Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00

Transcript

1 Documento Programmatico sulla Sicurezza delle Informazioni Ver Ottobre 1998

2 InfoCamere S.C.p.A. Documento Programmatico sulla Sicurezza delle Informazioni Indice 1. Introduzione Principi generali Applicabilità Revisione del documento Organizzazione e responsabilità Camera di Commercio InfoCamere Titolari del trattamento Responsabile del trattamento di dati personali Incaricati del trattamento Prescrizioni di sicurezza Sicurezza Fisica Aree ad accesso controllato Regole di gestione Apparecchiature informatiche Supporti di memorizzazione Informazioni residue Stampanti Sicurezza Logica Funzione Identificazione ed Autenticazione degli utenti User-id Assegnazione e revoca delle user-id ed abilitazioni Password Regole delle password Ripristino della password Programmi pericolosi Separazione delle attività e responsabilità di sicurezza Connessioni con l esterno Caratteristiche di sicurezza dei Gateway Isolamento delle reti Controlli e audit Accesso remoto e uso dei modem...12 Pagina 2 di 12 Vers ottobre1998

3 1. Introduzione Scopo di questo documento è stabilire le misure di sicurezza organizzative, fisiche e logiche da adottare affinché siano rispettate gli obblighi, in materia di sicurezza, previste dalla legge 675/96 sulla protezione dei dati personali (di seguito chiamata Legge sulla Privacy o anche Legge). L'ambito di validità e di osservanza delle regole contenute nel presente documento è la Camera di Commercio e InfoCamere, nei ruoli di Titolare e Responsabile ai sensi della Legge, per i trattamenti di dati personali gestiti nel Sistema Informatico Camerale. Va notato che molti dei dati gestiti nel Sistema Informatico Camerale hanno valore probatorio (es. Registro delle Imprese) e pertanto devono opportunamente essere protetti, soprattutto per quanto riguarda la loro integrità, anche indipendentemente dagli obblighi derivanti dalla legge sulla privacy. Nel seguito i termini Titolare, Responsabile, Incaricato, Trattamento e Dato personale sono usati in conformità alle definizioni della Legge 675/96. Pagina 3 di 12 Vers ottobre1998

4 2. Principi generali La Camera di Commercio, come Titolare, e InfoCamere, come Responsabile, assicureranno che il programma di sicurezza sia adeguatamente sviluppato, realizzato e mantenuto aggiornato e conforme alla legge sulla privacy e alle prescrizioni del presente documento. Essi, nell ambito della propria organizzazione, opereranno in modo da: - minimizzare la probabilità di appropriazione, danneggiamento o distruzione anche non voluta di apparecchiature informatiche o archivi informatici o cartacei contenenti dati personali, - minimizzare la probabilità di accesso, comunicazione o modifiche non autorizzate alle informazioni personali, - minimizzare la probabilità che i trattamenti dei dati personali siano modificati senza autorizzazione. 2.1 Applicabilità Il presente Documento Programmatico sulla Sicurezza delle Informazioni si applica a tutta la struttura del Sistema Informatico Camerale, in quanto interconnessa. Il contenuto deve essere divulgato e spiegato a tutti gli incaricati. La parte che riguarda i dipendenti deve essere divulgata e spiegata a cura dei diretti responsabili. Eventuali situazioni di deviazione accertate rispetto a quanto precisato nel presente documento dovranno essere rimosse nel piu' breve tempo possibile. 2.2 Revisione del documento Il presente documento è valido per un anno. Trascorso tale termine deve essere oggetto di revisione per adeguarlo ad eventuali variazioni del livello di rischio a cui sono soggetti i dati personali e ad eventuali modifiche della tecnologia informatica. Nell attesa dell adeguamento conservano validità le regole in vigore. Alla pubblicazione del DPR di cui all'art della Legge 675/96 (Misure Minime) verrà valutato se il contenuto del presente documento è conforme ai requisiti della Legge, in caso contrario se ne dovrà curare un aggiornamento. 2.3 Organizzazione e responsabilità Camera di Commercio Ogni Camera di Commercio è responsabile, per le attività che gli competono, di predisporre le opportune procedure per mettere in atto le misure di protezione previste dal presente documento. Pagina 4 di 12 Vers ottobre1998

