Regolamento amminist..

Regione Calabria
Azienda Sanitaria Provinciale Cosenza
UOC AFFARI GENERALI
REGOLAMENTO CONCERNENTE LA NOMINA E LE FUNZIONI DELL’AMMINISTRATORE DI SISTEMA E GLI
ADEMPIMENTI IN MATERIA DI OSSERVANZA DELLE MISURE DI SICUREZZA PRIVACY
ARTICOLO 1 - SCOPO DEL REGOLAMENTO
Il presente regolamento ha lo scopo di delineare e dettare le procedure di nomina e di attribuzione delle
funzioni degli amministratori di sistema, nonché gli adempimenti in materia di privacy e, in particolare,
l’adozione di specifiche misure e cautele in riferimento alle mansioni svolte dagli amministratori di sistema
e dai soggetti (di profilo anche non strettamente tecnico-informatico) ad essi assimilabili, previsti dai
seguenti provvedimenti dell’ Autorità Garante per la protezione dei dati personali:
• Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di amministratore di sistema- 27 novembre 2008;
• Proroga delle misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti
elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 12 febbraio 2009;
• Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti
effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga
dei termini per il loro adempimento -25 giugno 2009.
ARTICOLO 2 – DEFINIZIONI
Dati personali: qualunque informazione relativa ad un soggetto - persona fisica, persona giuridica, ente od
associazione - identificato o identificabile (anche indirettamente, mediante riferimento a qualsiasi altra
informazione, compreso un numero di identificazione personale).
Trattamento: qualunque operazione o complesso di operazioni effettuato sui dati personali (raccolta,
registrazione, organizzazione, conservazione; consultazione, elaborazione, modificazione, selezione,
estrazione, raffronto, utilizzo. interconnessione, blocco comunicazione, diffusione, cancellazione,
distruzione di dati). Rientrano nella nozione di trattamento anche le operazioni effettuate senza l’ausilio di
strumenti elettronici, nonché quelle relative ad informazioni non organizzate in banche dati.
Titolare: il soggetto persona fisica, persona giuridica, pubblica amministrazione o qualsiasi altro ente,
associazione od organismo - cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle
finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della
sicurezza. Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o
da un qualsiasi altro ente, associazione od organismo, titolare del trattamento l’entità nel suo complesso.
Responsabile: Il soggetto - persona fisica,, persona giuridica, Pubblica Amministrazione o qualsiasi altro
ente, associazione od organismo - preposto dal titolare al trattamento di dati personali.
Incaricato: la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal
responsabile,. in pratica chi materialmente effettua le operazioni di trattamento di dati.
Interessato: il soggetto (persona fisica, persona giuridica, ente o associazione) cui si riferiscono i dati
personali.
Garante per la Protezione dei dati personali: organo collegiale che ha tra l’altro il compito di:
- controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile;
esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati;
prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di
rendere il trattamento conforme alle disposizioni vigenti;
vietare anche d ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne
il blocco;
- promuovere la sottoscrizione di codici deontologici;
- esprimere pareri nei casi previsti.
1
Regione Calabria
Azienda Sanitaria Provinciale Cosenza
UOC AFFARI GENERALI
ARTICOLO 3 - ADEMPIMENTI PREVISTI
Con il presente regolamento L’ASP di Cosenza intende procedere ai seguenti adempimenti:
individuare coloro che ricadono nella categoria di "amministratore di sistema"
valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali "amministratore di
sistema" che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia
di trattamento ivi compreso il profilo relativo alla sicurezza
designare tali "amministratore di sistema" in modo individuale con l'elencazione analitica degli
ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. L’incarico deve essere
attribuito unicamente in via individuale e dunque non ad una società
verificare l'operato degli amministratori di sistema, con cadenza almeno annuale, in modo da
controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai
trattamenti dei dati personali previste dalle norme vigenti
registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori
di sistema, mediante l’adozione di sistemi idonei alla registrazione degli accessi logici
(autenticazione informatica).
La Registrazione degli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli
amministratori di sistema, avviene mediante l’adozione di sistemi idonei alla registrazione degli accessi
logici.
Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di
verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste (non
sono ammesse descrizioni abbreviate).
