Documento programmatico sulla sicurezza

Транскрипт

1 Documento programmatico sulla sicurezza 1.1 Elenco dei trattamenti (regola 19.1 allegato B D.Lgs 196/2003) Tabella trattamenti Identificativo Servizio/ufficio Denominazione del Strumenti utilizzati trattamento trattamento 1 Ragioneria Gestione del rapporto di lavoro del personale impiegato a vario titolo presso il Comune 2 Ragioneria Gestione del rapporto di lavoro del personale impiegato a vario titolo presso il comune - attività relativa al riconoscimento di benefici connessi all'invalidità civile per il personale. 3 Servizi Gestione dell'anagrafe della demografici/anagrafe popolazione residente e dell'anagrafe della popolazione residente all'estero (AIRE) 4 Servizi demografici/stato Attività di gestione dei registri Civile di stato civile 5 Servizi demografici/elettorale Attività relativa all'elettorato attivo e passivo 6 Servizi Attività relativa alla tenuta demografici/elettorale degli albi degli scrutatori e dei presidenti di seggio 7 Servizi Attività relativa alla tenuta demografici/elettorale dell'elenco dei giudici popolari 8 Servizi demografici/leva Attività relativa alla tenuta del registro degli obiettori di coscienza 9 Servizi demografici/leva Attività relativa alla tenuta delle liste di leva e dei registri matricolari 10 Servizi sociale Attività relativa all'assistenza domiciliare 11 Servizi sociali Attività relativa all'assistenza scolastica ai portatori di handicap o con disagio psicosociale 12 Servizi sociali Attività relativa alla richiesta di ricovero in Istituti, Case di cura, Case di riposo, ecc. 13 Servizi sociali Attività ricreative per la promozione del benessere della persona e della comunità, per il sostegno dei progetti di vita delle persone e delle famiglie e per la rimozione del disagio sociale 1 14 Servizi sociali Attività relativa alla valutazione

2 dei requisiti necessari per la concessione di contributi, ricoveri in istituti convenzionali o soggiorno estivo (per soggetti audiolesi, non vedenti, pluriminorati o gravi disabili o con disagio psico-sociali) 15 Servizi sociali Attività relativa all'integrazione sociale ed all'istruzione del portatore di handicap e di altri soggetti che versano in condizioni di disagio sociale (centro diurno, centro socio educativo, ludoteca, ecc.) 16 Servizi sociali Attività di sostegno delle persone bisognose o non autosufficienti in materia di servizio pubblico trasporto 17 Servizi sociali Attività relativa ai sevizi di sostegno e sostituzione al nucleo familiare alle pratiche di affido e di adozione dei minori 18 Servizi sociali Attività relativa alla concessione di benefici economici, ivi comprese le assegnazioni di alloggi di edilizia residenziale pubblica 19 Istruzione e cultura Attività relativa alla gestione dei servizi per l'infanzia e delle scuole materne 20 Istruzione e cultura Attività di formazione ed in favore del diritto allo studio 21 Istruzione e cultura Gestione delle biblioteche e dei centri di documentazione 22 Polizia municipale Attività relativa all'infortunistica stradale 23 Polizia municipale Gestione delle procedure sanzionatorie 24 Polizia municipale Attività di polizia annonaria, commerciale e amministrativa 25 Polizia municipale Attività di vigilanza edilizia, in materia di ambiente e sanità nonché di polizia mortuaria 26 Polizia municipale Attività relativa al rilascio di permessi per invalidi 27 Direzione generale/segreteria Attività relativa alla consulenza giuridica, nonché al patrocinio ed alla difesa in giudizio dell'amministrazione 28 Tecnico Gestione urbanistica ed edilizia privata Descrizione degli strumenti utilizzati Per i trattamenti da 1 a 30 le banche dati risiedono nelle sedi municipali. La tipologia di accesso alle banche dati è mediante personal computer anche con accesso mediante lan interna al server. 2

