Regolamento 22 - Comune di Martignacco

Transcript

COMUNE DI MARTIGNACCO
Provincia di Udine
DOCUMENTO PROGRAMMATICO
SULLA SICUREZZA
(ai sensi del D.Lgs. 30 giugno 2003 n° 196)
2010
Sommario
1
INTRODUZIONE
1.1
1.2
2
2
FONTI NORMATIVE
PREMESSA
2
2
ELENCO DEI TRATTAMENTI DEI DATI PERSONALI
2.1
ANALISI ED ELENCO DEI DATI PERSONALI, SENSIBILI E GIUDIZIARI
2.1.1
Trattamento con strumenti elettronici
2.1.2
Trattamento senza l’ausilio di strumenti elettronici
2.1.3
Altri trattamenti dati esterni alla sede comunale
3
CARATTERISTICHE DI AREE, LOCALI E STRUMENTI CON CUI SI EFFETTUANO I
TRATTAMENTI
3.1
DESCRIZIONE DEL SISTEMA INFORMATICO COMUNALE
3.1.1
Hardware
3.1.2
Software
4
MANSIONARIO PRIVACY ED INTERVENTI FORMATIVI DEGLI INCARICATI
3
3
3
4
6
8
8
9
9
10
4.1
STRUTTURA ORGANIZZATIVA FUNZIONALE AL TRATTAMENTO DATI E SINGOLE RESPONSABILITÀ 10
4.1.1
Individuazione delle figure previste dal D.Lgs. n° 196/03
10
5
ANALISI DEI RISCHI CHE INCOMBONO SUI DATI
5.1
5.2
5.3
5.4
6
ANALISI DEI RISCHI SUI LUOGHI FISICI
ANALISI DEI RISCHI SULLE RISORSE HARDWARE
ANALISI DEI RISCHI SULLE RISORSE SOFTWARE
ANALISI DEI RISCHI SULLE RISORSE DATI
MISURE DI SICUREZZA ADOTTATE O DA ADOTTARE
6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8
6.9
MISURE DI SICUREZZA DI TIPO FISICO
MISURE DI SICUREZZA DI TIPO LOGICO
MISURE DI SICUREZZA DI TIPO ORGANIZZATIVO
POLITICA DELLE PASSWORD
PIANO DI VERIFICA DELLE MISURE ADOTTATE
PIANO DI FORMAZIONE DEGLI INCARICATI
AFFIDAMENTO DATI PERSONALI ALL’ESTERNO
PROGRAMMA DI REVISIONE ED ADEGUAMENTO
DICHIARAZIONE DI IMPEGNO E FIRMA
17
17
18
18
19
20
20
20
21
21
22
22
23
23
23
PERIODICITÀ DELLE VERIFICHE PREVISTE DAL DISCIPLINARE TECNICO
24
SISTEMA INFORMATICO COMUNALE: REQUISITI HARDWARE
25
SISTEMA INFORMATICO COMUNALE: REQUISITI SOFTWARE
29
- 1 -
1
INTRODUZIONE
1.1
Fonti normative
Le disposizioni di legge principali concernenti la corretta gestione di sistemi informatici sono:
•
1.2
D.Lgs. 30.6.2003 n°196.
Premessa
Scopo di questo documento programmatico sulla sicurezza (nel seguito denominato più semplicemente
DPSS) è di delineare il quadro delle misure di sicurezza organizzative fisiche e logiche adottate per il
trattamento dei dati personali effettuati da questo Ente.
Conformemente a quanto previsto dal Disciplinare Tecnico (Allegato B del D.Lgs. n° 196/03) il presente
documento contiene idonee informazioni riguardanti:
•
l’elenco dei trattamenti di dati personali;
•
la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento
dei dati;
•
l’analisi dei rischi che incombono sui dati;
•
le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle
aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
•
la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a
distruzione o danneggiamento;
•
la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina
sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità
che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La
formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di
cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al
trattamento di dati personali;
•
la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in
caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del
titolare;
•
per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l’individuazione dei criteri da
adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.
Il DPSS si applica ai trattamenti di tutti i dati personali effettuati per mezzo di:
•
strumenti elettronici;
•
atri strumenti (es. cartacei, audio, visivi e audiovisivi, ecc.).
Dal punto di vista del trattamento dati, l’Ente effettua il trattamento medesimo sia ricorrendo a
strumentazione elettronica che utilizzando archivi cartacei.
Alcuni trattamenti vengono effettuati da terzi su esplicito incarico dell’Ente.
La tipologia di dati trattati dall’Ente riguarda sia dati personali di natura non sensibile che dati personali
sensibili.
- 2 -
2
ELENCO DEI TRATTAMENTI DEI DATI PERSONALI
2.1
Analisi ed elenco dei dati personali, sensibili e giudiziari
Si presentano di seguito le banche dati esistenti e, sulla base delle informazioni gestite, si determina che esse
trattano, anche potenzialmente, dati personali secondo quanto previsto dal codice sulla Privacy. Distinguiamo
di seguito le banche dati informatizzate da quelle cartacee. Si distinguono inoltre le banche dati contenenti
anche dati sensibili e/o giudiziari (evidenziate mediante sottolineatura) dalle banche dati contenenti
esclusivamente dati personali di natura non sensibile.
2.1.1
Trattamento con strumenti elettronici
Banca dati abbattimento barriere architettoniche L. 13/89.
Banca dati abbattimento canoni di locazione L 431/98.
Banca dati abusi edilizi.
Banca dati Albo fornitori del Comune.
Banca dati anagrafe canina.
Banca dati associazioni culturali, ricreative e sportive.
Banca dati atti di nascita, matrimonio e morte.
Banca dati autorizzazioni non edilizie.
Banca dati carte d’identità.
Banca dati centri vacanze.
Banca dati certificazione attestati edilizi e urbanistici.
Banca dati certificazione ISEE.
Banca dati cessioni di fabbricato legge n° 191/78.
Banca dati cittadini stranieri (appartenenti alla Comunità Europea ed Extracomunitari).
Banca dati commercio aree pubbliche.
Banca dati concessioni edilizie.
Banca dati concorsi.
Banca dati condono edilizio.
Banca dati contrassegno invalidi art. 188 CDS.
Banca dati contratti cimiteriali.
Banca dati contratti compravendita terreni.
Banca dati contributi ANMIL.
Banca dati contributi ERMI.
Banca dati contributi maternità L. 448/98.
Banca dati contributi maternità L.R. 49/93.
Banca dati corrispondenza.
Banca dati COSAP.
Banca dati creditori.
Banca dati debitori.
Banca dati decreti prefettizi sospensione patente.
Banca dati degli amministratori del Comune.
Banca dati degli elettori.
Banca dati degli incarichi elettorali (presidenti - segretari - scrutatori di seggio).
Banca dati degli incarichi professionali o stagionali del Comune.
Banca dati degli insediamenti produttivi ai fini della legge 319 (depurazione delle acque).
Banca dati degli insediamenti produttivi.
Banca dati dei dipendenti del Comune.
Banca dati dei verbali di contestazione alle violazioni del Codice stradale.
Banca dati delibere.
Banca dati della popolazione residente.
Banca dati deposito impianti elettrici.
Banca dati deposito impianti termici.
Banca dati determinazioni dei responsabili.
Banca dati dichiarazione ospitalità D.L. 25/7 (98 n° 286).
- 3 -
Banca dati dichiarazioni ICI.
Banca dati dichiarazioni ICIAP.
Banca dati ditte per gare d’appalto.
Banca dati impegni e liquidazioni.
Banca dati indagini statistiche (ISTAT).
Banca dati infrazioni al codice della strada.
Banca dati INPDAP.
Banca dati inquadramento contrattuale.
Banca dati invalidi civili (portatori handicap).
Banca dati iscritti alla biblioteca comunale.
Banca dati iscritti nelle scuole del Comune.
Banca dati italiani residenti all’estero.
Banca dati leva militare.
Banca dati mensa scolastica.
Banca dati modello 770.
