Allegato Alla Delibera Di g.c. n. 31 Del 2013 Piano Di Continuita Operativa

7/22/2019 Allegato Alla Delibera Di g.c. n. 31 Del 2013 Piano Di Continuita Operativa

1/40

Atto di approvazione Data Elenco didistribuzione

SommarioModifiche

Deliberazione di giunta comunale Gennaio 2013 v. paragrafo

21/03/2013

Piano di Continuita

Operativa ICT

Comune di Conca

della Campania


2/40

Piano di Continuit Operativa ICT

2

F I R M E

Unit/Ruolo Nominativo Firma

PREPARATO DA:

CONTROLLATO

DA:

APPROVATO DA:

AUTORIZZATO DA:


3/40


3


4/40


4

ELENCO DI DISTRIBUZIONE:

Nominativo Unit


5/40


5

REGISTRO DELLE MODIFICHE

EDIZIONE SINTESI DELLA MODIFICA DATA


6/40


6

Sommario1 Obiettivi generali .................................................................................................................................. 8

1.1 Obiettivo del Piano di Continuit Operativa ICT ............................................................................... 9

1.2

Destinatari ....................................................................................................................................... 101.3 Il percorso dello Studio di Fattibilit Tecnica ex comma 4, art. 50-bis del CAD .............................. 10

1.4 I servizi in ambito nello SFT ............................................................................................................. 10

1.5 La sintesi del parere di AID. ............................................................................................................. 11

1.6 Variazioni eventuali nel numero dei servizi e relative criticit. ....................................................... 11

1.7 Sintesi di informazioni organizzative e tecniche sullAmministrazione .......................................... 12

1.8 Matrice servizi/organizzazione (responsabilit) .............................................................................. 12

1.9 Matrice servizi/infrastruttura tecnologica ...................................................................................... 16

2 Predisposizione allemergenza ........................................................................................................... 17

2.1 La struttura organizzativa ................................................................................................................ 17

2.2 Comitato di crisi ICT ......................................................................................................................... 17

2.3 Responsabile della Continuit Operativa ICT .................................................................................. 17

2.4 Strutture tecniche ............................................................................................................................ 17

2.5 Composizione, ruoli, procedure operative ...................................................................................... 19

2.6 Gestione delle reperibilit ............................................................................................................... 19

3 Soluzione di continuit-Ricognizione sulle infrastrutture ICT dei Comuni ......................................... 20

3.1 Procedura di emergenza .................................................................................................................. 203.1.1 Criteri di sicurezza ed Valutazione dellemergenza ............................................................ 20

3.1.2 Comunicazioni (Lista dei contatti in caso di disastro, modalit di contatto) ..................... 24

3.1.3 Attivazione del piano di disaster recovery ......................................................................... 24

3.1.4 Scenari di emergenza applicabili e valutazione dei danni .................................................. 27

3.1.5 Procedure di acquisto in emergenza .................................................................................. 27

3.1.6 Documentazione delle attivit svolte (reporting) .............................................................. 27

3.2 Procedure di avviamento del sito secondario ................................................................................. 28

3.2.1 Preparazione del sito di disaster recovery ......................................................................... 28

3.2.2 Procedura di ripristino dellinfrastruttura nel Sito Secondario .......................................... 31

3.2.3 Procedura di ripristino delle banche dati nel sito secondario ............................................ 32

3.2.4 Procedura di ripristino delle applicazioni nel sito secondario ............................................ 33

3.2.5 Procedura per la gestione dellorganizzazione logistica e coordinamento del personale . 33

3.3 Ripristino del sito di produzione ...................................................................................................... 34

3.3.1 Condizioni per il ritorno al sito di produzione .................................................................... 34

3.3.2 Procedura per il trasferimento dei dati dal sito secondario al sito primario ..................... 36

3.3.3 Procedura Ripristino dellinfrastruttura nel sito primario .................................................. 37


7/40


7

3.3.4 Procedura Ripristino della banche dati nel sito primario ................................................... 37

3.3.5 Procedura Ripristino delle applicazioni nel sito primario ................................................... 37

4 Formazione ......................................................................................................................................... 38

5 Verifica/test del piano ........................................................................................................................ 38

5.1 Obiettivi e strategie di test .............................................................................................................. 38

5.2 Procedure di test e verifica .............................................................................................................. 38

6 Manutenzione del piano ..................................................................................................................... 39

6.1 Aggiornamento del piano ................................................................................................................ 39


8/40


8

1 Obiettivi generali

La continuit dei sistemi informativi rappresenta per le pubbliche amministrazioni, nellambito delle

politiche generali per la continuit operativa dellente, un aspetto necessario allerogazione dei servizi acittadini e imprese e diviene uno strumento utile per assicurare la continuit dei servizi e garantire il

corretto svolgimento della vita nel Paese.

Al riguardo e pi in particolare larticolo 50-bis del CAD aggiornato (che attiene alla Continuit

operativa) delinea gli obblighi, gli adempimenti ed i compiti che spettano alle Pubbliche

Amministrazioni, allAgenzia per lItalia Digitale (AID) e al Ministro per la pubblica amministrazione e

linnovazione, ai fini dellattuazione della continuit operativa, disponendo come segue::

1. In relazione ai nuovi scenari di rischio, alla crescente complessit dellattivit istituzionale

caratterizzata da un intenso utilizzo della tecnologia dellinformazione, le PP.AA. predispongono i piani di

emergenza in grado di assicurare la continuit delle operazioni per il servizio ed il ritorno alla normale

operativit.

2. Il Ministro per la pubblica amministrazione e linnovazione assicura lomogeneit delle soluzioni di

continuit operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il

Parlamento.

3. A tali fini, le pubbliche amministrazioni definiscono:

a. il Piano di Continuit Operativa, che fissa gli obiettivi ed i principi da perseguire, descrive le

procedure per la gestione della continuit operativa, anche affidate a soggetti esterni.

Il piano tiene conto delle potenziali criticit relative a risorse umane, strutturali, tecnologiche e

contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalit del

piano di continuit operativa con cadenza biennale;

b. il piano di Disaster Recovery, che costituisce parte integrante di quello di continuit operativa

di cui alla lettera a) e stabilisce le misure tecniche ed organizzative per garantire il

funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti

alternativi a quelli di produzione.

AID, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzionitecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica

annualmente il costante aggiornamento dei piani di Disaster Recovery delle amministrazioni

interessate e ne informa annualmente il Ministro per la pubblica amministrazione e

linnovazione.

4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati

studi di fattibilit tecnica; su tali studi obbligatoriamente acquisito il parere di AID.


9/40


9

1.1 Obiettivo del Piano di Continuit Operativa ICT

Lobiettivo di questo Piano di Continuit Operativa ICT (nel seguito, semplicemente PCO) quello di

definire organizzazione, procedure, mezzi tecnici che permettano allAmministrazione di ripristinare, in

caso di interruzioni di qualunque natura, i propri servizi, cos come definiti nello Studio di Fattibilit

Tecnica (nel seguito: SFT) che la stessa Amministrazione ha predisposto e sul quale, cos come richiesto

al comma 4 dellarticolo 50-bis del CAD, ha ottenuto il parere da parte dellAgenzia per lItalia Digitale

(nel seguito AID). Il PCO ICT ha la finalit di:

o Gestire un completo e definitivo ripristino delloperativit in caso di disastro;

o Reagire agli eventi nel modo pi tempestivo possibile;

o Stabilire un flusso di comunicazione efficiente in tempi brevissimi in caso di emergenza

Si sottolinea che il Piano oggetto di questo documento si differenzia nelle finalit da altri Piani richiesti

dalle normative vigenti, quali:

Piano di Protezione Civile, secondo Ordinanza del Presidente del Consiglio dei Ministri del 28

agosto 2007, n. 3606,

Piano di Emergenza, secondo DL 81/2008.

