI 04 LE MISURE DI PREVENZIONE E PROTEZIONE DEGLI STRUMENTI ELETTRONICI E DEI DATI PERSONALI 05 LINEE GUIDA PER IL RIPRISTINO DEI DATI 06 FORMAZIONE DEGLI INCARICATI 07 CRITERI PER LA SICUREZZA DEI DATI IN CASO DI AFFIDAMENTO DEI TRATTAMENTI ALL ESTERNO

3 SEZIONE 01 Presentazione del Documento Programmatico sulla Sicurezza Pagina 1 di 3 PRESENTAZIONE DEL DOCUMENTO PROGRAMMATICO (DPS) SCOPO STRUTTURA DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS) PRINCIPI GENERALI RESPONSABILITÀ ALLEGATI

4 SEZIONE 01 Presentazione del Documento Programmatico sulla Sicurezza Pagina 2 di Scopo Il presente Documento (costituente il Documento Programmatico sulla Sicurezza - per brevità denominato DPS) è stato redatto dall ERSU di Camerino, in qualità di titolare del trattamento dei dati personali, come entità nel suo complesso, ai sensi dell art. 28 del D. Lgs. 30 giugno 2003, n. 196 (codice della privacy). Il DPS, redatto in base a quanto previsto dall allegato B del codice della privacy, coinvolgendo i responsabili degli Uffici e delle Aree di Posizione Organizzative, ha lo scopo di descrivere le modalità di trattamento dei dati effettuati utilizzando strumenti elettronici, favorendo l analisi e la valutazione delle minacce, che possono interessare il sistema informativo automatizzato dell ente, al fine dell adozione delle misure minime e idonee di sicurezza Struttura del Documento Programmatico sulla Sicurezza (DPS) Il presente documento è strutturato in sezioni, al fine di consentire una gestione flessibile e dinamica del documento medesimo e di favorire un agevole aggiornamento. In particolare, la revisione e l aggiornamento del DPS devono avvenire con cadenza almeno annuale e ogni qualvolta sia necessario, a seguito di revisioni organizzative, ovvero dell introduzione di nuove procedure o di innovazioni di natura tecnologica. L aggiornamento deve avvenire entro il 31 marzo di ciascun anno e si ha l obbligo di riferirne nella relazione accompagnatoria del bilancio di esercizio (come previsto dal punto 26 dell allegato B del codice privacy). Il DPS è, altresì, corredato da allegati tecnici (che sono individuati dalla sigla AL seguita da una coppia di numeri separati da un punto ad es. AL01.01): la prima coppia di numeri indica la sezione di riferimento del documento; la seconda coppia indica il numero d ordine progressivo dell allegato. Ad esempio il documento AL01.02 individua l allegato numero 02 riferito alla sezione Principi generali Il presente documento sulla sicurezza si basa sui seguenti principi generali: tutte le informazioni (dati, documenti, archivi, ) devono essere protette e mantenute;

5 SEZIONE 01 Presentazione del Documento Programmatico sulla Sicurezza Pagina 3 di 3 per la riservatezza dei contenuti scambiati, la sicurezza deve essere garantita anche a livello delle reti di comunicazioni dati; tutte le operazioni di trattamento dei dati che sono effettuate utilizzando strumenti connessi alla rete di comunicazione elettronica dell ente devono essere oggetto di tracciabilità, garantendo ove possibile il non ripudio delle operazioni svolte, utilizzando a tal fine un sistema di autenticazione informatica, che può basarsi anche sull utilizzo di certificati di firma elettronica sicuri; devono essere predisposte adeguate misure di sicurezza per l accesso ai locali che ospitano i server e le postazioni di lavoro, favorendo una localizzazione e ubicazione in unico luogo o in luoghi collegati, al fine di consentire una migliore gestione degli strumenti e della sicurezza attiva e passiva; ogni eventuale incidente o evento straordinario, che possa pregiudicare la sicurezza, deve essere oggetto di analisi e di rapporto scritto; tutti i progetti di nuove applicazioni/servizi, che sono di natura trasversale e interessano il sistema informativo automatizzato dell Ente, devono essere valutati dall Area CED, e inseriti nel presente documento; tutte le modifiche, eventualmente apportate ai processi organizzativi, devono essere inserite nel presente DPS Responsabilità L Area CED deve procedere all attuazione del DPS. Con cadenza annuale i Responsabili degli Uffici e delle Aree di Posizione Organizzative e del Responsabile del CED, ciascuno per quanto di propria competenza devono procedere alla rinnovazione dell attività di monitoraggio secondo quanto previsto nelle sezioni 2, 3, 4 e 5 del presente DPS. Le risultanze dell attività sopra indicate, approvate con determinazione del Direttore, costituiranno l aggiornamento delle sezioni e degli allegati del DPS. ALLEGATI AL01.01 Elenco degli allegati al DPS AL01.02 Allegato B al D.Lgs. 196/2003 (codice privacy) Disciplinare tecnico in materia di misure minime di sicurezza

