aggiornamento del documento programmatico piano operativo per

Transcript

COPIA
CITTA’ DI ARZIGNANO
Provincia di Vicenza
Sede: Piazza Libertà n. 12 – Arzignano – (VI) C.A.P. 36071
COD. FISC.: 00244950242
Verbale letto,
VERBALE DELLA
GIUNTA COMUNALE
approvato e sottoscritto.
IL PRESIDENTE
f.to STEFANO
FRACASSO
N. 77 del Reg. Delib.
OGGETTO:
IL SEGRETARIO
GENERALE
f.to MARIA VOTTA
AGGIORNAMENTO DEL DOCUMENTO
PROGRAMMATICO PIANO OPERATIVO PER LE
MISURE DI SICUREZZA EX D.LGS. 196/2003
GRAVINA
L’anno 2007, il giorno 28 del mese di Marzo alle ore 17:50 , nella Sala delle
Adunanze si è riunita la Giunta Comunale con la presenza di:
In pubblicazione
all’Albo Pretorio
per quindici giorni
consecutivi
dal
03/04/2007.
F.to IL SEGRETARIO
GENERALE
PRESENTI
STEFANO FRACASSO
PAOLO CASSAN
ANZOLIN STEFANO
DE MARZI STEFANO
DE SANCTIS ANTONIO
GIACOMELLO GIANDOMENICO
PERETTI LORELLA
SIGNORIN GIANFRANCO
Sindaco
Vice Sindaco
Assessore
Assessore
Assessore
Assessore
Assessore
Assessore
ASSENTI
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Assiste alla seduta il Segretario Generale Dr. MARIA VOTTA GRAVINA.
Il Presidente STEFANO FRACASSO, riconosciuta legale l’adunanza, invita la
Giunta a deliberare sull’oggetto sopraindicato.
Copia conforme
all’originale ad uso
amministrativo.
Lì, _______________
IL SEGRETARIO
GENERALE
___________________
CERTIFICATO DI ESECUTIVITA’
Divenuta esecutiva il 13/04/2007.
IL SEGRETARIO GENERALE
F.to Maria Votta Gravina
LA GIUNTA COMUNALE,
RICHIAMATA la propria precedente deliberazione n. 103 del 16 luglio 2003 avente ad oggetto
“Approvazione del documento programmatico – piano operativo per le misure di sicurezza per il
trattamento dei dati personali nell’ambito delle attività del Comune di Arzignano”, esecutiva ai sensi di
legge con cui si è provveduto ad individuare le misure minime di sicurezza previste dalla normativa per
garantire l’integrità dei dati personali contenuti negli archivi;
PRESO ATTO che
• il Codice entrato in vigore il 1^ gennaio 2004 ha confermato la disciplina in materia di sicurezza
dei dati personali introdotta nel 1996;
• in particolare oltre alle misure minime di sicurezza vi è un dovere più generale di custodire i dati
personali in modo tale da contenere il più possibile il rischio che siano distrutti, dispersi,
conoscibili al di fuori dei casi consentiti o trattati in modo illecito, nonché di introdurre ogni utile
dispositivo di protezione legato alle nuove conoscenze tecniche;
DATO ATTO che gli obblighi, così come specificato nel parere del Garante per la protezione dei
dati personali del 22 marzo 2004, sono di due tipi: l’obbligo più generale di ridurre al minimo determinati
rischi nonché il dovere di adottare in ogni caso le “misure minime” di cui l’omessa adozione come
specificato nell’allegato B) del Codice costituisce reato (art. 169 c.c.);
PRESO ATTO che il Sindaco, in qualità di titolare del trattamento dei dati sensibili del D. Lgs.
n° 196/2003, con proprio provvedimento in data 28/03/2007, ha affidato l’incarico di “Amministratore di
sistema”, al dott. Nicola Gramola, il quale dovrà svolgere i compiti stabiliti nell’allegato B del
disciplinare tecnico in materia di misure minime di sicurezza;
DATO ATTO che il Sig. Guido Bortolan, istruttore direttivo tecnico del Servizio CED ha
aggiornato il Documento programmatico di sicurezza e ritenuto pertanto di doverlo adottare al fine di
garantire nel modo più efficace possibile la sicurezza dei dati trattati;
RICHIAMATE inoltre le proprie precedenti deliberazioni n. 194 del 1999 e n. 1 del 2002
relative alla nomina dei Responsabili del trattamento e ritenuto di doverle aggiornare sulla base dei
recenti incarichi affidati;
VISTO il D. Lgs. N. 196/2003;
VISTI gli allegati pareri previsti dall’art. 49 del D.Lgs. n. 267/2000;
Con voti unanimi, espressi nei modi e nelle forme di legge;
DELIBERA
1. di approvare il Piano di sicurezza informatica così come predisposto dall’Amministratore di sistema
Dott. Nicola Gramola nel rispetto delle misure minime di sicurezza come previsto dal D. Lgs. N.
196/2003, come configurato nell’allegato, parte integrante e sostanziale del presente atto;
2. di dare atto che ciascun dipendente dovrà attenersi a quanto stabilito dall’Amministratore del sistema
per il corretto uso dei mezzi e per la sicurezza delle banche dati a disposizione;
3. di dare atto che i Responsabili del trattamento sono identificati nei soggetti di nomina dirigenziale
ciascuno per il settore di competenza;
2
4. di dare atto che ciascun dirigente di settore, provvederà ove necessario, con propria determinazione, a
definire, nel rispetto del documento programmatico riportato in allegato, soluzioni operative per
l’applicazione delle misure di sicurezza, con particolare attenzione per eventuali specificità o
complessità strutturali dell'articolazione organizzativa cui risultano essere preposti;
5.
di dichiarare la presente deliberazione, con successiva votazione e con voti unanimi, immediatamente
eseguibile, ai sensi dell’art.134 – comma 4 – del D.Lgs. 18.08.2000, n. 267, data la necessità di
adottare il nuovo allegato entro il 31 dicembre p.v. così come previsto dal Garante.
3
Allegato alla deliberazione di G.C. n. 77 del 28/03/2007.
COMUNE DI ARZIGNANO
G.C. n. 77 del 28/03/2007
OGGETTO
AGGIORNAMENTO DEL DOCUMENTO PROGRAMMATICO - PIANO
OPERATIVO PER LE MISURE DI SICUREZZA EX D.LGS. 196/2003
Parere tecnico del Responsabile del Servizio:
FAVOREVOLE.
lì, 28/03/2007.
Il Dirigente Settore Economico Finanziario
F.to Alessandra Maule
Parere contabile del Responsabile di Ragioneria:
FAVOREVOLE.
Lì, 28/03/2007.
Il Dirigente Settore Economico Finanziario
F.to Alessandra Maule
1
Allegato alla deliberazione di G.C. n° 77 del 28/03/2007.
IL SINDACO
F.to Stefano Fracasso
PIANO DI SICUREZZA INFORMATICA
PARTE A: rischi e contromisure di carattere generale
Articolo 1. Definizioni
Un sistema informativo automatizzato si definisce sicuro quando soddisfa le seguenti proprietà:
• Disponibilità: l'informazione ed i servizi che eroga devono essere a disposizione degli utenti del
sistema compatibilmente con i livelli di servizio.
• Integrità: l'informazione ed i servizi erogati possono essere creati, modificati o cancellati solo dalle
persone autorizzate a svolgere tale operazione.
• Autenticità: garanzia e certificazione della provenienza dei dati.
• Confidenzialità o Riservatezza : l'informazione che contiene può essere fruita solo dalle persone
autorizzate a compiere tale operazione.
Articolo 2. Ambito di applicazione
1.
2.
3.
4.
5.
Il presente documento definisce il piano per la sicurezza informatica relativo alla formazione, alla
gestione, alla trasmissione, all'interscambio, all'accesso, alla conservazione dei documenti informatici, ai
sensi dell'art. 4 lettera c del D.P.C.M. 31 ottobre 2000 "Regole tecniche per il protocollo informatico di cui
al D.P.R. 20 ottobre 1998, n. 428'' e ai sensi dell'art.10 Deliberazione AIPA 51/2000.
Il piano per la sicurezza informatica è predisposto dall’Amministratore di sistema [cfr. Deliberazione della
G.C. n. 01 del 10.01.2000] d'intesa con i titolari dal tarttamento dei dati personali e nel rispetto delle
misure minime di sicurezza come previsto D.L. 30 giugno 2003, n. 196.
Il piano fa parte del manuale di gestione di cui alle regole tecniche emanate ai sensi del D.P.R. 20
ottobre 1998, n.428 [cfr. art.10 c. 2 Deliberazione AIPA 51/2000].
Il piano considera i seguenti aspetti: analisi del rischio, politiche di sicurezza, interventi operativi, piano
della formazione [cfr. art.10 c. 3 Deliberazione AIPA 51/2000], misure minime di sicurezza ai sensi del
D.L. 30 giugno 2003, n. 196 [cfr. artt da 33 al 36 e all. B].
Il piano è sottoposto a verifica ed aggiornato con cadenza annuale.
Articolo 3. Finalità
Il crescente ricorso alle tecnologie dell'informazione e della comunicazione intrapreso per lo snellimento,
l'ottimizzazione e una maggiore efficienza dei procedimenti amministrativi, comporta una serie di rischi
imputabili all'inaffidabilità delle componenti hardware e software e all'esposizione alle intrusioni
informatiche.
2. La sicurezza del sistema informativo automatizzato va intesa non solo come "protezione del patrimonio
informativo da rilevazioni, modifiche o cancellazioni non autorizzate per cause accidentali o intenzionali'',
ma anche come "limitazione degli effetti causati dall'eventuale occorrenza di tali cause''.
3. Le soluzioni di sicurezza adottate a tutela del sistema informativo automatizzato hanno l'obiettivo di:
• assicurare la protezione degli interessi dei soggetti, pubblici e privati, che fanno affidamento sui
sistemi informativi dell'Amministrazione Comunale;
• evitare eventi pregiudizievoli che possano danneggiare disponibilità, riservatezza e integrità del
patrimonio informativo, disponibile sui sistemi di elaborazione e tramite le reti di connessione
telematica.
1.
Pag. 2
Comune di Arzignamo
Piano Sicurezza Informatica 2007
Articolo 4. Analisi dei rischi
L'analisi dei rischi consente di acquisire consapevolezza e visibilità del livello di esposizione al rischio del
proprio patrimonio informativo e di avere una mappa preliminare dell'insieme delle possibili contromisure
di sicurezza da realizzare.
2. L'analisi dei rischi consiste nell'individuazione di tutte le risorse del patrimonio informativo,
nell'identificazione delle minacce a cui tale risorse sono sottoposte e nella definizione delle relative
contromisure.
1.
Articolo 5. Individuazione dei beni da proteggere
1.
2.
3.
Gli elementi del sistema informativo automatizzato che necessitano di protezione sono le risorse
hardware, le risorse software, i supporti di memorizzazione e i dati trattati , il cui elenco, riportato in
Allegato A.1, è parte integrante del presente atto.
L'elenco delle risorse hardware, software e dei supporti di memorizzazione, di cui all'Allegato A.1, viene
predisposto e mantenuto costantemente aggiornato dall’Amministratore di sistema.
L'elenco dei dati trattati, di cui all'allegato A.1, ai sensi della legge 675/96 e successive modificazioni, è
predisposto e aggiornato periodicamente dal responsabile del trattamento, individuato con apposito atto
dall'Amministrazione.
Articolo 6. Individuazione delle minacce
Gli elementi che minacciano il patrimonio informativo sono riportati in Allegato A.2, che è parte
integrante del presente atto.
2. L'elenco delle minacce, di cui all'Allegato A.2, viene predisposto e mantenuto costantemente aggiornato
dall’Amministratore di sistema.
1.
Articolo 7. Individuazione delle contromisure
Le contromisure di natura fisica, logica ed organizzativa, da adottare al fine di ridurre irischi individuati,
sono riportate nell'Allegato A.3, che è parte integrante del presente atto.
2. Le contromisure si suddividono in misure di sicurezza fisica, misure di sicurezza elettroniche e politiche
di sicurezza.
3. L'elenco delle contromisure, di cui all'Allegato A.3, viene predisposto e mantenuto costantemente
aggiornato dall’Amministratore di sistema.
1.
Articolo 8. Norme per il personale
1. Tutti i dipendenti dell'Amministrazione concorrono alla realizzazione della sicurezza, pertanto devono
proteggere le risorse loro assegnate per lo svolgimento dell'attività lavorativa e indicate all'art. 5, nel
rispetto di quanto stabilito dalle politiche di cui all'art.7, in particolare relativamente all'utilizzo delle
risorse informatiche, all'accesso ai sistemi e ai dati e all'uso della password.
Articolo 9. Il Piano della Formazione
1. L'introduzione del piano per la sicurezza, come di qualunque altro elemento che modifichi le modalità
lavorative all'interno di una qualsiasi realtà, è accompagnata da un piano per la formazione di cui
all'Allegato A.4.
2. Il piano della formazione viene predisposto e aggiornato con cadenza biennale dal responsabile della
formazione dell'Amministrazione d'intesa con l’Amministratore di sistema.
Pag. 3
Comune di Arzignamo
ALLEGATO A.1
Elenco delle Risorse Hardware
Il documento elenca tutte le risorse hardware individuate dall’Amministratore di sistema.
Rientrano in questa categoria tutte le CPU, terminali, workstation, personal computer, stampanti, disk drive,
linee di comunicazione, server, router in dotazione presso l'Amministrazione Comunale.
