AZIENDA USL 4 PRATO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

Transcript

1 AZIENDA USL 4 PRATO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Anno 2011 V1

2 SOMMARIO INTRODUZIONE ELENCO DEI TRATTAMENTI DI DATI PERSONALI... 3 TABELLA TABELLA DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ TABELLA ANALISI DEI RISCHI (REGOLA 19.3) TABELLA MISURE DI PROTEZIONE IN ESSERE O DA ADOTTARE (REGOLA 19.4) CONTROLLO DEGLI ACCESSI E INTEGRITÀ DEI DATI CONTROLLO ACCESSI STAND-ALONE E AUTENTICAZIONE IN RETE AZIENDALE CONTROLLO DEGLI ACCESSI AI SERVIZI APPLICATIVI IN RETE AZIENDALE MISURE DI PROTEZIONE DA ATTACCHI VIRALI, SPAMMING, TROJAN HORSE MISURE DI PROTEZIONE DA ACCESSI ESTERNI AI DATI ARCHITETTURA RETE TELEMATICA AZIENDA USL 4 DI PRATO TABELLA CRITERI E MODALITÀ DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI (REGOLA 19.5) TABELLA PROTEZIONE DELLE AREE E DEI LOCALI INTERESSATI ALLE MISURE DI SICUREZZA PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI (REGOLA 19.6) TRATTAMENTI AFFIDATI ALL ESTERNO (REGOLA 19.7) TABELLA CIFRATURA DEI DATI O SEPARAZIONE DEI DATI IDENTIFICATIVI (REGOLA 19.8) TABELLA ELENCO DEGLI AMMINISTRATORI DI SISTEMA AMMINISTRATORE DI SISTEMA AMBITI DI OPERATIVITÀ SISTEMISTI PIATTAFORMA UNIX /LINUX/WINDOWS SISTEMISTI AMMINISTRATORI DI RETE SISTEMISTI AMMINISTRATORI DI RDBMS AMMINISTRATORI DI SISTEMA IN CONDIZIONE DI PERSONALE IN PRONTA DISPONIBILITÀ CARATTERISTICHE TECNICHE SISTEMA PER IL MONITORAGGIO DEGLI AMMINISTRATORI DI SISTEMA INTRODUZIONE STRUMENTI UTILIZZATI PER LA REALIZZAZIONE DELLA INFRASTRUTTURA Sistema per la centralizzazione delle tracciature RIFIUTI DI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE (RAEE) MISURE DI SICUREZZA DEI DATI PERSONALI REIMPIEGO E RICICLAGGIO DI APPARECCHIATURE ELETTRONICHE ED INFORMATICHE SMALTIMENTO O DISMISSIONE DI APPARECCHIATURE ELETTRONICHE ED INFORMATICHE ALLEGATO 1. ISTRUZIONI PER IL CAMBIO PASSWORD

