Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba
Transcript
Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba
Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” i:\delibere\delibere da pubblicare\delib2010\0579.doc D e t e r m i n a z i o n e NUMERO GENERALE 579 D i r e t t o r i a l e CODICE PROPOSTA BUDGET ADOTT. 000 DIG DATA ANNO PROGR. 10 0015 31 MARZO 2010 O G G E T T O : ADOZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI, REDATTO AI SENSI DEL PUNTO 19 DELL’ALL. “B” DEL D. LGS 196/03. I L D I R E T T O R E G E N E R A L E Richiamato il D.Lgs. 30 giugno 2003 n. 196 “ Codice in materia di protezione dei dati personali”, il quale prevede al punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza – Allegato “B” del D. Lgs. 196/03, tra gli adempimenti posti a carico del TITOLARE di trattamenti di dati personali, sensibili e giudiziari, quello di redigere un Documento programmatico sulla sicurezza, entro il 31 marzo di ogni anno; Considerato che si è provveduto ad aggiornare il "Documento Programmatico sulla Sicurezza", già adottato con determinazione n. 526/000/DIG/09/0008 del 31.03.2009; Su proposta conforme dei Direttori delle SS.OO.CC. Sistemi Informativi (Dott. Fabrizio VIGLINO) e Assistenza Legale (Dott. Franco BAVA) per quanto di rispettiva competenza; Acquisito il parere favorevole, per quanto di competenza, dei Direttori Amministrativo e Sanitario (ex art. 3, comma 7, D.Lg.vo 30.12.92, n. 502 e s.m.i.); D E T E R M I N A − di adottare il “DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI” dell’A.S.L. CN2 Alba-Bra, allegato al presente provvedimento per costituirne parte integrante e sostanziale, redatto ai sensi del punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza – Allegato “B” del D. Lgs. 196/03; − di mettere a disposizione di tutti i Responsabili del trattamento nominati ex art. 29 del D.Lgs. 196/03 il presente atto mediante pubblicazione sul sito aziendale www.aslcn2.it e agli atti della S.O.C. Assistenza Legale; Pagina 1 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 − di prendere atto che il presente provvedimento non comporta alcun onere di spesa; − di dichiarare la presente determinazione, vista l'urgenza di provvedere in merito, immediatamente esecutiva, ai sensi dell'art. 28, comma 2 della Legge Regionale 24 gennaio 1995, n. 10. Letto, approvato e sottoscritto. IL DIRETTORE GENERALE Giovanni MONCHIERO F.TO MONCHIERO Sottoscrizione per conferma del parere richiamato nel contesto della determinazione: IL DIRETTORE AMMINISTRATIVO Gregorio BARBIERI IL DIRETTORE SANITARIO Francesco MORABITO F.TO BARBIERI F.TO MORABITO Sottoscrizione del proponente: IL DIRETTORE S.O.C. SERVIZI INFORMATIVI Fabrizio VIGLINO IL DIRETTORE DELLA S.O.C. ASSISTENZA LEGALE Franco BAVA F.TO VIGLINO F.TO BAVA Allegato: • Documento programmatico sulla sicurezza dei dati (gli allegati al documento programmatico sono disponibili solo in formato elettronico) Archivio: I.3.14.2 TR/sb Pagina 2 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 A.S.L. CN2 Alba-Bra DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI1 (ai sensi del punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza -Allegato B del D.lgs. 196/03 “Codice in materia di protezione dei dati personali”) Anno 2010 1 Il contenuto di questo documento e la ricerca giuridica che ne è il fondamento sono di proprietà esclusiva di Sistemi Uno S.r.l. Collegno (To) e la loro cessione a ASL CN2 Alba-Bra è regolata dalle norme a tutela del Diritto d’autore e della proprietà intellettuale. Pagina 3 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 INDICE PREMESSA ...................................................................................................................................................................... 6 INTRODUZIONE............................................................................................................................................................. 7 1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI........................................................................................ 8 2. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL’AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI ............................................................................................................. 9 3. ANALISI DEI RISCHI .............................................................................................................................................. 10 3.1. IDENTIFICAZIONE DELLE RISORSE DA PROTEGGERE ................................................................................................ 11 ( DESCRIZIONE DEL SISTEMA INFORMATICO).................................................................................................................. 11 3.1.1. Hardware ........................................................................................................................................................ 11 3.1.2. Software.......................................................................................................................................................... 12 3.1.3. Supporti Dati................................................................................................................................................... 13 3.2. VALUTAZIONE DELLE MINACCE E DELLA VULNERABILITÀ DEI BENI. ..................................................................... 13 3.2.1. Penetrazione logica ......................................................................................................................................... 13 3.2.2. Penetrazione sulle reti di telecomunicazioni................................................................................................... 13 3.2.2.1. Reti delle filiali collegate in MPLS.......................................................................................................... 13 3.2.2.2. Rete per la connessione ad Internet.......................................................................................................... 14 3.2.2.3. Collegamento fornitori di servizi. ............................................................................................................ 14 3.2.2.4. Accessi VPN. ........................................................................................................................................... 15 3.2.3. Guasti tecnici delle apparecchiature. .............................................................................................................. 16 3.2.4. Errori umani.................................................................................................................................................... 17 3.2.5. Minacce fisiche. .............................................................................................................................................. 17 3.3. INDIVIDUAZIONE DELLE CONTROMISURE................................................................................................................ 18 3.4. DEFINIZIONE DELLE POLITICHE DI SICUREZZA ....................................................................................................... 19 3.4.1. Classificazione delle informazioni.................................................................................................................. 19 3.4.2. Protezione fisica delle risorse. ........................................................................................................................ 19 3.4.2.1. Classificazione delle aree aziendali. ........................................................................................................ 20 3.4.2.2. Controllo dell'accesso alle aree critiche. .................................................................................................. 20 3.4.2.3. Sicurezza fisica (impianti). ...................................................................................................................... 20 3.4.3. Protezione logica delle informazioni. ............................................................................................................. 20 3.4.3.1. Controllo degli accessi alle informazioni................................................................................................. 20 3.4.3.2. Mantenimento dell'integrità e riservatezza delle informazioni. ............................................................... 21 3.4.3.3. Sicurezza dei PC e dei Server. ................................................................................................................. 21 3.5. NORME PER IL PERSONALE...................................................................................................................................... 21 3.5.1. Utilizzo delle risorse informatiche.................................................................................................................. 21 3.5.2. Accesso ai sistemi e ai dati. ............................................................................................................................ 21 3.5.3. Uso delle credenziali di autenticazione........................................................................................................... 22 3.6. GESTIONE DEGLI INCIDENTI. ................................................................................................................................... 33 3.7. MANUTENZIONE DEI SISTEMI HARDWARE E SOFTWARE. ......................................................................................... 33 3.7.1. Le apparecchiature.......................................................................................................................................... 33 Pagina 4 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 3.7.2. Il software. ...................................................................................................................................................... 34 3.8. INDIVIDUAZIONE DELL'ESPOSIZIONE AL RISCHIO. ................................................................................................... 34 3.8.1. Il livello delle minacce ai suddetti beni. ......................................................................................................... 34 4. MISURE DI GARANZIA DELL’INTEGRITA’ E DELLA DISPONIBILITA’ DEI DATI. PROTEZIONE DELLE AREE E DEI LOCALI AI FINI DI CUSTODIA E ACCESSIBILITA’ DEI DATI. ................................. 39 4.1. ELENCO DELLE RISORSE DA PROTEGGERE............................................................................................................... 39 4.2. IDENTIFICAZIONE ED AUTORIZZAZIONE. ................................................................................................................. 39 4.3. SICUREZZA ED INTEGRITÀ DEI DATI. ....................................................................................................................... 39 4.4. SICUREZZA DELLA RETE. ........................................................................................................................................ 43 4.5. TRASMISSIONE DEI DATI. ........................................................................................................................................ 44 Tabella 2- Misure di sicurezza relative agli strumenti elettronici e altre misure di sicurezza ................................. 47 4.6. SICUREZZA FISICA. ................................................................................................................................................. 47 5. CRITERI E MODALITA’ PER IL RISPRISTINO DELLA DISPONIBILITA’ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO.................................................................................................................. 48 5.1. RIPRISTINO DELLA DISPONIBILITÀ DEI DATI............................................................................................................ 48 5.2. CRITERI E MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI................................................................ 51 5.2.1. Guasti hardware .............................................................................................................................................. 51 5.2.2. Backup dei dati ............................................................................................................................................... 51 5.2.3. Protezione fisica.............................................................................................................................................. 51 6. IL PROGRAMMA DI FORMAZIONE DEGLI INCARICATI ............................................................................ 52 6.1 PIANO DI FORMAZIONE. ........................................................................................................................................... 52 7. CRITERI DA ADOTTARE PER GARANTIRE L’ADOZIONE DELLE MISURE MINIME DI SICUREZZA IN CASO DI TRATTAMENTI DI DATI PERSONALI AFFIDATI ALL’ESTERNO DELLA STRUTTURA ... 53 8. CRITERI PER LA CIFRATURA O PER LA SEPARAZIONE DI DATI IDONEI A RIVELARE LO STATO DI SALUTE E LA VITA SESSUALE DAI DATI PERSONALI DELL’INTERESSATO...................................... 54 9. IL PIANO DI VERIFICHE E DI AGGIORNAMENTO PERIODICO DEL MANUALE ................................. 55 ELENCO ALLEGATI ................................................................................................................................................... 56 Pagina 5 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 PREMESSA Il presente Documento Programmatico sulla Sicurezza è stato redatto il 26 marzo 2010 ai sensi del punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza – Allegato B del Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” (di seguito Codice). Pagina 6 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 INTRODUZIONE Il Documento Programmatico sulla Sicurezza (in seguito DPS) è redatto ai sensi del punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza – Allegato B al D.lgs. 196/03 “Codice in materia di protezione dei dati personali. Il DPS costituisce il progetto “sicurezza” del trattamento dei dati all’interno dell’azienda. Il DPS di A.S.L. CN2 Alba-Bra si articola in nove capitoli: 1. Il primo capitolo è dedicato all’elenco dei trattamenti di dati personali effettuato dall’azienda; 2. Il secondo capitolo analizza la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; 3. Il terzo capitolo è dedicato all’analisi dei rischi attraverso il quale vengono messi in evidenza i rischi legati al trattamento dei dati personali, in particolare quelli definiti sensibili; 4. Il quarto capitolo esamina le principali misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 5. Il quinto capitolo prende in esame i criteri e le modalità per il ripristino delle disponibilità dei dati in seguito a distruzione o danneggiamento; 6. Il sesto capitolo è dedicato al programma di formazione degli incaricati; 7. Il settimo capitolo si occupa della descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare; 8. L’ottavo capitolo si occupa dei criteri per la cifratura o per la separazione di dati idonei a rivelare lo stato di salute e la vita sessuale dai dati personali dell’interessato Pagina 7 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 9. Il nono capitolo è dedicato al piano di verifiche e di aggiornamento del documento stesso. Il DPS deve essere aggiornato entro il 31 marzo di ciascun anno. 1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI A tal fine il Titolare del trattamento, attraverso i Responsabili del trattamento, ha individuato i trattamenti utilizzando apposite schede (Scheda S01) allegate al DPS. Pagina 8 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 2. