Allegato n. 1 delib n 146 del 11.04.11
Transcript
Allegato n. 1 delib n 146 del 11.04.11
Ente per i Servizi Tecnico-Amministrativi di Area Vasta Sud Est U.O. ICT AZIENDA OSPEDALIERA SENESE S 8 Siena, 23 marzo 2011 0577-585396 0577-586191 PmL n. 7925,2011 AZIENDA OSPEDALIERA SENESE 2 4 MAR, 2011 N.PROt OLtq\ Direttore Generale .-2 Azienda Ospedaliera Universitaria Senese Strada delle Scotte p.c. Direttore Generale Estav Sud Est Dott. Francesco Izzo Direttore Dipartimento ICT Estav Sud Est Dott.ssa Donatella Viviani OGGETTO: Documento Programmatico della Sicurezza. Si trasmette per quanto di competenza il documento di cui all'oggetto con i relativi allegati. Distinti saluti. Il Direttore U.O.'Servizi ICT Le Scotte ESTAV Sud Est D0tt.s a Cristina Del Colorribo e , b a h ~ ESTAV Sud Est - Centro Direzionale - Piana Rosselli 24 - 53100 SIENA - www.esiav-sudesi.foscana.it C.F./P.IVA 01166590529 Sommario 1. Scopo del documento 2. Principali riferimenti normativi 3. Campo di applicazione 4. Composizione del documento 5. Trattamenti 5.1 Trattamenti effettuati dal1'AOUS 5.2 Sedi del trattamento 5.3 Strumenti utilizzati Pag. 4 5.3.1.Documenti cartacei P%. 4 5.3.2 Strumenti elettronici Pag. 4 Pag. 5 6. Distiaibuzionedei compiti e delle responsabilità 6.1 Nomina dei responsabili 6.2 Titolare 6.3 Responsabile 6.4 Incaricati 6.5 Incaricato delle copie di sicurezza 7. Elenco dei trattamenti dati personali 8. Trattamento dei dati affidati all'esterno 9. Eventi ed impatti sulla sicurezza 10. Misure di sicurezza in essere 11. Analisi dei rischi che incombono sui dati 12. Criteri e modalità per il ripristino dei dati 12.1 Procedure per il salv~taggioregolare dei dati . 12.2 Procedure per I'archiviazione dei supporti 12.3 12.4 12.5 12.6 Procedure per la verifica della leggibilità Criteri per l'eliminazione dei supporti obsoleti Prove di ripristino Piano di continuità operativa pag. 17 pag. 20 pag. 20 pag. 20 I-- pag. 20 pag. 20 pag. 20 pag. 21 13. Misuré di sicurezza adottate pag. 22 14. Allegati pag. 23 l,. Scopo I1 presente Ddcumento Programmatico sulla Sicurezza (nel seguito denominato più semplicemente DPS) è adottato, in base alle disposizioni di cui al punto 19 del Disciplinare in Materia di Misure Minime di Sicurezza (nel seguito denominato più semplicemente DT) del Codice in Materia di Protezione dei dati Personali (nel seguito denominato pii1 sempliceiiieiile CODICE), per defmire le politiche di sicurezza in materia di trattamento di dati personali ed i criteri , organizzativi per la loro attuazione. In particolare nel Documento Programmatico sulla Sicurezza ( in seguito denominato più semplicemente DPS) vengono definiti i criteri tecnici e organizzativi per: a. la protezione delle aree e dei locali interessati dalle misure di sicurezza, nonché le procedure per controllare l'accesso delle persone autorizzate ai medesimi locali; b. i criteri e le procedure per assicurare l'integrità dei dati; i criteri e le procedure per la sicurezza della trasmissione dei dati; C. d. l'elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire i danni. 2. Principali riferimenti legislativi L'Azienda Ospedaliera Universitaria Senese ( nel seguito denominata più semplicemente AOUS) ha ritenuto opportuno adottare il seguente DPS, considerando anche i principali riferimenti in materia fia i quali: D.lgs. no 518 del 1992 che modifica il regio decreto no 633 del 941, relativo al diritto d'autore integrandolo con norme relative alla tutela giuridica dei programmi per elaboratore. Legge n0547 del 1993 che modifica il .codice penale italiano introducendo i cosiddetti "computers crimes". Legge n0675 del 1996 che disciplina il trattamento dei dati personali. D.P.R. 28 luglio 1999 n. 318, "regolamento recante norme per I'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'articolo 15, c o m a 2, della legge 31 dicembre 1996, n.675". D.Lgs n. 196 del 2003 che ha emanato il nuovo codice in materia di trattamento dei dati personali. DPS emanato da questa AOUS negli anni precedenti reiterati e modificati nel DPS relativo al 2010. Nella predisposizione delle politiche di sicurezza si è tenuta presente la normativa in materia di semplificazione e trasparenza delle procedure d'accesso ai dati delle P.A. così come articolate nelle leggi: L.7 agosto 1990 n0241 - Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi. L. 15 Marzo 1997, no 59 - Delega al Governo per il conferimento di funzioni e compiti alle regioni ed enti locali, per la riforma della Pubblica Amministrazione e per la semplificazione amministrativa. L. 15 Maggio 1997 no 127- Misure urgenti per lo snellimento dell'attività amministrativa e dei procedimenti di decisione e controllo L. 16 Giugno 1998, n019 1 - Modifiche ed integrazioni alle leggi : n059 del 15/3/1997 e n0127 del 15/5/1997, nonché le norme in materia di formazione del personale dipendente e di lavoro a distanza nelle pubbliche amministrazioni. 3. Campo di applicazione Il DPS, in accordo con il D.Lgs. .30 Giugno 2003 n. 196, adottato dall' AOUS,e del quale si richiamano tutte le definizioni e disposizioni,definisce le politiche e gli standard di sicurezza in merito al trattamento dei dati personali. I1 DPS riguarda tutti i dati personali: Sensibili Giudiziari Comuni . I1 DPS si applica al trattamento di tutti i dati personali per mezzo di: Strumenti elettronici di elaborazione i 4. Composizione del documento Entro il 31 Marzo di ogni anno, il Titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il Responsabile, un DPS contenente idonee informazioni riguardo: l'elenco dei trattamenti di dati personali; La distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati ; L'analisi dei rischi che incombono sui dati; Le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati,in conformità di codice,all'esterno della stiiuttura titolare per i dati personali idonei a rilevare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la citi-atura o per la separazione di tali dati dagli altri dati personali dell'interessato. I1 DPS elaborato dall' AOUS conferma l'impegno della stessa al fine di garantire la protezione, l'integrità, la conservazione di ogni singolo dato personale trattato. Nel documento vengono identificate le risorse da proteggere che hanno impatto con i problemi di sicurezza e svolgono un ruolo significativo nei processi di trattamento dei dati personali. L'analisi dei Rischi costituisce un punto fondamentale per affrontare in maniera definitiva e controllata le problematiche di sicurezza; rappresenta l'attività di raccolta ed analisi delle debolezze e lacune del rispetto del Codice in azienda. Sono definite le misure di sicurezza (organizzative, fisiche,logiche), in essere e da adottare , per tutelare le strutture e le risorse preposte al trattamento dati e quindi ai dati stessi. Vengono successivamente elencati i criteri e le modalità per il ripristino dei dati in caso di perdita dei dati dovuta, ad esempio ad un guasto. E' in atto una attività di Formazione del Personale per renderlo edotto nel trattamento dei rischi individuati e dei modi per prevenire i danni al sistema di elaborazione e gestione logica dei dati. C 5.1 Trattamenti effettuati dall'Aous Con il termine "trattamento", ai sensi dell'art. 4, comma 1,lett. a) del D.lgs. 196103,deve intendersi qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione,la selezione, l'estrazione, il raeonto, I'utilizzo,l'interconnessione,il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati. L'AOUS, in quanto organismo sanitario pubblico, tratta i dati inerenti la salute. Qualunque trattamento di dati personali da parte dell'AOUS è consentito soltan. per lo svolgimento delle funzioni istituzionali (art. 18,comma2 D.lgs. 196 /03), al fine di adempiere a compiti ad essa attribuiti da leggi e regolamenti. E' possibile effettuare trattamenti relativi a dati diversi da quelli sensibili e giudiziari anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente fermo restando l'esercizio di funzioni istituzionali. 