AZIENDA USL 4 PRATO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

AZIENDA USL 4 PRATO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Anno 2011 V1

SOMMARIO INTRODUZIONE... 3 1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI... 3 TABELLA 1.1... 4 TABELLA 1.2... 7 2. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ... 10 TABELLA 2... 10 3. ANALISI DEI RISCHI (REGOLA 19.3)... 15 TABELLA 3... 16 4. MISURE DI PROTEZIONE IN ESSERE O DA ADOTTARE (REGOLA 19.4)... 20 4.1 CONTROLLO DEGLI ACCESSI E INTEGRITÀ DEI DATI... 20 4.2 CONTROLLO ACCESSI STAND-ALONE E AUTENTICAZIONE IN RETE AZIENDALE... 23 4.3 CONTROLLO DEGLI ACCESSI AI SERVIZI APPLICATIVI IN RETE AZIENDALE... 23 4.4 MISURE DI PROTEZIONE DA ATTACCHI VIRALI, SPAMMING, TROJAN HORSE... 24 4.5 MISURE DI PROTEZIONE DA ACCESSI ESTERNI AI DATI... 25 4.5.1 ARCHITETTURA RETE TELEMATICA AZIENDA USL 4 DI PRATO... 25 TABELLA 4.1... 30 5 CRITERI E MODALITÀ DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI (REGOLA 19.5)... 31 TABELLA 5.1... 32 5.1 PROTEZIONE DELLE AREE E DEI LOCALI INTERESSATI ALLE MISURE DI SICUREZZA... 34 6 PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI (REGOLA 19.6)... 35 7 TRATTAMENTI AFFIDATI ALL ESTERNO (REGOLA 19.7)... 36 TABELLA 7... 37 8 CIFRATURA DEI DATI O SEPARAZIONE DEI DATI IDENTIFICATIVI (REGOLA 19.8)... 43 TABELLA 8.1... 43 9. ELENCO DEGLI AMMINISTRATORI DI SISTEMA... 46 10. AMMINISTRATORE DI SISTEMA AMBITI DI OPERATIVITÀ... 52 10. 1 SISTEMISTI PIATTAFORMA UNIX /LINUX/WINDOWS... 52 10.2 SISTEMISTI AMMINISTRATORI DI RETE... 53 10.3 SISTEMISTI AMMINISTRATORI DI RDBMS... 54 10.4 AMMINISTRATORI DI SISTEMA IN CONDIZIONE DI PERSONALE IN PRONTA DISPONIBILITÀ... 55 11. CARATTERISTICHE TECNICHE SISTEMA PER IL MONITORAGGIO DEGLI AMMINISTRATORI DI SISTEMA... 56 11. 1 INTRODUZIONE... 56 11. 2 STRUMENTI UTILIZZATI PER LA REALIZZAZIONE DELLA INFRASTRUTTURA... 56 Sistema per la centralizzazione delle tracciature... 56 12. RIFIUTI DI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE (RAEE) MISURE DI SICUREZZA DEI DATI PERSONALI.... 58 12.1 REIMPIEGO E RICICLAGGIO DI APPARECCHIATURE ELETTRONICHE ED INFORMATICHE... 58 12.2 SMALTIMENTO O DISMISSIONE DI APPARECCHIATURE ELETTRONICHE ED INFORMATICHE... 58 ALLEGATO 1. ISTRUZIONI PER IL CAMBIO PASSWORD... 60 2