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL’AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI I compiti e le responsabilità delle varie Strutture Aziendali (S.O.C., S.O.S. e S.S.D.) sono analiticamente descritti nell’Atto Aziendale approvato con determinazione n. 1197/DIG/001/08/0008 del 30.06.2008 e rettificato con provvedimenti n. 1851/100/DIG/08/0020 del 30.10.2008 e n. 2239/100/DIG/08/0048 del 29 dicembre 2008 a cui si rimanda. Per quanto riguarda l’individuazione dei Responsabili del trattamento ai sensi dell’art. 29 del d.lgs. 196/03 il Titolare ha mantenuto invariato il criterio di nominare Responsabili interni tutti i Direttori di S.O.C. e i Responsabili di S.O. in staff alla Direzione Generale. Inoltre il Titolare del trattamento ha individuato diversi Responsabili esterni nominandoli (in aggiunta ai precedenti) attraverso lettere ad hoc. L’ elenco dettagliato dei Responsabili interni ed esterni è visionabile presso l’U.R.P. e sul sito web aziendale www.aslcn2.it sotto la voce “Atti e documenti aziendali” .Gli incaricati del trattamento sono stati nominati analizzando l’unità di appartenenza e individuando l’ambito del trattamento consentito agli addetti dell’unità medesima. Gli incarichi sono raccolti nel “Mansionario Incarichi Privacy”. Per l’elenco degli Amministratori di Sistema (vedi allegato “Amministratori di Sistema”). Pagina 9 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 3. ANALISI DEI RISCHI Metodologia usata per l’analisi dei rischi: Classificazione dei dati rispetto ai parametri di sicurezza: • - Integrità: consistente nella garanzia che ogni dato aziendale sia realmente e completamente rappresentativo, in maniera oggettiva e senza interpretazioni, dei contenuti a cui si riferisce. Tale obiettivo si persegue tramite l’adozione di opportune contromisure che impediscano alterazioni incidentali o intenzionali che ne possono mutare il significato originale o, in alternativa, forniscano la possibilità di rilevare la suddetta alterazione del dato e di recuperare il dato integro. - Riservatezza: consistente nella garanzia che un dato aziendale venga reso disponibile solamente alle applicazioni ed agli utenti incaricati e autorizzati al suo utilizzo. - Disponibilità: consistente nella garanzia di reperibilità dei dati aziendali in funzione delle esigenze di continuità dei processi aziendali e di rispetto delle norme (di legge e non) che impongono la conservazione storica o determinati livelli di servizio. • Posizionamento dei dati in architettura, attività che definisce la localizzazione dei dati nei sistemi tecnologici utilizzati. • Determinazione delle vulnerabilità dei dati, effettuata analizzando i rischi ai quali sono sottoposti quando vengono trattati nel sistema informativo. • Individuazione delle contromisure, consistente nella definizione delle politiche di sicurezza e progettazione del sistema di protezione, pianificando l’introduzione di nuovi strumenti di sicurezza o apportando accorgimenti a difesa delle attrezzature utilizzate per il trattamento. Pagina 10 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 3.1. Identificazione delle risorse da proteggere ( descrizione del sistema informatico) 3.1.1. Hardware Il Sistema Informativo automatizzato dell’A.S.L. CN2 Alba-Bra, si articola sul territorio provinciale attraverso una struttura a stella che ha come centro la rete locale della sede principale di via Ospedale 14/D ad Alba. La rete geografica collega le reti locali delle altre sedi distaccate mediante diverse soluzioni (SHDSL, CVP, ADSL) fornite da FASTWEB. La rete locale della sede principale ha un’infrastruttura di cablaggio strutturato di cat.5e UTP con dorsali in fibra ottica. A tale infrastruttura sono collegati gli elaboratori ed altri apparati di rete. La struttura logica si basa sul protocollo TCP/IP. Per quanto riguarda le sale CED di Alba e Bra sono installati i seguenti server : SERVER 1(uno) IBM AS/400 sSeries (SANITARIO) 1(uno) IBM AS/400 sSeries (AMMINISTRATIVO) 1(uno) IBM AS/400 sSeries (SANITARIO) 1(uno) IBM System X3650 (BRAPACS) 1(uno) IBM System X3650 (BRARIS) 1(uno) IBM System X3650 (ALBAPACS) 1(uno) IBM System X3650 (ALBA PACS-Backup) 1(uno) IBM xSeries 346 (SRVASL) 1(uno) IBM xSeries 345 (SRVBACKUPBRA) 1(uno) IBM xSeries 440 (SRVCEDALBA2) 1(uno) IBM Netfinity 4500R (WTSCEDALBA) 1(uno) IBM xSeries 345 (SRVPROTALBA) 1(uno) IBM xSeries 346 (SRVWEBALBA) 1(uno) IBM System X3650 (SRVSQL) Pagina 11 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 1(uno) IBM xSeries 345 (SRVCEDBRA) 1(uno) IBM Netfinity 5000 (NTVETBRA) 1(uno) IBM xSeries (SRVSIVBRA) 1(uno) IBM Netvista (Pubblicazione Videate AS/400) 1(uno) DELL (ALBAPACSLA) 16(sedici) Server Virtuali (SRVPOSTA, SRVAPPS, SRVCDG, SRVBLUES, SRVPASTALBA, SRVSERVIZI, SRVCEDALBA, SRVNHR, SRVSQLALBA, SRVFS, SRVRISDB, SRVRISWEB, SRVWEB, SRVWOKY, SRVWSUS, DNASERVER) Nella rete sono presenti circa 1.000 (mille) Personal Computer fissi e portatili di marca IBM/Lenovo, SiComputer e Apple Mac, utilizzati come stazioni di lavoro in rete, identificati tramite i nomi degli utilizzatori o nomi di servizio. Un elenco dettagliato dell’hardware viene fornito in allegato, assieme al diagramma della struttura logica e fisica della rete LAN e WAN. 3.1.2. Software Sistemi operativi dei Server: Windows 2000 / 2003 / 2008 Server Linux Red Hat Server IBM OS400 Microsoft SQL Server 2000 Microsoft SQL Server 2005 Sistemi operativi dei PC: Windows 2000 Professional Windows XP Professional Mac OSX Programma Antivirus : Symantec Endpoint Protection Per gli Applicativi gestionali e sanitari, viene allegato un elenco dei pacchetti software più specifici. Pagina 12 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 3.1.3. Supporti Dati Hard disk installati su PC e Server; DVD; CD-ROM; cassette per backup; supporti di memorizzazione USB esterni; dischetti. 3.2. Valutazione delle Minacce e della Vulnerabilità dei beni. 3.2.1. Penetrazione logica Tale tipo di minaccia è legato alla possibilità di utenti non autorizzati dei Personal Computer di accedere alla rete, alle applicazioni su di essa disponibili ed ai dati presenti sui Server o sui PC stessi, nonché alla possibilità di accedere ai dati ed alle applicazioni direttamente attraverso la console di uno dei Server. Un’altra minaccia logica è data dai virus informatici introdotti inavvertitamente dagli utenti attraverso programmi e dati di provenienza non controllata o non controllabile. Un’ulteriore minaccia logica è legata alla navigazione su Internet ed alla possibilità, attraverso il browsing di un sito WWW, di attivare più o meno consapevolmente script o applicazioni malevole che verrebbero eseguite sul PC da cui si effettua la navigazione. 3.2.2. Penetrazione sulle reti di telecomunicazioni. La complessa articolazione della rete geografica dell’ A.S.L. CN2 Alba-Bra, con i suoi collegamenti con diverse realtà espone le reti locali collegate ed il Sistema Informativo da esse supportato ad una moltitudine di minacce potenziali. 3.2.2.1. Reti delle filiali collegate in MPLS. Vi sono 27 (ventisette) sedi collegate alla sede principale attraverso una rete MPLS FastWeb. Il collegamento avviene attraverso router Cisco gestiti da FastWeb. Pagina 13 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Le sedi non hanno collegamenti a reti di telecomunicazioni pubbliche, di conseguenza la minaccia di una penetrazione attraverso la MPLS sulla rete locale della sede principale è legata alla sicurezza fisica e logica degli elaboratori presenti nelle filiali stesse ed alla buona fede degli operatori degli stessi. Per le sedi di Alba, che invece è dotata di collegamento ad Internet autonomo e di altri servizi di collegamento a reti remote o di accesso remoto, si aggiungono invece le minacce relative alla penetrazione attraverso tali collegamenti che potrebbero raggiungere anche la sede centrale dell’ A.S.L. CN2 Alba-Bra, le sue filiali e le società od enti ad essa collegati. 3.2.2.2. Rete per la connessione ad Internet. La connessione ad Internet della sede centrale avviene attraverso una SHDSL a 8Mbit. Fra il router e la rete locale è inserito 1(uno) Firewall (WatchGuard Firebox X5000), che gestisce la rete locale, la DMZ, la connettività VPN e la funzionalità di Proxy Server. La natura permanente e gli indirizzi IP fissi dei collegamenti ad Internet tramite HDSL espongono la rete locale (LAN) dell’ A.S.L. CN2 Alba-Bra alla possibilità di studio e tentativo di accesso remoto attraverso Internet, alla possibilità di attacchi DOS (Denial of Service) volti alla interruzione delle funzionalità proprie dei PC, dei Server o delle applicazioni di rete, portati attraverso il "bombardamento" mediante pacchetti di dati opportunamente creati per sfruttare i difetti dei sistemi operativi o di una delle applicazioni di rete. La navigazione sul World Wide Web comporta poi il rischio di cattura di informazioni relative ai PC da cui si attua il collegamento attraverso lo sfruttamento di pagine Web malevoli, con script e applet dai contenuti incontrollabili. 3.2.2.3. Collegamento fornitori di servizi. I collegamenti dei fornitori di servizi sono filtrati da Firewall (WatchGuard Firebox X5000) e isolati su opportune DMZ. Pagina 14 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 3.2.2.4. Accessi VPN. Sono attivi alcuni accessi VPN SSL su Firewall WatchGuard Firebox X5000 per manutenzioni software su apparati. Le minacce relative a tali collegamenti sono legate alla possibilità di un utilizzo improprio da parte di terzi che abbiano carpito i dati relativi alle connessioni. Le reti private virtuali (VPN Virtual Private Network) offrono un canale di comunicazione autenticato e crittografato su una rete pubblica (Internet). Le periferiche usate per instaurare il Tunnel VPN possono essere gli stessi router usati per connettersi ad Internet, i Firewall di protezione della rete, dei server interni alla rete, dei PC con un applicativo client VPN o una combinazione dei precedenti. Queste periferiche utilizzano IPSec (IPSecurity) che è un algoritmo a chiave pubblica/privata. IPSec usa uno scambio Diffie-Hellman per eseguire l’autenticazione e stabilire le chiavi di sessione, più un algoritmo DES (Data Encryption Standard) a 56 bit per crittografare il flusso di dati. Nel nostro caso è usata l’ultima evoluzione dell’algoritmo DES cioè il Triple DES (3DES) che crittografa il testo normale tre volte usando due o tre chiavi diverse a 56 bit. La periferica utilizzata nella sede principale è configurata in modo che tutto il traffico in uscita indirizzato alla rete privata remota sia crittografato usando 3DES; la stessa periferica decodifica inoltre tutti i dati che riceve dalla periferica della sede remota. La periferica della sede remota è configurata in modo del tutto analogo e crittografa tutto il traffico indirizzato alla rete privata della sede principale e decodifica le risposte ricevute dalla periferica della sede principale. I dati inviati a tutti gli altri apparati su Internet sono trasmessi in testo in chiaro. Usando questo metodo non è possibile vedere l’indirizzo IP del computer che ha trasmesso i dati, né l’indirizzo IP del computer di destinazione, perché queste informazioni vengono crittografate assieme ai dati effettivi del pacchetto originale. Pagina 15 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Una volta crittografato il pacchetto originale, la periferica incapsula il testo cifrato in un nuovo pacchetto IP usando il proprio indirizzo IP come indirizzo di origine e l’indirizzo IP della periferica remota come indirizzo di destinazione. Questo processo prende il nome di tunneling. Con questo metodo un ipotetico aggressore non è in grado di individuare quale traffico sulla VPN valga la pena di tentare di decodificare, perché tutti i pacchetti usano gli indirizzi IP delle due periferiche. Poiché si dispone di un tunnel virtuale tra le due periferiche, si potrà usare su Internet uno spazio di indirizzi privato: un computer sulla rete privata principale può trasmettere dati ad un computer sulla rete privata remota senza richiedere la traduzione degli indirizzi di rete. Questo grazie al fatto che le periferiche incapsulano le informazioni dell’intestazione quando i dati vengono consegnati lungo il tunnel. Quando la periferica sulla rete remota riceve il pacchetto, estrae il pacchetto incapsulato, decodifica il pacchetto originale e consegna i dati alla destinazione. Le VPN sono indipendenti da servizi e piattaforme. Per svolgere comunicazioni sicure, le postazioni, che non siano esse stesse terminazioni del tunnel, non devono necessariamente usare un software che supporti la crittografia in quanto questo compito viene svolto automaticamente quando il traffico passa tra le due periferiche. 3.2.3. Guasti tecnici delle apparecchiature. Le minacce legate ai guasti tecnici delle apparecchiature sono da individuare in: a) Guasto di uno dei Personal Computer (non relativo al disco fisso) che porti all'inutilizzabilità dell'apparecchiatura con conseguente interruzione del lavoro tramite essa eseguito. Non comporta perdita di dati, a parte quelli in elaborazione al momento del guasto e non salvati sul disco fisso o su altro supporto. Pagina 16 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 b) Guasto del o dei Server (non relativo al disco fisso) che porti alla sua o loro inutilizzabilità o inaccessibilità sulla rete locale, con conseguente blocco di tutte le attività legate alle applicazioni che si trovano su di essi. c) Guasti ai dischi fissi di PC e Server. Sicuramente la peggiore minaccia in quanto possono portare alla perdita dei dati in essi salvati. d) Guasti alle periferiche (stampanti, router, switch, unità a nastro, periferiche esterne di memorizzazione dati). Possono portare ad un più o meno lungo periodo di inutilizzo di tali risorse, causando anche l’interruzione del normale lavoro. Il guasto dell'unità a nastro utilizzata per il backup dei dati può causare un'ulteriore minaccia indiretta per l'integrità dei dati salvati sui dischi fissi. 