Documento Programmatico sulla Sicurezza

Transcript

1 INFN Sezione di Pavia Documento Programmatico sulla Sicurezza Anno Introduzione Il contenuto del Documento Programmatico sulla Sicurezza è indicato al punto 19 dell Allegato B al Decreto legislativo 30 giugno 2003 n Codice in materia di protezione dei dati personali, il quale dispone: Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 1. l'elenco dei trattamenti di dati personali; 2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; 3. l'analisi dei rischi che incombono sui dati; 4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. 2. Elenco dei trattamenti dei dati Nella Struttura sono eseguiti i seguenti trattamenti di dati personali sensibili o giudiziari con l ausilio di strumenti elettronici. Le tipologie di trattamento consistono nella loro registrazione, conservazione, elaborazione e comunicazione alle Amministrazioni competenti. 1

2 2.1 Gestione del personale Finalità TIPOLOGIA DEI DATI SENSIBILI TRATTATI CATEGORIE INTERESSATE STRUMENTI UTILIZZATI TIPOLOGIE DI INTERCONNESSIONE Assunzioni, collocamento obbligatorio, carriera Dati relativi allo stato di salute e dati giudiziari Candidati a concorsi o selezioni Tutela della salute, gravidanza puerperio Dati relativi allo stato di salute Dipendenti / collaboratori Riconoscimento causa di servizio, equo indennizzo, concessione di benefici assistenziali Dati relativi allo stato di salute Dipendenti / collaboratori Trattamento economico: Trattenute sindacali Dati relativi all appartenenza sindacale Dipendenti / collaboratori Garanzia dei diritti sindacali Dati relativi all appartenenza sindacale Dipendenti / collaboratori Garanzia dei diritti politici: rilascio permessi per e- sercizio diritti politici Dati relativi all appartenenza politica Dipendenti / collaboratori Igiene e sicurezza sul lavoro Dati relativi allo stato di salute nonché dati inerenti fattori di rischio, quali dati dosimetrici ed altri Dipendenti / collaboratori 2.2 Contratti e appalti Finalità TIPOLOGIA DEI DATI SENSIBILI TRATTATI CATEGORIE INTERESSATE STRUMENTI UTILIZZATI TIPOLOGIE DI INTERCONNESSIONE Obblighi in materia di certificazioni antimafia Dati giudiziari Fornitori e ditte candidate a tale ruolo 3. Distribuzione dei compiti e delle responsabilità I compiti e le responsabilità in tema di trattamento dei dati personali sono distribuiti in conformità alla deliberazione del Consiglio Direttivo dell INFN n del 25 marzo 1999, come modificata dalla deliberazione n del 28 novembre Con tale deliberazione l Istituto Nazionale di Fisica nucleare, titolare del trattamento dei dati personali, ha individuato i responsabili del trattamento nei Direttori delle Strutture, nonché nei Direttori di Direzioni e Servizi dell Amministrazione Centrale e nel Responsabile del Servizio di Presidenza, ciascuno per i dati personali trattati nell esercizio delle proprie funzioni. Con la stessa deliberazione sono stati assegnati ai responsabili compiti di organizzazione e controllo sulla correttezza del trattamento dei dati, ivi incluso il compito di individuare gli incaricati al trattamento. Con apposite note scritte il Responsabile del trattamento dei dati personali ha provveduto ad individuare gli incaricati al trattamento, assegnando altresì, a ciascuno le indicazioni di condotta. 2

3 L elenco degli incaricati risulta dalle liste redatte in conformità a quanto richiesto al punto 15 dell Allegato B al D.Lgs. 30 giugno 2003 n. 196, che si allega. 4. Analisi dei rischi L analisi dei rischi, secondo la prassi comune [1-3], può essere suddivisa nelle seguenti fasi: 1. identificazione dei beni; 2. valutazione delle minacce e delle vulnerabilità; 3. identificazione dell esistente e pianificazione dei controlli dei sicurezza; 4. identificazione e selezione dei controlli. 4.1 Identificazione dei beni Si elencano di seguito le risorse rilevanti nell ambito di applicazione di questo documento Risorse hardware Le risorse hardware possono essere classificate nelle seguenti categorie: server su piattafome Intel x86, Digital VA; personal computer (PC) e workstation (WS) su piattaforme Intel x86, MacIntosh; stampanti; apparecchiature di rete: hub, switch, access point wireless e router per il collegamento alla rete locale e a quella geografica Risorse software I sistemi operativi utilizzati sono OpenVMS; Unix, Linux; Windows: NT, 2000, P, Vista, 7; Mac OS. Il sistema informativo è costituito dai seguenti sistemi applicativi: sistema per la gestione amministrativa sviluppato e aggiornato dalla sezione INFN di Roma, su computer con sistema operativo OpenVMS; nuovo sistema per la gestione amministrativa basato su Oracle Application, sviluppato e aggiornato a cura della sezione dell Amministrazione Centrale dell INFN di Frascati; sistema per la gestione del personale, sviluppato e aggiornato a cura dell Amministrazione Centrale, su piattaforma PC (Windows); sistema per la rilevazione delle presenze del personale, basato su applicazioni Solari (Udine), su piattaforma PC (Windows); per la gestione di procedure concorsuali e di gara ci si avvale anche di applicativi commerciali (ad es. File- Maker, Excel, Word) su piattaforma Intel x86 e MacIntosh. 3