Introduzione Il presente documento costituisce il Documento Programmatico di Sicurezza (DPS) aziendale ai sen e per gli effetti dell art. 34 del D.L. 196 del 30 giugno 2003 e, in particolare, dell Allegato B relativo al Disciplinare Tecnico in materia di misure minime di curezza. Il DPS dell Azienda USL N 4 di Prato viene elaborato annualmente sulla base dell anali dei rischi che incombono sui dati, della distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al dei dati stes. In questo documento vengono altresì indicate le misure minime di curezza adottate per garantire l integrità e la disponibilità dei dati, nonché della protezione delle aree e dei locali rilevanti ai fini dei trattamenti. L anali dei rischi è effettuata con l obiettivo di individuare le varie castiche ai fini di definire una politica di curezza adeguata ed una programmazione che preveda l'adeguamento nel tempo delle misure di curezza e protezioni da adottare per tutti i trattamenti di dati centi all'interno dell'azienda USL 4 di Prato. Il Documento Programmatico di Sicurezza aziendale viene redatto annualmente aggiornandolo, ai sen della normativa in vigore, ed effettuando una rivalutazione dell'anali dei rischi e delle politiche e misure di curezza adottate e da adottare. Relativamente ai trattamenti con strumenti elettronici è in particolare fatto riferimento al Disciplinare tecnico in materia di misure minime di curezza ai sen degli art. 33 e 36 del D.L. 196/2003 (Allegato B). 1. Elenco dei trattamenti di dati personali L'Azienda USL 4 di Prato, in qualità di titolare del dei dati provvede ad aggiornare periodicamente le nomine dei Responsabili interni del dei dati, i quali, a loro volta, sono tenuti a nominare, con atto scritto, all'interno delle strutture agli stes afferenti, i soggetti autorizzati a compiere le varie operazioni di. In questa sezione sono individuati i trattamenti effettuati dall Azienda USL 4 di Prato, direttamente o attraverso collaborazioni esterne, con l indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. La redazione della lista è il risultato di un cenmento dei trattamenti di dati effettuati partendo dalle banche dati informatizzate presenti presso la usl4 di prato. 3

Tabella 1.1 La Tabella 1.1 riporta le informazioni essenziali per ciascun con l indicazione dei seguenti elementi: 1. identificativo del (ID): codice identificativo del univocamente assegnato a livello aziendale; 2. descrizione del : dove è riportata nteticamente l indicazione della finalità perseguita; 3. struttura di riferimento:con indicazione della macro-struttura. 4. natura dei dati trattati: indica se dati senbili (1), dati non senbili (2) oppure giudiziari (3) ; 5. Interessato: Riporta chi è l interessato al dei dati. Id descrizione del Struttura di riferimento natura dei dati interessato 1 hospital - Cartella clinica ambulatoriale ospedaliera Ospedale 1 Popolazione 2 hospital - Cartella clinica ambulatoriale per il territorio Zona Distretto 1 Popolazione 3 4 hospital - Cartella clinica ambulatoriale per la medicina dello sport Dipartimento Prevenzione 1 Popolazione convest - pagamento istituti accreditati e specialisti ambulat. Area Amministrativa 2 convest pas - pagamento ist accred percor asstenziali spec. Area Amministrativa 2 Strutture accreditate e medici specialisti Strutture accreditate 5 trasporti sanitari - pagamento prestazioni per trasporto 6 sanitario Area Amministrativa 1 Associazioni 7 Gestione delibere Area Amministrativa 2 Popolazione Farmacie - Gestione / Pagamento farmacie Zona Distretto - Area Amministrativa 1 Popolazione 8 Servizio - procedura stato 9 giuridico Area Amministrativa 2 Dipendenti USL4 10 Gestione anagrafe canina Dipartimento Prevenzione 2 Popolazione 11 audiologia: Cartella clinica Zona Distretto 1 Popolazione 12 cup Ospedale - Zona Distretto 1 Popolazione 13 registro mortalità Dipartimento Prevenzione 1 Popolazione Area Amministrativa - Ospedale - Zona Distretto - 14 anagrafe Dipartimento Prevenzione 1 Popolazione attprog - pagamento mmg per Area Amministrativa - Zona 15 attività programmate Distretto 1 Medici di famiglia ric - accettazione 16 amministrativa Ospedale 2 Popolazione 17 repotory - doser clinico Ospedale 1 Popolazione 18 mgpn - pagamento medici medicina generale e pls Area Amministrativa 1 Medici di famiglia 4

