Categories Top Downloads
Login Register Upload

Identificazione documento

March 20, 2018 | Author: Anonymous | Category: Matematica, Estatística e Probabilidade
Share Embed
Report this link


Short Description

Download Identificazione documento...

Description

REGI REGIONE BASILICATA ONE BASI UFFICIO S. I.LICA R. S. TA

Misure di Sicurezza Adottate < Ver. x.x>

292929ii

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Controllo del documento

Identificazione documento

Titolo

Tipo

Identificatore

Nome file



Misure di Sicurezza Adottate





Approvazioni

Redatto da: Revisionato da: Approvato da:

Nome

Data

Firma

Dott.ssa Antonina D. Mancusi Dott.ssa Domenica Nardelli Ing. Vincenzo Fiore

09/11/06

Variazioni

Versione

Data

Autore

Paragrafi modificati

─────────────────────────────────────────────────────────────────────────────────────── Pagina ii di 29

292929iii

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Distribuzione Copia No.

Nome

Locazione

1 2 3 4 5 6

─────────────────────────────────────────────────────────────────────────────────────── Pagina iii di 29

292929iv

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Indice

Controllo del documento ....................................................................................................... ii Identificazione documento ............................................................................................. ii Approvazioni ................................................................................................................... ii Variazioni.......................................................................................................................... ii Distribuzione ...................................................................................................................iii 1. Introduzione ........................................................................................................................ 5 1.1 Scopo del Documento ............................................................................................... 5 1.2 Definizioni ed Acronimi ........................................................................................... 5 1.3 Riferimenti .................................................................................................................. 5 1.4 Overview..................................................................................................................... 6 2. Identificazione Risorse da Proteggere ............................................................................. 7 2.1 Identificazione Risorse Hardware ........................................................................... 7 2.2 Identificazione Software ......................................................................................... 10 2.3 Identificazione Dati ................................................................................................. 10 2.4 Identificazione Risorse Professionali .................................................................... 13 2.5 Identificazione Documentazione Cartacea ........................................................... 15 2.6 Identificazione Supporti di Memorizzazione ...................................................... 16 3. Analisi dei Rischi .............................................................................................................. 17 3.1 Risorse Hardware .................................................................................................... 18 3.2 Risorse Software....................................................................................................... 20 3.3 Risorse Dati ............................................................................................................... 21 4. Piano Operativo ................................................................................................................ 22 4.1 Sicurezza Fisica ........................................................................................................ 22 4.2 Sicurezza Logica ...................................................................................................... 25 4.3 Sicurezza Organizzativa ......................................................................................... 28

─────────────────────────────────────────────────────────────────────────────────────── Pagina iv di 29

2929295

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

1. Introduzione [Questo documento si prefigge l’obiettivo di individuare e gestire i rischi sui sistemi informativi automatizzati di proprietà dell’Ente, al fine di assicurarne l’affidabilità determinando opportune azioni che abbiano la capacità di garantire disponibilità, integrità e riservatezza delle informazioni trattate, nonché l’autenticità dei dati presenti sul sistema. Il presente documento è stato redatto in conformità alle norme previste dal Decreto Legislativo 30 giugno 2003, n.196.]

1.1 Scopo del Documento [Obiettivo primario del presente documento è quello di specificare le misure adottate per assicurare che il Sistema Informativo in dotazione all’Ente sia munito di appropriati e proporzionati controlli di sicurezza atti a fornirne adeguata protezione.]

1.2 Definizioni ed Acronimi [Lista e descrizione delle definizioni e degli acronimi. Acronimo

Significato

SIA PA

Sistema Informativo Automatizzato Pubblica Amministrazione

]

1.3 Riferimenti [Riferimenti bibliografici, documenti, articoli, siti web di riferimento.]

─────────────────────────────────────────────────────────────────────────────────────── Pagina 5 di 29

2929296

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

1.4 Overview [Questa sezione riporta cosa il documento contiene e come sono organizzati i contenuti.]

─────────────────────────────────────────────────────────────────────────────────────── Pagina 6 di 29

2929297

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

2. Identificazione Risorse da Proteggere [L’obiettivo della valutazione dei rischi (o risk assessment) è quello di consentire la scelta ottimale delle contromisure, definendo e modulando le protezioni in funzione del valore dei beni con il criterio della massima omogeneità, evitando cioè che rischi residui vanifichino l’intero impianto di sicurezza consentendo di aggirare le protezioni messe in campo. La valutazione dei rischi comprende l’individuazione delle possibili cause di rischio attraverso il censimento dei beni e delle relative vulnerabilità e minacce (risk analysis) nonché la stima del loro impatto (risk evaluation) in termini di potenziali perdite economiche, di immagine, ecc. Dato un Sistema Informativo, le risorse da esaminare e mettere in sicurezza sono: 

hardware



software



dati gestiti dal sistema

La necessaria fase propedeutica ad ogni possibile scelta di un’adeguata politica di security consiste in un censimento dei beni da proteggere.]