11 trattamento di dati sensibili è invece consentito solo se autorizzato da espressa disposizione di legge nella quale . siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. Nei casi in cui una disposizione specifichi le finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in relazione ai tipi di dati e di operazioni ident5cati.e resi pubblici con atto di natura regolamentare di cui all'art.20, comma 2 del D.lgs. 196103. La UO Servizi ICT Le Scotte,in nome e per conto dell'Azienda Ospedaliera Universitaria Senese, effettua per suo conto e su disposizione degli organi competenti, il trattamento di dati personali di tipo identificativi e sensibili (anche sanitari) al fine di predisporre misure di sicurezza dei dati trattati e conservati su supporti. I I 5.2 Sedi del trattamento Per quanto riguarda le funzioni di propria competenza il trattamento dei dati è svolto presso i locali dell' UO Servizi ICT Le Scotte siti al piano terra del blocco Didattico dell'AOUS. 5.3 Strumenti utilizzati pei. il trattamento Le operazioni di trattamento dei lati indicate dall'art. 4D.Lgs. n. 196/03 riguardano i trattamenti effettuati con l'ausilio di strumenti elettronici e senza I'ausilio di strumenti elettronici (trattamento su supporto cartaceo). L'AOUS effettua trattamenti con e senza l'ausilio di strumenti elettronici. 5.3.1 Documenti cartacei 11 complesso degli atti, dei documenti e dei dati prodotti o acquisiti dal soggetto produttore nell'esercizio delle sue funzioni è definito come archivio. Gli archivi cartacei si distinguono in: Archivi correnti (insieme dei documenti correnti): tenuti dai singoli Incaricati e/o Responsabili negli uffici e nelle aree operative, o tenuti dal personale nei reparti di cura; Archivi di deposito (insieme dei documenti semi-attivi): archivi ad accesso ristretto presenti in alcune unità operative mantenuti a cura del relativo Responsabile o Incaricato; Archivi storici (insieme dei documenti storici): archivi mantenuti per motivi storici o per esigenze di legge. I1 trattamento di dati effettuato "manualmente" è disciplinato espressamente dall'art. 35 D.Lgs. n.196/03 e dall'allegato B (disciplinare tecnico). 5.3.2 Strumenti elettronici Attualmente, presso 1'AOUS la gestione dei dati, non è totalmente centralizzata; esistono infatti, due modi diversi di gestione: GESTIONE DEI DATI Gestione locale DESCRIZIONE Gestione locali di dati su stazioni di lavoro personali - persona1 computer/server non connessi in rete o cognessi in rete, ma con la possibilità di gestire localmente documenti e/o dati. Sono presenti anche applicazioni dedicate, ovvero apparecchiature elettromedicali che registrano le in formazioni sensibili direttamente in formato elettronico. Responsabile della singola unità operativa ( o personale delegato ) dove sono collocate le stazioni di lavoro o le applicazioni dedicate, o apparecchiature elettromedicali. I1 responsabile della singola unità operativa, dovrà adottare gli atti e le misure necessarie a garantire un adeguato controllo relativamente alle norme di buon uso dei sistemi informatici dell'azienda nonché le misure di sicurezza contemplate dal Codice (misure di tipo fisico,logico ed organizzativo). RESPONSABILITA' DELLA GESTIONE DESCRIZIONE RESPONSABILITA' DELLA 1 GESTIONE 1 Gestione dei dai residenti sui server presso i locali della UO Servizi ICT Le Scotte. Gestione dei dati residenti sui server esterni alla UO Servizi ICT Le Scotte ma gestiti dal personale della UO Servizi ICT Le Scotte. UO Servizi ICT Le Scotte. Per l'elenco delle risorse hardware e software in gestione al personale della GSI si veda il documento "elenco server in gestione alla UO Servizi ICT Le Scotte". redatto e amiornato a cura dell'unità stessa. La UO Servizi ICT Le Scotte opera al servizio di tutte le Strutture dell' AOUS garantendo la funzionalità e, quindi, la continuità operativa, della rete e degli applicativi generali residenti sui server centralizzati. Per i dettagli della rete si veda il documento, redatto e aggiornato a cura della UO Servizi ICT Le Scotte, "schema rete trasmissione dati. Su richiesta di un Responsabile della singola unità operativa, il personale della UO Servizi ICT Le Scotte fornisce supporto alle gestioni locali. 1 - 1 i I Server, i Persona1 Computer, la rete, i Sistemi Operativi e tutti gli Applicativi e gli apparati di telecomunicazione residenti nelle strutture sanitarie dell' AOUS sono di proprietà della stessa. 6. Distribuzione dei compiti e delle responsabilità 6.1 Nomina dei responsabili L'art. 4 del D.L. 196/2003 definisce e "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; e "responsabile" la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; e "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; e "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; Per ottemperare a quanto anzi detto l'Azienda ha emanato il regolamento attuativo in merito alla protezione dei dati personali. - 6.2 Titolare Ai sensi del regolamento attuativo è stato individuato quale titolare del trattamento 1' AOUS nella persona del Direttore Generale pro tempore. I1 titolare prowede nei casi previsti dalla legge: ad assolvere l'obbligo di notificazione al Garante; e a richiedere, ove necessario, le autorizzazioni e ad effettuare le dovute comunicazioni all'autorità garante per il trattamento o.la comunicazione dei dati; e ad adottare, per quanto di competenza, le misure necessarie a garantire la sicurezza dei dati personali, redigendo ed aggiornando il DPS; e ad impartire ai Responsabili del trattamento le necessarie istruzioni per la corretta gestione e tutela dei dati personali, ivi compresa la salvaguardia della loro integrità e sicurezza; a verificare periodicamente l'osservanza dell'attività svolta dai Responsabili del trattamento rispetto alle istruzioni impartite, anche con riguardo agli aspetti relativi alla sicurezza dei dati; e a prevedere interventi formativi, al fine di rendere edotto il personale dipendente dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare medesimo. I1 Titolare del trattamento,affida ai Responsabili del trattamento i1 compito di porre in essere ogni misura tesa a ridurre al minimo il rischio di distruzione dei dati, l'accesso non autorizzato o il trattamento non consentito, previe idonee istruzioni fornite con ogni mezzo ritenuto più idoneo. I1 Titolare del trattamento affida ai singoli Responsabili del trattamento l'onere di individuare, nominare ed indicare per iscritto gli Incaricati del trattamento. 6.3 Responsabile I responsabili sono stati individuati nei Direttori di Unità Operative Complesse e Unità Operative Professionali a cui compete la definizione del profilo di sicurezza e la messa in atto delle idonee misure di attuazione. La nomina del Responsabile del trattamento è a tempo indeterminato e decade per revoca o dimissioni dello stesso. La nomina del Responsabile del trattamento pub essere revocata in qualsiasi momento dal Titolare del trattamento dei dati senza preawiso, ed eventualmente affidata ad altro soggetto. Al Responsabile del trattamento vengono affidate le incombenze e le responsabilità di cui all'art.29 del D.lgs. 196/2003, avendo valutato la loro idoneità al rispetto delle caratteristiche di esperienza, capacità ed affidabilità richieste dalla legge per la tutela del trattamento. Il responsabile ha il potere di compiere tutto quanto sia necessario per il rispetto delle v?genti disposizioni. In particolare, il Responsabile del trattamento dei dati o suo delegato: Individua, nomina ed indica per iscritto gli Incaricati del trattamento Redige ed aggiorna l'elenco dei propri Incaricati; Redige ed aggiorna l'elenco dei Responsabili esterni del trattamento afferenti alla propria area di competenza; Propone al Titolare la nomina