Documento Programmatico sulla Sicurezza - INFN Pavia
Transcript
Documento Programmatico sulla Sicurezza - INFN Pavia
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) INFN Sezione di Pavia Documento Programmatico sulla Sicurezza Anno 2010 1. Introduzione Il contenuto del Documento Programmatico sulla Sicurezza è indicato al punto 19 dell’Allegato B al Decreto legislativo 30 giugno 2003 n. 196 - Codice in materia di protezione dei dati personali, il quale dispone: Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 1. l'elenco dei trattamenti di dati personali; 2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; 3. l'analisi dei rischi che incombono sui dati; 4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. 2. Elenco dei trattamenti dei dati Nella Struttura sono eseguiti i seguenti trattamenti di dati personali sensibili o giudiziari con l’ausilio di strumenti elettronici. Le tipologie di trattamento consistono nella loro registrazione, conservazione, elaborazione e comunicazione alle Amministrazioni competenti. 1 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) 2.1 Gestione del personale Finalità TIPOLOGIA DEI DATI SENSIBILI TRATTATI CATEGORIE INTERESSATE STRUMENTI UTILIZZATI TIPOLOGIE DI INTERCONNESSIONE Assunzioni, collocamento Dati relativi allo stato di salu- Candidati a concorRete locale / intranet / Elaboratori fissi / portatili obbligatorio, carriera te e dati giudiziari si o selezioni internet Tutela della salute, gravidanza puerperio Dati relativi allo stato di salu- Dipendenti / collate boratori Elaboratori fissi / portatili Rete locale / intranet / internet Riconoscimento causa di servizio, equo indennizzo, Dati relativi allo stato di salu- Dipendenti / collaconcessione di benefici te boratori assistenziali Elaboratori fissi / portatili Rete locale / intranet / internet Trattamento economico: Trattenute sindacali Dati relativi all’appartenenza Dipendenti / collasindacale boratori Elaboratori fissi / portatili Rete locale / intranet / internet Garanzia dei diritti sindacali Dati relativi all’appartenenza Dipendenti / collasindacale boratori Elaboratori fissi / portatili Rete locale / intranet / internet Garanzia dei diritti politici: Dati relativi all’appartenenza Dipendenti / collarilascio permessi per epolitica boratori sercizio diritti politici Elaboratori fissi / portatili Rete locale / intranet / internet Dati relativi allo stato di salute nonché dati inerenti fattori Dipendenti / colladi rischio, quali dati dosime- boratori trici ed altri Elaboratori fissi / portatili Rete locale / intranet / internet Igiene e sicurezza sul lavoro 2.2 Contratti e appalti Finalità TIPOLOGIA DEI DATI SENSIBILI TRATTATI Obblighi in materia di certificazioni antimafia 3. Dati giudiziari CATEGORIE INTERESSATE Fornitori e ditte candidate a tale ruolo STRUMENTI UTILIZZATI Elaboratori fissi / portatili TIPOLOGIE DI INTERCONNESSIONE Rete locale / intranet / internet Distribuzione dei compiti e delle responsabilità I compiti e le responsabilità in tema di trattamento dei dati personali sono distribuiti in conformità alla deliberazione del Consiglio Direttivo dell’INFN n. 6389 del 25 marzo 1999, come modificata dalla deliberazione n. 8335 del 28 novembre 2003. Con tale deliberazione l’Istituto Nazionale di Fisica nucleare, titolare del trattamento dei dati personali, ha individuato i responsabili del trattamento nei Direttori delle Strutture, nonché nei Direttori di Direzioni e Servizi dell’Amministrazione Centrale e nel Responsabile del Servizio di Presidenza, ciascuno per i dati personali trattati nell’esercizio delle proprie funzioni. Con la stessa deliberazione sono stati assegnati ai responsabili compiti di organizzazione e controllo sulla correttezza del trattamento dei dati, ivi incluso il compito di individuare gli incaricati al trattamento. Con apposite note scritte il Responsabile del trattamento dei dati personali ha provveduto ad individuare gli incaricati al trattamento, assegnando altresì, a ciascuno le indicazioni di condotta. 2 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) L’elenco degli incaricati risulta dalle liste redatte in conformità a quanto richiesto al punto 15 dell’Allegato B al D.Lgs. 30 giugno 2003 n. 196, che si allega. 