Banca dati notifiche.
Banca dati ospiti Casa di Riposo.
Banca dati passi carrai.
Banca dati permessi di soggiorno.
Banca dati possessori composter.
Banca dati rilevazioni sindacali.
Banca dati SAD.
Banca dati servizio pasti.
Banca dati soggiorni anziani.
Banca dati iscritti al servizio scuolabus.
Banca dati titolari di autorizzazione al commercio fisso.
Banca dati titolari pubblici esercizi.
Banca dati tributi comunali.
Banca dati TSO.
Banca dati utenti servizio sociale.
Banca dati visite mediche 626/94.
Bamca dati barbieri – parrucchieri – estetisti
Banca dati iscritti agli asili nido
Banca dati iscritti al servizio di telesoccorso
Banca dati partecipanti alle Borse Lavoro Giovani
Banca dati Borse Lavoro
Protocollo.
2.1.2
Trattamento senza l’ausilio di strumenti elettronici
Archivio generale.
Banca dati 626 (i dati relativi alle visite mediche dei dipendenti sono conservati in busta chiusa e sigillata
presso un armadio chiuso a chiave).
Banca dati abusi edilizi.
Banca dati anagrafe canina.
Banca dati iscritti agli asili nido.
Banca dati autorizzazioni non edilizie.
Banca dati centri vacanze.
Banca dati certificazione attestati edilizi e urbanistici.
- 4 -
Banca dati cittadini stranieri (appartenenti alla Comunità Europea ed Extracomunitari).
Banca dati condono edilizio.
Banca dati conferimento rifiuti pericolosi.
Banca dati contratti compravendita terreni.
Banca dati COSAP.
Banca dati degli incarichi elettorali (presidenti - segretari - scrutatori di seggio).
Banca dati degli incarichi professionali o stagionali del Comune.
Banca dati degli insediamenti produttivi ai fini della legge 319 (depurazione delle acque).
Banca dati degli insediamenti produttivi.
Banca dati dei verbali di contestazione alle violazioni del Codice stradale.
Banca dati deposito impianti elettrici.
Banca dati deposito impianti termici.
Banca dati distributori carburanti.
Banca dati ditte espropriande.
Banca dati gestione lavori pubblici.
Banca dati impegni e liquidazioni.
Banca dati INAIL.
Banca dati INPDAP.
Banca dati iscritti alla biblioteca comunale.
Banca dati iscritti nelle scuole del Comune.
Banca dati notifiche.
Banca dati persone diversamente abili.
Banca dati possessori composter.
Banca dati registri libretti di lavoro e sanitari.
- 5 -
Banca dati rilevazione presenze del personale del Comune.
Banca dati SAD.
Banca dati soggiorni anziani.
Banca dati iscritti al servizio scuolabus.
Banca dati TSO.
Banca dati ufficio cultura.
Banca dati vendita prodotti agricoli.
Banca dati visite mediche 626/94.
Banca dati barbieri – parrucchieri – estetisti
Banca dati iscritti al telesoccorso
Banca dati partecipanti alle Borse Lavoro Giovani
Protocollo.
2.1.3
Altri trattamenti dati esterni alla sede comunale
Il Comune di Martignacco si rivolge a:
•
HAlley Informatica, con sede a Codroipo (UD), per quanto concerne la gestione dei tributi;
•
EQUITALIA S.p.A., con sede a Udine, per quanto concerne la riscossione dei tributi;
•
CASSA DI RISPARMIO DEL F.V.G. - , filiale di Martignacco (UD), per le funzioni di tesoriere;
•
CAFC S.p.A. e CID, con sede a Udine, per quanto concerne la gestione dell’acquedotto e la
depurazione delle acque;
•
CAMST, con sede a Udine, per quanto concerne il servizio pasti della mensa scolastica.
•
A&T 2000 spa per la gestione dei rifiuti solidi urbani
•
DI.BI.informatica srl con sede in Tolmezzo per la gestione dei programmi determine/delibere/tek.
Si precisa inoltre che i seguenti Enti hanno accesso, tramite la rete SIAL, alle banche dati anagrafiche del
Comune:
Direzione Investigativa Antimafia - Trieste
Guardia di Finanza - Trieste
Polizia di Stato c/o Procura della Repubblica - Tolmezzo
Procura della Repubblica c/o Sezione di Polizia Giudiziaria cc. - Udine
Procura della Repubblica c/o Tribunale - Udine
Procura della Repubblica c/o Tribunale dei Minorenni - Trieste
Procura Generale - Trieste
Questura di Gorizia
Questura di Udine
Raggruppamento operativo speciale Carabinieri – Sezione Anticrimine – Udine
Tribunale di Trieste
Sezione della Polizia Postale e delle Comunicazioni per il Friuli Venezia Giulia – Udine
Sezione Polfer – Polizia di Stato – Udine
Procura della Repubblica presso il Tribunale di Trieste
Sezione della Polizia Giudiziaria C.C. - Udine
Comando stazione carabinieri – Manzano
Stazione carabinieri – Grado
Raggruppamento operativo Speciale Carabinieri – Udine
Sezione polizia Postale e delle comunicazioni – Udine
Polizia di Stato sezione Polfer - Udine
- 6 -
Questura di Udine
Questura di Pordenone
Questura di Gorizia
Regione Autonoma FVG – Dir. Centrale Ambiente e Lavori pubblici – Trieste
Tribunale di Udine
Tribunale di Trieste
Guardia di Finanza – Gruppo Investigativo criminalità organizzata – Trieste
Guardia di Finanza Comando Regionale F.V.G.- Trieste
Procura della Repubblica – Gorizia
Procura della Repubblica presso il Tribunale per i minorenni – Trieste
Procura generale della Repubblica – Trieste
Procura della Repubblica – Udine
Direzione Investigativa Antimafia – Trieste
Sezione di polizia Giudiziaria CC presso Procura della repubblica – Udine
Polizia di Stato presso Procura della Repubblica – Tolmezzo
- 7 -
3
CARATTERISTICHE DI AREE, LOCALI E STRUMENTI CON CUI SI
EFFETTUANO I TRATTAMENTI
Il trattamento dei dati personali, operati direttamente dall’Ente, avviene nella sede comunale principale sita in
Via della Libertà n° 1 a Martignacco (UD) e presso la sede distaccata di via Delser n. 33 sempre a
Martignacco.
L’edificio di via della Libertà è strutturato su due piani fuoriterra ed un piano seminterrato all’interno di
un’unica palazzina ed è protetto da strumentazione elettronica antintrusione.
La sede distaccata di via Delser presso la quale sono allocati gli uffici dei Servizi Sociali ( al piano terra) e gli
uffici della Biblioteca Civica (al piano primo), è strutturata su due tre ed è protetto da strumentazione
elettronica antintrusione.
La maggior parte delle banche dati informatizzate (ovvero gestite mediante l’utilizzo di strumentazione
elettroniche) è localizzata nella sala server posta al piano primo dell’edificio principale di via della Libertà ed
è dotata di una porte chiudibili a chiave; le banche dati cartacee sono localizzate sia presso l’archivio
cartaceo generale, nello scantinato dell’edificio, che presso i singoli uffici.
3.1
Descrizione del Sistema Informatico Comunale
Di seguito si descrivono gli elementi fondamentali del sistema informatico comunale, individuando tutte le
sue componenti.
La schematizzazione logica del sistema informativo è rappresentata dall’immagine sottostante.
