Comunicata ai Capigruppo Consiliari
Comunicata ai Capigruppo Consiliari
il 12/04/2006 Nr. Prot. 7661
Trasmessa al Prefetto
il Nr. Prot.
Trasmessa / Ritrasmessa al XX.XX.XX. il Nr. Prot.
il Nr. Prot.
DELIBERAZIONE DELLA GIUNTA COMUNALE
COMUNE DI ANZOLA DELL'XXXXXX
PROVINCIA DI BOLOGNA C O P I A
APPROVAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA, AI SENSI DEL D.LGS. N. 196/2003.
NR. Progr. Data
Seduta NR. Titolo Classe Sottoclasse
41
28/03/2006
13
Cod. Materia : 80 9 VARIE AREA AMMINISTRATIVO/ISTITUZIONALE
L'anno DUEMILASEI questo giorno VENTOTTO del mese di MARZO alle ore 15:00 convocata con le prescritte modalità, nella Sede Municipale si è riunita la Giunta Comunale.
Fatto l'appello nominale risultano:
Cognome | e | Nome | Carica | Presente | ||
XXXX XXXXX XXXXXXX XXXXX XXXXX ELVE XXXXXXX XXXXXXXXXXXX XXXXXX XXXXX XXXXXXX XXXXXXX XXXXXXXXX XXXXXX | PRESIDENTE ASSESSORE ASSESSORE ASSESSORE ASSESSORE ASSESSORE ASSESSORE | S S N S S S S | ||||
TOTALE Presenti | 6 | TOTALE Assenti | 1 | |||
Assenti Giustificati i signori :
XXXXX XXXX
Partecipa il SEGRETARIO GENERALE del Comune, DR.SSA XXXXX XXXXX .
Il Sig. XXXX XXXXX in qualità di SINDACO assume la presidenza e, constatata la legalità della adunanza, dichiara aperta la seduta invitando la Giunta a deliberare sull'oggetto sopra indicato.
OGGETTO:
APPROVAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA, AI SENSI DEL D.LGS. N. 196/2003.
LA GIUNTA COMUNALE
Premesso che il Decreto Legislativo 30.06.2003, n. 196, “Codice in materia di protezione dei dati personali”, nella stesura iniziale, prevedeva;
- all’art. 34 – comma 1, lett. g) – ed alla regola 19 dell’allegato B), l’adozione, entro il 31 marzo di ogni anno, di un documento programmatico sulla sicurezza (D.P.S.), da redigersi in base alle disposizioni inerenti le misure minime di sicurezza nel trattamento dei dati personali previste dagli articoli 34-35 e allegato B) del codice stesso;
- all’art. 180 la scadenza del 30 giugno 2004 per l’adozione delle misure minime di sicurezza di cui agli artt. da 33 a 35 e all. B), che non erano previste dal
D.P.R. n. 318/1999;
Dato atto che in base al parere del Garante per la Protezione dei dati personali del 22.03.2004, con oggetto “prima applicazione del Codice in materia di protezione dei dati personali in materia di “misure minime” di sicurezza (artt. 31-36 e Allegato B) al d.lgs. n. 196/2003)” dal quale risulta che il D.P.S. da redigere per la prima volta, o da aggiornare, potesse essere predisposto al più tardi entro il 30 giugno 2004, anche per curare in maniera approfondita la stesura di un testo maggiormente significativo e impegnativo nella ricognizione dei rischi e degli interventi previsti;
Dato atto che, alla luce delle sopracitate normative, si è reso necessario rivedere integralmente il documento programmatico - piano operativo per le misure di sicurezza minime inerenti l'attività di questo Ente, in ordine al trattamento dei dati personali, approvato con deliberazione della Giunta Comunale n. 12 del 22.01.1998, redatto in base al testo allora vigente della Legge
n. 675/1996 (ora completamente rivista e confluita nel Codice di cui al D.Lgs. n. 196/2003, sopra citato);
Vista, pertanto, la determinazione n. 1018 del 22.12.2005, con la quale è stato affidato alla Ditta AltaVia Consulting s.n.c., in possesso della specifica professionalità richiesta, l’incarico per la redazione e l’aggiornamento del “Documento Programmatico sulla sicurezza dei dati”, in ottemperanza al D.Lgs. n. 196/2003;
Considerato che:
- ogni volta che un nuovo incaricato viene inserito in organico, anche a tempo determinato, o che un esterno lavora stabilmente presso l’Ente, viene consegnato – a cura del Servizio Gestione del Personale – un apposito “manuale di istruzioni impartite agli incaricati”, predisposto dalla suddetta azienda come estratto del D.P.S. stesso e contenente appunto le disposizioni per il corretto trattamento dei dati;
- è demandato ad apposito provvedimento del Sindaco, quale titolare del trattamento dei dati dell’Ente, l’attribuzione, ove necessario, della qualifica di responsabile esterno nel trattamento dei dati, ai sensi dell’art. 29 D.Lgs. n. 196/2003, alle aziende e/o strutture esterne indiv iduate nel D.P.S. stesso;
Dato atto che, con successive norme sono stati prorogati i termini di cui sopra, sino all’attuale scadenza prevista dall’art. 10 del D.L. n. 273 del 30.12.2005, convertito nella Legge n. 51 del 23.02.2006, che prevede che all’ art. 180 del Decreto Legislativo 30.06.2003, n. 196, e successive modificazioni, siano apportate le seguenti modifiche:
1) al comma 1 le parole: «31 dicembre 2005» sono sostituite dalle seguenti: «31 marzo 2006» (adozione misure minime artt. 33, 34, 35 e all. B);
2) al comma 3 le parole: «31 marzo 2006» sono sostituite dalle seguenti: «30 giugno 2006» (adeguamento strumenti di cui al documento in “data certa”);
Ritenuto, pertanto, di approvare il Documento Programmatico per la Sicurezza, aggiornato al 23.03.2006, quale parte integrante e sostanziale del presente atto;
Considerato, inoltre, che nella fase di analisi degli strumenti elettronici in possesso dell’Ente, predisposta per la stesura del D.P.S., sono emerse delle problematiche che, per obiettive ragioni tecniche e per mancanza di risorse economiche, non consentono, entro il 31 marzo 2006, la parziale applicazione delle misure minime di sicurezza previste dal Codice;
Ritenuto pertanto di approvare, in base all’art. 180 – commi 2 e 3 – del Codice stesso, il “Documento a data certa” allegato alla presente deliberazione, ed ugualmente costituente parte integrante della stessa, nel quale vengono descritte le ragioni che non consentono la completa applicazione di quanto previsto dal D.Lgs.
n. 196/2003 relativamente all’attuazione integrale delle misure di sicurezza all’interno dell’Ente;
Dato atto che è stato acquisito il parere favorevole espresso dal Direttore dell’Area Amministrativo/Istituzionale in ordine alla regolarità tecnica;
Con voti unanimi resi nei modi di legge
D E L I B E R A
1) Di approvare, per le motivazioni indicate in premessa, il “Documento Programmatico sulla Sicurezza” (D.P.S.), allegato A) alla presente deliberazione e costituente parte integrante e sostanziale della stessa, disponendo, contestualmente, che tutti i Servizi siano tenuti ad adeguarsi alle prescrizioni contenute in tale documento;
2) Di disporre, altresì, che venga consegnata, a tutto il personale in servizio a tempo indeterminato e a tempo determinato, nonchè ad ogni esterno che lavori stabilmente presso l’Ente, copia aggiornata dell’apposito “manuale di istruzioni impartite agli incaricati”, allegato B) al presente atto come parte integrante e sostanziale;
3) Di confermare che è affidato ad apposito provvedimento del Sindaco, quale titolare del trattamento dei dati dell’Ente, l’attribuzione, ove necessario, della qualifica di responsabile esterno nel trattamento dei dati, ai sensi dell’art. 29 D.Lgs. n. 196/2003, alle aziende e/o strutture esterne individuate nel D.P.S. stesso;
4) Di dare atto che, ai sensi dell’art. 180 – comma 1 – e della Regola 19 dell’allegato B al «Codice in materia di protezione di dati personali» (D.Lgs. n. 196/2003) e successive modifiche, il “Documento Programmatico sulla Sicurezza” deve essere adottato entro il 31.03.2006 e successivamente aggiornato entro il 31 marzo di ogni anno;
5) Di disporre - che ai sensi della Regola 26 dell’allegato B al Codice e del parere espresso dal “Garante per la protezione dei dati personali” in data 22 marzo 2004 - nella rela zione di accompagnamento a ciascun Bilancio di Previsione si faccia riferimento circa l'avvenuta redazione o aggiornamento del D.P.S.;
6) Di approvare, per le motivazioni indicate in premessa, il “Documento a data certa” previsto dall’art. 180 – comma 2 – del Codice, allegato C), alla presente deliberazione e costituente parte integrante della stessa, nel quale vengono descritte le ragioni che non consentono la completa applicazione di quanto previsto dal D.Lgs. n. 196/2003 relativamente all’attuazione integrale delle misure di sicurezza all’interno dell’Ente;
Con separata ed unanime votazione si dichiara immediatamente eseguibile la presente deliberazione, ai sensi dell’art. 134 – 4° comma – del Decreto Legislativo 18.08.2000 n. 267.
COMUNE DI ANZOLA DELL’XXXXXX
Provincia di Bologna
ALLEGATO A) ALLA DELIBERAZIONE DI G.C. N. 41 DEL 28.03.2006
IL SINDACO IL SEGRETARIO GENERALE
X.xx (Xxxxx Xxxx) X.xx (Dr.ssa Xxxxx Xxxxx)
Xxx Xx’ Xxxxxxxx 0/ 0 - 00000 Xxxxxxx - Tel. e Fax 328/ 0000000 - p. iva/reg. imprese 02206411205 e- mail: | xxxx@xxxxxxxxxxxxxxxxx.xx web: xxx.xxxxxxxxxxxxxxxxx.xx
Comune di Anzola dell’Xxxxxx
DPS Piano di sicurezza dell’ente
Marzo 2006
Indice
INDICE 3
I REFERENTI 8
Tavola 1. i referenti del Cliente 8
Tavola 2.: i referenti di AltaVia Consulting 8
LA SICUREZZA: PREMESSA 9
PROTEZIONE CONTRO L’ACCESSO INDEBITO ALLE RISORSE ED APPLICAZIONE DEL D.LGS. N. 196/2003. 12
LO SCHEMA DEL PIANO DI SICUREZZA 2006 13
SECUREANALISYS 15
Il censimento delle banche dati dell’ente 15
Regola 19.1 dell’Allegato B al Codice: elenco dei procedimenti che comportano il trattamento di dati personali, sensibili, giudiziari. 15
Tavola 3. Elenco dei trattamenti: informazioni di base 16
Tavola 4. Elenco dei trattamenti: descrizione degli strumenti utilizzati 25
Il censimento dei beni che rientrano nel piano di sicurezza 30
Tavola 5.riepilogo delle sedi dell’ente 30
Tavola 6.riepilogativa del censimento dei beni che rientrano nel piano di sicurezza dell’ente 31
Analisi organizzativa dell’ente 32
Tavola 7.riepilogo degli incaricati 40
Tavola 8.riepilogo dei profili 45
Rapporti con professionisti ed incaricati non dipendenti dell’ente 50
Distribuzione dei compiti e delle responsabilità (regola 19.2 dell’Allegato B al Codice) 51
Tavola 9.distribuzione dei compiti e delle responsabilità 52
L’accesso alle strutture fisiche dell’ente 55
Tavola 10.: assegnazione delle chiavi di accesso ai locali dell’ente 55
Analisi tecnologica dei dati elettronici 60
26/04/06 XxxxXxx Xxxxxxxxxx Xxx
Xxx xx’ Xxxxxxxx 0/0 – 40129 B O L O G N A E-mail: xxxx@xxxxxxxxxxxxxxxxx.xx
Lo schema generale della rete 60
Analisi ambientale 64
Casi particolari: i posti di lavoro della sede dell’asilo nido Balzani 65
Analisi del sistema di cablaggio 65
Analisi dell’architettura LAN/WAN 65
LAN 65
WAN 66
Analisi delle vulnerabilità interne e dell’accesso ai dati 66
Analisi delle applicazioni: regola 19.8 dell’Allegato B al Codice 68
Analisi delle comunicazioni verso Internet 69
Analisi dei servizi pubblicati sulla rete Internet 69
Analisi tecnologica dei dati cartacei 70
Analisi ambientale 70
Analisi delle vulnerabilità interne e dell’accesso dei dati 70
Le criticità dei beni informatici preposti al trattamento dei dati elettronici 70
Il fault tolerance 71
Tavola 11.: Tabella riepilogativa dei device presenti nell’ente: censimento dei beni informatici 71
Il disaster recovery 72
Tavola 12.: Tabella riepilogativa dei fattori di criticità per il servizio di disaster recovery 73
L’analisi dei rischi a cui possono essere soggetti i dati elettronici e i dati cartacei: regola 19.3 dell’Allegato B al Codice 75
Analisi dei rischi dei dati elettronici 75
Presentazione sintetica dei rischi a cui sono soggetti i dati elettronici trattati dal Comune di Anzola dell’Xxxxxx. 76
Tavola 13.: I rischi a cui sono soggetti i dati elettronici trattati dal Comune di Anzola dell’Xxxxxx sono di seguito riepilogati: 76
Analisi dei rischi dei dati cartacei 78
Presentazione sintetica dei rischi a cui possono essere soggetti i dati cartacei trattati dall’ente 78
Tavola 14.: I rischi a cui possono essere soggetti i dati cartacei trattati dall’ente possono essere così riepilogati: 78
L’analisi dei sistemi di videosorveglianza 80
Tavola 15.: Tabella riepilogativa dei sistemi di videosorveglia nza 80
Adempimenti ottemperati 81
DOVERE DI INFORMAZIONE 81
MISURE DI SICUREZZA 81
DURATA DELL’EVENTUALE CONSERVAZIONE 81
La definizione della politica di sicurezza dell’ente 82
Chi-fa -cosa dentro 82
Tavola 16.: chi-fa -cosa dentro 82
Chi-fa -cosa fuori 86
Tavola 17.: chi-fa -cosa fuori 86
Chi, interno, fa cosa da fuori 87
Tavola 18.: chi, interno, fa-cosa da fuori 87
Chi, esterno, può fare cosa da fuori o, in casi definiti, da dentro 89
Tavola 19.: chi, esterno,può fare-cosa da fuori o, in casi definiti, da dentro 89
Rapporti con aziende esterne all’organizzazione assimilabili a titolari del trattamento: regola 19.7 dell’Allegato B al Codice 90
SECURELAW 91
Securelaw: verifica degli adempimenti formali 91
Dati residenti su elaboratori elettronici 91
Tavola 20.: riepilogo adempimenti formali per dati residenti su elaboratori elettronici 91
Securelaw: verifica degli adempimenti sostanziali 93
Adempimenti sostanziali dati elettronici 93
Tavola 21.: riepilogo adempimenti sostanziali per dati residenti su elaboratori elettronici 93
Securelaw: verifica degli adempimenti formali 95
Dati residenti su archivi cartacei 95
Tavola 22.: riepilogo adempimenti formali per dati residenti su archivi cartacei 95
Adempimenti sostanziali dati cartacei 96
Tavola 23.: riepilogo adempimenti sostanziali per dati residenti su archivi cartacei 96
Securelaw: piano formativo degli incaricati: regola 19.6 dell’Allegato B al Codice 97
Tavola 24.: piano di formazione degli utenti 99
DPS DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI 101
Dati residenti su supporto cartaceo 101
Analisi dei rischi 101
Analisi dei rischi e delle azioni intraprese per cautela relativamente al trattamento dei dati cartacei: regola 19.4 dell’Allegato B al Codice 101
Tavola 25.: riepilogo dei rischi e delle azioni legate al trattamento dei dati cartacei 101
Dati residenti su elaboratori elettronici 103
Analisi dei rischi 103
Analisi dei rischi e delle azioni intraprese per cautela: regola 19.4 dell’Allegato B al Codice 103
Tavola 26.: analisi dei rischi e azioni intraprese per i dati residenti su supporto elettronico 103
Le operazioni di salvataggio dei dati: regola 19.5 dell’Allegato B al Codice 106
Tavola 27.: riepilogo delle operazioni di salvataggio dei dati 106
I controlli anti-intrusione dall’esterno 107
Tavola 28.: riepilogo delle operazioni di controlli anti-intrusione dall’esterno 107
AZIONI INTRAPRESE PER IL FAULT TOLERANCE: REGOLA 19.5 DELL’ALLEGATO B AL CODICE 108
Server Windows NT/2000 108
Switch 109
Router 109
PROCEDURE DA SEGUIRE IN CASO DI FAULT 111
Server 111
Server Windows 2000 Anzola 111
Server Windows 2000 Biblioteca 112
Server Windows 2000 - Numero Verde 112
Switch 112
Router di fascia alta e firewall 113
Router di fascia bassa 113
Linee di collegamento 113
AZIONI DA INTRAPRENDERE PER IL DISASTER RECOVERY 115
PROCEDURE DA SEGUIRE PER AFFRONTARE UNA SITUAZIONE DI DISASTER RECOVERY 117
Server 117
Procedure da eseguire per i server di cui è presente il servizio di disaster recovery sul software di back-up dei dati.117 Tavola 29.: riepilogo procedure di disaster recovery per la sede di Anzola legate ai dati 117
Router e Wan Link 118
Tavola 30.: riepilogo procedure di disaster recovery per la sede di Anzola dell’Xxxxxx legate ai Wan Link 118
CONCLUSIONI 120
I referenti
Riepiloghiamo ora i referenti del Cliente e di AltaVia Consulting Snc di Xxxxxxxx Xxxxxxx e C. coinvolti nel progetto.
Tavola 1. i referenti del Cliente
Nome e Cognome | Mansione | Funzione specifica nel progetto |
Xxxxxxxx Xxxxxxx | Responsabile Sistemi Informativi | Coordinatore |
Xxxxxxxxxxxx Xxxxxxx | Responsabile CED | Fornitore di informazioni |
Tavola 2.: i referenti di AltaVia Consulting
Nome e Cognome | Mansione | Funzione specifica nel progetto |
Xxxxxxxx Xxxxxxx | Progettista | Coordinatore |
La sicurezza: premessa
Con l’entrata in vigore del “Codice in materia di protezione dei dati personali ” il legislatore sancisce che il diritto alla riservatezza, all’identità personale e alla protezione dei dati riferiti a persone fisiche o giuridiche sono da annoverarsi tra i diritti fondamentali. Di conseguenza qualsiasi trattamento di dati personali deve svolgersi nel rispetto della dignità del soggetto interessato sottoposto al trattamento.