3 Il backup dei dati della ragioneria, dei tributi e dell anagrafe avviene su server mediante cassette magnetiche. Il backup dei dati dell ufficio tecnico avviene su server ma non su cassetta magnetica. La tipologia di interconnessione per tutte le banche dati è mediante rete interna. L accesso alla rete esterna avviene mediante modem isdn con collegamento dial-up (solo su richiesta), ovvero la rete non è sempre collegata ad internet o alla RUPAR. Il collegamento avviene comunque con screening router. 1.2 Distribuzione dei compiti e delle responsabilità Strutture preposte ai trattamenti (Regola 19.2) Per tutti i trattamenti indicati al punto del presente documento programmatico il trattamento dei dati viene effettuato direttamente dagli uffici indicati in tabella. In tutti i casi i trattamenti operati sono: acquisizione e caricamento dei dati consultazione comunicazione a terzi manutenzione tecnica dei programmi adottati gestione tecnica dei salvataggi dei dati Gli strumenti utilizzati sono personal computer per l acquisizione, modifica e caricamento dei dati. Il backup dei dati viene effettuato su server e in taluni casi su nastro magnetico. Per l individuazione degli incaricati del trattamento dei dati tipo (o condivisione del trattamento con altri uffici) verrà utilizzata la seguente tabella: Identificativo Incaricato del trattamento trattamento 1 Gianni Vergendo Emanuela Cappellesso 2 Gianni Vergendo Emanuela Cappellesso 3 Giorgio Titton 4 Giorgio Titton 5 Giorgio Titton 6 Giorgio Titton 7 Giorgio Titton 8 Giorgio Titton 9 Giorgio Titton 10 Raffaella Ciol Denominazione del Strumenti utilizzati trattamento Gestione del rapporto di lavoro del personale impiegato a vario titolo presso il Comune Gestione del rapporto di lavoro del personale impiegato a vario titolo presso il comune - attività relativa al riconoscimento di benefici connessi all'invalidità civile per il personale. Gestione dell'anagrafe della popolazione residente e dell'anagrafe della popolazione residente all'estero (AIRE) Attività di gestione dei registri di stato civile Attività relativa all'elettorato attivo e passivo Attività relativa alla tenuta degli albi degli scrutatori e dei presidenti di seggio Attività relativa alla tenuta dell'elenco dei giudici popolari Attività relativa alla tenuta del registro degli obiettori di coscienza Attività relativa alla tenuta delle liste di leva e dei registri matricolari Attività relativa all'assistenza domiciliare 3

4 11 Raffaella Ciol 12 Raffaella Ciol 13 Raffaella Ciol 14 Raffaella Ciol 15 Raffaella Ciol 16 Raffaella Ciol 17 Raffaella Ciol 18 Raffaella Ciol 19 Raffaella Ciol 20 Raffaella Ciol Marina Marina 21 Giovanna Schirra Giorgetta Ferrara Attività relativa all'assistenza scolastica ai portatori di handicap o con disagio psicosociale Attività relativa alla richiesta di ricovero in Istituti, Case di cura, Case di riposo, ecc. Attività ricreative per la promozione del benessere della persona e della comunità, per il sostegno dei progetti di vita delle persone e delle famiglie e per la rimozione del disagio sociale Attività relativa alla valutazione dei requisiti necessari per la concessione di contributi, ricoveri in istituti convenzionali o soggiorno estivo (per soggetti audiolesi, non vedenti, pluriminorati o gravi disabili o con disagio psico-sociali) Attività relativa all'integrazione sociale ed all'istruzione del portatore di handicap e di altri soggetti che versano in condizioni di disagio sociale (centro diurno, centro socio educativo, ludoteca, ecc.) Attività di sostegno delle persone bisognose o non autosufficienti in materia di servizio pubblico trasporto Attività relativa alla prevenzione ed al sostegno alle persone tossicodipendenti ed alle loro famiglie tramite centri di ascolto (per sostegno) e centri documentali (per prevenzione) Attività relativa ai sevizi di sostegno e sostituzione al nucleo familiare alle pratiche di affido e di adozione dei minori Attività relativa ai trattamenti sanitari obbligatori (T.S.O.) ed all'assistenza sanitaria obbligatoria (A.S.O.) Attività relativa alla concessione di benefici economici, ivi comprese le assegnazioni di alloggi di edilizia residenziale pubblica Attività relativa alla gestione dei servizi per l'infanzia e delle scuole materne 4 22 Giovanna Schirra Attività di formazione ed in Daniela Baldassi favore del diritto allo studio 23 Gestione della biblioteca e dei centri di documentazione 24 Nicola Carpin Attività relativa all'infortunistica

5 Eleonora Seffin stradale 25 Nicola Carpin Gestione delle procedure Eleonora Seffin sanzionatorie 26 Nicola Carpin Attività di polizia annonaria, Eleonora Seffin commerciale e amministrativa 27 Nicola Carpin Attività di vigilanza edilizia, in Eleonora Seffin materia di ambiente e sanità nonché di polizia mortuaria 28 Nicola Carpin Attività relativa al rilascio di Eleonora Seffin permessi per invalidi 29 Maria Rosa Girardello Attività relativa alla consulenza giuridica, nonché al patrocinio ed alla difesa in giudizio dell'amministrazione 30 Flavio Filippi Gestione urbanistica ed edilizia Gianpietro Clementi Federica Maule privata 5

