docDeliberazione 18/15 Aggiornamento DPS
download 
Reclamo Transcript
Deliberazione 18/15 Aggiornamento DPS
ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI DI VENEZIA Via Mestrina 86 – 30172 Mestre – VE Tel. 041 989479 – 989582 Fax 041 989663 e-mail: [email protected] DELIBERA N. 18/2015 Il Consiglio dell’Ordine dei Medici Chirurghi e degli Odontoiatri della Provincia di Venezia riunito nella seduta del 30.03.2015 alle ore 20.30 VISTA la deliberazione n. 11/2006 con cui veniva approvato il documento per la sicurezza del trattamento dei dati personali relativo all’anno 2006, successivamente rinnovato nel corso del 2007 con deliberazione n. 13/07, nel 2008 con deliberazione n. 6/2008, nel 2009 con deliberazione n. 24/09, nel 2010 con deliberazione n. 13/10, 2011 con deliberazione n. 11.11, nel 2012 con deliberazione n. 11/12, nel 2013 con deliberazione n. 4/13; VISTO la Legge 675/96, concernente la tutela delle persone e degli altri soggetti rispetto al trattamento dei dati personali, che prevede che entro il 31 marzo di ogni anno tale documento venga aggiornato; PRESA VISIONE del nuovo documento predisposto per l’anno 2015; CONSIDERATO che i Consiglieri, i Revisori dei Conti ed i Commissari dell’Ordine, pur non avendo accesso diretto alle postazioni informatiche e non conoscendo quindi le relative password, nell’esercizio della propria attività istituzionale accedono agli atti personali, sensibili e giudiziari degli iscritti in forma cartacea, quindi, nell’ambito esclusivo del loro mandato e per la natura stessa dell’incarico, devono essere considerati, de iure, incaricati del trattamento dei dati; ASCOLTATA la lettura da parte del Consigliere Segretario, dott. Luca Barbacane, della lettera di comunicazione istruzioni e delle istruzioni per gli incaricati; DELIBERA di approvare il DPS relativo all’anno 2015, predisposto sulla base del precedente documento approvato nel 2014, allegato in copia alla presente deliberazione e parte integrante della stessa; di considerare espletati gli adempimenti relativi all’affidamento dell’incarico per i Consiglieri, Commissari e Revisori dei Conti. f.to IL SEGRETARIO (dott. Luca Barbacane) f.to IL PRESIDENTE (dott. Maurizio Scassola) DPS AGGIORNAMENTO ANNO 2015 Effettuato da: ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI DI VENEZIA via Mestrina, 86 Mestre Ve Partita IVA: 00624780276 Telefono: 041-989478; 041-989582 1 Introduzione e scopo .............................................................................................................................. 6 2 Elenco dei trattamenti di dati personali (art. 19.1)................................................................................... 7 2.1 Applicabilità ....................................................................................................................................... 7 2.2 Revisione del documento .................................................................................................................. 7 2.3 Informazioni di carattere generale.................................................................................................... 7 2.4 Elenco delle banche dati ................................................................................................................... 8 3 Distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (art. 19.2) .................................................................................................................................................. 10 3.1 4 Compiti e responsabilità.................................................................................................................. 10 3.1.1 Compiti e nomina del Titolare del trattamento ...................................................................... 10 3.1.2 Identificazione del Titolare del trattamento dei dati: ............................................................. 11 3.1.3 Compiti e nomina del Responsabile del trattamento ............................................................. 11 3.1.4 Identificazione del Responsabile del trattamento: ................................................................. 11 3.1.5 Compiti e nomina dell’Amministratore di sistema ................................................................. 12 3.1.6 Amministratori incaricati ......................................................................................................... 12 3.1.7 Verifica delle attività ............................................................................................................... 14 3.1.8 Registrazione degli accessi ...................................................................................................... 14 3.1.9 Compiti degli Incaricati del trattamento ................................................................................. 14 3.1.10 Incaricati dei trattamenti di dati personali (controllo lettere di incarico): ............................. 15 Analisi dei rischi che incombono sui dati (art. 19.3) ............................................................................... 16 4.1 Identificazione, inventario ed analisi dei software ......................................................................... 16 4.2 Identificazione, inventario ed analisi dei supporti cartacei ............................................................ 16 4.3 Competenze e responsabilità delle strutture preposte ai trattamenti .......................................... 17 4.4 Utenti attivi con accesso ai computer ............................................................................................. 17 4.5 Identificazione e inventario dei computer e dispositivi .................................................................. 18 4.6 Cartelle condivise ............................................................................................................................ 19 4.7 Identificazione delle minacce/vulnerabilità .................................................................................... 20 5 Misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità (art. 19.4) ....................................................... 22 5.1 Contenuti ......................................................................................................................................... 22 5.2 Misure di sicurezza .......................................................................................................................... 22 5.2.1 Misure adottate per la garanzia dell’integrità e della disponibilità dei dati ........................... 22 5.2.2 Informazioni generali sul collegamento ad internet ............................................................... 23 5.2.3 Autenticazione degli incaricati del trattamento ..................................................................... 24 5.2.4 Protezione da virus informatici ............................................................................................... 25 5.2.5 Posta elettronica ..................................................................................................................... 27 5.2.6 Apparecchiature informatiche ................................................................................................ 28 5.2.7 Stampanti ................................................................................................................................ 28 5.2.8 Aree ad accesso limitato ......................................................................................................... 28 5.2.9 Misure adottate a protezione delle aree e dei locali .............................................................. 28 5.2.10 Archivio cartaceo generale ...................................................................................................... 28 6 Descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (art. 19.5) ...................................................................................................... 30 7 6.1 Contenuti ......................................................................................................................................... 30 6.2 Obiettivo del salvataggio ................................................................................................................. 30 6.3 Quali sono le cause per le quali si necessita di un ripristino? ......................................................... 30 6.4 Quanto indietro nel tempo ............................................................................................................. 30 6.5 Procedura dell’Ordine ..................................................................................................................... 