ALLEGATO 3 Misure, incident respnse, ripristin Istitut Cmprensiv Andrea Testre Tabella 1 - Cnnettività internet Cnnettività Apparecchiature di cmunicazine Prvider ADSL Ruter Pirelli Alice Telecm Italia Alice Tabella 2 - Descrizine Persnal Cmputer 1 Identificativ stema Tip PC del PC perativ 01 Pentium4 3 Win Xp Pr 02 Pentium4 3 03 Pentium4 3 04 Pentium4 3 05 Pentium4 3 06 Pentium4 3 Win Xp Pr Win Xp Pr Win Xp Pr Win Xp Pr Win Xp Pr Sftware utilizzat ssi, Office Micrsft, Inps 2000, Entratel, Arg, Prtcll infrmatic ssi, Office Micrsft, Arg, Prtcll infrmatic ssi, Office Micrsft, Arg, Prtcll infrmatic ssi, Office Micrsft, Arg Prtcll infrmatic Office 2003 Basic Micrsft ssi, Office rete 1 I PC descritti in questa tabella nn prendn in cnsiderazine quelli presenti nei labratri didattici Nte: Gli applicativi del prgramma Arg sn : Alunni sui PC 1-2-3-4-6-7 Persnale sui PC 1-2-3-4-6-7 Stipendi sui PC 1-2-3-7 Fisc sui PC 1-7 Pagina 1 di 7
ALLEGATO 3 Misure, incident respnse, ripristin 07 Pentium 4 i server di rete, 2 dischi sata raid 1 mirrring Win 2003 server R2 Micrsft, Arg, Prtcll infrmatic ssi in rete, Arg cn database Sybase MISURE DI CARATTERE ELETTRONICO/INFORMATICO Le misure di carattere elettrnic/infrmatic 2 adttate sn: Il server utilizza due dischi cnfigurati in mirrring hardware per permettere maggire sicurezza dei dati e tempi più rapidi di ripristin in cas di malfunzinamenti dvuti ai dischi. Il cmputer adibit precedentemente a server si trva dismess in lcale ad access cntrllat (depsit attrezzature in disus).la sua scheda madre è stata riutilizzata sul pc dcenti dell aula di infrmatica. Nel mment in cui venisse individuat un pssibile reimpieg, si prcederà alla sstituzine del disc fiss e alla reinstallazine dei sftware licenziati. Il disc sstituit verrà custdit in cassafrte quale backup stric. In cas di rttamazine si prcederà alla rttura meccanica dell stess per renderl definitivamente illeggibile.tale prcedura sarà adttata per tutti i cmputer dismessi utilizzati per scpi amm.vi e didattici e in ccasine della eventuale eliminazine dall inventari dei beni mbili della scula si redigerà un sintetic verbale in cui si annterann le mdalità di cancellazine dei dati dall hard disk le mdalità di distruzine del supprt stess. presenza di gruppi di cntinuità elettrica per il server: è presente un grupp di cntinuità sul server e un sugli apparati di rete. Le cpie di sicurezza sn autmatiche girnaliere e striche mensili e trimestrali; richiedn sl il cntrll dell avvenuta funzinalità. Alla data di quest dcument i respnsabili delle cpie sn indicati nell'allegat 1 relativ al censiment dei trattamenti dei dati.i backup sn centralizzati sul server 07 e su due dischi esterni scllegabili in md da pter cnservare un dei due dischi in lug prtett (cassafrte esistente nell Uffici del Dsga).Peridicamente i dischi esterni vengn sstituiti e cnservati in cassafrte nde far frnte a rischi di perdita ttale delle apparecchiature.inltre gni 7 girni sul server viene effettuat il backup del prgramma ministeriale ssi in Rete ( in crs di dismissine),utilizzand l appsita prcedura di utilità. E utilizzat un firewall di prduzine Symantec cn hardware dedicat per prteggere la rete dagli accessi indesiderati attravers internet; definizine delle regle per la gestine delle passwrd per i sistemi dtati di sistemi perativi Windws XP, di seguit specificate: è presente una plitica di gestine delle passwrd che prevede la sstituzine gni 6 mesi, le passwrd sn frmate da almen tt caratteri alfanumerici nn riferibili all utente, le passwrd nn vengn cmunicate ad altri utenti nn autrizzati, sn 2 Le misure di carattere elettrnic/infrmatic sn quelle in grad di segnalare gli accessi agli elabratri, agli applicativi, ai dati e alla rete, di gestire le cpie di salvataggi dei dati e degli applicativi, di assicurare l'integrità dei dati, di prteggere gli elabratri da prgrammi vlutamente invlntariamente ritenuti dannsi. Pagina 2 di 7