Si precisa, per, che il Piano stato comunque verificato come coerente con le suddette normative.

Bench il presente Piano rappresenti una specifica realizzazione nel contesto di quanto previsto

dallarticolo 50-bis del CAD e non sia, quindi, direttamente riconducibile a un preciso standard, sono

norme internazionali di riferimento le seguenti:

ISO 22301:2012 (Societal security Business continuity management systems

Requirements)

ISO/IEC 27031:2011 (Information technology -- Security techniques -- Guidelines for

information and communication technology readiness for business continuity)

ISO/IEC 24762:2008 (Information technology -- Security techniques -- Guidelines for

information and communications technology disaster recovery services)


10/40


10

1.2 Destinatari

Destinatari del Piano di Continuit Operativa ICT sono:

Il Sindaco ed il Segretario Comunale (o Direttore generale);

il responsabile della CO ICT del Comune, cos come indicato nelle Linee guida per il DR delle PA

emesso dallAgenzia per lItalia Digitale il 26 novembre 2011;

il responsabile della sicurezza dei luoghi di lavoro del Comune;

il personale dellAmministrazione di qualunque tipologia (fruitore o gestore) direttamente

coinvolto nellIT dellAmministrazione;

la comunit di riferimento territoriale e sociale (cittadini e imprese) dellAmministrazione;

le organizzazioni e/o istituzioni che interagiscono con lAmministrazione in modalit

informatiche;

tutti i fornitori, a qualunque titolo, di attivit di supporto informatico.

1.3 Il percorso dello Studio di Fattibilit Tecnica ex comma 4, art. 50-bis delCAD

In data 14/01/2013 lAmministrazione ha presentato richiesta di parere, cos come previsto dal comma 4

dellarticolo 50-bis del CAD.

AID ha emesso parere favorevole condizionato.

1.4 I servizi in ambito nello SFT

I servizi in ambito identificati nello SFT CON I RELATIVI LIVELLI (Tier) di criticit sono stati seguenti:

Servizio /

classe servizi

Classe criticit Sol. Tecnologica

minima da

autovalutazione

Soluzione

tecnica

individuata

Soluzione gi

presente

RPO RTO

Classe 1A Media Tier 3 Soluzione A

Backup locale

su cassetta,sito DR non

ancora

implementato

24 Ore 30 Ore


Backup locale

su cassetta,

sito DR non

ancora

implementato

24 Ore 30 Ore

Classe 2B Media Tier 2 Soluzione A Backup localesu cassetta,

24 Ore 30 Ore


11/40


11

sito DR non

ancora

implementato

Classe 2C Media Tier 2 Soluzione B

I dati del sito

primario sono

replicati in

modalit

asincrona su

base orario

nel sito

secondario

24 Ore 30 Ore


Backup locale

su cassetta,

sito DR non

ancora

implementato

24 Ore 30 Ore

1.5 La sintesi del parere di AID.

Esprime parere favorevole, a condizione che:

1) venga verificato, nellimplementazione delle soluzioni tecniche di DR descritte, che la stessa siaeffettivamente in grado di rispondere alle esigenze di continuit operativa con particolare

riferimento ai tempi massimi di ripristino (RTO) e di perdita massima di dati accettata (RPO);

2) relativamente alla soluzione tecnica Soluzione A, venga verificato che la scelta del sitosecondario sia adeguata a garantire le esigenze di continuit operativa a fronte di eventi che

possano compromettere loperativit di entrambi i siti e se ne dia riscontro nel piano di Disaster

Recovery;

3) relativamente alla soluzione tecnica Soluzione A, vengano individuate soluzioni tecniche di DRalternative a quella proposta, anche se di livello tecnologico (tier) inferiore, nel caso di ritardi

significativi nella disponibilit della infrastruttura.

1.6 Variazioni eventuali nel numero dei servizi e relative criticit.

Servizio /

classe servizi

Classe criticit Sol. Tecnologica

minima da

autovalutazione

Soluzione

tecnica

individuata

Soluzione gi

presente

RPO RTO


Backup locale

su cassetta,

sito DR non

ancoraimplementato

24 Ore 30 Ore


12/40


12


Backup locale

su cassetta,

sito DR non

ancora

implementato

24 Ore 30 Ore

Classe 2B Media Tier 2 Soluzione A

Backup locale

su cassetta,

sito DR non

ancora

implementato

24 Ore 30 Ore

Classe 2C Media Tier 2 Soluzione B

I dati del sito

primario sono

replicati in

modalit

asincrona su

base orario

nel sito

secondario

24 Ore 30 Ore


Backup locale

su cassetta,

sito DR non

ancora

implementato

24 Ore 30 Ore

Prima stesura nessuna variazione

1.7 Sintesi di informazioni organizzative e tecniche sullAmministrazione

1.8 Matrice servizi/organizzazione (responsabilit)Classe di Servizi Servizio Descrizione servizio Tipologia di Utenza

Classe 1A Servizio

DEM_1

Servizi demografici / Anagrafe - Gestione

dell'anagrafe della popolazione residente e

dell'anagrafe della popolazione residente all'estero(AIRE)

Eterogenea

Classe 1A Servizio

DEM_1

Servizi demografici / Stato civile - Attivit di

gestione dei registri di stato civile

Eterogenea

Classe 1A Servizio

SEG_1

Gestione atti amministrativi Eterogenea

Classe 1A Servizio

RAG_1

Gestione finanziaria-impegni e mandati Eterogenea

Classe 1A Servizio Gestione manutenzione edifici e strade Eterogenea


13/40


13

MAN_1

Classe 1A Servizio

SOC_1

Servizi sociali - Attivit relativa ai trattamenti

sanitari obbligatori (T.S.O.) ed all'assistenza

sanitaria obbligatoria (A.S.O.)

Aziende/cittadini

Classe 1A Servizio

SOC_1

Servizi sociali - Attivit relativa all'assistenza

domiciliare

Aziende/cittadini

Classe 1A Servizio

WEB

Sito web istituzionale Eterogenea

Classe di Servizi Servizio Descrizione servizio Tipologia di Utenza

Classe 2A Servizio

PERS_1

Personale - Gestione del rapporto di lavoro del personale

impiegato a vario titolo presso il Comune attivit relativa al

riconoscimento di benefici connessi all'invalidit civile e

all'invalidit derivante da cause di servizio, nonch da

riconoscimento di inabilit a svolgere attivit lavorativa

Utente Interno

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit relativa all'assistenza scolastica ai

portatori di handicap o con disagio psico-sociale

Aziende/cittadini

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit relativa alle richieste di ricovero o

inserimento in Istituti, Case di cura, Case di riposo, ecc.

Aziende/cittadini

Classe 2A ServizioSOC_2

Servizi sociali - Attivit ricreative per la promozione delbenessere della persona e della comunit , per il sostegno dei

progetti di vita delle persone e delle famiglie e per la

rimozione del disagio sociale

Aziende/cittadini

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit relativa alla valutazione dei requisiti

necessari per la concessione di contributi, ricoveri in istituti

convenzionati o soggiorno estivo (per soggetti audiolesi, non

vedenti, pluriminorati o gravi disabili o con disagi psico-

sociali)

Aziende/cittadini

Classe 2A ServizioSOC_2

Servizi sociali - Attivit relativa all'integrazione sociale edall'istruzione del portatore di handicap e di altri soggetti che

versano in condizioni di disagio sociale (centro diurno, centro

socio educativo, ludoteca, ecc.)

