Comune di Paladina Manuale di Gestione del protocollo informatico, dei flussi documentali e degli archivi - Allegati.

Transcript

1 (Documento 11) PIANO DI SICUREZZA RELATIVO ALLA FORMAZIONE, ALLA GESTIONE, ALLA TRASMISSIONE, ALL INTERSCAMBIO, ALL ACCESSO, ALLA CONSERVAZIONE DEI DOCUMENTI INFORMATICI 1. Premessa Il presente piano di sicurezza, adottato ai sensi dell art. 4, comma 1, lettera c), del DPCM 03/12/2013 Regole tecniche per il protocollo informatico, descrive le politiche adottate dal Comune di Paladina affinché: - i documenti e le informazioni trattati dall Ente siano resi disponibili, integri e riservati; - i dati personali comuni, sensibili e/o giudiziari vengano custoditi in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. A tali fini, l art. 7 del suddetto DPCM, individua i requisiti minimi di sicurezza dei sistemi di protocollo informatico a cui il presente piano si conforma. Il piano di sicurezza, in base ai rischi cui sono esposti i dati (personali e non) e/o i documenti trattati, definisce: - le politiche generali e particolari di sicurezza da adottare all interno del Comune di Paladina; - le modalità di accesso al Sistema di Gestione Informatica dei Documenti (software di protocollo informatico); - gli interventi operativi adottati sotto il profilo organizzativo, procedurale e tecnico, con particolare riferimento alle misure minime di sicurezza, di cui al disciplinare tecnico richiamato nell allegato b) del decreto legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali, in caso di trattamento di dati personali, sensibili o giudiziari. Tale piano di sicurezza è soggetto a revisione con cadenza quinquennale; a seguito di particolari esigenze, determinate da sopravvenienze normative o evoluzioni tecnologiche, potrà essere modificato anticipatamente. 2. Elementi di rischio cui sono soggetti i documenti informatici e i dati contenuti nel Sistema di Gestione Informatica dei Documenti I principali elementi di rischio cui sono soggetti i documenti informatici e i dati trattati con l ausilio delle tecnologie informatiche sono essenzialmente riconducibili alle seguenti tipologie: - accesso non autorizzato, sia esso inteso come accesso al software di protocollo informatico o come accesso ai documenti, dati e unità archivistiche in esso contenuti;

2 - cancellazione o manomissione dei suddetti documenti e dei dati; - perdita dei suddetti documenti e dei dati; - trattamento illecito, eccedente rispetto allo scopo o comunque non in linea con la normativa vigente, dei dati personali. Per prevenire tali rischi e le conseguenze da essi derivanti, il Comune di Paladina adotta gli accorgimenti e le politiche per la sicurezza di seguito descritte. 3. Sicurezza della rete di accesso al servizio Il Protocollo informatico (d ora in avanti definito anche Sistema di gestione informatica dei documenti o semplicemente sistema) del Comune di Paladina opera nella rete intranet dell Ente, ereditandone tutti i meccanismi previsti per la sicurezza e la protezione e non è direttamente esposto all accesso attraverso internet. 4. Accesso al Sistema di Gestione Informatica dei Documenti e ai documenti e dati in esso contenuti da parte di utenti interni al Comune di Paladina L accesso al Sistema di Gestione Informatica dei Documenti, da parte degli utenti interni al Comune di Paladina, avviene attraverso l utilizzo di credenziali di autenticazione; i profili di abilitazione alle funzionalità del Sistema stesso sono attribuiti a ciascun utente sulla base di quanto disposto dal Responsabile del servizio archivistico (o Responsabile della gestione documentale). L accesso ai documenti e ai dati presenti sul Sistema è definito in base al livello di riservatezza degli stessi. Le credenziali di autenticazione consistono in un codice (User-Id), per l identificazione dell incaricato, associato ad una parola chiave riservata (password), conosciuta solamente dal medesimo; tali credenziali vengono verificate in tempo reale da un apposito sistema di identificazione, il quale consente l accesso ai soggetti abilitati e traccia tutti gli accessi di ciascun utente, memorizzando, ai fini di controllo, l User-Id