Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI

Transcript

1 REGOLAMENTO CONCERNENTE LA NOMINA E LE FUNZIONI DELL AMMINISTRATORE DI SISTEMA E GLI ADEMPIMENTI IN MATERIA DI OSSERVANZA DELLE MISURE DI SICUREZZA PRIVACY 1 ARTICOLO 1 - SCOPO DEL REGOLAMENTO Il presente regolamento ha lo scopo di delineare e dettare le procedure di nomina e di attribuzione delle funzioni degli amministratori di sistema, nonché gli adempimenti in materia di privacy e, in particolare, l adozione di specifiche misure e cautele in riferimento alle mansioni svolte dagli amministratori di sistema e dai soggetti (di profilo anche non strettamente tecnico-informatico) ad essi assimilabili, previsti dai seguenti provvedimenti dell Autorità Garante per la protezione dei dati personali: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema- 27 novembre 2008; Proroga delle misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 12 febbraio 2009; Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento -25 giugno ARTICOLO 2 DEFINIZIONI Dati personali: qualunque informazione relativa ad un soggetto - persona fisica, persona giuridica, ente od associazione - identificato o identificabile (anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale). Trattamento: qualunque operazione o complesso di operazioni effettuato sui dati personali (raccolta, registrazione, organizzazione, conservazione; consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo. interconnessione, blocco comunicazione, diffusione, cancellazione, distruzione di dati). Rientrano nella nozione di trattamento anche le operazioni effettuate senza l ausilio di strumenti elettronici, nonché quelle relative ad informazioni non organizzate in banche dati. Titolare: il soggetto persona fisica, persona giuridica, pubblica amministrazione o qualsiasi altro ente, associazione od organismo - cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento l entità nel suo complesso. Responsabile: Il soggetto - persona fisica,, persona giuridica, Pubblica Amministrazione o qualsiasi altro ente, associazione od organismo - preposto dal titolare al trattamento di dati personali. Incaricato: la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile,. in pratica chi materialmente effettua le operazioni di trattamento di dati. Interessato: il soggetto (persona fisica, persona giuridica, ente o associazione) cui si riferiscono i dati personali. Garante per la Protezione dei dati personali: organo collegiale che ha tra l altro il compito di: - controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile; - esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati; - prescrivere anche d ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti; - vietare anche d ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco; - promuovere la sottoscrizione di codici deontologici; - esprimere pareri nei casi previsti.

2 ARTICOLO 3 - ADEMPIMENTI PREVISTI Con il presente regolamento L ASP di Cosenza intende procedere ai seguenti adempimenti: 2 - individuare coloro che ricadono nella categoria di "amministratore di sistema" - valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali "amministratore di sistema" che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza - designare tali "amministratore di sistema" in modo individuale con l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. L incarico deve essere attribuito unicamente in via individuale e dunque non ad una società - verificare l'operato degli amministratori di sistema, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti - registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, mediante l adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica). La Registrazione degli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, avviene mediante l adozione di sistemi idonei alla registrazione degli accessi logici. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste (non sono ammesse descrizioni abbreviate). Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. ARTICOLO 4- SOGGETTI INTERESSATI Soggetto interessato al presente regolamento è l amministratore di sistema, quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione (compresi i sistemi di gestione delle basi di dati, i sistemi software complessi, le reti locali e gli apparati dì sicurezza) con cui vengano effettuati trattamenti di dati personali, e nella misura in cui consentano di intervenire sui dati personali. Rientrano in questa accezione ampia di Amministratore di sistema le figure chiamate a svolgere funzioni che comportano la concreta capacità di accedere, in modo privilegiato, a risorse del sistema informativo e a dati personali (anche qualora non siano preposte a operazioni che implicano una comprensione del dominio applicativo), e nella misura in cui sono, nelle loro consuete attività tecniche responsabili di fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati, quali: salvataggio dei dati (backup/recovery); organizzazione dei flussi di rete; gestione dei supporti di memorizzazione; custodia delle credenziali di autenticazione e di autorizzazione; gestione dei sistemi di autenticazione e di autorizzazione; manutenzione hardware. Possono dunque qualificarsi quale Amministratori di sistema i seguenti soggetti: amministratori di Sistemi di autenticazione; amministratori di server; amministratori di apparati rete; amministratori di base di dati; amministratori di apparati di sicurezza; amministratori di applicazioni.