Ufficio Segreteria
Protocollo
Ufficio Attività
Produttive
PC Sala Giunta
PC Ufficio Sindaco
PC Segretario
Comunale
Ufficio Tributi
Router CISCO 1841
INSIEL - RUPAR
Ufficio
Ragioneria
Router LinkSys AM200
ADSL
SWITCH HP
PROCURVE 2650
Server Halley
(virtuale)
Stampanti di rete
Server NTSERVER:
ADC, rete,
posta,,archivi
Ufficio Anagrafe
SWITCH HP
PROCURVE 2524
Server
Biblioteca:
rete, archivi …
Ufficio Vigilanza
SWITCH HP
PROCURVE 2524
Ufficio Urbanistica
ed Edilizia Privata
Biblioteca
Civica\
Servizi Sociali
Stampanti di rete
Stampanti di rete
Ufficio Lavori
Pubblici
Presso la sede principale di Via della Libertà sono presenti il router Cisco 1841 dell’Insiel per la connessione
alla Rupar FVG ed il modem/router LinkSys by Cisco AM200 gestito da NT Nuove Tecnologieper la
connessione Internet tramite lina ADSL. Le connessioni verso l’esterno verranno gestite negli aspetti della
sicurezza e ridondanza da una dispositivo UTM (Unified Threat Management - Gestione Unificata delle
Minacce) con elevato gradi di protezione.
Presso la sede distaccata di via Delser sono allocati gli uffici della Biblioteca Civica e dei Servizi Sociali.
- 8 -
Si precisa che la connessione tra le due sedi avviene tramite ponte radio.
3.1.1
Hardware
L’ALLEGATO B descrive le caratteristiche hardware degli strumenti elettronici utilizzati.
3.1.2
Software
I software utilizzati ed installati presso le postazioni degli incaricati sono stati parzialmente censiti in
occasione dell’installazione del nuovo Server di dominio nell’estate del 2004. Distinti per postazione di
lavoro, sono elencati in ALLEGATO C.
- 9 -
4
MANSIONARIO PRIVACY ED INTERVENTI FORMATIVI DEGLI
INCARICATI
4.1
Struttura organizzativa funzionale al trattamento dati e singole responsabilità
La sezione riporta gli elementi fondamentali della struttura organizzativa dell’ Ente coinvolti nel trattamento
dei dati personali, specificandone le singole responsabilità.
4.1.1
Individuazione delle figure previste dal D.Lgs. n° 196/03
TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI
Comune di Martignacco
Via della Libertà n. 1
33035 - Martignacco (UD)
Telefono (centralino):
0432-638411
Fax:
0432-638419
RESPONSABILE PER IL TRATTAMENTO DEI DATI PERSONALI
Per il trattamento dei dati personali il titolare ha nominato quali responsabili i titolari delle posizioni
organizzative:
Dott.ssa Prosperini Manuela
Rag. Burba Sandra
Dott.ssa Coseano Anna
Per.Ed. Pessacco Giancarlo
Per. Ed. Schiratti Angelo
Dott. Michele Mansutti
Segretario Comunale- Direttore Generale
Responsabile Area Economico Finanziaria e Tributi
Responsabile Area Amministrativa e delle Politiche Sociali
Responsabile Area Urbanistica e Attività Produttive fino al 20.06.2010
Responsabile Area Lavori Pubblici e Patrimonio
Responsabile del servizio associato di vigilanza:
AMMINISTRATORE/I DI SISTEMA, DELLA SICUREZZA E DELLE PASSWORD
La figura di amministratore della sicurezza e delle password non viene individuata in quanto il sistema
informatico è provvisto di server di dominio che svolge anche la funzione di autenticatore
Di seguito vengono elencati le persone fisiche che ricoprono le figure di amministratore di sistema, di
database e di rete, come definiti dal provvedimento del Garante Privacy 27 novembre 2008 "Misure e
accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle
attribuzioni delle funzioni di amministratore di sistema", G.U. n.300 del 24 dicembre 2008 e successive
modificazioni, i cui ruoli sono identificati nelle allegate lettere di incarico:
Incarico
Persona – Azienda
Amministratore di sistema
Pignoni Raffaele – NT Nuove Tecnologie S.r.l. – Udine...
Amministratore di rete
Pignoni Raffaele – NT Nuove Tecnologie S.r.l. – Udine
Della Silvestra Andrea, Panighello Renato , Mores Marco e Strafella
Silvio – TELEGAMMA srl…
Amministratore di database
ARIIS Michele, DE COLLE Stefano, DE PRATO Alessandro, DI
MONTE Massimiliano . LENISA Alan, LIRUSSI Cristian,
PELLIZARI Giovanni,, SANTELLANI Stefano della ditta DB
Informatica @ srl di Tolmezzo
- 10 -
Si precisa, altresì, che verrà adottato un idoneo sistema per la registrazione e la conservazione degli "access
log" (accessi tramite username e password univoci di identificazione) per almeno sei mesi in archivi
immodificabili e inalterabili, come previsto dal provvedimento del garante, atto a consentire il controllo
rispetto all’operato degli Amministratori di Sistema da parte del Responsabile.
INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI
Si individuano come incaricati del trattamento gli operatori elencati di seguito. Ogni operatore ha accesso ai
dati residenti sulla sua postazione, sulle cartelle residenti sul server di dominio SERVER delle quali
l’incaricato ha visibilità ed eventualmente anche alle banche dati contenute nel server regionale (Server
ASCOT).
Ciascun incaricato riceve un formale incarico scritto dal quale risulta puntualmente individuato l’ambito di
trattamento consentito.
Oltre alle istruzioni generali su come debbano essere trattati i dati personali agli incaricati verranno fornite
esplicite istruzioni in merito ai seguenti punti:
•
procedure da seguire per la classificazione dei dati, al fine da distinguere quelli sensibili e giudiziari
dai dati di natura comune;
•
modalità di reperimento dei documenti, contenenti dati personali, e modalità da osservare per la
custodia degli stessi e la loro archiviazione, al termine dello svolgimento del lavoro per il quale è
stato necessario utilizzare i documenti;
•
modalità per elaborare e custodire le password, necessarie per accedere agli elaboratori elettronici
ed ai dati in essi contenuti, nonché per fornirne una copia al preposto alla custodia delle parole
chiave;
•
prescrizione di non lasciare incustoditi e accessibili gli strumenti elettronici, mentre è in corso una
sessione di lavoro;
•
procedure e modalità di utilizzo degli strumenti e dei programmi atti a proteggere i sistemi
informativi;
•
procedure per il salvataggio dei dati;
•
modalità di custodia ed utilizzo dei supporti rimuovibili, contenenti dati personali;
•
dovere di aggiornarsi, utilizzando il materiale e gli strumenti forniti dal Titolare, sulle misure di
sicurezza.
Ai soggetti incaricati della gestione e manutenzione del sistema informativo, siano essi interni o esterni
all’organizzazione del Titolare, viene prescritto di non effettuare alcun trattamento, sui dati personali
contenuti negli strumenti elettronici, fatta unicamente eccezione per i trattamenti di carattere temporaneo
strettamente necessari per effettuare la gestione o manutenzione del sistema.
Periodicamente, in accordo con quanto stabilito dai vincoli di minimalità imposti dalla norma, si procederà
ad aggiornare le definizioni delle banche dati a cui gli incaricati sono autorizzati ad accedere verificandone la
sussistenza delle condizioni che giustificano tali autorizzazioni.
Ufficio
1.
Incaricati
Forniz Paolo
Imperato Maurizio
Mansutti Michele
Pravisano Rossana
Visentini Paolo
Minotti Gianni
Ufficio Comune per il servizio di
Vigilanza
- 11 -
Giabbai Marco
Barmina Andrea
Piasenzotto Cristina
Cantarutti Simone
Zuliani Carmen
2.
Ufficio Anagrafe
Castellani Nadia
Coseano Anna
Deserafino Paolo
3.
Ufficio Tecnico – Lavori Pubblici
Messi
Bressanelli Luciano
Nobile Roberto
Pozzo Andrea
Schiratti Angelo
Zentilin Aldo
Artico Gloria …
4.
Ufficio Tecnico - EdiliziaPrivata
Benvenuto Sandra
Michelutti Valerio
Pressacco Giancarlo fino al 20.06.2010
Puppo Miriana
Giorgiutti Andrea dal 1.3.2010…
5.
Ufficio Protocollo
Chittaro Milva
6.
Ufficio Ragioneria
Burba Sandra
Mesaglio Lucia
Totis Giuliana
7.
Ufficio Tributi
Giuliano Giuseppina
Tonini Lauro
8.