corrispondente, ma non la password dello stesso. Agli incaricati è prescritto di adottare le necessarie cautele volte ad assicurare la segretezza della password; quest ultima è composta da almeno otto caratteri alfanumerici e non contiene riferimenti agevolmente riconducibili al titolare. La password è modificata dall incaricato al suo primo utilizzo e, successivamente, almeno ogni sei mesi, salvo nel caso in cui l incaricato tratti dati sensibili o giudiziari, nel qual caso la password sarà modificata ogni tre mesi. Come ulteriori misure di sicurezza, l User-Id non può essere assegnato ad altri incaricati neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno sei mesi vengono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica; tali credenziali sono altresì disattivate anche nel caso di perdita della qualità che consente all incaricato l accesso ai dati personali. Il Responsabile del CED non conoscere la password dell utente, qualora il titolare delle credenziali di autenticazione dimenticasse la propria password si procederà all assegnazione di una nuova chiave di accesso.

3 5. Accesso al trattamento di dati personali sensibili o giudiziari e politiche di sicurezza espressamente previste A ogni documento o fascicolo, all atto della registrazione nel sistema di protocollo informatico, è associata una Access Control List (ACL) che consente di stabilire quali utenti o gruppi di utenti hanno accesso ad esso. Per default il sistema segue la logica dell organizzazione, nel senso che ciascun utente può accedere solamente ai documenti o fascicoli che sono stati assegnati al Settore di appartenenza, o agli uffici ad esso subordinati. Periodicamente, e comunque con cadenza almeno annuale, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione degli operatori. L amministrazione adotta regole per l accesso ai documenti sulla base della normativa vigente in materia di privacy (Documento n. 16). 6. Formazione dei documenti informatici In ogni documento informatico deve essere obbligatoriamente riportata, in modo facilmente leggibile, l indicazione del soggetto che lo produce e gli altri elementi, di cui all articolo 2.1 del Manuale di gestione. I documenti informatici prodotti dal Comune di Paladina sono prodotti utilizzando formati elettronici che al minimo posseggano requisiti di leggibilità, interscambiabilità, non alterabilità durante le fasi di accesso e conservazione, immutabilità nel tempo del contenuto e della struttura. Per la scelta dei suddetti formati elettronici si faccia riferimento al paragrafo 2.1 del Piano di conservazione (Documento 10) e all allegato n. 2 del DPCM 03/12/2013, adottando in via preferenziale i formati PDF e PDF/A. Al fine di tutelare la riservatezza dei dati personali, i certificati e i documenti trasmessi all esterno contengono solo i dati utilizzati ai fini del procedimento amministrativo e nei termini previsti dalla legge. L apposizione della firma digitale, volta a garantire l attribuzione certa della titolarità del documento e la sua integrità, avviene previa conversione in un formato, tra quelli previsti dal suddetto DPCM, che garantisca la leggibilità, l interscambiabilità, la non alterabilità, l immutabilità nel tempo del contenuto e della struttura del documento medesimo (ad esempio PDF o PDF/A); l eventuale acquisizione mediante scansione dei documenti analogici avverrà in uno dei formati avente le medesime caratteristiche. L apposizione della firma digitale o di altre eventuali sottoscrizioni elettroniche, nonché la validazione temporale del documento sottoscritto digitalmente avvengono in conformità di quanto sancito dalle regole tecniche contenute nel DPCM 22/02/2013, emanate ai sensi dell art. 71 del D. Lgs. 82/2005. La sottoscrizione del documento con firma digitale avviene prima dell effettuazione della registrazione di protocollo ed è eseguita con un dispositivo sicuro rilasciato da un certificatore accreditato. Per attribuire una data certa al documento informatico il Comune di Paladina si avvale del servizio di marcatura temporale (time stamping) o ricorre a una delle modalità previste nel paragrafo 2.1 del presente manuale di gestione.