Aziende/cittadini

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit di sostegno delle persone bisognose o

non autosufficienti in materia di servizio pubblico di

trasporto

Aziende/cittadini

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit relativa alla prevenzione ed al

sostegno alle persone tossicodipendenti ed alle loro famiglie

tramite centri di ascolto (per sostegno) e centri documentali(per prevenzione)

Aziende/cittadini


14/40


14

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit relative alla concessione di benefici

economici, ivi comprese le assegnazioni di alloggi di edilizia

residenziale pubblica e le esenzioni di carattere tributario

Aziende/cittadini

Classe 2A Servizio

SOC_2

Istruzione e cultura - Attivit relativa alla gestione degli asili

nido comunali e dei servizi per l'infanzia e delle scuole

materne elementari e medie

Aziende/cittadini

Classe 2A Servizio

SOC_2

Istruzione e cultura - Attivit di formazione ed in favore del

diritto allo studio

Aziende/cittadini

Classe 2A Servizio

SOC_1

Istruzione e cultura - Gestione delle biblioteche e dei centri di

documentazione

Aziende/cittadini

Classe 2A Servizio

PM

Polizia municipale - Attivit relativa all'infortunistica stradale Aziende/cittadini

Classe 2A Servizio

PM

Polizia municipale - Gestione delle procedure sanzionatorie Aziende/cittadini

Classe 2A Servizio

PM

Polizia municipale - Attivit di polizia annonaria,

commerciale ed amministrativa

Aziende/cittadini

Classe 2A Servizio

PM

Polizia municipale - Attivit di vigilanza edilizia, in materia di

ambiente e sanit, nonch di polizia mortuaria

Aziende/cittadini

Classe 2A Servizio

PM

Rilascio delle licenze per il commercio, il pubblico esercizio,

l'artigianato e la pubblica sicurezza

Eterogenea

Classe 2A Servizio

SEG_2

Attivit politica, di indirizzo e di controllo, sindacato

ispettivo e documentazione dell'attivit istituzionale degli

organi comunali

Utente Interno

Classe 2A Servizio

SEG_2

Attivit riguardante gli istituti di democrazia diretta Eterogenea

Classe 2A Servizio

PRC

Protezione civile Aziende/cittadini

Classe 2A ServizioSEG_2Conferimento di onorificenze e di ricompense Aziende/cittadini

Classe 2A Servizio

TRIB

Agevolazioni tributarie Attivit relative alla concessione,

liquidazione, modifica o revoca di benefici economici,

agevolazioni, elargizioni, altri emolumenti per abilitazioni, ivi

inclusi i finanziamenti in favore di associazioni, fondazioni ed

enti

Eterogenea

Classe 2A Servizio

TEC_1

Gestione edilizia privata e pratiche edilizie Eterogenea

Classe 2B Servizio Albo Pretorio Informatico Eterogenea


15/40


15

PROTO

Classe 2C Servizio

SUAP

Sportello unico attivit produttive Eterogenea


Classe 3A Servizio

RAG_2

Gestione economale Eterogenea

Classe 3A Servizio

RAG_2

Gestione finanziaria-bilancio Eterogenea

Classe 3A Servizio

TEC_2

Progettazione Eterogenea

Classe 3A Servizio

TEC_2

Urbanistica Eterogenea

Classe 3A Servizio

SEG_3

Iscrizioni ad albi comunali di associazioni ed organizzazioni di

volontariato

Eterogenea

Classe 3A Servizio

SEG_3

Attivit del difensore civico comunale Eterogenea

Classe 3A Servizio

DEM_2

Servizi demografici / Elettorale - Attivit relativa all'elettorato

attivo e passivo

Aziende/cittadini

Classe 3A Servizio

DEM_2

Servizi demografici / Elettorale - Attivit relativa alla tenuta

degli albi degli scrutatori e dei presidenti di seggio

Aziende/cittadini

Classe 3A Servizio

DEM_2


dell'elenco dei giudici popolari

Aziende/cittadini

Classe 3A Servizio

DEM_2

Servizi demografici / Leva - Attivit relativa alla tenuta del

registro degli obiettori di coscienza

Aziende/cittadini

Classe 3A Servizio

DEM_2

Servizi demografici / Leva - Attivit relativa alla tenuta delle

liste di leva e dei registri matricolari

Aziende/cittadini

Classe 3A Servizio

PM_2

Polizia municipale - Attivit relativa al rilascio di permessi per

invalidi

Aziende/cittadini

Classe 3A Servizio

SEG_3

Avvocatura - Attivit relative alla consulenza giuridica, al

patrocinio, alla difesa in giudizio dell'amministrazione, nonch

alla consulenza e copertura assicurativa in caso di

responsabilit civile verso terzi dell'amministrazione

Utente Interno

Classe 3A Servizio

PERS_1

Politiche del lavoro - Gestione delle attivit relative all'incontro

domanda/offerta di lavoro, comprese quelle relative allaformazione professionale

Aziende/cittadini


16/40


16

Classe 3A Servizi

SOC_3

Attivit ricreative, promozione della cultura e dello sport ed

occupazioni di suolo pubblico

Eterogenea

Classe 3A Servizi

SOC_3

Servizi sociali - Attivit relativa ai servizi di sostegno e

sostituzione al nucleo familiare e alle pratiche di affido e di

adozione dei minori

Aziende/cittadini

1.9 Matrice servizi/infrastruttura tecnologica

Indice di

tecnologia

Indice di priorit di

ripristino

A

Gestione in-

house da parte

dellEnte

B

Gestione presso il

CT

C

Gestione in

outsourcing

presso una societesterna

LDS (orario

disponibilit)

1

Servizi ad alto

impatto, di

immediata

necessit, la cui

disponibilit deve

essere ripristinatarapidamente al

fine di gestire

lemergenza stessa

Classe 1A Classe 1B Classe 1CFino a 6 ore al

giorno

2

Servizi ad alto

impatto, non

necessari alla

immediatagestione

dellemergenza, il

cui ripristino

avviene

successivamente ai

servizi 1

Classe 2A Classe 2B Classe 2C Fino a 6 ore algiorno

3

Servizi ad impattomedio/basso, non

necessari alla

Classe 3A Classe 3B Classe 3CFino a 6 ore al

giorno


17/40


17

gestione

dellemergenza, il

cui ripristino pu

avvenire alla

conclusionedellemergenza/in

un tempo di pi

giorni o settimane

2 Predisposizione allemergenza

2.1 La struttura organizzativa

La struttura organizzativa che lAmministrazione comunale ha predisposto presenta la seguentearticolazione funzionale:

1) Il Comitato di gestione della crisi, le cui funzioni sono quelle stabilite dalla linee guida sulla CO.2) I dipendenti dellente, inseriti in un apposito elenco (Comitato Gestione dellEmergenza), che

devono partecipare alle attivit di protezione, salvataggio e ripristino delle informazioni e deidati in condizioni di emergenza, riportando le azioni che devono essere poste in carico aciascuno di loro, i relativi interlocutori e le modalit da rispettare.

2.2 Comitato di crisi ICT

Le funzioni di questo organismo sono quelle stabilite dalla linee guida sulla CO. La sua composizione formata dai seguenti soggetti:

Segretario Comunale

Responsabile della Continuit operativa

Responsabile della sicurezza ex D.Lgs. 81/08

Referente AsmeCloud (con funzioni di supporto al Comitato)

2.3 Responsabile della Continuit Operativa ICT

Svolge le funzioni il dr. Flaviano Abate nel ruolo di responsabile della UO

2.4 Strutture tecniche

SITO PRIMARIO

SITO PRIMARIO ( Infrastruttura ICT Amministrazione Comunale)

La descrizione della piattaforma tecnologica che viene impiegata per lesercizio del sito primario viene

riportata nellallegato A che riporta larchitettura e le configurazioni degli apparati di elaborazione

operanti presso lEnte nonch la dotazione di applicazioni informatiche e delle risorse informative (basi

di dati) che caratterizzano il sistema informativo Comunale.