5 2.3.2 InfoCamere InfoCamere, con riferimento ai Patti Consortili e relativamente ai dati Camerali, ha le seguenti responsabilità: - propone le procedure per la sicurezza dei dati e ne verifica le necessità di aggiornamento; - amministrare la sicurezza informatica dell'intero sistema; - effettuare periodici controlli e verifiche in merito al rispetto delle prescrizioni contenute nel presente Documento Programmatico sulla Sicurezza; - valutare periodicamente il livello di rischio di sicurezza dei dati Titolari del trattamento Tra i compiti che la Legge assegna al Titolare e che non sono delegabili, è prevista la vigilanza sul rispetto da parte dei Responsabili delle proprie istruzioni, nonché sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza Responsabile del trattamento di dati personali Il Responsabile del trattamento dei dati personali, ai fini della sicurezza, ha le seguenti responsabilità: - promuovere lo sviluppo, la realizzazione ed il mantenimento dei programmi di sicurezza contenuti nel presente Documento Programmatico sulla Sicurezza dei Dati Personali; - informare il Titolare del trattamento sulle non corrispondenze con le norme di sicurezza e su eventuali incidenti; - promuovere lo svolgimento di un continuo programma di addestramento degli Incaricati del Trattamento e mantenere attivo un programma di controllo e monitoraggio della corrispondenza con le regole di sicurezza; - promuovere e garantire l esecuzione del programma di audit Incaricati del trattamento Gli Incaricati del trattamento dei dati personali, con specifico riferimento alla sicurezza, hanno le seguenti responsabilità: - svolgere le attività previste dai trattamenti secondo le prescrizioni contenute nel presente Documento Programmatico sulla Sicurezza e le direttive del Responsabile; - non modificare i trattamenti esistenti o introdurre nuovi trattamenti senza l esplicita autorizzazione del responsabile del trattamento; - rispettare e far rispettare le norme di sicurezza per la protezione dei dati personali; - informare il Responsabile in caso di incidente di sicurezza che coinvolga dati personali. Pagina 5 di 12 Vers ottobre1998

6 3. Prescrizioni di sicurezza Obiettivo: definire le regole fondamentali per la realizzazione delle misure di sicurezza per i dati personali oggetto di trattamento sotto la responsabilità delle Camere di Commercio e/o di InfoCamere. Aderenza: il rispetto delle prescrizioni contenute nel presente documento è obbligatorio e oggetto di audit. Eccezioni: sistemi isolati (non in rete) che non contengono dati personali. Allegati tecnici: sarà cura degli amministratori dei sistemi definire per ogni piattaforma i parametri tecnici che rendono concreto su ogni singolo sistema e sulla rete/lan quanto richiesto dalle presenti prescrizioni. 3.1 Sicurezza Fisica Il furto o il danneggiamento delle apparecchiature informatiche, la diffusione o distruzione non autorizzata di informazioni personali e l interruzione dei processi informatici possono esporre la Camera e InfoCamere al rischio di violare la legge 675/96. Per tale motivo sono istituiti controlli per limitare l accesso fisico ad alcune aree Aree ad accesso controllato Sono definite aree ad accesso controllato quei locali che contengono apparecchiature informatiche critiche come definite nel paragrafo 3.1.3, e archivi informatici contenenti dati personali. - Devono essere all interno di aree sotto la responsabilità della Camera di Commercio o di InfoCamere. - Deve essere chiaramente identificato un "responsabile dell area". - Il locale deve essere chiuso anche se presidiato, le chiavi sono custodite a cura del "responsabile dell area". - L accesso deve essere consentito solo alle persone autorizzate. - L accesso deve essere possibile solo dall interno dell area sotto la responsabilità della Camera di Commercio o di InfoCamere, eventuali uscite di sicurezza devono essere allarmate Regole di gestione Il "responsabile dell area" ad accesso controllato deve mantenere un effettivo controllo sull area di sua responsabilità. - Deve esserci una lista delle persone autorizzate ad accedere. - La lista deve essere periodicamente controllata. - I visitatori occasionali devono essere accompagnati. - Gli ingressi fuori orario devono essere controllati. - Deve essere assicurata l esecuzione di periodici test sull efficacia degli allarmi Apparecchiature informatiche Sono considerate apparecchiature informatiche critiche ai fini della sicurezza le seguenti apparecchiature se parte del trattamento di dati personali: - Computer, sia server che workstation, con la sola esclusione delle workstation ad uso Pagina 6 di 12 Vers ottobre1998