19 DBSIS regionale - anagrafe regionale Area Amministrativa 2 Popolazione PERSWEB - pagamento stipendi medici medicina dei servizi e guardia medica Area Amministrativa 1 Medici convenzionati 20 21 Gestione Screening Zona Distretto 1 Popolazione 22 Gestione DSM Adulti Zona Distretto - Ospedale 1 Popolazione 22 Gestione DSM Infanzia Zona Distretto 1 Popolazione 23 Italabcs/dnlab, Gestione attività Laboratorio anali Ospedale 2 Popolazione 24 Richeiste/referti web Anatomia Patologica Ospedale - Zona Distretto 1 Popolazione 25 Ormawain - Registro sale operatiorie Ospedale 1 Popolazione 26 Procedura Direzione Sanitaria gestione Infezioni ospedaliere Ospedale 1 Popolazione 28 Referti PDF referti laboratorio Anali Ospedale - Zona Distretto 1 Popolazione 29 Richieste/referti Laboratorio Anali da reparti/interni Ospedale - Zona Distretto 1 Popolazione 30 ADI-Consultori per asstenza domiciliare Zona Distretto 1 Popolazione 31 Med.Legale-ADI-Consultori Zona Distretto 1 Popolazione 32 esipert Pairoll - esipert Time Gestione paghe Area Amministrativa 2 Dipendenti USL4 33 Gestione Penoni Area Amministrativa 2 Dipendenti USL4 34 Pronto Soccorso Ospedale 1 Popolazione 35 Agende di reparto Ospedale 1 Popolazione 36 Diabetologia - Servizio Dietetico Ospedale 1 Popolazione 37 Procedura formazione Staf Direzione 2 Dipendenti USL4 Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - 38 Procedura protocollo e gestione documentale Area Amministrativa - Area Tecnica 2 Popolazione 39 Documentazione ufficio qualità Staf Direzione 2 Popolazione 40 Bilancio e contabilità generale Staf Direzione 1 Popolazione 41 Budget e contabilità direzionale Staf Direzione 1 Popolazione 42 ordini e liquidazioni Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica 1 Popolazione 43 magazzino economale Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica 1 Popolazione 44 magazzino farmaceutico interno Ospedale 1 Popolazione 45 magazzino farmaceutico esterno Ospedale 1 Popolazione 5

46 47 48 49 50 51 astenza integrativa e proteca (ex cem) Zona Distretto 2 Popolazione ripartizione oraria controlli di gestione replica anagrafe usl + archivio Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica 2 Dipendenti USL4 ricettari Ospedale 1 Popolazione HOSPITALITY - gestione posti Ospedale - Zona Distretto 1 Popolazione letto ricoverati. Ospedale ed ospis SANGRE - inserimento richieste nel gestionale del laboratorio (italab). c/o tutti i punti prelievo e ritiro materiale SINFO - inserimento prestazioni ambulatoriali eseguite. c/o tutto ospedale e territorio Ospedale - Zona Distretto 1 Popolazione Ospedale - Zona Distretto 1 Popolazione GEPAS - inserimento Ospedale - Zona Distretto 1 Popolazione prestazioni di riabilitazione eseguite. c/o riabilitazione ospedale e 52 Giovannini 53 winsap anatomia patologica Ospedale 1 Popolazione 54 gestione flus regione toscana Staf Direzione 1 Popolazione 55 archivio cartelle cliniche Area Amministrativa 1 Popolazione 56 drg - Gestione dati e calcolo drg Ospedale 1 Popolazione 118 - gestione DEU Popolazione 57 58 Ris Pacs Gestopme omfpr,atozzata referti radiologici, immagini radiologiche e richieste da reparto Ospedale 1 Ospedale 1 Popolazione Gestione servizio tosco Popolazione 59 dipendente Ospedale 1 Gestione dipartimento Popolazione 60 Prevenzione Dipartimento Prevenzione 1 61 Gestione Medicina legale Dipartimento Prevenzione 1 Popolazione 6

Tabella 1.2 La seconda tabella di questa sezione, denominata Tabella 1.2, riporta le ulteriori informazioni descrittive degli strumenti informatici utilizzati laddove il avviene con strumenti elettronici. Il gnificato delle informazioni contenute in questa tabella è il seguente: 1. ID: codice identificativo del univocamente assegnato a livello aziendale; 2. Nome Server: indica il server dove riede la banca dati 3. banca dati: indica il tipo di data base o l archivio informatico in cui sono contenuti i dati 4. luogo di custodia: indica il luogo in cui riedono ficamente i dati, ovvero dove trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di curezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile; 5. tipologia di dispotivi di accesso: rappresenta la descrizione ntetica degli strumenti utilizzati dagli incaricati per effettuare il : personal computer, terminale non intelligente, palmare, telefonino, ecc. 6. tipologia di interconnesone: rappresenta la descrizione e qualitativa della rete che collega i dispotivi d accesso ai dati utilizzati dagli incaricati: LAN (rete locale), WAN (rete geografica), INTRANET (rete telematica aziendale, RTRT (Rete Telematica Regione Toscana), INTERNET. ID nome server Banca Dati 1 hposp informix 2 hposp informix 3 hposp informix 4 hposp informix 5 hposp informix 6 hposp informix 7 hposp informix 8 hposp informix luogo custodia tipo disp accesso titpo connesone 7