30 6.6 Test periodici ................................................................................................................................... 31 6.7 Informazioni residue ....................................................................................................................... 31 Previsione di interventi formativi degli incaricati del trattamento (art. 19.6) ....................................... 32 8 Criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare (art. 19.7) ................ 32 9 Criteri da adottare per la cifratura o per la separazione dei dati personali idonei a rivelare lo stato di salute e la vita sessuale (di cui al punto 24) (art. 19.8) ................................................................................... 32 10 Utilizzo di dati pubblici ............................................................................................................................ 32 11 Allegati ..................................................................................................................................................... 34 11.1 Termini............................................................................................................................................. 34 11.2 Piano per la formazione .................................................................................................................. 35 11.3 Nota Integrativa al D.P.S. ................................................................................................................ 36 11.4 Annotazione .................................................................................................................................... 36 1 I ntroduzione e scopo Scopo di questo documento è stabilire le misure di sicurezza organizzative affinché siano rispettati gli obblighi, in materia di sicurezza, previsti dal d.l. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) di seguito chiamato Testo Unico sulla Privacy o anche Codice. Individua quindi le linee guida generali, le azioni e le misure per il trattamento dei dati personali in condizione di sicurezza con la finalità di ridurre al minimo, con riferimento alla tipologia dei dati trattati, i rischi di distruzione o perdita degli stessi, nonché i rischi di accesso non autorizzato, il trattamento non consentito o non conforme alle finalità di raccolta. L'ambito di validità e di osservanza delle regole contenute nel presente documento è l’Ordine dei Medici Chirurghi e Odontoiatri (di seguito chiamato Ordine), nei ruoli di Titolare e Responsabile ai sensi del Codice, per i trattamenti di dati personali gestiti nel Sistema Informatico e cartaceo. Va notato che molti dei dati gestiti nel Sistema Informatico hanno valore probatorio e pertanto devono opportunamente essere protetti, soprattutto per quanto riguarda la loro integrità, anche indipendentemente dagli obblighi derivanti dal Testo Unico sulla Privacy. Entro la scadenza prevista, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, ove designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1. L’elenco dei trattamenti di dati personali; 19.2. La distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; 19.3. L’analisi dei rischi che incombono sui dati; 19.4. Le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5. La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; 19.6. La previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7. La descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 19.8. Per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Nel seguito i termini Titolare, Responsabile, Incaricato, Trattamento e Dato personale sono usati in conformità alle definizioni del Codice e secondo quanto meglio dettagliato nella tabella Termini. Il sistema informatico descritto nel presente documento deve ritenersi sicuro in quanto intende garantire la disponibilità, l’integrità e l’autenticità, nonché la riservatezza dell’informazione e dei servizi per il trattamento, attraverso l’attribuzione di specifici incarichi, la certificazione delle fonti di provenienza dei dati e le istruzioni per le persone autorizzate ad effettuare i trattamenti. 2 E lenco dei trattamenti di dati personali (art. 19.1) 2.1 Applicabilità Il presente Documento Programmatico sulla Sicurezza si applica all’intera struttura dell’Ente, sia informatica che non. In particolare, nel caso della struttura informatica, si applica a tutti i computer o dispositivi elettronici in grado di memorizzare dati. Il contenuto deve essere divulgato e spiegato a tutti gli incaricati. La parte che riguarda i dipendenti deve essere divulgata e spiegata a cura dei diretti responsabili. Eventuali situazioni di deviazione accertate rispetto a quanto precisato nel presente documento dovranno essere rimosse nel più breve tempo possibile. 2.2 Revisione del documento Il presente documento ha normalmente validità di un anno. La data prevista dalla legge entro la quale deve esser redatta la prima versione del documento è il 31 marzo 2006. Trascorso tale termine esso deve essere oggetto di revisione per essere adeguato ad eventuali variazioni del livello di rischio a cui sono soggetti i dati personali e ad eventuali modifiche della tecnologia informatica. Le successive modifiche devono essere apportate entro il 31 marzo di ogni anno. Nell’attesa dell’adeguamento conservano validità le regole in vigore. La stesura del presente documento è aderente alle seguenti linee guida: Analisi dello stato dell’organizzazione attraverso l’identificazione e distinzione delle responsabilità delle figure soggettive coinvolte nel trattamento; l’identificazione, l’inventario e l’analisi dell’hardware, del software e delle banche dati; 2.3 L’individuazione e la valutazione del rischio L’individuazione delle misure preventive e correttive L’individuazione di istruzioni agli incaricati e la previsione di un programma formativo. Informazioni di carattere generale L’Ordine si configura come un “Ente pubblico non economico” e fonda la sua attività sui principi descritti nelle leggi di riferimento: Legge istitutiva dell’Ordine: D. lgs del Capo provvisorio dello Stato 13 Settembre 1946, n. 233 (Ricostituzione degli Ordini delle professioni sanitarie e per la disciplina dell'esercizio delle professioni stesse) DPR.221 del 1950 DPR.409 del 1985. L’Ordine si fa quindi carico di tutte le competenze previste dalla suddetta normativa, svolgendo compiti che obbligano al trattamento di dati personali, sensibili e giudiziari degli iscritti. Si attesta che l’Ordine mantiene nei database di propria competenza tutti ed unicamente i dati giudiziari previsti dalla legge istitutiva sopra citata; in virtù dell’articolo 21 del d.l. 30 giugno 2003, n. 196 l’Ordine è quindi autorizzato al loro trattamento. 2.4 Elenco delle banche dati In questa sezione è inserito l’elenco delle banche dati di competenza dell’Ordine, interne o delegate all’esterno, con l’indicazione della natura dei dati trattati e della struttura (o reparto, funzione, ufficio, ecc.) interna od esterna in cui fisicamente sono situate le banche dati. E’ inoltre descritto un elenco di compiti e responsabilità associati ai vari attori della struttura. Può essere fatto riferimento anche ad analoghe documentazioni già predisposte dal titolare (ordinamenti, ordini di servizio, regolamenti interni). Per ciascuna banca dati sono riportate le seguenti informazioni, parte in questo capitolo e parte nel capitolo 4 Analisi dei rischi che incombono sui dati (art. 19.3): Identificativo banca dati: consiste in un codice, facoltativo ma utile per il titolare in quanto consente un’identificazione univoca e più rapida di ciascuna banca dati nella compilazione delle altre tabelle Descrizione banca dati: descrive la banca dati in modo da consentire una comprensione immediata della tabella Finalità del trattamento: motivazioni per le quali la banca dati è tenuta Natura dei dati trattati: viene indicato se i dati archiviati in ogni banca dati sono personali, sensibili o giudiziari Struttura di riferimento: indica la struttura (o reparto, funzione, ufficio, ecc.) all’interno della quale risiede la banca dati. Supporto impiegato (Tipo di banca dati): viene indicata la tipologia di banca dati. Si noti che una banca dati può essere sia informatizzata che cartacea, solo informatizzata o solo cartacea Localizzazione fisica della banca dati: riferimento della localizzazione della banca dati all’interno della struttura dell’Ordine Software di accesso: nel caso di banca dati informatizzata, viene indicato l’eventuale software di accesso ai dati