Documento Programmatico sulla Sicurezza Parte generale

Transcript

1 Documento Programmatico sulla Sicurezza Parte generale INTRODUZIONE Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili o giudiziari trattati mediante strumenti elettronici è adottato un insieme di misure comportamentali, tecniche ed operative, applicate a vari livelli, fra cui: - norme comportamentali ed operative per i responsabili dei trattamenti - norme comportamentali ed operative per gli incaricati dei trattamenti - norme comportamentali ed operative per i gestori dell infrastruttura telematica - configurazione e gestione dei di elaborazione centrali - configurazione e gestione dei di elaborazione in uso agli incaricati - configurazione e gestione dell infrastruttura della rete di comunicazione interna all Amministrazione - configurazione e gestione dell accesso alla rete pubblica di comunicazione Tali misure sono attuate in base a criteri elaborati internamente all Amministrazione, sulla base dei compiti istituzionali propri dell Amministrazione, dei requisiti necessari per garantirne il funzionamento, e delle diverse priorità, e comunque nei termini di legge laddove previsti. Per quanto riguarda le persone fisiche, interne ed esterne all Amministrazione, a qualche titolo coinvolte nel trattamento di dati personali, sensibili o giudiziari, sono applicate misure di informazione, formazione e sensibilizzazione sul tema del trattamento dei suddetti dati. In particolare, sono esplicitamente richiamate le norme in materia, e sono altresì indicate le norme comportamentali sia di carattere generale che relative agli specifici trattamenti che coinvolgono il responsabile del trattamento e/o l incaricato. SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Per quanto riguarda la gestione dei elettronici coinvolti nel trattamento, sono adottate misure atte a garantire che questi operino applicando i più recenti criteri e strumenti tecnologici per garantire la riservatezza e l integrità dei dati, compatibilmente con i vincoli ed i requisiti di ciascun trattamento. In generale tali misure sono adottate considerando anche criteri di uniformità e semplicità sia tecnica che organizzativa, per garantire, oltre che adeguati meccanismi di protezione, un agevole gestione e uso dei medesimi. A tal fine, si predilige una gestione centralizzata dei di archiviazione, elaborazione ed trasmissione delle informazioni. La Direzione Sistemi Informativi segue costantemente l evoluzione delle tecnologie telematiche per il trattamento delle informazioni, delle possibili minacce (accidentali o dolose) di cui possono essere oggetto, così come degli strumenti e delle tecniche atti a rilevarle e neutralizzarle. Concretamente, il personale della Direzione individua ed applica tecnologie e metodi atti a garantire la riservatezza e l integrità dei dati, nonché la loro disponibilità, sì da conformarsi agli obblighi di legge, e comunque da risultare in linea con lo stato dell arte delle tecnologie telematiche. La Direzione provvederà anche a segnalare ai competenti Uffici dell Amministrazione eventuali e significative evoluzioni in materia qualora queste possano influenzare le scelte e l operato degli Uffici. La Direzione Sistemi Informativi persegue i suddetti obiettivi anche attraverso una periodica e mirata formazione del personale tecnico atta a consolidarne e accrescerne le conoscenze in materia.

2 Tabella A - Analisi dei rischi e relative fattispecie, misure e relatiivi stato di adozione e competenza Rischio (R) Fattispecie (F) Misura (M) Stato (S) Competenza (C) 1 Accesso non autorizzato ai dati Mancata autenticazione e/o autorizzazione 2 Sottrazione/cessione di credenziali di autenticazione 3 Carenza di consapevolezza, disattenzione, incuria 4 Sottrazione di supporti removibili di adeguati strumenti per l autenticazione e l autorizzazione degli incaricati Formazione, informazione, sensibilizzazione Formazione, informazione, sensibilizzazione circa gli oneri ed i rischi connessi al trattamento dei dati Formazione, informazione, sensibilizzazione 5 Conservazione dei supporti in locali ad accesso controllato; distruzione dei supporti removibili inutilizzati centrali) 6 personali) 7 Sottrazione di supporti non removibili 8 Sottrazione e diffusione dei dati da parte di soggetti autorizzati ad eccedere ai dati Memorizzazione dei dati su centrali ubicati in locali ad accesso controllato, per consentire la regolamentazione dell accesso sia da un punto di vista fisico che logico. Verifica della sussistenza delle qualità per la concessione dell autorizzazione; definizione di profili di accesso con granularità fine Titolare Titolare Titolare Responsabile Responsabile Responsabile

