Linee Guida per la gestione e la conservazione dei log

Transcript

1 Pag. 1/24 Linee Guida per la gestine e la cnservazine dei lg Autre/i: Annalisa Ccc Cybermind S.r.l. Rivist Da Alessandra Vitaglizzi Cybermind S.r.l. Apprvat Da: Carmine Marai, Helga Fine Sistemi Infrmativi S.p.A., IBM S.p.A. Accettat Da: Albert Genvese S.Re.Sa. S.p.A. Stria del dcument Data Versine Descrizine mdifiche Autre Smmari

2 Pag. 2/24 1 Generalità Finalità del dcument Ambit di applicazine Dcumenti di riferiment Acrnimi e definizini Ruli e respnsabilità Principi generali Finalità della racclta e cnservazine dei lg Infrmazini al persnale Macr-classificazine dei file di lg Lg di access Lg di eventi di sistema Lg di utilizz Il prcess di gestine dei lg Identificazine Classificazine Generazine Archiviazine e access Cnservazine e cancellazine Change management Cntestualizzazine della linea guida per ambiti specifici Gestine lg Amministratri di Sistema Archiviazine e tempi di cnservazine Tracciament delle perazini di access ai lg archiviati...21

3 Pag. 3/ Gestine lg Psta Elettrnica e Access Internet Archiviazine e tempi di cnservazine Tracciament delle perazini di access ai lg archiviati Gestine lg Dssier sanitari elettrnic Archiviazine e tempi di cnservazine Tracciament delle perazini di access ai lg archiviati Allegat 1 Categria/tiplgia di lg e frequenza di racclta...24

4 Pag. 4/24 1 Generalità La gestine e la cnservazine dei lg sn attività fndamentali per il crrett svlgiment delle attività di gestine dei sistemi e per la cntinuità perativa dei servizi ergati nell ambit della Struttura Sanitaria, ma anche per le attività di prevenzine, cntrast e recuper, a frnte di incidenti relativi alla sicurezza ICT di vilazini dei dati persnali (data breach). A tali cnsiderazini devn essere inltre aggiunti gli bblighi di adempiment alle nrmative di legge ed alle linee di indirizz emanate dalla Struttura Sanitaria. Quest ultima, nella persna del Titlare del trattament dei dati persnali, recepisce ed include la presente linea guida nell insieme delle misure di carattere rganizzativ e prcedurale che cncrrn alla tutela dei diritti dell interessat ed alla sicurezza dei dati persnali, in ttemperanza al principi di respnsabilizzazine, frmulat nel Reglament (UE) 2016/ Finalità del dcument La presente linea guida indirizza l insieme dei requisiti vlti a reglamentare il prcess di gestine e cnservazine dei lg dei sistemi ICT della Struttura Sanitaria, cn particlare riguard a quelli prepsti al trattament di dati persnali. 1.2 Ambit di applicazine Gli indirizzamenti definiti nel presente dcument si applican a tutti i sistemi infrmatici della Struttura Sanitaria, le cui funzinalità permettn di generare infrmazini relative ad eventi avvenuti sull infrastruttura ICT. 1.3 Dcumenti di riferiment [1] Reglament (UE) 2016 del Parlament Eurpe e del Cnsigli, del 27 Aprile 2016, relativ alla prtezine delle persne cn riguard al trattament dei dati persnali Reglament Generale sulla Prtezine dei Dati (GDPR) e s.m.i. [2] D.lgs 10 agst 2018, n Dispsizini per l adeguament della nrmativa nazinale alle dispsizini del reglament (UE) 2016/679 del Parlament eurpe e del Cnsigli, del 27 aprile 2016, relativ alla prtezine delle persne fisiche cn riguard al trattament dei dati persnali, nnché alla libera circlazine di tali dati e che abrga la direttiva 95/46/CE (reglament generale sulla prtezine dei dati) [3] D.Lgs. 30 Giugn 2003, n. 196 Cdice in materia di prtezine dei dati persnali e s.m.i.