Server
ARZIGNANO5
ARZIGNANO2
ARZIGNANO3
ARZIGNANO4
PROXY
VENUS
ORACLE
MARS
MAIL
NTSERVER_01
Pag. 4
Marca / Modello
Sistema Operativo
IP
MAC
WONDOWS
DELL POWER EDGEMicrosoft Windows 2003200.0.0.35 00:13:72:66:4d:55
2003 DOMAIN 2850
SERVER
CONTROLLER
DB server
IBM eserver
Microsoft
200.0.0.15 00:02:55:6D:1B:CE
xSeries 220 -[8645]- Windows 2000 Server
DB server
IBM eserver
Microsoft
200.0.0.14 00:02:55:6D:1B:DA
xSeries 220 -[8645]- Windows 2000 Server
WONDOWS
Acer
Microsoft
200.0.0.50 00:C0:9F:37:E0:3A
2003 DOMAIN Altos G510
Windows 2003 Server
CONTROLLER
Firewall – proxy Hewlett-Packard
GNU/Linux
200.0.0.5 00:50:FC:33:F4:FF
– mail server Proliant DL320
Debian Etch
Appoggio
Acer
GNU/Linux
200.0.0.3 00:00:E2:26:6E:B8
Altos
Slackware
DB server
Hewlett-Packard
GNU/Linux
200.0.0.7 00:0F:20:97:17:CF
ML 350 G3
RedHat ES 3
Web server – Acer
GNU/Linux
200.0.0.6 00:C0:9F:1E:AA:4C
DB server
Altos
Debian 3.1
Sperimentale Hewlett-Packard
Microsoft WINDOWS
200.0.0.36 00:12:79:55:2A:90
ML 150
2000
SERVER
BACKUP
HEWLETT PACKARDWINDOWS NT 4
200.0.0.1 00:A0:24:CB:52:1F
DOMAIN
HP NETSERVER LHSERVER
CONTROLLER PRO
Comune di Arzignamo
Nome PC
Produttore
Modello
RAM
Processore
Mhz
ADELINA
Assemblato
AWRDACPI
267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz
1594
ALESSANDRA
AcerSystem
Aspire 8000 XP DDRb
368558080 AMD Athlon(tm) XP 2400+
1999
ALESSANDRAC
AcerSystem
Aspire 8000 XP DDRb
512 MB AMD Athlon(tm) XP 2400+
1999
ANNA
FUJITSU SIEMENS
SCENIC P / SCENICO P
468434944 AMD Athlon(tm) 64 Processor 3200+
ANTONELLA
Hewlett-Packard
HP Vectra
266846208 Processore Intel Pentium III
797
ANTONIO
AcerSystem
Aspire 8000 XP DDRb
368558080 AMD Athlon(tm) XP 2400+
1999
ASSESSORI
Maxdata
P4 5800-MX
BANCONE_MANTESE
Acer
Veriton
1700
BASILIO
AcerSystem
Aspire 8000 XP DDRb
368558080 AMD Athlon(tm) XP 2400+
1999
BEATRICE01
Maxdata
P4 5800-MX
CAPOCED-NEW
FUJITSU SIEMENS
CARLA
Assemblato
P4S5A/DX+
CARMELA
512 mb Pentiun 4
2200
2800
512 mb Pentiun 4
2800
2200
1992
VIA Technologies, Inc. VT8363
267964416 AMD Athlon(tm) MP processor
1333
CENTRALINO
System Manufacturer
System Name
650
CESARE
AcerSystem
Aspire 8000 XP DDRb
368558080 AMD Athlon(tm) XP 2400+
1999
CINZIA
INTELR
AWRDACPI
1603
CINZIAB2
MAXDATA
P4S800-MX
2801
CINZIAD
Assemblato
AWRDACPI
1603
CINZIAS
AcerSystem
Aspire 8000 XP DDRb
368558080 AMD Athlon(tm) XP 2400+
1999
CONSIGLIERI
Intercomp
Micro Nlx
256 mb Intel Celeron
500
CONSIGLIERI01
Intercomp
Micro Nlx
128 mb Intel Celeron
500
CULTURA01
MAXDATA
P4S800-MX
DANIELA
AcerSystem
Aspire 8000 XP DDRb
368558080 AMD Athlon(tm) XP 2400+
1999
DANILO
Acer
Veriton
1600
Pag. 5
2800
Service
Sistema Operativo
Pack
Microsoft Windows
2000 Professional
4
Microsoft Windows XP
Professional
2
Professional
2
Professional
2
Microsoft Windows
2000 Professional
3
Professional
2
Professional
2
Professional
2
Professional
2
Professional
2
Professional
2
Microsoft Windows
2000 Professional
4
Microsoft Windows
2000 Professional
4
Microsoft Windows
2000 Professional
4
Professional
2
Microsoft Windows
2000 Professional
4
Professional
2
Microsoft Windows
2000 Professional
4
Professional
2
Microsoft Windows
2000 professional
4
Microsoft Windows
2000 professional
Professional
2
Professional
2
Microsoft Windows
2000 Professional
4
Comune di Arzignamo
IP
MAC
DHCP
200.0.0.233 00:60:97:19:C1:A8
X
200.0.0.249 00:E0:4C:9D:BE:64
X
200.0.0.90
00:E0:4C:9C:40:D3
200.0.0.166 00:11:2F:F0:BE:0E
X
200.0.0.185 00:01:03:0D:CA:B4
X
200.0.0.235 00:E0:4C:9C:3F:F8
X
200.0.0.209 00:00:E2:65:59:96
X
200.0.0.203 00:E0:4C:9C:40:11
X
200.0.0.163 00:11:2F:F0:BE:F0
X
200.0.0.191 00:0A:E6:39:64:02
X
200.0.0.202 00:C0:DF:10:A9:27
X
200.0.0.159 00:E0:18:00:95:20
X
200.0.0.160 00:E0:4C:95:B7:CE
X
200.0.0.147 00:05:1C:0B:3E:AE
X
200.0.0.173 00:11:2F:59:57:CE
X
200.0.0.214 00:05:1C:0B:70:5F
X
200.0.0.136 00:E0:4C:9D:C0:AB
X
200.0.0.245 00:11:2F:32:04:81
X
200.0.0.205 00:E0:4C:9C:EE:81
X
200.0.0.232 00:00:E2:68:1A:96
X
RAM
Processore
Produttore
Modello
DAVIDE
AcerSystem
Aspire 8000 XP DDRb
385335296 AMD Athlon(tm) XP 2400+
1999
DENISE
Assemblato
P4S5A/DX+
1991
DIEGO
INTERCOMP
MICRO NLX
DOMENICO
Hewlett-Packard
HP Vectra
DORIANA
Assemblato
AWRDACPI
1594
ECONOMO
FUJITSU SIEMENS
2933
EGIDIO
ASSEMBLATO
AWRDACPI
ELENA2
DELL
OPTIPLEX DX 520
ELETTORALE1
Intercomp
Micro Nlx
ELETTORALE2
Assemblato
1594
2.8
GHZ Microsoft Windows XP
Microsoft Windows
652 2000 Professional
Microsoft Windows
192 MB
Processore Intel Celeron
256 Mb Processore Intel Pentium III
512 MB Intel PENTIUM 4
200839168 Processore Amd
Mhz
Service
Sistema Operativo
Pack
Microsoft Windows
2000 Professional
4
Microsoft Windows
2000 Professional
4
Microsoft Windows
2000 Professional
4
Microsoft Windows
2000 Professional
4
Microsoft Windows
2000 Professional
3
Professional
2
Microsoft Windows
2000 Professional
4
Nome PC
634
797
IP
MAC
DHCP
200.0.0.164 00:E0:4C:9C:ED:D7
X
200.0.0.155 00:0A:E6:39:5A:0B
X
200.0.0.156 00:60:97:BC:F4:B1
X
200.0.0.157 00:A0:C9:1D:60:D9
X
200.0.0.220 00:30:05:87:64:89
X
200.0.0.226 00:50:DA:71:18:0A
X
2
200.0.0.143 0014224c564f
X
4
200.0.0.224 00:E0:18:00:97:27
X
4
200.0.0.165 00:E0:18:00:96:25
X
2
200.0.0.179 00:11:2F:32:04:65
X
4
200.0.0.205 00:04:23:15:EF:0C
X
4
200.0.0.204 00:11:2F:B5:0D:18
X
4
200.0.0.208 00:05:1C:0B:96:C0
X
3
200.0.0.192 00:0A:E6:39:90:AB
X
2
2
200.0.0.240 00:11:2F:31:FF:EE
200.0.0.212 000c761e8dc3
X
X
2
200.0.0.186 00:11:2F:F0:BE:F1
X
4
200.0.0.243 00:30:18:60:26:58
X
2
200.0.0.174 00:11:2F:32:04:6E
X
4
200.0.0.153 00:A0:C9:1D:63:3E
X
4
200.0.0.180 00:E0:06:F8:E5:48
X
EZIO_ANDREA
FEDERICO
MAXDATA
P4S800-MX
ROBERTS
DELL
OPTIPLEX DX520
FULVIA
Assemblato
Assemblato.
GIOVANNA
INTELR
AWRDACPI
GIUSY
ECS
P4S5A/DX+
GRAZIA2
GRAZIELLA
MAXDATA
MICRONICA SPA
P4S800-MX
PC CONSIP
2 GHZ AMD ATHLON XP
GUIDO
FUJITSU SIEMENS
MIRIAMOLD
INTERCOMP
MICRO NLX
LOREDANA2
MAXDATA
P4S800-MX
LORELLA
INTERCOMP
MICRO NLX
LORENZA
ASSEMBLATO
AWRDACPI
LORENZO
Pag. 6
ASSEMBLATO
512 MB Processore Intel Pentium 4
2800 Professional
2.8 Microsoft Windows XP
GHZ Professional
Microsoft Windows
GIANCARLO
192 MB
256 MB
Microsoft Windows
Microsoft Windows
2801 Professional
MICROSOFT
256 WINDOWS XP
MB PROFESSIONAL
2200 Professional
Microsoft Windows
2800 Professional
Microsoft Windows
Microsoft Windows
256 MB AMD Athlon(tm) Processor
Comune di Arzignamo
Nome PC
Produttore
Modello
RAM
Processore
LUISADC
ASSEMBLATO
AWRDACPI
1603
LUISAP
ASSEMBLATO
P4S5A/DX+
1991
MARIAGRAZIA
FUJTSU SIMENS
512 MB Intel(R) Pentium(R) 4 CPU
MARIO2
DELL
OPTIPLEX DX 520
MARISA
INTERCOMP
MICRO NLX
128 MB Intel(R) CELERON
MARISANA
MAXDATA
P4S800-MX
2801
MARTA
Acer
Veriton
1600
MASSIMOP2
FUJTSU SIMENS
MAURIZIOD
ASSEMBLATO
MESSI
Hewlett-Packard
HP Vectra
256 MB Processore Intel Pentium III
MIRIAM
DELL
OPTIPLEX 210L
512 MB Processore Intel Celeron
NERI_VITTORINO
FUJTSU SIMENS
PAOLAB
INTERCOMP
MICRO NLX
650
PAOLAF
Hewlett-Packard
HP Vectra
797
PAOLAM
MAXDATA
P4S800-MX
PAOLAS
AcerSystem
POLIZAEDILIZIA
POLIZAEDILIZIA
Mhz
2.93
GHZ
2.8
GHz
500
MHZ
2.93
GHZ
1.6
GHZ
501
2.79
GHZ
2.93
GHZ
2801
Aspire 8000 XP DDRb
368558080 AMD Athlon(tm) XP 2400+
1999
Hewlett-Packard
HP Vectra
797
Hewlett-Packard
HP Vectra
797
PROG01
ASSEMBLATO
null
PROG01NEW
FUJTSU SIMENS
PROG02
Pag. 7
ASSEMBLATO
AWRDACPI
Service
Sistema Operativo
Pack
Microsoft Windows
2000 Professional
3
Microsoft Windows
2000 Professional
3
MICROSOFT
WINDOWS XP
PROFESSIONAL
2
MICROSOFT
WINDOWS XP
PROFESSIONAL
2
MICROSOFT
WINDOWS NT 4
6
Professional
2
Microsoft Windows
2000 Professional
4
MICROSOFT
WINDOWS XP
PROFESSIONAL
2
Microsoft Windows
2000 Professional
4
Microsoft Windows
2000 Professional
4
Microsoft Windows
XP Professional
2
Microsoft Windows
XP Professional
2
Microsoft Windows
2000 Professional
4
Microsoft Windows
2000 Professional
4
Professional
2
Professional
2
Microsoft Windows
2000 Professional
4
Microsoft Windows
2000 Professional
4
IP
MAC
DHCP
200.0.0.158 00:05:1C:0B:9E:3D
X
200.0.0.190 00:0A:E6:58:B4:0E
X
200.0.0.242 00:11:2F:31:FF:DC
X
200.0.0.182 0001030dc858
X
200.0.0.183 00a024f22b31
X
200.0.0.184 00:E0:18:A8:BE:E2
X
200.0.0.172 00167663f781
X
200.0.0.217 003005640f83
X
200.0.0.181 00:E0:18:00:95:29
X
200.0.0.184 00:01:03:0D:C7:BD
X
200.0.0.142 00112f32049b
X
200.0.0.210 00:E0:4C:95:B5:EB
X
200.0.0.207 00:01:03:0D:F4:3D
X
200.0.0.207 00:01:03:0D:F4:3D
X
4
200.0.0.176 00:50:FC:6E:40:5E
X
2
200.0.0.189
X
4
200.0.0.222 00:A0:24:F2:2B:30
X
PORTATILE02
PORTATILE05
PPINTON
Microsoft Windows
2.93 WINDOWS XP
GHZ PROFESSIONAL
Microsoft Windows
Comune di Arzignamo
512 MB Intel(R) Pentium(R) 4 CPU 2.00GHz
Nome PC
Produttore
Modello
RAM
Processore
PROG03
ASSEMBLATO
AWRDACPI
ROMOLO2
AcerSystem
ACER POWER KT
AMD Athlon(tm) XP 2400+
SABRINA
AcerSystem
ACER POWER KT
384 MB AMD Athlon(tm) XP 2400+
Mhz
Sistema Operativo
1.6 Microsoft Windows
GHZ 2000 Professional
Service
Pack
IP
4
MAC
DHCP
200.0.0.171 000ae6395c18
X
200.0.0.211 00:E0:4C:92:96:FA
X
200.0.0.137 00:30:05:87:62:50
X
1
200.0.0.187 00:0A:E4:26:57:5C
X
2
200.0.0.152 00:12:3F:42:9A:07
X
2
200.0.0.200 00:12:3F:42:99:FF
X
2
200.0.0.193 00:E0:4C:92:01:C6
X
2
200.0.0.162 00:04:23:15:ED:2A
X
200.0.0.237 0014224c5640
X
PVIGILI
SABRINAB
FUJTSU SIMENS
SANDRAB
FUJTSU SIMENS
2.93
GHZ
2.93
GHZ
SEG01
AcerSystem
AWRDACPI
368558080 AMD Athlon(tm) XP 2400+
1999
SEGRETARIO
MAXDATA
P4S800-MX
2801
SILVANA
FUJITSU SIEMENS
SILVIA
INTERCOMP
MICRO NLX
SINDACO
FUJITSU SIEMENS
AMILO Pro V2000
128 MB INTEL CELERON
Intel(R) Pentium(R) M processor
526827520 1500MHz
SIT01
Dell Inc.
OptiPlex GX620
3192
SIT02
Dell Inc.
OptiPlex GX620
3192
SOC01
AcerSystem
AWRDACPI
368558080 AMD Athlon(tm) XP 2400+
1999
SOC02
Hewlett-Packard
HP PC
SOSTITUTIVO6
INTERCOMP
MICRO NLX
996
500
MHZ
TOTO
Hewlett-Packard
HP Vectra
URBANISTICA
DELL
OPTIPLEX 210L
512 MB Processore Intel CELERON
URP1
INTERCOMP
MICRO NLX
URP2
INTERCOMP
MICRO NLX
URP3
INTERCOMP
MICRO NLX
URP4
INTERCOMP
MICRO NLX
VELIA
INTERCOMP
MICRO NLX
VIGILI
Hewlett-Packard
HP Vectra
2933
500
1499
797
2.69
GHZ
500
MHZ
Microsoft Windows
2000 Professional
Microsoft Windows
2000 Professional
Microsoft Windows
2000 Professional
Microsoft Windows
2000 Professional
Professional
Microsoft Windows
2000 Professional
Professional
Professional
Professional
Professional
Professional
Professional
Professional
Microsoft Windows
2000 professional
Microsoft Windows
2000 Professional
Professional
MICROSOFT
WINDOWS NT
MICROSOFT
WINDOWS NT
MICROSOFT
WINDOWS NT
MICROSOFT
WINDOWS NT
MICROSOFT
WINDOWS NT
797 Windows 2000
VIGILI2
Pag. 8
Comune di Arzignamo
2
2
2
2
2
2
2
2
4
4
2
6
6
6
6
6
4
Nome PC
Produttore
Modello
RAM
Processore
Mhz
VIGILITXIMG
AcerSystem
AWRDACPI
368558080 AMD Athlon(tm) XP 2400+
VINICIO
FUJITSU SIEMENS
VITTORINO
FUJITSU SIEMENS
Sistema Operativo
Service
Pack
IP
MAC
DHCP
200.0.0.217 00:30:05:64:0F:83
X
VIGILI7
Pag. 9
1999 Professional
2793 Professional
2793 Professional
Comune di Arzignamo
2
1
Router
Cisco System
Modello
CISCO 1700 Series
Stampanti
Anagrafe
Ragioneria
Progettazione
Protocollo
Ragionaria
Tributi / Commercio
Plotter uff. Progettazione
Plotter uff. Piano
Collegamento Internet WLL con Infracom
Modello
Infotec 4220 MF
NRG DSc224
NRG C7010
Infotec IS 2022
NRG DSc38u
Infotec IS 2022
Ocè
HP DJ800
Fotocopiatrice
Fotocopiatrice / duplex / fax
Plotter
Plotter
IP / MAC
200.0.0.8
200.0.0.9
200.0.0.27
200.0.0.28
200.0.0.29
200.0.0.30
200.0.0.31
200.0.0.32
Elenco delle Risorse Software
Il documento elenca tutte le risorse software individuate dall’Amministratore di sistema.