3 Introduzione Il presente documento costituisce il Documento Programmatico di Sicurezza (DPS) aziendale ai sen e per gli effetti dell art. 34 del D.L. 196 del 30 giugno 2003 e, in particolare, dell Allegato B relativo al Disciplinare Tecnico in materia di misure minime di curezza. Il DPS dell Azienda USL N 4 di Prato viene elaborato annualmente sulla base dell anali dei rischi che incombono sui dati, della distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al dei dati stes. In questo documento vengono altresì indicate le misure minime di curezza adottate per garantire l integrità e la disponibilità dei dati, nonché della protezione delle aree e dei locali rilevanti ai fini dei trattamenti. L anali dei rischi è effettuata con l obiettivo di individuare le varie castiche ai fini di definire una politica di curezza adeguata ed una programmazione che preveda l'adeguamento nel tempo delle misure di curezza e protezioni da adottare per tutti i trattamenti di dati centi all'interno dell'azienda USL 4 di Prato. Il Documento Programmatico di Sicurezza aziendale viene redatto annualmente aggiornandolo, ai sen della normativa in vigore, ed effettuando una rivalutazione dell'anali dei rischi e delle politiche e misure di curezza adottate e da adottare. Relativamente ai trattamenti con strumenti elettronici è in particolare fatto riferimento al Disciplinare tecnico in materia di misure minime di curezza ai sen degli art. 33 e 36 del D.L. 196/2003 (Allegato B). 1. Elenco dei trattamenti di dati personali L'Azienda USL 4 di Prato, in qualità di titolare del dei dati provvede ad aggiornare periodicamente le nomine dei Responsabili interni del dei dati, i quali, a loro volta, sono tenuti a nominare, con atto scritto, all'interno delle strutture agli stes afferenti, i soggetti autorizzati a compiere le varie operazioni di. In questa sezione sono individuati i trattamenti effettuati dall Azienda USL 4 di Prato, direttamente o attraverso collaborazioni esterne, con l indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. La redazione della lista è il risultato di un cenmento dei trattamenti di dati effettuati partendo dalle banche dati informatizzate presenti presso la usl4 di prato. 3

4 Tabella 1.1 La Tabella 1.1 riporta le informazioni essenziali per ciascun con l indicazione dei seguenti elementi: 1. identificativo del (ID): codice identificativo del univocamente assegnato a livello aziendale; 2. descrizione del : dove è riportata nteticamente l indicazione della finalità perseguita; 3. struttura di riferimento:con indicazione della macro-struttura. 4. natura dei dati trattati: indica se dati senbili (1), dati non senbili (2) oppure giudiziari (3) ; 5. Interessato: Riporta chi è l interessato al dei dati. Id descrizione del Struttura di riferimento natura dei dati interessato 1 hospital - Cartella clinica ambulatoriale ospedaliera Ospedale 1 Popolazione 2 hospital - Cartella clinica ambulatoriale per il territorio Zona Distretto 1 Popolazione 3 4 hospital - Cartella clinica ambulatoriale per la medicina dello sport Dipartimento Prevenzione 1 Popolazione convest - pagamento istituti accreditati e specialisti ambulat. Area Amministrativa 2 convest pas - pagamento ist accred percor asstenziali spec. Area Amministrativa 2 Strutture accreditate e medici specialisti Strutture accreditate 5 trasporti sanitari - pagamento prestazioni per trasporto 6 sanitario Area Amministrativa 1 Associazioni 7 Gestione delibere Area Amministrativa 2 Popolazione Farmacie - Gestione / Pagamento farmacie Zona Distretto - Area Amministrativa 1 Popolazione 8 Servizio - procedura stato 9 giuridico Area Amministrativa 2 Dipendenti USL4 10 Gestione anagrafe canina Dipartimento Prevenzione 2 Popolazione 11 audiologia: Cartella clinica Zona Distretto 1 Popolazione 12 cup Ospedale - Zona Distretto 1 Popolazione 13 registro mortalità Dipartimento Prevenzione 1 Popolazione Area Amministrativa - Ospedale - Zona Distretto - 14 anagrafe Dipartimento Prevenzione 1 Popolazione attprog - pagamento mmg per Area Amministrativa - Zona 15 attività programmate Distretto 1 Medici di famiglia ric - accettazione 16 amministrativa Ospedale 2 Popolazione 17 repotory - doser clinico Ospedale 1 Popolazione 18 mgpn - pagamento medici medicina generale e pls Area Amministrativa 1 Medici di famiglia 4

