Gestione delle credenziali e dei profili di accesso

Transcript

1 Gestione delle credenziali e dei profili di accesso MATRICE DELLE REVISIONI REVISIONE DATA DESCRIZIONE / TIPO MODIFICA REDATTA DA VERIFICATA DA APPROVATA DA Direttore Amministrativo Tecla Del Do 00 05/09/2017 Emissione Servizio Informativo Carlo De Angelis Servizio Informativo Nicola Bortolotti Direttore SC Economico Finanziaria Nives Di Marco Politiche e Gestione Risorse Umane Daniela Martini Direttore Generale Massimo Romano Affari Generali Alessandro Camarda, Sonia Borghese Approvato con decreto n. 91 del 15/09/2017

2 Gestione delle credenziali e dei profili di accesso pag. 2 di 11

3 Indice Scopo ed applicazione... 4 Destinatari... 5 Modalità di richiesta delle credenziali... 5 Modalità di rilascio delle credenziali... 6 Re-inizializzazione della password di dominio... 6 Revoca/Cessazione delle credenziali... 7 Caratteristica delle password... 7 Utilizzo delle credenziali... 8 Uso appropriato delle credenziali amministrative... 9 Caratteristica delle password per amministratori di sistema... 9 Revisione delle credenziali Profili di abilitazione Riferimenti Normativi Terminologia Abbreviazioni Gestione delle credenziali e dei profili di accesso pag. 3 di 11

4 Scopo ed applicazione Il presente documento ha lo scopo di definire i criteri per la creazione e l utilizzo delle credenziali di autenticazione degli Incaricati dei servizi informatici e delle ulteriori strutture preposte dell EGAS Ente per la gestione accentrata dei servizi condivisi di Udine - di seguito Azienda - in relazione a quanto previsto dal Decreto Legislativo n. 196 del 30/06/2003 Codice in materia di protezione dei dati personali (Codice Privacy) e alle indicazioni ufficiali pubblicate da AgID per valutare ed innalzare il livello di sicurezza informatica delle PA in riferimento all'avvenuta pubblicazione in Gazzetta Ufficiale (Serie Generale n.103 del ) della Circolare 18 aprile 2017, n. 2/2017, recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1 agosto 2015)». La presente procedura richiama, in un separato documento che verrà implementato ed aggiornato dal Servizio Informativo, i profili di abilitazione dei singoli applicativi che possono essere attribuiti a ciascuna funzione/figura professionale presente in Azienda. Il sistema di autenticazione per l accesso ai servizi e agli applicativi consiste in un codice per l identificazione dell incaricato user name associato ad una parola chiave riservata password, conosciuta esclusivamente dall Incaricato: i due elementi costituiscono le credenziali di autenticazione account ai sensi dell allegato B punto 2 del Codice Privacy. Lo user name viene assegnato e variato esclusivamente dall amministratore di Sistema (interno o esterno all Azienda), le utenze sono di tipo nominale e pertanto riconducibili al soggetto assegnatario. La password è gestita, dopo la prima assegnazione da parte dell amministratore, esclusivamente dall Incaricato, con l eccezione dei casi in cui ricorrano necessità di carattere tecnico organizzative. Nemmeno il personale dei Sistemi Informatici ed il personale di Aziende Terze che per essi operano, hanno ragione alcuna di richiedere la password personale ad un Incaricato, che è tenuto ad adottare, nell ambito delle proprie attività, tutte le misure di sicurezza atte a prevenire la possibilità di accessi non autorizzati, furti, frodi, danneggiamenti, distruzioni o altri abusi nei confronti delle risorse informatiche siano esse hardware che software. Qualsiasi azione svolta sotto l'autorizzazione offerta dalla coppia userid e password sarà attribuita in termini di responsabilità all'utente titolare del codice userid, salvo che l'utente dia prova di illecito utilizzo della sua autorizzazione da parte di terzi. Gestione delle credenziali e dei profili di accesso pag. 4 di 11

