Cmune di Casavatre in cllabrazine cn Manuale di Gestine Dcumentale (art. 5 DPCM 3/12/2013) Prcedura Organizzativa Amministratri di Sistema Cd. MANGEDOC Rev. 1.0 Data: 06-11-2015 Smmari: Nel presente dcument vengn descritte le mdalità cn cui l Ente gestisce l amministrazine dei sistemi, in rispndenza al Prvvediment del Garante per la prtezine dei dati persnali del 27-11-2008, pubblicat sulla G.U. n. 300 del 24-12-2008.
REVISIONI Rev. Data Redattre/i Descrizine 1.0 06-11-2015 Maria Pia Papa Prima stesura Cd. MANGEDOC Rev. 1.0 Data: 06-11-2015 Pag. 2/8
INDICE 1 SCOPO... 4 1.1 Applicabilità... 4 1.2 Obiettiv... 4 1.3 Oggett... 4 2 NORMATIVA DI RIFERIMENTO... 5 3 MISURE ADOTTATE DAL COMUNE... 6 3.1 Amministratre di Sistema... 6 3.2 Funzini richieste all Amministratre di Sistema... 7 3.3 Misure e accrgimenti adttati... 8 Cd. MANGEDOC Rev. 1.0 Data: 06-11-2015 Pag. 3/8
1 SCOPO Per megli cmprendere l scp di questa prcedura, si riprta qui un estratt delle cnsiderazini preliminari del Garante per la prtezine di dati persnali che dà una perfetta definizine di amministratre di sistema. << Cn la definizine di "amministratre di sistema" si individuan generalmente, in ambit infrmatic, figure prfessinali finalizzate alla gestine e alla manutenzine di un impiant di elabrazine di sue cmpnenti. Ai fini del presente prvvediment vengn però cnsiderate tali anche altre figure equiparabili dal punt di vista dei rischi relativi alla prtezine dei dati, quali gli amministratri di basi di dati, gli amministratri di reti e di apparati di sicurezza e gli amministratri di sistemi sftware cmplessi. Gli amministratri di sistema csì ampiamente individuati, pur nn essend prepsti rdinariamente a perazini che implican una cmprensine del dmini applicativ (significat dei dati, frmat delle rappresentazini e semantica delle funzini), nelle lr cnsuete attività sn, in mlti casi, cncretamente "respnsabili" di specifiche fasi lavrative che pssn cmprtare elevate criticità rispett alla prtezine dei dati. Attività tecniche quali il salvataggi dei dati (backup/recvery), l'rganizzazine dei flussi di rete, la gestine dei supprti di memrizzazine e la manutenzine hardware cmprtan infatti, in mlti casi, un'effettiva capacità di azine su infrmazini che va cnsiderata a tutti gli effetti alla stregua di un trattament di dati persnali; ciò, anche quand l'amministratre nn cnsulti "in chiar" le infrmazini medesime. missis le funzini tipiche dell'amministrazine di un sistema sn richiamate nel menzinat Allegat B, nella parte in cui prevede l'bblig per i titlari di assicurare la custdia delle cmpnenti riservate delle credenziali di autenticazine. Gran parte dei cmpiti previsti nel medesim Allegat B spettan tipicamente all'amministratre di sistema: dalla realizzazine di cpie di sicurezza (perazini di backup e recvery dei dati) alla custdia delle credenziali alla gestine dei sistemi di autenticazine e di autrizzazine.>> 1.1 Applicabilità Destinatari di quest dcument sn gli amministratri di sistema nnché respnsabili ed incaricati designati dall Ente. 1.2 Obiettiv L'biettiv di questa prcedura è quell di individuare alcune prime misure di carattere rganizzativ che favriscan una più agevle cnscenza, nell'ambit del Cmune, dell'esistenza di determinati ruli tecnici, delle respnsabilità cnnesse a tali mansini e, in taluni casi, dell'identità dei sggetti che peran quali amministratri di sistema in relazine ai diversi servizi e banche di dati. L Amministrazine Cmunale intende prestare attenzine ai rischi e alle criticità implicite nell'affidament degli incarichi di amministratre di sistema, data la particlare capacità di azine prpria degli amministratri di sistema e la natura fiduciaria delle relative mansini. 1.3 Oggett Amministrazine delle banche dati infrmatiche e dei sistemi su cui sn installate. Cd. MANGEDOC Rev. 1.0 Data: 06-11-2015 Pag. 4/8