ove ritenuto rilevante. Di seguito l’elenco delle banche dati interne. Nel caso in cui il supporto sia informatico, i compiti vengono svolti con l’utilizzo di apparecchiature informatiche e software specialistici. ID Descrizione della banca dati Finalità del trattamento ALB Gestione anagrafica degli iscritti Tenuta albo ex art.3 D.Lgs.C.P.S. 233/46 No Informatic o e cartaceo CNT Gestione dei fornitori e dei nominativi soggetti alla contabilità dell’ente, contabilità in genere, mandati e reversali Predisposizione Bilanci e relativi doc. contabili ex Regolamento Contabile Ordine e DPR 221/50 No Informatic o e cartaceo PRT Gestione mittenti e destinatari del Tenuta del libro protocollo informatico protocollo in formato elettronico ed archiviazione degli atti anche su supporto cartaceo No Informatic o e cartaceo GPD Gestione del personale dipendente Sì Informatic o e cartaceo Amministrazione del rapporto di lavoro Natura dei dati trattati: dati sensibili ? Supporto impiegat o Nel caso di banche dati gestite esternamente, oltra alla sua identificazione si provvede alla nomina di un responsabile esterno appartenente alla società/ditta/ente fornitore in cui risiede la banca dati. Di seguito la tabella di riferimento: ID Descrizione della banca dati Natura dei dati trattati Soggetto esterno Descrizione dei criteri e degli impegni assunti per l'adozione delle misure AFS adempimenti fiscali Personali Dott. Piero Cagnin via Vittorio Veneto 23 30031 Dolo Trattamento dei dati ai soli fini dell'espletament o dell'incarico ricevuto GPD gestione del personale dipendente Personali Studio Dott. Bonzio Consulente del Lavoro Corso del Popolo, 146/C MESTRE Trattamento dei dati ai soli fini dell'espletament o dell'incarico ricevuto GPL Personali e giudiziari Avv.ti Mario GIORDANO Giorgio SPADARO Mestre Trattamento dei dati ai soli fini dell’espletament o dell’incarico ricevuto gestione delle pratiche legali 3 D istribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (art. 19.2) 3.1 Compiti e responsabilità L’Ordine dei Medici Chirurghi e Odontoiatri, si configura come il Titolare del trattamento. Il Presidente protempore, quale responsabile massimo dell’Ente, in piena responsabilità, predisporrà le opportune procedure atte a garantire la messa in sicurezza dei Dati personali, sensibili o giudiziari trattati, incaricando eventualmente un responsabile per la concreta realizzazione delle incombenze previste da questo documento. 3.1.1 Compiti e nomina del Titolare del trattamento Il Titolare del trattamento svolge un ruolo fondamentale nel sistema di gestione dei dati personali e di garanzia a tutela degli interessati. Spettano a lui le decisioni strategiche riguardo l’attività di trattamento dei dati. Nello specifico i compiti assegnati sono: Stabilire le finalità del trattamento si traduce nell’indirizzare le operazioni di trattamento dei dati, nell’avviarle all’interno dei binari di necessità, liceità, correttezza previsti dalla normativa. Le modalità operative devono corrispondere alle finalità definite dal titolare e rispondendo ai requisiti di legge, devono equilibrare l’utilizzo di strumenti elettronici o supporti cartacei. La sicurezza rappresenta l'elemento tecnico fondamentale per la tutela del diritto alla protezione dei dati personali; risulta evidente che l'impostazione delle misure di sicurezza debba rilevarsi come obbligo in capo al titolare del trattamento. In questo contesto l’Ordine dei Medici Chirurghi e Odontoiatri in qualità di Titolare, ed il Responsabile, assicureranno che il programma di sicurezza sia adeguatamente sviluppato, realizzato e mantenuto aggiornato e conforme al Testo Unico sulla Privacy ed alle prescrizioni del presente documento. Essi, nell’ambito della propria organizzazione, opereranno in modo da: • minimizzare la probabilità di appropriazione, danneggiamento o distruzione anche non voluta di apparecchiature informatiche o archivi informatici o cartacei contenenti dati personali • minimizzare la probabilità di accesso, diffusione e modifica delle informazioni personali senza previa autorizzazione • minimizzare la probabilità che i trattamenti di dati personali siano modificati senza previa autorizzazione. 3.1.2 Identificazione del Titolare del trattamento dei dati: Dott. Maurizio Scassola, Presidente pro tempore dell’OMCeO Ve C.F. SCSMRZ51T08L736I TEL. 041.989479 3.1.3 Compiti e nomina del Responsabile del trattamento La nomina del responsabile al trattamento viene effettuata con lettera di incarico. La nomina del responsabile al trattamento è stata controfirmata dall’interessato per accettazione e copia della lettera di nomina accettata viene conservata a cura del responsabile del trattamento in luogo sicuro. La nomina è a tempo indeterminato, e decade per revoca o dimissioni dello stesso. La nomina può essere revocata in qualsiasi momento dal titolare del trattamento senza preavviso, ed essere affidata ad altro soggetto. Il responsabile deve: Provvedere all’adattamento specifico per le esigenze dell’Ufficio del Documento Programmatico sulla Sicurezza dei Dati Provvedere all’effettiva realizzazione di quanto indicato nel Documento Programmatico sulla Sicurezza dei Dati, con l’avallo del CONSIGLIERE - SEGRETARIO Promuovere lo svolgimento di un continuo programma di addestramento degli Incaricati del Trattamento e mantenimento di un programma di controllo e monitoraggio della corrispondenza alle regole di sicurezza. 3.1.4 Identificazione del Responsabile del trattamento: Dott. Luca Barbacane, Consigliere Segretario pro tempore dell’OMCeO Ve (non accede agli archivi informatizzati) C.F. BRBLCU63M09L736A TEL. 041.989479 In sostituzione: Dott.ssa Carla Carli, Funzionario dell’Ordine C.F. CRLCRL69C50G224A Tel. 041.989479 3.1.5 Compiti e nomina dell’Amministratore di sistema (4.3 Elenco degli amministratori di sistema - Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante) La disciplina di protezione dei dati previgente al Codice del 2003 definiva l'amministratore di sistema, individuandolo quale "soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione" (art. 1, comma 1, lett. c) d.P.R. 318/1999). L’amministratore di sistema si occupa quindi di svolgere materialmente le operazioni necessarie a garantire il funzionamento del sistema informatico, sotto la direzione del responsabile del trattamento. La nomina di ciascun Amministratore di sistema viene effettuata con una lettera di incarico. La nomina dell’Amministratore di sistema viene inoltre controfirmata dall’interessato per accettazione e copia della lettera di nomina accettata viene conservata a cura del responsabile del trattamento in luogo sicuro. La nomina dell’amministratore di sistema è a tempo indeterminato, e decade per revoca o dimissioni dello stesso. 3.1.6 Amministratori incaricati Michele Rubin RBNMHL66P29I595D Tel. 049 8077145 3.1.6.1 Funzioni assegnate Specificatamente e limitatamente a tale contesto i compiti consistono in: • impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali effettuati con strumenti elettronici, conforme a quanto previsto dai punti da 1 a 8 del Disciplinare tecnico, allegato B) al D. Lgs. n. 196/2003; • assegnare, gestire, modificare, credenziali di autenticazione dei Responsabili ed Incaricati del trattamento dei dati; • verificare semestralmente la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. • collaborare con il “Titolare del trattamento” per la diffusione di idonee e preventive disposizioni/istruzioni agli incaricati; • predisporre/aggiornare un elenco degli utenti e delle autorizzazioni assegnate; • assicurarsi che le credenziali di ogni utente consentano accesso esclusivamente ai dati di propria competenza; • sovrintendere al funzionamento della rete informatica interna; • collaborare alla scelta del tipo di connettività Internet, sulla base delle necessità dell’Ente • attivare, amministrare/controllare con cadenza minima semestrale, i sistemi antintrusione router/firewall (hardware) e firewall di sistema (software); • attivare, amministrare/controllare con cadenza minima semestrale, sistemi antivirus e assimilati; • predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema e di database (nella sua qualità di “amministratore di sistema”); tali registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. • procedere ai controlli periodici con la cadenza ritenuta adeguata alla specifica realtà dell’Ente. Tali controlli non potranno comunque avvenire con frequenza inferiore a quella stabilita dalla legge. • collaborare alla verifica costante che l’Ente abbia adottato le misure minime di sicurezza per il trattamento dei dati personali, previste dall’art. 