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate
e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
-
ARTICOLO 4- SOGGETTI INTERESSATI
Soggetto interessato al presente regolamento è l’ amministratore di sistema, quale figura professionale
dedicata alla gestione e alla manutenzione di impianti di elaborazione (compresi i sistemi di gestione delle
basi di dati, i sistemi software complessi, le reti locali e gli apparati dì sicurezza) con cui vengano effettuati
trattamenti di dati personali, e nella misura in cui consentano di intervenire sui dati personali.
Rientrano in questa accezione ampia di Amministratore di sistema le figure chiamate a svolgere funzioni
che comportano la concreta capacità di accedere, in modo privilegiato, a risorse del sistema informativo e a
dati personali (anche qualora non siano preposte a operazioni che implicano una comprensione del
dominio applicativo), e nella misura in cui sono, nelle loro consuete attività tecniche responsabili di fasi
lavorative che possono comportare elevate criticità rispetto alla protezione dei dati, quali:
• salvataggio dei dati (backup/recovery);
• organizzazione dei flussi di rete;
• gestione dei supporti di memorizzazione;
• custodia delle credenziali di autenticazione e di autorizzazione;
• gestione dei sistemi di autenticazione e di autorizzazione;
• manutenzione hardware.
Possono dunque qualificarsi quale Amministratori di sistema i seguenti soggetti:
 amministratori di Sistemi di autenticazione;
 amministratori di server;
 amministratori di apparati rete;
 amministratori di base di dati;
 amministratori di apparati di sicurezza;
 amministratori di applicazioni.
2
Regione Calabria
Azienda Sanitaria Provinciale Cosenza
UOC AFFARI GENERALI
Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (per es. per
scopi di manutenzione a seguito di guasti o malfunzionamenti) sui sistemi di elaborazione e sui sistemi
software.
ARTICOLO 5 - ELABORAZIONE DOCUMENTO ANNUALE AMMINISTRATORI DI SISTEMA
L’ASP di Cosenza, in collaborazione con l’Ufficio Privacy e l’UOC Gestione Servizi informatici - CED, delibera
annualmente un documento (per la disponibilità di dati in caso di accertamenti da parte del Garante)
contenente:
l’aggiornamento dell’elenco degli amministratori di sistema, includente gli estremi identificativi
degli amministratori di sistema e l'elenco delle funzioni loro attribuite, secondo il modulo allegato
al presente regolamento (Allegato 1);
La verifica della rispondenza dell’operato dell’amministratore di sistema alle misure organizzative,
tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
ARTICOLO 6 - NOMINA DELL’AMMINISTRATORE DI SISTEMA
Su indicazioni dei Direttori dei Distretti, Dipartimenti e Unità Operative Complesse, l’ASP di Cosenza
nomina gli amministratori di sistema con atto certo (informaticamente protocollato) sottoscritto dal
Direttore Generale e per accettazione dall’Amministratore di sistema nominato.
Nello stesso atto di nomina quale amministratore di sistema l’ASP di Cosenza, ai sensi degli artt. 4 comma 1
h) e 30 del Codice in materia di protezione dei dati personali (D.Lgs.196/2003 e s.m.i.) nomina
l’amministratore di sistema quale soggetto Incaricato del trattamento dei dati con una “elencazione
analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato”, secondo il
modulo allegato alla presente deliberazione (Allegato 2).
Qualora I’ attività degli amministratori di sistema riguardi servizi o sistemi che trattano informazioni di
carattere personale di dipendenti, l’ASP di Cosenza rende nota o conoscibile l’identità degli amministratori
di sistema nell’ ambito della propria organizzazione attraverso la pubblicazione sul sito aziendale.
Nel caso di servizi di amministrazione di sistema affidati in outsourcing l’Azienda conserverà in allegato al
documento annuale di cui all’articolo 3, per ogni eventuale evenienza, gli estremi identificativi delle
persone fisiche preposte quali amministratori di sistema dal fornitore del servizio, a sua volta, in accordo
con le prescrizioni di carattere generale, preventivamente individuato quale Responsabile esterno del
trattamento.