2 NORMATIVA DI RIFERIMENTO Sulla G.U. n. 300 del 24 dicembre 2008 è stat pubblicat il prvvediment del Garante per la Prtezine dei dati persnali, emess il 27-11-2008, riguardante: Misure e accrgimenti prescritti ai titlari dei trattamenti effettuati cn strumenti elettrnici relativamente alle attribuzini delle funzini di amministratre di sistema - 27 nvembre 2008. Cn tale prvvediment il Garante per la prtezine dei dati persnali, 1. Ai sensi dell'art. 154, cmma 1, lett. h) del Cdice, nel segnalare a tutti i titlari di trattamenti di dati persnali effettuati cn strumenti elettrnici la particlare criticità del rul degli amministratri di sistema, richiama l'attenzine dei medesimi titlari sull'esigenza di valutare cn particlare attenzine l'attribuzine di funzini tecniche prpriamente crrispndenti assimilabili a quelle di amministratre di sistema (system administratr), amministratre di base di dati (database administratr) amministratre di rete (netwrk administratr), laddve tali funzini sian esercitate in un cntest che renda ad essi tecnicamente pssibile l'access, anche frtuit, a dati persnali. Ciò, tenend in cnsiderazine l'pprtunità men di tale attribuzine e le cncrete mdalità sulla base delle quali si svlge l'incaric, unitamente alle qualità tecniche, prfessinali e di cndtta del sggett individuat; 2. ai sensi dell'art. 154, cmma 1, lett. c) del Cdice prescrive l'adzine delle seguenti misure ai titlari dei trattamenti di dati persnali sggetti all'ambit applicativ del Cdice ed effettuati cn strumenti elettrnici, anche in ambit giudiziari e di frze di plizia (artt. 46 e 53 del Cdice), salv per quelli effettuati in ambit pubblic e privat a fini amministrativ-cntabili che pngn minri rischi per gli interessati e sn stati ggett delle misure di semplificazine intrdtte per legge (art. 29 d.l. 25 giugn 2008, n. 112, cnv., cn md., cn l. 6 agst 2008, n. 133; art. 34 del Cdice; Prvv. Garante 6 nvembre 2008): a. Valutazine delle caratteristiche sggettive L'attribuzine delle funzini di amministratre di sistema deve avvenire previa valutazine delle caratteristiche di esperienza, capacità e affidabilità del sggett designat, il quale deve frnire idnea garanzia del pien rispett delle vigenti dispsizini in materia di trattament, ivi cmpres il prfil relativ alla sicurezza. Anche quand le funzini di amministratre di sistema assimilate sn attribuite sl nel quadr di una designazine quale incaricat del trattament ai sensi dell'art. 30 del Cdice, il titlare e il respnsabile devn attenersi cmunque a criteri di valutazine equipllenti a quelli richiesti per la designazine dei respnsabili ai sensi dell'art. 29. b. Designazini individuali La designazine quale amministratre di sistema deve essere individuale e recare l'elencazine analitica degli ambiti di peratività cnsentiti in base al prfil di autrizzazine assegnat. c. Elenc degli amministratri di sistema Gli estremi identificativi delle persne fisiche amministratri di sistema, cn l'elenc delle funzini ad essi attribuite, devn essere riprtati nel dcument prgrammatic sulla sicurezza ppure, nei casi in cui il titlare nn è tenut a redigerl, anntati cmunque in un dcument intern da mantenere aggirnat e dispnibile in cas di accertamenti da parte del Garante. Cd. MANGEDOC Rev. 1.0 Data: 06-11-2015 Pag. 5/8
