Procedura di designazione e mansionario dell Amministratore di Sistema

Transcript

1 Rev. 1 del 31/03/2011 Pag. 1 / 20 Istituto di Ricerche Farmacologiche Mario Negri Procedura di designazione e mansionario dell Amministratore di Sistema Rev. Data Redatta ta Approvata

2 Rev. 1 del 31/03/2011 Pag. 2 / 20 1 PREMESSA TRACCIA LETTERA DI DESIGNAZIONE DELL INCARICATO DEL TRATTAMENTO L AMMINISTRATORE DI SISTEMA IL SISTEMA INFORMATIVO DISCIPLINARE IN MATERIA DI MISURE MINIME DI SICUREZZA MISURE DI SICUREZZA LOGICA Sistema di autenticazione Sistema di autorizzazione Sistemi di protezione Procedure di Backup e Restore Separazione dei dati sensibili da quelli anagrafici Critttografia Monitoraggio del sistema MISURE DI SICUREZZA FISICA Sicurezza ambientale APPENDICE A MODULO RILEVAZIONE ATTIVITÀ AMMINISTRATORI DI SISTEMA... 20

3 1 Premessa Rev. 1 del 31/03/2011 Pag. 3 / 20 Con il provvedimento a carattere generale del 27 novembre 2008 dal titolo "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema", pubblicato sulla G.U. n. 300 del 24 dicembre 2008, il Garante per la protezione dei dati personali impone ai titolari di trattamenti di dati personali (anche solo in parte gestiti mediante strumenti elettronici) di predisporre un "elenco degli amministratori di sistema e loro caratteristiche". Questo nuovo adempimento non si esaurisce nella mera predisposizione di una nuova lettera di incarico o nella modifica di quella già esistente ma richiede al titolare una serie di "misure e accorgimenti" e, non ultimi, di "adempimenti in ordine all'esercizio dei doveri di controllo da parte del titolare (due diligence)" sulle attività dell amministratore. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare non sia tenuto a redigere il DPS, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Nella pratica occorre: individuare coloro che ricadono nella categoria di "amministratore di sistema" valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali "amministratore di sistema" che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza designare tali "amministratore di sistema" in modo individuale con l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato verificare l'operato degli amministratori di sistema, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, mediante l adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica). In relazione alla sua nomina l Amministratore di Sistema dovrà sovraintendere alle risorse dei sistemi operativi o dei sistemi di base dati, di tutti gli elaboratori a suo carico presso la struttura di competenza e di consentirne l utilizzazione, adottando e rispettando le misure di sicurezza intraprese dal Titolare e dal Responsabile in ordine al trattamento dei dati personali. Il presente documento in particolare affronta e descrive i compiti assegnati all Amministratore di Sistema che dovrà in generale: o Attribuire a ciascun utente, incaricato al trattamento, un codice identificativo personale (username) per l utilizzazione dell elaboratore o accesso

4 Rev. 1 del 31/03/2011 Pag. 4 / 20 all applicativo; uno stesso codice, non potrà, nemmeno in tempi diversi, essere assegnato a persone diverse; o Attribuire agli incaricati del trattamento di dati personali con elaboratori elettronici le parole chiavi iniziali. o Provvedere affinché gli elaboratori del sistema informativo siano protetti contro il rischio di intrusione ad opera di programmi di cui all art. 615 quinquies del codice penale, mediante idonei programmi la cui efficacia ed aggiornamento siano verificati con cadenza almeno semestrale; o Supportare i Coordinatori del Trattamento per la profilazione dell utente al fine di dare i privilegi di accesso di pertinenza all utente o Prendere tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al salvataggio periodico degli stessi con copie di backup secondo i criteri stabiliti dal Titolare/Responsabile del Trattamento per la sicurezza dei dati; o Assicurarsi della qualità delle copie di back-up dei dati e della loro conservazione in luogo adatto e sicuro; o Fare in modo che sia prevista la disattivazione dei codici identificati personali (User-ID), in caso di perdita della qualità che consentiva all utente o incaricato l accesso all elaboratore, oppure nel caso di mancato utilizzo dei codici identificativi personali (User-ID) per oltre 6 mesi; o Assistere il Titolare, il Responsabile e il Coordinatore del Trattamento nell attuazione pratica delle autorizzazioni all accesso per il trattamento dei dati di cui all art. 26 e 27 del d. lgs. n. 196/2003, se eventualmente trattati; o Assistere il Titolare, il Responsabile e il Coordinatore del Trattamento nella gestione sicura dei supporti rimovibili ed aree di memoria, interni ed esterni al sistema, se già eventualmente utilizzati per il trattamento dei dati di cui agli articoli 26 (dati sensibili) e 27 (dati giudiziari) del d. lgs. n. 196/2003, disponendo che le informazioni precedentemente contenute non siano in nessun modo recuperabili, oppure, in caso contrario, provvedere senza indugio alla loro distruzione; o Assistere il Titolare, Responsabile e il Coordinatore del Trattamento nella compilazione e nell aggiornamento del documento programmatico sulla sicurezza. Le misure applicate dall Amministratore di Sistema dovranno sempre essere corrispondenti o compatibili con le misure di sicurezza strategicamente stabilite dal Titolare e dal Responsabile e avranno l obiettivo di garantire quanto previsto dall art 31 : 1) prevenire il rischio di una perdita o distruzione dei dati anche solo accidentale, 2) eliminare o ridurre al minimo i rischi di un accesso non autorizzato 3) impedire un trattamento non consentito o "non conforme alle finalità della raccolta