ALLEGATO 3 Misure, incident respnse, ripristin presenti passwrd sul bis che impediscn l accensine delle macchine e passwrd di sistema che impediscn l access ai dati e ai prgrammi, sn presenti passwrd di applicativ che impediscn e gestiscn le prirità di access ai prgrammi; diviet di memrizzare dati persnali, sensibili, giudiziari sulle pstazini di lavr cn sistemi perativi Windws 9x e Windws Me e cmunque, sui cmputer nn elencati nella precedente tabella; installazine di un sistema antivirus su tutti le pstazini di lavr, cnfigurat per cntrllare la psta in ingress, la psta in uscita, per eseguire la prcedura di aggirnament in autmatic e la scansine peridica dei supprti di memria: è presente un antivirus (Micrsft Security Essentials) che cntrlla i file in temp reale di access e si aggirna autmaticamente; definizine delle regle per la gestine di strumenti elettrnic/infrmatic, di seguit riprtate; definizine delle regle di cmprtament per minimizzare i rischi da virus, di seguit riprtate; separazine della rete lcale delle segreterie da quella dei labratri didattici: la rete lcale della segreteria è fisicamente separata da quella dei labratri. REGOLE PER LA GESTIONE DELLE PASSWORD 3 Tutti gli incaricati del trattament dei dati persnali accedn al sistema infrmativ per mezz di un cdice identificativ persnale (in seguit indicat user-id) e passwrd persnale. User-id e passwrd iniziali sn assegnati, dal custde delle passwrd. User-id e passwrd sn strettamente persnali e nn pssn essere riassegnate ad altri utenti. L'user-id è cstituita da 8 caratteri che crrispndn alle prime tt lettere del cgnme ed eventualmente del nme. In cas di mnimia si prcede cn le successive lettere del nme. La passwrd è cmpsta da 8 caratteri alfanumerici. Detta passwrd nn cntiene, né cnterrà, elementi facilmente ricllegabili all rganizzazine alla persna del su utilizzatre e deve essere autnmamente mdificata dall incaricat al prim access al sistema e dall stess cnsegnata in una busta chiusa al custde delle passwrd, il quale prvvede a metterla nella cassafrte in un plic sigillat. Ogni sei mesi (tre nel cas di trattament dati sensibili) ciascun incaricat prvvede a sstituire la prpria passwrd e a cnsegnare al custde delle passwrd una busta chiusa sulla quale è indicat il prpri user-id e al cui intern è cntenuta la nuva passwrd; il custde delle passwrd prvvederà a sstituire la precedente busta cn quest'ultima. Le passwrd verrann autmaticamente disattivate dp tre mesi di nn utilizz. Le passwrd di amministratre di tutti i PC che l prevedn sn assegnate dall'amministratre di sistema, esse sn cnservate in busta chiusa nella cassafrte. In cas di necessità l'amministratre di sistema è autrizzat a intervenire sui persnal cmputer. In cas di manutenzine strardinaria pssn essere cmunicate, qualra necessari, dall'amministratre di sistema al tecnic/sistemista addett alla manutenzine le credenziali di autenticazine di servizi. Al termine delle perazini di manutenzine l'amministratre di sistema deve ripristinare nuve credenziali di autenticazine che 3 La passwrd è un element fndamentale per la sicurezza delle infrmazini. La rbustezza delle passwrd è il meccanism più imprtante per prteggere i dati; un crrett utilizz della passwrd è a garanzia dell'utente. Pagina 3 di 7