5 È assolutamente vietata la detenzione abusiva, la diffusione e l indebita appropriazione di credenziali di autenticazione. Destinatari Il documento è destinato a tutti i dipendenti e al personale autorizzato (di seguito Incaricato ) dell Azienda. Modalità di richiesta delle credenziali All atto dell assunzione, tutti gli Incaricati (Neo Assunto) devono avere accesso alle risorse informatiche aziendali. La struttura Politiche e Gestione Risorse Umane, comunica al Servizio Informativo l assunzione della nuova risorsa indicando la data di fine rapporto per tutti i casi diversi dal tempo indeterminato. Ad evasione delle inerenti attività creazione dell utenza, della cassetta di posta istituzionale e configurazione alle risorse dati della struttura di afferenza il Servizio Informativo consegna la busta chiusa contente le credenziali personali di accesso al dominio alla struttura Politiche e Gestione Risorse Umane che le conserverà con la massima cura/riservatezza sino al momento di affidarle direttamente all interessato durante la presa in servizio (consultare la relativa sezione MODALITÀ DI RILASCIO DELLE CREDENZIALI). Contestualmente o in seguito alla produzione delle credenziali di dominio, il Responsabile (o altra figura se preventivamente delegata dal responsabile), attraverso la modulistica preposta, procede all invio della richiesta al Servizio Informativo per gli accessi ai servizi e agli applicativi disponibili. Tutti i responsabili possono richiedere per i propri collaboratori l'accesso alle procedure informatiche presenti nell'azienda. Nelle situazioni in cui il rilascio delle credenziali rappresenti carattere di urgenza ed il Responsabile risulti impossibilitato ad effettuare la richiesta - per esempio a seguito di assenza - la modulistica potrà essere inoltrata dal superiore del Responsabile in maniera gerarchica (in ultimo dal Titolare stesso). Ogni struttura operativa è tenuta ad organizzare e conservare la tenuta di un registro delle credenziali richieste per i propri collaboratori; in tal modo potrà essere correttamente istanziata la richiesta di disabilitazione degli accessi agli applicativi in caso di sopraggiunta necessità. È onere dei singoli responsabili la nomina formale del nuovo collaboratore con la lettera di incarico ossia il documento inerente all incarico del trattamento dei dati personali e sensibili. Gestione delle credenziali e dei profili di accesso pag. 5 di 11

6 Il responsabile deve accertarsi della presa visione della lettera come pure di informare l Incaricato dell obbligatorietà della presa di visione del documento stesso. È altresì dovere dei responsabili la richiesta formale di revoca delle singole credenziali di accesso precedentemente assegnate ai propri collaboratori qualora vengano meno le condizioni per l utilizzo delle credenziali stesse. L attività di revoca viene gestita con la medesima modulistica preposta al rilascio di nuove credenziali. Ad ogni Incaricato possono essere attribuite più credenziali di autenticazione (coppie username-password) in relazione all applicativo, al ruolo e alle funzioni da svolgere. Il medesimo username non può essere assegnato, neppure in tempi diversi, ad altri Incaricati. Le parte riservata della credenziale (password), come previsto dalla normativa sulla privacy nell ambito della gestione di dati personali e sanitari, deve essere modificata ogni 90 giorni. Modalità di rilascio delle credenziali L Incaricato ritira personalmente presso la struttura Politiche e Gestione Risorse Umane le sole credenziali di accesso alla rete aziendale (le medesime utilizzate per l utilizzo della posta elettronica). La busta conterrà: Le credenziali di autenticazione al dominio e alla posta elettronica; Le istruzioni per il cambio password al primo accesso; Le caratteristiche che deve avere una password previste dalla normativa privacy; Le indicazioni circa i regolamenti per l utilizzo delle risorse informatiche. Eventuali ulteriori credenziali di accesso agli applicativi verranno inviate dagli amministratori preposti direttamente alla cassetta personale (PEO) dell Incaricato. Le credenziali saranno rilasciate in conformità a quanto previsto dalla vigente normativa, ossia separando la lettera cifrata dalla chiave di cifratura (codice da utilizzare per decifrare il contenuto). Re-inizializzazione della password di dominio In caso di smarrimento o scadenza della password di accesso al dominio l incaricato dovrà presentarsi - previo appuntamento e munito di documento di identità in corso di validità - presso il Servizio Informativo per procedere d intesa con gli amministratori alla reinizializzazione della parte privata della credenziale. La re-inizializzazione di password non afferenti al dominio (per esempio applicativi SISSR) la procedura seguirà quanto indicato nel terzo paragrafo della sezione MODALITÀ DI RILASCIO DELLE CREDENZIALI. Gestione delle credenziali e dei profili di accesso pag. 6 di 11