2.1 Identificazione Risorse Hardware [In questa sezione saranno riportate accurate informazioni riguardanti le caratteristiche delle macchine censite. La sezione sarà virtualmente divisa in due sottosezioni, in cui saranno inserite rispettivamente informazioni relative alle caratteristiche hardware delle macchine censite, e ai dispositivi di protezione presenti sulle macchine. A tal fine sono state predisposte due distinte tabelle. Nella prima saranno inserite informazioni relative all’hardware, alla tipologia e alla connessione in rete della macchina censita; nella seconda, invece, saranno riportate informazioni inerenti i dispositivi di protezione attivati sulla macchina e i componenti di rilievo finalizzati alla sicurezza dei dati. Per ogni distinta macchina censita devono essere predisposte una scheda risorsa hardware, ed una scheda dispositivi di protezione attivati; il raggruppamento di piu’ macchine in un’unica scheda è consentito esclusivamente per macchine aventi caratteristiche identiche e prossimità di ubicazione. La scheda successiva va caricata sul sistema di assessment della server farm.]

─────────────────────────────────────────────────────────────────────────────────────── Pagina 7 di 29

2929298

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Scheda Risorsa Hw n. xx - Dati Generali Serial Number Hardware Descrizione Macchina Produttore

Azienda produttrice

Modello Quantità Caratteristiche Tecniche Ubicazione Indirizzo IP Descrizione Servizi Forniti Configurazione Hardware Ram Mb Processori

Processore da xxx Mhz

Hardisk Gb

Numero capacità

di

dischi

e

loro

Capacità 1° disco Capacità 2° disco

Livello RAID Device (dat/floppy/cdrom) Tipologia Sistema

Singolo/Cluster

Tipo File System Sistema Operativo

(NT/W2000/XP)

─────────────────────────────────────────────────────────────────────────────────────── Pagina 8 di 29

2929299

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Tipologia Server

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Note-Descrizione SI

NO

Client Altro Connessione in Rete Pubblica

Note-Descrizione SI

NO

Privata Assente

Dispositivi di Protezione Attivati Dispositivi Password

Presenti

Note-Descrizione

SI

Antivirus

NO

Altro Dispositivo

NO

Componenti di Rilievo Presenti ai fini della Sicurezza dei Dati Componente

Descrizione

Es.: Lettore Smart Card

]

─────────────────────────────────────────────────────────────────────────────────────── Pagina 9 di 29

29292910

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

2.2 Identificazione Software [In questa sezione saranno fatte rilevazioni dei software residenti sulle macchine censite al paragrafo precedente.]

Scheda Risorse Sw : Nome Applicativo Id Software Descrizione Software Number Licenza d’Uso Responsabile della Procedura Serial Number Hardware

Serial number della macchina su cui il software è residente

Tipologia Software Base

Note-Descrizione SI

NO

Ambiente Applicativo

2.3 Identificazione Dati [Questa sezione sarà dedicata al rilevamento dei dati trattati dal sistema informativo in oggetto. Particolare rilievo sarà dato alla presenza di dati personali. A tale scopo è stata predisposta la tabella “Natura dei Dati Personali Presenti in Archivio”, in cui sarà specificata la natura dei suddetti dati. ─────────────────────────────────────────────────────────────────────────────────────── Pagina 10 di 29

29292911

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Questa sezione sarà completata da una tabella atta a contenere informazioni relative agli strumenti di backup e alle politiche di backup connesse.

Scheda Risorsa Dati n. xx Identificativo Data Base Denominazione Data Base Descrizione Data Base Riferimento Normativo Finalità Istituzionale Serial Number Hardware

Serial number della macchina su cui il Data Base è residente

Condivisione Data Base Livello di Criticità dei Dati

Alta/Media/Bassa

DBA Tipologia Data Base Archivio Cartaceo

Note-Descrizione SI

NO

Archivio Elettronico Dati Personali Persone Fisiche

Note-Descrizione SI

NO

Persone Giuridiche Enti Associazioni

N.B.: Il livello di criticità dei dati è indicativa del valore che l’Ente attribuisce ai dati.

