>>
Site Map
>>
Content
>>
Content Category #5
Requested content page:
<b>AMMINISTRATORE DI SISTEMA – DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS)</B>
<table width='100%' border=3>
<tr>
<TH align='center' bgcolor='#dddddd'>
<b>L’AMMINISTRATORE DI SISTEMA </b> <BR>
</th>
</tr>
<tr>
<td><br>
Il <b>15 dicembre 2009</b> (grazie ad una proroga dei termini precedentemente fissati al 30 giugno 2009) scadono i termini per l’adempimento di individuazione e nomina degli amministratori di sistema. <br>
Un obbligo che implica l’adozione di iniziative tecniche ed organizzative e che per la sua complessità è già stato oggetto di un “rinvio” da parte del Garante. <br>
Di seguito cerchiamo di rispondere ad alcune domande molto frequenti in materia. <br><br><br>
<font class='special'> <b><u>Chi è l’amministratore di sistema?</font></b></u><br><br>
L’Amministratore di sistema ( <i>system administrator </i>) viene definito dal provvedimento dell’Autorità Garante del 27 novembre 2008 come <b>una figura professionale destinata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti</b>.<br> <br>
La definizione un po’ troppo generica è stata successivamente meglio inquadrata dall’Autorità con la pubblicazione delle FAQ dove ha precisato che <b>alla gestione e manutenzione degli impianti di elaborazione va associato lo specifico trattamento di dati personali</b>, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (<i>Enterprise resource planning</i>) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali. <br>
In altri termini la figura dell’amministratore di sistema è necessaria qualora vi sia una <b>condivisione in rete di archivi contenenti dati personali</b>. <br>
In caso contrario non ha ragione di esistere. <br>
Nell’ambito della figura degli amministratori di sistema rientrano anche gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. <br><br>
In sostanza, gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. <br>
Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione. <br>
Per questo il Garante ha deciso di richiamare l'attenzione di enti, amministrazioni, società private sulla figura professionale dell'amministratore di sistema e ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici. <br><br><br>
<font class='special'> <b><u> Chi è tenuto alla nomina dell’amministratore di sistema?</font></b></u><br><br>
Le misure e le cautele dovranno essere messe in atto da parte di <b>tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza</b>. <br>
Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati. <br><br><br>
<font class='special'> <b><u> Chi può essere nominato amministratore di sistema?</font></b></u><br><br>
In realtà non viene creata una nuova figura nell’ambito del trattamento dei dati personali, ma con amministratore di sistema si intende una <b>mansione specifica altamente specializzata</b> che può essere attribuita ad un responsabile o ad un incaricato purché sia una <b>designazione di carattere individuale</b>. <br>
Nello specifico sembra più opportuno che tale figura sia attribuita ad un incaricato del trattamento di dati personali, perché spesso il responsabile del trattamento è il capo del centro elettronico o della struttura informatizzata, cui l’azienda si appoggia. <br>
E’ naturale, quindi, che a fianco di questo responsabile, operi un incaricato, che ad esempio può costruire i privilegi di accesso ai dati, secondo le istruzioni che vengono impartite dai responsabili coinvolti. <br><br><br>
<font class='special'> <b><u> Come si verifica l’attività dell’amministratore di sistema?</font></b></u><br><br>
Nel provvedimento del Garante del 27 novembre 2008, al punto e), si afferma che: <i>“l’operato degli amministratori di sistema deve essere oggetto, <b>con cadenza almeno annuale</b>, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti”</i>. <br>
In effetti questo punto va letto in stretto collegamento con quello successivo che parla di <b>registrazione degli accessi logici degli amministratori di sistema</b>. Difatti è grazie a quest’ultima che sarà possibile accertare che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza. <br><br><br>
<font class='special'> <b><u> Ma come fare in concreto questa verifica?</font></b></u><br><br>
Una buona idea potrebbe essere quella di <b>predisporre un registro</b> sul quale riportare gli estremi e gli esiti di ogni verifica annuale (ad esempio data, ora, numero di accessi individuati, risultanze, ecc.). <br>
Nel caso poi vi siano dubbi su alcune operazioni svolte dall’amministratore si provvederà a contestargli formalmente per iscritto quanto accertato e si potrà anche procedere ad una verifica congiunta. <br><br><br>
<font class='special'> <b><u> Registrazione degli accessi
</font></b></u><br><br>
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. <br>
Le registrazioni devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. <br>
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. <br><br><br>
<font class='special'> <b><u> Elenco degli amministratori di sistema e loro caratteristiche</font></b></u><br><br>
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno o nel documento programmatico sulla sicurezza da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. <br>
Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. <br><br><br>
<font class='special'> <b><u> In sintesi </font></b></u><br><br>
Ricapitolando, il provvedimento del Garante del 27 novembre 2008, successivamente modificato dal provvedimento del 25 giugno 2009, prevede quanto segue: <br>
• l'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza; <br>
• la designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato; <br>
• gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante; <br>
• qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni; <br>
• nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema; <br>
• l'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti; <br>
• devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. <br><br>
</td></tr>
</table><br>
<table width='100%' border=3>
<tr>
<TH align='center' bgcolor='#dddddd'>
<b>IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA - DPS </b> <BR>
</th>
</tr>
<tr>
<td><br>
<font class='special'> <b><u> Il Documento Programmatico sulla Sicurezza </font></b></u><br><br>
Il <b>Documento Programmatico sulla Sicurezza (DPS)</b> è l'unico documento in grado di attestare l'adeguamento della struttura alla normativa sulla tutela dei dati personali. <br>
Il DPS è un <b>manuale di pianificazione della sicurezza dei dati in azienda</b>: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. in ogni fase e ad ogni livello (fisico, logico, organizzativo) e come si tuteleranno in futuro (programmazione, implementazione misure, verifiche, analisi dei risultati ecc.). <br><br><br>
<font class='special'> <b><u> Da chi deve essere adottato </font></b></u><br><br>
Il Documento Programmatico sulla Sicurezza deve essere adottato <b>da chiunque effettua un trattamento di dati sensibili o giudiziari</b> dove con il termine <b>”trattamento”</b> si intende qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. <br><br>
L'adozione di un documento programmatico sulla sicurezza (DPS) è un obbligo previsto dal D. Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali). <br>
L'obbligo esiste per tutte le aziende, liberi professionisti, enti o associazioni che trattano i dati personali, anche sensibili con strumenti elettronici. <br>
Il documento, a partire dal 31 marzo 2006 (ultima proroga concessa per mettersi definitivamente in regola) va predisposto ed aggiornato annualmente entro il 31 marzo successivo, affinché si attesti la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali e deve soddisfare anche deteminati obblighi di legge, se previsti (p.e. se ne deve dare comunicazione nella relazione allegata al Bilancio d'esercizio). <br><br><br>
<font class='special'> <b><u> I contenuti del Documento Programmatico sulla Sicurezza </font></b></u><br><br>
Come abbiamo precisato sopra, il DPS è un manuale per la pianificazione della sicurezza dei dati in azienda, nel quale viene descritto e specificato come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori e prevedendo tutta una serie di parametri di controllo. <br>
I contenuti del documento sono elencati al punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza e sono: <br>
1. l'<b>elenco dei trattamenti di dati personali</b>; <br>
2. la <b>distribuzione dei compiti e delle responsabilità</b> nell'ambito delle strutture preposte al trattamento dei dati; <br>
3. l'<b>analisi dei rischi </b>che incombono sui dati; <br>
4. le <b>misure da adottare</b> per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; <br>
5. la <b>descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati</b> in seguito a distruzione o danneggiamento di cui al successivo punto 23; <br>
6. la <b>pianificazione degli interventi formativi</b> degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; <br>
7. la <b>descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza</b> in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; <br>
8. l'<b>individuazione dei criteri da adottare per la cifratura</b> o per la separazione di tali dati dagli altri dati personali dell'interessato, per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24. <br><br><br>
</td></tr>
</table><br>
<table width='100%' border=3>
<tr>
<th colspan=2 bgcolor=#dddddd>
<center><b>APPROFONDIMENTI E RIFERIMENTI
</b></center>
</th>
</tr>
<tr>
<td valign='top' bgcolor=#CCFFCC><br>
. Se vuoi <b>visitare il sito del Garante sulla Privacy</b>, clicca <a href =' http://www.garanteprivacy.it/garante/navig/jsp/index.jsp '<b>QUI</a></b><br><br>
. Se vuoi scaricare la<b> Guida operativa per redigere il Documento Programmatico sulla Sicurezza (DPS) </b>, clicca <a href =' http://www.garanteprivacy.it/garante/document?ID=1007740 '<b>QUI</a></b><br><br>
. Se vuoi scaricare <b>Disciplinare tecnico in materia di misure minime di sicurezza</b>, clicca <a href =' http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184 '<b>QUI</a></b><br><br>
</td>
</tr>
</table><br>
<table width='100%' border=3>
<tr>
<th colspan=2 bgcolor=#dddddd>
<center><b>MODULISTICA
</b></center>
</th>
</tr>
<tr>
<td valign='top' bgcolor=#CCFFCC><br>
. <a href='files/privacy/Amm_Sistema_Mod_Nomina.pdf' target=_new><img src='images/pdf.gif' border=0> <b>Fac-simile del modello per la nomina dell’amministratore di sistema e lettera di incarico al trattamento dei dati</b>. </a><br><br>
</td>
</tr>
</table><br>
<table width='100%' border=3>
<tr>
<th bgcolor=#dddddd>
<center><b>RIFERIMENTI NORMATIVI </b></center>
</th>
</tr>
<tr>
<td bgcolor=#ffffcc><br>
. <a href='files/privacy/2003_196_Artt_31_36.pdf' target=_new><img src='images/pdf.gif' border=0> <b>D. Lgs. 30 giugno 2003, n. 196</b>: Codice in materia di protezione dei dati personali. <b>Artt. 31 – 36 e Allegato B</b>. </a><br><br>
. <a href='files/privacy/2008_1577499_Prov_GPDT.pdf' target=_new><img src='images/pdf.gif' border=0> <b>Autorità Garante per la Protezione dei Dati Personali – Provvedimento del 27 novembre 2008</b>: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008. </a><br><br>
. <a href='files/privacy/2009_1626595_Prov_GPDT.pdf' target=_new><img src='images/pdf.gif' border=0> <b>Autorità Garante per la Protezione dei Dati Personali – Provvedimento del 25 giugno 2009</b>: Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento.</a><br><br>
</td>
</tr>
</table><br>
Read 3049 times
Date 2009-11-26 10:15:19