7 Revoca/Cessazione delle credenziali In caso di estinzione del rapporto contrattuale con l Incaricato, la Struttura Politiche e Gestione Risorse Umane invia tempestiva comunicazione a mezzo di posta elettronica al Servizio Informativo e questi provvede ad inibire l'accesso ai Servizi Informatici aziendali (dominio, posta elettronica e share di rete) entro tre giorni lavorativi dal ricevimento della comunicazione. È altresì cura del dirigente responsabile dell utente in uscita compilare la modulistica preposta ed inviarla al Servizio Informativo per la richiesta di cessazione delle credenziali di accesso ai singoli applicativi per i quali l utente era stato abilitato. Caratteristica delle password Gli incaricati sono responsabili della custodia e dell utilizzo delle proprie credenziali di autenticazione; la password, formata da lettere (maiuscole e minuscole), numeri e/o caratteri speciali, nei limiti consentiti dai sistemi, deve avere le seguenti caratteristiche: deve essere di lunghezza non inferiore ad 8 caratteri oppure, nel caso in cui ciò non sia possibile, da un numero di caratteri pari al massimo consentito; deve essere composta da caratteri maiuscoli e minuscoli e da numeri (es. Y12s3hTI); non deve contenere riferimenti agevolmente riconducibili all Incaricato o ad ambiti noti; deve essere obbligatoriamente cambiata al primo utilizzo e successivamente ogni 90 giorni (per quanto concerne le credenziali di dominio esiste un meccanismo di scadenza automatica); deve essere diversa da quella precedentemente utilizzata; deve essere nota esclusivamente all utilizzatore e non deve essere assegnata e/o comunicata ad altri; non deve essere basata su nomi di persone, date di nascita, animali, oggetti o parole ricavabili dal dizionario (anche straniere), o tratta da informazioni personali; non deve presentare una sequenza di caratteri identici o in gruppi di caratteri ripetuti; non deve essere memorizzata in funzioni di log-in automatico, in un tasto funzionale o nel browser utilizzato per la navigazione Internet; deve essere annullata e sostituita con una nuova - per motivate necessità di urgente accesso alle informazioni ed impedimento del titolare delle credenziali - da parte degli amministratori dei servizi o loro delegati. In questo caso essa dovrà essere nuovamente modificata al primo accesso da parte dell Incaricato; Gestione delle credenziali e dei profili di accesso pag. 7 di 11

