DPS_2015 - AUDIT INTERNO - Istituto Comprensivo Japigia II

Transcript

“Con l’Europa, investiamo nel vostro futuro”
Istituto Comprensivo Statale
“Japigia II – Torre a Mare” - Bari DISTRETTO SCOLASTICO N.11
Via Attilio Corrubia n.1 -70126 Bari - Tel.-Fax 080/554.39.56-080/554.93.38
Codice Tesoro U.S. 631 – Matricola Inps 0917498136
Indirizzo e-mail: [email protected] - PEC: [email protected]
Codice fiscale 93437890721 - Codice Mecc. BAIC88600G
http://WWW.ICJAPIGIAII-TORREAMARE.GOV.IT
____________________________________________________________________________________
DOCUMENTO
PROGRAMMATICO
SULLA
SICUREZZA
AUDIT INTERNO REPORT DI CONTROLLO SULLA
SICUREZZA DEGLI AMBITI DEL SISTEMA
INFORMATIVO SCOLASTICO
2015
Redatto in base alle disposizione del
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
del
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
(art. 34 e Allegato B, regola 19, del d.lgs. 30 giugno 2003, n. 196)
EMESSO DA:
L’Amministratore di sistema
Sig. Fabio Agrimi
VISTO DA:
IL DIRIGENTE SCOLASTICO
Titolare del Trattamento Dati
(Dott.ssa Anna Maria Lagattolla)
Norme di riferimento per la compilazione del presente documento::
1Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) in
http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true
1Guida pratica e misure di semplificazione per le piccole e medie imprese in http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271
1Disciplinare tecnico in materia di misure minime di sicurezza, allegato B al Codice in materia di protezione dei dati personali, in
http://www.garanteprivacy.it/garante/doc.jsp?ID=488497
1Codice in materia di protezione dei dati personali in
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
Introduzione
La presente documentazione è finalizzata al controllo di determinati ambiti ritenuti critici ai
sensi del Dlgs 196/03, con la rilevazione dello stato di fatto, delle eventuali non conformità
presenti e suggerimenti nell'ottica del miglioramento continuo (modello PDCA).
E’ stata scelta dalla Direzione Generale la forma dell’Audit interno per l’esame e l’analisi
dello stato di fatto e delle misure attuate oltre che della definizione delle Azioni di
Miglioramento nell’ottica del miglioramento continuo imposta dalla legge.
Il presente documento viene dunque compilato dal Responsabile della Sicurezza dei dati
aziendali e Privacy nonchè dei Sistemi Informatici, arch. Gianvito Spizzico, sulla base
delle analisi e del controllo effettuati sull’attività dell’Amministratore di Sistema, sig. Fabio
Agrimi, e della configurazione dei Sistemi Informatici aziendali, della tutela e sicurezza dei
dati in forma digitale e cartacea, degli accessi ai locali e della conservazione dei dati
societari.
Il Sistema Informatico Scolastico
L'intera rete risulta gestita nella modalità di Dominio Microsoft Windows Server 2003, in
ottica di centralizzazione e monitoraggio dell'intero sistema informativo.
La connettività internet è garantita da collegamento primario FASTWEB Adsl
Sistema Informativo
La Rete risulta completamente gestita in un sistema collaudato di Dominio centrale con
Microsoft Active Directory
Di seguito i dati rilevati sul dimensionamento base
Connessione internet: FASTWEB Adsl
Sistemi Operativi istallati sui PC desktop: Windows Xp, Windows 7, Windows 8, Windows
10, Windows Server 2003.
Struttura Nomine e Modulistica
Stato di fatto:
L'ambito delle nomine degli incaricati e responsabili trattamento dati è conforme ai requisiti
normativi, ivi compresa la nomina dell'Ads (Amministratore di Sistema) e la distribuzione
delle credenziali di accesso ai vari database e pacchetti applicativi secondo lo schema
sotto indicato:
Sistema di Autenticazione
Stato di fatto:
L'intero parco client risulta attestato al Dominio Microsoft Active Directory, con gestione
dinamica degli indirizzi (Dhcp). Il sistema di autenticazione risulta conforme ai requisiti
previsti dal Disciplinare tecnico allegato B) del DLgs 196/03. Sul Dominio in uso risultano
applicate le misure minime di sicurezza previste dalla normativa vigente.
E’ stato attivato un sistema di controllo automatico sulla complessità delle password
immesse dagli utenti.
Sistema di Autorizzazione
Stato di fatto:
Le banche dati risultano strutturati in DBMS opportunamente configurati con sistema di
accesso discrezionale basato su ruolo (RBAC).
Il sistema di autorizzazione risulta conforme ai requisiti previsti dal Disciplinare tecnico
allegato B) del DLgs 196/03.