3 Rischio (R) Fattispecie (F) Misura (M) Stato (S) Competenza (C) 9 Accesso da parte di soggetti che hanno perso le qualità per accedere ai dati Tempestivo adeguamento dei profili di autorizzazione; sensibilizzazione dei responsabili dei trattamenti affinché comunichino tempestivamente la perdita di qualità da parte degli incaricati; periodica verifica della sussistenza delle condizioni per la conservazione dei Responsabile 10 Interventi di manutenzione sui ad opera di soggetti esterni 11 Azione di virus informatici o comunque di programmi suscettibili di recare danni Carenza di consapevolezza, disattenzione, incuria profili. I soggetti esterni operanti la manutenzione devono impegnarsi formalmente a dare istruzioni al proprio personale affinché tutti i dati e le informazioni di cui verranno a conoscenza in conseguenza della loro attività vengono considerati riservati e come tali trattati. A questo proposito i soggetti sono inclusi fra gli incaricati del trattamento. Formazione, informazione, sensibilizzazione Responsabile Titolare

4 Rischio (R) Fattispecie (F) Misura (M) Stato (S) Competenza (C) 12 Assenza di opportuni di protezione Installazione sistematica, sui che possono essere oggetto di simili azioni, di programmi atti ad identificare e neutralizzare virus o altri programmi pericolosi. 13 Mancato aggiornamento dei di protezione 14 Indisponibilità dei servizi 15 Malfunzionamento, indisponibilità o degrado dei Spamming o altre tecniche di sabotaggio Mancata rilevazione di malfunzionamento, indisponibilità o degrado 16 Guasto dei fisici Aggiornamento periodico (e comunque almeno semestrale), gestito centralmente ed eseguito in automatico dei programmi di protezione e dei relativi codici Installazione e gestione di atti ad identificare e neutralizzare attacchi atti a rendere indisponibili i servizi, con particolare riferimento ai servizi che si affacciano sulla rete esterna Sistema di monitoraggio atto a rilevare il corretto funzionamento dei singoli Ricorso, almeno per i che compongono l infrastruttura centrale, a soluzioni per garantire affidabilità e disponibilità tramite meccanismi di ridondanza o l individuazione di componenti alternativi centrali)

5 Rischio (R) Fattispecie (F) Misura (M) Stato (S) Competenza (C) 17 Insufficienza delle risorse Costante monitoraggio dell uso delle risorse, ed eventuali azioni integrative atte a garantire ragionevoli 18 Interruzione dei collegamenti dati tra le sedi margini operativi Ripristino dei collegamenti da parte fornitori di connettività 19 Allestimento di collegamenti alternativi 20 Guasto a complementari impianto elettrico 21 Guasto a complementari impianto di condizionamento 22 Accessi esterni non autorizzati Accesso dalla rete pubblica (Internet) Limitatamente ai centrali, installazione di gruppi di continuità per garantire il corretto spengimento dei, in attesa della riparazione del guasto. Limitatamente ai centrali, installazione di opportuni sensori di temperatura nei locali ospitanti, e disattivazione dei in caso superamento dei valori limite fino a riparazione del guasto. Protezione delle risorse interne tramite adeguati strumenti fisici e logici (router, firewall, proxy, ) 23 Periodico aggiornamento dei di protezione di cui sopra 24 Intercettazione di informazioni rete pubblica Uso di protocolli a crittografia forte per garantire la riservatezza dell informazione Altri uffici, Titolare Altri uffici,

6 Rischio (R) Fattispecie (F) Misura (M) Stato (S) Competenza (C) 25 Intercettazione di informazioni in rete privata Uso di protocolli a crittografia forte, nonché di strumenti per la separazione fisica (switch) e logica (vlan) per garantire la riservatezza 26 Ingressi non autorizzati a locali/aree ad accesso ristretto Assenza di vincoli fisici che impediscano l accesso 27 Uso improprio dei vincoli 28 Perdita dei dati Eventi distruttivi naturali, artificiali, dolosi, accidentali o dovuti ad incuria 28a dell informazione Introduzione di opportuni vincoli (chiavi, tessere magnetiche, codici, ) Definizione di regole comportamentali ed opportuna formazione, informazione e sensibilizzazione del personale autorizzato Definizione ed applicazione di procedure per il salvataggio ed il ripristino dei dati su supporti removibili. 29 Definizione ed applicazione di procedure per il salvataggio ed il ripristino dei dati tra sedi geograficamente distanti 29a centrali) personali) centrali) personali) Altri uffici, Titolare Responsabile Responsabile Nell ambito dell Amministrazione è stato individuato un numero limitato di tipologie di strumenti informatici per il trattamento dei dati, e che sono state quindi messe in relazione con i rischi e le misure riportate in Tabella A. Le diverse tipologie di strumenti e le relazioni con la Tabella A sono riportate nella tabella qui di seguito.