34 del D. Lgs. n. 196/2003, e dal Disciplinare tecnico, allegato B) al decreto legislativo medesimo, provvedendo senza indugio alla proposta degli adeguamenti eventualmente necessari; • suggerire al titolare del trattamento l’adozione e l’aggiornamento delle più ampie misure di sicurezza (strumenti e procedure) atte a realizzare quanto previsto dall’art. 31 del D. Lgs. n. 196/2003, che dispone che i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta; • collaborare, per le parti di competenza, all’aggiornamento, entro la data prevista, del documento programmatico sulla sicurezza, previsto dal punto 19 del Disciplinare tecnico, allegato B) al D. Lgs. n. 196/2003. • predisporre un piano di controlli periodici, da eseguirsi con cadenza almeno annuale, dell’efficacia delle misure di sicurezza adottate in azienda. E’ compito dell’Amministratore riferire periodicamente, ed in ogni caso con cadenza almeno trimestrale, al Titolare del trattamento sullo svolgimento dei compiti, dandogli inoltre piena collaborazione nello svolgimento delle verifiche periodiche circa il rispetto delle disposizioni di legge e l'adeguatezza delle misure di sicurezza adottate. Massimo Amoruso CODICE FISCALE MRSMSM79D07F205A Tel. 0498077145 3.1.6.2 Funzioni assegnate Specificatamente e limitatamente a tale contesto i compiti consistono in: • effettuare interventi di manutenzione/aggiornamento software su sistemi operativi ed applicativi, con particolare riguardo a quanto connesso alla sicurezza; • monitorare lo stato dei sistemi software, con particolare attenzione alla sicurezza e alle basi dati presso l’Ordine • predisporre le procedure per il salvataggio dei dati (backup), che sarà svolto poi da personale interno; • effettuare controlli periodici almeno semestrale di corretta esecuzione backup; • collaborare all’identificazione di idonee procedure per la custodia delle copie di sicurezza dei dati e per il ripristino della disponibilità dei dati e dei sistemi; 3.1.7 Verifica delle attività L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti) Ricordiamo, che il provvedimento del Garante già citato, obbliga l’Ente alla “verifica” almeno annuale delle attività svolte dall’amministratore di sistema in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme (art. 34 D. Lgs. n. 196/2003, Disciplinare tecnico, allegato B) del D. Lgs. n. 196/2003). 3.1.8 Registrazione degli accessi da parte degli Amministratori di sistema Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.) Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi; 3.1.9 Compiti degli Incaricati del trattamento E’ compito degli incaricati del trattamento di rispettare in particolare le informazioni ricevute relativamente alla sicurezza. Adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’Incaricato. Partecipare agli interventi formativi previsti dal Codice per essere edotti relativamente ai rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Informare tempestivamente il Responsabile in caso di incidente di sicurezza che coinvolga dati personali, sensibili o giudiziari. Sarà prodotto a cura del Custode delle password un documento che riassuma le autorizzazioni per ogni Incaricato del trattamento. La nomina di ciascun Incaricato del trattamento deve essere effettuata con una lettera di incarico. Ogni Incaricato del trattamento è responsabile della custodia e dell’eventuale uso improprio della propria password. La nomina di ciascun Incaricato del trattamento può essere revocata senza preavviso dal titolare del trattamento. 3.1.10 Incaricati dei trattamenti di dati personali (controllo lettere di incarico): 1. dott. Nicolin Giuliano, Presidente CAO pro tempore dell’OMCeO VE 2. I Consiglieri, i Commissari ed i Revisori dei Conti, pro tempore dell’OMCeO VE (non accedono agli archivi informatizzati) 3. Milan Rossella 4. Favaro Donatella 5. Ballan Alessandra 4 A nalisi dei rischi che incombono sui dati (art. 19.3) 4.1 Identificazione, inventario ed analisi dei software Software Tipo di trattamento effettuato Banca dati OFFICE (varie versioni) Gestione operativa dei dati comprensiva del pacchetto varie / tutte Word, Access, Excel TecSis Conto Gestione della contabilità CNT TecSis Iride Gestione dell’anagrafica ALB TecSis IrideDoc Gestione protocollo PRT 4.2 Identificazione, inventario ed analisi dei supporti cartacei Banca dati Ubicazione ALB Archivio blindato I°P. CNT Stanza Direttore I°P. Dati del personale dipendente Stanza Direttore I°P. PTR Archivio di Segreteria 4.3 Competenze e responsabilità delle strutture preposte ai trattamenti Struttura Banca dati/Trattamenti Effettuati Compiti e responsabilità Segreteria Ordine albo iscritti (ALB) Acquisizione, compilazione e conservazione dati professionali degli iscritti all'Ordine contabilità dipendenti (CNT) compensi a terzi (CNT) compensi ai componenti del consiglio (CNT) Protocollo (PRT) Consiglio Direttivo dell’Ordine Commissione Albo Odontoiatri Commissione Albo Medici Collegio dei Revisori dei Conti Presidente Vice-Presidente Segretario Tesoriere Presidente CAO Sulla base dei compiti loro assegnati dal DLgsCPS 233/46 e del D.P. 221/50, gestiscono l’attività istituzionale dell’ente dal punto di vista politico, amministrativo e contabile. Nell’ambito di tale attività acquisiscono informazioni riservate sugli iscritti ai rispettivi Albi dell’Ordine. 4.4 Utenti attivi con accesso ai computer Di seguito l’elenco Degli Utenti con accesso ai dati informatizzati: Ricevimento, emissione e registrazione fatture e documenti contabili, stampa registri Gestione indirizzario e nominativi dei mittenti e dei destinatari del protocollo Deliberazioni Attività di predisposizione della corrispondenza. Verbalizzazioni. Decisioni disciplinari. Scritture contabili. Ogni account è correlato in maniera specifica è una persona a parte l’account ‘Fotocopiatore’ correlato al servizio di scansione reso disponibile dal fotocopiatore di rete. Gli utenti ‘Amministratori’ sono Amministratori di sistema o loro delegati per le attività di assistenza tecnica. Gli utenti PresCAO e PresMED sono associati rispettivamente al Presidente dei Odontoiatri e al Presidente dei Medici. 4.5 Identificazione e inventario dei computer e dispositivi L’inventario completo di tutti i computer e server installati presso l’Ordine, con i dettagli di tutto il software installato in ogni singolo computer è disponibile nella come allegato al presente. I computer sono collegati nella network privata o LAN. L’Ordine non è organizzato in reparti. La struttura informatica dell’Ordine è rappresentata nel diagramma seguente: Una tabella sintetica è la seguente: Tipo di dispositivo Portatile Sistema operativo Windows Nome Produttore Modello Indirizzo IP Notebook LENOVO LENOVO-PC 192.168.0.38 Router cablato Router WIFI Altro SO ROUTER ZyXEL ZyXEL Prestige 661H 192.168.0.1 WIFI_OMCOVE ZyXEL Server SO sconosciuto Windows SERVER02 VMWare, Inc. 192.168.0.19 9 192.168.0.20 1 Server Altro SO VM-WARE 5.5 Stampante Altro SO SAMSUNG CLX-9250 Workstatio n Workstatio n Workstatio n Workstatio n Workstatio n Workstatio n Workstatio n Workstatio n Workstatio n Windows PC15 HewlettPackard Samsung Electronics Co., Ltd. Sconosciuto Prestige 660HW VMware Virtual Platform VM-WARE Windows PC20 Windows PC17 Windows PC19 Windows PC18 Windows Indirizzo MAC 74:29:AF:14: BF:CF 40:4A:03:A4: C2:6F 00:02:CF:5A: 46:EF 00:0C:29:B0: B6:35 192.168.0.20 2 192.168.0.12 9C:8E:99:59: FA:1C 00:15:99:5B: CE:84 Sconosciuto 192.168.0.14 HewlettPackard Sconosciuto 192.168.0.15 HewlettPackard Sconosciuto 192.168.0.10 PC13 HewlettPackard HewlettPackard HewlettPackard HewlettPackard Sconosciuto Sconosciuto 192.168.0.16 Windows PC14 Sconosciuto Sconosciuto 192.168.0.19 Windows PC09 FUJITSU Sconosciuto 192.168.0.23 Windows PC16 Sconosciuto Sconosciuto 192.168.0.18 6C:62:6D:DB :22:EB A0:48:1C:77: E2:D3 2C:44:FD:2D: 7F:2F A0:48:1C:77: 63:7C 2C:44:FD:32: 22:D0 6C:62:6D:E3: CA:D9 6C:62:6D:E2: 21:B1 00:19:99:58: DB:55 10:78:D2:DE: EC:FE SAMSUNG CLX-9250 192.168.0.13 192.168.0.11 4.6 Cartelle condivise Le cartelle condivise sono accessibili, in modo controllato, da parte deli utenti della LAN. Fisicamente sono memorizzate in SERVER02 e sono le seguenti: Tutte le cartelle sono protette da opportune autorizzazioni. La cartella più impostante è la SERVER02\Dati che contiene, opportunamente organizzati in sottocartelle, tutte le informazioni gestite dall’Ordine tramite file. I computer vengono utilizzati: Al piano interrato per le presentazioni in sala conferenza Al piano terra dagli incaricati degli uffici di segreteria Al piano superiore le postazioni vengono utilizzate dal Presidente dell’Ordine (titolare del trattamento), dal Presidente CAO e dal consulente commercialista. Questi ultimi accedono ai dati degli iscritti in sola lettura. 