Documento Programmatico sulla Sicurezza Parte generale

Transcript

1 Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili o giudiziari trattati mediante strumenti elettronici è adottato un insieme di misure comportamentali, tecniche ed operative, applicate a vari livelli, fra cui: - norme comportamentali ed operative per i responsabili dei trattamenti - norme comportamentali ed operative per gli incaricati dei trattamenti - norme comportamentali ed operative per i gestori dell infrastruttura telematica - configurazione e gestione dei sistemi di elaborazione centrali - configurazione e gestione dei sistemi di elaborazione in uso agli incaricati - configurazione e gestione dell infrastruttura della rete di comunicazione interna all Amministrazione - configurazione e gestione dell accesso alla rete pubblica di comunicazione Tali misure sono attuate in base a criteri elaborati internamente all Amministrazione, sulla base dei compiti istituzionali propri dell Amministrazione, dei requisiti necessari per garantirne il funzionamento, e delle diverse priorità, e comunque nei termini di legge laddove previsti. Per quanto riguarda le persone fisiche, interne ed esterne all Amministrazione, a qualche titolo coinvolte nel trattamento di dati personali, sensibili o giudiziari, sono applicate misure di informazione, formazione e sensibilizzazione sul tema del trattamento dei suddetti dati. In particolare, sono esplicitamente richiamate le norme in materia, e sono altresì indicate le norme comportamentali sia di carattere generale che relative agli specifici trattamenti che coinvolgono il responsabile del trattamento e/o l incaricato. Per quanto riguarda la gestione dei sistemi elettronici coinvolti nel trattamento, sono adottate misure atte a garantire che questi operino applicando i più recenti criteri e strumenti tecnologici per garantire la riservatezza e l integrità dei dati, compatibilmente con i vincoli ed i requisiti di ciascun trattamento. In generale tali misure sono adottate considerando anche criteri di uniformità e semplicità sia tecnica che organizzativa, per garantire, oltre che adeguati meccanismi di protezione, un agevole gestione e uso dei medesimi. A tal fine, si predilige una gestione centralizzata dei sistemi di archiviazione, elaborazione ed trasmissione delle informazioni. L Ufficio cura la manutenzione degli strumenti informatici centralizzati, anche con riferimento agli aspetti della sicurezza, nei limiti delle proprie competenze tecniche, e compatibilmente con caratteristiche e vincoli dei singoli sistemi, delle singole banche dati e delle singole applicazioni. Su richiesta dei singoli Uffici i possono intervenire anche nella manutenzione degli strumenti. A tal fine la Direzione Generale Servizi Interni designa al trattamento dei dati personali comuni, sensibili e giudiziari, con riferimento alle attività di manutenzione tecnica degli strumenti elettronici, anche i dipendenti dei che, pur non essendo assegnati alle Direzioni responsabili dei singoli trattamenti, svolgono le funzioni di manutenzione in collaborazione con le Direzioni medesime, come risultante da atti dei responsabili delle singole direzioni. L Ufficio segue costantemente l evoluzione delle tecnologie telematiche per il trattamento delle informazioni, delle possibili minacce (accidentali o dolose) di cui possono essere oggetto, così come degli strumenti e delle tecniche atti a rilevarle e neutralizzarle. Concretamente, il personale dell Ufficio individua ed applica tecnologie e metodi atti a garantire la riservatezza e l integrità dei dati, nonché la loro disponibilità, sì da conformarsi agli obblighi di legge, e comunque da risultare in linea con lo stato dell arte delle tecnologie telematiche. L Ufficio provvederà anche

2 a segnalare ai competenti Uffici dell Amministrazione eventuali e significative evoluzioni in materia qualora queste possano influenzare le scelte e l operato degli Uffici. L Ufficio persegue i suddetti obiettivi anche attraverso una periodica e mirata formazione del personale tecnico atta a consolidarne e accrescerne le conoscenze in materia.