Qualra l'attività degli amministratri di sistema riguardi anche indirettamente servizi sistemi che trattan che permettn il trattament di infrmazini di carattere persnale dei lavratri, i titlari pubblici e privati sn tenuti a rendere nta cnscibile l'identità degli amministratri di sistema nell'ambit delle prprie rganizzazini, secnd le caratteristiche dell'azienda del servizi, in relazine ai diversi servizi infrmatici cui questi sn prepsti. Ciò, avvalendsi dell'infrmativa resa agli interessati ai sensi dell'art. 13 del Cdice nell'ambit del rapprt di lavr che li lega al titlare, ppure tramite il disciplinare tecnic di cui al prvvediment del Garante n. 13 del 1 marz 2007 (in G.U. 10 marz 2007, n. 58), in alternativa, mediante altri strumenti di cmunicazine interna (ad es., intranet aziendale, rdini di servizi a circlazine interna bllettini). Ciò, salvi i casi in cui tali frme di pubblicità di cnscibilità sian incmpatibili cn diverse previsini dell'rdinament che disciplinin un specific settre. d. Servizi in utsurcing Nel cas di servizi di amministrazine di sistema affidati in utsurcing il titlare deve cnservare direttamente e specificamente, per gni eventuale evenienza, gli estremi identificativi delle persne fisiche prepste quali amministratri di sistema. e. Verifica delle attività L'perat degli amministratri di sistema deve essere ggett, cn cadenza almen annuale, di un'attività di verifica da parte dei titlari del trattament, in md da cntrllare la sua rispndenza alle misure rganizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati persnali previste dalle nrme vigenti. f. Registrazine degli accessi Devn essere adttati sistemi idnei alla registrazine degli accessi lgici (autenticazine infrmatica) ai sistemi di elabrazine e agli archivi elettrnici da parte degli amministratri di sistema. Le registrazini (access lg) devn avere caratteristiche di cmpletezza, inalterabilità e pssibilità di verifica della lr integrità adeguate al raggiungiment dell scp per cui sn richieste. Le registrazini devn cmprendere i riferimenti temprali e la descrizine dell'event che le ha generate e devn essere cnservate per un cngru perid, nn inferire a sei mesi; 3. dispne che le misure e gli accrgimenti di cui al punt 2 del presente dispsitiv sian intrdtti, per tutti i trattamenti già iniziati che avrann inizi entr trenta girni dalla data di pubblicazine nella Gazzetta Ufficiale del presente prvvediment, al più prest e cmunque entr, e nn ltre, il termine che è cngru stabilire in centventi girni dalla medesima data; per tutti gli altri trattamenti che avrann inizi dp il predett termine di trenta girni dalla pubblicazine, gli accrgimenti e le misure dvrann essere intrdtti anterirmente all'inizi del trattament dei dati. 3 MISURE ADOTTATE DAL COMUNE Nel Cmune di Casavatre è perativ il Sistema Infrmativ Cmunale (S.I.C.) basat sulle applicazini sftware censite. 3.1 Amministratre di Sistema Cn decret sindacale nr. 40/2009, l Amministrazine Cmunale ha affidat l incaric di Amministrare il Sistema Infrmativ Cmunale all Ing. Rbert Iavarne. Cd. MANGEDOC Rev. 1.0 Data: 06-11-2015 Pag. 6/8
3.2 Funzini richieste all Amministratre di Sistema All amministratre di sistema è stata affidata la gestine tecnica del S.I.C. a servizi dell Amministrazine Cmunale e della cittadinanza, al fine di assicurare qualità ed efficienza dei servizi fferti dall Ente, attravers la tenuta in esercizi dei sistemi hardware e degli apparati attivi di trasmissine e ricezine dati; il mnitraggi e tuning dei sistemi, vver, il cntrll cntinu dei sistemi in esercizi, cn una valutazine peridica delle perfrmance, al fine di garantire un servizi efficiente degli applicativi sftware attivi ed una elevata dispnibilità del servizi durante il nrmale rari di lavr; il back-up e restre dei dati, ciè, le attività di salvataggi e ripristin dei dati relativi alle applicazini sftware in esercizi. le attività sistemistiche riguardanti la sicurezza delle pstazini di lavr, la rete, i server e le basi di dati, ai sensi del D. Lgs. 109/03. Per raggiungere queste finalità il S.I.C. necessita di un presidi cstante cn attività sistemistiche, di amministrazine dei sistemi (macchine server, applicazini sftware, banche dati) e della rete. a) Gestine dei sistemi infrmatici Cntrll cstante del sistema infrmativ cn attività sistemistiche e di amministrazine dei sistemi e della rete: Tenuta in esercizi Vengn svlte le attività