5 Pag. 5/24 [4] Legge 20 maggi 1970, n.300 (Nrme sulla tutela della libertà e dignità dei lavratri, della libertà sindacale e dell'attività sindacale nei lughi di lavr e nrme sul cllcament) e s.m.i. [5] Prvvediment del Garante per la prtezine dei dati persnali n. 13 del 1 marz 2007 (G.U. n. 58 del 10 marz 2007) Linee guida del Garante per psta elettrnica e internet e s.m.i. [6] Prvvediment del Garante per la prtezine dei dati persnali del 27/11/2008 Misure e accrgimenti prescritti ai titlari dei trattamenti effettuati cn strumenti elettrnici relativamente alle attribuzini delle funzini di amministratre di sistema e s.m.i. [7] Legge 18 marz 2008, n. 48 Ratifica ed esecuzine della Cnvenzine del Cnsigli d Eurpa sulla criminalità infrmatica, fatta a Budapest il 23 nvembre 2001, e nrme di adeguament dell rdinament intern [8] Prvvediment del Garante per la prtezine dei dati persnali del 13 ttbre 2008 Smaltiment e cancellazine sicura dei dati e s.m.i. [9] Linee guida in materia di Dssier sanitari del Garante per la prtezine dei dati persnali del 4 giugn 2015 (G.U. n. 164 del 17 lugli 2015) [10] ISO/IEC 27001:2013 Infrmatin Security Management Systems, 01/10/2013 [11] ISO/IEC 27002:2013 Cde f practice fr infrmatin security cntrls", 01/10/2013 [12] ISO/IEC 29151:2017 Infrmatin technlgy - Security techniques Cde f practice fr persnally identifiable infrmatin prtectin, First editin [13] ISO 8601:2004 Data elements and interchange frmats - Infrmatin interchange - Representatin f dates and times [14] Guide t Cmputer Security Lg Management NIST SP /2006 [15] Linee Guida per la gestine delle vilazini della sicurezza dei dati persnali (data breach) [16] Plitica per gli Amministratri di Sistema [17] Plitica per la Cancellazine Sicura e l Smaltiment dei Supprti Elettrnici [18] Linea Guida per la Classificazine delle Infrmazini e dei Trattamenti

6 Pag. 6/ Acrnimi e definizini

7 Amministratre di Figura prfessinale finalizzata alla gestine e alla manutenzine di un impiant Sistema di elabrazine di sue cmpnenti. Pag. 7/24 Dati persnali che rivelan l'rigine razziale etnica, le pinini plitiche, le Categrie cnvinzini religise filsfiche, Nme file:linee Guida l'appartenenza gestine e cnservazine sindacale, lg.dcx nnché dati particlari di dati genetici, dati bimetrici intesi Dc. a Attachment identificare N.: 0 in md univc una persna fisica, persnali dati relativi alla salute alla vita sessuale all'rientament sessuale della persna. Qualsiasi infrmazine riguardante una persna fisica identificata identificabile («interessat»); si cnsidera identificabile la persna fisica che può essere identificata, direttamente indirettamente, cn particlare riferiment a Dat persnale un identificativ cme il nme, un numer di identificazine, dati relativi all'ubicazine, un identificativ nline a un più elementi caratteristici della sua identità fisica, fisilgica, genetica, psichica, ecnmica, culturale sciale. DBMS Database Management System. Il dssier sanitari è l strument cstituit press un rganism sanitari in qualità di unic titlare del trattament (es. spedale, azienda sanitaria, casa di cura) al cui intern perin più prfessinisti, attravers il quale sn rese Dssier sanitari accessibili infrmazini, inerenti all stat di salute di un individu, relative ad eventi clinici presenti e trascrsi (es., referti di labratri, dcumentazine relativa a ricveri, accessi al prnt sccrs), vlte a dcumentarne la stria clinica. DPO Data Prtectin Officer. Racclta di infrmazini rappresentanti eventi avvenuti nell ambit delle attività File di lg dell infrastruttura IT, all scp di effettuare attività di diagnstica. Tali infrmazini pssn essere registrate stt frma di file testuali binari. GDPR Reglament Generale per la Prtezine dei Dati. IAM Identity and Access Management. IDS Intrusin Detectin System IPS Intrusin Preventin System Tip di dat strutturat relativ ad un event generat da un sistema di Lg di access autenticazine al mment di effettuare ( tentare) l access, inclusa la sua discnnessine, vers un sistema infrmatic. NAC Netwrk Access Cntrl. NTP Netwtk Time Prtcl. SIEM Security Infrmatin and Event Management La persna fisica giuridica, l'autrità pubblica, il servizi altr rganism che, singlarmente insieme ad altri, determina le finalità e i mezzi del trattament Titlare del di dati persnali; quand le finalità e i mezzi di tale trattament sn trattament determinati dal diritt dell'unine degli Stati membri, il titlare del trattament i criteri specifici applicabili alla sua designazine pssn essere stabiliti dal diritt dell'unine degli Stati membri. Qualsiasi perazine insieme di perazini, cmpiute cn senza l'ausili di prcessi autmatizzati e applicate a dati persnali insiemi di dati persnali, cme la racclta, la registrazine, l'rganizzazine, la strutturazine, la Trattament cnservazine, l'adattament la mdifica, l'estrazine, la cnsultazine, l'us,

8 Pag. 8/ Ruli e respnsabilità Si riprtan di seguit le funzini di riferiment e relative respnsabilità in merit all adzine della presente linea guida per la cnservazine e gestine dei lg: DPO, di cncert cn il Titlare: funzine respnsabile dell svilupp, diffusine, mdifica ed elabrazine dei criteri e del prcess per la cnservazine e gestine dei lg; Funzine ICT: funzine respnsabile del recepiment e crretta applicazine delle plitiche adttate in merit alla cnservazine e gestine dei lg, in quant Gestre dei sistemi ICT. Ciascun respnsabile cinvlt nell applicazine della presente linea guida, ha inltre l bblig di segnalare al Titlare qualsiasi cas nn espressamente reglamentat dalle plitiche di seguit definite, che si presti a dubbi mal interpretazini.