SITO SECONDARIO

Il Centro Backup Remoto (CBR o Sito Secondario) composto da due data center (Nodo primario e

secondario).

Il supporto tecnico del Centro backup Remoto - CBR mantiene apparecchiature sempre attive, condivise

e non ad uso esclusivo di un singolo ente. Il Comune ha uno spazio storage riservato per la replica


18/40


18

notturna di tutti i dati. Sono presenti macchine virtuali su cui installare in caso di necessit gli applicativi

gestionali dellente e delle postazione client erogate in modalit terminal server raggiungibili dai

dipendenti comunali tramite VPN.

Per limplementazione dei sistemi utilizza la piattaforma OpenStack: un sistema operativo cloud che

controlla un insieme di risorse computazionali, storage e di rete presenti nel data center in forma

virtualizzata, tutte gestite utilizzando una dashboard che fornisce il controllo completo

allamministratore e inoltre, attraverso l utilizzo di un interfaccia web, offre allutente funzionalit di

self-service provisioning.

La scelta della piattaforma di virtualizzazione di tipo misto per consentire la gestione dei diversi

ambienti e semplificare ulteriormente lintegrazione. Il sistema consente di virtualizzare anche i desktop

(o almeno le postazioni pi critiche) per arrivare a una amministrazione comunale il pi possibile ICT

free. In termini di economicit la virtualizzazione permette topologicamente di integrare le piattaforme

delle cinque aggregazioni in ununica piattaforma logica facilitandone e ottimizzandone la gestione.

Nella configurazione attuale il Nodo Primario costituito dalle seguenti apparecchiature principali:

N. 37 Server con doppi processori (multicore) e componenti ridondati;

N. 2 sistemi di storage (produzione e replica locale) tipo SAN in configurazione ridondata,

ciascuno con capacit raw da 180 Tbyte.

N. 1 unita Tape Library con capacit di backup in linea da circa 150 Tbyte.

Apparati di rete ridondati e ad alte prestazioni.

Il Nodo secondario ha funzione di Disaster Recovery del primario e pertanto replica a livello di

funzionalit lintera infrastruttura hardware e software disponibile nel sito primario anche se la capacit

elaborativa dimensionata a circa il 30% di quella del sito primario.

La capacit di storage del sito secondario la stessa di quello primario escluso il fatto che non utilizza

una replica locale.

Per la replica dei dati e delle macchine virtuali dal sito primario sul sito secondario si utilizza una

modalit asincrona effettuata tramite il software di replica remota dello storage.

Il Nodo Secondario costituito dalle seguenti apparecchiature principali

N. 12 Server con doppi processori (multicore) e componenti ridondati;

N. 1 sistema di storage tipo SAN in configurazione ridondata con capacit raw da 180 Tbyte.

N. 1 unita Tape Library con capacit di backup in linea da circa 150 Tbyte.

Apparati di rete ridondati e ad alte prestazioni.

Il collegamento dei Nodi Primario e Secondario garantito rispettivamente da un canale da 100 mbps

simmetrico (banda garantita) per il sito primario e 50 mbps simmetrico (banda garantita) per il sitosecondario.


19/40


19

2.5 Composizione, ruoli, procedure operative

I soggetti coinvolti sono i seguenti:

Ufficio Ruolo Descrizione ruolo Figura

Professionale

Responsabilit

CED Responsabile Sistemi

Informativi

Coordina e verifica

la struttura tecnica

legata alla gestione

delle informazioni,

alla corretta

configurazione e

gestione

dellhardware

Dirigente/Istruttore

Direttivo

Responsabile

dellattuazione del

piano di DR

Segretario

Comunale

Segretario Comunale Coordina i

Responsabili di

settore o Area

Segretario

Comunale

Coordina i

Responsabili di

Servizio e Impartisce

idonei obiettivi per

la gestione della

Crisi

Ufficio

Servizi

Finanziari

ed

Economale

Responsabile/dirigente

Settore

Gestione delle

Risorse finanziarie

per fronteggiare la

Crisi e rientrare

dallemergenza


Direttivo

Responsabilit:

Adeguare le

disponibilit di

bilancio per far

fronte agli oneri

della CO ICT

Ufficio

Tecnico

Responsabile/dirigente

Settore

Gestione delle

infrastrutture

logistiche


Direttivo

Responsabile delle

strutture logistiche

impianti e cablaggi.

Verifica la corretta

erogazione delle

forniture elettriche

Tecnici

Centro

DR&BC

Direttore Responsabile

centro tecnico presso

Asmecloud

Coordina i tecnici

nellattivazione del

sito DR, coordina le

procedure e tempi

per il rientro

delemergenza

Direttore Responsabile delle

operazioni tecniche

e di gestione del sito

secondario

dallattivazione al

suo rientro

2.6 Gestione delle reperibilit

Reperibilit del comitato gestione di emergenza e dei soggetti coinvolti nelle operazioni di ripristino dei

servizi.

Il regolamento comunale sulla CO prevede lestensione dellistituto della reperibilit, nella situazione di

annuncio delle condizioni di emergenza, a tutti i dipendenti comunali richiamati nellelenco di cui al

precedente paragrafo. Tale istituto, su disposizione del Comitato di crisi, pu essere esteso anche ad

altri dipendenti o collaboratori.


20/40


20

Nei rapporti con i fornitori esterni di servizi ICT interessati allesercizio delle procedure applicative e dei

servizi ICT viene prevista una integrazione contrattuale con la quale si dispongono termini e condizioni

dellintervento di supporto per la gestione dellemergenza ICT.

3 Soluzione di continuit-Ricognizione sulle infrastrutture ICT dei

Comuni

3.1 Procedura di emergenza

3.1.1 Criteri di sicurezza ed Valutazione dellemergenza

La valutazione dellemergenza classificata in base alla criticit e livello di impatto sullamministrazione

CRITICIT DI LIVELLO 1 Le applicazioni che rientrano in questa classificazione, e che sono di

seguito elencate, influenzano direttamente lAmministrazione ed

eventuali malfunzionamenti possono portare significativi danni di

immagine, economici e legali.


seguito elencate, influenzano direttamente il buon andamento dellente,

ma non sono servizi critici che possono comportare un danno alla

sicurezza o salute pubblica.


seguito elencate, aiutano a far funzionare i processi interni

dellAmministrazione. In generale un periodo di fermo recuperabile.

Nello Studio di Fattibilit Tecnica i servizi erogati sono stati suddivisi in tre classi distinte valutando

principalmente la criticit dovuta alla garanzia di esistenza in vita priorit/urgenza nel ripristino del

servizio previsto dalla normativa e dalla sensibilit e quantit dei dati trattati.

Alla classe 1 appartengono tutti quei servizi indispensabili per far fronte a qualsiasi tipo di minaccia edevento che comprometta i sistemi informativi ospitati nel sito primario dellente.

La classe 2 raccoglie i servizi ad alto impatto, ma ripristinabili in tempi successivi rispetto alla gestione

dellemergenza. Anche per questa classe di servizi, si distinguono le 3 categorie in base alla tecnologia di

impianto.