7 Tabella B Classificazione degli strumenti informatici in relazione a rischi e misure di cui in Tabella A Tipo Righe della Tabella A che si applicano allo specifico strumento strumento 1 applicazione 1, 5, 12, 13, 15, 16, 17, 18, 20, 21, 22, 23, 25, 26, 28 centrale intranet 2 applicazione 1, 5, 12, 13, 14, 15, 16, 17, 18, 20, 21, 22, 23, 24, 25, 26, 28 centrale Internet 3 file server 1, 5, 12, 13, 15, 16, 17, 20, 21, 22, 23, 26, 28 4 pc incaricato 1, 6, 7, 8, 10, 12, 13, 22, 23, 26, 28a 5 pc incaricato esterno al dominio 6, 7, 8, 10, 28a

8 Specifiche misure di sicurezza Sistemi di autenticazione e autorizzazione L accesso ai dati tramite strumenti elettronici centralizzati collocati presso le sedi centrale e periferiche dell Amministrazione è regolato da meccanismi di autenticazione ed autorizzazione articolati su più livelli: - un primo livello di regolamentazione degli accessi, ove disponibile, prevede il controllo dell accesso alla risorsa fisica tramite una parola chiave nota all utente che ha in uso la risorsa, sia al responsabile dell Ufficio da cui l utente afferisce; - ad un secondo livello, l accesso è regolato dai meccanismi di protezione forniti dai operativi: ciascun utente dispone di una coppia di credenziali per l accesso al sistema operativo ed alle funzionalità da questo gestite (es. installazione, configurazione e manutenzione del sistema operativo e delle applicazioni, esecuzione delle applicazioni, accesso alle risorse locali e remote). Autenticazione ed autorizzazione sono gestite, nella maggior parte dei casi, attraverso un apposita infrastruttura centralizzata: - ad un terzo livello, l accesso è regolato da meccanismi di autenticazione ed autorizzazione attivati dalle singole applicazioni utilizzate per i diversi trattamenti. In taluni casi le applicazioni si appoggiano a meccanismi compresi nell applicazione stessa, in altri casi si appoggiano all infrastruttura di cui al punto precedente. E in atto una misura atta a diffondere maggiormente il ricorso a quest ultima soluzione, almeno per quanto concerne l autenticazione. L accesso alle singole funzionalità, a livello sia di sistema operativo che di applicazioni, è controllato tramite un meccanismo di autorizzazione basato su profili, definiti sia individualmente che per classi di utenza omogenee. Agli utenti sono comunicati, sia esplicitamente (attraverso specifiche istruzioni) che implicitamente (richiamando la normativa), gli obblighi relativamente al trattamento di dati personali, sensibili e giudiziari. In particolare, sono impartite istruzioni affinché: - siano adottate le necessarie cautele per assicurare la segretezza delle della parte segreta delle credenziali ai diversi livelli; - la parola chiave sia composta di almeno 8 caratteri (ove possibile), non contenga riferimenti agevolmente riconducibili all utente, sia modificata al primo utilizzo, e successivamente almeno ogni 6 mesi (3 nel caso di dati sensibili o giudiziari); - non sia lasciato incustodito ed accessibile lo strumento per l accesso ai dati. Sono inoltre allo studio ed di applicazione misure per consentire la verifica automatica e l eventuale applicazione forzata dei vincoli di cui sopra. Inoltre, ai responsabili dei trattamenti sono impartite istruzioni affinché - siano definiti, eventualmente con il supporto dei responsabili dei informativi, i profili delle autorizzazioni per gli incaricati del trattamento dati; - siano disattivate (tramite intervento diretto sui o tramite tempestiva comunicazione ai responsabili dei informativi) le credenziali degli utenti qualora questi perdessero le qualità per l accesso ai dati.

