MINISTERO DI GRAZIA E GIUSTIZIA · Web viewDistribuzione dei compiti e delle responsabilità 6...

Ministero della

GiustiziaUFFICIO

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI TRATTATI CON

STRUMENTI ELETTRONICI E REDATTO AI SENSI DEL D.LVO N.196/2003

Anno 2011

_____________________________________________

Documento Programmatico della Sicurezza

1

Sommario

Premessa......................................................................................................4

Soggetti dell'Ufficio interessati al trattamento dati................................4

Elenco del trattamento dei dati personali................................................5

Distribuzione dei compiti e delle responsabilità......................................6

Analisi dei rischi.........................................................................................6

Gestione del rischio....................................................................................7

Beni da proteggere e priorità....................................................................7

Obiettivi.......................................................................................................9

Strategie per raggiungere gli obiettivi......................................................9

Criteri di protezione fisica delle aree e delle procedure di controllo

degli accessi.................................................................................................9

Gestione degli apparati di rete................................................................10

Criteri e procedure per assicurare l'integrità dei dati..........................11

Software.....................................................................................................11

Riservatezza dei dati................................................................................12

Integrità dei dati.......................................................................................14

Monitoraggio del sistema.........................................................................20

Trasmissione dei dati...............................................................................20

Trattamento dei dati senza l'ausilio di strumenti elettronici...............22

Periodicità revisione.................................................................................23

Manuale della sicurezza...........................................................................24

Modulistica................................................................................................32

_____________________________________________


2

Allegati ......................................................................................................37

_____________________________________________


3

Premessa

Il presente documento descrive i criteri e le norme di sicurezza nonché le misure tecniche ed

organizzative da adottare per garantire, in relazione ad un contesto espresso in termini di dati, il

mantenimento della disponibilità, autenticità, integrità, riservatezza delle informazioni trattate

nonché del controllo degli accessi fisici e logici.

Il documento è redatto ai sensi del D.lvo n.196/2003 ed aggiornato alle nuove disposizione del

D.M. del 27 aprile 2009 del Ministero della Giustizia “Nuove regole procedurali relative alla tenuta

dei registri informatizzati dell’amministrazione della giustizia”.

(Il DPS è strutturato nel seguente modo: la prima parte è più generica mentre nella seconda,

attraverso la seguente legenda, si riportano gli allegati con lo stato attuale ed eventuali interventi

migliorativi relativi a quella parte del sistema informativo)

La rispondenza dei requisiti indicati rispetto a quanto rilevato viene riportata secondo il

seguente sistema di classificazione:

N.G. (Non conformità Grave) Il requisito rilevato non è conforme a quello richiesto, il suo mancato rispetto può compromettere la sicurezza dell’intero sistema informativo, gli interventi adeguativi richiedono tempi lunghi e il coinvolgimento di entità esterne all’organizzazione (altri uffici giudiziari, enti locali, ditte esterne)

N.M. (Non conformità Media) Il requisito rilevato non è conforme a quello richiesto, il suo mancato rispetto può compromettere la sicurezza dell’intero sistema informativo, gli interventi adeguativi richiedono tempi brevi e il coinvolgimento di sole risorse interne.

N.L. (Non conformità Lieve) Il requisito rilevato non è conforme a quello richiesto, il suo mancato rispetto non compromettere la sicurezza dell’intero sistema informativo, gli interventi adeguativi richiedono tempi brevi e il coinvolgimento di sole risorse interne.

C (Conformità) Il requisito rilevato è conforme a quello richiesto.M (Migliorativo) Il requisito rilevato è migliorativo rispetto a quello richiesto.N.R. (Non Rilevabile) Non vi sono elementi sufficienti per la valutazione.N.A. (Non applicabile Non vi sono elementi che consentano l'applicabilità del

suggerimentoP.A (Priorità Alta) E’ necessario fornire i relativi datiP.M (Priorità Media) E’ preferibile fornire i dati relativi P.B. (Priorità Bassa) E’ opzionale fornire i dati relativi

Allegati: contengono le informazioni sullo stato attuale per le singole sezioni.

_____________________________________________


4

Soggetti dell’ufficio interessati dal trattamento dati

Si individuano le seguenti figure:

1. il titolare del trattamento : è tale la persona fisica, la persona giuridica, la P.A. e qualsiasi

altro organismo cui competono le decisioni in ordine alle finalità, alla modalità del

trattamento dei dati personali ed agli strumenti utilizzati, ivi incluse le procedure di

sicurezza. Egli è tenuto a vigilare, in primis, sulla correttezza delle operazioni di trattamento

dei dati e sull’osservanza, da parte dei responsabili ed incaricati, delle istruzioni impartite al

fine che interessa, nonché sull’attuazione del presente documento.

2. il responsabile del trattamento : è tale il soggetto preposto dal titolare al trattamento dei dati e

tenuto a vigilare, nell’ambito del proprio settore e sfera di intervento, sulla circostanza che il

trattamento medesimo avvenga in maniera corretta, ed in specie che i dati stessi siano:

trattati in maniera lecita;

raccolti e registrati per scopi determinati, espliciti, legittimi ed utilizzati in altre

operazioni del trattamento in termini non incompatibili con tali scopi;

esatti ed aggiornati;

pertinenti, completi e non eccedenti, rispetto alle finalità per cui sono raccolti e/o

successivamente trattati.

3. l’incaricato : è tale la persona fisica autorizzata a compiere operazioni di trattamento dal

titolare o dal responsabile.

4. l’amministratore dei servizi informatici (ADSI): svolge i compiti attribuiti ed individuati

dall’ art. 4 del D.M. del 27 aprile 2009 del Ministero della Giustizia;

Elenco del trattamento dei dati personali: (art 19.1 allegato B D.Lvo n. 196 del 2003)

Sono trattati i seguenti dati personali:

Dati relativi al personale dipendente dell’ufficio;

Dati relativi alle persone fisiche, persone giuridiche, ente o associazioni identificati o identificabili,

anche indirettamente mediante riferimento a qualsiasi altra informazione, che vengono comunicati

all’ufficio per motivi istituzionali o di servizio

Si indicano solo a scopo esemplificativo:

i dati relativi alle persone che svolgono funzioni giudiziarie onorarie,

_____________________________________________


5

i dati del personale di polizia giudiziaria in servizio presso l’ufficio,

i dati delle ditte fornitrici,

delle persone non dipendenti che, a qualsiasi titolo prestano servizi nell’ambito della

struttura giudiziaria,

i dati relativi a dipendenti che hanno prestato servizio in passato presso l’ufficio e che sono

stati trasferiti , transitati verso altre amministrazioni o cessati dal servizio.

Stato: PA Riferimento

Distribuzione dei compiti e delle responsabilità ( art 19.2 allegato B D.Lvo n. 196 del 2003)

Il responsabile del trattamento dei dati personali è il dr. XXXXXXXXXXX, -dirigente

amministrativo - dà le disposizioni necessarie a garantire la misure minime di sicurezza; definite

all’art. 4 n. 3 lett. A del D.lvo 196 del 2003, secondo i principi definiti nel presente documento.

In riferimento alla struttura organizzativa il titolare può individuare responsabili di settore che

esercitano le funzioni in ambito:

1. Settore amministrativo

2. Settore civile

3. Settore penale

In elenco a parte vengono indicati gli incaricati del trattamento dei dati.

Il responsabile del trattamento dati, direttamente o tramite incaricati provvede all’estrazione dei dati

per il riscontro all’interessato come previsto dall’art 10 comma 2 del D.lvo n 196 del 2003.

Analisi dei rischi (art 19.3 allegato B D.Lvo n. 196 del 2003)

I rischi che incombono sui dati sono:

1. Eventi naturali e comportamenti umani che ne limitano la disponibilità. I dati devono essere

disponibili per gli utenti autorizzati. Devono essere messe in atto le misure idonee ad evitare

che eventi naturali quali incendi, allagamenti, ed umani: attentati, sottrazione di materiale

riducano la disponibilità dei dati;

2. Comportamenti colposi o dolosi che compromettono l’integrità dei dati. I dati possono

elaborati, modificati, cancellati solo dalle persone autorizzate. La registrazione,

_____________________________________________


6

l’elaborazione, la modifica, la cancellazione e le altre operazioni sui dati possono essere

svolte solo dai dipendenti autorizzati con ordine di servizio o altro provvedimento.

3. Comportamenti che compromettono l’autenticità dei dati. Deve essere certificata e garantita

la provenienza dei dati. I certificati e gli altri documenti sono rilasciati secondo procedure

validate e dalle persone autorizzate.

4. Comportamenti che compromettono la riservatezza di dati. I dati personali, i dati sensibili ed

i dati giudiziari devono essere trattati secondo i principi dettati dal D.lvo n. 196 del 2003. Le

informazioni possono essere fruite solo dalle persone legittimate ed è vietata la diffusione e

la comunicazione a persone diverse da quelle autorizzate.


Gestione del rischio

Scopo di tale attività è quello di rilevare lo scenario esistente, specificando i beni da proteggere, le

vulnerabilità del sistema (le varie possibilità/modalità di essere attaccati e danneggiati), le minacce

(eventi che possono arrecare danni ai beni e/o pregiudizio all’integrità, riservatezza, autenticità, e

disponibilità dei dati e processi), e i criteri di protezione per la riduzione del rischio. Essa permette

di valutare il grado di esposizione al rischio di eventi diretti ad impedire il raggiungimento ed il

mantenimento degli obiettivi della sicurezza.