7 esclusivamente personale. - Unità a dischi ottici o magnetici e unità nastri (DAT, DLT, ecc.). - Sistemi per la gestione delle LAN, router, hub, ecc. Le chiavi dei sistemi e delle apparecchiature devono essere rimosse. Le apparecchiature delle LAN (Wiring hub, MAU, ecc.) non facenti parte del backbone e non situate nelle aree ad accesso controllate, devono essere riposte almeno all interno di armadi chiusi Supporti di memorizzazione Sono considerati supporti di memorizzazione i nastri magnetici, le cassette (cartridge), i dischi magnetici o ottici rimovibili, i CD-ROM che contengono informazioni personali. I supporti contenenti dati sensibili devono, se possibile, essere marcati con un opportuna etichetta recante la dicitura: Contiene dati personali sensibili secondo la legge 675/96. Rispettare quanto previsto dal trattamento. I supporti devono essere custoditi in un area ad accesso controllato o in un ufficio che è chiuso quando non presidiato o in un armadio/cassetto chiuso a chiave Informazioni residue Sono definite informazioni residue quei dati personali ancora leggibili dopo la cessazione di un trattamento. (es. nastri, o dischi magnetici, dischi ottici, ecc.). I dati personali devono essere resi illeggibili quando non sia più necessario conservarli per gli scopi per cui sono stati raccolti e trattati Stampanti Il controllo dei documenti stampati è responsabilità degli incaricati al trattamento. La stampa di documenti contenenti dati sensibili deve essere effettuata su stampanti poste in locali ad accesso controllato o presidiate dall incaricato. Pagina 7 di 12 Vers ottobre1998

8 3.2 Sicurezza Logica Questa sezione disciplina i diversi aspetti del controllo dell accesso logico alle informazioni personali. Sono regolamentati gli accessi ai computer alle LAN, alla rete e alle banche dati del Sistema Informatico Camerale Funzione Identificazione ed Autenticazione degli utenti Tale funzione assicura che ad ogni potenziale utente dei sistemi o delle banche dati sia associato un identificativo (user-id). Quando un utente accede al sistema, alla banca dati o alla rete ne viene verificata l identità mediante un successivo livello di controllo (es. password) User-id L accesso ai sistemi, alle banche dati contenenti informazioni personali, o alla rete deve essere basata sulle effettive necessità del trattamento. L user-id deve poter essere riconducibile ad un singolo individuo. L'utilizzo di user-id non personali è normalmente non consentito; potrà essere accettato dal Responsabile del trattamento per casi particolari, ad esempio per applicazioni che permettono la sola lettura delle informazioni Assegnazione e revoca delle user-id ed abilitazioni InfoCamere gestisce la procedura per l assegnazione delle user-id che permettono l accesso ai sistemi, alle banche dati e alla rete del Sistema Informatico Camerale. Quando un utente non ha più la necessità di accedere ad una banca dati o lascia l azienda/ente, il responsabile dell utente interessato chiederà ad InfoCamere di disabilitare l utenza non più necessaria. Le user-id inutilizzate per più di 6 mesi saranno disattivate. Non è consentito il riutilizzo di una user-id personale già assegnata ad altro utente Password La password è un elemento fondamentale per la sicurezza delle informazioni. La robustezza delle password è il meccanismo più importante per proteggere i dati; un corretto utilizzo della password è a garanzia dell'utente. Le regole di seguito elencate sono vincolanti per tutti i sistemi e le workstation tramite le quali si può accedere alla rete e alle banche dati contenenti dati personali. Le password assegnate inizialmente e quelle di default dei sistemi operativi, prodotti software, ecc. devono essere immediatamente cambiate dopo l installazione e al primo utilizzo Regole delle password - La lunghezza minima della password è di 6 caratteri. - Deve contenere almeno un carattere alfabetico ed uno numerico. - Non deve contenere più di due caratteri identici consecutivi. - Non deve essere simile alla password precedente. Pagina 8 di 12 Vers ottobre1998

9 - Non deve contenere l user-id come parte della password. - Deve essere cambiata almeno ogni 6 mesi. - Non deve essere comunicata ad altri utenti. Dove la tecnologia lo permette tali regole sono rese obbligatorie dal software altrimenti è responsabilità dell utente rispettarle Ripristino della password Il ripristino della password deve essere fatta solo a fronte di una positiva identificazione del richiedente e dovrà essere cambiata subito dopo a cura del richiedente Programmi pericolosi I sistemi sensibili ai virus devono essere protetti con opportuni programmi (antivirus). Tali programmi devono essere aggiornati periodicamente. Pagina 9 di 12 Vers ottobre1998

10 4. Separazione delle attività e responsabilità di sicurezza Con l'obiettivo di specificare, in materia di sicurezza, le attività di pertinenza di InfoCamere e quelle delle Camere di Commercio, InfoCamere predisporrà degli allegati tecnici in materia di: - sicurezza fisica dei locali che contengono le apparecchiature InfoCamere o comunque critiche per il servizio erogato; - sicurezza logica per i server e router InfoCamere; - connessioni tra ICRete e la rete interna delle CCIAA. Pagina 10 di 12 Vers ottobre1998

