Pagina 1 di 18 Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B
Pagina 2 di 18 SCOPO DEL (DPS) GR Elettronica S.r.l. (di seguito azienda), al fine di adempiere all obbligo di adozione di misure idonee di sicurezza, secondo quanto previsto dall articolo 31 del d. lgs. 196/2003 (denominato codice privacy) e dall allegato B al codice medesimo, nonché al fine di gestire in modo organico gli adempimenti previsti dalla normativa in tema di protezione dei dati personali, ha deciso di continuare ad aggiornare il (per brevità DPS), nonostante l art. 45 del D.L. 5/2012, convertito in legge, abbia abrogato il riferimento al DPS quale misura minima di sicurezza, ai sensi dell art. 34 del codice privacy. Il DPS, pertanto, costituisce valido strumento per descrivere e definire: compiti, istruzioni e responsabilità dei soggetti che a vario titolo sono preposti al trattamento dei dati personali; politiche aziendali, azioni e adempimenti per la corretta gestione dei rischi di accesso abusivo, di distruzione o perdita, anche accidentale, dei dati, di trattamento illecito o non consentito, al fine di procedere all adozione delle misure di sicurezza, ai sensi del codice privacy e dell allegato B al codice medesimo; le misure per la continuità operativa e per la garanzia del ripristino degli strumenti e dei dati, in caso di emergenza; le azioni per procedere al controllo del sistema di sicurezza degli strumenti elettronici e dei dati oggetto di trattamento. La disciplina in tema di privacy individua diverse figure soggettive aventi responsabilità specifiche per quanto concerne il trattamento dei dati personali: a) il titolare del trattamento, ossia la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo, cui competono le decisioni in ordine alle finalità, alle modalità del trattamento, agli strumenti e alla sicurezza. L articolo 28 del codice privacy dispone, altresì, che quando il trattamento è effettuato da
Pagina 3 di 18 una persona giuridica, il titolare del trattamento è l entità nel suo complesso (nel caso di specie, quindi, titolare del trattamento è l azienda nel suo complesso); b) il responsabile del trattamento, che può essere designato facoltativamente - tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento, compreso il profilo relativo alla sicurezza; c) l incaricato del trattamento, ossia la persona fisica che è preposta dal titolare o dal responsabile allo svolgimento delle operazioni di trattamento, avendo ricevuto istruzioni scritte al riguardo. Sono individuati in tale veste tutte le persone fisiche che raccolgono i dati e svolgono le altre operazioni di trattamento, secondo quanto previsto dal codice della privacy; d) l amministratore di sistema, persona fisica che ha accesso ai sistemi informatici e ai dati in posizione privilegiata e che svolge funzioni e compiti di amministrazione, gestione e assistenza di banche dati, sistemi informatici e strumenti elettronici. Tale figura deve essere individuata obbligatoriamente al fine di conformarsi al provvedimento generale in tema di nomina degli amministratori di sistema adottato dal Garante per la protezione dei dati personali, nell esercizio delle funzioni di indirizzo e di conformazione, quale autorità di controllo e di garanzia. Il codice della privacy ha ad oggetto la disciplina dell attività di trattamento dei dati personali. In particolare: - per trattamento si intende qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati ; - per dato personale si ha riguardo a qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Pagina 4 di 18 Il trattamento (che costituisce un processo) può essere schematizzato in tre fasi: l input, ossia la raccolta del dato costituisce il momento dell avvio del processo considerato; il processo interno di trattamento (ossia la cd. black-box) riguarda le svolgimento delle seguenti operazioni: registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, cancellazione, distruzione. In particolare, il processo può consistere nella sola raccolta del dato ed in tal caso il diritto alla riservatezza è garantito dall obbligo del segreto d ufficio, a seconda della natura del soggetto incaricato, che ha conoscenza dei dati. Di norma, alla raccolta segue la registrazione del dato, l archiviazione e la conservazione (che sono operazioni statiche si trattamento). A queste possono seguire operazioni dinamiche di trattamento (ad esempio l utilizzo, l elaborazione, il raffronto, l incrocio dei dati, ); la (eventuale) fase di out-put, che si caratterizza per il trasferimento dei dati personali a soggetti terzi rispetto al rapporto bilatero titolare del trattamento interessato: può consistere nella comunicazione o diffusione dei dati personali. La differenza tra queste due ultime tipologie di operazioni risiede nella determinazione o meno del soggetto destinatario della conoscenza, in qualunque forma. Per cui avremo una comunicazione ove il soggetto terzo, destinatario della conoscenza dei dati, sia determinato; al contrario, si avrà diffusione dei dati se i soggetti, che possono conoscere i dati riferiti a un interessato, non siano determinati. Va ricordato che è in assoluto vietata, da parte del codice della privacy, la diffusione di dati idonei a rivelare lo stato di salute.