Beni da proteggere e priorità

I beni informatici da proteggere sono suddivisi in tre categorie:

1. apparati e strumenti informatici

1.1. individuali (PC desktop)

1.2. di rete (Switch, Router, Firewall, PC Server, modem)

1.3. supporti di Back-up (DAT, DVD)

2. software e dati trattati con strumenti elettronici.

_____________________________________________


7

2.1. software commerciale;

2.2. applicativi di rilevanza nazionale;

2.3. applicativi realizzati a livello locale.

2.4. "dato personale", qualunque informazione relativa a persona fisica, persona

giuridica, ente od associazione, identificati o identificabili, anche indirettamente,

mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di

identificazione personale;

2.5. "dati identificativi", i dati personali che permettono l'identificazione diretta

dell'interessato;

2.6. "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le

convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione

a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico,

politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la

vita sessuale;

2.7. "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo

3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in

materia di casellario giudiziale, di anagrafe delle sanzioni amministrative

dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di

indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;

3. tutte le informazioni, sia su supporto cartaceo che su supporto informatico, che

riguardano il sistema informatico nella sua interezza (tra cui l’elenco del materiale

hardware e del software, le relative configurazioni).

Tali informazioni debbono ritenersi di carattere strettamente riservato e pertanto vanno

custodite alla stregua di dati sensibili.

E’ fondamentale considerare al livello maggiore di sicurezza gli strumenti contenenti gli archivi

centralizzati di dati (PC Server).

Si rende necessario che l’Ufficio Giudiziario, mediante l’ufficio competente, rediga e mantenga

aggiornato, segnalando tali aggiornamenti al CISIA competente, l’inventario dei beni informatici di

cui al punto 1 sopra indicato.

_____________________________________________


8

Obiettivi

Nell’ambito informatico il termine “sicurezza” si riferisce a tre aspetti distinti:

1. Riservatezza: Prevenzione contro l’accesso non autorizzato alle informazioni;

2. Integrità: Le informazioni non devono essere alterabili da incidenti o abusi;

3. Disponibilità: Il sistema deve essere protetto da interruzioni impreviste.

Il raggiungimento di questi obiettivi richiede non solo l’utilizzo di appropriati strumenti tecnologici,

ma soprattutto l’adozione degli opportuni meccanismi organizzativi; le misure soltanto tecniche, per

quanto possano essere sofisticate, non saranno efficaci se non usate propriamente.

Strategie per raggiungere gli obiettivi

Le strategie individuate sono suddivise in criteri per macro aree:

Criteri di protezione fisica delle aree e delle procedure di controllo degli accessi;

Criteri e procedure per assicurare l'integrità dei dati;

Criteri di sicurezza delle trasmissioni dati;

Criteri di protezione fisica delle aree e delle procedure di controllo degli accessi

Protezione delle aree e dei locali interessatiLa protezione delle aree e dei locali interessati si ottiene mediante l’applicazione di controlli che

mirano a restringere i diritti di accesso del personale alle zone che ospitano risorse informatiche.

Si individuano in tale contesto le seguenti aree:

Sale Server

Sale in cui sono custoditi i supporti di backup

Uffici ospitanti apparecchiature o dati sensibili

Sale Server

Le macchine Computer Server sono ubicate in un apposito locale (sala Server).

La sala Server deve essere dotata di:

a) Impianto antincendio adeguato a locali contenenti apparati informatici

b) Impianto di condizionamento ambientale opportunamente dimensionato

_____________________________________________


9

c) Porte e finestre blindate

d) Impianto elettrico a norma;

e) Gruppo di continuità.

1. L’accesso alla sala Server va consentito solo alle persone espressamente autorizzate dal titolare

del trattamento dati, oltre che agli i del sistema e al personale dell’assistenza sistemistica ove

presenti.

2. Vanno applicate misure idonee per il controllo degli accessi alla sala Server.

3. Analoghe misure sono da considerarsi essenziali anche per i locali ove sono presenti

apparati di rete.

Stato: Riferimento

Sale supporti Backup

Per quanto concerne invece le sale in cui sono custoditi i supporti di backup, preferibilmente

diverse dalle sale server, devono essere dotate di apposito armadio per supporti informatici,

blindato ed ignifugo, non trasportabile e dotato di impianto antifurto.

Stato: Riferimento

Uffici con dati sensibili e dati giudiziari

I locali degli uffici in cui sono presenti apparecchiature e dati importanti devono essere

protetti con impianti idonei contro eventi catastrofici, quali incendio ed allagamento, e dotati

di controllo di accesso.

Stato: Riferimento

Tutte le chiavi di accesso, card elettroniche e manuali, ai locali delle tre aree su indicate, vanno

custodite dal personale delegato dal titolare del trattamento. Qualsiasi rilascio di copia delle chiavi

dovrà essere autorizzato per iscritto.

Gestione degli apparati di reteGli armadi che contengono gli apparati di rete vanno chiusi a chiave. Le chiavi vanno custodite in

un armadio blindato, posto in un locale distante dalla sala Server, non trasportabile e dotato di

impianto antifurto.

_____________________________________________


10

Su tutte le apparecchiature di rete dotate di accesso remoto per la loro gestione devono essere

attivate funzioni di autenticazione obbligatorie.

L’accesso tramite password in chiaro è sostituito con l’uso di un sistema con autenticazione forte

(ad esempio, un protocollo di crittografia SSH oppure un sistema di one-time password).

Se è possibile l’accesso tramite una porta locale di comunicazione, tale porta deve essere

disabilitata o dotata di password.

Se è possibile l’accesso remoto via rete, tale accesso deve essere disabilitato oppure dotato di

meccanismi di autenticazione forte.

Le porte telematiche degli apparati di rete inutilizzate devono essere disabilitate tramite il software

di gestione ove possibile oppure manualmente.

Stato: Riferimento

Criteri e procedure per assicurare l'integrità dei dati

Software (art. 12 del D.M. del 27/04/2009)Presso l’ufficio è consentita l’installazione esclusiva delle seguenti tre categorie di software:

a) Software commerciale, dotato di licenza d’uso;

b) Software realizzato specificamente per l’Amministrazione, a livello nazionale;

c) Software realizzato specificamente per l’Ufficio, a livello locale.

E’ consentito installare ed utilizzare unicamente il software preventivamente approvato dal

responsabile S.I.A secondo quanto previsto dall’art. 3 comma2, del DM 27 marzo 2000, n° 264 “La

conformità alle regole tecniche e alle regole procedurali è certificata dal responsabile dei sistemi

informativi automatizzati, di cui all'articolo 10 del decreto legislativo 12 febbraio 1993, n. 39, del

Ministro della giustizia prima della messa in uso del sistema”

L’elenco dei software nazionali con le relative funzionalità fornite è pubblicato sul sito

dell’Amministrazione.

L’installazione di software diversi da quelli indicati alle voci a), b), c) deve essere autorizzato dal

titolare del trattamento.

Il software, di cui si ha licenza d’uso, deve essere installato solo tramite supporti fisici originali o

copie rilasciate dall’Amministrazione.

_____________________________________________


11

È fondamentale che su ogni computer sia installato un software antivirus.

In mancanza di procedure di installazione automatiche, il titolare del trattamento garantisce, con

cadenza periodica, l’effettuazione delle installazioni del software antivirus su tutte le postazioni di

lavoro.

Stato: Riferimento

Riservatezza dei datiData l’elevata sensibilità dei dati trattati dagli uffici giudiziari, si seguono le seguenti prescrizioni di

sicurezza nei casi riportati di seguito:

1. Reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche

secondo quanto indicato nell’ allegato A) al provvedimento del Garante del 13 ottobre

2008 - In caso di reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed

elettroniche le misure e gli accorgimenti volti a prevenire accessi non consentiti ai dati

personali in esse contenuti, adottati nel rispetto delle normative di settore, devono consentire

l'effettiva cancellazione dei dati o arantire la loro non intelligibilità. Tali misure, anche in

combinazione tra loro, devono tenere conto degli standard tecnici esistenti e possono

consistere, tra l'altro, in misure tecniche preventive per la memorizzazione sicura dei dati,

applicabili a dispositivi elettronici o informatici:

a) Cifratura di singoli file o gruppi di file, di volta in volta protetti con parole-chiave riservate,

note al solo utente proprietario dei dati, che può con queste procedere alla successiva

decifratura. Questa modalità richiede l'applicazione della procedura di cifratura ogni volta

che sia necessario proteggere un dato o una porzione di dati (file o collezioni di file), e

comporta la necessità per l'utente di tenere traccia separatamente delle parole-chiave

utilizzate.

b) Memorizzazione dei dati sui dischi rigidi (hard-disk) dei personal computer o su altro genere

di supporto magnetico od ottico (cd-rom, dvd-r) in forma automaticamente cifrata al

momento della loro scrittura, tramite l'uso di parole-chiave riservate note al solo utente. Può

effettuarsi su interi volumi di dati registrati su uno o più dispositivi di tipo disco rigido o su

porzioni di essi (partizioni, drive logici, file-system) realizzando le funzionalità di un c.d.

file-system crittografico (disponibili sui principali sistemi operativi per elaboratori

elettronici, anche di tipo personal computer, e dispositivi elettronici) in grado di proteggere,

con un'unica parola-chiave riservata, contro i rischi di acquisizione indebita delle

_____________________________________________


12

informazioni registrate. L'unica parola-chiave di volume verrà automaticamente utilizzata

per le operazioni di cifratura e decifratura, senza modificare in alcun modo il

comportamento e l'uso dei programmi software con cui i dati vengono trattati.

c) Misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o

informatici:

3. Cancellazione sicura delle informazioni, ottenibile con programmi informatici (quali

wiping program o file shredder) che provvedono, una volta che l'utente abbia eliminato dei

file da un'unità disco o da analoghi supporti di memorizzazione con i normali strumenti

previsti dai diversi sistemi operativi, a scrivere ripetutamente nelle aree vuote del disco