3 Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (per es. per scopi di manutenzione a seguito di guasti o malfunzionamenti) sui sistemi di elaborazione e sui sistemi software. 3 ARTICOLO 5 - ELABORAZIONE DOCUMENTO ANNUALE AMMINISTRATORI DI SISTEMA L ASP di Cosenza, in collaborazione con l Ufficio Privacy e l UOC Gestione Servizi informatici - CED, delibera annualmente un documento (per la disponibilità di dati in caso di accertamenti da parte del Garante) contenente: - l aggiornamento dell elenco degli amministratori di sistema, includente gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite, secondo il modulo allegato al presente regolamento (Allegato 1); - La verifica della rispondenza dell operato dell amministratore di sistema alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. ARTICOLO 6 - NOMINA DELL AMMINISTRATORE DI SISTEMA Su indicazioni dei Direttori dei Distretti, Dipartimenti e Unità Operative Complesse, l ASP di Cosenza nomina gli amministratori di sistema con atto certo (informaticamente protocollato) sottoscritto dal Direttore Generale e per accettazione dall Amministratore di sistema nominato. Nello stesso atto di nomina quale amministratore di sistema l ASP di Cosenza, ai sensi degli artt. 4 comma 1 h) e 30 del Codice in materia di protezione dei dati personali (D.Lgs.196/2003 e s.m.i.) nomina l amministratore di sistema quale soggetto Incaricato del trattamento dei dati con una elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, secondo il modulo allegato alla presente deliberazione (Allegato 2). Qualora I attività degli amministratori di sistema riguardi servizi o sistemi che trattano informazioni di carattere personale di dipendenti, l ASP di Cosenza rende nota o conoscibile l identità degli amministratori di sistema nell ambito della propria organizzazione attraverso la pubblicazione sul sito aziendale. Nel caso di servizi di amministrazione di sistema affidati in outsourcing l Azienda conserverà in allegato al documento annuale di cui all articolo 3, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema dal fornitore del servizio, a sua volta, in accordo con le prescrizioni di carattere generale, preventivamente individuato quale Responsabile esterno del trattamento. ARTICOLO 7 - COMPITI DELL AMMINISTRATORE DI SISTEMA I compiti dell Amministratore di sistema sono i seguenti: sorvegliare il corretto funzionamento dei sistemi in senso generale e de sottosistemi specifici in particolare; sorvegliare il corretto funzionamento dei sistemi applicativi tramite il monitoraggio dei messaggi prodotti dal sistema operativo e dai software di base; a intervenire ogni qualvolta venga evidenziato un malfunzionamento, un guasto o una anomalia funzionale sui sistemi, sul software applicativo sui servizi erogati munite la piattaforma, per diagnosticare il problema e ripristinare Il corretto funzionamento dei sistemi;

