Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba

Transcript

Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra”
i:\delibere\delibere da pubblicare\delib2010\0579.doc
D e t e r m i n a z i o n e
NUMERO
GENERALE
579
D i r e t t o r i a l e
CODICE PROPOSTA
BUDGET ADOTT.
000
DIG
DATA
ANNO
PROGR.
10
0015
31 MARZO 2010
O G G E T T O :
ADOZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI,
REDATTO AI SENSI DEL PUNTO 19 DELL’ALL. “B” DEL D. LGS 196/03.
I L
D I R E T T O R E
G E N E R A L E
Richiamato il D.Lgs. 30 giugno 2003 n. 196 “ Codice in materia di protezione dei dati
personali”, il quale prevede al punto 19 del Disciplinare tecnico in materia di misure minime di
sicurezza – Allegato “B” del D. Lgs. 196/03, tra gli adempimenti posti a carico del TITOLARE di
trattamenti di dati personali, sensibili e giudiziari, quello di redigere un Documento programmatico
sulla sicurezza, entro il 31 marzo di ogni anno;
Considerato che si è provveduto ad aggiornare il "Documento Programmatico sulla
Sicurezza", già adottato con determinazione n. 526/000/DIG/09/0008 del 31.03.2009;
Su proposta conforme dei Direttori delle SS.OO.CC. Sistemi Informativi (Dott. Fabrizio
VIGLINO) e Assistenza Legale (Dott. Franco BAVA) per quanto di rispettiva competenza;
Acquisito il parere favorevole, per quanto di competenza, dei Direttori Amministrativo e
Sanitario (ex art. 3, comma 7, D.Lg.vo 30.12.92, n. 502 e s.m.i.);
D
E T
E
R
M
I
N
A
− di adottare il “DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI”
dell’A.S.L. CN2 Alba-Bra, allegato al presente provvedimento per costituirne parte integrante e
sostanziale, redatto ai sensi del punto 19 del Disciplinare tecnico in materia di misure minime di
sicurezza – Allegato “B” del D. Lgs. 196/03;
− di mettere a disposizione di tutti i Responsabili del trattamento nominati ex art. 29 del D.Lgs.
196/03 il presente atto mediante pubblicazione sul sito aziendale www.aslcn2.it e agli atti della
S.O.C. Assistenza Legale;
Pagina 1
Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010
− di prendere atto che il presente provvedimento non comporta alcun onere di spesa;
− di dichiarare la presente determinazione, vista l'urgenza di provvedere in merito,
immediatamente esecutiva, ai sensi dell'art. 28, comma 2 della Legge Regionale 24 gennaio
1995, n. 10.
Letto, approvato e sottoscritto.
IL DIRETTORE GENERALE
Giovanni MONCHIERO
F.TO MONCHIERO
Sottoscrizione per conferma del parere richiamato nel contesto della determinazione:
IL DIRETTORE AMMINISTRATIVO
Gregorio BARBIERI
IL DIRETTORE SANITARIO
Francesco MORABITO
F.TO BARBIERI
F.TO MORABITO
Sottoscrizione del proponente:
IL DIRETTORE S.O.C.
SERVIZI INFORMATIVI
Fabrizio VIGLINO
IL DIRETTORE DELLA S.O.C.
ASSISTENZA LEGALE
Franco BAVA
F.TO VIGLINO
F.TO BAVA
Allegato:
• Documento programmatico sulla sicurezza dei dati
(gli allegati al documento programmatico sono disponibili solo in formato elettronico)
Archivio: I.3.14.2
TR/sb
Pagina 2
A.S.L. CN2 Alba-Bra
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI1
(ai sensi del punto 19 del Disciplinare tecnico in materia di misure minime di
sicurezza -Allegato B del D.lgs. 196/03 “Codice in materia di protezione dei dati
personali”)
Anno 2010
1
Il contenuto di questo documento e la ricerca giuridica che ne è il fondamento sono di proprietà esclusiva di Sistemi Uno S.r.l. Collegno (To) e la
loro cessione a ASL CN2 Alba-Bra è regolata dalle norme a tutela del Diritto d’autore e della proprietà intellettuale.
Pagina 3
INDICE
PREMESSA ...................................................................................................................................................................... 6
INTRODUZIONE............................................................................................................................................................. 7
1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI........................................................................................ 8
2. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL’AMBITO DELLE STRUTTURE
PREPOSTE AL TRATTAMENTO DEI DATI ............................................................................................................. 9
3. ANALISI DEI RISCHI .............................................................................................................................................. 10
3.1. IDENTIFICAZIONE DELLE RISORSE DA PROTEGGERE ................................................................................................ 11
( DESCRIZIONE DEL SISTEMA INFORMATICO).................................................................................................................. 11
3.1.1. Hardware ........................................................................................................................................................ 11
3.1.2. Software.......................................................................................................................................................... 12
3.1.3. Supporti Dati................................................................................................................................................... 13
3.2. VALUTAZIONE DELLE MINACCE E DELLA VULNERABILITÀ DEI BENI. ..................................................................... 13
3.2.1. Penetrazione logica ......................................................................................................................................... 13
3.2.2. Penetrazione sulle reti di telecomunicazioni................................................................................................... 13
3.2.2.1. Reti delle filiali collegate in MPLS.......................................................................................................... 13
3.2.2.2. Rete per la connessione ad Internet.......................................................................................................... 14
3.2.2.3. Collegamento fornitori di servizi. ............................................................................................................ 14
3.2.2.4. Accessi VPN. ........................................................................................................................................... 15
3.2.3. Guasti tecnici delle apparecchiature. .............................................................................................................. 16
3.2.4. Errori umani.................................................................................................................................................... 17
3.2.5. Minacce fisiche. .............................................................................................................................................. 17
3.3. INDIVIDUAZIONE DELLE CONTROMISURE................................................................................................................ 18
3.4. DEFINIZIONE DELLE POLITICHE DI SICUREZZA ....................................................................................................... 19
3.4.1. Classificazione delle informazioni.................................................................................................................. 19
3.4.2. Protezione fisica delle risorse. ........................................................................................................................ 19
3.4.2.1. Classificazione delle aree aziendali. ........................................................................................................ 20
3.4.2.2. Controllo dell'accesso alle aree critiche. .................................................................................................. 20
3.4.2.3. Sicurezza fisica (impianti). ...................................................................................................................... 20
3.4.3. Protezione logica delle informazioni. ............................................................................................................. 20
3.4.3.1. Controllo degli accessi alle informazioni................................................................................................. 20
3.4.3.2. Mantenimento dell'integrità e riservatezza delle informazioni. ............................................................... 21
3.4.3.3. Sicurezza dei PC e dei Server. ................................................................................................................. 21
3.5. NORME PER IL PERSONALE...................................................................................................................................... 21
3.5.1. Utilizzo delle risorse informatiche.................................................................................................................. 21
3.5.2. Accesso ai sistemi e ai dati. ............................................................................................................................ 21
3.5.3. Uso delle credenziali di autenticazione........................................................................................................... 22
3.6. GESTIONE DEGLI INCIDENTI. ................................................................................................................................... 33
3.7. MANUTENZIONE DEI SISTEMI HARDWARE E SOFTWARE. ......................................................................................... 33
3.7.1. Le apparecchiature.......................................................................................................................................... 33
Pagina 4
3.7.2. Il software. ...................................................................................................................................................... 34
3.8. INDIVIDUAZIONE DELL'ESPOSIZIONE AL RISCHIO. ................................................................................................... 34
3.8.1. Il livello delle minacce ai suddetti beni. ......................................................................................................... 34
4. MISURE DI GARANZIA DELL’INTEGRITA’ E DELLA DISPONIBILITA’ DEI DATI. PROTEZIONE
DELLE AREE E DEI LOCALI AI FINI DI CUSTODIA E ACCESSIBILITA’ DEI DATI. ................................. 39
4.1. ELENCO DELLE RISORSE DA PROTEGGERE............................................................................................................... 39
4.2. IDENTIFICAZIONE ED AUTORIZZAZIONE. ................................................................................................................. 39
4.3. SICUREZZA ED INTEGRITÀ DEI DATI. ....................................................................................................................... 39
4.4. SICUREZZA DELLA RETE. ........................................................................................................................................ 43
4.5. TRASMISSIONE DEI DATI. ........................................................................................................................................ 44
Tabella 2- Misure di sicurezza relative agli strumenti elettronici e altre misure di sicurezza ................................. 47
4.6. SICUREZZA FISICA. ................................................................................................................................................. 47
5. CRITERI E MODALITA’ PER IL RISPRISTINO DELLA DISPONIBILITA’ DEI DATI IN SEGUITO A
DISTRUZIONE O DANNEGGIAMENTO.................................................................................................................. 48
5.1. RIPRISTINO DELLA DISPONIBILITÀ DEI DATI............................................................................................................ 48
5.2. CRITERI E MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI................................................................ 51
5.2.1. Guasti hardware .............................................................................................................................................. 51
5.2.2. Backup dei dati ............................................................................................................................................... 51
5.2.3. Protezione fisica.............................................................................................................................................. 51
6. IL PROGRAMMA DI FORMAZIONE DEGLI INCARICATI ............................................................................ 52
6.1 PIANO DI FORMAZIONE. ........................................................................................................................................... 52
7. CRITERI DA ADOTTARE PER GARANTIRE L’ADOZIONE DELLE MISURE MINIME DI SICUREZZA
IN CASO DI TRATTAMENTI DI DATI PERSONALI AFFIDATI ALL’ESTERNO DELLA STRUTTURA ... 53
8. CRITERI PER LA CIFRATURA O PER LA SEPARAZIONE DI DATI IDONEI A RIVELARE LO STATO
DI SALUTE E LA VITA SESSUALE DAI DATI PERSONALI DELL’INTERESSATO...................................... 54
9. IL PIANO DI VERIFICHE E DI AGGIORNAMENTO PERIODICO DEL MANUALE ................................. 55
ELENCO ALLEGATI ................................................................................................................................................... 56
Pagina 5
PREMESSA
Il presente Documento Programmatico sulla Sicurezza è stato redatto il 26 marzo 2010 ai sensi del punto 19
del Disciplinare tecnico in materia di misure minime di sicurezza – Allegato B del Decreto legislativo 30
giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” (di seguito Codice).
Pagina 6
INTRODUZIONE
Il Documento Programmatico sulla Sicurezza (in seguito DPS) è redatto ai sensi del punto 19 del
Disciplinare tecnico in materia di misure minime di sicurezza – Allegato B al D.lgs. 196/03 “Codice
in materia di protezione dei dati personali. Il DPS costituisce il progetto “sicurezza” del trattamento
dei dati all’interno dell’azienda.
Il DPS di A.S.L. CN2 Alba-Bra si articola in nove capitoli:
1. Il primo capitolo è dedicato all’elenco dei trattamenti di dati personali effettuato
dall’azienda;
2. Il secondo capitolo analizza la distribuzione dei compiti e delle responsabilità nell’ambito
delle strutture preposte al trattamento dei dati;
3. Il terzo capitolo è dedicato all’analisi dei rischi attraverso il quale vengono messi in
evidenza i rischi legati al trattamento dei dati personali, in particolare quelli definiti
sensibili;
4. Il quarto capitolo esamina le principali misure da adottare per garantire l’integrità e la
disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro
custodia e accessibilità;
5. Il quinto capitolo prende in esame i criteri e le modalità per il ripristino delle disponibilità
dei dati in seguito a distruzione o danneggiamento;
6. Il sesto capitolo è dedicato al programma di formazione degli incaricati;
7. Il settimo capitolo si occupa della descrizione dei criteri da adottare per garantire l’adozione
delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in
conformità al codice, all’esterno della struttura del titolare;
8. L’ottavo capitolo si occupa dei criteri per la cifratura o per la separazione di dati idonei a
rivelare lo stato di salute e la vita sessuale dai dati personali dell’interessato
Pagina 7
9. Il nono capitolo è dedicato al piano di verifiche e di aggiornamento del documento stesso. Il
DPS deve essere aggiornato entro il 31 marzo di ciascun anno.
1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI
A tal fine il Titolare del trattamento, attraverso i Responsabili del trattamento, ha individuato i
trattamenti utilizzando apposite schede (Scheda S01) allegate al DPS.
Pagina 8
2. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL’AMBITO DELLE STRUTTURE
PREPOSTE AL TRATTAMENTO DEI DATI
I compiti e le responsabilità delle varie Strutture Aziendali (S.O.C., S.O.S. e S.S.D.) sono
analiticamente
descritti
nell’Atto
Aziendale
approvato
con
determinazione
n.
1197/DIG/001/08/0008 del 30.06.2008 e rettificato con provvedimenti n. 1851/100/DIG/08/0020
del 30.10.2008 e n. 2239/100/DIG/08/0048 del 29 dicembre 2008 a cui si rimanda.
Per quanto riguarda l’individuazione dei Responsabili del trattamento ai sensi dell’art. 29 del d.lgs.
196/03 il Titolare ha mantenuto invariato il criterio di nominare Responsabili interni tutti i Direttori
di S.O.C. e i Responsabili di S.O. in staff alla Direzione Generale.
Inoltre il Titolare del trattamento ha individuato diversi Responsabili esterni nominandoli (in
aggiunta ai precedenti) attraverso lettere ad hoc.
L’ elenco dettagliato dei Responsabili interni ed esterni è visionabile presso l’U.R.P. e sul sito web
aziendale www.aslcn2.it sotto la voce “Atti e documenti aziendali”
.Gli incaricati del trattamento sono stati nominati analizzando l’unità di appartenenza e
individuando l’ambito del trattamento consentito agli addetti dell’unità medesima.
Gli incarichi sono raccolti nel “Mansionario Incarichi Privacy”.
Per l’elenco degli Amministratori di Sistema (vedi allegato “Amministratori di Sistema”).
Pagina 9
3. ANALISI DEI RISCHI
Metodologia usata per l’analisi dei rischi:
Classificazione dei dati rispetto ai parametri di sicurezza:
•
-
Integrità: consistente nella garanzia che ogni dato aziendale sia realmente e completamente
rappresentativo, in maniera oggettiva e senza interpretazioni, dei contenuti a cui si riferisce.