Ufficio Segretario Comunale
Manuela Prosperini
9.
Ufficio Sindaco
Facilitatore della comunicazione
Zanor Marco
Nicli Luca
10.
Ufficio Attività Produttive
Bertoli Alessandra
11.
Ufficio Segreteria
Pagotto Katia
12.
Ufficio Assistenza
Novello Angela
Siri Isabella
Brollo Eva
Codutti Giorgio
Graffi Raffaella
Ufficio Biblioteca-Scuole-Attività
Culturali e Ricreative
Si individuano inoltre come incaricati i seguenti operai che hanno accesso a banche dati esclusivamente
cartacee:
− Cuttini Marco
− Cramaro Gabriella
− Marzolini Andrea
− Mauro Fausto
− Peressini Giuliano
- 12 -
ACCESSI AI DATI CONSENTITI
La seguente tabella riporta l’accesso ai dati ordinato per ufficio.
Elenco Uffici
1. Ufficio Vigilanza
2. Ufficio Anagrafe
3. Ufficio Tecnico –
Lavori Pubblici
Messi
Banche dati accessibili
Tipo di accesso
Banca dati dei verbali di contestazione alle violazioni del
Codice stradale., dei regolamenti comunali di L.:RR.
Banca dati TOSAP (mercato).ù
Banca dati anagrafe canina
Protocollo
Banca dati cartografici del Comune
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura
Archivio generale.
Banca dati cittadini stranieri (appartenenti alla Comunità
Europea ed Extracomunitari).
Banca dati degli incarichi elettorali (presidenti - segretari scrutatori di seggio).
Banca dati dei giudici popolari
Banca dati INPDAP.
Protocollo.
Banca dati cartografica del Comune
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/scrittura
Lettura
Archivio generale
Banca dati albo fornitori del comune
Banca dati incarichi professionali
Banca dati delibere
Banca dati determinazioni dei responsabili degli uffici
Banca dati ditte per gare d’appalto
Banca dati possessori di composter
Banca dati 626
Banca dati notifiche
Protocollo
Lettura
Lettura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/Scrittura
Lettura
- 13 -
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
4. Ufficio Tecnico Edilizia Privata
Archivio generale
Banca dati abusi edilizi
Banca dai autorizzazioni edilizie
Banca dati autorizzazioni non edilizie
Banca dati condono edilizio
Banca dati contratti compravendita terreni e fabbricati
Banca dati insediamenti produttivi ai fini della L. 319
(depurazione delle acque)
Banca dati insediamenti produttivi
Banca dati delibere
Banca dati determinazioni dei responsabili
Protocollo
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/Scrittura
Lettura
5. Ufficio
Protocollo
Archivio generale.
Protocollo.
Lettura
Lettura/Scrittura
6. Ufficio
Ragioneria
Archivio generale.
Banca dati degli incarichi elettorali (presidenti - segretari scrutatori di seggio).
Banca dati degli incarichi professionali o stagionali del
Comune.
Banca dati INAIL.
Banca dati INPDAP.
Banca dati rilevazione presenze del personale del
Comune.
Protocollo
Lettura
Lettura/Scrittura
Lettura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
7. Ufficio Tributi
Banca dati TARSU
Protocollo
Lettura
Lettura
Lettura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura
Lettura
Lettura
Lettura/Scrittura
Lettura/Scrittura
Lettura
- 14 -
Lettura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
8. Ufficio
Segretario
Comunale
Protocollo
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
9. Ufficio Sindaco
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
10. Ufficio Attività
Produttive
Banca dati commercio su aree pubbliche
Banca dati distributori di carburanti
Banca dati titolari di pubblici esercizi
Banca dati titolari di autorizzazioni commercio fisso
Banca dati autorizzazioni vendita prodotti agricoli
Banca dati delibere
Banca dati barbieri, parrucchieri, estetisti
Protocollo
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/Scrittura
11. Ufficio
Segreteria
Protocollo.
Banca dati visite mediche L. 626/94
Banca dati dei contratti
Banca dati corrispondenza
Protocollo
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura/Scrittura
Lettura
Lettura/Scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/Scrittura
12.Ufficio Assistenza
Archivio generale.
Banca dati utenti SAD
Banca dati iscritti asili nodo
Banca dati iscritti al telesoccorso
Banca dati ragazzi iscritti alle Borse Lavoro Giovani
Protocollo
Lettura
Lettura/scrittura
Lettura/scrittura
Lettura
Lettura
Lettura
Lettura
Lettura
Lettura
Lettura
Lettura
Lettura
Lettura/scrittura
Lettura
Lettura/Scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/Scrittura
- 15 -
Ufficio
BibliotecaScuole-Attività
Culturali e
Ricreative
Banca dati associazioni culturali, ricreative, sportive
Banca dati iscritti alla biblioteca comunale
Banca dati culturanuova
Banca dati iscritti al servizio mensa
Banca dati iscritti al servizio trasporto scolastico
Banca dati iscritti nelle scuole del Comune
Banca dati delibere
Banca dati centri estivi
Protocollo
- 16 -
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura
Lettura/scrittura
Lettura/scrittura
Lettura/scrittura
Lettura/Scrittura
5
ANALISI DEI RISCHI CHE INCOMBONO SUI DATI
La stima del rischio complessivo, che grava su un determinato trattamento di dati, è il risultato della
combinazione di due tipi di rischi:
•
quelli insiti nella tipologia dei dati trattati, che dipendono dalla loro appetibilità per soggetti estranei
all’organizzazione, nonché dalla loro pericolosità per la privacy dei soggetti cui essi si riferiscono
•
quelli legati alle caratteristiche degli strumenti utilizzati per procedere al trattamento dei dati.
Si stima il grado di rischio, che dipende dalla tipologia dei dati trattati dal Titolare, combinando il fattore
della loro appetibilità per i terzi, con quello che esprime la loro pericolosità per la privacy del soggetto cui i
dati si riferiscono:
12 Dati di natura
genetica
ELVATISSIMO
GRADO DI
INTERESSE
ALTO
6 Dati svolgimento
di attività
economiche
1 Dati comuni
clienti utenti
consumatori
MEDIO
3 Dati comuni altri
soggetti
BASSO
2 Dati comuni di
fornitori
PER I TERZI
11 Dati affezione da
virus HIV
9 Dati sensibili
clienti utenti
membri pazienti
4 Dati biometrici
clienti personale
10 Dati stato di salute
e/o vita sessuale
7 Dati di natura
giudiziari a
5 Dati idonei a
8 Dati sensibili
rilevare la posizione personale
BASSO
MEDIO
ALTO
ELEVATISSIMO
PERICOLOSITA’ PER LA PRIVACY DELL’INTERESSATO
Si nota che un grado di rischio alto, o addirittura elevatissimo, è collegato al trattamento dei seguenti dati,
alla tutela dei quali devono quindi essere dedicate particolari attenzioni:
•
quelli idonei a rivelare informazioni di carattere sensibile o giudiziario dei soggetti interessati, che
sono accomunati dall’aspetto critico di avere un elevato grado di pericolosità per la privacy dei
soggetti interessati
•
quelli che costituiscono una importante risorsa, commerciale e tecnologica, per il Titolare, in
relazione ai danni che conseguirebbero da una eventuale perdita, o trafugamento, dei dati
Da questo quadro, considerando le banche dati trattate dall’Ente e la natura non commerciale dello stesso, si
evince che, per i terzi, il grado di interesse complessivo dei dati trattati dall’Ente è basso.
5.1
Analisi dei rischi sui luoghi fisici
Risorsa
(tutte o una specifica)
Elemento di Rischio
Livello Individuato
Eventuale Motivazione
Tutte
Possibilità di intrusione
Basso/Medio
L'accesso agli uffici è protetto da porte
dotate di serratura e da un allarme
antifurto.
Tutte
Allagamenti
Basso
Area non soggetta ad esondazioni o
calamità di questo tipo
- 17 -
5.2
Tutte
Incendio
Medio
L’Ente è dotato di estintori e presso
l’archivio cartaceo è presente anche un
allarme antincendio.