Rientrano in questa categoria i Sistemi Operativi e Software di Base (Utilità, diagnostici), Software Applicativi,
Gestori di basi di dati, Software di rete, i Programmi in formato sorgente e oggetto.
Software
Microsoft Windows 2000 Server
Microsoft Windows NT 4.0 Server
Microsoft Windows 2000 Pro
Microsoft Windows XP Pro
Microsoft Windows NT 4.0
Microsoft Windows 98
Microsoft Windows 95
GNU/Linux RedHat ES 3
GNU/Linux Debian 3.0
GNU/Linux Debian 3.1
GNU/Linux Slackware
SAGA Sicra
DeltaDator CiviliaOpen
Cedaf IRIDE
Cedaf PayRoll
Cedaf Perseo
TrendMicro OfficeScan
TrendMicro ServerProtect
GPE
CataICI
Materne
Magaz
Provvisori
Ptrasporti
Pverde
Pidoneità
Prubrica
Ricoveri
Contributi
Assistiti
Ass. Domiciliare
Notifiche
Atti in Deposito
Tipologia
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Gestionale: Anagrafe, Stato Civile, Elettorale
Finanziaria, Economato, Controllo di Gestione
Gestionale: Protocollo, Atti Amministrativi
Gestionale: Paghe
Gestionale: Gestione del personale
Antivirus Centralizzato per i PC
Antivirus Centralizzato per i Server
Gestionale: Pratiche edilizie
Gestionale: Imposta sugli Immobili
Gestione Rette Scuole Materne e Asilo Nido
Gestione Magazzino Economato
Caricamento e Visura Provvisori Tesoreria
Gestione Trasporti Scolastici
Gestione Verde Pubblico
Gestione Idoneità Alloggio Extracomunitari
Rubrica Telefonica Centralino
Gestione Ricoveri Serv. Sociali
Gestione Contributi Serv. Sociali
Gestione Assistiti Serv. Sociali
Gestione Ass. Domiciliare Serv. Sociali
Gestione Notifiche Messi Comunali
Gestione Atti in Deposito presso i Messi Comunali
Elenco dei dati trattati
10
Il documento elenca tutto il contenuto degli archivi, delle basi di dati, dei dati di transito, delle copie storiche e dei
file di registrazione delle attività detenuti dall'Amministrazione.
Database
Anagrafe / Stato Civile /
Elettorale
Ptrasporti
Macchina / DBServer
Elenco della popolazione
Arzignano2 / in gres
residente, nascite, morti,
matrimoni
Dati di bilancio, mandati di
Oracle / Oracle 9i
pagamento - riscossione
Elenco documenti in ingresso e Arzignano3 / Ms SQL Server
in uscita
Elenco e contenuto degli atti
Arzignano3 / Ms SQL Server – Doc MsWord
amministrativi: delibere di
Consiglio e Giunta,
Determinazioni dirigenziali
Arzignano3 / Ms SQL Server – Doc MsWord
Anagrafe dei dipendenti /
Arzignano3 / Ms SQL Server
posizioni previdenziali /
presenze assenze / stipendi
Anagrafe contribuenti e dei
Arzignano4 / Ms Access
relativi immobili dichiarati,
elenco dei versamenti.
Gestione Rette Scuole
Mars / Firebird
Materne e Asilo Nido
Gestione Magazzino
Mars / Firebird
Economato
Caricamento
e
VisuraMars / Firebird
Provvisori Tesoreria
Gestione Trasporti Scolastici Mars / Firebird
Pverde
Gestione Verde Pubblico
Pidoneità
Gestione
Idoneità
AlloggioMars / Firebird
Extracomunitari
Rubrica Telefonica Centralino Mars / Firebird
Finanziaria
Protocollo
Atti Amministrativi
Partiche Edilizie
Gestione del Personale /
Paghe
ICI
Materne
Magaz
Provvisori
Prubrica
Ricoveri
Contributi
Mars / Firebird
Anagrafe (anag)
Gestione Ricoveri Serv. Sociali Arzignano4 / Ms Access
Gestione
Contributi
Serv.Arzignano4 / Ms Access
Sociali
Gestione Assistiti Serv. Sociali Arzignano4 / Ms Access
Gestione Ass. Domiciliare Serv.Arzignano4 / Ms Access
Sociali
Replica Database Anagrafe
Mars / MySql
Anagrafe (arz)
Replica Database Anagrafe
Logs
Log Vari accesso dati e sistemaMars / MySql
Assistiti
Ass. Domiciliare
Mars / MySql
Utenti
Gestione Diritti di accessoMars / MySql
Visura Anagrafe
Accounts
Gestione
Utenti
RegistratiArzignano3 / SqlServer
Autocertificazione On Line
Autocertificazione On Line Autocertificazione On Line perProxy (app. server Apache) mars (db server
Utenti Registrati
MySql)
Visura Anagrafe
Visura Dati Anagrafici per iArzignano2 (app. server
dipendenti comunali
server MySql)
Notifiche
Gestione
Notifiche
MessiArzignano4 / MsAccess
Comunali
Gestione Atti In DepositoMars / Firebird
presso i Messi Comunali
Atti in Deposito
Apache) mars (db
Elenco dei supporti di memorizzazione
11
Il documento elenca i supporti su cui vengono tenute le copie dei software installati, le copie delle banche dati e le
copie dei file di registrazione delle attività.
Dati
Software
Database (Ingres, MsSQL Server,
Oracle,MySql,Firebird)
File sul FileServer (Arzignano4)
Totale
Supporto
Frequenza
CD-ROM di installazione e copia su filesystem
su server
Su disco esterno e su file system locale
Giornaliera
Su disco esterno
Su nastro
Giornaliera
1 volte alla settimana
mercoledì
Elenco degli Utenti del dominio ARZIGNANO
Account
Adelina
Nome utente
Facchin Adelina
Descrizione
Asilo Nido - Scuole Materne
Dis. Gruppi
Domain Users
Scuole
AnagrafeConsulta
cer
Administrator
Built-in account for
administering the
computer/domain
Domain Users
Domain Admins
OperatoriIngres
Schema Admins
Enterprise Admins
Group Policy Creator Owners
Account Operators
Administrators
Backup Operators
Albertor
Alberto Rancan
DISABILITATO Lavori Pubblici
X
Domain Users
Territorio
Albertoz
Alberto Zambon
Lavori Pubblici
X
Domain Users
LavoriPubblici
Territorio
Alessandra
Alessandra Maule
Capo Ragioneria
Domain Users
Ragioneria
OperatoriIngres
Tributi
Economato
Contabilit…
bilancio
ATO
PersonaleG
Personale
AlessandraC
Ceoloni
Alessandra
Uff. Tributi
Domain Users
OperatoriIngres
Ragioneria
Tributi
Alfredo
Carlotto Alfredo
Atti e Certificazioni
Domain Users
12
Account
Nome utente
Descrizione
andreab
Andrea Bellamio
Agente di Polizia Municipale
Dis. Gruppi
Anagrafe
OperatoriIngres
Urbanistica
Elettorale
Domain Users
Polizia
angelo
Cattazzo Angelo
Polizia Municipale
Domain Users
Polizia
OperatoriIngres
Anna
Anna Tosini
Capo Personale
Domain Users
OperatoriIngres
PersonaleG
Personale
Annalisa
Annalisa Pretto
Uff. Relazioni col Pubblico
Domain Users
Anagrafe
OperatoriIngres
Elettorale
antonella
Antonella Cenzato
Uff. Personale
Domain Users
OperatoriIngres
PersonaleG
Personale
Antonio
Berto Antonio
Polizia Municpale
Domain Users
Polizia
antoniod
Antonio de Sanctis Assessore
Domain Users
Anagrafe
Vicesegreteria
Apache
Web Server
Apache
utente Web Server Apache su
Arzignano_1
Armido
Armido Giordani
Disabilitato P.R.G. - C-D.U
Domain Users
X
Domain Users
Anagrafe
Urbanistica
Territorio
Augusto
Augusto Cocco
DISATTIVATO Augusto Cocco
Uff. Elettorale
X
Domain Users
Anagrafe
OperatoriIngres
AnagrafeBO
StatoCivile
augustol
Augusto Lovato
Polizia Municipale
Domain Users
Polizia
Barbara
Barbara Bardati
Barbara Bardati Uff. URP
Domain Users
Anagrafe
Urbanistica
OperatoriIngres
barbaram
Giorgio Piazzo
Temp. urbanistica
X
Domain Users
Urbanistica
13
Account
Nome utente
Descrizione
Basilio
Basilio Pegoraro
Uff. tributi
Dis. Gruppi
PRG
Territorio
Domain Users
Ragioneria
Tributi
OperatoriIngres
Beatrice
Beatrice Lorenzi
Appalti e Contratti
Domain Users
TerritorioAmministr
peg
cer
Urbanistica
Territorio
LavoriPubblici
Carla
Carla Baldisserotto Ufficio Sport
Domain Users
Anagrafe
cer
Vicesegreteria
Carmela
Carmela Bellini
Urbanistica
Domain Users
Urbanistica
Territorio
TerritorioAmministr
Ambiente
Catiana
Pasqualini Catiana Protocollo
Domain Users
Anagrafe
OperatoriIngres
Messi
Protocollo
Elettorale
cedaf
cedaf per
manutenzione
remota
DISABILITATO cedaf
X
cedstage
Stagista Ced
DISABILITATO Stagista ced
X
Domain Guests
Domain Users
CED
Cesare
Bassetto Cesare
Coordinatore serv.
amministrativo LL PP
Domain Users
LavoriPubblici
OperatoriIngres
LavoriPubbliciAdmin
Territorio
TerritorioAmministr
Cinzia
Cinzia Nevicelli
Servizi Sociali
Domain Users
OperatoriIngres
Servizi Sociali
CinziaB
Cinzia Bettega
Ragioneria
Domain Users
Ragioneria
OperatoriIngres
Economato
Contabilit…
CinziaD
Cinzia De Maggi
Commercio
14
Account
Nome utente
Descrizione
CinziaS
Cinzia Sartori
Servizi Sociali
Dis. Gruppi
Domain Users
Commercio
Domain Users
Servizi Sociali
Anagrafe
claudio
Claudio Rigoni
Polizia Municpale
Domain Users
Polizia
claudioa
Claudio Accettini
Polizia Municipale
Domain Users
Polizia
Daniela
Daniela
Bevilacqua
Delibere
Domain Users
Segreteria
OperatoriIngres
Scuole
peg
cer
TerritorioAmministr
Vicesegreteria
Danielaz
Daniela Zapolla
Polizia Municipale (temp)
Domain Users
Polizia
Danilo
Danilo Guarti
Ecologia - Ambiente
Domain Users
Ambiente
peg
Territorio
Urbanistica
TerritorioAmministr
Davide
Davide Zorzanello
Ufficio Ambiente (temp)
Domain Users
Ambiente
TerritorioAmministr
Urbanistica
debora
Debora Caposilvan Polizia Municipale
Domain Users
Polizia
demografico
servizio
Domain Users
Domain Admins
Ragioneria
Administrators
Denise
Denise Dani
Capo rip. Anagrafe St. civ.