(precedentemente occupate dalle informazioni eliminate) sequenze casuali di cifre "binarie"

(zero e uno) in modo da ridurre al minimo le probabilità di recupero di informazioni anche

tramite strumenti elettronici di analisi e recupero di dati.

d) Il numero di ripetizioni del procedimento considerato sufficiente a raggiungere una

ragionevole sicurezza (da rapportarsi alla delicatezza o all'importanza delle informazioni di

cui si vuole impedire l'indebita acquisizione) varia da sette a trentacinque e incide

proporzionalmente sui tempi di applicazione delle procedure, che su dischi rigidi ad alta

capacità (oltre i 100 gigabyte) possono impiegare diverse ore o alcuni giorni), a secondo

della velocità del computer utilizzato.

e) Formattazione "a basso livello" dei dispositivi di tipo hard disk (low-level formatting–LLF),

laddove effettuabile, attenendosi alle istruzioni fornite dal produttore del dispositivo e

tenendo conto delle possibili conseguenze tecniche su di esso, fino alla possibile sua

successiva inutilizzabilità;

f) Demagnetizzazione (degaussing) dei dispositivi di memoria basati su supporti magnetici o

magneto-ottici (dischi rigidi, floppy-disk, nastri magnetici su bobine aperte o in cassette), in

grado di garantire la cancellazione rapida delle informazioni anche su dispositivi non più

funzionanti ai quali potrebbero non essere applicabili le procedure di cancellazione software

(che richiedono l'accessibilità del dispositivo da parte del sistema a cui è interconnesso).

2. Assistenza hardware per riparazione del Personal Computer

In questo caso, qualora la ditta ritenesse opportuno, per i necessari controlli, trasferire il Personal

Computer (PC) presso i propri laboratori, nel rispetto delle politiche di sicurezza deve essere

adottata una delle seguenti precauzioni:

_____________________________________________


13

a) estrazione dal PC del supporto di memorizzazione magnetica (hard disk) contenente i

dati utente prima di consegnare il PC alla ditta; custodia del supporto da parte dell’utente;

successiva reinstallazione sul PC da parte della ditta nel momento in cui il PC viene

riconsegnato all’utente.

b) operare come se si trattasse di una sostituzione o riassegnazione (vedere punto 1), nel

caso in cui la ditta, a seguito di esigenza motivata, dovesse giocoforza portar via anche

l’hard disk contenente dati sensibili.

c) richiedere l’autorizzazione al capo dell’ufficio, nel caso in cui la ditta ritenga necessaria

la sostituzione in loco dell’hard disk oppure chiedere alla ditta la consegna dell’hard disk

non più funzionante.

Tale raccomandazione si estende naturalmente per motivi di integrità e riservatezza dei dati a tutti i

supporti di memorizzazione contenuti nei PC cosiddetti Server degli Uffici Giudiziari.

3 Dismissione/distruzione supporti di memorizzazione

Si prevede uno dei metodi seguenti, indicati nell’ allegato B) al provvedimento del Garante del

13 ottobre 2008 -Smaltimento di rifiuti elettrici ed elettronici, per la distruzione dei dati presenti

nei supporti di memorizzazione non più utilizzati::

La distruzione dei supporti prevede il ricorso a procedure o strumenti diversi a secondo del loro

tipo, quali:

a) sistemi di punzonatura o deformazione meccanica;

b) distruzione fisica o di disintegrazione (usata per i supporti ottici come i cd-rom e i dvd);

c) demagnetizzazione ad alta intensità.

d) utilizzo di un software di riscrittura per la cancellazione irreversibile dei dati

Stato: Riferimento

Integrità dei datiIl titolare del trattamento deve garantire il mantenimento di un elenco aggiornato di tutte le

attrezzature informatiche dell’ufficio, dello scopo a cui sono destinate, della loro locazione fisica,

delle misure di sicurezza su di esse adottate, delle eventuali misure di adeguamento pianificate.

Il titolare dovrà nominare un responsabile dell’ufficio per la custodia dei supporti di backup.

_____________________________________________


14

Il titolare del trattamento, o un suo delegato, deve individuare i dati da sottoporre a backup sui vari

computer Server.

A ciascun utente, compatibilmente con le risorse informatiche disponibili, deve essere assegnata

una cartella in un’area del disco di un computer Server, dove mantenere i dati che debbono essere

conservati in maniera sicura. L’accesso a tali cartelle deve essere consentito esclusivamente

all’utente proprietario, nonché agli incaricati del backup.

Il titolare del trattamento, coadiuvato dall’ADSI o se non disponibile tale risorsa ricorrendo a

personale esterno qualificato, deve individuare la tecnica, la frequenza e i supporti di

memorizzazione dei dati usati dalla procedura di backup.

Tutti le operazioni di backup devono essere effettuate materialmente dai tecnici della società di

assistenza sistemistica, ove presenti, che compileranno un modulo in cui riporteranno la tabella di

sintesi delle attività svolte.

Gli incaricati del backup, individuati dal titolare del trattamento dati tra il personale dell’assistenza

sistemistica ovvero, in assenza di questi, tra il personale dell’ufficio formato all’uopo, dovranno

effettuare le seguenti operazioni:

a) Esecuzione periodica del backup con generazione del relativo file di log (elenco dei file

salvati e relativo esito), preferibilmente attraverso procedure automatiche;

b) Mantenimento di un elenco dei backup effettuati;

c) Archiviazione dei supporti.

Stato: Riferimento

L’ADSI o ricorrendo a personale esterno qualificato deve effettuare le seguenti operazioni:

a) Verifica, con cadenza periodica, della procedura di recovery dai supporti di backup.

b) Verifica della corretta esecuzione del backup.

c) Effettivo ripristino dei dati in caso di necessità.

d) Controlla l’integrità dei supporti di memorizzazione contenente i backup storici.

Stato: Riferimento

_____________________________________________


15

Autenticazione informatica ( art 34 allegato A D.Lvo n. 196 del 2003/art. 8 comma 2 del DM

del 27 aprile 2009)

Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di

credenziali (username e password) di autenticazione che consentano il superamento di una

procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato

associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo

di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice

identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato,

eventualmente associata a un codice identificativo o a una parola chiave.

Gli incaricati del trattamento dovranno adottare le necessarie cautele per assicurare la segretezza

della componente riservata della credenziale attenendosi alle indicazioni indicate nel manuale di

sicurezza.

Quando l’accesso ai dati ed agli strumenti elettronici è consentito solo attraverso l’uso della

componente riservata della credenziale per l’autenticazione, in caso di prolungata assenza o

impedimento dell’incaricato, per gli interventi urgenti ed indifferibili necessari per garantire

l’operatività e la sicurezza del sistema il titolare potrà disporre che vengano predisposte le copie

delle credenziali di autenticazione, individuando preventivamente i soggetti incaricati della custodia

e garantendo le segretezza.

A tal fine l’incaricato del trattamento, fornirà in busta sigillata la copia delle proprie credenziali di

autenticazione ai soggetti individuati per la custodia.

Sulla busta, in corrispondenza della chiusura l’incaricato del trattamento ed i soggetti incaricati

della custodia apporranno ciascuno la propria firma etichettando la busta con un N° identificativo.

La busta sarà custodita in armadio, le cui chiavi saranno affidate al responsabile del trattamento o

delegato/incaricato alla custodia, che in caso di utilizzo della componente riservata, dovrà informare

tempestivamente l’incaricato. La parola chiave, quando è prevista dal sistema di autenticazione, è

composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta,

da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente

riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente,

_____________________________________________


16

almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è

modificata almeno ogni tre mesi.

Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati,

neppure in tempi diversi.

Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle

preventivamente autorizzate per soli scopi di gestione tecnica.

Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato

l'accesso ai dati personali.

Sistema di autorizzazione ( art. 12 allegato B D.Lvo n. 196 del 2003/ art. 8 comma 3 del DM

del 27 aprile 2009)

1. Il processo di autenticazione consente di ottenere uno specifico insieme di privilegi di

accesso ed utilizzo, denominato profilo, rispetto alle risorse del sistema informatico. A

ciascun profilo è associato un gruppo di utenti, che condividono gli stessi privilegi di

accesso e utilizzo.

2. Il responsabile del trattamento fornisce ai preposti all’e dei sistemi informativi, in caso

questi non fosse stato nominato ai tecnici dell’assistenza sistemistica i nominativi e la

qualifica degli utenti autorizzati, nonché i loro privilegi di utilizzo del sistema informatico.

L’ADSI o il personale esterno qualificato provvede:

A definire, per ciascun utente, il nome utente e la password per il primo accesso;

A definire i gruppi necessari per rispettare i privilegi di utilizzo;

A consegnare agli interessati il nome utente e la password, unitamente a una copia

del Manuale per la sicurezza.

3. Dove questo è tecnicamente possibile, L’ADSI o il personale esterno qualificato, imposta il

sistema in modo da forzare l’utente:

A cambiare la propria password al momento del primo accesso;

A cambiare la password periodicamente, con una frequenza non superiore a tre

mesi

A non poter riutilizzare la stessa password prima di otto modifiche;

A non poter utilizzare lo stesso nome utente per accedere contemporaneamente al

sistema da due postazioni di lavoro distinte.

_____________________________________________


17

4. La password di accesso alla rete:

Non deve derivare dal nome utente o dai dati personali dell’utente;

Deve avere una lunghezza di almeno otto caratteri;

Non deve essere una semplice parola rintracciabile in un dizionario;

Deve contenere almeno un carattere non alfabetico, oppure un misto di lettere

minuscole e maiuscole.