4.7 Identificazione delle minacce/vulnerabilità La tabella seguente, “Analisi delle minacce/vulnerabilità – elenco degli eventi”, riassume in maniera schematica le principali minacce alla sicurezza dei dati e delle corrispondenti misure di sicurezza adottata. EVENTO IMPATTO SULLA SICUREZZA DEI DATI DESCRIZIONE IMPATTO Furto di credenziali Uso improprio, di autenticazione divulgazione, cancellazione o modifica non autorizzati Comportamenti degli operatori Carenza di Uso improprio, consapevolezza, disattenzione o incuria divulgazione, cancellazione o modifica non autorizzati MISURE DI SICUREZZA GRAVITÀ STIMATA PROBABILITA’ DI ACCADIMENTO STIMATA Molto grave Poco probabile Periodico cambio di password formazione Molto grave Probabile Backup, formazione EVENTO IMPATTO SULLA SICUREZZA DEI DATI DESCRIZIONE IMPATTO GRAVITÀ STIMATA PROBABILITA’ DI ACCADIMENTO STIMATA Comportamenti sleali o fraudolenti Uso improprio, divulgazione, cancellazione o modifica non autorizzati Molto grave Poco probabile Backup, norme contrattuali, formazione Errore materiale Divulgazione accidentale, cancellazione o modifica. Molto grave Probabile Backup, formazione Azione di virus informatici o di codici malefici Molto grave Divulgazione, modifica, cancellazione dei dati Probabile Antivirus, antispyware Spamming o altre tecniche di sabotaggio Blocco parziale o totale dei sistemi di comunicazione via mail Poco grave Probabile Tecniche antispamming attivate dal fornitore del servizio Poco grave Poco probabile Backup, controlli periodici, verifiche di obsolescenza. Molto grave Poco probabile Regolamentazione dell’accesso a Internet mediante Firewall Intercettazione di Non applicabile informazioni in rete -- -- -- Accessi non autorizzati a locali/reparti ad accesso ristretto Uso improprio, divulgazione, cancellazione o modifica non autorizzati Molto grave Poco probabile Backup; antifurto; Asportazione e furto di strumenti contenenti dati Perdita di dati o sospensione del servizio; uso improprio, divulgazione, cancellazione o modifica non autorizzati Molto grave Poco probabile Controllo degli accessi, backup; antifurto; Perdita di dati o Eventi distruttivi, naturali o artificiali, sospensione del dolosi, accidentali servizio o dovuti a incuria Molto grave Poco probabile Backup Malfunzionamento, Perdita di dati o Eventi relativi a indisponibilità o sospensione del strumenti degrado degli servizio strumenti Accessi esterni non autorizzati Eventi relativi al contesto MISURE DI SICUREZZA Uso improprio, divulgazione, cancellazione o modifica non autorizzati EVENTO IMPATTO SULLA SICUREZZA DEI DATI MISURE DI SICUREZZA DESCRIZIONE IMPATTO GRAVITÀ STIMATA PROBABILITA’ DI ACCADIMENTO STIMATA Guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.) Perdita di dati o sospensione del servizio Poco grave Poco probabile Backup, controlli periodici Errori umani nella gestione della sicurezza fisica Uso improprio, divulgazione, cancellazione o modifica non autorizzati Molto grave Probabile Backup 4.7.1.1 5. Elenco delle misure di sicurezza (lista di controllo) 5 M isure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità (art. 19.4) La salvaguardia dell’integrità dei dati risulta essere una delle massime priorità di questa amministrazione che ha attuato per questo delle specifiche misure. 5.1 Contenuti In questa sezione vengono riportate, in forma sintetica, le misure in essere e da adottare a contrasto dei rischi individuati dall’analisi dei rischi. Per misura qui si intende non solo lo specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia ma anche tutte quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. Senza procedure di controllo periodico, infatti, nessuna misura può essere considerata completa. 5.2 Misure di sicurezza 5.2.1 Misure adottate per la garanzia dell’integrità e della disponibilità dei dati 5.2.1.1 Informazioni generali sulla sicurezza Si attesta che: L’utilizzo di supporti rimuovibili (floppy, nastri, CD-ROM) è disponibile solo al personale autorizzato La rete interna è progettata per garantire prestazioni, affidabilità e un corretto grado di controllo degli accessi (policy applicate a privilegi/restrizioni degli utenti) l'Hardware che deve venire rottamato/dismesso viene controllato per evitare che vengano esposte informazioni e dati gestiti dall'Ordine l’Ordine rispetta i termini delle licenze di uso del software Gli aggiornamenti al software vengono fatti solo quando effettivamente necessari e comunque in particolare per i sistemi operativi, ne viene controllata la disponibilità con cadenza mensilmente; per gli antivirus si veda la specifica sezione l'origine degli aggiornamenti è verificata L’aggiornamento a versioni più recenti di specifico software è accuratamente valutato Le procedure operative del sistema informativo sono correttamente pianificate ed autorizzate L’amministratore di sistema è adeguatamente informato e conosce a fondo i problemi relativi alla sicurezza 5.2.1.2 Informazioni generali sull’accesso/archiviazione/stampa dei dati informatici Si attesta che: Le informazioni riservate sono protette contro gli accessi da parte di personale non autorizzato: i documenti informatici riservati sono protetti tramite password o sono comunque memorizzati in directory protette contro accessi non autorizzati I documenti vengono archiviati in modo da rispettare le esigenze legali e/o interne L’accesso da parte di terzi alle informazioni dell’ente è correttamente protetto/gestito in modo da tutelare i dati personali, sensibili e giudiziari degli iscritti Sono implementate procedure di controllo sull'accesso dall'esterno ai dati dell’Ente: se consentito, l'accesso alla rete aziendale dall'esterno, tale accesso è protetto da procedure di autenticazione e da una appropriata gestione delle politiche di sicurezza del router/firewall 5.2.1.3 Informazioni generali sulle risorse umane Si attesta che: All’interno dell’Ordine esiste una figura dedicata alla gestione del sistema informativo che segue anche le procedure di sicurezza Il personale è adeguatamente informato degli eventuali rischi che ci possono essere nel non seguire le procedure di sicurezza informatica previste in azienda L’ente offre corsi di aggiornamento sui nuovi sistemi e sulle nuove tecniche di protezione dei dati I dipendenti sono stati informati del fatto che l'utilizzo delle risorse (computer/internet) è ammesso esclusivamente per utilizzi legati alla propria funzione Sono state prese adeguate contromisure per impedire l'installazione di screen-saver ed altri software non necessari allo svolgimento delle funzioni, da parte di personale non autorizzato Gli impiegati in viaggio di lavoro sono coscientemente responsabili dei dati che trasportano 5.2.2 Informazioni generali sul collegamento ad internet Si attesta che: I dipendenti sono stati edotti dei potenziali rischi insiti nella navigazione su internet e sull'utilizzo della posta elettronica, in particolare se il browser o il software per la posta elettronica non sono configurati secondo le esigenze di sicurezza dell’ente Il personale addetto alla configurazione dell'accesso a Internet ha predisposto le protezioni adeguate perché i rischi siano ridotti al minimo (firewall) È stata gestita la difesa del sistema informativo da eventuali attacchi esterni Vengono eseguiti adeguati controlli sul materiale scaricato dalla rete Gli indirizzi di dominio vengono trattati come bene di valore Ci si è accertati della effettiva esperienza in termini di sicurezza dell'ISP ospitante il sito web: esso è gestito solo da personale autorizzato e qualificato, capace di garantirne la sicurezza Almeno trimestralmente vengono eseguiti controlli sui log del sistema e vengono valutate eventuali misure a sostegno della sicurezza sul collegamento ad Internet. 5.2.3 Autenticazione degli incaricati del trattamento Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Ogni utente incaricato del trattamento viene identificato nel sistema informatico da Utente e password che ne determina il grado di operatività possibile. La gestione dei profili è demandata al Custode delle password. Ogni operatore, a conclusione della propria sessione di lavoro o nel caso di allontanamento dalla postazione, ha l’accortezza di disconnettere il proprio utente o bloccare il sistema con Utente e password. È prevista inoltre una procedura temporizzata che blocca il sistema con Utente e password nel caso di inutilizzo del sistema stesso. 