Tale obiettivo si persegue tramite l’adozione di opportune contromisure che impediscano
alterazioni incidentali o intenzionali che ne possono mutare il significato originale o, in
alternativa, forniscano la possibilità di rilevare la suddetta alterazione del dato e di recuperare
il dato integro.
-
Riservatezza: consistente nella garanzia che un dato aziendale venga reso disponibile
solamente alle applicazioni ed agli utenti incaricati e autorizzati al suo utilizzo.
-
Disponibilità: consistente nella garanzia di reperibilità dei dati aziendali in funzione delle
esigenze di continuità dei processi aziendali e di rispetto delle norme (di legge e non) che
impongono la conservazione storica o determinati livelli di servizio.
•
Posizionamento dei dati in architettura, attività che definisce la localizzazione dei dati nei
sistemi tecnologici utilizzati.
•
Determinazione delle vulnerabilità dei dati, effettuata analizzando i rischi ai quali sono
sottoposti quando vengono trattati nel sistema informativo.
•
Individuazione delle contromisure, consistente nella definizione delle politiche di sicurezza e
progettazione del sistema di protezione, pianificando l’introduzione di nuovi strumenti di
sicurezza o apportando accorgimenti a difesa delle attrezzature utilizzate per il trattamento.
Pagina 10
3.1. Identificazione delle risorse da proteggere
( descrizione del sistema informatico)
3.1.1. Hardware
Il Sistema Informativo automatizzato dell’A.S.L. CN2 Alba-Bra, si articola sul territorio provinciale
attraverso una struttura a stella che ha come centro la rete locale della sede principale di via
Ospedale 14/D ad Alba. La rete geografica collega le reti locali delle altre sedi distaccate mediante
diverse soluzioni (SHDSL, CVP, ADSL) fornite da FASTWEB.
La rete locale della sede principale ha un’infrastruttura di cablaggio strutturato di cat.5e UTP con
dorsali in fibra ottica. A tale infrastruttura sono collegati gli elaboratori ed altri apparati di rete. La
struttura logica si basa sul protocollo TCP/IP.
Per quanto riguarda le sale CED di Alba e Bra sono installati i seguenti server :
SERVER
1(uno) IBM AS/400 sSeries (SANITARIO)
1(uno) IBM AS/400 sSeries (AMMINISTRATIVO)
1(uno) IBM AS/400 sSeries (SANITARIO)
1(uno) IBM System X3650 (BRAPACS)
1(uno) IBM System X3650 (BRARIS)
1(uno) IBM System X3650 (ALBAPACS)
1(uno) IBM System X3650 (ALBA PACS-Backup)
1(uno) IBM xSeries 346 (SRVASL)
1(uno) IBM xSeries 345 (SRVBACKUPBRA)
1(uno) IBM xSeries 440 (SRVCEDALBA2)
1(uno) IBM Netfinity 4500R (WTSCEDALBA)
1(uno) IBM xSeries 345 (SRVPROTALBA)
1(uno) IBM xSeries 346 (SRVWEBALBA)
1(uno) IBM System X3650 (SRVSQL)
Pagina 11
1(uno) IBM xSeries 345 (SRVCEDBRA)
1(uno) IBM Netfinity 5000 (NTVETBRA)
1(uno) IBM xSeries (SRVSIVBRA)
1(uno) IBM Netvista (Pubblicazione Videate AS/400)
1(uno) DELL (ALBAPACSLA)
16(sedici)
Server
Virtuali
(SRVPOSTA,
SRVAPPS,
SRVCDG,
SRVBLUES,
SRVPASTALBA, SRVSERVIZI, SRVCEDALBA, SRVNHR, SRVSQLALBA, SRVFS,
SRVRISDB, SRVRISWEB, SRVWEB, SRVWOKY, SRVWSUS, DNASERVER)
Nella rete sono presenti circa
1.000 (mille) Personal Computer fissi e portatili di marca
IBM/Lenovo, SiComputer e Apple Mac, utilizzati come stazioni di lavoro in rete, identificati
tramite i nomi degli utilizzatori o nomi di servizio.
Un elenco dettagliato dell’hardware viene fornito in allegato, assieme al diagramma della struttura
logica e fisica della rete LAN e WAN.
3.1.2. Software
Sistemi operativi dei Server:
Windows 2000 / 2003 / 2008 Server
Linux Red Hat Server
IBM OS400
Microsoft SQL Server 2000
Microsoft SQL Server 2005
Sistemi operativi dei PC:
Windows 2000 Professional
Windows XP Professional
Mac OSX
Programma Antivirus :
Symantec Endpoint Protection
Per gli Applicativi gestionali e sanitari, viene allegato un elenco dei pacchetti software più specifici.
Pagina 12
3.1.3. Supporti Dati
Hard disk installati su PC e Server; DVD; CD-ROM; cassette per backup; supporti di
memorizzazione USB esterni; dischetti.
3.2. Valutazione delle Minacce e della Vulnerabilità dei beni.
3.2.1. Penetrazione logica
Tale tipo di minaccia è legato alla possibilità di utenti non autorizzati dei Personal Computer di
accedere alla rete, alle applicazioni su di essa disponibili ed ai dati presenti sui Server o sui PC
stessi, nonché alla possibilità di accedere ai dati ed alle applicazioni direttamente attraverso la
console di uno dei Server.
Un’altra minaccia logica è data dai virus informatici introdotti inavvertitamente dagli utenti
attraverso programmi e dati di provenienza non controllata o non controllabile.
Un’ulteriore minaccia logica è legata alla navigazione su Internet ed alla possibilità, attraverso il
browsing di un sito WWW, di attivare più o meno consapevolmente script o applicazioni malevole
che verrebbero eseguite sul PC da cui si effettua la navigazione.
3.2.2. Penetrazione sulle reti di telecomunicazioni.
La complessa articolazione della rete geografica dell’ A.S.L. CN2 Alba-Bra, con i suoi
collegamenti con diverse realtà espone le reti locali collegate ed il Sistema Informativo da esse
supportato ad una moltitudine di minacce potenziali.
3.2.2.1. Reti delle filiali collegate in MPLS.
Vi sono 27 (ventisette) sedi collegate alla sede principale attraverso una rete MPLS FastWeb.
Il collegamento avviene attraverso router Cisco gestiti da FastWeb.
Pagina 13
Le sedi non hanno collegamenti a reti di telecomunicazioni pubbliche, di conseguenza la minaccia
di una penetrazione attraverso la MPLS sulla rete locale della sede principale è legata alla sicurezza
fisica e logica degli elaboratori presenti nelle filiali stesse ed alla buona fede degli operatori degli
stessi.
Per le sedi di Alba, che invece è dotata di collegamento ad Internet autonomo e di altri servizi di
collegamento a reti remote o di accesso remoto, si aggiungono invece le minacce relative alla
penetrazione attraverso tali collegamenti che potrebbero raggiungere anche la sede centrale dell’
A.S.L. CN2 Alba-Bra, le sue filiali e le società od enti ad essa collegati.
3.2.2.2. Rete per la connessione ad Internet.
La connessione ad Internet della sede centrale avviene attraverso una SHDSL a 8Mbit.
Fra il router e la rete locale è inserito 1(uno) Firewall (WatchGuard Firebox X5000), che gestisce la
rete locale, la DMZ, la connettività VPN e la funzionalità di Proxy Server.
La natura permanente e gli indirizzi IP fissi dei collegamenti ad Internet tramite HDSL espongono
la rete locale (LAN) dell’ A.S.L. CN2 Alba-Bra alla possibilità di studio e tentativo di accesso
remoto attraverso Internet, alla possibilità di attacchi DOS (Denial of Service) volti alla interruzione
delle funzionalità proprie dei PC, dei Server o delle applicazioni di rete, portati attraverso il
"bombardamento" mediante pacchetti di dati opportunamente creati per sfruttare i difetti dei sistemi
operativi o di una delle applicazioni di rete.
La navigazione sul World Wide Web comporta poi il rischio di cattura di informazioni relative ai
PC da cui si attua il collegamento attraverso lo sfruttamento di pagine Web malevoli, con script e
applet dai contenuti incontrollabili.
3.2.2.3. Collegamento fornitori di servizi.
I collegamenti dei fornitori di servizi sono filtrati da Firewall (WatchGuard Firebox
X5000) e isolati su opportune DMZ.
Pagina 14
3.2.2.4. Accessi VPN.
Sono attivi alcuni accessi VPN SSL su Firewall WatchGuard Firebox X5000 per manutenzioni
software su apparati.
Le minacce relative a tali collegamenti sono legate alla possibilità di un utilizzo improprio da parte
di terzi che abbiano carpito i dati relativi alle connessioni.
Le reti private virtuali (VPN Virtual Private Network) offrono un canale di comunicazione
autenticato e crittografato su una rete pubblica (Internet).
Le periferiche usate per instaurare il Tunnel VPN possono essere gli stessi router usati per
connettersi ad Internet, i Firewall di protezione della rete, dei server interni alla rete, dei PC con un
applicativo client VPN o una combinazione dei precedenti.
Queste periferiche utilizzano IPSec (IPSecurity) che è un algoritmo a chiave pubblica/privata. IPSec
usa uno scambio Diffie-Hellman per eseguire l’autenticazione e stabilire le chiavi di sessione, più
un algoritmo DES (Data Encryption Standard) a 56 bit per crittografare il flusso di dati. Nel nostro
caso è usata l’ultima evoluzione dell’algoritmo DES cioè il Triple DES (3DES) che crittografa il
testo normale tre volte usando due o tre chiavi diverse a 56 bit.
La periferica utilizzata nella sede principale è configurata in modo che tutto il traffico in uscita
indirizzato alla rete privata remota sia crittografato usando 3DES; la stessa periferica decodifica
inoltre tutti i dati che riceve dalla periferica della sede remota.
La periferica della sede remota è configurata in modo del tutto analogo e crittografa tutto il traffico
indirizzato alla rete privata della sede principale e decodifica le risposte ricevute dalla periferica
della sede principale. I dati inviati a tutti gli altri apparati su Internet sono trasmessi in testo in
chiaro. Usando questo metodo non è possibile vedere l’indirizzo IP del computer che ha trasmesso i
dati, né l’indirizzo IP del computer di destinazione, perché queste informazioni vengono
crittografate assieme ai dati effettivi del pacchetto originale.
Pagina 15
Una volta crittografato il pacchetto originale, la periferica incapsula il testo cifrato in un nuovo
pacchetto IP usando il proprio indirizzo IP come indirizzo di origine e l’indirizzo IP della periferica
remota come indirizzo di destinazione. Questo processo prende il nome di tunneling.
Con questo metodo un ipotetico aggressore non è in grado di individuare quale traffico sulla VPN
valga la pena di tentare di decodificare, perché tutti i pacchetti usano gli indirizzi IP delle due
periferiche. Poiché si dispone di un tunnel virtuale tra le due periferiche, si potrà usare su Internet
uno spazio di indirizzi privato: un computer sulla rete privata principale può trasmettere dati ad un
computer sulla rete privata remota senza richiedere la traduzione degli indirizzi di rete.
Questo grazie al fatto che le periferiche incapsulano le informazioni dell’intestazione quando i dati
vengono consegnati lungo il tunnel. Quando la periferica sulla rete remota riceve il pacchetto, estrae
il pacchetto incapsulato, decodifica il pacchetto originale e consegna i dati alla destinazione.
Le VPN sono indipendenti da servizi e piattaforme. Per svolgere comunicazioni sicure, le
postazioni, che non siano esse stesse terminazioni del tunnel, non devono necessariamente usare un
software che supporti la crittografia in quanto questo compito viene svolto automaticamente quando
il traffico passa tra le due periferiche.
3.2.3. Guasti tecnici delle apparecchiature.
Le minacce legate ai guasti tecnici delle apparecchiature sono da individuare in:
a) Guasto di uno dei Personal Computer (non relativo al disco fisso) che porti
all'inutilizzabilità dell'apparecchiatura con conseguente interruzione del lavoro tramite essa
eseguito. Non comporta perdita di dati, a parte quelli in elaborazione al momento del guasto e
non salvati sul disco fisso o su altro supporto.
Pagina 16
b) Guasto del o dei Server (non relativo al disco fisso) che porti alla sua o loro inutilizzabilità o
inaccessibilità sulla rete locale, con conseguente blocco di tutte le attività legate alle
applicazioni che si trovano su di essi.
c) Guasti ai dischi fissi di PC e Server. Sicuramente la peggiore minaccia in quanto possono
portare alla perdita dei dati in essi salvati.
d) Guasti alle periferiche (stampanti, router, switch, unità a nastro, periferiche esterne di
memorizzazione dati). Possono portare ad un più o meno lungo periodo di inutilizzo di tali
risorse, causando anche l’interruzione del normale lavoro. Il guasto dell'unità a nastro utilizzata
per il backup dei dati può causare un'ulteriore minaccia indiretta per l'integrità dei dati salvati
sui dischi fissi.
3.2.4. Errori umani.
Le minacce di questo tipo sono legate ad imperizia, imprudenza o inaccortezza degli operatori, oltre
ad una possibilità statistica di errore anche da parte del personale meglio preparato. I danni possono
andare dalla perdita del lavoro in esecuzione al momento dell'errore fino alla cancellazione di dati
importanti dai supporti di memorizzazione (dischi fissi) o al danneggiamento delle apparecchiature.
3.2.5. Minacce fisiche.
Le minacce di questo tipo riguardano l'accesso fisico di persone non autorizzate ai locali o alle
postazioni di lavoro e la sicurezza fisica delle apparecchiature rispetto agli impianti di
alimentazione, di condizionamento e di protezione antincendio. Nel primo caso, il pericolo riguarda
la possibilità di furto delle apparecchiature e/o dei supporti di memorizzazione o l'utilizzo non
Pagina 17
autorizzato degli stessi. Nel secondo caso il pericolo riguarda l'integrità fisica stessa delle
apparecchiature e delle altre risorse aziendali.