Gli applicativi utilizzati per il trattamento possono sfruttare l’autenticazione di accesso alla rete

oppure richiedere a loro volta un nome utente e una password.

Alle eventuali password di accesso agli applicativi si applicano le indicazioni di cui ai punti 2-3-

4. Per gli applicativi che non consentano di automatizzare i controlli di cui al punto 3 va previsto

un adeguamento.

I preposti alla custodia delle parole chiave provvedono, con cadenza almeno trimestrale, alla

verifica degli elenchi degli utenti, e provvedono, previa verifica con il responsabile del

trattamento, alla disattivazione delle utenze su cui risultasse qualche problema (mancato utilizzo

da più di sei mesi, un elevato numero di tentativi di accesso non riusciti, o simili).

Descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a

distruzione o danneggiamento degli stessi o degli strumenti elettronici di elaborazione. (art.

19.5 allegato B D.Lvo n. 196 del 2003)

In caso di distruzione o danneggiamento dei dati contenuti esclusivamente su supporto cartaceo, si

ricorre se possibile alla procedura prevista per la ricostruzione degli atti. Per i dati trattati con

elaboratori elettronici dovranno essere previste procedure di backup e recovery dei dati che

consentano il ripristino del sistema informativo.

Previsione di interventi formativi per gli incaricati del trattamento dei dati. (art. 19.6 allegato

B D.Lvo n. 196 del 2003)

Saranno previsti interventi formativi per gli incaricati del trattamento dei dati modulati sulla base

delle mansioni svolte. La formazione è svolta già al momento dell’ingresso in servizio e ripetuta in

caso di cambiamento di mansioni e dell’introduzione di nuovi strumenti rilevanti per il trattamento

_____________________________________________


18

dei dati personali. Le regole ed i comportamenti che dovranno essere adottati dagli incaricati del

trattamento dei dati saranno formalizzati nel manuale per la sicurezza.

Il manuale per la sicurezza viene realizzato a cura del Responsabile del Trattamento con la

collaborazione dell’ADSI;

Il manuale per la sicurezza, consegnato a ciascun utente, viene aggiornato con cadenza almeno

annuale.

Stato: Riferimento

Descrizione dei criteri da adottare per garantire le misure di sicurezza in caso di trattamenti

di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare.(art.

19.7 allegato B D.Lvo n. 196 del 2003)

In caso di trattamento dati affidati all’esterno della struttura, verrà nominato un responsabile per

l’attuazione delle misure minime di sicurezza. Potranno essere inserite clausole contrattuali atte ad

assicurare il rispetto delle misure minime di sicurezza.

Individuazione dei criteri da adottare per la separazione per i dati personali idonei a rilevare

lo stato di salute e la vita sessuale (art. 19.8 allegato B D.Lvo n. 196 del 2003)

I documenti cartacei contenenti dati personali idonei a rilevare lo stato di salute e la vita sessuale,

sono conservati separatamente dagli altri dati personali trattati per finalità che non richiedono il loro

utilizzo. All’interno dei fascicoli personali sono custoditi in cartelle separate.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari (artt da 20 a 23 allegato B

D.Lvo n. 196 del 2003)

I dati sensibili o giudiziari sono protetti contro l’accesso abusivo di cui all’art. 615 ter del codice

penale attraverso i sistemi e le procedure appresso descritte:

Stato: Riferimento

_____________________________________________


19

Monitoraggio del sistema (art.10 comma 2 DM del 27 aprile 2009)Deve essere messo in atto un processo di controllo e verifica della sicurezza del sistema informatico

attraverso l’utilizzo di appositi strumenti a livello di: sistema operativo, gestione delle basi dati e

applicazioni.

Il sistema di controllo deve registrare, ove consentito e senza degradare le prestazioni del sistema, le

seguenti informazioni:

a) accessi, riusciti e falliti, a livello di sistema, di base dati e di applicativo;

b) accessi in lettura e scrittura effettuati attraverso il sistema di gestione delle basi dati;

c) accessi in lettura e scrittura ai singoli archivi.

Il titolare del trattamento, o suo delegato, coadiuvato dall’amministratore dei sistemi informatici,

deve individuare uno o più incaricati, scelti tra il personale interno all’ufficio o tra i tecnici

dell’assistenza sistemistica, per la verifica delle registrazioni del sistema di monitoraggio e per il

relativo salvataggio delle stesse su supporti specifici.

Eventuali problemi o anomalie riscontrate devono essere riportate al titolare del trattamento che

individuerà, eventualmente coadiuvato dall’ADSI o dal personale esterno qualificato, le opportune

contromisure da adottare.

Periodicamente l’ADSI, su incarico del titolare del trattamento, potrà redigere un rapporto relativo

all’applicazione di tutte le misure sopra indicate.

Stato: Riferimento

1.2.Criteri di sicurezza delle trasmissioni dati

Trasmissioni dei datiLe connessioni telematiche dell’Ufficio si distinguono in interne (tutte quelle della rete locale

dell’Ufficio) ed esterne, queste ultime sono ulteriormente distinte in tre categorie:

1. Connessioni provenienti da altri uffici dell’Amministrazione della Giustizia;

2. Connessioni provenienti dall’interno dell’ufficio, su postazioni di lavoro pubblicamente

disponibili;

_____________________________________________


20

3. Connessioni provenienti da utenti e postazioni di lavoro non appartenenti

all’Amministrazione della Giustizia.

Le connessioni di tipo 1 vengono controllate attraverso il Sistema Informatico di Sicurezza della

Rete Giustizia, secondo le seguenti regole:

Sul collegamento dell’ufficio verso la rete Giustizia deve essere installato un apparato di

controllo (Firewall).

In maniera predefinita, il Firewall deve essere configurato allo scopo di permettere alle

postazioni di lavoro interne all’ufficio l’accesso ai servizi disponibili sulla rete, bloccando

gli eventuali tentativi di accesso non autorizzati provenienti dall’esterno e dall’interno.

Qualora un ufficio volesse rendere disponibili dei servizi ad altri uffici dell’Amministrazione

della Giustizia, dovrà richiedere al DGSIA l’apertura dei relativi canali di comunicazione sul

Firewall.

Le procedure per la sicurezza delle connessioni di tipo 2 devono essere stabilite dal Titolare del

trattamento. Qualora le postazioni pubbliche dovessero consentire l’accesso ai dati sensibili, occorre

stabilire rigorose procedure per l’autenticazione degli utenti (procedure biometriche, firma digitale e

smart card, personale di presidio alla postazione o simili)

Le procedure per la sicurezza delle connessioni di tipo 3 devono essere stabilite dal DGSIA di

concerto con il Centro Tecnico per la gestione della Rete Unitaria della Giustizia. Gli uffici che

avessero necessità di connessioni di questo tipo dovranno effettuare una richiesta al DGSIA.

E’ fatto divieto assoluto agli utenti di effettuare collegamenti telematici distinti da quelli previsti ai

punti precedenti, salvo autorizzazioni del Titolare del trattamento dei dati, sentito il parere

dell’organo tecnico che dovrà essere informato sulla eventuale autorizzazione rilasciata.

In particolare, non sono autorizzate, salvo autorizzazioni del Titolare del trattamento dei dati:

1. connessioni dirette dalla rete dell’ufficio verso reti esterne diverse dalla rete Giustizia

2. connessioni effettuate tramite modem da postazioni collegate alla rete dell’ufficio

3. connessione mediante l’utilizzo di apparati wireless da postazione collegate alla LAN

interna dell’amministrazione;

4. connessioni effettuate con PC portatili dirette dalla rete dell’ufficio verso reti esterne inclusa

la rete Giustizia.

_____________________________________________


21

5. connessioni switch alle prese di rete a muro del cablaggio di rete informatica.

Qualora siano necessarie connessioni del tipo 2, queste dovranno essere effettuate da locali dedicati,

per i quali dovranno essere previste adeguate misure di controllo degli accessi.

Tutte le porte degli switch, della rete interna dell’ufficio, non utilizzate dovranno essere disabilitate.

Stato: Riferimento

Trattamento senza l’ausilio di strumenti informaticiAgli incaricati del trattamento dei dati sono impartite le seguenti istruzioni dirette al controllo alla

custodia degli atti per l’intero ciclo necessario alle operazioni di trattamento degli atti e documenti:

1. I documenti, atti, fascicoli contenenti i dati personali non possono essere consultati da

persone diverse da quelle incaricate del trattamento;

2. Sono trattenuti dagli incaricati solo per il tempo strettamente necessario alle operazioni di

trattamento, al termine di queste andranno riposti in armadi chiusi a chiave;

3. L’individuazione dei trattamenti consentiti ai singoli incaricati va aggiornata con cadenza

almeno annuale.

4. La lista degli incaricati può essere redatta per classi omogenee di incarico e dei profili di

autorizzazione.

5. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato.

6. Sarà tenuto un registro per l’identificazione delle persone ammesse all’accesso dopo l’orario

di chiusura. In esso andranno annotati:

provvedimento di autorizzazione

nominativo della persona

documento di riconoscimento

scopo dell’accesso

Nel caso che gli archivi non fossero dotati di strumenti elettronici per il controllo degli accessi o di

persone incaricate della vigilanza, le persone che vi accedono devono essere preventivamente

autorizzate .

Periodicità revisioneIl presente documento è aggiornato annualmente, salvo installazione di nuovo hardware/software

presso l’Ufficio. In tale situazione, qualora venga a modificarsi lo stato operativo dell’ufficio, e

qualora si rendesse necessario, l’aggiornamento avverrà contestualmente.