3.2.4. Errori umani. Le minacce di questo tipo sono legate ad imperizia, imprudenza o inaccortezza degli operatori, oltre ad una possibilità statistica di errore anche da parte del personale meglio preparato. I danni possono andare dalla perdita del lavoro in esecuzione al momento dell'errore fino alla cancellazione di dati importanti dai supporti di memorizzazione (dischi fissi) o al danneggiamento delle apparecchiature. 3.2.5. Minacce fisiche. Le minacce di questo tipo riguardano l'accesso fisico di persone non autorizzate ai locali o alle postazioni di lavoro e la sicurezza fisica delle apparecchiature rispetto agli impianti di alimentazione, di condizionamento e di protezione antincendio. Nel primo caso, il pericolo riguarda la possibilità di furto delle apparecchiature e/o dei supporti di memorizzazione o l'utilizzo non Pagina 17 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 autorizzato degli stessi. Nel secondo caso il pericolo riguarda l'integrità fisica stessa delle apparecchiature e delle altre risorse aziendali. 3.3. Individuazione delle contromisure. Un sistema di contromisure adeguato alle necessità deve quindi comprendere: a) Messa in sicurezza dei locali con un sistema che impedisca accessi non autorizzati al di fuori del normale orario di lavoro. b) Sistema di protezione dell'alimentazione dei Server. c) Sistema antincendio. d) Sistema di protezione delle reti locali dai tentativi di accesso non autorizzato attraverso Internet (Firewall) ed altri collegamenti di rete remota (controllo degli accessi). e) Sistema di controllo del traffico tra le diverse reti locali che compongono la rete dell’Azienda. f) Installazione di un sistema di protezione dai virus e suo aggiornamento costante. g) Operazioni di backup settimanale dei dati. h) Attivazione di un sistema di controllo degli accessi al sistema informativo costituito da credenziali di autenticazione. i) Attivazione di un sistema di controllo dell’accesso ai dati (sistema di autorizzazione) costituito da profili di autorizzazione. j) Messa in sicurezza dei Server (blocco della console). k) Sensibilizzazione del personale ai rischi della "navigazione" su Internet e alle necessarie prudenze. Pagina 18 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 3.4. Definizione delle Politiche di Sicurezza Con la definizione delle Politiche di Sicurezza si prende atto della valutazione del rischio e si definisce la risposta adeguata alle necessità messe in luce nei paragrafi precedenti fissando obiettivi che verranno perseguiti nel Piano Operativo, che si articola nei capitoli successivi. La sicurezza deve inoltre essere considerata, da tutti i dipendenti, parte integrante dell'attività quotidiana, finalizzata alla protezione delle informazioni e delle apparecchiature da manomissioni, uso improprio o distruzione. Un sistema di sicurezza è un insieme di misure fisiche, logiche ed organizzative integrate, volte a ridurre la probabilità di danni ad un livello e ad un costo ragionevole. Le Politiche di Sicurezza si basano sul principio che le risorse informatiche (dati, risorse hardware e software) sono un patrimonio che deve essere protetto dal momento in cui viene creato/installato, durante il suo utilizzo, fino al momento in cui viene distrutto. Devono essere portate a conoscenza, per le parti di pertinenza, delle società esterne che interagiscono con l’Azienda, le quali devono accettarne i contenuti ed impegnarsi a rispettarle. Le Politiche di Sicurezza devono essere aggiornate con periodicità annuale per riflettere eventuali nuovi indirizzi, evoluzioni e normative in materia di sicurezza. 3.4.1. Classificazione delle informazioni. I dati trattati dall’Azienda hanno natura di dati personali (ai sensi dell’art. 4 c.1 lett. b) del Codice), dati identificativi (ai sensi dell’art. 4 c.1 lett. c) del Codice), dati sensibili (ai sensi dell’art. 4 c.1 lett. d) del Codice) e di dati giudiziari (ai sensi dell’art. 4 c.1 lett. e) del Codice). 3.4.2. Protezione fisica delle risorse. Pagina 19 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 3.4.2.1. Classificazione delle aree aziendali. L’Azienda è composta da diversi edifici con uffici e locali accessibili al pubblico ed ai fornitori, da uffici e locali accessibili al solo personale dipendente e da uffici e locali accessibili solo al personale dipendente dotato di particolari autorizzazioni. 3.4.2.2. Controllo dell'accesso alle aree critiche. Le postazioni di lavoro dotate di PC e soprattutto l'area ove sono situati i Server non sono accessibili al pubblico se non accompagnato da personale dell’Azienda. Analoghe misure sono prese per i luoghi ove vengono maneggiati e custoditi i supporti cartacei delle informazioni. Gli atti e i documenti contenenti i dati sono conservati in archivi ad accesso selezionato e inoltre, per i documenti contenenti dati sensibili sono stati previsti archivi ad accesso controllato. 3.4.2.3. Sicurezza fisica (impianti). Si è provveduto ad adottare le necessarie misure antincendio, di salvaguardia elettrica e, ove necessario, di condizionamento. 3.4.3. Protezione logica delle informazioni. 3.4.3.1. Controllo degli accessi alle informazioni. L'accesso alle informazioni deve essere protetto dalle credenziali di autenticazione costituite da un codice di identificazione dell’incaricato associato ad una parola chiave riservata conosciuta solamente dal medesimo. Inoltre deve essere previsto un sistema di autorizzazione contenenti appositi “profili” per l’accesso controllato ai dati ed alle applicazioni del sistema informativo. Pagina 20 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 3.4.3.2. Mantenimento dell'integrità e riservatezza delle informazioni. La protezione dai virus informatici deve essere garantita attraverso l’utilizzo di un software antivirus con aggiornamenti settimanali. Deve essere garantito il salvataggio di sicurezza (backup) dei dati. Le copie di sicurezza devono essere poste in luogo sicuro ed al di fuori della portata del pubblico o di personale non autorizzato. 3.4.3.3. Sicurezza dei PC e dei Server. I PC devono essere protetti da accessi non autorizzati tanto al sistema operativo locale quanto alla rete. L'accesso all'utilizzo della console dei Server deve essere protetto e permesso ai soli incaricati della gestione e manutenzione degli strumenti elettronici. 3.5. Norme per il personale. 3.5.1. Utilizzo delle risorse informatiche. Il personale dipendente utilizzerà le risorse informatiche a cui ha accesso attenendosi alle istruzioni di incarico e autorizzazione ricevute. 3.5.2. Accesso ai sistemi e ai dati. L’accesso ai sistemi e ai dati sarà definito dal Responsabile insieme al Titolare del trattamento, al fine di individuare categorie omogenee di incaricati avente le necessarie autorizzazione a trattare particolari dati. Pagina 21 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 3.5.3. Uso delle credenziali di autenticazione. Il personale è tenuto, durante l'utilizzo degli strumenti elettronici aziendali, all'utilizzo dello specifico codice identificativo e della parola chiave (password) assegnati. Il codice identificativo e la password sono strettamente personali e riservati ed è responsabilità del personale farne uso accorto. La parola chiave dovrà essere composta da almeno otto caratteri, non dovrà contenere riferimenti agevolmente riconducibili all’incaricato e dovrà essere modificata dall’incaricato al primo utilizzo e, successivamente, almeno ogni sei mesi (in caso di trattamento di dati sensibili e di dati giudiziari la parola chiave dovrà essere modificata ogni tre mesi). Di seguito le caratteristiche principali di una parola chiave La parola chiave Le parole chiave rappresentano il più diffuso sistema di identificazione personale, utilizzato su terminali remoti per impedire l’accesso non autorizzato a sistemi di elaborazione e reti. Negli Stati Uniti, già quindici anni fa, è stata pubblicata la prima normativa, accompagnata da linee guida per l’introduzione e gestione di un sistema di parole chiave. La normativa identifica dieci fattori che devono essere presi in considerazione all’atto della introduzione di un sistema di parole chiave. Composizione Una parola chiave è una sequenza di caratteri ottenuti con libera selezione da parte dell'incaricato o alla fine di un processo, che li ha generati secondo alcune regole. Un buon sistema di parole chiave ha una base assai larga di parole accettabili, per impedire che una persona non autorizzata od un intruso individui una parola chiave valida in qualche altro modo, che non sia l'averla appresa da una persona autorizzata. Pagina 22 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 La gamma di parole chiave accettabili deve essere abbastanza larga da offrire protezione contro tentativi di ricerca e di sperimentazione di parole accettabili, commisurati al valore dei dati o delle risorse che vengono protette. La gamma di parole chiave accettabili deve rispondere ai seguenti requisiti: - essere tale da poter essere individuata con facilità; - le parole chiave accettabili possono essere generate o scelte facilmente; - una parola chiave valida deve essere ricordata senza troppe difficoltà; - deve essere archiviata senza eccessiva occupazione di memoria; - deve essere digitata facilmente. La composizione è definita quindi come la sequenza di caratteri che comprende la parola chiave valida. Da notare che il disciplinare, al comma 5, precisa che la parola chiave deve essere composta da almeno 8 caratteri, salvo una deroga da giustificare, se lo strumento elettronico non lo permette, in questo ultimo caso va però utilizzata la prestazione massima consentita dallo strumento elettronico. Poiché. il disciplinare non precisa se questi caratteri debbano essere numerici o alfabetici, è consentito l'utilizzo di una parola chiave con solo caratteri numerici, anche se evidentemente questa scelta porta ad un livello strutturale inferiore di sicurezza, perché la gamma di scelta è notevolmente ridotta, rispetto alla gamma di scelta offerta dai caratteri alfabetici. Una composizione migliore contiene 16 caratteri, che includono dieci cifre più le lettere A, B, C, D, E, F. Molte parole chiave sono composte solo da 26 lettere minuscole (a - z) o 26 lettere maiuscole (A Z). Tuttavia, l'uso di uno di questi due gruppi può incoraggiare l'interessato a selezionare le sue iniziali, il nome, il soprannome, il nome di parenti, la città di residenza o altre parole banali, facilmente associabili all'interessato. Una composizione basata su parole chiave esclusivamente alfabetiche non è raccomandata. Lunghezza La lunghezza è strettamente associata con la composizione, nella valutazione della sicurezza potenziale di un sistema di parole chiave contro un attacco portato da un intruso che cerca di trovare, in modo esaustivo, tutte le possibili parole chiave. Pagina 23 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 La lunghezza di una parola chiave stabilisce i limiti della sicurezza potenziale del sistema. Una lunghezza pari ad 1 riduce il numero potenziale di parole chiave valide al numero di caratteri compresi nella gamma accettabile di composizione. Una lunghezza pari a 2 porta questo numero al quadrato; una lunghezza pari a 3 porta il numero all'esponente cubico; una composizione a base 10 ed una lunghezza di 4 caratteri porta ad una scelta tra diecimila possibili parole chiave. Se tutti gli altri fattori vengono temporaneamente ignorati, la sicurezza offerta da una parola chiave è direttamente proporzionale alla lunghezza consentita della parola chiave. In altre parole, parole chiave più lunghe sono più sicure. Il disciplinare, al comma 5, prevede che la lunghezza minima sia di 8 caratteri numerici, alfabetici od alfanumerici, salvo una deroga accennata in precedenza. La lunghezza possibile deve quindi includere valori, con un minimo di otto caratteri, e la composizione deve essere basata su una gamma abbastanza larga, da consentire di raggiungere un elevato livello di sicurezza. Vita utile La sicurezza offerta da una parola chiave dipende dalla sua composizione, dalla sua lunghezza, e dalla sua protezione dalla rivelazione o sostituzione. Se una parola chiave è stata compromessa in qualche modo e viene creata una nuova parola chiave, che è completamente indipendente dalla vecchia, il rischio associato con la vecchia parola chiave è ridotto a zero. Le parole chiave devono quindi essere cambiate su base periodica ed ogniqualvolta vi sia un sospetto di compromissione. II comma 5 del disciplinare specifica esattamente quale debba essere la vita utile minima della parola chiave, indicando un massimo di sei mesi, nel caso che il sistema di autenticazione ed il sistema di autorizzazione concedano l'accesso a dati personali convenzionali, con riduzione a solo tre mesi, in caso di trattamento di dati sensibili e di dati giudiziari. I sistemi di parole chiave devono avere la possibilità di sostituire la parola rapidamente, con procedura avviata dall'utente o dal gestore della sicurezza logica. Le parole chiave devono essere cambiate volontariamente dall'interessato, quando si sospetta una compromissione, e devono essere cambiate periodicamente con un intervallo massimo selezionato dal responsabile della sicurezza. Questo intervallo può essere un periodo di tempo o essere legato al Pagina 24 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 numero di volte in cui la parola è stata utilizzata (nella fattispecie si può usare una combinazione dei due elementi). Il sistema di parole chiave deve disporre di sistemi automatizzati, che obbligano al cambio di parola e alla verifica di tutti i criteri di sicurezza imposti dai relativi sistemi. Il sistema deve verificare che la nuova parola chiave non sia simile ad una precedentemente utilizzata. Applicazioni molto critiche possono imporre che una nuova parola chiave non sia eguale ad una utilizzata nei due, tre, dieci, n precedenti cambi. La scelta Le parole chiave dovrebbero essere selezionate in modo casuale tra la gamma di parole accettabili, sia a cura dell'interessato che di una macchina automatica generatrice di parole chiave. Tuttavia, questa impostazione può non essere attuabile in tutti i casi e non