8 le password di Amministratore di sistema, qualora necessario, sono opportunamente custodite in busta sigillata ed in luogo protetto; con l assenso del responsabile del Servizio Informativo si procede all acquisizione di tale password in caso di urgenza ed impedimento (per assenza, malattia, ecc..) dell amministratore di sistema. Quest ultimo verrà tempestivamente informato dell accaduto non appena possibile ed al medesimo verrà attribuita una nuova password, che sarà custodita in luogo della vecchia. Utilizzo delle credenziali L utente è tenuto a rispettare i criteri descritti nella sezione CARATTERISTICA DELLE PASSWORD per la creazione di password robuste (anche laddove il software non imponga tale abitudine) e ad eseguire le modifiche periodiche stabilite dall amministratore di sistema. L'utente si impegna a non cedere a terzi le proprie credenziali, consapevole che la cessione delle stesse consente ad altri l accesso e l utilizzo dei relativi servizi. La responsabilità di qualsiasi azione svolta dopo aver eseguito la procedura di autenticazione sarà attribuita all utente assegnatario delle credenziali. L'utente è quindi responsabile, sia nei confronti di terzi che dell Azienda, di fatti e atti illeciti, con particolare riferimento all immissione in rete di contenuti critici o contrari all ordine pubblico o al buon costume così come definiti dalla giurisprudenza corrente. Non sono previsti accessi anonimi o di gruppo: laddove questi siano attualmente attivi saranno progressivamente dismessi. L utente si impegna a modificare tempestivamente la password d accesso alla rete qualora tale dato sia stato rubato, smarrimento, perso o sia noto a terzi. In caso il dato si sia diffuso in maniera fraudolenta a persone terze (furto, sottrazione illecita, copia non autorizzata, operazioni di pirateria informatica, ecc.) l utente deve comunicare tempestivamente l accaduto al Servizio Informativo. L Azienda si fa garante della custodia dei dati personali forniti dall utente e si impegna a non rivelarli a terzi, se non a fronte di legittima richiesta da parte di Autorità Giudiziaria, Autorità di Pubblica Sicurezza e Garante per la Protezione dei Dati Personali. Nel caso l'utente venisse a conoscenza delle password di altro utente, è tenuto a darne immediata notizia all Amministratore di sistema ed al Servizio Informativo. Qualora la parola chiave dovesse venir sostituita per decorso del termine sopra previsto e/o in quanto abbia perduto la propria riservatezza, l utente potrà procedere d intesa con il personale del Servizio Informativo. Gestione delle credenziali e dei profili di accesso pag. 8 di 11

9 È assolutamente proibito accedere alla rete e ai programmi con delle credenziali di autenticazione (in particolare con un codice d identificazione utente) diverso da quello assegnato. L Azienda eroga, nell ambito del Piano di Offerta Formativa, corsi obbligatori riguardanti la Privacy in cui vengono evidenziati, fra gli altri, gli obblighi previsti dalla normativa vigente circa l assegnazione e la gestione delle credenziali personali di accesso alle risorse informatiche, sistemi ed applicativi software. Uso appropriato delle credenziali amministrative I privilegi di amministrazione saranno limitati ai soli utenti che abbiano le competenze adeguate e la necessità operativa di modificare la configurazione dei sistemi previa nomina formale ad Amministratore di Sistema (decreto Egas n.71 del ). Le utenze amministrative, qualora erogate, saranno utilizzate dagli amministratori per effettuare le sole operazioni che ne richiedano i privilegi, assicurando così la completa distinzione tra utenze privilegiate e non privilegiate (in alcuni applicativi il login avviene con la medesima credenziale, ma prima dell effettivo accesso al programma, una casella combinata permette di selezionare il ruolo che verrà impiegato nell applicativo per quella particolare sessione operativa). Laddove il Sistema lo permetta, anche i permessi amministrativi saranno concessi in maniera granulare per consentire unicamente l evasione delle attività elencate nell ambito di operatività per cui l amministratore è stato nominato. Caratteristica delle password per amministratori di sistema Le password amministrative rivestono particolare rilevanza, pertanto, oltre a quando già indicato nella sezione CARATTERISTICA DELLE PASSWORD, devono essere soggette a maggiori requisiti di complessità. La password di amministratore di sistema, in tutti i casi in cui l autenticazione a più fattori non sia supportata, saranno iniziate con politiche di elevata robustezza (per es. maggiori di 14 caratteri); laddove il sistema non permetta di gestire tale obbligo, sarà cura dell amministratore stesso scegliere una password conforme ad ottemperare a tale adempimento. Al fine di aderire alle misure minime di sicurezza emanate dall Agid, verranno inoltre impostate opportune policy per assicurare che anche le credenziali delle utenze amministrative vengano sostituite con una frequenza prestabilita (password aging) e non possano essere riutilizzate a breve distanza di tempo (password history); anche in tal caso, laddove il sistema non permetta Gestione delle credenziali e dei profili di accesso pag. 9 di 11