_____________________________________________


22

Salerno, 31/03/xxxx

IL TITOLARE(XXXXXXXXXXXXXXXXXXX) IL RESPONSABILE

(XXXXXXXXXXXXXX)

_____________________________________________


23

Manuale di sicurezza per gli utenti

Di seguito vengono elencati i principali suggerimenti da fornire ad un utente per aumentare la

sicurezza globale del sistema.

Chiudere a chiave cassetti ed uffici. Il primo livello di protezione di qualunque sistema è quello fisico. E’ certamente vero che una porta

chiusa può in molti casi non costituire una protezione sufficiente, ma è anche vero che pone se non

altro un primo ostacolo, e richiede comunque uno sforzo volontario non banale per la sua

rimozione. È fin troppo facile per un estraneo entrare in un ufficio non chiuso a chiave e sbirciare i

documenti posti su una scrivania o visibili su uno schermo. Pertanto, chiudete a chiave il vostro

ufficio alla fine della giornata ed ogni volta che vi assentate. Inoltre chiudete i documenti a chiave

nei cassetti ogni volta che potete.

Spegnere il computer se ci si assenta per un periodo di tempo lungoLasciare un computer acceso non crea problemi al suo funzionamento ed al contrario velocizza il

successivo accesso. Tuttavia, un computer acceso è in linea di principio maggiormente attaccabile

perché raggiungibile tramite la rete o direttamente sulla postazione di lavoro. Inoltre, più lungo è il

periodo di assenza maggiore è la probabilità che un’interruzione dell’energia elettrica possa portare

un danno.

Non lasciare lavori incompiuti sullo schermoChiudete sempre le applicazioni con cui state lavorando quando vi allontanate dal posto di lavoro

per più di pochi minuti: potreste rimanere lontani più del previsto, e un documento presente sullo

schermo è vulnerabile (quasi) quanto uno stampato o copiato su dischetto.

SalvaschermoOgni postazione di lavoro deve avere il salvaschermo attivato, con richiesta di password per poter

riprendere il controllo della postazione.

Proteggere attentamente i datiBisogna prestare particolare attenzione ai dati importanti di cui si è personalmente responsabili.

Poiché può risultare difficile distinguere tra dati normali e dati importanti, è buona norma trattare

tutti i dati come se fossero importanti. Come minimo posizionarli in un’area protetta da password e

non dare di default a nessun altro utente il permesso di lettura o modifica. Ai dati da condividere

_____________________________________________


24

applicare i permessi opportuni solo per il tempo strettamente necessario all’interazione con gli altri

utenti.

Conservare supporti di memoria e stampe in luoghi sicuriAlla conservazione dei supporti di memoria (CD, dischetti) si applicano gli stessi criteri di

protezione dei documenti cartacei, con l’ulteriore pericolo che il loro smarrimento (che può anche

essere dovuto a un furto) può passare più facilmente inosservato. A meno che non siate sicuri che

contengano solo informazioni non sensibili, riponeteli sotto chiave non appena avete finito di usarli.

Maneggiare e custodire con cura le stampe di materiale riservatoNon lasciate accedere alle stampe persone non autorizzate. Se la stampante non si trova sulla vostra

scrivania recatevi il più in fretta possibile a ritirare le stampe. Per stampe riservate cercate di usare

una stampante non condivisa oppure usate la modalità di stampa ritardata impostando un tempo

sufficiente a permettervi di raggiungere la stampante prima dell’inizio della stampa. Distruggete

personalmente le stampe quando non servono più.

Non gettare nel cestino le stampe di documenti che possono contenere informazioni

confidenziali. Se trattate dati di particolare riservatezza, considerate la possibilità di dotarvi di una macchina

distruggi-documenti (shredder). In ogni caso non gettate mai documenti cartacei senza averli prima

fatti a pezzi.

Non riutilizzare i dischetti per affidare a terzi i vostri datiQuando un file viene cancellato da un disco magnetico, i dati non vengono effettivamente eliminati

dal disco ma soltanto marcati come non utilizzati e sono facilmente recuperabili. Neanche la

formattazione assicura l’eliminazione dei dati dai dischi. Solo l’uso di un apposito programma di

cancellazione sicura garantisce che sul dischetto non resti traccia dei dati precedenti. Nel dubbio, è

sempre meglio usare un dischetto nuovo.

Prestare particolare attenzione all’utilizzo dei computer portatiliI PC portatili sono un facile bersaglio per i ladri. Se avete necessità di gestire dati riservati su un

portatile, proteggetelo con una password sul BIOS, fate installare un programma di cifratura del

disco rigido (per impedire la lettura dei dati in caso di furto) ed effettuate periodicamente il backup.

Fare attenzione a non essere spiati mentre si digita una password o qualunque

codice di accesso.

_____________________________________________


25

Anche se molti programmi non ripetono in chiaro la password sullo schermo, quando digitate una

password questa potrebbe essere letta guardando i tasti che state battendo, anche se avete buone

capacità di dattiloscrittura. Chiedete agli astanti di guardare da un’altra parte quando introducete

una password o controllate che nessuno stia guardando.

Proteggere il proprio computer con una password. Abilitare ove possibile l’accesso

tramite passwordLa maggior parte dei computer offre la possibilità di impostare una password all’accensione. Anche

alcuni applicativi permettono di proteggere i propri dati tramite password. Imparate a utilizzare

queste caratteristiche che offrono un buon livello di riservatezza.

Non permettere l’uso del proprio computer o del proprio account da personale

esterno, a meno di non essere sicuri della loro identità. Personale esterno può avere bisogno di installare del

nuovo software/hardware nel vostro computer. Assicuratevi dell’identità della persona e delle

autorizzazioni ad operare sul vostro PC.

Non utilizzare apparecchiature non autorizzate o per cui non si è autorizzatiL’utilizzo di modem su postazioni di lavoro collegate alla rete di ufficio offre una porta d’accesso

dall’esterno non solo al vostro computer ma a tutta la rete di cui fate parte. E’ quindi vietato l’uso di

modem all’interno della rete locale. Nel caso che ciò sia strettamente necessario, disconnettere

fisicamente la postazione di lavoro dalla rete locale prima di effettuare il collegamento via modem.

Per l’uso di altre apparecchiature, chiedere consiglio all’ADSI.

Non installare programmi non autorizzati.Oltre alla possibilità di trasferire involontariamente un virus o di introdurre un cosiddetto “cavallo

di troia”, va ricordato che la maggior parte dei programmi sono protetti da copyright, per cui la loro

installazione può essere illegale.

Diffidare dei dati o dei programmi la cui provenienza non è certa.Per proteggersi di virus ed altri agenti attivi di attacco, diffidate di tutti i dati e programmi che vi

vengono inviati o consegnati, anche se la fonte appare affidabile o il contenuto molto interessante.

Infatti molti sistemi di attacco inviano dati che sembrano provenire da un utente noto al destinatario

per vincerne la naturale diffidenza nei confronti degli estranei.

Applicare con cura le linee guida per la prevenzione da infezioni da virus

_____________________________________________


26

La prevenzione dalle infezioni da virus sul vostro computer è molto più facile e comporta uno

spreco di tempo molto minore rispetto alla correzione degli effetti di un virus. Inoltre, se non avete

attivato adeguate misure anti-virus potreste incorrere in una perdita irreparabile di dati o in un

blocco anche molto prolungato della vostra postazione di lavoro.

Usare, se possibile, il salvataggio automatico dei dati. Non dimenticare i salvataggi

volontari.Molti programmi applicativi, ad esempio quelli di videoscrittura, salvano automaticamente il lavoro

a intervalli fissi, in modo da minimizzare il rischio di perdita accidentale dei dati. Imparate

comunque a salvare manualmente il vostro lavoro con una certa frequenza, in modo da prendere

l’abitudine di gestire voi stessi i dati e non fare esclusivo affidamento sul sistema.

Utilizzo del PCL’utente deve attenersi scrupolosamente all’utilizzo del PC solo ed esclusivamente per attività di

Ufficio, ed è fatto divieto, salvo operazioni semplici (p.e., sostituzione di mouse, di tastiera) che

non possano compromettere la funzionalità del PC, assumere iniziative personali per porre rimedio

ad eventuali problemi tecnici, in particolar modo di tipo hardware; in tale caso è consigliabile

rivolgersi al proprio ufficio che curerà la pratica di assistenza (Ufficio Informatica, laddove

presente, o Ufficio Economato/Beni Patrimoniali e in caso di urgenza ai tecnici dell’assistenza

sistemistica o, in assenza di questi, all’ADSI dell’ufficio.

Amministrare correttamente le passwordEssendo le password il metodo più semplice e diffuso per accedere agli account sia su stazioni di

lavoro sia in Internet, appare evidente che la scelta della password è estremamente importante per la

sicurezza dei propri dati e dell’intera rete del Ministero della Giustizia. Vengono quindi elencate in

questo paragrafo una serie di norme che dovrebbero essere rispettate a norma dell’articolo 25 del

DM 24/5/2001.