5 Rev. 1 del 31/03/2011 Pag. 5 / 20 Ciò significa i principali doveri che incombono sull amministratore di sistema possono essere così sintetizzati: - garantire l'autenticazione degli utenti della rete (evitare sostituzioni fraudolente di persona); - garantire la confidenzialità delle informazioni (assicurare che solo il destinatario del messaggio possa prendere cognizione del suo contenuto); garantire l'integrità del dato (impedire che il dato registrato venga fraudolentemente alterato); - impedire il disconoscimento della trasmissione ("non repudiation" - chi trasmette non può negare di avere trasmesso - chi riceve, non può negare di aver ricevuto); - garantire il controllo degli accessi (politiche organizzative e di gestione delle password); - sorvegliare il traffico sulla rete per segnalare indebite intrusioni.

6 ISTITUTO DI RICERCHE Rev. 1 del 31/03/2011 Pag. 6 / 20 2 Traccia lettera di designazione dell Incaricato del Trattamento Nomina Amministratore di Sistema Il sottoscritto...prof Silvio Garattini... in qualità di direttore dell Istituto di Ricerche Farmacologiche Mario Negri PREMESSO CHE l Istituto di Ricerche Farmacologiche Mario Negri... è titolare del trattamento dei dati personali, ai sensi del D. Lgs. del 30 giugno 2003 n. 196; Ai sensi del provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 recepito nella Gazzetta Ufficiale. n. 300 del 24 dicembre 2008 ed ad integrazione della eventuale nomina ad incaricato già consegnatale e da Lei sottoscritta, dato il rapporto di lavoro con Lei in essere, la sua qualifica di assegnazione e la documentata preposizione alla unità operativa di appartenenza, considerando che le prestazioni da lei effettuate in via ordinaria forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza considerato che nell ambito delle sue mansioni operative è incaricato di svolgere specifici compiti di intervento tecnico sul sistema informatico aziendale, che potenzialmente le permettono, anche indirettamente, di accedere ai dati personali presenti nello stesso sistema rilevato che possiede i requisiti di idoneità professionale richiesti con la presente La nominiamo incaricato con mansioni di Amministratore del sistema per i trattamenti svolti internamente in azienda o da essa operati le cui specifiche sono richiamate nella versione corrente del Documento Programmatico sulla Sicurezza. Specificatamente e limitatamente a tale contesto i suoi compiti consistono in: gestire il sistema informatico, nel quale risiedono le banche dati personali, in osservanza al disciplinare tecnico allegato al Codice della privacy (D.lgs. 30 giugno 2003 n. 196) e sue successive modifiche ed aggiornamenti, attenendosi anche alle disposizioni del Titolare e/o del Coordinatore del Trattamento in tema di sicurezza; se non già previsti a livello aziendale, predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte Sua (nella sua qualità di amministratore di sistema ); tali registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.le registrazioni devono comprendere i riferimenti allo username utilizzato, i riferimenti temporali e la descrizione dell'evento (log in e log out) che le ha generate e devono essere