5 19 DBSIS regionale - anagrafe regionale Area Amministrativa 2 Popolazione PERSWEB - pagamento stipendi medici medicina dei servizi e guardia medica Area Amministrativa 1 Medici convenzionati Gestione Screening Zona Distretto 1 Popolazione 22 Gestione DSM Adulti Zona Distretto - Ospedale 1 Popolazione 22 Gestione DSM Infanzia Zona Distretto 1 Popolazione 23 Italabcs/dnlab, Gestione attività Laboratorio anali Ospedale 2 Popolazione 24 Richeiste/referti web Anatomia Patologica Ospedale - Zona Distretto 1 Popolazione 25 Ormawain - Registro sale operatiorie Ospedale 1 Popolazione 26 Procedura Direzione Sanitaria gestione Infezioni ospedaliere Ospedale 1 Popolazione 28 Referti PDF referti laboratorio Anali Ospedale - Zona Distretto 1 Popolazione 29 Richieste/referti Laboratorio Anali da reparti/interni Ospedale - Zona Distretto 1 Popolazione 30 ADI-Consultori per asstenza domiciliare Zona Distretto 1 Popolazione 31 Med.Legale-ADI-Consultori Zona Distretto 1 Popolazione 32 esipert Pairoll - esipert Time Gestione paghe Area Amministrativa 2 Dipendenti USL4 33 Gestione Penoni Area Amministrativa 2 Dipendenti USL4 34 Pronto Soccorso Ospedale 1 Popolazione 35 Agende di reparto Ospedale 1 Popolazione 36 Diabetologia - Servizio Dietetico Ospedale 1 Popolazione 37 Procedura formazione Staf Direzione 2 Dipendenti USL4 Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - 38 Procedura protocollo e gestione documentale Area Amministrativa - Area Tecnica 2 Popolazione 39 Documentazione ufficio qualità Staf Direzione 2 Popolazione 40 Bilancio e contabilità generale Staf Direzione 1 Popolazione 41 Budget e contabilità direzionale Staf Direzione 1 Popolazione 42 ordini e liquidazioni Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica 1 Popolazione 43 magazzino economale Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica 1 Popolazione 44 magazzino farmaceutico interno Ospedale 1 Popolazione 45 magazzino farmaceutico esterno Ospedale 1 Popolazione 5

6 astenza integrativa e proteca (ex cem) Zona Distretto 2 Popolazione ripartizione oraria controlli di gestione replica anagrafe usl + archivio Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica 2 Dipendenti USL4 ricettari Ospedale 1 Popolazione HOSPITALITY - gestione posti Ospedale - Zona Distretto 1 Popolazione letto ricoverati. Ospedale ed ospis SANGRE - inserimento richieste nel gestionale del laboratorio (italab). c/o tutti i punti prelievo e ritiro materiale SINFO - inserimento prestazioni ambulatoriali eseguite. c/o tutto ospedale e territorio Ospedale - Zona Distretto 1 Popolazione Ospedale - Zona Distretto 1 Popolazione GEPAS - inserimento Ospedale - Zona Distretto 1 Popolazione prestazioni di riabilitazione eseguite. c/o riabilitazione ospedale e 52 Giovannini 53 winsap anatomia patologica Ospedale 1 Popolazione 54 gestione flus regione toscana Staf Direzione 1 Popolazione 55 archivio cartelle cliniche Area Amministrativa 1 Popolazione 56 drg - Gestione dati e calcolo drg Ospedale 1 Popolazione gestione DEU Popolazione Ris Pacs Gestopme omfpr,atozzata referti radiologici, immagini radiologiche e richieste da reparto Ospedale 1 Ospedale 1 Popolazione Gestione servizio tosco Popolazione 59 dipendente Ospedale 1 Gestione dipartimento Popolazione 60 Prevenzione Dipartimento Prevenzione 1 61 Gestione Medicina legale Dipartimento Prevenzione 1 Popolazione 6