Le password debbono essere cambiate con frequenza:• quadrimestrale, per gli account a rischio, di sistema o con elevati privilegi (inclusi i,

manutentori. ecc.)• semestrale per gli account utenti• annuale per le password di accensione delle postazioni di lavoro.Tutte le password ed ogni loro cambiamento debbono essere comunicate al dirigente

amministrativo. Al proposito si noti che l’articolo 25 comma 3 del DM 24/5/2001 richiede che tutte le password siano rinnovate almeno una volta all’anno.Tutte le password debbono rispettare i seguenti requisiti:

_____________________________________________


27

• devono essere composte da almeno otto caratteri• devono contenere almeno tre tipi diversi di caratteri inclusi tra quelli maiuscoli, minuscoli,

cifre e simboli di interpunzione• non devono essere parole presenti in dizionari delle lingue più diffuse• non devono essere basate su parole dialettali o gergali• non devono essere basate su informazioni personali come data di nascita, numeri di

telefono, indirizzi- non devono essere basate su informazioni personali di familiari, amici, colleghi, attori,

personaggi famosi, ecc.• non devono essere termini tecnici o informatici, comandi, siti, società. ecc.• non devono essere del tipo aaabbb, 123456, fedcba, o simili• non devono essere password dei tipi elencati in precedenza scritte al contrario• non devono essere basate su password analoghe alle precedenti con l’aggiunta di cifre prima

o dopo.

Gli ADSI di sistema, per le aree di propria competenza:

• sottoporranno le password a controlli che verifichino debolezze come ripetizioni, sequenze note, parole comuni sia al momento della definizione di un account e in caso di cambiamento sia periodicamente

• eseguiranno periodicamente programmi detti cracker per evidenziare le debolezze dellepassword imponendo agli utenti di cambiarle nel caso vengano individuate.

• bloccheranno gli account in caso di tre immissioni errate consecutive della password.• utilizzare password diverse per servizi e account a livelli di sicurezza diversa (es. posta

elettronica gratuita su Internet ed accesso ai DataBase interni)

Tutti gli utenti, infine, debbono attenersi scrupolosamente alle seguenti prescrizioni:• non rivelare le password a nessuno, inclusi amici e familiari• non condividere le password con altri colleghi o assistenti, salvo quanto disposto a

proposito dell’utilizzo del programma “Proteus PA”• non inviare le password tramite e-mail o altri metodi di comunicazione elettronica, né

tramite telefono• non scrivere le password su carta o biglietti e non memorizzare le password su file o altri

sistemi (palmari o agende elettroniche) senza cifratura• non scrivere la propria password su questionari o presunti moduli di sicurezza• non parlare della propria password o rivelare indizi su essa• non utilizzare sistemi informatici che permettono di memorizzare le password o gestire un

database di password• non riutilizzare in nessun caso le password.

Non violare le leggi in materia di sicurezza informatica.Ricordatevi che anche solo un tentativo di ingresso non autorizzato in un sistema costituisce un

reato. Se siete interessati a studiare la sicurezza della vostra postazione di lavoro o della rete di cui

fate parte, chiedete preventivamente l’autorizzazione al Responsabile della sicurezza del singolo

Ufficio. Non utilizzate senza autorizzazione software che possa creare problemi di sicurezza o

_____________________________________________


28

danneggiare la rete, come port scanner, security scanner, network monitor, network flooder,

fabbriche di virus o di worm.

Segnalare tempestivamente qualsiasi variazione del comportamento della propria

postazione di lavoroperché può essere il sintomo di un attacco in corso.

Segnalare comportamenti che possano far pensare a tentativi di ridurre la

sicurezza del sistema informativoAd esempio segnalate al Responsabile della sicurezza dell’Ufficio se un altro utente insiste per

avere accesso ai vostri dati o per conoscere la vostra password o per poter lavorare sulla vostra

postazione di lavoro. Analogamente non fidatevi e segnalate telefonate o messaggi che sembrano

provenire da un sistema e vi chiedono di fare operazioni strane sul vostro computer (ad esempio,

cambiare subito la password con una datavi al telefono o nel corpo del messaggio).

Si fa presente che per ogni ulteriore informazione sulle modalità di comportamento da tenere sul

luogo di lavoro è necessario far riferimento al responsabile o al titolare del trattamento dei dati.

Sicurezza delle retiLa prima linea di difesa di qualunque sistema informatico è la protezione dell’infrastruttura di rete.

A questo riguardo vengono qui considerati i principali pericoli che si corrono ed elencate le

contromisure da adottare.

Modem

Come già detto, la disponibilità di modem sulle postazioni di lavoro costituisce una potenziale

minaccia perché il loro uso per instaurare un collegamento con una rete esterna potrebbe esporre la

rete ad attacchi che aggirano i firewall ed eludono i sistemi di monitoraggio e di controllo.

Sebbene il regolamento informatico del Ministero già vieti l’uso dei modem, è opportuno rimarcare

questo punto perché un modem è facilmente installabile e configurabile (ove si disponga degli

opportuni privilegi) ed è spesso incluso nei computer portatili.

E’ vietato aggiungere dispositivi modem sulle porte seriali e USB.

Il Responsabile della sicurezza deve essere immediatamente informato in caso di rilevazione di

telefonate a numeri noti di Internet Service Provider esterni.

L’uso del modem in contrasto con questa norma deve essere espressamente richiesto con adeguata

motivazione ed autorizzato per iscritto dal Responsabile della sicurezza. In questo caso l’utente

deve seguire le norme suggerite nel manuale di sicurezza per gli utenti (disconnessione dalla rete

_____________________________________________


29

locale durante il periodo di attivazione del modem, installazione locale di un antivirus aggiornato),

nonché installare un Personal Firewall con configurazione molto restrittiva definita dal

Responsabile della sicurezza. In ogni caso l’utente diventa responsabile di eventuali danni che

possano derivare al sistema da un uso non appropriato del modem.

Virus e contromisure

Gli utenti devono:

usare soltanto programmi provenienti da fonti fidate perché copie sospette di programmi

possono contenere virus o altro software dannoso. Ogni programma deve essere sottoposto

alla scansione prima di essere installato;

evitare di utilizzare giochi o software di condivisione file o di farlo soltanto su computer

dove questo è permesso perché i programmi per i video giochi possono essere usati come

veicoli per software dannoso, e farlo su postazioni isolate serve a contenere i danni

assicurarsi di non far partire accidentalmente il computer da dischetto e, se possibile,

impostare il BIOS in modo da avere come “primary boot device” il disco rigido di avvio e

proteggere l’accesso al BIOS tramite password. Infatti se il dischetto fosse infetto, il virus

potrebbe trasferirsi nella memoria RAM ed infettare altri file. Impostando la partenza dal

disco rigido sì evitano anche errori o dimenticanze accidentali;

proteggere i dischetti da scrittura quando possibile. È il più efficace mezzo di prevenzione,

infatti i virus non possono rimuovere la protezione meccanica;

installare (o farsi istallare dagli i di sistema) l’ultima versione dell’antivirus e tenere

aggiornati i file con gli identificativi dei virus. La tempestività nell’azione di bonifica è

essenziale per limitare i danni che un virus può causare; inoltre è vitale che il programma

antivirus conosca gli ultimi aggiornamenti sulle “impronte digitali” dei nuovi virus;

salvare o sottoporre a backup i dati importanti per evitare di perderli in caso di infezione.

Gli utenti non devono:

diffondere messaggi di provenienza dubbia o partecipare a “catene di S. Antonio” e simili.

In particolare, quando si ricevono informazioni (via posta elettronica o per altra via) circa

nuovi virus, con la preghiera di dare massima diffusione al messaggio, prima di effettuare

qualunque azione controllare che non si tratti di una “bufala” (in gergo, hoax) con l’e di

sistema o su un sito web specializzato, ciò per evitare di diffondere informazioni sbagliate,

che possono generare paure ingiustificate e generare traffico inutile (veri scopi di chi

diffonde queste “bufale”). E’ anche opportuno informare l’e di sistema che si è ricevuto un

messaggio di questo genere, affinché possa essere messo in guardia, fornire informazioni più

_____________________________________________


30

corrette agli utenti ed eventualmente attivare una ricerca e/o blocco del mittente nel caso che

il fenomeno diventasse pesante.

aprire mail di provenienza sospetta e, in generale, non aprire nessun allegato senza una

preventiva scansione anti-virus

visitare siti illegali (ad esempio depositi di software pirata) che sono spesso usati come

specchietto per le allodole per attirare visitatori su cui condurre attacchi

modificare le configurazioni del software antivirus.

Posta elettronica

Gli utenti devono:

usare solo il software di posta approvato dal Ministero della Giustizia;

effettuare la scansione con programmi di controllo antivirus approvati dal Ministero dei

messaggi in ingresso per evitare virus o contenuti maligni;

impedire ad altre persone di utilizzare il proprio account per inviare posta elettronica;

trasmettere dati confidenziali solo se adeguatamente cifrati (standard S/MIME);

trasmettere di preferenza messaggi con firma digitale (standard S/MIME con firma di tipo

deatched), per garantire al destinatario l’origine del messaggio; si noti che questa tecnica,

pur basandosi sui medesimi principi della firma digitale usata per la sottoscrizione di

documenti elettronici con valore legale, è fondamentalmente diversa e viene usata nello

standard S/MIME per garantire l’autenticità dei messaggi di posta elettronica ed evitare

quindi la generazione di messaggi falsi (“fake mail”) che potrebbero indurre in errore utenti

inesperti.

Gli utenti non devono:

utilizzare la posta elettronica per scopi in conflitto con il piano di sicurezza ed in ogni caso

non utilizzarla eccessivamente per scopi personali

partecipare alle cosiddette “Catene di Sant’Antonio” o, in generale, non utilizzare la posta

elettronica per spamming

inviare mai informazioni confidenziali tramite posta elettronica non cifrata

aprire posta elettronica di provenienza dubbia.