Da quanto esposto sopra deriva la necessità di rafforzare, in un quadro di evoluzione tecnologica, le misure di sicurezza contro i rischi di distruzione o perdita, anche accidentale, dei dati personali, di accesso non autorizzato o di uso improprio dei dati stessi. A tal fine alle precauzioni già previste nella normativa precedente (password, codici identificativi, antivirus etc.), se ne aggiungono altre come: password di non meno di otto caratteri, autenticazione informatica, sistemi di cifratura, procedure per il ripristino dei dati, ecc., nonché la tenuta di un aggiornato documento programmatico sulla sicurezza.
Nonostante sia utopistico credere che possa esistere la sicurezza assoluta, questo non esime qualsiasi titolare, responsabile o incaricato del trattamento dei dati personali a predisporre un piano di sicurezza dell’ente. Occorre però individuare, in via preliminare, quali sono i requisiti minimi di sicurezza di un sistema informativo basato su strumenti elettronici o su strumenti cartacei per poterli applicare al sistema stesso nella totalità o in parte.
L’obiettivo è quindi quello di stabilire il livello di sicurezza da raggiungere in relazione al valore del bene intangibile da proteggere (informazione) ed al rischio sostenibile, senza ridurre la possibilità di fruizione dello stesso.
Un sistema informativo deve, quindi, avere un sistema di protezione contro i seguenti rischi:
⮚ accesso indebito alle risorse;
⮚ azioni dolose;
⮚ errori operativi;
⮚ manomissioni o furti;
⮚ fault di servizi;
⮚ eventi dannosi o disastrosi offrendo al contempo garanzia di:
⮚ autenticità e integrità delle registrazioni elettroniche ed assicurando:
⮚ facilità di auditing
Per accesso indebito alle risorse s’intende che dati, programmi e strumenti di comunicazione devono essere protetti da accessi non autorizzati, in ottemperanza al d.lgs. n. 196/2003.
Per protezione da azioni dolose s’intende che devono esistere procedure e strumenti per proteggere le risorse del S.I.
da azioni particolari come modifica o copia di informazioni, messaggi, file, programmi da parte di persone non autorizzate, uso non autorizzato dei privilegi di sistema, dirottamento o duplicazione di informazioni o programmi da parte di persone non autorizzate, bombe logiche, cavalli di Troia, virus.
Per protezione dagli errori operativi s’intende che il S.I. deve essere progettato in modo che errori operativi non arrechino danni alle risorse hardware e software, che le operazioni critiche siano attivabili solo da personale autorizzato e che devono essere previsti strumenti per ripristinare lo stato corretto del sistema nel caso vengano rilevati errori operativi.
Per protezione da manomissioni o furti s’intende che i server dell’ente, nonché i documenti cartacei, devono essere custoditi in locali protetti in cui l’accesso è permesso solo agli incaricati per lo svolgimento di compiti ad essi assegnati.
Per protezione contro il fault o la caduta di alcuni servizi, s’intende che è opportuno che esista una procedura in grado di far ripartire un servizio più o meno critico, più o meno importante, servizio caduto in seguito ad un guasto hardware e/o software, con i tempi ed i modi definiti dal “manuale della sicurezza”.
Infine per protezione contro eventi dannosi o disastrosi s’intende che è necessario che il sistema informativo preveda contromisure per tutelarlo da eventi dannosi (assenza di alimentazione elettrica o condizionamento) o disastrosi (incendi ecc.).
La garanzia che deve essere offerta dal sistema informativo è relativa all’autenticità dei dati, ovvero deve essere disponibile un meccanismo per associare ad una unità di registrazione l’identificativo dell’utente che l’ha generata nella forma in cui essa è memorizzata, con una prova incontestabile, e all’integrità del dato stesso. Per integrità dei dati gestiti e registrati a livello applicativo; si afferma che il compito del S.I. è quello di garantire l’integrità logica (coerenza e consistenza ) e fisica (esistenza di copie o di salvataggi) di tali dati.
Per quanto riguarda i requisiti di auditing essi riguardano quelle caratteristiche del sistema informativo che possono facilitare le attività ispettive necessarie per assicurare il mantenimento del livello di sicurezza.
Il primo passo da fare per decidere la politica da seguire nel garantire la sicurezza di un sistema è l’analisi del rischio. L’obiettivo di tale analisi è quello di identificare le minacce alle risorse critiche del sistema per valutare le perdite derivanti dal verificarsi di tali minacce e potere eventualmente giustificare i costi da sostenere per la gestione della sicurezza.
Il processo è quindi il seguente:
Analisi dei rischi
Valutare i costi che l’azienda dovrà sostenere nel caso si manifesti una di queste minacce
Calcolare la probabilità di accadimento
Identificare le possibili minacce a queste risorse
Identificare le risorse critiche
L’analisi dei rischi, oggetto del presente lavoro, non tratta in dettaglio le probabilità di accadimento dei rischi stessi, né i costi, legati al mancato uso dei sistemi, in quanto si da per scontato che tali eventi si verifichino e che i costi ad essi associati siano ingenti.
Protezione contro l’accesso indebito alle risorse ed applicazione del d.lgs. n. 196/2003.
In primo luogo è utile riassumere quali sono gli strumenti ordinari di sicurezza che gli utenti già utilizzano per accedere ai dati elettronici e/o ai dati cartacei.
Ogni utente è dotato di uno username ed una password per l’accesso alla rete dell’ente. Detto username è fisso ed è assegnato dal gruppo sistemistico del servizio sistemi informativi del Comune di Anzola dell’Xxxxxx.. La password invece è gestita dall’utente che deve forzatamente modificarla ogni 90 giorni. Il primo identificativo dell’utente permette l’accesso a tutte le risorse di rete; alcuni servizi però richiedono, per problemi tecnici legati all’integrazione degli utenti nel Dominio Microsoft (il sistema di directory dell’ente), un ulteriore livello di identificazione quale, per esempio, l’accesso alla posta elettronica.
Ciascun application server ha poi la sua applicazione: Contabilità, Gestione del Personale, Lotus Domino Notes ecc. Gli utenti hanno, a questo punto, un ulteriore livello di autenticazione sulla procedura: uno username ed una password fissi sono assegnati all’utente a questo livello per ciascuna delle applicazioni software alle quali ha accesso.
Per ciò che concerne le misure minime di sicurezza richieste dalla nuova normativa, l’ente si è opportunamente attrezzato in base a quanto previsto dal Titolo V, Capo II del Codice in materia di protezione dei dati personali e dall’Allegato B dello stesso Xxxxxx.
In primo luogo occorre precisare che il Comune di Anzola dell’Xxxxxx tratta dati che si configurano sia come dati personali, sia come dati sensibili, e ancora dati giudiziari in base all’interpretazione letterale del d.lgs. n. 196/2003. In secondo luogo durante le sessioni formative ai dipendenti è presentato il regolamento al quale attenersi nel trattamento dei dati nello svolgimento dei compiti assegnati. Sono stati, inoltre, definiti il responsabile del trattamento dei dati, gli incaricati autorizzati a compiere specifiche operazioni e le procedure relative alla gestione dei dati stessi.
Tutti i dettagli del piano di sicurezza verranno approfonditi nei capitoli successivi.
Lo schema del piano di sicurezza 2006
Il piano di sicurezza 2006, è stato completamente rivisto rispetto agli anni precedenti, in quanto si vuole mettere in risalto le misure adottate dall’ente, che superano di gran lunga quelle minime previste dalla nuova normativa in materia di sicurezza dell’ente dei dati.
L’intero lavoro è denominato DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI ai sensi del d.lgs. n. 196/2003, ma si presenta come un vero e proprio PIANO DI SICUREZZA DELL’ENTE.
Il PIANO DI SICUREZZA DELL’ENTE prevede due ambiti di analisi:
? un’analisi interna articolata in otto punti denominata secureanalisys;
? un’analisi legislativa per accertare il rispetto dei requisiti richiesti dalla normativa attualmente in vigore denominata
securelaw.
Prosegue poi con il Documento programmatico sulla sicurezza vero e proprio
Secureanalisys
Gli obiettivi di questa fase, come sopra anticipato, sono nove:
1. censimento delle banche dati trattati;
2. definizione e censimento di tutti i beni che rientrano nel piano di sicurezza dell’ente;
3. analisi organizzativa dell’ente;
4. analisi tecnologica dei dati elettronici:
a. analisi ambientale;
b. analisi del sistema di cablaggio;
c. analisi dell’architettura LAN e XXX;
d. analisi delle vulnerabilità interne e dell’accesso ai dati;
e. analisi delle comunicazioni verso Internet;
f. analisi dei servizi pubblicati sulla rete Internet.
5. analisi tecnologica dei dati cartacei:
a. analisi ambientale;
b. analisi delle vulnerabilità interne e dell’accesso ai dati.
6. Definizione dei livelli di criticità dei beni informatici preposti al trattamento dei dati elettronici
7. l’analisi dei rischi a cui possono essere soggetti i dati elettronici e i dati cartacei;
8. analisi dei sistemi di videosorveglianza;
9. Definizione di una politica di sicurezza dell’ente.
Securelaw
Con la fase “securelaw” si intende verificare che tutti i requisiti normativi circa il rispetto del d.lgs. n. 196/2003 denominato “Codice in materia di protezione dei dati personali” siano rispettati ed assecondati.
Per fare ciò è necessario affrontare i seguenti quattro punti:
1. verifica degli adempimenti formali;
2. verifica degli adempimenti sostanziali;
3. piano formativo degli incaricati;
4. predisposizione di un Documento programmatico sulla sicurezza dei dati.
Si incomincia ora con l’analisi dei singoli punti della secureanalisys.
Secureanalisys
Il censimento delle banche dati dell’ente
In questa sezione del documento censiamo tutti le banche dati, personali e sensibili che sono oggetto di trattamento all’interno dell’ente.
Regola 19.1 dell’Allegato B al Codice: elenco dei procedimenti che comportano il trattamento di dati personali, sensibili, giudiziari.
Tavola 3. Elenco dei trattamenti: informazioni di base
Identificativo del Trattamento | Descrizione sintetica | Natura dei dati trattati | Struttura di riferimento | Altre strutture (anche esterne) che concorrono al trattamento | Descrizione degli strumenti utilizzai |
S G | |||||
1. REGISTRO DI PROTOCOLLO X X SERVIZIO AFFARI XXX.XX/XXX.XX
Tutti i servizi comunali Cartacei- elettronici
2. ATTI DELIBERATIVI (consiglio, giunta, determinazioni, ordinanze, decreti)
X SERVIZIO AFFARI XXX.XX/XXX.XX
Tutti i servizi comunali Cartacei- elettronici
3. Contratti X SERVIZ IO AFFARI
XXX.XX/XXX.XX
4. Denunce Di Infortunio Sul Lavoro X SERVIZIO AFFARI XXX.XX/XXX.XX
5. Concorsi (Interni Xx Xxxxxxx) X X SERVIZIO AFFARI XXX.XX/XXX.XX
6. Denuncia annuale disabili (L. 68/1999) X SERVIZIO AFFARI
XXX.XX/XXX.XX
7. Richiesta Di Accesso All’archivio Storico SERVIZIO AFFARI XXX.XX/XXX.XX
8. Notifiche Atti SERVIZIO AFFARI
XXX.XX/XX.XX
9. Albo pretorio SERVIZIO AFFARI
XXX.XX/XXX.XX
Tutti i servizi comunali Cartacei- elettronici
AUSL Cartacei-
elettronici Altri Comuni, Servizio Personale Cartacei-
elettronici
SERVIZIO PERSONALE Cartacei-
elettronici Elettronici
Cartacei- elettronici Cartacei- elettronici
10. Segnalazione mensile abusi edilizi X SERVIZIO AFFARI XXX.XX/XXX.XX
11. Registro persone alloggiate nella foresteria comunale SERVIZIO AFFARI XXX.XX/XXX.XX
SERVIZIO URBANISTICA, POLIZIA MUNICIPALE, PROCURA DELLA REPUBBLICA
AUSER (nella persona del soggetto delegato)
Cartacei- elettronici
Cartacei
12. Erogazioni di contributi ad enti ed associazioni SERVIZIO AFFARI
XXX.XX/XXX.XX
13. Convocazione sedute delle commissioni consiliari SERVIZIO AFFARI XXX.XX/XXX.XX
SERVIZIO CONTABILITA’ Cartacei-
elettronici Cartacei- elettronici
14. Concessione utilizzo sala consiliare o centri civici SERVIZIO AFFARI XXX.XX/XXX.XX
AUSER (nella persona del soggetto delegato)
Cartacei
15. Accertamenti relativi a ditte aggiudicatarie di lavori o servizi
per la stipula dei contratti
X SERVIZIO AFFARI
XXX.XX/XXX.XX
Cartacei,
elettronici
16. Gestione newsletter comunale URP Elettronici
17. Gestione sito Internet 18. Gestione segnalazioni, reclami, proposte | URP URP | Tutti i servizi comunali Tutti i servizi comunali | Elettronici Cartacei- | |
19. Accesso agli atti | URP | Tutti i servizi comunali | elettronici Cartacei | |
20. Rilascio licenze di pesca | URP | Cartacei- | ||
21. Rilascio tesserini esercizio caccia 22. Rilascio tesserino per raccolta funghi | URP URP | Regione Xxxxxx-Romagna Provincia di Bologna | elettronici Cartacei- elettronici Cartacei- | |
23. Tessere ATC anziani – Xxxxxxx e rilascio 24. Tessere ATC abbonamenti annuali – Rinnovo e rilascio | URP URP | Servizi sociali ATC | elettronici Cartacei- elettronici Cartacei- | |
25. Anagrafe canina 26. Rilascio contrassegni invalidi | X | URP URP | Polizia Municipale, Serv. Ambiente Comune di Bologna | elettronici Cartacei- elettronici Cartacei- |
27. Raccolta firme per referendum | URP | Servizi Demografici | elettronici Cartacei | |
28. Rilascio certificati catastali | URP | Agenzia del Territorio | Cartacei- | |
29. Albo Presidenti di Seggio 30. Albo Scrutatori | Servizi Demografici Servizi Demografici | URP URP | elettronici Cartacei- elettronici Cartacei- | |
31. Albo Giudici Popolari 32. Liste elettorali | Servizi Demografici Servizi Demografici | URP Servizio AFFARI GENERALI | elettronici Cartacei- elettronici Cartacei- | |
33. Elezioni (amministrative, politiche, europee) e referendum 34. Denuncia di morte | Servizi Demografici Servizi Demografici | Servizio AFFARI GENERALI | elettronici Cartacei- elettronici Cartacei- | |
elettronici |
Identificativo del Trattamento | Descrizione sintetica | Natura dei dati trattati | Struttura di riferimento | Altre strutture (anche esterne) che concorrono al trattamento | Descrizione degli strumenti utilizzai |
S G | |||||
Identificativo del Trattamento | Descrizione sintetica | Natura dei dati trattati | Struttura di riferimento | Altre strutture (anche esterne) che concorrono al trattamento | Descrizione degli strumenti utilizzai |
S G | |||||
35. Denuncia di nascita Servizi Demografici Cartacei- elettronici
36. Matrimonio (celebrazione e scioglimento) X Servizi Demografici Cartacei- elettronici
37. Leva militare Servizi Demografici Cartacei- elettronici
38. Cittadinanza Servizi Demografici Cartacei-
elettronici
39. Tenuta registri anagrafici Servizi Demografici URP, Polizia Municipale Cartacei- elettronici
40. Tenuta registro AIRE Servizi Demografici Cartacei-
elettronici
41. Provvidenze economiche a favore invalidi civili X Servizi Demografici INPS (presso Comune di Bologna) Cartacei-
elettronici
42. Contratti di concessione cimiteriale Servizi Demografici Servizio CONTABILITA’ Cartacei- elettronici
43. Censimento e altre indagini statistiche Servizi Demografici Rilevatori esterni, ISTAT Cartacei- elettronici
44. Archivio Fornitori Serv.Xxxxxxxx /
Programm.Controllo
45. Archivio Clienti Serv.Xxxxxxxx /
Programm.Controllo
46. Approvazione bilancio di previsione Serv.Bilancio / Programm.Controllo
47. Approvazione rendiconto di gestione Serv.Bilancio / Programm.Controllo
48. Liquidazione fatture Serv.Bilancio / Programm.Controllo
49. Accertamento entrata ed emissione reversali Serv.Bilancio / Programm.Controllo
50. Dichiarazione IRAP Serv.Bilancio / Programm.Controllo
Tutti I Servizi Comunali Elettronici
Tutti I Servizi Comunali Elettronici
Tutti I Servizi Comunali Cartacei- elettronici
Tutti I Servizi Comunali Cartacei- elettronici
Tutti I Servizi Comunali Cartacei- elettronici
Tutti I Servizi Comunali Cartacei- elettronici
Servizio Personale Cartacei- elettronici
51. Rette scolastiche Servizio Economato Cartacei- elettronici
Identificativo del Trattamento | Descrizione sintetica | Natura dei dati trattati | Struttura di riferimento | Altre strutture (anche esterne) che concorrono al trattamento | Descrizione degli strumenti utilizzai |
S G | |||||
52. Gestione polizze assicurative X Servizio Economato Broker (TAVERNA assicurazioni), Ente di Assicurazione
53. Gestione forniture di beni e servizi Servizio Economato Servizio Aff. Generali, Servizio Contabilità
Cartacei- elettronici Cartacei- elettronici
54. Gestione oggetti ritrovati Servizio Economato Cartacei- elettronici
55. Gestione cassa economale Servizio Economato Cartacei-
elettronici
56. Gestione economica del personale X Serv. Personale Servizio contabilità Cartacei-
elettronici
57. Gestione giuridica del personale X X Serv. Personale Servizio Affari Generali Cartacei-
elettronici
58. Trattamento giuridico ed economico degli organi istituzionali Serv. Personale Servizio Affari Generali Cartacei-
elettronici
59. Gestione presenze assenze X Serv. Personale Tutti i servizi comunali Cartacei-
elettronici
60. Procedimenti disciplinari X Serv. Personale Direttore Generale, Direttori d’Area Cartacei- elettronici
61. Rilascio modello CUD Serv. Personale Cartacei-
elettronici
62. Compilazione modello F24 Serv. Personale Cartacei- elettronici
63. Archivio Contribuenti TARIFFA RIFUITI Servizio tributi S.R.L. GEOVEST Cartacei
64. Archivio Contribuenti ICI Servizio tributi URP Cartacei- elettronici
65. Siatel Servizio tributi Servizi Demografici, Polizia Municipale Elettronici
66. Insinuazione al passivo di Ditte in fallimento X Servizio tributi Cartacei- elettronici
67. Comunicazione rendite catastali Servizio tributi Cartacei- elettronici
68. Anagrafe Scolastica Serv. Istruzione e sport Serv.Sociali, URP, Economato, Istituto Comprensivo
69. Erogazione mensa scolastica X Serv. Istruzione e sport Cucina, Economato Istituto Comprensivo
Cartacei- elettronici Cartacei- elettronici
Identificativo del Trattamento | Descrizione sintetica | Natura dei dati trattati | Struttura di riferimento | Altre strutture (anche esterne) che concorrono al trattamento | Descrizione degli strumenti utilizzai |
S G | |||||
70. Determinazione rette scolastiche Serv. Istruzione e sport Economato, Istituto comprensivo Cartacei- elettronici
71. Xxxxx Xxxx Xxxx. Istruzione e sport Economato URP
72. Campo Solare Serv. Istruzione e sport Economato URP
73. Trasporto scolastico Serv. Istruzione e sport Economato, URP ,
Istituto Comprensivo
74. Erogazione Diritto allo Studio per portatori H X Serv. Istruzione e sport Serv. Sociali, URP,
Istituto Comprensivo
75. Prolungamento Orario Serv. Istruzione e sport URP,
Istituto Comprensivo, Associazione “Senza il Banco”
Cartacei- elettronici Cartacei- elettronici Cartacei- elettronici Cartacei- elettronici Cartacei- elettronici
76. Albo Delle Libere Forme Associative/Volontariato Area servizi alla persona
77. Informazione e orientamento professionale Area servizi alla persona
URP Cartacei-
elettronici Ditte private – istituti scolastici - CFP Cartacei-
elettronici
78. Dati utenti biblioteca Biblioteca Cartacei- elettronici
79. Ammissione ai Servizi Comunali per Anziani X Servizi Sociali Azienda USL Bologna – Distretto di
Casalecchio
Medici di medicina generale Servizio Infermieristico Cooperativa affidataria Servizio
80. Ammissione ai Servizi di Rete per Anziani X Servizi Sociali Azienda USL Bologna – Distretto di
Casalecchio – Servizio Assistenza Anziani distrettuale
81. Ammissione ai Servizi Comunali per Disabili X Servizi Sociali Azienda USL Bologna – Distretto di
Casalecchio
Medici di medicina generale Servizio di salute mentale
Cartacei- elettronici
Cartacei- elettronici
Cartacei- elettronici
Identificativo del Trattamento | Descrizione sintetica | Natura dei dati trattati | Struttura di riferimento | Altre strutture (anche esterne) che concorrono al trattamento | Descrizione degli strumenti utilizzai |
S G | |||||
82. Ammissione ai Servizi Integrati per Disabili (Polo Handicap) X Servizi Sociali Azienda Sanitaria Locale Bologna –
Distretto di Casalecchio – Servizio sociale (Polo Handicap)
Cartacei- elettronici
83. Erogazione contributi e tenuta Albo dei beneficiari Servizi Sociali Servizio Contabilità Cartacei-
elettronici
84. Inserimento Appartamento emergenza “Torresotto” Servizi Sociali Cartacei- elettronici
85. Procedura di Inabilitazione/interdizione X Servizi Sociali Tribunale di Bologna Ufficio Tutele
86. Xxxxxxxxx Xxxxxx/Curatela X X Servizi Sociali Tribunale di Bologna
Ufficio Tutele
Avvocato delegato alla gestione
Cartacei- elettronici Cartacei- elettronici
87. Relazione per Esenzione e riduzione dalle rette scolastiche di trasporto e mensa
88. Verifica e trasmissione richieste Assegno di Maternità e Assegno per Famiglie numerose