9 Pag. 9/24 2 Principi generali Le mdalità di gestine e cnservazine dei lg sn disciplinate nn sl dai principi che il Titlare della Struttura Sanitaria ha identificat cme necessari per garantire la tutela dei diritti dell interessat e la sicurezza dei dati persnali, ma anche da vincli nrmativi, relativi per esempi al lr trattament [6] e a divieti di cntrll delle attività dei lavratri [4]. Per quant cncerne gli aspetti di cnservazine dei lg, è imprtante sservare che i tempi di cnservazine devn essere adeguati (pertinenti e nn eccedenti) alla finalità della racclta. Devn inltre essere attuate, per tutt il perid di cnservazine, delle misure tecniche e rganizzative per garantire un adeguata prtezine delle infrmazini in essi cntenute. Da un punt di vista giuridic i lg pssn essere cnsiderati al pari di una riprduzine meccanica (articl 2712 del Cdice Civile) e pertant cstituiscn piena prva dei fatti e delle cse rappresentate, se clui cntr il quale sn prdtte nn ne discnsce la cnfrmità ai fatti alle cse medesime. L access ai file di lg deve essere limitat, ltre che ai sli sggetti autrizzati al trattament dei dati in essi cntenuti, alla sla parte di dati ritenuta essenziale ai fini dell attività svlta, in ttemperanza al principi del need t knw. 2.1 Finalità della racclta e cnservazine dei lg I lg devn essere racclti e cnservati da parte della Struttura Sanitaria, esclusivamente per il perseguiment delle seguenti finalità: Cnfrmità alle nrmative vigenti e applicabili; Mnitraggi dei sistemi infrmatici della Struttura Sanitaria al fine di rilevare eventuali vilazini nel lr utilizz e permettere quindi la pssibilità di svlgere analisi pst-incidente; Mnitraggi dei sistemi infrmatici della Struttura Sanitaria (trubleshting), al fine di garantire la cntinuità dei servizi ergati mediante la rilevazine di anmalie di funzinament e la lr risluzine; Adempimenti cntrattuali, laddve applicabile. 2.2 Infrmazini al persnale Il persnale intern della Struttura Sanitaria che accede ai sistemi infrmatici, deve essere infrmat dell esistenza e delle mdalità di tracciament dell utilizz dei sistemi infrmatici della Struttura Sanitaria, nnché delle attività di cnservazine delle infrmazini relative al

10 Pag. 10/24 tracciament. Le mdalità di cmunicazine pssn prevedere un att frmale da far firmare ai dipendenti, un messaggi da visualizzare durante la prcedura di autenticazine al sistema infrmatic. Per il persnale estern tale indicazine deve essere riprtata nel cntratt di cllabrazine nei capitlati di riferiment. 2.3 Macr-classificazine dei file di lg A secnda della natura del sistema infrmatic srgente, è pssibile raggruppare i file di lg nelle seguenti macr-categrie: Lg di sistema perativ: infrmazini generate da sistema perativ; Lg di servizi di rete: infrmazini generati da ruter, switch, prxy, servizi di psta, ecc.; Lg di sicurezza: infrmazini generate da apparati di sicurezza quali IDS, IPS, Firewall. Antivirus, SIEM, IAM, NAC, ecc.; Lg applicativi: infrmazini generate da applicazini cmmerciali sviluppate ad hc; Lg middleware: infrmazini generate da DBMS, Web server, Applicatin server, sistemi di gestine dei cntenuti, ecc.; Lg dei sistemi dedicati alla rilevazine e cntrll degli accessi fisici. Ognuna delle suddette macr-categrie, può essere assciata ad una più delle seguenti macrclassi di lg che pssn essere racclti e cnservati: Lg di access; Lg degli eventi di sistema; Lg di utilizz. Nei paragrafi seguenti viene frnita una descrizine di gni macr-categria Lg di access Rientran in questa macr-classe tutte le tiplgie di lg cntenenti le seguenti infrmazini: User ID: identificativ dell utenza che sta effettuand l access (es. utente, servizi, prcess); Descrizine event di autenticazine: sn da tracciare le azini di lg-in e lg-ut ivi cmpresi i tentativi di access; Sistema accedut: descrizine/identificazine del target su cui è stat effettuat il lg-in il lg-ut; Sistema srgente: i dati identificativi della linea di cmunicazine e del terminale utilizzat; Timestamp: Data e ra dell perazine, preferibilmente in frmat ISO 8601 (es. YYYY-MM- DD hh:mm:ss) indicante l istante nel quale il server ha riscntrat l event tracciat;