4. Analisi dei rischi L’analisi dei rischi, secondo la prassi comune [1-3], può essere suddivisa nelle seguenti fasi: 1. identificazione dei beni; 2. valutazione delle minacce e delle vulnerabilità; 3. identificazione dell’esistente e pianificazione dei controlli dei sicurezza; 4. identificazione e selezione dei controlli. 4.1 Identificazione dei beni Si elencano di seguito le risorse rilevanti nell’ambito di applicazione di questo documento. 4.1.1 Risorse hardware Le risorse hardware possono essere classificate nelle seguenti categorie: • server su piattafome Intel x86, Digital VAX; • personal computer (PC) e workstation (WS) su piattaforme Intel x86, MacIntosh; • stampanti; • apparecchiature di rete: hub, switch, access point wireless e router per il collegamento alla rete locale e a quella geografica. 4.1.2 Risorse software I sistemi operativi utilizzati sono • OpenVMS; • Unix, Linux; • Windows: NT, 2000, XP, Vista, 7; • Mac OS. Il sistema informativo è costituito dai seguenti sistemi applicativi: • sistema per la gestione amministrativa sviluppato e aggiornato dalla sezione INFN di Roma, su computer con sistema operativo OpenVMS; • nuovo sistema per la gestione amministrativa basato su Oracle Application, sviluppato e aggiornato a cura della sezione dell’ Amministrazione Centrale dell’ INFN di Frascati; • sistema per la gestione del personale, sviluppato e aggiornato a cura dell’Amministrazione Centrale, su piattaforma PC (Windows); • sistema per la rilevazione delle presenze del personale, basato su applicazioni Solari (Udine), su piattaforma PC (Windows); • per la gestione di procedure concorsuali e di gara ci si avvale anche di applicativi commerciali (ad es. FileMaker, Excel, Word) su piattaforma Intel x86 e MacIntosh. 3 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) 4.1.3 Dati I dati personali sensibili o giudiziari conservati nel del sistema informativo sono quelli indicati al paragrafo 2. 4.1.4 Risorse umane L’assistenza sistemistica per i PC e le WS (Linux, Windows e MacOS) è a carico: • del Servizio Calcolo e Reti (4 persone) L’assistenza per il software per la gestione amministrativa e del personale è a carico del personale che lo ha sviluppato. Gli utenti sono: • • software per la gestione amministrativa • personale dell’Amministrazione (6 persone); • i rappresentanti locali delle linee di ricerca (coordinatori) (5 persone): solo in consultazione; • i responsabili degli esperimenti (30 persone): solo in consultazione; software per la gestione del personale • 4.1.5 personale dell’Amministrazione (1 persona). Documentazione Questa categoria comprende: documentazione sul sistema operativo, sui programmi applicativi, sulle procedure di gestione, sulle risorse hardware. Nel caso specifico, si ritiene che questa categoria sia assolutamente marginale. 4.1.6 Supporti Le copie di salvataggio dei dati (di sistema e applicativi) sui server sono memorizzate su: • CD-ROM e/o DVD; • server di rete. I dati sui PC e WS sono salvati su: 4.2 • CD-ROM e/o DVD; • server di rete. Valutazione delle minacce Le minacce cui sono soggette le risorse sono ovviamente dipendenti dalla loro natura e possono essere riassunte nella tabella seguente. Tipo Risorsa Hardware Software Minaccia • • • • • • • • Guasti sabotaggi eventi naturali (allagamenti, incendi, ecc.) furto intercettazione uso non autorizzato accesso non autorizzato a causa di errori di progettazione e/o realizzazione malware (worm, backdoor, trojan, ecc) 4 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) Tipo Risorsa Minaccia • • • • • • • • • • Dati • Personale Documentazione • • • • • • • Supporti attacchi di tipo denial of service spamming furto manomissione uso non autorizzato accesso non autorizzato comunicazione o divulgazione non autorizzata manomissione accidentale manomissione deliberata attacchi di tipo social engineering scarsa consapevolezza o conoscenza del problema della sicurezza desideri di rivalsa nei confronti dell’amministrazione distruzione o alterazione per eventi naturali distruzione o alterazione intenzionale o accidentale deterioramento per uso e invecchiamento inaffidabilità del mezzo fisico obsolescenza del tipo di supporto perdita, sottrazione o furto Tabella 1. Tipi di minaccia 4.3 Individuazione dell’esposizione al rischio La misura del rischio cui è esposto il sistema risulta dalla combinazione dei seguenti elementi: • il valore della risorsa; • l’entità della minaccia; • la vulnerabilità della risorsa alla minaccia. I livelli di rischio vengono classificati in: basso (B), medio (M) o alto (A). 