del Responsabile esterno del trattamento; . Provvede, sulla base delle direttive impartite dal Titolare, ad attuare il trattamento o a dare istruzioni per il corretto trattamento dei dati personali eseguendo a tal fine gli opportuni controlli; Redige ed aggiorna ogni variazione dell'elenco delle tipologie dei trattamenti effettuati; Adotta le misure e dispone gli interventi necessari per la sicurezza della conservazione dei dati e per la correttezza dell'accesso; Cura i rapporti con gli interessati che esercitano i diritti di cui all'art. 7 del Codice; Informa il Titolare nell'eventualità che si siano rilevati dei rischi; e Collabora con il Titolare a predisporre le notificazioni iniziali e le eventuali e successive variazioni verificando l'esattezza e completezza dei contenuti. Il Responsabile del trattamento custodisce gli elenchi e le lettere di incarico degli Incaricati dei Responsabili esterni. Qualora nell'unità operativa fosse presente una Gestione locale, il Responsabile del trattamento sarà anche responsabile della formulazione di opportune politiche di gestione dei relativi sistemi di elaborazione per garantire il rispetto delle misure di sicurezza contemplate dal Codice. e e 6.4 Incaricati I1 regolamento Aziendale in materia di trattamento dei dati personali ha identificato quale incaricato del trattamento tutti i dipendenti che materialmente effettuano le operazioni di trattamento dei dati. Gli incaricati sono nominati per iscritto, con apposito modello, dai Responsabili del trattamento. Secondo quanto prescritto dall'allegato B del D.L. 19612003 e Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. e I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. e Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Allo scopo di dare attuazione a quanto sopra richiamato occorre che i responsabili dei trattamenti diano comunicazione scritta al UO Servizi ICT Le Scotte della awenuta assegnazione di autorizzazioni di accesso, affinché questi possano effettuare le dovute configurazioni tecniche sui sistemi, tali da dare attuazione e validità alle dette disposizioni. Allo scopo di rendere possibile ciò è stato individuato un modulo, così detto di CONCESSIONE/REVOCA/MODIFICA di abilitazioni applicative, che i responsabili utilizzeranno per le comunicazioni del caso alla UO Servizi ICT Le Scotte. Sarà compito di quest'ultima conservare con la dovuta cura tali dichiarazioni. In ogni momento dovrà essere possibile dimostrare la corrispondenza tra le abilitazioni applicative realmente concesse e le autorizzazioni al trattamento conservate in detto archivio. Gli elenchi delle richieste di abilitazioni e le vigenti abilitazioni applicative potranno essere comunque sempre confrontati, dagli aventi diritto, presso la UO Servizi ICT Le Scotte, presso cui possono essere ritirati i modelli di CONCESSIONElREVOCA/MODIFICAdelle autorizzazioni. Lo stesso modello sarà comunque inserito nella intranet aziendale. Gli incaricati,nell'espletamentodelle proprie funzioni, devono usare la massima riservatezza della tenuta dei dati e nella conseguente loro protezione, cercando di evitare i rischi di distruzione o perdita, anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta. Per garantire meglio la riservatezza delle informazioni, ad ogni incaricato è stata assegnata una parola chiave ed un codice identificativo personale (credenziali) a suo uso esclusivo e concedibili a terzi. Ogni incaricato deve inoltre diligentemente custodire i dispositivi in suo possesso e di cui si awale nell'espletamento delle sue mansioni lavorative. Nel caso di trattamento di dati personali sensibili o giudiziari, i medesimi devono essere controllati e custoditi fmo alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e devono essere restituiti al termine delle operazioni affidate. 6.5 Incaricato delle copie di sicurezza Si deve distinguere tra la Gestione Locale e quella Centralizzata; Nel primo caso è incaricato delle copie di sicurezza dei dati il Responsabile del trattamento dei dati che cura la relativa gestione locale; nel secondo caso è incaricato delle copie di sicurezza dei dati del personale della UO Servizi ICT Le Scotte. La nomina dell'incaricato delle copie di sicurezza dei dati è a tempo indeterminato e decade per revoca o dimissioni dello stesso; può essere revocata in qualsiasi momento dal Responsabile. L'incaricato delle copie di sicurezza dei dati ha il compito di: Decidere il tipo di supporto da utilizzare per il salvataggio dei dati Decidere la pianificazione dei salvataggi; Decidere ed applicare le procedure per I'archiviazione dei supporti di memorizzazione; Decidere ed applicare le procedure per la verifica della leggibilità dei supporti di memorizzazione; Occuparsi dell'eliminazione dei supporti di memorizzazione; 1 i Curare il reimpiego dei supporti di memorizzazione utilizzati per i trattamenti di dati personali; Decidere ed applicare le misure per la custodia dei supporti di memorizzazione; Eseguire periodicamente prove di ripristino dei dati; Informare il Responsabile o il Titolare nella eventualità che siano rilevati rischi o problemi. 7. Elenco dei trattamenti di dati personali Data la complessità della struttura e delle svariate tipologie di trattamento e relative finalità, l' AOUS utilizza numerose banche dati. Ai Responsabili, ciascuno per il proprio settore di competenza, è affidato il compito di redirigere e di aggiornare ad ogni variazione l'elenco dei trattamenti di dati. 8. Trattamento dei dati affidati all'esterno I1 Titolare (su proposta del Responsabile interno del trattamento) può affidare il trattamento dei dati in tutto o in parte a soggetti ter~i~nominandoli a mezzo lettera di incarico dei Responsabili Estemi del trattamento. 11 Responsabile interno del trattamento conserva in luogo sicuro le lettere di incarico dei Responsabili Esterni afferenti alla propria alla propria area nelle quali è specificato un quadro sintetico delle attività loro affidate, l'indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce e gli impegni assunti all'estemo per garantire la protezione dei dati stessi. Nel corso dell'anno 2010 in seguito all'attivazione del progetto regionale Carta Sanitaria Elettronica e, di conseguenza alla costituzione ed irnplementazione del Fascicolo Sanitario Elettronico (di seguito ,denominato FSE) Legge Regionale 5412009 - è stato necessario nominare altri responsabili esterni al trattamento dei dati, individuati nelle ditte rifornitrici degli applicativi e gestione delle iafiastrutture di seguito indicati: . I1 Legale rappresentante della Società Telecom Italia S.p.A, gestore del Sistema TIX (Tuscany Intemet Exchange ) che costituisce anche il nodo per regionale del Sistema Pubblico di Connetività, per quanto attiene le responsabilità nella gestione delle infrastrutture e dei servizi telefonici di supporto alle attività per la messa in linea del FSE; I1 Legale rappresentante della Società Engineering Ingegneria Informatica S.p.A in quanto fornitore del Sistema SIS per quanto attiene le responsabilità nella gestione degli applicativi software che garantiscono l'operatività del FSE. I1 Fascicolo Sanitario Elettronico, come noto, è una raccolta in formato digitale delle informazioni e dei documenti clinici relativi alle prestazioni sanitarie prodotte dal Servizio sanitario regionale toscano. I1 FSE permetterà a ciascuno, attraverso la sua progressiva alimentazione nel tempo, di avere sempre a disposizione le informazioni sanitarie e socio sanitarie aggiornate, tra cui i ricoveri, le prestazioni di laboratorio effettuate, gli accessi al Pronto soccorso, i farmaci e le eventuali esenzioni e, in futuro, le prestazioni ambulatoriali, le prescrizioni e i referti delle visite specialistiche, nonché le annotazioni effettuate dal medico di famiglia o dal pediatra e altro ancora. I dati contenuti nel Fascicolo sono mantenuti protetti e riservati, nel pieno rispetto delle Linee Guida del garante in tema di fkscicolo sanitario elettronico e di dossier sanitario - 5 marzo 2009 (G.U. n. 71 del 26 marzo 2009). 