Servizi Sociali Servizio Istruzione Cartacei- elettronici
X Servizi Sociali INPS Cartacei- elettronici
89. Erogazione contributi Fondo Sociale Affitti Servizi Sociali URP, Regione Xxxxxx-Romagna, INPS Cartacei- elettronici
90. Richieste tessere ATC per anziani e categorie protette X Servizi Sociali URP
ATC – BOLOGNA
91. Gestione richieste Affidi/Adozioni Servizi Sociali Azienda USL Xxxxxxx- Xxxxxxxxx xx Xxx Xxxxxxxx
00. Verifica Affido preadottivo Servizi Sociali Azienda USL Bologna – Distretto di Casalecchio
Cartacei- elettronici Cartacei- elettronici Cartacei- elettronici
93. Segnalazione al Tribunale per i Minorenni di situazioni di
pregiudizio per il minore
X Servizi Sociali Tribunale per i Minorenni Cartacei-
elettronici
94. Svolgimento indagini psico-sociali richieste dall’Autorità Giudiziaria
X Servizi Sociali Tribunale per i Minorenni Organi di pubblica sicurezza Scuole
Azienda USL Bologna – Distretto di Casalecchio
Cartacei- elettronici
Identificativo del Trattamento | Descrizione sintetica | Natura dei dati trattati | Struttura di riferimento | Altre strutture (anche esterne) che concorrono al trattamento | Descrizione degli strumenti utilizzai |
S G | |||||
95. Esercizio provvedimenti civili di limitazione della potestà genitoriale emessi dal Tribunale per i Minorenni
Servizi Sociali Tribunale per i Minorenni Organi di pubblica sicurezza Scuole
Azienda USL Bologna – Distretto di Casalecchio
Cartacei- elettronici
96. Collocamento urgente minori in stato di abbandono X Servizi Sociali Tribunale per i Minorenni
Organi di pubblica sicurezza Scuole
Azienda USL Bologna – Distretto di Casalecchio
Strutture di accoglienza
Cartacei- elettronici
97. Esercizio messa alla prova minori sottoposti a provvedimenti giudiziari
X Servizi Sociali Tribunale per i Minorenni Organi di pubblica sicurezza
Cartacei- elettronici
98. | Aggiornamento/riscossione assegnati | Affitti | immobili | comunali | Servizi Sociali | Servizio Contabilità | Cartacei- elettronici | ||
99. | Contribute per eliminazione barriere architettoniche Legge | X | Area urbanistica | Regione Xxxxxx-Romagna e AUSL | Cartacei- | ||||
100. | 13/89 Gestione abusi edilizi | X | Area urbanistica | Bologna Provincia di Bologna – eventuale | elettronici Cartacei- | ||||
incarico a legale | elettronici | ||||||||
AUSL | Cartacei- elettronici Cartacei- elettronici |
Cartacei- elettronici Cartacei- elettronici | |
Cartacei- elettronici Cartacei- elettronici | |
Cartacei- elettronici |
101. Permessi di Costruire Area urbanistica
102. D.I.A. Area urbanistica
103. Autorizzazioni Edilizie Area urbanistica
104. Valutazioni Preventive Area urbanistica
105. Piani Urbanistici Area urbanistica
106. Commissione per la Qualità Architettonica e il Paesaggio Area urbanistica
107. Denunce Cemento Armato Area urbanistica
Identificativo del Trattamento | Descrizione sintetica | Natura dei dati trattati | Struttura di riferimento | Altre strutture (anche esterne) che concorrono al trattamento | Descrizione degli strumenti utilizzai |
S G | |||||
108. Certificazioni ( conformità, idoneità alloggio, destinazione urbanistica)
109. Autorizzazioni sanitarie per vendita, produzione, deposito
Area urbanistica Cartacei-
elettronici
Cartacei-
all’ingrosso di prodotti alimentari e attività di somministrazione alimenti e bevande
X Area urbanistica
elettronici
110. Autorizzazioni e accreditamento strutture sanitarie pubbliche e private
X Area urbanistica Cartacei-
elettronici
111. Autorizzazioni pubblici esercizi X Area urbanistica Cartacei- elettronici
112. Comunicazioni di inizio, trasferimento, ampliamento, sub- ingresso, cessazione attività commerciali su aree pubbliche e private
X Area urbanistica Cartacei-
elettronici
113. Autorizzazioni N.C.C. Auto/Bus X Area urbanistica Cartacei- elettronici
114. Autorizzazioni impianti distribuzione carburanti X Area urbanistica Cartacei-
elettronici
115. Autorizzazioni attività di servizi alla persona X Area urbanistica Cartacei- elettronici
116. Ipotesi di reato derivanti da sanzioni amministrative X SERVIZIO AMBIENTE Possibile conferimento incarichi a
legali
117. Assegnazione e gestione alloggi ERP (L.R. 24/2004) X Servizio amministrativo Possibile conferimento incarichi a
legali
118. Procedure di aggiudicazione appalti pubblici X Servizio amministrativo Servizio LL.PP., ambiente, Affari
Generali
119. Gestione contratti di locazione immobili comunali Servizio amministrativo Serv. Affari Generali, Servizio
Contabilità
Cartacei-
elettronici Cartacei- elettronici Cartacei- elettronici Cartacei- elettronici
120. Espropriazione per pubblica utilità Servizio LLPP Cartacei- elettronici
121. Gestione procedure di esecuzione lavori pubblici Servizio LLPP Professionisti incaricati Cartacei-
elettronici
X
X
122. Contravvenzioni a norme del Codice della strada e relativi obbligati in solido al pagamento
123. Contravvenzioni a norme amministrative diverse dal Codice della strada e relativi obbligati in solido al pagamento
Comando della Polizia Municipale
Comando della Polizia Municipale
Cartacei- elettronici Cartacei- elettronici
Identificativo del Trattamento | Descrizione sintetica | Natura dei dati trattati | Struttura di riferimento | Altre strutture (anche esterne) che concorrono al trattamento | Descrizione degli strumenti utilizzai |
S G | |||||
X
124. Commercio su aree pubbliche Comando della Polizia Municipale
X
125. Rilevazione incidenti stradali Comando della Polizia Municipale
126. Indagini di Polizia Giudiziaria X Comando della Polizia Municipale
Cartacei- elettronici Cartacei- elettronici Cartacei
127. Autorizzazione agli scarichi fognari Servizio Ambiente ARPA, HERA Cartacei- elettronici
128. Appalti per gestione e manutenzione ambiente Servizio Ambiente Cartacei- elettronici
129. Autorizzazione abbattimento alberi Servizio Ambiente Cartacei-
elettronici
130. Autorizzazione posa lapide Servizio Ambiente Cartacei- elettronici
131. Posa alberi per nuovi nati Servizio Ambiente Regione Xxxxxx Xxxxxxx, Corpo
forestale dello Stato
Cartacei-
elettronici
132. Richiesta per aree di rifugio Servizio Ambiente Centro Agricoltura Ambiente Cartacei- elettronici
Data di aggiornamento: 14/03/2006
Tavola 4. Elenco dei trattamenti: descrizione degli strumenti utilizzati
Identificativo del trattamento
Eventuale banca dati
Ubicazione fisica dei supporti di memorizzazione
Tipologia di dispositivi di accesso
Tipologia di interconnessione
1. REGISTRO DI
PROTOCOLLO
2. ATTI DELIBERATIVI (consiglio, giunta, determinazioni, ordinanze, decreti)
Server di rete e armadio con chiave
Server di rete e armadio
con chiave
Personal Computer e manualmente
Personal Computer e
manualmente
Intranet Intranet
3. Contratti Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
4. Denunce Di Infortunio Sul Lavoro
5. Concorsi (Interni Ed
Esterni)
6. Denuncia annuale disabili (L. 68/1999)
Server di rete e armadio con chiave
Server di rete e armadio
con chiave
Server di rete e armadio con chiave
Personal Computer e manualmente
Personal Computer e
manualmente
Personal Computer e manualmente
Intranet Intranet Intranet
7. Richiesta Di Accesso
All’archivio Storico
Server di rete e armadio Personal Computer Intranet
8. Notifiche Atti Server di rete e armadio Personal Computer e manualmente
9. Albo pretorio Server di rete e armadio Personal Computer e manualmente
Intranet Intranet
10. Segnalazione mensile abusi edilizi
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
11. Registro persone
alloggiate nella foresteria comunale
12. Erogazioni di contributi ad
enti ed associazioni
13. Convocazione sedute delle commissioni consiliari
14. Concessione utilizzo sala consiliare o centri civici
15. Accertamenti relativi a ditte aggiudicatarie di lavori o servizi per la stipula dei contratti
Armadio Manualmente
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet Intranet Intranet
16. Gestione newsletter comunale
Server di rete e armadio Personal Computer Intranet
17. Gestione sito Internet Server di rete e armadio Personal Computer Intranet
18. Gestione segnalazioni, reclami, proposte
Server di rete e armadio Personal Computer e
manualmente
Intranet
19. Accesso agli atti Server di rete e armadio Manualmente
20. Rilascio licenze di pesca Server di rete e armadio Personal Computer e
manualmente
Intranet
21. Rilascio tesserini esercizio caccia
22. Rilascio tesserino per raccolta funghi
23. Tessere ATC anziani –
Rinnovo e rilascio
24. Tessere ATC abbonamenti annuali – Rinnovo e rilascio
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet Intranet Intranet
25. Anagrafe canina Server di rete e armadio Personal Computer e
manualmente
Intranet
26. Rilascio contrassegni invalidi
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
27. Raccolta firme per referendum
Armadio Manualmente
28. Rilascio certificati catastali Server di rete e armadio Personal Computer e
manualmente
29. Albo Presidenti di Seggio Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet
30. Albo Scrutatori Server di rete e armadio Personal Computer e Intranet
Identificativo del trattamento
Eventuale banca dati
Ubicazione fisica dei supporti di memorizzazione
Tipologia di dispositivi di accesso
Tipologia di interconnessione
manualmente
31. Albo Giudici Popolari Server di rete e armadio Personal Computer e
manualmente
32. Liste elettorali Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet
33. Elezioni (amministrative, politiche, europee) e referendum
Server di rete e armadio Personal Computer e
manualmente
Intranet
34. Denuncia di morte Server di rete e armadio Personal Computer e
manualmente
35. Denuncia di nascita Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet
36. Matrimonio (celebrazione e scioglimento)
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
37. Leva militare Server di rete e armadio Personal Computer e
manualmente
38. Cittadinanza Server di rete e armadio Personal Computer e
manualmente
39. Tenuta registri anagrafici Server di rete e armadio Personal Computer e
manualmente
40. Tenuta registro AIRE Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet Intranet Intranet
41. Provvidenze economiche a favore invalidi civili
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
42. Contratti di concessione cimiteriale
43. Censimento e altre indagini statistiche
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet
44. Archivio Fornitori Server di rete e armadio Personal Computer Intranet
45. Archivio Clienti Server di rete e armadio Personal Computer Intranet
46. Approvazione bilancio di previsione
47. Approvazione rendiconto
di gestione
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet
48. Liquidazione fatture Server di rete e armadio Personal Computer e
manualmente
Intranet
49. Accertamento entrata ed emissione reversali
Server di rete e armadio Personal Computer e
manualmente
Intranet
50. Dichiarazione IRAP Server di rete e armadio Personal Computer e
manualmente
51. Rette scolastiche Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet
52. Gestione polizze
assicurative
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
53. Gestione forniture di beni e servizi
Server di rete e armadio Personal Computer e
manualmente
Intranet
54. Gestione oggetti ritrovati Server di rete e armadio Personal Computer e
manualmente
55. Gestione cassa economale Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet
56. Gestione economica del personale
57. Gestione giuridica del personale
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Personal Computer e manualmente Personal Computer e manualmente
Intranet Intranet
58. Trattamento giuridico ed economico degli organi istituzionali
Server di rete e armadio Personal Computer e
manualmente
Intranet
59. Gestione presenze assenze
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
60. Procedimenti disciplinari Server di rete e armadio
con chiave
Personal Computer e
manualmente
Intranet
61. Rilascio modello CUD Server di rete e armadio Personal Computer e
manualmente
62. Compilazione modello F24 Server di rete e armadio Personal Computer e
manualmente
63. Archivio Contribuenti Armadio Manualmente
Intranet Intranet
Identificativo del trattamento
Eventuale banca dati
Ubicazione fisica dei supporti di memorizzazione
Tipologia di dispositivi di accesso
Tipologia di interconnessione
TARIFFA RIFUITI
64. Archivio Contribuenti ICI Server di rete e armadio Personal Computer e
manualmente
65. Siatel Server di rete e armadio Personal Computer e manualmente
Intranet Intranet
66. Insinuazione al passivo di Ditte in fallimento
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
67. Comunicazione rendite catastali
Server di rete e armadio Personal Computer e
manualmente
Intranet
68. Anagrafe Scolastica Server di rete e armadio Personal Computer e
manualmente
Intranet
69. Erogazione mensa scolastica
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
70. Determinazione rette
scolastiche
Server di rete e armadio Personal Computer e
manualmente
Intranet
71. Asilo Nido Server di rete e armadio Personal Computer e
manualmente
72. Campo Solare Server di rete e armadio Personal Computer e
manualmente
73. Trasporto scolastico Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet Intranet
74. Erogazione Diritto allo Studio per portatori H
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
75. Prolungamento Orario Server di rete e armadio Personal Computer e
manualmente
Intranet
76. Albo Delle Libere Forme Associative/Volontariato
77. Informazione e
orientamento professionale
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet
78. Dati utenti biblioteca Server di rete e armadio Personal Computer e
manualmente
Intranet
79. Ammissione ai Servizi Comunali per Anziani
80. Ammissione ai Servizi di Rete per Anziani
81. Ammissione ai Servizi
Comunali per Disabili
82. Ammissione ai Servizi Integrati per Disabili (Polo Handicap)
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Server di rete e armadio
con chiave
Server di rete e armadio con chiave
Personal Computer e manualmente Personal Computer e manualmente Personal Computer e manualmente Personal Computer e manualmente
Intranet Intranet Intranet Intranet
83. Erogazione contributi e
tenuta Albo dei beneficiari
84. Inserimento Appartamento emergenza “Torresotto”
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Intranet
Intranet
85. Procedura di
Inabilitazione/interdizione
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
86. Esercizio Tutela/Curatela Server di rete e armadio
con chiave
Personal Computer e
manualmente
Intranet
87. Relazione per Esenzione e riduzione dalle rette scolastiche di trasporto e mensa
Server di rete e armadio Personal Computer e
manualmente
Intranet
88. Verifica e trasmissione richieste Assegno di Maternità e Assegno per Famiglie numerose
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
89. Erogazione contributi Fondo Sociale Affitti
Server di rete e armadio Personal Computer e
manualmente
Intranet
90. Richieste tessere ATC per
anziani e categorie protette
Server di rete e armadio
con chiave
Personal Computer e
manualmente
Intranet
91. Gestione richieste
Affidi/Adozioni
Server di rete e armadio Personal Computer e
manualmente
Intranet
92. Verifica Affido preadottivo Server di rete e armadio Personal Computer e
manualmente
Intranet
Identificativo del trattamento
Eventuale banca dati
Ubicazione fisica dei supporti di memorizzazione
Tipologia di dispositivi di accesso
Tipologia di interconnessione
93. Segnalazione al Tribunale per i Minorenni di
situazioni di pregiudizio per
il minore
94. Svolgimento indagini psico-sociali richieste dall’Autorità Giudiziaria
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Personal Computer e manualmente
Personal Computer e manualmente
Intranet
Intranet
95. Esercizio provvedimenti civili di limitazione della
potestà genitoriale emessi dal Tribunale per i Minorenni
Server di rete e armadio Personal Computer e
manualmente
Intranet
96. Collocamento urgente minori in stato di abbandono
97. Esercizio messa alla prova minori sottoposti a provvedimenti giudiziari
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Personal Computer e manualmente
Personal Computer e manualmente
Intranet Intranet
98. Aggiornamento/riscossione Affitti immobili comunali
assegnati
Server di rete e armadio Personal Computer e
manualmente
Intranet
99. Contribute per
eliminazione barriere architettoniche Legge 13/89
Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
100. Gestione abusi edilizi Server di rete e armadio con chiave
Personal Computer e manualmente
Intranet
101. Permessi di Costruire Server di rete e armadio Personal Computer e
manualmente
102. D.I.A. Server di rete e armadio Personal Computer e manualmente
103. Autorizzazioni Edilizie Server di rete e armadio Personal Computer e
manualmente
104. Valutazioni Preventive Server di rete e armadio Personal Computer e
manualmente
105. Piani Urbanistici Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet Intranet Intranet Intranet
106. Commissione per la Qualità Architettonica e il Paesaggio
Server di rete e armadio Personal Computer e
manualmente
Intranet
107. Denunce Cemento Armato Server di rete e armadio Personal Computer e
manualmente
Intranet
108. Certificazioni ( conformità, idoneità alloggio, destinazione urbanistica)
Server di rete e armadio Personal Computer e
manualmente
Intranet
109. Autorizzazioni sanitarie per vendita, produzione, deposito all’ingrosso di prodotti alimentari e attività di somministrazione alimenti e bevande
110. Autorizzazioni e accreditamento strutture sanitarie pubbliche e private
111. Autorizzazioni pubblici esercizi
112. Comunicazioni di inizio, trasferimento, ampliamento, sub- ingresso, cessazione attività commerciali su aree pubbliche e private
113. Autorizzazioni N.C.C. Auto/Bus
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Personal Computer e manualmente
Personal Computer e manualmente
Personal Computer e manualmente Personal Computer e manualmente
Personal Computer e manualmente
Intranet
Intranet
Intranet Intranet
Intranet
114. Autorizzazioni impianti Server di rete e armadio Personal Computer e Intranet
Identificativo del trattamento
Eventuale banca dati
Ubicazione fisica dei supporti di memorizzazione
Tipologia di dispositivi di accesso
Tipologia di interconnessione
distribuzione carburanti con chiave manualmente
115. Autorizzazioni attività di servizi alla persona
116. Ipotesi di reato derivanti da sanzioni amministrative
117. Assegnazione e gestione alloggi ERP (L.R. 24/2004)
118. Procedure di
aggiudicazione appalti pubblici
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Personal Computer e manualmente Personal Computer e manualmente Personal Computer e manualmente Personal Computer e manualmente
Intranet Intranet Intranet Intranet
119. Gestione contratti di
locazione immobili comunali
120. Espropriazione per
pubblica utilità
121. Gestione procedure di esecuzione lavori pubblici
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Intranet
Intranet Intranet
122. Contravvenzioni a norme
del Codice della strada e relativi obbligati in solido al pagamento
123. Contravvenzioni a norme amministrative diverse dal Codice della strada e relativi obbligati in solido al pagamento
124. Commercio su aree pubbliche
125. Rilevazione incidenti
stradali
Server di rete e armadio
con chiave
Server di rete e armadio con chiave
Server di rete e armadio con chiave
Server di rete e armadio
con chiave
Personal Computer e
manualmente
Personal Computer e manualmente
Personal Computer e manualmente Personal Computer e manualmente
Intranet
Intranet
Intranet Intranet
126. Indagini di Polizia
Giudiziaria
127. Autorizzazione agli scarichi fognari
128. Appalti per gestione e manutenzione ambiente
129. Autorizzazione
abbattimento alberi
Armadio con chiave Manualmente
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet Intranet
130. Autorizzazione posa lapide Server di rete e armadio Personal Computer e
manualmente
131. Posa alberi per nuovi nati Server di rete e armadio Personal Computer e
manualmente
Intranet Intranet
132. Richiesta per aree di rifugio
Server di rete e armadio Personal Computer e
manualmente
Intranet
Data di aggiornamento: 14/03/2006
Il censimento dei beni che rientrano nel piano di sicurezza
In questa sezione del documento censiamo tutti gli strumenti informatici che hanno una qualche interferenza con il piano di sicurezza dell’ente e che contengono delle banche dati. In primo luogo presentiamo l’elenco delle sedi interessate dal progetto.