7 Rev. 1 del 31/03/2011 Pag. 7 / 20 conservate per un congruo periodo, non inferiore a sei mesi: pertanto, la sua attività di amministratore di sistema verrà monitorata in conformità alle prescrizioni del Garante; effettuare interventi di manutenzione hardware e software su sistemi operativi e applicativi; informare il responsabile del trattamento o il titolare in caso di mancato rispetto delle norme di sicurezza e in caso di eventuali incidenti. monitorare il sistema di sicurezza informatico (idoneo a rispettare le prescrizioni dell art. 31 e seguenti del D.lgs. n. 196/2003) adottato, adeguandolo anche alle eventuali future norme in materia di sicurezza. Più specificatamente, in base al sopra citato vigente disciplinare tecnico, fatte salve le successive integrazioni dello stesso, in qualità di Amministratore di sistema dovrà: o assegnare e gestire il sistema di autenticazione informatica secondo le modalità indicate nel Disciplinare tecnico e quindi, fra le altre, generare, sostituire ed invalidare, in relazione agli strumenti ed alle applicazioni informatiche utilizzate, le parole chiave ed i Codici identificativi personali da assegnare agli incaricati del trattamento dati; o procedere, più in particolare, alla disattivazione dei Codici identificativi personali, in caso di perdita della qualità che consentiva all utente o incaricato l accesso all elaboratore, oppure nel caso di mancato utilizzo dei Codici identificativi personali per oltre 6 (sei) mesi; o adottare adeguati programmi antivirus, firewall ed altri strumenti software o hardware atti a garantire la massima misura di sicurezza nel rispetto di quanto dettato dal Dlgs.196/2003 ed utilizzando le conoscenze acquisite in base al progresso tecnico software e hardware, verificandone l installazione, l aggiornamento ed il funzionamento degli stessi in conformità allo stesso Disciplinare tecnico; o adottare tutti i provvedimenti necessari ad evitare la perdita o la distruzione, anche solo accidentale, dei dati personali e provvedere al salvataggio periodico degli stessi con copie di back-up, vigilando sulle procedure attivate in struttura. L Amministratore di sistema dovrà anche assicurarsi della qualità delle copie di back-up dei dati e della loro conservazione in luogo adatto e sicuro; o indicare al personale competente o provvedere direttamente alla distruzione e smaltimento dei supporti informatici di memorizzazione logica o alla cancellazione dei dati per il loro reimpiego, alla luce del Provvedimento del Garante per la Protezione dei Dati personali del 13 ottobre 2008 in materia di smaltimento strumenti elettronici; o cooperare nella predisposizione del documento programmatico sulla sicurezza per la parte concernente il sistema informatico ed il trattamento informatico dei dati; o vigilare sugli interventi informatici diretti al sistema informatico dell ente effettuati da vari operatori esterni. In caso di anomalie sarà sua cura segnalarle direttamente alla direzione; o monitorare le eventuali ulteriori misure minime di sicurezza imposte dal Disciplinare tecnico per il trattamento informatico dei dati sensibili e per la conseguente tutela degli strumenti elettronici;

8 Rev. 1 del 31/03/2011 Pag. 8 / 20 c)collaborare con il Titolare e/o con il Coordinatore del trattamento per l attuazione delle prescrizioni impartite dal Garante; d) comunicare prontamente al Titolare e/o con il Coordinatore del trattamento qualsiasi situazione di cui sia venuta a conoscenza che possa compromettere il corretto trattamento informatico dei dati personali; e) verificare il rispetto delle norme sulla tutela del diritto d sui programmi di elaboratore installati nei pc. presenti nell unità produttiva, riferendo al Titolare (e/o al Responsabile, qualora nominato) 1. Le ricordiamo che il provvedimento del Garante già citato obbliga l azienda alla verifica almeno annuale delle attività svolte dall amministratore di sistema in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti che si allegano alla presente. La presente designazione non costituisce assegnazione di nuove mansioni in quanto si tratta della specificazione dei compiti già insiti nel ruolo da Lei rivestito. Le ricordiamo che nelle funzioni da Lei ricoperte, l abuso della qualità di Amministratore di Sistema costituisce reato penale per le fattispecie di seguito richiamate: accesso abusivo a sistema informatico o telematico (art. 615 ter) frode informatica (art. 640 ter), danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques) Sulla base di quanto previsto al punto 2.c del citato Provvedimento del Garante, la informiamo che i suoi estremi identificativi saranno comunicati secondo quanto stabilito al comma 4.3 La preghiamo di restituirci copia della presente, firmata per accettazione. Distinti saluti. Data, Per ricevuta ed accettazione: (data e firma) Firma del Titolare del trattamento 1 Tale ambito non è strettamente collegato agli obblighi della legge sulla privacy, ma opportuna ai fini del rispetto delle norme sulla tutela legale del software e delle conseguenti responsabilità civili e penali potenzialmente a carico anche dell impresa.