Pagina 5 di 18 Le tipologie di misure minime di sicurezza sono differenziate a seconda della natura dei dati personali oggetto di trattamento: da un lato i dati cd. particolari (ossia, dati sensibili e dati giudiziari); dall altro i dati comuni. Per dato sensibile si intende il dato personale idoneo a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Per dati giudiziari, infine, si intendono i dati personali idonei a rivelare provvedimenti di cui all articolo 3, comma 1, lettere da a) a o) e da r) a u), del DPR 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. I dati comuni possono essere definiti, in via residuale, come informazioni riferite a persone fisiche identificate o comunque identificabili, che non siano idonee a rivelare stati, fatti e qualità, per cui il codice si riferisce alle tipologie dei dati sensibili e giudiziari. Il presente DPS si basa sui seguenti principi generali: tutte le informazioni (dati, documenti, archivi, ) devono essere protette e disponibili; al fine di garantire la riservatezza dei contenuti e delle informazioni, la sicurezza deve riguardare anche le reti di comunicazioni elettroniche dei dati; si deve procedere alla previsione di standard di sicurezza per la protezione delle aree e locali, in cui sono localizzati i server considerati sensibili per l attività dell azienda e gli archivi cartacei, monitorando le caratteristiche tecniche e le misure di tutela dagli accessi non autorizzati; tutte le operazioni di trattamento dei dati, effettuate utilizzando strumenti connessi alla rete di comunicazione elettronica, devono essere oggetto di tracciabilità, garantendo il non
Pagina 6 di 18 ripudio delle operazioni svolte, dovendo utilizzare un sistema di autenticazione informatica, che consenta un controllo dell identità di chi sta facendo che cosa ; devono essere predisposte adeguate misure di sicurezza per l accesso ai locali, che ospitano i server e gli strumenti elettronici in dotazione alle postazioni di lavoro, favorendo possibilmente la localizzazione e ubicazione in unico luogo o in luoghi collegati, al fine di consentire una migliore gestione degli strumenti e della sicurezza attiva e passiva; ogni eventuale incidente o evento straordinario, che possa pregiudicare la sicurezza dei dati e dei sistemi, deve essere oggetto di analisi e di rapporto scritto; tutti i progetti per lo sviluppo di nuovi sistemi / servizi, aventi natura trasversale e che possano interessano il sistema informativo dell azienda, devono essere inseriti nel presente DPS; al pari, tutte le modifiche eventualmente apportate ai processi organizzativi devono essere documentate nel presente DPS. Gli obiettivi di sicurezza, che l azienda si pone con la redazione del presente documento e a seguito dell attuazione delle misure di sicurezza ivi previste, sono: 1. dare attuazione - per tutti i dati personali oggetto di trattamento - a quanto previsto dall art. 31 del codice della privacy, che dispone che I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta ; 2. adottare le misure minime di sicurezza previste dall allegato B del codice della privacy; 3. pianificare e adottare misure di sicurezza ulteriori, che rispetto a quelle previste dal codice della privacy l azienda ritenga opportune e necessarie, nell ottica della garanzia della protezione del proprio patrimonio informativo aziendale; 4. ridurre, a livelli accettabili e che sono gestibili, i principali rischi di sicurezza, a cui il sistema informativo aziendale può essere sottoposto;
Pagina 7 di 18 5. mantenere, compatibilmente con i vincoli di sicurezza sopra enunciati, il massimo livello di usabilità del sistema. Il DPS è strutturato in sezioni, che costituiscono la parte riservata alla descrizione generale degli obblighi e delle azioni da intraprendere con riferimento al trattamento dei dati personali. Ciascuna sezione è corredata da allegati tecnici, contenenti le descrizioni e le istruzioni specifiche, nonché i moduli. Gli allegati costituiscono la parte dinamica del presente documento e devono essere utilizzati per la gestione della sicurezza dei dati. Il presente DPS è redatto come documento ad uso interno e deve essere custodito e conservato per eventuali controlli da parte di organismi di vigilanza e per soddisfare richieste di accesso. Il presente DPS è aggiornato a seguito di novità normative o di innovazioni tecnologiche o organizzative, a seconda delle necessità di protezione dei dati personali aziendali. * * * Sezione 1 Determinazione dell ambito dei trattamenti aziendali Ogni persona fisica, al fine di svolgere le operazioni di trattamento necessarie, deve essere formalmente autorizzata dall azienda ad accedere ai dati personali, secondo quanto previsto dal codice della privacy e utilizzando la modulistica allegata al presente DPS. Ciascun dipendente, consulente o collaboratore dell azienda quindi deve essere preventivamente designato in qualità di incaricato del trattamento e deve operare sotto la diretta autorità dell azienda (titolare del trattamento) e dell eventuale responsabile del trattamento, attenendosi alle istruzioni scritte impartite dall azienda. A tal fine, l art. 30 del codice della privacy prevede due diverse modalità per il conferimento del detto incarico:
Pagina 8 di 18 a) designazione mediante lettera personale, che individua puntualmente l ambito di trattamento consentito; b) determinazione dell ambito di trattamento associato a ciascuna unità di trattamento, al fine di procedere alla preposizione documentata di una persona fisica, per consentire lo svolgimento delle relative operazioni, secondo l ambito analiticamente individuato. La individuazione delle tipologie di trattamenti di dati in seno all azienda è svolta tenendo conto dell organigramma aziendale e dei manuali operativi e di organizzazione, ai quali si rinvia in modo dinamico e funzionale e che costituiscono parte integrante e sostanziale del presente DPS. Inoltre, tenendo conto dell organizzazione aziendale, così come descritta nell organigramma e nella documentazione aziendale in uso, nell allegato AL01 al presente DPS sono descritti gli ambiti di trattamento dei dati, che costituiscono la base di riferimento, ai sensi dell art. 30 del codice privacy, per la determinazione delle autorizzazioni da rilasciarsi agli incaricati ai fini dell accesso agli strumenti e ai dati, nonché per la corretta determinazione delle operazioni di trattamento affidate, secondo il profilo professionale o il contratto di lavoro o di collaborazione in essere. L azienda invia per posta elettronica a ciascuna persona fisica (dipendente o collaboratore) il documento (di cui all allegato AL02) avente ad oggetto la preposizione al trattamento dei dati in qualità di incaricato del trattamento ed il manuale operativo per il trattamento dei dati. A ciascun incaricato viene quindi assegnata una o più credenziale/i di autenticazione, da parte dell amministratore di sistema, relativa al profilo di autorizzazione assegnato a ciascun incaricato, secondo l ambito di trattamento assegnato, ai sensi di quanto indicato in allegato AL01. Sezione 2 - Compiti e responsabilità L azienda, in qualità di titolare del trattamento, provvede a determinare le finalità e le modalità dei trattamenti. In particolare, con riferimento alla protezione dei dati e alla sicurezza degli strumenti, l amministratore dell azienda ovvero un suo delegato deve: a) inviare per posta elettronica (all indirizzo individuale assegnato dall azienda o a quello dichiarato all atto dell sottoscrizione del contratto di collaborazione) a ciascuna persona (sia
Pagina 9 di 18 dipendente, sia collaboratore strutturato) le istruzioni scritte (riportate nel manuale operativo di cui all allegato AL02) per il trattamento dei dati in qualità di incaricato; b) nominare in qualità di responsabili esterni del trattamento (utilizzando il modello di nomina riportato in allegato AL03) fornitori e soggetti esterni all organizzazione aziendale che siano preposti allo svolgimento di operazioni di trattamento per conto e nell interesse dell azienda; c) vigilare sul rispetto delle istruzioni relative alle misure di sicurezza previste dall azienda da parte degli incaricati e dei soggetti nominati in qualità di responsabili esterni, adottando le misure correttive e integrative necessarie, con conseguente aggiornamento del presente DPS e dei relativi allegati, ove necessario; d) adottare le misure minime di sicurezza a protezione degli strumenti elettronici utilizzati all interno della propria area di competenza, previste dall allegato B del Codice privacy: aggiornamento dei programmi, installazione e mantenimento degli antivirus, configurazione del firewall e effettuazione (almeno settimanalmente) e conservazione delle copie di back-up; e) collaborare con i soggetti individuati in qualità di addetti alla manutenzione e alla gestione del sistema informatico aziendale (la cui architettura è riportata e rappresentata nel documentato riservato, di cui all allegato AL04) nella definizione del profilo di autorizzazione da associare alle credenziali di autenticazione assegnate a ciascun incaricato del trattamento dei dati. Per profilo di autorizzazione si intende l insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti; il sistema di autorizzazione è costituito dall insieme degli