Domain Users
Anagrafe
OperatoriIngres
Elettorale
StatoCivile
peg
AnagrafeBO
AnagrafeConsulta
Servizi Sociali
Scuole
Segreteria
Diego
Framarin Diego
Polizia Municipale
Domain Users
15
Account
Nome utente
Descrizione
Domenico
Carlotto Domenico Uff. commercio
Dis. Gruppi
Polizia
Domain Users
Commercio
peg
domenicon
Domenico
Natangelo
Polizia Municipale
Domain Users
Polizia
Doriana
Doriana
Camporiondo
Stato Civile
Domain Users
Anagrafe
OperatoriIngres
Elettorale
StatoCivile
AnagrafeBO
AnagrafeConsulta
Internet
Economo
Rossana Bari
Ufficio Economato
Domain Users
Ragioneria
OperatoriIngres
Economato
Contabilit…
CED
Egidio
Egidio Motterle
Segreteria
Domain Users
cer
Elena
Rossato Elena
Ufficio Ambiente
Domain Users
Urbanistica
Ambiente
Territorio
TerritorioAmministr
ElenaC
Elena Chiarello
Assistente Sociale
Domain Users
Servizi Sociali
eleonora
Eleonora Marini
DISABILITATO Polizia
Municipale
X
Domain Users
Polizia
Emanuela
Magnabosco
Emanuela
DISATTIVATO uff. commercio
Emanuele
Massarelli
Emanuele
Messo
X
Domain Users
Domain Users
Anagrafe
OperatoriIngres
Messi
emanueler
Emanuele Ruaro
DISABILUITATO Agente di
Polizia Municipale
X
Domain Users
Polizia
ezioandrea
Lovato Ing. Ezio
Andrea
Resp. Uff. Progettazione
Domain Users
LavoriPubblici
Territorio
16
Account
fabio
Nome utente
Fabio Tomasini
Descrizione
Ufficio SIT
Dis. Gruppi
Domain Users
Urbanistica
Territorio
Ambiente
Fabiola
Conficconi Fabiola Urbanistica
Domain Users
TerritorioAmministr
Territorio
Urbanistica
Federico
Federico Poletto
Uff. Tecnico
Domain Users
LavoriPubbliciAdmin
OperatoriIngres
LavoriPubblici
Territorio
TerritorioAmministr
finanziaria
servizio
Domain Users
Domain Admins
Ragioneria
Territorio
Administrators
francesco
Francesco Santoro Polizia Municpale
Domain Users
Polizia
fulvia
Fulvia Rosa
Anagrafe
Domain Users
Anagrafe
OperatoriIngres
Vicesegreteria
gabriele
Brotto Gabriele
Ing. Brotto Gabriele
Domain Users
LavoriPubblici
Territorio
Gaetana
Giancarlo
giancarloc
Gaetana Calearo
Giancarlo
Fracasso
Giancarlo Cracco
Uff. Anagrafe
Polizia Municipale Segnaletica
Domain Users
Messi
OperatoriIngres
AnagrafeConsulta
Anagrafe
Elettorale
Domain Users
Polizia
Polizia Municipale
Domain Users
Polizia
giandomenico
Giandomenico
Giacomello
Assessore
Domain Users
Assessori
giovanna
Giovanna Vignaga Lavori Pubblici
Domain Users
LavoriPubblici
Territorio
TerritorioAmministr
giovanni
Giovanni Pianalto
Polizia Municipale
Domain Users
Polizia
17
Account
giovannim
Nome utente
Descrizione
Giovanni Mastrotto Polizia Municipale
Dis. Gruppi
Domain Users
Polizia
giovannip
Giovanni Panagin
Urbanistica
Domain Users
Urbanistica
TerritorioAmministr
Urbanistica
giuseppe
Giuseppe
Lombardi
Segretario Comunale
X
Domain Users
Segreteria
Giusi
Giuseppina
Confente
Urbanistica
Domain Users
Urbanistica
Ambiente
Territorio
Grazia
Grazia Manca
Mandati di pagamento
Domain Users
Ragioneria
OperatoriIngres
Contabilit…
GRAZIELLA
Dal Maso Graziella Responsabile Protocollo
Domain Users
Protocollo
Anagrafe
Messi
Guest
temporaneo
Built-in account for guest
access to the computer/domain
Guido
Guido Bortolan
CED
X
Domain Guests
Domain Users
CED
Internet
OperatoriIngres
Domain Admins
AnagrafeConsulta
Account Operators
Administrators
guidoc
Guido Carrarello
ex Segretario Comunale
(Disabilitato)
X
Domain Users
Segreteria
ingres
ingres
Utente di servizio SICRA
Domain Users
Ragioneria
Domain Admins
Administrators
install
servizio
utente per installazione
programmi
Domain Users
IUSR_ARZIGN User x IIS su
ANO_1
Arzignano_1
Domain Guests
Domain Users
Administrators
IUSR_ARZIGN Internet Guest
ANO0
Account
Built-in account for anonymous
access to Internet Information
Services
18
Account
Nome utente
Descrizione
IWAM_ARZIG
NANO0
Launch IIS
Process Account
Built-in account for Internet
Information Services to start out
of process applications
Dis. Gruppi
Domain Users
Guests
Domain Users
Guests
katty
Piazza Katty
Temporaneo Anagrafe
Domain Users
Anagrafe
OperatoriIngres
Messi
Elettorale
Protocollo
krbtgt
Key Distribution Center Service
Account
X
Domain Users
lino
Lino dalla Gassa
Polizia Municipale
Domain Users
Polizia
Livio
Millardi Livio
Polizia Municipale
Domain Users
Polizia
Loredana
Loredana
Roncolato
Delibere
Domain Users
Segreteria
peg
Lorella
Assessore Lorella
Peretti
Lorenza
Lorenza
Franchetto
Domain Users
URP
Domain Users
Anagrafe
Internet
OperatoriIngres
peg
AnagrafeConsulta
Elettorale
Lorenzo
Lorenzo Toniolo
Lavori Pubblici
Domain Users
LavoriPubblici
Territorio
Loris
Loris Pinton
Vice Segretario
X
Domain Users
Segreteria
peg
Luca
Fiorani Luca
Domain Users
Polizia
Luisa
Pegoraro Luisa
Lavori Pubblici
Domain Users
LavoriPubblici
LavoriPubbliciAdmin
Territorio
TerritorioAmministr
luisadc
Luisa De Cao
Servizi Sociali
Domain Users
Servizi Sociali
19
Account
Nome utente
Descrizione
manola
Manola Anselmi
Polizia Municipale
Dis. Gruppi
Vicesegreteria
Domain Users
Polizia
Marco
Temporaneo Ufficio Ambiente
Domain Users
Urbanistica
Ambiente
Territorio
TerritorioAmministr
Maria
Maria Bernardini
Maria Assunta Bernardini
Domain Users
Anagrafe
Urbanistica
OperatoriIngres
AnagrafeBO
StatoCivile
Scuole
mariar
Maria Raniero
Centralino
Domain Users
Internet
OperatoriIngres
marias
Maria Grazia
Stecco
Polizia Municipale
Domain Users
Polizia
mariav
Maria Votta
Gravina
Segretario Comunale
Domain Users
Segreteria
Mario
Schiavo Mario
Polizia Urbana
Domain Users
Polizia
mariop
Mario Pieropan
Polizia Municipale
Domain Users
Polizia
Marisa
Pino Marisa
Anagrafe
Domain Users
Anagrafe
OperatoriIngres
StatoCivile
Elettorale
Marisana
Marisana Coaro
Personale
Domain Users
Ragioneria
OperatoriIngres
PersonaleG
Personale
Marta
Marta Venco
Ufficio Immigrazione
Domain Users
Servizi Sociali
Anagrafe
Scuole
Elettorale
massimoc
Massimo Cariolato Cultura
Domain Users
Anagrafe
OperatoriIngres
Vicesegreteria
20
Account
Massimop
Nome utente
Massimo Parolin
Descrizione
Comandante P.M
Dis. Gruppi
Domain Users
Polizia
OperatoriIngres
matteom
Matteo Menegon
Polizia Municipale
Domain Users
Polizia
maurizio
Maurizio
Marcigaglia
Polizia Municpale
Domain Users
Polizia
mauriziod
Dal Barco Maurizio Polizia Municpale
Domain Users
Polizia
michele
Caldara Michele
Polizia Municipale
Domain Users
Polizia
mirco
Mirco Cailotto
Domain Users
Polizia
Miriam
Miriam Farina
Urbanistica
Domain Users
Urbanistica
Territorio
TerritorioAmministr
nada
Pozzan Nada
Polizia Municpale
Domain Users
Polizia
Nicola
Mantese Nicola
Domain Users
Polizia
nicolag
Nicola Gramola
Consulente CED
Domain Users
Domain Admins
AnagrafeConsulta
Internet
OperatoriIngres
CED
Account Operators
Administrators
obi1
Obiettore 1
Obiettore
X
Domain Users
Anagrafe
Oriella
Oriella Antoniazzi
Temporaneo Tributi
X
Domain Users
Tributi
ospite
utente ospite per
sicra
utente ospite per sicra diritti
solo in lettura
Domain Users
OperatoriIngres
PaolaB
Paola Bevilacqua
Segreteria - Contratti
Domain Users
LavoriPubblici
LavoriPubbliciAdmin
Territorio
TerritorioAmministr
Paolaf
Paola Foscarelli
Ragioneria
Domain Users
Ragioneria
21
Account
Nome utente
Descrizione
PaolaM
Paola Marcazzan
Paola Mracazzan Uff.
Personale
Dis. Gruppi
OperatoriIngres
Economato
Contabilit…
Domain Users
Ragioneria
OperatoriIngres
PersonaleG
Personale
PaolaS
Paola Santini
Contabilit… - Controlo di
Gestione
Domain Users
Ragioneria
OperatoriIngres
Economato
Contabilit…
bilancio
CED
paolof
Paolo Fattori
Lavori Pubblici
Domain Users
LavoriPubblici
Territorio
presidente
Presidente del Consiglio
Comunale
Consiglieri
renato
Marcon Renato
Stato Civile
X
Domain Users
Anagrafe
Internet
OperatoriIngres
Elettorale
StatoCivile
AnagrafeBO
AnagrafeConsulta
Servizi Sociali
Scuole
repl
replicator
Utente di servizio Directory
Replicator
Domain Users
Backup Operators
Replicator
robertos
Roberto Scalzolaro Polizia Municipale
Domain Users
Polizia
Romolo
Romolo Bruni
Disegnatore
Domain Users
LavoriPubblici
Internet
Territorio
Rossana
Bari Rossana
Economo
Domain Users
Economato
Contabilit…
CED
sabrinab
Sabrina Biasin
Sabrina Biasin Urbanistica
Domain Users
Urbanistica
Territorio
sabrinag
Sabrina Gentilin
Ufficio SIT
X
22
Account
Nome utente
Descrizione
Sandra
Alessandra
Bastianello
Tributi
Dis. Gruppi
Domain Users
PRG
Territorio
Urbanistica
Domain Users
Ragioneria
Tributi
Silvana
Silvana Poli
Silvana Poli Uff. Urbanistica
Domain Users
Urbanistica
peg
Territorio
TerritorioAmministr
Ambiente
Silvi
Silvana Carradore
Assistente Sociale
Domain Users
Servizi Sociali
Silvia
Fongaro Silvia
Delibere
Domain Users
Segreteria
OperatoriIngres
Scuole
peg
cer
TerritorioAmministr
ATO
Vicesegreteria
SQLAgentCmd SQLAgentCmdExe SQL Server Agent CmdExec
Exec
c
Job Step Account
Domain Users
SQLExecutive
CmdExec
SQLExecutiveCmd SQL Executive CmdExec Task
Exec
Account
stefano
Stefano De Marzi
Domain Users
Assessore
Domain Users
Assessori
Urbanistica
Ambiente
stefanof
Stefano Fracasso
Sindaco
Domain Users
Assessori
temp01
Temporaneo
Martina (anagrafe)
Temp02
Temporaneo
Calotto Chiara
Domain Users
X
Anagrafe
Domain Users
Operatori In gres
Servizi Sociali
Temp03
Temporaneo
Balestro Nicola
X
Domain Users
Lavori Pubblici
LavoriPubbliciAdmin
Territorio
tempana
Temporaneo
Anagrafe
Chierchia Silvia
X
Domain Users
23
Account
Nome utente
Descrizione
temprag
Temporaneo
Ragioneria
Temporaneo Ragioneria Paolo
Marana
Dis. Gruppi
Scuole
X
Domain Users
Ragioneria
tempter
temporaneo
gestione territorio
Chiarello Alberto
Domain Users
TerritorioAmministr
Domain Users
Urbanistica
TempUrba_1
Urbanistica
Ex Stefania Carlotto
X
Domain Users
Urbanistica
TempUrba_2
Urbanistica
Stefania Carlotto
Domain Users
Urbanistica
TempUrba_3
Urbanistica
Ex Stefania Parlotto
X
Domain Users
Urbanistica
TsInternetUser TsInternetUser
This user account is used by
Terminal Services.
Domain Users
Guests
umberto
Umberto
Ganzarolli
Polizia Municipale
Domain Users
Polizia
Velia
Frighetto Velia
Stato Civile
Domain Users
Anagrafe
OperatoriIngres
StatoCivile
Walter
Remolato Walter
Messo Comunale
Anagrafe
Domain Users
Messi
Operatori Ingres
vigili
Attivazione chiave
vigili
Utente per attivazione chiave
hardware soft vigi
Domain Users
Users
Vinicio
Albiero Vinicio
Uff. Urbanistica
Domain Users
Urbanistica
Territorio
Vittorino
Neri Vittorino
Polizia Municipale
Domain Users
Polizia
OperatoriIngres
24
Elenco dei guppi del Dominio ARZIGNANO
Gruppo
Ambiente
Anagrafe
AnagrafeBO
AnagrafeConsulta
Assessori
ATO
bilancio
CED
cer
Cert Publishers
Commercio
Consiglieri
Contabilit…
DnsUpdateProxy
Domain Admins
Domain Computers
Domain Controllers
Domain Guests
Domain Users
Economato
Elettorale
Enterprise Admins
Group Policy Creator Owners
Internet
LavoriPubblici
LavoriPubbliciAdmin
Messi
OperatoriIngres
peg
Personale
PersonaleG
Polizia
PRG
Protocollo
Ragioneria
Schema Admins
Scuole
Segreteria
Servizi Sociali
StatoCivile
Territorio
TerritorioAmministr
Tributi
Urbanistica
Account Operators
Administrators
Backup Operators
Gruppo di accesso autorizzazione
Windows
Guests
Incoming Forest Trust Builders
Network Configuration Operators
Descrizione
Ufficio Ambiente
Anagrafe - Stato Civile - Leva - Messi
Back Office per l'anagrafe
Autorizzati alla consultazione dell'anagrafe
Assessori
AMBITO TERRRITORIALE
membri che modificano le cartelle ragioneria\bilancio\anno
Ufficio CED
utenti che lavorano sulla cartella cer
Enterprise certification and renewal agents
Uff. Commercio
Consigleri
Gestione Risorse Finanziarie
DNS clients who are permitted to perform dynamic updates on behalf of
some other clients (such as DHCP servers).
Designated administrators of the domain
All workstations and servers joined to the domain
All domain controllers in the domain
All domain guests
All domain users
Elettorale
Designated administrators of the enterprise
Members in this group can modify group policy for the domain
Gestori pagine WWW
Lavori Pubblici e Ufficio Tecnico
Gestione e archiviazione atti Settore Lavori Pubblici
Messi Comunali
TUTTI GLI OPERATORI CHE USANO INGRES
persone che lavorano sul peg
Ufficio Personale
Nuovo Gruppo del Personale
Polizia Municipale
Utenti Abilitati al Piano Regolatore
utenti abilitati a consultare protocollo storico
Ragioneria - Entrate - Tributi
Designated administrators of the schema
Gestione rette scolastiche e Forniture per le scuole
Gestione delibere - Protocollo
Utenti Servizi Sociali
Utenti dello Stato Civile (Anagrafe)
Utente generico del settore Territorio
Ufficio Amministrativo Unico
Ufficio Tributi
Members can administer domain user and group accounts
Members can fully administer the computer/domain
Members can bypass file security to back up files
I membri di questo gruppo dispongono di accesso all'attributo calcolato
tokenGroupsGlobalAndUniversal negli oggetti utente
Users granted guest access to the computer/domain
I membri di questo gruppo possono creare trust in ingresso unidirezionali
con l'insieme di strutture
I membri di questo gruppo possono godere di alcuni privilegi
25
Gruppo
Performance Log Users
Performance Monitor Users
Pre-Windows 2000 Compatible
Access
Print Operators
Replicator
Server licenze di Terminal Server
Server Operators
Users
Utenti desktop remoto
DnsAdmins
RAS and IAS Servers
sindacato
Utenti WINS
Vicesegreteria
Descrizione
amministrativi per gestire la configurazione di funzionalit… di rete
I membri del gruppo possono accedere in modo remoto per pianificare la
registrazione dei contatori di prestazione sul computer
I membri del gruppo possono accedere in modo remoto per monitorare il
computer
A backward compatibility group which allows read access on all users
and groups in the domain
Members can administer domain printers
Supports file replication in a domain
Server licenze di Terminal Server
Members can administer domain servers
Ordinary users
Ai membri di questo gruppo Š concesso il diritto di accedere da
postazioni remote
DNS Administrators Group
Servers in this group can access remote access properties of users
gruppo di accesso a clesius
Membri che dispongono dell'accesso in sola visualizzazione al server
WINS
Servizi Socio-Culturali
26
Elenco delle condivisioni su NTSERVER_01
Condivisione
Descrizione
NETLOGON
Logon server share
d
REPL$
G_proposte
Proposte delibere di giunta
C_proposte
Proposte delibere consiglio
URP
logins
Anag$
print$
Printer Drivers
Util
Posizione reale cartella
C:\WINNT\system32\Repl\Import\Scripts
D:\
C:\WINNT\system32\Repl\Export
F:\Segreteria\Giunta\Proposte
F:\Segreteria\Consig\Proposte
F:\URP
C:\logins
F:\Anag$
C:\WINNT\system32\spool\drivers
C:\Util
Elenco delle condivisioni su ARZIGNANO2
Condivisione
Descrizione
Ingres
Scambio
cdrom
Backup
Prg
dbtemp
Board
Open
C:\Ingres
E:\Scambio
F:\
E:\Backup
E:\Prg
D:\tmp\dbtemp
E:\Board
E:\Open
Condivisione
Descrizione
cdrom
La Legge Ipsoa
Backup
Backup Database Sicra
F:\
E:\Backup
Condivisione
Descrizione
Anagrafe
Ambiente
Territorio
Personale
Scuole
ofcscan
Urbanist
UffTecnico
Ragioneria
Segreteria
Piano
Ici
Sociale
Backup
Backup_log
CED
NETLOGON
POLIZIA
PROGRAM
SYSVOL
E:\data\Anagrafe
E:\data\Ambiente
E:\data\Territorio
E:\data\Personale
E:\data\Scuole
C:\Programmi\Trendicro\OfficeScan\PCCSRV
E:\data\Urbanist
E:\data\UffTecnico
E:\data\Ragioneria
E:\data\Segreteria
E:\data\Piano
E:\data\Ici
E:\data\Sociale
G:\Backup
E:\Backup\Backup_Log
E:\CED
SISTEMA
E:\POLIZIA
E:\PROGRAM
SISTEMA
Condivisione
Descrizione
NETLOGON
SYSVOL
URP
UTIL
ANAG$
ATO$
SISTEMA
SISTEMA
E:\DATA
E:\DATA
E:\DATA
E:\DATA
27
Condivisione
VENUS
Descrizione
F:\UTIL
ALLEGATO A.2
Elenco delle minacce a cui sono sottoposte le risorse hardware
Il documento elenca le minacce alle risorse hardware, individuate dall’Amministratore di sistema.