3.3. Individuazione delle contromisure.
Un sistema di contromisure adeguato alle necessità deve quindi comprendere:
a) Messa in sicurezza dei locali con un sistema che impedisca accessi non autorizzati al di fuori del
normale orario di lavoro.
b) Sistema di protezione dell'alimentazione dei Server.
c) Sistema antincendio.
d) Sistema di protezione delle reti locali dai tentativi di accesso non autorizzato attraverso Internet
(Firewall) ed altri collegamenti di rete remota (controllo degli accessi).
e) Sistema di controllo del traffico tra le diverse reti locali che compongono la rete dell’Azienda.
f) Installazione di un sistema di protezione dai virus e suo aggiornamento costante.
g) Operazioni di backup settimanale dei dati.
h) Attivazione di un sistema di controllo degli accessi al sistema informativo costituito da
credenziali di autenticazione.
i) Attivazione di un sistema di controllo dell’accesso ai dati (sistema di autorizzazione) costituito
da profili di autorizzazione.
j) Messa in sicurezza dei Server (blocco della console).
k) Sensibilizzazione del personale ai rischi della "navigazione" su Internet e alle necessarie
prudenze.
Pagina 18
3.4. Definizione delle Politiche di Sicurezza
Con la definizione delle Politiche di Sicurezza si prende atto della valutazione del rischio e si
definisce la risposta adeguata alle necessità messe in luce nei paragrafi precedenti fissando obiettivi
che verranno perseguiti nel Piano Operativo, che si articola nei capitoli successivi.
La sicurezza deve inoltre essere considerata, da tutti i dipendenti, parte integrante dell'attività
quotidiana, finalizzata alla protezione delle informazioni e delle apparecchiature da manomissioni,
uso improprio o distruzione.
Un sistema di sicurezza è un insieme di misure fisiche, logiche ed organizzative integrate, volte a
ridurre la probabilità di danni ad un livello e ad un costo ragionevole.
Le Politiche di Sicurezza si basano sul principio che le risorse informatiche (dati, risorse hardware e
software) sono un patrimonio che deve essere protetto dal momento in cui viene creato/installato,
durante il suo utilizzo, fino al momento in cui viene distrutto. Devono essere portate a conoscenza,
per le parti di pertinenza, delle società esterne che interagiscono con l’Azienda, le quali devono
accettarne i contenuti ed impegnarsi a rispettarle.
Le Politiche di Sicurezza devono essere aggiornate con periodicità annuale per riflettere eventuali
nuovi indirizzi, evoluzioni e normative in materia di sicurezza.
3.4.1. Classificazione delle informazioni.
I dati trattati dall’Azienda hanno natura di dati personali (ai sensi dell’art. 4 c.1 lett. b) del Codice),
dati identificativi (ai sensi dell’art. 4 c.1 lett. c) del Codice), dati sensibili (ai sensi dell’art. 4 c.1
lett. d) del Codice) e di dati giudiziari (ai sensi dell’art. 4 c.1 lett. e) del Codice).
3.4.2. Protezione fisica delle risorse.
Pagina 19
3.4.2.1. Classificazione delle aree aziendali.
L’Azienda è composta da diversi edifici con uffici e locali accessibili al pubblico ed ai fornitori, da
uffici e locali accessibili al solo personale dipendente e da uffici e locali accessibili solo al
personale dipendente dotato di particolari autorizzazioni.
3.4.2.2. Controllo dell'accesso alle aree critiche.
Le postazioni di lavoro dotate di PC e soprattutto l'area ove sono situati i Server non sono
accessibili al pubblico se non accompagnato da personale dell’Azienda.
Analoghe misure sono prese per i luoghi ove vengono maneggiati e custoditi i supporti cartacei
delle informazioni.
Gli atti e i documenti contenenti i dati sono conservati in archivi ad accesso selezionato e inoltre,
per i documenti contenenti dati sensibili sono stati previsti archivi ad accesso controllato.
3.4.2.3. Sicurezza fisica (impianti).
Si è provveduto ad adottare le necessarie misure antincendio, di salvaguardia elettrica e, ove
necessario, di condizionamento.
3.4.3. Protezione logica delle informazioni.
3.4.3.1. Controllo degli accessi alle informazioni.
L'accesso alle informazioni deve essere protetto dalle credenziali di autenticazione costituite da un
codice di identificazione dell’incaricato associato ad una parola chiave riservata conosciuta
solamente dal medesimo. Inoltre deve essere previsto un sistema di autorizzazione contenenti
appositi “profili” per l’accesso controllato ai dati ed alle applicazioni del sistema informativo.
Pagina 20
3.4.3.2. Mantenimento dell'integrità e riservatezza delle informazioni.
La protezione dai virus informatici deve essere garantita attraverso l’utilizzo di un software
antivirus con aggiornamenti settimanali.
Deve essere garantito il salvataggio di sicurezza (backup) dei dati. Le copie di sicurezza devono
essere poste in luogo sicuro ed al di fuori della portata del pubblico o di personale non autorizzato.
3.4.3.3. Sicurezza dei PC e dei Server.
I PC devono essere protetti da accessi non autorizzati tanto al sistema operativo locale quanto alla
rete.
L'accesso all'utilizzo della console dei Server deve essere protetto e permesso ai soli incaricati della
gestione e manutenzione degli strumenti elettronici.
3.5. Norme per il personale.
3.5.1. Utilizzo delle risorse informatiche.
Il personale dipendente utilizzerà le risorse informatiche a cui ha accesso attenendosi alle istruzioni
di incarico e autorizzazione ricevute.
3.5.2. Accesso ai sistemi e ai dati.
L’accesso ai sistemi e ai dati sarà definito dal Responsabile insieme al Titolare del trattamento, al
fine di individuare categorie omogenee di incaricati avente le necessarie autorizzazione a trattare
particolari dati.
Pagina 21
3.5.3. Uso delle credenziali di autenticazione.
Il personale è tenuto, durante l'utilizzo degli strumenti elettronici aziendali, all'utilizzo dello
specifico codice identificativo e della parola chiave (password) assegnati. Il codice identificativo e
la password sono strettamente personali e riservati ed è responsabilità del personale farne uso
accorto.
La parola chiave dovrà essere composta da almeno otto caratteri, non dovrà contenere riferimenti
agevolmente riconducibili all’incaricato e dovrà essere modificata dall’incaricato al primo utilizzo
e, successivamente, almeno ogni sei mesi (in caso di trattamento di dati sensibili e di dati giudiziari
la parola chiave dovrà essere modificata ogni tre mesi).
Di seguito le caratteristiche principali di una parola chiave
La parola chiave
Le parole chiave rappresentano il più diffuso sistema di identificazione personale, utilizzato su
terminali remoti per impedire l’accesso non autorizzato a sistemi di elaborazione e reti.
Negli Stati Uniti, già quindici anni fa, è stata pubblicata la prima normativa, accompagnata da linee
guida per l’introduzione e gestione di un sistema di parole chiave.
La normativa identifica dieci fattori che devono essere presi in considerazione all’atto della
introduzione di un sistema di parole chiave.
Composizione
Una parola chiave è una sequenza di caratteri ottenuti con libera selezione da parte dell'incaricato o
alla fine di un processo, che li ha generati secondo alcune regole.
Un buon sistema di parole chiave ha una base assai larga di parole accettabili, per impedire che una
persona non autorizzata od un intruso individui una parola chiave valida in qualche altro modo, che
non sia l'averla appresa da una persona autorizzata.
Pagina 22
La gamma di parole chiave accettabili deve essere abbastanza larga da offrire protezione contro
tentativi di ricerca e di sperimentazione di parole accettabili, commisurati al valore dei dati o delle
risorse che vengono protette.
La gamma di parole chiave accettabili deve rispondere ai seguenti requisiti:
-
essere tale da poter essere individuata con facilità;
-
le parole chiave accettabili possono essere generate o scelte facilmente;
-
una parola chiave valida deve essere ricordata senza troppe difficoltà;
-
deve essere archiviata senza eccessiva occupazione di memoria;
-
deve essere digitata facilmente.
La composizione è definita quindi come la sequenza di caratteri che comprende la parola chiave
valida.
Da notare che il disciplinare, al comma 5, precisa che la parola chiave deve essere composta da
almeno 8 caratteri, salvo una deroga da giustificare, se lo strumento elettronico non lo permette, in
questo ultimo caso va però utilizzata la prestazione massima consentita dallo strumento elettronico.
Poiché. il disciplinare non precisa se questi caratteri debbano essere numerici o alfabetici, è
consentito l'utilizzo di una parola chiave con solo caratteri numerici, anche se evidentemente questa
scelta porta ad un livello strutturale inferiore di sicurezza, perché la gamma di scelta è notevolmente
ridotta, rispetto alla gamma di scelta offerta dai caratteri alfabetici.
Una composizione migliore contiene 16 caratteri, che includono dieci cifre più le lettere A, B, C, D,
E, F.
Molte parole chiave sono composte solo da 26 lettere minuscole (a - z) o 26 lettere maiuscole (A Z).
Tuttavia, l'uso di uno di questi due gruppi può incoraggiare l'interessato a selezionare le sue iniziali,
il nome, il soprannome, il nome di parenti, la città di residenza o altre parole banali, facilmente
associabili all'interessato.
Una composizione basata su parole chiave esclusivamente alfabetiche non è raccomandata.
Lunghezza
La lunghezza è strettamente associata con la composizione, nella valutazione della sicurezza
potenziale di un sistema di parole chiave contro un attacco portato da un intruso che cerca di
trovare, in modo esaustivo, tutte le possibili parole chiave.
Pagina 23
La lunghezza di una parola chiave stabilisce i limiti della sicurezza potenziale del sistema. Una
lunghezza pari ad 1 riduce il numero potenziale di parole chiave valide al numero di caratteri
compresi nella gamma accettabile di composizione.
Una lunghezza pari a 2 porta questo numero al quadrato; una lunghezza pari a 3 porta il numero
all'esponente cubico; una composizione a base 10 ed una lunghezza di 4 caratteri porta ad una scelta
tra diecimila possibili parole chiave.
Se tutti gli altri fattori vengono temporaneamente ignorati, la sicurezza offerta da una parola chiave
è direttamente proporzionale alla lunghezza consentita della parola chiave. In altre parole, parole
chiave più lunghe sono più sicure.
Il disciplinare, al comma 5, prevede che la lunghezza minima sia di 8 caratteri numerici, alfabetici
od alfanumerici, salvo una deroga accennata in precedenza.
La lunghezza possibile deve quindi includere valori, con un minimo di otto caratteri, e la
composizione deve essere basata su una gamma abbastanza larga, da consentire di raggiungere un
elevato livello di sicurezza.
Vita utile
La sicurezza offerta da una parola chiave dipende dalla sua composizione, dalla sua lunghezza, e
dalla sua protezione dalla rivelazione o sostituzione.
Se una parola chiave è stata compromessa in qualche modo e viene creata una nuova parola chiave,
che è completamente indipendente dalla vecchia, il rischio associato con la vecchia parola chiave è
ridotto a zero.
Le parole chiave devono quindi essere cambiate su base periodica ed ogniqualvolta vi sia un
sospetto di compromissione.
II comma 5 del disciplinare specifica esattamente quale debba essere la vita utile minima della
parola chiave, indicando un massimo di sei mesi, nel caso che il sistema di autenticazione ed il
sistema di autorizzazione concedano l'accesso a dati personali convenzionali, con riduzione a solo
tre mesi, in caso di trattamento di dati sensibili e di dati giudiziari.
I sistemi di parole chiave devono avere la possibilità di sostituire la parola rapidamente, con
procedura avviata dall'utente o dal gestore della sicurezza logica.
Le parole chiave devono essere cambiate volontariamente dall'interessato, quando si sospetta una
compromissione, e devono essere cambiate periodicamente con un intervallo massimo selezionato
dal responsabile della sicurezza. Questo intervallo può essere un periodo di tempo o essere legato al
Pagina 24
numero di volte in cui la parola è stata utilizzata (nella fattispecie si può usare una combinazione
dei due elementi).
Il sistema di parole chiave deve disporre di sistemi automatizzati, che obbligano al cambio di parola
e alla verifica di tutti i criteri di sicurezza imposti dai relativi sistemi.
Il sistema deve verificare che la nuova parola chiave non sia simile ad una precedentemente
utilizzata. Applicazioni molto critiche possono imporre che una nuova parola chiave non sia eguale
ad una utilizzata nei due, tre, dieci, n precedenti cambi.
La scelta
Le parole chiave dovrebbero essere selezionate in modo casuale tra la gamma di parole accettabili,
sia a cura dell'interessato che di una macchina automatica generatrice di parole chiave.
Tuttavia, questa impostazione può non essere attuabile in tutti i casi e non essere opportuna in altri.
Particolarmente innovativo e tecnicamente valido è il disciplinare, laddove, sempre al fondamentale
comma 5, impone la adozione di una tecnica di sicurezza, che gli anglosassoni chiamano della
parola chiave "one off" oppure "one time password".
Questa tecnica consiste nel generare, presso un servizio centrale, controllato dal responsabile del
trattamento, una parola chiave, che può essere inoltrata con una procedure di ragionevole, ma non
critica, sicurezza, ad esempio in una busta sigillata indirizzata personalmente al destinatario; essa
viene utilizzata per il primo accesso al sistema di trattamento.
Tale parola chiave può essere utilizzata una sola volta ed il sistema, appena digitata la parola
chiave, invita immediatamente l'incaricato a sostituirla.
È estremamente importante tenere presente il fatto che la automazione della gestione delle parole
chiave deve obbligare l'incaricato ad effettuare questa operazione, prima che il sistema di
autorizzazione abbia concesso l'accesso ai dati.
In linea di massima, la parola chiave che viene inizialmente consegnata all'incaricato non deve
essere particolarmente complessa, ma è bene che non sia neppure banale, perché potrebbe indurre
l'incaricato a ritenere che la tipologia di parola chiave fornita inizialmente possa corrispondere ad
una tipologia, che con lievi modifiche egli potrebbe adottare in fase di sostituzione.