4.3.1 Risorse hardware Guasti Sabotaggi Eventi naturali Furto Intercettazione Uso non autorizzato μVAX B B B M B B PC Segreteria B B B M B B Switch LAN B B B M B B Router GARR B B B M B B Tabella 2, Livelli di rischio per le risorse hardware 5 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) 4.3.2 Risorse software Accesso non autorizzato Malware Denial of Service Furto Manomissione Uso non autorizzato s.o. Windows M M B B B B s.o. Macintosh B B B B B B s.o. Unix / Linux M B B B B B s.o. VMS B B B B B B Rilevamento presenze B B B B B B Tabella 3. Livelli di rischio per le risorse software 4.3.3 Dati Accesso non autorizzato Comunicazione o divulgazione non autorizzata Manomissione accidentale Manomissione deliberata Dati economici B B M B Dati relativi al personale B B M B Partecipazione concorsi B B M B Tabella 4. Livelli di rischio per i dati 4.3.4 Risorse umane Social Engineering Scarsa consapevolezza Desideri di rivalsa Servizio Calcolo e Reti B B B Assistenza SW applicativo B B B Personale Amministrazione B B B Coordinatori M M B Tabella 5. Livelli di rischio per le risorse umane 6 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) 4.3.5 Documentazione Dato che le informazioni sono facilmente recuperabili, i rischi risultano marginali. 4.3.6 Supporti Deterioramento Inaffidabilità Obsolescenza Perdita, sottrazione o furto Cassette magnetiche A M B B CD-ROM e DVD B B B B Tabella 6. Livelli di rischio per i supporti 5. 5.1 5.1.1.1 Misure di sicurezza Protezione delle aree e dei locali interessati dalle misure di sicurezza Misure in essere Il Direttore della Struttura ha individuato il personale preposto alla custodia delle chiavi di accesso alle risorse descritte qui di seguito. I server e le apparecchiature di rete sono collocati in locali il cui accesso è consentito solo alle persone espressamente autorizzate. Gli armadi che contengono gli apparati di rete sono gestiti esclusivamente dal Servizio Calcolo e Reti. I locali sono dotati di: misure che impediscono l’accesso al personale non autorizzato e sistemi di protezione da interruzione o variazioni dell’alimentazione elettrica. I PC le WS e i terminali per l’accesso ai server e l’elaborazione di dati sensibili sono bloccati da ciascun incaricato al trattamento prima di essere lasciati incustoditi (nel caso di terminali le sessioni interattive vengono chiuse). I supporti di backup sono conservati in armadi chiusi a chiave. 5.2 5.2.1 5.2.1.1 Criteri e procedure per assicurare l’integrità dei dati Sicurezza del software Misure in essere Il software è installato solo da supporti fisici originali o dei quali sia nota la provenienza, o, nel caso di installazione remota, solo dalle macchine preventivamente autorizzate. Su tutte le macchine con sistema operativo Windows o MacOS e sui server che gestiscono la posta elettronica è installato un software antivirus, mantenuto aggiornato in modo automatico con cadenza almeno settimanale. 7 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) 5.2.2 5.2.2.1 Integrità dei dati Misure in essere Il responsabile del trattamento ha individuato gli archivi da sottoporre a backup e ha nominato gli incaricati preposti all’operazione. La periodicità del backup è giornaliera. Ogni tre mesi viene controllata la correttezza delle procedure di salvataggio e di ripristino. Nel caso di distruzione o danneggiamento dei dati, il responsabile del trattamento dà mandato agli incaricati di provvedere al loro ripristino a partire dalla copia di salvataggio ritenuta più valida. L’operazione è eseguita con la massima celerità e comunque non oltre sette giorni dalla scoperta dell’evento. 