7 Tabella 1.2 La seconda tabella di questa sezione, denominata Tabella 1.2, riporta le ulteriori informazioni descrittive degli strumenti informatici utilizzati laddove il avviene con strumenti elettronici. Il gnificato delle informazioni contenute in questa tabella è il seguente: 1. ID: codice identificativo del univocamente assegnato a livello aziendale; 2. Nome Server: indica il server dove riede la banca dati 3. banca dati: indica il tipo di data base o l archivio informatico in cui sono contenuti i dati 4. luogo di custodia: indica il luogo in cui riedono ficamente i dati, ovvero dove trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di curezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile; 5. tipologia di dispotivi di accesso: rappresenta la descrizione ntetica degli strumenti utilizzati dagli incaricati per effettuare il : personal computer, terminale non intelligente, palmare, telefonino, ecc. 6. tipologia di interconnesone: rappresenta la descrizione e qualitativa della rete che collega i dispotivi d accesso ai dati utilizzati dagli incaricati: LAN (rete locale), WAN (rete geografica), INTRANET (rete telematica aziendale, RTRT (Rete Telematica Regione Toscana), INTERNET. ID nome server Banca Dati 1 hposp informix 2 hposp informix 3 hposp informix 4 hposp informix 5 hposp informix 6 hposp informix 7 hposp informix 8 hposp informix luogo custodia tipo disp accesso titpo connesone 7

8 9 hposp informix 10 hposp informix 11 hposp informix 12 Usl4000 informix 13 Usl4000 informix 14 usl4000 informix 15 usl4000 informix 16 usl4000 informix 17 usl4000 informix 18 hpns5 informix 19 dbs informix 20 dbs informix 21 screening sqlserver 22 screening sqlserver 23 noema oracle 24 winsapweb oracle 25 opera oracle 26 dirsanmercurio oracle 27 Noema Oracle 28 dnreferti altro 29 dnweb oracle 30 prevenzione oracle 31 prevenzione oracle 32 ibmpaghe oracle 33 bdccao altro 34 prontosoccorso oracle 35 agende informix 8

9 36 meteda mysql 37 formazione mysql 38 protonico mysql 39 squa sqlserver 40 uslas DB2 41 uslas DB2 42 uslas DB2 43 uslas DB2 44 uslas DB2 45 uslas DB2 46 uslas DB2 47 WEBCDC altro 48 rio sqlserver 49 cip sqlserver 50 cip sqlserver 51 cip sqlserver 52 cip sqlserver 53 cip oracle 54 nal-asl usl4000 informix 56 screening altro server in Service 57 beta 80 oracle server in Service Ati ris pacs (emmens - 58 telecom ecc) altro lotus 59 Sertsrv domino 60 Montano1 oracle 61 Medicina legale oracle come previsto tab 5.2 PC rete regionale come previsto tab 5.2 PC rete regionale come previsto tab 5.3 PC intranet come previsto tab 5.4 PC intranet come previsto tab 5.5 PC intranet come previsto tab 5.6 PC intranet come previsto tab 5.7 PC intranet come previsto tab 5.8 PC intranet come previsto tab 5.9 PC intranet come previsto tab 5.10 PC intranet come previsto tab 5.11 PC intranet come previsto tab 5.12 PC intranet come previsto tab 5.13 PC intranet 9

10 2. Distribuzione dei compiti e delle responsabilità In questa sezione vengono descritti nteticamente l organizzazione della struttura di riferimento, nonché i compiti e le relative responsabilità, in relazione a ciascun effettuato. Tabella 2 La Tabella 2 illustrata di seguito contiene le seguenti informazioni esenziali: ID: Identificativo del ; Macro Struttura di riferimento: riporta le indicazioni delle strutture già menzionate nella precedente sezione; Trattamento: indica i trattamenti di competenza di ciascuna struttura; Compiti e responsabilità della struttura: indica i trattamenti di competenza di ciascuna struttura; id Macro struttura di riferimento 1 Ospedale 2 Zona Distretto 3 Dipartimento Prevenzione 4 Area Amministrativa 5 Area Amministrativa 6 Area Amministrativa Trattamento hospital - Cartella clinica ambulatoriale ospedaliera hospital - Cartella clinica ambulatoriale per il territorio hospital - Cartella clinica ambulatoriale per la medicina dello sport convest - pagamento istituti accreditati e specialisti ambulat. convest pas - pagamento ist accred percor asstenziali spec. trasporti sanitari - pagamento prestazioni per trasporto sanitario 7 Area Amministrativa Gestione delibere Descrizioni compiti e responsabilità 10