9 3 L amministratore di sistema Rev. 1 del 31/03/2011 Pag. 9 / 20 Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. L amministratore di sistema, di seguito Amministratore, è la figura responsabile di una o più porzioni della rete informatica esplicitamente individuati nell incarico. Il termine rete informatica, di seguito rete, e qui usato nell accezione più generale del termine e cioè comprensiva di dell infrastruttura fisica di rete, degli apparati di rete e di fonia, dei sistemi server ad essa connessi e di tutti i servizi di comunicazione che sfruttano la rete come supporto trasmissivo. La sua opera dovrà garantire alla rete un buon grado di a) disponibilità, intesa come capacità della rete di rendere disponibili le risorse nel momento in cui vengono chieste dall utente b) efficienza, intesa come funzionamento ottimale delle risorse da parte dell utenza c) flessibilità, intesa come capacità della rete di adeguarsi al mutare delle esigenze d) scalabilità, intesa come capacità della rete di crescere in modo adeguato e a costi ridotti e) robustezza, intesa come capacità intrinseca della rete di resistere a guasti più o meno invasivi f) sicurezza, intesa come capacita della rete di rilevare e confinare anomalie e problemi di sicurezza generati dall interno o provenienti dall esterno g) compliance, intesa come aderenza alle normative di legge e ai regolamenti aziendali e finalizzati al corretto uso delle risorse telematiche L amministratore nella sua opera dovrà: a) garantire che le risorse vengano utilizzate dagli utenti che ne abbiano effettivamente diritto, utilizzando gli opportuni meccanismi di identificazione e autenticazione; b) coadiuvare il responsabile della struttura nella definizione della politica di sicurezza e del regolamento interno di gestione delle risorse informatiche; sarà inoltre sua cura la corretta e mantenimento della suddetta politica; nel caso di trattamento di dati personali e/o sensibili è il responsabile operativo dell delle misure minime di sicurezza previste dalle normative vigenti; c) consigliare la struttura nella scelta delle dotazioni informatiche, partecipando al processo decisionale teso ad individuare le scelte più vantaggiose; d) avere la responsabilità tecnica delle risorse di rete che vengono delegate alla struttura

10 Rev. 1 del 31/03/2011 Pag. 10 / 20 dall amministrazione centrale della rete, tipicamente spazio di indirizzamento IP e dominio di posta elettronica; dovrà inoltre coordinarsi con essa per il corretto funzionamento degli applicativi necessari al funzionamento dell organizzazione, della ricerca e della didattica; e) svolgere un ruolo di prima interfaccia nel caso di incidenti di qualsiasi genere che riguardino la rete e preoccuparsi di erogare una corretta informazione verso gli utenti interni ed esterni; dovrà inoltre supportare il processo di indagine e diagnosi dei problemi ed essere in grado di produrre le necessarie informazioni a tal riguardo. L amministratore può assume i seguenti ruoli ufficiali di interfaccia verso l esterno, riferiti ai servizi base di cui dovrà essere responsabile. a) Postmaster, in quanto responsabile del servizio di posta elettronica. b) Amministratore di dominio, in quanto responsabile della gestione del dominio dei nomi (DNS) c) Security manager, in quanto responsabile degli aspetti relativi alla sicurezza della rete d) Access Manager, in quanto responsabile della connettività della rete al proprio interno e verso le altre reti L amministratore nella sua opera dovrà garantire: a) competenze su reti di calcolatori: nozioni di progettazione gestione, monitoraggio e diagnostica; b) competenze su cablaggi strutturati; c) competenze su gestione e configurazione degli apparati di trasmissione; d) conoscenza delle architetture hardware dei sistemi, e) conoscenza sistemistica fondamentale dei principali sistemi operativi, f) conoscenze di networking e di routing. g) conoscenze di sicurezza delle reti, dei sistemi e delle applicazioni. h) conoscenza dei principali information services, in particolare posta elettronica, domain name system e WEB. i) sistemi di autenticazione e di identity management. A partire dall accezione più generica appena enunciata nell ambito dell Istituto è possibile individuare tipologie specifiche di Amministratore di Sistema, differenziate per profilo di attività. Enterprise Livello più alto di autorizzazione nell ambito della rete dell Ente. Nel caso di singolo dominio le figure di Enterprise e Domain coincidono. Ruolo Autorizzato: 1. all accesso completo a tutti i dati e a tutte le macchine appartenenti a tutti i domini della rete (a meno di diversa ed esplicita configurazione); 2. alla creazione degli account e all abilitazione degli accessi agli administrator di tutti i domini 3. all analisi e controllo dei log di tutte le macchine appartenenti a tutti i domini e dei dispositivi di tutta la rete (a meno di diversa ed esplicita configurazione).