11 Pag. 11/24 TimeZne: Il Timezne del server che ha generat il lg in frmat ISO 8601 (es. +hh:mm ppure hh:mm). Il timezne è pzinale se il sistema è cnfigurat cn UTC +01:00, altrimenti deve essere espressamente indicat Lg di eventi di sistema Rientran in questa macr-classe tutte le tiplgie di lg cntenenti le seguenti infrmazini: Mdifiche alla cnfigurazine di sistema; Operazini di restart, shutdwn e relative sequenze; Errri di varia natura e genere; Avvi e chiusura di servizi, demni ed altri prcessi di sistema; Access/mdifica/cancellazine dei file di lg; Timestamp: Data e ra dell perazine, preferibilmente in frmat ISO 8601 (es. YYYY-MM- DD hh:mm:ss) indicante l istante nel quale il server ha riscntrat l event tracciat; TimeZne: Il Timezne del server che ha generat il lg in frmat ISO 8601 (es. +hh:mm ppure hh:mm). Il timezne è pzinale se il sistema è cnfigurat cn UTC +01:00, altrimenti deve essere espressamente indicat Lg di utilizz Rientran in questa macr-classe tutte le tiplgie di lg cntenenti le seguenti infrmazini: Cmandi amministrativi in genere; Cmandi eseguiti, cmprensivi sia di quelli andati a bun fine che falliti; Gli eventuali dati cinvlti nei trattamenti nelle transazini effettuate; Il numer delle transazini effettuate in un determinat perid e la dimensine delle transazini; La natura e il dettagli delle perazini effettuate sulle applicazini e sulle basi dati, anche se in sla cnsultazine; Timestamp: Data e ra dell perazine, preferibilmente in frmat ISO 8601 (es. YYYY-MM- DD hh:mm:ss) indicante l istante nel quale il server ha riscntrat l event tracciat; TimeZne: Il Timezne del server che ha generat il lg in frmat ISO 8601 (es. +hh:mm ppure hh:mm). Il timezne è pzinale se il sistema è cnfigurat cn UTC +01:00, altrimenti deve essere espressamente indicat.

12 Pag. 12/24 3 Il prcess di gestine dei lg Il prcess di gestine dei lg ha cme biettiv quell di identificare, nell ambit dei sistemi e servizi della Struttura Sanitaria, l pprtun livell di tracciament dei lg e definire le misure di sicurezza da attuare in funzine del tip di trattament effettuat e della classificazine delle infrmazini in essi cntenute. L attività deve essere svlta in linea cn i requisiti definiti nei dcumenti Linee Guida per la gestine delle vilazini della sicurezza dei dati persnali (data breach) [15] e Plitica per gli Amministratri di Sistema [16] e cn le mdalità perative dettagliate nelle relative prcedure perative emesse dalla Struttura Sanitaria. Il prcess di gestine dei lg adttat deve includere le seguenti fasi principali: 1. Identificazine: identificazine dei lg e del lr livell di dettagli da abilitare sui sistemi di interesse; 2. Classificazine: sulla base di quant identificat nella fase precedente, i lg vengn classificati in relazine al lr livell di criticità; 3. Generazine: attivazine delle funzinalità di lgging e verifica della lr cnsistenza; 4. Archiviazine ed access: implementazine delle misure di sicurezza necessarie a garantire l integrità e la riservatezza dei lg; 5. Cnservazine e cancellazine: definizine dei tempi di cnservazine dei lg sulla base di quant previst dalla nrmativa sulle esigenze perative della Struttura Sanitaria; 6. Change management: fase trasversale al prcess di gestine dei lg che prevede, a seguit di cambi nrmativi di strategie della Struttura Sanitaria sulla gestine dei lg, la verifica degli impatti di tale cambiament sui sistemi. Si riprta di seguit il dettagli delle fasi precedentemente identificate. 3.1 Identificazine La fase di Identificazine del prcess di gestine dei lg ha l biettiv di individuare i sistemi e/ i servizi da sttprre a tracciament, affinché registrin, cn un livell di dettagli cnsn (pertinente e nn eccedente) alla finalità: Gli accessi al sistema (lg di access); Ove necessari, le azini cmpiute e/ infrmazini accedute (lg di utilizz); Gli eventi di sistema (lg di eventi di sistema). Si identifica cme necessari il tracciament dei sistemi/servizi che cncrrn al trattament di dati persnali.