6 SEZIONE 02 Elenco dei trattamenti e ripartizione dei compiti e delle responsabilità Pagina 1 di 4 ELENCO DEI TRATTAMENTI E RIPARTIZIONE DEI COMPITI E DELLE RESPONSABILITÀ SCOPO NOMINA DEI RESPONSABILI DEL TRATTAMENTO ELENCO DEI TRATTAMENTI DEI DATI PERSONALI RIPARTIZIONE DEI COMPITI E DELLE RESPONSABILITÀ ALLEGATI

7 SEZIONE 02 Elenco dei trattamenti e ripartizione dei compiti e delle responsabilità Pagina 2 di Scopo Scopo della presente sezione è definire le modalità operative per consentire all Area CED e ai responsabili del trattamento di procedere all attività di monitoraggio, al fine di redigere l elenco dei trattamenti e di determinare il relativo ambito, per l individuazione degli incaricati. Inoltre, vengono definiti in modo analitico i compiti da assegnare ai responsabili del trattamento e le relative istruzioni scritte da impartite agli incaricati Nomina dei responsabili del trattamento I responsabili degli Uffici e delle Aree di Posizione Organizzative dell ERSU di Camerino, indicati nell allegato Organigramma dell ERSU di Camerino (AL02.01), considerata l esperienza, la capacità e l affidabilità, sono nominati, ai sensi dell art. 29, comma 2 del codice privacy, responsabili del trattamento. Ai responsabili del trattamento sono assegnati i compiti analiticamente specificati, ai sensi del comma 4 dell articolo 29 del codice privacy, riportati nel manuale della privacy (allegato al presente DPS - AL02.04) Elenco dei trattamenti dei dati personali Il punto 19.1 dell allegato B al codice della privacy (riportato in allegato al presente DPS AL01.02) richiede che nel DPS debba essere riportato l elenco dei trattamenti, al fine di procedere all analisi dei rischi e all adozione delle misure di sicurezza e di protezione. Per la redazione del predetto elenco dei trattamenti, l Area CED ha predisposto una scheda per il monitoraggio, con relative istruzioni e linee guida per la corretta compilazione, il cui modello è riportato in allegato (AL02.02), che è stata inviata ai responsabili del trattamento. Le risultanze dell attività svolta sono riportate in allegato al presente DPS (AL02.03), che costituisce l elenco completo dei trattamenti, da utilizzare anche come determinazione dell ambito dei trattamenti, al fine delle individuazione degli incaricati da parte dei responsabili del trattamento.

8 SEZIONE 02 Elenco dei trattamenti e ripartizione dei compiti e delle responsabilità Pagina 3 di Ripartizione dei compiti e delle responsabilità L elenco e la determinazione dell ambito dei trattamenti (con la specificazione delle tipologie di operazioni e della natura dei dati oggetto di trattamento), costituiscono la base di riferimento per una organica ripartizione dei compiti e delle responsabilità. I responsabili del trattamento, ai sensi dell art. 30, comma 2 del codice della privacy, individuano ciascun dipendente e collaboratore della propria area in qualità di incaricato del trattamento, associando a ciascun operatore l ambito del trattamento individuato nell allegato Elenco dei trattamenti (AL02.03). Ai responsabili e agli incaricati del trattamento sono impartite le istruzioni scritte contenute nel Manuale della privacy riportato in allegato (AL02.04), costituenti parte integrante e sostanziale del presente DPS, consegnate a ciascun incaricato all atto dell individuazione, in adempimento di quanto previsto dall allegato B (paragrafo 19.6) e descritto nella sezione 06 del presente DPS. Con cadenza annuale, i responsabili del trattamento, devono procedere alla rinnovazione dell attività di monitoraggio, utilizzando il modello di scheda riportata in allegato (AL02.02), al fine dell aggiornamento dell ambito di trattamento consentito ai singoli incaricati del trattamento e agli addetti alla manutenzione e alla gestione degli strumenti elettronici (in ottemperanza a quanto previsto dal punto 15 dell allegato B al codice della privacy). All esito della rinnovazione dell attività di monitoraggio, i responsabili degli Uffici e delle Aree di Posizione Organizzative aggiornano le schede riportate in allegato al DPS (AL02.03). Il responsabile pro-tempore dell Area CED è nominato quale amministratore di sistema e ad esso sono impartiti i compiti riportati nel Manuale della privacy (AL02.04). Per quanto riguarda la gestione del sistema di sicurezza, l amministratore di sistema può delegare a terzi, che per esperienza, capacità ed affidabilità forniscano idonea garanzia di adempimento, i seguenti compiti: a) verifica della idoneità e della configurazione degli strumenti anti-intrusione e per la protezione da programmi virus, ai sensi dell art. 615-quinquies del codice penale; b) aggiornamento e controllo delle vulnerabilità dei programmi per elaboratore; c) effettuazione, gestione e conservazione delle copie di salvataggio, anche al fine della garanzia del ripristino dei dati in tempi certi.

