Documento Programmatico sulla Sicurezza - INFN Pavia

Transcript

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010)
INFN Sezione di Pavia
Documento Programmatico sulla Sicurezza
Anno 2010
1.
Introduzione
Il contenuto del Documento Programmatico sulla Sicurezza è indicato al punto 19 dell’Allegato B al Decreto legislativo 30 giugno 2003 n. 196 - Codice in materia di protezione dei dati personali, il quale dispone:
Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
1. l'elenco dei trattamenti di dati personali;
2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
3. l'analisi dei rischi che incombono sui dati;
4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e
dei locali, rilevanti ai fini della loro custodia e accessibilità;
5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione
o danneggiamento di cui al successivo punto 23;
6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e
delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già
al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di
nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione
dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
2.
Elenco dei trattamenti dei dati
Nella Struttura sono eseguiti i seguenti trattamenti di dati personali sensibili o giudiziari con l’ausilio di strumenti
elettronici.
Le tipologie di trattamento consistono nella loro registrazione, conservazione, elaborazione e comunicazione
alle Amministrazioni competenti.
1
2.1
Gestione del personale
Finalità
TIPOLOGIA DEI DATI
SENSIBILI TRATTATI
CATEGORIE
INTERESSATE
STRUMENTI UTILIZZATI
TIPOLOGIE DI
INTERCONNESSIONE
Assunzioni, collocamento Dati relativi allo stato di salu- Candidati a concorRete locale / intranet /
Elaboratori fissi / portatili
obbligatorio, carriera
te e dati giudiziari
si o selezioni
internet
Tutela della salute, gravidanza puerperio
Dati relativi allo stato di salu- Dipendenti / collate
boratori
Rete locale / intranet /
internet
Riconoscimento causa di
servizio, equo indennizzo, Dati relativi allo stato di salu- Dipendenti / collaconcessione di benefici
te
boratori
assistenziali
internet
Trattamento economico:
Trattenute sindacali
Dati relativi all’appartenenza Dipendenti / collasindacale
boratori
internet
Garanzia dei diritti sindacali
Dati relativi all’appartenenza Dipendenti / collasindacale
boratori
internet
Garanzia dei diritti politici:
Dati relativi all’appartenenza Dipendenti / collarilascio permessi per epolitica
boratori
sercizio diritti politici
internet
Dati relativi allo stato di salute nonché dati inerenti fattori Dipendenti / colladi rischio, quali dati dosime- boratori
trici ed altri
internet
Igiene e sicurezza sul
lavoro
2.2
Contratti e appalti
Finalità
TIPOLOGIA DEI DATI
SENSIBILI TRATTATI
Obblighi in materia di
certificazioni antimafia
3.
Dati giudiziari
CATEGORIE
INTERESSATE
Fornitori e ditte
candidate a tale
ruolo
STRUMENTI
UTILIZZATI
TIPOLOGIE DI
INTERCONNESSIONE
internet
Distribuzione dei compiti e delle responsabilità
I compiti e le responsabilità in tema di trattamento dei dati personali sono distribuiti in conformità alla deliberazione
del Consiglio Direttivo dell’INFN n. 6389 del 25 marzo 1999, come modificata dalla deliberazione n. 8335 del 28 novembre 2003. Con tale deliberazione l’Istituto Nazionale di Fisica nucleare, titolare del trattamento dei dati personali,
ha individuato i responsabili del trattamento nei Direttori delle Strutture, nonché nei Direttori di Direzioni e Servizi