Tavola 5.riepilogo delle sedi dell’ente
Progressivo Denominazione sede | Tipo di collegamento |
1. Municipio | Centro stella |
2. Biblioteca | LAN in fibra ottica |
3. Polizia Municipale | LAN in fibra ottica |
4. Magazzino | Nessuno |
5. Xxxxx Xxxx Xxxxxxx | Nessuno |
6. Centro diurno per anziani | Nessuno |
Di seguito presentiamo l’elenco dei beni informatici che sono atti a contenere banche dati o a permetterne in un qualunque modo l’utilizzo.
Tavola 6.riepilogativa del censimento dei beni che rientrano nel piano di sicurezza dell’ente
Servizi funzionali | ||||||||||
Device | File server | Altri server | DB Server gestionale | E- | Apps gestionali | Servizi di gestione | Router o switch | Marca | S.O | F.T. |
Municipio | ||||||||||
Server Anzola | X | PDC, DNS, ecc. | Assemblato | Windows 2000 | Raid 5 | |||||
Server Anzola2 | X | HP Proliant | Windows 2000 | Raid 5 | ||||||
Server Lotus Domino x numero verde | X | N. d. | Windows 2000 | Nessuno | ||||||
Srv Anzola Hummingbird | X | HP Proliant | Windows 2000 | Raid 5 | ||||||
Firewall | X | Cisco Pix 515 | Ciscio IOS | Nessuno | ||||||
Router PDB | X | Cisco | Cisco IOS | Nessuno | ||||||
Router Calderara | X | Cisco | Cisco IOS | Nessuno | ||||||
Router Zola Predosa | X | Cisco | Cisco IOS | Nessuno | ||||||
Switch vari | X | Vari | n.a. | Nessuno | ||||||
Biblioteca | ||||||||||
Server Biblioteca | X | PDC | Assemblato | Windows 2000 | Raid 5 | |||||
Firewall | X | Spiderwall con filtro xxxxxx.xx | Proprietario | Nessuno | ||||||
Router ADSL Telecom | X | n.a. | n.a. | |||||||
Switch vari | X | Vari | n.a. | Nessuno | ||||||
Xxxxxx Xxxxxxx | ||||||||||
0 XX centro giovani senza banche dati | X | N.d. | n.a. | Nessuno | ||||||
Modem | X | N.d. | n.a. | Nessuno | ||||||
Magazzino | ||||||||||
1 PC senza banche dati | X | N.d. | n.a. | Nessuno | ||||||
Modem | X | N.d. | n.a. | Nessuno | ||||||
Xxxxx xxxx Xxxxxxx | ||||||||||
0 XX con banca dati immagini | X | N.d. | Windows 2000 | Raid 5 | ||||||
Analisi organizzativa dell’ente
Scopo di questa fase è capire l’impatto che la sicurezza ha determinato nella definizione dell’organigramma dell’ente, se di impatto si può parlare.
Si tratta di partire dall’organigramma dell’ente per capire quali sono i centri di decisione che hanno influito o potranno influire sulle decisioni in merito alla sicurezza. Per le aziende certificate ISO questo processo è già stato largamente affrontato e documentato; nonostante questo rimane la necessità di controllare detto processo e di valutarne l’aggiornamento.
A titolo esemplificativo dell’impatto che una non accurata analisi organizzativa e giuridica dello stato dell’organizzazione può avere, presentiamo un esempio emblematico circa i rischi che corre l’ente dando il problema della sicurezza, “per scontato”.
Il problema riguarda la teoria della downstream liability, un tema scottante in cause civili per fenomeni di hacking. Il problema sorge quando una organizzazione colpita non potrà essere risarcita nei danni subiti da un hacker (che spenderà tutti i suoi soldi per un legale). La moderna giurisprudenza afferma che l’organizzazione lesa potrà rivalersi “a valle” nei confronti dell’organizzazione che ha permesso all’hacker di entrare nei suoi sistemi consentendogli l’attacco!!
L’organizzazione chiamata in causa dovrà dimostrare di non essere stata negligente, di disporre di misure di sicurezza aggiornate ed adeguate.
Questa analisi ha, quindi, lo scopo di analizzare l’organizzazione del Comune di Anzola dell’Xxxxxx per fare in modo che essa non possa essere trovata “negligente”.
Presentiamo in primo luogo l’organigramma dell’ente, evidenziando in colore giallo i centri di decisione in merito alla sicurezza dei dati:
Figura 1. L’organigramma della macrostrutura del Comune di Anzola dell’Xxxxxx
Figura 2. L’organigramma della area urbanistica e attività produttive del Comune di Anzola dell’Xxxxxx
Figura 3. L’organigramma della area lavori pubblici e ambiente del Comune di Anzola dell’Xxxxxx
Figura 4. L’organigramma della Polizia Municipale del Comune di Anzola dell’Xxxxxx
Figura 5. L’organigramma dell’area economico finanziaria del Comune di Anzola dell’Xxxxxx
Figura 6. L’organigramma dei servizi alla persona del Comune di Anzola dell’Xxxxxx
Figura 7. L’organigramma dell’area amministrativo – istituzionale del Comune di Anzola dell’Xxxxxx
Da una semplice lettura si può comprendere chi nell’organizzazione del Comune di Anzola dell’Xxxxxx, con la sua attività e con le sue decisioni, può influire sulla sicurezza nella gestione dei dati. Tali persone sono state oggetto di percorsi di motivazione e di processi formativi, circa l’argomento.
Presentiamo a questo punto l’elenco degli incaricato, il gruppo di appartenenza ed il profilo ad essi associato.
Tavola 7.riepilogo degli incaricati
NOME E COGNOME | GRUPPO | SEDE | PROFILO | |
Xxxxx Xxxxx | Segretaria Generale | Municipio | Normale | |
Xxxxxxx Xxxxxxxx | Area | amministrativo/istituzionale | Municipio | Alto |
Xxxxxxx Xxxxxxxxxxxx | Area | amministrativo/istituzionale | Municipio | Alto |
Xxxxxxxx Xxxxxxx | Area | amministrativo/istituzionale | Municipio | Alto |
Xxxxxxx Xxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Xxxxxxx Xxxxx Xxxxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Xxxxxxxxxx Xxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Xxxxx Xxxxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Xxxxxxxxx Xxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Xxxxxxxx Xxxxxxxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Xxxxxxxx Xxxxxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Xxxxxxxxxx Xxxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Xxxxxxxxx Xxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Xxxxxxxxxx Xxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Gironi Xxxxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Xxxxxxxxxx Xxxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
Xxxxxxx Xxxxxxx | Area | amministrativo/istituzionale | Municipio | Normale |
NOME E COGNOME | GRUPPO | SEDE | PROFILO |
Xxxxxx Xxxxx | Area amministrativo/istituzionale | Municipio | Normale |
Onda Muratori | Area amministrativo/istituzionale | Municipio | Normale |
Xxxxxxxx Xxxxxxxxxx | Area amministrativo/istituzionale | Municipio | Normale |
Xxxxxxx Xxxxx | Area Economica | Municipio | Normale |
Xxxxx Xxxxxxx | Area Economica | Municipio | Normale |
Xxxxxxxx Xxxxxxx | Area Economica | Municipio | Normale |
Xxxxx Xxxxxxxxx | Area Economica | Municipio | Normale |
Xxxxxxx Xxxxxx | Area Economica | Municipio | Normale |
Xxxxx Xxxxxxxx | Area Economica | Municipio | Normale |
Xxxxxxx Xxxxxxx | Area Economica | Municipio | Normale |
Xxxxxxxx Xxxxxxxx | Area Economica | Municipio | Normale |
Xxxx Xxxxx Rosa | Area Economica | Municipio | Normale |
Xxxxx Xxxxxx | Area Urbanistica | Municipio | Normale |
Xxxxx Xxxxxxx | Area Urbanistica | Municipio | Normale |
Xxxxxxxxx Xxxxxx | Area Urbanistica | Municipio | Normale |
Xxxxxxx Xxxxxx | Area Urbanistica | Municipio | Normale |
Xxxxxxxxxxx Xxxxxxxx | Area Tecnica | Municipio | Normale |
Xxxxxxxx Xxxxxxxx | Area Tecnica | Municipio | Normale |
Xxxxxxxx Xxxxx Xxxxxxx | Area Tecnica | Municipio | Normale |
Xxxxxxxx Xxxxx | Area Tecnica | Municipio | Normale |
Xxxxxxxx Xxxxxxxx | Area Tecnica | Municipio | Normale |
Xxxxxxxx Xxxxxxxxxx | Area Tecnica | Municipio | Normale |
NOME E COGNOME | GRUPPO | SEDE | PROFILO | |
Xxxxxxxxx Xxxxxxx | Area | Tecnica | Magazzino | Nullo |
Xxxxxxxx Xxxxxxxxxxxx | Area | Tecnica | Magazzino | Nullo |
Xxxxxxxxxx Xxxxxxx | Area | Tecnica | Magazzino | Nullo |
Xxxxxxx Xxxxxxx | Area | Tecnica | Magazzino | Nullo |
Levote Xxxxxxxx | Area | Tecnica | Magazzino | Nullo |
Xxxxxx Xxxxxxx | Area | Tecnica | Magazzino | Nullo |
Xxxxxx Xxxxxxx Xxxxx | Area | Tecnica | Magazzino | Xxxxx |
Xxxxxxx Xxxxxxxxx | Area | Tecnica | Magazzino | Xxxxx |
Xxxxxxx Xxxxxxx | Area | Tecnica | Magazzino | Nullo |
Xxxxxx Xxxxxxx | Area | Tecnica | Magazzino | Nullo |
Xxxxx Xxxx | Area | Tecnica | Magazzino | Nullo |
Xxxxxxx Xxxxxx | Area | Tecnica | Magazzino | Nullo |
Xxxxxx Xxxxxxx | Area | Tecnica | Magazzino | Nullo |
Xxxxx Xxxx | Area | Persona | Municipio | Normale |
Xxxx Xxxxxx | Area | Persona | Municipio | Normale |
Di Xxxxxx Xxxx | Area | Persona | Municipio | Normale |
Xxxxxxx M. Vittoria | Area | Persona | Municipio | Normale |
Xxxxxx Xxxx Xxxxx | Area | Persona | Municipio | Normale |
Xxxxxxxxxx Xxxxxx | Area | Persona | Municipio | Normale |
Xxxxxx Xxxxxx | Area | Persona | Municipio | Normale |
Xxxxxxxx Xxxxxxxx | Area | Persona | Municipio | Normale |
Xxxxxxx Xxxxxxx | Area | Persona | Municipio | Normale |
NOME E COGNOME | GRUPPO | SEDE | PROFILO | |
Funi Tiziana | Area | Persona | Municipio | Normale |
Xxxxxxx Xxxxxxx | Area | Persona | Biblioteca | Normale |
Xxxxxxx Xxxxxxxx | Area | Persona | Biblioteca | Normale |
Xxxxxxxxxx Xxxxx | Area | Persona | Biblioteca | Normale |
Xxxx Xx Xxxxxx | Area | Persona | Cucina | Minimo |
Xxxxxx Xxxxxxxx | Area | Persona | Cucina | Minimo |
Lo Xxxxx Xxxxxxx | Area | Persona | Cucina | Minimo |
Xxxxxxxxx Xxxx | Area | Persona | Cucina | Minimo |
Xxxxxxxx Xxxxxx | Area | Persona | Cucina | Minimo |
Benini Dimer | Area | Persona | Magazzino | Nullo |
Xxxxx Xxxxxxx | Area | Persona | Magazzino | Nullo |
Xxxxxxxxxx Xxxxx | Area | Persona | Magazzino | Nullo |
Xxxxxxxxxx Xxxxxxxxx | Area | Persona | Asilo nido | Minimo |
Xxxxx Xxxxxxxx | Area | Persona | Asilo nido | Minimo |
Xxxxxxxxx Xxxxxx | Area | Persona | Asilo nido | Minimo |
Xxxxxxxxxx Xxxxx | Area | Persona | Asilo nido | Minimo |
Pellegrini Norma | Area | Persona | Asilo nido | Minimo |
Xxxxx Xxxxxxxx | Area | Persona | Asilo nido | Minimo |
Xxxxx Xxxxx | Area | Persona | Asilo nido | Minimo |
Xxxxxxxxx Xxxxx | Area | Persona | Asilo nido | Minimo |
Macchinetti Xxxxxxx | Area | Persona | Asilo nido | Minimo |
Xxxxxx Xxxxxxxxxx | Area | Persona | Asilo nido | Minimo |
NOME E COGNOME | GRUPPO | SEDE | PROFILO |
Rabbi Xxxxxxx | Area Persona | Asilo nido | Minimo |
Musi Xxxxxxx | Area Persona | Asilo nido | Minimo |
Xxxxxxxxxx Giulia | Area Persona | Asilo nido | Minimo |
Xxxxxx Xxxxxxxxx | Area Persona | Asilo nido | Minimo |
Xxxxxxx Xxxxxxxxx | Area Persona | Centro diurno | Minimo |
Xxxxx Xxxxxxx | Area Persona | Centro diurno | Minimo |
Xxxx Xxxxxxxxx | Area Persona | Centro diurno | Minimo |
Xxxxxxx Xxxxxx | Area Persona | Cucina | Nullo |
Xxxxxxxx Xxxxxxxxx | Vigili | Polizia Municipale | Normale |
Xxxxxx Xxxxx | Xxxxxx | Polizia Municipale | Normale |
Xxxxx Xxxxx | Xxxxxx | Polizia Municipale | Normale |
Xxxxxxxx Xxxxxxx | Vigili | Polizia Municipale | Normale |
Xxxxxxxx Xxxxxxxx | Xxxxxx | Polizia Municipale | Normale |
Xxxxx Xxxxx | Vigili | Polizia Municipale | Normale |
Xxxxxxxxxx Xxxxx | Vigili | Polizia Municipale | Normale |
Xxxxxxxxxxx Xxxxxxx | Xxxxxx | Polizia Municipale | Normale |
Data di aggiornamento: 14/03/2006 | |||
Tavola 8.riepilogo dei profili
GRUPPO | PROFILO | CARATTERISTICHE DEL PROFILO |
Direzione Generale | Normale | Sono consentite tutte e sole le operazioni di lettura e scrittura dei dati (quindi di modifica) per l’ordinario svolgimento della propria mansione |
Direzione Generale | Minimo | Sono consentite tutte e sole le operazioni di lettura per l’ordinario svolgimento della propria mansione |
Direzione Generale | Alto | Sono consentite tutte e sole le operazioni di lettura e scrittura (quindi di modifica) per l’ordinario svolgimento della propria mansione e la possibilità di modificare i diritti degli altri membri del gruppo |
Direzione Generale | Nullo | Non è consentita nessuna operazione di lettura e scrittura dei dati |
Nucleo Tecnico di Valutazione | Normale | Sono consentite tutte e sole le operazioni di lettura e scrittura dei dati (quindi di modifica) per l’ordinario svolgimento della propria mansione |
Nucleo Tecnico di Valutazione | Minimo | Sono consentite tutte e sole le operazioni di lettura per l’ordinario svolgimento della propria mansione |
Nucleo Tecnico di Valutazione | Alto | Sono consentite tutte e sole le operazioni di lettura e scrittura (quindi di modifica) per l’ordinario svolgimento della propria mansione e la possibilità di modificare i diritti degli altri membri del gruppo |
Nucleo Tecnico di Valutazione | Nullo | Non è consentita nessuna operazione di lettura e scrittura dei dati |
Comitato di Direzione | Normale | Sono consentite tutte e sole le operazioni di lettura e scrittura dei dati (quindi di modifica) per l’ordinario svolgimento della propria mansione |
Comitato di Direzione | Minimo | Sono consentite tutte e sole le operazioni di lettura per l’ordinario svolgimento della propria mansione |
Comitato di Direzione | Alto | Sono consentite tutte e sole le operazioni di lettura e scrittura (quindi di modifica) per l’ordinario svolgimento della propria mansione e la possibilità di modificare i diritti degli altri membri del gruppo |
Comitato di Direzione | Nullo | Non è consentita nessuna operazione di lettura e scrittura dei dati |
Area Amministrativo / Istituzionale | Normale | Sono consentite tutte e sole le operazioni di lettura e scrittura dei dati (quindi di modifica) per l’ordinario svolgimento della propria mansione |
Area Amministrativo / Istituzionale | Minimo | Sono consentite tutte e sole le operazioni di lettura per l’ordinario svolgimento della propria mansione |
Area Amministrativo / Istituzionale | Alto | Sono consentite tutte e sole le operazioni di lettura e scrittura (quindi di modifica) per l’ordinario svolgimento della propria mansione e la possibilità di modificare i diritti degli altri membri del gruppo |
Area Amministrativo / Istituzionale | Nullo | Non è consentita nessuna operazione di lettura e scrittura dei dati |
Area Servizi alla Persona | Normale | Sono consentite tutte e sole le operazioni di lettura e scrittura dei dati (quindi di modifica) per l’ordinario svolgimento della propria mansione |
Area Servizi alla Persona | Minimo | Sono consentite tutte e sole le operazioni di lettura per l’ordinario svolgimento della propria mansione |
Area Servizi alla Persona | Alto | Sono consentite tutte e sole le operazioni di lettura e scrittura (quindi di modifica) per l’ordinario svolgimento della propria mansione e la possibilità di modificare i diritti degli altri membri del gruppo |
Area Servizi alla Persona | Nullo | Non è consentita nessuna operazione di lettura e scrittura dei dati |
Area Urbanistica e Attività Produttive | Normale | Sono consentite tutte e sole le operazioni di lettura e scrittura dei dati (quindi di modifica) per l’ordinario svolgimento della propria mansione |
Area Urbanistica e Attività Produttive | Minimo | Sono consentite tutte e sole le operazioni di lettura per l’ordinario svolgimento della propria mansione |
Area Urbanistica e Attività Produttive | Alto | Sono consentite tutte e sole le operazioni di lettura e scrittura (quindi di modifica) per l’ordinario svolgimento della propria mansione e la possibilità di modificare i diritti degli altri membri del gruppo |
Area Urbanistica e Attività Produttive | Nullo | Non è consentita nessuna operazione di lettura e scrittura dei dati |
Area Lavori Pubblici e Ambiente | Normale | Sono consentite tutte e sole le operazioni di lettura e scrittura dei dati (quindi di modifica) per l’ordinario svolgimento della propria mansione |
