Sicurezza delle Applicazioni Informatiche. Qualificazione dei prodotti di back office Linee Guida RER



Documenti analoghi
Accessibilità per siti web e applicazioni. Qualificazione dei prodotti di back office Linee Guida RER

REGIONE EMILIA-ROMAGNA ASSEMBLEA LEGISLATIVA DIREZIONE GENERALE DETERMINAZIONE

Software Servizi Web UOGA

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

DICHIARA. Nello specifico dei prodotti e dei servizi sopra citati Microcosmos Multimedia S.r.l. CERTIFICA

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Sommario. 1. Cos è SecureDrive Caratteristiche Privacy dei dati: SecureVault... 4

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

PROCEDURA UTILIZZO PORTALE DEI REFERTI LABORATORIO ANALISI AZIENDALE

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

SUAP. Per gli operatori SUAP/amministratori. Per il richiedente

Politica per la Sicurezza

L. 12 MARZO 1999, N. 68 NORME PER IL DIRITTO AL LAVORO DEI DISABILI APPLICATIVO PER LA GESTIONE DEI PROSPETTI INFORMATIVI

INDICAZIONI GENERALI

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Allegato 3 Sistema per l interscambio dei dati (SID)

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

Con la presente vengono fornite indicazioni ai fini dell autorizzazione all esercizio di detta modalità di gioco.

ALICE AMMINISTRAZIONE UTENTI WEB

I MODULI Q.A.T. PANORAMICA. La soluzione modulare di gestione del Sistema Qualità Aziendale

Schedulatore per la comunicazione con le Porte di Dominio

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

COMUNE DI CARBONERA Provincia di Treviso REGOLAMENTO PER LA GESTIONE E IL FUNZIONAMENTO DEL SITO INTERNET ISTITUZIONALE

GESTIONE DELLA RETE INFORMATICA

PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO

Elementi per la stesura del Documento Programmatico sulla Sicurezza 2009 RILEVAZIONE DEGLI ELEMENTI UTILI AI FINI DELL AGGIORNAMENTO DEL DPS 2009

Documento Programmatico sulla sicurezza

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

GESTIONE DEI DOCUMENTI, DEI DATI E DELLE REGISTRAZIONI

LA SOLUZIONE PROPOSTA E L ATTIVAZIONE DEL SERVIZIO Luisa Semolic Insiel S.p.A.

MANUALE D USO MANUALE D USO

uadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda

Il documento informatico nel Comune di Cuneo. Francesca Imperiale Settore Segreteria Generale Servizio Archivio Comune di Cuneo

Procedure di utilizzo e di descrizione applicativa

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici

CORSO WET 462 Amministrazione di database SQL Server 2012

PROGETTO TESSERA SANITARIA 730 PRECOMPILATO ISTRUZIONI OPERATIVE - MEDICI

Domande frequenti su Phoenix FailSafe

Manuale LiveBox APPLICAZIONE WINDOWS PHONE V (465)

per interventi strutturali di rafforzamento locale o di miglioramento sismico, - art. 2, comma 1, lettere b) e c) -

La qualificazione di un back-office GESTIONE DEL PERSONALE

MINISTERO DELL INTERNO ISTITUTO PER LA VIGILANZA Dipartimento della Pubblica Sicurezza CONVENZIONE

SINPAWEB corso per Tecnico della programmazione e dello sviluppo di siti internet e pagine web co.reg matricola 2012LU1072

Gestione remota archivi cartelle sanitarie e di rischio informatizzate

I dati : patrimonio aziendale da proteggere

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

FidelJob gestione Card di fidelizzazione

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

Gestione del protocollo informatico con OrdineP-NET

Lextel Servizi Telematici per l Avvocatura

Provincia di Rimini Servizio Infrastrutture Territoriali e Tecnologiche Ufficio Sistemi Informativi. Scambio dati digitali Cittadini Provincia

Manuale LiveBox APPLICAZIONE ANDROID.

PRODOTTI COMPLEMENTARI INTEGRATI S.I.A.R. - Versione Note di Rilascio Utente

e/fiscali - Rel e/fiscali Installazione

Protezione delle registrazioni di tracciamento da modifiche non autorizzate A R.1.6 [TU /52/1/b]

Manuale per la richiesta e la ricezione del DURC tramite Posta Elettronica Certificata

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

DETERMINAZIONE N. 3/DCOU/2013 IL DIRETTORE DELLA DIREZIONE CONSUMATORI E UTENTI DELL AUTORITÀ PER L ENERGIA ELETTRICA E IL GAS

ASPI INFORMATION TECHNOLOGY. Guida all uso del servizio di richiesta telematica del NULLA OSTA RILASCIO DOCUMENTAZIONE INCIDENTI STRADALI