Le principali minacce a cui le risorse hardware sono sottoposte sono:
• mal funzionamenti dovuti a guasti, sabotaggi, furti e intercettazione;
• mal funzionamenti dovuti a eventi naturali quali allagamenti, incendi e temporali.
Quest'ultima minaccia interessa gli apparati di rete, cioè le linee di comunicazione, i router e i server. E' infatti
possibile effettuare il monitoraggio indebito o l'alterazione della trasmissione di dati effettuata da questi apparati,
sia che questa avvenga tra terminali, tra computer, tra stazioni di lavoro periferiche e sistemi centrali di
elaborazione.
Elenco delle minacce a cui sono sottoposte le risorse software
Il documento elenca le minacce alle risorse software, individuate dall’Amministratore di sistema.
Le minacce principali sono:
• la presenza di errori involontari commessi in fase di progettazione e/o implementazione che consentono ad
utenti non autorizzati l'esecuzione di operazioni e programmi riservati a particolari categorie di utenti;
• la presenza di codice malizioso inserito volontariamente dai programmatori dell'applicazione stessa, al fine di
poter svolgere operazioni non autorizzate sul sistema o per danneggiare lo stesso;
• attacchi di tipo "interruzione di servizio'', che vengono generalmente effettuati ai servizi di rete, ma che sono
facilmente estendibili a un qualunque servizio. Si tratta di attacchi non distruttivi il cui obiettivo è saturare la
capacità di risposta di un servizio con l'obiettivo ultimo di renderlo inutilizzabile dagli altri utenti del sistema.
Elenco delle minacce a cui sono sottoposti i Dati Trattati
Il documento elenca le minacce ai dati trattati, individuate dall’Amministratore di sistema.
Le minacce a cui i dati trattati sono sottoposti sono legate alle debolezze dei sistemi operativi e delle applicazioni
che operano sulle macchine su cui risiedono e sono riconducibili a due categorie:
• l'accesso non autorizzato cioè la possibilità per utenti esterni o interni di visualizzare informazioni riservate a
particolari categorie di utenti;
• modifiche deliberate o accidentali cioè, da una parte la possibilità per utenti non autorizzati di modificare o
cancellare dati a loro "non appartenenti'', dall'altra errori commessi da utenti autorizzati, che inavvertitamente
procedono alla modifica o cancellazione di informazioni significative.
Elenco delle minacce a cui sono sottoposti i Supporti di Memorizzazione
Il documento elenca le minacce ai supporti di memorizzazione, individuate dall’Amministratore di sistema.
Le principali minacce a tali espositivi sono:
• la distruzione e/o l'alterazione ad opera di eventi naturali;
• le azioni accidentali e comportamenti intenzionali;
• il deterioramento nel tempo;
• l'inaffidabilità del mezzo fisico che in alcuni casi può presentare difetti di costruzione che ne compromettono il
buon funzionamento nel tempo;
• l'evoluzione tecnologica e del mercato.
Elenco dei sinistri catastrofici
Il documento elenca le tipologie di sinistri catastrofici.
Per ogni tipologia di sinistro catastrofico viene indicata la relativa valutazione della sua frequenza come:
28
•
•
•
•
Incendio
Allagamento
Terremoto
Furto
- mai
- mai
- ogni 5 anni
- ultimo nel 1998
29
ALLEGATO A.3
Individuazione delle contromisure.
Il documento elenca le contromisure di natura fisica, logica ed organizzativa, da adottare al fine di ridurre i rischi
individuati. Le contromisure si distinguono in misure di sicurezza fisica, misure di sicurezza elettronica e politiche di
sicurezza.
Per misure di sicurezza fisica si intendono le misure adottate per la protezione delle aree critiche, come i locali dei
server, le unità di backup, i supporti di memorizzazione e i supporti cartacei.
I locali del CED si trovano al piano mezzano dell'edificio comunale, le due porte d'accesso ai locali sono blindate e
le finestre che danno all'esterno sono chiuse da sbarre ed ad una altezza di circa cinque metri sul livello stradale.
Inoltre i locali sono forniti di sensori di movimento e sensori di chiusura delle finestre collegati a un sistema di
allarme centralizzato. Il corridoio di accesso è anch'esso sorvegliato dallo stesso sistema di sensori. I locali sono
anche provvisti di sensori di fumo collegati al sistema di allarme. L'alimentazione elettrica dei locali è fornita da una
linea autonoma rispetto al resto del municipio e di differenziali adeguati per i gruppi di continuità elettrica (UPS).
La sala macchine si trova all'interno dei locali del CED separata da questi da vetri. La sala macchine possiede un
impianto di condizionamento autonomo.
In caso di aumento della temperatura oltre i 30 C° nella sala macchine viene staccata la alimentazione elettrica .
I nastri di backup sono conservati in locali differenti dalla sala macchine e periodicamente custoditi in cassaforte.
Per misure di sicurezza elettroniche si intendono le misure in grado di segnalare gli accessi agli elaboratori, agli
applicativi, ai dati e alla rete, di gestire le copie di salvataggio dei dati e degli applicativi, di assicurare l'integrità dei
dati, di proteggere gli elaboratori da programmi volutamente o involontariamente resi dannosi. Di seguito se ne da
una elencazione di quelle adottate.
Le macchine server sono dotate di sistemi di fault tolerance, in particolare:
• tutti i dischi sono in RAID5 (i dati vengono salvati su più dischi contemporaneamente) garantendo il
funzionamento della macchina e l'integrità dei dati anche a seguito della rottura di un disco;
• le macchine critiche possono essere equipaggiate con due processori anche se solo quattro hanno tale
configurazione (NTSERVER_01 , ORACLE, ARZIGNANO4).
Il sistema di backup è centralizzato e automatizzato. I backup vengono eseguiti con cadenza giornaliera da una
macchina d'appoggio (ARZIGNANO4) su disco esterno da 320GB.
I salvataggi della gestione SIT vengono effettuati dalle macchine locali ad hard disk esterno su arzignano4 da 250
GB e sono schedulati alle ore 13.45.
L'eventuale indisponibilità del sistema di backup può essere sopperita dalle unità a di backup sulle altre macchine.
I server e gli apparati sono sotto gruppo di continuità che garantisce una continua alimentazione per circa 15 minuti
e previene eventuali sovratensioni della rete elettrica.
Il sistema è dotato di tre differenti antivirus che agiscono a livelli diversi. Il primo provvede ad impedire eventuali
infezioni alle macchine desktop dell’utenza controllando ogni programma che viene eseguito, e possiede un
controllo centralizzato. Il secondo sistema antivirus è stato installato sulle macchine server. Questo è un sistema a
controllo centralizzato specifico per i server. Il principio di funzionamento è simile al primo. Il terzo risiede sul server
di posta elettronica e controlla tutta la posta in arrivo e in partenza eliminando tutti i virus prima che arrivino
all’utente. Tutti i sistemi si aggiornano automaticamente con cadenza giornaliera e tengono traccia degli attacchi di
virus fornendo anche statistiche.
La rete interna è separata dalla rete pubblica (internet) da una macchina (PROXY) che tramite un firewall (iptables)
isola le sue reti. I servizi di accesso al web sono garantiti dalla stessa macchina tramite un sistema proxy (squid).
I programmi gestionali centralizzati possiedo tutti un sistema di rilevazioni delle attività dell'utente, ma non
possiedono sistemi di tracciamento delle operazioni, questi possono essere implementati solo con la sostituzione
dei gestionali con altri che ne facciano uso.
Per politiche di sicurezza s'intende un documento procedurale che descriva le misure adottate relativamente
all'identificazione e autenticazione degli utenti.
L'autenticazione degli utenti che accedono al sistema informativo automatizzato avviene su due livelli: il primo è
caratterizzato all'accesso ai personal computer in Dominio NT e quindi ai servizi di file sharing e utilizzo delle
risorse hardware, il secondo all'accesso ai gestionali centralizzati. In entrambi i casi l'identificazione avviene tramite
l'inserimento della coppia nome-utente e password.
Le password sono di otto caratteri, vengono cambiate ogni tre mesi.
E' stata stilata una circolare (prot. n. 39749 del 07/11/2002) contenente le regole di comportamento nell'utilizzo dei
sistemi informativi automatizzati alle quali gli utenti si devono attenere per incrementare la sicurezza.
30
E’ stata stilata una circolare (prot. n. 18718 del 18/05/2004) dove si indicavano le regole sulla formazione delle
password, la scadenza trimestrale e le modalità operative di sostituzione delle stesse.
31
ALLEGATO A.4
Il Piano della Formazione
Il documento descrive il piano della formazione previsto per il biennio successivo il piano deve tenere conto che la
formazione deve interviene in due momenti ben precisi del processo di introduzione di un sistema di sicurezza:
• Sensibilizzazione sulle problematiche della sicurezza e sulla loro importanza
• Conoscenza delle misure di sicurezza da adottare e da gestire ai diversi livelli di responsabilità
Il piano di formazione deve quindi:
• Rendere consapevoli i partecipanti sull'importanza delle politiche di sicurezza,
• Coinvolgere i partecipanti sulle problematiche inerenti la sicurezza,
• Responsabilizzare i partecipanti sulle attività da eseguire per garantire il mantenimento di un livello di sicurezza
accettabile.
Attraverso la progettazione di due tipologie di corsi, distinte a seconda dei destinatari:
1. la prima indirizzata alla direzione, deve prevedere cenni sulla normativa, indicazioni sulle Politiche di
Sicurezza, analisi dei rischi;
2. l'altra, indirizzata al personale operativo, deve fornire indicazioni precise sui comportamenti da adottare, sia
nelle operazioni quotidiane, che nelle situazioni di emergenza.
32
PIANO PER LA SICUREZZA INFORMATICA
PARTE B: rischi e contromisure per la formazione, gestione, accessibilità, trasmissione e
conservazione dei documenti informatici
Sezione I - Formazione dei documenti informatici
Articolo 1. Contenuti
1. In ogni documento informatico deve essere riportata, in modo facilmente leggibile, l'indicazione del soggetto
che lo forma e delle amministrazioni interessate [cfr. art. 9, c. 2, DPR 445/2000].
2. Per agevolare il processo di formazione dei documenti informatici e consentire al tempo stesso la trattazione
automatica dei dati in essi contenuti, l'Amministrazione rende disponibili per via telematica, in modo
centralizzato e sicuro, moduli e formulari elettronici validi ad ogni effetto di legge [cfr. art. 9, c. 3, DPR
445/2000].
3. Al fine di tutelare la riservatezza dei dati personali di cui agli articoli 22 e 24 della L. 675/96 e successive
modificazioni ed integrazioni, i certificati e i documenti trasmessi ad altre pubbliche amministrazioni
contengono soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento
e strettamente necessarie per il perseguimento delle finalità per le quali vengono acquisite [cfr. art. 16, c. 1,
DPR 445/2000].
4. Le regole per la determinazione dei contenuti e della struttura dei documenti informatici sono definite dalla
dirigenza con riferimento all'ordinamento delle rispettive amministrazioni [cfr. art. 3, c. 4, Deliberazione AIPA
51/2000].
Articolo 2. Formati
1. Per la produzione dei documenti informatici si adottano formati che al minimo possiedono i requisiti di:
leggibilità, interscambiabilità, non alterabilità durante le fasi di accesso e conservazione, immutabilità nel tempo
del contenuto e della struttura. [cfr. art. 4, Deliberazione AIPA 51/2000]. In via preferenziale si adottano i
formati PDF, XML e TIFF.
Articolo 3. Sottoscrizione
1. La sottoscrizione dei documenti informatici è eseguita con una firma elettronica avanzata basata su un
certificato rilasciato da un Certificatore accreditato e generata con un dispositivo sicuro [cfr. art. 6, c. 3, D. Lgs.
10/2002].
2. Per i documenti informatici che non necessitano di sottoscrizione, l'identificazione dei soggetti che li producono
è assicurata con l'ausilio degli strumenti di riconoscimento ed autenticazione descritti nell'allegato B.1 [cfr.
paragrafi 1 e 4 della circolare AIPA 27/2001].
Articolo 4. Datazione
1. Per attribuire una data certa ad un documento informatico prodotto dall'Amministrazione, ci si avvale del
servizio di marcatura temporale (time stamping) fornito da un Certificatore accreditato.
2. L'esecuzione del processo di marcatura temporale avviene con le procedure previste dal Certificatore che
eroga il servizio, nei tempi e con le garanzie di sicurezza di cui al DPCM 8 febbraio 1999.
33
Sezione II - Gestione dei documenti informatici
Articolo 5. Registrazione dei documenti informatici
1. Tutti i documenti informatici ricevuti e prodotti dall'Amministrazione sono soggetti a registrazione obbligatoria di
protocollo ai sensi dell'art. 53, comma 5, DPR 445/2000.
Articolo 6. Sistema di protocollo informatico
1. Il sistema operativo dell'elaboratore, su cui è realizzato il sistema di protocollo informatico, è conforme alle
specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TCSEC e loro successive evoluzioni
(Circolare AIPA 31/2001). Esso assicura:
a) l'univoca identificazione ed autenticazione degli utenti;
b) la protezione delle informazioni relative a ciascun utente nei confronti degli altri;
c) la garanzia di accesso alle risorse, esclusivamente agli utenti abilitati;
d) la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in modo tale da
garantire l'identificabilità dell'utente stesso. Tali registrazioni sono protette da modifiche non autorizzate.
2. Il sistema di protocollo informatico:
e) consente il controllo differenziato dell'accesso alle risorse del sistema per ciascun utente o gruppi di utenti;
f) assicura il tracciamento di qualsiasi evento di modifica delle informazioni trattate e l'individuazione del suo
autore. Tali registrazioni sono protette da modifiche non autorizzate.
3. La conformità del sistema operativo alle specifiche di cui al comma 1 e il possesso dei requisiti minimi di
sicurezza per quanto attiene la configurazione dello stesso per la specifica applicazione del protocollo
informatico, sono attestate dal fornitore con idonea documentazione inclusa nella fornitura. La configurazione
sarà oggetto di verifica in sede di collaudo.
4. Per la generazione delle impronte dei documenti informatici il sistema utilizza la funzione di HASH, definita
nella norma ISO/IEC 10118-3:1998, Dedicated Hash-Function 3, corrispondente alla funzione SHA-1.