Area Lavori Pubblici e Ambiente | Minimo | Sono consentite tutte e sole le operazioni di lettura per l’ordinario svolgimento della propria mansione |
Area Lavori Pubblici e Ambiente | Alto | Sono consentite tutte e sole le operazioni di lettura e scrittura (quindi di modifica) per l’ordinario svolgimento della propria mansione e la possibilità di modificare i diritti degli altri membri del gruppo |
Area Lavori Pubblici e Ambiente | Nullo | Non è consentita nessuna operazione di lettura e scrittura dei dati |
Area Econ/Finanz: e controllo | Normale | Sono consentite tutte e sole le operazioni di lettura e scrittura dei dati (quindi di modifica) per l’ordinario svolgimento della propria mansione |
Area Econ/Finanz: e controllo | Minimo | Sono consentite tutte e sole le operazioni di lettura per l’ordinario svolgimento della propria mansione |
Area Econ/Finanz: e controllo | Alto | Sono consentite tutte e sole le operazioni di lettura e scrittura (quindi di modifica) per l’ordinario svolgimento della propria mansione e la possibilità di modificare i diritti degli altri membri del gruppo |
Area Econ/Finanz: e controllo | Nullo | Non è consentita nessuna operazione di lettura e scrittura dei dati |
Corpo di Polizia Municipale | Normale | Sono consentite tutte e sole le operazioni di lettura e scrittura dei dati (quindi di modifica) per l’ordinario svolgimento della propria mansione |
Corpo di Polizia Municipale | Minimo | Sono consentite tutte e sole le operazioni di lettura per l’ordinario svolgimento della propria mansione |
Corpo di Polizia Municipale | Alto | Sono consentite tutte e sole le operazioni di lettura e scrittura (quindi di modifica) per l’ordinario svolgimento della propria mansione e la possibilità di modificare i diritti degli altri membri del gruppo |
Corpo di Polizia Municipale | Nullo | Non è consentita nessuna operazione di lettura e scrittura dei dati |
Rapporti con professionisti ed incaricati non di pendenti dell’ente
Allo scopo di assicurare il rispetto del codice sulla tutela dei dati personali, anche coloro che entrano in qualche modo in rapporto con l’ente senza diventarne dipendenti a tempo indeterminato, sono tenuti ad un comportamento corretto.
Per essere sicuri di ciò, il comune, nella sottoscrizione dell’incarico, ha aggiunto i seguenti punti:
• L’incaricato è autorizzato ad intervenire sui dati e sui sistemi informativi gestiti dal comune solo con atti strettamente necessari alla prestazione dei servizi oggetto di contratto, ed è fatto esplicito divieto di consultare, copiare, cancellare e fare qualunque operazione sui dati oggetto di trattamento, a meno di diversa autorizzazione scritta da parte del responsabile del trattamento dei dati.
• Il titolare si riserva di fare controlli sull’operato del responsabile esterno in qualunque momento e con qualunque mezzo consentito dalla legge.
• Il soggetto cui le attività sono affidate dichiara:
o di essere consapevole che i dati che tratterà nell'espletamento dell'incarico ricevuto, possono essere dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati personali;
o di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali;
o di adottare le istruzioni specifiche ricevute per il trattamento dei dati personali attraverso il manuale degli incaricati;
o di impegnarsi a relazionare ogni volta che è reputato necessario sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze;
o di riconoscere il diritto del committente a verifìcare periodicamente l'applicazione delle norme di sicurezza adottate.
Le suddette dichiarazioni sono oggetto di specifica firma di accettazione da parte dell’incaricato.
Distribuzione dei compiti e delle responsabilità (regola 19.2 dell’Allegato B al Codice)
In questa sezione è costruita una mappa che associa ad ogni struttura (o reparto, dipartimento, ufficio) i trattamenti da questa effettuati, descrivendo sinteticamente l'organizzazione della struttura medesima e le relative responsabilità. Ci si può riferire anche ad analoghe documentazioni già predisposte dal titolare (ordinamenti, ordini di servizio, regolamenti interni.
Tavola 9.distribuzione dei compiti e delle responsabilità
Struttura | Responsabile | Servizio | Responsabile | Trattamenti operati dalla struttura | Compiti della struttura | |
Amministrativo | - | Dr.ssa Xxxxxxx Xxxxxxxx | Affari Generali e Istituzionali | Xxxxxxx Xxxxxxxx | 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 | Acquisizione – caricamento e |
Istituzionale | cancellazione dati – | |||||
consultazione – | ||||||
comunicazione a terzi – | ||||||
stampa | ||||||
Amministrativo | – | Dr.ssa Xxxxxxx Xxxxxxxx | Relazioni con il pubblico | Xxxxxxxxxx Xxxxxxxx | 16,17,18,1,9,2,21,22,23,24,25,26,27,28 | Acquisizione – caricamento e |
Istituzionale | cancellazione dati – | |||||
consultazione – | ||||||
comunicazione a terzi – | ||||||
stampa |
Amministrativo – Istituzionale
Dr.ssa Xxxxxxx Xxxxxxxx Demografici Xxxxxxx Xxxxxx 29,30,31,32,33,34,35,36,37,38,39,40
41,42,43
Acquisizione – caricamento e cancellazione dati – consultazione – comunicazione a terzi – stampa
Economico Finanziaria e Controllo
Xxxxx Xxxxxxx Bilancio Programmazione e Controllo
Xxxxxxxxx Xxxxx 44,45,46,47,48,49,50 Acquisizione – caricamento e cancellazione dati – consultazione – comunicazione a terzi – stampa
Economico Finanziaria e Controllo
Xxxxx Xxxxxxx
Economato
Xxxxxxxx Xxxxx
51,52,53,54,55
Acquisizione – caricamento e cancellazione dati – consultazione – comunicazione a terzi – stampa
Struttura | Responsabile | Servizio | Responsabile | Trattamenti operati struttura | dalla | Compiti della struttura | |
Economico Finanziaria e | Xxxxx Xxxxxxx | Personale | Xxxxxxx Xxxxxxxx | 56,57,58,59,60,61,62 | Acquisizione – caricamento e | ||
Controllo | cancellazione dati – | ||||||
consultazione – | |||||||
comunicazione a terzi – | |||||||
stampa | |||||||
Economico Finanziaria e Controllo
Xxxxx Xxxxxxx Tributi Xxxxxxxx Xxxxxxxx 63,64,65,66,67 Acquisizione – caricamento e
cancellazione dati – consultazione – comunicazione a terzi – stampa
Servizi alla Persona Dr.ssa Xxxx Xxxxx Istruzione e Sport Xxxxxx Xxxxxx 68,69,70,71,72,73,74,75 Acquisizione – caricamento e
cancellazione dati – consultazione – comunicazione a terzi – stampa
Servizi alla Persona Dr.ssa Xxxx Xxxxx Cultura Xxxxxxx Xxxxxxx 76,77,78 Acquisizione – caricamento e
cancellazione dati – consultazione – comunicazione a terzi –
Servizi alla Persona Dr.ssa Xxxx Xxxxx Interventi socio assistenziali Xxxxxx Xxxx 79,80,81,82,83,84,85,86,87,88,89,90
91,929,93,94,95,96,97,98
stampa
Acquisizione – caricamento e
cancellazione dati – consultazione – comunicazione a terzi –
Urbanistica e Attività Produttive
Xxxxxx Xxxxx Urbanistica e Attività Produttive Xxxxxx Xxxxx 99.100.101,012,103,104,105,106,107
108,109,110,111,112,113,114,115
stampa
Acquisizione – caricamento e
cancellazione dati – consultazione – comunicazione a terzi – stampa
Lavori pubblici e ambiente
Xxx. Xxxxxxxx Xxxxxxxxxxx
Ambiente Xxxxxxxxxx Xxxxxxxx 116,127,128,129,130,131,132 Acquisizione – caricamento e
cancellazione dati – consultazione – comunicazione a terzi – stampa
Struttura | Responsabile | Servizio | Responsabile | Trattamenti operati struttura | dalla | Compiti della struttura | |
Lavori pubblici | e | Ing. Xxxxxxxx | Xxxxxxxxxxxxxx | Xxxxx Xxxxxxxx | 117,118,119 | Acquisizione – caricamento e | |
ambiente | Marchigiani | cancellazione dati – | |||||
consultazione – | |||||||
comunicazione a terzi – | |||||||
Lavori pubblici e | Ing. Xxxxxxxx | Xxxxxx Pubblici | Xxxxxxxx Xxxxxxxx | 120,121 | stampa – caricamento e Acquisizione | ||
ambiente | Marchigiani | cancellazione dati – | |||||
consultazione – | |||||||
comunicazione a terzi – | |||||||
Data di aggiornamento: 14/03/2006
Acquisizione – caricamento e cancellazione dati – consultazione – comunicazione a terzi – stampa
L’accesso alle strutture fisiche dell’ente
Vogliamo ora mettere in evidenza chi ha le “chiavi” per poter accedere alle strutture dell’ente: lo facciamo con la seguente tabella riepilogativa. Ricordiamo che tutto lo stabile è protetto da chiave e sistema di allarme
Tavola 10.: assegnazione delle chiavi di accesso ai locali dell’ente
NOME E COGNOME | Servizio/Funzione | Struttura di cui si possiede la chiave di accesso | EVENTUALI NOTE |
XXXXX XXXX | SINDACO | MUNICIPIO | |
XXXXX XXXXXXX | ASSESSORE – VICE SINDACO | MUNICIPIO | |
XXXX XXXXX | ASSESSORE | MUNICIPIO | |
XXXXX XXXXXX | ASSESSORE | MUNICIPIO | |
XXXXXXX XXXXXXX | ASSESSORE | MUNICIPIO | |
XXXXXX XXXXXXXXX | ASSESSORE | MUNICIPIO | |
XXXXXXX XXXXXXXXXXXX | ASSESSORE | MUNICIPIO | |
XXXXX XXXXX | SEGRETARIO GENERALE | MUNICIPIO | |
XXXXXXXX XXXXXXX | DIRETTORE AREA AMMINISTRATIVO/ISTITUZIONALE | MUNICIPIO | |
XXXXX XXXXXXXXXX | AREA AMMINISTRATIVO/ISTITUZIONALE - SERVIZIO AFFARI GENERALI | MUNICIPIO | |
XXXXXXX XXXXXX | AREA AMMINISTRATIVO/ISTITUZIONALE - SERVIZIO DEMOGRAFICI | MUNICIPIO | |
XXXXXXXXXX XXXXXX | AREA AMMINISTRATIVO/ISTITUZIONALE - SERVIZIO DEMOGRAFICI | MUNICIPIO | |
XXXXXXX XXXXXXXX | AREA AMMINISTRATIVO/ISTITUZIONALE - SERVIZIO AFFARI GENERALI | MUNICIPIO – CIOP – SALA GRUPPI CONSILIARI | Il servizio dispone di n. 8 copie di chiavi per ulteriori necessità |
NOME E COGNOME | Servizio/Funzione | Struttura di cui si possiede la chiave di accesso | EVENTUALI NOTE |
XXXXX XXXXXXXXX | AREA AMMINISTRATIVO/ISTITUZIONALE SEGRETERIA DEL SINDACO | MUNICIPIO – CIOP – SALA POLIVALENTE – FORESTERIA – SALA AMARCORD | |
AREA AMMINISTRATIVO/ISTITUZIONALE UFFICIO RELAZIONI CON IL PUBBLICO | MUNICIPIO | La chiave è a disposizione del personale URP per l’apertura delle porte | |
XXXXXXXXXX XXXXXXXX | ADDETTO STAMPA | MUNICIPIO | |
XXXXXXX XXXXXXXX | FACILITATRICE CONSIGLIO COMUNALE DEI RAGAZZI | MUNICIPIO, SALA GRUPPI CONSILIARI, SALA POLIVALENTE | |
XXXXX XXXXXXX | DIRETTORE AREA ECONOMICO/FIN. CONTROLLO | MUNICIPIO | |
AREA ECONOMICO/FIN.CONTROLLO | N. 2 CHIAVI DEL MUNICIPIO | a disposizione del personale dell’area | |
XXXXX XXXX | DIRETTORE AREA SERVIZI ALLA PERSONA | MUNICIPIO | |
AREA SERVIZI ALLA PERSONA - SERVIZIO ISTRUZIONE | N. 1 CHIAVE DEL MUNICIPIO - BIBLIOTECA | A disposizione del personale dell’area | |
AREA SERVIZI ALLA PERSONA SERVIZI SOCIALI | CENTRO DIURNO | A disposizione del personale del servizio | |
XXXX DI MAMBRO | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | ASILO NIDO VIA XXXXXX | |
XXXXXX XXXXXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | CUCINA CENTRALIZZATA | |
LO XXXXX XXXXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | CUCINA CENTRALIZZATA |
NOME E COGNOME | Servizio/Funzione | Struttura di cui si possiede la chiave di accesso | EVENTUALI NOTE |
XXXXXXXXX XXXX | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | CUCINA CENTRALIZZATA | La dipendente è in aspettativa per 2 anni |
XXXXXXXX XXXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | ASILO NIDO VIA RISORGIMENTO | |
BENINI DIMER | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | MAGAZZINO MUNICIPIO | |
XXXXX XXXXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | MAGAZZINO MUNICIPIO | |
XXXXXXXXXX XXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | MAGAZZINO MUNICIPIO | |
XXXXX XXXXXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | ASILO NIDO VIA XXXXXX | |
XXXXXXXXX XXXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | ASILO NIDO VIA XXXXXX | |
XXXXXXXXXX XXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | ASILO NIDO VIA XXXXXX | |
XXXXXXXXXX NORMA | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | ASILO NIDO VIA XXXXXX | |
XXXXX XXXXXXXX | AREA SERVIZI ALLA PERSONA - SERVIZIO ISTRUZIONE | ASILO NIDO VIA XXXXXX | |
XXXXX XXXXX | AREA SERVIZI ALLA PERSONA - SERVIZIO ISTRUZIONE | ASILO NIDO VIA XXXXXX | |
XXXXXXXXX XXXXX | AREA SERVIZI ALLA PERSONA - SERVIZIO ISTRUZIONE | ASILO NIDO VIA XXXXXX | |
XXXXXXXXXXX XXXXXXX | AREA SERVIZI ALLA PERSONA - SERVIZIO ISTRUZIONE | ASILO NIDO VIA XXXXXX | |
XXXXXX XXXXXXXXXX | AREA SERVIZI ALLA PERSONA -SERVIZIO ISTRUZIONE | ASILO NIDO VIA GAVINA |
NOME E COGNOME | Servizio/Funzione | Struttura di cui si possiede la chiave di accesso | EVENTUALI NOTE |
RABBI XXXXXXX | AREA SERVIZI ALLA PERSONA - SERVIZIO ISTRUZIONE | ASILO NIDO VIA GAVINA | |
MUSI XXXXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO ISTRUZIONE | ASILO NIDO VIA XXXXXX | |
XXXXXXX XXXXXXXXX | AREA SERVIZI ALLA PERSONA - SERVIZI SOCIALI | CENTRO DIURNO MUNICIPIO | |
XXXXX XXXXXXX | AREA SERVIZI ALLA PERSONA - SERVIZI SOCIALI | CENTRO DIURNO MUNICIPIO | |
XXXX XXXXXXXXX | AREA SERVIZI ALLA PERSONA - SERVIZI SOCIALI | CENTRO DIURNO MUNICIPIO | |
XXXXXXX XXXXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO CULTURA | BIBLIOTECA, MUNICIPIO | |
XXXXXXXX XXXXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO CULTURA | BIBLIOTECA, MUNICIPIO | |
XXXXX XXXXXXXXXX | AREA SERVIZI ALLA PERSONA SERVIZIO CULTURA | BIBLIOTECA, MUNICIPIO | |
XXXXXXX XXXXX VITTORIA | AREA SERVIZI ALLA PERSONA – SERVIZIO ASSISTENZA SOCIALE | MUNICIPIO | |
DI XXXXXX XXXX | AREA SERVIZI ALLA PERSONA - SERVIZIO ASSISTENZA SOCIALE | MUNICIPIO | |
CAVARI A. XXXXX | AREA SERVIZI ALLA PERSONA - SERVIZIO ASSISTENZA SOCIALE | MUNICIPIO | |
XXXXXXXX XXXXXXXXXXX | AREA PIANIFICAZIONE E GESTIONE ECONOMICO TERRITORIALE | MUNICIPIO | |
XXXXXXXX XXXXX XXXXXXX | AREA PIANIFICAZIONE E GESTIONE ECONOMICO TERRITORIALE SERVIZIO LLPP/MANUTENZIONE | MUNICIPIO | |
XXXXXXXX XXXXXXXX | AREA PIANIFICAZIONE E GESTIONE ECONOMICO TERRITORIALE SERVIZIO LLPP/MANUTENZIONE | TUTTI GLI EDIFICI COMUNALI | Rimangono in ufficio per le esigenze della manutenzione |
NOME E COGNOME | Servizio/Funzione | Struttura di cui si possiede la chiave di accesso | EVENTUALI NOTE |
XXXXXXXXX XXXXXXX | AREA PIANIFICAZIONE E GESTIONE ECONOMICO TERRITORIALE SERVIZIO LLPP/MANUTENZIONE | TUTTI GLI EDIFICI COMUNALI | Rimangono presso il magazzino comunale per le esigenze della manutenzione |
AREA PIANIFICAZIONE E GESTIONE ECONOMICO TERRITORIALE – DIPENDENTI SQUADRE ESTERNE | MAGAZZINO | ||
XXXXX XXXXXX | AREA URBANISTICA E ATTIVITÀ PRODUTTIVE | MUNICIPIO | |
XXXXXXXX XXXXXXXXX | POLIZIA MUNICIPALE | MUNICIPIO – CA’ GIALLA | |
XXXXXX XXXXX | POLIZIA MUNICIPALE | MUNICIPIO – CA’ GIALLA | |
XXXXX XXXXX | POLIZIA MUNICIPALE | MUNICIPIO – CA’ GIALLA | |
XXXXXXXX XXXXXXXX | POLIZIA MUNICIPALE | MUNICIPIO – CA’ GIALLA | |
XXXXXXXX XXXXXXX | POLIZIA MUNICIPALE | MUNICIPIO – CA’ XXXXXX | |
XXXXX XXXXX | POLIZIA MUNICIPALE | MUNICIPIO – CA’ XXXXXX | |
XXXXXXXXXX XXXXX | POLIZIA MUNICIPALE | MUNICIPIO – CA’ GIALLA | |
XXXXXXXXXXX XXXXXXX | POLIZIA MUNICIPALE | MUNICIPIO – CA’ GIALLA | |
LA PICCOLI LAVORI | IMPRESA PULIZIE (esterna) | BIBLIOTECA | |
MANUTENCOOP | IMPRESA PULIZIE (esterna) | MUNICIPIO, CENTRO DIURNO |
NOME E COGNOME | Servizio/Funzione | Struttura di cui si possiede la chiave di accesso | EVENTUALI NOTE |
CADIAI | COOPERATIVA PER ASSISTENZA SOCIALE | CENTRO DIURNO, ASILO NIDO VIA RISORGIMENTO | |
GEOVEST | GESTIONE SERVIZIO TASSA RIFIUTI | MUNICIPIO | |
Data di aggiornamento: 14/03/2006 | |||
Analisi tecnologica dei dati elettronici
Presentiamo il disegno sintetico della rete del Comune di Anzola dell’Xxxxxx avente lo scopo di rappresentare a colpo d’occhio la rete dell’ente per capirne i punti critici e porre in essere le analisi successive.