4 4.1.3 Dati I dati personali sensibili o giudiziari conservati nel del sistema informativo sono quelli indicati al paragrafo Risorse umane L assistenza sistemistica per i PC e le WS (Linux, Windows e MacOS) è a carico: del Servizio Calcolo e Reti (4 persone) L assistenza per il software per la gestione amministrativa e del personale è a carico del personale che lo ha sviluppato. Gli utenti sono: software per la gestione amministrativa personale dell Amministrazione (6 persone); i rappresentanti locali delle linee di ricerca (coordinatori) (5 persone): solo in consultazione; i responsabili degli esperimenti (30 persone): solo in consultazione; software per la gestione del personale personale dell Amministrazione (1 persona) Documentazione Questa categoria comprende: documentazione sul sistema operativo, sui programmi applicativi, sulle procedure di gestione, sulle risorse hardware. Nel caso specifico, si ritiene che questa categoria sia assolutamente marginale Supporti Le copie di salvataggio dei dati (di sistema e applicativi) sui server sono memorizzate su: CD-ROM e/o DVD; server di rete. I dati sui PC e WS sono salvati su: CD-ROM e/o DVD; server di rete. 4.2 Valutazione delle minacce Le minacce cui sono soggette le risorse sono ovviamente dipendenti dalla loro natura e possono essere riassunte nella tabella seguente. Tipo Risorsa Hardware Software Minaccia Guasti sabotaggi eventi naturali (allagamenti, incendi, ecc.) furto intercettazione uso non autorizzato accesso non autorizzato a causa di errori di progettazione e/o realizzazione malware (worm, backdoor, trojan, ecc) 4

5 Tipo Risorsa Dati Personale Documentazione Supporti Minaccia attacchi di tipo denial of service spamming furto manomissione uso non autorizzato accesso non autorizzato comunicazione o divulgazione non autorizzata manomissione accidentale manomissione deliberata attacchi di tipo social engineering scarsa consapevolezza o conoscenza del problema della sicurezza desideri di rivalsa nei confronti dell amministrazione distruzione o alterazione per eventi naturali distruzione o alterazione intenzionale o accidentale deterioramento per uso e invecchiamento inaffidabilità del mezzo fisico obsolescenza del tipo di supporto perdita, sottrazione o furto Tabella 1. Tipi di minaccia 4.3 Individuazione dell esposizione al rischio La misura del rischio cui è esposto il sistema risulta dalla combinazione dei seguenti elementi: il valore della risorsa; l entità della minaccia; la vulnerabilità della risorsa alla minaccia. I livelli di rischio vengono classificati in: basso (B), medio (M) o alto (A) Risorse hardware Guasti Sabotaggi Eventi naturali Furto Intercettazione Uso non autorizzato μva B B B M B B PC Segreteria B B B M B B Switch LAN B B B M B B Router GARR B B B M B B Tabella 2, Livelli di rischio per le risorse hardware 5

6 4.3.2 Risorse software Accesso non autorizzato Malware Denial of Service Furto Manomissione Uso non autorizzato s.o. Windows M M B B B B s.o. Macintosh B B B B B B s.o. Unix / Linux M B B B B B s.o. VMS B B B B B B Rilevamento presenze B B B B B B Tabella 3. Livelli di rischio per le risorse software Dati Accesso non autorizzato Comunicazione o divulgazione non autorizzata Manomissione accidentale Manomissione deliberata Dati economici B B M B Dati relativi al personale Partecipazione concorsi B B M B B B M B Tabella 4. Livelli di rischio per i dati Risorse umane Social Engineering Scarsa consapevolezza Desideri di rivalsa Servizio Calcolo e Reti B B B Assistenza SW applicativo B B B Personale Amministrazione B B B Coordinatori M M B Tabella 5. Livelli di rischio per le risorse umane 6