9 SEZIONE 02 Elenco dei trattamenti e ripartizione dei compiti e delle responsabilità Pagina 4 di 4 ALLEGATI AL02.01 Organigramma dell ERSU di Camerino AL02.02 Scheda per il monitoraggio Elenco dei trattamenti AL02.03 Elenco dei trattamenti AL02.04 Manuale della Privacy

10 Analisi e valutazione dei rischi SEZIONE 03 Pagina 1 di 4 ANALISI E VALUTAZIONE DEI RISCHI SCOPO RESPONSABILITÀ CRITERI PER L INDIVIDUAZIONE DEI RISCHI CRITERI PER LA VALUTAZIONE DEI RISCHI ALLEGATI

11 Analisi e valutazione dei rischi SEZIONE 03 Pagina 2 di Scopo Scopo della presente sezione è definire i criteri e le modalità operative per procedere all analisi e alla valutazione dei rischi, secondo quanto previsto dal punto dell allegato B del codice della privacy, al fine dell adozione delle misure di sicurezza per la protezione dei dati specificate nella sezione Responsabilità L ERSU di Camerino (di seguito denominato ente) in qualità di titolare del trattamento, come entità nel suo complesso, secondo quanto previsto dal codice privacy, deve procedere all adozione delle misure di sicurezza idonee e minime. Tuttavia, l articolo 29 del codice della privacy consente al titolare di poter nominare uno o più responsabili del trattamento, che per esperienza, capacità ed affidabilità fornisca idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. L analisi e la valutazione dei rischi è effettuata dai responsabili del trattamento e dall amministratore di sistema Criteri per l individuazione dei rischi L adeguatezza delle misure di sicurezza deve essere valutata, secondo le linee guida indicate in questo documento, tenendo conto delle conoscenze acquisite in base al progresso tecnico, alla natura dei dati trattati e alle specifiche caratteristiche del trattamento. A tal proposito, la check-list riportata in allegato (AL03.01) è stata inviata ai Responsabili degli Uffici e delle Aree di Posizione Organizzative indicati nell allegato Organigramma dell ERSU di Camerino (AL02.02) al fine della raccolta di informazioni relative alla sicurezza e protezione dei dati personali e all adozione delle misure di sicurezza. Le check-list così compilate sono riportate in allegato al presente DPS (AL03.02), costituendone parte integrante e sostanziale. Per motivi di protezione del sistema informativo dell ente e dei dati personali oggetto di trattamento, gli allegati della presente sezione sono da considerarsi riservati e non possono essere oggetto di pubblicazione e diffusione.

12 Analisi e valutazione dei rischi SEZIONE 03 Pagina 3 di 4 Saranno soggetti ad accesso controllato e selezionato, per finalità di controllo da parte dell autorità giudiziaria, degli organi politici e di eventuali terzi, portatori di un interesse diretto, concreto e attuale. L amministratore di sistema, coadiuvato da propri collaboratori, ha proceduto a verificare il rispetto delle misure di sicurezza e delle procedure, utilizzando il modello riportato nell allegato AL03.03, riguardanti i sotto elencati asset da proteggere: - rete di comunicazione elettronica; - server; - elaboratori elettronici; - informazioni di natura sensibile; - dati personali comuni; - personale. La lista di controllo compilata è riportato in allegato al presente DPS (AL03.04), costituendone parte integrante e sostanziale. L amministratore di sistema, coadiuvato da propri collaboratori ha inoltre provveduto all analisi dei rischi, servendosi dell apposita lista di controllo (riportata in allegato AL03.05), in cui sono specificate le diverse possibili minacce (classificate per tipologia come rischi naturali, umani e attività illecite), che possono interessare le procedure informatiche e i dati personali trattati con strumenti elettronici. L analisi dei rischi svolta per macro-processi e riguardante gli asset da proteggere, costituisce parte integrante e sostanziale del presente DPS (AL03.06) Criteri per la valutazione dei rischi Una volta individuati i singoli fattori di rischio, si deve procedere alla valutazione dei rischi oggetto di analisi, attraverso una indicizzazione, che sia riferita alle possibili perdite. La valutazione deve essere condotta partendo dal massimo possibile rischio fino a considerare il rischio probabile, che rappresenta quello da considerare effettivamente e concretamente. In particolare, si deve tener conto di due indici: - la probabilità (P), che riguarda la frequenza riscontrata o riscontrabile dell evento (o minaccia) considerati; - la gravità (D), da valutarsi in termini quantitativi. Per cui per ogni minaccia si avrà un fattore di rischio R, che sarà la risultante del prodotto della probabilità (P) e della gravità (D), secondo la formula