Tutte
Furto
Medio
Gli uffici e alcuni armadi sono dotati di
serrature e la struttura è ditata di sistema
elettronico anti intrusione.
Tutte
Impossibilità di rilevare
accessi non autorizzati
Medio
L'accesso ai locali è presidiato dai singoli
incaricati durante il normale orario di
lavoro.
Server
Furto
Medio - Basso
Le porte presso le sale server sono
chiudibili a chiave.
Analisi dei rischi sulle risorse hardware
Risorsa
Elemento di Rischio
Livello Individuato
Tutte
Uso non autorizzato
dell’hardware
Basso
L’accesso all’hardware può
soltanto previa autenticazione.
Tutte
Manomissione/
sabotaggio
Basso
Alle risorse accedono solo persone
autorizzate. La manutenzione è effettuata
da personale e da tecnici esterni di fiducia.
Tutte
Probabilità/frequenza di
guasto
Basso
L’hardware acquistato è di qualità e
storicamente non ha dato problemi
rilevanti.
Tutte
Intercettazione delle
trasmissioni dati
Basso
La trasmissione dei dati avviene mediante
protocolli dichiarati come “sicuri”.
Tutti i server
Rischi connessi
all’elettricità.
Basso
L’Ente ha acquistato diversi gruppi di
continuità che forniscono energia di buona
qualità (stabilizzazione) e impediscono
l’improvvisa assenza di corrente elettrica a
tutti i server della rete.
Basso
Il sistema afferisce alla RUPAR ed è
protetto da firewall regionali . Utilizza
inoltre linee ADSL con firewall software
dell’amministrazione; verrà inserito nella
rete un dispositivo di gestione unificata
delle minacce che sovraintenderà i
collegamenti esterni.
Tutte
5.3
Intrusione dall’esterno
avvenire
Analisi dei rischi sulle risorse software
Risorsa
Elemento di Rischio
Livello Individuato
Tutte
Accesso non autorizzato
alle basi dati connesse
Medio - Basso
I software che trattano i dati controllano
l’accesso tramite un processo di
autenticazione informatica e taluni
supportano un sistema di autorizzazione.
Tutte
Errori software che
minacciano l’integrità dei
dati
Basso
I software sono utilizzati da parecchi anni
e gli errori non hanno mai intaccato
l'integrità referenziale delle basi dati.
- 18 -
5.4
Tutte
Presenza di codice non
conforme alle specifiche
del programma
Basso
I programmi sono forniti da produttori che
operano nel settore con la massima serietà
e da molti anni.
Tutte
Software non corredato
di regolare licenza
Basso
E' stata espressamente vietata a tutti i
dipendenti l'installazione di software senza
la preventiva autorizzazione dell’Ente.
Analisi dei rischi sulle risorse dati
Risorsa
Elemento di Rischio
Livello Individuato
Tutte
Accesso non autorizzato
Basso
L’accesso alle risorse dati in formato
elettronico
avviene
solo
tramite
autenticazione.
All’archivio
cartaceo
possono accedere solo gli incaricati.
Tutte
Cancellazione non
autorizzata di dati o
manomissione degli
stessi
Medio
Agli archivi accedono soltanto persone
autorizzare, con autenticazione.
Basso
I dati sono conservati su dischi in batteria,
dotati di sistema di sicurezza in caso di
guasto di uno di essi (configurazioni
RAID). Sono effettuate giornaliere copie
di backup dei dati memorizzati sui server.
Tutte
Perdita di dati
Tutte
Corruzione di dati
Medio - Alto
Sulla maggior parte dei computer della rete
informatica dell’Ente è stato installato un
programma "antivirus", che è attivato in
modalità
"autoprotezione"
e
con
aggiornamento
automatico
della
definizione dei virus gestito dal server e
con cadenza oraria.
Tutte
Incapacità di ripristinare
copie di backup
Basso
I controlli periodici effettuati sui supporti
di backup hanno fornito esiti positivi.
- 19 -
6
MISURE DI SICUREZZA ADOTTATE O DA ADOTTARE
Al fine di assicurare l’integrità dei dati trattati ed impedirne la comunicazione e/o diffusione non autorizzata,
l’Ente sta elaborando una precisa Politica di Sicurezza basata sull’adozione di misure di tipo fisico, logico ed
organizzativo. Tali misure hanno il compito di garantire non solo i requisiti minimi di sicurezza richiesti dal
D.Lgs. n° 196/2003, ma anche di garantire un livello idoneo di sicurezza relativamente alle tipologie dei dati
trattati, alle modalità di trattamento ed agli strumenti utilizzati.
6.1
Misure di sicurezza di tipo fisico
Descrizione misura
6.2
Note ed indicazioni per la corretta applicazione
Procedure per l'esecuzione dei
backup
Ogni notte sono programmati i backup delle base dati e delle cartelle di
lavoro presenti sui server della rete dell’Ente. I nastri giornalieri sono
utilizzati a rotazione nell'arco di una settimana (dal lunedì al venerdì per
server ASCOT e da lunedì a sabato per il server comunale).
Criteri di eliminazione dei
dispositivi obsoleti
I dispositivi di backup ritenuti obsoleti o guasti vengono distrutti.
Custodia dei supporti magnetici
I supporti magnetici utilizzati per l’attività di backup sono conservati in
appositi armadi.
Dispositivi antincendio
I locali della sede sono dotati di dispositivi antincendio (estintori dislocati
sui piani dell’edificio).
Custodia dei dati cartacei in
armadi chiusi.
La maggior parte dei documenti cartacei contenenti dati personali, in
particolare per i dati sensibili o giudiziari, sono conservati in armadi chiusi.
Gli incaricati possono prelevare i documenti utili per il trattamento, per il
tempo necessario a tale operazione, dopo di che hanno il compito di riporli
nel sopraccitato luogo preposto alla loro conservazione. L'accesso agli
archivi contenenti dati sensibili o giudiziari é controllato.
Continuità dell’alimentazione
elettrica
I server sono collegati a idonei gruppi di continuità che garantiscono una
stabilizzazione dell’energia elettrica erogata. Tali gruppi, in caso di
improvvisa assenza di energia, garantiscono un’autonomia temporale
necessaria ad avviare le corrette procedure di spegnimento degli
elaboratori.
Verifica della leggibilità dei
supporti di backup
La corretta esecuzione dei backup è verificata ogni mattina dal personale
incaricato.
Misure di sicurezza di tipo logico
Descrizione misura
Identificazione degli incaricati
preposti alle attività di
trattamento dati
Sono stati individuati e nominati per iscritto gli incaricati preposti al
trattamento. Agli stessi, successivamente alla lettera di nomina, verranno
consegnate le istruzioni operative.
Indicazione delle credenziali di
autenticazione assegnate agli
incaricati (codici identificativi e
parole chiave).
Gli incaricati sono contraddistinti da codici identificativi univoci (USER
ID), non assegnabili in futuro ad altre persone. La password verrà
impostata direttamente dall’incaricato.
- 20 -
6.3
Assegnazione ed autorizzazione
degli elaboratori su cui effettuare
i trattamenti
Ad ogni incaricato é assegnato un elaboratore abituale tramite il quale può
accedere agli archivi in formato elettronico su cui operare i trattamenti.
Custodia delle password
L’incaricato stesso è l’unico custode della password.
Politica delle password
È stata definita un’idonea politica delle password.
Nomina del responsabile del
trattamento dati dell’Ente.
I titolari di posizione organizzativa sono responsabili del trattamento dei
dati.
Predisposizione ed
aggiornamento degli antivirus
Sulla totalità dei computer e server della rete informatica di proprietà
dell’Ente sono stati installati programmi "antimalware", che sono attivati in
modalità "autoprotezione" con aggiornamento automatico delle impronte
virali.
Software utilizzato per il
trattamento dei dati
Ove possibile, l’accesso alle procedure è regolamentato da password.