9 hposp informix 10 hposp informix 11 hposp informix 12 Usl4000 informix 13 Usl4000 informix 14 usl4000 informix 15 usl4000 informix 16 usl4000 informix 17 usl4000 informix 18 hpns5 informix 19 dbs informix 20 dbs informix 21 screening sqlserver 22 screening sqlserver 23 noema oracle 24 winsapweb oracle 25 opera oracle 26 dirsanmercurio oracle 27 Noema Oracle 28 dnreferti altro 29 dnweb oracle 30 prevenzione oracle 31 prevenzione oracle 32 ibmpaghe oracle 33 bdccao altro 34 prontosoccorso oracle 35 agende informix 8

36 meteda mysql 37 formazione mysql 38 protonico mysql 39 squa sqlserver 40 uslas DB2 41 uslas DB2 42 uslas DB2 43 uslas DB2 44 uslas DB2 45 uslas DB2 46 uslas DB2 47 WEBCDC altro 48 rio sqlserver 49 cip sqlserver 50 cip sqlserver 51 cip sqlserver 52 cip sqlserver 53 cip oracle 54 nal-asl4 0 55 usl4000 informix 56 screening altro server in Service 57 beta 80 oracle server in Service Ati ris pacs (emmens - 58 telecom ecc) altro lotus 59 Sertsrv domino 60 Montano1 oracle 61 Medicina legale oracle come previsto tab 5.2 PC rete regionale come previsto tab 5.2 PC rete regionale come previsto tab 5.3 PC intranet come previsto tab 5.4 PC intranet come previsto tab 5.5 PC intranet come previsto tab 5.6 PC intranet come previsto tab 5.7 PC intranet come previsto tab 5.8 PC intranet come previsto tab 5.9 PC intranet come previsto tab 5.10 PC intranet come previsto tab 5.11 PC intranet come previsto tab 5.12 PC intranet come previsto tab 5.13 PC intranet 9

2. Distribuzione dei compiti e delle responsabilità In questa sezione vengono descritti nteticamente l organizzazione della struttura di riferimento, nonché i compiti e le relative responsabilità, in relazione a ciascun effettuato. Tabella 2 La Tabella 2 illustrata di seguito contiene le seguenti informazioni esenziali: ID: Identificativo del ; Macro Struttura di riferimento: riporta le indicazioni delle strutture già menzionate nella precedente sezione; Trattamento: indica i trattamenti di competenza di ciascuna struttura; Compiti e responsabilità della struttura: indica i trattamenti di competenza di ciascuna struttura; id Macro struttura di riferimento 1 Ospedale 2 Zona Distretto 3 Dipartimento Prevenzione 4 Area Amministrativa 5 Area Amministrativa 6 Area Amministrativa Trattamento hospital - Cartella clinica ambulatoriale ospedaliera hospital - Cartella clinica ambulatoriale per il territorio hospital - Cartella clinica ambulatoriale per la medicina dello sport convest - pagamento istituti accreditati e specialisti ambulat. convest pas - pagamento ist accred percor asstenziali spec. trasporti sanitari - pagamento prestazioni per trasporto sanitario 7 Area Amministrativa Gestione delibere Descrizioni compiti e responsabilità 10