strumenti e delle procedure che abilitano l accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente; f) provvedere a richiedere la disattivazione, ovvero la variazione del profilo di autorizzazione associato a ciascun incaricato, nel caso in cui la persona fisica cessasse di operare all interno della struttura di propria competenza ovvero, per qualsiasi motivo, fosse stato modificato il suo profilo professionale; g) collaborare con l Amministratore pro tempore dell azienda nella pianificazione della formazione degli incaricati in tema di tutela della riservatezza dei dati personali e sensibili; h) fornire istruzioni ai propri incaricati per fornire idonea informativa agli interessati, che deve essere data con le modalità previste dall azienda. La modulistica da utilizzare per adempiere all obbligo di informativa e alla raccolta del consenso (ove necessario) è riportata in allegato AL05;
Pagina 10 di 18 i) controllare che la raccolta del consenso dell interessato al trattamento dei dati, ove necessaria, sia effettuata utilizzando la modulistica aziendale (riportata in allegato AL05, richiamato al punto precedente); j) vigilare sull attività svolta dagli incaricati del trattamento, verificando il rispetto delle procedure operative e delle istruzioni impartite dall azienda, anche in materia di misure di sicurezza. L azienda, inoltre, per quanto riguarda la gestione e la manutenzione degli strumenti elettronici, si avvale sia di personale interno, sia di soggetti esterni, che sono nominati amministratori di sistema, in conformità alle indicazioni fornite dal Garante per la protezione dei dati personali nel provvedimento generale del 27 novembre 2008, così come modificato ed integrato con deliberazione del 25 giugno 2009. La designazione delle persone fisiche in qualità di amministratore di sistema avviene mediante l utilizzo del modello di lettera di nomina riportata in allegato AL06, che deve essere consegnata personalmente o trasmessa a mezzo PEC alla persona o al consulente da nominare in qualità di amministratore di sistema ovvero al fornitore da nominare in qualità di responsabile esterno del trattamento, con funzioni di amministrazione di sistema, quest ultimo obbligato a procedere alla designazione delle persone fisiche, preposte allo svolgimento dei compiti di amministrazione di sistema, nell interesse e per conto dell azienda, in qualità di titolare. Sezione 3 - Analisi dei rischi e misure per la protezione dell integrità e della disponibilità dei dati La sicurezza è l insieme delle misure atte a garantire la disponibilità, l integrità e la riservatezza delle informazioni gestite e dunque l insieme di tutte le misure atte a difendere il sistema informativo dalle possibili minacce d attacco. I rischi di perdita dei dati, anche accidentale, di accesso abusivo e di trattamento illecito o non consentito dei dati possono essere causati da: malfunzionamenti di sistemi hardware e software, applicativi software e servizi; persone esterne all organizzazione (hacker, spie, terroristi, vandali, ecc.); eventi naturali (inondazioni, incendi, terremoti, tempeste, ecc.); persone interne all organizzazione; e possono essere identificati come:
Pagina 11 di 18 accidentali, deliberati. Rendere sicuro un sistema informatico non significa esclusivamente attivare un insieme di contromisure specifiche, di carattere tecnologico ed organizzativo, che neutralizzino tutti gli attacchi ipotizzabili al sistema di servizi, ma comporta l esigenza di collocare ciascuna delle contromisure individuate in una politica organica di sicurezza, che tenga conto dei vincoli (tecnici, logistici, organizzativi, amministrativi e legislativi) imposti dalla struttura tecnica ed organizzativa, in cui il sistema di servizi opera e che giustifichi ciascuna contromisura in un quadro complessivo. Principale obiettivo di un sistema di sicurezza è la salvaguardia delle informazioni. Per ciascun sistema informativo automatizzato, per gli strumenti elettronici e per gli archivi e documenti cartacei deve essere fornita la garanzia R.I.D., ossia Riservatezza Integrità Disponibilità: Riservatezza (o Confidenzialità): solo gli utenti autorizzati possono accedere alle informazioni necessarie; Integrità: protezione contro alterazioni o danneggiamenti; tutela dell accuratezza e completezza dei dati; Disponibilità: le informazioni sono rese disponibili quando occorre e nell ambito di un contesto pertinente. Fra le risorse (asset) da tutelare rientrano certamente: dati digitali; documenti cartacei; flussi informativi; nonché componenti materiali come: server; computer; reti; ma anche: il personale; gli edifici; gli uffici.