13 Analisi e valutazione dei rischi SEZIONE 03 Pagina 4 di 4 R = P x D Probabilità (P) 1 - improbabile Danni dovuti a eventi molto rari 2 poco Danni dovuti ad eventi probabile rari, occasionali ed inattesi 3 probabile Danni dovuti a eventi normali 4 molto probabile Danni dovuti ad eventi continui e frequenti Danno (D) 1 lieve Danni reversibili e sanabili 2 medio Danni sanabili in modo quasi completo 3 grave Danni che comportano interruzione di servizio non sanabile in modo completo 4 molto grave Danni irreversibili e non sanabili La valutazione del rischio è la risultante del prodotto dell indice di probabilità e di quello di danno. La valutazione del rischio effettuata dall amministratore di sistema costituisce parte integrante e sostanziale del presente DPS (AL03.06). Con cadenza annuale i responsabili del trattamento devono procedere alla rinnovazione dell attività di monitoraggio, utilizzando la check-list riportata in allegato (AL03.01) e le relative risultanze devono essere allegate al presente DPS (AL 03.02). L amministratore di sistema, sempre annualmente, deve: a) verificare il rispetto delle misure di sicurezza e delle procedure, utilizzando il modello riportato in allegato (AL03.03) e riportare le risultanze nell allegato al presente DPS (AL03.04); b) integrare l elenco dei rischi riportati nell allegato (AL03.05); c) rinnovare l analisi e la valutazione dei rischi, utilizzando la predetta lista di controllo (AL03.05) e riportare l esito del processo considerato nell allegato al presente DPS (AL03.06). ALLEGATI AL03.01 Modello di check-list per lo stato di adozione delle misure di sicurezza AL03.02 Stato di adozione delle misure di sicurezza per unità di trattamento AL03.03 Modello di check-list per la verifica del rispetto delle misure di sicurezza e delle procedure AL03.04 Verifica del rispetto delle misure di sicurezza e delle procedure AL03.05 Elenco dei rischi AL03.06 Analisi e valutazione dei rischi

14 SEZIONE 04 Le misure di prevenzione e protezione degli strumenti elettronici e dei dati personali Pagina 1 di 7 LE MISURE DI PREVENZIONE E PROTEZIONE DEGLI STRUMENTI ELETTRONICI E DEI DATI PERSONALI SCOPO LINEE GUIDA E INDIRIZZI IN TEMA DI GESTIONE DELLA SICUREZZA GLI OBBLIGHI DI SICUREZZA SECONDO IL CODICE DELLA PRIVACY MISURE ED AZIONI PER IL CORRETTO TRATTAMENTO DEL RISCHIO IL PROGRAMMA DELLE MISURE DI PREVENZIONE E DI PROTEZIONE DEGLI STRUMENTI ELETTRONICI E DEI DATI ALLEGATI

15 SEZIONE 04 Le misure di prevenzione e protezione degli strumenti elettronici e dei dati personali Pagina 2 di Scopo Scopo della presente sezione è fornire indirizzi per la protezione degli strumenti elettronici e dei dati personali dalle minacce Linee guida e indirizzi in tema di gestione della sicurezza Secondo la definizione ISO, la sicurezza è l insieme delle misure atte a garantire la disponibilità, l integrità e la riservatezza delle informazioni gestite e dunque l insieme di tutte le misure atte a difendere il sistema informatico dalle possibili minacce d attacco. Rendere sicuro un sistema informatico non significa esclusivamente attivare un insieme di contromisure specifiche, di carattere tecnologico ed organizzativo, che neutralizzino tutti gli attacchi ipotizzabili al sistema di servizi, ma significa, in particolare, collocare ciascuna delle contromisure individuate in una politica organica di sicurezza, che tenga conto dei vincoli (tecnici, logistici, organizzativi, amministrativi e legislativi) imposti dalla struttura tecnica ed organizzativa, in cui il sistema di servizi opera e che giustifichi ciascuna contromisura in un quadro complessivo. A livello internazionale il tema sicurezza è affrontato in modo sistematico dal 1995 (norme BS7799). Principale obiettivo di un sistema di sicurezza è la salvaguardia delle informazioni. Lo standard BS7799 individua tre aspetti fondamentali relativi alla sicurezza delle informazioni: Confidenzialità : solo gli utenti autorizzati possono accedere alle informazioni necessarie; Integrità : protezione contro alterazioni o danneggiamenti; tutela dell accuratezza e completezza dei dati; Disponibilità: le informazioni sono rese disponibili quando occorre e nell ambito di un contesto pertinente. L approccio alla sicurezza deve avvenire in una logica di prevenzione (risk management) piuttosto che in una logica di gestione delle emergenze o di semplice controllo/vigilanza. L architettura per rispondere alle esigenze di sicurezza è costituita da 3 elementi fondamentali: le politiche dell organizzazione, gli strumenti organizzativi e tecnologici, gli atteggiamenti individuali.