dell’Amministrazione Centrale e nel Responsabile del Servizio di Presidenza, ciascuno per i dati personali trattati
nell’esercizio delle proprie funzioni.
Con la stessa deliberazione sono stati assegnati ai responsabili compiti di organizzazione e controllo sulla correttezza del trattamento dei dati, ivi incluso il compito di individuare gli incaricati al trattamento.
Con apposite note scritte il Responsabile del trattamento dei dati personali ha provveduto ad individuare gli incaricati al trattamento, assegnando altresì, a ciascuno le indicazioni di condotta.
2
L’elenco degli incaricati risulta dalle liste redatte in conformità a quanto richiesto al punto 15 dell’Allegato B al D.Lgs.
30 giugno 2003 n. 196, che si allega.
4.
Analisi dei rischi
L’analisi dei rischi, secondo la prassi comune [1-3], può essere suddivisa nelle seguenti fasi:
1. identificazione dei beni;
2. valutazione delle minacce e delle vulnerabilità;
3. identificazione dell’esistente e pianificazione dei controlli dei sicurezza;
4. identificazione e selezione dei controlli.
4.1
Identificazione dei beni
Si elencano di seguito le risorse rilevanti nell’ambito di applicazione di questo documento.
4.1.1
Risorse hardware
Le risorse hardware possono essere classificate nelle seguenti categorie:
•
server su piattafome Intel x86, Digital VAX;
•
personal computer (PC) e workstation (WS) su piattaforme Intel x86, MacIntosh;
•
stampanti;
•
apparecchiature di rete: hub, switch, access point wireless e router per il collegamento alla rete locale e a
quella geografica.
4.1.2
Risorse software
I sistemi operativi utilizzati sono
•
OpenVMS;
•
Unix, Linux;
•
Windows: NT, 2000, XP, Vista, 7;
•
Mac OS.
Il sistema informativo è costituito dai seguenti sistemi applicativi:
•
sistema per la gestione amministrativa sviluppato e aggiornato dalla sezione INFN di Roma, su computer
con sistema operativo OpenVMS;
•
nuovo sistema per la gestione amministrativa basato su Oracle Application, sviluppato e aggiornato a cura
della sezione dell’ Amministrazione Centrale dell’ INFN di Frascati;
•
sistema per la gestione del personale, sviluppato e aggiornato a cura dell’Amministrazione Centrale, su piattaforma PC (Windows);
•
sistema per la rilevazione delle presenze del personale, basato su applicazioni Solari (Udine), su piattaforma PC (Windows);
•
per la gestione di procedure concorsuali e di gara ci si avvale anche di applicativi commerciali (ad es. FileMaker, Excel, Word) su piattaforma Intel x86 e MacIntosh.
3
4.1.3
Dati
I dati personali sensibili o giudiziari conservati nel del sistema informativo sono quelli indicati al paragrafo 2.
4.1.4
Risorse umane
L’assistenza sistemistica per i PC e le WS (Linux, Windows e MacOS) è a carico:
•
del Servizio Calcolo e Reti (4 persone)
L’assistenza per il software per la gestione amministrativa e del personale è a carico del personale che lo ha sviluppato.
Gli utenti sono:
•
•
software per la gestione amministrativa
•
personale dell’Amministrazione (6 persone);
•
i rappresentanti locali delle linee di ricerca (coordinatori) (5 persone): solo in consultazione;
•
i responsabili degli esperimenti (30 persone): solo in consultazione;
software per la gestione del personale
•
4.1.5
personale dell’Amministrazione (1 persona).
Documentazione
Questa categoria comprende: documentazione sul sistema operativo, sui programmi applicativi, sulle procedure di
gestione, sulle risorse hardware.
Nel caso specifico, si ritiene che questa categoria sia assolutamente marginale.
