REGI REGIONE BASILICATA ONE BASI UFFICIO S. I.LICA R. S. TA
Misure di Sicurezza Adottate < Ver. x.x>
292929ii
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Controllo del documento
Identificazione documento
Titolo
Tipo
Identificatore
Nome file
Misure di Sicurezza Adottate
Approvazioni
Redatto da: Revisionato da: Approvato da:
Nome
Data
Firma
Dott.ssa Antonina D. Mancusi Dott.ssa Domenica Nardelli Ing. Vincenzo Fiore
09/11/06
Variazioni
Versione
Data
Autore
Paragrafi modificati
─────────────────────────────────────────────────────────────────────────────────────── Pagina ii di 29
292929iii
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Distribuzione Copia No.
Nome
Locazione
1 2 3 4 5 6
─────────────────────────────────────────────────────────────────────────────────────── Pagina iii di 29
292929iv
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Indice
Controllo del documento ....................................................................................................... ii Identificazione documento ............................................................................................. ii Approvazioni ................................................................................................................... ii Variazioni.......................................................................................................................... ii Distribuzione ...................................................................................................................iii 1. Introduzione ........................................................................................................................ 5 1.1 Scopo del Documento ............................................................................................... 5 1.2 Definizioni ed Acronimi ........................................................................................... 5 1.3 Riferimenti .................................................................................................................. 5 1.4 Overview..................................................................................................................... 6 2. Identificazione Risorse da Proteggere ............................................................................. 7 2.1 Identificazione Risorse Hardware ........................................................................... 7 2.2 Identificazione Software ......................................................................................... 10 2.3 Identificazione Dati ................................................................................................. 10 2.4 Identificazione Risorse Professionali .................................................................... 13 2.5 Identificazione Documentazione Cartacea ........................................................... 15 2.6 Identificazione Supporti di Memorizzazione ...................................................... 16 3. Analisi dei Rischi .............................................................................................................. 17 3.1 Risorse Hardware .................................................................................................... 18 3.2 Risorse Software....................................................................................................... 20 3.3 Risorse Dati ............................................................................................................... 21 4. Piano Operativo ................................................................................................................ 22 4.1 Sicurezza Fisica ........................................................................................................ 22 4.2 Sicurezza Logica ...................................................................................................... 25 4.3 Sicurezza Organizzativa ......................................................................................... 28
─────────────────────────────────────────────────────────────────────────────────────── Pagina iv di 29
2929295
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
1. Introduzione [Questo documento si prefigge l’obiettivo di individuare e gestire i rischi sui sistemi informativi automatizzati di proprietà dell’Ente, al fine di assicurarne l’affidabilità determinando opportune azioni che abbiano la capacità di garantire disponibilità, integrità e riservatezza delle informazioni trattate, nonché l’autenticità dei dati presenti sul sistema. Il presente documento è stato redatto in conformità alle norme previste dal Decreto Legislativo 30 giugno 2003, n.196.]
1.1 Scopo del Documento [Obiettivo primario del presente documento è quello di specificare le misure adottate per assicurare che il Sistema Informativo in dotazione all’Ente sia munito di appropriati e proporzionati controlli di sicurezza atti a fornirne adeguata protezione.]
1.2 Definizioni ed Acronimi [Lista e descrizione delle definizioni e degli acronimi. Acronimo
Significato
SIA PA
Sistema Informativo Automatizzato Pubblica Amministrazione
]
1.3 Riferimenti [Riferimenti bibliografici, documenti, articoli, siti web di riferimento.]
─────────────────────────────────────────────────────────────────────────────────────── Pagina 5 di 29
2929296
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
1.4 Overview [Questa sezione riporta cosa il documento contiene e come sono organizzati i contenuti.]
─────────────────────────────────────────────────────────────────────────────────────── Pagina 6 di 29
2929297
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
2. Identificazione Risorse da Proteggere [L’obiettivo della valutazione dei rischi (o risk assessment) è quello di consentire la scelta ottimale delle contromisure, definendo e modulando le protezioni in funzione del valore dei beni con il criterio della massima omogeneità, evitando cioè che rischi residui vanifichino l’intero impianto di sicurezza consentendo di aggirare le protezioni messe in campo. La valutazione dei rischi comprende l’individuazione delle possibili cause di rischio attraverso il censimento dei beni e delle relative vulnerabilità e minacce (risk analysis) nonché la stima del loro impatto (risk evaluation) in termini di potenziali perdite economiche, di immagine, ecc. Dato un Sistema Informativo, le risorse da esaminare e mettere in sicurezza sono:
hardware
software
dati gestiti dal sistema
La necessaria fase propedeutica ad ogni possibile scelta di un’adeguata politica di security consiste in un censimento dei beni da proteggere.]