─────────────────────────────────────────────────────────────────────────────────────── Pagina 11 di 29

29292912

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Natura dei Dati Personali Presenti in Archivio Dati

Natura dei Dati

Origine Razziale ed Etnica Convinzioni Religiose-Appartenenza ad organizzazioni di carattere religioso Opinioni Politiche-Adesione a Partiti o Organizzazioni a Carattere Politico

Es.: Assente

Adesione a Sindacati o Organizzazioni a Carattere Sindacale

Es.: Sensibile

Dati di Identificazione Personale: Codice Fiscale, Nominativo, Indirizzo

Es.: Dato non Sensibile

Dati Relativi a Famiglia e Situazioni Particolari Istruzione e Cultura Beni, Proprietà, Possessi Stato di Salute Informazioni Relative a Provvedimenti Giudiziari di cui all’Art. 686 del Codice di Procedura Penale

─────────────────────────────────────────────────────────────────────────────────────── Pagina 12 di 29

29292913

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Strumenti e Politiche di Backup Dispositivo di Backup Presente SI

Modello

Frequenza del Backup

NO

Incaricati del Backup Ente/Società

Nominativi

Supporti di Backup Numero di Supporti

Dicitura EtichettaDescrizione

Note

]

2.4 Identificazione Risorse Professionali [Appartengono a questa categoria quanti a diverso titolo interagiscono con il Sistema Informativo durante l’arco di vita dello stesso. Questa categoria è particolare in quanto può essere oggetto di minacce atte a compromettere la sicurezza del SI, ma può essa stessa costituire una minaccia per il SI. E’ per questo importante identificare le strutture interne ed esterne, e relative figure professionali interagenti con il SI. I dati dovranno essere organizzati nelle tabelle predisposte a contenerli, in modo che ad ogni ufficio sia associata la lista delle risorse interne che a vario titolo interfacciano il S.I.; e ad ogni società esterna risulti associata la lista delle risorse esterne che a vario titolo si occupano del S.I. ─────────────────────────────────────────────────────────────────────────────────────── Pagina 13 di 29

29292914

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Identificazione Risorse Professionali Esterne Interne Struttura Società di di Appartenenza 1

Risorse

Ente Denom. Dip. o Rag. Sociale Ufficio

Matricola Cognome

Indirizzo Servizio Sede Legale

Rif. Rappresentante Struttura Funzione Contratto Legale n. rep

Cognome Nome

Nome

Data

Funzione

Funzione Svolta

. . Struttura Società di di Appartenenza n

Risorse

Ente Denom. Dip. o Rag. Sociale Ufficio

Matricola Cognome

Indirizzo Rif. Servi Rappresentante Sede Struttura Funzione Contratto zio Legale Legale n. rep

Cognome Nome

Nome

Data

Funzione

Funzione Svolta

─────────────────────────────────────────────────────────────────────────────────────── Pagina 14 di 29

29292915

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

2.5 Identificazione Documentazione Cartacea [In questa sezione si censirà la documentazione cartacea inerente il S.I. preso in esame.]

Identificazione Documentazione Cartacea Riferimenti Document.

Distibuzione

Cod.Uff

Ufficio

Copia Num.

Identificatore Doc.

Assegnatario

Titolo Doc.

Autori

Creazione.

Ultimo Agg

Paragrafi Modificati

Num. Copie

Locazione

N.B. La Versione del documento è contenuta nell’Identificatore del documento

─────────────────────────────────────────────────────────────────────────────────────── Pagina 15 di 29

29292916

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

2.6 Identificazione Supporti di Memorizzazione [In questa sezione, invece, si provvederà ad identificare i supporti di backup, relativi al S.I. preso in esame, i responsabili dell’operazione di backup, e gli incaricati della custodia del supporto.]

Identificazione Supporti di Memorizzazione Riferimenti Supporto

Custodia

Cod.Uff.

Incaricato

Ufficio

Identificatore Supp.

Etichetta

Tipo Supporto

Data Salvataggio

Ubicazione Conservazione Copia

Responsabile Salvataggio

Num. Copie

Altra Localizzazione Esterna

─────────────────────────────────────────────────────────────────────────────────────── Pagina 16 di 29

29292917

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

3. Analisi dei Rischi [Dopo aver effettuato il censimento dei beni, si procederà ad individuare minacce e vulnerabilità a cui sono sottoposte le risorse. Le tre macrocategorie sulle quali hardware, software, dati.

sarà effettuata

l’analisi sono quelle relative a risorse

I livelli di rischio sono fissati mediante una scala qualitativa a tre valori i cui significati sono riportati nella tabella sottostante.