4.1.6
Supporti
Le copie di salvataggio dei dati (di sistema e applicativi) sui server sono memorizzate su:
•
CD-ROM e/o DVD;
•
server di rete.
I dati sui PC e WS sono salvati su:
4.2
•
CD-ROM e/o DVD;
•
server di rete.
Valutazione delle minacce
Le minacce cui sono soggette le risorse sono ovviamente dipendenti dalla loro natura e possono essere riassunte
nella tabella seguente.
Tipo Risorsa
Hardware
Software
Minaccia
•
•
•
•
•
•
•
•
Guasti
sabotaggi
eventi naturali (allagamenti, incendi, ecc.)
furto
intercettazione
uso non autorizzato
accesso non autorizzato a causa di errori di progettazione e/o realizzazione
malware (worm, backdoor, trojan, ecc)
4
Tipo Risorsa
Minaccia
•
•
•
•
•
•
•
•
•
•
Dati
•
Personale
Documentazione
•
•
•
•
•
•
•
Supporti
attacchi di tipo denial of service
spamming
furto
manomissione
uso non autorizzato
accesso non autorizzato
comunicazione o divulgazione non autorizzata
manomissione accidentale
manomissione deliberata
attacchi di tipo social engineering
scarsa consapevolezza o conoscenza del problema della sicurezza
desideri di rivalsa nei confronti dell’amministrazione
distruzione o alterazione per eventi naturali
distruzione o alterazione intenzionale o accidentale
deterioramento per uso e invecchiamento
inaffidabilità del mezzo fisico
obsolescenza del tipo di supporto
perdita, sottrazione o furto
Tabella 1. Tipi di minaccia
4.3
Individuazione dell’esposizione al rischio
La misura del rischio cui è esposto il sistema risulta dalla combinazione dei seguenti elementi:
•
il valore della risorsa;
•
l’entità della minaccia;
•
la vulnerabilità della risorsa alla minaccia.
I livelli di rischio vengono classificati in: basso (B), medio (M) o alto (A).
4.3.1
Risorse hardware
Guasti
Sabotaggi
Eventi naturali
Furto
Intercettazione
Uso non autorizzato
μVAX
B
B
B
M
B
B
PC Segreteria
B
B
B
M
B
B
Switch LAN
B
B
B
M
B
B
Router GARR
B
B
B
M
B
B
Tabella 2, Livelli di rischio per le risorse hardware
5
4.3.2
Risorse software
Accesso non autorizzato
Malware
Denial of
Service
Furto
Manomissione
Uso non autorizzato
s.o. Windows
M
M
B
B
B
B
s.o. Macintosh
B
B
B
B
B
B
s.o. Unix / Linux
M
B
B
B
B
B
s.o. VMS
B
B
B
B
B
B
Rilevamento
presenze
B
B
B
B
B
B
Tabella 3. Livelli di rischio per le risorse software
4.3.3
Dati
Comunicazione o
divulgazione non autorizzata
Manomissione accidentale
Manomissione deliberata
Dati economici
B
B
M
B
Dati relativi al
personale
B
B
M
B
Partecipazione
concorsi
B
B
M
B
Tabella 4. Livelli di rischio per i dati
4.3.4
Risorse umane
Social Engineering
Scarsa consapevolezza
Desideri di rivalsa
Servizio Calcolo e Reti
B
B
B
Assistenza SW applicativo
B
B
B
Personale Amministrazione
B
B
B
Coordinatori
M
M
B
Tabella 5. Livelli di rischio per le risorse umane
6
4.3.5
Documentazione
Dato che le informazioni sono facilmente recuperabili, i rischi risultano marginali.
4.3.6
Supporti
Deterioramento
Inaffidabilità
Obsolescenza
Perdita, sottrazione o furto
Cassette magnetiche
A
M
B
B
CD-ROM e DVD
B
B
B
B
Tabella 6. Livelli di rischio per i supporti
5.
5.1
5.1.1.1
Misure di sicurezza
Protezione delle aree e dei locali interessati dalle misure di sicurezza
Misure in essere
Il Direttore della Struttura ha individuato il personale preposto alla custodia delle chiavi di accesso alle risorse descritte qui di seguito.
I server e le apparecchiature di rete sono collocati in locali il cui accesso è consentito solo alle persone espressamente autorizzate. Gli armadi che contengono gli apparati di rete sono gestiti esclusivamente dal Servizio Calcolo e