5.2.3.1 Utente L’accesso ai sistemi, alle banche dati contenenti informazioni personali, o alla rete, è basato sulle effettive necessità del trattamento. L’Utente è riconducibile ad un singolo individuo od al numero minimo di individui necessario ad un corretto svolgimento del compito. L'utilizzo di Utente non personali è normalmente non consentito; potrà essere accettato dal Responsabile del trattamento per casi particolari, ad esempio per applicazioni che permettono la sola lettura delle informazioni e non la loro modifica o cancellazione. Al momento dell’assunzione di un nuovo dipendente, esso viene tempestivamente dotato di un account personale con specifici diritti di accesso. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. Non è consentito il riutilizzo di una Utente personale già assegnata ad altro utente. Quando un utente non ha più la necessità di accedere ad una banca dati o lascia l’ente, il responsabile dell’utente interessato chiederà al custode delle password di disabilitare l’utenza non più necessaria, bloccando in tal modo tutti i suoi accessi al sistema informativo. Le Utente inutilizzate per più di 6 mesi sono disattivate. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 5.2.3.2 Password La password è un elemento fondamentale per la sicurezza delle informazioni. La robustezza delle password è il meccanismo più importante per proteggere i dati; un corretto utilizzo della password è a garanzia dell'utente. Per questo motivo, il personale considera le password come materiale altamente confidenziale Le regole di seguito elencate sono vincolanti per tutti i sistemi e le workstation tramite le quali si può accedere alla rete e alle banche dati contenenti dati personali. Le password assegnate inizialmente e quelle di default dei sistemi operativi, prodotti software, ecc. vengono immediatamente cambiate dopo l’installazione e al primo utilizzo. Le password più importanti sono quelle di accesso primario al computer Windows in uso e per queste valgono le seguenti regole che quindi proteggono ogni altro software / servizio contenuto nel computer stesso o nella LAN. La costituzione di una nuova password Windows segue le seguenti regole: La lunghezza minima della password, a meno di impedimenti tecnici, è di 8 caratteri. Contiene almeno un carattere alfabetico ed uno numerico Non contiene più di due caratteri identici consecutivi Non è simile alla password precedente Non contiene l’Utente come parte della password Viene cambiata almeno ogni 3 (tre) mesi Non viene comunicata ad altri utenti, esclusi quelli strettamente necessari per un corretto svolgimento dell’attività Non contiene riferimenti agevolmente riconducibili all’incaricato Tali regole sono state impostate attraverso delle policy di gruppo e rese obbligatorie dal sistema di accesso server. Il controllo della scadenza delle password è demandata allo stesso sistema che obbliga gli utenti a cambiare la password ogni 90gg (tre mesi). Altre password per i software contenuti nei computer della LAN possono seguire tali regole ma è compito dei singoli utenti assegnatari effettuare eventualmente tale operazione. 5.2.4 Protezione da virus informatici Al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita a causa di virus informatici, il Responsabile del trattamento dei dati stabilisce, con il supporto tecnico dell’Amministratore di sistema, quali protezioni software adottare in relazione all’evoluzione tecnologica dei sistemi disponibili sul mercato. 5.2.4.1 Antivirus L’Ordine si è dotato di un sistema antivirus di tipo professionale e specificatamente pensato per l’utilizzo in strutture dotate di una rete interna. Il prodotto commerciale attualmente in uso è Avast Endpoint Protection Suite. L’evoluzione tecnologica e l’eventuale disponibilità di prodotti più adatti allo scopo potranno portare alla loro sostituzione. Il suddetto antivirus è installato sul server e distribuito sui client; il download degli aggiornamenti dalla casa madre avviene automaticamente mediante autoaggiornamento ogni giorno, il software distribuisce poi in modo trasparente tali aggiornamenti a tutti i client. Il sistema antivirus potrà è attivato per il controllo in tempo reale delle mail e dei relativi allegati in modo da ridurre al minimo ogni possibile contaminazione. I documenti che vengono spediti o ricevuti in forma elettronica vengono trattati con la massima cautela: prima dell’invio o dell’apertura viene effettuato un controllo del loro contenuto e della possibilità di infezioni da parte di virus. All’amministratore di sistema viene delegato il controllo almeno settimanale del buon funzionamento dei sistemi di protezione antivirus. Esistono procedure per gestire le eventuali infezioni da virus: in caso di attacchi dall’esterno, esistono procedure analizzate, aggiornate e regolarmente provate che permettano un rapido ripristino del funzionamento del proprio sistema. Per ogni sistema deve essere predisposto apposito modulo di Rilevazione di virus informatico, sul quale debbono essere annotati eventuali virus rilevati, e se possibile la fonte da cui sono pervenuti, al fine di isolare o comunque trattare con precauzione i possibili portatori di infezioni informatiche. I moduli compilati ed aggiornati dagli Incaricati del trattamento debbono essere conservati a cura dell’Amministrazione di sistema in luogo sicuro. 5.2.4.2 Firewall Il dispositivo Router/Firewall installato per il collegamento ad Internet è lo Zyxel 661H-D1. Una Soluzione DSL per il segmento SOHO, (piccole e medie imprese (SMB) ed Enterprise). Il prodotto integra una interfaccia LAN 10/100Mbps, una porta ADSL ad alta velocità ed un firewall, il tutto in un unico prodotto. L’evoluzione tecnologica e l’eventuale disponibilità di prodotti più adatti allo scopo potranno portare comunque alla sua sostituzione. Indipendentemente dal modello in uso, il firewall dovrà essere configurato al fine di garantire la massima salvaguardia da intrusioni. Sarà a cura dell’amministrazione di sistema la tenuta di un documento che elenchi le porte accessibili da WAN e destinate a usi particolari come teleassistenza. Collegamento a internet Il collegamento ad Internet avviene mediante il router ed è tutelato dal firewall e dall’antivirus. Il collegamento è di tipo ADSL. Le funzioni di firewalling e di antivirus forniscono le sufficienti garanzie rispetto a possibili intrusioni. Un buon antivirus da solo, tuttavia, potrebbe non essere completamente sufficiente per la sicurezza di un personal computer. Grazie alla connessione ad internet è possibile il verificarsi di invio non autorizzato di informazioni, e questo non sempre è legato alla presenza di virus informatici. Spyware, trojan e fastidiosi software di tracciamento dell'abitudini dell'utente possono sfuggire alle maglie di un normale controllo sui virus e possono compromettere la navigazione oppure rallentarla, o ancora registrare informazioni sulle abitudini dell'utente. L’installazione e la messa in funzione di questi software può avvenire senza che l’utente ne abbia consapevolezza, durante la navigazione, o come parti accessorie di altri prodotti installati. Per questo sono stati creati appositi momenti formativi con il fine di accrescere le conoscenze ma soprattutto per rendere gli operatori, più consapevoli dei rischi. Con periodicità mensile è disposto un controllo da parte dell’Amministratore di sistema al fine di individuare ed eventualmente rimuovere situazioni di pericolo. 5.2.4.3 Spyware Lo Spyware è un software che invia informazioni personali da un computer a qualche altro su Internet senza che vi siano avvisi o altri elementi che ne evidenzino il flusso. 5.2.4.4 Adware L’adware è un software gratuito in cui sono inserite delle pubblicità, di solito banner che rallentano la navigazione. Questo consente al produttore del software di profitto dal suo lavoro senza che l'utente finale sia costretto a pagare il software. Molte volte è fornita l'opzione attraverso cui è possibile pagare una somma per rimuovere i suddetti banner. 5.2.4.5 Trojan Il termine si dice sia stato coniato dall'hacker Dan Edwards e si rifà alla mitologia greca: il cavallo di troia. Si tratta di software apparentemente leciti che contengono codice nocivo; un esempio di danno che può essere causato da un trojan è il controllo da remoto di un computer connesso in rete. 5.2.4.6 Keylogger Il keylogger è un software che si installa sul PC e che registra ciò che avviene sulla macchina. Cosa viene registrato dipende semplicemente dalle impostazioni. Può includere i siti visitati, le applicazioni utilizzate, il tempo di utilizzo di queste fino ad arrivare a registrare tutti i tasti premuti. In quest'ultimo caso si potrebbero scoprire le password e si avrebbe un resoconto completo di tutto ciò che è stato scritto da un utente. A seconda del software è poi possibile che questo invii il report via Internet. 