7 4.3.5 Documentazione Dato che le informazioni sono facilmente recuperabili, i rischi risultano marginali Supporti Deterioramento Inaffidabilità Obsolescenza Perdita, sottrazione o furto Cassette magnetiche A M B B CD-ROM e DVD B B B B Tabella 6. Livelli di rischio per i supporti 5. Misure di sicurezza 5.1 Protezione delle aree e dei locali interessati dalle misure di sicurezza Misure in essere Il Direttore della Struttura ha individuato il personale preposto alla custodia delle chiavi di accesso alle risorse descritte qui di seguito. I server e le apparecchiature di rete sono collocati in locali il cui accesso è consentito solo alle persone espressamente autorizzate. Gli armadi che contengono gli apparati di rete sono gestiti esclusivamente dal Servizio Calcolo e Reti. I locali sono dotati di: misure che impediscono l accesso al personale non autorizzato e sistemi di protezione da interruzione o variazioni dell alimentazione elettrica. I PC le WS e i terminali per l accesso ai server e l elaborazione di dati sensibili sono bloccati da ciascun incaricato al trattamento prima di essere lasciati incustoditi (nel caso di terminali le sessioni interattive vengono chiuse). I supporti di backup sono conservati in armadi chiusi a chiave. 5.2 Criteri e procedure per assicurare l integrità dei dati Sicurezza del software Misure in essere Il software è installato solo da supporti fisici originali o dei quali sia nota la provenienza, o, nel caso di installazione remota, solo dalle macchine preventivamente autorizzate. Su tutte le macchine con sistema operativo Windows o MacOS e sui server che gestiscono la posta elettronica è installato un software antivirus, mantenuto aggiornato in modo automatico con cadenza almeno settimanale. 7

8 5.2.2 Integrità dei dati Misure in essere Il responsabile del trattamento ha individuato gli archivi da sottoporre a backup e ha nominato gli incaricati preposti all operazione. La periodicità del backup è giornaliera. Ogni tre mesi viene controllata la correttezza delle procedure di salvataggio e di ripristino. Nel caso di distruzione o danneggiamento dei dati, il responsabile del trattamento dà mandato agli incaricati di provvedere al loro ripristino a partire dalla copia di salvataggio ritenuta più valida. L operazione è eseguita con la massima celerità e comunque non oltre sette giorni dalla scoperta dell evento. 5.3 Controllo degli accessi Piattaforme di tipo server Misure in essere Il Direttore della Struttura ha individuato il custode delle password e il personale deputato ai controlli dei file di log del sistema. L accesso ai dati avviene tramite account individuati da username e password personali e modificabili da ciascun utente. L account viene disabilitato se non utilizzato per più di sei mesi consecutivi o se ha registrato un elevato numero di tentativi di accesso falliti. L accesso ai server avviene solo da postazioni esplicitamente autorizzate. Ogni tentativo di accesso (autorizzato o meno) viene registrato nei file di log del sistema, che sono periodicamente controllati dal personale individuato Altre piattaforme I dati sono conservati sui server, le altre piattaforme sono utilizzate solo per la loro elaborazione. 5.4 Criteri e procedure per la sicurezza delle trasmissioni dei dati Misure in essere Le apparecchiature di rete sono gestite e controllate dal Servizio Calcolo della Sezione. Gli apparati sono gestiti via rete, e i loro indirizzi appartengono a reti non raggiungibili dall esterno. L accesso alla rete locale è regolamentato da un firewall 1, in modo da limitare, almeno per i protocolli più pericolosi, l accesso dall esterno alle sole macchine autorizzate (e periodicamente verificate) dal Servizio Calcolo. Il software del firewall viene mantenuto aggiornato applicando le patch di sicurezza rilasciate dal venditore (o, se il caso, aggiornandone la versione). I protocolli il cui utilizzo è regolamentato, includono (la lista non è esaustiva): telnet / ftp; ssh; imap / imaps; smtp; http / https; 1 Con questo termine si intende anche un router con opportune ACL. 8

9 NetBios; snmp; irc; protocolli peer-to-peer; nfs; afs; 11. Maggiori dettagli sono disponibili nell'appendice A. I server utilizzati per l elaborazione di dati sensibili sono accessibili dal numero minimo indispensabile di nodi e il loro sistema operativo è mantenuto aggiornato applicando le patch di sicurezza rilasciate dal venditore (o, se il caso, aggiornandone la versione). Sono eliminate, nei limiti del possibile, tutte le connessioni non crittografate (ad es. telnet), sostituite da ssh o SSL/TLS. 5.5 Tabelle riepilogative Qui di seguito si riporta un riepilogo delle misure di sicurezza specifiche adottate per i rischi ritenuti di livello medio e alto. I rischi di livello basso vengono indirizzati dalle misure generali di sicurezza sopra elencate. RISORSA RISCHIO LIVELLO CONTROMISURE Hardware Furto M Controllo degli accessi, chiusura stanze fuori dagli orari di lavoro. s.o. Windows Accesso non autorizzato M Utilizzo di password e protocolli criptati s.o. Unix, Linux Accesso non autorizzato M Utilizzo di password e protocolli criptati Dati (tutti i tipi) Manomissione accidentale M Salvataggio periodico Personale Social engineering, scarsa consapevolezza M Formazione adeguata Supporti magnetici Supporti magnetici Deterioramento A Sostituzione frequente dei supporti Inaffidabilita M Backup frequenti, su piu supporti 6. Piano di verifica delle misure adottate Il processo di controllo e verifica della sicurezza del sistema informatico, di gestione delle basi dati e delle applicazioni è attuato dagli incaricati nominati dal Direttore della Struttura. Le operazioni di verifica sono effettuate semestralmente. I problemi riscontrati sono riportati al responsabile del trattamento che individua le opportune contromisure. 9