8 Zona Distretto - Area Amministrativa Farmacie - Gestione / Pagamento farmacie 9 Area Amministrativa Servizio - procedura stato giuridico 10 Dipartimento Prevenzione Gestione anagrafe canina 11 Zona Distretto audiologia: Cartella clinica 12 Ospedale - Zona Distretto cup 13 Dipartimento Prevenzione registro mortalità 14 15 Area Amministrativa - Ospedale - Zona Distretto - Dipartimento Prevenzione Area Amministrativa - Zona Distretto anagrafe attprog - pagamento mmg per attività programmate 16 Ospedale ric - accettazione amministrativa 17 Ospedale repotory - doser clinico 18 Area Amministrativa mgpn - pagamento medici medicina generale e pls 19 Area Amministrativa DBSIS regionale - anagrafe regionale 11

20 Area Amministrativa 21 Zona Distretto Gestione Screening PERSWEB - pagamento stipendi medici medicina dei servizi e guardia medica 22 Zona Distretto Gestione DSM Infanzia 23 Ospedale 24 Ospedale - Zona Distretto Italabcs/dnlab, Gestione attività Laboratorio anali Richeiste/referti web Anatomia Patologica 25 Ospedale Ormawain - Registro sale operatiorie 26 Ospedale Procedura Direzione Sanitaria gestione Infezioni ospedaliere 28 Ospedale - Zona Distretto Referti PDF referti laboratorio Anali 29 Ospedale - Zona Distretto 30 Zona Distretto Richieste/referti Laboratorio Anali da reparti/interni ADI-Consultori per asstenza domiciliare 31 Zona Distretto Med.Legale-ADI-Consultori 32 Area Amministrativa esipert Pairoll - esipert Time Gestione paghe 12

33 Area Amministrativa Gestione Penoni 34 Ospedale Pronto Soccorso 35 Ospedale Agende di reparto 36 Ospedale Diabetologia - Servizio Dietetico 37 Staf Direzione Procedura formazione 38 Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica Procedura protocollo e gestione documentale 39 Staf Direzione Documentazione ufficio qualità 40 Staf Direzione Bilancio e contabilità generale 41 Staf Direzione Budget e contabilità direzionale 42 43 Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica ordini e liquidazioni magazzino economale 44 Ospedale magazzino farmaceutico interno Gestione, ins., consultazione, modifica dei dati, sulla base delle indicazioni del responsabile del 13

45 Ospedale magazzino farmaceutico esterno 46 Zona Distretto 47 Ospedale - Zona Distretto - Staf Direzione - Dipartimento Prevenzione - Area Amministrativa - Area Tecnica astenza integrativa e proteca (ex cem) ripartizione oraria controlli di gestione 48 Ospedale replica anagrafe usl + archivio ricettari 49 Ospedale - Zona Distretto 50 Ospedale - Zona Distretto 51 Ospedale - Zona Distretto 52 Ospedale - Zona Distretto HOSPITALITY - gestione posti letto ricoverati. Ospedale ed ospis SANGRE - inserimento richieste nel gestionale del laboratorio (italab). c/o tutti i punti prelievo e ritiro materiale SINFO - inserimento prestazioni ambulatoriali eseguite. c/o tutto ospedale e territorio GEPAS - inserimento prestazioni di riabilitazione eseguite. c/o riabilitazione ospedale e Giovannini 53 Ospedale winsap anatomia patologica 54 Staf Direzione gestione flus regione toscana 55 Area Amministrativa archivio cartelle cliniche 14

56 Ospedale drg - Gestione dati e calcolo drg 57 Ospedale 118 - gestione DEU 58 Ospedale Ris Pacs Gestopme omfpr,atozzata referti radiologici, immagini radiologiche e richieste da reparto 59 Ospedale Gestione servizio tosco dipendente 60 Dipartimento Prevenzione Gestione dipartimento Prevenzione 61 Dipartimento Prevenzione Gestione Medicina legale 3. Anali dei Rischi (regola 19.3) L'anali dei rischi rende necessaria per acquire consapevolezza e vibilità sul livello di espozione al rischio del patrimonio informativo aziendale ed avere una mappa preliminare dell'ineme delle posbili contromisure di curezza da implementare. L'anali dei rischi è stata effettuata seguendo il seguente schema logico: 1. identificazione di tutte le risorse o i beni (asset) del patrimonio informativo 2. identificazione delle minacce o rischi a cui tali risorse sono sottoposte; 3. identificazione delle vulnerabilità; 4. definizione delle relative misure di protezione da adottare. La politica di curezza aziendale dovrà essere tale da ascurare la disponibilità, riservatezza ed integrità per ciascun asset individuato. In questa sezione sono riportate, in forma ntetica, le misure in essere e da adottare per contrastare i rischi individuati. 15