11 8 Zona Distretto - Area Amministrativa Farmacie - Gestione / Pagamento farmacie 9 Area Amministrativa Servizio - procedura stato giuridico 10 Dipartimento Prevenzione Gestione anagrafe canina 11 Zona Distretto audiologia: Cartella clinica 12 Ospedale - Zona Distretto cup 13 Dipartimento Prevenzione registro mortalità Area Amministrativa - Ospedale - Zona Distretto - Dipartimento Prevenzione Area Amministrativa - Zona Distretto anagrafe attprog - pagamento mmg per attività programmate 16 Ospedale ric - accettazione amministrativa 17 Ospedale repotory - doser clinico 18 Area Amministrativa mgpn - pagamento medici medicina generale e pls 19 Area Amministrativa DBSIS regionale - anagrafe regionale 11

12 20 Area Amministrativa 21 Zona Distretto Gestione Screening PERSWEB - pagamento stipendi medici medicina dei servizi e guardia medica 22 Zona Distretto Gestione DSM Infanzia 23 Ospedale 24 Ospedale - Zona Distretto Italabcs/dnlab, Gestione attività Laboratorio anali Richeiste/referti web Anatomia Patologica 25 Ospedale Ormawain - Registro sale operatiorie 26 Ospedale Procedura Direzione Sanitaria gestione Infezioni ospedaliere 28 Ospedale - Zona Distretto Referti PDF referti laboratorio Anali 29 Ospedale - Zona Distretto 30 Zona Distretto Richieste/referti Laboratorio Anali da reparti/interni ADI-Consultori per asstenza domiciliare 31 Zona Distretto Med.Legale-ADI-Consultori 32 Area Amministrativa esipert Pairoll - esipert Time Gestione paghe 12

13 33 Area Amministrativa Gestione Penoni 34 Ospedale Pronto Soccorso 35 Ospedale Agende di reparto 36 Ospedale Diabetologia - Servizio Dietetico 37 Staf Direzione Procedura formazione 38 Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica Procedura protocollo e gestione documentale 39 Staf Direzione Documentazione ufficio qualità 40 Staf Direzione Bilancio e contabilità generale 41 Staf Direzione Budget e contabilità direzionale Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica ordini e liquidazioni magazzino economale 44 Ospedale magazzino farmaceutico interno Gestione, ins., consultazione, modifica dei dati, sulla base delle indicazioni del responsabile del 13

14 45 Ospedale magazzino farmaceutico esterno 46 Zona Distretto 47 Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica astenza integrativa e proteca (ex cem) ripartizione oraria controlli di gestione 48 Ospedale replica anagrafe usl + archivio ricettari 49 Ospedale - Zona Distretto 50 Ospedale - Zona Distretto 51 Ospedale - Zona Distretto 52 Ospedale - Zona Distretto HOSPITALITY - gestione posti letto ricoverati. Ospedale ed ospis SANGRE - inserimento richieste nel gestionale del laboratorio (italab). c/o tutti i punti prelievo e ritiro materiale SINFO - inserimento prestazioni ambulatoriali eseguite. c/o tutto ospedale e territorio GEPAS - inserimento prestazioni di riabilitazione eseguite. c/o riabilitazione ospedale e Giovannini 53 Ospedale winsap anatomia patologica 54 Staf Direzione gestione flus regione toscana 55 Area Amministrativa archivio cartelle cliniche 14