Articolo 7. Registro informatico di protocollo
1. Al fine di garantire la non modificabilità delle operazioni di registrazione, il contenuto del registro informatico di
protocollo, almeno al termine della giornata lavorativa, è riversato su supporti informatici non riscrivibili e
conservato a cura di ________ (soggetto diverso dal Resp. del Servizio per la tutela del Protocollo informatico)
Articolo 8. Modifica e/o Annullamento delle registrazioni di protocollo
1. L'operazione di modifica o di annullamento di una registrazione di protocollo è eseguita con le modalità di cui
all'articolo 8 del DPCM 31 ottobre 2000, e precisamente:
a) fra le informazioni generate o assegnate automaticamente dal sistema e registrate in forma non
modificabile, l'annullamento anche di una sola di esse determina l'automatico e contestuale annullamento
dell'intera registrazione di protocollo;
b) delle altre informazioni, registrate in forma non modificabile, l'annullamento anche di un solo campo, che si
rendesse necessario per correggere errori intercorsi in sede di immissione di dati, deve comportare la
rinnovazione del campo stesso con i dati corretti e la contestuale memorizzazione, in modo permanente, del
valore precedentemente attribuito unitamente alla data, l'ora e all'autore della modifica; così analogamente
per lo stesso campo, od ogni altro, che dovesse poi risultare errato;
c) le informazioni originarie, successivamente annullate, vengono memorizzate secondo le modalità
specificate nell'art. 54 DPR 445/2000.
34
Articolo 9. Registro di emergenza
1. In condizioni di emergenza si applicano le modalità di registrazione e di recupero dei dati descritte nell'art. 63
del DPR 445/2000, e precisamente:
a) sul registro di emergenza sono riportate la cause, la data e l'ora di inizio dell'interruzione nonché la data e
l'ora del ripristino della funzionalità del sistema;
b) qualora l'impossibilità di utilizzare la procedura informatica si prolunghi oltre ventiquattro ore, per cause di
eccezionale gravità, il Responsabile del Servizio può autorizzare l'uso del registro di emergenza per periodi
successivi di non più di una settimana. Sul registro di emergenza vanno riportati gli estremi del
provvedimento di autorizzazione;
c) per ogni giornata di registrazione di emergenza è riportato sul registro di emergenza il numero totale di
operazioni registrate;
d) la sequenza numerica utilizzata sul registro di emergenza, anche a seguito di successive interruzioni, deve
comunque garantire l'identificazione univoca dei documenti registrati nell'ambito del sistema documentario
dell'area organizzativa omogenea;
e) le informazioni relative ai documenti protocollati in emergenza sono inserite nel sistema informatico,
utilizzando un'apposita funzione di recupero dei dati, senza ritardo, al ripristino delle funzionalità del sistema.
Durante la fase di ripristino, a ciascun documento registrato in emergenza viene attribuito un numero di
protocollo del sistema informatico ordinario, che provvede a mantenere stabilmente la correlazione con il
numero utilizzato in emergenza.
Articolo 10. Sicurezza fisica dei documenti
1. L'accesso in lettura e scrittura al “repository” dei documenti è effettuato dal processo server dell'applicativo di
protocollo informatico, mai dalle stazioni di lavoro.
2. L’Amministratore di sistema garantisce la puntuale esecuzione delle operazioni di backup dei dati e dei
documenti registrati, su supporti informatici non riscrivibili, da parte di personale appositamente autorizzato. La
descrizione puntuale delle procedure in questione e l'identificazione del personale abilitato allo svolgimento
delle operazioni di backup sono riportate nell'allegato B.2.
3. Ogni operazione di manutenzione o di backup effettuata sul sistema che ospita la base documentale e sul
sistema di protocollo informatico è registrata su un file di log periodicamente controllato.
4. Le copie di backup dei dati e dei documenti sono conservate, a cura dell’Amministratore di sistema, in locali
sicuri e dislocati in luoghi differenti.
Sezione III - Accessibilità ai documenti informatici
Articolo 11. Gestione della riservatezza
1. Ad ogni documento, all'atto della registrazione nel sistema di protocollo informatico, è associata una Access
Control List (ACL) che consente di stabilire quali utenti o gruppi di utenti hanno accesso ad esso. Per default il
sistema segue la logica dell'organizzazione, nel senso che ciascun utente può accedere solamente ai
documenti che sono stati assegnati alla sua struttura di appartenenza, o agli uffici ad esso subordinati.
2. Le regole adottate dall'Amministrazione per consentire l'accesso ai documenti informatici nel rispetto della
normativa vigente sulla “privacy”, differenziate per tipo documento, sono riportate nell'allegato B.3.
Articolo 12. Accesso da parte degli utenti interni all'Amministrazione
1. Il livello di autorizzazione all'utilizzo delle funzioni del sistema di gestione informatica dei documenti, distinte tra
funzioni orientate alla consultazione dei dati e funzioni orientate all'inserimento e alla modifica delle
informazioni, è attribuito dal Responsabile del Servizio per la tenuta del protocollo informatico [art. 61, c. 3,
DPR 445/2000].
35
2. Il controllo degli accessi ai dati di protocollo e alla base documentale da parte del personale
dell'Amministrazione è assicurato utilizzando lo USER ID e la PASSWORD assegnata ad ogni utente, ovvero
attraverso i meccanismi di “single sign on” implementati dal Servizio Informatica e descritti nell'allegato B.1.
3. Il Servizio Informatica assicura la variazione sistematica, almeno bimestrale, delle password assegnate agli
utenti per l'accesso alle funzioni del sistema di protocollo informatico.
Articolo 13. Accesso da parte di altre pubbliche amministrazioni
L'accesso al sistema di gestione informatica dei documenti da parte di altre pubbliche amministrazioni avviene
nel rispetto dei principi della cooperazione applicativa secondo gli standard e il modello architetturale della
Rete Nazionale della pubblica amministrazione.
2. Le specifiche tecniche e funzionali relative alla porta di dominio, implementata per gestire gli accessi al sistema
documentale da parte di altre pubbliche amministrazioni, sono riportate nell'allegato B.4.
3. Il sistema presenta le funzioni minime di accesso di cui all'articolo 60, comma 2 del DPR n. 445/2000.
1.
Articolo 14. Accesso da parte di utenti esterni
1. L'accesso per via telematica al sistema di protocollo informatico da parte di utenti esterni all'Amministrazione è
consentito solo con strumenti tecnologici che permettono di identificare in modo certo il soggetto richiedente.
2. Per il controllo degli accessi esterni si utilizzano, oltre alla firma elettronica conforme alla normativa vigente, la
Carta d'Identità Elettronica (CIE) e la Carta Nazionale dei Servizi (CNS).
3. Si utilizzano altresì i sistemi di riconoscimento e autenticazione descritti nell'allegato B.5.
Sezione IV - Trasmissione e interscambio dei documenti informatici
Articolo 15. Sistema di posta elettronica
1. La trasmissione dei documenti informatici avviene attraverso un servizio di posta elettronica certificata
conforme agli standard della Rete Nazionale delle pubbliche amministrazioni. L'Amministrazione si avvale di un
servizio di “posta elettronica certificata” offerto da un soggetto in grado di assicurare la riservatezza e la
sicurezza del canale di comunicazione; di dare certezza sulla data di spedizione e di consegna dei documenti,
facendo ricorso al “time stamping” e al rilascio di ricevute di ritorno elettroniche.
2. Il server di posta certificata di cui si avvale l'Amministrazione, oltre alle funzioni di un server SMTP tradizionale,
svolge anche le seguenti operazioni
a) accesso alle Certification Authority per la verifica dei Message Authentication Code (MAC) presenti sui
messaggi ricevuti;
b) tracciamento delle attività nel file di log della posta;
c) gestione automatica delle ricevute di ritorno.
Articolo 16. Interoperabilità e cooperazione applicativa
1. Lo scambio di documenti informatici soggetti a registrazione di protocollo avviene mediante messaggi conformi
ai sistemi di posta elettronica compatibili con il protocollo SMTP/MIME definito nelle specifiche pubbliche "The
Request for Comments" (RFC) 821-822, RFC 2045-2049 e successive modificazioni o integrazioni.
2. I dati della segnatura informatica di protocollo di un documento informatico trasmesso ad un'altra pubblica
amministrazione sono inseriti in un file conforme allo standard XML - XML 1.0 (raccomandazione W3C del 10
febbraio 1998).
3. Le modalità di composizione dei messaggi protocollati, di scambio degli stessi tra Aree Oganizzative
Omogenee (AOO) e di notifica degli eventi sono conformi alle specifiche riportate nella Circolare AIPA n.
28/2001.
4. L'operazione di ricezione dei documenti informatici comprende i processi di verifica dell'autenticità, della
provenienza e dell'integrità dei documenti stessi.
36
5. I documenti informatici sono trasmessi all'indirizzo elettronico dichiarato dai destinatari, ovvero abilitato alla
ricezione della posta per via telematica [cfr. art. 14, DPR 445/2000]. L'operazione di spedizione include la
verifica della validità amministrativa della firma.
Articolo 17. Cifratura dei messaggi
1. Lo scambio di dati e documenti attraverso reti non sicure avviene attraverso l'utilizzo dei sistemi di
autenticazione e cifratura.
2. Lo scambio di dati e documenti attraverso reti sicure, come la Rete Nazionale delle pubbliche amministrazioni
o le reti interne, può avvenire anche senza adottare le misure di sicurezza di cui al precedente comma in
quanto esse non sono ritenute necessarie [cfr. art. 9, Circolare AIPA 28/2001]
Sezione V - Conservazione dei documenti informatici
Articolo 18. Supporti di memorizzazione
1. Per l'archiviazione ottica dei documenti si utilizzano i supporti di memorizzazione digitale che consentono la
registrazione mediante la tecnologia laser (WORM, CD-R, DVD-R).
Articolo 19. Procedure di conservazione
1. La conservazione dei documenti digitali e dei documenti analogici (che comprendono quelli su supporto
cartaceo) avviene nei modi e con le tecniche specificate nella Deliberazione AIPA n. 42/2001.
2. Il riferimento temporale, inteso come l'informazione, contenente la data e l'ora in cui viene ultimato il processo
di conservazione digitale, associata ad uno o più documenti digitali, è generato secondo i canoni di sicurezza
riportati nell'allegato B.6.
Articolo 20. Tenuta dell'archivio informatico
1.
Il Responsabile del procedimento di conservazione digitale:
a) adotta le misure necessarie per garantire la sicurezza fisica e logica del sistema preposto al processo di
conservazione digitale e delle copie di sicurezza. Tali misure sono riportate nell'allegato B.7;
b) definisce i contenuti dei supporti di memorizzazione e delle copie di sicurezza;
c) verifica periodicamente, con cadenza non superiore ai cinque anni, l'effettiva leggibilità dei documenti
conservati provvedendo, se necessario, al riversamento diretto o sostitutivo del contenuto dei supporti.
37
ALLEGATO B.1
Strumenti per l'identificazione e le autenticazioni degli utenti interni.
L'Amministrazione è dotata di una rete interna LAN (Local Area Network) su cui è implementato un Dominio
Windows NT 4.0 (ITSEC E3).
Gli utenti della LAN accedono alle risorse locali e condivise tramite la coppia di parole user id e password. Questa
identificazione dà accesso ai file della rete e alle risorse hardware.
Un secondo livello di identificazione e accesso è garantito dai programmi gestionali centralizzati che possiedono un
sistema di identificazione proprio che stabilisce l'accesso ai dati e ai privilegi di utilizzo degli stessi.
ALLEGATO B.2
Misure tecniche e operative adottate per l'esecuzione delle procedure di backup dei dati di protocollo e dei
documenti informatici.
La procedura di protocollo informatico e di gestione degli atti deliberativi è implementata tramite il programma
IRIDE. La base documentale risiede all'interno di un database relazionale sul server ARZIGNANO3 e delle copie in
sola lettura dei documenti sono conservate anche nel file server ARZIGNANO4 (condivisione S:\).
I backup del database della base documentale viene effettuato giornalmente durante la notte e riversato su disco
esterno. Anche le copie dei documenti vengono riversati giornalmente su disco esterno. Due volte alla settimana
(mercoledì e sabato) vencono eseguiti gli stessi backup su cassetta e poi conservate per crica due mesi per poi
essere calcellate e riutilizzate. Le operazioni di backup sono a cura del personale del CED.
ALLEGATO B.3
Policy inerente l'accessibilità e la riservatezza dei dati di protocollo e dei documenti informatici.
I dati di protocollo e gli atti deliberativi sono accessibili tramite l'applicativo IRIDE che autentica gli utenti e ne
assegna i privilegi di accesso.
In particolare tutti gli utenti autenticati possono accedere in consultazione ma non in modifica ai dati di protocollo e
ai documenti informatici e sono autorizzati a emettere protocolli interni e in uscita. L'inserimento di nuovi protocolli
in ingresso e l'eventuale modifica e concessa solo a un utente designato a tale scopo dall'Amministrazione e
all'Amministratore di sistema.
Gli utenti preposti alla stesura degli atti possono inserire i documenti nel programma ma non possono modificare i
documenti una volta iniziato l'iter. E' sempre consentita la consultazione da parte degli utenti autenticati.
ALLEGATO B.4
Descrizione tecnica e funzionale della porta di dominio implementata dall'Amministrazione per l'accesso ai
dati di protocollo e ai documenti informatici da parte di altre pubbliche amministrazioni.
Non sono state implementate porte di dominio per l'accesso al protocollo informatico.
La possibilità di accedere al protocollo informatico è in fase di studio.
ALLEGATO B.5
Strumenti tecnologici addottati dall'Amministrazione, in aggiunta alla CIE e CNS, per l'identificazione e
l'autenticazione degli utenti esterni.
Non è prevista la consultazione del protocollo da parte di utenti esterni al sistema informativo.
38
ALLEGATO B.6
Descrizione delle procedure di sicurezza adottate dall'Amministrazione per la produzione del riferimento
temporale di cui alla Deliberazione AIPA n. 42/2001 e l'associazione di questi all'insieme dei documenti
conservati su supporti ottici.
Non è ancora stato adottato il riversamento ottico sostitutivo di documenti cartacei o informatici.
ALLEGATO B.7
Misure tecniche e procedurali adottate dall'Amministrazione per garantire la sicurezza fisica e logica del
sistema preposto al processo di conservazione digitale e delle copie di sicurezza dell'archivio informatico.
Non è stato implementato un sistema di conversione di documenti amministrativi in formato digitale in quanto non
si dispone ancora di un sistema di gestione documentale informatizzato.