16 SEZIONE 04 Le misure di prevenzione e protezione degli strumenti elettronici e dei dati personali Pagina 3 di 7 Un sistema di gestione della sicurezza delle informazioni efficiente ed efficace permette all organizzazione di: mantenersi aggiornata su nuove minacce e vulnerabilità e prenderle in considerazione in modo sistematico; trattare incidenti e perdite in ottica di prevenzione e di miglioramento continuo del sistema; sapere quando politiche di sicurezza e procedure non sono implementate, in tempo utile per prevenire danni; implementare politiche e procedure di primaria importanza. Le BS7799 affrontano il problema sicurezza ad alto livello, indipendentemente dalla tecnologia, concentrandosi principalmente sulla gestione della sicurezza. Per la corretta applicazione delle norme BS7799 è necessario predisporre ed attuare adeguati strumenti e controlli per la gestione e il controllo della sicurezza. Tali norme forniscono un utile base per l effettiva gestione della sicurezza, grazie anche alla presenza di indicazioni relative alla creazione di politiche di sicurezza, alla formazione e sensibilizzazione di tutto il personale, nonché alle azioni da intraprendere per garantire la continuità delle attività. L applicazione delle BS7799 consente di: verificare l adeguatezza dei processi per il trattamento delle informazioni; dimostrare che sono rispettati i requisiti espressi in contratti, leggi o regolamenti; valutare il rapporto costi/benefici dei propri investimenti Gli obblighi di sicurezza secondo il codice della privacy L art. 1 del codice della privacy riconosce a ciascun soggetto il diritto alla protezione dei dati personali. Questo diritto assume una duplice rilevanza: a) sotto un profilo esterno, si sostanzia nel potere di controllo sul processo di trattamento svolto da terzi riconosciuto a ciascun interessato, secondo quanto previsto dall art. 7 del codice della privacy; b) per quanto concerne i titolari del trattamento, il diritto alla protezione dei dati personali si sostanzia, principalmente, nell obbligo di adottare le misure di sicurezza a protezione dei dati dal rischio di minacce. Per minaccia si intende un evento non desiderato da parte di chi lo subisce, sia deliberato, sia accidentale, capace di arrecare un danno, che può essere conseguenza specifica della perdita o distruzione dei dati, anche accidentale, dell accesso abusivo, di un trattamento illecito o non consentito.

17 SEZIONE 04 Le misure di prevenzione e protezione degli strumenti elettronici e dei dati personali Pagina 4 di 7 Per misura minima di sicurezza il codice della privacy intende il complesso delle misure tecniche, informatiche, organizzative, logistiche o procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi specifici previsti dall articolo 31 del codice privacy. Per misura idonea di sicurezza, invece, si deve intendere ogni azione preventiva di contrasto che, in relazione alle conoscenze acquisiste in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, sia finalizzata a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Le misure idonee di sicurezza devono essere adottate a seguito di una valutazione delle minacce possibili, che devono essere considerate dal titolare del trattamento, che all uopo si avvale di uno o più soggetti nominati responsabili del trattamento. Le misure idonee di sicurezza devono essere adottate secondo la filosofia dell autodeterminazione, per cui occorre tendere costantemente alla riduzione al minimo dei rischi, che possono interessare i dati personali oggetto di trattamento in seno all ente e il sistema informativo automatizzati nel suo complesso. Il legislatore, infatti, definisce l obbligo di adozione di misure di sicurezza idonee in termini funzionali, obbligando, come detto, ad una valutazione tesa ad eliminare (ove possibile) ovvero a ridurre i rischi, senza provvedere a specificare quali debbano essere tali misure, che sono affidate alla valutazione discrezionale del titolare, a seguito di un processo organico e dinamico di analisi del rischio, descritto nel presente documento alla sezione 03. Al fianco delle misure idonee di sicurezza, al fine di favorire un livello omogeneo di sicurezza per ogni soggetto che tratti i dati personali, il legislatore ha previsto (ai sensi dell articolo 33 del codice della privacy) un obbligo di adozione di misure minime, che sono individuate dagli articoli 34 e 35 del codice della privacy e specificate dall allegato B del medesimo codice (AL01.02). Le misure minime sono ripartite e specificate a seconda della diversa tipologia di strumenti utilizzati, siano essi elettronici ovvero non elettronici. Per strumenti elettronici, secondo la definizione del codice della privacy, si intendono gli elaboratori, i programmi per elaboratore e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento. L omessa adozione delle misure minime di sicurezza costituisce condotta penalmente rilevante ai sensi dell articolo 169, comma 1 del codice della privacy, il quale dispone che: Chiunque, essendovi tenuto, omette di adottare le misure