ALLEGATO 3 Misure, incident respnse, ripristin devn essere custdite in cassafrte. Le dispsizini di seguit elencate sn vinclanti per tutti i psti lavr tramite i quali si può accedere alla rete e alle banche dati cntenenti dati persnali e/ sensibili: le passwrd assegnate inizialmente e quelle di default dei sistemi perativi, prdtti sftware, ecc. devn essere immediatamente cambiate dp l installazine e al prim utilizz; per la definizine/gestine della passwrd devn essere rispettate le seguenti regle: la passwrd deve essere cstituita da una sequenza di minim tt caratteri alfanumerici e nn deve essere facilmente individuabile; deve cntenere almen un carattere alfabetic ed un numeric; nn deve cntenere più di due caratteri identici cnsecutivi; nn deve cntenere l user-id cme parte della passwrd; al prim access la passwrd ttenuta dal custde delle passwrd deve essere cambiata; la nuva passwrd nn deve essere simile alla passwrd precedente; la passwrd deve essere cambiata almen gni sei mesi, tre nel cas le credenziali cnsentan l'access ai dati sensibili giudiziari; la passwrd termina dp sei mesi di inattività; la passwrd è segreta e nn deve essere cmunicata ad altri; la passwrd va custdita cn diligenza e riservatezza; l'utente deve sstituire la passwrd, nel cas ne accertasse la perdita ne verificasse una rivelazine surrettizia. REGOLE PER LA GESTIONE DI STRUMENTI ELETTRONICO/INFORMATICO Per gli elabratri che spitan archivi ( hann access tramite la rete) cn dati persnali sn adttate le seguenti misure: l'access agli incaricati ed agli addetti alla manutenzine è pssibile sl in seguit ad autrizzazine scritta; gli hard disk nn sn cndivisi in rete se nn tempraneamente per perazini di cpia; tutte le perazini di manutenzine che sn effettuate n-site avvengn cn la supervisine dell'incaricat del trattament di un su delegat; le cpie di backup realizzate su disc estern usb2 sn cnservate in armadi metallic cn chiusura a chiave nell uffici del Direttre diviet di utilizzare flppy disk cme mezz per il backup; diviet per gli utilizzatri di strumenti elettrnici di lasciare incustdit, accessibile, l strument elettrnic stess. A tale riguard, per evitare errri e dimenticanze, è adttat un screensaver autmatic dp 10 minuti di nn utilizz, cn ulterire passwrd segreta per la prsecuzine del lavr. diviet di memrizzazine di archivi cn dati sensibili di carattere persnale dell'utente sulla prpria pstazine di lavr nn inerenti alla funzine svlta; diviet di installazine di sftware di qualsiasi tip sui persnal cmputer che cntengn archivi cn dati sensibili senza appsita autrizzazine scritta da parte del respnsabile del trattament dati; diviet di installazine sui persnal cmputer di accessi remti di qualsiasi tip mediante mdem, linee telefniche altri mezzi idnei. Il cntrll dei dcumenti stampati è respnsabilità degli incaricati al trattament. La stampa di dcumenti cntenenti dati sensibili è effettuata su stampanti pste in lcali ad access cntrllat presidiate dall incaricat. Pagina 4 di 7
