AMMINISTRATORE DI SISTEMA / CUSTODE DELLE CREDENZIALI COORDINAMENTO E SUPPORTO IN AMBITO PRIVACY
12-01-2015 07:06 -
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008)
Rilevato che i titolari sono tenuti, ai sensi dell´art. 31 del Codice, ad adottare misure di sicurezza "idonee e preventive" in relazione ai trattamenti svolti, dalla cui mancata o non idonea predisposizione possono derivare responsabilità anche di ordine penale e civile (artt. 15 e 169 del Codice); Constatato che l´individuazione dei soggetti idonei a svolgere le mansioni di amministratore di sistema riveste una notevole importanza, costituendo una delle scelte fondamentali che, unitamente a quelle relative alle tecnologie, contribuiscono a incrementare la complessiva sicurezza dei trattamenti svolti, e va perciò curata in modo particolare evitando incauti affidamenti; Considerato inoltre che, qualora ritenga facoltativamente di designare uno o più responsabili del trattamento, il titolare è tenuto a individuare solo soggetti che "per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza" (art. 29, comma 2, del Codice); Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Gran parte dei compiti previsti nel medesimo Allegato B spettano tipicamente all´amministratore di sistema: dall´organizzazione delle copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione. Nel loro complesso, le norme predette mettono in rilievo la particolare capacità di azione propria degli amministratori di sistema e la natura fiduciaria delle relative mansioni, analoga a quella che, in un contesto del tutto differente, caratterizza determinati incarichi di custodia e altre attività per il cui svolgimento è previsto il possesso di particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli più delicati della "Società dell´informazione". Con il presente provvedimento il Garante intende pertanto richiamare tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici alla necessità di prestare massima attenzione ai rischi e alle criticità implicite nell´affidamento degli incarichi di amministratore di sistema. L´attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
_____________
Il compito principale dell´Amministratore di Sistema - Custode delle Credenziali, è sovrintendere alle risorse del sistema informativo dell´ENTE e consentirne l´utilizzazione.
In tale contesto l´Amministratore di sistema / Custode delle Credenziali dovrà:
avere cura della custodia delle parole chiave per l´accesso al sistema informativo;
individuare per iscritto gli altri soggetti, che possono avere accesso ad informazioni che concernono le parole chiave;
impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali effettuati con strumenti elettronici, (punti da 1 a 10 del Disciplinare Tecnico, allegato B) al D. Lgs. n. 196/2003);
impostare e gestire un sistema di autorizzazione per gli incaricati dei trattamenti di dati personali effettuati con strumenti elettronici, (punti da 12 a 14 del Disciplinare tecnico, allegato B) al D. Lgs. n. 196/2003);
verificare costantemente che l´ENTE abbia adottato le misure minime di sicurezza per il trattamento dei dati personali, (art. 34 del D. Lgs. n. 196/2003, e Disciplinare Tecnico, allegato B);
provvedere senza indugio agli adeguamenti eventualmente necessari;
suggerire al titolare del trattamento l´adozione e l´aggiornamento delle più ampie misure di sicurezza atte a realizzare quanto previsto dall´art. 31 del D. Lgs. n. 196/2003;
curare, su incarico del titolare del trattamento, l´adozione e l´aggiornamento delle misure "idonee" di cui al punto precedente;
attivare e aggiornare con cadenza almeno semestrale idonei strumenti elettronici atti a proteggere i dati trattati attraverso gli elaboratori del sistema informativo affidatogli, contro il rischio di intrusione e contro l´azione dei virus informatici;
aggiornare periodicamente, con frequenza almeno annuale (o semestrale se si trattano dati sensibili o giudiziari), i programmi volti a prevenire la vulnerabilità degli strumenti elettronici e a correggerne i difetti;
impartire a tutti gli incaricati istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale;
adottare procedure per la custodia delle copie di sicurezza dei dati e per il ripristino della disponibilità dei dati e dei sistemi;
predisporre ed aggiornare annualmente il Manuale sulla Sicurezza;
predisporre un piano di controlli periodici, da eseguirsi con cadenza almeno annuale, dell´efficacia delle misure di sicurezza adottate nell´ENTE;
organizzare corsi di formazione/informazione agli incaricati del trattamento almeno una volta ogni anno;
riferire periodicamente al Titolare del trattamento sullo svolgimento dei suoi compiti.
IT civitas.net, all´Ente sprovvisto di figure professionali dai requisiti richiesti dalla normativa, affianca un esperto in sicurezza informatica a supporto per adempiere a quanto previsto dal D. Lgs. 196/2003.