3 Tabella A - Analisi dei rischi e relative fattispecie, misure e relatiivi stato di adozione e competenza Rischio (R) Fattispecie (F) Misura (M) Stato (S) Competenza (C) 1 Accesso non autorizzato ai dati Mancata autenticazione e/o autorizzazione 2 Sottrazione/cessione di credenziali di autenticazione 3 Carenza di consapevolezza, disattenzione, incuria 4 Sottrazione di supporti removibili di adeguati strumenti per l autenticazione e l autorizzazione degli incaricati Formazione, informazione, sensibilizzazione Formazione, informazione, sensibilizzazione circa gli oneri ed i rischi connessi al trattamento dei dati Formazione, informazione, sensibilizzazione 5 Conservazione dei supporti in locali ad accesso controllato; distruzione dei supporti removibili inutilizzati centrali) 6 personali) 7 Sottrazione di supporti non removibili 8 Sottrazione e diffusione dei dati da parte di soggetti autorizzati ad eccedere ai dati Memorizzazione dei dati su sistemi centrali ubicati in locali ad accesso controllato, per consentire la regolamentazione dell accesso sia da un punto di vista fisico che logico. Verifica della sussistenza delle qualità per la concessione dell autorizzazione; definizione di profili di accesso con granularità fine Titolare Titolare Titolare Responsabile Responsabile Responsabile

4 Rischio (R) Fattispecie (F) Misura (M) Stato (S) Competenza (C) 9 Accesso da parte di soggetti che hanno perso le qualità per accedere ai dati Tempestivo adeguamento dei profili di autorizzazione; sensibilizzazione dei responsabili dei trattamenti affinché comunichino tempestivamente la perdita di qualità da parte degli incaricati; periodica verifica della sussistenza delle condizioni per la conservazione dei Responsabile 10 Interventi di manutenzione sui sistemi ad opera di soggetti esterni 11 Azione di virus informatici o comunque di programmi suscettibili di recare danni Carenza di consapevolezza, disattenzione, incuria 12 Assenza di opportuni sistemi di protezione profili. I soggetti esterni operanti la manutenzione devono impegnarsi formalmente a dare istruzioni al proprio personale affinché tutti i dati e le informazioni di cui verranno a conoscenza in conseguenza della loro attività vengono considerati riservati e come tali trattati. A questo proposito i soggetti sono inclusi fra gli incaricati del trattamento. Formazione, informazione, sensibilizzazione Installazione sistematica, sui sistemi che possono essere oggetto di simili azioni, di programmi atti ad identificare e neutralizzare virus o altri programmi pericolosi. Responsabile Titolare

5 Rischio (R) Fattispecie (F) Misura (M) Stato (S) Competenza (C) 13 Mancato aggiornamento dei sistemi di protezione Aggiornamento periodico (e comunque almeno semestrale), gestito centralmente ed eseguito in automatico dei programmi di protezione e dei 14 Indisponibilità dei servizi 15 Malfunzionamento, indisponibilità o degrado dei sistemi Spamming o altre tecniche di sabotaggio Mancata rilevazione di malfunzionamento, indisponibilità o degrado 16 Guasto dei sistemi fisici 17 Insufficienza delle risorse 18 Interruzione dei collegamenti dati tra le sedi relativi codici Installazione e gestione di sistemi atti ad identificare e neutralizzare attacchi atti a rendere indisponibili i servizi, con particolare riferimento ai servizi che si affacciano sulla rete esterna Sistema di monitoraggio atto a rilevare il corretto funzionamento dei singoli sistemi Ricorso, almeno per i sistemi che compongono l infrastruttura centrale, a soluzioni per garantire affidabilità e disponibilità tramite meccanismi di ridondanza o l individuazione di componenti alternativi Costante monitoraggio dell uso delle risorse, ed eventuali azioni integrative atte a garantire ragionevoli margini operativi Ripristino dei collegamenti da parte fornitori di connettività 19 Allestimento di collegamenti alternativi centrali) Altri uffici, Titolare