9 Altre misure di sicurezza Oltre ai suddetti meccanismi di autenticazione ed autorizzazione, sono adottate opportune misure affinché l infrastruttura telematica dell Amministrazione risulti protetta rispetto ad accessi non autorizzati sia dall interno che dall esterno. A questo scopo la rete dell Amministrazione è suddivisa in varie zone, a ciascuna delle quali sono applicati diversi criteri di autenticazione, autorizzazione, sicurezza e protezione. Tale suddivisione è realizzata mediante l uso di più strumenti, sia fisici che logici (switch, router, firewall, proxy, ), operanti su più livelli. La rete di comunicazione dell Amministrazione ( Intranet ) e la rete pubblica di comunicazione ( Internet ) sono collegate tramite una zona demilitarizzata (DMZ), in maniera tale da limitare allo stretto necessario lo scambio di dati. In particolare la separazione delle reti è tale per cui non sono previsti accessi diretti alla rete interna; infatti, i dati in transito sono veicolati da appositi strumenti per il monitoraggio del traffico, sì da rilevare ed impedire traffico non autorizzato. I e le applicazioni, che si trovano tanto sulla rete esterna (DMZ) che su quella interna, sono aggiornati periodicamente per applicare le correzioni sviluppate dai fornitori per rimuovere le vulnerabilità note. Tali aggiornamenti sono effettuati, almeno per quanto riguarda i che si affacciano sulla rete esterna (DMZ), non appena questi si rendono disponibili ed è stata verificata la loro compatibilità con gli altri componenti dell intera infrastruttura, e comunque con frequenza almeno semestrale. Per quanto riguarda ed applicazioni delle postazioni degli utenti sulla rete interna, gli aggiornamenti avvengono periodicamente, e, nella maggior parte dei casi, in modo automatico. La configurazione standard dei di elaborazione che possono essere oggetti di programmi informatici del tipo virus, worm o trojan, comprende anche strumenti ( antivirus ) atti ad individuare e possibilmente eliminare tali programmi. Questi strumenti vengono aggiornati entro pochi giorni dal rilascio di una nuova versione dei codici di identificazione e rimozione da parte del fornitore, e comunque con cadenza almeno settimanale. La riservatezza dei dati personali, sensibili o giudiziari è perseguita anche attraverso la realizzazione di un infrastruttura telematica che non consenta la lettura e la manomissione di flussi di dati, da parte di soggetti diversi da quelli direttamente interessati allo scambio di dati. A questo proposito sono in atto misure atte a realizzare una separazione dei canali di comunicazione si dal punto di vista fisico (impiego capillare di apparati di rete switched ) che da quello logico (criptazione del traffico, definizione di sottoreti protette, ).

10 Misure per il ripristino e la disponibilità dei dati Nel caso dei centrali, per garantire il ripristino dei dati in caso di danneggiamento degli stessi o dei che li trattano, sono applicate procedure automatizzate per l archiviazione periodica (con frequenza giornaliera, o al più settimanale) dei dati su supporti removibili e non, ottici o magnetici. I gestori dei informativi verificano periodicamente il corretto funzionamento delle suddette procedure. Al fine di incrementare l integrità dei dati ed il loro ripristino, con particolare riferimento ad eventi naturali, accidentali o dolosi che interessino i locali presso i quali sono ospitati i e le copie di sicurezza dei dati, è di studio una soluzione per l archiviazione di sicurezza dei dati anche su geograficamente distanti, ubicati in sedi diverse da quella presso la quali i dati sono solitamente trattati. Tale soluzione si avvarrà della rete di comunicazione interna all Amministrazione. Nel caso di dati archiviati sui in uso agli incaricati, sono impartite disposizioni per l archiviazione periodica (almeno settimanale) dei dati su supporti removibili, e per la corretta conservazione di questi ultimi. Le attività rimangono comunque di competenza dei consegnatari degli strumenti informatici personali su cui risiedono i dati. Le diverse tipologie di criteri e procedure per il salvataggio e ripristino dei dati in essere o d adozione all interno dell Amministrazione sono riportate nella tabella seguente, e sono utilizzate per la compilazione delle schede relative ai diversi trattamenti. Tabella C Criteri e procedure per il salvataggio e il ripristino della disponibilità dei dati Criteri e procedure per Tipo il salvataggio Frequenza dei salvataggi: almeno 1 volta al giorno Storico: almeno 3 giorni Utilizzo di procedure automatizzate per l'archiviazione dei dati su supporti non removibili (hard disk) e removibili 1 (nastri). Frequenza dei salvataggi: almeno 1 volta al giorno Storico: almeno 3 giorni Utilizzo di procedure automatizzate per l'archiviazione dei dati su supporti removibili e 2 non, ottici o magnetici. Pianificazione delle prove di ripristino, per i soli dati, con cadenza annuale; adozione in corso per l intero sistema (hw, applicazioni), con cadenza semestrale in corso Criteri e Luogo di procedure per il custodia delle ripristino dei dati copie Ripristino con procedure semiautomatiche dei dati dai supporti non removibili (hard disk) e removibili (nastri). Ripristino con procedure semiautomatiche dei dati dai supporti removibili e non, ottici o magnetici Locali ad accesso controllato diversi dalla collocazione delle macchine interessate dai salvataggi Locali ad accesso controllato Struttura o persona incaricata del salvataggio Frequenza dei salvataggi: almeno 1 volta al giorno Storico: almeno 5 giorni 3 Utilizzo di procedure Ripristino con procedure semiautomatiche dei dati archivi su Locali ad accesso controllato