Reti.
I locali sono dotati di: misure che impediscono l’accesso al personale non autorizzato e sistemi di protezione da interruzione o variazioni dell’alimentazione elettrica.
I PC le WS e i terminali per l’accesso ai server e l’elaborazione di dati sensibili sono bloccati da ciascun incaricato al
trattamento prima di essere lasciati incustoditi (nel caso di terminali le sessioni interattive vengono chiuse).
I supporti di backup sono conservati in armadi chiusi a chiave.
5.2
5.2.1
5.2.1.1
Criteri e procedure per assicurare l’integrità dei dati
Sicurezza del software
Misure in essere
Il software è installato solo da supporti fisici originali o dei quali sia nota la provenienza, o, nel caso di installazione
remota, solo dalle macchine preventivamente autorizzate.
Su tutte le macchine con sistema operativo Windows o MacOS e sui server che gestiscono la posta elettronica è
installato un software antivirus, mantenuto aggiornato in modo automatico con cadenza almeno settimanale.
7
5.2.2
5.2.2.1
Integrità dei dati
Misure in essere
Il responsabile del trattamento ha individuato gli archivi da sottoporre a backup e ha nominato gli incaricati preposti
all’operazione.
La periodicità del backup è giornaliera. Ogni tre mesi viene controllata la correttezza delle procedure di salvataggio
e di ripristino.
Nel caso di distruzione o danneggiamento dei dati, il responsabile del trattamento dà mandato agli incaricati di provvedere al loro ripristino a partire dalla copia di salvataggio ritenuta più valida. L’operazione è eseguita con la massima celerità e comunque non oltre sette giorni dalla scoperta dell’evento.
5.3
Controllo degli accessi
5.3.1
5.3.1.1
Piattaforme di tipo server
Misure in essere
Il Direttore della Struttura ha individuato il “custode delle password” e il personale deputato ai controlli dei file di log
del sistema.
L’accesso ai dati avviene tramite account individuati da username e password personali e modificabili da ciascun
utente. L’account viene disabilitato se non utilizzato per più di sei mesi consecutivi o se ha registrato un elevato numero di tentativi di accesso falliti.
L’accesso ai server avviene solo da postazioni esplicitamente autorizzate.
Ogni tentativo di accesso (autorizzato o meno) viene registrato nei file di log del sistema, che sono periodicamente
controllati dal personale individuato.
5.3.2
Altre piattaforme
I dati sono conservati sui server, le altre piattaforme sono utilizzate solo per la loro elaborazione.
5.4
Criteri e procedure per la sicurezza delle trasmissioni dei dati
5.4.1.1
Misure in essere
Le apparecchiature di rete sono gestite e controllate dal Servizio Calcolo della Sezione.
Gli apparati sono gestiti via rete, e i loro indirizzi appartengono a reti non raggiungibili dall’esterno.
L’accesso alla rete locale è regolamentato da un firewall1, in modo da limitare, almeno per i protocolli più pericolosi,
l’accesso dall’esterno alle sole macchine autorizzate (e periodicamente verificate) dal Servizio Calcolo. Il software
del firewall viene mantenuto aggiornato applicando le patch di sicurezza rilasciate dal venditore (o, se il caso, aggiornandone la versione).
I protocolli il cui utilizzo è regolamentato, includono (la lista non è esaustiva):
1
•
telnet / ftp;
•
ssh;
•
imap / imaps;
•
smtp;
•
http / https;
Con questo termine si intende anche un router con opportune ACL.
8
•
NetBios;