15 56 Ospedale drg - Gestione dati e calcolo drg 57 Ospedale gestione DEU 58 Ospedale Ris Pacs Gestopme omfpr,atozzata referti radiologici, immagini radiologiche e richieste da reparto 59 Ospedale Gestione servizio tosco dipendente 60 Dipartimento Prevenzione Gestione dipartimento Prevenzione 61 Dipartimento Prevenzione Gestione Medicina legale 3. Anali dei Rischi (regola 19.3) L'anali dei rischi rende necessaria per acquire consapevolezza e vibilità sul livello di espozione al rischio del patrimonio informativo aziendale ed avere una mappa preliminare dell'ineme delle posbili contromisure di curezza da implementare. L'anali dei rischi è stata effettuata seguendo il seguente schema logico: 1. identificazione di tutte le risorse o i beni (asset) del patrimonio informativo 2. identificazione delle minacce o rischi a cui tali risorse sono sottoposte; 3. identificazione delle vulnerabilità; 4. definizione delle relative misure di protezione da adottare. La politica di curezza aziendale dovrà essere tale da ascurare la disponibilità, riservatezza ed integrità per ciascun asset individuato. In questa sezione sono riportate, in forma ntetica, le misure in essere e da adottare per contrastare i rischi individuati. 15

16 Per misura intende dunque lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per ascurarne l efficacia. Sulla base degli assett aziendali identificati sono stati conderati i seguenti eventi legati alle posbili minacce cui sono sottoposte le risorse informative aziendali: 1. comportamenti degli operatori: sottrazione di credenziali di autenticazione carenza di consapevolezza, disattenzione o incuria comportamenti sleali o fraudolenti errore materiale 2. eventi relativi agli strumenti: azione di virus informatici o di programmi suscettibili di recare danno spamming o tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti acces esterni non autorizzati intercettazione di informazioni in rete 3. eventi relativi al contesto fico-ambientale: ingres non autorizzati a locali/aree ad accesso ristretto sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali,...), nonché dolo, accidentali o dovuti ad incuria guasto a stemi complementari (impianto elettrico, climatizzazione, ecc.) errori umani nella gestione della curezza fica Tabella 3 La Tabella 3 ntetizza, sulla base degli eventi sopra elencati, l anali dei rischi che incombono sui dati sottoposti a, riportando le seguenti informazioni: elenco degli eventi: sono indicati gli eventi, definiti nei punti precedenti, che possono generare danni e che comportano, quindi, rischi per la 16

17 curezza dei dati personali; impatto sulla curezza: descrive le principali conseguenze individuate per la curezza dei dati, in relazione a ciascun evento, in modo da fornire una misura della loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell evento: alta/media/bassa. Tale informazione rappresenta un primo indicatore omogeneo per i diver rischi da contrastare. Rischi SI/NO Gravità (alta/media/b assa) Acces interni non autorizzati sottrazione di credenziali di autenticazione carenza di consapevolezza disattenzione o incuria comportamenti sleali o fraudolenti Descrizione dell impatto sulla curezza SI bassa Opzionalmente tutti gli utenti di pdl basate su pc utilizzano la password di bios. L accesso alla rete aziendale avviene tramite autenticazione di dominio Windows con (utente, password), L accesso a tutti gli applicativi gestionali avviene mediante autenticazione clasca (utente, password). Le credenziali di autenticazione sono quindi costituite sempre da coppie di informazioni costituite da user name e password crittografata redenti su server di elaborazione prediati e gestiti escluvamente dagli Amministratori di Sistema del servizio informatico (Te - estav) appotamente assegnati. SI bassa Tutte le password gestite dai stemi di protezione sono crittografate e memorizzate nelle ba date degli applicativi accesbili solo dal personale autorizzato per l amministrazione del stema. SI media In azienda este un sufficiente livello di formazione sulle problematiche privacy e curezza, dunque il personale dipendente è sufficientemente informato. Il livello di consapevolezza alle problematiche potrebbe essere migliorato aumentando le ore di formazione specifica. bassa Ridotte probabilità su circa 2300 dipendenti. Sono state attivate azioni di logging delle attività sui server. L attivazione di un proxy server dedicato agli acces ad internet consente la gestione di liste di accesso e restrizione dei ti vistitati. È stato redatto dall azienda 17