Lo schema generale della rete
figura 1.: l’architettura WAN della rete del Comune di Anzola dell’Xxxxxx
figura 2.: architettura CED del Comune di Anzola dell’Emilia – sede Municipio
figura 3.: struttura di switching del CED e della sede del Municipio
Dal punto di vista tecnologico il censimento dei beni da proteggere si identifica in un’attenta analisi della struttura informativa nel suo complesso partendo dal mezzo fisico per arrivare al trasporto ed allo stoccaggio dei dati. L’analisi sarà ripartita in sei aree di intervento:
✓ Analisi ambientale.
✓ Analisi del sistema di cablaggio.
✓ Analisi dell’architettura LAN e WAN.
✓ Analisi delle vulnerabilità interne e dell’accesso ai dati.
✓ Analisi delle applicazioni.
✓ Analisi delle comunicazioni verso Internet.
✓ Analisi dei servizi pubblicati sulla rete Internet.
Analisi ambientale
Obiettivo di questa sezione è l’analisi dello stato dei dati informatizzati, con particolare riguardo all’ambiente di ricovero degli stessi.
I dati non sono tutti ricoverati su server ed nessuno di essi è presenti sulle stazioni di lavoro PC dei singoli incaricati, se si eccettuano quelli dei posti di lavoro non in rete con il municipio. Tutti i server sono, a loro volta, custoditi nell’area CED: al momento della scrittura del documento è infatti in fase di spostamento anche il server della biblioteca nell’area CED.
L’area CED è ad accesso regolamentato e le persone autorizzate hanno accesso alla chiave della porta del CED stesso, chiave custodita dagli incaricati nominati nel gruppo “sistemi informativi” (Xxxxxxxxxxxx Xxxxxxx), al Servizio Affari Generali nella persona di Xxxxxxxx Xxxxxxx, ed all’Ufficio Tecnico nella persona di Xxxxxxxx Xxxxxxxx.
Il locale, come tutto l’edificio comunale, è protetto da sistema antifurto.
Per prevenire fenomeni di autocombustioni o autospegnimento il locale in cui è situato il CED è condizionato da un impianto in grado di raffreddare il locale. Sarà programmata una temperatura fissa di 22 gradi massimi all’interno dello stesso locale. Il sistema di condizionamento non è però ridondato, ma esiste un servizio interno di assistenza per l’impianto in grado di garantire tempi di ripristino dell’ordine di 48 ore solari.
Nelle vicinanze del CED è anche presente un estintore a CO2, per lo spegnimento di eventuali principi di incendio: detto estintore, ci è stato riferito, è in grado di non danneggiare i server a fronte di un eventuale utilizzo. La sua efficienza è controllata periodicamente dal responsabile della sicurezza (626) dell’ente.
Infine l’impianto elettrico del CED è a norma ed è protetto da un gruppo di continuità in grado di assicurare una autonomia complessiva all’impianto server di circa 15 minuti: è anche previsto un sistemi di spegnimento automatico dei server. Non è presente un gruppo elettrogeno.
Casi particolari: i posti di lavoro della sede dell’asilo nido Balzani
In queste sede è previsto che i personal computer siano accedibili in locale la cui chiave è nelle mani dei soli autorizzati.
Analisi del sistema di cablaggio
Tutto il cablaggio è stato realizzato dalle società Teleca e certificato in categoria 5 enhanced. Oggi è in manutenzione alla ditta Longwave.
Gli armadi di cablaggio installati sono:
• quattro armadi di cablaggio centrale nel Municipio;
• un armadio di cablaggio presso la sede della Biblioteca Tutti i sistemi di cablaggio sono mantenuti dalla società Longwave.
Analisi dell’architettura LAN/WAN
La scelta di analizzare in dettaglio le due architetture può sembrare, a prima vista, superflua, data la possibilità di desumerle dal disegno complessivo del sistema informativo dell’Ente. E’ utile, però, una scheda di sintesi.
LAN
L’architettura di LAN della sede del Municipio è basata su di una backbone Fast Ethernet, alla quale sono connessi tutti gli switch di piano, realizzata attraverso uno switch che offre anche la connettività fast ethernet verso:
• i server di rete
• gli armadi remoti;
• gli switch di secondo livello che collegano tutta la periferia di personal computer e stampanti; La struttura è comunque piuttosto semplice e provvedono alla sua manutenzione i seguenti fornitori:
1. Longwave S.r.l. per tutta la parte di apparecchiature attive;
2. il personale interno del CED con switch di ricambio sempre disponibili nei locali del CED per le sedi interessate dal progetto.
Le fibre ottiche collegano la sede del Municipio con la Biblioteca e la sede del Comando di Polizia Municipale. In particolare la fibra che connette il Municipio con la sede della Biblioteca è stata stesa in collaborazione con Xxxxxx e mai collaudata: questa mancanza verrà colmata entro il corso del 2006.
La fibra che connette il Municipio con il Comando di Polizia Municipale è stesa, collaudata e certificata dalla ditta Longwave.
WAN
L’architettura di WAN è realizzata anche attraverso la stesura di fibre proprietarie. In particolare:
1. Longwave S.r.l. gestisce tutte le connessioni in fibra ottica;
2. HERA gestisce l’infrastruttura in fibra ottica nell’ambito della rete regionale LEPIDA e, di conseguenza, verso Internet;
3. Telecom gestisce tutte le connessioni ad Internet basate su tecnologia ADSL e ISDN Provvedono alla manutenzione della WAN i seguenti fornitori:
1. Longwave S.r.l. per quello che riguarda le linee di comunicazione in fibra ed i relativi apparati di interconnessione, linee per le quali è fissato uno SLA (Service Level Agreement) di quattro ore massime per l’intervento;
2. CED dell’ente: non è chiaramente un fornitore esterno, ma è il soggetto che ha disponibili sempre alcuni switch di back-up per sostituire apparecchiature eventualmente rotte.
3. TelecomItalia per quello che riguarda le linee telefoniche di comunicazione ADSL ed i relativi apparati di interconnessione, per le quali è fissato uno SLA (Service Level Agreement) di 16 ore lavorative massime per l’intervento;
4. HERA per quello che riguarda la linea in fibra ottica nell’ambito della rete regionale LEPIDA e verso Internet;
5. VEM Sistemi per gli apparati di interconnessione, per i quali è fissato uno SLA (Service Level Agreement) di 16 ore lavorative massime per l’intervento;
6. Cedaf garantisce il servizio di assistenza sul router di connessione ISDN verso il Comune di Calderara e su quello che gestisce la comunicazione verso il Comune di Zola Predosa, i quali permettono la gestione dei minori assistiti dai servizi sociali, garantendo tempi di risposta di 16 ore lavorative dalla chiamata.
Analisi delle vulnerabilità interne e dell’accesso ai dati
Specifichiamo ancora che in questa fase stiamo analizzando i dati archiviati su supporto informatico ed elettronico, mentre per quelli di tipo cartaceo rimandiamo l’analisi ad un paragrafo successivo.
Come in precedenza sottolineato, tutti i dati gestiti dall’ente sono ricoverati su server, anche le caselle di posta elettronica dei singoli utenti: solo in modo transitorio possono lasciare traccia su di un posto di lavoro, ma devono, una volta utilizzata e comunque a fine mansione essere ritrasferiti sul server e cancellati dal posto di lavoro, pena l’assunzione da parte dell’operatore di tutte le responsabilità civili e penali derivanti dalla normativa.
Diverso è il discorso per le sedi distaccate, nelle quali non è presente un server. Tutti i posti di lavoro client di dette sedi sono comunque oggetto di back-up da parte dell’utente (le istruzioni del perchè e quando sono indicate nel manuale utente), attraverso strumenti diversi (masterizzatori, ZIP o altro).
É importante qui sottolineare le regole di accesso ai dati da parte del personale dell’ente, che possono essere così riepilogate:
1. ogni dipendente ha diritto di accedere solamente ai dati che sono necessari per lo svolgimento delle proprie mansioni;
2. tutti i personal computer dell’ente hanno sistema operativo Windows NT o Windows 2000;
3. ogni dipendente ha uno username, valido finché ha rapporti con l’ente, per l’accesso alla rete dell’ente stesso: lo username permette l’accesso alla rete Windows 2000, che è la base per l’accesso ai dati, e fornisce le credenziali anche per l’accesso ai file server. I server basati su altri sistemi operativi, o le specifiche applicazioni, come la posta elettronica o il software gestionale, richiedono di ridigitare specifici username e password. Viceversa l’accesso ad Internet non è regolamentato da uno username specifico;
4. ad ogni username è associata una password per l’accesso ai server la cui scadenza è fissata in 90 giorni. I server Windows hanno la password a scadenza, mentre per le singole applicazioni deve essere il singolo utente che provvede in autonomia al cambio della password ogni 90 giorni; esclusa l’applicazione del Protocollo, in cui la scadenza è automatizzata con i medesimi criteri;
5. in caso di assenza dell’utente, se è necessario accendere la sua stazione di lavoro per condividere la stampante collegata, è l’amministratore di sistema che interviene con la password amministratore di BIOS per accendere la macchina, la quale viene poi lasciata al Ctrl/Alt/Canc, stato sufficiente per la condivisione della stampante.
Da quanto riassunto si può quindi evincere che l’ente si è dotato di un sistema che offre un buon livello di sicurezza nell’accesso ai dati. E’ fatto comunque divieto a chiunque di portare all’esterno dati gestiti dal proprio servizio di appartenenza, sotto una qualunque forma, ad eccezione dei casi autorizzati previsti dal manuale di istruzione degli incaricati.
I Consiglieri Comunali e il gruppo del Consiglio Comunale dei Ragazzi e delle Ragazze (CCRR) hanno a disposizione un PC che usufruisce del collegamento ad Internet della rete del Municipio; detti utenti non hanno accesso al Dominio Windows dell’A mministrazione.
La rete della Biblioteca, dotata di un proprio accesso ad Internet – tramite propria linea ADSL – è fisicamente
indipendente dalla rete del Municipio.
Alla Lan così separata della biblioteca potranno accedere anche:
• i cittadini utenti della biblioteca
• i volontari della “Banca del tempo”, dell’Associazione “Anzola Solidale” e dell’Associazione “Assadakah”
Analisi delle applicazioni: regola 19.8 dell’Allegato B al Codice
Chi redige il documento ha approfondito lo stato dell’arte delle applicazioni gestionali installate nel comune e, anche a seguito di un confronto avuto con l’Avvocato Xxxxxxx Xxxxxxx, in team con il quale viene redatto questo documento, esperto ed autore di pubblicazioni sull’argomento specifico, dobbiamo fare le seguenti considerazioni che valgono per le applicazioni software presenti nell’ente.
Tali applicazioni infatti paiono conformi ai seguenti punti del d.lgs. 196/2003 denominato “Codice sulla tutela dei dati personali”, anche in relazione agli aggiornamenti effettuati:
1. Titolo III Art. 22 comma 6 recita: “I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
2. Titolo III Art. 22 comma 7 recita: “I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.
Il software, inoltre, pare conforme alle seguenti regole delle misure minime (allegato B del d.lgs. in oggetto):
1. Art. 16 recita: I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
2. Art. 17 recita: Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale
Tutti i dati comunali sono infatti protetti da sistema antivirus. L’amministratore ha predisposto un sistema antivirus sia sui client e sui server, sistema che dovrebbe ridurre al minimo tale rischio, ma che non può eliminarlo totalmente come risaputo.
Analisi delle comunicazioni verso Internet
Tutte le comunicazioni verso Internet passano attraverso il collegamento con la rete regionale LEPIDA: tale connessione è basata su tecnologia in fibra ottica a 100 MBit nominali presente nella sede del Municipio. L’ente si è dotato di tutta la strumentazione necessaria per ridurre al minimo i rischi di intrusione nonché di fuoriuscite di dati non autorizzate verso la rete.
Per prima cosa è opportuno presentare sinteticamente la struttura di comunicazione, meglio descritta dall’immagine presentata in precedenza:
• il server di posta elettronica è interno e completamente gestito dal CED;
• tutti gli utenti autorizzati possono navigare in Internet;
• la rete interna è divisa dalla rete pubblica da un firewall, che gestisce anche i log di connessione degli utenti (della cui esistenza gli utenti sono informati nel manuale di formazione utente), nel quale sono fissate le seguenti regole:
o porte aperte in uscita: http, https, smtp, pop3, ftp ;
o porte aperte in ingresso: smtp, pop3, 3000; E’ necessario ora riepilogare i servizi attivi:
• tutti gli utenti dotati di personal computer hanno la posta elettronica, con possibilità di inviare/ricevere allegati: questo servizio è funzionale allo svolgimento della propria mansione;
• navigazione in Internet secondo quanto detto sopra, ovvero con logging delle attività svolte;
Una parte consistente di quanto sopra riportato è riaffermato nella “Politica di sicurezza dell’ente”, che sarà illustrata successivamente.
Analisi dei servizi pubblicati sulla rete Internet
I servizi pubblicati sulla rete Internet sono numericamente ristretti, ma vale ugualmente la pena citarli per meglio comprendere il loro impatto sulla sicurezza dei dati:
1. l’unico servizio pubblicato, ma di scarsa importanza ai fini della sicurezza, è dato dalle pagine web di presentazione dell’ente, raggiungibili al link xxx.xxxxxx.xxxxxxxxxxxxxxxx.xx.xx ed in hosting presso la ditta “Officine Digitali” di Bologna.
2. Garsia invece è un servizio di pubblicazione, verso la ASL Bologna Sud e non verso Internet, di dati: i dati sono aggiornati dagli operatori del comuni ed il sistema provvede ad aggiornarli nella sede dell’ASL. I dati
sono oggetto di back-up sia all’interno dell’ente che all’interno dell’ASL Non sono presenti servizi applicativi pubblicati.
Analisi tecnologica dei dati cartacei
Analisi ambientale
Le operazioni di trattamento dei dati cartacei avvengono negli uffici e/o reparti dove lavorano gli incaricati. Ogni ufficio è dotato di contenitori muniti di chiave nei quali riporre i dati personali sensibili e giudiziari, come indicato dal manuale di istruzioni fornito agli incaricati.
Ogni ufficio è ad accesso regolamentato, nel senso che le porte della sede di riferimento si aprono solo grazie al “via libera” fornito dalla chiave in possesso dei capi ufficio, come evidenziato dalla tabella relativa. I singoli incaricati possono anche accedere, dietro autorizzazione del responsabile di reparto/ufficio, in ambienti diversi da quelli di lavoro ordinario.