•
snmp;
•
irc;
•
protocolli peer-to-peer;
•
nfs;
•
afs;
•
X11.
Maggiori dettagli sono disponibili nell'Appendice A.
I server utilizzati per l’elaborazione di dati sensibili sono accessibili dal numero minimo indispensabile di nodi e il
loro sistema operativo è mantenuto aggiornato applicando le patch di sicurezza rilasciate dal venditore (o, se il caso,
aggiornandone la versione).
Sono eliminate, nei limiti del possibile, tutte le connessioni non crittografate (ad es. telnet), sostituite da ssh o
SSL/TLS.
5.5
Tabelle riepilogative
Qui di seguito si riporta un riepilogo delle misure di sicurezza specifiche adottate per i rischi ritenuti di livello medio e
alto. I rischi di livello basso vengono indirizzati dalle misure generali di sicurezza sopra elencate.
RISORSA
RISCHIO
LIVELLO
CONTROMISURE
Hardware
Furto
M
Controllo degli accessi, chiusura stanze fuori dagli orari di
lavoro.
s.o. Windows
M
Utilizzo di password e protocolli criptati
s.o. Unix, Linux
M
Utilizzo di password e protocolli criptati
Dati (tutti i tipi)
Manomissione accidentale
M
Salvataggio periodico
Personale
Social engineering, scarsa consapevolezza
M
Formazione adeguata
Supporti magnetici
Deterioramento
A
Sostituzione frequente dei supporti
Supporti magnetici
Inaffidabilita’
M
Backup frequenti, su piu’ supporti
6.
Piano di verifica delle misure adottate
Il processo di controllo e verifica della sicurezza del sistema informatico, di gestione delle basi dati e delle applicazioni è attuato dagli incaricati nominati dal Direttore della Struttura.
Le operazioni di verifica sono effettuate semestralmente. I problemi riscontrati sono riportati al responsabile del trattamento che individua le opportune contromisure.
9
7.
Piano di formazione degli incaricati
Gli incaricati sono informati “sui rischi che incombono sui dati, le misure disponibili per prevenire eventi dannosi, i
profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, le responsabilità
che ne derivano e le modalità per aggiornarsi sulle misure minime adottate dal titolare”.
La formazione del personale incaricato del trattamento dei dati è effettuata al momento dell’ingresso in servizio
nell’ambito di corsi di formazione per neoassunti, nonché successivamente attraverso comunicazione di note informative e corsi, effettuati anche mediante strumenti elettronici.
Il piano di formazione si articola nei seguenti punti:
•
analisi dettagliata ed aggiornata delle vigenti disposizioni di legge, con riferimenti anche alle normative europee;
•
disposizioni legislative in tema di tutela dei dati e criminalità informatica;
•
definizione ed analisi dei ruoli di: titolare, responsabile, incaricato, custode delle password, interessato;
•
adempimenti ex D.Lgs n. 196/03 in tema di rapporti con gli interessati e garanzia dei diritti degli interessati;
•
misure minime ed appropriate di sicurezza con particolare riferimento a
•
criteri logici, fisici ed organizzativi per la protezione dei sistemi informativi
•
prevenzione e contenimento del danno
•
strumenti di protezione hardware e software, sistemi anti-intrusione
•
importanza e modalità di realizzazione delle operazioni di backup
Con periodicità correlata all’evoluzione tecnologica, gli incaricati del trattamento sono aggiornati circa le misure di
sicurezza da adottare sugli elaboratori di cui hanno disponibilità.
8.
Trattamento dei dati personali affidati all’esterno
Nessun trattamento dei dati personali sensibili è affidato all’esterno.
9.