Distanze di cortesia
Agli sportelli e comunque nei locali deve essere assicurata all’utenza la
riservatezza della relazione interpersonale attraverso la predisposizione di
distanze di cortesia o altre modalità tecniche di cortesia.
Misure di sicurezza di tipo organizzativo
Descrizione misura
6.4
Analisi dei Rischi e Documento
Programmatico Sulla Sicurezza
Sulla base dell’analisi dei rischi è stato redatto il presente documento
programmatico sulla sicurezza che verrà divulgato all’interno dell’Ente.
Piano di verifica delle misure
adottate
In fase di definizione.
Piano di formazione degli
incaricati.
Istruzioni impartite agli incaricati
Dotazione di dispositivi
antintrusione
Già adottati.
Custodia di documenti cartacei
I documenti cartacei contenenti dati personali, ad eccezione dei periodi
strettamente necessari alle operazioni di trattamento, sono custoditi in
armadi.
Politica delle password
Il trattamento di dati personali sarà consentito agli incaricati dotati di credenziali di autenticazione che
consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un
insieme di trattamenti. Credenziali di autenticazione sono costituite da un codice per l'identificazione
dell'incaricato (USERNAME) associato ad una parola chiave riservata (PASSWORD) conosciuta solamente
dal medesimo.
Le credenziali di autenticazione non utilizzate da almeno 6 mesi verranno disattivate (tranne quelle usate per
soli scopi di gestione tecnica) come pure verranno disattivate in caso di perdita della qualità che consente
l'accesso ai dati.
- 21 -
Ogni codice per l’identificazione può essere utilizzato da un solo incaricato e non può essere assegnato ad
altri incaricati, neppure in tempi diversi. Ad ogni incaricato possono eventualmente essere assegnati più
codici per l'identificazione per funzioni diverse.
La parola chiave deve rispondere ai seguenti requisiti:
•
essere riservata e conosciuta solamente dall'incaricato;
•
l'incaricato deve assicurarne la riservatezza;
•
la lunghezza minima è di otto caratteri;
•
non deve contenere riferimenti agevolmente riconducibili all'incaricato;
•
deve essere modificata ogni 3 mesi per il trattamento di dati sensibili o giudiziari.
Questa politica verrà attuata contestualmente alla definizione di una struttura di dominio atta a garantire
l’autenticazione al sistema.
6.5
Piano di verifica delle misure adottate
La bontà delle misure adottate deve essere periodicamente verificata.
Durante queste operazioni di verifica da compiersi, di norma una volta l’anno, sarà data particolare
importanza a:
•
verificare la bontà delle misure di antintrusione;
•
corretto utilizzo delle parole chiave e dei profili di accesso degli incaricati. Prevedere la
disattivazione dei codici di accesso non utilizzati per più di sei mesi;
•
aggiornamento dei dispositivi antivirus;
•
aggiornamento dei programmi software che trattino dati personali;
•
integrità dei dati e delle loro copie di backup;
•
bontà di conservazione dei documenti cartacei;
•
accertamento della distruzione dei supporti magnetici che non possono più essere riutilizzati;
•
accertamento del livello di formazione degli incaricati. Prevedere sessioni di aggiornamento anche
in relazione all’evoluzione tecnica e tecnologica avvenuta in Azienda.
Di queste verifiche sarà redatto un verbale che potrà essere allegato al documento programmatico sulla
sicurezza.
6.6
Piano di formazione degli incaricati
Gli incaricati dovranno essere edotti sui “rischi individuati e sui modi per prevenire i danni” (allegato B del
D.Lgs. n° 196/2003).
E’ in calendario un incontro formativo, tenuto da esperti, che affronterà i seguenti punti:
•
un'analisi dettagliata ed aggiornata delle vigenti disposizioni di legge, con riferimenti anche alle
normative europee;
•
disposizioni legislative in tema di tutela dei dati e criminalità informatica;
•
analisi dettagliata del D.Lgs. n° 196/2003 “Codice in materia di trattamento dei dati personali”;
•
analisi e spiegazione dei ruoli: titolare, responsabile e incaricato;
•
panoramica sugli adempimenti previsti dal D.Lgs. n° 196/2003;
•
l’ufficio del Garante;
- 22 -
•
misure minime di sicurezza con particolare riferimento a: criteri logici, fisici ed organizzativi per la
protezione dei sistemi informativi, prevenzione e contenimento del danno, strumenti di protezione
hardware e software (in particolare antivirus e misure antihacker), contenitori di sicurezza, sistemi
antintrusione, importanza e modalità di realizzazione delle operazioni di backup, ecc..
Coerentemente con l’evoluzione degli strumenti tecnici adottati dall'Ente e/o dall’insorgere di nuove
disposizioni legislative in materia, saranno istituiti incontri informativi. In ogni caso, almeno una volta
l’anno, sarà comunque istituito un incontro per sensibilizzare gli incaricati sull’importanza di adottare le
norme di sicurezza predisposte e per recepire eventuali suggerimenti in materia derivanti dalla constatazione
della presenza di minacce o vulnerabilità riscontrate.
6.7
Affidamento dati personali all’esterno
Per tutti i casi di trattamento di dati personali all’esterno citati o che verranno definiti successivamente alla
stesura del presente DPSS, l’Ente invierà una comunicazione scritta (caso di dati personali di natura non
sensibile) o richiederà una dichiarazione scritta dalla quale si attesti che la realtà esterna effettua il
trattamento conformemente alla normativa vigente (caso di dati personali anche di natura sensibile).
6.8
Programma di revisione ed adeguamento
Il presente documento, prodotto nel rispetto dell’art. 19 del Disciplinare Tecnico in materia di misure minime
di sicurezza allegato B del Decreto Legislativo n° 196 del 30.06.2003, sarà illustrato nel corso di una
riunione presso l’Ente.
Questo DPSS verrà aggiornato con periodicità almeno annuale e comunque non oltre il 31 marzo di ciascun
anno; di ciò si farà riferimento nella relazione al Bilancio.
Per tutte le scadenze e la verifica degli adempimenti minimali si farà riferimento all’ALLEGATO A del
presente DPSS, oltre che ad eventuali nuove norme tecniche che verranno emanate in futuro.
6.9
Dichiarazione di impegno e firma
Il presente documento redatto nel mese di marzo del 2010 viene firmato in calce dal Sindaco del Comune in
qualità di legale rappresentante dell’Ente.
Il DPSS verrà sottoposto all’approvazione della Giunta Comunale.
L’originale del presente documento viene custodito presso la sede dell’Ente per essere esibito in caso di
controllo. Una sua copia verrà consegnata su richiesta:
•
a ciascun responsabile interno del trattamento dei dati personali eventualmente nominato
successivamente alla stesura del presente DPSS;
•
a chiunque ne faccia richiesta in relazione all’instaurarsi di un rapporto che implichi un trattamento
congiunto di dati personali.
Martignacco, lì 29 marzo 2010
Il legale rappresentante dell’Ente
- 23 -
ALLEGATO A
PERIODICITÀ DELLE VERIFICHE PREVISTE DAL DISCIPLINARE TECNICO
Dati non sensibili
Dati sensibili e giudiziari
Descrizione
Cadenza
Disciplinare
tecnico
Cadenza
Disciplinare
tecnico
Disattivazione in caso di mancato
utilizzo dei medesimi per un
periodo superiore ai 6 mesi.
6 mesi
7
6 mesi
7
Disattivazione in caso di perdita
della qualità che consente
all’incaricato l’accesso ai dati
personali.
Sempre
8
Sempre
8
Codice per
l’identificazione
Una volta assegnato, non può
essere assegnato ad altri
incaricati.
Sempre
6
Sempre
6
Password
Deve essere modificata
periodicamente
6 mesi
5
3 mesi
5
Possono essere individuati per
singolo incaricato o per classi
omogenee di incaricati.
Sempre
13
Sempre
13
Verificare la sussistenza delle
condizioni per la conservazione
dei profili di autorizzazione.