11 automatizzate per l'archiviazione dei dati su hard disk hard disk Frequenza dei salvataggi: almeno 1 volta alla settimana Storico: almeno 1 settimane Utilizzo di procedure automatizzate per l'archiviazione dei dati su supporti removibili e 4 non, ottici o magnetici. 5 Occasionale Non previsto Salvataggio settimanale su PC dedicato, mediante software installato in 6 locale Ripristino con procedure semiautomatiche dei dati dai supporti removibili e non, ottici o magnetici su supporti removibili Supporti non removibili Cassaforte ad accesso controllato in locali diversi dalla collocazione delle macchine interessate dai salvataggi variabile Locali ad accesso controllato Responsabile / incaricato Misure di tutela e garanzia Particolari misure di tutela e garanzia sono adottate nel caso in cui nella realizzazione dei ed nel trattamento dei dati sono coinvolti soggetti esterni. In particolare, nel caso cui i informativi per il trattamento dei dati personali e/o sensibili siano realizzati o acquisiti da soggetti esterni all Amministrazione, è richiesta al soggetto fornitore un attestazione di conformità comprovante il soddisfacimento dei requisiti di cui al D.Lgs. 196/2003 e degli altri requisiti che l Amministrazione, caso per caso, riterrà opportuno formulare al fine di garantire la riservatezza e l integrità dei dati. Nei casi in cui il trattamento (anche in forma parziale) dei dati personali e/o sensibili sia affidato a soggetti esterni all Amministrazione, si richiede che questi rispettino, durante l esecuzione del contratto di servizi, tutti gli obblighi imposti dal D.Lgs. 196/2003 sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati nonché dagli allegati al decreto suindicato sull individuazione delle misure minime di sicurezza per il trattamento dei dati. In relazione ai diversi servizi i soggetti esterni assumono gli obblighi di incaricato del trattamento dei dati personali, nei casi per i quali i compiti affidati comportino lo svolgimento di singole operazioni ed elaborazioni. I soggetti devono impegnarsi formalmente a dare istruzioni al proprio personale affinché tutti i dati e le informazioni di cui verranno a conoscenza durante lo svolgimento del servizio, vengono considerati riservati e come tali trattati. I soggetti esterni sono altresì tenuti ad identificare le persone coinvolte nell erogazione del servizio e a nominarle incaricati al trattamento dei dati personali ai sensi del D.Lgs. 196/03. In particolare, al personale sono impartite istruzioni al riguardo circa la non possibilità di copiare i dati, se non vi sia una stretta necessità, ovvero imponendo l'obbligo di cancellare le copie necessarie dopo aver espletato la propria attività. Quanto detto sopra si applica anche ai soggetti esterni incaricati della manutenzione fisica e logica dei informativi, con particolare riferimento alla infrastruttura di rete, alla manutenzione dei informativi per i quali sono richieste delle credenziali, così come alla manutenzione dei dispositivi dotati di supporti (rimovibili e non) per la memorizzazione permanente dei dati, in particolar modo qualora l attività di manutenzione richieda il trasferimento dei supporti e/o dati al di fuori delle sedi dell Amministrazione. In caso di difetti ai supporti di memorizzazione che ne

12 richiedano la sostituzione, si richiede comunque la restituzione all Amministrazione del supporto difettoso oppure, alternativamente, l attestazione della cancellazione definitiva dei dati ovvero dell avvenuta distruzione del supporto medesimo.