È bene pertanto che tutte le potenzialità del sistema, in termine di composizione della parola chiave,
vengano adottate in fase di generazione e consegna della parola chiave "one off”.
Si tratta di una sorta di "iniziazione" dell'incaricato ai riti di scelta della parola chiave, che
rappresentano un aspetto fondamentale di sicurezza della parola chiave stessa.
Pagina 25
Le parole chiave che sono create o selezionate da un utente devono essere controllate da un sistema
automatizzato, per verificare se esse soddisfano a tutti i criteri di scelta imposti al sistema (il
disciplinare non lo impone, ma la ragionevolezza sì).
Le parole chiave che non soddisfano ai requisiti devono essere rifiutate in modo automatico.
Se le parole chiave sono generate dal sistema, il metodo di generazione deve essere assolutamente
casuale.
I risultati prodotti da un generatore casuale vengono quindi combinati con le regole di selezione
delle parole chiave, per ottenere una parola che soddisfa ai criteri obbligatori e auspicabili.
Naturalmente, è facoltà dell'incaricato accettare o meno le proposte del sistema.
La titolarità
Una parola chiave personale deve essere di proprietà individuale, piuttosto che utilizzata in comune
da un gruppo di persone, per poter attribuire una responsabilità personale nella sua gestione.
Questo fatto è auspicabile, anche se un gruppo di persone ha privilegi di accesso comuni agli stessi
dati o applicazioni.
Il disciplinare sulle misure minime di sicurezza, da questo punto di vista, è tassativo. La titolarità
individuale di una parola chiave è indispensabile non solo per rispettare la legge ma anche perché:
-
stabilisce una responsabilità individuale nella ricostruzione degli accessi a dati ed applicazioni;
-
può confermare l'uso illecito di una parola chiave o la perdita di una parola chiave;
-
può essere utilizzata per ricostruire le attività svolte dall'interessato;
-
evita di dover cambiare la parola chiave di un intero gruppo, quando un singolo membro del
gruppo si allontana o modifica il suo privilegio di accesso.
La distribuzione e la modifica
Una parola chiave deve essere trasportata dal titolare al sistema di autenticazione, se selezionata dal
titolare, e dal sistema di autenticazione al titolare, se essa è generata dal sistema di gestione delle
parole chiave o dall'amministratore del sistema o dal responsabile della sicurezza.
La parola chiave iniziale è normalmente creata e distribuita, sia per iscritto che verbalmente,
durante un incontro nel corso del quale l'utente è inizialmente autorizzato ad accedere a dati e
programmi del sistema di elaborazione.
Pagina 26
Questa parola chiave, che spesso può essere usata una sola volta e solo per essere cambiata, viene
chiamata in inglese "one time password".
La modifica di una parola chiave da parte dell'utente per solito richiede che l'utente digiti la vecchia
parola chiave e quindi la nuova. La nuova parola chiave viene verificata per controllare che
corrisponda ai requisiti di sicurezza, ne viene controllata la diversità dalla precedente parola chiave
e viene infine archiviata nella memoria del sistema tra le parole chiave scadute.
E' opportuno avere a disposizione una registrazione della avvenuta sostituzione, con la data e l'ora
della sostituzione, ma non della nuova parola chiave.
La parola chiave dimenticata deve essere sostituita ed essere avviata nuovamente la procedura di
registrazione, simile a quella adottata per la emissione della prima parola chiave.
Le parole chiave che sono distribuite per iscritto debbono essere racchiuse in una busta sigillata con
la indicazione "riservata personale al destinatario".
La spedizione può avvenire per corriere, per posta interna o per i servizi postali pubblici. Nella
busta devono essere contenute le seguenti disposizioni:
-
distruggere la parola chiave dopo averla memorizzata; oppure
-
rispedire la parola chiave al responsabile della sicurezza dopo aver firmato la ricevuta e dopo
aver nuovamente sigillato la busta di ritorno;
-
la raccomandazione che la parola chiave deve essere usata al più presto possibile e, se essa
deve essere cambiata dall'utente, la raccomandazione di un immediato cambio (semprechè il
tutto non sia automatizzato).
Alcuni sistemi distribuiscono le parole chiavi in buste sigillate che sono state stampate da un
computer. La busta è realizzata in modo che non può essere riutilizzata.
Una volta aperta, la parola chiave è stampata solo all'interno della busta, nella seconda pagina,
usando della carta carbone fissata al retro della prima pagina della busta.
Le istruzioni devono precisare di asportare la prima pagina, che mostra il nome del destinatario, di
distruggerla e di conservare la parola chiave in un luogo protetto e facilmente accessibile solo al
destinatario autorizzato.
La parte della busta su cui è stampata la parola chiave non deve riportare alcun elemento di
identificazione, che possa associare la parola chiave con un sistema di elaborazione o con
l'incaricato.
In questo modo, chiunque trovi una parola chiave smarrita non dovrebbe essere in grado di poterla
utilizzare.
Anche se questa procedura non è così attraente come quella di memorizzare subito la parola chiave
e distruggere il mezzo sui cui è distribuita, essa è accettabile quando le parole chiave non vengono
Pagina 27
utilizzate di frequente e potrebbero essere scritte in un luogo, che potrebbe essere facilmente
associato con il titolare.
Quando la parola chiave viene distribuita con un corriere postale sicuro, il recepimento della parola
chiave può essere convalidato da una risposta positiva o su base di eccezione. Quando la
distribuzione delle parole chiave è effettuata su base occasionale, si richiede sempre una risposta di
conferma.
Quando le parole chiave sono distribuite regolarmente, l'utente dovrebbe attendersi l'invio di una
nuova parola chiave e dovrebbe comunicare la eventuale mancata ricezione. In ogni caso, occorre
tenere un registro del fatto che è stata consegnata una nuova parola chiave.
Vi può essere un periodo di transizione, durante il quale la vecchia parola chiave è ancora valida e
non è stata ancora abilitata la nuova parola chiave. Alcuni sistemi possono consentire la validità di
entrambe le parole chiave durante il periodo transitorio.
Ciò significa che entrambe le parole chiave devono essere memorizzate e confrontate con la parola
chiave digitata.
Alcuni sistemi non accettano il periodo di transizione, e stabiliscono una data precisa, a partire dalla
quale la nuova parola chiave diventa valida. In questo caso i sistemi registrano i tentativi di utilizzo
della vecchia parola chiave in un apposito file di memoria. Il rapporto di questi tentativi dovrebbe
essere inviato in modo sicuro al titolare, per informarlo che qualcuno ha cercato di usare una parola
obsoleta. Il titolare potrà verificare se l'uso è accidentale, piuttosto che un tentativo di uso non
autorizzato da parte di un estraneo.
L'archiviazione
È bene che i responsabili abbiano chiaro il fatto che le modalità di archiviazione, così come le
successive modalità di trasmissione, debbono essere concepite in modo da rendere oltremodo
difficoltoso l'accesso alle parole chiave, selezionate dall'incaricato.
Se questa cautela non viene presa, in caso di utilizzo abusivo della parola chiave, l'incaricato avrà
buon gioco nel sostenere che l'utilizzo abusivo non è da imputare a lui stesso, ma a terzi ignoti, che
in qualche modo sono riusciti a catturare la parola chiave memorizzata, in fase di archiviazione od
in fase di trasmissione.
Le parole chiave devono essere archiviate nel sistema di autenticazione in modo da minimizzare la
esposizione alla rivelazione o alla sostituzione non autorizzata.
Pagina 28
Il tipo di protezione offerta alle parole chiave deve essere commisurato al livello di protezione e di
rischio del sistema o dei dati.
La digitazione
La digitazione di una parola chiave in un sistema automatico di autenticazione, in modo sicuro, è
talvolta difficile.
Un osservatore può intuire parte o la intera parola chiave, mentre l'utente la sta digitando. La
digitazione sulla tastiera di un computer è una operazione che un utente, che non è capace di
utilizzare più dita, talvolta effettua usando un solo dito. Una parola chiave lunga e casuale, difficile
da digitare, può essere più facilmente osservata, rispetto ad una breve parola chiave, che può essere
digitata con rapidità.
Una saggia raccomandazione è quella che una parola chiave deve poter essere digitata in modo tale
che essa non possa essere rilevata da alcun osservatore casuale, ma attento.
Le parole chiave non devono apparire sul video terminale, durante la digitazione.
Deve poter essere consentito agli utenti di compiere più di un tentativo di digitare correttamente la
parola chiave, per far fronte a possibili errori accidentali. Tuttavia, l'esperienza ed il buon senso
raccomandano di introdurre un numero massimo di prove consentite, e la regola generale vuole che
tre tentativi siano considerati adeguati per un tipico utente in un sistema di elaborazione.
Il sistema dovrebbe anche impedire dei tentativi rapidi e ripetuti, quando una parola chiave è
digitata in modo non corretto. Dovrebbero passare alcuni secondi, prima di nuovo tentativo. Questo
accorgimento impedisce un attacco automatizzato ad alta velocità, di tipo esaustivo.
La trasmissione
Le parole chiave sono normalmente utilizzate per autenticare la identità di un utente, che cerca di
accedere ad un sistema di elaborazione tramite un terminale o tramite una rete.
Per essere autenticata, la parola chiave viene normalmente trasmessa dal terminale al computer
attraverso le linee di comunicazione, che collegano il terminale al computer.
A meno che la linea di comunicazione sia fisicamente protetta o cifrata, la parola chiave è soggetta
a intercettazione.
Pagina 29
Al momento, la gran parte delle linee di comunicazione tra terminali e computer non gode di queste
protezioni e quindi gli utenti devono essere sensibilizzati sul fatto che le loro parole chiave possono
essere facilmente individuabili mediante intercettazione passiva sui cavi.
I sistemi di elaborazione possono anche essere facilmente ingannati. Ciò avviene quando un intruso
ha inserito un dispositivo attivo di intercettazione tra un terminale ed il computer.
Un inganno inverso si verifica quando un utente ritiene di essere collegato al computer centrale,
mentre sta invece dialogando con un altro computer.
Queste minacce possono essere contrastate grazie a metodi di cifratura.
Il periodo di autenticazione e di attività transazionale
Il disciplinare al comma 9 prescrive:
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento
elettronico durante una sessione di trattamento.
Le sessioni interattive tra un utente ed un computer centrale, attraverso un terminale remoto,
talvolta durano parecchie ore.
Anche se le disposizioni di sicurezza devono precisare che un terminale collegato ed attivo non
deve mai essere lasciato abbandonato dall'utente, in pratica questo evento si verifica con una certa
frequenza.
Molti sistemi sono dotati di una caratteristica, che provvede a scollegare il computer dal terminale,
se esso è rimasto inattivo per qualche tempo. Questo fatto impedisce che un terzo, che trova un
terminale attivo ed abbandonato, lo possa utilizzare.
Alcuni sistemi di controllo dell'accesso logico richiedono che un utente si registri nuovamente su
base periodica, dopo la registrazione iniziale. Questi sistemi talvolta mettono a dura prova la
pazienza dell'utente, se la frequenza di autenticazione è troppo alta. Per questa ragione alcuni
sistemi non indicano un periodo minimo di nuova autenticazione ed essa deve essere richiesta solo
in un contesto di alta sicurezza, e solo quando il terminale è rimasto inattivo per un periodo di
tempo apprezzabile. Questa precauzione può ridurre gli inconvenienti che un nuovo processo di
autenticazione può causare ad un utente.
Si raccomanda di adottare una tecnica di sicurezza, che previene gli inconvenienti sopra elencati, e
che oggi è facilmente adottabile nella grande maggioranza dei sistemi di trattamento automatizzato.
Pagina 30
Questa tecnica, chiamata dello "screen saver sotto parola chiave", fa sì che, dopo un certo periodo
di inattività del terminale, appaia sullo schermo uno screen saver e sia bloccata l'attività
transazionale.
Perché l'attività possa riprendere, non è necessario effettuare la intera sequenza di autenticazione
informatica, ma è sufficiente digitare nuovamente la parola chiave.
Alcuni esempi di specifiche funzionali di sicurezza
Gli esempi che seguono offrono una traccia delle specifiche di sistemi di parole chiave che possono
soddisfare i requisiti di sicurezza a vario livello, e che possono essere utili per il titolare e il
responsabile del trattamento. La scelta dei parametri per ognuno dei dieci fattori prima illustrati
permette di elaborare un documento programmatico per la sicurezza delle parole chiave.
Sistema di parole chiave per elaboratori che trattano dati personali a basso rischio
Un ipotetico sistema di parole chiave può utilizzare i seguenti parametri per i dieci fattori che
soddisfano i requisiti minimi in sicurezza per un sistema di elaborazione. L'esempio è utilizzabile
nel contesto di sistemi di elaborazione per uso commerciale, per transazioni finanziarie di basso
importo e con un numero massimo di transazioni consentite per giorno. Questo esempio si può
applicare ad un gran numero di sistemi di elaborazione, ove vengono utilizzati dati personali di
modesta importanza. Piccoli sistemi per applicazioni scientifiche, sistemi speciali e sistemi che non
devono effettuare analisi critiche o eseguire elaborazioni critiche possono ricadere in questa
categoria. In essa ricadono anche i sistemi che richiedono solo un basso livello di controllo sul
trattamento dei dati personali ivi archiviati.
Lunghezza della parola chiave
Composizione
Vita utile
Creatore della parola chiave
Titolarità
Distribuzione della prima parola chiave
Archiviazione
8
Cifre da 0 a 9, introduzione di criteri di filtro (ad es.
rifiuto di numeri tutti eguali e simili)
Sei mesi
Utente
Individuale
Per posta interna od assicurata
Nel computer centrale, anche in chiaro, se l’accesso al
file è protetto; è richiesta la archiviazione di almeno le
ultime 5 parole chiave prescelte
Pagina 31
Digitazione
Trasmissione
Periodo di autenticazione
Da tastiera numerica, con mascheramento a video
In chiaro
Ad ogni transazione
Sistema di parole chiavi per elaboratori che trattano dati personali a medio rischio
I sistemi di enti pubblici che trattano applicazioni a modesto livello di criticità possono rientrare in
questa categoria. Siamo davanti ad applicazioni che trattano dati legati direttamente o
indirettamente a transazioni economiche o trattano dati soggetti alla legge sulla tutela dei dati
personali, in un contesto pubblico e quindi maggiormente attento alla protezione degli interessati.