Guida Google Cloud Print

Sistema di gestione Certificato MANUALE PER L'UTENTE

La Fatturazione Elettronica

Gestione in qualità degli strumenti di misura

REGOLE PROCEDURALI DI CARATTERE TECNICO OPERATIVO PER L ACCESSO AI SERVIZI DISPONIBILI TRAMITE LA POSTA ELETTRONICA CERTIFICATA

F.A.Q. PROCEDURA SICEANT PER LE COMUNICAZIONI ANTIMAFIA (EX ART 87)

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

La piattaforma di lettura targhe intelligente ed innovativa in grado di offrire servizi completi e personalizzati

DPCM 31 OTTOBRE 2000 (G. U , SERIE GENERALE, N. 272) REGOLE TECNICHE PER IL PROTOCOLLO INFORMATICO DI CUI AL DECRETO DEL PRESIDENTE DELLA

Specifiche Tecniche CARATTERISTICHE TECNICHE GENERALI MINIME PER LA GESTIONE DEL SERVIZIO

Aruba Sign 2 Guida rapida

Nuovo Order Manager per il software NobelProcera

Allegato A: Regole tecniche per la gestione dell identità.

Gestione dei documenti e delle registrazioni Rev. 00 del

Comune di Monticello Brianza

Manuale Utente del Portale CA. Prerequisiti per l Attivazione della Firma Digitale su CNS/CRS. Sistema Operativo Windows

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

List Suite 2.0. Sviluppo Software Il Telefono Sas 10/06/2010

15J0460A300 SUNWAY CONNECT MANUALE UTENTE

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Strategie e Operatività nei processi di backup e restore

Portale Remote Sign Manuale Utente

Domande e risposte su Avira ProActiv Community

La Giunta Comunale. Visto il D.P.R n. 223 Regolamento Anagrafico e sue modifiche;

Una rivoluzione importante. Sottoscrizione e trasporto di un documento digitale

Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web

DISPOSIZIONI DELL AUTORITA PER L ENERGIA ELETTRICA E IL GAS IN TEMA DI STANDARD DI COMUNICAZIONE

Gestione automatica delle Fatture Elettroniche per la Pubblica Amministrazione (Fatture PA)

«Gestione dei documenti e delle registrazioni» 1 SCOPO CAMPO DI APPLICAZIONE E GENERALITA RESPONSABILITA DEFINIZIONI...

Istruzioni di installazione di IBM SPSS Modeler Text Analytics (licenza per sito)

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

ARCHIVIA PLUS VERSIONE SQL SERVER

PIATTAFORMA DOCUMENTALE CRG

APPROVVIGIONARE APPROVVIGIONARE. Rev. Data Causale Redazione Verifica Approvazione. 00 xx/xx/xxxx Prima emissione

Transcript:

Sicurezza delle Applicazioni Informatiche Qualificazione dei prodotti di back office Linee Guida RER 1

Cliente Redatto da Verificato da Approvato da Regione Emilia-Romagna CCD CCD Nicola Cracchi Bianchi Regione Emilia Romagna Versione 1.0 Data di Riferimento 29/11/2010 Pagine 10 Nome File CCD - Linee Guida - Sicurezza_v1.0.docx Storia del documento Versione Data Autore Cambiamenti apportati 1.0 29/11/2010 CCD 1.0 2

Questo documento è un prodotto del Sistema a rete della Community Network Emilia-Romagna www.regionedigitale.net/community-network Regione Emilia-Romagna Direzione Generale Centrale Organizzazione, Personale, Sistemi informativi e Telematica Servizio Sviluppo dell Amministrazione Digitale e Sistemi Informativi Geografici Info: coordsistemarete@regione.emilia-romagna.it Il documento è rilasciato con la licenza Creative Commons: Attribuzione Non commerciale Non opere derivate Versione 2.5 Italia Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/by-nc-nd/2.5/it/ 3