Alla classe 3 vengono riportati tutti quei servizi che possono per loro natura essere ripristinati anche in

pi giorni/settimane, pur garantendo la continuit del servizio anche attraverso luso di procedure

alternative

La classificazione ha prodotto il seguente risultato:


21/40


21

CLASSE 1


Classe 1A Servizio

DEM_1

Servizi demografici / Anagrafe - Gestione

dell'anagrafe della popolazione residente edell'anagrafe della popolazione residente all'estero

(AIRE)

Eterogenea

Classe 1A Servizio

DEM_1

Servizi demografici / Stato civile - Attivit di

gestione dei registri di stato civile

Eterogenea

Classe 1A Servizio

SEG_1

Gestione atti amministrativi Eterogenea

Classe 1A Servizio

RAG_1

Gestione finanziaria-impegni e mandati Eterogenea

Classe 1A Servizio

MAN_1

Gestione manutenzione edifici e strade Eterogenea

Classe 1A Servizio

SOC_1

Servizi sociali - Attivit relativa ai trattamenti

sanitari obbligatori (T.S.O.) ed all'assistenza

sanitaria obbligatoria (A.S.O.)

Aziende/cittadini

Classe 1A Servizio

SOC_1

Servizi sociali - Attivit relativa all'assistenza

domiciliare

Aziende/cittadini

Classe 1A ServizioWEB

Sito web istituzionale Eterogenea

CLASSE 2


Classe 2A Servizio

PERS_1

Personale - Gestione del rapporto di lavoro del personale

impiegato a vario titolo presso il Comune attivit relativa al

riconoscimento di benefici connessi all'invalidit civile e

all'invalidit derivante da cause di servizio, nonch da

riconoscimento di inabilit a svolgere attivit lavorativa

Utente Interno

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit relativa all'assistenza scolastica ai

portatori di handicap o con disagio psico-sociale

Aziende/cittadini

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit relativa alle richieste di ricovero o

inserimento in Istituti, Case di cura, Case di riposo, ecc.

Aziende/cittadini

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit ricreative per la promozione del

benessere della persona e della comunit , per il sostegno dei

progetti di vita delle persone e delle famiglie e per larimozione del disagio sociale

Aziende/cittadini


22/40


22

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit relativa alla valutazione dei requisiti

necessari per la concessione di contributi, ricoveri in istituti

convenzionati o soggiorno estivo (per soggetti audiolesi, non

vedenti, pluriminorati o gravi disabili o con disagi psico-

sociali)

Aziende/cittadini

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit relativa all'integrazione sociale ed

all'istruzione del portatore di handicap e di altri soggetti che

versano in condizioni di disagio sociale (centro diurno, centro

socio educativo, ludoteca, ecc.)

Aziende/cittadini

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit di sostegno delle persone bisognose o

non autosufficienti in materia di servizio pubblico di

trasporto

Aziende/cittadini

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit relativa alla prevenzione ed al

sostegno alle persone tossicodipendenti ed alle loro famiglietramite centri di ascolto (per sostegno) e centri documentali

(per prevenzione)

Aziende/cittadini

Classe 2A Servizio

SOC_2

Servizi sociali - Attivit relative alla concessione di benefici

economici, ivi comprese le assegnazioni di alloggi di edilizia

residenziale pubblica e le esenzioni di carattere tributario

Aziende/cittadini

Classe 2A Servizio

SOC_2

Istruzione e cultura - Attivit relativa alla gestione degli asili

nido comunali e dei servizi per l'infanzia e delle scuole

materne elementari e medie

Aziende/cittadini

Classe 2A Servizio

SOC_2

Istruzione e cultura - Attivit di formazione ed in favore del

diritto allo studio

Aziende/cittadini

Classe 2A Servizio

SOC_1

Istruzione e cultura - Gestione delle biblioteche e dei centri di

documentazione

Aziende/cittadini

Classe 2A Servizio

PM

Polizia municipale - Attivit relativa all'infortunistica stradale Aziende/cittadini

Classe 2A Servizio

PM

Polizia municipale - Gestione delle procedure sanzionatorie Aziende/cittadini

Classe 2A Servizio

PM

Polizia municipale - Attivit di polizia annonaria,

commerciale ed amministrativa

Aziende/cittadini

Classe 2A Servizio

PM

Polizia municipale - Attivit di vigilanza edilizia, in materia di

ambiente e sanit, nonch di polizia mortuaria

Aziende/cittadini

Classe 2A Servizio

PM

Rilascio delle licenze per il commercio, il pubblico esercizio,

l'artigianato e la pubblica sicurezza

Eterogenea

Classe 2A Servizio

SEG_2

Attivit politica, di indirizzo e di controllo, sindacato

ispettivo e documentazione dell'attivit istituzionale degliorgani comunali

Utente Interno


23/40


23

Classe 2A Servizio

SEG_2

Attivit riguardante gli istituti di democrazia diretta Eterogenea

Classe 2A Servizio

PRC

Protezione civile Aziende/cittadini

Classe 2A Servizio

SEG_2

Conferimento di onorificenze e di ricompense Aziende/cittadini

Classe 2A Servizio

TRIB

Agevolazioni tributarie Attivit relative alla concessione,

liquidazione, modifica o revoca di benefici economici,

agevolazioni, elargizioni, altri emolumenti per abilitazioni, ivi

inclusi i finanziamenti in favore di associazioni, fondazioni ed

enti

Eterogenea

Classe 2A Servizio

TEC_1

Gestione edilizia privata e pratiche edilizie Eterogenea

Classe 2B Servizio

PROTO

Albo Pretorio Informatico Eterogenea

Classe 2C Servizio

SUAP

Sportello unico attivit produttive Eterogenea

CLASSE 3


Classe 3A Servizio

RAG_2

Gestione economale Eterogenea

Classe 3A Servizio

RAG_2

Gestione finanziaria-bilancio Eterogenea

Classe 3A Servizio

TEC_2

Progettazione Eterogenea

Classe 3A Servizio

TEC_2

Urbanistica Eterogenea

Classe 3A Servizio

SEG_3

Iscrizioni ad albi comunali di associazioni ed organizzazioni di

volontariato

Eterogenea

Classe 3A Servizio

SEG_3

Attivit del difensore civico comunale Eterogenea

Classe 3A Servizio

DEM_2

Servizi demografici / Elettorale - Attivit relativa all'elettorato

attivo e passivo

Aziende/cittadini

Classe 3A ServizioDEM_2

Servizi demografici / Elettorale - Attivit relativa alla tenutadegli albi degli scrutatori e dei presidenti di seggio

Aziende/cittadini


24/40


24

Classe 3A Servizio

DEM_2


dell'elenco dei giudici popolari

Aziende/cittadini

Classe 3A Servizio

DEM_2

Servizi demografici / Leva - Attivit relativa alla tenuta del

registro degli obiettori di coscienza

Aziende/cittadini

Classe 3A Servizio

DEM_2

Servizi demografici / Leva - Attivit relativa alla tenuta delle

liste di leva e dei registri matricolari

Aziende/cittadini

Classe 3A Servizio

PM_2

Polizia municipale - Attivit relativa al rilascio di permessi per

invalidi

Aziende/cittadini

Classe 3A Servizio

SEG_3

Avvocatura - Attivit relative alla consulenza giuridica, al

patrocinio, alla difesa in giudizio dell'amministrazione, nonch

alla consulenza e copertura assicurativa in caso di

responsabilit civile verso terzi dell'amministrazione

Utente Interno

Classe 3A Servizio

PERS_1

Politiche del lavoro - Gestione delle attivit relative all'incontro

domanda/offerta di lavoro, comprese quelle relative alla

formazione professionale

Aziende/cittadini

Classe 3A Servizi

SOC_3

Attivit ricreative, promozione della cultura e dello sport ed

occupazioni di suolo pubblico

Eterogenea

Classe 3A Servizi

SOC_3

Servizi sociali - Attivit relativa ai servizi di sostegno e

sostituzione al nucleo familiare e alle pratiche di affido e di

adozione dei minori

Aziende/cittadini

3.1.2 Comunicazioni (Lista dei contatti in caso di disastro, modalit di contatto)

Le modalit di contatto per lattivazione del sito DR sono definite contrattualmente fra Amministrazione

Comunale e CBR Asmecloud. Le procedure interne allente sono stabilite direttamente dal regolamento

interno. I componenti del Comitato di gestione della crisi sono figure dirigenziali, quindi sempre

reperibili, o comunque soggette a reperibilit attribuita con la nomina a Componente del Comitato di

Gestione della Crisi. Il personale tecnico sar contattato attraverso lelenco dei tecnici reperibili.