13 Pag. 13/24 Si rimanda al capitl 4 per il livell di tracciament minim da abilitare, per particlari categrie di sistemi/servizi/dati trattati, in ttemperanza a specifici Prvvedimenti e Linee Guida del Garante per la prtezine dei dati persnali, nnché ad ulteriri nrmative cgenti. In particlare, ve pssibile, per alcune tiplgie di dati persnali (ad esempi, dati sulla salute), il lg dvrebbe registrare quale dat persnale è stat accedut, quale perazine è stata eseguita (ad esempi, lettura, creazine, mdifica, cancellazine), quand e da chi è stata eseguita ([12]). L elenc dei sistemi sttpsti a lgging deve essere riprtat all intern di un specific dcument, aggirnat peridicamente dalla Funzine ICT ed inltrat al DPO e al Titlare del trattament. Tale elenc deve riprtare per gni sistema, le seguenti infrmazini minimali: Nme servizi/applicazine e Cdice Univc di riferiment; Owner del sistema ICT; Tiplgia di dati trattati dal sistema (persnali, categrie particlari di dati persnali, dati persnali relativi a cndanne penali e reati); Dettagli sulle cnfigurazini dei lg: Classificazine dei lg secnd le indicazini cntenute nella Linea Guida per la Classificazine delle Infrmazini e dei Trattamenti [18]; Impstazine dei lg a livell di sistema perativ, di middleware e di applicazine; Esempi annimi dei lg presenti ed attivi; Mdalità di archiviazine (lcale centralizzata); Tiplgia di access da parte di Amministratri di Sistema (lettura, scrittura); Tempi di cnservazine definiti; Validità: Data di abilitazine delle funzinalità lgging; Data di terminazine delle funzinalità di lgging (es. per mdifiche intrdtte dalla fase di change management del prcess di cui al par. 3.6, dismissine del servizi, ecc.); Elenc dei lg distribuiti su richiesta, cn indicazine delle seguenti infrmazini: Richiedente; Mtivazine della richiesta; Respnsabile dell autrizzazine; Data di cnsegna; Dettagli dei lg cnsegnati; Mdalità di cnsegna dei lg.

14 Pag. 14/ Classificazine Questa fase prevede che i lg cntenenti le infrmazini individuate nella fase di identificazine, sian classificati crrettamente secnd quant descritt nella Linea Guida per la Classificazine delle Infrmazini e dei Trattamenti [18]. La classificazine di gni lg deve essere frmalizzata all intern del dcument di censiment dei lg di cui al paragraf precedente. 3.3 Generazine La fase di generazine dei lg, legata all attivazine delle funzinalità di lgging, ha l biettiv di garantire che le infrmazini presenti nei file di lg sian cnsistenti e cmplete. In particlare, è necessari: Assicurare la cnsistenza temprale dei file di lg, attravers l utilizz di un server NTP univc e cnfigurat su gnun dei sistemi di interesse; Verificare che tutti i campi previsti nel lg sian crrettamente valrizzati. 3.4 Archiviazine e access La fase di archiviazine e access, ha l biettiv di definire le regle per la racclta, access, cnservazine, estrazine e distribuzine dei lg. In particlare: Regle di racclta: la racclta e l invi dei lg vers gli eventuali sistemi esterni adibiti all archiviazine, deve avvenire nel rispett delle misure di sicurezza assciate al livell di classificazine del lg (cfr. par. 3.2). La frequenza di racclta dei lg viene individuata sulla base della tiplgia dei lg, del livell di criticità delle infrmazini presenti, dei vlumi di dati da gestire, e della capacità temprale di cnservazine. Si riprtan di seguit le frequenze di racclta dei file di lg, in funzine della sla classificazine: Settimanale: lg classificati ad Us Intern; Girnaliera: lg classificati Cnfidenziali; Temp Reale: lg classificati Strettamente Cnfidenziali; Nella tabella riprtata in Allegat 1 (cfr. cap. 5), sn riprtate, a titl puramente indicativ, le frequenze di racclta assciate alla tiplgia di lg; Regle di archiviazine: l archiviazine deve avvenire nel rispett dei requisiti previsti dalla classificazine dei file lg, secnd quant definit nella fase di classificazine;

15 Pag. 15/24 Regle di access: l access ai file dei lg, per le finalità individuate precedentemente (cfr. par. 3.1), deve avvenire nel rispett delle misure di sicurezza assciate al livell di classificazine del lg, e deve essere cnsentit esclusivamente alle seguenti figure di riferiment: Gestre del Sistema ICT: per finalità di mnitraggi e gestine dell infrastruttura infrmatica, inclusi i sggetti frmalmente autrizzati dall stess per l svlgiment le suddette attività; Respnsabile della funzine Security & Privacy ai fini della gestine della sicurezza ICT; Sggetti investigativi e ispettivi in ttemperanza alle nrmative vigente cn il cinvlgiment del Titlare al trattament dei dati e di eventuali altri sggetti interessati. Regle di distribuzine: ferm restand le regle per l access ai file di lg, il Gestre del sistema ICT, in quant respnsabile dell access e del recuper dei lg, deve definire delle prcedure che reglamentan l access e il recuper, sulla base del livell di classificazine dell infrmazine trattata nei lg. Tali prcedure devn essere cndivise, per cmpetenza, dai sggetti autrizzati all utilizz dei lg e devn descrivere puntualmente le mdalità di: Invi e ricezine delle richieste di lg da parte di sggetti interni esterni; Estrazine ed access ai file di lg; Distribuzine dei lg; Gestine dal punt di vista della sicurezza dei flussi infrmativi tra le strutture cinvlte nell attività di richiesta dei lg Le richieste di access ai file di lg, devn essere frmalizzate alla Funzine ICT, in qualità di Gestre del sistema ICT, e pssn pervenire esclusivamente dai sggetti autrizzati individuati precedentemente nelle regle di access. Tali richieste devn essere apprvate, registrate e cnservate da parte della Funzine ICT. Tutte le perazini effettuate dal Gestre del sistema ICT attravers i sggetti incaricati all access e al recuper dei lg, devn essere tracciate e pssn essere ggett di verifica su esigenza specifica e/ peridica. Tutti i dati prdtti dalle attività di lgging ed auditing devn essere sttpsti a backup ed i tempi di cnservazine sn equiparati a quelli degli altri lg (cfr. par. 3.5).