essere opportuna in altri. Particolarmente innovativo e tecnicamente valido è il disciplinare, laddove, sempre al fondamentale comma 5, impone la adozione di una tecnica di sicurezza, che gli anglosassoni chiamano della parola chiave "one off" oppure "one time password". Questa tecnica consiste nel generare, presso un servizio centrale, controllato dal responsabile del trattamento, una parola chiave, che può essere inoltrata con una procedure di ragionevole, ma non critica, sicurezza, ad esempio in una busta sigillata indirizzata personalmente al destinatario; essa viene utilizzata per il primo accesso al sistema di trattamento. Tale parola chiave può essere utilizzata una sola volta ed il sistema, appena digitata la parola chiave, invita immediatamente l'incaricato a sostituirla. È estremamente importante tenere presente il fatto che la automazione della gestione delle parole chiave deve obbligare l'incaricato ad effettuare questa operazione, prima che il sistema di autorizzazione abbia concesso l'accesso ai dati. In linea di massima, la parola chiave che viene inizialmente consegnata all'incaricato non deve essere particolarmente complessa, ma è bene che non sia neppure banale, perché potrebbe indurre l'incaricato a ritenere che la tipologia di parola chiave fornita inizialmente possa corrispondere ad una tipologia, che con lievi modifiche egli potrebbe adottare in fase di sostituzione. È bene pertanto che tutte le potenzialità del sistema, in termine di composizione della parola chiave, vengano adottate in fase di generazione e consegna della parola chiave "one off”. Si tratta di una sorta di "iniziazione" dell'incaricato ai riti di scelta della parola chiave, che rappresentano un aspetto fondamentale di sicurezza della parola chiave stessa. Pagina 25 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Le parole chiave che sono create o selezionate da un utente devono essere controllate da un sistema automatizzato, per verificare se esse soddisfano a tutti i criteri di scelta imposti al sistema (il disciplinare non lo impone, ma la ragionevolezza sì). Le parole chiave che non soddisfano ai requisiti devono essere rifiutate in modo automatico. Se le parole chiave sono generate dal sistema, il metodo di generazione deve essere assolutamente casuale. I risultati prodotti da un generatore casuale vengono quindi combinati con le regole di selezione delle parole chiave, per ottenere una parola che soddisfa ai criteri obbligatori e auspicabili. Naturalmente, è facoltà dell'incaricato accettare o meno le proposte del sistema. La titolarità Una parola chiave personale deve essere di proprietà individuale, piuttosto che utilizzata in comune da un gruppo di persone, per poter attribuire una responsabilità personale nella sua gestione. Questo fatto è auspicabile, anche se un gruppo di persone ha privilegi di accesso comuni agli stessi dati o applicazioni. Il disciplinare sulle misure minime di sicurezza, da questo punto di vista, è tassativo. La titolarità individuale di una parola chiave è indispensabile non solo per rispettare la legge ma anche perché: - stabilisce una responsabilità individuale nella ricostruzione degli accessi a dati ed applicazioni; - può confermare l'uso illecito di una parola chiave o la perdita di una parola chiave; - può essere utilizzata per ricostruire le attività svolte dall'interessato; - evita di dover cambiare la parola chiave di un intero gruppo, quando un singolo membro del gruppo si allontana o modifica il suo privilegio di accesso. La distribuzione e la modifica Una parola chiave deve essere trasportata dal titolare al sistema di autenticazione, se selezionata dal titolare, e dal sistema di autenticazione al titolare, se essa è generata dal sistema di gestione delle parole chiave o dall'amministratore del sistema o dal responsabile della sicurezza. La parola chiave iniziale è normalmente creata e distribuita, sia per iscritto che verbalmente, durante un incontro nel corso del quale l'utente è inizialmente autorizzato ad accedere a dati e programmi del sistema di elaborazione. Pagina 26 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Questa parola chiave, che spesso può essere usata una sola volta e solo per essere cambiata, viene chiamata in inglese "one time password". La modifica di una parola chiave da parte dell'utente per solito richiede che l'utente digiti la vecchia parola chiave e quindi la nuova. La nuova parola chiave viene verificata per controllare che corrisponda ai requisiti di sicurezza, ne viene controllata la diversità dalla precedente parola chiave e viene infine archiviata nella memoria del sistema tra le parole chiave scadute. E' opportuno avere a disposizione una registrazione della avvenuta sostituzione, con la data e l'ora della sostituzione, ma non della nuova parola chiave. La parola chiave dimenticata deve essere sostituita ed essere avviata nuovamente la procedura di registrazione, simile a quella adottata per la emissione della prima parola chiave. Le parole chiave che sono distribuite per iscritto debbono essere racchiuse in una busta sigillata con la indicazione "riservata personale al destinatario". La spedizione può avvenire per corriere, per posta interna o per i servizi postali pubblici. Nella busta devono essere contenute le seguenti disposizioni: - distruggere la parola chiave dopo averla memorizzata; oppure - rispedire la parola chiave al responsabile della sicurezza dopo aver firmato la ricevuta e dopo aver nuovamente sigillato la busta di ritorno; - la raccomandazione che la parola chiave deve essere usata al più presto possibile e, se essa deve essere cambiata dall'utente, la raccomandazione di un immediato cambio (semprechè il tutto non sia automatizzato). Alcuni sistemi distribuiscono le parole chiavi in buste sigillate che sono state stampate da un computer. La busta è realizzata in modo che non può essere riutilizzata. Una volta aperta, la parola chiave è stampata solo all'interno della busta, nella seconda pagina, usando della carta carbone fissata al retro della prima pagina della busta. Le istruzioni devono precisare di asportare la prima pagina, che mostra il nome del destinatario, di distruggerla e di conservare la parola chiave in un luogo protetto e facilmente accessibile solo al destinatario autorizzato. La parte della busta su cui è stampata la parola chiave non deve riportare alcun elemento di identificazione, che possa associare la parola chiave con un sistema di elaborazione o con l'incaricato. In questo modo, chiunque trovi una parola chiave smarrita non dovrebbe essere in grado di poterla utilizzare. Anche se questa procedura non è così attraente come quella di memorizzare subito la parola chiave e distruggere il mezzo sui cui è distribuita, essa è accettabile quando le parole chiave non vengono Pagina 27 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 utilizzate di frequente e potrebbero essere scritte in un luogo, che potrebbe essere facilmente associato con il titolare. Quando la parola chiave viene distribuita con un corriere postale sicuro, il recepimento della parola chiave può essere convalidato da una risposta positiva o su base di eccezione. Quando la distribuzione delle parole chiave è effettuata su base occasionale, si richiede sempre una risposta di conferma. Quando le parole chiave sono distribuite regolarmente, l'utente dovrebbe attendersi l'invio di una nuova parola chiave e dovrebbe comunicare la eventuale mancata ricezione. In ogni caso, occorre tenere un registro del fatto che è stata consegnata una nuova parola chiave. Vi può essere un periodo di transizione, durante il quale la vecchia parola chiave è ancora valida e non è stata ancora abilitata la nuova parola chiave. Alcuni sistemi possono consentire la validità di entrambe le parole chiave durante il periodo transitorio. Ciò significa che entrambe le parole chiave devono essere memorizzate e confrontate con la parola chiave digitata. Alcuni sistemi non accettano il periodo di transizione, e stabiliscono una data precisa, a partire dalla quale la nuova parola chiave diventa valida. In questo caso i sistemi registrano i tentativi di utilizzo della vecchia parola chiave in un apposito file di memoria. Il rapporto di questi tentativi dovrebbe essere inviato in modo sicuro al titolare, per informarlo che qualcuno ha cercato di usare una parola obsoleta. Il titolare potrà verificare se l'uso è accidentale, piuttosto che un tentativo di uso non autorizzato da parte di un estraneo. L'archiviazione È bene che i responsabili abbiano chiaro il fatto che le modalità di archiviazione, così come le successive modalità di trasmissione, debbono essere concepite in modo da rendere oltremodo difficoltoso l'accesso alle parole chiave, selezionate dall'incaricato. Se questa cautela non viene presa, in caso di utilizzo abusivo della parola chiave, l'incaricato avrà buon gioco nel sostenere che l'utilizzo abusivo non è da imputare a lui stesso, ma a terzi ignoti, che in qualche modo sono riusciti a catturare la parola chiave memorizzata, in fase di archiviazione od in fase di trasmissione. Le parole chiave devono essere archiviate nel sistema di autenticazione in modo da minimizzare la esposizione alla rivelazione o alla sostituzione non autorizzata. Pagina 28 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Il tipo di protezione offerta alle parole chiave deve essere commisurato al livello di protezione e di rischio del sistema o dei dati. La digitazione La digitazione di una parola chiave in un sistema automatico di autenticazione, in modo sicuro, è talvolta difficile. Un osservatore può intuire parte o la intera parola chiave, mentre l'utente la sta digitando. La digitazione sulla tastiera di un computer è una operazione che un utente, che non è capace di utilizzare più dita, talvolta effettua usando un solo dito. Una parola chiave lunga e casuale, difficile da digitare, può essere più facilmente osservata, rispetto ad una breve parola chiave, che può essere digitata con rapidità. Una saggia raccomandazione è quella che una parola chiave deve poter essere digitata in modo tale che essa non possa essere rilevata da alcun osservatore casuale, ma attento. Le parole chiave non devono apparire sul video terminale, durante la digitazione. Deve poter essere consentito agli utenti di compiere più di un tentativo di digitare correttamente la parola chiave, per far fronte a possibili errori accidentali. Tuttavia, l'esperienza ed il buon senso raccomandano di introdurre un numero massimo di prove consentite, e la regola generale vuole che tre tentativi siano considerati adeguati per un tipico utente in un sistema di elaborazione. Il sistema dovrebbe anche impedire dei tentativi rapidi e ripetuti, quando una parola chiave è digitata in modo non corretto. Dovrebbero passare alcuni secondi, prima di nuovo tentativo. Questo accorgimento impedisce un attacco automatizzato ad alta velocità, di tipo esaustivo. La trasmissione Le parole chiave sono normalmente utilizzate per autenticare la identità di un utente, che cerca di accedere ad un sistema di elaborazione tramite un terminale o tramite una rete. Per essere autenticata, la parola chiave viene normalmente trasmessa dal terminale al computer attraverso le linee di comunicazione, che collegano il terminale al computer. A meno che la linea di comunicazione sia fisicamente protetta o cifrata, la parola chiave è soggetta a intercettazione. Pagina 29 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Al momento, la gran parte delle linee di comunicazione tra terminali e computer non gode di queste protezioni e quindi gli utenti devono essere sensibilizzati sul fatto che le loro parole chiave possono essere facilmente individuabili mediante intercettazione passiva sui cavi. I sistemi di elaborazione possono anche essere facilmente ingannati. Ciò avviene quando un intruso ha inserito un dispositivo attivo di intercettazione tra un terminale ed il computer. Un inganno inverso si verifica quando un utente ritiene di essere collegato al computer centrale, mentre sta invece dialogando con un altro computer. Queste minacce possono essere contrastate grazie a metodi di cifratura. Il periodo di autenticazione e di attività transazionale Il disciplinare al comma 9 prescrive: 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. Le sessioni interattive tra un utente ed un computer centrale, attraverso un terminale remoto, talvolta durano parecchie ore. Anche se le disposizioni di sicurezza devono precisare che un terminale collegato ed attivo non deve mai essere lasciato abbandonato dall'utente, in pratica questo evento si verifica con una certa frequenza. Molti sistemi sono dotati di una caratteristica, che provvede a scollegare il computer dal terminale, se esso è rimasto inattivo per qualche tempo. Questo fatto impedisce che un terzo, che trova un terminale attivo ed abbandonato, lo possa utilizzare. Alcuni sistemi di controllo dell'accesso logico richiedono che un utente si registri nuovamente su base periodica, dopo la registrazione iniziale. Questi sistemi talvolta mettono a dura prova la pazienza dell'utente, se la frequenza di autenticazione è troppo alta. Per questa ragione alcuni sistemi non indicano un periodo minimo di nuova autenticazione ed essa deve essere richiesta solo in un contesto di alta sicurezza, e solo quando il terminale è rimasto inattivo per un periodo di tempo apprezzabile. Questa precauzione può ridurre gli inconvenienti che un nuovo processo di autenticazione può causare ad un utente. Si raccomanda di adottare una tecnica di sicurezza, che previene gli inconvenienti sopra elencati, e che oggi è facilmente adottabile nella grande maggioranza dei sistemi di trattamento automatizzato. Pagina 30 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Questa tecnica, chiamata dello "screen saver sotto parola chiave", fa sì che, dopo un certo periodo di inattività del terminale, appaia sullo schermo uno screen saver e sia bloccata l'attività transazionale. Perché l'attività possa riprendere, non è necessario effettuare la intera sequenza di autenticazione informatica, ma è sufficiente digitare nuovamente la parola chiave. Alcuni esempi di specifiche funzionali di sicurezza Gli esempi che seguono offrono una traccia delle specifiche di sistemi di parole chiave che possono soddisfare i requisiti di sicurezza a vario livello, e che possono essere utili per il titolare e il responsabile del trattamento. La scelta dei parametri per ognuno dei dieci fattori prima illustrati permette di elaborare un documento programmatico per la sicurezza delle parole chiave. Sistema di parole chiave per elaboratori che trattano dati