9. Eventi e impatti sulla sicurezza Sono stati analizzati i principali eventi, intesi come minacce e vulnerabilità e le relative conseguenze individuate per la sicurezza dei dati,in relazione a ciascun evento. In generale gli eventi sono così suddivisi: Relativi al contesto fisico - ambientale o Relativi alle sedi fisiche Ingressi non autorizzati a locali ed aree a accesso ristretto Sottrazione di strumenti contenenti dati m Sottrazione di credenziali di autenticazione Sottrazione di documenti cartacei Calamità naturali Errori umani o Relativi ai locali della GSI i Ingressi non autorizzati Sottrazione di strumenti contenenti dati Calamità naturali Rischi connessi a sistemi di climatizzazione Errori umani nella gestione della sicurezza Relativi agli strumenti o Relativi alle risorse hardware Uso non autorizzato di hardware o di strumenti Manomissione e sabotaggio degli strumenti Perdita dati dovuta ad errori o a guasti Rischi connessi all'elettricità Relativi alle risorse software Accesso non autorizzato alle basi dati connesse Errori software o errori di configurazione che minacciano l'integrità dei dati Presenza di codice non conforme alle specifiche del programma Azione di virus informatici o Relativi alle comunicazioni Accesso non autorizzato alla rete Intercettazione di informazioni transitanti sulla rete Relativi al comportamento degli operatori Accesso non. autorizzato ai dati Cancellazione non autorizzata di dati 1 Manomissione di dati Sottrazioni di credenziali Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti Tutti questi eventi portano a due problematiche principali: 1. Accesso non autorizzato a dati ris,ervati e sensibili 2. Perdita, danneggiamento o alterazione di dati importanti o 10. Misure di sicurezza in essere L' AOUS ha elaborato nel corso degli ultimi anni una Politica di Sicurezza basata sull' adozione di misure di tipo fisico, logico ed organizzativo; il tutto al fine di assicurare: l'integrità e la disponibilità dei dati, la protezione delle aree dei locali, rilevanti ai fini della loro custodia e accessibilità, il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento ed impedirne la comunicazione e10 diffusione non autorizzata. , Tali misure hanno il compito di garantire sia i minimi requisiti di sicurezza contemplati dal Codice, sia un livello idoneo di sicurezza relativamente alle tipologie di dati trattati, alle modalità di trattamento ed agli strumenti utilizzati. Locali Sala macchine della UO Servizi ICT Le Scotte 3 A02 Misure di sicurezza di tipo fisico misura adottata: Evento che si intende contrastare: Trattamenti interessati: 3 A02 Accesso ai locali La sala macchine presente all'intemo dell'area UO Servizi ICT Le Scotte, non è accessibile da personale esterno in quanto è stata dotata di porta blindata ed ingresso con badge personale. Gli ingressi vengono" registrati in un log con la specifica del possessore del badge, dell'or~diingresso della persona. Gli armadi dei server nonché quelli di rete sono protetti da eventuali accessi non autorizzati in quanto dotati di serratura. Ingressi non autorizzati a locali e aree ad accesso ristretto. Sottrazione di strumenti contenenti dati. Trattamenti informatici I L'accesso ai locali nei quali sono ospitati i sistemi di elaborazione o di comunicazione è interdetto a chiunque, fatta eccezione per il personale autorizzato che accede tramite una tessera da inserire in un lettore badge; viene registrato nel contempo il nome del possessore e l'ora di entrata alla sala macchine. Se eventualmente si rendesse necessario l'accesso a detti locali da parte di personale non autorizzato - per es. da parte di tecnici della manutenzione e di ditte fomitrici,ecc,- i visitatori vengono opportunamente identificati ed accompagnati durante tutta la loro detta permanenza in detti locali da personale autorizzato. Deroghe a tale regola potranno essere concesse solo dietro precisa motivazione e andranno e andranno comunque segnalate al Responsabile della UO Servizi ICT Le Scotte . Ingressi non autorizzati a locali ed aree ad accesso ristretto. Sottrazione di strumenti contenenti dati Trattamenti informatici Misura adottata: Evento che si intende contrastare: Trattamenti interessati: 3 A03 Misure di protezione da eventi di origine naturale o dolosa I locali CED sono dotati di un idoneo numero di estintori e di un impianto di rilevazione fumi con segnalazione acustica. La sala server è protetta da un sistema antincendio. I1 pavimento della sala server è flottante antistatico. Sono inoltre presenti dispositivi di rilevamento temperatura e umidità. Calamità naturali I Tutti i trattamenti Misura adottata: Evento che si intende contrastare: Trattamenti interessati: 3 A04 Climatizzazione dei locali La sala macchine è dotata di impianto di climatizzazione opportunamente dimensionato. Rischi connessi a sistemi di climatizzazione Trattamenti di tipo informatico Misura adottata: Evento che si intende contrastare: Trattamenti interessati: 3 A05 Continuità dell' alimentazione elettrica Misura adottata: Evento che si intende contrastare: Trattamenti interessati: 3 A06 Continuità del servizio Misura adottata: - E' garantita la presenza di un gruppo di continuità in grado di fungere da backup per brevi interruzioni di energia elettrica. Il gruppo di continuità - o USP- è predisposto anche nel caso il locale o l'intero fabbricato sia servito da gruppo elettrogeno (i tempi di attivazione non sono compatibili con le esigenze dei sistemi di elaborazione dati e di comunicazione). Rischi connessi all'elettricità Trattamenti di tipo informatico Tutti i server sono configurati in cluster per garantire la continuità del servizio anche in caso di "caduta " o rottura Evento che si intende contrastare; Trattamenti interessati: di un singolo calcolatore. Sono altresì ridondati tutti gli apparati di rete Perdita dati Trattamenti di tipo informatica Altri locali della UO Servizi ICT Le Scotte 3 B01 Misure di protezione delle aree locali Misura adottata: Evento che si intende contrastare: Trattamenti interessati: I locali sono costantemente presidiati dal personale durante il giorno. Allo scadere dell' orario di lavoro, le porte di accesso vengono chiuse e nessun utente dei servizi è ammesso, se non personalmente accompagnato da personale della UO Servizi ICT Le Scotte appositamente richiamato. I1 personale dipendente ogni giorno timbra l'entrata e l'uscita per l'accesso in ospedale; per gli utenti ed i visitatori non esiste una registrazione. Ingressi non autorizzati a localilaree ad accesso ristretto Sottrazione di strumenti contenenti dati Sottrazione di documenti cartacei Manomissionelsabotaggio degli strumenti Accesso non autorizzato ai documenti cartacei Tutti i trattamenti 3 B02 Accesso ai locali Misura adottata: Evento che si intende contrastare: Trattamenti interessati: I flussi relativi a personale NON dipendente della UO Servizi ICT Le Scotte sono identificabili in due tipologie: il personale dipendente dell' AOUS ed i terzi prestatori d' opera (dipendenti di imprese esterne, consulenti, ecc.). In entrambi i casi il personale consente 1' accesso ai locali filtrandoli al momento del loro ingresso. Gli addetti sono tenuti ad effettuare vigilanza contro il rischio di accesso di persone non autorizzate. Sottrazione di strumenti contenenti dati Sottrazione di documenti cartacei Manomissionelsabotaggio degli strumenti Ingressi non autorizzati ai localilaree di accesso ristretto Tutti i trattamenti 3 B03 Registraziooe degli accessi Misura adottata: Trattamenti interessati I1 personale dipendente ogni giorno timbra 1' entrataluscita per l'accesso agli uffici; per gli utenti ed i visitatori non esiste una registrazione. Tutti