16 Pag. 16/ Cnservazine e cancellazine La fase di cnservazine ha l biettiv di definire un perid di cnservazine dettat sia dal quadr nrmativ vigente, sia dalle esigenze della Struttura Sanitaria. In particlare: Per i lg sggetti a vincli derivanti da prnunciamenti legali e nrmativi cgenti, il perid di cnservazine deve essere cmmisurat a quant di vlta in vlta specificat dai singli prvvedimenti (cfr. cap. 4) e/ richieste prvenienti dall Autrità Giudiziaria; Per i lg nn sggetti a vincli nrmativi cgenti, il perid di cnservazine deve essere stabilit sulla base delle direttive frnite dal Gestre del Sistema ICT, in relazine alle specifiche esigenze della Struttura Sanitaria (principi di minimizzazine dei dati e di limitazine della cnservazine). Un eventuale prlungament dei tempi di cnservazine deve essere cnsiderat cme eccezinale e può verificarsi sl nei seguenti casi: Per esigenze tecniche di sicurezza del tutt particlari e cmunque giustificate; In relazine all esistenza di specifici ulteriri vincli nrmativi cntrattuali; Sia necessaria alla risluzine di un cntenzis, anche in sede giudiziale (e.g. dati necessari ai fini dell svlgiment delle investigazini difensive, cmunque, per far valere difendere un diritt in sede giudiziaria); Rientri nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittim interesse del titlare di un terz destinatari dei dati. Dett prlungament dei tempi di cnservazine dei lg deve essere sempre pprtunamente dcumentat e cndivis cn il DPO e cn il Titlare del trattament. Al termine del perid di cnservazine, si deve prcedere alla cancellazine di tali lg, indipendentemente dalla lr ubicazine (supprt lgici, fisici fissi remvibili), implementand misure tecniche e rganizzative atte a garantire la sicurezza delle infrmazini in essi cntenute. Tali misure devn essere implementate in funzine della classificazine dei lg, in linea cn la Linea Guida per la Classificazine delle Infrmazini e dei Trattamenti [18] e la Plitica per la Cancellazine Sicura e l Smaltiment dei Supprti Elettrnici [17]. Nei casi in cui i lg estratti sian stati cnsegnati per scpi di analisi (al di furi delle richieste da parte dell Autrità Giudiziaria), il Gestre del sistema deve cmunicare la necessità di cancellare le infrmazini estratte perché decrsi i termini di manteniment delle stesse.

17 Pag. 17/ Change management La fase di change management, ha cme scp di gestire i cambiamenti del prcess di Gestine dei lg, derivanti da mutamenti relativi a: Nrmative nazinali ed internazinali; Sistema di classificazine delle infrmazini; Plitiche di sicurezza della Struttura Sanitaria; Finalità di trattament dei dati sui sistemi. I cambiamenti intrdtti nel prcess di gestine dei lg, devn essere pprtunamente dcumentati e stricizzati.

18 Pag. 18/24 4 Cntestualizzazine della linea guida per ambiti specifici Nel presente capitl si riprtan, in aggiunta a quant già previst per la gestine dei file di lg di cui al capitl 3, e in ttemperanza alla nrmativa vigente in materia, gli ulteriri requisiti specifici applicabili ai seguenti ambiti: 1. Amministratri di Sistema; 2. Psta elettrnica ed internet; 3. Dssier Sanitari Elettrnic, laddve applicabile. I requisiti prevedn inltre l sservanza di un determinat temp di cnservazine dei file di lg. Un eventuale prlungament dei tempi di cnservazine deve essere valutat cme eccezinale e può aver lug sl nei seguenti casi: Per esigenze tecniche di sicurezza del tutt particlari e cmunque giustificate; In relazine all esistenza di specifici ulteriri vincli nrmativi cntrattuali; Sia necessaria alla risluzine di un cntenzis, anche in sede giudiziale (es. dati necessari ai fini dell svlgiment delle investigazini difensive, cmunque, per far valere difendere un diritt in sede giudiziaria); Rientri nei casi individuati dal Garante per la prtezine dei dati persnali sulla base dei princìpi sanciti dalla legge, per perseguire un legittim interesse del titlare di un terz destinatari dei dati. Dett prlungament dei tempi di cnservazine dei lg deve cmunque essere sempre pprtunamente dcumentat e cndivis cn il DPO e cn il Titlare del trattament. 4.1 Gestine lg Amministratri di Sistema Il rul dell Amministratre di Sistema assume una particlare rilevanza giuridica all intern della Struttura Sanitaria, tenut cnt della sua cncreta capacità, per att intenzinale, ma anche per cas frtuit, di accedere in md privilegiat a risrse del sistema infrmativ e a dati persnali cui nn si è legittimati ad accedere, rispett ai prfili di autrizzazine attribuiti. In ragine dei rischi e delle criticità implicite nell'affidament di quest specific incaric, e ai fini della cnfrmità nrmativa, in linea cn la Plitica per gli Amministratri di Sistema [16] devn essere tracciati i lg appartenenti alla seguente macr-classe precedentemente definita (cfr. par. 2.3):