Sommario Introduzione... 5 Check List... 6 Allegati... 10 4

Introduzione La Regione Emilia-Romagna mette a disposizione dei fornitori di prodotti back office per gli Enti Locali il servizio di Qualificazione dei prodotti di back office. L obiettivo del servizio è il rilascio di qualificazioni di conformità dei prodotti di back office rispetto alle specifiche di conformità definite a livello regionale, con l obiettivo di consentire ai fornitori di prodotti software che supereranno il processo di Qualificazione di ottenere l attestazione di conformità dei propri prodotti software rispetto a determinate specifiche regionali. Contesto RER definisce una serie di specifiche di conformità per i quali il Fornitore può richiedere la Qualificazione dei propri prodotti di back office. Le specifiche di conformità per cui è possibile richiedere la Qualificazione riguardano sono definite sulla base di: norme regionali e nazionali di riferimento sull IT integrazione con servizi infrastrutturali regionali integrazione con le soluzioni a riuso messe a disposizione da RER. Il Centro di Competenza per il Dispiegamento delle soluzioni di egovernment, nel seguito CCD, fornisce il supporto tecnico e operativo a RER per la verifica dei requisiti per la concessione ed il mantenimento della Qualificazione di conformità. Tipologia specifica conformità Descrizione specifica conformità di di Linee Guida RER Gli aspetti tecnici e procedurali necessari per progettare, sviluppare, testare e gestire in modo sicuro un applicazione regionale sono stati definiti nel Disciplinare tecnico in materia di sicurezza delle applicazioni informatiche nella Giunta della Regione Emilia-Romagna, approvato con Determinazione n. 2651 del 2007. Il Disciplinare è uno strumento utile per chi si occupa di: progettare un applicazione; sviluppare un'applicazione; acquistare un applicazione; valutare/scegliere fornitori di servizi di sviluppo applicazioni; testare la sicurezza di applicazioni; adeguare un applicazione ai criteri di sicurezza previsti dalla normativa vigente; installare, gestire o manutenere un applicazione. Nel seguito è riportata la checklist proposta da Regione Emilia Romagna per la verifica dei requisiti descritti all interno del Disciplinare Tecnico sopracitato. 5

Check List Analisi dei requisiti e design Nell'analisi dei requisiti è stato considerato il valore dei dati e delle informazioni trattate dall'applicazione L'applicazione viene utilizzata per il trattamento di dati personali L'applicazione viene utilizzata per il trattamento di dati sensibili e/o giudiziari È stata eseguita l'analisi dei rischi incombenti sui dati Sono stati considerati i vincoli architetturali e tecnologici imposti dall'infrastruttura esistente (servizi, porte, protocolli, tecnologie, ecc.) Sono state documentate le porte ed i protocolli di comunicazione utilizzati dall'applicazione Sono stati definiti i requisiti hardware e software necessari per il corretto funzionamento dell'applicazione Sono stati previsti meccanismi di autenticazione degli utenti Sono stati previsti meccanismi di autorizzazione e profilatura utenti Sono stati previsti meccanismi di validazione dei dati in ingresso e in uscita Sono stati previsti meccanismi di gestione sicura delle sessioni utente Sono stati previsti meccanismi di conservazione e gestione dei log Sono stati previsti meccanismi di disponibilità dei dati Sono stati previsti meccanismi di cifratura dei dati Test Sono stati eseguiti i controlli indicati nelle liste di controllo sull'analisi e lo sviluppo dell'applicazione Sono state previste verifiche nel tempo, successivamente alla fase di deployment, per assicurare il mantenimento dell'efficienza e dell'efficacia delle misure di sicurezza adottate Deployment Sono stati documentati i meccanismi di sicurezza adottati Sono state rispettate le policy centralizzate relativamente a porte, protocolli e servizi utilizzabili È stata fornita dal fornitore esterno l'attestazione di conformità alle misure minime di sicurezza previste dalla legge Gestione In ambiente di test non sono utilizzati dati di produzione Sono stati documentati gli strumenti di gestione e di configurazione dell'applicazione Sono stati previsti adeguati meccanismi di controllo degli accessi agli strumenti di gestione e configurazione La connessione agli strumenti di gestione e configurazione avviene su canali cifrati 6