i trattamenti + B04 Misure diprotezione per il rispetto-dei diritti dell' interessato ' Da alcuni anni l'AOUS, nell'organizzazione delle prestazioni e dei servizi erogati ha iniziato un processo di adeguamento attraverso l'adozione di idonee misure volte a garantire il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, così come richiesto dall' art. 83. Tale processo di adeguamento comprende: l. Soluzioni per la prevenzione,durante i colloqui,dell'indebita conoscenza da parte di terzi di informazioni idonee a rilevare lo stato di salute; 2. Previsione di opportuni accorgimenti volti ad assicurare che, ove necessario, possa essere data comunicazione ai soli terzi legittimati, di notizie riguardanti prestazioni sanitarie; 3. Sottoposizione da parte degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale. Evento che si intende contrastare: Trattamenti interessati: Accesso non autorizzato ai dati Tutti i trattamenti 9 E05 Continuità dell 'alimentazione elettrica Misura adottata: Evento che si intende contrastare: Trattamenti interessati: 9 B06 Credenziali Misura adottata: Server esterni ai locali UO Servizi ICT Le Scotte e gestiti dal personale dello stesso, sono quasi tutti collegati ad un gruppo di continuità. Tale gruppo, garantisce stabilità alla tensione in ingresso e assicura un' autonomia temporale necessaria ad avviare le corrette procedure di spegnimento dell' elaboratore. I server esterni ai locali UO Servizi ICT Le Scotte non gestiti dal personale del Servizio stesso, sono quasi tutti collegati ad un gruppo di continuità. Rischi connessi all'elettricità Trattamenti di tipo informatico I sistemi operativi consentono una corretta gestione delle password di autenticazione. I pochi residui PC dotati di S.O. Windows 9x, in via di dismissione, non contengono dati personali a livello locale; essi sono utilizzati come terminali, per accedere esclusivamente ad applicazioni che gestiscono correttamente l'identificazione e la profilazione degli utenti. La maggior parte delle applicazioni sia centralizzate che locali gestiscono la profilazione degli utenti a livello individuale e10 di gruppo, consentendo il rispetto degli ambiti di trattamento autorizzati. I1 trattamento di dati personali è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o ad insieme di trattamenti. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato (D.L. 19612003 Allegato B, punti 1,2,3,4) I1 codice per l'identificazione, laddove utilizzato, non è assegnato ad altri incaricati, neppure in tempi diversi. Pertanto ogni utente definito, non verrà più cancellato, ma disabilitato nel caso cessi di essere in uso, in maniera tale da evitarne il riutilizzo ( D.L. 19612003 Allegato B, punto 6) La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e , successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Qualora il sistema operativo dell'elaboratore su cui risiede I'applicativo lo consenta, è abilitato il cambio password, che l'incaricato potrà autonomamente effettuare in qualsiasi momento successivo al primo accesso, e in ogni altro momento successivo; per quei sistemi operativi per i quali non sia disponibile tale modalità di cambio password, o non sia comunque abilitabile per ragioni tecniche, è individuata una procedura organizzativa opportuna per il cambio password mediante l'ausilio del personale tecnico della UO Servizi ICT Le Scotte (D.L. l9612003 Allegato B, punto5); Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque almeno annualmente, 6 verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. (D.L. 19612003 Allegato B, punti 12,13, 14). Evento che si intende contrastare: l Trattamenti interessati: 3 B07 Gestione e controllo dei posti di lavoro Misura adottata: Evento che si intende contrastare: Trattamenti interessati: . Uso non autorizzato dell' hardware Acceso non autorizzato alle basi dati connesse Cancellazione non autorizzata di dati/manomissione di dati Sottrazione di credenziali Accesso non autorizzato alla rete Trattamenti di tipo informatico Attualmente 1' AOUS ha in dotazione un strumento specifico per la gestione a distanza dei PDL. In caso di impossibilità di usare tale strumento può essere necessario inviare sul posto un addetto della GSI per risolvere l'anomalia o il malfunzionamento Accesso non autorizzato alle balle basi dati connesse Cancellazione non autorizzata di dati/nianomissione di dati Sottrazione di credenziali Accesso non autorizzato alla rete Trattamenti di tipo informatico . ìBOS Accesso adlnternet Misura adottata: Evento che si intende contrastare: Trattamenti interessati: L' accesso ad Intemet e l'utilizzo della mai1 da parte di un nuovo Incaricato sono subordinati ad una richiesta scritta, autorizzata dal Responsabile del trattamento (o, dal Dirigente funzionale dell' incaricato). La navigazione degli utenti è gestita da un Proxy. Accesso non autorizzato alle basi dati connesse Trattamenti di tipo informatico ìB09 Protezione da accessi non autorizzatiprovenienti da Internet Misura adottata: L'AOUS utilizza due fuewall dedicati ed in c1uster;entrambi installati e gestiti direttamente dal personale della GSI, che adotta procedure di controllo costante delle risorse hardware e s o h a r e . Gli accessi da parte di utenti esterni avvengono via VPN, il collegamento awiene in maniera criptata e sono autenticati da un apparato CISCO. I manutentori dei s o h a r e applicativi sono autorizzati ad accedere solo alle procedure e ai dati di loro competenza, ma non vi sono particolari protezioni contro 1' accesso doloso a dati non autorizzati. Ciascuna persona esterna accede con una propria password, e gli accessi vengono tracciati in un file di log: tali accessi vengono autorizzati dalla UO Servizi ICT Le Scotte fino a revoca. Accesso non autorizzato alle basi dati connesse Evento che si intende contrastare: Intercettazione di informazioni transitanti sulla rete Trattamenti di tipo informatico Trattamenti interessati: ìB10 Accesso agli strumenti Misura adottata: Alle risorse non accedono persone non autorizzate. La manutenzione è effettuata da tecnici di fiducia. L'utente è Evento che si intende contrastare: Trattamenti interessati: tenuto a scollegarsi dal sistema ogni qualvolta sia costretto ad assentarsi dal locale nel quale è ubicata la stazione di lavoro, o nel caso ritenga di non essere in grado di presidiare l'accesso alla medesima (per es. perché impegnato in compiti che richiedono totalmente la sua attenzione). Manomissione/sabotaggio degli strumenti Trattamenti di tipo informatico + B11 Errori noti del soffware Misura adottata: Evento che si intende contrastare: Trattamenti interessati: 3 B12 Aggiornamento dei programmi soffware Misura adottata: Evento che si intende contrastare: Trattamenti interessati: I software utilizzati non hanno mai causato la perdita o il danneggiamento di dati trattati Errori sofhvare che minacciano l'integrità dei dati Trattamenti di tipo informatico Elaboratori gestiti dal personale della UO Servizi ICT Le Scotte . Gli aggiornamenti periodici dei programmi per elaboratore, volti a prevenire la vulnerabilità di strumenti elettronici ed a correggerne difetti, sono effettuati periodicamente, almeno una volta ogni sei mesi e comunque quando disponibile o necessario, ma sempre dopo aver concordato l'int&vento con il personale interno che vi sovrintende. Elaboratori non gestiti dal personale della UO Servizi ICT Le Scotte . Gli aggiornamenti periodici dei programmi per elaboratore, volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne i difetti, gestiti localmente dai responsabili sono effettuati periodicamente, almeno una volta ogni sei mesi; i sistemi operativi WS2000 e XP Professional sono automaticamente aggiornati tramite un servizio centralizzato installato dalla UO Servizi ICT Le Scotte . Perdita di dati dovuta ad errori o a guasti Errori umani Trattamenti di tipo informatico + B13 Protezione posti di lavoro Misura adottata: Evento che si intende contrastare: Trattamenti interessati: La protezione di tutti i posti di lavoro collegati alla rete, dei server e delle postazioni mobili viene assicurata attraverso un antivirus gestito centralmente che garantisce l'aggiornamento automatico del Data Base dei virus attraverso un collegamento al sito che viene attivato con frequenza giornaliera. L' antivirus è settato per la protezione in tempo reale sui files e messaggi in ingresso. La scansione sui posti di lavoro viene effettuata in tempo reale. E' presente inoltre un sistema antivirus sul server di posta. Azione di virus informatici Presenza di codice non conforme alle specifiche del programma Trattamenti di tipo informatico 1 3 D14 Iiorrricrzione e ififormcrzionedel yer.soncrle Misura adottata: Evento che si intende contrastare: Trattamenti interessati: Nella Intranet aziendale sono stati pubblicati i regolamenti sull'uso della posta elettronica e di Internet. A tutti gli operatori è stato distribuito il documento "Utilizzo della posta elettronica e della rete Internet nei rapporlo di lavoro" che disciplina il trattamento di dati personali effettuato dall'AOUS in applicazione dei principi di cui al D. Lgs. 196 del 30 giugno 2003 in materia di protezione dei dati personali, in particolare ai sensi della delibera n013 del 1.3.2007 del Garante della Privacy. E' già stata avviata un'attività di formazione del personale per renderlo edotto nel trattamento dei rischi individuati e dei modi per prevenire danni al sistema di elaborazione e gestione logica dei dati. Sono previsti, annualmente, ulteriori incontri formativi di sensibilizzazione, informazione e aggiornamento al personale sulla corretta modalità operativa per il trattamento dei dati e sulla sicurezza informatica in generale. Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti Tutti i trattamenti 3 B15 Czfiatura o separazione dei dati sanitari Misura adottata: I dati sanitari sono trattati in modo da poter essere separati dagli altri dati dell'interessato. Evento che si intende contrastare: Accesso non autorizzato ai dati Trattamenti interessati: Trattamento di tipo informatico B16 Risposta agli incidenti Misura adottata: Evento che si intende contrastare: Trattamenti interessati: Qualora emergesse un possibile problema di sicurezza, sarà immediatamente attivato un TEAM di Risposta per la gestione degli incidenti guidato dal Responsabile della UO Servizi ICT Le Scotte . Qualora il sistema risulti compromesso, totalmente o in parte, verranno adottate le disposizioni contenute nel piano di continuità ed emergenza. Perdita di dati dovuta ad errori o guasti Errori umani Tutti i trattamenti ' I i ìB17 Salvataggio dati Misura adottata: Evento che si intende contrastare: Trattamenti interessati: Dati residenti sui server presso i locali della UO Servizi ICT Le Scotte . Gli archivi informatici contenenti dati personali ed i file system dei vari applicativi vengono salvati in automatico da un server robotizzato; l'incaricato del salvataggio deve solamente inserire le cassette necessarie, secondo una metodica che consente di disporre in ogni momento delle copie di salvataggio impresse rispettivamente. Tale salvataggio avviene con cadenza giornaliera in modalità fu11 per tutti gli archivi e sistemi. Dati residenti su server esterni ai locali della UO Servizi ICT Le Scotte ma gestiti dal personale della UO stessa: salvataggio giornaliero su dischi all'interno dei server di sistema della sala macchine. Dati sui server locali non gestiti dalla UO Servizi ICT Le Scotte : salvataggio giornaliero a carico dei singoli servizi. Su richiesta la UO Servizi ICT Le Scotte ha messo a disposizione porzioni di disco sui propri server al fine di effettuare il backup automatico dei dati del singolo PC Perdita di dati dovuta a errori o a guasti Errori umani Trattamenti di tipo informatico 3 B18 Protezione risorse software Misura adottata: Evento che si intende contrastare: Trattamenti interessati: Le misure adottate per proteggere l'efficienza e l'efficacia delle risorse s o h a r e , consistono in; - utilizzo di s o h a r e specialistico per preservare l'integrità dei dati quali, l'antivirus e il software per il recupero dei dati accidentalmente o volontariamente cancellati. - attività giornaliera di backup su supporti informatici. Queste misure sono inoltre garantite dalla presenza di 'log file' cioè file in cui i s o h a r e di sicurezza presenti sui server e sulle principali applicazioni scrivono le operazioni fondamentali svolte per loro tramite. Attraverso un'attenta analisi di questi file si riesce ad individuare i tentativi, riusciti o meni, di accesso ai sistemi ed esecuzioni di operazioni sospette. Perdita di dati Accesso non autorizzato alla rete Trattamenti di tipo informatico * +~ 1 Protezione 9 risorse di rete Misura adottata: Evento che si intende contrastare: Trattamenti interessati: L'architettura che offie il miglior rapporto fia minimizzazione dei rischi complessivi del sistema e costi di realizzazionelgestione è del tipo espresso con i seguenti blocchi funzionali: Firewall-apparato di filtro RAS Server -server interno Intemet - con la doppia veste di mezzo di comunicazione per gli utenti aziendali che accedono in VPN e insieme di risorse accedute dai client posti nella intranet aziendale-; ,Intranet-sede della maggior parte dei client aziendali e dei server che erogano la maggior parte delle funzionalità applicative-: DMZ - sede di alcuni sistemi che devono essere visibili in internet, ma svolgono anche servizi applicativi aziendali -; PSTN - mezzo di comunicazione per quegli utenti che hanno acceso a intemet-. L'architettura individuata si basa sui seguenti criteri: avere un confine aziendale ben definito con pochi, e molto ben individuati, punti di attraversamento presidiati da dispositivi facilmente controllabili,gestibili e monitorabili; avere una zona - la DMZ - con caratteristiche di sicurezza intermedia fia l'esterno e l'interno in cui porre tutti quegli elaboratori che pur facendo parte dei server che svolgono servizi applicativi per i client della intranet debbano in qualche modo essere visibili dalla rete intemet; aver un piano di numerazione di rete interno non pubblico, ma convertito con tecniche NAT Network Address Translation - per aumentare il livello complessivo di sicurezza; Perdita di dati Accesso non autorizzato alla rete Trattamenti di tipo informatico 11. ANALISI DEI RISCHI CHE INCOMBONO SUI DATI I1 D.lgs. 19612003 ha per finalità quella di garantire che "il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali". Sulla base di quanto prescritto da tale Codice, vengono individuati tre requisiti di sicurezza, che costituiscono il riferimento per valutare il proprio grado di corrispondenza rispetto a quanto indicato dal D. lgs. 19612003. I tre requisiti sono: riservatezza: requisito specificatamente indicato nelle finalità del D. lgs. 19612003, si riferisce alla possibilità di intraprendere azioni in grado di proteggere i dati di natura personale e sensibile da modalità di trattamento non autorizzato che contemplano il rischio di accesso ai dati,e rientranti nelle seguenti categorie di attività specificatamente indicate dalla legge: o raccolta, o registrazione, o organizzazione, O conservazione, O comunicazione, o diffusione, O selezione, O estrazione, o rafionto, I I o interconnessione, o utilizzo integrith: tale requisito si riferisce alla possibilità di intraprendere azioni in grado di proteggere i dati di natura peisoiiale u serisibilc: &a inodalilà di Liallaiiieiilo iiori a u l o r i ~ ~ aoht: t e corile~nplanoi1 rischio di modifica delle informazioni e rientranti nelle seguenti categorie di attività specificatan~enteindicate dalla Legge: o elaborazione, o modificazione, o cancellazione, O blocco, o distruzione, disponibilità: tale requisito si riferisce alla necessità di intraprendere azioni in grado di proteggere dati personali, sensibili e giudiziari da possibili eventi che possono ridurre la capacità dell'azienda di assolvere alle finalità do trattamento per cui tali dati sono stati raccolti. Tali requisiti forniscono quindi un punto di partenza per l'identificazione dei possibili attacchi, individuabili in base all'analisi dello scenario effettuata, e servono alla definizione dei criteri di protezione più adeguati a garantire tale necessità di protezione. Per analisi dei rischi si intende l'attività di raccolta ed analisi delle minacce e delle vulnerabilità a cui sono soggette le risorse nel rispetto del Codice. Per vulnerabilità si intende una debolezza, intrinseca o dovuta aHe condizioni di esercizio, di un prodotto o un sistema informatico sottoposto a valutazione. Può essere sfruttabile o non sfruttabile da una o più di minacce. Può essere causata da errori in fase di analisi, progetto, implementazione, definizione delle condizioni di esercizio di un prodotto o di un sistema informatico. Per Minaccia si intende ogni azione o evento pregiudizievole per la sicurezza. In questa sezione viene data valutazione qualitativa dei rischi. I1 rischio da abbattere è la probabilità che si verifichi un impatto sulle attività aziendali. ( Probabilith ( Descrizione evento O 1 2 1 Livello Descrizione I Poco ~robabile I Probabile I ( Verosimile Rischio da abbattere Probabilità I1 rischio residuo ritenuto accettabile, valutato per ogni singolo evento, è calcolato considerando il rischio da abbattere insieme con le eventuali misure adottate; il rischio residuo è dunque un rischio che rimane anche quando sono state applicate le misure di sicurezza; può essere suddiviso in: RRB Rischio residuo basso:livello di rischio accettabile RRM Rischio residuo medio:il rischio non è totalmente o parzialmente contrastato RRA Rischio residuo alto:& un rischio inaccettabile e dovranno essere attivate contromisure più incisive Di seguito si evidenziali rischio residuo dell'AOUS 1. Analisi dei rischi relativi al contesto fisico-ambientale l a. Sulle sedi fisiche Evento Impatto (0-2) Probabilità (0-2) Rischio da abbattere(1xP) 2 1 2 2 O O Ingressi non autorizzati a localilaree ad accesso ristretto Sottrazione di strumenti contenenti dati Sottrazione di credenziali di autenticazione Sottrazione di documenti cartacei Misure Adottate B0 1 B02 B03 B0 1 B02 B03 B02 Rischio Residuo RRM RRB RRM 2 . 1 2 2 1 2 B02 RRM 1 1 1 B12 RRM Impatto (0-2) Probabilith (0-2) Rischio da abbattere(1xP) Rischio Residuo 1 1 1 Misure Adottate A0 1 A02 2 O O A0 1 A02 Errori umani b. Nei locali CED Evento Ingressi non autorizzati , Sottrazione di strumenti contenenti dati Calamita naturali 2 0 o A03 RRB RRB RRB Rischi connessi a sistemi di climatizzazione 1 1 l ' A04 RRB Errori umani nella gestione della sicurezza 1 1 1 A06 RRM 2) Analisi dei rischi relativi agli strumenti a. Sulle risorse hardware Evento Uso non autorizzato dell'hardware o di strumenti Sottrazione di credenziali di autenticazione Manomissione/sa botaggio Degli strumenti Perdita dati dovuta ad errori o a guasti Rischi connessi All'elettricità Impatto (0-2) Proba bilith (0-2) Rischio da abbattere(1xP) Misure Adottate Rischio Residuo l 1 1 B06 RRM 2 l 2 B06 B07 RRM 2 1 2 2 2 4 2 2 4 B0 1 B02 B03 B10 B12 B16 B17 B05 RRM RRM RRB b. Sulle risorse software Evento Accesso non autorizzato alle basi dati connesse Errori softwarelerrori di configurazione che minacciano I'integriti dei dati Presenza di codice non conforme alle specifiche del programma Azione di virus informatici C. Impatto (0-2) Probabilith (0-2) Rischio da abbattere(1xP) Misure Adottate Rischio Residuo 2 2 4 B06 B07 B09 RRM 2 2 4 B11 RRM 2 2 4 B13 RRM 2 4 B13 RRM Probabilith (0-2) Rischio da Misure Adottate 2 'L Sulle comunicazioni Evento Impatto (0-2) Acceso non autorizzato RRM B08 B18 Intercettazione di informazioni transitanti sulla rete 2 3) Analisi dei rischi relativi ai comportamenti degli operatori I I Evento documenti cartacei Accesso non autorizzato ai dati Cancellazione non autorizzata di datilmanomissione di dati Sottrazione di Credenziali Carenza di consapevolezza,disattenzione o incuria Comportamenti sleali o fraudolenti 1 Impatto 1 probabilità ( ~ischioda I l 2 2 4 2 1 2 2 1 2 2 1 2 B14 RRM 2 O O B 14 RRB B06 B07 B06 Bd7 RRM RRM v ¶ 12. CRITERI E MODALITA' PER IL RIPRISTINO DELLA DISPONIBILITA' DEI DATI 12.1 Procedure per il salvataggio regolare dei dati I1 salvataggio dei dati è una procedura che ricopre una funzione cruciale. Attraverso questa procedura è possibile, in caso di guasto hardware dei dischi, "ripristinare" il sistema con i dati presenti al momento dell'ultimo salvataggio. Gli archivi informatici dei sistemi sotto controllo della UO Servizi ICT Le Scotte vengono salvati in automatico su un robot di backup su un set minimo di supporti per i salvataggi a rotazione, secondo una metodica che consente di disporre in ogni momento delle copie di salvataggio : Settimanali in modalità fu11 su nastro Giornalieri in modalità incrementale su nastro 12.2 Procedure per I'archiviazione dei supporti di memorizzazione I supporti di memorizzazione etichettati con informazione per l'identificazione e conservati anche in un bunker ignifugo ed antisfondamento sito nei sotterranei del lotto didattico. La sostituzione avviene con cadenza settimanale a rotazione su quattro settimane. 12.3 Procedure per la verifica della leggibilità dei supporti di memorizzazione La verifica dell'integrità dell'informazione memorizzata viene eseguita manualmente dall'incaricato al salvataggio. 12.4 Criteri per l'eliminazione dei supporti di memorizzazione obsoleti In generale i supporti di memorizzazione - anche non removibili - che contengono dati personali o sensibili, nel caso non possano essere cancellati in maniera da renderne irrecuperabile il contenuto, una volta dimessi -per es. per obsolescenza o per guasto :, sono distrutti o smaltiti in maniera tale che il contenuto non sia più recuperabile. 12.5 Prove di ripristino Periodicamente vengono eseguite prove di ripristino dei dati dal System Manager 12.6 Piano di continuità operativa L'obiettivo del piano di continuità operativa è quello di garantire la continuità del servizio informatico e la disponibilità delle informazioni, evitando o limitando i danni al patrimonio informativo a fronte di una emergenza. Il piano di continuità operativa non deve essere inteso come misura alternativa a quelle di prevenzione, ma a completamento di queste ultime. Allo scopo di gestire gli eventi critici e i disastri quali cessazione temporanea della corrente elettrica, presenza di Virus informatici provenienti da fonti esterne ( internet, altri supporti elettronici ecc..) per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, I'AOUS ha adottato le seguenti misure: server con dischi ridondati o in cluster salvataggio dei dati etichettatura dei supporti di memorizzazione con informazione per l'identificazione verifica dell'integrità dell'informazione memorizzata custodia dei supporti in cassaforte eliminazione dei supporti di memorizzazione e dell'informazione in essi contenuta attivazione di un TEAM di Risposta per la gestione degli incidenti. 