Il titolare del sistema deve individuare le specifiche applicazioni che possono essere ritenute a
medio rischio.
I sistemi di elaborazione che sono coinvolti in movimenti finanziari ed altri trattamenti di
informazioni sensibili possono rientrare in questa categoria, insieme a tutti i sistemi che trattano dati
sensibili.
Composizione
Vita utile
Titolarità
Archiviazione
Digitazione
Trasmissione
8-12
Lettere minuscole a-z; lettere maiuscole A-Z, ,cifre da
0 a 9, introduzione di criteri di filtro
6 mesi; 3 mesi nel caso di trattamento di dati sensibili
o giudiziari
Utente
Individuale
Via terminale o posta protetta
In file cifrato; è richiesta la archiviazione di almeno le
Con caratteri mascherati a video
In chiaro
Al LOGIN e dopo 10 minuti di inattività del terminale
Sistemi di parole chiave per elaboratori che trattano dati personali ad alto rischio
I sistemi di elaborazione di dati sensibili che si affidano a parole chiave per garantire le identità
personali degli incaricati devono attivare protezioni di elevato livello ed i fattori critici indicati
debbono essere regolati al livello appropriato. I sistemi ad alto rischio sono quelli in cui la
manipolazione o la sottrazione dei dati può avere un elevato risvolto economico nei confronti degli
intrusi e può avere un impatto significativo sulla sicurezza della società civile. I computer militari, i
computer bancari, i computer delle aziende sanitarie locali rientrano certamente in questa categoria.
Pagina 32
Sistemi più specifici, che abbisognano di protezioni ancora più elevate, possono aggiungere ulteriori
elementi di identificazione, come ad esempio i dispositivi biometrici, le tessere intelligenti ed altri
dispositivi accessori di alta sicurezza.
Solo una appropriata analisi del rischio può stabilire quali siano le misure appropriate al contesto
specifico.
Composizione
Vita utile
Titolarità
Archiviazione
Digitazione
Trasmissione
8-12 oppure frasi chiave
La gamma completa di 95 caratteri; introduzione di
rigidi criteri di filtro
Tre mesi
Utente
Individuale
Con consegna personale e ricevuta di ritorno
In file cifrato; è richiesta la archiviazione di almeno le
Con caratteri mascherati
Su rete cifrata con numerazione sequenziale dei
messaggi
Al LOGIN, ogni 15 minuti ed ogni 5 minuti di
inattività del terminale
3.6. Gestione degli incidenti.
Qualsiasi incidente che dovesse accadere al sistema informativo dovrà essere comunicato agli
incaricati della gestione e manutenzione degli strumenti elettronici, che interverranno prontamente
avvisando il Responsabile del trattamento dei dati personali.
3.7. Manutenzione dei sistemi hardware e software.
3.7.1. Le apparecchiature.
I PC, i Server e le periferiche, se utilizzati in maniera appropriata, hanno una vita media in genere
superiore alla loro obsolescenza tecnica, ossia è più probabile che la loro sostituzione sia dovuta a
fattori di prestazioni insufficienti dovute al rapido evolversi della tecnologia che a gravi
malfunzionamenti meccanici, elettrici o elettronici. La manutenzione dei sistemi hardware riguarda
Pagina 33
quindi principalmente la sostituzione di materiale di consumo (nastri o toner per stampante, floppy
disk, ecc.) e la pulizia periodica delle parti esposte all'ambiente esterno (tastiere, mouse, monitor).
Gli interventi di manutenzione dovuti a guasti sono di ordine straordinario e comportano nella
maggioranza dei casi la sostituzione di una parte o dell'intera apparecchiatura. Di conseguenza, gli
interventi di manutenzione in seguito a guasti vanno gestiti tenendo presente la criticità delle
singole apparecchiature e quindi, nel caso in oggetto, prevedendo necessariamente un contratto di
assistenza tecnica per i Server, eventualmente estendibile ai PC ed alle periferiche.
3.7.2. Il software.
Per quel che riguarda i sistemi operativi dei PC e dei Server, la manutenzione consiste nel
mantenerli aggiornati tramite l'installazione delle correzioni (patch, service pack, ecc.) rilasciate
periodicamente dalle case produttrici.
Per quel che riguarda i programmi di protezione dai virus informatici, la manutenzione riguarda il
continuo aggiornamento delle tracce virali al fine di mantenere efficace la protezione.
Per gli altri programmi applicativi vale il discorso fatto per i sistemi operativi.
Periodicamente tutti i prodotti software possono presentare la necessità di essere sostituiti da nuove
versioni degli stessi ed è solitamente possibile farlo attraverso procedure di aggiornamento
(upgrade) del software preesistente. In questo caso l'impatto sull'operatività è minimo. In altri casi è
necessario procedere alla sostituzione integrale del pacchetto software con conseguente necessità di
ripristinare le procedure di utilizzo adattandole al nuovo software.
3.8. Individuazione dell'esposizione al rischio.
3.8.1. Il livello delle minacce ai suddetti beni.
a) Penetrazione logica.
Pagina 34
La penetrazione logica riguarda i sistemi operativi e le applicazioni presenti sui calcolatori.
I sistemi operativi Microsoft Windows 2000Server / 2003Server / 2008 Server / 2000 Professional /
XP Professional offrono solide garanzie di sicurezza logica, impedendo validamente l’accesso alla
stazione di lavoro ad utenti non autorizzati, se configurati con credenziali di autenticazione e
password adeguate.
Il sistema operativo degli AS/400, se configurato appropriatamente, offre le più alte garanzie di
sicurezza ed integrità dei dati.
Il sistema operativo Unix/Linux è vulnerabile alla penetrazione logica solo da parte di personale
specializzato che abbia accesso alla console del Server.
Il livello di tale minaccia è Medio / Basso, in quanto le apparecchiature sono utilizzate solo da
personale incaricato ed autorizzato il quale, durante l'orario di lavoro, è sempre presente nei locali e
quindi controlla l'utilizzo delle stesse. L’accesso diretto alla console dei Server è poi limitato anche
dal fatto che essi si trovano in un unico locale non utilizzato dal personale per il normale lavoro,
presidiato dal personale del servizio SI durante le ore lavorative e quando non presidiato sono chiusi
a chiave e custodita in portineria.
In aggiunta l’accesso ai locali del servizio SI di Alba, avviene previo annuncio al citofono.
L’accesso diretto alla console dei Server è protetto dal blocco della stessa che richiede l’esecuzione
di una procedura di autenticazione.
Al di fuori dell'orario di lavoro l'accesso ai PC è protetto tramite le misure di sicurezza fisica.
Un certo grado di minaccia è legato ad un uso malevolo dell'autorizzazione all'accesso alle risorse
da parte di personale autorizzato, che potrebbe aver maturato motivi di rivalsa nei confronti
dell’Azienda. Tale minaccia è minimizzata dalla puntuale ed efficiente organizzazione degli
incarichi ed autorizzazioni all’utilizzo degli elaboratori che riducono il campo d’azione dei singoli
operatori non privilegiati.
Pagina 35
L’unico vero fattore di rischio è l’introduzione di virus informatici attraverso la posta elettronica o
software e dati di provenienza esterna e l’attivazione inconsapevole di applicazioni malevole
durante la navigazione su Internet.
A garantire il livello di tale minaccia è l’uso del software antivirus Symantec Endpoint Protection e
la sensibilizzazione del personale ai rischi della navigazione su Internet, oltre che tramite la
limitazione delle possibilità di navigazione mediante misure tecniche (Server Proxy e filtraggio) ed
organizzative (policy aziendali).
b) Penetrazione sulle reti di telecomunicazioni.
Alla penetrazione attraverso le reti di telecomunicazioni sono esposti tutti , PC e Server in quanto
dotati del protocollo TCP/IP. La vulnerabilità di tali apparecchiature, con sistema operativo
Windows 2000Server / 2003Server / 2008 Server / 2000 Professional / XP Professional, ad un
attacco DOS (Denial of Service) è elevata, così come la loro vulnerabilità a virus informatici (che
costituiscono pericolo anche per i dati contenuti nei PC), la maggioranza dei quali sono
appositamente studiati per colpire i prodotti della Microsoft.
Anche se si ha la certezza statistica che prima o poi l’indirizzo IP pubblico sarà assoggettato a
scansione e a tentativo di intrusione attraverso Internet. E’ altresì vero che una scansione risulta
difficoltosa a causa della traduzione dell’intera rete locale sul singolo indirizzo IP pubblico.
Il livello di tale minaccia è Medio / Basso, a rendere tale il livello, nonostante la dimensione e la
complessità della struttura di rete sia locale che geografica è la separazione delle varie parti della
rete tramite il Firewall WatchGuard Firebox X5000 con funzioni anche di Proxy Server e pertanto,
l’accentramento dei servizi pubblici sul centro stella.
c) Guasti tecnici delle apparecchiature.
Pagina 36
Il livello di tale minaccia è in costante evoluzione ed è legato a diversi fattori, quali la qualità delle
apparecchiature, la loro età, il livello di utilizzazione e la frequenza e tempestività dei lavori di
manutenzione.
Si tenga comunque presente che per quando riguarda i Server si tratta di macchine progettate per un
lavoro prolungato e con un numero limitato di organi meccanici, maggiormente esposti al logorio
dell'uso. Tra essi sono tuttavia compresi i dischi fissi di PC e Server, i quali, una volta superato il
periodo di vita media delle loro parti meccaniche (cuscinetti, testine), sono estremamente
vulnerabili e soprattutto mettono in pericolo i dati in essi immagazzinati. Per quanto riguarda i
guasti di natura elettrica, la vulnerabilità maggiore è quella degli alimentatori degli elaboratori, il
guasto dei quali però, al di là di un fermo macchina per manutenzione, non comporta, se non in rari
casi, danni anche alle informazioni immagazzinate nei dischi fissi.
Il livello di tale minaccia è Medio / Basso.
Nella situazione in oggetto le minaccia può definirsi tale in quanto le apparecchiature sono state
rinnovate, gli apparati critici sono stati dotati di un certo livello di fault-tolerance (dischi dei Server
in tecnologia Raid 5), vengono utilizzate in maniera appropriata ed è in essere un contratto di
manutenzione ed assistenza per la tempestiva risoluzione dei guasti tecnici, con la ditta fornitrice
per i primi tre anni (garanzia) e poi con la ditta Albaufficio di Alba.
Le accurate politiche di backup contribuiscono a minimizzare ulteriormente i rischi già ridotti legati
ad un eventuale guasto.
d) Errori umani.
Il livello di tale minaccia è Medio / Basso, in quanto l'interazione degli addetti al trattamento con la
parte fisica degli elaboratori si limita alle periferiche (mouse, tastiera, schermo, ecc.); tale
Pagina 37
interazione, al di là del tasto di accensione, risulta nulla con il corpo macchina e con le parti più
importanti di un elaboratore e per la competenza e professionalità del personale addetto.
All'opposto, la vulnerabilità dei dati agli errori umani è totale, in quanto sono proprio essi l'oggetto
dell'azione costante di elaborazione, modifica, immagazzinamento e richiamo da parte degli
operatori.
e) Minacce fisiche. Gli uffici dove avviene il trattamento dei dati sono sorvegliati dal personale
dipendente durante tutto l’orario di lavoro.
Il livello di tale minaccia è Medio.
Pagina 38
4. MISURE DI GARANZIA DELL’INTEGRITA’ E DELLA DISPONIBILITA’ DEI DATI. PROTEZIONE
DELLE AREE E DEI LOCALI AI FINI DI CUSTODIA E ACCESSIBILITA’ DEI DATI.
4.1. Elenco delle risorse da proteggere.
Come prima cosa viene prodotto un elenco dettagliato delle risorse hardware e software da allegare
al Documento Programmatico sulla Sicurezza.
4.2. Identificazione ed autorizzazione.
Si è proceduto all'assegnazione d'identificativi univoci ai PC ed ai Server ed alla distribuzione di
codici identificativi e parole chiave (username e password) univoci agli operatori dei PC ed agli
incaricati della gestione e manutenzione degli strumenti elettronici per l'accesso ai Server (come
previsto dal Disciplinare tecnico in materia di misure minime di sicurezza). Sui PC e sui Server
sono quindi attivate le misure di sicurezza (profili di autorizzazione) atte ad impedire l'accesso ai
dati ed ai servizi locali e di rete ad utenti non autorizzati (username e password, blocco della
console dei Server, autenticazione ai servizi di rete) per i dettagli si fa riferimento al documento
“Sistema di identificazione e profili di autorizzazione” in allegato.
4.3. Sicurezza ed integrità dei dati.
E' attivo un sistema di salvataggio, per i dettagli si fa riferimento al documento ”Procedura di
backup” in allegato.
E’ attivo un sistema Antivirus per i PC e per la rete dotato di procedure di aggiornamento dello
stesso: Symantec Endpoint Protection.
La continuità elettrica della sala macchine è garantita da 1(uno) UPS Aros Sentry HPS (circa 1h di
autonomia) e da un Gruppo Elettrogeno GEMAP2 (Diesel).
Pagina 39
Di seguito si elencano le norme a cui attenersi per evitare rischi provocati dai virus informatici (tali
norme verranno distribuite al personale incaricato del trattamento dei dati):
Fattori di incremento del rischio e comportamenti da evitare
I seguenti comportamenti, comportano un incremento dei livelli di rischio informatico:
a. riutilizzo di dischetti o unità USB, già adoperati in precedenza
b. uso di software gratuito (o shareware) prelevato da siti internet o in allegato a riviste o libri
c. uso di dischetti preformattati
d. collegamento in rete, nel quale il client avvia solo applicazioni residenti nel proprio disco rigido
e. collegamento in rete, nel quale il client avvia anche applicazioni residenti sul disco rigido del
Server
f. uso di modem per la posta elettronica e prelievo di file da BBS o da servizi commerciali in linea
o da banche dati
g. ricezione di applicazioni e dati dall'esterno, Amministrazioni, fornitori, ecc.
h. utilizzo dello stesso computer da parte di più persone
i. collegamento in Internet con download di file eseguibili o documenti di testo da siti WEB o da
siti FTP
j. collegamento in Internet e attivazione degli applet di Java o altri contenuti attivi
k. file allegati di posta elettronica.
