Sicurezza della rete e separazione attività BPL e non BPL



Похожие документы
Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Firma Digitale di Flussi di Fatture Elettroniche

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

L approccio di Consip alla sicurezza applicativa. Matteo Cavallini

Internet Banking per le imprese. Guida all utilizzo sicuro

Sicurezza informatica in azienda: solo un problema di costi?

Audit & Sicurezza Informatica. Linee di servizio

Strategie e Operatività nei processi di backup e restore

LA FORMAZIONE E LA CONSERVAZIONE DELLA MEMORIA DIGITALE

MANUALE DI CONSERVAZIONE

Lo schema complessivo con cui opera il servizio è quello rappresentato in figura. 1

PRESENTAZIONE SINTETICA PROGETTO JOOMLA! UN SITO WEB OPEN SOURCE PER LE PUBBLICHE AMMINISTRAZIONI

Politica per la Sicurezza

Firma digitale Definizione

FNOMCeO. Erogazione di servizi per la gestione delle Anagrafiche presso gli Ordini provinciali dei Medici. Lecce 27 Novembre 2009

Si applica a: Windows Server 2008

Docsweb Digital Sign: la Firma Grafometrica

VALUTAZIONE DEL LIVELLO DI SICUREZZA

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

MANUALE DELLA QUALITÀ Pag. 1 di 6

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

Guida alla FATTURAZIONE ELETTRONICA

Documento Programmatico sulla sicurezza

il CLOUD a norma di legge

PROTOCOLLO INFORMATIZZATO, PROTOCOLLO INFORMATICO E GESTIONE DOCUMENTALE. Maggio 2006

Dott. Alessandro Rodolfi. Università degli Studi di Milano

Faber System è certificata WAM School

Archivi e database. Prof. Michele Batocchi A.S. 2013/2014

LA CONSERVAZIONE DELLA MEMORIA DIGITALE FIGURE PROFESSIONALI E RESPONSABILITÀ

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H

Una minaccia dovuta all uso dell SNMP su WLAN

Infrastruttura e servizi collegati

Seminario formativo. Firma Digitale

MODULO DI DESIGNAZIONE/REVOCA DEI BENEFICIARI

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

Sistema di Gestione Documentale V.2.5.x. ARCHIVIAZIONE OTTICA, FASCICOLAZIONE E PROTOCOLLO V.2.5.x

FORMAZIONE AVANZATA IL CONSERVATORE DEI DOCUMENTI DIGITALI

Manuale di Conservazione

INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

Il sistema operativo. Sistema operativo. Multiprogrammazione. Il sistema operativo. Gestione della CPU

EW1051 Lettore di schede USB

Reti di Telecomunicazione Lezione 8

Allegato 5. Definizione delle procedure operative

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

Manuale Utente Prerequisiti per DigitalSign Lite Sistema Operativo Linux a 64 bit

PROTOS GESTIONE DELLA CORRISPONDENZA AZIENDALE IN AMBIENTE INTRANET. Open System s.r.l.

FIRMA DIGITALE. Aspetti normativi. Novembre 2004 Paoli Luigi 1

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

Dettaglio attività e pianificazione. snamretegas.it. San Donato Milanese Aprile 2014

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

U Corso di italiano, Lezione Dodici

La Firma Digitale. Manuale d uso Fornitore. Introduzione alla Firma Digitale. Aprile 2015

DISCIPLINARE PER LA STIPULAZIONE DEI CONTRATTI IN MODALITÀ ELETTRONICA

n. prog. QUESITO RISPOSTA In riferimento al Capitolato Tecnico, si richiedono le seguenti specifiche:

A chi è rivolta la FatturaPA

La Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci

Progetto per la digitalizzazione

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA

Comune di San Martino Buon Albergo

* Creare un documento unico di iscrizione in formato tessera (card) per tutti gli iscritti all Ordine dei Consulenti del Lavoro che:

L amministratore di sistema. di Michele Iaselli

Protezione delle informazioni in SMart esolutions

PEC un obbligo che semplifica

TENUTA SOTTO CONTROLLO DEI DOCUMENTI

Violazione dei dati aziendali

DuBackup+ OnlineBackups BestPractices

Riforma "Specialista del commercio al dettaglio" Direttive concernenti lo svolgimento di esami modulari per candidati specialisti del commercio al

Sistemi informativi secondo prospettive combinate

Accreditamento operatori Elenco degli ISP accreditati ad OVER network. Direzione Sistema Informatico 09 Luglio 2009

SCHEDA PRODOTTO PAG. 1 J O B T I M E W F. Variazioni mensili al cartellino presenze. Versione 6.1. JOBTIME Work Flow