11 piano prevede, nell'eventualità che un incidente comprometta la sicurezza dei sistemi, figure professionali altamente qualificate quali i manutentori dei sistemi stessi, che sono in grado di intervenire per limitare e10 eliminare eventuali problemi causati dall'evento 13. MISURE DI SICUREZZA DA ADOTTARE I I Misure da adottare Migliorare la gestione delle credenziali di autenticazione, estendendo i meccanismi di scadenza automatica delle stesse a tutti i PC. Rischi da contrastare Uso non autorizzato dell'hardware Proseguire l'istruzione degli incaricati sulle corrette modalità di gestione autonoma delle credenziali. . Accesso non autorizzato alle basi dati connesse Cancellazione non autorizzata di dati/manomissione di dati Proseguire l'istruzione degli incaricati sulla corretta gestione degli - strumenti elettronici. l ------l Sottrazione di credenziali Accesso non autorizzato Scelta ed adozione di strumenti di single sign on Migliorare la gestione dei profili di autorizzazione, con particolare riferimento alla gestione degli stessi da parte delle applicazioni informatiche piii datate. Si sta valutando l'opportunità di utilizzare un programma apposito che blocca l'accesso all'elaboratore quando non viene usato per alcuni minuti. I Prosegue inoltre l'attività di formazione degli utenti affinché gli stessi effettuino la disconnessione del proprio account nel caso in cui abbandonino temporaneamente la postazione di lavoro. Scelta e adozione di strumenti per la crittografia 1l dei dati sanitari, al fine della separazione iEa tali dati e quelli identificativi Si intende avviare lo studio di fattibilità per migliorare il livello di protezione dei dati da perdita o danneggiamento, attraverso 1' utilizzo di sistemi per duplicare, in sede diversa Mancata separazione fra dati sanitari e dati identificativi Trattamenti di tipo informatico I I Calamità naturali Perdita o danneggiamento di dati anche involontario Trattamenti di tipo informatico u - dalfa UO Servizi ICT Le Scotte, la scrittura dei dati critici presenti sui DB centralizzati. 14. Allegali 14.1) Elenco risorse Hardware in gestione 14.2) Elenco risorse Software in gestione e Banche Dati oggetto del trattamento 14.3) Schema della rete AOUS ed elenco apparati di rete e loro ubicazione Allegato 14.1 - Elenco risorse hardware in gestione . srvname osname srvtype m1350 ubuntu 8.04 hardy heron hp proliant m1350 g3 smbio sco hp proliant m13 10 srvinet win2003 rl std vm vmware3 srvpager win2000 srv ita hp proliant ml 370 C3 win2003 rl std ibm x-series 226 centos5 hp proliant d1380g3 vmwvc win2003 rl std virtualbox . srvsotsl win2003 rl std hp proliant d1380g4 srvsots2 win2003 rl std hiproliant d1380g4 srvctx3 win2003 R ee hp proliant d1380g4 srvgpl win2003 12 64bit ee hp proliant d1380g4 srv3m win2003 rl std hp proliant d1380g4 win2003 12ee hp proliant d1380g4 win2003 12ee hp proliant d1380g4 vmware vi3 hp proliant d1580g2 vmware vi3 hp proliant d1580g2 srvorasi hp proliant d1380g4 srvadl hp proiiant d1380g4 srvad2 hp proliant d1380g4 srvsqll hp proliant d1380g4 hp proliant d1380g4 hp proliant d1380g4 RHES4 UPD3 X86-64 . win2003 rl std hp proliant d1380g4 vm vmware3 win xp pro srvfab RHES4 UPD4 i386 srvnefro win xp pro vmproxy4 vm xen vmwebcont srvstorage win2003 R storage server hp proliant d1380g5 swcet win2003 rl std hp proiiant m13 10 srvname osname sr'vtype vmintranet ubdntu 10.04 vm vmware3 srvfiles sles8 PC vmnweb RHES4 UPD6 i386 vm vmware3 vmmboxestav RHES4 UPD5 i386 vm vmware3 vmocs RHES4 UPDS i386 vm vmware3 vmtssotest win2003 rl std vm vmware3 vmwebcg win2003 rl std vm vmware3 d1585n l RHES4 UPD5 X86-64 hp proliant d1585g2 d1585n2 RHES4 UPD5 X86-64 hp proliant d1585g2 d1585n3 RHES4 UPDS X86-64 hp proliant d1585g2 vmdigmsc win2003 12ee vm vmware3 srvdbemodin win2003 12ee hp d1360g5 srvpacsemodin win2003 12ee hp d1360g5 srvws2 win2003 r2 64bit ee hp d1385g2 srvcamst win2003 12 se ibm x3550 srvgestapp win2000 srv eng hp d1120 g5 vmjboss Centos 5.2 vm vmware3 vmavl l win2003 r2 ee vm vmware3 pe2600 ubuntu 8.04 hardy heron del1 poweredge 2600 vmtimbratori win2003 12ee vm vmware3 vmoesb win2003 12ee vm vmware3 pe1950 centos 5.5 64bit del1 poweredge 1950 pe2905 vmware 4 del1 poweredge 2905 vmtoml centos 5.5 vm xen vmproxy I centos 5.5 vm xen vmdns2 centos 5.5 vm xen vmproxy2 centos 5.5 vm xen vmmailgw l centos 5.5 vm xen vmmailgw2 centos 5.5 vm xen vmproxy3 centos 5.5 vm xen vmdnsl centos 5.5 vm xen ubuntu 10.04 vm vmware3 vmnetmon vmegw . srvname osname srvtype vmftp centos 5.5 vm xen vmkav6 win2003 rl std vmkw win2003 rl std . . V ' , Allegato 14.2 - Elenco risorse software in gestione svcname svcnote srvname samba share winuxsrv cluster con d1380n2 d1380nl mbox cluster con d1380nl d1380n2 virtualizzatore vi3 nodo 1 cluster con d1580n2 d1580nl virtualizzatore vi3 nodo 2 cluster con d1580n l db oracle 9 SAWT cluster oracle 9i db oracle 9 BEST cluster oracle 9i db oracle 10 WEBS cluster oracle rac 10g db oracle 9 TESTSAW d1585nl . db oracle 10 ARGOS (cartelie cliniche dedalus) cluster oracle rac 10g d1585nl db oracle 9 OLI (anatomia parologica) cluster oracle 9i d1585nl ftp server pubblico accedibile solo tramite utenza e p w vmftp smtp gateway backup smtp gw vmmailgwl dns pubblico pnmary dns vmdnsl host virtualbox m1350 host xen ftp anpat-asl7 trasferimenti per as17 share samba \brvcont aggiornamenti ads nagios check servizi e send sms ftp sigma psferimenti ddper sigma vmware 4 calcolo drg sw3m license server termina1 server ' . srvadl domain controller dominio ced primary dc srvad l domain controller dominio ced backup dc srvad2 server antivims symantec ver 10 srvav3 applicativo gestione pasti srvcamst db applicativo cet srvcet citrix ts per applicativo ambulatori da pc univ. srvctx3 c i h x ts per accesso internet srvctx3 citrix ts per email SNC~X~ data base applicativo pacs emodinamica srvdbemodin web server unimedes endocnnologia srvendoc svcname svcnote web server farmaci antiblastici ftp server fip.aos srvname srvfab accesso anonimo srvfiles share ftproot e inst srvfiles applicativo tecnologie sanitarie srGgestapp .applicativo openlink siemens srvgpl applicativo auroraweb siemens nodo 1 ~ Wl P server web www.ao-siena.toscana.it sito esterno srvinet server web www.aos sito interno in asp srvinet db italab microbiologia srvmbio srvnefro web server anatomia patologica applicativo medware nefrologia srvnefro nihon kohden per stroke unit nihon kohden per t.i. neurochirufgia db oracle 8 DELDB PROTDB (poriocollo delibere srvorasi db oracle 8 ADS (contab aous) srvorasi db oracle 9 DBSIS srvorasi pacs emodinamica srvpacsemodin ' srvpager comunicazione con centralino cercapersone sql server tecnel ufficio tecnico - cercapersone srvpager web server tecnel srvpager accesso internet con white Gst srvproxy terminal server applicativo best sale operatorie srvsots 1 terminal server applicativo best sale operatorie srvsots2 share server immagini gastro cluster con srvsql2 srvsqll db sql gastroenterologia cluster sql server srvsql l db sql rianimazioni I e 2 cluster sql server srvsql l db sql controlli di gestione cluster sql server srvsql2 db sql clumedware cluster sql server srvsql2 db sql ragioneria cluster sql server srvsql2 data protector server wsus srvstorage aggiornamenti microsofi srvsus vmware license server vmwvc vmware viriual center vmwvc applicativo auroraweb siemens nodo 2 srvws2 svcname svcnote srvname web server www2,aos vmintranet smtp gateway vmmailgw 1 web server webmail.ao-siena.toscana.it webmail vmegw web server egw.ao-siena.toscana.it groupware vmegw vmintranet web server intranet.ao-siena.toscana.it proxy intemet vmproxy l proxy per ip vmav l l antivims symantec ver 11 message center digistat vmjboss interfaccia java per sincronizzazione DBSIS vmmboxestav mai1 server estav 4 vmnweb web server neuroweb inventario software dei pc oracle enterprise manager vmocs comunicazione tra aurora e altre applicazioni vmopenlink acquisizione timbrature solari vmtimbratori termina1 server sale operatorie TEST vmtssotest applicativo rages controlli di gestione vmwebcg web magazzino aous vmwebcont web Albo Pretorio vmtoml dns pubblico backup dns vmdns2 smtp gateway backup mailgw vmmailgw2 host xen d1380g3 proxy intemet proxy per utente vmproxy2 proxy intemet proxy per utente vmproxy3 proxy intemet proxy con white list vmproxy4 trasmissione eventi verso RT open ESB onit vmoesb applicativo controllo frigoriferi KW vmkw Allegato 14.3 - Schema della rete AOUS ed elenco apparati di rete e loro ubicazione