ARTICOLO 7 - COMPITI DELL’AMMINISTRATORE DI SISTEMA
I compiti dell’ Amministratore di sistema sono i seguenti:



sorvegliare il corretto funzionamento dei sistemi in senso generale e de sottosistemi specifici in
particolare;
sorvegliare il corretto funzionamento dei sistemi applicativi tramite il monitoraggio dei messaggi
prodotti dal sistema operativo e dai software di base;
a intervenire ogni qualvolta venga evidenziato un malfunzionamento, un guasto o una anomalia
funzionale sui sistemi, sul software applicativo sui servizi erogati munite la piattaforma, per
diagnosticare il problema e ripristinare Il corretto funzionamento dei sistemi;
3
Regione Calabria
Azienda Sanitaria Provinciale Cosenza
UOC AFFARI GENERALI









intervenire periodicamente per verificare e, compatibilmente con i vincoli introdotti dai sistemi
applicativi ospiti, aggiornare il sistema operativo, i driver di periferiche, ed ogni componente dei
software di base per garantire l’allineamento della piattaforma con le versioni emesse dal fornitore;
provvedere alla configurazione ottimale del sistema per garantire il migliore equilibrio fra le
prestazioni erogate, la sicurezza operativa, la complessità/onerosità di gestione e mantenimento
nel tempo delle funzioni;
verificare il buon esito dei salvataggi dei backup;
intervenire prontamente in situazioni di emergenza o in caso di manutenzione ordinaria o
straordinaria per segnalare i bisogni dell’organizzazione ai fornitori esterni dell’assistenza tecnica,
coordinare e seguire gli interventi relativi, informare gli utenti e le strutture tecniche coinvolte;
segnalare eventuali problematiche dei sistemi o situazioni anomale ai dirigenti preposti ed
eventualmente, in caso di necessità, alla Direzione Aziendale;
definire e configurare gli utenti, gli account che devono operare sul sistema ed i parametri relativi,
attribuendo loro il profilo di autorizzazione indicato dal Responsabile del Trattamento cui il sistema
di supporto
cooperare all’installazione dei sistemi, monitorare la loro continuità operativa e la fruibilità
continuativa dei servizi da parte degli utenti, verificare la funzionalità delle interfacce e attivare e
disattivare i singoli processi software per garantire detta continuità di servizio in relazione agli
specifici contesti operativi
attuare operazioni sui file dei file system e sui file system stessi per soli scopi di manutenzione del
sistema, indagine diagnostica, installazione di applicazioni o di tool diagnostici o gestionali, tuning,
salvataggio, anche temporaneo, di dati e configurazioni, ripristino di condizioni normali di
funzionamento;
assumere tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere
al ricovero periodico degli stessi.
A causa della indifferenziata possibilità di accesso ai dati ed i conseguenti rischi per la riservatezza dei
soggetti interessati, l’amministratore di Sistema utilizza le relative funzioni e privilegi solo quando
necessario o indispensabile.
L’ amministratore di sistema inoltre :










tratta i dati personali in modo lecito e secondo correttezza ed esclusivamente per gli scopi inerenti
l’attività svolta nell’ambito delle proprie mansioni;
verifica, ove possibile, che tali dati siano esatti e, se lecito e necessario, li aggiorna;
verifica che tali dati siano pertinenti, completi e non eccedenti le finalità per le quali sono stati
raccolti o successivamente trattati;
tratta tali dati rispettando le misure di sicurezza previste dalla normativa in materia di privacy e in
particolare dalle indicazioni previste dall’Allegato B al “Codice di protezione in materia di dati
personali” (D.Lgs.196.2003 e s.m.i.);
non utilizza a fini privati i dati cui accede;
non consente a terzi non legittimati l’accesso ai dati ottenuti in ragione dell’espletamento dei
propri compiti;
non divulga eventuali dati riservati di cui venisse a conoscenza;
non interferisce illegittimamente nel lavoro altrui;
non altera illegittimamente o danneggia i dati cui accede;
non effettua controlli illegittimi sulla attività degli utenti del sistema.