Rischio: Livello Basso Medio

Alto

Significato Rischio basso, minaccia remota e facilmente reversibile Rischio superiore al precedente, associato anch’esso ad una minaccia remota, il cui verificarsi, però, ha effetti non facilmente reversibili ed eliminabili. E’ auspicabile predisporre opportune ed adeguate misure di sicurezza atte a contenere il rischio. Rischio elevato, inaccettabile pensare di correrlo. Dovrà essere pensato ed attivato un insieme di contromisure, capace di abbattere il rischio al fine di contenerlo entro livelli ritenuti accettabili

─────────────────────────────────────────────────────────────────────────────────────── Pagina 17 di 29

29292918

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

3.1 Risorse Hardware [Fine della sicurezza fisica è quello di proteggere persone ed hardware coinvolti nel funzionamento del sistema informativo. In particolare occorre definire le politiche di salvaguardia dei computer, server e client, e degli impianti di supporto quali rete, alimentazione e condizionamento.]

Analisi Rischi: Risorse Hardware Risorsa

Rischio

Livello di Rischio

Note-Motivazione

Uso non Autorizzato Manomissione/Sabotaggio Frequenza/Probabilità di Guasto Deterioramento Supporti di Memoria Uso non Autorizzato Supporti di Memoria Intercettazione della Trasmissione Linee di Comunicazione non Protette Errori di Trasmissione Traffico Eccessivo Intercettazione in Rete Infiltrazione in Rete Analisi Illecita del Traffico Spamming o altre Tecniche di Sabotaggio Malfunzionamento/Degrado/ Indisponibilità Strumenti Accessi Esterni non Autorizzati Rischi Connessi all’Elettricità (Blackout/Linea Elettrica Instabile)

─────────────────────────────────────────────────────────────────────────────────────── Pagina 18 di 29

29292919

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Rischi Connessi a Variazioni di Temperatura (Guasto Climatizzatore/Umidità Eccessiva) Suscettibilità a Radiazioni Elettromagnetiche Uso di Password in Chiaro Traffico Wireless non Cifrato Presenza di Linee Dial-up Libero Accesso ai Dispositivi di Rete Azione di Virus Informatici (Codici Maligni) Furto

Laddove non sia possibile raggruppare le risorse hardware al fine di analizzare i rischi a cui possono essere sottoposte, oppure si ritenga opportuno effettuare l’analisi per la singola, o la particolare, risorsa hardware è preferibile utilizzare la struttura tabellare di seguito riportata.

Analisi Rischi: Risorse Hardware Risorsa Elemento di Rischio

Serial Number Livello di Rischio

Note-Motivazione

Uso non Autorizzato Manomissione/Sabotaggio Frequenza/Probabilità di Guasto Intercettazione della Trasmissione Rischi Connessi all’Elettricità Furto …

─────────────────────────────────────────────────────────────────────────────────────── Pagina 19 di 29

29292920

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

3.2 Risorse Software [In questa sezione si esamineranno gli elementi di rischio e i relativi livelli di rischio a cui sono sottoposte le risorse software Analisi Rischi: Risorse Software Risorsa

Elemento di Rischio

Livello di Rischio

Note-Motivazione

Accesso non Autorizzato alle Basi Dati Connesse Errori Software che Minacciano l’Integrità dei Dati Presenza di Codice non Conforme alle Specifiche del Programma Mancanza Autenticazione Utente Mancanza Logging degli Accessi Errori Software Noti Cattiva Gestione Password Diritto di Accesso Scorretti Uso del Software Incontrollato Sessioni Aperte senza Presenza Utente Assenza di Backup Carenza nella Dismissione dei Supporti Uso Illegale di Password Installazione/Copia Illegale del Software Furto di Credenziali di Autenticazione Comportamenti Sleali o Fraudolenti Errore Umano nella Gestione della Sicurezza Fisica ] ─────────────────────────────────────────────────────────────────────────────────────── Pagina 20 di 29

29292921

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

3.3 Risorse Dati [In questa sezione si esamineranno gli elementi di rischio e i relativi livelli di rischio a cui sono sottoposte le risorse dati