4 Sicurezza delle registrazioni di protocollo Tutti i documenti informatici ricevuti o prodotti dall amministrazione sono soggetti a registrazione obbligatoria ad esclusione di quelli soggetti a registrazione particolare da parte dell ente il cui elenco è allegato al manuale di gestione (Documento n. 3) ai sensi dell art. 53, comma 5 DPR 445/2000 Il protocollo informatico utilizzato dal Comune di Paladina è conforme alle specifiche previste dalla normativa vigente. Esso assicura: a) l univoca identificazione ed autenticazione degli utenti, tramite username e password, come descritto nel precedente paragrafo n. 4 del presente Piano di sicurezza; b) la protezione delle informazioni relative a ciascun utente nei confronti degli altri; c) la garanzia di accesso alle risorse esclusivamente agli utenti abilitati; d) la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in modo tale da garantire l identificabilità dell utente stesso. Tali registrazioni sono protette da modifiche non autorizzate. Il sistema inoltre: e) consente il controllo differenziato dell accesso alle risorse del sistema per ciascun utente o gruppi di utenti; f) assicura il tracciamento di qualsiasi evento di modifica delle informazioni trattate e l individuazione del suo autore. Tali registrazioni sono protette da modifiche non autorizzate. L accesso al registro di protocollo al fine di effettuare le registrazioni o di apportare modifiche è consentito soltanto al personale appositamente abilitato. Per quanto attiene la consultazione dei documenti memorizzati nel sistema, di norma, gli operatori dei vari uffici o servizi del Comune sono abilitati ad accedere esclusivamente ai documenti da essi prodotti, ad essi assegnati o, comunque, di competenza del proprio ufficio di riferimento. Ogni registrazione di protocollo viene memorizzata dal Sistema di Gestione Informatica dei Documenti, unitamente all identificativo univoco dell autore che l ha eseguita e alla data e all ora della stessa. L operazione di modifica o di annullamento di una registrazione di protocollo è eseguita con le modalità di cui all articolo 8 del DPCM 03/12/2013 e al paragrafo 4.8 del presente manuale di gestione, come di seguito specificato: a) il tentativo di modifica di una delle informazioni generate, o assegnate, automaticamente dal sistema e registrate in forma non modificabile (numero di protocollo, data della registrazione), determina l automatico e contestuale annullamento dell intera registrazione; b) le informazioni registrate in forma non modificabile (mittente, destinatario, oggetto) possono essere annullate per correggere errori intercorsi in sede di immissione di dati. In questo caso l annullamento deve comportare la rinnovazione del campo stesso con i dati corretti e la

5 contestuale memorizzazione, in modo permanente, del valore precedentemente attribuito unitamente alla data, l ora e all autore della modifica; c) solo al responsabile del servizio archivistico competono le funzioni di annullamento dei protocollo, come previsto dal manuale di gestione (art. 4.8). L annullamento di una registrazione di protocollo deve sempre recare, in corrispondenza della registrazione annullata, gli estremi del provvedimento di autorizzazione da parte del Responsabile del Servizio archivistico (o responsabile della gestione documentale). L impronta digitale del documento informatico, associata alla registrazione di protocollo del medesimo è generata utilizzando una funzione di hash, conforme a quanto previsto dalla normativa vigente. Al fine di garantire l immodificabilità delle registrazioni di protocollo, il Sistema permette, al termine della giornata lavorativa, la produzione del registro giornaliero delle registrazioni di protocollo, in formato digitale (PDF); tale registro, formato nel rispetto di quanto previsto nel manuale di conservazione, sarà trasferito nell arco della giornata lavorativa successiva, alla struttura di conservazione accreditata di cui il Comune si serve, secondo