Pagina 12 di 18 L approccio alla sicurezza deve avvenire in una logica di prevenzione (ossia mediante l utilizzo di metodologie e di strumenti di risk management) piuttosto che in una logica di gestione delle emergenze o di semplice controllo / vigilanza. L architettura del sistema, al fine di garantire le esigenze di sicurezza di protezione degli strumenti e dei dati, si basa su 3 elementi fondamentali: le politiche aziendali di sicurezza; le soluzioni organizzative e tecnologiche; gli atteggiamenti individuali. Un sistema di gestione della sicurezza delle informazioni efficiente ed efficace permette all organizzazione di: mantenersi aggiornata su nuove minacce e vulnerabilità e prenderle in considerazione in modo sistematico; trattare incidenti e perdite in ottica di prevenzione e di miglioramento continuo del sistema; sapere quando politiche di sicurezza e procedure non sono implementate, in tempo utile per prevenire danni; implementare politiche e procedure di primaria importanza. Con specifico riferimento alla protezione dei dati personali, l articolo 31 del codice della privacy prevede l obbligo di adottare misure idonee di sicurezza, allo scopo di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Le misure idonee di sicurezza devono essere adottate a seguito di una valutazione delle minacce possibili, che devono essere considerate dal titolare del trattamento, che può avvalersi di uno o più soggetti nominati responsabili del trattamento. Le misure idonee di sicurezza devono essere adottate mediante l utilizzo di un processo di autodeterminazione, per cui occorre provvedere alla riduzione dei rischi, che possono interessare i dati personali oggetto di trattamento in seno all azienda e che riguardano il sistema informativo nel suo complesso. Il legislatore, infatti, definisce l obbligo di adozione di misure di sicurezza idonee in termini funzionali, obbligando il titolare del trattamento, anche mediante l ausilio del responsabile, a
Pagina 13 di 18 procedere ad un attento processo di valutazione, finalizzato ad eliminare (ove possibile) ovvero a ridurre i rischi, senza specificare quali debbano essere tali misure, che sono affidate alla valutazione discrezionale del titolare, a seguito di un processo organico e dinamico di analisi del rischio. In particolare, l analisi e la valutazione dei rischi sono effettuate utilizzando la tabella riportata in allegato (AL07), mediante l individuazione delle singole minacce e vulnerabilità, per le quali si è provveduto a determinare il peso del rischio in termini di probabilità (P) e danno (D), valutati secondo i parametri (alto medio lieve) associati a ciascuna minaccia. Al fianco delle misure idonee di sicurezza, al fine di favorire un livello omogeneo di sicurezza per ogni soggetto che proceda al trattamento dei dati personali, il legislatore ha previsto (ai sensi dell articolo 33 del codice della privacy) un obbligo di adozione di misure minime, che sono individuate dagli articoli 34 e 35 del codice della privacy e specificate dall allegato B del medesimo codice. Le misure minime sono ripartite e specificate a seconda della diversa tipologia di strumenti utilizzati, siano essi elettronici ovvero non elettronici. Per strumenti elettronici, secondo la definizione del codice della privacy, si intendono gli elaboratori, i programmi per elaboratore e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento. L omessa adozione delle misure minime di sicurezza costituisce condotta penalmente rilevante ai sensi dell articolo 169, comma 1 del codice della privacy, il quale dispone che: Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall articolo 33 è punito con l arresto sino a due anni. Si tratta di un reato omissivo proprio; tuttavia, l articolo 169, comma 2 del codice della privacy prevede il ravvedimento operoso, che consiste nella possibilità, concessa all autore del reato, all atto dell accertamento o, nei casi più complessi, anche con successivo atto del Garante, di: 1) adempiere entro un termine alle prescrizioni impartite, al fine della regolarizzazione del proprio sistema e delle misure di sicurezza non adottate in precedenza (il periodo di tempo concesso per l adeguamento è prorogabile in caso di particolare complessità o per l oggettiva difficoltà dell adempimento e comunque non superiore a sei mesi);