Viene effettuato il controllo periodico (almeno annuale) del sistema di autorizzazione
implementato (acl- access control list) sulle banche dati.
Si utilizza periodicamente (semestrale) il tool Mbsa - Microsoft Baseline Security Analyzer.
Sistema di Anti Intrusione/Antivirus
Stato di fatto:
Il sistema anti-intrusione risulta, da punto di vista tecnologico, correttamente implementato
tramite I'utilizzo di :
 un firewall perimetrale di tipo lsa Server Proxy
 un sistema di messaggistica evoluto con Microsoft Windows Exchange 2003
 un sistema antivirus
 un sistema antispam Avira Admin Server Console
 un sistema di aggiornamento centralizzalo Microsoft WSUS
Sicurezza Fisica
Stato di fatto:
Il sistema di sicurezza fisico risulta conforme ai requisiti previsti dal Disciplinare tecnico del
DLgs 196/03.
I pc e i server sono dotati di gruppi di continuità (UPS) che proteggono le apparecchiature
da danni fisici fisici in caso di interruzione energia elettrica improvvisa o sbalzi di tensione.
Piano di Disaster Recovery e Business Continuity
Stato di fatto:
Le banche dati attualmente presenti in questa Azienda, risultano sottoposte a politica di
backup periodico attraverso un sistema storage a dischi usb.
Piano di Formazione degli Incaricati
Stato di fatto:
La normativa in materia di protezione dei dati personali (D.Lgs. 196/2003) prevede
esplicitamente un relativo programma di formazione e aggiornamento indirizzato ai
dipendenti.
Gli interventi formativi di base devono essere programmati in presenza di queste
circostanze:
Al momento dell'ingresso in servizio;
 in caso di cambiamento di mansioni, che implichino modifiche rilevanti rispetto al
trattamento dei dati personali;
 in caso di introduzione di nuovi significativi strumenti, che implichino modifiche
rilevanti rispetto al trattamento dei dati personali.
ANALISI DELLA SITUAZIONE DEL SERVER
(SIMULAZIONE ATTACCO LOGICO)
Whois IP assegnato dal provider Fastweb
Ip 93.61.75.81
Riferimenti registrati su RIPE :
Tramite il RIPE (Reti IP Europee) si risale al provider, in alcuni casi alla zona indicativa dove è pervenuto il
collegamento ed eventualmente i nodi di collegamento da cui è passato l'utilizzatore di quel IP.
Abuse contact info: [email protected]
inetnum:
netname:
descr:
descr:
country:
admin-c:
tech-c:
status:
mnt-by:
remarks:
remarks:
remarks:
created:
last-modified:
source:
93.61.75.0 - 93.61.75.127
FASTWEB-POP-INTERNET
Infrastructure for Fastwebs main location
INTERNET Service POP 3101 ar601
IT
IRSN1-RIPE
IRSN1-RIPE
ASSIGNED PA
FASTWEB-MNT
In case of improper use originating from our network,
please mail customer or [email protected]
INFRA-AW
2013-03-08T02:40:10Z
2013-03-08T02:40:10Z
RIPE # Filtered
Update Delete
person:
address:
address:
address:
phone:
fax-no:
nic-hdl:
mnt-by:
remarks:
remarks:
remarks:
remarks:
remarks:
created:
last-modified:
source:
IP Registration Service NIS
Via Caracciolo, 51
20155 Milano MI
Italy
+39 02 45451
+39 02 45451
IRSN1-RIPE
FASTWEB-MNT
In case of improper use originating
from our network,
please mail customer or [email protected]
2005-09-15T10:18:18Z
2008-02-29T14:12:48Z
RIPE # Filtered
Update Delete RIPEstat
route:
descr:
origin:
mnt-by:
created:
last-modified:
source:
93.60.0.0/15
Fastweb Networks block
AS12874
FASTWEB-MNT
2009-06-24T20:28:17Z
2009-06-24T20:28:17Z
RIPE # Filtered
TRACERT o TRACEROUTE
Traceroute è un’applicazione che analizza il percorso dei pacchetti informatici. Con questo termine
s'identifica anche il tragitto dei dati.
Inserito un indirizzo web nel campo di ricerca e dato l’invio parte un’analisi tra più server. La macchina
chiede a ogni passaggio in quale server è “racchiuso” il sito web che stiamo cercando, fino a quando,
passando di richiesta in richiesta, non si trova quello che lo contiene. In seguito il programma calcola i tempi
di risposta di ogni server e la media del tempo totale impiegato.
Il funzionamento del programma è basato sul campo TTL (Time to Live) di ogni pacchetto IP. Questo campo
diminuisce a ogni passaggio e quando arriva a 0 il router spedisce una notifica al mittente.
Traceroute è un’applicazione importante e complementare al ping perché individua il punto in cui si
interrompe il flusso dei dati e aiuta a capire se un rallentamento è dovuto ai numerosi punti di snodo
incontrati lungo la “strada”. Il risultato dell’operazione potrebbe essere poco affidabile se i pacchetti di dati
inviati compiono più di un percorso.