quanto previsto dall articolo 4.10 del presente manuale. In condizioni di emergenza si seguono modalità di registrazione e di recupero dei dati descritte dall articolo 63 del DPR 445/2000, dal paragrafo 4.12 del presente manuale di gestione e dalla Guida per l attivazione del registro di emergenza allegata al manuale di gestione (Documento n. 12.1). Sul registro di emergenza sono riportate la causa, la data e l ora d inizio dell interruzione nonché la data e l ora del ripristino della funzionalità del sistema; per ogni giornata di registrazione di emergenza è riportato sul registro di emergenza il numero totale di operazioni registrate; la sequenza numerica utilizzata su un registro di emergenza, anche a seguito di successive interruzioni, deve comunque garantire l identificazione univoca dei documenti registrati nell ambito del sistema documentario dell ente; le informazioni relative ai documenti protocollati in emergenza sono inserite nel protocollo informatico utilizzando un apposita funzione di recupero dei dati, senza ritardo rispetto al ripristino delle funzionalità del programma; durante la fase di recupero, a ciascun documento registrato in emergenza viene attribuito un numero di protocollo del sistema ordinario, che provvede a mantenere stabilmente la correlazione con il numero in emergenza, pertanto i documenti registrati in emergenza avranno due numeri: uno quello di emergenza e l altro quello del protocollo generale. Gestione dei documenti e sicurezza logica del Sistema I documenti informatici, una volta memorizzati nel sistema del protocollo informatico risultano immodificabili e non eliminabili; l accesso ad essi, da parte degli utenti interni al Comune, avviene soltanto attraverso il Sistema medesimo, previa la suddetta procedura di identificazione informatica e nel rispetto dei profili di autorizzazione di ciascun utente.

6 Il Sistema consente l effettuazione di qualsiasi operazione su di esso o sui dati, documenti, fascicoli e aggregazioni documentali in esso contenuti, esclusivamente agli utenti abilitati per lo svolgimento di ciascuna attività; il Sistema effettua, inoltre, il tracciamento di qualsiasi evento di modifica delle informazioni trattate e di tutte le attività rilevanti ai fini della sicurezza svolte su di esso da ciascun utente, in modo da garantirne l identificazione; tali registrazioni sono protette al fine di non consentire modifiche non autorizzate. Il Sistema e tutti i documenti e dati in esso contenuti sono protetti contro i rischi di intrusione non autorizzata e contro l azione di programmi informatici mediante l attivazione di software antivirus e firewall aggiornati con cadenza giornaliera o comunque quando tali aggiornamenti sono resi disponibili dal fornitore del software, tramite la funzione di aggiornamento automatico. Ai fini di ridurre la vulnerabilità dei sistemi informativi, il sistema operativo utilizzato dal Comune di Paladina e il software di protocollo informatico, vengono costantemente tenuti aggiornati, per mezzo dell istallazione degli aggiornamenti periodici che i fornitori rendono disponibili. Backup e ripristino dell accesso ai dati Il backup dei dati del Protocollo informatico del Comune di Paladina avviene con le seguenti modalità. Le procedure di salvataggio dell'archivio di protocollo vengono effettuate in outsourcing dal fornitore del Servizio di gestione e consentono di mantenere aggiornata una copia recente dell'archivio di protocollo, in modo da poter ricostituire la funzionalità del sistema in caso di guasto totale o parziale delle apparecchiature o in caso di errore catastrofico dell'operatore. D'altra parte la conservazione dei supporti di salvataggio fornisce garanzie di non alterabilità dell'archivio principale, perché la modifica dell'archivio sarebbe rilevabile dal confronto con la copia salvata. Poiché il programma di protocollo informatizzato conserva la totalità delle informazioni in una base di dati relazionale che utilizza il prodotto