5.3 Controllo degli accessi 5.3.1 5.3.1.1 Piattaforme di tipo server Misure in essere Il Direttore della Struttura ha individuato il “custode delle password” e il personale deputato ai controlli dei file di log del sistema. L’accesso ai dati avviene tramite account individuati da username e password personali e modificabili da ciascun utente. L’account viene disabilitato se non utilizzato per più di sei mesi consecutivi o se ha registrato un elevato numero di tentativi di accesso falliti. L’accesso ai server avviene solo da postazioni esplicitamente autorizzate. Ogni tentativo di accesso (autorizzato o meno) viene registrato nei file di log del sistema, che sono periodicamente controllati dal personale individuato. 5.3.2 Altre piattaforme I dati sono conservati sui server, le altre piattaforme sono utilizzate solo per la loro elaborazione. 5.4 Criteri e procedure per la sicurezza delle trasmissioni dei dati 5.4.1.1 Misure in essere Le apparecchiature di rete sono gestite e controllate dal Servizio Calcolo della Sezione. Gli apparati sono gestiti via rete, e i loro indirizzi appartengono a reti non raggiungibili dall’esterno. L’accesso alla rete locale è regolamentato da un firewall1, in modo da limitare, almeno per i protocolli più pericolosi, l’accesso dall’esterno alle sole macchine autorizzate (e periodicamente verificate) dal Servizio Calcolo. Il software del firewall viene mantenuto aggiornato applicando le patch di sicurezza rilasciate dal venditore (o, se il caso, aggiornandone la versione). I protocolli il cui utilizzo è regolamentato, includono (la lista non è esaustiva): 1 • telnet / ftp; • ssh; • imap / imaps; • smtp; • http / https; Con questo termine si intende anche un router con opportune ACL. 8 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) • NetBios; • snmp; • irc; • protocolli peer-to-peer; • nfs; • afs; • X11. Maggiori dettagli sono disponibili nell'Appendice A. I server utilizzati per l’elaborazione di dati sensibili sono accessibili dal numero minimo indispensabile di nodi e il loro sistema operativo è mantenuto aggiornato applicando le patch di sicurezza rilasciate dal venditore (o, se il caso, aggiornandone la versione). Sono eliminate, nei limiti del possibile, tutte le connessioni non crittografate (ad es. telnet), sostituite da ssh o SSL/TLS. 5.5 Tabelle riepilogative Qui di seguito si riporta un riepilogo delle misure di sicurezza specifiche adottate per i rischi ritenuti di livello medio e alto. I rischi di livello basso vengono indirizzati dalle misure generali di sicurezza sopra elencate. RISORSA RISCHIO LIVELLO CONTROMISURE Hardware Furto M Controllo degli accessi, chiusura stanze fuori dagli orari di lavoro. s.o. Windows Accesso non autorizzato M Utilizzo di password e protocolli criptati s.o. Unix, Linux Accesso non autorizzato M Utilizzo di password e protocolli criptati Dati (tutti i tipi) Manomissione accidentale M Salvataggio periodico Personale Social engineering, scarsa consapevolezza M Formazione adeguata Supporti magnetici Deterioramento A Sostituzione frequente dei supporti Supporti magnetici Inaffidabilita’ M Backup frequenti, su piu’ supporti 6. Piano di verifica delle misure adottate Il processo di controllo e verifica della sicurezza del sistema informatico, di gestione delle basi dati e delle applicazioni è attuato dagli incaricati nominati dal Direttore della Struttura. Le operazioni di verifica sono effettuate semestralmente. I problemi riscontrati sono riportati al responsabile del trattamento che individua le opportune contromisure. 9 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) 7. Piano di formazione degli incaricati Gli incaricati sono informati “sui rischi che incombono sui dati, le misure disponibili per prevenire eventi dannosi, i profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, le responsabilità che ne derivano e le modalità per aggiornarsi sulle misure minime adottate dal titolare”. La formazione del personale incaricato del trattamento dei dati è effettuata al momento dell’ingresso in servizio nell’ambito di corsi di formazione per neoassunti, nonché successivamente attraverso comunicazione di note informative e corsi, effettuati anche mediante strumenti elettronici. Il piano di formazione si articola nei seguenti