Norme basilari di comportamento
Al fine di evitare problemi correlati ad infezioni informatiche, dovranno essere rispettate almeno le
seguenti prescrizioni:
Pagina 40
a) i floppy disk e i supporti USB, sia quando vengono forniti sia quando vengono ricevuti,
devono essere sottoposti a scansione da parte del programma antivirus
b) è obbligatorio sottoporre a controllo tutti i floppy disk e unità USB di provenienza incerta
prima di eseguire o caricare uno qualsiasi dei file in esso contenuti
c) non si deve utilizzare il proprio "disco sistema" su di un altro computer se non in condizione
di "protezione in scrittura"
d) proteggere in "scrittura" tutti i propri floppy disk di sistema o contenenti programmi eseguibili
e) se si utilizza un computer che necessita di un "bootstrap" da floppy, usare un floppy disk
protetto in scrittura
f) non attivare mai da floppy un sistema basato su hard disk a meno di utilizzare un disco di
sistema, protetto in scrittura e sicuramente non infetto
g) limitare la trasmissione di file eseguibili (.COM, .EXE, .OVL, .OVR) e di sistema (.SYS) tra
computer in rete
h) non utilizzare i Server di rete come stazione di lavoro
i) non aggiungere mai dati o file ai floppy disk contenenti programmi originali.
Regole operative
1. Tutti i computer dell’Azienda devono essere dotati di programmi antivirus.
2. Il Responsabile deve assicurarsi che i computer delle società esterne, qualora interagiscano con
proprio sistema informatico, siano dotati di adeguate misure di protezione antivirus.
3. Il personale delle ditte addette alla manutenzione dei supporti informatici devono usare solo
dischetti preventivamente controllati e certificati singolarmente ogni volta.
4. Ogni PC deve essere costantemente sottoposto a controllo anti-virus.
5. I dischetti provenienti dall' esterno devono essere sottoposti a verifica da attuare con un PC non
collegato in rete (macchina da quarantena), ed inoltre devono essere individuate le aree
Pagina 41
dell'Amministrazione che, in relazione alla loro particolare attività, sono da considerare a più
alto rischio nei riguardi dell'infezione da virus.
6. All'atto della individuazione di una infezione il virus deve essere immediatamente rimosso.
7. Tutti gli utenti del sistema informatico devono sapere a chi rivolgersi per la disinfezione e
l'informazione dell'infezione deve essere mantenuta riservata.
8. Il personale deve essere a conoscenza che la diffusione dei virus è punita dall'art. 615 quinquies
del Codice Penale.
9. Il software acquisito deve essere sempre controllato contro i virus e verificato perché sia di uso
sicuro prima che sia installato.
Caratteristiche di base del software antivirus
Il software antivirus deve essere sottoposto a costante e frequente aggiornamento (almeno due volte
al mese) ed in particolare:
a. gli aggiornamenti devono essere resi disponibili non solo per posta ma anche tramite BBS o
Internet
b. deve essere particolarmente efficace contro i virus della nostra area geografica
c. deve poter effettuare automaticamente una scansione ogni volta che viene avviato un
programma
d. d) deve poter effettuare una scansione automatica del floppy disk e delle unità
e. deve accorgersi del tentativo di modificare le aree di sistema
f. deve essere in grado di effettuare scansioni a intervalli regolari e programmati
g. deve essere in grado di effettuare la scansione all’interno dei file compressi
h. deve mantenere il livello di protezione in tempo-reale
i. deve eseguire la scansione in tempo-reale
j. deve poter eseguire la rimozione del codice virale in automatico
Pagina 42
USB
k. in caso di impossibilità di rimozione i file non pulibili devono essere spostati una subdirectory
predefinita,
l. deve essere attivo nella protezione per Applet di ActiveX e Java contenenti codice malizioso
m. deve essere in grado di effettuare la rilevazione la pulizia dei virus da Macro sconosciute
n. deve essere in condizione di rilevare e rimuovere i virus da macro senza file pattern con un
grado di riconoscimento superiore al 97 %
o. deve essere in grado di riconoscere i codici virali anche in file compattati utilizzando qualsiasi
programma di compressione e in qualsiasi ambiente operativo.
Considerato che in sistemi basati su reti locali o su reti geografiche, aumenta il pericolo di
diffusione dei virus, ove possibile il sistema antivirus deve essere centralizzato e predisposto a
svolgere almeno le funzioni di:
1. distribuzione degli aggiornamenti sia dei motori di scansione che degli eventuali file
“pattern”
2. controllo e monitoraggio degli eventi virali
3. automatico spostamento in directory di “quarantena” di virus informatici risultati non
pulibili
4. avviso agli incaricati della gestione e manutenzione degli strumenti elettronici di rilevazione
di virus e indicazione del file “infetto”.
4.4. Sicurezza della rete.
Il Firewall WatchGuard Firebox X5000, che separa le varie tratte della rete si occupa di filtrare tutto
il traffico in transito, vedesi schema reti LAN e WAN in allegato al DPS.
L’accesso alla rete è poi protetto dalla struttura logica basata su Active Directory, che comporta un
elevato grado di sicurezza nell’imposizione dell’autenticazione ai servizi di rete.
Pagina 43
4.5. Trasmissione dei dati.
I dati sensibili che vengono trasmessi con varie procedure, implementano già, o sono in fase di
implementazione di uno standard di crittografia del dato. Per le specifiche si rimanda alla procedura
di attivazione del servizio.
Il protocollo SSL è uno standard per autenticare l’accesso ai Server tramite un meccanismo a chiave
pubblica (RSA) e per scambiare in modo sicuro una chiave di crittografia tra client e server.
L’SSL, nello schema ISO-OSI, si posiziona al di sopra del livello di trasporto in modo da rendersi
indipendente dall’applicazione che lo utilizza.
Il protocollo SSL permette una connessione sicura TCP/IP sicura sulla base di tre proprietà:
• le entità di comunicazione possono autenticarsi a vicenda utilizzando la crittografia a chiave
pubblica:
• la confidenzialità dei dati trasmessi è garantita dall’utilizzo di una chiave di sessione generata
durante l’interazione tra le parti nella prima fase del protocollo;
• l’integrità dei dati è garantita dall’utilizzo del Message Authentication Code (MAC).
L’instaurazione di una connessione sicura mediante SSL comporta una procedura di scambio
messaggi fra client e server (handshaking) che si articola nei seguenti nove passi nella versione 3.0
del protocollo (la versione 2.0, che non effettua l’autenticazione del client, non prevede i passi 6 e
7):
1. Client hello: il client invia una challenge phrase al server e comunica la scelta di un algoritmo a
chiave privata per lo scambio dei messaggi (DES, RC2 o RC4), di un algoritmo a chiave
pubblica per lo scambio delle chiavi di sessione (RSA, Diffie-Hellman, Fortezza-KEA) e di un
algoritmo di hashing (MD5).
2. Server hello: il server invia al client il proprio server certificate (ottenuto da una CA), fornisce il
proprio acknowledgment ai protocolli scelti dal cliente genera un connection identifier da usarsi
nella successiva fase di comunicazione, client-server.
Pagina 44
3. Client master key: il client verifica il server certificate inviatogli dal server (i certificati sono
memorizzati nel browser per connessioni successive), genera una master session key usata come
chiave generatrice di una coppia di chiavi simmetriche (una per le comunicazioni in uscita e
l'altra per le comunicazioni in entrata) e la crittografa con la server public key contenuta nel
public server certificate; il tutto è inviato al server.
4. Client finished: il Client, dopo aver inviato il messaggio cifrato, termina la propria sessione
crittografando con la propria client-read key (server-write key) il connection identifier inviatogli
dal server e si pone in attesa del messaggio server finished.
5. Server verifier: il server decrittografa la master session key inviatagli con la propria server
private key, genera la coppia di chiavi simmetriche di sessione (lato server) e invia al client la
challenge phrase iniziale crittografata con la server-write (Client-read) key; a questo punto il
server è autenticato.
6. Request certificate: il server chiede che il client presenti un valido Client certificate e invia al
client una nuova challenge phrase crittografata con la server-write (client-read) key.
7. Client certificate: il client invia al server una response phrase costruita crittografando, con la
client-write key, la client public key unita all'hash (crittografato, come firma elettronica, con la
client private key) della challenge phrase unita alla server public key; il server ricalcola 1'hash e
lo confronta con quello ricavato decrittografando con la client public key la firma elettronica
contenuta nella response phrase (il client è ora autenticato).
8. Server finished: il server termina la propria sessione inviando al client un session identifier (un
numero univoco generato in modo casuale), utilizzabile in ogni altra sessione per evitare
ulteriori handshaking che rallenterebbero la performance sul sistema.
9. Start communication sessions: ogni altra sessione client-server si instaurerà utilizzando le chiavi
di sessione e i relativi algoritmi di crittografia simmetrici (più veloci di quelli asimmetrici)
precedentemente definiti.
Pagina 45
Al termine della procedura di autenticazione si è formato un canale sicuro in cui tutti i dati in
transito vengono criptati secondo la chiave di sessione e non utilizzando la coppia di chiavi in
possesso dalle due parti. Questo modo di operare porta a una comunicazione più veloce, visto che la
dimensione della chiave di sessione è nettamente inferiore a quella delle chiavi segrete.
Nonostante il keyspace sia in tal modo diminuito, la sicurezza della comunicazione non viene meno,
perché l’utilizzo di una chiave di sessione è limitata appunto a quel particolare scambio di
informazioni e il numero di tentativi necessari per la scoperta della chiave occuperebbero un tempo
troppo elevato rispetto al tempo in cui tale chiave viene utilizzata.
Pagina 46
TABELLA 2- MISURE DI SICUREZZA RELATIVE AGLI STRUMENTI ELETTRONICI E ALTRE MISURE DI SICUREZZA
Misura
Descrizione dei rischi
contrastati
Gruppo di
continuità
Perdita accidentale di dati
dovuta a sbalzi di tensione o
a interruzioni
dell’alimentazione elettrica
Sicurezza
Sala Server
Violazione Fisica, Furto,
Manomissioni, Incidenti
Software
Antivirus e
aggiornamento
virus conosciuti
Firewall
Introduzione di virus
informatici attraverso la
posta elettronica o software
e dati di provenienza
esterna e l’attivazione
inconsapevole di
applicazioni malevole
durante la navigazione su
Internet
Rischi di penetrazione
attraverso il collegamento
ad Internet tramite
FASTWEB
Aggiornamento
dei Sistemi
Operativi (patch,
fix, Service
Pack, ecc.)
Vulnerabilità degli
strumenti elettronici dovuta
a difetti e bug dei Sistemi
Operativi
Aggiornamento
dei Programmi
Vulnerabilità degli
strumenti elettronici dovuta
a difetti e bug dei
Programmi
Sistema di
identificazione/a Accessi non autorizzati ai
utenticazione/aut dati
orizzazione
Trattamenti
interessati
Misure già in essere
Misure da adottare
Struttura o persone
addette all'adozione
Tutti
UPS Aros Sentry HPS + Gruppo
Elettrogeno GEMAP2
Amministratori di
Sistema.
Tutti
Chiusura a chiave
Amministratori di
Sistema.
Antivirus:
Symantec Endpoint Protection
Tutti
Amministratori di
Sistema.
Frequenza aggiornamento:
Plurigiornaliera.
Frequenza scansione:
Real Time e programmata.
Tutti
Firewall
WatchGuard FireBox X5000
Amministratori di
Sistema.
Amministratori di
Sistema.
Tutti
Microsoft WSUS per server e client
Riferimento a
allegato “Elenco
software”
Riferimento a allegato “Elenco
software”
Riferimento a
allegato “Sistema di
identificazione e
profili di
autorizzazione”
Riferimento a allegato “Sistema di
identificazione e profili di
autorizzazione”
Amministratori di
Sistema.
Amministratori di
Sistema.
4.6. Sicurezza fisica.
La sicurezza fisica è stata analizzata attraverso la compilazione di opportune schede (scheda S03 e
Scheda S04) allegate al DPS
Pagina 47
5. CRITERI E MODALITA’ PER IL RISPRISTINO DELLA DISPONIBILITA’ DEI DATI IN SEGUITO A
DISTRUZIONE O DANNEGGIAMENTO
5.1. Ripristino della disponibilità dei dati.
I dati sensibili risiedono su vari server adibiti ad esclusivo utilizzo del personale interno.
Tutti i server sono dotati di dischi in Raid 5.
RAID, ovvero Redundant Array of Inexpensive Disk, non solo fornisce la tolleranza ai guasti in
caso di crash dei dischi rigidi, ma può anche migliorare le prestazioni del sistema. RAID ripartisce
le copie dei dati da salvare su più dischi rigidi. Ciò impedisce che l'intero sistema si blocchi a causa
del guasto di una singola unità. Inoltre migliora le prestazioni, dato che più dischi possono lavorare
insieme per salvare simultaneamente file di grandi dimensioni.
Il processo mediante il quale i dati vengono ripartiti su più dischi, è noto come striping. A seconda
del livello di RAID che si sta usando, il sistema potrebbe anche memorizzare informazioni di parità
note come Error Correction Code (ECC). Alcuni sistemi RAID sono hot swappable, a indicare che
le unità possono essere sostituite mentre il computer è in uso, riducendo così a zero il tempo di
inattività.
RAID può essere implementato come soluzione hardware o software. Nel caso di un RAID
hardware, il controller RAID si prende cura di tutte le funzionalità RAID, facendo sì che 1'array
appaia al sistema operativo come un singolo disco logico. Il RAID software è un codice di
programmazione, che appartiene al sistema operativo oppure è disponibile come software
aggiuntivo. Il RAID software solitamente è più lento del RAID hardware perché richiede un utilizzo
maggiore della CPU. Indipendentemente dalla soluzione che si utilizza, le classificazioni RAID
sono ripartite in livelli diversi: RAID 0-RAID 5.