per la tenuta in esercizi dei sistemi hardware e degli apparati attivi di trasmissine e ricezine dati. Per tali sistemi sarann gestite le attività di accensine e spegniment e quelle di ripristin in cas di guasti cadute. Mnitring e Tuning I sistemi in esercizi sn ggett di cntrll peridic cn una valutazine delle perfrmance, ciò al fine di garantire un servizi efficiente degli applicativi sftware attivi ed una elevata dispnibilità del servizi durante il nrmale rari di lavr. BackUp e Restre dei dati Sn garantite le attività per il salvataggi e ripristin dei dati relativi alle applicazini sftware in esercizi. Il tutt in mdalità cnfrme ai dettami emanati dal cdice sul trattament dei dati persnali, di cui al D.Lgs. 196/03. Assistenza sistemistica sulle pstazini di lavr Viene frnita assistenza sulle diverse pstazini di lavr dei dipendenti degli Enti assciati, tenend stt cstante cntrll anche tutti gli aspetti di sicurezza dei dati (autenticazine e autrizzazine, sistemi anti-virus e anti-intrusine, rganizzazine file system e repsitry di dati sicuri) Assistenza sistemistica sulle reti Viene garantita l assistenza sistemistica sulla rete lcale. Vengn, in merit, gestiti i seguenti servizi: a) il cntrll della rete dati dal punt di vista della sicurezza e dell antiintrusine. Cd. MANGEDOC Rev. 1.0 Data: 06-11-2015 Pag. 7/8
3.3 Misure e accrgimenti adttati b) il cntrll del traffic dati cn la misurazine peridica delle perfrmance al fine di garantire un servizi efficiente e cn elevata dispnibilità durante il nrmale l rari di lavr. Per quant riguarda le misure e gli accrgimenti prescritti ai titlari dei trattamenti effettuati cn strumenti elettrnici relativamente alle attribuzini delle funzini di amministratre di sistema, ai sensi del prvvediment del Garante per la prtezine dei dati persnali del 27 nvembre 2008, sn state pste in essere le seguenti azini: a. Valutazine delle caratteristiche sggettive L'attribuzine delle funzini di Amministratre di Sistema è avvenuta previa valutazine delle caratteristiche di esperienza, capacità e affidabilità del sggett designat, il quale frnisce idnea garanzia del pien rispett delle vigenti dispsizini in materia di trattament, ivi cmpres il prfil relativ alla sicurezza. b. Designazini individuali La designazine quale Amministratre di Sistema è individuale e riprta l'elencazine analitica degli ambiti di peratività cnsentiti in base al prfil di autrizzazine assegnat, csì cme descritti nella prima parte di quest paragraf. c. Elenc degli Amministratri di Sistema Gli estremi identificativi dell Amministratre di Sistema, cn l'elenc delle funzini ad ess attribuite, sn riprtati nel presente dcument. E resa nta cnscibile l'identità dell Amministratre di Sistema nell'ambit dell Amministrazine Cmunale, tramite l'infrmativa resa agli interessati ai sensi dell'art. 13 del Cdice nell'ambit del rapprt di lavr che li lega al titlare, e tramite il disciplinare tecnic di cui al prvvediment del Garante n. 13 del 1 marz 2007 (in G.U. 10 marz 2007, n. 58). d. Servizi in utsurcing Nel cas di servizi di amministrazine di sistema affidati in utsurcing il titlare cnserva direttamente e specificamente, per gni eventuale evenienza, gli estremi identificativi delle persne fisiche prepste quali Amministratri di Sistema. e. Verifica delle attività L'perat dell Amministratre di Sistema è ggett, cn cadenza almen annuale, di un'attività di verifica da parte del titlare del trattament, in md da cntrllare la sua rispndenza alle misure rganizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati persnali previste dalle nrme vigenti. f. Registrazine degli accessi Sn stati adttati sistemi idnei alla registrazine degli accessi lgici (autenticazine infrmatica) ai sistemi di elabrazine e agli archivi elettrnici da parte dell amministratre di sistema. Cd. MANGEDOC Rev. 1.0 Data: 06-11-2015 Pag. 8/8