4 intervenire periodicamente per verificare e, compatibilmente con i vincoli introdotti dai sistemi applicativi ospiti, aggiornare il sistema operativo, i driver di periferiche, ed ogni componente dei software di base per garantire l allineamento della piattaforma con le versioni emesse dal fornitore; provvedere alla configurazione ottimale del sistema per garantire il migliore equilibrio fra le prestazioni erogate, la sicurezza operativa, la complessità/onerosità di gestione e mantenimento nel tempo delle funzioni; verificare il buon esito dei salvataggi dei backup; intervenire prontamente in situazioni di emergenza o in caso di manutenzione ordinaria o straordinaria per segnalare i bisogni dell organizzazione ai fornitori esterni dell assistenza tecnica, coordinare e seguire gli interventi relativi, informare gli utenti e le strutture tecniche coinvolte; segnalare eventuali problematiche dei sistemi o situazioni anomale ai dirigenti preposti ed eventualmente, in caso di necessità, alla Direzione Aziendale; definire e configurare gli utenti, gli account che devono operare sul sistema ed i parametri relativi, attribuendo loro il profilo di autorizzazione indicato dal Responsabile del Trattamento cui il sistema di supporto cooperare all installazione dei sistemi, monitorare la loro continuità operativa e la fruibilità continuativa dei servizi da parte degli utenti, verificare la funzionalità delle interfacce e attivare e disattivare i singoli processi software per garantire detta continuità di servizio in relazione agli specifici contesti operativi attuare operazioni sui file dei file system e sui file system stessi per soli scopi di manutenzione del sistema, indagine diagnostica, installazione di applicazioni o di tool diagnostici o gestionali, tuning, salvataggio, anche temporaneo, di dati e configurazioni, ripristino di condizioni normali di funzionamento; assumere tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al ricovero periodico degli stessi. 4 A causa della indifferenziata possibilità di accesso ai dati ed i conseguenti rischi per la riservatezza dei soggetti interessati, l amministratore di Sistema utilizza le relative funzioni e privilegi solo quando necessario o indispensabile. L amministratore di sistema inoltre : tratta i dati personali in modo lecito e secondo correttezza ed esclusivamente per gli scopi inerenti l attività svolta nell ambito delle proprie mansioni; verifica, ove possibile, che tali dati siano esatti e, se lecito e necessario, li aggiorna; verifica che tali dati siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti o successivamente trattati; tratta tali dati rispettando le misure di sicurezza previste dalla normativa in materia di privacy e in particolare dalle indicazioni previste dall Allegato B al Codice di protezione in materia di dati personali (D.Lgs e s.m.i.); non utilizza a fini privati i dati cui accede; non consente a terzi non legittimati l accesso ai dati ottenuti in ragione dell espletamento dei propri compiti; non divulga eventuali dati riservati di cui venisse a conoscenza; non interferisce illegittimamente nel lavoro altrui; non altera illegittimamente o danneggia i dati cui accede; non effettua controlli illegittimi sulla attività degli utenti del sistema.

5 5 Allegato 1 AZIENDA SANITARIA PROVINCIALE DI COSENZA SCHEDA ANNUALE AMMINISTRATORI DI SISTEMA Amministratore di sistema (system administrator) (nome, cognome, qualifica) Funzioni Tipologia banca dati sulla quale si interviene Servizio di riferimento Direttore /Responsabile del Servizio di riferimento Amministratore di base di dati (database administrator) (nome, cognome, qualifica) Amministratore di rete (network administrator) (nome, cognome, qualifica)

6 Allegato 2 Atto di nomina Amministratore di Sistema e istruzioni 6 Egr. Dott. L ASP di Cosenza in qualità di Titolare del trattamento dei dati presso l azienda sanitaria medesima, ai sensi dei Provvedimenti del Garante per la protezione dei dati personali: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema- 27 novembre 2008; Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento -25 giugno dato il rapporto di lavoro con Lei in essere, la sua qualifica di assegnazione e la documentata preposizione alla unità operativa di appartenenza, - considerando che le prestazioni da lei effettuate in via ordinaria forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza CON LA PRESENTE LA NOMINA AMMINISTRATORE DI SISTEMA Con le seguenti funzioni I compiti dell Amministratore di sistema sono i seguenti: sorvegliare il corretto funzionamento dei sistemi in senso generale e de sottosistemi specifici in particolare; sorvegliare il corretto funzionamento dei sistemi applicativi tramite il monitoraggio dei messaggi prodotti dal sistema operativo e dai software di base; a intervenire ogni qualvolta venga evidenziato un malfunzionamento, un guasto o una anomalia funzionale sui sistemi, sul software applicativo sui servizi erogati munite la piattaforma, per diagnosticare il problema e ripristinare Il corretto funzionamento dei sistemi; intervenire periodicamente per verificare e, compatibilmente con i vincoli introdotti dai sistemi applicativi ospiti, aggiornare il sistema operativo, i driver di periferiche, ed ogni componente dei software di base per garantire l allineamento della piattaforma con le versioni emesse dal fornitore; provvedere alla configurazione ottimale del sistema per garantire il migliore equilibrio fra le prestazioni erogate, la sicurezza operativa, la complessità/onerosità di gestione e mantenimento nel tempo delle funzioni;