personali a basso rischio Un ipotetico sistema di parole chiave può utilizzare i seguenti parametri per i dieci fattori che soddisfano i requisiti minimi in sicurezza per un sistema di elaborazione. L'esempio è utilizzabile nel contesto di sistemi di elaborazione per uso commerciale, per transazioni finanziarie di basso importo e con un numero massimo di transazioni consentite per giorno. Questo esempio si può applicare ad un gran numero di sistemi di elaborazione, ove vengono utilizzati dati personali di modesta importanza. Piccoli sistemi per applicazioni scientifiche, sistemi speciali e sistemi che non devono effettuare analisi critiche o eseguire elaborazioni critiche possono ricadere in questa categoria. In essa ricadono anche i sistemi che richiedono solo un basso livello di controllo sul trattamento dei dati personali ivi archiviati. Lunghezza della parola chiave Composizione Vita utile Creatore della parola chiave Titolarità Distribuzione della prima parola chiave Archiviazione 8 Cifre da 0 a 9, introduzione di criteri di filtro (ad es. rifiuto di numeri tutti eguali e simili) Sei mesi Utente Individuale Per posta interna od assicurata Nel computer centrale, anche in chiaro, se l’accesso al file è protetto; è richiesta la archiviazione di almeno le ultime 5 parole chiave prescelte Pagina 31 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Digitazione Trasmissione Periodo di autenticazione Da tastiera numerica, con mascheramento a video In chiaro Ad ogni transazione Sistema di parole chiavi per elaboratori che trattano dati personali a medio rischio I sistemi di enti pubblici che trattano applicazioni a modesto livello di criticità possono rientrare in questa categoria. Siamo davanti ad applicazioni che trattano dati legati direttamente o indirettamente a transazioni economiche o trattano dati soggetti alla legge sulla tutela dei dati personali, in un contesto pubblico e quindi maggiormente attento alla protezione degli interessati. Il titolare del sistema deve individuare le specifiche applicazioni che possono essere ritenute a medio rischio. I sistemi di elaborazione che sono coinvolti in movimenti finanziari ed altri trattamenti di informazioni sensibili possono rientrare in questa categoria, insieme a tutti i sistemi che trattano dati sensibili. Lunghezza della parola chiave Composizione Vita utile Creatore della parola chiave Titolarità Distribuzione della prima parola chiave Archiviazione Digitazione Trasmissione Periodo di autenticazione 8-12 Lettere minuscole a-z; lettere maiuscole A-Z, ,cifre da 0 a 9, introduzione di criteri di filtro 6 mesi; 3 mesi nel caso di trattamento di dati sensibili o giudiziari Utente Individuale Via terminale o posta protetta In file cifrato; è richiesta la archiviazione di almeno le ultime 10 parole chiave prescelte Con caratteri mascherati a video In chiaro Al LOGIN e dopo 10 minuti di inattività del terminale Sistemi di parole chiave per elaboratori che trattano dati personali ad alto rischio I sistemi di elaborazione di dati sensibili che si affidano a parole chiave per garantire le identità personali degli incaricati devono attivare protezioni di elevato livello ed i fattori critici indicati debbono essere regolati al livello appropriato. I sistemi ad alto rischio sono quelli in cui la manipolazione o la sottrazione dei dati può avere un elevato risvolto economico nei confronti degli intrusi e può avere un impatto significativo sulla sicurezza della società civile. I computer militari, i computer bancari, i computer delle aziende sanitarie locali rientrano certamente in questa categoria. Pagina 32 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Sistemi più specifici, che abbisognano di protezioni ancora più elevate, possono aggiungere ulteriori elementi di identificazione, come ad esempio i dispositivi biometrici, le tessere intelligenti ed altri dispositivi accessori di alta sicurezza. Solo una appropriata analisi del rischio può stabilire quali siano le misure appropriate al contesto specifico. Lunghezza della parola chiave Composizione Vita utile Creatore della parola chiave Titolarità Distribuzione della prima parola chiave Archiviazione Digitazione Trasmissione Periodo di autenticazione 8-12 oppure frasi chiave La gamma completa di 95 caratteri; introduzione di rigidi criteri di filtro Tre mesi Utente Individuale Con consegna personale e ricevuta di ritorno In file cifrato; è richiesta la archiviazione di almeno le ultime 10 parole chiave prescelte Con caratteri mascherati Su rete cifrata con numerazione sequenziale dei messaggi Al LOGIN, ogni 15 minuti ed ogni 5 minuti di inattività del terminale 3.6. Gestione degli incidenti. Qualsiasi incidente che dovesse accadere al sistema informativo dovrà essere comunicato agli incaricati della gestione e manutenzione degli strumenti elettronici, che interverranno prontamente avvisando il Responsabile del trattamento dei dati personali. 3.7. Manutenzione dei sistemi hardware e software. 3.7.1. Le apparecchiature. I PC, i Server e le periferiche, se utilizzati in maniera appropriata, hanno una vita media in genere superiore alla loro obsolescenza tecnica, ossia è più probabile che la loro sostituzione sia dovuta a fattori di prestazioni insufficienti dovute al rapido evolversi della tecnologia che a gravi malfunzionamenti meccanici, elettrici o elettronici. La manutenzione dei sistemi hardware riguarda Pagina 33 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 quindi principalmente la sostituzione di materiale di consumo (nastri o toner per stampante, floppy disk, ecc.) e la pulizia periodica delle parti esposte all'ambiente esterno (tastiere, mouse, monitor). Gli interventi di manutenzione dovuti a guasti sono di ordine straordinario e comportano nella maggioranza dei casi la sostituzione di una parte o dell'intera apparecchiatura. Di conseguenza, gli interventi di manutenzione in seguito a guasti vanno gestiti tenendo presente la criticità delle singole apparecchiature e quindi, nel caso in oggetto, prevedendo necessariamente un contratto di assistenza tecnica per i Server, eventualmente estendibile ai PC ed alle periferiche. 3.7.2. Il software. Per quel che riguarda i sistemi operativi dei PC e dei Server, la manutenzione consiste nel mantenerli aggiornati tramite l'installazione delle correzioni (patch, service pack, ecc.) rilasciate periodicamente dalle case produttrici. Per quel che riguarda i programmi di protezione dai virus informatici, la manutenzione riguarda il continuo aggiornamento delle tracce virali al fine di mantenere efficace la protezione. Per gli altri programmi applicativi vale il discorso fatto per i sistemi operativi. Periodicamente tutti i prodotti software possono presentare la necessità di essere sostituiti da nuove versioni degli stessi ed è solitamente possibile farlo attraverso procedure di aggiornamento (upgrade) del software preesistente. In questo caso l'impatto sull'operatività è minimo. In altri casi è necessario procedere alla sostituzione integrale del pacchetto software con conseguente necessità di ripristinare le procedure di utilizzo adattandole al nuovo software. 3.8. Individuazione dell'esposizione al rischio. 3.8.1. Il livello delle minacce ai suddetti beni. a) Penetrazione logica. Pagina 34 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 La penetrazione logica riguarda i sistemi operativi e le applicazioni presenti sui calcolatori. I sistemi operativi Microsoft Windows 2000Server / 2003Server / 2008 Server / 2000 Professional / XP Professional offrono solide garanzie di sicurezza logica, impedendo validamente l’accesso alla stazione di lavoro ad utenti non autorizzati, se configurati con credenziali di autenticazione e password adeguate. Il sistema operativo degli AS/400, se configurato appropriatamente, offre le più alte garanzie di sicurezza ed integrità dei dati. Il sistema operativo Unix/Linux è vulnerabile alla penetrazione logica solo da parte di personale specializzato che abbia accesso alla console del Server. Il livello di tale minaccia è Medio / Basso, in quanto le apparecchiature sono utilizzate solo da personale incaricato ed autorizzato il quale, durante l'orario di lavoro, è sempre presente nei locali e quindi controlla l'utilizzo delle stesse. L’accesso diretto alla console dei Server è poi limitato anche dal fatto che essi si trovano in un unico locale non utilizzato dal personale per il normale lavoro, presidiato dal personale del servizio SI durante le ore lavorative e quando non presidiato sono chiusi a chiave e custodita in portineria. In aggiunta l’accesso ai locali del servizio SI di Alba, avviene previo annuncio al citofono. L’accesso diretto alla console dei Server è protetto dal blocco della stessa che richiede l’esecuzione di una procedura di autenticazione. Al di fuori dell'orario di lavoro l'accesso ai PC è protetto tramite le misure di sicurezza fisica. Un certo grado di minaccia è legato ad un uso malevolo dell'autorizzazione all'accesso alle risorse da parte di personale autorizzato, che potrebbe aver maturato motivi di rivalsa nei confronti dell’Azienda. Tale minaccia è minimizzata dalla puntuale ed efficiente organizzazione degli incarichi ed autorizzazioni all’utilizzo degli elaboratori che riducono il campo d’azione dei singoli operatori non privilegiati. Pagina 35 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 L’unico vero fattore di rischio è l’introduzione di virus informatici attraverso la posta elettronica o software e dati di provenienza esterna e l’attivazione inconsapevole di applicazioni malevole durante la navigazione su Internet. A garantire il livello di tale minaccia è l’uso del software antivirus Symantec Endpoint Protection e la sensibilizzazione del personale ai rischi della navigazione su Internet, oltre che tramite la limitazione delle possibilità di navigazione mediante misure tecniche (Server Proxy e filtraggio) ed organizzative (policy aziendali). b) Penetrazione sulle reti di telecomunicazioni. Alla penetrazione attraverso le reti di telecomunicazioni sono esposti tutti , PC e Server in quanto dotati del protocollo TCP/IP. La vulnerabilità di tali apparecchiature, con sistema operativo Windows 2000Server / 2003Server / 2008 Server / 2000 Professional / XP Professional, ad un attacco DOS (Denial of Service) è elevata, così come la loro vulnerabilità a virus informatici (che costituiscono pericolo anche per i dati contenuti nei PC), la maggioranza dei quali sono appositamente studiati per colpire i prodotti della Microsoft. Anche se si ha la certezza statistica che prima o poi l’indirizzo IP pubblico sarà assoggettato a scansione e a tentativo di intrusione attraverso Internet. E’ altresì vero che una scansione risulta difficoltosa a causa della traduzione dell’intera rete locale sul singolo indirizzo IP pubblico. Il livello di tale minaccia è Medio / Basso, a rendere tale il livello, nonostante la dimensione e la complessità della struttura di rete sia locale che geografica è la separazione delle varie parti della rete tramite il Firewall WatchGuard Firebox X5000 con funzioni anche di Proxy Server e pertanto, l’accentramento dei servizi pubblici sul centro stella. c) Guasti tecnici delle apparecchiature. Pagina 36 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Il livello di tale minaccia è in costante evoluzione ed è legato a diversi fattori, quali la qualità delle apparecchiature, la loro età, il livello di utilizzazione e la frequenza e tempestività dei lavori di manutenzione. Si tenga comunque presente che per quando riguarda i Server si tratta di macchine progettate per un lavoro prolungato e con un numero limitato di organi meccanici, maggiormente esposti al logorio dell'uso. Tra essi sono tuttavia compresi i dischi fissi di PC e Server, i quali, una volta superato il periodo di vita media delle loro parti meccaniche (cuscinetti, testine), sono estremamente vulnerabili e soprattutto mettono in pericolo i dati in essi immagazzinati. Per quanto riguarda i guasti di natura elettrica, la vulnerabilità maggiore è quella degli alimentatori degli elaboratori, il guasto dei quali però, al di là di un fermo macchina per manutenzione, non comporta, se non in rari casi, danni anche alle informazioni immagazzinate nei dischi fissi. Il livello di tale minaccia è Medio / Basso. Nella situazione in oggetto le minaccia può definirsi tale in quanto le apparecchiature sono state rinnovate, gli apparati critici sono stati dotati di un certo livello di fault-tolerance (dischi dei Server in tecnologia Raid 5), vengono utilizzate in maniera appropriata ed è in essere un contratto di manutenzione ed assistenza per la tempestiva risoluzione dei guasti tecnici, con la ditta fornitrice per i primi tre anni (garanzia) e poi con la ditta Albaufficio di Alba. Le accurate politiche di backup contribuiscono a minimizzare ulteriormente i rischi già ridotti legati ad un eventuale guasto. d) Errori umani. Il livello di tale minaccia è Medio / Basso, in quanto l'interazione degli addetti al trattamento con la parte fisica degli elaboratori si limita alle periferiche (mouse, tastiera, schermo, ecc.); tale Pagina 37 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 interazione, al di là del tasto di accensione, risulta nulla con il corpo macchina e con le parti più importanti di un elaboratore e per la competenza e professionalità del personale addetto. All'opposto, la vulnerabilità dei dati agli errori umani è totale, in quanto sono proprio essi l'oggetto dell'azione costante di elaborazione, modifica, immagazzinamento e richiamo da parte degli operatori. e) Minacce fisiche. Gli uffici dove avviene il trattamento dei dati sono sorvegliati dal personale dipendente durante tutto l’orario di lavoro. Il livello di tale minaccia è Medio. Pagina 38 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 4. MISURE DI GARANZIA DELL’INTEGRITA’ E DELLA DISPONIBILITA’ DEI DATI. PROTEZIONE DELLE AREE E DEI LOCALI AI FINI DI CUSTODIA E ACCESSIBILITA’ DEI DATI. 4.1. Elenco delle risorse da proteggere. Come prima cosa viene prodotto un elenco dettagliato delle risorse hardware e software da allegare al Documento Programmatico sulla Sicurezza. 4.2. Identificazione ed autorizzazione. Si è proceduto all'assegnazione d'identificativi univoci ai PC ed ai Server ed alla distribuzione di codici identificativi e parole chiave (username e password) univoci agli operatori dei PC ed agli incaricati della gestione e manutenzione degli strumenti elettronici per l'accesso ai Server (come previsto dal Disciplinare tecnico in materia di misure minime di sicurezza). Sui PC e sui Server sono quindi attivate le misure di sicurezza (profili di autorizzazione) atte ad impedire l'accesso ai dati ed ai servizi locali e di rete ad utenti non autorizzati (username e password, blocco della console dei Server, autenticazione ai servizi di rete) per i dettagli si fa riferimento al documento “Sistema di identificazione e profili di autorizzazione” in allegato. 