19 Pag. 19/24 Lg di access, cn particlare riferiment agli accessi e tentativi di access effettuati dagli amministratri di sistema sui sistemi perativi, sui Middleware (es. DBMS, ecc.), sugli apparati di sicurezza e di rete, sugli applicativi cmplessi. Tali lg devn avere caratteristiche di cmpletezza, inalterabilità dei dati racclti e pssibilità di verifica della lr integrità. La cmpletezza è riferita all'insieme degli eventi censiti nel sistema di lg, che deve cmprendere tutti gli eventi di access interattiv, generati dalle attività degli amministratri di sistema su tutti i sistemi di elabrazine (server, client, database) cn cui vengn trattati, anche indirettamente, dati persnali. Le registrazini devn inltre cmprendere, i riferimenti temprali e la descrizine dell'event che le ha generate. Devn essere implementate idnee sluzini tecnlgiche atte a garantire la creazine e la racclta dei lg di access degli Amministratri di Sistema, rispettand le suddette caratteristiche Archiviazine e tempi di cnservazine All scp di garantire l integrità, la riservatezza e la dispnibilità delle infrmazini cntenute nei lg di access degli Amministratri di Sistema, ltre a quant già indicat nel par. 3.4, è necessari implementare le seguenti misure di sicurezza: Prteggere i lg archiviati tramite meccanismi di time stamping ed hashing, al fine di impedire qualsiasi alterazine dei dati e che ne garantiscan successivamente l inalterabilità; Reglamentare l access ai lg sia a livell prcedurale che eventualmente tramite i sistemi di Identity Management della Struttura Sanitaria; Dimensinare pprtunamente, in termini di perfrmance e capacità di memrizzazine, i sistemi di cnservazine dei lg. L inalterabilità dei dati racclti può anche essere sddisfatta ad esempi, attravers l implementazine di una piattafrma centralizzata per la gestine dei lg cn l utilizz di canali di trasmissine sicuri l utilizz di supprti nn riscrivibili per la cnservazine dei lg. I lg di access ai sistemi di elabrazine e agli archivi elettrnici effettuati dagli Amministratri di Sistema, devn essere cnservati per un cngru perid, nn inferire a 6 mesi. Trascrs tale perid, dvrà esserne prevista la cancellazine definitiva da gni supprt di archiviazine Tracciament delle perazini di access ai lg archiviati L access ai lg degli Amministratri di Sistema da parte del persnale autrizzat deve:

20 Pag. 20/24 Cnsentire la tracciabilità dell utente che accede, garantend il nn ripudi dell access, e delle attività cndtte sui lg file; Prevedere meccanismi di timestamping. 4.2 Gestine lg Psta Elettrnica e Access Internet Per quant cncerne la registrazine da parte della Struttura Sanitaria, delle infrmazini relative all utilizz della Psta Elettrnica e dell access ad Internet, è necessari attenersi alle Linee guida del Garante per psta elettrnica e internet [5]. È cnsentita la registrazine delle seguenti infrmazini: Per la Psta Elettrnica: Indirizz IP del mittente del messaggi; Indirizz IP del destinatari; Girn e ra dell invi; Esit dell invi; Criteri di filtr applicat e su esit; Respns frnit dal server di psta (messaggi di cnferma d errre); Dimensini del messaggi. Per Internet: Identificativ utente nn direttamente ricnducibile alla persna fisica intestataria dell utenza; Girn e ra della navigazine; L indirizz Web del sit visitat; Il temp di cnnessine; Criteri di filtr applicat e su esit; Respns frnit dal server remt; Byte trasmessi e ricevuti. Ulteriri infrmazini pssn essere registrate nel rispett del principi di necessità e pertinenza. Tale valutazine deve essere eseguita dalla funzine ICT di cncert cn la Funzine Privacy e DPO Archiviazine e tempi di cnservazine Per questa tiplgia di lg, il perid di cnservazine nn deve superare i 3 mesi, nel rispett del principi di pertinenza e nn eccedenza Tracciament delle perazini di access ai lg archiviati L access ai file di lg cntenenti le infrmazini di cui spra, incluse le attività effettuate sugli stessi ed il relativ time stamping di access, deve essere tracciat in md tale da pter