Per misura intende dunque lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per ascurarne l efficacia. Sulla base degli assett aziendali identificati sono stati conderati i seguenti eventi legati alle posbili minacce cui sono sottoposte le risorse informative aziendali: 1. comportamenti degli operatori: sottrazione di credenziali di autenticazione carenza di consapevolezza, disattenzione o incuria comportamenti sleali o fraudolenti errore materiale 2. eventi relativi agli strumenti: azione di virus informatici o di programmi suscettibili di recare danno spamming o tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti acces esterni non autorizzati intercettazione di informazioni in rete 3. eventi relativi al contesto fico-ambientale: ingres non autorizzati a locali/aree ad accesso ristretto sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali,...), nonché dolo, accidentali o dovuti ad incuria guasto a stemi complementari (impianto elettrico, climatizzazione, ecc.) errori umani nella gestione della curezza fica Tabella 3 La Tabella 3 ntetizza, sulla base degli eventi sopra elencati, l anali dei rischi che incombono sui dati sottoposti a, riportando le seguenti informazioni: elenco degli eventi: sono indicati gli eventi, definiti nei punti precedenti, che possono generare danni e che comportano, quindi, rischi per la 16

curezza dei dati personali; impatto sulla curezza: descrive le principali conseguenze individuate per la curezza dei dati, in relazione a ciascun evento, in modo da fornire una misura della loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell evento: alta/media/bassa. Tale informazione rappresenta un primo indicatore omogeneo per i diver rischi da contrastare. Rischi SI/NO Gravità (alta/media/b assa) Acces interni non autorizzati sottrazione di credenziali di autenticazione carenza di consapevolezza disattenzione o incuria comportamenti sleali o fraudolenti Descrizione dell impatto sulla curezza SI bassa Opzionalmente tutti gli utenti di pdl basate su pc utilizzano la password di bios. L accesso alla rete aziendale avviene tramite autenticazione di dominio Windows con (utente, password), L accesso a tutti gli applicativi gestionali avviene mediante autenticazione clasca (utente, password). Le credenziali di autenticazione sono quindi costituite sempre da coppie di informazioni costituite da user name e password crittografata redenti su server di elaborazione prediati e gestiti escluvamente dagli Amministratori di Sistema del servizio informatico (Te - estav) appotamente assegnati. SI bassa Tutte le password gestite dai stemi di protezione sono crittografate e memorizzate nelle ba date degli applicativi accesbili solo dal personale autorizzato per l amministrazione del stema. SI media In azienda este un sufficiente livello di formazione sulle problematiche privacy e curezza, dunque il personale dipendente è sufficientemente informato. Il livello di consapevolezza alle problematiche potrebbe essere migliorato aumentando le ore di formazione specifica. bassa Ridotte probabilità su circa 2300 dipendenti. Sono state attivate azioni di logging delle attività sui server. L attivazione di un proxy server dedicato agli acces ad internet consente la gestione di liste di accesso e restrizione dei ti vistitati. È stato redatto dall azienda 17

azione di virus informatici, worm, cavalli di troia o altri programmi mili spamming o tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti acces esterni non autorizzati sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (terremoti, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolo, accidentali o dovuti ad incuria guasto a stemi infrastrutturali: impianti elettrici, climatizzazione, etc media media bassa bassa bassa bassa bassa un disciplinare per il corretto utilizzo di posta elettronica ed internet Le misure di protezione sono di buon livello: Antivirus su ciascuna delle ngole p.d.l. basate su pc, gateway antivirus di posta elettronica centralizzato, antivirus per spam ed accesso ad ianternet su firewall perimetrale (Fortigate). Tuttavia il rischio è ritenuto di media entità visto la rapida evoluzione e diffuone di attacchi della tipologia di attacchi in questione. Le misure di protezione sono di buon livello: gateway antispam di posta elettronica centralizzato. Firewall perimetrale con tecnologia antispam, ips ed antivirus. Tuttavia il rischio è ritenuto di media entità visto la rapida evoluzione della tipologia di attacchi in questione. Tutte le apparecchiature hardware e di rete e tutti i software di stema e applicativi di rilievo sono soggetti/e a contratti di manutenzione e asstenza stemistica. Il livello di protezione perimetrale della rete aziendale è ritenuto molto buono tramite l adozione di firewall e Proxy server dedicati. Tutti i server ed i supporti magnetici contenenti dati senbili o comunque rilevanti ai fini della privacy sono custoditi in sale macchine chiuse e sorvegliate. Le sale macchine sono allocate presso il predio ospedaliero dove per eventi di questa tipologia este una bassa probabilità di accadimento. Gli impianti di questa tipologia sono mantenuti e gestiti ad opera di una struttura aziendale appotamente preposta a ciò, che manutiene impianti di climatizzazione, allarme temperatura ec.. 18