4.3. Sicurezza ed integrità dei dati. E' attivo un sistema di salvataggio, per i dettagli si fa riferimento al documento ”Procedura di backup” in allegato. E’ attivo un sistema Antivirus per i PC e per la rete dotato di procedure di aggiornamento dello stesso: Symantec Endpoint Protection. La continuità elettrica della sala macchine è garantita da 1(uno) UPS Aros Sentry HPS (circa 1h di autonomia) e da un Gruppo Elettrogeno GEMAP2 (Diesel). Pagina 39 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Di seguito si elencano le norme a cui attenersi per evitare rischi provocati dai virus informatici (tali norme verranno distribuite al personale incaricato del trattamento dei dati): Fattori di incremento del rischio e comportamenti da evitare I seguenti comportamenti, comportano un incremento dei livelli di rischio informatico: a. riutilizzo di dischetti o unità USB, già adoperati in precedenza b. uso di software gratuito (o shareware) prelevato da siti internet o in allegato a riviste o libri c. uso di dischetti preformattati d. collegamento in rete, nel quale il client avvia solo applicazioni residenti nel proprio disco rigido e. collegamento in rete, nel quale il client avvia anche applicazioni residenti sul disco rigido del Server f. uso di modem per la posta elettronica e prelievo di file da BBS o da servizi commerciali in linea o da banche dati g. ricezione di applicazioni e dati dall'esterno, Amministrazioni, fornitori, ecc. h. utilizzo dello stesso computer da parte di più persone i. collegamento in Internet con download di file eseguibili o documenti di testo da siti WEB o da siti FTP j. collegamento in Internet e attivazione degli applet di Java o altri contenuti attivi k. file allegati di posta elettronica. Norme basilari di comportamento Al fine di evitare problemi correlati ad infezioni informatiche, dovranno essere rispettate almeno le seguenti prescrizioni: Pagina 40 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 a) i floppy disk e i supporti USB, sia quando vengono forniti sia quando vengono ricevuti, devono essere sottoposti a scansione da parte del programma antivirus b) è obbligatorio sottoporre a controllo tutti i floppy disk e unità USB di provenienza incerta prima di eseguire o caricare uno qualsiasi dei file in esso contenuti c) non si deve utilizzare il proprio "disco sistema" su di un altro computer se non in condizione di "protezione in scrittura" d) proteggere in "scrittura" tutti i propri floppy disk di sistema o contenenti programmi eseguibili e) se si utilizza un computer che necessita di un "bootstrap" da floppy, usare un floppy disk protetto in scrittura f) non attivare mai da floppy un sistema basato su hard disk a meno di utilizzare un disco di sistema, protetto in scrittura e sicuramente non infetto g) limitare la trasmissione di file eseguibili (.COM, .EXE, .OVL, .OVR) e di sistema (.SYS) tra computer in rete h) non utilizzare i Server di rete come stazione di lavoro i) non aggiungere mai dati o file ai floppy disk contenenti programmi originali. Regole operative 1. Tutti i computer dell’Azienda devono essere dotati di programmi antivirus. 2. Il Responsabile deve assicurarsi che i computer delle società esterne, qualora interagiscano con proprio sistema informatico, siano dotati di adeguate misure di protezione antivirus. 3. Il personale delle ditte addette alla manutenzione dei supporti informatici devono usare solo dischetti preventivamente controllati e certificati singolarmente ogni volta. 4. Ogni PC deve essere costantemente sottoposto a controllo anti-virus. 5. I dischetti provenienti dall' esterno devono essere sottoposti a verifica da attuare con un PC non collegato in rete (macchina da quarantena), ed inoltre devono essere individuate le aree Pagina 41 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 dell'Amministrazione che, in relazione alla loro particolare attività, sono da considerare a più alto rischio nei riguardi dell'infezione da virus. 6. All'atto della individuazione di una infezione il virus deve essere immediatamente rimosso. 7. Tutti gli utenti del sistema informatico devono sapere a chi rivolgersi per la disinfezione e l'informazione dell'infezione deve essere mantenuta riservata. 8. Il personale deve essere a conoscenza che la diffusione dei virus è punita dall'art. 615 quinquies del Codice Penale. 9. Il software acquisito deve essere sempre controllato contro i virus e verificato perché sia di uso sicuro prima che sia installato. Caratteristiche di base del software antivirus Il software antivirus deve essere sottoposto a costante e frequente aggiornamento (almeno due volte al mese) ed in particolare: a. gli aggiornamenti devono essere resi disponibili non solo per posta ma anche tramite BBS o Internet b. deve essere particolarmente efficace contro i virus della nostra area geografica c. deve poter effettuare automaticamente una scansione ogni volta che viene avviato un programma d. d) deve poter effettuare una scansione automatica del floppy disk e delle unità e. deve accorgersi del tentativo di modificare le aree di sistema f. deve essere in grado di effettuare scansioni a intervalli regolari e programmati g. deve essere in grado di effettuare la scansione all’interno dei file compressi h. deve mantenere il livello di protezione in tempo-reale i. deve eseguire la scansione in tempo-reale j. deve poter eseguire la rimozione del codice virale in automatico Pagina 42 USB Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 k. in caso di impossibilità di rimozione i file non pulibili devono essere spostati una subdirectory predefinita, l. deve essere attivo nella protezione per Applet di ActiveX e Java contenenti codice malizioso m. deve essere in grado di effettuare la rilevazione la pulizia dei virus da Macro sconosciute n. deve essere in condizione di rilevare e rimuovere i virus da macro senza file pattern con un grado di riconoscimento superiore al 97 % o. deve essere in grado di riconoscere i codici virali anche in file compattati utilizzando qualsiasi programma di compressione e in qualsiasi ambiente operativo. Considerato che in sistemi basati su reti locali o su reti geografiche, aumenta il pericolo di diffusione dei virus, ove possibile il sistema antivirus deve essere centralizzato e predisposto a svolgere almeno le funzioni di: 1. distribuzione degli aggiornamenti sia dei motori di scansione che degli eventuali file “pattern” 2. controllo e monitoraggio degli eventi virali 3. automatico spostamento in directory di “quarantena” di virus informatici risultati non pulibili 4. avviso agli incaricati della gestione e manutenzione degli strumenti elettronici di rilevazione di virus e indicazione del file “infetto”. 4.4. Sicurezza della rete. Il Firewall WatchGuard Firebox X5000, che separa le varie tratte della rete si occupa di filtrare tutto il traffico in transito, vedesi schema reti LAN e WAN in allegato al DPS. L’accesso alla rete è poi protetto dalla struttura logica basata su Active Directory, che comporta un elevato grado di sicurezza nell’imposizione dell’autenticazione ai servizi di rete. Pagina 43 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 4.5. Trasmissione dei dati. I dati sensibili che vengono trasmessi con varie procedure, implementano già, o sono in fase di implementazione di uno standard di crittografia del dato. Per le specifiche si rimanda alla procedura di attivazione del servizio. Il protocollo SSL è uno standard per autenticare l’accesso ai Server tramite un meccanismo a chiave pubblica (RSA) e per scambiare in modo sicuro una chiave di crittografia tra client e server. L’SSL, nello schema ISO-OSI, si posiziona al di sopra del livello di trasporto in modo da rendersi indipendente dall’applicazione che lo utilizza. Il protocollo SSL permette una connessione sicura TCP/IP sicura sulla base di tre proprietà: • le entità di comunicazione possono autenticarsi a vicenda utilizzando la crittografia a chiave pubblica: • la confidenzialità dei dati trasmessi è garantita dall’utilizzo di una chiave di sessione generata durante l’interazione tra le parti nella prima fase del protocollo; • l’integrità dei dati è garantita dall’utilizzo del Message Authentication Code (MAC). L’instaurazione di una connessione sicura mediante SSL comporta una procedura di scambio messaggi fra client e server (handshaking) che si articola nei seguenti nove passi nella versione 3.0 del protocollo (la versione 2.0, che non effettua l’autenticazione del client, non prevede i passi 6 e 7): 1. Client hello: il client invia una challenge phrase al server e comunica la scelta di un algoritmo a chiave privata per lo scambio dei messaggi (DES, RC2 o RC4), di un algoritmo a chiave pubblica per lo scambio delle chiavi di sessione (RSA, Diffie-Hellman, Fortezza-KEA) e di un algoritmo di hashing (MD5). 2. Server hello: il server invia al client il proprio server certificate (ottenuto da una CA), fornisce il proprio acknowledgment ai protocolli scelti dal cliente genera un connection identifier da usarsi nella successiva fase di comunicazione, client-server. Pagina 44 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 3. Client master key: il client verifica il server certificate inviatogli dal server (i certificati sono memorizzati nel browser per connessioni successive), genera una master session key usata come chiave generatrice di una coppia di chiavi simmetriche (una per le comunicazioni in uscita e l'altra per le comunicazioni in entrata) e la crittografa con la server public key contenuta nel public server certificate; il tutto è inviato al server. 4. Client finished: il Client, dopo aver inviato il messaggio cifrato, termina la propria sessione crittografando con la propria client-read key (server-write key) il connection identifier inviatogli dal server e si pone in attesa del messaggio server finished. 5. Server verifier: il server decrittografa la master session key inviatagli con la propria server private key, genera la coppia di chiavi simmetriche di sessione (lato server) e invia al client la challenge phrase iniziale crittografata con la server-write (Client-read) key; a questo punto il server è autenticato. 6. Request certificate: il server chiede che il client presenti un valido Client certificate e invia al client una nuova challenge phrase crittografata con la server-write (client-read) key. 7. Client certificate: il client invia al server una response phrase costruita crittografando, con la client-write key, la client public key unita all'hash (crittografato, come firma elettronica, con la client private key) della challenge phrase unita alla server public key; il server ricalcola 1'hash e lo confronta con quello ricavato decrittografando con la client public key la firma elettronica contenuta nella response phrase (il client è ora autenticato). 8. Server finished: il server termina la propria sessione inviando al client un session identifier (un numero univoco generato in modo casuale), utilizzabile in ogni altra sessione per evitare ulteriori handshaking che rallenterebbero la performance sul sistema. 9. Start communication sessions: ogni altra sessione client-server si instaurerà utilizzando le chiavi di sessione e i relativi algoritmi di crittografia simmetrici (più veloci di quelli asimmetrici) precedentemente definiti. Pagina 45 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Al termine della procedura di autenticazione si è formato un canale sicuro in cui tutti i dati in transito vengono criptati secondo la chiave di sessione e non utilizzando la coppia di chiavi in possesso dalle due parti. Questo modo di operare porta a una comunicazione più veloce, visto che la dimensione della chiave di sessione è nettamente inferiore a quella delle chiavi segrete. Nonostante il keyspace sia in tal modo diminuito, la sicurezza della comunicazione non viene meno, perché l’utilizzo di una chiave di sessione è limitata appunto a quel particolare scambio di informazioni e il numero di tentativi necessari per la scoperta della chiave occuperebbero un tempo troppo elevato rispetto al tempo in cui tale chiave viene utilizzata. Pagina 46 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 TABELLA 2- MISURE DI SICUREZZA RELATIVE AGLI STRUMENTI ELETTRONICI E ALTRE MISURE DI SICUREZZA Misura Descrizione dei rischi contrastati Gruppo di continuità Perdita accidentale di dati dovuta a sbalzi di tensione o a interruzioni dell’alimentazione elettrica Sicurezza Sala Server Violazione Fisica, Furto, Manomissioni, Incidenti Software Antivirus e aggiornamento virus conosciuti Firewall Introduzione di virus informatici attraverso la posta elettronica o software e dati di provenienza esterna e l’attivazione inconsapevole di applicazioni malevole durante la navigazione su Internet Rischi di penetrazione attraverso il collegamento ad Internet tramite FASTWEB Aggiornamento dei Sistemi Operativi (patch, fix, Service Pack, ecc.) Vulnerabilità degli strumenti elettronici dovuta a difetti e bug dei Sistemi Operativi Aggiornamento dei Programmi Vulnerabilità degli strumenti elettronici dovuta a difetti e bug dei Programmi Sistema di identificazione/a Accessi non autorizzati ai utenticazione/aut dati orizzazione Trattamenti interessati Misure già in essere Misure da adottare Struttura o persone addette all'adozione Tutti UPS Aros Sentry HPS + Gruppo Elettrogeno GEMAP2 Amministratori di Sistema. Tutti Chiusura a chiave Amministratori di Sistema. Antivirus: Symantec Endpoint Protection Tutti Amministratori di Sistema. Frequenza aggiornamento: Plurigiornaliera. Frequenza scansione: Real Time e programmata. Tutti Firewall WatchGuard FireBox X5000 Amministratori di Sistema. Amministratori di Sistema. Tutti Microsoft WSUS per server e client Riferimento a allegato “Elenco software” Riferimento a allegato “Elenco software” Riferimento a allegato “Sistema di identificazione e profili di autorizzazione” Riferimento a allegato “Sistema di identificazione e profili di autorizzazione” Amministratori di Sistema. Amministratori di Sistema. 