Esistono classificazioni per RAID 6-RAID 10, ma si tratta semplicemente di varianti delle sei
specifiche originali.
•
RAID 0 viene usato specificamente per ottenere prestazioni migliori e non fornisce alcuna
tolleranza ai guasti. Invece di salvare un file su un singolo disco, RAID 0 ripartisce i dati su
Pagina 48
più dischi rigidi. Ciò migliora le prestazioni, permettendo alle unità di condividere il carico di
memorizzazione, però aumenta anche le possibilità che si verifichi un guasto, dato che il crash
di un solo disco disattiverà l'intero array. Poiché la tolleranza ai guasti è assente, RAID 0 non
è ampiamente usato.
•
RAID 1 conserva una copia completa di tutti i file su ciascun disco. Ecco perché talvolta si fa
riferimento a RAID 1 con il termine disk mirroring. Se un singolo disco si guasta, ognuno dei
dischi rimasti possiede una copia completa dell'intero file system. Ciò impedisce che un crash
di sistema sia da imputarsi a uno qualsiasi dei dischi. Questo significa inoltre che la
memorizzazione su disco è limitata alle dimensioni di un solo disco. In altre parole, se si
hanno due unità da 4 GB tra le quali è operante il mirroring, si dispone di uno spazio di
memorizzazione pari solo a 4 GB, non a 8 GB.
Un array di dischi RAID 1 in realtà fornirà prestazioni peggiori di quelle che fornirebbe un
solo disco, perché il controller deve inviare una copia completa di ogni file a ogni unità.
Questo limita la velocità dell'array a quella del disco più lento. Novell ha sviluppato un
termine per una variante del disk mirroring chiamata disk duplexing. Il disk duplexing
funziona come il disk mirroring, tranne per il fatto che vengono usate più schede controller.
Ciò aiuta a eliminare almeno in parte la riduzione di prestazioni perché ogni controller deve
comunicare solo con un'unica unità. II duplexing aiuta anche a incrementare la tolleranza ai
guasti, perché il sistema può sopravvivere non solo al guasto di una delle unità, ma anche al
guasto di uno dei controller.
•
RAID 2 è simile a RAID 5, tranne per il fatto che i dati vengono memorizzati su disco un byte
alla volta. Viene anche usata la correzione degli errori per impedire che il guasto di una
singola unità disabiliti l'array. II trasferimento di dati attraverso una modalità a blocchi, usata
da altre specifiche RAID, è molto più efficiente della modalità a byte usata da RAID 2. Di
conseguenza RAID 2 è caratterizzato da prestazioni estremamente scarse, soprattutto quando
Pagina 49
si ha a che fare con molti file piccoli. A causa di queste prestazioni non esaltanti, RAID 2 è
scarsamente usato.
•
RAID 3 e RAID 4 hanno specifiche identiche, tranne per il fatto che RAID 3 implica l'uso di
tre dischi, mentre RAID 4 ne richiede quattro. Queste specifiche RAID dedicano un singolo
disco alla correzione degli errori e si servono dello striping per ripartire i dati sui dischi
restanti. In altre parole, in un array RAID 4 i dischi 1-3 conterranno i dati in striping, mentre il
disco 4 verrà dedicato alla correzione degli errori. Ciò permette all'array di restare funzionale
anche nel caso in cui una unità venisse a mancare.
ECC, in sostanza, è una sommatoria matematica dei dati memorizzati su tutti gli altri dischi
rigidi. Tale valore ECC viene generato su base blocco per blocco. Per esempio, si consideri il
problema matematico che segue:
3 + 4 + 2 + 6 = 15
Si pensi a tutti i valori a sinistra del segno uguale come a dati memorizzati in un determinato
blocco su ogni disco di dati in un array RAID 4. Si pensi al totale come al valore memorizzato
nello stesso blocco su una unità di parità. Adesso si supponga che il disco 3 si guasti e che
venga effettuata una richiesta relativa a questo gruppo di blocchi. L'array RAID si trova di
fronte al seguente problema:
3 + 4 + ? + 6 = 15
Come si può constatare, è piuttosto semplice dedurre il valore mancante. Ciò richiede un po'
più di elaborazione, quindi l'accesso al disco ne risulta leggermente rallentato, tuttavia 1'array
è in grado di riprodurre i dati mancanti e restituire le informazioni dei file. Questo esempio è
molto semplificato, però mostra per sommi capi il modo in cui RAID livelli 3-5 provvede al
ripristino in seguito al guasto di un disco.
Dai RAID livelli 3 e 4 si inizia a constatare un miglioramento nelle prestazioni rispetto all'uso
di un singolo disco. Inoltre garantire la tolleranza ai guasti è meno oneroso dal punto di vista
Pagina 50
della memorizzazione. Dato che i dati sono memorizzati su tutti i dischi, tranne uno, la
capacità totale di memorizzazione di un array RAID 3 o RAID 4 corrisponde alla capacità
complessiva dei dischi detratta la capacità di uno di loro. In altre parole, se si hanno quattro
unità da 4 GB in una configurazione RAID 4, si disporrà di uno spazio complessivo di
memorizzazione pari a 12 GB.
•
RAID 5 è simile a RAID 3 e RAID 4, tranne per il fatto che tutti i dischi vengono usati sia per
memorizzare i dati che per memorizzare l'ECC. Ciò aiuta a migliorare la velocità rispetto a RAID
3 e RAID 4, che possono essere soggetti a colli di bottiglia sull'unità di parità. Aiuta inoltre a
migliorare la capienza, dato che si possono usare più di cinque unità in un array RAID 5. Come
nel caso del RAID 3 e 4, la capacità di memorizzazione totale è data dalla capacità combinata di
tutti i dischi meno uno. RAID 5 è senza dubbio la soluzione RAID più popolare dopo il disk
mirroring.
5.2. Criteri e modalità per il ripristino della disponibilità dei dati.
5.2.1. Guasti hardware
I dischi in raid garantiscono la continuità della disponibilità dei dati anche in caso di rottura di uno
dei dischi.
Il server sono attualmente in garanzia, o coperti da contratto di assistenza con il fornitore.
5.2.2. Backup dei dati
Il backup dei dati avviene come descritto al punto 4.3. Sicurezza ed integrità dei dati.
Con questa procedura si riescono a ripristinare i dati fino alla sera precedente il guasto, partendo da
un server nuovo.
5.2.3. Protezione fisica.
I server sono situati nel CED dell’Azienda che è chiuso a chiave.
Pagina 51
6. IL PROGRAMMA DI FORMAZIONE DEGLI INCARICATI
6.1 Piano di formazione.
Gli incaricati saranno formati dal Titolare che potrà avvalersi anche di figure professionali esterne
all’Azienda e dal Direttore di Struttura in qualità di Responsabile del trattamento. La formazione è
programmata al momento dell’ingresso in servizio degli incaricati, nonché in occasione di
cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al
trattamento di dati personali. Tale Piano andrà aggiornato con cadenza annuale e tutte le volte che si
renda necessario da una nuova disposizione di legge.
Il Piano di formazione 2009 ha previsto:
-Corsi online attraverso il portale Unolearning.it per circa n.500 addetti (sono stati formati unità di
personale del ruolo sanitario appartenenti alla categoria “Coordinatore Infermieristico”(ex Inf.
Prof.le)
Il Piano di formazione 2010 prevederà:
-Corsi online attraverso il portale Unolearning.it per altri n. 500 addetti.
- Corso in aula per Amministratori di Sistema della durata di 1 giorno presso la sede dell’ASL CN2
tenuto dal Consulente esterno con rilascio di Attestato.
Pagina 52
7. CRITERI DA ADOTTARE PER GARANTIRE L’ADOZIONE DELLE MISURE MINIME DI SICUREZZA
IN CASO DI TRATTAMENTI DI DATI PERSONALI AFFIDATI ALL’ESTERNO DELLA STRUTTURA
Nei casi di trattamenti di dati personali affidati all’esterno l’Azienda nomina Responsabile del
trattamento, ove applicabile, la società che gestisce il trattamento (ai sensi dell’art. 29 del Codice):
quest’ultima riceve la designazione per iscritto all’interno della quale vengono elencati gli impegni
del Responsabile, anche per quanto attiene alle misure di sicurezza. L’Azienda provvede, tramite
verifiche periodiche, a vigilare sulla puntuale osservanza degli ordini impartiti.
In caso di società esterna che tratti i dati con il ruolo di Titolare del trattamento l’Azienda fa
assumere alla società esterna una serie di impegni su base contrattuale, tra cui:
1. trattamento di dati per soli fini dell’espletamento dell’incarico ricevuto;
2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali;
3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati
personali o integrazione delle procedure già in essere;
4. impegno a relazionare periodicamente sulle misure di sicurezza adottate e ad informare
immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenza.
Pagina 53
8. CRITERI PER LA CIFRATURA O PER LA SEPARAZIONE DI DATI IDONEI A RIVELARE LO STATO
DI SALUTE E LA VITA SESSUALE DAI DATI PERSONALI DELL’INTERESSATO
La totalità dei dati personali trattati dall’Azienda con procedure centralizzate è gestita tramite
software acquistate/gestite da ditte esterne i cui contratti di manutenzione obbligano le suddette
ditte a recepire ed implementare la normativa corrente riguardo la privacy e sicurezza dei dati.
Sono state inviate alle varie ditte fornitrici formali richieste di certificazione di conformità a quanto
previsto dalla legge sulla privacy delle loro rispettive procedure.
Verifiche approfondite hanno evidenziato, in particolar modo relativamente all’utilizzo di procedure
di gestione di apparecchiature elettromedicali di non recente acquisizione (Laboratorio analisi di
Bra) la necessità di effettuare alcuni aggiornamenti, peraltro compresi a livello di licenze software
nei contratti di manutenzione in essere con le ditte fornitrici coinvolte.
Elenco ditte fornitrici:
•
Dedalus S.p.A.
•
3B s.r.l.
•
Value Team S.p.A.
•
Nova s.r.l.
•
Bitelo s.a.s.
•
Tesi Imaging s.r.l.
•
ADS
Pagina 54
9. IL PIANO DI VERIFICHE E DI AGGIORNAMENTO PERIODICO DEL MANUALE
Le verifiche del Piano di Sicurezza si focalizzeranno sulle seguenti tematiche:
-
L’accesso fisico ai locali ove si svolge il trattamento automatizzato.
-
La gestione delle parole chiave e dei profili di accesso degli incaricati.
-
Le procedure atte a verificare l’integrità e l’aggiornamento dei dati personali.
-
La sicurezza delle trasmissioni in rete.
-
Le modalità di conservazione dei documenti, non soggetti a trattamento automatizzato.
-
Le modalità di reimpiego di supporti di memorizzazione.
-
Il livello di formazione ed il grado di apprendimento degli incaricati.
Sarà cura del Responsabile effettuare tali verifiche almeno 1 volta l’anno.
Il presente documento consta di 56 (cinquantasei) pagine, viene finito di redigere il 26 marzo 2010
e dovrà essere aggiornato entro il 31 marzo 2011 ai sensi del punto 19 dell’Allegato tecnico in
materia di misure minime di sicurezza (Allegato B del D.lgs. 196/03 “Codice in materia di
protezione dei dati personali”).
Alba, lì 26 marzo 2010
Il Titolare del Trattamento
____________________________
Il Responsabile del Trattamento
______________________________
Pagina 55
ELENCO ALLEGATI
•
Elenco hardware (riferimento capitolo 3.1.1 e capitolo 4.1)
•
Schema della rete LAN e WAN (riferimento capitolo 3.1.1)
•
Elenco software (riferimento capitolo 3.1.2, capitolo 4.1 e tabella 2)
•
Documento “Sistema di identificazione e profili di autorizzazione” (riferimento capitolo 4.2
e tabella 2)
•
Documento “Procedura di backup” (riferimento capitolo 4.3)
•
Documento “Procedura di ripristino della disponibilità dei dati” (riferimento capitolo 5.1)
Le schede allegate al DPS sono disponibili SOLO in formato elettronico
Pagina 56
Regione Piemonte
Azienda Sanitaria Locale CN2
Via Vida n. 10 - 12051 ALBA (CN)
Dipartimento Logistico Tecnico
S.O.C. SISTEMI INFORMATIVI ED INFORMATICI
VIA OSPEDALE, 14/D – 12051 ALBA (CN)
VIA VITTORIO EMANUELE, 3 – 12042 BRA (CN)
Tel. 0172/420309 Fax 0172/420120
E-mail: [email protected]
ELENCO HARDWARE E SCHEMA SERVER
Il presente documento elenca le risorse hardware in essere presso l’azienda ASL CN2 .
Stazioni di lavoro:
In azienda sono presenti circa 1000 stazioni di lavoro rappresentate da Personal Computer delle
seguenti marche/modelli
IBM PC300GL
IBM PC300
IBM NetVista
IBM/Lenovo ThinkCentre
IBM/Lenovo ThinkPad
SiComputer Activa
Mac Book
Server: vedi schemi allegati
-
Mappa dei server sulle reti di Alba e Bra
Pagina 57
Pagina 58
Regione Piemonte
Tel. 0172/420309 Fax 0172/420120
ELENCO SOFTWARE
Il presente documento elenca le procedure software in essere sui server dell’azienda ASL CN2 .