Dati personali idonei a rivelare lo stato di salute e la vita sessuale
Nessun dato personale idoneo a rivelare lo stato di salute e la vita sessuale è trattato attraverso strumenti elettronici
I dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui ai punti 19.8 e 24 dell’Allegato B) al D.Lgs.
n. 196/03 (certificati, referti, altre attestazioni mediche) non sono trattati attraverso strumenti elettronici. Gli altri dati
contenuti in documenti amministrativi nei quali si faccia riferimento alla salute (istanze o comunicazioni per fruizione
permessi o diretti alla contabilizzazione della durata dei periodi di aspettativa, comporto ecc..;) sono contenuti in
archivi informatizzati separati, protetti dalle misure di sicurezza in precedenza indicate.
10.
Bibliografia
[1]
B. Fraser (Ed.), Site Security Handbook, RFC2196 (1997).
[2]
Linee guida per la definizione di un piano per la sicurezza, I Quaderni, 2, AIPA (1999).
10
[3]
Presidenza del Consiglio dei Ministri, Dipartimento per l’Innovazione e le Tecnologie, Sicurezza informatica e
delle telecomunicazioni nelle pubbliche amministrazioni, Allegato 2, Direttiva del 16 Gennaio 2002.
[4]
Fulvia Costa, Tabella delle porte TCP, UDP e filtri, http://server11.infn.it/netgroup/acl.pdf
11
A. Protocolli e porte da regolamentare
La tabella che segue è stata tratta da [4]
Port
T
C
P
U
D
P
1-19
X
X
20
X
Nome
ftp-data
X
22
X
X
ftp
ssh
X
23
24
25
26-41
42
X
X
X
X
Deny
smtp
X
Deny
Deny
X
name
Permit
Deny
Deny
X
53
X
X
54-79
X
X
110
111-112
113
114-122
123
X
X
Deny
Deny
pop3
143
144-160
Deny
X
Deny
ident
161
X
Deny
Deny
X
346
X
Usato da sendmail e qualche httpd
Deny
ntp
X
Permit
Deny
imap
Permit Imap Server autorizzati
X
Deny
X
Deny
X
162-345
Permit
X
X
X
Permit POP Server autorizzati
X
X
X
Permit Web Server autorizzati
X
X
124-142
Permit DNS
Deny
http
X
X
domain
X
X
X
Permit smtp server
X
X
A volte la sessione ssh parte da porte di
numero inferiore a 1000 verso una 22;
bisogna che la connessione sia permessa
purché nasca dall’interno
Deny
Deny
X
81-109
Deny DNS e smtp
Permit tutti gli altri verso la 22
Permit connessioni stabilite
Deny
telnet
43-52
80
Deny DNS e smtp
Permit network macchine Unix;
Permit qualche caso
Deny
Deny DNS e smtp
Permit network macchine Unix
Permit qualche caso
Deny
X
X
Note
Deny
X
21
Filtro
snmp
Deny
X
Permit network 131.154.9.0
X
Deny
zserv
Permit macchine Unix
Aggiornamento software CERN
12
Port
T
C
P
U
D
P
347-442
X
X
443
444-511
512
X
X
Nome
https
Deny
X
Deny
exec
X
login
515-517
518
X
X
548
549-992
993
Software di Nomad
Deny
Deny
X
Deny
Software di Nomad Download Icarus
Deny
ntalk
X
Permit
Deny
X
X
Software di Nomad
Deny
X
X
X
Deny
Deny
cmd
X
519-547
Secure http
Deny
X
514
Permit host Web Mail
X
X
Note
Deny
X
513
Filtro
Permit server Mac
X
Deny
X
Deny
X
imaps
Permit server Imap
X
Deny
X
Deny
994-1000
X
1080
X
2049
X
X
5555
X
X
6000-6030
X
10401
X
socks
Deny
nfs
Deny
Secure imap
Deny
X11
X
File Server AppleTalk via ip
Deny
Deny
13

Documento Programmatico sulla Sicurezza - INFN Pavia

Transcript

Documenti analoghi

Bogons: Pacchetti IP con Indirizzi non Validi

Disposizioni per la sicurezza e l`utilizzo degli strumenti informatici

misure di sicurezza per il trattamento dei dati personali

show access-list 169

Come ottenere il nuovo permesso di lavoro unificato

DPS - AvisProvinciale

Vendita diretta etica - Regole vendita diretta - Regole

Lookup e Classificazione ad Alte Prestazioni (II)

(1. rettifica_Azione di pubblicità (12 aprile))