3.1.3 Attivazione del piano di disaster recovery

La procedura di attivazione viene innescata ogni qualvolta si presenta una anomalia che pu dar luogo

ad una situazione di disastro descritta secondo la tabella riportata nel paragrafo 3.1.1. La sequenza delle

comunicazioni prevede lattivazione del processo di gestione concordato contrattualmente con in

fornitore del servizio di CBR Asmecloud che prevede le seguenti fasi:


25/40


25

P.AP.01


26/40


26


27/40


27

3.1.4 Scenari di emergenza applicabili e valutazione dei danni

Gli scenari individuati durante lo studio di fattibilit ci consentono di garantire dei livelli RTO e RPO per

classi omogenee di servizi predefiniti nella classificazione riportata nel paragrafo 3.1.

La soluzione tecnologica scelta dallamministrazione definita secondo le linee guida pari al TIER 3,

limplementazione attuale della soluzione tecnica prevedere dei tempi di RPO pari a quanto dichiarato

nello studio di fattibilit mentre i tempi RTO sono maggiori.

Servizio/ Classe di Servizi RTO RPO

Classe 1 1 settimana in caso di

distruzione di server fisici o sito

primario

1 giorno lavorativo

2 giorni in caso di corruzione o

distruzione dei soli dati

Classe 2 1 giorno lavorativo

Classe 3 1 giorno lavorativo

3.1.5 Procedure di acquisto in emergenzaLe procedure di acquisto in emergenza sono attivabili secondo quanto indicato nel regolamento interno

dellEnte. Tutti gli acquisti sono definiti e valutati dal Comitato di gestione della crisi

3.1.6 Documentazione delle attivit svolte (reporting)

Tutte le attivit di gestione e manutenzione del sistema effettuate dai tecnici del CBR Asmecloud sono

documentate mediante un dettagliato verbale, sottoscritto dall'amministrazione e dal direttore tecnico

che certifica lesito dell'intervento. I dati minimi riportati nel documento sono definiti nelle istruzione

operative della procedura di gestione e manutenzione e comprendono almeno: la data, lora, il luogo

dello svolgimento del test, le figure che vi hanno partecipato, le prove svolte e lesito.

In caso di insuccesso parziale o totale dei test, lAmministrazione deve esaminare le problematiche

emerse e attivare le azioni necessarie per la loro risoluzione.

In tal caso il verbale dei risultati dei test indicher le azioni da intraprendere per la rimozione degli

eventuali problemi riscontrati nel corso dei test unitamente alla persona o struttura incaricata di

rimuoverli e alla scadenza prevista.

Tutti i verbali ovvero, il verbale di collaudo e quelli relativi ai test periodici svolti, fino al termine di

vigenza della soluzione di continuit operativa e o del contratto che affida a CBR Asmecloud lavvio, la

realizzazione, la gestione e la manutenzione e verifica/test della soluzione, sono conservati dal CBR

Asmecloud con le modalit di legge previste.


28/40


28

3.2 Procedure di avviamento del sito secondario

3.2.1 Preparazione del sito di disaster recovery

Il supporto tecnico del Centro backup Remoto - CBR mantiene apparecchiature sempre attive, condivise

e non ad uso esclusivo di un singolo ente. Il Comune ha uno spazio storage riservato per la replicanotturna di tutti i dati secondo delle logiche incrementali dettagliate nel seguito, inoltre sono presenti

almeno 2 macchine virtuali su cui installare in caso di necessit gli applicativi gestionali dellente e delle

postazione client erogate in modalit terminal server raggiungibili dai dipendenti comunali tramite VPN.

Nel caso di una emergenza nel Sito Primario, per cui si renda necessario la ripartenza dei servizi dal CBR,

tutte le apparecchiature ivi presenti e destinate allutilizzo dellEnte, sono attivate al fine di completare

lo switch dei due centri. E possibile attivare anche lerogazione di una sola parte dei servizi danneggiati:

Schema logico dellinfrastruttura

I dati prima di essere trasferiti nel sito DR (Sito Secondario) vengono raccolti e aggregati in un dispositivo

locale su cui installato un agente di backup connesso allinfrastruttura DR attraverso un canale VPN.

I dati raccolti nel dispositivo di backup locale sono

File ed archivi (doc, xls, p7m, mdb, pdf, dwg, ecc.)

Backup consolidati prodotti dagli applicativi software presenti nellente


29/40


29

Da tali aree di deposito locale i file vengono trasferiti giornalmente nellarea di storage riservata al

Comune presso il sito DR; per ottimizzare il traffico sulle linee dati vengono utilizzati opportuni

strumenti software che consentono di implementare politiche incrementali nel trasferimento dei dati.

Il ripristino dei servizi e degli archivi sono a cura del Responsabile CED interno al Comune, il quale si

avvarr del supporto delle software house che forniscono gli applicativi gestionali.

Tutte le operazioni di backup sono gestibili e monitorate attraverso luso di un software che esegue

giornalmente linoltro dei log sulle operazioni notturne di trasferimento dati dal sito primario al sito

secondario. Il Responsabile della corretta gestione dei procedimenti di replica e verifica della reale

consistenza dei dati nel sito secondario individuato nel Responsabile della CO del Comune di Conca

della Campania.

Livelli di Servizio

RPO 1 giorno: Dati consolidati riferiti al giorno precedente rispetto allevento

disastroso

RTO Questo indicatore vari a secondo dellevento disastroso:

- Riferito alla distruzione dellintero sito primario pari a 5 giornilavorativi

- Riferito alla perdita di parte di File o Archivi o parte delle banche datigestionali pari a 3 giorni lavorativi


30/40


30

Procedura Operativa P.PSDR.01


31/40


31

3.2.2 Procedura di ripristino dellinfrastruttura nel Sito Secondario

Il Sito Secondario dispone di unarea riservata alla replica di tutti i dati dellente sia essi file o archivi che

backup consolidati dei dati gestiti dagli applicativi software.

Il Comune di Conca della Campania dispone inoltre di 2 server


Tipo VM Descrizione Responsabilit

Server Applicativo Server su cui installare le procedure

gestionali e le relative share di rete

Il CBR Asmecloud avr il Compito di

mantenere e rendere disponibile la VM,

vigilare sulla corretta procedura di

backup durante il periodo del suo

utilizzo. Inoltre dovr garantire la

disponibilit di connettivit sul Sito

Secondario ed il servizio di VPN.

I responsabili tecnici dellente hanno il

compito di gestire in maniera autonoma

e/o con il supporto dei propri tecnici

esterni specialistici tutte le operazione di

attivazione del sito, installazione e

configurazione del server, nonch il

restore dei dati

Client virtuali Server dedicato allerogazione dei

servizi di Client Virtuali fruibili in

modalit Terminal Server


mantenere e rendere disponibile la VM,

vigilare sulla corretta procedura di

backup durante il periodo del suo


disponibilit di connettivit sul sito

secondario e il servizio di VPN.