errori umani nella gestione della curezza fica Sottrazione di dati attraverso azioni di ackeraggio media La consapevolezza dei dipendenti a eventi di questo tipo andrebbe migliorata mediante ulteriori percor informativi e formativi. bassa Cifratura delle connesoni che attraversano infrastrutture non di proprietà Usl, negli strumenti di difesa perimetrale è stata implementata oltre alle clasche tecnologie di firewalling, anche quelle di IPS (Intruon prevention) 19

4. Misure di protezione in essere o da adottare (regola 19.4) In questa sezione verranno riportate, in forma ntetica, le misure di protezione in essere e da adottare per contrastare i rischi individuati nel precedente paragrafo. Le principali misure di protezione informatica adottate dall Azienda USL 4 di Prato vengono discusse nei seguenti sottoparagrafi ed alla fine vengono riassunti nella Tabella 4.1. riportata alla fine della sezione. 4.1 Controllo degli acces e Integrità dei dati Il presente paragrafo illustra i criteri e le procedure adottate presso l Azienda USL 4 di Prato per ascurare l'integrità dei dati trattati nel caso di elaboratori a stand alone che connes in rete tramite le tecniche di controllo degli acces basate sull autenticazione tramite username e password. Per quanto riguarda l utilizzo della password, è effettuata un attività di senbilizzazione degli utenti, mediante l'emanazione di circolari aziendali a mezzo posta interna, e-mail e pubblicazione sul to WEB Intranet aziendale. Il stema di autenticazione al dominio aziendale è attivo per tutti gli utenti dell Azienda Usl4 di Prato con utilizzo di credenziali individuali ed il rispetto delle misure minime di curezza ai sen dell Allegato B del codice privacy. Le credenziali di autenticazione sono assegnate univocamente all incaricato del. Si è pensato di inserire nel documento programmatico le misure minime di curezza anche per i computer stand-alone, estendendo l'art. 6 del DPR 318/99, poiché é ormai divenuta pratica corrente la connesone di personal computer alla rete telematica aziendale. Fanno eccezione, per ragioni tecniche ed organizzative, un limitato numero di postazioni di lavoro dei Sistema Informativi del Laboratorio di Anali (LIS) e del Centro Trasfuonale, dislocate presso i locali della U.O. Laboratorio di Anali e della U.O. Immunoematologia, dove sono installati dei software per la connesone ad apparecchiature elettromedicali per i quali è necessario tenere attive delle sesoni Wndows senza posbilità di disconnesone da parte di utenti diver pena l interruzione del servizio nell erogazione di prestazioni sanitarie. 20