Ditta Dedalus Spa di Firenze
Contabilità generale
Riclassifiche di bilancio
Budget trasversale di c. economica
Incassi e fatturazioni attive
Cartella documenti contabili
Gestione Conto deposito
Magazzino Economale
Integrazione database farmaceutici
Cassa economale
Proposte d’ordine
Scarico con lettore ottico
Invio doc. acquisto Via Fax/E-mail
Gestione e-procurement
Incassi da riscuotitrici automatiche
Gestione dei contratti
Logistica e contabile dei cespiti
Produzione interna farmaci
Modulo base contabile
Contab. Direzionale budget ricircoli
Infrastruttura e graficizzaz. Stampe
Logistica di reparto
Gao
Ditta MICRONTEL SPA
Modulo acquisizione dati winatt
Pagina 59
procedura Micronwin
modulo mensa
Laboratorio Analisi AS 400
Laboratorio trasfusionale e Banca del sangue
n.33 Collegamenti strumenti Laboratori Analisi Alba e Bra
n.2 Unità Operative Gestioni Urgenze
n.7 Unità Operative Flusso Continuo
Collegamento a procedura di Pronto Soccorso
Collegamento Gelab e strumenti di laboratorio in ambiente windows-Faslink
Collegamento con strumentazione Modular PP
Collegamento con strumentazione Lab It Up Millenium
Collegamento Laboratorio Analisi con strumentazione di laboratorio Alfa Wassermann OC
Sensor Micro – P.O. Alba
n.9 Collegamenti Faslink con la strumentazione di laboratorio
Collegamento con strumentazione VES CUBE (DIESSE) –
P.O. Alba e P.O. Bra
Interfacciamento strumento Dimension ad Alba con implementazione di funzionalità
aggiuntive (DADE BEHRING)
Licenza collegamento bidirezionale con sistema TAONET (ROCHE)
Licenza collegamento bidirezionale con sistema PC-DPS (DASIT)
InfoClin Cartelle cliniche
Med’s Office.
Hospital Web
Repository Aziendale - CDW Clinica data wharehouse
Pronto soccorso e Triage
CUP-PW E-Telecup
Sistema Informativo Territoriale LHA
Rilevazione attività ambulatoriali
Ricoveri ospedalieri
Lista di attesa ricoveri
Laboratorio di radiologia
Motore di integraz. con servizi sanitari
Cup unificato
Integrazione da cup ai servizi sanitari
Integraz. anagrafe altri fornitori
Vaccinazioni
Sistema di distribuzione cartella
Integrazione Anagrafe LHA con Anagrafe Provinciale (IIA)
Ditta IG CONSULTING srl di Modena
Pagina 60
DssMUSA
Ghost/Sdo
Ditta BITELO Sas di Settimo Torinese
SAOADI
Ditta 3M ITALIA SPA
DRG Finder
Anatomia Patologica ARMONIA
software ORACLE
Ditta VALUE TEAM S.p.A. di Roma
Software DOCSPA
Ditta TESI IMAGING SRL
EcoPlus
Ditta NOVA srl
Software prenotazione pasti “EMEAL”
Ditta 3B (EX KODAK)
Software gestione sistema RIS
Software distribuzione immagini ai reparti
Ditta BLULAB
Sito internet aziendale
Ditta ADS
Pagina 61
Anagrafe Provinciale
Gestione giuridica del personale
Gestione Pianta Organica
Gestione trattamento economico del personale (comprensivo di Gestione delle carriere
economiche e conguagli)
Trattamento Economico Medici di Base e Pediatri
Trattamento Economico Guardia Medica
Trattamento Economico Specialisti Ambulatoriali Interni
Indagine congiunturale trimestrale
Collegamenti paghe contabilità
Gestione delle incentivazioni (prodotto personalizzato e quantificato nelle attività)
Gestione Libera Professione
Rilevazione presenze (comprensivo dei Conguagli variabili)
Gestione assenze (comprensivo della certificazione assenze)
Tabelle ministeriali (conto annuale)
Gestione 770
Framework base
Pagina 62
Regione Piemonte
Tel. 0172/420309 Fax 0172/420120
PROCEDURA DI BACKUP
Il presente documento elenca le procedure di salvataggio e ripristino dei dati memorizzati sui server
dell’azienda ASL CN2 gestiti dal personale della SOC SII.
Sul server AS400 AMMINISTRATIVO viene eseguito un backup configurato nel seguente modo:
backup differenziale monocassetta dal lunedì al venerdì. La cassetta viene cambiata giornalmente e
viene archiviata per 2 settimane.
Sul server AS400 SANITARIO viene eseguito un backup configurato nel seguente modo: backup
differenziale monocassetta dal lunedì al venerdì. La cassetta vengono cambiata giornalmente e
viene archiviata per 2 settimane.
Sul server AS400 LAB. ANALISI ALBA/BRA viene eseguito un backup configurato nel seguente
modo: backup differenziale con utilizzo di 6 cassette, una per giorno. Le cassette vengono cambiate
settimanalmente e vengono archiviate per 2 settimane.
Sul server SRVFS viene attualmente eseguito un backup configurato nel seguente modo: backup
incrementale quotidiano su disco. Su base bisettimanale viene salvata una immagine completa del
server su disco esterno.
Sul server SRVPOSTA viene eseguito un backup configurato nel seguente modo: backup
giornaliero su disco.
Sul server DNASERVER viene eseguito un backup configurato nel seguente modo: backup
Sul server SRVBLUES viene eseguito un backup configurato nel seguente modo: backup
Sul server SRVPASTALBA viene eseguito un backup configurato nel seguente modo: backup
Pagina 63
Sul server SRVSERVIZI viene eseguito un backup configurato nel seguente modo: backup
Sul server SRVCEDALBA viene eseguito un backup configurato nel seguente modo: backup
Sul server SRVNHR viene eseguito un backup configurato nel seguente modo: backup giornaliero
su disco.
Sul server SRVRISDB viene eseguito un backup configurato nel seguente modo: backup
Sul server SRVRISWEB viene eseguito un backup configurato nel seguente modo: backup
Sul server SRVWEB viene eseguito un backup configurato nel seguente modo: backup giornaliero
su disco.
Sul server SRVWOKY viene eseguito un backup configurato nel seguente modo: backup
Sul server SRVWSUS viene eseguito un backup configurato nel seguente modo: backup giornaliero
su disco.
Sul server SRVPROTALBA viene eseguito un backup configurato nel seguente modo: backup
giornaliero su disco
Sul server SRVSQLALBA viene eseguito un backup configurato nel seguente modo: backup
giornaliero ma su disco.
Sul server SRVSQL viene eseguito un backup configurato nel seguente modo: backup giornaliero
su disco del database.
Sul server SRVAPPS viene eseguito un backup configurato nel seguente modo: backup giornaliero
su disco del database.
Sul server RADIOLOGIA viene eseguito un backup configurato nel seguente modo: Programma di
archiviazione sostitutiva tramite masterizzazione su DVD.
Sul server SRVETBRA viene eseguito un backup configurato nel seguente modo: backup
quotidiano su disco del server SRVSIVBRA.
Sul server SRVSIVBRA viene eseguito un backup configurato nel seguente modo: backup
giornaliero su disco del database. Backup giornaliero su cassetta. Le cassette vengono cambiate
settimanalmente e vengono archiviate per 2 settimane.
Sul server SRVCEDBRA viene eseguito un backup configurato nel seguente modo: backup globale
con utilizzo di 5 cassette, una per giorno. Le cassette vengono cambiate settimanalmente e vengono
archiviate per 2 settimane. In più viene fatto un backup giornaliero incrementale su server
SRVBACKUPBRA.
Pagina 64
Per tutti i server virtuali viene eseguito una copia mirror sincrona dei dati su una seconda SAN
dislocata presso i locali del Laboratorio Analisi del presidio ospedaliero di Alba.
Per quanto riguarda quei server che ancora utilizzano un procedura di backup su supporti
rimuovibili (nastri magnetici), vengono create copie settimanali, mensili ed annuali dei backup, che
sono custodite all’interno della S.O.C. S.I.I. Viene adottata una modalità di scambio tra le sedi di
Alba e di Bra delle copie dei backup settimanali in modo da proteggerle da eventuali incidenti nei
siti di origine.
Le procedure di restore dei dati avverranno in base alla gravità dell’accaduto ed alla tipologia
dell’hardware coinvolto.
Pagina 65
Regione Piemonte
Tel. 0172/420309 Fax 0172/420120
PROCEDURA DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI
Il presente documento elenca le procedure di ripristino della disponibilità dei dati memorizzati sui
server dell’azienda ASL CN2 gestiti dal personale della SOC SII.
In ottemperanza a quanto previsto dalla normativa, si sono valutate soluzioni per la gestione del
Disaster Recovery relative ai server dell’azienda.
Gli interventi prospettati da parte delle aziende contattate, in funzione di sistemi complessi, in grado
di garantire una totale continuità di esercizio (ripristino completo della funzionalità del sistema
entro poche ore dal verificarsi dell’evento disastroso), richiederebbero un intervento di spesa non
compatibile con le attuali disponibilità di bilancio dell’azienda.
In alternativa, si è scelto di coinvolgere le aziende fornitrici dei software applicativi da noi utilizzati
affinché si rendano disponibili a ripristinare sui propri sistemi i backup dei nostri dati, e dunque a
garantire l’accessibilità entro i 7 giorni previsti dalla legge.
Pagina 66
Regione Piemonte
Tel. 0172/420309 Fax 0172/420120
SCHEMA DELLA RETE LAN E WAN
Il presente documento contiene gli schemi della rete Lan e Wan in essere presso l’azienda ASL
CN2 .
Nel dettaglio:
-
Layout rete ASL CN2
Schema di collegamento Ponte Radio ASL CN2 Via Fratelli Bandiera
Schema di collegamento Ponte Radio ASL CN2 Sert Bra
Pagina 67
Pagina 68
Pagina 69
Pagina 70
Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba –
Regione Piemonte
Tel. 0172/420309 Fax 0172/420120
SISTEMA DI IDENTIFICAZIONE E PROFILI DI AUTORIZZAZIONE
Il presente documento illustra il sistema di identificazione degli utenti ed i relativi profili di
autorizzazione utilizzati per la gestione del sistema informatico dell’ASL CN2.
Il sistema informatico è costituito da due ambienti operativi principali: piattaforma Microsoft
Windows e piattaforma IBM AS/400. Ognuna delle due piattaforme è dotata di un proprio sistema
di identificazione e di autorizzazione.
Alcuni applicativi sono inoltre anch’essi dotati di uno specifico sistema di identificazione e di
autorizzazione, oltre a quello dell’ambiente operativo nel quale vengono eseguiti.
Allo stato attuale, ogni ambiente operativo e/o applicativo richiede la propria validazione delle
credenziali di autenticazione. Un solo applicativo, denominato Hospital Web, è al momento in
grado di ereditare le credenziali di autenticazione dall’ambiente operativo (Windows) tramite una
funzione di “trust”. E’ allo studio un sistema di validazione unica (Single Sign-on) che permetta di
limitare il numero di credenziali necessarie all’utilizzo dei diversi applicativi nei differenti ambienti
operativi.
Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato,
associato ad una parola chiave riservata. L’impiego delle credenziali da parte degli utilizzatori è
disciplinata dal regolamento aziendale per l’applicazione della normativa in materia di privacy
(determinazione direttoriale 1519 dell’8 settembre 2004).
Le cartelle di condivisione dati sui server sono organizzate a livello di Strutture Operative. A
ciascuna struttura corrisponde una cartella di memorizzazione dati ed un gruppo di utenti. L’accesso
ad una cartella condivisa è consentito solamente agli utenti appartenenti al gruppo corrispondente,
in modo da garantire che le informazioni trattate da una data Struttura Operativa non siano
accessibili ad utenti appartenenti ad altre Strutture.
E’ in corso di completamento una implementazione di procedure informatiche che richiede una
riorganizzazione delle credenziali di autenticazione attualmente in essere, già in larga parte
assegnate per singolo utilizzatore.
Le procedure informatiche più obsolete, le quali presentavano complessità operative che rendevano
difficoltosa l’assegnazione di credenziali individuali sono in via di dismissione, ed il progetto di
sostituzione verrà completato entro fine 2010.
Pagina 71
Invio al controllo della Giunta della Regione, ex art. Invio al Collegio Sindacale
2, c. 1, L.R. 30 giugno 1992, n. 31
Prot. n. _____________ del ____________________
prot. n. _____________ del ____________________, Invio alla Rappresentanza della Conferenza dei Sindaci:
ricevuta dalla Regione in data __________________ Prot. n. ______________ del ___________________
CERTIFICATO DI REGISTRAZIONE CONTABILE
Richiesta chiarimenti da parte della Regione
Si dichiara l'avvenuta registrazione contabile da
prot. n. _____________ del ____________________ parte della S.O.C. Gestione Economico-Finanziaria
Alba, lì ______________
IL FUNZIONARIO INCARICATO
Risposta chiarimenti da parte della Regione con nota
prot. n. _____________ del ____________________,
____________________
CERTIF ICATO DI P UB B LICAZIO NE
ricevuta dalla Regione in data _________________ Si certifica che la presente determinazione è stata
posta in pubblicazione presso l’Albo dell’A.S.L.
Provvedimento conclusivo del procedimento
n. __________________ del ___________________ CN2, il _______________________ per quindici
giorni consecutivi
declaratorio di nullità o decadenza
di annullamento o non approvazione
di approvazione
S.O.C. AFFARI GENERALI
Silvia BARACCO
F.TO BARACCO
CERTIFICATO DI ESECUTIVITA’
Provvedimenti soggetti al controllo della Giunta
della Regione
Provvedimenti non soggetti al Controllo della
Giunta della Regione
Si certifica che la presente determinazione è
divenuta esecutiva il _________________________
per decorrenza dei termini
per approvazione da parte della Giunta della
Regione
Si certifica che la presente determinazione è
divenuta esecutiva il 31
essendo immediatamente eseguibile
essendo trascorsi dieci giorni dalla pubblicazione
(art. 3, L.R. 30/06/92, n. 31)
S.O.C. AFFARI GENERALI
Silvia BARACCO
F.TO BARACCO
Pagina 72
marzo 2010

Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba

Transcript

Documenti analoghi

det attiv PASS SIG BD dal 01 09 2016

28/31/01/2017 - deliberazione

Vivere bene oltre i 60 anni

Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” D

Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba

L`alba - FANTASPORTAL

articolo pdf della rassegna stampa di dialogic srl

178/30/12/2016 - deliberazione