11 5. Connessioni con l esterno In un sistema integrato la sicurezza deve essere trattata in modo uniforme, in quanto l'insicurezza di una singola parte si puo' ripercuotere generando insicurezza in tutto il sistema. Questo vale in particolare per gli aspetti di sicurezza della rete. ICRete, rete geografica del Sistema Informatico Camerale, è gestita da InfoCamere e InfoCamere stessa ha il compito di assicurarne la sicurezza nella sua funzione di Responsabile del trattamento. Per assicurare la sicurezza di una rete è fondamentale controllare gli accessi alla rete stessa. Per questo si danno nel seguito le regole per le connessioni di ICRete. Sono considerate connessioni con l esterno i collegamenti di ICRete con altre reti, in particolare: - interconnessioni tra i servizi informatici e telematici di InfoCamere e quelli di altre aziende, incluso Internet. - accesso remoto da parte di dipendenti di Camere, di InfoCamere o di altre aziende (Clienti, fornitori, consociate, ecc.). 5.1 Caratteristiche di sicurezza dei Gateway E definito Gateway per le interconnessioni esterne l insieme di hardware, software e applicazioni (es. Firewall o Proxy) che permettono l interconnessione o l accesso remoto. I Gateway devono consentire l'accesso alla rete interna solamente agli utenti autorizzati. I Gateway di interconnessione esterna sono o sotto il controllo diretto di InfoCamere o comunque approvati da InfoCamere. 5.2 Isolamento delle reti Le Camere di Commercio garantiscono che, per la parte di rete/lan di loro responsabilità e mediante un opportuna definizione di dominii e/o con l utilizzo di Firewall, viene evitato il rischio che personale non autorizzato acceda alla rete, ai sistemi o ai dati personali. L architettura delle interconnessioni tra la rete interna delle CCIAA e la rete InfoCamere viene concordata con InfoCamere stessa. Nel caso in cui le interconnessioni tra reti siano protette da Firewall installati e gestiti dalle Camere, le politiche di sicurezza di tali Firewall saranno definite per iscritto d'intesa con InfoCamere. 5.3 Controlli e audit Le Camere, le cui reti locali sono interconnesse con altre entità esterne, oltre ad InfoCamere, effettueranno almeno 2 volte l anno dei test di penetrazione per verificare l efficacia delle protezioni di sicurezza. Tali test saranno eseguiti da apposite società specializzate. La scelta di dette società, essendo di per sé un elemento critico, sarà concordata con InfoCamere. L esito dei test e gli eventuali piani di intervento saranno comunicati a InfoCamere. Pagina 11 di 12 Vers ottobre1998

12 InfoCamere potrà effettuare autonomamente e secondo modalità concordate propri test di penetrazione per verificare la impossibilità di accedere alla rete ed ai sistemi InfoCamere se non autorizzati. I test effettuati a partire dall esterno della rete della Camera, cercando di sfruttare eventuali punti di ingresso della Camera stessa, potranno essere condotti senza preavviso con frequenza e durata a discrezione di InfoCamere che informerà la Camera all inizio ed al termine di ogni test. I test effettuati dall interno della rete della Camera saranno eseguiti dopo aver dato un preavviso non inferiore a 10 giorni lavorativi. InfoCamere comunicherà la durata e l area oggetto del test. Nel caso i test mettano in evidenza delle carenze la situazione deve essere corretta nel più breve tempo possibile. InfoCamere effettua con le stesse modalità tali test sui Firewall da lei gestiti. 5.4 Accesso remoto e uso dei modem Le connessioni via modem tra i sistemi e la rete del Sistema Informatico Camerale con reti e sistemi esterni possono rappresentare un serio rischio per il Sistema stesso. Come conseguenza di collegamenti non corretti dal punto di vista della sicurezza, è possibile che si esponga a rischio l intero sistema informativo ed i dati in esso contenuti, ciò può avvenire senza che il dipendente se ne renda conto. Per tale motivo ogni collegamento dall interno verso l esterno e viceversa deve rispettare i criteri di sicurezza qui esposti e quelli che verranno stabiliti dal Titolare e/o Responsabile. Nel caso il collegamento sia di tipo TCP/IP tramite modem, non deve essere permesso il suo uso simultaneamente al collegamento interno. Di norma i modem collegati alle workstation devono restare spenti se non utilizzati. Pagina 12 di 12 Vers ottobre1998