Piano per la sicurezza delle informazioni e la protezione dei dati

Projektname:

Oggetto da proteggere

AD USO INTERNO

Projektname:

Oggetto da proteggere

AD USO INTERNO

Dopo la compilazione: AD USO INTERNO

Nome delloggetto da proteggere

Piano per la sicurezza delle informazioni e la protezione dei dati [piano SIPD]

Classificazione *

AD USO INTERNO

Stato **

Nome del progetto / Oggetto da proteggere

Oggetto da proteggere

Numero del progetto

Committente

Responsabile dei processi operativi

Capoprogetto

RSIPD

Elaborato da

Verificato da

Approvazione del committente del progetto e / o del responsabile dei processi operativi

Versione

0.1

* AD USO INTERNO, CONFIDENZIALE, SEGRETO

** In corso di elaborazione, in corso di verifica, concluso / approvato

Controllo delle modifiche, verifica, approvazione

Versione

Data

Descrizione / Osservazioni

Nome

Distribuzione

Funzione

Nome

Dipartimento / Ufficio

ISIU

Fasi del progetto visionate

Le tabelle con le persone che prendono visione delle singole fasi (e le confermano) possono essere integrate liberamente.

Inizializzazione

Funzione

Nome

Data

CP / RSIPD

Pianificazione

Funzione

Nome

Data

CP / RSIPD

Realizzazione

Funzione

Nome

Data

CP / RSIPD

Introduzione

Funzione

Nome

Data

CP / RSIPD

Conclusione / Consegna per lattivazione

Funzione

Nome

Data

CP / RSIPD

RA

RS

Dipartimento

Ufficio

Projektname:

Oggetto da proteggere

AD USO INTERNO

Modello versione 4.0 Data di stampa: 10.04.2017

Modello versione 4.0 / Documento - Versione 0.1

Data di stampa:

3/16

Indice1Considerazioni generali51.1Descrizione51.2Adeguamento51.3Scopo del documento51.4Validit del documento52Compendio62.1In generale62.2Sintesi dei rischi residui62.3Osservazioni finali62.4Conferma73Basi giuridiche, protezione dei dati e sicurezza delle informazioni conformemente allOIAF, articoli 6883.1OIAF, articolo 6, Basi giuridiche83.2OIAF, articolo 6, Protezione dei dati83.3OIAF, articolo 6, Sicurezza delle informazioni83.4OIAF, articolo 793.5OIAF, articolo 8 capoverso 293.6OIAF, articolo 26a, Violazione del segreto dufficio, articolo 320 del Codice penale (CP)94Elenco dei documenti rilevanti per la sicurezza105Classificazione secondo le Istruzioni del Consiglio federale sulla sicurezza TIC nellAmministrazione federale (WIsB)106Descrizione del sistema rilevante per la sicurezza116.1Interlocutore / Responsabilit116.2Descrizione del sistema globale116.3Descrizione dei dati da elaborare116.4Diagramma dellarchitettura / Matrice della comunicazione126.5Descrizione della tecnologia di base127Analisi dei rischi e misure di protezione137.1Copertura dei rischi mediante piani di sicurezza sovraordinati147.2Rischi residui148Piano demergenza149Osservanza / Verifica / Collaudo delle misure di protezione149.1Collaudo del sistema1510Liquidazione1511Abbreviazioni1512Allegato16

Considerazioni generali

Il testo in blu un ausilio per la compilazione del documento, e deve essere cancellato una volta inserito il testo relativo a un progetto concreto specifico. Gli elementi in rosso del testo evidenziano importanti indicazioni o questioni che necessitano di un particolare chiarimento oppure che devono essere descritte concretamente.

1.1 Descrizione

Il piano SIPD vale come documento principale per la sicurezza dellinformazione e la protezione dei dati del progetto e durante loperativit. La classificazione viene eseguita in funzione dellanalisi del bisogno di protezione secondo le Istruzioni del Consiglio federale sulla sicurezza TIC nellAmministrazione federale (WIsB).

Adeguamento

Nel caso di sistemi rilevanti per la sicurezza non possibile rinunciare al piano SIPD. Tuttavia, se non sono rilevanti, alcuni sottocapitoli possono essere tralasciati.

Se dalla classificazione eseguita conformemente al capitolo 5 (classificazione secondo le istruzioni WIsB) non risulta un elevato bisogno di protezione, lanalisi dei rischi (capitolo 7) pu essere tralasciata.

Scopo del documento

Il piano SIPD contiene i dati necessari per mantenere e migliorare la sicurezza delle informazioni e la protezione dei dati.

Il presente documento riassume gli aspetti della sicurezza delle informazioni e della protezione dei dati nel progetto.