_____________________________________________


31

UFFICIO

Atto di nomina dell'incaricato al trattamento dei dati

Il sottoscritto ………………………… nella sua qualità di ……………………………..del

trattamento dei dati per la UFFICIO, ai sensi e per gli effetti del D.Lgs. 30 giugno 2003 n. 196, con

la presente

NOMINA

Il/la Sig./ra ................................................................................................................................,

INCARICATO DEL TRATTAMENTO DEI DATI

Il D.Lgs. 30 giugno 2003 n. 196, disciplina la gestione delle banche dati utilizzate a fini

professionali. Specificamente esso impone che all'interno di ogni realtà aziendale sia costituita una

gerarchia, comprendente le figure del titolare, del responsabile e dell'incaricato, funzionale alla sua

applicazione. Tale gerarchia non comporta alcuna modifica della qualifica professionale o delle

mansioni assegnate ai dipendenti o collaboratori.

Nell'ambito dello svolgimento delle sue funzioni Lei viene necessariamente a conoscenza dei

contenuti delle banche dati presenti in azienda.

Con la presente La nomino, pertanto, incaricato del trattamento di dati.

Per trattamento di dati deve intendersi: “qualunque operazione o complesso di operazioni, svolte

con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la

registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione,

l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la

cancellazione e la distruzione di dati”.

Sono dati personali tutte le informazioni che permettono l'identificazione del soggetto cui si

riferiscono (es. Dati anagrafici, recapiti telefonici, fotografie, ecc.).

Al fine di una corretta applicazione della legge citata, nonché di una adeguata tutela dei diritti degli

Interessati, i soggetti nominati incaricati dovranno:

trattare tutti i dati personali di cui vengono a conoscenza nell'ambito dello svolgimento delle

_____________________________________________


32

proprie funzioni, in modo lecito e secondo correttezza;

adottare le necessarie cautele per assicurare la segretezza della componente riservata della

propria credenziale di autenticazione;

effettuare la raccolta, l'elaborazione, la registrazione ecc. di dati personali esclusivamente per lo

svolgimento delle proprie mansioni;

accedere a tutte le banche dati e archivi cartacei relativi ai nostri clienti e fornitori;

mantenere aggiornate tutte le banche dati cui hanno accesso;

evitare di creare banche dati nuove senza espressa autorizzazione;

mantenere assoluto riserbo sui dati di cui vengono a conoscenza nell'esercizio delle proprie

funzioni;

conservare negli spazi e con i metodi indicati dal titolare, tutti i documenti contenenti dati

sensibili, evitando di trattenerli per un tempo superiore a quello minimo necessario per

l'espletamento dei propri compiti ed in caso di interruzione anche temporanea del lavoro

verificare che i dati non siano accessibili a terzi;

evitare di asportare supporti informatici o cartacei contenenti dati personali di terzi, senza la

previa autorizzazione del titolare.

È fatto assoluto divieto di comunicare, diffondere, utilizzare i dati personali provenienti dalle

Nostre banche dati.

L'incaricato/a dovrà osservare scrupolosamente tutte le misure di sicurezza già in atto, o che

verranno comunicate in seguito dal titolare del trattamento.

Salerno lì, .........................

Per ricevuta

L'INCARICATO/A IL RESPONSABILE

.................................................. .......................................................

_____________________________________________


33

UFFICIO

Atto di nomina del responsabile del trattamento dei dati

Il sottoscritto ………………………………………............................................. nella sua qualità di

………………………………………………….. del trattamento dei dati per la UFFICIO ai sensi e

per gli effetti del D.Lgs. 30 giugno 2003 n. 196, con la presente

NOMINA

Il/la Sig./ra ................................................................................................................................,

RESPONSABILE DEL TRATTAMENTO DEI DATI

Il D.Lgs. 30 giugno 2003 n. 196, disciplina la gestione delle banche dati utilizzate a fini

professionali. Specificamente esso impone che all'interno di ogni realtà aziendale sia costituita una

gerarchia, comprendente le figure del titolare, del responsabile e dell'incaricato, funzionale alla sua

applicazione. Tale gerarchia non comporta alcuna modifica della qualifica professionale o delle

mansioni assegnate ai dipendenti o collaboratori.

Nell'ambito dello svolgimento delle sue funzioni Lei viene necessariamente a conoscenza dei

contenuti delle banche dati presenti in Ufficio.

Con la presente La nomino, pertanto, responsabile del trattamento di dati.

Per trattamento di dati deve intendersi: “qualunque operazione o complesso di operazioni, svolte

con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la

registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione,

l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la

cancellazione e la distruzione di dati”.

Specificatamente il Responsabile è tenuto a:

Individuare e nominare per iscritto gli incaricati del trattamento, impartendo loro, ancora per

iscritto, le idonee istruzioni;

Vigilare sul rispetto delle istruzioni impartite agli incaricati;

_____________________________________________


34

Adottare e rispettare le misure di sicurezza indicate e predisposte dal titolare del trattamento;

Verificare (trimestralmente/semestralmente) lo stato d’applicazione del D.Lgs 30 giugno

2003 n. 196, nonché il buon funzionamento, la corretta applicazione e la conformità alle

indicazioni dell’Autorità Garante dei sistemi e delle misure di sicurezza adottate;

predisporre, a seguito di ciascuna verifica, una relazione scritta in ordine a tutti gli

adempimenti eseguiti ai sensi del D.Lgs. 30 giugno 2003 n. 196, alla documentazione

raccolta ed archiviata ai sensi del medesimo decreto nonché in ordine alle misure di

sicurezza. Tale relazione dovrà essere, successivamente, trasmessa al titolare del

trattamento;

Evadere tempestivamente tutte le richieste e gli eventuali reclami degli interessati;

Evadere tempestivamente le richieste d’informazioni da parte dell’Autorità Garante e dare

immediata esecuzione alle indicazioni che perverranno dalla medesima Autorità;

Interagire con i soggetti incaricati di eventuali verifiche, controlli o ispezioni;

Comunicare immediatamente al titolare gli eventuali nuovi trattamenti da intraprendere nel

proprio settore di competenza, provvedendo alle necessarie formalità di legge;

Distruggere i dati personali in caso di cessazione del trattamento degli stessi provvedendo

alle necessarie formalità di legge;

Custodire, per un eventuale accesso di emergenza, la busta chiusa, controfirmata

contenente il modulo utilizzato dal singolo incaricato per indicare la parola chiave dallo

stesso prescelta;

Accertare costantemente che gli incaricati utilizzino la parola chiave con diligenza e che la

modifichino ogni qualvolta sussista il dubbio che essa sia stata manomessa. In tale

occasione occorrerà provvedere all’aggiornamento della parola chiave contenuta in busta

chiusa;

dovrà usare la massima riservatezza e discrezione nella gestione delle parole chiave e

nella loro protezione, anche con riferimento agli obblighi che Le derivano dalla qualifica

professionale e come previsto dall'allegato B del D.Lgs. 30 giugno 2003, n. 196;

XXXXXX, lì ...........................

Per ricevuta

IL RESPONSABILE IL TITOLARE

.................................................. .......................................................

_____________________________________________


35

UFFICIO ……………………………………………..

MODULO DI SINTESI DELLE ATTIVITA’ DI BACKUP

Periodo della copia: dal .…./……/……. al .…./……/…….

Data del backup: ..…./……/……. Etichetta supporto: N° …………………………………

Tipologia di backup: * Tipologia del supporto:*

Incrementale DAT

Differenziale DVD

Totale CD

Banca dati:*

REGE POLISWEB SIPERT

RES ART. 60 WEB SIES

SICID MODELLO 12 SICP

SIAMM SIPPI SIGP

Note e problemi riscontrati:____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

Data di consegna: ..…./……/…….

Il Responsabile dell’Ufficio Il tecnico dell’Assistenza/L’ADSI_______________________ ________________________

* barrare una singola voce

_____________________________________________


36

ALLEGATITITOLARI, RESPONSABILI ED INCARICATI DEL TRATTAMENTO DATI

Titolare del trattamento dei dati, ex art. 4, comma 1, lett. f, e art. 28 del d.l.vo 196\2003,

PRESIDENTE dr. XXXXXXXXXXXXXX

Responsabile del trattamento dei dati, ex art. 4, comma 1, lett. g e art. 29, del d. l.vo 196\2003, responsabile della tenuta dei registri, ex art.3 del d.m. 24 maggio 2001

DIRIGENTE AMMINISTRATIVO dr. XXXXXXXXX

Responsabili del trattamento dei dati, per la rispettiva Unità organizzativa, ex art. 4, comma 1, lett. g e art. 29, del d. l.vo 196\2003 e designati per la custodia delle parole chiave di accesso alle apparecchiature;

Responsabili del trattamento dei dati per settore

Settore Civile FUNZIONARIO DI CANCELLERIA sig. xxxxxx (area F1/2/3)Settore penale FUNZIONARIO DI CANCELLERIA sig.ra xxxxxxxxxxx

Settore amministrativo FUNZIONARIO DI CANCELLERIA sig.ra xxxxxxxxxxx

Incaricati del trattamento dei dati, ex art. 4, comma 1, lett. h e art. 30, del d. l.vo 196\2003 ed utenti interni ex art. 5, comma 1 e 2, del d.m. 24 maggio 2001Oltre a tutti i soggetti sopra indicati, tutto il personale amministrativo in servizio, anche temporaneo presso l’Ufficio, alla data del presente documento, come di seguito elencato.

Elenco incaricati del trattamento Ufficio

Cognome/ Nome / Qualifica/

NB Di seguito si riporta la situazione attuale relativa ai vari punti (indicati come riferimento ) con

gli eventuali interventi che l’Ufficio intende programmare entro l’anno.