18 SEZIONE 04 Le misure di prevenzione e protezione degli strumenti elettronici e dei dati personali Pagina 5 di 7 minime previste dall articolo 33 è punito con l arresto sino a due anni o con l ammenda da diecimila euro a cinquantamila euro. Si tratta di un reato omissivo proprio, per il quale non rileva il dolo o la colpa. Tuttavia, l articolo 169, comma 2 del codice della privacy prevede l istituto del cosiddetto ravvedimento operoso, che consiste nella possibilità concessa all autore del reato, all atto dell accertamento o, nei casi più complessi, anche con successivo atto del Garante, di: 1) adempiere entro un termine alle prescrizioni impartite, al fine della regolarizzazione del proprio sistema e delle misure di sicurezza non adottate in precedenza (il periodo di tempo concesso per l adeguamento è prorogabile in caso di particolare complessità o per l oggettiva difficoltà dell adempimento e comunque non superiore a sei mesi); 2) provvedere, nei sessanta giorni successivi allo scadere del termine, ove risultasse il corretto adempimento rispetto alle prescrizioni ricevute dall autorità Garante, a pagare una somma pari al quarto del massimo dell ammenda stabilita per la contravvenzione, ossia una somma di euro; 3) ottenere l estinzione del reato, a seguito del positivo riscontro dell avvenuto adempimento degli obblighi di adeguamento alle prescrizioni e del pagamento dell ammenda in misura ridotta Misure ed azioni per il corretto trattamento del rischio Le misure minime di sicurezza, riportate in allegato (AL04.01), sono adottate dall amministratore di sistema e dai responsabili del trattamento, ciascuno per quanto di propria competenza e con riferimento al settore e alla struttura di pertinenza. Come detto, gli obblighi di protezione concernono anche l adozione di misure idonee di sicurezza, per cui in questo paragrafo si intendono delineare gli indirizzi per una corretta gestione dei rischi oggetto di analisi e valutazione, secondo quanto descritto nella sezione 03. Le azioni necessarie per l adozione di idonee misure di sicurezza riguardano: a) la prevenzione: attività che permette di impedire gli accadimenti negativi, agendo direttamente sulla diminuzione della probabilità di manifestazione delle minacce; b) la protezione: attività che permette di diminuire la gravità degli effetti causati eventualmente dall accadimento dell evento di pericolo. Dopo aver analizzato e valutato i fattori di rischio, relativi ai rischi di distruzione o perdita dei dati, di accesso abusivo e di trattamento illecito o non consentito, con specifico riferimento alle garanzie di riservatezza, integrità e disponibilità dei dati devono essere individuate le misure di prevenzione e protezione.

19 SEZIONE 04 Le misure di prevenzione e protezione degli strumenti elettronici e dei dati personali Pagina 6 di 7 L insieme delle misure preventive e protettive costituisce un programma di fondamentale importanza nell ambito della politica per la Sicurezza, poiché fornisce una guida operativa, che permette di gestire la Sicurezza con organicità e sistematicità e in modo dinamico. Il processo di gestione dei rischi, affidato all amministratore di sistema e ai propri collaboratori, comporta la necessità di dover procedere nel valutare la possibilità di: eliminare il rischio: consiste nel verificare se si possa fronteggiare in modo assoluto una minaccia annullandola completamente. Tra le ipotesi, possono figurare il rischio di accesso abusivo degli incaricati del trattamento interni, dovuto alla mancanza di un sistema di autenticazione per accedere al sistema operativo; ridurre il rischio: ove non sia possibile eliminare in via assoluta la minaccia considerata, occorre verificare le possibilità di contenere il rischio in termini di probabilità di accadimento e di danno derivante. Si pensi, con riferimento al rischio di accesso abusivo, all obbligo di fornire istruzioni per la scelta di una parola chiave robusta (ossia non facilmente associabile all identità dell incaricato) e con una lunghezza non inferiore aglio otto caratteri; assumere il rischio in proprio, previa valutazione dei costi benefici, i responsabili della valutazione e trattamento dei rischi possono decidere l assunzione da parte dell ente di una certa quota di rischio, segnalando annualmente al Direttore dell ente tale circostanza mediante la redazione di un report; trasferire il rischio a terzi contrattualmente (si tratta della forma di trasferimento non assicurativo): si pensi alla stipulazione di un contratto con soggetto esterno per il servizio di back-up, che garantisca la ridondanza e la facoltà del ripristino dell uso e della disponibilità dei dati personali in caso di danneggiamento o di blocco del sistema; stipulare un contratto di assicurazione per il trasferimento del rischio ad un soggetto terzo dietro pagamento di un premio assicurativo. Quest ultima soluzione deve essere valutata ove non sia possibile procedere nel trattamento del rischio secondo quanto delineato ai punti precedenti; tale scelta in apparenza può sembrare più agevole, ma, in realtà, in un sistema di gestione del rischio comporta un costo fisso a fronte di un evento che non è detto che si verifichi Il programma delle misure di prevenzione e di protezione degli strumenti elettronici e dei dati Il programma delle misure di sicurezza da adottare per la rete di comunicazione elettronica dell ente e per la protezione dei server centrali, secondo gli indirizzi contenuti nel presente DPS, è redatto dell amministratore di sistema, che deve essere coadiuvato dai responsabili del trattamento e dai propri collaboratori, addetti alla manutenzione e gestione degli strumenti elettronici.