Rilevazione instradamento verso 93-61-75-81.ip145.fastwebnet.it [93.61.75.81]
su un massimo di 30 punti di passaggio:
1
<1 ms
<1 ms
<1 ms 93-61-75-81.ip145.fastwebnet.it [93.61.75.81]
Rilevazione completata.
ELENCO PORTE
Test di verifica porte chiuse/aperte verifica sul firewall
Se tutte le porte si trovano nello stato di " Closed " questo vuole dire che le impostazioni di sicurezza hanno
un buon livello di protezione.
Se alcune porte si trovano nello stato di "Open" significa che vi sono dei servizi attivi sul sistema, di
conseguenza se si conosce il rischio e il servizio attivo sulla porta è indispensabile, sicuramente vi sono altri
sistemi di protezione. Invece, se si è ignari del fatto di avere delle porte nello stato "Open" allora bisogna
controllare le impostazioni del firewall e provare a chiuderle.
Your computer at IP:
93.61.75.81
Port
0
21
22
23
25
79
80
Service
<nil>
FTP
SSH
Telnet
SMTP
Finger
HTTP
Closed
Closed
Closed
Closed
Closed
Closed
Closed
Status
Security Implications
Your computer has responded that this port exists but is currently closed to
connections.
connections.
connections.
connections.
connections.
connections.
connections.
connections.
110
POP3
Closed
113
IDENT
Closed
connections.
119
NNTP
Closed
connections.
135
RPC
Closed
connections.
connections.
139
143
389
Net
BIOS
IMAP
LDAP
Closed
Closed
Closed
443
HTTPS
Closed
445
MSFT
DS
Closed
1002
1024
1025
1026
1027
1028
1029
1030
1720
5000
ms-ils
DCOM
Host
Host
Host
Host
Host
Host
H.323
UPnP
Closed
Closed
Closed
Closed
Closed
Closed
Closed
Closed
OPEN!
Closed
connections.
connections.
connections.
connections.
connections.
connections.
connections.
connections.
connections.
connections.
connections.
connections.
Users running Microsoft NetMeeting may discover that port 1720 is open and
exposed to the Internet. This should be regarded as something of a security
danger since denial of service exploits for port 1720 and the H.323 protocol have
been developed in the past and others could be discovered in the future. The best
policy and practice is to only run NetMeeting when it is explicitly needed.
Alternatively, a NAT router or personal firewall could be configured to keep port
1720 closed until it is needed for NetMeeting conferencing.
connections
Stato di fatto:
Dai test effettuati esaminando il punto pubblico 93.61.75.81, risulta che la superficie di
attacco è molto ridotta.
Azioni di miglioramento:
Nessuna
Non si ritiene necessario operare un’analisi su porte aperte riferite all’IP pubblico.
REPORT ANALISI HijackThis SUL SERVER
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 13.42.14, on 30/10/2015
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Adaptec\Adaptec Storage Manager\StorServ.exe
C:\WINDOWS\system32\serverappliance\appmgr.exe
C:\Programmi\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
C:\Programmi\Cobian Backup 11\cbVSCService11.exe
C:\Programmi\Cobian Backup 11\cbService.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\system32\serverappliance\elementmgr.exe
C:\Programmi\GFI\MailEssentials\msecatt.exe
C:\Programmi\GFI\MailEssentials\MiddleLayer\contentsecurity.as.attendant.exe
C:\Programmi\GFI\MailEssentials\mestrxsvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\ismserv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Exchsrvr\bin\srsmain.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\serverappliance\srvcsurg.exe
C:\Programmi\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programmi\GFI\MailEssentials\pop2exch.exe
C:\Programmi\Exchsrvr\bin\exmgmt.exe
C:\Programmi\Exchsrvr\bin\mad.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Programmi\File comuni\System\MSSearch\Bin\mssearch.exe
C:\Programmi\Exchsrvr\bin\lscntrl.exe
C:\Programmi\Exchsrvr\bin\store.exe
C:\Programmi\Exchsrvr\bin\emsmta.exe
C:\Programmi\GFI\MailEssentials\listserv.exe
C:\Programmi\Exchsrvr\bin\events.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Iomega\AutoDisk\ADUserMon.exe
C:\Programmi\Iomega\DriveIcons\ImgIcon.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\CCleaner\CCleaner.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Avira\AntiVir Desktop\avrestart.exe
C:\Programmi\Avira\AntiVir Desktop\avrestart.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\TeamViewer\TeamViewer_Service.exe
C:\Programmi\TeamViewer\TeamViewer.exe
C:\Programmi\TeamViewer\tv_w32.exe
C:\WINDOWS\System32\vssvc.exe
C:\Programmi\Cobian Backup 11\cbInterface.exe
C:\WINDOWS\system32\cmd.exe