6 Rischio (R) Fattispecie (F) Misura (M) Stato (S) Competenza (C) 20 Guasto a sistemi complementari impianto elettrico Limitatamente ai sistemi centrali, installazione di gruppi di continuità per garantire il corretto spengimento dei sistemi, in attesa della 21 Guasto a sistemi complementari impianto di condizionamento 22 Accessi esterni non autorizzati Accesso dalla rete pubblica (Internet) riparazione del guasto. Limitatamente ai sistemi centrali, installazione di opportuni sensori di temperatura nei locali ospitanti, e disattivazione dei sistemi in caso superamento dei valori limite fino a riparazione del guasto. Protezione delle risorse interne tramite adeguati strumenti fisici e logici (router, firewall, proxy, ) 23 Periodico aggiornamento dei sistemi di protezione di cui sopra 24 Intercettazione di informazioni rete pubblica 25 Intercettazione di informazioni in rete privata 26 Ingressi non autorizzati a locali/aree ad accesso ristretto Assenza di vincoli fisici che impediscano l accesso Uso di protocolli a crittografia forte per garantire la riservatezza dell informazione Uso di strumenti per la separazione fisica (switch) e logica (vlan) per garantire la riservatezza dell informazione Introduzione di opportuni vincoli (chiavi, tessere magnetiche, codici, ), nei locali in cui esistono i presupposti tecnici. In corso studio di fattibilità avanzata per gli altri locali tecnici. Altri uffici Altri uffici,

7 Rischio (R) Fattispecie (F) Misura (M) Stato (S) Competenza (C) 27 Uso improprio dei vincoli Definizione di regole comportamentali ed opportuna formazione, informazione e sensibilizzazione del Titolare 28 Perdita dei dati Eventi distruttivi naturali, artificiali, dolosi, accidentali o dovuti ad incuria 28a personale autorizzato Definizione ed applicazione di procedure per il salvataggio ed il ripristino dei dati su supporti removibili. 29 Definizione ed applicazione di procedure per il salvataggio ed il ripristino dei dati tra sedi geograficamente distanti 29a centrali) personali) centrali) personali) Responsabile Responsabile Nell ambito dell Amministrazione è stato individuato un numero limitato di tipologie di strumenti informatici per il trattamento dei dati, e che sono state quindi messe in relazione con i rischi e le misure riportate in Tabella A. Le diverse tipologie di strumenti e le relazioni con la Tabella A sono riportate nella tabella che segue. Tabella B Classificazione degli strumenti informatici in relazione a rischi e misure di cui in Tabella A Tipo Righe della Tabella A che si applicano allo specifico strumento strumento 1 applicazione 1, 5, 12, 13, 15, 16, 17, 18, 20, 21, 22, 23, 25, 26, 28 centrale intranet 2 applicazione 1, 5, 12, 13, 14, 15, 16, 17, 18, 20, 21, 22, 23, 24, 25, 26, 28 centrale Internet 3 file server 1, 5, 12, 13, 15, 16, 17, 20, 21, 22, 23, 26, 28 4 pc incaricato 1, 6, 7, 8, 10, 12, 13, 22, 23, 26, 28 5 pc incaricato esterno al dominio 6, 7, 8, 10, 28