Validit del documento

Il piano SIPD valido per cinque anni.

Compendio

In generale

Sintesi dei dati contenuti nel documento sullanalisi dei rischi effettuata, sulla sicurezza delle informazioni e sulla protezione dei dati. Fornisce una panoramica sul potenziale di rischio presente nel sistema esaminato.

Sintesi dei rischi residui

Sintesi e valutazione dei rischi residui che devono essere assunti dai servizi responsabili.

Osservazioni finali

Importanti osservazioni finali e conclusione sul presente oggetto da proteggere.

Conferma

Apponendo la propria firma, lincaricato/a della sicurezza informatica di ununit amministrativa (ISIU) conferma di aver verificato il documento concernente lattuazione della protezione di base delle TIC. Lincaricato/a ha verificato, in particolare, se il documento stato compilato in ogni sua parte, se tutte le misure sono state commentate e se i dati sono corretti sotto il profilo formale e materiale.

Il/la committente e il/la responsabile dei processi operativi approvano il piano SIPD apponendovi la propria firma.

Il/la responsabile dellunit amministrativa si assume la responsabilit per eventuali rischi residui[footnoteRef:2]. A seconda del regolamento interno dellUfficio, il documento pu essere anche firmato da un altro responsabile, membro della direzione. [2: Istruzioni WIsB, n. 3.4 Rischi residui ]

Il piano SIPD deve essere comunicato in forma adeguata al fornitore di prestazioni[footnoteRef:3]. [3: Istruzioni WIsB, n. 2.2. Beneficiari di prestazioni e n. 2.3 Fornitori di prestazioni]

......................................................................

Data Nome / Firma dell'ISIU

......................................................................

Data Nome / Firma del/la committente

......................................................................

Data Nome / Firma del responsabile dei processi aziendali

......................................................................

Data Nome / Firma del capo dellUA o del membro della Direzione

possibile appporre altre firme, per esempio quella del responsabile del FP.

Le firme possono essere apposte anche in forma elettronica (in un file PDF).

Basi giuridiche, protezione dei dati e sicurezza delle informazioni conformemente allOIAF, articoli 68

Per una base corretta di un progetto TIC costituiscono parte integrante gli articoli 68 dellordinanza sullinformatica nellAmministrazione federale (OIAF).

Di seguito sono indicati in forma sintetica gli aspetti pi importanti da considerare nel quadro dellattuazione della protezione di base TIC cos come nellallestimento del piano SIPD.

OIAF, articolo 6, Basi giuridiche

Articolo 6 lettera a) OIAF lesistenza o la creazione di basi giuridiche sufficienti.

Qui vengono indicate le basi giuridiche sulle quali si fonda il progetto TIC (da realizzare). Il rilevamento di queste basi conveniente se effettuato in collaborazione con il Servizio giuridico dellUA o dei dipartimenti.

Collegandosi al link http://www.hermes.admin.ch/onlinepublikation/index.xhtml?element=ergebnis_rechtsgrundlagenanalyse.html si pu trovare un modello utile per documentare le corrispondenti basi giuridiche.

OIAF, articolo 6, Protezione dei dati

Articolo 6 lettera b) OIAF la garanzia della protezione dei dati delle persone interessate.

Ai sensi dellarticolo 13 della Costituzione federale svizzera e delle disposizioni legali della Confederazione sulla protezione dei dati, ognuno ha diritto al rispetto della sua vita privata nonch dessere protetto da un impiego abusivo dei suoi dati personali. Le autorit federali si attengono a queste disposizioni.

In questo punto viene stabilito se il trattamento dei dati conforme alle prescrizioni della legge sulla protezione dei dati. In particolare si deve verificare se la raccolta di dati deve essere notificata o meno allincaricato federale della protezione dei dati e della trasparenza (IFPDT).

Griglia di valutazione dellimpatto sulla protezione dei dati dellIFPDT

LIFPDT propone di sottoporre il progetto a una valutazione dimpatto sulla protezione dei dati gi durante la sua fase iniziale. A tal fine fornisce uno strumento che permette di porsi per tempo le domande corrette sul progetto.

LODIC SEC raccomanda di eseguire questa valutazione dellimpatto sulla protezione dei dati e di pronunciarsi in modo chiaro laddove si rilevi una necessit di intervento. Il questionario disponibile allindirizzo seguente:

https://www.apps.edoeb.admin.ch/dsfa/de/index.html

OIAF, articolo 6, Sicurezza delle informazioni

Articolo 6 lettera c) OIAF la garanzia di una sicurezza integrale delle informazioni.

Questo aspetto affrontato nel presente piano SIPD.

OIAF, articolo 7

Questo aspetto deve essere valutato a seconda della situazione nei rel