20 SEZIONE 04 Le misure di prevenzione e protezione degli strumenti elettronici e dei dati personali Pagina 7 di 7 Il programma così redatto costituisce parte integrante e sostanziale del presente DPS (AL04.02) e deve essere verificato ed aggiornato, con determinazione Del Direttore, nell ottica di un miglioramento continuo della Sicurezza almeno con cadenza annuale e comunque ogni qualvolta si verifichi la necessità, a seguito di malfunzionamenti o di interventi di natura tecnologica o organizzativa nel sistema informatico dell ente, oppure per iniziativa dei responsabili, che riscontrino necessità di intervento o non conformità, tecniche e/o normative. Obiettivo delle misure programmate è quello di ridurre il valore dell indice di rischio relativo ad ogni singola minaccia oggetto di valutazione, attraverso l adozione, da parte dei singoli responsabili, delle misure idonee di protezione; le risultanze di tali misure per la protezione dei dati personali (manuali, procedure, registri, etc) sono contenute nell allegato AL Sono previste anche modalità per la verifica dell adozione delle misure programmate e per il monitoraggio della idoneità delle stesse. È importante anche definire a quali soggetti è affidata la responsabilità dell adozione e verifica delle misure di protezione, secondo quanto delineato nella sezione 02 del presente DPS, dell applicazione di tali contromisure e dell eventuale controllo dell efficacia delle stesse. In particolare, i responsabili del trattamento possono individuare uno o più incaricati del controllo del rispetto delle misure minime, impartendo specifiche istruzioni, ad integrazione di quelle riportate in allegato alla sezione 02 del DPS (AL02.04). Coloro che vengono incaricati di verificare l efficacia delle misure di protezione e prevenzione adottate devono avere la possibilità di controllare che i soggetti incaricati si attengano alle regole che gli sono state impartite e che le modalità di utilizzo degli strumenti siano coerenti con quanto stabilito dal presente DPS e oggetto di programmazione (AL04.02). In caso di difformità con quanto previsto, gli incaricati dei controlli devono riferire al responsabile del trattamento in forma scritta i termini della non conformità e le condizioni in cui si è fatta la verifica. Sarà cura del responsabile adottare le dovute contromisure, per risolvere le non conformità riscontrate. ALLEGATI AL04.01 Elenco delle misure minime di sicurezza adottate AL04.02 Piano delle misure idonee di sicurezza AL04.03 Procedure e registri per la protezione dei dati personali

21 Linee guida per il ripristino dei dati SEZIONE 05 Pagina 1 di 2 LINEE GUIDA PER IL RIPRISTINO DEI DATI SCOPO IL PIANO DI RISPRISTINO ALLEGATI

22 Linee guida per il ripristino dei dati SEZIONE 05 Pagina 2 di Scopo Scopo della presente sezione è fornire gli indirizzi all amministratore di sistema per garantire la continuità operativa nel trattamento dei dati personali, adottando un piano di ripristino Il piano di ripristino Il punto 23 dell allegato B del codice della privacy prevede l obbligo dell adozione di misure idonee per garantire il ripristino dei dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. Il piano di ripristino deve essere redatto dall amministratore di sistema, secondo gli indirizzi di seguito riportati, e costituisce parte integrante e sostanziale del presente DPS (AL05.01). Nel piano di ripristino devono essere riportati: 1) gli eventi che possono causare la distruzione o il danneggiamento dei dati o degli strumenti elettronici; 2) la definizione dei ruoli e delle responsabilità; 3) la descrizione delle azioni da intraprendere in caso di emergenza al fine del ripristino dei dati e del sistema. Il piano di ripristino deve essere aggiornato con cadenza almeno annuale. ALLEGATI AL05.01 Piano di ripristino del sistema informatico dell ERSU di Camerino

23 Formazione degli incaricati SEZIONE 06 Pagina 1 di 2 FORMAZIONE DEGLI INCARICATI SCOPO PROGRAMMAZIONE DELLA FORMAZIONE DEGLI INCARICATI ALLEGATI