21 Pag. 21/24 permettere l identificazine dell utenza che ha effettuat l access e garantire il requisit di nn repudi. 4.3 Gestine lg Dssier sanitari elettrnic In linea cn quant previst dalle Linee guida del Garante in materia di Dssier sanitari [9], la Struttura Sanitaria deve realizzare sistemi di cntrll delle perazini effettuate sul dssier, mediante prcedure che prevedan la registrazine autmatica in appsiti file di lg degli accessi e delle perazini cmpiute. In particlare, i file di lg devn registrare per gni perazine di access al dssier effettuata da un incaricat, almen le seguenti infrmazini: Il cdice identificativ del sggett incaricat che ha pst in essere l perazine di access; La data e l ra di esecuzine; Il cdice della pstazine di lavr utilizzata; L identificativ del paziente il cui dssier è interessat dall perazine di access da parte dell incaricat La tiplgia dell perazine cmpiuta sui dati. In ragine della particlare delicatezza del trattament dei dati persnali effettuat mediante il dssier è necessari che sian tracciate anche le perazini di semplice cnsultazine (inquiry). L interessat, che abbia manifestat il prpri cnsens al trattament dei dati persnali mediante il dssier sanitari, ha il diritt di cnscere gli accessi eseguiti sul prpri dssier cn l indicazine della struttura/repart che ha effettuat l access, nnché della data e dell ra dell stess. Inltre, il Titlare del trattament deve attivare specifici alert che individuin cmprtamenti anmali a rischi relativi alle perazini eseguite dagli incaricati del trattament (ad es., relativi al numer degli accessi eseguiti, alla tiplgia all ambit temprale degli stessi), ai fini di successivi interventi di audit Archiviazine e tempi di cnservazine I lg delle perazini devn essere cnservati per un perid nn inferire a 24 mesi dalla data di registrazine dell'perazine [9] Tracciament delle perazini di access ai lg archiviati L access ai file di lg cntenenti le infrmazini di cui spra, incluse le attività effettuate sugli stessi ed il relativ time stamping di access, deve essere tracciat in md tale da pter

22 Pag. 22/24 permettere l identificazine dell utenza che ha effettuat l access e garantire il requisit di nn repudi.

23 Pag. 23/24 5 Allegat 1 Categria/tiplgia di lg e frequenza di racclta Si riprta di seguit, a titl puramente indicativ e nn esaustiv, una tabella di esempi relativa alla frequenza di racclta dei lg in funzine della tiplgia (cfr. par. 2.3). MACRO CATEGORIE SORGENTI DI LOG SOTTO CATEGORIE SORGENTI DI LOG MACRO-CLASSI FREQUENZA DI RACCOLTA DEI LOG Sistemi Anti-malware/virus Lg di utilizz Girnaliera Sistemi Autenticazine Lg di utilizz Temp Reale Sistemi VPN Lg di utilizz Temp Reale IDs / IPs Lg di utilizz Temp Reale Lg di sicurezza Sistemi di Vulnerability Assessment / Patch management Lg di utilizz Girnaliera Firewall Lg di utilizz Temp Reale Tutti Lg di access Girnaliera Tutti Lg di eventi di sistema Settimanale Ruter Lg di utilizz Temp Reale Lg dei servizi di rete Lg di sistema perativ Prxy Lg di utilizz Temp Reale Servizi di psta Lg di utilizz Temp Reale Tutti Lg di access Girnaliera Tutti Tutti Lg di eventi di sistema Lg di access Lg di eventi di sistema Lg di utilizz Settimanale È funzine della tiplgia dei dati trattati nel lg file Settimanale È funzine della tiplgia dei dati trattati nel lg file

24 Pag. 24/24 MACRO CATEGORIE SORGENTI DI LOG Lg applicativi Lg middleware SOTTO CATEGORIE SORGENTI DI LOG Tutti Tutti MACRO-CLASSI Lg di access Lg di eventi di sistema Lg di utilizz Lg di access Lg di eventi di sistema Lg di utilizz FREQUENZA DI RACCOLTA DEI LOG È funzine della tiplgia dei dati trattati nel lg file Settimanale È funzine della tiplgia dei dati trattati nel lg file È funzine della tiplgia dei dati trattati nel lg file Settimanale È funzine della tiplgia dei dati trattati nel lg file Lg dei sistemi dedicati alla rilevazine e cntrll degli accessi fisici Tutti Lg di access Temp Reale Lg di eventi di sistema Settimanale Lg di utilizz Temp Reale Tabella 1 Frequenza racclta lg