I responsabili tecnici dellente hanno ilcompito di gestire in maniera autonoma

e/o con il supporto dei propri tecnici

esterni specialistici tutte le operazioni di

installazione delle postazioni client sia

sul Sito Secondario che sui client fisici

presenti allinterno dellente.

Nel Comune sono state individuate 2 postazioni di lavoro operativi in caso di emergenza per ogniServizio erogato appartenente alla CLASSE 1 e 2 descritto nel paragrafo 3.4.


32/40


32

In caso di interruzione dei servizi di connettivit sul Sito Primario sar attivato un collegamento Internet

su rete mobile con le opportune garanzie di sicurezza del canale (VPN).

3.2.3 Procedura di ripristino delle banche dati nel sito secondario

La procedura di ripristino delle banche dati tiene in considerazione due diverse situazioni a seconda

dellentit dellevento e tipologia dei dati:


Tipo di banca dati Descrizione Responsabilit

File e Archivi I File / Archivi gestiti dai software di Office

Automation vengono ripristinati dalsoftware di replica a partire dalla copie

disponibili nelle aree di backup del Sito

Secondario.

I file sono resi disponibili, con le opportune

policy di sicurezza, attraverso il Client

Remoto o tramite condivisione SMB.


mantenere e rendere disponibile laVM, vigilare sulla corretta procedura

di backup durante il periodo del suo


disponibilit di connettivit sul Sito

Secondario ed il servizio di VPN.

I responsabili tecnici dellente

hanno il compito di gestire in

maniera autonoma e/o con il

supporto dei propri tecnici esternispecialistici tutte le operazione di

ripristino del file e/o archivi e la

corretta configurazione delle policy

di sicurezza.

Database

strutturati di

procedure

applicative

I backup consolidati delle banche dati sono

trasferiti nella VM dei servizi applicativi e

ripristinati secondo le specifiche modalit

dettate dalle software house, soprattutto

con riferimento alle situazioni di BD informato proprietario o DBMS specifici.


mantenere e rendere disponibile la

VM, vigilare sulla corretta procedura

di backup durante il periodo del suo

utilizzo. Inoltre dovr garantire ladisponibilit di connettivit sul sito

secondario ed il servizio di VPN.

I responsabili tecnici dellente

hanno il compito di gestire in

maniera autonoma e/o con il

supporto dei propri tecnici esterni

specialistici tutte le operazione di

ripristino delle banche dati.


33/40


33

3.2.4 Procedura di ripristino delle applicazioni nel sito secondario


Il responsabile della Continuit operativa e Responsabile CED del Comune Conca della Campania,avvalendosi della collaborazione dei tecnici comunali interni o dei tecnici esterni, identifica tutti i

software applicativi utili nelle attivit ordinarie. Lelenco dei software e procedure di installazione

necessarie per garantire i servizi in caso di emergenza sono individuate in base alla gravit ed entit

dellevento disastroso.

3.2.5 Procedura per la gestione dellorganizzazione logistica e coordinamento del

personale

La procedura definisce le attivit da compiere per fronteggiare una prima fase di emergenza

indipendentemente dalla gravit dellevento disastroso.


Tipo di Evento Evento Azione Responsabilit Ordine di

esecuzione e

Priorit

Infrastrutture

fisiche (edifici)

Distruzione

completa o parziale

o inagibilit di

alcune aree fisiche

Individuazione di un

sito alternativo

Comitato di

Gestione della Crisi

/Resp. Ufficio

Tecnico

1 ALTA

Infrastrutture

fisiche (edifici)

Distruzione

completa o parziale

o inagibilit di

alcune aree fisiche

Predisposizione di

connessione dati ai

sistemi informativi

centrali del Sito

Primario o di

connessione con il

sito DR (Sito

Secondario)

Comitato di


/Resp. Ufficio

Tecnico/ Resp. CED

2 - ALTA

Infrastrutture

fisiche (edifici)

Distruzione

completa o parziale

o inagibilit di

alcune aree fisiche

Dotazione di

postazioni

informatiche,

adeguate al

collegamento con il

sito DR, ad un

nucleo di personaledellente individuato

come necessario per

Comitato di


/Resp. CED

3 - ALTA


34/40


34

fronteggiare la crisi.

3.3 Ripristino del sito di produzione

3.3.1 Condizioni per il ritorno al sito di produzione

Il piano di ripristino dei sistemi sul sito primario ha lobiettivo di documentare tutte le procedure

previste per ripristinare i sistemi e i ritornare ad una normale operativit.

Generalmente viene predisposto quando tutte le facilities presenti sono state ripristinate e sono in

grado di supportare tutte le funzionalit previste in precedenza.

Lattivit di rientro al CED Primario di produzione viene concordata e pianificata dal Comitato di

Gestione della crisi.

Una volta che linfrastruttura del CED Primario risulter ripristinata e pronta ad accogliere il ritorno dei

sistemi, si proceder alla realizzazione dei seguenti passi:

a) Identificazione del primo periodo utile per la migrazione. Ove possibile si preferir la pianificazione

dellattivit durante un week-end

b) Comunicazione allutenza della indisponibilit dei servizi per circa 48h.

c) Disabilitazione degli accessi ai sistemi del sito primario da parte della rete geografica.

e) Esecuzione procedure di salvataggio dellintero ambiente dati online su supporto magnetico adatto alsuccessivo ripristino nel sito primario (stimata in circa 8 ore).

e) Trasporto fisico dati di salvataggio dal Sito secondario a quello primario (stima 4 ore)

f) Ripristino dati sui dischi del sistema del CED Primario (stima 8 ore)

g) Riattivazione sistemi e verifiche di funzionalit (stima 3 ore)

h) Ripristino delle normali policy di accesso ai sistemi dalla rete geografica.


35/40


35

Procedura Operativa P.RSP.01


36/40


36

3.3.2 Procedura per il trasferimento dei dati dal sito secondario al sito primario

La procedura di trasferimento dati varia a seconda della mole di dati di trasferire fra i due siti.


Perdita completa del

sito primario

Il trasferimento dati dal sito secondario al sito primario avviene tramite il

recupero fisico del supporto contenente il backup completo di tutti i dati

modificati sul sito secondario durante lemergenza ed il ripristino sul sito

primario.

Perdita parziale del

sito primario

A seconda della criticit ed importanza del servizio vengono adottate le

seguenti procedure

Criticit del Servizio

definita paragrafo 10.1

Quantit espressi in GB Modalit di ripristino

Classe 1 Superiore a 20 GB Recupero del supporto

fisico contenente il

backup completo dal

sito secondario al sito

primario

Classe 1 Inferiore 20 GB Trasferimento via rete

xDSL dei dati dal sito

secondario aldispositivo locale di

backup

Classe 2 e Classe 3 Superiore a 50 GB Recupero del supporto

fisico contenente il

backup completo dal

sito secondario al sito

primario

Classe 2 e Classe 3 Inferiore 50 GB Trasferimento via RetexDSL delle informazioni

dal sito secondario al

dispositivo locale di

backup


37/40


37

3.3.3 Procedura Ripristino dellinfrastruttura nel sito primario

Il ripristino del sito primario prevede la verifica della corretta configurazione degli apparati hardware esoftware prima di eseguire qualsiasi operazione di ripristino delle banche dati:


Sicurezza Fisica - Verifica della continuit elettrica eclimatizzazione dei locali adibiti ad ospitaregli apparati server e storage;

- Verifica del corretto ripristino dellhardwareo collaudo delleventuale nuovo hardwareacquistato;

- Verifica di tutte le postazioni clientdanneggiate;

Sicurezza Logica - Verifica di tutte le configurazioni e policy disicurezza dellente;

Connettivit e Connessioni dati - Check della connessione internet e/o SCP;- Verifica della corretta configurazione di tutti

gli apparati di rete interni;

3.3.4 Procedura Ripristino della banche dati nel sito primario


Il ripristino delle banche dati tiene conto della loro tipologia come nel caso dellattivazione del sito

Secondario.