Nella tabella seguente sono elencate dettagliatamente tali postazioni di lavoro. POSIZIONE PC DLABAN NR. INDIRIZZO IP MICROBIOLOGIA DLABAN04 10.102.2.205 MICROBIOLOGIA DLABAN01 10.102.2.195 MICROBIOLOGIA DLABAN05 10.102.2.231 MICROBIOLOGIA DLABAN03 10.102.2.108 MICROBIOLOGIA DLABAN15 10.102.3.2 MICROBIOLOGIA DLABAN07 10.102.2.63 MICROBIOLOGIA DLABAN08 10.102.2.152 MICROBIOLOGIA DLABAN09 10.102.2.49 MICROBIOLOGIA LABAN01 10.102.2.87 MICROBIOLOGIA DLABAN37 10.102.2.31 SIEROLOGIA DLABAN10 10.102.2.247 SIEROLOGIA DLABAN11 10.102.2.109 SIEROLOGIA DLABAN12 10.102.2.154 SIEROLOGIA DLABAN02 10.102.2.70 SIEROLOGIA DLABAN13 10.102.3.22 SIEROLOGIA LABAN108 10.102.2.48 SIEROLOGIA LABAN152 10.102.2.233 SIEROLOGIA LABAN153 10.102.2.242 SIEROLOGIA LABAN154 10.102.2.234 SIEROLOGIA DLABAN47 10.102.2.90 SIEROLOGIA LABAN103 10.102.2.131 SIEROLOGIA LABAN128 10.102.3.3 SIEROLOGIA DLABAN36 10.102.2.4 ALFREDO DLABAN18 10.103.2.197 ALFREDO 1 DLABAN50 10.102.2.5 PORTATILE LAB DLABAN17 10.102.2.30 LGUIDI DLABAN39 10.102.2.76 MOBILLAB(portatile) DLABAN49 10.102.2.57 WEB-LAB LABAN126 10.102.2.144 LAB-WEB-STORICO LAB-WEB- 10.102.20.4 STORICO DNSEV LABAN100 10.102.2.143 SEGRETERIA1 DLABAN14 10.102.2.100 SEGRETERIA2 DLABAN44 10.102.3.26 SEGRETERIA3 DLABAN45 10.102.3.38 SEGRETERIA4 DLABAN46 10.102.2.21 RISPOLI DLABAN19 10.102.2.145 D.SSA CASPRINI DLABAN20 10.102.2.141 ENDOCRINOLOGIA DLABAN16 10.102.2.133 ENDOCRINOLOGIA DLABAN21 10.102.2.158 ENDOCRINOLOGIA DLABAN22 10.102.3.13 ENDOCRINOLOGIA VISTA500 10.102.2.35 ENDOCRINOLOGIA LABAN20 10.102.3.14 ENDOCRINOLOGIA LABAN146 10.102.2.6 ENDOCRINOLOGIA DLABAN43 10.102.3.24 ENDOCRINOLOGIA LABAN106 10.102.2.186 ENDOCRINOLOGIA DLABAN38 10.102.2.216 ELETTROFORESI DLABAN23 10.102.3.18 ELETTROFORESI LABAN58 10.102.2.74 21

ELETTROFORESI PHORESIS 10.102.2.201 ELETTROFORESI CAPILLARYS2 10.102.3.28 ELETTROFORESI CAPILLARYS1 10.102.3.27 ELETTROFORESI LABAN300 10.102.3.21 ELETTROFORESI LABAN156 10.102.2.220 GENETICA DLABAN24 10.102.2.80 GENETICA DLABAN25 10.102.2.248 GENETICA(tiberio) DLABAN41 10.102.2.101 EMATOLOGIA LABAN133 10.102.2.8 EMATOLOGIA LABAN151 10.102.2.130 EMATOLOGIA DLABAN06 10.02.2.169 EMATOLOGIA DLABAN26 10.102.2.129 EMATOLOGIA DLABAN27 10.102.3.19 EMATOLOGIA DLABAN28 10.102.3.20 EMATOLOGIA LABAN14 10.102.2.174 EMATOLOGIA DLABAN29 10.102.2.32 CENTROPRELIEVI LABAN102 10.102.2.38 CENTROPRELIEVI LABAN101 10.102.2.128 CENTROPRELIEVI DLABAN31 10.102.3.23 CENTROPRELIEVI DLABAN34 10.102.2.4 CENTROPRELIEVI DLABAN35 10.102.2.237 URGENZE LABAN130 10.102.70.1 URGENZE LABAN131 10.102.70.3 URGENZE LAVAN132 10.102.2.91 URGENZE LABAN44 10.102.2.137 URGENZE DLABAN30 10.102.2.136 URGENZE DLABAN32 10.102.2.67 URGENZE LABAN147 10.102.2.235 URGENZE DLABAN_UURRG 10.102.3.33 PASCOLINI CARLA DLABAN33 10.102.2.232 ASPITE DLABAN40 10.102.2.72 IVALDA DLABAN42 10.102.2.36 TRASFUSIONALE TRASF 40 10.104.20.8 22