11 Rev. 1 del 31/03/2011 Pag. 11 / 20 Domain Server Account Network attribuibile a personale incaricato alla gestione di sistemi LDAP/ActiveDirectory Livello più alto di autorizzazione nell ambito del singolo Dominio della rete dell Ente. Ruolo attribuibile a personale incaricato alla gestione di sistemi LDAP/ActiveDirectory Nel caso di singolo dominio le figure di Enterprise e Domain coincidono. Amministratore di uno o più sistemi servers (membri e non di un dominio) Amministratore degli account utente per il solo dominio di appartenenza, di un server amministrato o di un application server Amministratore dell infrastruttura di rete e di comunicazione Autorizzato: 1. all accesso completo a tutti i dati ed a tutte le macchine appartenenti ad un singolo dominio della rete (a meno di diversa ed esplicita configurazione); 2. alla creazione degli account e all abilitazione degli accessi agli solo dominio di appartenenza; 3. all analisi e controllo dei log di tutte le macchine appartenenti al solo dominio di appartenenza e dei dispositivi della porzione di rete gestita (a meno di diversa ed esplicita configurazione). Autorizzato: 1. all accesso completo al sistema ed ai dati contenuti nel server (a meno di diversa ed esplicita configurazione; es. escluso db); 2. a compiere qualsiasi operazione sistemistica e di modifica della configurazione del server; 3. all analisi e controllo dei log. Autorizzato: 1. alla creazione/disabilitazione degli account utente; 2. all assegnazione del profilo di autorizzazione all account utente. Il principale compito di questa figura è quello di assicurare la funzionalità della rete, individuando le eventuali anomalie ed effettuando i necessari interventi di ripristino. Pertanto egli segue la manutenzione ordinaria e straordinaria degli apparati e delle componenti della rete, diagnostica le eventuali cause di malfunzionamento, contribuisce agli interventi di ripristino, sostituendo o riparando le parti difettose ed effettua gli opportuni collaudi. Autorizzato:

12 Rev. 1 del 31/03/2011 Pag. 12 / 20 Security Data Base Backup Amministratore dei dispositivi di sicurezza Amministratore di un database server o di una singola istanza di database Amministratore dei backup e delle repliche dei dati 1. all accesso completo ai dispositivi e linee di comunicazione dati; 2. a compiere qualsiasi operazione di modifica della configurazione dei dispositivi di comunicazione dati; 3. all analisi e controllo dei log e del traffico dati. Autorizzato: 1. all accesso completo e gestione dei dispositivi di sicurezza (es. Firewall, Antivirus, Log Management, Traffic analyzer); 2. a compiere qualsiasi operazione di modifica della configurazione dei dispositivi di sicurezza; 3. all analisi e controllo dei log Il Database administrator è il professionista che, all'interno dell azienda, si occupa di installare, configurare e gestire sistemi di archiviazione dei dati, più o meno complessi, consultabili e spesso aggiornabili per via telematica. Il Database administrator configura gli accessi al database, realizza il monitoraggio dei sistemi di archiviazione, si occupa della manutenzione del server, della sicurezza degli accessi interni ed esterni alla banca dati e definisce, al contempo, le politiche aziendali di impiego e utilizzo delle risorse costituite dal database. Tra i principali compiti di questa figura professionale c'è quello di preservare la sicurezza e l'integrità dei dati contenuti nell'archivio. Ciò avviene utilizzando tutte le tecniche e i dispositivi idonei a questo scopo. Autorizzato: 1. all accesso completo al motore del database ed ai dati memorizzati; in casi particolari è possibile autorizzare anche la singola istanza di database; 2. a compiere qualsiasi operazione di modifica della configurazione e degli schemi dei database; 3. all analisi e controllo dei log. Il responsabile dei backup ha tra i principali compiti quello di provvedere a: Effettuare i backup periodici Individuare i dati da sottoporre a backup, nonchè le modalità e la frequenza della procedura