1 anno
14
1 anno
14
Lista degli incaricati
autorizzati
Può essere redatta anche per
classi omogenee di incarico
1 anno
15
1 anno
15
Antivirus
Verifica efficacia ed
aggiornamento
6 mesi
16
6 mesi
16
Patch o programmi
update
Programmi per elaboratore volti a
correggere difetti e prevenire la
vulnerabilità degli strumenti
elettronici.
1 anno
17
6 mesi
17
Backup
Salvataggio dei dati
7 giorni
18
7 giorni
18
Ripristino accesso
dati
Ripristino accesso dati in caso di
danneggiamento degli stessi o
degli strumenti elettronici
Max 7 giorni
23
D.P.S.
Documento programmatico sulla
sicurezza
Sistemi antintrusione
Misura da verificare
Credenziali di
autenticazione
Profili di
autorizzazione
1 anno
1 anno
(entro il
31.03)
19
(entro il
31.03)
19
Protezione contro l’accesso
abusivo nel caso di trattamento di
dati sensibili.
Sempre
20
Sempre
20
Custodia dei supporti
rimovibili di
memorizzazione
Istruzioni organizzative e tecniche
per la loro custodia ed utilizzo.
Sempre
21
Sempre
21
Riutilizzo dei
supporti di
memorizzazione
Se non utilizzati, devono essere
distrutti o resi inutilizzabili.
Controllo sulla non recuperabilità
delle informazioni
precedentemente contenute.
Sempre
22
Sempre
22
- 24 -
ALLEGATO B
SISTEMA INFORMATICO COMUNALE: REQUISITI HARDWARE
- 25 -
La rete locale del Comune di Martignacco ha a disposizione 62 indirizzi (assegnati da Insiel per la visibilità
nella Rupar FVG) da 172.20.128.129 con netmask a 26 bit per la sede comunale e 62 indirizzi (assegnati da
Insiel per la visibilità nella Rupar FVG) da 172.20.195.65 con netmask a 26 bit per la sede remota di via
Delser che ospita la biblioteca civica e i servizi sociali.
La rete insiste su di un centrostella costituito da:
1) uno Switch HP PROCURVE 2650, situato nell’armadio presso la sala della centrale telefonia/dati al piano
scantinato di via della Libertà;
Nello stesso armadio trova posto il router Cisco 1841 (INSIEL) che consente l’accesso alla RUPAR tramite
connessione HDSL dedicata, nonché un router Linksys by Cisco AM200 (NT Nuove Tecnologir) che
consente l’accesso ad Internet tramite connessione ADSL per la navigazione extra RUPAR.
2) uno Switch HP PROCURVE 2524, situato nell’armadio telefonia/dati presso gli uffici della Biblioteca
Civica al piano primo di via Delser, collegato al precedente tramite ponte radio;
3) uno Switch HP PROCURVE 2524, situato nell’armadio telefonia/dati presso l’ufficio Servizi Sociali al
piano terra di via Delser, collegato al precedente tramite cavo in fibra ottica;
Sulla rete è presente un server NTSERVER con sistema operativo Windows Small Business Server 2003
protetto da un gruppo di continuità APC Smart-UPS 1400 situato nella stanza dedicata al piano primo in tra
l’Ufficio del Segretario Comunale e l’Ufficio Tributi. La porta di tale stanza (collegata all’ufficio tributi) è
chiudibili a chiave e NON sono presenti grate alle finestre. Tale server, di proprietà dell’Ente, è totalmente
gestito e mantenuto da NT Nuove Tecnologie S.r.l.; la macchina virtualizza un server SERVERHALLY con
sistema operativo Windows Server 2003, contenente i programmi e database dei tributi, co-gestito da NT
Nuove Tecnologie S.r.l. e C.S.T. Friuli S.r.l.
Inoltre presso la biblioteca, al primo piano, è presente un server denominato SERVERBIBLIO, con sistema
operativo Windows 2003 Server, e protetto da un gruppo di continuità MetaSystem WHAD800, anch’esso
totalmente gestito e mantenuto da NT Nuove Tecnologie S.r.l.
Vi è un elaboratore portatile presso l’Ufficio Sindaco e 33 + 3 unità di accesso per gli operatori
(amministratori dirigenti e dipendenti comunali) così sinteticamente suddivise:
SEDE PRINCIPALE DI VIA DELLA LIBERTÀ
Ufficio Sindaco (Primo Piano):
Nome PC
SINDACO
Operatore
Sistema Operativo
Microsoft Windows XP Pro
Operatore
Manuela Prosperini
Sistema Operativo
Marzo Zanor
Ufficio Segretario Comunale (Primo Piano):
Nome PC
SEGRETARIO
Sala Giunta - Assessori (Primo Piano):
Nome PC
ASSESSORI01
ASSESSORI02
Operatore
Luca Nicli
Assessori
Sistema Operativo
Operatore
Katia Pagotto
Sistema Operativo
Ufficio Segreteria (Primo Piano):
Nome PC
SEGRETERIA1
- 26 -
Ufficio Attività Produttive (Primo Piano):
Nome PC
SEGRETERIA2
Operatore
Alessandra Bertoli
Sistema Operativo
Operatore
Milva Chittaro
Sistema Operativo
Operatore
Sandra Burba
Lucian Mesaglio
Giuliana Totis
Sistema Operativo
Operatore
Lauro Tonini
Giuseppina Giuliano
Sistema Operativo
Ufficio Protocollo (Primo Piano):
Nome PC
PROTOCOLLO
Ufficio Ragioneria (Primo Piano):
Nome PC
RAGIONERIA1
RAGIONERIA2
RAGIONERIA4
Ufficio Tributi (Piano Primo):
Nome PC
TRIBUTI1
TRIBUTI2
Ufficio Lavori Pubblici (Piano Terra):
Nome PC
TECNICO
TECNICO7
TECNICO4
TECNICO3
POLIZIA3
Operatore
Angelo Schiratti
Luciano Bressanelli
Roberto Nobile
Aldo Zentilin
Gloria Artico
Sistema Operativo
Ufficio Edilizia Privata (Piano Terra):
Nome PC
TECNICO2
TECNICO5
RAGIONERIA3
TECNICO6
Operatore
Giancarlo Pressacco
Andrea Giorgiutti
Sandra Benvenuto
Valerio Michelutti
Miriana Puppo
Sistema Operativo
Operatore
Anna Coseano
Nadia Castellani
Sistema Operativo
Microsoft Windows XP 2000
Ufficio Anagrafe (Piano Terra):
Nome PC
ANAG3
ANAG1
- 27 -
ANAG2
Paolo Deserafino
Ufficio Vigilanza (Piano Seminterrato):
Nome PC
POLIZIA1
POLIZIA2
Operatore
Rossana Pravisano
Michele Mansutti
Paolo Visentini
Paolo Forniz
Maurizio Imperato
Sistema Operativo
SEDE DISTACCATA DI VIA DELSER
Ufficio Servizi Sociali (Piano Terra):
Nome PC
ASSISTENZA2
ASSISTENZA1
Operatore
Isabella Siri
Angela Novello
Sistema Operativo
Operatore
Eva Brollo
Raffaella Graffi
Giorgio Codutti
Di servizio
Utenti 1
Utenti 2
Utenti 3
Sistema Operativo
Biblioteca Civica (Piano Primo):
Nome PC
BIBLIOTECA02
BIBLIOTECA01
BIBLIOTECA03
BIBLIOTECA04
WEB1
WEB2
WEB3
- 28 -
ALLEGATO C
SISTEMA INFORMATICO COMUNALE: REQUISITI SOFTWARE
- 29 -
Ufficio del Sindaco
Piano
Stanza
Primo
Ufficio Sindaco
SOFTWARE:
Adobe Acrobat Reader
Avira AntiVir Professional
Internet Explorer
Microsoft Outlook 2003
Microsoft Office 2003 SBE
Nome PC:
Utente:
Sistema Operativo:
SINDACO
Marzo Zanor
RISORSE:
dati su server “NTSERVER”
Ufficio Segretario Comunale
Piano
Stanza
Primo
Ufficio Segretario Com.le
SOFTWARE:
Internet Explorer
Microsoft Office 2003
Li.Det.