Per i file o archivi gestibili tramite gli strumenti di Office Automation vengono ripristinati nelle share di

rete secondo la struttura di competenza e le politiche di sicurezza definite nellente.

Il ripristino dei Data base vengono eseguiti dai tecnici specializzati della software house fornitrice del

software.

3.3.5 Procedura Ripristino delle applicazioni nel sito primario


Postazioni Client - Installazione e/o Check di tutto il software necessario alloperatore- Verifica della corretta configurazione degli apparati esterni (scanner,

stampanti ecc.) disponibili nella postazione

Server Applicativi - Installazione e/o Check di tutto il software necessario al ripristinofunzionale del sistema

- Ripristino dei backup- Verifica di collegamento delle postazioni Client-

Verifica della corretta configurazione degli apparati esterni(stampanti ecc.);- Verifica delle procedure di backup/aggiornamento


38/40


38

4 Formazione

La formazione delle risorse riveste un ruolo fondamentale per assicurare la corretta applicazione,

conoscenza e padronanza del Piano. Periodicamente necessario verificare il livello di formazione ditutte le risorse coinvolte nel PCO ICT affinch ciascuna sia ben consapevole delle attivit da svolgere incaso di Emergenza. Tutte le risorse coinvolte nel PCO ICT devono essere formate ed istruite circalapplicazione delle procedure e modalit da seguire nelle diverse attivit sia ordinarie sia di emergenza.Il Responsabile della Continuita Operativa ICT assicurare unefficace pianificazione della formazione siain termini di periodicit sia di contenuti.

I passi da seguire sono:

Redazione del piano di formazione

Redazione del programma di formazione

Test per la valutazione del livello di conoscenza del Piano

Relazione di sintesi dei risultati dellattivit formativa

5 Verifica/test del piano

5.1 Obiettivi e strategie di test

Per assicurare una effettiva efficienza nelle operazioni di recovery prevista l'esecuzione di prove

almeno semestrali di funzionalit sia tecnica che organizzativa delle procedure di recovery predisposte.

Le prove di recovery coinvolgeranno un sottoinsieme significativo degli utenti del Sistema Informativo,

in modo da verificare l'effettiva funzionalit dell'intero processo.

Viene data evidenza dellesito dei test effettuati in apposite schede, che vengono poi consegnate

allAmministrazione.

5.2 Procedure di test e verifica

La responsabilit dellesecuzione dei test di continuit operativa dellAmministrazione. I tecnici del CBR

Asmecloud forniscono assistenza durante queste fasi, secondo quanto opportunamente concordato con

lamministrazione.

La procedura di test e verifica di un evento disastroso e la valutazione della capacit della soluzioneproposta di garantire il livello di continuit operativa atteso, in termini tecnologici, organizzativi e

procedurali.

Sono possibili numerose modalit di test, eseguite anche contemporaneamente, nel corso di un anno

che comprendono almeno: due verifiche teoriche ed una simulazione.

In funzione di esigenze specifiche di organizzazione e/o di cambiamento potranno essere eseguiti

ulteriori test.


39/40


39

Si individuano le seguenti tipologie di procedure di test, elencate in ordine crescente di complessit:

Verifica teorica: E la metodologia pi classica, e ricalca le usuali tecniche di auditing e di

validazione su carta. Consiste nel condurre unanalisi di congruenza della soluzione, a cura degli stessi

autori della soluzione o di esperti esterni.

Verifica strutturata:. Si definisce uno specifico scenario teorico di crisi, e i partecipanti al test

operano pedissequamente secondo le modalit previste dal Piano di Continuit operativa. Nel corso

della sequenza si verificano e documentano eventuali errori o carenze.

Simulazione. In questo caso il test coinvolge lintero personale dellamministrazione o almeno ilpersonale addetto allarea interessata dalla simulazione. Il test prevede lattivazione in tempo reale

del piano di continuit operativa e la verifica delle procedure, dei sistemi di backup, dei sistemi

alternativi di comunicazione, della mobilitazione dei gruppi di gestione dellemergenza, del recupero di

documenti e dati. Condurre una simulazione di emergenza completa pu avere un costo molto elevato;

per questo in genere si usano simulazioni semplificate.

Quando sono previsti test periodici di simulazione, valgono i seguenti requisiti:

le simulazioni devono essere progettate per simulare una vera condizione di emergenza,

ricreando le conseguenze dellevento peggiore nel peggior momento tra quelli valutati negli scenari di

Risk Assessment (ad esempio, limprovvisa indisponibilit del Sito Primario durante lorario di punta dei

servizi erogati);

per non rischiare di compromettere i dati di produzione, per lo svolgimento delle simulazioni,

dovranno essere predisposte copie coerenti dei dati ad uso esclusivo della simulazione che saranno

cancellate al termine delle prove;

poich la soluzione prevede un centro alternativo (nodo secondario del sito secondario),

necessario verificare e testare tutti quei processi e procedure che devono garantire, in condizioni difunzionamento normale del centro primario, le operazioni di allineamento dei due siti.

6 Manutenzione del piano

6.1 Aggiornamento del piano

Il presente piano viene aggiornato entro il 31 dicembre dal dr. Flaviano Abate resp. PCO come indicato

allarticolo 50 bis del D.lgs 82/2005, il processo e le regole di redazione sono riportate nel seguito:

Le modifiche apportate ad uno qualsiasi dei documenti che costituiscono il Piano, siano essi manuali oallegati esterni, ne comporter una variazione di modifica e/o release.


40/40


Al fine di determinare univocamente la versione/release del Piano, si adotta la seguente metodologia di

numerazione:

MAJOR RELEASE . MINOR RELEASE

La modifica di un manuale o di un allegato esterno che scaturisca da una manutenzione ordinaria darluogo a una nuova minor release del documento (passer da m.n a m.n+1 ad esempio si passer dalla

release 1.0 alla release 1.1). La modifica di un manuale o di un allegato esterno che scaturisca da una

manutenzione straordinaria dar luogo a una nuova major release del documento (passer da m.n a

m+1.0 ad esempio si passer dalla release 1.5 alla release 2.0).

Dovranno essere aggiornati di conseguenza i dati di controllo presenti nella copertina del documento, la

versione nel pi di pagina e la data nellintestazione.

A ogni nuova versione o release di uno dei documenti che costituiscono il Piano sar creata una nuova

versione o release dellallegato esterno, tale modifica andr riportata nella tabella contenuta nelparagrafo 1 "Informazioni Generali" contenente gli estremi delle ultime versioni o release modificate.

La copia cartacea delle nuove versioni o release dovr essere firmata per approvazione sulla copertina

dal responsabile del Gruppo di supporto unitamente alla data di approvazione. Dopo la firma, dovr

essere aggiornata la copia magnetica inserendo il nome del responsabile del Gruppo di supporto e la

data di approvazione, e archiviato il documento in formato magnetico/cartaceo secondo lo standard

definito.

A ogni nuova versione/release dei documenti che costituiscono il Piano, il Comitato di Gestione della

Crisi ha il compito di curare la distribuzione dello stesso affinch le copie ufficiali del Piano siano

sempre aggiornate.

Allegato Alla Delibera Di g.c. n. 31 Del 2013 Piano Di Continuita Operativa

Documents

Transcript of Allegato Alla Delibera Di g.c. n. 31 Del 2013 Piano Di Continuita Operativa