Analisi Rischi: Risorse Dati Risorsa

Elemento di Rischio

Livello di Rischio

Note-Motivazione

Accesso non Autorizzato Cancellazione o Modifica non Autorizzata dei Dati Perdita di Dati Assenza di Backup Impossibilità di Ripristinare Copie di Backup Grant/Ruoli Assegnati in Maniera Impropria Furto Supporti

]

─────────────────────────────────────────────────────────────────────────────────────── Pagina 21 di 29

29292922

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

4. Piano Operativo [Definite quali sono le risorse da proteggere si può procedere con la stesura di un piano operativo che evidenzia tutte le azioni e le misure in essere e da adottare (policy di sicurezza) per garantire la sicurezza del Sistema Informativo. Tale passo operativo consente di determinare l’insieme delle contromisure di natura fisica e logica ed organizzativa più idonee per il conseguimento dell’obiettivo prefissato.]

4.1 Sicurezza Fisica [Fine della sicurezza fisica è quello di proteggere persone ed hardware coinvolti nel funzionamento del sistema informativo. In particolare occorre definire le politiche di salvaguardia dei computer, server e client, e degli impianti di supporto quali la rete.

Sicurezza Fisica: Misure Adottate Descrizione Misura

Note per la Corretta Applicazione

Custodia/Accesso Archivi Cartacei

Es: I documenti cartacei contenenti dati personali sono conservati in armadio ignifugo dotato di serratura, nel locale ……. adibito ad archivio…..

Custodia/Accesso Supporti Magnetici

Es: I supporti utilizzati per l’attività di backup sono conservati in armadi ignifughi dotati di serratura, nel locale adibito ad archivio interno alla sede, ed in una sede distaccata individuata

Accesso Fisico ai Locali Dispositivi Antincendio

Es: I locali della sede sono dotati di estintori……

Continuità Alimentazione Elettrica

Es: Server collegato ad un gruppo di continuità

Verifica leggibilità supporti di Backup

Es: I supporti di backup si testano e verificano con cadenza mensile (bimestrale)

Le tabelle riportate di seguito servono a particolareggiare aspetti rilevanti inerenti le policy intraprese dall’Ente a garanzia della sicurezza fisica.

─────────────────────────────────────────────────────────────────────────────────────── Pagina 22 di 29

29292923

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Sicurezza Fisica: Gestione Backup Organizzazione dei Job di Backup - Alternanza e Periodicità dei Salvataggi Giorno (della Settimana)

Job Name

Server

Tipo Backup

Cadenza Temporale

Posizione Copia 1

Posizione Copia 2

Start

Periodo Conservazione

Full/ Incremental

Sicurezza Fisica: Accesso ai Locali Personale Esterno Procedura d’Accesso Server

Es: 1) Riconoscimento 2) Consegna Badge 3) Restituzione Badge

Postazioni di Lavoro Personale Interno Procedura d’Accesso Server

Es: 1) Accesso ai locali tramite badge/chiavi 2)…..

Postazioni di Lavoro

─────────────────────────────────────────────────────────────────────────────────────── Pagina 23 di 29

29292924

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Sicurezza Fisica: Accesso Archivi Cartacei Procedure/Credenziali di Autenticazione Es: 1) Gli Incaricati, dopo aver effettuato la registrazione, potranno prelevare i documenti per il tempo necessario ad effettuare le Operazioni….. 2) Custodire i documenti in un cassetto chiuso a chiave nel caso di temporanea assenza dal posto di lavoro 3) Ad operazioni effettuate provvedere a riporre i documenti nel luogo preposto alla conservazione . .

Sicurezza Fisica: Accesso Supporti Magnetici Procedure/Credenziali di Autenticazione Es: 1) . .

─────────────────────────────────────────────────────────────────────────────────────── Pagina 24 di 29

29292925

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Sicurezza Fisica: Sistemi in Rete Politiche di Sicurezza dell’Ente Server Controllo Accessi Fisici Sistemi Autorizzazioni e Identificazione per l’Accesso Locale e alla Rete Aziendale Ridondanza Dati Ridondanza Sistema Sicurezza Impianti Protezione Intranet da Accessi non Autorizzati (potrebbe essere inclusiva delle tre righe sottostanti) Postazioni Fisiche di Accesso alla Rete Strumenti Hardware per la Protezione della Rete Strumenti Software per la Protezione della Rete Utilizzo di IDS (Intrusion Detection System) ]

4.2 Sicurezza Logica [La sicurezza logica impatta sull’integrità, disponibilità, e riservatezza delle informazioni gestite, ed è pertanto una componente estremamente critica della sicurezza di un sistema informativo. Vanno considerate e qui riportate adeguate policy di autenticazione ai sistemi, che garantiscano riservatezza ed integrità dei dati. Inoltre, relativamente alla perdita di dati, con conseguente indisponibilità dell’informazione, vanno definiti criteri e procedure per il salvataggio di dati, e per il ripristino della disponibilità dei dati. Le due tabelle successive sono state predisposte per accogliere queste informazioni.