4
Regione Calabria
Azienda Sanitaria Provinciale Cosenza
UOC AFFARI GENERALI
5
Allegato 1
AZIENDA SANITARIA PROVINCIALE DI’ COSENZA
SCHEDA ANNUALE AMMINISTRATORI DI SISTEMA
Amministratore di sistema Funzioni
(system administrator)
(nome, cognome, qualifica)
Amministratore di base di
dati (database administrator)
(nome, cognome, qualifica)
Amministratore
di
rete
(network administrator)
(nome, cognome, qualifica)
Tipologia banca Servizio di
dati sulla quale riferimento
si interviene
Direttore
/Responsabile del
Servizio di
riferimento
Regione Calabria
Azienda Sanitaria Provinciale Cosenza
UOC AFFARI GENERALI
6
Allegato 2
Atto di nomina Amministratore di Sistema e istruzioni
Egr. Dott. ___________________________________________
L’ASP di Cosenza in qualità di Titolare del trattamento dei dati presso l’azienda sanitaria medesima,
ai sensi dei Provvedimenti del Garante per la protezione dei dati personali:
• Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di amministratore di sistema- 27 novembre 2008;
• Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti
effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga
dei termini per il loro adempimento -25 giugno 2009.
dato il rapporto di lavoro con Lei in essere, la sua qualifica di assegnazione e la documentata
preposizione alla unità operativa di appartenenza,
considerando che le prestazioni da lei effettuate in via ordinaria forniscono idonea garanzia del
pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla
sicurezza
CON LA PRESENTE LA NOMINA
AMMINISTRATORE DI SISTEMA
Con le seguenti funzioni__________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
I compiti dell’ Amministratore di sistema sono i seguenti:





sorvegliare il corretto funzionamento dei sistemi in senso generale e de sottosistemi specifici in
particolare;
sorvegliare il corretto funzionamento dei sistemi applicativi tramite il monitoraggio dei messaggi
prodotti dal sistema operativo e dai software di base;
a intervenire ogni qualvolta venga evidenziato un malfunzionamento, un guasto o una anomalia
funzionale sui sistemi, sul software applicativo sui servizi erogati munite la piattaforma, per
diagnosticare il problema e ripristinare Il corretto funzionamento dei sistemi;
intervenire periodicamente per verificare e, compatibilmente con i vincoli introdotti dai sistemi
applicativi ospiti, aggiornare il sistema operativo, i driver di periferiche, ed ogni componente dei
software di base per garantire l’allineamento della piattaforma con le versioni emesse dal fornitore;
provvedere alla configurazione ottimale del sistema per garantire il migliore equilibrio fra le
prestazioni erogate, la sicurezza operativa, la complessità/onerosità di gestione e mantenimento
nel tempo delle funzioni;
Regione Calabria
Azienda Sanitaria Provinciale Cosenza
UOC AFFARI GENERALI







verificare il buon esito dei salvataggi dei backup;
intervenire prontamente in situazioni di emergenza o in caso di manutenzione ordinaria o
straordinaria per segnalare i bisogni dell’organizzazione ai fornitori esterni dell’assistenza tecnica,
coordinare e seguire gli interventi relativi, informare gli utenti e le strutture tecniche coinvolte;
segnalare eventuali problematiche dei sistemi o situazioni anomale ai dirigenti preposti ed
eventualmente, in caso di necessità, alla Direzione Aziendale;
definire e configurare gli utenti, gli account che devono operare sul sistema ed i parametri relativi,
attribuendo loro il profilo di autorizzazione indicato dal Responsabile del Trattamento cui il sistema
di supporto
cooperare all’installazione dei sistemi, monitorare la loro continuità operativa e la fruibilità
continuativa dei servizi da parte degli utenti, verificare la funzionalità delle interfacce e attivare e
disattivare i singoli processi software per garantire detta continuità di servizio in relazione agli
specifici contesti operativi
attuare operazioni sui file dei file system e sui file system stessi per soli scopi di manutenzione del
sistema, indagine diagnostica, installazione di applicazioni o di tool diagnostici o gestionali, tuning,
salvataggio, anche temporaneo, di dati e configurazioni, ripristino di condizioni normali di
funzionamento;
assumere tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere
al ricovero periodico degli stessi.