8 Specifiche misure di sicurezza di autenticazione e autorizzazione L accesso ai dati tramite strumenti elettronici collocati presso le sedi centrale e periferiche dell Amministrazione è regolato da meccanismi di autenticazione ed autorizzazione articolati su più livelli: - un primo livello di regolamentazione degli accessi, ove disponibile, prevede il controllo dell accesso alla risorsa fisica tramite una parola chiave nota all utente che ha in uso la risorsa, sia al responsabile dell Ufficio da cui l utente afferisce; - ad un secondo livello, l accesso è regolato dai meccanismi di protezione forniti dai sistemi operativi: ciascun utente dispone di una coppia di credenziali per l accesso al sistema operativo ed alle funzionalità da questo gestite (es. installazione, configurazione e manutenzione del sistema operativo e delle applicazioni, esecuzione delle applicazioni, accesso alle risorse locali e remote). Autenticazione ed autorizzazione sono gestite, nella maggior parte dei casi, attraverso un apposita infrastruttura centralizzata: - ad un terzo livello, l accesso è regolato da meccanismi di autenticazione ed autorizzazione attivati dalle singole applicazioni utilizzate per i diversi trattamenti. In taluni casi le applicazioni si appoggiano a meccanismi compresi nell applicazione stessa, in altri casi si appoggiano all infrastruttura di cui al punto precedente. E in atto una misura atta a diffondere maggiormente il ricorso a quest ultima soluzione, almeno per quanto concerne l autenticazione. L accesso alle singole funzionalità, a livello sia di sistema operativo che di applicazioni, è controllato tramite un meccanismo di autorizzazione basato su profili, definiti sia individualmente che per classi di utenza omogenee. Agli utenti sono comunicati, sia esplicitamente (attraverso specifiche istruzioni) che implicitamente (richiamando la normativa), gli obblighi relativamente al trattamento di dati personali, sensibili e giudiziari. In particolare, sono impartite istruzioni affinché: - siano adottate le necessarie cautele per assicurare la segretezza della parte segreta delle credenziali ai diversi livelli; - la parola chiave sia composta di almeno 8 caratteri (ove possibile), non contenga riferimenti agevolmente riconducibili all utente, sia modificata al primo utilizzo, e successivamente almeno ogni 6 mesi (3 nel caso di dati sensibili o giudiziari); - non sia lasciato incustodito ed accessibile lo strumento per l accesso ai dati. Sono inoltre di attivazione alcune misure per consentire la verifica automatica e l eventuale applicazione forzata dei vincoli di cui sopra. Infine, ai responsabili dei trattamenti sono impartite istruzioni affinché - siano definiti, eventualmente con il supporto dei responsabili dei, i profili delle autorizzazioni per gli incaricati del trattamento dati; - siano disattivate (tramite intervento diretto sui sistemi o tramite tempestiva comunicazione ai responsabili dei sistemi informativi) le credenziali degli utenti qualora questi perdessero le qualità per l accesso ai dati.

9 Altre misure di sicurezza Oltre ai suddetti meccanismi di autenticazione ed autorizzazione, sono adottate opportune misure affinché l infrastruttura telematica dell Amministrazione risulti protetta rispetto ad accessi non autorizzati sia dall interno che dall esterno. A questo scopo la rete dell Amministrazione è suddivisa in varie zone, a ciascuna delle quali sono applicati diversi criteri di autenticazione, autorizzazione, sicurezza e protezione. Tale suddivisione è realizzata mediante l uso di più strumenti, sia fisici che logici (switch, router, firewall, proxy, ), operanti su più livelli. La rete di comunicazione dell Amministrazione ( Intranet ) e la rete pubblica di comunicazione ( Internet ) sono collegate in maniera tale da limitare allo stretto necessario lo scambio di dati. In particolare la separazione delle reti è tale per cui non sono previsti accessi diretti alla rete interna; infatti, i dati in transito sono veicolati da appositi strumenti per il monitoraggio del traffico, sì da rilevare ed impedire traffico non autorizzato. I sistemi e le applicazioni, che si trovano tanto sulla rete esterna che su quella interna, sono aggiornati periodicamente per applicare le correzioni sviluppate dai fornitori per rimuovere le vulnerabilità note. Tali aggiornamenti sono effettuati, almeno per quanto riguarda i sistemi che si affacciano sulla rete esterna, non appena questi si rendono disponibili ed è stata verificata la loro compatibilità con gli altri componenti dell intera infrastruttura, e comunque con frequenza almeno semestrale. Per quanto riguarda sistemi ed applicazioni delle postazioni degli utenti sulla rete interna, gli aggiornamenti avvengono periodicamente, e, nella maggior parte dei casi, in modo automatico. La configurazione standard dei sistemi di elaborazione che possono essere oggetti di programmi informatici del tipo virus, worm o trojan, comprende anche strumenti ( antivirus ) atti ad individuare e possibilmente eliminare tali programmi. Questi strumenti vengono aggiornati entro pochi giorni dal rilascio di una nuova versione dei codici di identificazione e rimozione da parte del fornitore, e comunque con cadenza almeno settimanale. La riservatezza dei dati personali, sensibili o giudiziari è perseguita anche attraverso la realizzazione di un infrastruttura telematica che non consenta la lettura e la manomissione di flussi di dati, da parte di soggetti diversi da quelli direttamente interessati allo scambio di dati. A questo proposito sono state adottate misure atte a realizzare una separazione dei canali di comunicazione si dal punto di vista fisico (impiego capillare di apparati di rete switched ) che da quello logico (criptazione del traffico, definizione di sottoreti protette, ).