18 azione di virus informatici, worm, cavalli di troia o altri programmi mili spamming o tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti acces esterni non autorizzati sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (terremoti, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolo, accidentali o dovuti ad incuria guasto a stemi infrastrutturali: impianti elettrici, climatizzazione, etc media media bassa bassa bassa bassa bassa un disciplinare per il corretto utilizzo di posta elettronica ed internet Le misure di protezione sono di buon livello: Antivirus su ciascuna delle ngole p.d.l. basate su pc, gateway antivirus di posta elettronica centralizzato, antivirus per spam ed accesso ad ianternet su firewall perimetrale (Fortigate). Tuttavia il rischio è ritenuto di media entità visto la rapida evoluzione e diffuone di attacchi della tipologia di attacchi in questione. Le misure di protezione sono di buon livello: gateway antispam di posta elettronica centralizzato. Firewall perimetrale con tecnologia antispam, ips ed antivirus. Tuttavia il rischio è ritenuto di media entità visto la rapida evoluzione della tipologia di attacchi in questione. Tutte le apparecchiature hardware e di rete e tutti i software di stema e applicativi di rilievo sono soggetti/e a contratti di manutenzione e asstenza stemistica. Il livello di protezione perimetrale della rete aziendale è ritenuto molto buono tramite l adozione di firewall e Proxy server dedicati. Tutti i server ed i supporti magnetici contenenti dati senbili o comunque rilevanti ai fini della privacy sono custoditi in sale macchine chiuse e sorvegliate. Le sale macchine sono allocate presso il predio ospedaliero dove per eventi di questa tipologia este una bassa probabilità di accadimento. Gli impianti di questa tipologia sono mantenuti e gestiti ad opera di una struttura aziendale appotamente preposta a ciò, che manutiene impianti di climatizzazione, allarme temperatura ec.. 18

19 errori umani nella gestione della curezza fica Sottrazione di dati attraverso azioni di ackeraggio media La consapevolezza dei dipendenti a eventi di questo tipo andrebbe migliorata mediante ulteriori percor informativi e formativi. bassa Cifratura delle connesoni che attraversano infrastrutture non di proprietà Usl, negli strumenti di difesa perimetrale è stata implementata oltre alle clasche tecnologie di firewalling, anche quelle di IPS (Intruon prevention) 19

20 4. Misure di protezione in essere o da adottare (regola 19.4) In questa sezione verranno riportate, in forma ntetica, le misure di protezione in essere e da adottare per contrastare i rischi individuati nel precedente paragrafo. Le principali misure di protezione informatica adottate dall Azienda USL 4 di Prato vengono discusse nei seguenti sottoparagrafi ed alla fine vengono riassunti nella Tabella 4.1. riportata alla fine della sezione. 4.1 Controllo degli acces e Integrità dei dati Il presente paragrafo illustra i criteri e le procedure adottate presso l Azienda USL 4 di Prato per ascurare l'integrità dei dati trattati nel caso di elaboratori a stand alone che connes in rete tramite le tecniche di controllo degli acces basate sull autenticazione tramite username e password. Per quanto riguarda l utilizzo della password, è effettuata un attività di senbilizzazione degli utenti, mediante l'emanazione di circolari aziendali a mezzo posta interna, e pubblicazione sul to WEB Intranet aziendale. Il stema di autenticazione al dominio aziendale è attivo per tutti gli utenti dell Azienda Usl4 di Prato con utilizzo di credenziali individuali ed il rispetto delle misure minime di curezza ai sen dell Allegato B del codice privacy. Le credenziali di autenticazione sono assegnate univocamente all incaricato del. Si è pensato di inserire nel documento programmatico le misure minime di curezza anche per i computer stand-alone, estendendo l'art. 6 del DPR 318/99, poiché é ormai divenuta pratica corrente la connesone di personal computer alla rete telematica aziendale. Fanno eccezione, per ragioni tecniche ed organizzative, un limitato numero di postazioni di lavoro dei Sistema Informativi del Laboratorio di Anali (LIS) e del Centro Trasfuonale, dislocate presso i locali della U.O. Laboratorio di Anali e della U.O. Immunoematologia, dove sono installati dei software per la connesone ad apparecchiature elettromedicali per i quali è necessario tenere attive delle sesoni Wndows senza posbilità di disconnesone da parte di utenti diver pena l interruzione del servizio nell erogazione di prestazioni sanitarie. 20