DEMATERIALIZZAZIONE Si può fare davvero Vi diciamo come

La fattura elettronica e la gestione informatica dei documenti

LA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

REGOLAMENTO PROCEDURE DI PUBBLICAZIONE ALBO PRETORIO ONLINE

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

Progetto Atipico. Partners

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Транскрипт:

XV Corso - Convegno sull attuazione dei principi di Buona Pratica di Laboratorio. Addestramento ed aggiornamento per Ispettori e Figure professionali afferenti ai Centri di Saggio (D.L.vo n. 50 del 2 marzo 2007) 21 dicembre 2010 organizzato da Ministero della Salute Istituto Superiore di Sanità Sicurezza della rete e separazione attività BPL e non BPL Eugenio Carrani Paolo Roazzi

Sistemi computerizzati in BPL L unica L unica monografia disponibile riguardante l impiego di di sistemi sistemi computerizzati in in BPL: BPL: THE THE APPLICATION OF OF THE THE PRINCIPLES OF OF GLP GLP TO TO COMPUTERISED SYSTEMS --ENVIRONMENT MONOGRAPH NO. NO. 116 116 -- Paris Paris 1995. 1995. La La monografia è chiara, chiara, snella snella e, e, per per certi certi versi, versi, lungimirante. Tuttavia Tuttavia dal dal 1995 1995 a oggi, oggi, l informatica ha ha subito subito una una accelerazione e uno uno sviluppo non non prevedibile nel nel 1992-1995. La La finalità di di questo intervento è quella di di fornire spunti di di riflessione sia sia al al Management sia sia ai ai Quality Assurance su su cui cui grava la la responsabilità generale della della aderenza alla alla BPL BPL dei dei sistemi computerizzati in in uso uso (monografia par. par. 1 sub sub a,d). a,d).

Misure di sicurezza: perché? Compete all ambito BPL, BPL, garantire privatezza, confidenzialità e integrità dei dei dati. dati. Privatezza: è diritto diritto della della persona persona (fisica (fisica o giuridica) stabilire stabilire se, se, come come quando quando e a chi, chi, l informazione di di cui cui è proprietaria possa possa essere essere rilasciata Confidenzialità: assicura assicura che che certi certi servizi servizi e informazioni siano siano accessibili solo solo ad ad utenti utenti autorizzati. Integrità: garantire la la non nonmodifica incontrollata e non non documentata del del dato dato da da come come è stato stato creato. creato. Per Per garantire questi questi fondamentali requisiti di di sicurezza è necessario adottare appropriate politiche di di utilizzo utilizzo dei dei sistemi sistemi computerizzati, che che non non possono essere essere limitate limitate alle alle pur pur essenziali politiche di di sicurezza fisica fisica e logica, logica, ben ben descritte nella nella monografia.

Minacce alla sicurezza Studi effettuati già giànel 2004/2005 mostrano come le le finalità del malware siano mutate considerevolmente dagli albori dei virus informatici. Obiettivo di di questi software malevoli è la la ricerca fraudolenta di di informazioni ovvero l acquisizione di di informazioni residenti all interno dell elaboratore. "CSI/FBI "CSI/FBI Computer Computer Crime Crime and and Security Security Survey" Survey" L. L. A. A. Gordon, Gordon, M. M. P. P. Loeb, Loeb, W. W. Lucyshyn Lucyshyn e e R. R. Richardson, Richardson, 2004 2004 e e 2005 2005 "Australian "Australian Computer Computer Crime Crime and and Security Security Survey" Survey" Auscert, Auscert, 2004 2004 e e 2005 2005

Minacce alla sicurezza Per Per penetrare nel nel sistema sistema informatizzato, virus virus e worm worm sfruttano essenzialmente i i seguenti vettori: vettori: 1.mancanza di di un un adeguata protezione perimetrale: il il firewall. Realizza Realizza una una separazione in in zone zone aventi aventi diverso diverso grado grado di di sicurezza nella nella architettura di di rete. rete. La La suddivisione della della rete rete in in termini termini di di zone zone di di sicurezza è fondamentale e ben ben si si adatta adatta alle alle pratiche BPL. BPL. 2.vulnerabilità del del sistema: ne ne sono sono note note sono sono molte molte migliaia migliaia (http://www.cve.mitre.org/cve/). Esistono patch patch rilasciate dai dai produttori per per tutte tutte le le vulnerabilità (o (o quasi). quasi). È importante conoscerle e consultare regolarmente gli gli elenchi elenchi delle delle patch patch pubblicate e applicare gli gli aggiornamenti ai ai sistemi. sistemi.