Elenco delle condivisioni su NTSERVER_01
Condivisione
Descrizione
NETLOGON
Logon server share
d
REPL$
G_proposte
Proposte delibere di giunta
C_proposte
Proposte delibere consiglio
URP
Ato$
logins
Anag$
print$
Printer Drivers
Util
C:\WINNT\system32\Repl\Import\Scripts
D:\
C:\WINNT\system32\Repl\Export
F:\Segreteria\Giunta\Proposte
F:\Segreteria\Consig\Proposte
F:\URP
F:\Ato$
C:\logins
F:\Anag$
C:\WINNT\system32\spool\drivers
C:\Util
Elenco delle condivisioni su ARZIGNANO_1
Condivisione
Descrizione
NETLOGON
Logon server share
PRG
Dati ufficiali del PRG
D
Cd Rom
REPL$
Polizia
SIT
Sistema Informativo Territoriale
ced
Assessori
backup
OfficeScan
Scambio
Cartella di scambio
Program
leggi
Rete_Civica
print$
Printer Drivers
C:\WINNT\System32\Repl\Import\Scripts
F:\PRG
D:\
C:\WINNT\System32\Repl\Export
F:\Polizia
F:\SIT
F:\ced
F:\Assessori
F:\backup
F:\OfficeScan
F:\Scambio
F:\Program
F:\leggi
F:\Rete_Civica
C:\WINNT\System32\spool\DRIVERS
Condivisione
Descrizione
Ingres
Scambio
cdrom
Backup
Prg
dbtemp
Board
Open
C:\Ingres
E:\Scambio
F:\
E:\Backup
E:\Prg
D:\tmp\dbtemp
E:\Board
E:\Open
39
Condivisione
Descrizione
cdrom
La Legge Ipsoa
Backup
Backup Database Sicra
F:\
E:\Backup
Condivisione
Descrizione
Anagrafe
Ambiente
Territorio
Personale
Scuole
ofcscan
Urbanist
UffTecnico
Ragioneria
Segreteria
Piano
Ici
Sociale
E:\data\Anagrafe
E:\data\Ambiente
E:\data\Territorio
E:\data\Personale
E:\data\Scuole
C:\Programmi\Trendicro\OfficeScan\PCCSRV
E:\data\Urbanist
E:\data\UffTecnico
E:\data\Ragioneria
E:\data\Segreteria
E:\data\Piano
E:\data\Ici
E:\data\Sociale
40
ALLEGATO A.2
Elenco delle minacce a cui sono sottoposte le risorse hardware
Il documento elenca le minacce alle risorse hardware, individuate dall’Amministratore di sistema.
Le principali minacce a cui le risorse hardware sono sottoposte sono:
• mal funzionamenti dovuti a guasti, sabotaggi, furti e intercettazione;
• mal funzionamenti dovuti a eventi naturali quali allagamenti, incendi e temporali.
Quest'ultima minaccia interessa gli apparati di rete, cioè le linee di comunicazione, i router e i server. E' infatti
possibile effettuare il monitoraggio indebito o l'alterazione della trasmissione di dati effettuata da questi apparati,
sia che questa avvenga tra terminali, tra computer, tra stazioni di lavoro periferiche e sistemi centrali di
elaborazione.
Elenco delle minacce a cui sono sottoposte le risorse software
Il documento elenca le minacce alle risorse software, individuate dall’Amministratore di sistema.
Le minacce principali sono:
• la presenza di errori involontari commessi in fase di progettazione e/o implementazione che consentono ad
utenti non autorizzati l'esecuzione di operazioni e programmi riservati a particolari categorie di utenti;
• la presenza di codice malizioso inserito volontariamente dai programmatori dell'applicazione stessa, al fine di
poter svolgere operazioni non autorizzate sul sistema o per danneggiare lo stesso;
• attacchi di tipo "interruzione di servizio'', che vengono generalmente effettuati ai servizi di rete, ma che sono
facilmente estendibili a un qualunque servizio. Si tratta di attacchi non distruttivi il cui obiettivo è saturare la
capacità di risposta di un servizio con l'obiettivo ultimo di renderlo inutilizzabile dagli altri utenti del sistema.
Elenco delle minacce a cui sono sottoposti i Dati Trattati
Il documento elenca le minacce ai dati trattati, individuate dall’Amministratore di sistema.
Le minacce a cui i dati trattati sono sottoposti sono legate alle debolezze dei sistemi operativi e delle applicazioni
che operano sulle macchine su cui risiedono e sono riconducibili a due categorie:
• l'accesso non autorizzato cioè la possibilità per utenti esterni o interni di visualizzare informazioni riservate a
particolari categorie di utenti;
• modifiche deliberate o accidentali cioè, da una parte la possibilità per utenti non autorizzati di modificare o
cancellare dati a loro "non appartenenti'', dall'altra errori commessi da utenti autorizzati, che inavvertitamente
procedono alla modifica o cancellazione di informazioni significative.
Elenco delle minacce a cui sono sottoposti i Supporti di Memorizzazione
Il documento elenca le minacce ai supporti di memorizzazione, individuate dall’Amministratore di sistema.
Le principali minacce a tali espositivi sono:
• la distruzione e/o l'alterazione ad opera di eventi naturali;
• le azioni accidentali e comportamenti intenzionali;
• il deterioramento nel tempo;
• l'inaffidabilità del mezzo fisico che in alcuni casi può presentare difetti di costruzione che ne compromettono il
buon funzionamento nel tempo;
• l'evoluzione tecnologica e del mercato.
Elenco dei sinistri catastrofici
Il documento elenca le tipologie di sinistri catastrofici.
Per ogni tipologia di sinistro catastrofico viene indicata la relativa valutazione della sua frequenza come:
• Incendio
- mai
• Allagamento
- mai
• Terremoto
- ogni 5 anni
• Furto
- ultimo nel 1998
41
ALLEGATO A.3
Individuazione delle contromisure.
Il documento elenca le contromisure di natura fisica, logica ed organizzativa, da adottare al fine di ridurre i rischi
individuati. Le contromisure si distinguono in misure di sicurezza fisica, misure di sicurezza elettronica e politiche di
sicurezza.
Per misure di sicurezza fisica si intendono le misure adottate per la protezione delle aree critiche, come i locali dei
server, le unità di backup, i supporti di memorizzazione e i supporti cartacei.
I locali del CED si trovano al piano mezzano dell'edificio comunale, le due porte d'accesso ai locali sono blindate e
le finestre che danno all'esterno sono chiuse da sbarre ed ad una altezza di circa cinque metri sul livello stradale.
Inoltre i locali sono forniti di sensori di movimento e sensori di chiusura delle finestre collegati a un sistema di
allarme centralizzato. Il corridoio di accesso è anch'esso sorvegliato dallo stesso sistema di sensori. I locali sono
anche provvisti di sensori di fumo collegati al sistema di allarme. L'alimentazione elettrica dei locali è fornita da una
linea autonoma rispetto al resto del municipio e di differenziali adeguati per i gruppi di continuità elettrica (UPS).
La sala macchine si trova all'interno dei locali del CED separata da questi da vetri. La sala macchine possiede un
impianto di condizionamento autonomo.
I nastri di backup sono conservati in locali differenti dalla sala macchine e periodicamente custoditi in cassaforte.
Per misure di sicurezza elettroniche si intendono le misure in grado di segnalare gli accessi agli elaboratori, agli
applicativi, ai dati e alla rete, di gestire le copie di salvataggio dei dati e degli applicativi, di assicurare l'integrità dei
dati, di proteggere gli elaboratori da programmi volutamente o involontariamente resi dannosi. Di seguito se ne da
una elencazione di quelle adottate.
Le macchine server sono dotate di sistemi di fault tolerance, in particolare:
• tutti i dischi sono in RAID5 (i dati vengono salvati su più dischi contemporaneamente) garantendo il
funzionamento della macchina e l'integrità dei dati anche a seguito della rottura di un disco;
• le macchine critiche possono essere equipaggiate con due processori anche se solo quattro hanno tale
configurazione (NTSERVER_01 e ARZIGNANO_1, ORACLE, ARZIGNANO4).
Il sistema di backup è centralizzato e automatizzato. I backup vengono eseguiti con cadenza giornaliera da una
macchina d'appoggio (ARZIGNANO4) su disco esterno da 250GB. L'eventuale indisponibilità del sistema di backup
può essere sopperita dalle unità a di backup sulle altre macchine.
I server e gli apparati sono sotto gruppo di continuità che garantisce una continua alimentazione e previene
eventuali sovratensioni della rete elettrica.
Il sistema è dotato di tre differenti antivirus che agiscono a livelli diversi. Il primo provvede ad impedire eventuali
infezioni alle macchine desktop dell’utenza controllando ogni programma che viene eseguito, e possiede un
controllo centralizzato. Il secondo sistema antivirus è stato installato sulle macchine server. Questo è un sistema a
controllo centralizzato specifico per i server. Il principio di funzionamento è simile al primo. Il terzo risiede sul server
di posta elettronica e controlla tutta la posta in arrivo e in partenza eliminando tutti i virus prima che arrivino
all’utente. Tutti i sistemi si aggiornano automaticamente con cadenza giornaliera e tengono traccia degli attacchi di
virus fornendo anche statistiche.
La rete interna è separata dalla rete pubblica (internet) da una macchina (PROXY) che tramite un firewall (iptables)
isola le sue reti. I servizi di accesso al web sono garantiti dalla stessa macchina tramite un sistema proxy (squid).
I programmi gestionali centralizzati possiedo tutti un sistema di rilevazioni delle attività dell'utente, ma non
possiedono sistemi di tracciamento delle operazioni, questi possono essere implementati solo con la sostituzione
dei gestionali con altri che ne facciano uso.
Per politiche di sicurezza s'intende un documento procedurale che descriva le misure adottate relativamente
all'identificazione e autenticazione degli utenti.
L'autenticazione degli utenti che accedono al sistema informativo automatizzato avviene su due livelli: il primo è
caratterizzato all'accesso ai personal computer in Dominio NT e quindi ai servizi di file sharing e utilizzo delle
risorse hardware, il secondo all'accesso ai gestionali centralizzati. In entrambi i casi l'identificazione avviene tramite
l'inserimento della coppia nome-utente e password.
Le password sono di otto caratteri, vengono cambiate ogni tre mesi.
E' stata stilata una circolare (prot. n. 39749 del 07/11/2002) contenente le regole di comportamento nell'utilizzo dei
sistemi informativi automatizzati alle quali gli utenti si devono attenere per incrementare la sicurezza.
E’ stata stilata una circolare (prot. n. 18718 del 18/05/2004) dove si indicavano le regole sulla formazione delle
password, la scadenza trimestrale e le modalità operative di sostituzione delle stesse.
42
ALLEGATO A.4
Il Piano della Formazione
Il documento descrive il piano della formazione previsto per il biennio successivo il piano deve tenere conto che la
formazione deve interviene in due momenti ben precisi del processo di introduzione di un sistema di sicurezza:
• Sensibilizzazione sulle problematiche della sicurezza e sulla loro importanza
• Conoscenza delle misure di sicurezza da adottare e da gestire ai diversi livelli di responsabilità
Il piano di formazione deve quindi:
• Rendere consapevoli i partecipanti sull'importanza delle politiche di sicurezza,
• Coinvolgere i partecipanti sulle problematiche inerenti la sicurezza,
• Responsabilizzare i partecipanti sulle attività da eseguire per garantire il mantenimento di un livello di sicurezza
accettabile.
Attraverso la progettazione di due tipologie di corsi, distinte a seconda dei destinatari:
3. la prima indirizzata alla direzione, deve prevedere cenni sulla normativa, indicazioni sulle Politiche di
Sicurezza, analisi dei rischi;
4. l'altra, indirizzata al personale operativo, deve fornire indicazioni precise sui comportamenti da adottare, sia
nelle operazioni quotidiane, che nelle situazioni di emergenza.
43
PIANO PER LA SICUREZZA INFORMATICA
PARTE B: rischi e contromisure per la formazione, gestione, accessibilità, trasmissione e
conservazione dei documenti informatici
Sezione I - Formazione dei documenti informatici
Articolo 1. Contenuti
5. In ogni documento informatico deve essere riportata, in modo facilmente leggibile, l'indicazione del soggetto
che lo forma e delle amministrazioni interessate [cfr. art. 9, c. 2, DPR 445/2000].
6. Per agevolare il processo di formazione dei documenti informatici e consentire al tempo stesso la trattazione
automatica dei dati in essi contenuti, l'Amministrazione rende disponibili per via telematica, in modo
centralizzato e sicuro, moduli e formulari elettronici validi ad ogni effetto di legge [cfr. art. 9, c. 3, DPR
445/2000].
7. Al fine di tutelare la riservatezza dei dati personali di cui agli articoli 22 e 24 della L. 675/96 e successive
modificazioni ed integrazioni, i certificati e i documenti trasmessi ad altre pubbliche amministrazioni
contengono soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento
e strettamente necessarie per il perseguimento delle finalità per le quali vengono acquisite [cfr. art. 16, c. 1,
DPR 445/2000].
8. Le regole per la determinazione dei contenuti e della struttura dei documenti informatici sono definite dalla
dirigenza con riferimento all'ordinamento delle rispettive amministrazioni [cfr. art. 3, c. 4, Deliberazione AIPA
51/2000].
Articolo 2. Formati
2. Per la produzione dei documenti informatici si adottano formati che al minimo possiedono i requisiti di:
leggibilità, interscambiabilità, non alterabilità durante le fasi di accesso e conservazione, immutabilità nel tempo
del contenuto e della struttura. [cfr. art. 4, Deliberazione AIPA 51/2000]. In via preferenziale si adottano i
formati PDF, XML e TIFF.
Articolo 3. Sottoscrizione
3. La sottoscrizione dei documenti informatici è eseguita con una firma elettronica avanzata basata su un
certificato rilasciato da un Certificatore accreditato e generata con un dispositivo sicuro [cfr. art. 6, c. 3, D. Lgs.
10/2002].
4. Per i documenti informatici che non necessitano di sottoscrizione, l'identificazione dei soggetti che li producono
è assicurata con l'ausilio degli strumenti di riconoscimento ed autenticazione descritti nell'allegato B.1 [cfr.
paragrafi 1 e 4 della circolare AIPA 27/2001].
Articolo 4. Datazione
3. Per attribuire una data certa ad un documento informatico prodotto dall'Amministrazione, ci si avvale del
servizio di marcatura temporale (time stamping) fornito da un Certificatore accreditato.
4. L'esecuzione del processo di marcatura temporale avviene con le procedure previste dal Certificatore che
eroga il servizio, nei tempi e con le garanzie di sicurezza di cui al DPCM 8 febbraio 1999.
44
Sezione II - Gestione dei documenti informatici
Articolo 5. Registrazione dei documenti informatici
2. Tutti i documenti informatici ricevuti e prodotti dall'Amministrazione sono soggetti a registrazione obbligatoria di
protocollo ai sensi dell'art. 53, comma 5, DPR 445/2000.
Articolo 6. Sistema di protocollo informatico
5. Il sistema operativo dell'elaboratore, su cui è realizzato il sistema di protocollo informatico, è conforme alle
specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TCSEC e loro successive evoluzioni
(Circolare AIPA 31/2001). Esso assicura:
g) l'univoca identificazione ed autenticazione degli utenti;
h) la protezione delle informazioni relative a ciascun utente nei confronti degli altri;
i) la garanzia di accesso alle risorse, esclusivamente agli utenti abilitati;
j) la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in modo tale da
garantire l'identificabilità dell'utente stesso. Tali registrazioni sono protette da modifiche non autorizzate.
6. Il sistema di protocollo informatico:
k) consente il controllo differenziato dell'accesso alle risorse del sistema per ciascun utente o gruppi di utenti;
l) assicura il tracciamento di qualsiasi evento di modifica delle informazioni trattate e l'individuazione del suo
autore. Tali registrazioni sono protette da modifiche non autorizzate.
7. La conformità del sistema operativo alle specifiche di cui al comma 1 e il possesso dei requisiti minimi di
sicurezza per quanto attiene la configurazione dello stesso per la specifica applicazione del protocollo
informatico, sono attestate dal fornitore con idonea documentazione inclusa nella fornitura. La configurazione
sarà oggetto di verifica in sede di collaudo.