4.6. Sicurezza fisica. La sicurezza fisica è stata analizzata attraverso la compilazione di opportune schede (scheda S03 e Scheda S04) allegate al DPS Pagina 47 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 5. CRITERI E MODALITA’ PER IL RISPRISTINO DELLA DISPONIBILITA’ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO 5.1. Ripristino della disponibilità dei dati. I dati sensibili risiedono su vari server adibiti ad esclusivo utilizzo del personale interno. Tutti i server sono dotati di dischi in Raid 5. RAID, ovvero Redundant Array of Inexpensive Disk, non solo fornisce la tolleranza ai guasti in caso di crash dei dischi rigidi, ma può anche migliorare le prestazioni del sistema. RAID ripartisce le copie dei dati da salvare su più dischi rigidi. Ciò impedisce che l'intero sistema si blocchi a causa del guasto di una singola unità. Inoltre migliora le prestazioni, dato che più dischi possono lavorare insieme per salvare simultaneamente file di grandi dimensioni. Il processo mediante il quale i dati vengono ripartiti su più dischi, è noto come striping. A seconda del livello di RAID che si sta usando, il sistema potrebbe anche memorizzare informazioni di parità note come Error Correction Code (ECC). Alcuni sistemi RAID sono hot swappable, a indicare che le unità possono essere sostituite mentre il computer è in uso, riducendo così a zero il tempo di inattività. RAID può essere implementato come soluzione hardware o software. Nel caso di un RAID hardware, il controller RAID si prende cura di tutte le funzionalità RAID, facendo sì che 1'array appaia al sistema operativo come un singolo disco logico. Il RAID software è un codice di programmazione, che appartiene al sistema operativo oppure è disponibile come software aggiuntivo. Il RAID software solitamente è più lento del RAID hardware perché richiede un utilizzo maggiore della CPU. Indipendentemente dalla soluzione che si utilizza, le classificazioni RAID sono ripartite in livelli diversi: RAID 0-RAID 5. Esistono classificazioni per RAID 6-RAID 10, ma si tratta semplicemente di varianti delle sei specifiche originali. • RAID 0 viene usato specificamente per ottenere prestazioni migliori e non fornisce alcuna tolleranza ai guasti. Invece di salvare un file su un singolo disco, RAID 0 ripartisce i dati su Pagina 48 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 più dischi rigidi. Ciò migliora le prestazioni, permettendo alle unità di condividere il carico di memorizzazione, però aumenta anche le possibilità che si verifichi un guasto, dato che il crash di un solo disco disattiverà l'intero array. Poiché la tolleranza ai guasti è assente, RAID 0 non è ampiamente usato. • RAID 1 conserva una copia completa di tutti i file su ciascun disco. Ecco perché talvolta si fa riferimento a RAID 1 con il termine disk mirroring. Se un singolo disco si guasta, ognuno dei dischi rimasti possiede una copia completa dell'intero file system. Ciò impedisce che un crash di sistema sia da imputarsi a uno qualsiasi dei dischi. Questo significa inoltre che la memorizzazione su disco è limitata alle dimensioni di un solo disco. In altre parole, se si hanno due unità da 4 GB tra le quali è operante il mirroring, si dispone di uno spazio di memorizzazione pari solo a 4 GB, non a 8 GB. Un array di dischi RAID 1 in realtà fornirà prestazioni peggiori di quelle che fornirebbe un solo disco, perché il controller deve inviare una copia completa di ogni file a ogni unità. Questo limita la velocità dell'array a quella del disco più lento. Novell ha sviluppato un termine per una variante del disk mirroring chiamata disk duplexing. Il disk duplexing funziona come il disk mirroring, tranne per il fatto che vengono usate più schede controller. Ciò aiuta a eliminare almeno in parte la riduzione di prestazioni perché ogni controller deve comunicare solo con un'unica unità. II duplexing aiuta anche a incrementare la tolleranza ai guasti, perché il sistema può sopravvivere non solo al guasto di una delle unità, ma anche al guasto di uno dei controller. • RAID 2 è simile a RAID 5, tranne per il fatto che i dati vengono memorizzati su disco un byte alla volta. Viene anche usata la correzione degli errori per impedire che il guasto di una singola unità disabiliti l'array. II trasferimento di dati attraverso una modalità a blocchi, usata da altre specifiche RAID, è molto più efficiente della modalità a byte usata da RAID 2. Di conseguenza RAID 2 è caratterizzato da prestazioni estremamente scarse, soprattutto quando Pagina 49 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 si ha a che fare con molti file piccoli. A causa di queste prestazioni non esaltanti, RAID 2 è scarsamente usato. • RAID 3 e RAID 4 hanno specifiche identiche, tranne per il fatto che RAID 3 implica l'uso di tre dischi, mentre RAID 4 ne richiede quattro. Queste specifiche RAID dedicano un singolo disco alla correzione degli errori e si servono dello striping per ripartire i dati sui dischi restanti. In altre parole, in un array RAID 4 i dischi 1-3 conterranno i dati in striping, mentre il disco 4 verrà dedicato alla correzione degli errori. Ciò permette all'array di restare funzionale anche nel caso in cui una unità venisse a mancare. ECC, in sostanza, è una sommatoria matematica dei dati memorizzati su tutti gli altri dischi rigidi. Tale valore ECC viene generato su base blocco per blocco. Per esempio, si consideri il problema matematico che segue: 3 + 4 + 2 + 6 = 15 Si pensi a tutti i valori a sinistra del segno uguale come a dati memorizzati in un determinato blocco su ogni disco di dati in un array RAID 4. Si pensi al totale come al valore memorizzato nello stesso blocco su una unità di parità. Adesso si supponga che il disco 3 si guasti e che venga effettuata una richiesta relativa a questo gruppo di blocchi. L'array RAID si trova di fronte al seguente problema: 3 + 4 + ? + 6 = 15 Come si può constatare, è piuttosto semplice dedurre il valore mancante. Ciò richiede un po' più di elaborazione, quindi l'accesso al disco ne risulta leggermente rallentato, tuttavia 1'array è in grado di riprodurre i dati mancanti e restituire le informazioni dei file. Questo esempio è molto semplificato, però mostra per sommi capi il modo in cui RAID livelli 3-5 provvede al ripristino in seguito al guasto di un disco. Dai RAID livelli 3 e 4 si inizia a constatare un miglioramento nelle prestazioni rispetto all'uso di un singolo disco. Inoltre garantire la tolleranza ai guasti è meno oneroso dal punto di vista Pagina 50 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 della memorizzazione. Dato che i dati sono memorizzati su tutti i dischi, tranne uno, la capacità totale di memorizzazione di un array RAID 3 o RAID 4 corrisponde alla capacità complessiva dei dischi detratta la capacità di uno di loro. In altre parole, se si hanno quattro unità da 4 GB in una configurazione RAID 4, si disporrà di uno spazio complessivo di memorizzazione pari a 12 GB. • RAID 5 è simile a RAID 3 e RAID 4, tranne per il fatto che tutti i dischi vengono usati sia per memorizzare i dati che per memorizzare l'ECC. Ciò aiuta a migliorare la velocità rispetto a RAID 3 e RAID 4, che possono essere soggetti a colli di bottiglia sull'unità di parità. Aiuta inoltre a migliorare la capienza, dato che si possono usare più di cinque unità in un array RAID 5. Come nel caso del RAID 3 e 4, la capacità di memorizzazione totale è data dalla capacità combinata di tutti i dischi meno uno. RAID 5 è senza dubbio la soluzione RAID più popolare dopo il disk mirroring. 5.2. Criteri e modalità per il ripristino della disponibilità dei dati. 5.2.1. Guasti hardware I dischi in raid garantiscono la continuità della disponibilità dei dati anche in caso di rottura di uno dei dischi. Il server sono attualmente in garanzia, o coperti da contratto di assistenza con il fornitore. 5.2.2. Backup dei dati Il backup dei dati avviene come descritto al punto 4.3. Sicurezza ed integrità dei dati. Con questa procedura si riescono a ripristinare i dati fino alla sera precedente il guasto, partendo da un server nuovo. 5.2.3. Protezione fisica. I server sono situati nel CED dell’Azienda che è chiuso a chiave. Pagina 51 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 6. IL PROGRAMMA DI FORMAZIONE DEGLI INCARICATI 6.1 Piano di formazione. Gli incaricati saranno formati dal Titolare che potrà avvalersi anche di figure professionali esterne all’Azienda e dal Direttore di Struttura in qualità di Responsabile del trattamento. La formazione è programmata al momento dell’ingresso in servizio degli incaricati, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Tale Piano andrà aggiornato con cadenza annuale e tutte le volte che si renda necessario da una nuova disposizione di legge. Il Piano di formazione 2009 ha previsto: -Corsi online attraverso il portale Unolearning.it per circa n.500 addetti (sono stati formati unità di personale del ruolo sanitario appartenenti alla categoria “Coordinatore Infermieristico”(ex Inf. Prof.le) Il Piano di formazione 2010 prevederà: -Corsi online attraverso il portale Unolearning.it per altri n. 500 addetti. - Corso in aula per Amministratori di Sistema della durata di 1 giorno presso la sede dell’ASL CN2 tenuto dal Consulente esterno con rilascio di Attestato. Pagina 52 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 7. CRITERI DA ADOTTARE PER GARANTIRE L’ADOZIONE DELLE MISURE MINIME DI SICUREZZA IN CASO DI TRATTAMENTI DI DATI PERSONALI AFFIDATI ALL’ESTERNO DELLA STRUTTURA Nei casi di trattamenti di dati personali affidati all’esterno l’Azienda nomina Responsabile del trattamento, ove applicabile, la società che gestisce il trattamento (ai sensi dell’art. 29 del Codice): quest’ultima riceve la designazione per iscritto all’interno della quale vengono elencati gli impegni del Responsabile, anche per quanto attiene alle misure di sicurezza. L’Azienda provvede, tramite verifiche periodiche, a vigilare sulla puntuale osservanza degli ordini impartiti. In caso di società esterna che tratti i dati con il ruolo di Titolare del trattamento l’Azienda fa assumere alla società esterna una serie di impegni su base contrattuale, tra cui: 1. trattamento di dati per soli fini dell’espletamento dell’incarico ricevuto; 2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali; 3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere; 4. impegno a relazionare periodicamente sulle misure di sicurezza adottate e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenza. Pagina 53 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 8. CRITERI PER LA CIFRATURA O PER LA SEPARAZIONE DI DATI IDONEI A RIVELARE LO STATO DI SALUTE E LA VITA SESSUALE DAI DATI PERSONALI DELL’INTERESSATO La totalità dei dati personali trattati dall’Azienda con procedure centralizzate è gestita tramite software acquistate/gestite da ditte esterne i cui contratti di manutenzione obbligano le suddette ditte a recepire ed implementare la normativa corrente riguardo la privacy e sicurezza dei dati. Sono state inviate alle varie ditte fornitrici formali richieste di certificazione di conformità a quanto previsto dalla legge sulla privacy delle loro rispettive procedure. Verifiche approfondite hanno evidenziato, in particolar modo relativamente all’utilizzo di procedure di gestione di apparecchiature elettromedicali di non recente acquisizione (Laboratorio analisi di Bra) la necessità di effettuare alcuni aggiornamenti, peraltro compresi a livello di licenze software nei contratti di manutenzione in essere con le ditte fornitrici coinvolte. Elenco ditte fornitrici: • Dedalus S.p.A. • 3B s.r.l. • Value Team S.p.A. • Nova s.r.l. • Bitelo s.a.s. • Tesi Imaging s.r.l. • ADS Pagina 54 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 9. IL PIANO DI VERIFICHE E DI AGGIORNAMENTO PERIODICO DEL MANUALE Le verifiche del Piano di Sicurezza si focalizzeranno sulle seguenti tematiche: - L’accesso fisico ai locali ove si svolge il trattamento automatizzato. - La gestione delle parole chiave e dei profili di accesso degli incaricati. - Le procedure atte a verificare l’integrità e l’aggiornamento dei dati personali. - La sicurezza delle trasmissioni in rete. - Le modalità di conservazione dei documenti, non soggetti a trattamento automatizzato. - Le modalità di reimpiego di supporti di memorizzazione. - Il livello di formazione ed il grado di apprendimento degli incaricati. Sarà cura del Responsabile effettuare tali verifiche almeno 1 volta l’anno. Il presente documento consta di 56 (cinquantasei) pagine, viene finito di redigere il 26 marzo 2010 e dovrà essere aggiornato entro il 31 marzo 2011 ai sensi del punto 19 dell’Allegato tecnico in materia di misure minime di sicurezza (Allegato B del D.lgs. 196/03 “Codice in materia di protezione dei dati personali”). Alba, lì 26 marzo 2010 Il Titolare del Trattamento ____________________________ Il Responsabile del Trattamento ______________________________ Pagina 55 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 ELENCO ALLEGATI • Elenco hardware (riferimento capitolo 3.1.1 e capitolo 4.1) • Schema della rete LAN e WAN (riferimento capitolo 3.1.1) • Elenco software (riferimento capitolo 3.1.2, capitolo 4.1 e tabella 2) • Documento “Sistema di identificazione e profili di autorizzazione” (riferimento capitolo 4.2 e tabella 2) • Documento “Procedura di backup” (riferimento capitolo 4.3) • Documento “Procedura di ripristino della disponibilità dei dati” (riferimento capitolo 5.1) Le schede allegate al DPS sono disponibili SOLO in formato elettronico Pagina 56 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Regione Piemonte Azienda Sanitaria Locale CN2 Via Vida n. 10 - 12051 ALBA (CN) Dipartimento Logistico Tecnico S.O.C. SISTEMI INFORMATIVI ED INFORMATICI VIA OSPEDALE, 14/D – 12051 ALBA (CN) VIA VITTORIO EMANUELE, 3 – 12042 BRA (CN) Tel. 0172/420309 Fax 0172/420120 E-mail: [email protected] ELENCO HARDWARE E SCHEMA SERVER Il presente documento elenca le risorse hardware in essere presso l’azienda ASL CN2 . Stazioni di lavoro: In azienda sono presenti circa 1000 stazioni di lavoro rappresentate da Personal Computer delle seguenti marche/modelli IBM PC300GL IBM PC300 IBM NetVista IBM/Lenovo ThinkCentre IBM/Lenovo ThinkPad SiComputer Activa Mac Book Server: vedi schemi allegati - Mappa dei server sulle reti di Alba e Bra Pagina 57 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Pagina 58 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Regione Piemonte Azienda Sanitaria Locale CN2 Via Vida n. 10 - 12051 ALBA (CN) Dipartimento Logistico Tecnico S.O.C. SISTEMI INFORMATIVI ED INFORMATICI VIA OSPEDALE, 14/D – 12051 ALBA (CN) VIA VITTORIO EMANUELE, 3 – 12042 BRA (CN) Tel. 0172/420309 Fax 0172/420120 E-mail: [email protected] ELENCO SOFTWARE Il presente documento elenca le procedure software in essere sui server dell’azienda ASL CN2 . Ditta Dedalus Spa di Firenze Contabilità generale Riclassifiche di bilancio Budget trasversale di c. economica Incassi e fatturazioni attive Cartella documenti contabili