6 1.2.2 Analisi dei rischi (Regola 19.3) Evento Impatto sulla sicurezza dei dati Rif. Misure d azione Comportamento Descrizione Gravità stimata egli operatori furto di credenziali Una persona Bassa: furto da di autenticazione carpisce il login e rete esterna è la password di un difficile in utente del sistema quanto la rete è dial-up Eventi relativi agli strumenti comportamenti sleali o fraudolenti errore materiale azione di virus informatici spamming o altre tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti accessi esterni non autorizzati Errore nell inserimento, modifica, cancellazione dei dati Alta: impossibilità di recuperare tutti i backup su server Bassa Alta Bassa: perdita di tempo dovuto a lettura di posta non richiesta Alta Bassa: rete in dial up Si deve procedere all installazione di un server per la centralizzazione dei documenti con possibilità di effettuare backup su cassetta magnetica Si deve procedere all installazione e aggiornamento degli Antivirus sui personal computer e di software antispyware Servizio antispamming regionale Aggiornamento dei software Eventi relativi al contesto intercettazione di informazioni in rete guasto ai sistemi elettrici Media: rete in dial up Bassa: esiste climatizzatore e la stanza risulta ben aerata. Si deve procedere all installazione di software antispyware Presente Gruppo di continuità sul server Incendi, furti, danneggiamenti ai Alta: manca possibilità di Si deve procedere alla installazione 6

7 server ripristino documenti sui singoli personal computer di un server centralizzato Misure di sicurezza da adottare per garantire integrità dei dati (Regola 19.4) In sintesi gli aspetti relativi alla sicurezza da migliorare sono elencati di seguito: Ulteriore server di backup per la gestione centralizzata dei documenti.; Miglioramento delle politiche di backup interne all ente; Piano di ripristino dei dati; Stabilire una strategia di protezione delle reti interne con firewall in previsione dell accesso con linee dedicate alla rete internet (CDN, ADSL, XDSL, ); Migliorare la custodia e l accesso degli archivi cartacei (per es.: chiavi armadi, chiavi uffici, servizi di pulizia uffici, ecc.); Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5 e 23) Viene effettuato backup dei dati su cassetta DAT per i dati della ragioneria e dell anagrafe. Come indicato al punto si deve migliorare le politiche di backup (per es.: aumentare il numero di cassette per effettuare dei backup mensili e settimanali, effettuare in automatico il salvataggio dei dati sul server principale, ecc.). Si deve procedere alla centralizzazione dei documenti su server e alla registrazione mediante cassetta magnetica degli stessi Formazione personale (Regola 19.6) Con cadenza annuale sono previsti degli interventi formativi sulla gestione della sicurezza dei dati, in previsione della revisione del documento programmatico da effettuarsi entro il 31 marzo di ogni anno Criteri da adottare nel caso di trattamento di dati personali affidati all esterno (regola 19.7) Nel caso di trattamento dei dati affidati all esterno, dovranno essere adottati i medesimi criteri adottati all interno della struttura comunale. Nel caso le strutture esterne si avvalgano di collegamenti alla rete internet dovranno essere provviste di firewall e di servizi di protezione allo stato dell arte (per es.: servizi di certificazione, collegamenti sicuri mediante comunicazioni criptate tipo ssh, https, software antispamming e antivirus). 1.3 Ulteriori misure di sicurezza in caso di trattamento di dati sensibili e giudiziari Accesso ai dati sensibili e giudiziari(regola 20) I dati sensibili e giudiziari sono protetti da sistema di autenticazione Supporti rimovibili (regole 21 e 22) I supporti rimovibili su cui sono trattati i dati sono custoditi con cura e limitando l accesso alle persone autorizzate. I supporti rimovibili su cui non avviene più trattamento dei dati sono formattati. 1.4 Misure di tutela e garanzia (regola 25 e 26) 7

8 Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. 1.5 Trattamenti senza l'ausilio di strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: (Regola 27) Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Ogni anno si provvedere all'individuazione dell'ambito del trattamento consentito ai singoli incaricati. La lista degli incaricati può essere redatta anche per classi omogenee di incarico (servizi, settori, uffici, ecc.) e dei relativi profili di autorizzazione ovvero tutti gli appartenenti ad un ufficio, settore, servizio possono trattare i dati di pertinenza dell ufficio, settore, servizio. (Regola 28) Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. (Regola 29) L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. 8