2.1 Identificazione Risorse Hardware [In questa sezione saranno riportate accurate informazioni riguardanti le caratteristiche delle macchine censite. La sezione sarà virtualmente divisa in due sottosezioni, in cui saranno inserite rispettivamente informazioni relative alle caratteristiche hardware delle macchine censite, e ai dispositivi di protezione presenti sulle macchine. A tal fine sono state predisposte due distinte tabelle. Nella prima saranno inserite informazioni relative all’hardware, alla tipologia e alla connessione in rete della macchina censita; nella seconda, invece, saranno riportate informazioni inerenti i dispositivi di protezione attivati sulla macchina e i componenti di rilievo finalizzati alla sicurezza dei dati. Per ogni distinta macchina censita devono essere predisposte una scheda risorsa hardware, ed una scheda dispositivi di protezione attivati; il raggruppamento di piu’ macchine in un’unica scheda è consentito esclusivamente per macchine aventi caratteristiche identiche e prossimità di ubicazione. La scheda successiva va caricata sul sistema di assessment della server farm.]
─────────────────────────────────────────────────────────────────────────────────────── Pagina 7 di 29
2929298
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Scheda Risorsa Hw n. xx - Dati Generali Serial Number Hardware Descrizione Macchina Produttore
Azienda produttrice
Modello Quantità Caratteristiche Tecniche Ubicazione Indirizzo IP Descrizione Servizi Forniti Configurazione Hardware Ram Mb Processori
Processore da xxx Mhz
Hardisk Gb
Numero capacità
di
dischi
e
loro
Capacità 1° disco Capacità 2° disco
Livello RAID Device (dat/floppy/cdrom) Tipologia Sistema
Singolo/Cluster
Tipo File System Sistema Operativo
(NT/W2000/XP)
─────────────────────────────────────────────────────────────────────────────────────── Pagina 8 di 29
2929299
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Tipologia Server
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Note-Descrizione SI
NO
Client Altro Connessione in Rete Pubblica
Note-Descrizione SI
NO
Privata Assente
Dispositivi di Protezione Attivati Dispositivi Password
Presenti
Note-Descrizione
SI
Antivirus
NO
Altro Dispositivo
NO
Componenti di Rilievo Presenti ai fini della Sicurezza dei Dati Componente
Descrizione
Es.: Lettore Smart Card
]
─────────────────────────────────────────────────────────────────────────────────────── Pagina 9 di 29
29292910
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
2.2 Identificazione Software [In questa sezione saranno fatte rilevazioni dei software residenti sulle macchine censite al paragrafo precedente.]
Scheda Risorse Sw : Nome Applicativo Id Software Descrizione Software Number Licenza d’Uso Responsabile della Procedura Serial Number Hardware
Serial number della macchina su cui il software è residente
Tipologia Software Base
Note-Descrizione SI
NO
Ambiente Applicativo
2.3 Identificazione Dati [Questa sezione sarà dedicata al rilevamento dei dati trattati dal sistema informativo in oggetto. Particolare rilievo sarà dato alla presenza di dati personali. A tale scopo è stata predisposta la tabella “Natura dei Dati Personali Presenti in Archivio”, in cui sarà specificata la natura dei suddetti dati. ─────────────────────────────────────────────────────────────────────────────────────── Pagina 10 di 29
29292911
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Questa sezione sarà completata da una tabella atta a contenere informazioni relative agli strumenti di backup e alle politiche di backup connesse.
Scheda Risorsa Dati n. xx Identificativo Data Base Denominazione Data Base Descrizione Data Base Riferimento Normativo Finalità Istituzionale Serial Number Hardware
Serial number della macchina su cui il Data Base è residente
Condivisione Data Base Livello di Criticità dei Dati
Alta/Media/Bassa
DBA Tipologia Data Base Archivio Cartaceo
Note-Descrizione SI
NO
Archivio Elettronico Dati Personali Persone Fisiche
Note-Descrizione SI
NO
Persone Giuridiche Enti Associazioni
N.B.: Il livello di criticità dei dati è indicativa del valore che l’Ente attribuisce ai dati.