10 Misure per il ripristino e la disponibilità dei dati Per garantire il ripristino dei dati in caso di danneggiamento degli stessi o dei sistemi che li trattano, nel caso dei sistemi centrali sono applicate procedure automatizzate per l archiviazione periodica (con frequenza giornaliera, o al più settimanale) dei dati su supporti removibili e non, ottici o magnetici. I gestori dei sistemi informativi verificano periodicamente il corretto funzionamento delle suddette procedure. Al fine di incrementare l integrità dei dati ed il loro ripristino, con particolare riferimento ad eventi naturali, accidentali o dolosi che interessino i locali presso i quali sono ospitati i sistemi e le copie di sicurezza dei dati, oltre alle procedure per salvataggio e ripristino tra sedi geograficamente distanti, è stata adottata una soluzione per l archiviazione di sicurezza dei dati anche su sistemi geograficamente distanti, ubicati in sedi diverse da quella presso la quali i dati sono solitamente trattati. Si prevede inoltre l acquisizione di una nuova soluzione di archiviazione che, previa verifica della disponibilità di idonei locali tecnici, potrà consentire anche il salvataggio automatico dei dati presso sedi diverse avvalendosi della rete di comunicazione interna all Amministrazione. Nel caso di dati archiviati sui sistemi in uso agli incaricati, sono impartite disposizioni per l archiviazione periodica (almeno settimanale) dei dati su supporti removibili, e per la corretta conservazione di questi ultimi. Le diverse tipologie di criteri e procedure per il salvataggio e ripristino dei dati in essere o d adozione all interno dell Amministrazione sono riportate nella tabella seguente, e sono utilizzate per la compilazione delle schede relative ai diversi trattamenti. Tabella C Criteri e procedure per il salvataggio e il ripristino della disponibilità dei dati Criteri e procedure per Tipo il salvataggio Frequenza dei salvataggi: almeno 1 volta al giorno Storico: almeno 3 giorni Utilizzo di procedure automatizzate per l'archiviazione dei dati su supporti non removibili (hard disk) e removibili 1(nastri). Frequenza dei salvataggi: almeno 1 volta al giorno Storico: almeno 3 giorni Utilizzo di procedure automatizzate per l'archiviazione dei dati su supporti removibili e non, 2ottici o magnetici. 3Frequenza dei salvataggi: almeno 1 volta al giorno Storico: almeno 5 giorni Utilizzo di procedure Pianificazione delle prove di ripristino, per i soli dati, con cadenza annuale. Non prevista per l intero sistema (hw, applicazioni)., per i soli dati, con cadenza annuale. Non prevista per l intero sistema (hw, applicazioni). Criteri e procedure per il ripristino dei dati Ripristino dei dati dai supporti non removibili (hard disk) e removibili (nastri). Ripristino dei dati dai supporti removibili e non, ottici o magnetici. Ripristino con procedure semiautomatiche dei dati archiviati Luogo di custodia delle copie Locali ad accesso controllato diversi dalla collocazione delle macchine interessate dai salvataggi Struttura o persona incaricata del salvataggio Locali ad accesso controllato Locali ad accesso controllato