Pagina 14 di 18 2) provvedere, nei sessanta giorni successivi allo scadere del termine, ove risultasse il corretto adempimento rispetto alle prescrizioni ricevute dall autorità Garante, a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa (ossia la somma di trentamila euro); 3) ottenere l estinzione del reato, a seguito del positivo riscontro dell avvenuto adempimento degli obblighi e del pagamento della somma dovuta, di cui al punto precedente. L omessa adozione delle misure minime di sicurezza (quindi in violazione di quanto previsto dall art. 33 del codice della privacy) può comportare, altresì, l applicazione della sanzione amministrativa del pagamento di una somma da ventimila a centoventimila euro, con esclusione del pagamento in misura ridotta. All esito dell analisi, di cui alla tabella riportata in allegato AL07, i rischi così individuati sono soggetti, come detto, a valutazione, al fine di procedere all adozione delle misure di sicurezza elencate e descritte nell allegato AL08. Sezione 4 - Continuità operativa e ripristino della disponibilità dei dati a seguito di distruzione o danneggiamento dei dati o degli strumenti elettronici Con l espressione continuità operativa si intende l insieme di attività volte a ripristinare lo stato del sistema informatico o parte di esso, compresi gli aspetti fisici e organizzativi e le persone necessarie per il suo funzionamento, con l obiettivo di riportarlo alle condizioni antecedenti a un evento disastroso. Al fine di garantire la continuità operativa dei sistemi e quindi dei trattamenti di dati personali, nonché allo scopo di fronteggiare eventi che possano causare il danneggiamento degli strumenti elettronici e la distruzione o perdita delle informazioni cd. critiche, si deve procedere alla formalizzazione di un piano di emergenza. Le soluzioni di continuità prendono in considerazione, quindi, l effetto di un evento e non le sue cause. Al contrario, la prevenzione degli eventi è generalmente demandata a forme di intervento (quali ad esempio l adozione di misure per la sicurezza e l integrità fisica degli strumenti e dei dati) non classificabili come soluzioni di continuità. Al fine di garantire la continuità dell attività produttiva, l azienda definisce:
Pagina 15 di 18 a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. L azienda verifica la funzionalità del proprio piano di continuità operativa con cadenza biennale; b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a), stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. Il piano di continuità operativa dell azienda ha ad oggetto le attività ed i processi di natura critica. In via preliminare, è opportuno costituire un gruppo di lavoro per la continuità operativa, di cui fanno parte soggetti dotati di esperienza professionale e formazione specifica nel campo dell organizzazione aziendale, delle conoscenze tecnico-informatiche e delle norme giuridiche in tema di protezione dei dati personali e gestione dei rischi. Il gruppo di lavoro, cui possono far parte anche soggetti esterni, deve procedere alla redazione dello studio di fattibilità. La redazione del piano di continuità deve avvenire nel rispetto dei seguenti principi: 1) redigere uno studio del contesto e un piano di gestione delle emergenze, conseguenti ad eventi naturali o accadimenti / condotte umane, che causino la distruzione o perdita di dati e strumenti ovvero il blocco del sistema con conseguente arresto dell attività istituzionale e di servizio; 2) in base alle risultanze dello studio del contesto, procedere all individuazione, nell ambito di ciascuna unità di trattamento (di cui all allegato AL01), dei processi cd. critici, per cui occorre garantire la continuità operativa senza alcuna interruzione di servizio; 3) per ogni servizio o processo cd. critico da proteggere, individuare l insieme delle risorse (umane, tecnologiche, procedurali e gli spazi di lavoro) necessarie alla erogazione. Tale insieme di risorse viene definito come isola ;