Microsoft SQL Server, si ritiene adeguato il salvataggio completo della base dati fornito dal prodotto stesso, attivabile dal gestore della banca dati. Il salvataggio verrà effettuato su disco fisso; immediatamente dopo sarà trasferito su nastro magnetico, sotto forma di cassetta LTO da 1/8 di pollice. Il salvataggio verrà effettuato quotidianamente, mediante una procedura automatica, al di fuori del normale orario d'ufficio, nella fascia oraria compresa tra le 22:00 e le 4:00 del giorno successivo, dal lunedì al venerdì. Il nastro di salvataggio verrà rimosso e sostituito con un altro in orario d'ufficio nel corso della giornata lavorativa successiva. Il salvataggio non verrà quindi effettuato nelle notti che iniziano con una festività civile infrasettimanale. Ogni copia di salvataggio sarà conservata per almeno una settimana in armadio chiuso, non accessibile al pubblico; trascorso tale intervallo potrà essere riutilizzata per ulteriori salvataggi. A cadenza mensile l'archivio di salvataggio sarà compresso nel formato standard di mercato ZIP e salvato in duplice copia su supporto non riscrivibile (DVD-R). Qualora un singolo DVD non fosse sufficiente a contenere tutto l'archivio, il file di backup verrà suddiviso in più parti utilizzando un idoneo programma a codice aperto o analoghi. I salvataggi mensili saranno conservati in armadio chiuso e non accessibile al pubblico per una durata di dodici mesi. Poiché ciascuna copia mensile contiene la totalità dell'archivio, l'archivio annuale sarà costituito dalle tre copie di salvataggio mensile effettuate nella notte tra il 31 dicembre

7 e il 1 gennaio di ciascun anno solare; tali copie saranno destinate alla conservazione a tempo indeterminato. A cadenza quinquennale, il responsabile della tenuta del sistema di gestione informatica dei documenti dispone una ricognizione tecnologica volta a verificare l'effettiva accessibilità dei supporti disponibili. Tale ricognizione si concretizza nel recupero da copia di salvataggio dell'archivio di protocollo riferito a ciascuno degli anni precedenti, su un sistema di prova. In tale sistema di prova si verificherà a campione che le registrazioni siano tuttora accessibili. In relazione alla situazione tecnologica, il responsabile potrà disporre il trasferimento dell'archivio in sistemi hardware e software che offrano migliori garanzie di consultabilità. La ricognizione tecnologica potrà essere effettuata anche in occasione dell'emergere di nuove tecnologie o di cambiamenti nei prodotti esistenti, tali da mettere in discussione le scelte architetturali che sono alla base della soluzione attuale, non necessariamente a cadenza quinquennale. Le tre copie di salvataggio effettuate nella notte tra il 31 dicembre e il 1 gennaio, chi costituiscono come detto copia di tutto il registro di protocollo annuale vengono trasferito su supporto non riscrivibile e consegnate dal gestore del Sistema al responsabile del Servizio archivistico, che provvederà alla conservazione secondo le modalità previste dal manuale di gestione del protocollo informatico ai paragrafi 4.10 e L accesso in lettura e scrittura alle directory di rete utilizzate come deposito dei documenti è effettuato dal server, mai dalle stazioni di lavoro. L Ufficio CED garantisce la puntuale esecuzione delle operazioni di backup dei dati e dei documenti registrati, su supporti informatici non riscrivibili, da parte di personale appositamente autorizzato, come previsto dal Manuale di gestione (articoli 4.10 e 4.11) e dal Piano di conservazione (Documento n. 10). Ogni operazione di manutenzione o di backup effettuata sul sistema che ospita la base documentale e sul sistema di protocollo informatico è registrata su un file di log periodicamente controllato. Le copie di backup dei dati e dei documenti prodotte in almeno tre copie sono conservate a cura dell Ufficio CED, dal Responsabile del servizio archivistico e una presso la Tesoreria comunale, come previsto dal Manuale di gestione (articoli 4.10.e.4.11). Il ripristino dell accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici avviene, di norma, entro un giorno dall evento. I supporti riscrivibili, utilizzati dal Comune, contenenti dati sensibili o giudiziari, possono venire cancellati e riutilizzati esclusivamente nel caso in cui le informazioni in essi contenute non siano intelligibili e in alcun modo ricostruibili. i supporti rimovibili non riscrivibili utilizzati per memorizzare i dati contenuti nel sistema, una volta che sia cessato lo scopo per cui tali dati sono stati memorizzati, vengono distrutti. Conservazione dei documenti I documenti, fascicoli ed aggregazioni documentali, registrati e gestiti attraverso il protocollo informatico del Comune di Paladina contengono i metadati previsti ai fini della conservazione permanente; tale processo verrà affidato dal Comune ad un conservatore digitale accreditato

8 dall AGID, che svolga il servizio nel rispetto di quanto previsto dal DPCM 03/12/2013 Regole tecniche in materia di sistema di conservazione. Il trasferimento in conservazione avverrà mediante la produzione di pacchetti di versamento, basati su uno schema XML conforme a quanto previsto nel manuale di conservazione. Il soggetto conservatore si incaricherà della tenuta e conservazione dell archivio informatico del Comune di Paladina, ivi incluse tutte le attività necessarie a garantire la fruibilità e la validità giuridica e probatoria dei documenti nel lungo periodo. Trasmissione e interscambio dei documenti La trasmissione e l interscambio di documenti e fascicoli informatici all interno del Comune di Paladina avviene esclusivamente per mezzo delle funzionalità implementate nel sistema Halley; nessun altra modalità è consentita, al fine di evitare la dispersione e la circolazione incontrollata di documenti e dati. La trasmissione di documenti informatici al di fuori dell Ente avviene tramite PEC; i messaggi di posta elettronica certificata prodotti dal Comune di Paladina sono compatibili con il protocollo SMTP/MIME definito nelle specifiche pubbliche RFC , RFC 2045 e 2049 e successive modificazioni. Le informazioni relative alla segnatura di protocollo sono strutturate in un file conforme alle specifiche XML, compatibile con un file XML Schema e/o DTD, secondo lo schema previsto nella circolare AgID n. 60 del 23 gennaio Disaster recovery e continuità operativa Il Comune di Paladina, conformemente a quanto disposto dall art. 50-bis del D. Lgs 82/2005, si dota di un piano di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività, definendo a tali fini il piano di continuità operativa e quello di disaster recovey, basati su appositi e dettagliati studi di fattibilità tecnica, nel cui ambito viene obbligatoriamente acquisito il parere dell AgID. In caso di perdita dei dati il servizio di Disaster Recovery prevede il ripristino degli stessi e dell accesso ad essi entro un tempo di 7 giorni, come previsto dall allegato B del D. Lgs 196/03. Accesso di Utenti esterni al Sistema L esercizio del diritto di accesso da parte di utenti esterni al Sistema viene effettuato nel rispetto di quanto sancito dalla legge 241/90 e del D. Lgs. 196/03. Qualora l utente esterno decida di esercitare il proprio diritto di accesso rivolgendosi direttamente all URP o ad altro sportello allo scopo predisposto, la consultazione deve avvenire in modo che siano resi visibili soltanto dati o notizie che riguardino il soggetto interessato ed adottando gli opportuni accorgimenti (ad es. il posizionamento del monitor) volti ad evitare la diffusione di informazioni di carattere personale. Monitoraggio periodico del funzionamento del Sistema e delle attività svolte su di esso.

9 Il Responsabile del servizio archivistico (o Responsabile della gestione documentale) effettua periodiche verifiche sul corretto funzionamento del Sistema di Gestione Informatica dei Documenti e, avvalendosi del supporto del CED, esegue periodiche verifiche a campione sui log di sistema.