21 Nella tabella seguente sono elencate dettagliatamente tali postazioni di lavoro. POSIZIONE PC DLABAN NR. INDIRIZZO IP MICROBIOLOGIA DLABAN MICROBIOLOGIA DLABAN MICROBIOLOGIA DLABAN MICROBIOLOGIA DLABAN MICROBIOLOGIA DLABAN MICROBIOLOGIA DLABAN MICROBIOLOGIA DLABAN MICROBIOLOGIA DLABAN MICROBIOLOGIA LABAN MICROBIOLOGIA DLABAN SIEROLOGIA DLABAN SIEROLOGIA DLABAN SIEROLOGIA DLABAN SIEROLOGIA DLABAN SIEROLOGIA DLABAN SIEROLOGIA LABAN SIEROLOGIA LABAN SIEROLOGIA LABAN SIEROLOGIA LABAN SIEROLOGIA DLABAN SIEROLOGIA LABAN SIEROLOGIA LABAN SIEROLOGIA DLABAN ALFREDO DLABAN ALFREDO 1 DLABAN PORTATILE LAB DLABAN LGUIDI DLABAN MOBILLAB(portatile) DLABAN WEB-LAB LABAN LAB-WEB-STORICO LAB-WEB STORICO DNSEV LABAN SEGRETERIA1 DLABAN SEGRETERIA2 DLABAN SEGRETERIA3 DLABAN SEGRETERIA4 DLABAN RISPOLI DLABAN D.SSA CASPRINI DLABAN ENDOCRINOLOGIA DLABAN ENDOCRINOLOGIA DLABAN ENDOCRINOLOGIA DLABAN ENDOCRINOLOGIA VISTA ENDOCRINOLOGIA LABAN ENDOCRINOLOGIA LABAN ENDOCRINOLOGIA DLABAN ENDOCRINOLOGIA LABAN ENDOCRINOLOGIA DLABAN ELETTROFORESI DLABAN ELETTROFORESI LABAN

22 ELETTROFORESI PHORESIS ELETTROFORESI CAPILLARYS ELETTROFORESI CAPILLARYS ELETTROFORESI LABAN ELETTROFORESI LABAN GENETICA DLABAN GENETICA DLABAN GENETICA(tiberio) DLABAN EMATOLOGIA LABAN EMATOLOGIA LABAN EMATOLOGIA DLABAN EMATOLOGIA DLABAN EMATOLOGIA DLABAN EMATOLOGIA DLABAN EMATOLOGIA LABAN EMATOLOGIA DLABAN CENTROPRELIEVI LABAN CENTROPRELIEVI LABAN CENTROPRELIEVI DLABAN CENTROPRELIEVI DLABAN CENTROPRELIEVI DLABAN URGENZE LABAN URGENZE LABAN URGENZE LAVAN URGENZE LABAN URGENZE DLABAN URGENZE DLABAN URGENZE LABAN URGENZE DLABAN_UURRG PASCOLINI CARLA DLABAN ASPITE DLABAN IVALDA DLABAN TRASFUSIONALE TRASF