Pagina 16 di 18 4) identificare gli eventi che possono comportare una interruzione della continuità operativa da prendere in considerazione; 5) individuare gli eventi pianificati e gli eventi non pianificati che possono determinare una interruzione della continuità operativa; 6) per ogni servizio o processo critici, determinare in che misura deve essere mantenuto in operatività. Conseguentemente, occorre prevedere procedure per garantire la continuità operativa (in particolare copia e recupero dei dati, sistemi paralleli); 7) programmare misure per il ripristino dei dati personali a seguito di eventi di distruzione o danneggiamento; 8) individuare le misure di sicurezza da adottare per la garanzia della continuità operativa e per il ripristino dei dati e dei sistemi entro un termine massimo di sette giorni dall evento; 9) programmare la verifica, da parte della funzione interna di controllo, del corretto funzionamento dei sistemi e delle procedure organizzative per la continuità operativa e il ripristino dei dati, sia da parte di personale interno, sia di soggetti esterni incaricati dell adozione delle procedure e della realizzazione dei sistemi. Per definire in che misura un sistema critico deve essere mantenuto in operatività si considerano due indicatori: 1) RTO ( Recovery Time Objective - massimo tempo di indisponibilità del servizio), cioè il tempo entro il quale il servizio deve essere ripristinato); 2) RPO ( Recovery Point Objective, perdita dati sostenibile), in termini di distanza temporale tra il verificarsi dell emergenza e l ultimo salvataggio utile e ripristinabile dei dati. A titolo esemplificativo, la necessità che un servizio o un processo sia riattivato entro 48 ore da un emergenza e che non si perdano più di 6 ore di operazioni di aggiornamento dei dati, corrisponde a fissare i parametri RTO = 48 h e RPO = 6 h. Lo studio del contesto da parte del gruppo di lavoro, costituito ai sensi della presente sezione, è caratterizzato da due fasi:
Pagina 17 di 18 1) analisi dei rischi: si determinano i rischi a cui è soggetta un unità di trattamento cd. critica o un servizio erogato, si analizzano le vulnerabilità e si identificano le possibili salvaguardie; 2) business impact analysis: ha lo scopo di determinare le conseguenze derivanti dal verificarsi di ciascun evento critico e di valutarne l impatto sull operatività dell organizzazione. Il piano di continuità operativa e di gestione del ripristino dei dati (riportato in allegato AL09) deve prendere in considerazione almeno i seguenti scenari di crisi: - distruzione o inaccessibilità di strutture nelle quali sono allocate unità operative o apparecchiature critiche per ciascuna unità di trattamento; - indisponibilità di personale essenziale per il funzionamento o la garanzia della continuità degli strumenti cd. critici; - interruzione del funzionamento delle infrastrutture (tra cui alimentazione elettrica, reti di comunicazione elettronica, blocco o danneggiamento degli strumenti); - alterazione dei dati a seguito di attacchi dolosi; - indisponibilità dei sistemi e degli strumenti a seguito di attacchi dolosi di terzi. Il piano di continuità e di ripristino deve indicare: - le misure necessarie per ridurre l impatto di un emergenza; - le risorse alternative a quelle non disponibili; - le misure organizzative per governare il sistema durante l emergenza; - le procedure per gestire il rientro alla normalità. Nel predisporre il piano di ripristino (cd. piano di disaster recovery), si deve provvedere nel seguente modo: 1) analisi degli eventi che possono causare la distruzione o il danneggiamento dei dati o degli strumenti elettronici; 2) definizione di ruoli e di responsabilità;
Pagina 18 di 18 3) descrizione delle azioni da intraprendere in caso di emergenza al fine del ripristino dei dati e del sistema. Al fine di garantire la continuità operativa e di verificare l operato degli amministratori di sistema e la conformità delle misure di sicurezza al codice della privacy, l azienda nomina un addetto in posizione di indipendenza e terzietà, utilizzando il modulo in allegato AL10, al quale affidare funzioni di controllo e vigilanza, secondo quanto previsto dall art. 29, comma 5 del codice privacy. Sezione 5 - Formazione degli incaricati del trattamento Gli incaricati hanno solto una specifica attività di formazione, che è stata affidata a un consulente e docente esterno, esperto in materia di diritto della protezione dei dati personali. Allegati AL01 Ambito dei trattamenti AL02A Preposizione dei dipendenti e dei collaboratori in qualità di incaricati del trattamento AL02B Manuale operativo per il trattamento dei dati AL03 Modulo nomina responsabile esterno del trattamento AL04 Architettura sistema informativo aziendale AL05 Moduli per informativa e consenso AL06 Modello nomina amministratore di sistema AL07 Analisi e valutazione dei rischi AL08 Elenco e descrizione delle misure di sicurezza adottate AL09 Piano di continuità e di ripristino AL10 Nomina addetto alla funzione di controllo e vigilanza AL11 Elenco documenti DPS