13 Rev. 1 del 31/03/2011 Pag. 13 / 20 Service /Application Local Technical support Amministratore di un singolo servizio o (es. mail server, web server, application server) Amministratore locale di singoli sistemi client Mantenere i supporti usati per i backup in appositi locali non accessibili (esempio: armadi sotto chiave) e in locali differenti da quelli dei sistemi re periodicamente che i backup effettuati siano integri e correttamente leggibili Assicurarsi personalmente che, eventuali supporti di backup da eliminare vengano eliminati solo dopo avere reso illeggibili i dati in essi contenuti. Segnalare ogni disfunzione degli strumenti di Backup all'amministratore di sistema o al Coordinatore del trattamento. E autorizzato all accesso (almeno in lettura): 1. dei dump dei database (o direttamente delle istanze in caso di utilizzo di agent); 2. delle share di rete; 3. dei system state e degli snapshot delle macchine; 4. delle configurazioni (che necessitano di backup); 5. degli export di specifici servizi; 6. dei log di tutte le macchine della rete Autorizzato: 1. alla gestione, modifica delle configurazione, stop/start del singolo servizio o ; 2. all analisi e controllo dei log specifici del servizio o. Autorizzato: 1. all accesso completo ad un insieme specificato nella nomina di sistemi client ed ai dati contenuti nei dispositivi di memorizzazione (a meno di diversa ed esplicita configurazione); 2. all analisi e controllo dei log locali. 4 Il sistema Informativo Il sistema informativo è definito come l'insieme delle risorse umane, delle regole organizzative, delle risorse hardware e software (applicazioni e dati), dei locali e della documentazione (sia in formato cartaceo, sia elettronico) che, nel loro complesso, consentono di acquisire, memorizzare, elaborare, scambiare e trasmettere informazioni inerenti i registri informatizzati degli uffici. Ai fini delle presenti regole procedurali assumono rilevanza particolare le seguenti componenti del sistema informativo:

14 Rev. 1 del 31/03/2011 Pag. 14 / 20 1) il sottosistema delle risorse umane, cioè le persone che gestiscono e utilizzano il sistema; 2) il sottosistema dell'infrastruttura logistica, costituito dai locali in cui sono localizzati i sottosistemi di cui alle lettere seguenti; a) il sottosistema delle postazioni di lavoro, costituito dagli apparati hardware, dal software di base (sistemi operativi) e dal software di accesso alle basi di dati; b) il sottosistema applicativo, costituito dal software sviluppato specificamente per l'informatizzazione dei processi gestionali (di ricerca e/o di servizio) nonché dagli apparati hardware, dal software di base (sistemi operativi) e dal software di gestione delle basi di dati; c) il sottosistema dei dati, costituito dall'insieme delle basi di dati e dei file in cui sono conservati i documenti di pertinenza delle strutture; d) il sottosistema di connessione interna o rete locale, costituito dall'hardware e dal software utilizzati per la connessione delle postazioni di lavoro (cablaggio, apparati di rete attivi e passivi, software di gestione rete, ecc.); e) il sottosistema di connessione con l'esterno, costituito dall'hardware e dal software utilizzati per la connessione della rete locale con il mondo esterno (firewall, router, modem, linea, ecc.); f) il sottosistema dei servizi di rete, costituito dall'hardware e dal software che tramite la rete realizzano funzioni tese a facilitare lo svolgimento di operazioni comuni (DHCP, DNS, ACTIVE DIRECTORY ecc.). L Amministratore di Sistema deve assicurare la conduzione operativa del sistema informativo di sua competenza, effettuando tutte le operazioni necessarie a garantire le seguenti proprietà: a) disponibilità: le informazioni ed i servizi sono a disposizione degli utenti del sistema, compatibilmente con i livelli di servizio prestabiliti; b) integrità: le informazioni ed i servizi possono essere creati, modificati o cancellati solo dalle persone autorizzate e secondo modalità predefinite; c) autenticità: la provenienza dei dati è garantita e asseverata; d) controllo degli accessi: le informazioni possono essere fruite solo ed esclusivamente dalle persone autorizzate a compiere tale operazione. Di seguito saranno analizzati in modo dettagliato le attività a cui l Amministratore di Sistema dovrà attenersi nel rispetto delle strategie aziendali di cui è messo a conoscenza. 5 Disciplinare in materia di misure minime di sicurezza Nel trattamento dei dati con strumenti elettronici il codice agli artt. 33 e 34 e nell allegato B Disciplinare tecnico in materia di misure minime di sicurezza impone di adottare opportune misure di sicurezza che sono state già individuate e che ogni Amministratore di Sistema si deve preoccupare di implementare e far rispettare di concerto ai Coordinatori dei Trattamenti.