ALLEGATO 3 Misure, incident respnse, ripristin Il fax si trva in lcale ad access cntrllat (Uffici di Segreteria) e l'utilizz è cnsentit unicamente agli incaricati del trattament (vedi allegat 1). La manutenzine degli elabratri, che può eventualmente prevedere il trasferiment fisic press un labratri riparazini, è autrizzata sl a cndizine che il frnitre del servizi dichiari per iscritt di avere redatt il dcument prgrammatic sulla sicurezza e di aver adttat le misure minime di sicurezza previste dal disciplinare. REGOLE DI COMPORTAMENTO PER MINIMIZZARE I RISCHI DA VIRUS 4 Per minimizzare il rischi da virus infrmatici, gli utilizzatri dei PC adttan le seguenti regle: limitare l scambi fra cmputer di supprti rimvibili (flppy, cd, zip) cntenenti file cn estensine EXE, COM, OVR, OVL, SYS, DOC, XLS; cntrllare (scansinare cn un antivirus aggirnat) qualsiasi supprt di prvenienza sspetta prima di perare su un qualsiasi dei file in ess cntenuti; evitare l'us di prgrammi shareware e di pubblic dmini se nn se ne cnsce la prvenienza, vver diviet di scaricare dalla rete internet gni srta di file, eseguibile e nn. La decisine di scaricare può essere presa sl dal respnsabile del trattament; disattivare gli Activex e il dwnlad dei file per gli utenti del brwser Internet Explrer; disattivare la creazine di nuve finestre ed il lr ridimensinament e impstare il livell di prtezine su chiedi cnferma (il brwser avvisa quand un script cerca di eseguire qualche azine); attivare la prtezine massima per gli utenti del prgramma di psta Outlk Express al fine di prteggersi dal cdice html di certi messaggi e-mail (buna nrma è visualizzare e trasmettere messaggi in frmat test piché alcune pagine web, per il sl fatt di essere visualizzate pssn infettare il cmputer); nn aprire gli allegati di psta se nn si è certi della lr prvenienza, e in gni cas analizzarli cn un sftware antivirus. Usare prudenza anche se un messaggi prviene da un indirizz cnsciut (alcuni virus prendn gli indirizzi dalle mailing list e della rubrica di un cmputer infettat per inviare nuvi messaggi "infetti"); nn cliccare mai un link presente in un messaggi di psta elettrnica da prvenienza scnsciuta,(in quant ptrebbe essere fals e prtare a un sittruffa); nn utilizzare le chat; cnsultare cn peridicità settimanale la sezine sicurezza del frnitre del sistema perativ e applicare le patch di sicurezza cnsigliate; nn attivare le cndivisini dell'hd in scrittura. seguire scruplsamente le istruzini frnite dal sistema antivirus nel cas in cui tale sistema antivirus abbia scpert tempestivamente il virus (in alcuni casi ess è in grad di rislvere il prblema, in altri chiederà di eliminare cancellare il file infett); avvisare l Amministratre di sistema nel cas in cui il virus sia stat scpert sl dp aver subit svariati malfunzinamenti della rete di qualche PC, vver in ritard (in quest cas è pssibile che l'infezine abbia raggiunt parti vitali del sistema); 4 Le più recenti statistiche internazinali citan il virus infrmatic cme la minaccia più ricrrente ed efficace Pagina 5 di 7
ALLEGATO 3 Misure, incident respnse, ripristin cnservare i dischi di ripristin del prpri PC (creati cn l'installazine del sistema perativ, frniti direttamente dal cstruttre del PC); cnservare le cpie riginali di tutti i prgrammi applicativi utilizzati e la cpia di backup cnsentita per legge; cnservare la cpia riginale del sistema perativ e la cpia di backup cnsentita per legge; cnservare i driver delle periferiche (stampanti, schede di rete, mnitr ecc. frnite dal cstruttre). Nel cas di sistemi danneggiati seriamente da virus l Amministratre prcede a reinstallare il sistema perativ, i prgrammi applicativi ed i dati; seguend la prcedura indicata: 1. frmattare l'hard Disk,definire le partizini e reinstallate il stema Operativ. (mlti prduttri di persnal cmputer frniscn un più cd di ripristin