Supporti BackupSituazione attuale (Palazzo di Giustizia)

I supporti di backup, DAT e DVD, con il modulo di sintesi delle attività stesse, sono consegnati al XXXXXXXXXXXXX responsabile dell’ufficio, nominato responsabile per la custodia dei supporti di backup ambiente diverso dalla sala server, che posti in busta chiusa e sigillata vanno custoditi in una cassaforte chiusa a chiave. Il backup incrementale viene effettuato quotidianamente mentre a fine settimana viene effettuato un backup completo ( dipende dalla politica utilizzata dai tecnici)

_____________________________________________


37

Sicurezza del softwareSituazione attuale

Elenco del software utilizzato (S.O., Office, antivirus, e applicativi ministeriali)Sono utilizzati:

S.O.: Windows 2000, Windows XP/ VISTA / 7 per i client mentre per i server ubicati al xx

piano del PdG viene utilizzato Windows 2000/2003 Server/Linux

Per applicativi di Office Automation viene utilizzato il pacchetto OFFICE

2000/XP/2003/2007, per la gestione delle macchine virtuali (apparati di Server

Consolidation) SW VMWARE.

Su tutti i PC, attraverso una gestione centralizzata, è presente l’antivirus XXXXXX che

viene aggiornato in maniera automatica, come del resto ai fini della sicurezza vengono

installate le patch del Sistema Operativo e del pacchetto di Office Automation e degli

applicativi per l’interoperabilità (Internet Explorer, Outlook Express)

Informazioni dei PC facenti parti del dominio XXXX /oppure se migrati su

ADNSubnet Gateway DNS WINS

Nome Host Indirizzo IP Login Utente Note

Amministratori dei sistemi informatici, art. 4 del D.M. 27/04/2009

Tizio assistente informatico per gli UUGG Caio assistente informatico per gli UUGGcoadiuvati dal personale esterno qualificato della ditta YYYYYYY come da contratto XXXXXX

Applicativi ministeriali utilizzati: Area PenaleArea CivileArea Amministrativa

_____________________________________________


38

Sale Server

Si evidenzia lo stato attuale della sala server:

L’area adibita a sala server è ubicata al XX piano del Palazzo di Giustizia di XXXXX. Allo stato

attuale è in via di attivazione un sistema di controllo accessi attraverso l’utilizzo di un badge

magnetici per poter accedere all’area riservata, la sala dei tecnici informatici e la sala server

distrettuale.

All’interno della sala server distrettuale sono presenti i seguenti apparati:

a) gli apparati della server consolidation:

configurazioni B per Tribunale e Corte di Appello (area civile etc)

configurazioni C per la Procura della Repubblica e Procura Generale (area penale etc)

b) apparati del Processo Civile Telematico:

c) apparati del sistema SIPPI (Sistema Informativo Prefetture e Procure d’Italia), SIES (esecuzione

e Sorveglianza);

d) apparati del SIGP (Sistema Informativo Giudice di Pace), DIGIT ( Sistema di digitalizzazione) e

tutti i server, contenenti le base dati dei registri, gli apparati per i servizi d’interoperabilità.

Per quanto concerne le condizioni ambientali allo stato attuale:

elenca la situazione dal punto di vista della sicurezza fisica

Non esiste/esiste alcun controllo funzionante per l’accesso alla suddetta sala

L’impianto di condizionamento è/non è opportunamente adeguato

L’impianto antincendio si rimanda a chi di competenza

L’impianto elettrico si rimanda a chi di competenza

etc

_____________________________________________


39

Allegato 5 (Sale supporti Backup)

Il presente allegato risulta conforme a quanto richiesto, in quanto i supporti di backup effettuati

sono consegnati al referente preposto dell’Ufficio, che se ne occupa custodendoli in cassaforte.

Banca dati Criteri e procedure di

backup

Luogo di custodia e

caratteristiche

Struttura o persona incaricata della

custodia

Note

Banca dati: indicare la banca dati, con le relative applicazioni, in cui sono contenuti i datiCriteri e procedure di Backup: indicare brevemente i supporti ed i criteri di backupLuogo di custodia e caratteristiche: indicare il luogo, con relative caratteristiche, in cui sono custoditi i supporti di backupStruttura o persona incaricata della custodia: indicare l’ufficio o il responsabile addetto alla custodia dei supporti di backupNote: eventuali commentiSi allega un fac-simile del modulo per la consegna che l’ADSI /il tecnico sistemista tecnico deve consegnare, una volta compilato, al responsabile della custodia del backup.

Allegato 6 (Uffici con dati sensibili e dati giudiziari)

Il presente allegato riporta lo stato attuale relativo alle misure di sicurezza adottate per gli uffici che

contengono dati e apparecchiature sensibili: (quali potrebbero essere queste sale? )

Non esiste alcun controllo per l’accesso alla suddetta sala

L’impianto antincendio non è presente

Interventi migliorativi

Provvedere a consentire l’accesso ai suddetti locali solo al personale autorizzato.

Attivare le procedure di controllo accesso.

Attivare impianto antincendio.

Allegato 7 (Gestione degli apparati di rete)

Il presente allegato risulta parzialmente conforme a quanto richiesto.

Le chiavi non sono custodite in un armadio blindato, posto in un locale che non risulta essere la sala

Server, non trasportabile e non dotato di impianto antifurto.

_____________________________________________


40


Le chiavi vanno custodite in un armadio blindato, ignifugo, non trasportabile e dotato di antifurto.

Allegato 8 (Sicurezza del software)

Il presente allegato risulta conforme a quanto richiesto.

Agli utenti è assegnato un determinato profilo che consente l’utilizzo solo dei software di Office

Automation e degli applicativi autorizzati dal Ministero (quali ReGe, Res, SICID, SIES etc..).

Ufficio

Cognome/ Nome / Qualifica /Settore di Responsabilità/Strumenti utilizzati/ Natura dei dati/

Nome PC/Indirizzo IP /N° busta pwd/Applicativo/Profilo e/o livello applicativo

IncaricatINominativo utente

Qualifica Settore Strumenti utilizzati

Tipologia di trattamento

Nome p.c. Indirizzo IP

N. busta password

Applicativo Livello

xxxxx XXXXXXX

Canc. C1 Cancelleria PM Elettronici e cartaceo

dati personali, sensibili ed identificativi

YYYYYYI X.Y.Z.K 23 REGESIES

2

Allegato 9 (Riservatezza dei dati)

Il presente allegato risulta quasi conforme a quanto richiesto, in quanto viene effettuato solo la

formattazione dei supporti di memorizzazione con la funzionalità che offre il Sistema Operativo.


Acquistare software specifico per la formattazione e cancellazione irreversibile dei dati in maniera

sicura.

Allegato 10 (Integrità dei dati)

Il presente allegato risulta quasi conforme a quanto richiesto.

Manca un elenco aggiornato dei beni informatici dell’Ufficio con informazioni riguardanti

l’allocazione fisica, lo scopo e le procedure di sicurezza adottate .


Realizzazione e mantenimento di un elenco aggiornato dei beni informatici dell’Ufficio con

informazioni riguardanti l’allocazione fisica, lo scopo e le procedure di sicurezza adottate.

_____________________________________________


41

Allegato 11 (L’Amministratore dei Sistemi Informatici)


Laddove non è presente l’amministratore dei sistemi informatici, le attività indicate, vengono

effettuate dal personale dell’assistenza sistemistica sentito il Presidio Cisia competente.

Allegato 12 (Previsione di interventi formativi)

Descrizione degli interventi

Tipologie di incaricati interessati

Strumenti utilizzati

Tempi previsti Note

Descrizione degli interventi: descrivere brevemente gli obiettivi e le finalitàTipologie di incaricati interessati: indicare le tipologie dei discentiStrumenti utilizzati: indicare le tipologie di strumenti di formazione e/o di informazione utilizzatiTempi previsti: indicare orientativamente i tempi previsti per l’attività formativaNote: eventuali commenti

Allegato 13 (Ulteriori misure in caso di trattamento)

Il presente allegato risulta conforme in maniera lieve a quanto richiesto, in quanto non tutti gli

utenti hanno le modalità di protezione indicate e né tantomeno si seguono le modalità per la

gestione stessa delle password. Inoltre non a tutti è stato distribuito il manuale utente per la

sicurezza.

All’utente viene garantita, tramite creazione di un proprio profilo, la funzionalità minima per

l’utilizzo del software di Office Automation e gli applicativi autorizzati dal Ministero (quali ReGe,

Res, SIES, SICID etc..) ciò al fine di non compromettere la sicurezza delle informazioni e dei

sistemi, aumentandone l'esposizione al rischio


Pianificazione ed attivazione dei criteri di accesso indicati

Distribuzione del manuale di sicurezza a tutti gli utenti

Procedura di gestione sicura delle password

_____________________________________________


42

Allegato 14 (Sistema di monitoraggio)


Allegato 15 (Trasmissioni dei dati)

Il presente allegato risulta lievemente conforme a quanto richiesto, relativamente alle connessioni di

tipo (1-2 e 4) in quanto per esse sono garantite le condizioni di protezione mediante il Sistema

Informatico di Sicurezza della Rete Giustizia.

Non esistono allo stato attuale collegamenti via modem;

Per le connessioni di tipo 3, è in via di definizione una politica di gestione dei collegamenti dei

portatili alla rete informatica della Giustizia


Consentire l’uso di modem solo da postazioni di lavoro non collegate ala rete LAN dell’Ufficio.

Definire una politica sicura per la gestione dei collegamenti dei PC Portatili alla rete LAN

dell’Ufficio.

_____________________________________________


43

MINISTERO DI GRAZIA E GIUSTIZIA · Web viewDistribuzione dei compiti e delle responsabilità 6...

Documents

Transcript of MINISTERO DI GRAZIA E GIUSTIZIA · Web viewDistribuzione dei compiti e delle responsabilità 6...