CON LA STESSA INOLTRE LEI È NOMINATO
INCARICATO DEI TRATTAMENTI DEI DATI PERSONALI
Specificatamente e limitatamente a tale contesto i suoi compiti consistono in:








generare, sostituire ed invalidare, in relazione agli strumenti ed alle applicazioni informatiche
utilizzate le parole chiave ed i codici di accesso personali da assegnare agli incaricati del
trattamento dati, nel rispetto delle misure di sicurezza;
disattivare i codici identificativi personali, in caso di perdita della qualità che consentiva
all’incaricato l’accesso all’elaboratore, oppure nel caso di mancato utilizzo dei codici identificativi
personali per oltre sei mesi;
assicurare la custodia delle credenziali per la gestione dei sistemi di autenticazione e di
autorizzazione in uso in azienda;
predisporre e rendere funzionanti le copie di sicurezza (operazioni di backup e recovery) dei dati e
delle applicazioni;
predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai
sistemi di elaborazione e agli archivi elettronici; tali registrazioni (access log) devono avere
caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al
raggiungimento dello scopo di verifica per cui sono richieste;
adottare adeguati programmi antivirus, firewall ed altri strumenti software o hardware atti a
garantire la massima misura di sicurezza nel rispetto di quanto dettato dal D.Lgs 196/2003 ed
utilizzando le conoscenze acquisite in base al progresso tecnico software e hardware;
provvedere direttamente o dando specifiche istruzioni al personale competente alla distruzione e
smaltimento dei supporti informatici di memorizzazione logica o alla cancellazione dei dati per il
loro reimpiego;
controllare periodicamente l’efficienza dei sistemi informatici adottando gli accorgimenti necessari
a migliorare la sicurezza.
7
Regione Calabria
Azienda Sanitaria Provinciale Cosenza
UOC AFFARI GENERALI
A causa della indifferenziata possibilità di accesso ai dati ed i conseguenti rischi per la riservatezza dei
soggetti interessati, come amministratore di Sistema utilizzerà le relative funzioni e privilegi solo quando
necessario o indispensabile.
L’ amministratore di sistema inoltre :










tratta i dati personali in modo lecito e secondo correttezza ed esclusivamente per gli scopi inerenti
l’attività svolta nell’ambito delle proprie mansioni;
verifica, ove possibile, che tali dati siano esatti e, se lecito e necessario, li aggiorna;
verifica che tali dati siano pertinenti, completi e non eccedenti le finalità per le quali sono stati
raccolti o successivamente trattati;
tratta tali dati rispettando le misure di sicurezza previste dalla normativa in materia di privacy e in
particolare dalle indicazioni previste dall’Allegato B al “Codice di protezione in materia di dati
personali” (D.Lgs.196.2003 e s.m.i.);
non utilizza a fini privati i dati cui accede;
non consente a terzi non legittimati l’accesso ai dati ottenuti in ragione dell’espletamento dei
propri compiti;
non divulga eventuali dati riservati di cui venisse a conoscenza;
non interferisce illegittimamente nel lavoro altrui;
non altera illegittimamente o danneggia i dati cui accede;
non effettua controlli illegittimi sulla attività degli utenti del sistema
Gli ambiti di operatività consentiti in base al suo profilo di autorizzazione (cioè i trattamenti dei dati a lei
consentiti) sono:
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Le ricordiamo, che il provvedimento del Garante già citato, obbliga l’azienda alla “verifica” almeno annuale
delle attività svolte dall’amministratore di sistema in modo da controllare la sua rispondenza alle misure
organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali.
Per tutto quanto non espressamente previsto nel presente atto, si rinvia alle disposizioni generali vigenti in
materia di protezione dei dati personali.
Una copia del presente atto di nomina dovrà essere restituita alla UOC Affari Generali di questa Azienda,
debitamente firmato per accettazione.
Distinti saluti.
IL TITOLARE DEL TRATTAMENTO
Il Direttore Generale ASP COSENZA
_____________________________________________
Cosenza lì,___________________________________
Per accettazione
L’AMMINISTRATORE DEL SISTEMA
___________________________________
8