10 7. Piano di formazione degli incaricati Gli incaricati sono informati sui rischi che incombono sui dati, le misure disponibili per prevenire eventi dannosi, i profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, le responsabilità che ne derivano e le modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione del personale incaricato del trattamento dei dati è effettuata al momento dell ingresso in servizio nell ambito di corsi di formazione per neoassunti, nonché successivamente attraverso comunicazione di note informative e corsi, effettuati anche mediante strumenti elettronici. Il piano di formazione si articola nei seguenti punti: analisi dettagliata ed aggiornata delle vigenti disposizioni di legge, con riferimenti anche alle normative europee; disposizioni legislative in tema di tutela dei dati e criminalità informatica; definizione ed analisi dei ruoli di: titolare, responsabile, incaricato, custode delle password, interessato; adempimenti ex D.Lgs n. 196/03 in tema di rapporti con gli interessati e garanzia dei diritti degli interessati; misure minime ed appropriate di sicurezza con particolare riferimento a criteri logici, fisici ed organizzativi per la protezione dei sistemi informativi prevenzione e contenimento del danno strumenti di protezione hardware e software, sistemi anti-intrusione importanza e modalità di realizzazione delle operazioni di backup Con periodicità correlata all evoluzione tecnologica, gli incaricati del trattamento sono aggiornati circa le misure di sicurezza da adottare sugli elaboratori di cui hanno disponibilità. 8. Trattamento dei dati personali affidati all esterno Nessun trattamento dei dati personali sensibili è affidato all esterno. 9. Dati personali idonei a rivelare lo stato di salute e la vita sessuale Nessun dato personale idoneo a rivelare lo stato di salute e la vita sessuale è trattato attraverso strumenti elettronici I dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui ai punti 19.8 e 24 dell Allegato B) al D.Lgs. n. 196/03 (certificati, referti, altre attestazioni mediche) non sono trattati attraverso strumenti elettronici. Gli altri dati contenuti in documenti amministrativi nei quali si faccia riferimento alla salute (istanze o comunicazioni per fruizione permessi o diretti alla contabilizzazione della durata dei periodi di aspettativa, comporto ecc..;) sono contenuti in archivi informatizzati separati, protetti dalle misure di sicurezza in precedenza indicate. 10. Bibliografia [1] B. Fraser (Ed.), Site Security Handbook, RFC2196 (1997). [2] Linee guida per la definizione di un piano per la sicurezza, I Quaderni, 2, AIPA (1999). 10

11 [3] Presidenza del Consiglio dei Ministri, Dipartimento per l Innovazione e le Tecnologie, Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni, Allegato 2, Direttiva del 16 Gennaio [4] Fulvia Costa, Tabella delle porte TCP, UDP e filtri, 11

12 A. Protocolli e porte da regolamentare La tabella che segue è stata tratta da [4] Port T C P U D P Nome Filtro Note ftp-data ftp ssh DNS e smtp Permit network macchine Unix; Permit qualche caso DNS e smtp Permit network macchine Unix Permit qualche caso DNS e smtp Permit tutti gli altri verso la 22 Permit connessioni stabilite telnet smtp Permit smtp server name Permit domain Permit DNS http Permit Web Server autorizzati pop3 Permit POP Server autorizzati A volte la sessione ssh parte da porte di numero inferiore a 1000 verso una 22; bisogna che la connessione sia permessa purché nasca dall interno 113 ident Permit Usato da sendmail e qualche httpd ntp Permit imap Permit Imap Server autorizzati snmp Permit network zserv Permit macchine Unix Aggiornamento software CERN 12

13 Port T C P U D P Nome Filtro Note https Permit host Web Mail Secure http exec Software di Nomad 513 login Software di Nomad 514 cmd Software di Nomad Download Icarus ntalk Permit Permit server Mac File Server AppleTalk via ip imaps Permit server Imap Secure imap socks 2049 nfs