Analisi delle vulnerabilità interne e dell’accesso dei dati
I rischi a cui sono soggetti i dati cartacei trattati dall’ente sono quelli tradizionali:
• sottrazione di documenti da parte del personale
• mancate reposizione dei dati trattati sotto chiave, quindi la mancata osservazione delle istruzioni impartite agli incaricati.
Le criticità dei beni informatici preposti al trattamento dei dati elettronici
L’analisi della criticità dei beni riguarda esclusivamente la dotazione informatica preposta al trattamento dei dati elettronici.
Occorre precisare che l’analisi è indirizzata a misurare la criticità della disponibilità dei dati, di conseguenza oggetto di analisi sono i beni informatici in quanto consentono la disponibilità dei dati stessi.
Tale analisi è effettuata sotto due punti di vista:
? il fault tolerance: questa analisi, che nel presente lavoro sarà particolarmente approfondita, si può desumere implicitamente dalla lettura dell’Allegato B del d.lgs n. 196/03 “Codice in materia di protezione dei dati personali” dove si sancisce la necessità di garantire la “disponibilità dei dati”;
? il disaster recovery: questa seconda analisi rientra tra le misure minime dell’Allegato B del d.lgs n.196/03 “Codice in materia di protezione dei dati personali”.
Il fault tolerance
La strategia di fault tolerance è data da tutti quegli accorgimenti che permettono di garantire la continuità del servizio informatico. Tale strategia assume notevole rilevanza nel trattamento dei dati dell’ente e soprattutto nelle necessità di garantire la continuità del servizio. Il Comune di Anzola dell’Xxxxxx è infatti una realtà che offre un pubblico servizio. Di conseguenza tutti i fattori volti a garantire al massimo la continuità di lavoro, rivestono una importanza decisiva o, addirittura, vitale.
Per procedere a questa prima analisi occorre innanzitutto definire il livello di criticità di ciascun bene informatico (da ora in poi denominato device), per poterlo poi classificare e successivamente definire le azioni da intraprendere per affrontare i possibili fermi macchina.
E’ possibile ipotizzare una scala di criticità che va da 1 a 4 così definita:
1. minimo: i device possono stare fermi anche una settimana senza che si riscontrino problemi all’intero sistema informativo;
2. intermedia: il device può stare fermo per una settimana senza problemi all’intero sistema informativo, tranne che in periodi critici di eccesso di lavoro, nel quale le possibilità di fermo si riducono a 8 ore lavorative;
3. alta: il device non può, in qualunque situazione stare fermo per più di 8 ore lavorative (24 ore solari);
4. critica: il device non può stare fermo per più di 4 ore lavorative.
Occorre, in primo luogo, definire la criticità di tutti i device sotto elencati per elaborare una strategia di intervento efficace a coprire le esigenze di fault tolerance.
Tavola 11.: Tabella riepilogativa dei device presenti nell’ente: censimento dei beni informatici
Servizi funzionali | ||||||||||
Device | File server | Altri server | DB Server gestionale | E- | Apps gestionali | Servizi di ges tione | Router o switch | Marca | S.O | F.T. |
Municipio | ||||||||||
Server Anzola | 4 | 🚇 | 4 | Assemblato | Windows 2000 | Raid 5 | ||||
Server Anzola2 | 4 | HP Proliant | Windows 2000 | Raid 5 | ||||||
Server Lotus Domino x numero verde | 1 | N. d. | Windows 2000 | Nessuno | ||||||
Server Anzola Hummingbird | 2 | HP Proliant | Windows 2000 | Raid 5 | ||||||
Firewall | 🚇 | 4 | Cisco Pix 515 | Ciscio IOS | Nessuno | |||||
Router PDB | 🚇 | 4 | Cisco | Cisco IOS | Nessuno | |||||
Router Calderara | 2 | Cisco | Cisco IOS | Nessuno | ||||||
Servizi funzionali | ||||||||||
Device | File server | Altri server | DB Server gestionale | E- | Apps gestionali | Servizi di ges tione | Router o switch | Marca | S.O | F.T. |
Router Zola Predosa | 2 | Cisco | Cisco IOS | Nessuno | ||||||
Switch vari | 4 | Vari | n.a. | Nessuno | ||||||
Biblioteca | ||||||||||
Server Biblioteca | 1 | 1 | Assemblato | Windows 2000 | Raid 5 | |||||
Firewall | 1 | Spiderwall con filtro xxxxxx.xx | Proprietario | Nessuno | ||||||
Router ADSL Telecom | 1 | n.a. | n.a. | |||||||
Switch vari | 1 | Vari | n.a. | Nessuno | ||||||
Centro Gi ovani | ||||||||||
1 PC centro giovani senza banche dati | 1 | N.d. | n.a. | Nessuno | ||||||
Modem | 1 | N.d. | n.a. | Nessuno | ||||||
Magazzino | ||||||||||
1 PC senza banche dati | 1 | N.d. | n.a. | Nessuno | ||||||
Modem | 1 | N.d. | n.a. | Nessuno | ||||||
Xxxxx xxxx Xxxxxxx | ||||||||||
0 XX con banca dati immagini | 1 | N.d. | Windows 2000 | Raid 5 | ||||||
Legenda
I numeri indicati nelle celle evidenziate in giallo indicano il fattore di criticità riepilogato sede per sede (i numeri sono assegnati sulla base della scala di criticità prima esplicitata).
F.T. sta per Fault Tolerance
Con i simboli rossi è indicato, invece, l’impatto che un eventuale fault del device può avere sui servizi in ordinata.
Il disaster recovery
Analizzare le problematiche di disaster recovery è molto più complesso in quanto i problemi da affrontare sono molteplici:
Innanzi tutto bisogna rifare un’analisi di criticità orientata specificamente ai server, ed una orientata alle linee di comunicazione, in quanto i termini sono differenti da quelli usati per lo studio precedente: possiamo però rifarci all’elenco sopra riportato per un censimento dei server e dei collegamenti WAN.
Occorre, innanzitutto, definire i fattori di criticità relativi alle problematiche di disaster recovery allo scopo di stabilire
una scala di importanza dei dati/applicazioni/connessioni, in quanto non è possibile pensare di assegnare lo stesso fattore di importanza a tutti i servizi. Anche in questo caso è congeniale ipotizzare una scala di criticità che procede da 1 a 2 così definita:
1. minimo: questi server/link non contengono dati d’importanza vitale per l’ente, o, in altre parole, contengono dati per i quali è possibile aspettare le normali operazioni di restore, dai nastri di back-up che saranno depositati “al sicuro” con periodicità da definire, o di ripristino da normali operazioni di assistenza;
2. critica: questi server/link contengono dati d’importanza vitale per l’attività produttiva dell’ente e devono essere ripristinati immediatamente in una locazione diversa da quella che ha subito il disastro, con uno switch il più possibile automatizzato;
Occorre quindi definire la criticità di tutti i device sotto elencati per elaborare una strategia di intervento efficace a coprire le esigenze di distater recovery.
Tavola 12.: Tabella riepilogativa dei fattori di criticità per il servizio di disaster recovery
Servizi funzionali | ||||||||||
Device | File server | Altri server | DB Server gestionale | E- | Apps gestionali | Servizi di gestione | Router o switch | Marca | S.O | F.T. |
Municipio | ||||||||||
Server Anzola | 2 | 👪 | 2 | Assemblato | Windows 2000 | Raid 5 | ||||
Server Anzola2 | 2 | HP Proliant | Windows 2000 | Raid 5 | ||||||
Server Lotus Domino x numero verde | 1 | 1 | N. d. | Windows 2000 | Nessuno | |||||
Server Anzola Hummingbird | 1 | HP Proliant | Windows 2000 | Raid 5 | ||||||
Firewall | 👪 | 1 | Cisco Pix 515 | Ciscio IOS | Nessuno | |||||
Router PDB | 👪 | 2 | Cisco | Cisco IOS | Nessuno | |||||
Router Calderara | 1 | Cisco | Cisco IOS | Nessuno | ||||||
Router Zola Predosa | 1 | Cisco | Cisco IOS | Nessuno | ||||||
Switch vari | 2 | Vari | n.a. | Nessuno | ||||||
WAN Link Municipio – Biblioteca | 1 | Vari | n.a. | Nessuno | ||||||
WAN Link Municipio – Ernet | 2 | Vari | n.a. | Nessuno | ||||||
WAN Link Municipio – Calderara | 1 | Vari | n.a. | Nessuno | ||||||
WAN Link Municipio – Zola Predosa | 1 | Vari | n.a. | Nessuno | ||||||
Servizi funzionali | ||||||||||
Device | File server | Altri server | DB Server gestionale | E- | Apps gestionali | Servizi di gestione | Router o switch | Marca | S.O | F.T. |
Biblioteca | ||||||||||
Server Biblioteca | 1 | 1 | Assemblato | Windows 2000 | Raid 5 | |||||
Firewall | 1 | Spiderwall con filtro davi xx.xx | Proprietario | Nessuno | ||||||
Router ADSL Telecom | 1 | n.a. | n.a. | |||||||
Switch vari | 1 | Vari | n.a. | Nessuno | ||||||
Xxxxxx Xxxxxxx | ||||||||||
0 XX centro giovani senza banche dati | 1 | N.d. | n.a. | Nessuno | ||||||
Modem | 1 | N.d. | n.a. | Nessuno | ||||||
Magazzino | ||||||||||
1 PC senza banche dati | 1 | N.d. | n.a. | Nessuno | ||||||
Modem | 1 | N.d. | n.a. | Nessuno | ||||||
Xxxxx xxxx Xxxxxxx | ||||||||||
0 XX con banca dati immagini | 1 | N.d. | Windows 2000 | Raid 5 | ||||||
Legenda
I numeri indicati nelle celle evidenziate in giallo indicano il fattore di criticità riepilogato sede per sede (i numeri sono assegnati sulla base della scala di criticità prima esplicitata).
F.T. sta per Fault Tolerance
Con i simboli blu è indicato, invece, l’impatto che una mancanza del device può avere sui servizi in ordinata.
L’analisi dei rischi a cui possono essere soggetti i dati elettronici e i dati cartacei: regola 19.3 dell’Allegato B al Codice
In linea con l’art. 35, Capo I, Titolo V del d.lgs. n. 196/2003 che “impone di ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” si procede analizzando i rischi a cui sono soggetti i dati informatici ed i dati cartacei trattati dagli incaricati dell’ente.
Per ciò che concerne le azioni intraprese per fronteggiare tali rischi si rimanda al capitolo relativo al Documento Programmatico per la sicurezza dei dati.
Analisi dei rischi dei dati elettronici
I rischi ai quali possono essere soggetti i dati residenti sugli elaboratori presenti nell’ente, già precedentemente inventariati, sono i seguenti:
• Accesso indebito alle risorse sia da parte di personale interno non autorizzato, che da parte di “pirati” esterni.
• Ris chi connessi alla trasmissione dei dati.
• Perdita dei dati e quindi perdita della loro integrità fisica.
• Errori operativi volti a minare l’integrità logica dei dati.
• Azioni dolose.
• Manomissioni o furti.
• Eventi dannosi o disastrosi.
Presentazione sintetica dei rischi a cui sono soggetti i dati elettronici trattati dal Comune di Anzola dell’Xxxxxx.
Tavola 13.: I rischi a cui sono soggetti i dati elettronici trattati dal Comune di Anzola dell’Xxxxxx sono di seguito riepilogati:
Rischio | Dettaglio | Gravità stimata | Probabilità di accadimento |
Accesso indebito alle risorse da parte di utenti interni all’ente | • Accesso alle banche dati non autorizzato. • Copie non autorizzate dei dati per il trasporto all’esterno dell’ente | o Alta o Alta | o Bassa o Media |
Comportamenti degli operatori | • Furto di credenziali di autenticazione • carenza di consapevolezza, disattenzione o incuria • comportamenti sleali o fraudolenti • errore materiale | o Alta o Alta o Alta o Media | o Bassa o Bassa o Bassa o Bassa |
Eventi relativi agli strumenti | • azione di virus informatici o di codici malefici • spamming o altre tecniche di sabotaggio • malfunzionamento, indisponibilità o degrado degli strumenti | o Alta o Alta o Media | o Media o Media o Media |
Eventi relativi al contesto | • accessi non autorizzati a locali/reparti ad accesso ristretto • Guasto ai sistemi complementari (impianto elettrico, climatizzazione, ...) | o Media o Alta | o Bassa o Media |
Rischio | Dettaglio | Gravità stimata | Probabilità di accadimento |
Sicurezza nelle trasmissioni dei dati | • Tentativi di carpire i dati che vengono inviati all’ente da parte di pirati esterni. • Tentativi di carpire i dati che vengono spediti dal Comune di Anzola dell’Xxxxxx da parte di pirati esterni. • Rischio di invio dati a destinatari sbagliati. • Tentativi di intrusione nella rete interna dell’ente. dall’esterno, da Internet, da sedi di comuni collegati via linee telefoniche all’ente e da parte di pirati esterni. | o Alta o Alta o Bassa o Alta | o Media o Media o Bassa o Media |
Rischi circa l’integrità fisica dei dati | • Cancellazione involontaria/accidentale dei dati. • Servizi di back-up non andati a buon fine. | o Bassa o Bassa | o Bassa o Bassa |
Rischi circa l’integrità logica dei dati | • Incongruenze fra i dati. • Le applicazioni software in uso che creano disallineamenti. | o Bassa o Bassa | o Bassa o Bassa |
Rischi manomissioni o furti o azioni dolose | • Manomissioni del CED. • Furti di dati sia dagli elaboratori, che degli elaboratori stessi. | o Alta o Alta | o Bassa o Bassa |
Eventi dannosi o disastrosi | • Incendio. | o Alta o Impredicibile | o Media o Alta |
Analisi dei rischi dei dati cartacei
I rischi ai quali possono essere soggetti i dati cartacei presenti nell’ente sono i seguenti:
• Accesso indebito alle risorse sia da parte di personale interno non autorizzato.
• Rischi connessi alla trasmissione dei dati.
• Perdita dei dati e quindi perdita della loro integrità fisica.
• Furti e azioni dolose.
• Eventi dannosi o disastrosi.
• Rischi connessi alla procedura di eliminazione di dati erroneamente stampati.
Presentazione sintetica dei rischi a cui possono essere soggetti i dati cartacei trattati dall’ente
Tavola 14.: I rischi a cui possono essere soggetti i dati cartacei trattati dall’ente possono essere così riepilogati:
Rischio | Dettaglio | Gravità stimata | Probabilità di accadimento |
Accesso indebito alle risorse da parte di utenti interni all’ente | • Accesso alle banche dati non autorizzato. • Copie non autorizzate dei dati per il trasporto all’esterno dell’ente | o Alta o Alta | o Bassa o Media |
Comportamenti degli operatori | • Carenza di consapevolezza, disattenzione o incuria • comportamenti sleali o fraudolenti • errore materiale | o Alta o Alta o Media | o Bassa o Bassa o Bassa |
Eventi relativi al contesto | • accessi non autorizzati a locali/reparti ad accesso ristretto • Guasto ai sistemi complementari (impianto elettrico, climatizzazione, ...) | o Media o Alta | o Bassa o Media |
Rischio | Dettaglio | Gravità stimata | Probabilità di accadimento |
Sicurezza nelle trasmissioni dei dati | • Rischio di invio dati a destinatari sbagliati. | o Bassa | o Bassa |
Rischi circa l’integrità fisica dei dati | • Cancellazione involontaria/accidentale dei dati | o Bassa | o Bassa |
Eventi dannosi o disastrosi | • Incendio. | o Alta o Impredicibile | o Media o Alta |
Rischi connessi alla procedura di eliminazione di dati erroneamente stampati | • Mancata distruzione dei dati erroneamente stampati dagli incaricati | o Alta | o Bassa |
L’analisi dei sistemi di videosorveglianza
In linea con quanto previsto dal Garante per la protezione dei dati personali, nonché dalla Convenzione europea sui diritti dell’uomo, il trattamento dei dati attraverso sistemi di videosorveglianza avviene rispettando i seguenti principi legislativi:
• principio di liceità: non sono ammissibili interfe renze illecite nella vita privata, di tutela della dignità, dell’immagine, del domicilio e di tutti gli altri luoghi ai quali è riconosciuta analoga tutela (tali limitazioni si aggiungono a quelle già previste dal c.p. in materia di intercettazioni di comu nicazioni e di conversazioni);
• principio di necessità: un sistema di videosorveglianza introduce un vincolo per il cittadino in termini di limitazioni o condizionamenti, di conseguenza si deve escludere ogni uso superfluo o eccessivo;
• principio di proporzionalità: l’ente o l’impresa deve valutare innanzitutto il grado di rischio in cui può incorrere e adottare un sistema di videosorveglianza solo quando le altre misure si rivelano insufficienti; la soluzione che porta all’adozione di un sistema di videosorveglianza non deve rispondere a meri criteri di risparmio o di semplicità;
• principio di finalità: con l’introduzione di sistemi di videosorveglianza possono essere perseguite solo finalità trasparenti e portate opportunamente a conoscenza del pubblico mediante comunicazioni o cartelli, escludendo qualsiasi finalità generiche o indeterminate.
Tavola 15.: Tabella riepilogativa dei sistemi di videosorveglianza
Progressivo Dislocazione e scopo | Registrazione |
1. Biblioteca: controlla la porta di entrata che è distante dagli operatori | No |
2. Polizia Municipale: all’entrata dello stabile per controllare il flusso dei visitatori | Sì |
3. Parco Fantazzini: controllo dell’ordine pubblico delegato alla “Beghelli S.p.A.” | Sì |
Progressivo Dislocazione e scopo Registrazione |
4. Area verde del centro civico di Sì Lavino di Mezzo: controllo dell’ordine pubblico delegato alla “Beghelli S.p.A.” |
Adempimenti ottemperati
DOVERE DI INFORMAZIONE
Gli interessati sono informati con formule sintetiche, ma chiare e senza ambiguità, che stanno per accedere o che si trovano in una zona videosorvegliata e dell’eventuale registrazione anche se si tratta di eventi , di spettacoli pubblici o di attività pubblicitarie.
MISURE DI SICUREZZA
Quando i dati vengono conservati sono previsti, all’interno della struttura, diversi livelli di accesso al sistema e di utilizzo delle informazioni, avendo riguardo anche agli interventi ordinari e straordinari di manutenzione. La risposta adottatata al rischio che si verifichino abusi è stata l’introduzione di una “doppia chiave” fisica o logica che consente un’immediata ed integrale visione delle immagini solo in caso di necessità.
Sono previste iniziative periodiche di formazione degli incaricati sui doveri, sulle garanzie e sulle responsabilità, sia nel momento dell’introduzione del sistema di videosorveglianza, sia in sede di modifica dello stesso.
Le misure di sicurezza riducono al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta.