5.2.4.7 Foistware Il foistware è un software che si installa assieme ad altri software con cui non ha nessun rapporto di funzionalità. 5.2.4.8 Trackware Il trackware è un software che traccia le attività degli utenti. 5.2.5 Posta elettronica Le e-mail sono un possibile contenitore di dati personali o sensibili e a volte veicolo di contagio di virus, oltre ormai ad uno strumento di lavoro indispensabile. L’Ordine è dotato di n. 9 caselle di posta, tali caselle di posta sono configurate esclusivamente in alcuni PC ed è fatto divieto ai singoli operatori di installarne altre o modificare i parametri in uso. Eventuali necessità devono essere segnalate all’amministratore di sistema. Nella maggioranza dei casi, il costante aggiornamento dell’antivirus è elemento essenziale per garantire la protezione dell’Ordine da eventuali attacchi esterni. L’adozione poi di preventive misure di buona condotta degli operatori contribuiscono poi a migliorare sensibilmente il livello del rischio. Si stabilisce, quale buona regola, l’eliminazione diretta delle mail aventi le seguenti caratteristiche: Mittente sconosciuto e oggetto non inerente alle finalità dell’Ordine Mittente sconosciuto e per oggetto frasi senza senso, caratteri casuali, frasi ammiccanti Mittente conosciuto e per oggetto frasi senza senso, caratteri casuali, frasi ammiccanti 5.2.6 Apparecchiature informatiche Al fine di salvaguardare il corretto funzionamento delle apparecchiature informatiche si attesta che i computer risiedono in ambienti protetti e comunque in aree ad accesso controllato. 5.2.7 Stampanti Il controllo dei documenti stampati è responsabilità degli Incaricati al trattamento. La stampa di documenti contenenti dati personali, sensibili e giudiziari viene effettuata su stampanti poste in locali ad accesso controllato. 5.2.8 Aree ad accesso limitato Tutte le strutture informatiche, sia i computer che le stampanti, risiedono in aree ad accesso limitato. Gli archivi cartacei risiedono in ambienti con chiusura a chiave. 5.2.9 Misure adottate a protezione delle aree e dei locali In relazione al trattamento dei dati personali mediante strumenti non informatici, è disposto l’accesso dei singoli incaricati ai soli dati strettamente necessari allo svolgimento delle proprie mansioni. Gli atti e i documenti contenenti i dati personali, sensibili o giudiziari, Tutti i supporti cartacei e magnetici contenenti dati, sono custoditi in armadi dotati di serratura a chiave. 5.2.10 Archivio cartaceo generale L’ archivio cartaceo generale, il protocollo, l’archivio pubblicità sanitaria, l’archivio posizioni disciplinari degli iscritti si trovano negli armadi posti nei locali d’ufficio di Segreteria Gli armadi devono essere sempre tenuti chiusi a chiave e le chiavi conservate dai singoli dipendenti incaricati del trattamento. L’intera struttura dell’Ordine è chiusa L’accesso è consentito solo alle persone autorizzate Al termine dell’orario di lavoro, tutti gli uffici sono chiusi a chiave. Tutte le attività dell’ordine non amministrative, (convegni, riunioni, attività formative ecc.) avvengono in locali distinti da quelli dove risiedono banche dati. 5.3 Elenco delle misure di sicurezza Di seguito l’elenco delle misure di sicurezza come indicato nel D.lgs. 196/2003 1. M I S URE M I N I M E (Disciplinare tecnico di cui all’Allegato B, art. 36 D.Lgs. 196/2003 ) 1.1 Definizione di credenziali di autenticazione (assegnazione password con le previste caratteristiche) 1.2 Obbligo di segretezza delle credenziali 1.3 Obbligo di diligente custodia delle credenziali con specifiche prescrizioni 1.4 Modifica trimestrale delle password dei dati sensibili 1.5 Disattivazione password non utilizzate per sei mesi 1.6 Antivirus aggiornato semestralmente 1.7 Obbligo di custodia di copie di sicurezza 1.8 Piano per il ripristino della disponibilità dei dati 1.9 Individuazione dei profili di autorizzazione 1.10 Revisione almeno annuale della conservazione dei profili di autorizzazione 1.11 Obbligo di impartire istruzioni per il salvataggio dei dati con frequenza almeno settimanale 1.12 Formazione del personale 1.13 Revisione annuale della lista degli incaricati 1.14 Aggiornamento annuale (semestrale per i dati sensibili) dei programmi volti a prevenire la vulnerabilità degli strumenti elettronici e a correggere i difetti 1.15 Protezione di strumenti elettronici e dati da trattamenti illeciti e da accessi non consentiti 1.16 Misure di sicurezza per il trattamento di dati personali affidato a soggetti esterni alle strutture 1.17 Misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi 2. M I S URE I D ON E E (Art. 31 D.Lgs. 196/2003) 2.1 M ISURE O RGANIZZATIVE 2.1.1 Istruzioni agli incaricati per assicurare la segretezza e la custodia delle password 2.1.2 Istruzioni in caso di assenza prolungata o impedimento dell’incaricato 2.1.3 Istruzioni per la custodia e l’uso dei supporti rimovibili al fine di evitare accessi non autorizzati 2.1.4 Istruzioni sui supporti rimovibili contenenti dati sensibili non utilizzati 2.1.5 Assegnazione codici per l’identificazione 2.1.6 Idonee procedure per la custodia di copie di sicurezza e per il ripristino della disponibilità dei dati e del sistema 2.1.7 Istruzioni per la custodia dei supporti e per l’installazione dei programmi operativi del sistema 2.1.8 Obbligo di non lasciare incustodito ed accessibile lo strumento elettronico 2.1.9 Redazione dei criteri per il ripristino dei dati in seguito a danneggiamento e distruzione 2.1.10 Descrizione dei criteri da adottare per garantire le misure minime in caso di trattamento affidato a soggetti esterni alla struttura 2.2 M ISURE F ISICHE 2.2.1 Misure per garantire la protezione delle aree e dei locali rilevanti ai fini della custodia o della accessibilità 2.2.2 Ingresso controllato 2.2.3 Registrazione degli accessi fuori dell’orario di ufficio 2.2.4 Custodia in classificatori o armadi 2.2.5 Custodia in armadi blindati e/o ignifughi 2.2.6 Deposito in cassaforte 2.2.7 Dispositivi antincendio 2.2.8 Continuità dell’alimentazione elettrica 2.2.9 Controllo sull’operato degli addetti 2.2.10 Verifica della leggibilità dei supporti D 6 escrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (art. 19.5) 6.1 Contenuti In questa sezione sono descritti i criteri e le procedure adottati per il salvataggio dei dati e per il loro ripristino in caso di danneggiamento o di inaffidabilità della base dati. L’importanza di queste attività deriva direttamente dalla eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando necessarie, le copie dei dati siano disponibili e le procedure efficaci. 6.2 Obiettivo del salvataggio L’obiettivo del salvataggio degli archivi delle applicazioni è la copertura dei rischi derivanti da guasti hardware, errori umani, malfunzionamenti software, distruzione degli archivi per cause naturali o dolose. Il salvataggio deve consentire di ripristinare: un documento cancellato una situazione passata un intero archivio distrutto un archivio sospetto una situazione passata, in consultazione 6.3 Quali sono le cause per le quali si necessita di un ripristino? Varie sono le situazioni per le quali si potrebbe avere la necessità di ripristinare una vecchia copia degli archivi e una corretta policy di backup/restore deve prevedere una soluzione ad ognuna di esse. Un operatore cancella erroneamente un documento importante di cui non esiste corrispondente cartaceo. Una procedura automatica può presentare un’improvvisa anomalia che ne provoca il blocco in una fase che non consente il ritorno alla situazione precedente o, addirittura, provoca la distruzione dell’archivio. Per una verifica, occorre ritornare ad una situazione precedente una fase istituzionale. 6.4 Quanto indietro nel tempo Il backup non serve solo per tornare indietro di qualche giorno, in quanto la presenza di problemi sull’archivio si evidenzia nei giorni successivi al verificarsi degli stessi. E’ necessario a volte poter tornare indietro nel tempo anche in maniera importante in quanto, per esempio, un errore umano di modifica si potrebbe evidenziare dopo molto tempo. E’ necessario, quindi, poter tornare indietro nel tempo sino a tutte le situazioni precedenti alle fasi importanti d’elaborazione. 