Minacce alla sicurezza 3. 3. mancanza di di un un sistema sistema antivirus aggiornato ed ed efficiente; il il miglior miglior sistema sistema antivirus risulterà comunque inefficace se se il il sistema sistema stesso stesso presenta delle delle vulnerabilità; 4. 4. comportamento imprudente dell operatore: un un computer utilizzato in in BPL BPL non non dovrebbe essere essere utilizzato per per attività attivitàche che possano minarne stabilità stabilitàe sicurezza, quali: quali: a. a. la la navigazione in in Internet Internet per per fini fini non non strettamente legati legati all attività da da svolgere; b. b. l installazione non non controllata o involontaria di di software scaricati scaricati dalla dalla rete rete (es. (es. barre barre di di navigazione, gadget gadget meteo, meteo, screen screen saver, saver, ecc.); ecc.); c. c. l uso l uso promiscuo (non (non dedicato) di di chiavette USB ; USB ; d. d. 5. 5. comportamento imprudente del del responsabile della della sicurezza.

Minacce alla sicurezza L atteggiamento di di alcuni responsabili della sicurezza dei sistemi informatizzati è sinteticamente descritto in in un un articolo pubblicato da da Marcus J. J. Ranum. --The Six Six Dumbest Ideas in in Computer Security 2005 -- http://www.ranum.com/security/computer_security/e ditorials/dumb/ del quale se se ne ne riporta un un estratto.

Minacce alla sicurezza 1. 1. "We're "We're Not Not a Target" Target" --yes, yes, you you are. are. Worms Worms aren't aren't smart smart enough enough to to realize realize that that your your [ ] [ ] network isn't isn't interesting; 2. 2. "Everyone would would be be secure secure if if they they all all just just ran ran security-flavor-ofthe-month" -- no, no, they they wouldn't. Operating systems systems have have security security problems because they they are are complex and and system system administration is is not not a solved solved problem in in computing. 3. 3. "We "We don't don't need need a firewall, we we have have good good host host security" --no, no, you you don't. don't. If If your your network fabric fabric is is untrustworthy every every single single application that that goes goes across across the the network is is potentially a target. target. 4. 4. "We "We don't don't need need host host security, we we have have a good good firewall" --no, no, you you don't. don't. If If your your firewall firewall lets lets traffic traffic through through to to hosts hosts behind behind it, it, then then you you need need to to worry worry about about the the host host security security of of those those systems. 5. 5. "Let's "Let's go go production with with it it now now and and we we can can secure secure it it later" later" -- no, no, you you won't. won't. A better better question to to ask ask yourself yourself is is "If "If we we don't don't have have time time to to do do it it correctly now, now, will will we we have have time time to to do do it it over over once once it's it's broken?"

Firme elettroniche e marche temporali La La monografia (par.5) prevede l utilizzo di di firme elettroniche e di di marche temporali per garantire l integrità dei dati anche nella fase di di archiviazione. Sarebbe, tuttavia, opportuno fare riferimento a standard di di firma elettronica, infatti i i problemi nascono già già sulla terminologia impiegata. Per tentare di di fare chiarezza, si si può fare riferimento (a (a esempio) al al Codice dell'amministrazione Digitale perché accoglie le le richieste della Direttiva Europea 1999/99/CE.

Firme elettroniche e marche temporali 1. 1. Firma elettronica: è la la forma più debole di di firma in in ambito informatico; non prevede meccanismi di di autenticazione del firmatario o di di integrità del dato firmato. 2. 2. Firma elettronica qualificata: la la firma elettronica ottenuta attraverso una procedura informatica che garantisce la la connessione univoca al al firmatario; 3. 3. Firma digitale: un un particolare tipo di di firma elettronica qualificata basata su su un un sistema di di chiavi crittografiche, una pubblica e una privata che consente di di verificare la la provenienza e l'integrità di di un un documento informatico o di di un un insieme di di documenti informatici.

Conclusioni 1. 1. Porre la la massima attenzione nel nel garantire la la tracciabilità e la la sicurezza dei dei dati. dati. 2. 2. Qualora uno uno stesso computer dovesse essere impiegato in in attività BPL BPL e non non BPL, BPL, diviene obbligatorio adottare comunque tutte tutte quelle cautele e accorgimenti necessari allo allo svolgimento della della attività BPL. BPL. 3. 3. Si Si può può suggerire, come ulteriore risorsa per per ottenere una una più piùimmediata distinzione dei dei documenti relativi a studi studi destinati alla alla regulatory submission, di di utilizzare utenti diversi (esempio: mario.rossi.bpl e mario.rossi) in in quanto la la maggior parte dei dei sistemi operativi commerciali provvede a separare logicamente documenti e risorse di di utenti distinti.

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back