punti: • analisi dettagliata ed aggiornata delle vigenti disposizioni di legge, con riferimenti anche alle normative europee; • disposizioni legislative in tema di tutela dei dati e criminalità informatica; • definizione ed analisi dei ruoli di: titolare, responsabile, incaricato, custode delle password, interessato; • adempimenti ex D.Lgs n. 196/03 in tema di rapporti con gli interessati e garanzia dei diritti degli interessati; • misure minime ed appropriate di sicurezza con particolare riferimento a • criteri logici, fisici ed organizzativi per la protezione dei sistemi informativi • prevenzione e contenimento del danno • strumenti di protezione hardware e software, sistemi anti-intrusione • importanza e modalità di realizzazione delle operazioni di backup Con periodicità correlata all’evoluzione tecnologica, gli incaricati del trattamento sono aggiornati circa le misure di sicurezza da adottare sugli elaboratori di cui hanno disponibilità. 8. Trattamento dei dati personali affidati all’esterno Nessun trattamento dei dati personali sensibili è affidato all’esterno. 9. Dati personali idonei a rivelare lo stato di salute e la vita sessuale Nessun dato personale idoneo a rivelare lo stato di salute e la vita sessuale è trattato attraverso strumenti elettronici I dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui ai punti 19.8 e 24 dell’Allegato B) al D.Lgs. n. 196/03 (certificati, referti, altre attestazioni mediche) non sono trattati attraverso strumenti elettronici. Gli altri dati contenuti in documenti amministrativi nei quali si faccia riferimento alla salute (istanze o comunicazioni per fruizione permessi o diretti alla contabilizzazione della durata dei periodi di aspettativa, comporto ecc..;) sono contenuti in archivi informatizzati separati, protetti dalle misure di sicurezza in precedenza indicate. 10. Bibliografia [1] B. Fraser (Ed.), Site Security Handbook, RFC2196 (1997). [2] Linee guida per la definizione di un piano per la sicurezza, I Quaderni, 2, AIPA (1999). 10 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) [3] Presidenza del Consiglio dei Ministri, Dipartimento per l’Innovazione e le Tecnologie, Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni, Allegato 2, Direttiva del 16 Gennaio 2002. [4] Fulvia Costa, Tabella delle porte TCP, UDP e filtri, http://server11.infn.it/netgroup/acl.pdf 11 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) A. Protocolli e porte da regolamentare La tabella che segue è stata tratta da [4] Port T C P U D P 1-19 X X 20 X Nome ftp-data X 22 X X ftp ssh X 23 24 25 26-41 42 X X X X Deny smtp X Deny Deny X name Permit Deny Deny X 53 X X 54-79 X X 110 111-112 113 114-122 123 X X Deny Deny pop3 143 144-160 Deny X Deny ident 161 X Deny Deny X 346 X Usato da sendmail e qualche httpd Deny ntp X Permit Deny imap Permit Imap Server autorizzati X Deny X Deny X 162-345 Permit X X X Permit POP Server autorizzati X X X Permit Web Server autorizzati X X 124-142 Permit DNS Deny http X X domain X X X Permit smtp server X X A volte la sessione ssh parte da porte di numero inferiore a 1000 verso una 22; bisogna che la connessione sia permessa purché nasca dall’interno Deny Deny X 81-109 Deny DNS e smtp Permit tutti gli altri verso la 22 Permit connessioni stabilite Deny telnet 43-52 80 Deny DNS e smtp Permit network macchine Unix; Permit qualche caso Deny Deny DNS e smtp Permit network macchine Unix Permit qualche caso Deny X X Note Deny X 21 Filtro snmp Deny X Permit network 131.154.9.0 X Deny zserv Permit macchine Unix Aggiornamento software CERN 12 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ANNO 2010) Port T C P U D P 347-442 X X 443 444-511 512 X X Nome https Deny X Deny exec X login 515-517 518 X X 548 549-992 993 Software di Nomad Deny Deny X Deny Software di Nomad Download Icarus Deny ntalk X Permit Deny X X Software di Nomad Deny X X X Deny Deny cmd X 519-547 Secure http Deny X 514 Permit host Web Mail X X Note Deny X 513 Filtro Permit server Mac X Deny X Deny X imaps Permit server Imap X Deny X Deny 994-1000 X 1080 X 2049 X X 5555 X X 6000-6030 X 10401 X socks Deny nfs Deny Secure imap Deny X11 X File Server AppleTalk via ip Deny Deny 13