Autenticazione Sono stati definiti i punti di ingresso dell'applicazione che necessitano di meccanismi di autenticazione É stato scelto il meccanismo di autenticazione considerando anche i sistemi centralizzati già parte dell'infrastruttura esistente Sono stati rispettati i requisiti minimi obbligatori per legge nel caso di trattamento di dati personali: disattivazione delle credenziali non utilizzate da almeno 180 giorni non riutilizzo dei codici di identificazione già impiegati assegnandoli ad altri utenti (neanche in tempi diversi) In caso di autenticazione basata su userid+password, sono stati rispettati i requisiti minimi obbligatori per legge nel caso di trattamento di dati personali: lunghezza minima consentita per la password di 8 caratteri scadenza della password non superiore ai 180 giorni (90 giorni nel caso di dati sensibili e/o giudiziari) possibilità per l'utente di modificare la propria password al primo login Sono stati previsti meccanismi di lockout di un account dopo n tentativi di accesso non riusciti Sono stati previsti meccanismi di delay di n secondi a seguito di errata autenticazione Sono stati previsti meccanismi di sblocco automatico del lockout di un account dopo n minuti Sono stati previsti meccanismi di reset e modifica delle password da parte degli utenti senza l'intervento dell'amministratore di sistema Sono stati previsti meccanismi di cifratura delle password conservate in locale (hash) Sono stati previsti meccanismi di cifratura delle password trasmesse sulla rete Sono stati previsti meccanismi di controllo della robustezza delle password (regole di complessità) É stato ridotto al minimo il debugging remoto, in modo da fornire all'utente, in caso di errore di autenticazione, le sole informazioni indispensabili Autorizzazione Sono stati previsti meccanismi di separazione dei privilegi in funzione del profilo utente (obbligatorio nel caso di trattamento di dati personali) I permessi sono stati assegnati secondo il principio del "minimo privilegio" L'accesso alle risorse di sistema è limitato ai soli account privilegiati Il login applicativo non ha accesso diretto in scrittura alle tabelle dei database Sono utilizzate stored procedure per l'accesso ai database È stata prevista la possibilità di configurare i profili autorizzativi In caso di applicazioni web, esistono distinzioni fra aree ad accesso pubblico ed aree ad accesso riservato Validazione dei dati Sono stati definiti i punti di ingresso e di uscita dell'applicazione che richiedono controlli di validazione dei dati 7

Sono stati previsti più livelli di controllo di validazione dei dati I dati sono validati in termini di: formato sintassi dimensioni Tutti i controlli di validazione sono effettuati lato server I meccanismi di validazione sono stati scelti anche considerando gli strumenti centralizzati già disponibili I dati sono validati in base alla strategia di: accettare esclusivamente i dati riconosciuti come validi rigettare i dati riconosciuti come invalidi modificare i dati invalidi per renderli validi Sono stati previsti meccanismi di validazione dell'output (per es. HtmlEncode) Sono stati considerati i rischi derivanti da attacchi di tipo SQL Injection Sono stati considerati i rischi derivanti da attacchi di tipo Cross Site Scripting Gestione delle sessioni utente Esistono meccanismi di time-out delle sessioni Il contenuto degli identificatori di sessione è cifrato Gli identificatori di sessione sono trasmessi su canali cifrati Esistono meccanismi di logout che permettono all'utente di forzare la chiusura di una sessione Logging Sono stati definiti in fase di design gli eventi chiave per la sicurezza da rilevare tramite logging Sono previsti meccanismi di rilevamento degli eventi applicativi di: autenticazione (login e logout) accesso ai dati (lettura e scrittura) modifica di funzioni amministrative Esistono meccanismi di modifica della granularità dei log I log sono conservati in file a solo accesso in scrittura incrementale I log sono conservati su supporti non riscrivibili I log sono conservati su sistemi dedicati Esistono meccanismi di backup dei log Esistono meccanismi di rotazione dei log È possibile configurare la frequenza di rotazione dei log L'accesso ai log è consentito ai soli account privilegiati Esistono sistemi di verifica del funzionamento dei log Crittografia e disponibilità dei dati È stata eseguita un'analisi dei rischi per valutare se utilizzare o meno meccanismi di cifratura dei dati Sono stati scelti algoritmi di cifratura standard 8

Sono state scelte chiavi di cifratura di lunghezza adeguata Sono stati previsti meccanismi di firma digitale Le chiavi di cifratura sono distinte dalle chiavi di firma Le credenziali di autenticazione non sono salvate in chiaro Le credenziali di autenticazione non sono trasmesse in chiaro Sono stati previsti meccanismi di distribuzione delle chiavi Sono stati previsti meccanismi di conservazione delle chiavi Sono stati previsti meccanismi di riciclo periodico delle chiavi Sono stati previsti meccanismi di revoca delle chiavi Sono stati previsti meccanismi di recovery delle chiavi Sono stati previsti meccanismi di distruzione delle chiavi Sono state definite, in fase di design, le modalità e la frequenza del backup dei dati (obbligatorio nel caso di trattamento di dati personali) Sono state definite, in fase di design, le modalità di ripristino dei dati (obbligatorio nel caso di trattamento di dati personali) I meccanismi di backup utilizzano punti di sincronizzazione aperti e compatibili con gli strumenti centralizzati già disponibili Esistono meccanismi di backup che consentono il salvataggio dei dati con frequenza almeno settimanale (obbligatorio nel caso di trattamento di dati personali) Esistono meccanismi che consentono il ripristino dei dati in tempi inferiori ai sette giorni (obbligatorio nel caso di trattamento di dati sensibili e/o giudiziari) 9

Allegati Nome 2651_07.pdf Descrizione Disciplinare tecnico in materia di sicurezza delle applicazioni informatiche nella Giunta della Regione Emilia-Romagna 10

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back