24 Formazione degli incaricati SEZIONE 06 Pagina 2 di Scopo Scopo della presente sezione è descrivere gli indirizzi per la programmazione di interventi formativi degli incaricati Programmazione della formazione degli incaricati Il punto dell allegato B del codice della privacy prevede l obbligo di programmare interventi formativi degli incaricati del trattamento, al fine di renderli edotti: a) dei rischi che incombono sui dati; b) delle misure disponibili per prevenire eventi dannosi; c) dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività; d) delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. L ERSU di Camerino ritiene che la formazione dei responsabili e degli incaricati sia un elemento fondamentale ed indefettibile per sostenere una cultura del rispetto della riservatezza e per garantire la corretta adozione degli adempimenti previsti dal codice della privacy. I corsi di formazione, tenuti da docenti esperti, dovranno delineare i principi generali del codice della privacy, le regole fondamentali di comportamento e avere un taglio pratico ed operativo. Il programma di formazione degli incaricati deve essere allegato alla presente sezione (AL06.01), unitamente all indicazione dei materiali informativi e operativi messi a disposizione dal docente incaricato, favorendone la massima diffusione, anche con strumenti elettronici. ALLEGATI AL06.01 Piano di formazione e materiali segnalati e distribuiti ai partecipanti

25 SEZIONE 07 Criteri per la sicurezza dei dati in caso di affidamento dei trattamenti all esterno Pagina 1 di 3 CRITERI PER LA SICUREZZA DEI DATI IN CASO DI AFFIDAMENTO DEI TRATTAMENTI ALL ESTERNO SCOPO CRITERI PER LA SICUREZZA DEI DATI IN CASO DI AFFIDAMENTO DEI TRATTAMENTI ALL ESTERNO

26 SEZIONE 07 Criteri per la sicurezza dei dati in caso di affidamento dei trattamenti all esterno Pagina 2 di Scopo Scopo della presente sezione è delineare gli indirizzi e le azioni da adottare per l affidamento all esterno dei trattamenti di dati personali Criteri per la sicurezza dei dati in caso di affidamento dei trattamenti all esterno Nel caso di affidamento di attività di trattamento di dati, di cui è titolare l ERSU di Camerino, a soggetti esterni si pongono due problemi: a) il primo riguarda la legittimazione al trasferimento dei dati personali oggetto di trattamento: il far conoscere dati personali a soggetti terzi, diversi dall interessato, dal responsabile e dall incaricato del trattamento, in qualunque forma, costituisce operazione di comunicazione, che, ove effettuata da parte di un soggetto pubblico nei confronti di soggetti privati e avente ad oggetto dati comuni, è ammessa solamente se prevista da legge o da regolamento (ai sensi dell articolo 19, comma 3 del codice privacy). Per i dati sensibili, per comunicare i dati a terzi occorre una specifica autorizzazione di legge o di regolamento, che determini i tipi di dati e la specifica operazione ivi considerata; b) in secondo luogo, la definizione di criteri, per favorire l adozione delle misure di sicurezza, secondo quanto previsto dall allegato B (punto 19.7). Ove la comunicazione dei dati personali sia finalizzata a consentire l adempimento di funzioni o di compiti assegnati ad un soggetto terzo (con un atto formale) per scopi istituzionali dell ente titolare, si ritiene opportuno dover procedere alla nomina del soggetto esterno in qualità di responsabile. La conseguenza di una tale determinazione, è che la conoscenza dei dati personali, da parte di questo soggetto, non concreterebbe una operazione di comunicazione dei dati e che il soggetto privato si trova ad operare con le regole di legittimazione proprie del soggetto pubblico titolare del trattamento. La nomina dei responsabili esterni deve essere effettuata dalla struttura e dal responsabile, che stipula il contratto o comunque l atto di affidamento di una certa attività o servizio, per il quale è necessario un trattamento di dati detenuti dall ente titolare. I Responsabili degli Uffici e delle Aree di Posizione Organizzative indicati nell allegato Organigramma dell ERSU di Camerino (AL02.02), che possono essere autorizzati a procedere alla nomina dei responsabili esterni di trattamento, secondo le disposizioni dell art. 29 del codice della privacy e quanto stabilito in AL02.04, devono verificare che il soggetto affidatario si attenga ai seguenti criteri generali, al

27 SEZIONE 07 Criteri per la sicurezza dei dati in caso di affidamento dei trattamenti all esterno Pagina 3 di 3 fine di garantire l adozione delle misure di sicurezza, ai sensi del punto 19.7 dell allegato B del codice privacy: a) impartire ai propri collaboratori e preposti allo svolgimento delle operazioni di trattamento istruzioni scritte; b) adottare procedure per la gestione delle credenziali di autenticazione; c) gestire correttamente i profili di autorizzazione, attraverso la definizione dei poteri di visualizzazione, elaborazione, modifica dei dati; d) verificare il rispetto delle istruzioni impartite agli incaricati e favorire eventuali visite ispettive o audit da parte del personale incaricato dei controlli per conto dell ERSU di Camerino; e) verificare i criteri adottati per l analisi dei rischi, secondo la classificazione adottata dall ente; f) dare conoscenza delle risultanze della valutazione dei rischi (secondo l uso di indici riferiti a probabilità e danno); g) fornire, se richiesto, l elenco delle misure di sicurezza adottate; h) adottare procedure di monitoraggio e di aggiornamento del sistema di sicurezza.