c:\programmi\teamviewer\TeamViewer_Desktop.exe
C:\Documents and Settings\sancilio.SEGRETERIA\Documenti\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Programmi\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programmi\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programmi\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cobian Backup 11 interface] "C:\Programmi\Cobian Backup 11\cbInterface.exe" -service
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Programmi\CCleaner\CCleaner.exe" /MONITOR
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIZIO
LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIZIO DI
RETE')
O4 - HKUS\S-1-5-21-2677665200-781552073-2716003459-1173\..\Run: [ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe (User '?')
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O15 - ESC Trusted Zone: http://runonce.msn.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1219333147
078
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (DownloadManager Control) http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.7.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = segreteria.local
O17 - HKLM\Software\..\Telephony: DomainName = segreteria.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DF4BBB5-4F78-415F-836E-5226DD5CDF53}: NameServer =
85.18.200.200,89.97.140.140
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = segreteria.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = segreteria.local
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adaptec Storage Manager Agent (AdaptecStorageManagerAgent) - Adaptec Incorporated C:\Programmi\Adaptec\Adaptec Storage Manager\StorServ.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems
Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Adaptive Server Anywhere - argo (ASANYs_argo) - iAnywhere Solutions, Inc. C:\Programmi\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
O23 - Service: Adaptive Server Anywhere - Argo2 (ASANYs_Argo2) - iAnywhere Solutions, Inc. C:\Programmi\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
O23 - Service: Adaptive Server Anywhere - sissi (ASANYs_sissi) - iAnywhere Solutions, Inc. C:\Programmi\Sybase\SQL Anywhere 8\win32\dbsrv8.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cobian Backup 11 Volume Shadow Copy Requester (cbVSCService11) - CobianSoft, Luis
Cobian - C:\Programmi\Cobian Backup 11\cbVSCService11.exe
O23 - Service: Cobian Backup 11 Gravity (CobianBackup11) - Luis Cobian, CobianSoft C:\Programmi\Cobian Backup 11\cbService.exe
O23 - Service: GFI MailEssentials Legacy Attendant Service - GFI Software Ltd. C:\Programmi\GFI\MailEssentials\msecatt.exe
O23 - Service: GFI POP2Exchange - GFI Software Ltd. - C:\Programmi\GFI\MailEssentials\pop2exch.exe
O23 - Service: GFI MailEssentials Managed Attendant Service (gfiasmlhost) - GFI Software Ltd C:\Programmi\GFI\MailEssentials\MiddleLayer\contentsecurity.as.attendant.exe
O23 - Service: GFI MailEssentials Enterprise Transfer Service (GFIMETRXSVC) - GFI C:\Programmi\GFI\MailEssentials\mestrxsvc.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. -
C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Iomega App Services - Iomega Corporation C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: GFI List Server (listserv) - GFI Software Ltd - C:\Programmi\GFI\MailEssentials\listserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TeamViewer 10 (TeamViewer) - TeamViewer GmbH C:\Programmi\TeamViewer\TeamViewer_Service.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation C:\Programmi\Iomega\AutoDisk\ADService.exe
-End of file - 10545 bytes
Report Check sulle misure relative al Disciplinare Tecnico
1) autenticazione informatica
> passed
2) adozione di procedure di gestione delle credenziali di autenticazione
> passed
3) ulilizzazione di un sistema di autorizzazione
> passed
4) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici
> passed
5) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici
> passed
6) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi
> passed
7) tenuta di un aggiornato documento programmatico sulla sicurezza
> passed
8) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di
dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
> n.d. (non necessaria)
9) formazione incaricati
> passed
10) notificazione e nomine
n.d. (non necessaria)
Si procede alla verifica delle seguenti misure di protezione:
1. accesso fisico ai locali ove si svolge il trattamento automatizzato
> pass
2. la gestione delle parole chiave e dei profili di accesso degli incaricati
> pass
3. le procedure atte a verificare l'integrità e I'aggiornamento dei dati personali
>pass
4. la sicurezza delle trasmissioni in rete
> pass
5. le modalità di conservazione dei documenti, non soggetti a trattamento automatizzato
> pass
6. le modalità di reimpiego dei supporti di memorizzazione
> pass
7. il livello di formazione ed il grado di apprendimento degli incaricati
> pass
Appendice
Elenco Misure Minime dettagliate del Disciplinare Tecnico All. B del Dlgs 196/03:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati
di credenziali di autenticazione che consentano il superamento di una procedura di
autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
x
2. Le credenziali di autenticazione consistono in un codice per l'identificazione
dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo
oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato,
eventualmente associato a un codice identificativo o a una parola chiave, oppure in una
caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo
o a una parola chiave.
x
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per
I'autenticazione.
x
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per
assicurare la segretezza della componente riservata della credenziale e la diligente
custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
x
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da
almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da
un numero di caratteri pari al massimo consentito; essa non contiene riferimenti
agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e,
successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati
giudiziari la parola chiave è modificata almeno ogni tre mesi.
x
6. Il codice per I'identificazione, laddove utilizzato, non può essere assegnato ad altri
incaricati, neppure in tempi diversi.
x
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate,
salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
x
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente
all'incaricato I'accesso ai dati personali.
x
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di trattamento.
x
10. Quando I'accesso ai dati e agli strumenti elettronici è consentito esclusivamente
mediante uso della componente riservata della credenziale per I'autenticazione, sono
impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le
modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici
in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e
indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In
tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa
segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro
custodia, i quali devono informare tempestivamente I'incaricato dell'intervento effettuato.
x
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul
sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla
diffusione.
x
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito
diverso è utilizzato un sistema di autorizzazione.
x
13. l profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati,
sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare
l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
x
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle
condizioni per la conservazione dei profili di autorizzazione.
x
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale
dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere
redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
x
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di
cui all'art.615-quinquies del codice penale, mediante I'attivazione di idonei strumenti
elettronici da aggiornare con cadenza almeno semestrale.
x
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la
vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno
annualmente. ln caso di trattamento di dati sensibili o giudiziari I'aggiornamento è almeno
semestrale.
x
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati
con frequenza almeno settimanale.
x
Piano delle verifiche e aggiornamento periodico del DPS
Con cadenza almeno annuale si procede ad effettuare test di verifica dell'efficacia delle
misure di protezione dei dati personali introdotte in azienda e di aggiornare il presente
documento.
In particolare si procede alla verifica delle seguenti misure di protezione:





I'accesso fisico ai locali ove si svolge il trattamento automatizzato
la gestione delle parole chiave e dei profili di accesso degli incaricati
le procedure atte a verificare I'integrità e l'aggiornamento dei dati personali
la sicurezza delle trasmissioni in rete
le modalità di conservazione dei documenti, non soggetti a trattamento
automatizzato
 le modalità di reimpiego dei supporti di memorizzazione
 il livello di formazione ed il grado di apprendimento degli incaricati
1.1 Accesso fisico ai locali.
 Verifica delle misure di sicurezza fisiche adottate relative all'accesso al sito dove si
svolge il trattamento (automatizzalo o meno) dei dati sensibili e giudiziari
 Verifica del corretto funzionamento del sistema di rilevazione intrusione e se ne
verifica la corretta e sistematica attivazione e disattivazione diurna, notturna e
festiva, nonché la sua regolare manutenzione.
 Verifica dei sistemi di rilevazione e spegnimento incendi, lo stato di carica delle
bombole di agente estinguente, la regolare manutenzione e la conoscenza da parte
del personale addetto delle modalità d'uso.
1.2 Gestione della parola chiave e dei profili di accesso agli incaricati.
 Verifica della conoscenza da parte degli incaricati della procedura per il cambio
della parola chiave (password).
 Verifica dell'aggiornamento dei profili di accesso ai dati.
 Verifica che ogni profilo di autorizzazione venga controllato almeno annualmente.
1.3 Procedure atte a verificare I'integrità e I'aggiornamento dei dati personali.
 Verifica procedure adottate per I'introduzione dei dati sia su supporto cartaceo sia
in modalità elettronica, allo scopo di verificare I'integrità degli stessi.
 Verifica che non vi siano disallineamenti tra dati conservati su archivi diversi
(indipendentemente dal fatto che siano archivi manuali o automatizzati)
 Verifica delle procedure di back up di dati automatizzati.
 Verifica delle modalità e tempestività con cui eventuali richieste di modifica dati,
avanzate dall'interessato vengono recepite.
1.4 Sicurezza delle trasmissioni di rete.
 Verifica che le modalità di trasmissione dati adottate siano nel rispetto delle
procedure di sicurezza.
1.5 Modalità di conservazione dei documenti, su supporti non automatizzati.
 Verifica delle procedure di conservazione dei dati sensibili prestando attenzione alla
modalità di custodia in contenitori con serratura, e verificando che le chiavi siano in
custodia ai soli incaricati che dovranno astenersi dal farne duplicati e che dovranno
custodire con opportuna diligenza.
 I documenti cartacei contenenti dati sensibili e giudiziari devono essere distrutti, o
resi illeggibili, con le apposite macchine distruggi documenti; i supporti magnetici
devono essere cancellati; i supporti ottici devono essere distrutti.
 Verifica che i supporti magnetici siano sottoposti a cancellazione qualora riutilizzati
in altro ambito aziendale
1.6 Modalità di reimpiego dei supporti di memorizzazione.
 Nessun supporto di dati personali può essere allontanato dal sito senza prima
procedere alla eliminazione dei dati personali eventualmente presenti.
L’Amministratore di sistema
Sig. Fabio Agrimi

DPS_2015 - AUDIT INTERNO - Istituto Comprensivo Japigia II

Transcript

Documenti analoghi

istruzioni X64 pdf

Installazione e risoluzione problemi

Installation and troubleshooting - Free web television project

Sposarsi Con Rito Civile - Sito ufficiale del Comune di Sestri Levante

Autorun CD - Vito Russo

documento - DuskZone

seminario

Come rimuovere il malware - Hub gfsolone.Com

Il pc infetto diventa strumento per un attacco E tutto a causa di una e

2 1 3 - Comelit