8. Per la generazione delle impronte dei documenti informatici il sistema utilizza la funzione di HASH, definita
nella norma ISO/IEC 10118-3:1998, Dedicated Hash-Function 3, corrispondente alla funzione SHA-1.
Articolo 7. Registro informatico di protocollo
2. Al fine di garantire la non modificabilità delle operazioni di registrazione, il contenuto del registro informatico di
protocollo, almeno al termine della giornata lavorativa, è riversato su supporti informatici non riscrivibili e
conservato a cura di ________ (soggetto diverso dal Resp. del Servizio per la tutela del Protocollo informatico)
Articolo 8. Modifica e/o Annullamento delle registrazioni di protocollo
2. L'operazione di modifica o di annullamento di una registrazione di protocollo è eseguita con le modalità di cui
all'articolo 8 del DPCM 31 ottobre 2000, e precisamente:
d) fra le informazioni generate o assegnate automaticamente dal sistema e registrate in forma non
modificabile, l'annullamento anche di una sola di esse determina l'automatico e contestuale annullamento
dell'intera registrazione di protocollo;
e) delle altre informazioni, registrate in forma non modificabile, l'annullamento anche di un solo campo, che si
rendesse necessario per correggere errori intercorsi in sede di immissione di dati, deve comportare la
rinnovazione del campo stesso con i dati corretti e la contestuale memorizzazione, in modo permanente, del
valore precedentemente attribuito unitamente alla data, l'ora e all'autore della modifica; così analogamente
per lo stesso campo, od ogni altro, che dovesse poi risultare errato;
f) le informazioni originarie, successivamente annullate, vengono memorizzate secondo le modalità
specificate nell'art. 54 DPR 445/2000.
45
Articolo 9. Registro di emergenza
2. In condizioni di emergenza si applicano le modalità di registrazione e di recupero dei dati descritte nell'art. 63
del DPR 445/2000, e precisamente:
f) sul registro di emergenza sono riportate la cause, la data e l'ora di inizio dell'interruzione nonché la data e
l'ora del ripristino della funzionalità del sistema;
g) qualora l'impossibilità di utilizzare la procedura informatica si prolunghi oltre ventiquattro ore, per cause di
eccezionale gravità, il Responsabile del Servizio può autorizzare l'uso del registro di emergenza per periodi
successivi di non più di una settimana. Sul registro di emergenza vanno riportati gli estremi del
provvedimento di autorizzazione;
h) per ogni giornata di registrazione di emergenza è riportato sul registro di emergenza il numero totale di
operazioni registrate;
i) la sequenza numerica utilizzata sul registro di emergenza, anche a seguito di successive interruzioni, deve
comunque garantire l'identificazione univoca dei documenti registrati nell'ambito del sistema documentario
dell'area organizzativa omogenea;
j) le informazioni relative ai documenti protocollati in emergenza sono inserite nel sistema informatico,
utilizzando un'apposita funzione di recupero dei dati, senza ritardo, al ripristino delle funzionalità del sistema.
Durante la fase di ripristino, a ciascun documento registrato in emergenza viene attribuito un numero di
protocollo del sistema informatico ordinario, che provvede a mantenere stabilmente la correlazione con il
numero utilizzato in emergenza.
Articolo 10. Sicurezza fisica dei documenti
5. L'accesso in lettura e scrittura al “repository” dei documenti è effettuato dal processo server dell'applicativo di
protocollo informatico, mai dalle stazioni di lavoro.
6. L’Amministratore di sistema garantisce la puntuale esecuzione delle operazioni di backup dei dati e dei
documenti registrati, su supporti informatici non riscrivibili, da parte di personale appositamente autorizzato. La
descrizione puntuale delle procedure in questione e l'identificazione del personale abilitato allo svolgimento
delle operazioni di backup sono riportate nell'allegato B.2.
7. Ogni operazione di manutenzione o di backup effettuata sul sistema che ospita la base documentale e sul
sistema di protocollo informatico è registrata su un file di log periodicamente controllato.
8. Le copie di backup dei dati e dei documenti sono conservate, a cura dell’Amministratore di sistema, in locali
sicuri e dislocati in luoghi differenti.
Sezione III - Accessibilità ai documenti informatici
Articolo 11. Gestione della riservatezza
3. Ad ogni documento, all'atto della registrazione nel sistema di protocollo informatico, è associata una Access
Control List (ACL) che consente di stabilire quali utenti o gruppi di utenti hanno accesso ad esso. Per default il
sistema segue la logica dell'organizzazione, nel senso che ciascun utente può accedere solamente ai
documenti che sono stati assegnati alla sua struttura di appartenenza, o agli uffici ad esso subordinati.
4. Le regole adottate dall'Amministrazione per consentire l'accesso ai documenti informatici nel rispetto della
normativa vigente sulla “privacy”, differenziate per tipo documento, sono riportate nell'allegato B.3.
Articolo 12. Accesso da parte degli utenti interni all'Amministrazione
4. Il livello di autorizzazione all'utilizzo delle funzioni del sistema di gestione informatica dei documenti, distinte tra
funzioni orientate alla consultazione dei dati e funzioni orientate all'inserimento e alla modifica delle
informazioni, è attribuito dal Responsabile del Servizio per la tenuta del protocollo informatico [art. 61, c. 3,
DPR 445/2000].
46
5. Il controllo degli accessi ai dati di protocollo e alla base documentale da parte del personale
dell'Amministrazione è assicurato utilizzando lo USER ID e la PASSWORD assegnata ad ogni utente, ovvero
attraverso i meccanismi di “single sign on” implementati dal Servizio Informatica e descritti nell'allegato B.1.
6. Il Servizio Informatica assicura la variazione sistematica, almeno bimestrale, delle password assegnate agli
utenti per l'accesso alle funzioni del sistema di protocollo informatico.
Articolo 13. Accesso da parte di altre pubbliche amministrazioni
L'accesso al sistema di gestione informatica dei documenti da parte di altre pubbliche amministrazioni avviene
nel rispetto dei principi della cooperazione applicativa secondo gli standard e il modello architetturale della
Rete Nazionale della pubblica amministrazione.
5. Le specifiche tecniche e funzionali relative alla porta di dominio, implementata per gestire gli accessi al sistema
documentale da parte di altre pubbliche amministrazioni, sono riportate nell'allegato B.4.
6. Il sistema presenta le funzioni minime di accesso di cui all'articolo 60, comma 2 del DPR n. 445/2000.
4.
Articolo 14. Accesso da parte di utenti esterni
4. L'accesso per via telematica al sistema di protocollo informatico da parte di utenti esterni all'Amministrazione è
consentito solo con strumenti tecnologici che permettono di identificare in modo certo il soggetto richiedente.
5. Per il controllo degli accessi esterni si utilizzano, oltre alla firma elettronica conforme alla normativa vigente, la
Carta d'Identità Elettronica (CIE) e la Carta Nazionale dei Servizi (CNS).
6. Si utilizzano altresì i sistemi di riconoscimento e autenticazione descritti nell'allegato B.5.
Sezione IV - Trasmissione e interscambio dei documenti informatici
Articolo 15. Sistema di posta elettronica
3. La trasmissione dei documenti informatici avviene attraverso un servizio di posta elettronica certificata
conforme agli standard della Rete Nazionale delle pubbliche amministrazioni. L'Amministrazione si avvale di un
servizio di “posta elettronica certificata” offerto da un soggetto in grado di assicurare la riservatezza e la
sicurezza del canale di comunicazione; di dare certezza sulla data di spedizione e di consegna dei documenti,
facendo ricorso al “time stamping” e al rilascio di ricevute di ritorno elettroniche.
4. Il server di posta certificata di cui si avvale l'Amministrazione, oltre alle funzioni di un server SMTP tradizionale,
svolge anche le seguenti operazioni
d) accesso alle Certification Authority per la verifica dei Message Authentication Code (MAC) presenti sui
messaggi ricevuti;
e) tracciamento delle attività nel file di log della posta;
f) gestione automatica delle ricevute di ritorno.
Articolo 16. Interoperabilità e cooperazione applicativa
6. Lo scambio di documenti informatici soggetti a registrazione di protocollo avviene mediante messaggi conformi
ai sistemi di posta elettronica compatibili con il protocollo SMTP/MIME definito nelle specifiche pubbliche "The
Request for Comments" (RFC) 821-822, RFC 2045-2049 e successive modificazioni o integrazioni.
7. I dati della segnatura informatica di protocollo di un documento informatico trasmesso ad un'altra pubblica
amministrazione sono inseriti in un file conforme allo standard XML - XML 1.0 (raccomandazione W3C del 10
febbraio 1998).
8. Le modalità di composizione dei messaggi protocollati, di scambio degli stessi tra Aree Oganizzative
Omogenee (AOO) e di notifica degli eventi sono conformi alle specifiche riportate nella Circolare AIPA n.
28/2001.
9. L'operazione di ricezione dei documenti informatici comprende i processi di verifica dell'autenticità, della
provenienza e dell'integrità dei documenti stessi.
47
10. I documenti informatici sono trasmessi all'indirizzo elettronico dichiarato dai destinatari, ovvero abilitato alla
ricezione della posta per via telematica [cfr. art. 14, DPR 445/2000]. L'operazione di spedizione include la
verifica della validità amministrativa della firma.
Articolo 17. Cifratura dei messaggi
3. Lo scambio di dati e documenti attraverso reti non sicure avviene attraverso l'utilizzo dei sistemi di
autenticazione e cifratura.
4. Lo scambio di dati e documenti attraverso reti sicure, come la Rete Nazionale delle pubbliche amministrazioni
o le reti interne, può avvenire anche senza adottare le misure di sicurezza di cui al precedente comma in
quanto esse non sono ritenute necessarie [cfr. art. 9, Circolare AIPA 28/2001]
Sezione V - Conservazione dei documenti informatici
Articolo 18. Supporti di memorizzazione
2. Per l'archiviazione ottica dei documenti si utilizzano i supporti di memorizzazione digitale che consentono la
registrazione mediante la tecnologia laser (WORM, CD-R, DVD-R).
Articolo 19. Procedure di conservazione
3. La conservazione dei documenti digitali e dei documenti analogici (che comprendono quelli su supporto
cartaceo) avviene nei modi e con le tecniche specificate nella Deliberazione AIPA n. 42/2001.
4. Il riferimento temporale, inteso come l'informazione, contenente la data e l'ora in cui viene ultimato il processo
di conservazione digitale, associata ad uno o più documenti digitali, è generato secondo i canoni di sicurezza
riportati nell'allegato B.6.
Articolo 20. Tenuta dell'archivio informatico
2.
Il Responsabile del procedimento di conservazione digitale:
d) adotta le misure necessarie per garantire la sicurezza fisica e logica del sistema preposto al processo di
conservazione digitale e delle copie di sicurezza. Tali misure sono riportate nell'allegato B.7;
e) definisce i contenuti dei supporti di memorizzazione e delle copie di sicurezza;
f) verifica periodicamente, con cadenza non superiore ai cinque anni, l'effettiva leggibilità dei documenti
conservati provvedendo, se necessario, al riversamento diretto o sostitutivo del contenuto dei supporti.
48
ALLEGATO B.1
Strumenti per l'identificazione e le autenticazioni degli utenti interni.
L'Amministrazione è dotata di una rete interna LAN (Local Area Network) su cui è implementato un Dominio
Windows NT 4.0 (ITSEC E3).
Gli utenti della LAN accedono alle risorse locali e condivise tramite la coppia di parole user id e password. Questa
identificazione dà accesso ai file della rete e alle risorse hardware.
Un secondo livello di identificazione e accesso è garantito dai programmi gestionali centralizzati che possiedono un
sistema di identificazione proprio che stabilisce l'accesso ai dati e ai privilegi di utilizzo degli stessi.
ALLEGATO B.2
Misure tecniche e operative adottate per l'esecuzione delle procedure di backup dei dati di protocollo e dei
documenti informatici.
La procedura di protocollo informatico e di gestione degli atti deliberativi è implementata tramite il programma
IRIDE. La base documentale risiede all'interno di un database relazionale sul server ARZIGNANO3 e delle copie in
sola lettura dei documenti sono conservate anche nel file server ARZIGNANO4 (condivisione S:\).
I backup del database della base documentale viene effettuato giornalmente durante la notte e riversato su disco
esterno. Anche le copie dei documenti vengono riversati giornalmente su disco esterno. Due volte alla settimana
(mercoledì e sabato) vencono eseguiti gli stessi backup su cassetta e poi conservate per crica due mesi per poi
essere calcellate e riutilizzate. Le operazioni di backup sono a cura del personale del CED.
ALLEGATO B.3
Policy inerente l'accessibilità e la riservatezza dei dati di protocollo e dei documenti informatici.
I dati di protocollo e gli atti deliberativi sono accessibili tramite l'applicativo IRIDE che autentica gli utenti e ne
assegna i privilegi di accesso.
In particolare tutti gli utenti autenticati possono accedere in consultazione ma non in modifica ai dati di protocollo e
ai documenti informatici e sono autorizzati a emettere protocolli interni e in uscita. L'inserimento di nuovi protocolli
in ingresso e l'eventuale modifica e concessa solo a un utente designato a tale scopo dall'Amministrazione e
all'Amministratore di sistema.
Gli utenti preposti alla stesura degli atti possono inserire i documenti nel programma ma non possono modificare i
documenti una volta iniziato l'iter. E' sempre consentita la consultazione da parte degli utenti autenticati.
ALLEGATO B.4
Descrizione tecnica e funzionale della porta di dominio implementata dall'Amministrazione per l'accesso ai
dati di protocollo e ai documenti informatici da parte di altre pubbliche amministrazioni.
Non sono state implementate porte di dominio per l'accesso al protocollo informatico.
La possibilità di accedere al protocollo informatico è in fase di studio.
ALLEGATO B.5
Strumenti tecnologici addottati dall'Amministrazione, in aggiunta alla CIE e CNS, per l'identificazione e
l'autenticazione degli utenti esterni.
Non è prevista la consultazione del protocollo da parte di utenti esterni al sistema informativo.
49
ALLEGATO B.6
Descrizione delle procedure di sicurezza adottate dall'Amministrazione per la produzione del riferimento
temporale di cui alla Deliberazione AIPA n. 42/2001 e l'associazione di questi all'insieme dei documenti
conservati su supporti ottici.
Non è ancora stato adottato il riversamento ottico sostitutivo di documenti cartacei o informatici.
ALLEGATO B.7
Misure tecniche e procedurali adottate dall'Amministrazione per garantire la sicurezza fisica e logica del
sistema preposto al processo di conservazione digitale e delle copie di sicurezza dell'archivio informatico.
Non è stato implementato un sistema di conversione di documenti amministrativi in formato digitale in quanto non
si dispone ancora di un sistema di gestione documentale informatizzato.
50

aggiornamento del documento programmatico piano operativo per

Transcript

Documenti analoghi

HP Commercial PC Datasheet

Sicurezza Informatica: Tecniche avanzate di SQL

NOTEBOOK

ISTITUTO GEOGRAFICO MILITARE

Scarica qui il tuo catalogo completo aggiornato a - Alfatech

Data Solution di Marco Barraco – Piazzale Bligny 2

HP Pavilion dv5008EA Notebook PC (ES264EA#ABZ

Note sull`installazione VolaSMS Plus su sistemi a 64 bit