10 di gestire in maniera automatizzata tali prescrizioni, sarà cura dell amministratore stesso modificare la password in maniera conforme a quanto riportato. Revisione delle credenziali La revisione delle autorizzazioni degli Incaricati e dei diritti di accesso ai sistemi - profili per la rete, singoli applicativi, cartelle e directory, banche dati ecc. - deve essere periodicamente svolta, sulla base delle esigenze della Struttura e secondo la normativa vigente, da parte dei singoli Responsabili al trattamento dei dati personali. Profili di abilitazione I responsabili al trattamento, o loro delegati, hanno facoltà di richiedere, per i propri collaboratori, l accesso agli applicativi elencati nel documento SISTEMI INFORMATICI E PROFILI DI AUTORIZZAZIONE stabilendo preventivamente i ruoli strettamente necessari alle funzioni per cui sono incaricati (compatibilmente al livello di responsabilità e al contesto in cui operano). Le abilitazioni per il personale esterno (personale dipendente di altri enti comandato a prestare servizio presso l Azienda, personale in servizio presso l Azienda mediante somministrazione di lavoro interinale, Personale Esterno in Regime Di Accordi/Progetti, Dipendenti/Liberi Professionisti che presentano attività per associazioni di volontariato, consulenti, ecc..), vengono valutate e richieste, caso per caso, dai Responsabili del trattamento dei dati che se ne assumono le responsabilità di legge. Riferimenti Normativi Codice in materia di protezione dei dati personali, Decreto legislativo 30 giugno 2003, n.196 e s.m.i. Terminologia Account : indica quell'insieme di funzionalità, strumenti e contenuti attribuiti ad un nome utente in determinati contesti operativi, spesso in siti web o per usufruire di determinati servizi su Internet; "autenticazione informatica": l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità; "credenziali di autenticazione : le informazioni e/o i dispositivi, in possesso di una persona, solo da questa conosciuti o ad essa univocamente correlati, utilizzati per l autenticazione informatica; Gestione delle credenziali e dei profili di accesso pag. 10 di 11

11 Directory : Sezione di memoria denominata univocamente e utilizzata per archiviare file; hardware : si indica la parte fisica di un computer, ovvero tutte quelle parti elettroniche, elettriche, meccaniche, magnetiche, ottiche che ne consentono il funzionamento (dette anche strumentario); "Incaricati": le persone fisiche autorizzate a compiere operazioni di trattamento dei dati dal Titolare o dal Responsabile e ad accedere alle Risorse informatiche aziendali; log : registro cronologico degli eventi tipico di qualsiasi sistema informativo; "parola chiave": componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; "profilo di autorizzazione": l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti; "Responsabile": la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento di dati personali; Responsabile del Servizio Informativo : il responsabile della sicurezza e della gestione delle Risorse informatiche aziendali; Risorse informatiche aziendali : qualsiasi combinazione di apparati tecnologici dell'azienda e del Sistema informativo Socio Sanitario Regionale (SISSR), hardware o software, utilizzati per le comunicazioni elettroniche ed elaborazione dei dati; "sistema di autorizzazione": l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente; software : è l'informazione o le informazioni utilizzate da uno o più sistemi informatici e memorizzate su uno o più supporti informatici. Tali informazioni possono essere quindi rappresentate da uno o più programmi, oppure da uno o più dati, oppure da una combinazione delle due; "strumenti elettronici": gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento. Abbreviazioni EGAS: Ente per la Gestione Accentrata dei Servizi; INSIEL: Informatica per il Sistema degli Enti Locali S.p.A. società in-house della Regione Friuli Venezia Giulia che si occupa della realizzazione degli sviluppi e della conduzione del SISSR Gestione delle credenziali e dei profili di accesso pag. 11 di 11