Reglament Aziendale MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI AMMINISTRATORE DI SISTEMA 1. CONSIDERAZIONI PRELIMINARI...2 2. VALUTAZIONE DELLE CARATTERISTICHE SOGGETTIVE...3 3. DESIGNAZIONI INDIVIDUALI...3 4. SERVIZI IN OUTSOURCING...4 5. VERIFICA DELLE ATTIVITA'...4 6. REGISTRAZIONE DEGLI ACCESSI...4 1
1. CONSIDERAZIONI PRELIMINARI Quest dcument è stat predispst sulla base del: Prvvediment del Garante del 27 nvembre 2008 relativ a "misure e accrgimenti prescritti ai titlari dei trattamenti effettuati cn strumenti elettrnici relativamente alle attribuzini delle funzini di amministratre di sistema", pubblicat sulla G.U. n. 300 del 24 dicembre 2008 Prvvediment del Garante del 12 febbrai 2009 di Prrga delle misure e accrgimenti prescritti ai titlari dei trattamenti effettuati cn strumenti elettrnici relativamente alle attribuzini delle funzini di amministratre di sistema pubblicat sulla G.U. n. 45 del 24 febbrai 2009 Adempimenti richiesti dalla nrmativa: a) Valutazine delle caratteristiche sggettive degli Amministratri di sistema per l'attribuzine delle funzini, previa valutazine dell'esperienza, della capacità e dell'affidabilità del sggett designat, cn criteri di valutazine equipllenti a quelli richiesti per la designazine dei respnsabili ai sensi dell'art. 29. b) Designazini individuali degli Amministratri di sistema e degli ambiti di peratività cnsentiti in base al prfil di autrizzazine assegnat. c) Elenc degli amministratri di sistema e delle funzini ad essi attribuite d) Individuazine, per i servizi affidati in utsurcing, degli estremi identificativi delle persne fisiche prepste quali amministratri di sistema. e) Verifica delle attività degli amministratri di sistema, al fine di cntrllare la rispndenza alle misure rganizzative, tecniche e di sicurezza rispett ai trattamenti dei dati persnali f) Registrazine degli accessi lgici ai sistemi di elabrazine e agli archivi elettrnici da parte degli Amministratri Cn la definizine di "amministratre di sistema" si individuan generalmente, in ambit infrmatic, figure prfessinali finalizzate alla gestine e alla manutenzine di un impiant di elabrazine di sue cmpnenti ed altre figure equiparabili dal punt di vista dei rischi relativi alla prtezine dei dati, quali gli amministratri di basi di dati, gli amministratri di reti e di apparati di sicurezza e gli amministratri di sistemi sftware cmplessi: system administratr (amministratre di sistema), netwrk administratr (amministratre di rete), database administratr (amministratre di data base). Gli amministratri di sistema csì ampiamente individuati, anche se la lr principale attività riguarda altri settri, sn cncretamente "respnsabili" di specifiche fasi lavrative che pssn cmprtare elevate criticità rispett alla prtezine dei dati. Attività tecniche quali il salvataggi dei dati (backup/recvery), l'rganizzazine dei flussi di rete, la gestine dei supprti di memrizzazine e la manutenzine hardware cmprtan infatti, in mlti casi, un'effettiva capacità di azine su infrmazini che va cnsiderata a tutti gli effetti alla stregua di un trattament di dati persnali; ciò, anche quand l'amministratre nn cnsulti "in chiar" le infrmazini medesime. Le funzini tipiche dell'amministrazine di un sistema sn richiamate nell Allegat B del Dlgs 196/2003, nella parte in cui prevede l'bblig per i titlari di assicurare la custdia delle cmpnenti riservate delle credenziali di autenticazine. Gran parte dei cmpiti previsti nel medesim Allegat B spettan tipicamente all'amministratre di sistema: dalla realizzazine di cpie di sicurezza (perazini di backup e recvery dei dati) alla custdia delle credenziali alla gestine dei sistemi di 2
autenticazine e di autrizzazine. Azienda Ospedaliera 2. VALUTAZIONE DELLE CARATTERISTICHE SOGGETTIVE L'attribuzine delle funzini di amministratre di sistema avveniene previa valutazine dell'esperienza, della capacità e dell'affidabilità del sggett designat, il quale deve frnire idnea garanzia del pien rispett delle vigenti dispsizini in materia di trattament ivi cmpres il prfil relativ alla sicurezza. Per tale mtiv gli amministratri sn stati individuati tra il persnale della SC Sistemi Infrmativi cn più anni di esperienza nell specific settre di attività. 3. DESIGNAZIONI INDIVIDUALI La designazine quale amministratre di sistema deve essere in gni cas individuale e recare l'elencazine analitica degli ambiti di peratività cnsentiti in base al prfil di autrizzazine assegnat. A tale scp il Titlare ha inviat ad gni Amministratre, att di nmina cn una lettera di incaric in cui sn indicate le rispettive mansini e gli ambiti di intervent. Funzini attribuite: a. Amministratri di sistema: Access a tutti i server in lettura/scrittura Backup/restre degli archivi Predispsizine delle prcedure di disaster recvery Creazine di nuvi utenti di rete e/ lr mdifica Attribuzine nuvi nme cmputer del dmini Attribuzine dei permessi di access agli utenti di rete Creazine mdifica di aree cndivise in rete Mnitraggi degli eventi e dei servizi fferti dai servers Manutenzine ed aggirnament dei sistemi perativi ed antivirus dei servers Installazine