Prode
Nome PC:
Utente:
Sistema Operativo:
SEGRETARIO
Manuela Prosperini
RISORSE:
Sala Giunta
Piano
Stanza
Primo
Sala Giunta
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Nome PC:
Utente:
Sistema Operativo:
ASSESSORI01
Luca Nicli
RISORSE:
Sala Giunta
Piano
Stanza
Primo
Sala Giunta
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Nome PC:
Utente:
Sistema Operativo:
ASSESSORI02
Assessori
RISORSE:
Ufficio Segreteria
Piano
Stanza
Primo
Ufficio Segretaria
SOFTWARE:
Internet Explorer
Nome PC:
Utente:
Sistema Operativo:
SEGRETERIA1
Katia Pagotto
RISORSE:
- 30 -
Li.Det.
Prode
HA calcolo dei diritti di segreteria
PDF Creator
Nero
Piano
Stanza
Primo
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Trade Win v.7.3.5.782
Pdf creator
Nome PC:
Utente:
Sistema Operativo:
SEGRETERIA2
Alessandra Bertoli
RISORSE:
Ufficio Protocollo
Piano
Stanza
Primo
Ufficio Protocollo
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Nome PC:
Utente:
Sistema Operativo:
PROTOCOLLO
Milva Chittaro
RISORSE:
Ufficio Ragioneria
Piano
Stanza
Primo
Ufficio Ragioneria
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Software tributi Halley
Piano
Stanza
Primo
Ufficio Ragioneria
SOFTWARE:
Internet Explorer
Nome PC:
Utente:
Sistema Operativo:
RAGIONERIA1
Sandra Burba
RISORSE:
dati su server “SERVERHALLEY”
Nome PC:
Utente:
Sistema Operativo:
RAGIONERIA2
Lucia Mesaglio
RISORSE:
- 31 -
Piano
Stanza
Li.Det.
Prode
Cel servizi
Mozilla firefox
Primo
Ufficio Ragioneria
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Nome PC:
Utente:
Sistema Operativo:
RAGIONERIA4
Giuliana Totis
RISORSE:
Ufficio Tributi
Piano
Stanza
Primo
Ufficio Ragioneria
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Procedura tributi Halley
Start 2
Piano
Stanza
Primo
Ufficio Ragioneria
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Procedura tributi Halley
Start2
Nome PC:
Utente:
Sistema Operativo:
TRIBUTI1
Lauro Tonini
RISORSE:
Nome PC:
Utente:
Sistema Operativo:
TRIBUTI2
Giuseppina Giuliano
RISORSE:
Ufficio Lavori Pubblici
Piano
Stanza
Terra
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Start2
Nome PC:
Utente:
Sistema Operativo:
TECNICO
Angelo Schiratti
RISORSE:
- 32 -
Piano
Stanza
Terra
Nome PC:
Utente:
Sistema Operativo:
SOFTWARE:
Internet Explorer
Microsoft Office XP Pro
Li.Det.
Prode
TEK4
Autocad LT2008
Adobe Creative Suite 2
Start2
Piano
Stanza
Terra
RISORSE:
Nome PC:
Utente:
Sistema Operativo:
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Piano
Stanza
Terra
Terra
TECNICO4
Roberto Nobile
RISORSE:
Nome PC:
Utente:
Sistema Operativo:
SOFTWARE:
Internet Explorer
Microsoft Office 2000 SB ITA
Li.Det.
Prode
Start2
Piano
Stanza
TECNICO7
Luciano Bressanelli
TECNICO3
Aldo Zentilin
RISORSE:
Nome PC:
Utente:
Sistema Operativo:
SOFTWARE:
Internet Explorer
Start2
POLIZIA3
Gloria Artico
RISORSE:
Ufficio Edilizia Privata
Piano
Terra
Nome PC:
Stanza
Utente:
Sistema Operativo:
SOFTWARE:
Internet Explorer
TECNICO2
Giancarlo Pressacco
Andrea Giorgiutti
Microsoft Windows 2000
RISORSE:
- 33 -
Piano
Stanza
Li.Det.
Prode
TEK4
Primo
SOFTWARE:
Internet Explorer
Li.Det.
Prode
TEK4
Start2
Piano
Stanza
Terra
SOFTWARE:
Internet Explorer
Li.Det.
Prode
TEK4
Start2
Piano
Stanza
Terra
SOFTWARE:
Internet Explorer
Li.Det.
Prode
TEK4
Start2
Nome PC:
Utente:
Sistema Operativo:
TECNICO5
Sandra Benvenuto
RISORSE:
Nome PC:
Utente:
Sistema Operativo:
RAGIONERIA3
Valerio Michelutti
RISORSE:
Nome PC:
Utente:
Sistema Operativo:
TECNICO6
Miriana Puppo
RISORSE:
Ufficio Anagrafe
Piano
Stanza
Terra
Ufficio Anagrafe
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Nome PC:
Utente:
Sistema Operativo:
ANAG3
Anna Coseano
RISORSE:
dati su server “SERVERBIBLIO”
- 34 -
Piano
Stanza
Terra
Ufficio Anagrafe
Nome PC:
Utente:
Sistema Operativo:
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Start2
Piano
Stanza
Terra
Ufficio Anagrafe
ANAG1
Nadia Castellani
RISORSE:
Nome PC:
Utente:
Sistema Operativo:
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Start2
Mozilla Firefox
ANAG2
Paolo Deserafino
RISORSE:
Ufficio Vigilanza
Piano
Seminterrato
Nome PC:
Stanza
Ufficio Vigilanza
Utente:
Sistema Operativo:
SOFTWARE:
Internet Explorer
Li.Det.
Prode
ConciliaWin
RISORSE:
Piano
Seminterrato
Nome PC:
Stanza
Ufficio Vigilanza
Utente:
Sistema Operativo:
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Procedura “Concilia”
TradeWin
Start2
POLIZIA1
Michele Mansutti
Rossana Pravisano
POLIZIA2
Paolo Visentini
Paolo Forniz
Maurizio Imperato
Microsoft Windows 2000
RISORSE:
Ufficio Servizi Sociali
- 35 -
Piano
Stanza
Terra
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Piano
Stanza
Terra
SOFTWARE:
Internet Explorer
Mozila Firefox
Li.Det.
Prode
Pdf creator
Nome PC:
Utenti:
Sistema Operativo:
ASSISTENZA2
Isabella Siri
RISORSE:
Nome PC:
Utenti:
Sistema Operativo:
ASSISTENZA1
Angela Novello
RISORSE:
Biblioteca Civica
Piano
Stanza
Primo
Ufficio Biblioteca
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Piano
Stanza
Primo
Ufficio Biblioteca
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Piano
Stanza
Primo
Ufficio Biblioteca
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Nome PC:
Utente:
Sistema Operativo:
BIBLIOTECA02
Eva Brollo
RISORSE:
Nome PC:
Utente:
Sistema Operativo:
BIBLIOTECA01
Raffaella Graffi
RISORSE:
Nome PC:
Utente:
Sistema Operativo:
BIBLIOTECA03
Giorgio Codutti
RISORSE:
- 36 -
Piano
Stanza
Primo
Ufficio Biblioteca
SOFTWARE:
Internet Explorer
Li.Det.
Prode
Nome PC:
Utente:
Sistema Operativo:
BIBLIOTECA04
Di servizio
RISORSE:
- 37 -

Regolamento 22 - Comune di Martignacco

Transcript

Documenti analoghi

inApple | Microsoft Cortana sarà disponibile anche per iOS

Elaborare testi - Lions Club Torino Augusta Taurinorum

Richard Stallman - Umberto Torelli

optional second line of title - CashPro Online

ISTITUTO GEOGRAFICO MILITARE

FORMATO EUROPEO PER IL CURRICULUM VITAE

Data Solution di Marco Barraco – Piazzale Bligny 2