DURATA DELL’EVENTUALE CONSERVAZIONE
In linea con il principio di proporzionalità anche l’eventuale conservazione temporanea è commisurata al grado di indispensabilità e per il solo tempo necessario a raggiungere la finalità perseguita.
La conservazione è a poche ore o, al massimo, alle 24 ore successive alla rilevazione, fatte salve speciali esigenze in relazione a festività o chiusura di uffici, a richieste dell’autorità giudiziaria, a speciali esigenze tecniche o per la particolare rischiosità dell’attività svolta dal titolare. In quest’ultimo caso il termine più ampio di conservazione dei dati non può comunque superare la settimana.
La definizione della politica di sicurezza dell’ente
E’ la fase organizzativa più importante e delicata da affrontare, che vede coinvolti il redattore del presente progetto con il responsabile di progetto incaricato dal Comune di Anzola dell’Xxxxxx.
Occorre precisare che per quanto riguarda la gestione dei dati sensibili su supporto cartaceo vale la regola generale, condivisa dall’intera organizzazione ed opportunamente esplicitata nel manuale di istruzione dei diversi incaricati, in base alla quale alla fine di ciascun trattamento autorizzato devono essere riposti sotto chiave nei relativi archivi.
Si procede invece all’analisi dei dati elettronici che si articola in 4 punti:
1. Chi-fa-cosa dentro , ovvero chi, all’interno dell’organizzazione ha diritto di accedere a dati (digitali o cartacei), in che orari, con che diritti, che server ha diritto di utilizzare, quali applicazioni, ecc.
2. Chi-fa-cosa fuori, ovvero chi ha diritto di uscire verso Internet, verso i clienti, partners, fornitori, che ha diritto di usare un modem, chi ha diritto di fare qualunque cosa che, nell’esercizio delle proprie funzioni, entri in relazione con il mondo esterno.
3. Chi, interno, fa cosa da fuori ovvero chi, membro dell’organizzazione, ha necessità di accedere dall’esterno alla rete dell’ente con che diritti e per fare cosa.
4. Chi, esterno, può fare cosa da fuori, ovvero chi esterno all’organizzazione, come un fornitore o un partner, può fare cosa nel momento in cui accede ai sistemi informativi, digitali o cartacei, della organizzazione.
a. Rapporti con aziende esterne all’organizzazione assimilabili a titolari del trattamento.
Chi-fa-cosa dentro
In questa fase si analizza chi, all’interno dell’organizzazione ha diritto di accedere a dati elettronici, in che orari, con che diritti, che server ha diritto di utilizzare, quali applicazioni, ecc..
Legenda: R sta per read (diritto di lettura) e W sta per write (diritto di scrittura).
Tavola 16.: chi-fa-cosa dentro
Gruppi | Server | Diritti | Orari |
Direzione Generale | File Server | R/W per la directory di area e nessuno per le altre | Nessuna limitazione |
Altri server | Non applicabile | Non applicabile | |
DB Server gestionale | R/W | Nessuna limitazione |
Gruppi | Server | Diritti | Orari |
E-Mail server | Non applicabile | Nessuna limitazione | |
Applicazioni gestionali | R/W | Nessuna limitazione | |
Servizi di gestione | Nessuno | Non applicabile | |
Nucleo Tecnico di Valutazione | File Server | R/W per la directory di area e nessuno per le altre | Nessuna limitazione |
Altri server | Non applicabile | Nessuna limitazione | |
DB Server gestionale | R/W | Nessuna limitazione | |
E-Mail server | Non applicabile | Non applicabile | |
Applicazioni gestionali | R/W | Nessuna limitazione | |
Servizi di gestione | Nessuno | Non applicabile | |
Comitato di Direzione | File Server | R/W per la directory di area e nessuno per le altre | Nessuna limitazione |
Altri server | Non applicabile | Nessuna limitazione | |
DB Server gestionale | R/W | Nessuna limitazione | |
E-Mail server | Non applicabile | Non applicabile | |
Applicazioni gestionali | R/W | Nessuna limitazione | |
Servizi di gestione | Nessuno | Non applicabile | |
Area Amministrativo / Istituzionale | File Server | R/W per la directory di area e nessuno per le altre. Diritti di amministrazione per l’utente Rendano | Nessuna limitazione |
Altri server | Non applicabile | Nessuna limitazione |
Gruppi | Server | Diritti | Orari |
DB Server gestionale | R/W. Diritti di amministrazione per l’utente Rendano | Nessuna limitazione | |
E-Mail server | Non applicabile | Non applicabile | |
Applicazioni gestionali | R/W. Diritti di amministrazione per l’utente Rendano | Nessuna limitazione | |
Servizi di gestione | Diritti di amministrazione per l’utente Rendano | Nessuna limitazione | |
Area Servizi alla Persona | File Server | R/W per la directory di area e nessuno per le altre | Nessuna limitazione |
Altri server | Non applicabile | Non applicabile | |
DB Server gestionale | R/W | Nessuna limitazione | |
E-Mail server | Non applicabile | Nessuna limitazione | |
Applicazioni gestionali | R/W | Nessuna limitazione | |
Servizi di gestione | Nessuno | Non applicabile | |
Area Lavori Pubblici e ambiente | File Server | R/W per la directory di area e nessuno per le altre | Nessuna limitazione |
Altri server | Non applicabile | Non applicabile | |
DB Server gestionale | R/W | Nessuna limitazione | |
E-Mail server | Non applicabile | Nessuna limitazione | |
Applicazioni gestionali | R/W | Nessuna limitazione | |
Servizi di gestione | Nessuno | Non applicabile | |
Area Urbanistica e Attività Produttive | File Server | R/W per la directory di area e nessuno per le altre | Nessuna limitazione |
Gruppi | Server | Diritti | Orari |
Altri server | Non applicabile | Non applicabile | |
DB Server gestionale | R/W | Nessuna limitazione | |
E-Mail server | Non applicabile | Nessuna limitazione | |
Applicazioni gestionali | R/W | Nessuna limitazione | |
Servizi di gestione | Nessuno | Non applicabile | |
Area Econ/Finanz: e controllo | File Server | R/W per la directory di area e nessuno per le altre | Nessuna limitazione |
Altri server | Non applicabile | Non applicabile | |
DB Server gestionale | R/W | Nessuna limitazione | |
E-Mail server | Non applicabile | Nessuna limitazione | |
Applicazioni gestionali | R/W | Nessuna limitazione | |
Servizi di gestione | Nessuno | Non applicabile | |
Corpo di Polizia Municipale | File Server | R/W per la directory di area e nessuno per le altre | Nessuna limitazione |
Altri server | Non applicabile | Non applicabile | |
DB Server gestionale | R/W | Nessuna limitazione | |
E-Mail server | Non applicabile | Nessuna limitazione | |
Applicazioni gestionali | R/W | Nessuna limitazione | |
Servizi di gestione | Nessuno | Non applicabile |
Chi-fa-cosa fuori
In questa fase ci si sofferma su chi ha diritto di uscire verso Internet, verso i clienti, patners, fornitori, che ha diritto di usare un modem, chi a diritto di fare qualunque cosa che, nell’esercizio delle proprie funzioni entri in relazione con il mondo esterno.
Tavola 17.: chi-fa-cosa fuori
Gruppi | Servizi | Diritti | Orari |
Direzione Generale | Posta | R/W | Nessuna limitazione |
Navigazione | Nessuna limitazione | Nessuna limitazione | |
FTP | Nessuno | Nessuna limitazione | |
Nucleo Tecnico di Valutazione | Posta | R/W | Nessuna limitazione |
Navigazione | Nessuna limitazione | Nessuna limitazione | |
FTP | Nessuno | Nessuna limitazione | |
Comitato di Direzione | Posta | R/W | Nessuna limitazione |
Navigazione | Nessuna limitazione | Nessuna limitazione | |
FTP | Nessuno | Nessuna limitazione | |
Area Amministrativo / Istituzionale | Posta | R/W | Nessuna limitazione |
Navigazione | Nessuna limitazione | Nessuna limitazione | |
FTP | Nessuno se si eccettua Xxxxxxxxxxxx Xxxxxxx per il quale R/W | Nessuna limitazione | |
Area Servizi alla Persona | Posta | R/W | Nessuna limitazione |
Navigazione | Nessuna limitazione | Nessuna limitazione | |
FTP | Nessuno | Nessuna limitazione | |
Posta | R/W | Nessuna limitazione |
Gruppi | Servizi | Diritti | Orari |
Posta | R/W | Nessuna limitazione | |
Area Lavori Pubblici e | NFTaPvigazione | Nessunao limitazione | Nessuna limitazione |
ambiente Area Urbanistica e Attività Produttive | Posta | R/W | Nessuna limitazione |
Navigazione | Nessuna limitazione | Nessuna limitazione | |
FTP | Nessuno | Nessuna limitazione | |
Area Econ/Finanz: e controllo | Posta | R/W | Nessuna limitazione |
Navigazione | Nessuna limitazione | Nessuna limitazione | |
FTP | Nessuno | Nessuna limitazione | |
Posta | R/W | Nessuna limitazione | |
Navigazione | Nessuna limitazione | Nessuna limitazione | |
FTP | Nessuno | Nessuna limitazione |
Chi, interno, fa cosa da fuori
Oggetto dell’analisi è chi, membro dell’organizzazione, ha necessità di accedere dall’esterno alla rete dell’ente allo scopo di definire i diritti e per fare cosa.
Tavola 18.: chi, interno, fa-cosa da fuori
Gruppi | Persone | Diritti |
Direzione Generale | Nessuno | Nessuno |
Nucleo Tecnico di Valutazione | Nessuno | Nessuno |
Comitato di Direzione | Nessuno | Nessuno |
Area Amministrativo / Istituzionale | Nessuno | Nessuno |
Area Servizi alla Persona | Nessuno | Nessuno |
Area Lavori Pubblici e ambiente | Nessuno | Nessuno |
Gruppi | Persone | Diritti |
Area Urbanis tica e Attività Produttive | Nessuno | Nessuno |
Area Econ/Finanz: e controllo | Nessuno | Nessuno |
Corpo di Polizia Municipale | Nessuno | Nessuno |
Occorre ricordare che gli utenti eventualmente autorizzati entrano con gli stessi diritti di quando lavorano in LAN, ovvero dal proprio posto di lavoro interno.
Chi, esterno, può fare cosa da fuori o, in casi definiti, da dentro
Infine analizziamo chi esterno all’organizzazione, come un fornitore o un patner, può fare cosa nel momento in cui accede ai sistemi informativi interni all’organizzazione.
Tavola 19.: chi, esterno,può fare-cosa da fuori o, in casi definiti, da dentro
Azienda | Server o apparecchiatura o servizio | Diritti | Orari |
Cedaf | Server Anzola su Data Base SISA WINASS e router Calderara e Zola Predosa | R/W Amministrazione | Nessuna limitazione |
Datagraph | Tutti i dati gestionali ricevuti per analisi | R/W Amministrazione | Nessuna limitazione |
Officine Digitali | Server Web del Comune | R/W Amministrazione | Nessuna limitazione |
Provincia di Bologna | Dati dell’osservatorio scolastico | R | Nessuna limitazione |
Longwave | Assistenza su fibra ottica o cablaggio | R | Solo in orario di ufficio perché è richiesta la presenza del personale interno |
Geovest | Applicazione anagrafe e tributi | R | Nessuna limitazione |
Gestline | Anagrafe comunale | R | Nessuna limitazione |
VEM Sistemi | Firewall e Router LEPIDA | R/W | Nessuna limitazione |
Xxxxxxx S.p.A. | Rette scolastiche, preparazione pasti | R/W per le rete e R per i pasti | Nessuna limitazione |
Manutencoop | Potenzialmente tutti i dati cartacei | Nessuno | Orari previsti dal contratto |
Rapporti con aziende esterne all’organizzazione assimilabili a titolari del trattamento: regola
19.7 dell’Allegato B al Codice
Allo scopo di assicurare un servizio di manutenzione ordinaria gestito in outsorcing è necessario che alcune società esterne possano intervenire sui sistemi informativi dell’ente. Dette società prestano l’assistenza dovuta al fine di garantire la continuità del servizio, il ripristino dei sistemi in caso di fault, blocco o disastro.
Per l’elenco delle suddette società è possibile fare riferimento al piano di sicurezza dell’ente al paragrafo precedente dal titolo: “Chi esterno fa cosa da fuori”.
In questo paragrafo si intende, invece, sottolineare che i rapporti con queste strutture sono regolati da una apposita convenzione che le nomina “responsabili esterni all’organizzazione” ai sensi dell’art. 29 del d.lgs n. 196/2003.
Nella convenzione si fa presente che le società esterne che intervengono sul sistema informativo dell’ente avendo, di regola, diritti di amministratore, in teoria possono fare tutto. In ragione di ciò è imposto loro di intervenire solo con atti necessari alla prestazione dei servizi oggetto di contratto. E’ fatto loro esplicito divieto di consultare, copiare, cancellare e fare qualunque operazione sui dati oggetto di trattamento, a meno di diversa autorizzazione scritta da parte del responsabile del trattamento dei dati. È fatto inoltre divieto, salvo diversa autorizzazione scritta da parte dell’amministratore dei sistemi, di cancellare i log riportanti “chi ha fatto cosa ” sui dati.
Securelaw
Securelaw: verifica degli adempimenti formali
Dati residenti su elaboratori elettronici
Tavola 20.: riepilogo adempimenti formali per dati residenti su elaboratori elettronici
Ade mpimenti formali | Persona fisica o giuridica interessata | Modalità/conseguenze |
Censimento delle banche dati. | Il gruppo di lavoro di progetto. | Espletata con il presente documento. |
Notifica al garante | Non necessaria in quanto l’ente non gestisce alcun dato di quelli previsti all’art 37 comma 1 del D.lgs. 196/2003 | |
Identificazione del titolare del trattamento dei dati. | Il Comune di Anzola dell’Xxxxxx nella persona del legale rappresentante, il Sig. Xxxxx Xxxx | |
Identificazione del/dei responsabili del trattamento dei dati (colui che è preposto al trattamento dei dati e che è soggetto alla vigilanza del titolare). | Con delibera di Giunta numero 12 del 22/1/1998 sono stati nominati responsabili tutti i direttori d’area evidenziati nell’organigramma. | Nomina per iscritto riconfermata con il presente atto. |
Amministratore di sistema (è il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione). | Xxxxxxxxxxxx Xxxxxxx | Nominato per iscritto riconfermato con il presente atto. |
Il custode delle chiavi - o password (persona fisica che opera in costante contatto con gli incaricati e che ha il compito di custodire la password da | Non è previsto |
Ade mpimenti formali | Persona fisica o giuridica interessata | Modalità/conseguenze |
essi stabilita ed annotata in busta chiusa conservata in armadio sotto chiave). | ||
Identificazione degli incaricati (persona fisica che provvede quotidianamente al trattamento). | Tutti gli utenti definiti nel presente documento. | È tenuto ad operare secondo le istruzioni e le direttive impartite in forma scritta dal titolare e dal responsabile. |
Interessato (è la persona fisica o giuridica alla quale si riferiscono i dati) | Tutti coloro che vengono in contatto diretto con l’ente | Deve dare l’assenso al trattamento dei propri dati per iscritto |
Securelaw: verifica degli adempimenti sostanziali
Occorre innanzitutto ribadire la regola generale che vige all’interno dell’ente per ciò che concerne i dati elettronici, che consiste nella comunicazione, avvenuta anche attraverso i corsi di formazione istituiti, a tutti gli incaricati del divieto di archiviare alcun tipo di dato sul proprio posto di lavoro/personal computer, pena l’acquisizione della piena responsabilità del trattamento di quei dati e le relative conseguenze civili e penali in capo all’incaricato/responsabile in caso di perdita e trafugamento dei dati medesimi.
Nel d.lgs. n. 196/2003 il legislatore richiede di adottare misure idonee volte a garantire la sicurezza e l’integrità dei dati: è opinione corrente della giurisprudenza che si debba intendere che tali misure siano scelte in relazione alle conoscenze acquisite in base al progresso tecnologico. Di conseguenza, per rispettare la normativa in vigore, è necessario aggiornarsi continuamente alle più recenti misure di protezione degli archivi di dati che siano rese disponibili dal produttore o dal mercato nel suo complesso.
Il d.lgs. n. 196/2003, Allegato B richiede di adottare misure minime che non si limitano alla protezione in senso tecnico dei sistemi informatici, ma si estendono: alla predisposizione di impianti antincendio che prevengano la distruzione di archivi, alla trasmissione degli stessi a società specializzate per l’archiviazione in armadi protetti, alla pianificazione di regole interne per la disciplina del comportamento degli incaricati (es. non attaccare memo di carta riportanti la password sul monitor del PC), ecc.
Si prende atto che l’ente dichiara di essere in linea con quanto previsto dalla normativa: di seguito si riepilogano le azioni poste in essere.
Adempimenti sostanziali dati elettronici
Tavola 21.: riepilogo adempimenti sostanziali per dati residenti su elaboratori elettronici
Adempimenti sostanziali |
a) Password per l’accesso ai dati con dovere per l’utente di cambiarla. |
b) Nomina di almeno un amministratore di sistema (Xxxxxxxxxxxx Xxxxxxx come da adempimenti formali). |
c) Uno user-id per ogni incaricato, user-id che deve essere cancellato entro sei mesi dal termine dell’incarico. |
d) Programma antivirus sia lato server che lato personal computer che è aggiornato ogni volta che il produttore rilascia la disponibilità di un aggiornamento. Il prodotto adottato è dato dalla suite della Trend Micro, ovvero Server Protect per tutti i server e Office Scan per tutti i client |
e) Sistema di sicurezza che prevenga l’azione degli hackers (pirati informatici), anti intrusione e volto ad evitare accessi non autorizzati. |
f) Redazione del documento programmatico sulla sicurezza dei dati. |
g) È stato redatto un manuale contenente le istruzioni per gli incaricati che comprende: 1. L’elencazione specifica degli incaricati. |
2. La descrizione del profilo assegnato nell’ambito dello svolgimento delle mansioni previste dall’incarico, con riferimento al trattamento dei dati personali. 3. L’elencazione dei dati a cui possono avere accesso e delle eventuali restrizioni (autorizzazione che deve essere limitata ai soli dati la cui conoscenza è necessaria e sufficiente per lo svolgimento delle operazioni di trattamento). 4. Il comportamento da assumere in caso di malfunzionamento del sistema (può anche essere semplicemente l’indicazione di richiedere l’intervento dell’assistenza tecnica). 5. Le istruzioni per l’utilizzo dei supporti magnetici. 6. Elenco ed ubicazione degli elaboratori abilitati alla connessione verso l’esterno. 7. Altre eventuali specifiche istruzioni. |
h) Xxxxxx una volta all’anno il titolare, o se designato, il responsabile, devono verificare la correttezza di tali informazioni e, se necessario, provvedere alla loro modifica |