11 automatizzate per l'archiviazione dei dati su hard disk Frequenza dei salvataggi: almeno 1 volta alla settimana Storico: almeno 1 settimane Utilizzo di procedure automatizzate per l'archiviazione dei dati su supporti removibili e non, 4ottici o magnetici. 5Occasionale Non previsto Salvataggio settimanale su PC dedicato, mediante software installato in 6locale su hard disk Ripristino con procedure semiautomatiche dei dati dai supporti removibili e non, ottici o magnetici su supporti removibili Supporti non removibili Cassaforte ad accesso controllato in locali diversi dalla collocazione delle macchine interessate dai salvataggi variabile Locali ad accesso controllato Responsabile / incaricato Misure di tutela e garanzia Particolari misure di tutela e garanzia sono adottate nel caso in cui nella realizzazione dei sistemi ed nel trattamento dei dati sono coinvolti soggetti esterni. In particolare, nel caso cui i sistemi informativi per il trattamento dei dati personali e/o sensibili siano realizzati o acquisiti da soggetti esterni all Amministrazione, è richiesta al soggetto fornitore il soddisfacimento dei requisiti di cui al D.Lgs. 196/2003 e degli altri requisiti che l Amministrazione, caso per caso, riterrà opportuno formulare al fine di garantire la riservatezza e l integrità dei dati. Nei casi in cui il trattamento (anche in forma parziale) dei dati personali e/o sensibili sia affidato a soggetti esterni all Amministrazione, si richiede che questi rispettino, durante l esecuzione del contratto di servizi, tutti gli obblighi imposti dal D.Lgs. 196/2003 sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati nonché dagli allegati al decreto suindicato sull individuazione delle misure minime di sicurezza per il trattamento dei dati. In relazione ai diversi servizi i soggetti esterni assumono gli obblighi di incaricato del trattamento dei dati personali, nei casi per i quali i compiti affidati comportino lo svolgimento di singole operazioni ed elaborazioni. I soggetti devono impegnarsi formalmente a dare istruzioni al proprio personale affinché tutti i dati e le informazioni di cui verranno a conoscenza durante lo svolgimento del servizio, vengono considerati riservati e come tali trattati. I soggetti esterni sono altresì tenuti ad identificare le persone coinvolte nell erogazione del servizio e a nominarle incaricati al trattamento dei dati personali ai sensi del D.Lgs. 196/03. In particolare, al personale sono impartite istruzioni al riguardo circa la non possibilità di copiare i dati, se non vi sia una stretta necessità, ovvero imponendo l'obbligo di cancellare le copie necessarie dopo aver espletato la propria attività. Quanto detto sopra si applica anche ai soggetti esterni incaricati della manutenzione fisica e logica dei sistemi informativi, con particolare riferimento alla infrastruttura di rete, alla manutenzione dei sistemi informativi per i quali sono richieste delle credenziali, così come alla manutenzione dei dispositivi dotati di supporti (rimovibili e non) per la memorizzazione permanente dei dati, in particolar modo qualora l attività di manutenzione richieda il trasferimento dei supporti e/o dati al di fuori delle sedi dell Amministrazione. In caso di difetti ai supporti di memorizzazione che ne richiedano la sostituzione, si richiede comunque la restituzione all Amministrazione del supporto difettoso oppure,

12 alternativamente, l attestazione della cancellazione definitiva dei dati ovvero dell avvenuta distruzione del supporto medesimo.