─────────────────────────────────────────────────────────────────────────────────────── Pagina 25 di 29

29292926

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Sicurezza Logica: Misure Adottate Descrizione Misura

Note per la Corretta Applicazione

Assegnazione di Codici Identificativi Univoci agli Incaricati Predisposizione ed Aggiornamento Antivirus Richieste Fatte ai Produttori di Software Controllo degli Accessi ai Sistemi Informativi Controllo Software

Aggiornamento SO – Verifica dei programmi che compongono l’Applicativo

Riservatezza (Accesso Autorizzato)

Algoritmi di Cifratura

Integrità (Modifica Autorizzata)

Rilevazione Pacchetti Dati Corrotti

Disponibità dei Dati

Backup Automatici giornalieri incrementali

Password: Policy Assegnazione-modifica Profilazione Utenti Sicurezza Reti di Telecomunicazione ( Intranet dell’Ente /Internet )

Sicurezza Logica: Password Regole di Definizione Assegnazione Modalità di Modifica Modalità Registrazione Password Policy Trasmissione Password in Rete ─────────────────────────────────────────────────────────────────────────────────────── Pagina 26 di 29

29292927

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Oltre alle informazioni sintetiche riportate in precedenza, può essere utile compilare una scheda analitica contenente le informazioni utili alla gestione operativa della sicurezza, ed in particolare alle attività di verifica e di controllo.

Procedure Attive per il Salvataggio Data Base

Criteri Individuati per il Salvataggio (Procedure Operative in Essere)

Struttura Operativa Incaricata del Salvataggio

Ripristino Data Base: Criteri e Procedure per il Ripristino dei Dati (Scheda Operativa)

Pianificazione delle prove di ripristino

Nella tabella di seguito riportata devono essere inserite informazioni in relazione alle modalità di protezione adottate per i dati per cui è richiesta la cifratura o la separazione fra dati identificativi e dati personali (dati di tipo sanitario), nonché criteri e modalità con le quali viene tutelata la sicurezza di tali trattamenti.

─────────────────────────────────────────────────────────────────────────────────────── Pagina 27 di 29

29292928

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA

REGIONE BASILICATA 582813743

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Cifratura Dato

Protezione Scelta (Cifratura/Separazione)

Tecnica Adottate Data di Effettività

Descrizione

Informazioni Utili

4.3 Sicurezza Organizzativa [Oltre all’adozione delle opportune misure tecnologiche precedentemente illustrate, devono essere definite una serie di norme e procedure miranti a regolamentare gli aspetti organizzativi del processo medesimo (management system). L’aspetto organizzativo principale riguarda la definizione di ruoli, compiti e responsabilità per la gestione del processo di Sicurezza. La tabella successiva individua competenze e responsabilità correlate.

Sicurezza Organizzativa: Misure Adottate Descrizione Misura

Note per la Corretta Applicazione/Responsabilità correlate alla figura

Formazione Incaricati Custodia Documenti Cartacei Responsabile Gestione Processo Sicurezza SI Identificazione Incaricati Preposti alle Attività di Trattamento Assegnazione di Codici Identificativi Univoci agli Incaricati Identificazione Custode Password Identificazione Amministratore Sistema

Es: Autorizzazione Utenti Accesso Sistema …….

─────────────────────────────────────────────────────────────────────────────────────── Pagina 28 di 29

29292929

DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E

REGIONE BASILICATA 582813743

STATISTICA

Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954 [email protected]

Identificazione DBA Identificazione Responsabile Elaborazione Dati

N.B.: Le misure diversificate per il colore carattere rosso, per la loro natura generale, qualificante il processo di sicurezza dell’intero Ente e non del singolo Sistema Informativo, possono ritenersi campi opzionali.]

─────────────────────────────────────────────────────────────────────────────────────── Pagina 29 di 29

View more...

Comments

Copyright © 2017 DOCUMEN Inc.