7 verificare il buon esito dei salvataggi dei backup; intervenire prontamente in situazioni di emergenza o in caso di manutenzione ordinaria o straordinaria per segnalare i bisogni dell organizzazione ai fornitori esterni dell assistenza tecnica, coordinare e seguire gli interventi relativi, informare gli utenti e le strutture tecniche coinvolte; segnalare eventuali problematiche dei sistemi o situazioni anomale ai dirigenti preposti ed eventualmente, in caso di necessità, alla Direzione Aziendale; definire e configurare gli utenti, gli account che devono operare sul sistema ed i parametri relativi, attribuendo loro il profilo di autorizzazione indicato dal Responsabile del Trattamento cui il sistema di supporto cooperare all installazione dei sistemi, monitorare la loro continuità operativa e la fruibilità continuativa dei servizi da parte degli utenti, verificare la funzionalità delle interfacce e attivare e disattivare i singoli processi software per garantire detta continuità di servizio in relazione agli specifici contesti operativi attuare operazioni sui file dei file system e sui file system stessi per soli scopi di manutenzione del sistema, indagine diagnostica, installazione di applicazioni o di tool diagnostici o gestionali, tuning, salvataggio, anche temporaneo, di dati e configurazioni, ripristino di condizioni normali di funzionamento; assumere tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al ricovero periodico degli stessi. CON LA STESSA INOLTRE LEI È NOMINATO INCARICATO DEI TRATTAMENTI DEI DATI PERSONALI 7 Specificatamente e limitatamente a tale contesto i suoi compiti consistono in: generare, sostituire ed invalidare, in relazione agli strumenti ed alle applicazioni informatiche utilizzate le parole chiave ed i codici di accesso personali da assegnare agli incaricati del trattamento dati, nel rispetto delle misure di sicurezza; disattivare i codici identificativi personali, in caso di perdita della qualità che consentiva all incaricato l accesso all elaboratore, oppure nel caso di mancato utilizzo dei codici identificativi personali per oltre sei mesi; assicurare la custodia delle credenziali per la gestione dei sistemi di autenticazione e di autorizzazione in uso in azienda; predisporre e rendere funzionanti le copie di sicurezza (operazioni di backup e recovery) dei dati e delle applicazioni; predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici; tali registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste; adottare adeguati programmi antivirus, firewall ed altri strumenti software o hardware atti a garantire la massima misura di sicurezza nel rispetto di quanto dettato dal D.Lgs 196/2003 ed utilizzando le conoscenze acquisite in base al progresso tecnico software e hardware; provvedere direttamente o dando specifiche istruzioni al personale competente alla distruzione e smaltimento dei supporti informatici di memorizzazione logica o alla cancellazione dei dati per il loro reimpiego; controllare periodicamente l efficienza dei sistemi informatici adottando gli accorgimenti necessari a migliorare la sicurezza.

8 A causa della indifferenziata possibilità di accesso ai dati ed i conseguenti rischi per la riservatezza dei soggetti interessati, come amministratore di Sistema utilizzerà le relative funzioni e privilegi solo quando necessario o indispensabile. 8 L amministratore di sistema inoltre : tratta i dati personali in modo lecito e secondo correttezza ed esclusivamente per gli scopi inerenti l attività svolta nell ambito delle proprie mansioni; verifica, ove possibile, che tali dati siano esatti e, se lecito e necessario, li aggiorna; verifica che tali dati siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti o successivamente trattati; tratta tali dati rispettando le misure di sicurezza previste dalla normativa in materia di privacy e in particolare dalle indicazioni previste dall Allegato B al Codice di protezione in materia di dati personali (D.Lgs e s.m.i.); non utilizza a fini privati i dati cui accede; non consente a terzi non legittimati l accesso ai dati ottenuti in ragione dell espletamento dei propri compiti; non divulga eventuali dati riservati di cui venisse a conoscenza; non interferisce illegittimamente nel lavoro altrui; non altera illegittimamente o danneggia i dati cui accede; non effettua controlli illegittimi sulla attività degli utenti del sistema Gli ambiti di operatività consentiti in base al suo profilo di autorizzazione (cioè i trattamenti dei dati a lei consentiti) sono: Le ricordiamo, che il provvedimento del Garante già citato, obbliga l azienda alla verifica almeno annuale delle attività svolte dall amministratore di sistema in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali. Per tutto quanto non espressamente previsto nel presente atto, si rinvia alle disposizioni generali vigenti in materia di protezione dei dati personali. Una copia del presente atto di nomina dovrà essere restituita alla UOC Affari Generali di questa Azienda, debitamente firmato per accettazione. Distinti saluti. Cosenza lì, IL TITOLARE DEL TRATTAMENTO Il Direttore Generale ASP COSENZA Per accettazione L AMMINISTRATORE DEL SISTEMA