che facilitan l'perazine); 2. installare il sftware antivirus, verificate e installare immediatamente gli eventuali ultimi aggirnamenti; 3. reinstallare i prgrammi applicativi a partire dai supprti riginali; 4. effettuare il RESTORE dei sli dati a partire da una cpia di backup recente. NESSUN PROGRAMMA ESEGUIBILE DEVE ESSERE RIPRISTINATO DALLA COPIA DI BACKUP: ptrebbe essere infett; 5. effettuare una scansine per rilevare la presenza di virus nelle cpie dei dati; 6. ricrdare all utente di prestate particlare attenzine al manifestarsi di nuvi malfunzinamenti nel riprendere il lavr di rutine. INCIDENT RESPONSE E RIPRISTINO 5 Tutti gli incaricati del trattament dei dati devn avvisare tempestivamente il respnsabile della sicurezza infrmatica l amministratre di sistema il respnsabile del trattament dei dati, nel cas in cui cnstatin le seguenti anmalie: discrepanze nell'us degli user-id; mdifica e sparizine di dati; cattive prestazini del sistema (csì cme percepite dagli utenti); irreglarità nell'andament del traffic; irreglarità nei tempi di utilizz del sistema; qute particlarmente elevate di tentativi di cnnessine falliti. In cas di incidente sn cnsiderate le seguenti prirità: 1. evitare danni diretti alle persne; 2. prteggere l'infrmazine sensibile prprietaria; 3. evitare danni ecnmici; 4. limitare i danni all'immagine dell'rganizzazine. Garantita l'inclumità fisica alle persne si prcedere a: 1. islare l'area cntenente il sistema ggett dell'incidente; 2. islare il sistema cmprmess dalla rete; 3. spegnere crrettamente il sistema ggett dell incidente(vedi tabella 3). Una vlta spent il sistema ggett dell'incidente nn deve più essere riacces 6 ; 5 Un incidente può essere definit cme un event che prduce effetti negativi sulle perazini del sistema e che si cnfigura cme frde, dann, abus, cmprmissine dell'infrmazine, perdita di beni. 6 E' indispensabile che per una eventuale indagine venga assicurata l'integrità e la sicurezza dell stat del sistema in ggett e quindi nn venga intrdtta alcuna alterazine ai dati residenti nel sistema medesim; un ripristin Pagina 6 di 7
ALLEGATO 3 Misure, incident respnse, ripristin 4. dcumentare tutte le perazini. Se l incidente è dvut ad imperizia del persnale ad eventi accidentali, vver quand nn vi è frde, dann, abus e nn è cnfigurabile nessun tip di reat, il ripristin può essere effettuat, a cura dell amministratre di sistema, direttamente sugli hard disk riginali a partire dalle ultime cpie di backup ritenute valide. Altrimenti il titlare del trattament, il respnsabile del trattament e l'amministratre di sistema cinvlgerann esperti e/ autrità cmpetenti. La successiva fase di indagine e di ripristin del sistema sarà cndtta da persnale espert di incident respnse, tenend presente quant stt indicat: 1. eseguire una cpia bit t bit degli hard disk del sistema cmprmess; 2. se l incidente riguarda i dati il restre dei dati può avvenire sulla cpia di cui al punt 1 precedente a partire dalle ultime cpie di backup ritenute valide; 3. se l incidente riguarda il sistema perativ esiste la pssibilità che sia stat installat sftware di tip MMC (vedere Allegat 2) il ripristin deve essere effettuat reinstalland il sistema perativ su nuv supprt. Tabella 3 - Prcedure di spegniment stema perativ Windws 98/NT/2000/XP Nta: (fnte U.S. Departement f Energy) Azine 1. Ftgrafare l scherm e dcumentare i prgrammi che sn attivi. 2. Staccare la spina dalla presa di crrente. affrettat del sistema ptrebbe alterare le prve dell'incidente. Pagina 7 di 7