Gestione Conto deposito Magazzino Economale Integrazione database farmaceutici Cassa economale Proposte d’ordine Scarico con lettore ottico Invio doc. acquisto Via Fax/E-mail Gestione e-procurement Incassi da riscuotitrici automatiche Gestione dei contratti Logistica e contabile dei cespiti Produzione interna farmaci Modulo base contabile Contab. Direzionale budget ricircoli Infrastruttura e graficizzaz. Stampe Logistica di reparto Gao Ditta MICRONTEL SPA Modulo acquisizione dati winatt Pagina 59 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 procedura Micronwin modulo mensa Ditta Dedalus Spa di Firenze Laboratorio Analisi AS 400 Laboratorio trasfusionale e Banca del sangue n.33 Collegamenti strumenti Laboratori Analisi Alba e Bra n.2 Unità Operative Gestioni Urgenze n.7 Unità Operative Flusso Continuo Collegamento a procedura di Pronto Soccorso Collegamento Gelab e strumenti di laboratorio in ambiente windows-Faslink Collegamento con strumentazione Modular PP Collegamento con strumentazione Lab It Up Millenium Collegamento Laboratorio Analisi con strumentazione di laboratorio Alfa Wassermann OC Sensor Micro – P.O. Alba n.9 Collegamenti Faslink con la strumentazione di laboratorio Collegamento con strumentazione VES CUBE (DIESSE) – P.O. Alba e P.O. Bra Interfacciamento strumento Dimension ad Alba con implementazione di funzionalità aggiuntive (DADE BEHRING) Licenza collegamento bidirezionale con sistema TAONET (ROCHE) Licenza collegamento bidirezionale con sistema PC-DPS (DASIT) Ditta Dedalus Spa di Firenze InfoClin Cartelle cliniche Med’s Office. Hospital Web Repository Aziendale - CDW Clinica data wharehouse Pronto soccorso e Triage CUP-PW E-Telecup Sistema Informativo Territoriale LHA Rilevazione attività ambulatoriali Ricoveri ospedalieri Lista di attesa ricoveri Laboratorio di radiologia Motore di integraz. con servizi sanitari Cup unificato Integrazione da cup ai servizi sanitari Integraz. anagrafe altri fornitori Vaccinazioni Sistema di distribuzione cartella Integrazione Anagrafe LHA con Anagrafe Provinciale (IIA) Ditta IG CONSULTING srl di Modena Pagina 60 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 DssMUSA Ghost/Sdo Ditta BITELO Sas di Settimo Torinese SAOADI Ditta 3M ITALIA SPA DRG Finder Ditta Dedalus Spa di Firenze Anatomia Patologica ARMONIA software ORACLE Ditta VALUE TEAM S.p.A. di Roma Software DOCSPA Ditta TESI IMAGING SRL EcoPlus Ditta NOVA srl Software prenotazione pasti “EMEAL” Ditta 3B (EX KODAK) Software gestione sistema RIS Software distribuzione immagini ai reparti Ditta BLULAB Sito internet aziendale Ditta ADS Pagina 61 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Anagrafe Provinciale Ditta Dedalus Spa di Firenze Gestione giuridica del personale Gestione Pianta Organica Gestione trattamento economico del personale (comprensivo di Gestione delle carriere economiche e conguagli) Trattamento Economico Medici di Base e Pediatri Trattamento Economico Guardia Medica Trattamento Economico Specialisti Ambulatoriali Interni Indagine congiunturale trimestrale Collegamenti paghe contabilità Gestione delle incentivazioni (prodotto personalizzato e quantificato nelle attività) Gestione Libera Professione Rilevazione presenze (comprensivo dei Conguagli variabili) Gestione assenze (comprensivo della certificazione assenze) Tabelle ministeriali (conto annuale) Gestione 770 Framework base Pagina 62 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Regione Piemonte Azienda Sanitaria Locale CN2 Via Vida n. 10 - 12051 ALBA (CN) Dipartimento Logistico Tecnico S.O.C. SISTEMI INFORMATIVI ED INFORMATICI VIA OSPEDALE, 14/D – 12051 ALBA (CN) VIA VITTORIO EMANUELE, 3 – 12042 BRA (CN) Tel. 0172/420309 Fax 0172/420120 E-mail: [email protected] PROCEDURA DI BACKUP Il presente documento elenca le procedure di salvataggio e ripristino dei dati memorizzati sui server dell’azienda ASL CN2 gestiti dal personale della SOC SII. Sul server AS400 AMMINISTRATIVO viene eseguito un backup configurato nel seguente modo: backup differenziale monocassetta dal lunedì al venerdì. La cassetta viene cambiata giornalmente e viene archiviata per 2 settimane. Sul server AS400 SANITARIO viene eseguito un backup configurato nel seguente modo: backup differenziale monocassetta dal lunedì al venerdì. La cassetta vengono cambiata giornalmente e viene archiviata per 2 settimane. Sul server AS400 LAB. ANALISI ALBA/BRA viene eseguito un backup configurato nel seguente modo: backup differenziale con utilizzo di 6 cassette, una per giorno. Le cassette vengono cambiate settimanalmente e vengono archiviate per 2 settimane. Sul server SRVFS viene attualmente eseguito un backup configurato nel seguente modo: backup incrementale quotidiano su disco. Su base bisettimanale viene salvata una immagine completa del server su disco esterno. Sul server SRVPOSTA viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Sul server DNASERVER viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Sul server SRVBLUES viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Sul server SRVPASTALBA viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Pagina 63 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Sul server SRVSERVIZI viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Sul server SRVCEDALBA viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Sul server SRVNHR viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Sul server SRVRISDB viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Sul server SRVRISWEB viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Sul server SRVWEB viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Sul server SRVWOKY viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Sul server SRVWSUS viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco. Sul server SRVPROTALBA viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco Sul server SRVSQLALBA viene eseguito un backup configurato nel seguente modo: backup giornaliero ma su disco. Sul server SRVSQL viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco del database. Sul server SRVAPPS viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco del database. Sul server RADIOLOGIA viene eseguito un backup configurato nel seguente modo: Programma di archiviazione sostitutiva tramite masterizzazione su DVD. Sul server SRVETBRA viene eseguito un backup configurato nel seguente modo: backup quotidiano su disco del server SRVSIVBRA. Sul server SRVSIVBRA viene eseguito un backup configurato nel seguente modo: backup giornaliero su disco del database. Backup giornaliero su cassetta. Le cassette vengono cambiate settimanalmente e vengono archiviate per 2 settimane. Sul server SRVCEDBRA viene eseguito un backup configurato nel seguente modo: backup globale con utilizzo di 5 cassette, una per giorno. Le cassette vengono cambiate settimanalmente e vengono archiviate per 2 settimane. In più viene fatto un backup giornaliero incrementale su server SRVBACKUPBRA. Pagina 64 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Per tutti i server virtuali viene eseguito una copia mirror sincrona dei dati su una seconda SAN dislocata presso i locali del Laboratorio Analisi del presidio ospedaliero di Alba. Per quanto riguarda quei server che ancora utilizzano un procedura di backup su supporti rimuovibili (nastri magnetici), vengono create copie settimanali, mensili ed annuali dei backup, che sono custodite all’interno della S.O.C. S.I.I. Viene adottata una modalità di scambio tra le sedi di Alba e di Bra delle copie dei backup settimanali in modo da proteggerle da eventuali incidenti nei siti di origine. Le procedure di restore dei dati avverranno in base alla gravità dell’accaduto ed alla tipologia dell’hardware coinvolto. Pagina 65 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Regione Piemonte Azienda Sanitaria Locale CN2 Via Vida n. 10 - 12051 ALBA (CN) Dipartimento Logistico Tecnico S.O.C. SISTEMI INFORMATIVI ED INFORMATICI VIA OSPEDALE, 14/D – 12051 ALBA (CN) VIA VITTORIO EMANUELE, 3 – 12042 BRA (CN) Tel. 0172/420309 Fax 0172/420120 E-mail: [email protected] PROCEDURA DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI Il presente documento elenca le procedure di ripristino della disponibilità dei dati memorizzati sui server dell’azienda ASL CN2 gestiti dal personale della SOC SII. In ottemperanza a quanto previsto dalla normativa, si sono valutate soluzioni per la gestione del Disaster Recovery relative ai server dell’azienda. Gli interventi prospettati da parte delle aziende contattate, in funzione di sistemi complessi, in grado di garantire una totale continuità di esercizio (ripristino completo della funzionalità del sistema entro poche ore dal verificarsi dell’evento disastroso), richiederebbero un intervento di spesa non compatibile con le attuali disponibilità di bilancio dell’azienda. In alternativa, si è scelto di coinvolgere le aziende fornitrici dei software applicativi da noi utilizzati affinché si rendano disponibili a ripristinare sui propri sistemi i backup dei nostri dati, e dunque a garantire l’accessibilità entro i 7 giorni previsti dalla legge. Pagina 66 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Regione Piemonte Azienda Sanitaria Locale CN2 Via Vida n. 10 - 12051 ALBA (CN) Dipartimento Logistico Tecnico S.O.C. SISTEMI INFORMATIVI ED INFORMATICI VIA OSPEDALE, 14/D – 12051 ALBA (CN) VIA VITTORIO EMANUELE, 3 – 12042 BRA (CN) Tel. 0172/420309 Fax 0172/420120 E-mail: [email protected] SCHEMA DELLA RETE LAN E WAN Il presente documento contiene gli schemi della rete Lan e Wan in essere presso l’azienda ASL CN2 . Nel dettaglio: - Layout rete ASL CN2 Schema di collegamento Ponte Radio ASL CN2 Via Fratelli Bandiera Schema di collegamento Ponte Radio ASL CN2 Sert Bra Pagina 67 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Pagina 68 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Pagina 69 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Pagina 70 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Regione Piemonte Azienda Sanitaria Locale CN2 Via Vida n. 10 - 12051 ALBA (CN) Dipartimento Logistico Tecnico S.O.C. SISTEMI INFORMATIVI ED INFORMATICI VIA OSPEDALE, 14/D – 12051 ALBA (CN) VIA VITTORIO EMANUELE, 3 – 12042 BRA (CN) Tel. 0172/420309 Fax 0172/420120 E-mail: [email protected] SISTEMA DI IDENTIFICAZIONE E PROFILI DI AUTORIZZAZIONE Il presente documento illustra il sistema di identificazione degli utenti ed i relativi profili di autorizzazione utilizzati per la gestione del sistema informatico dell’ASL CN2. Il sistema informatico è costituito da due ambienti operativi principali: piattaforma Microsoft Windows e piattaforma IBM AS/400. Ognuna delle due piattaforme è dotata di un proprio sistema di identificazione e di autorizzazione. Alcuni applicativi sono inoltre anch’essi dotati di uno specifico sistema di identificazione e di autorizzazione, oltre a quello dell’ambiente operativo nel quale vengono eseguiti. Allo stato attuale, ogni ambiente operativo e/o applicativo richiede la propria validazione delle credenziali di autenticazione. Un solo applicativo, denominato Hospital Web, è al momento in grado di ereditare le credenziali di autenticazione dall’ambiente operativo (Windows) tramite una funzione di “trust”. E’ allo studio un sistema di validazione unica (Single Sign-on) che permetta di limitare il numero di credenziali necessarie all’utilizzo dei diversi applicativi nei differenti ambienti operativi. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato, associato ad una parola chiave riservata. L’impiego delle credenziali da parte degli utilizzatori è disciplinata dal regolamento aziendale per l’applicazione della normativa in materia di privacy (determinazione direttoriale 1519 dell’8 settembre 2004). Le cartelle di condivisione dati sui server sono organizzate a livello di Strutture Operative. A ciascuna struttura corrisponde una cartella di memorizzazione dati ed un gruppo di utenti. L’accesso ad una cartella condivisa è consentito solamente agli utenti appartenenti al gruppo corrispondente, in modo da garantire che le informazioni trattate da una data Struttura Operativa non siano accessibili ad utenti appartenenti ad altre Strutture. E’ in corso di completamento una implementazione di procedure informatiche che richiede una riorganizzazione delle credenziali di autenticazione attualmente in essere, già in larga parte assegnate per singolo utilizzatore. Le procedure informatiche più obsolete, le quali presentavano complessità operative che rendevano difficoltosa l’assegnazione di credenziali individuali sono in via di dismissione, ed il progetto di sostituzione verrà completato entro fine 2010. Pagina 71 Regione Piemonte - Azienda Sanitaria Locale CN2 “Alba – Bra” Segue determinazione n. 579/000/DIG/10/0015 del 31 marzo 2010 Invio al controllo della Giunta della Regione, ex art. Invio al Collegio Sindacale 2, c. 1, L.R. 30 giugno 1992, n. 31 Prot. n. _____________ del ____________________ prot. n. _____________ del ____________________, Invio alla Rappresentanza della Conferenza dei Sindaci: ricevuta dalla Regione in data __________________ Prot. n. ______________ del ___________________ CERTIFICATO DI REGISTRAZIONE CONTABILE Richiesta chiarimenti da parte della Regione Si dichiara l'avvenuta registrazione contabile da prot. n. _____________ del ____________________ parte della S.O.C. Gestione Economico-Finanziaria Alba, lì ______________ IL FUNZIONARIO INCARICATO Risposta chiarimenti da parte della Regione con nota prot. n. _____________ del ____________________, ____________________ CERTIF ICATO DI P UB B LICAZIO NE ricevuta dalla Regione in data _________________ Si certifica che la presente determinazione è stata posta in pubblicazione presso l’Albo dell’A.S.L. Provvedimento conclusivo del procedimento n. __________________ del ___________________ CN2, il _______________________ per quindici giorni consecutivi declaratorio di nullità o decadenza di annullamento o non approvazione di approvazione IL FUNZIONARIO INCARICATO S.O.C. AFFARI GENERALI Silvia BARACCO F.TO BARACCO CERTIFICATO DI ESECUTIVITA’ Provvedimenti soggetti al controllo della Giunta della Regione Provvedimenti non soggetti al Controllo della Giunta della Regione Si certifica che la presente determinazione è divenuta esecutiva il _________________________ per decorrenza dei termini per approvazione da parte della Giunta della Regione Si certifica che la presente determinazione è divenuta esecutiva il 31 essendo immediatamente eseguibile essendo trascorsi dieci giorni dalla pubblicazione (art. 3, L.R. 30/06/92, n. 31) IL FUNZIONARIO INCARICATO S.O.C. AFFARI GENERALI Silvia BARACCO F.TO BARACCO Pagina 72 marzo 2010