di sftware applicativ b. Amministratri di rete: Attribuzine nuvi indirizzi IP Backup/restre delle cnfigurazini firmware degli apparati (switch) di rete attiva Aggirnamenti firmware degli apparati (switch) di rete attiva Mnitraggi degli eventi di intrusine nella rete Mdifica delle regle di sicurezza del firewall per rispndere a nuve esigenze ppure per miglirare la funzinalità del firewall a blccare eventi di intrusine nella rete c. Aggirnament cstante della mappa di rete e del censiment PDL Amministratri di database: Backup/restre dei database Mdifica della struttura fisica delle tabelle del database Attribuzine dei permessi di access utenti alle tabelle del database Manutenzine applicativi, test funzinalità, reprtistica Gestine sicurezza Nella gestine infrmatica, l A.O. Ordine Maurizian si avvale di persnale estern, che interviene cme Amministratre, sui sistemi di prprietà dell Ente. Il Titlare, nella qualità di datre di lavr, è tenut a rendere nta l'identità degli amministratri di sistema nell'ambit delle prprie rganizzazini, in relazine ai diversi servizi infrmatici cui questi sn prepsti. A tal fine tutta la dcumentazine è resa dispnibile sul sit Intranet dell A.O. 3
Maurizian alla sezine Privacy e verrà rilasciata a clr che ne richiederann l'access. 4. SERVIZI IN OUTSOURCING Nel cas di servizi di amministrazine di sistema affidati in utsurcing all estern, il Titlare deve cnservare direttamente e specificamente, per gni eventuale evenienza, gli estremi identificativi delle persne fisiche prepste quali amministratri di sistema. A tal fine il Titlare ha predispst pprtune richieste prtcllate alle Scietà che gestiscn data base esterni cn dati relativi all AO Maurizian al fine di cnscere e registrare il nminativ degli Amministratri, richiedend per gni tiplgia di dati trattata, il nminativ degli Amministratri, le funzini attribuite ed il prfil di autrizzazine assegnat. E' stat richiest che le Scietà rispettin la nrmativa in termini di registrazine degli accessi e cnservazine dei lg per almen sei mesi. 5. VERIFICA DELLE ATTIVITA' L'perat degli amministratri di sistema deve essere ggett, cn cadenza almen annuale, di un'attività di verifica da parte dei titlari del trattament, in md da cntrllare la sua rispndenza alle misure rganizzative, tecniche e di sicurezza rispett ai trattamenti dei dati persnali previste dalle nrme vigenti. Operativamente, cn cadenza annuale viene cntrllata la rispndenza delle attività degli amministratri alle: misure rganizzative: cntrlland che le funzini attribuite a ciascun amministratre sian effettivamente cngrue a ciò che l individu è capace di fare; azini pssibili da intraprendere per miglirare eventuali deficienze fare ricrs a crsi di frmazine specifici e/ sstituzine cambi di ruli tra persnale dipendente misure tecniche: cntrlland che le funzini attribuite a ciascun amministratre sian state svlte dal punt di vista tecnic secnd nrmativa vigente; azini pssibili da intraprendere per miglirare eventuali deficienze tecniche aggirnare i sistemi hardware e/ sftware utilizzati misure di sicurezza: cntrlland che: nn sian stati segnalati abusi/intrusini perdita di dati ricnducibili ad amministratri di sistema; azini da intraprendere nel cas in cui ci fsser state segnalazini cntrllare gli access lg relativi al perid segnalat; nn sia necessari attuare mdifiche per miglirare la rispndenza di quant implementat alle nrmative vigenti e per diminuire i pssibili eventi di intrusine nella rete; azini da intraprendere verificare che le raccmandazini segnalate nei VulnerabilityReprts mensili sian state attuate se n mtivate in verbali scritti. 6. REGISTRAZIONE DEGLI ACCESSI Sn stati adttati sistemi idnei: alla registrazine degli accessi lgici (autenticazine infrmatica) ai sistemi di elabrazine e agli archivi elettrnici da parte degli amministratri di sistema. Le registrazini (access lg) devn avere caratteristiche di cmpletezza, inalterabilità e pssibilità di verifica della lr integrità adeguate al raggiungiment dell scp di verifica per cui sn richieste all analisi centralizzata dei lg di access prdtti da tutti i servers ed apparati attivi alla cnservazine dei lg di access per almen 6 mesi 4
Operativamente è pprtun implementare la sluzine giusta indipendentemente dalle tiplgie dei sistemi e dei data base presenti nell Azienda, evitand impatti sulle perfrmance dei sistemi, ma bilanciand le esigenze di cmpliance cn il manteniment della prduttività aziendale; inizialmente si è ptat per: Adttare un sistema di auditing dei seguenti eventi effettuati dagli amministratri su ciascun server presente all AO Maurizian : lgn/lgff access agli share definiti a scp amministrativ: C$; ADMIN$; ecc lg del firewall Prevedere la stricizzazine mensile degli access lg su strage da cnservare per almen 6 mesi per tutti i server/dispsitivi che cntengn dati sensibili. Cn Deliberazine n.84 del 04/02/1010 la S.C. Sistemi Infrmativi ha adttat una sluzine hardware e sftware per la gestine centralizzata dei lg di sistema, in cnfrmità al Prvvediment Generale del Garante relativamente alle attività degli Amministratri di Sistema. 5