6.5 Procedura dell’Ordine La procedura di backup viene effettuata dal server sia del disco (C:) che di Dati (E:) al disco di Backup_3 mediante Windows backup. La frequenza è tutti i giorni alle ore 22:30 da lu a ve. Vengono mantenute tutte le copie che possono essere salvate in base allo spazio. Orientativamente sono 20 copie. Qualora si verificassero grandi quantità di modifiche o nuovi inserimenti sui dati, l’amministratore di sistema potrà disporre salvataggi straordinari anche al di fuori delle cadenze programmate. Gli amministratori provvedendo con regolarità al controllo dei log dei dispositivi di salvataggio ed alla manutenzione dei dispositivi di backup. Il disco di Backup_2 (F:) viene utilizzato per copie manuali che l’amministratore di sistema mette in rotazione in base alle necessità e quantità di dati da liberare tra i vari dischi. 6.6 Test periodici Con periodicità trimestrale l’amministratore di sistema opererà gli adeguati controlli al fine di evitare il verificarsi di situazioni che possano impedire il salvataggio o il ripristino dei dati, ossia: Deterioramento dei supporti nella fase di scrittura Deterioramento dei supporti nel tempo Anomalie durante il salvataggio non individuate dall’analisi del log (o per mancanza d’analisi) Modifica alla struttura delle cartelle che porta a non salvare i dati corretti Spostamento di hardware Sostituzione delle unità di salvataggio/ripristino con altre non compatibili coi precedenti formati Sovrascrittura accidentale dei supporti (nel caso eventuale si decida di utilizzare CD-ROM riscrivibili) E’ fondamentale, quindi, che l’amministratore di sistema effettui periodicamente dei test di ripristinabilità dei supporti, facendosi coadiuvare dal personale dell’ufficio nell’individuare dei casi prova. 6.7 Informazioni residue Sono definite informazioni residue quei dati, personali ancora leggibili dopo la cessazione di un trattamento (es. nastri, o dischi magnetici, dischi ottici, ecc.). I dati personali devono essere resi illeggibili quando non sia più necessario conservarli per gli scopi per cui sono stati raccolti e trattati. In caso di riutilizzo delle cassette di backup, esse vengono prelevate dalla cassetta metallica, custodita in armadi dotati di serratura, evitando l’accesso ai dati da parte di personale non autorizzato. L’Ordine opera unicamente con dati protocollati, sottostando in questo modo al vincolo di mantenimento dei suddetti dati per 10 anni successivi alla data di protocollazione. 7 P revisione di interventi formativi degli incaricati del trattamento (art. 19.6) Ogni operatore incaricato del trattamento, quando debitamente formato e informato, rappresenta un anello importante nella salvaguardia dei dati gestiti dall’Ordine. Per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare si attueranno particolari momenti formativi. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. 8 C riteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare (art. 19.7) Il trattamento di dati affidato all’esterno (es. buste paga) avviene con strutture/aziende che rispettano ed applicano la legge in materia di Privacy. A tali soggetti viene comunque richiesta specifica dichiarazione che espliciti l’applicazione o meno delle misure minime di sicurezza. La consegna o l’invio di dati personali/sensibili, avviene in buste sigillate consegnate a mano o in supporti informatici protetti da Username e Password. In questo ultimo caso la Username e la Password vengono sempre comunicate separatamente. 9 C riteri da adottare per la cifratura o per la separazione dei dati personali idonei a rivelare lo stato di salute e la vita sessuale (di cui al punto 24) (art. 19.8) Non applicabile 10 U tilizzo di dati pubblici Capo II - Registri pubblici e albi professionali Art. 61. Utilizzazione di dati pubblici 1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui deve essere indicata la fonte di acquisizione dei dati e prevedendo garanzie appropriate per l'associazione di dati provenienti da più archivi, tenendo presente quanto previsto dalla Raccomandazione R (91) 10 del Consiglio d'Europa in relazione all'articolo 11. 2. Agli effetti dell'applicazione del presente codice i dati personali diversi da quelli sensibili o giudiziari, che devono essere inseriti in un albo professionale in conformità alla legge o ad un regolamento, possono essere comunicati a soggetti pubblici e privati o diffusi, ai sensi dell'articolo 19, commi 2 e 3, anche mediante reti di comunicazione elettronica. Può essere altresì menzionata l'esistenza di provvedimenti che dispongono la sospensione o che incidono sull'esercizio della professione. 3. L'ordine o collegio professionale può, a richiesta della persona iscritta nell'albo che vi ha interesse, integrare i dati di cui al comma 2 con ulteriori dati pertinenti e non eccedenti in relazione all'attività professionale. 4. A richiesta dell'interessato l'ordine o collegio professionale può altresì fornire a terzi notizie o informazioni relative, in particolare, a speciali qualificazioni professionali non menzionate nell'albo, ovvero alla disponibilità ad assumere incarichi o a ricevere materiale informativo a carattere scientifico inerente anche a convegni o seminari. IL PRESIDENTE - Dott. Maurizio Scassola - A 11 llegati 11.1 Termini TERMINI USATI LORO SIGNIFICATO DAL LEGISLATORE DATI PERSONALI Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Es. Nome, cognome, indirizzo, numeri telefonici, n. Patente, P. IVA.... DATI SENSIBILI Sono i dati che devono essere maggiormente tutelati. Sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale. DATI GIUDIZIARI Sono i dati che devono essere maggiormente tutelati. Sono i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale BANCA DATI E’ una raccolta di dati personali e/ o sensibili e/o giudiziari MISURE DI SICUREZZA Si tratta di custodire i documenti approntando degli accorgimenti (armadietti chiusi a chiave, password, firewall, accesso selezionato ai dati...) Consiste in qualunque operazione o insieme di operazioni, eseguite o meno grazie ad un TRATTAMENTO DEI computer, riguardanti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la comunicazione, la diffusione, la cancellazione e la DATI distruzione di dati. TITOLARE DEL TRATTAMENTO E’ persona fisica, persona giuridica, ente od associazione che ha la competenza di decidere in ordine alle finalità, alle modalità del trattamento di dati personali ed alla loro sicurezza. RESPONSABILE E’ la persona fisica, persona giuridica, ente od associazione che il titolare prepone al DEL trattamento di dati personali. Titolare e responsabile possono essere la stessa persona. I TRATTAMENTO DEI compiti affidati ad esso devono essere analiticamente specificati per iscritto. DATI INCARICATO E’ colui/coloro che elabora i dati personali sulla base delle istruzioni scritte del titolare o del responsabile INTERESSATO E’ la persona fisica, persona giuridica, ente od associazione a cui si riferiscono i dati personali trattati. PASSWORD E’ la parola chiave, una sequenza di lettere e/o numeri, che serve per accordare agli utenti l’accesso al sistema informatico. USERNAME E’ un codice identificativo personale formato da lettere e numeri. Viene sempre abbinato alla password (segreta). AMMINISTRATORE La figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali. DI SISTEMA 11.2 Piano per la formazione a) aggiornamento annuale delle istruzioni agli incaricati b) verifica annuale delle istruzioni impartite agli incaricati c) aggiornamento sulle misure di sicurezza adottate d) verifica delle procedure 11.3 Nota Integrativa al D.P.S. 1. Descrizione delle misure adottate Indicare brevemente in che cosa consistono ed eventualmente i criteri utilizzati. Esempi: Codice misura: 1.8 In cosa consiste il piano di ripristino della disponibilità dei dati: es. recupero dei supporti di salvataggio dei dati per il reintegro del data base 2.1.6 Individuazione delle procedure per la custodia di copie di sicurezza: es. archiviazione dei supporti di salvataggio dei dati in armadi chiusi a chiave e posti in ambienti ad accesso selezionato 2. Calendarizzazione delle verifiche, degli adempimenti e della formazione degli incaricati riferiti alle misure di sicurezza adottate 2.1 Registrazione delle verifiche trimestrali, semestrali, ed annuali. Indicare eventuali anomalie ed i conseguenti correttivi 2.2 Registrazione degli adempimenti con frequenza settimanale, trimestrale, semestrale ed annuale Assicurare che siano stati effettuati 2.3 Registrazione semestrale od annuale degli interventi formativi degli incaricati Indicare l’avvenuto aggiornamento delle istruzioni in precedenza impartite con riferimento alle misure di sicurezza contenute nel D.P.S. Annotazione Quanto riportato in questa scheda, costituisce il presupposto per l’aggiornamento o per la rielaborazione del D.P.S., la cui scadenza è indicata nel ca pitolo 2.2 Revisione del documento.