─────────────────────────────────────────────────────────────────────────────────────── Pagina 11 di 29
29292912
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Natura dei Dati Personali Presenti in Archivio Dati
Natura dei Dati
Origine Razziale ed Etnica Convinzioni Religiose-Appartenenza ad organizzazioni di carattere religioso Opinioni Politiche-Adesione a Partiti o Organizzazioni a Carattere Politico
Es.: Assente
Adesione a Sindacati o Organizzazioni a Carattere Sindacale
Es.: Sensibile
Dati di Identificazione Personale: Codice Fiscale, Nominativo, Indirizzo
Es.: Dato non Sensibile
Dati Relativi a Famiglia e Situazioni Particolari Istruzione e Cultura Beni, Proprietà, Possessi Stato di Salute Informazioni Relative a Provvedimenti Giudiziari di cui all’Art. 686 del Codice di Procedura Penale
─────────────────────────────────────────────────────────────────────────────────────── Pagina 12 di 29
29292913
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Strumenti e Politiche di Backup Dispositivo di Backup Presente SI
Modello
Frequenza del Backup
NO
Incaricati del Backup Ente/Società
Nominativi
Supporti di Backup Numero di Supporti
Dicitura EtichettaDescrizione
Note
]
2.4 Identificazione Risorse Professionali [Appartengono a questa categoria quanti a diverso titolo interagiscono con il Sistema Informativo durante l’arco di vita dello stesso. Questa categoria è particolare in quanto può essere oggetto di minacce atte a compromettere la sicurezza del SI, ma può essa stessa costituire una minaccia per il SI. E’ per questo importante identificare le strutture interne ed esterne, e relative figure professionali interagenti con il SI. I dati dovranno essere organizzati nelle tabelle predisposte a contenerli, in modo che ad ogni ufficio sia associata la lista delle risorse interne che a vario titolo interfacciano il S.I.; e ad ogni società esterna risulti associata la lista delle risorse esterne che a vario titolo si occupano del S.I. ─────────────────────────────────────────────────────────────────────────────────────── Pagina 13 di 29
29292914
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Identificazione Risorse Professionali Esterne Interne Struttura Società di di Appartenenza 1
Risorse
Ente Denom. Dip. o Rag. Sociale Ufficio
Matricola Cognome
Indirizzo Servizio Sede Legale
Rif. Rappresentante Struttura Funzione Contratto Legale n. rep
Cognome Nome
Nome
Data
Funzione
Funzione Svolta
. . Struttura Società di di Appartenenza n
Risorse
Ente Denom. Dip. o Rag. Sociale Ufficio
Matricola Cognome
Indirizzo Rif. Servi Rappresentante Sede Struttura Funzione Contratto zio Legale Legale n. rep
Cognome Nome
Nome
Data
Funzione
Funzione Svolta
─────────────────────────────────────────────────────────────────────────────────────── Pagina 14 di 29
29292915
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
2.5 Identificazione Documentazione Cartacea [In questa sezione si censirà la documentazione cartacea inerente il S.I. preso in esame.]
Identificazione Documentazione Cartacea Riferimenti Document.
Distibuzione
Cod.Uff
Ufficio
Copia Num.
Identificatore Doc.
Assegnatario
Titolo Doc.
Autori
Creazione.
Ultimo Agg
Paragrafi Modificati
Num. Copie
Locazione
N.B. La Versione del documento è contenuta nell’Identificatore del documento
─────────────────────────────────────────────────────────────────────────────────────── Pagina 15 di 29
29292916
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
2.6 Identificazione Supporti di Memorizzazione [In questa sezione, invece, si provvederà ad identificare i supporti di backup, relativi al S.I. preso in esame, i responsabili dell’operazione di backup, e gli incaricati della custodia del supporto.]
Identificazione Supporti di Memorizzazione Riferimenti Supporto
Custodia
Cod.Uff.
Incaricato
Ufficio
Identificatore Supp.
Etichetta
Tipo Supporto
Data Salvataggio
Ubicazione Conservazione Copia
Responsabile Salvataggio
Num. Copie
Altra Localizzazione Esterna
─────────────────────────────────────────────────────────────────────────────────────── Pagina 16 di 29
29292917
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
3. Analisi dei Rischi [Dopo aver effettuato il censimento dei beni, si procederà ad individuare minacce e vulnerabilità a cui sono sottoposte le risorse. Le tre macrocategorie sulle quali hardware, software, dati.
sarà effettuata
l’analisi sono quelle relative a risorse
I livelli di rischio sono fissati mediante una scala qualitativa a tre valori i cui significati sono riportati nella tabella sottostante.
Rischio: Livello Basso Medio
Alto
Significato Rischio basso, minaccia remota e facilmente reversibile Rischio superiore al precedente, associato anch’esso ad una minaccia remota, il cui verificarsi, però, ha effetti non facilmente reversibili ed eliminabili. E’ auspicabile predisporre opportune ed adeguate misure di sicurezza atte a contenere il rischio. Rischio elevato, inaccettabile pensare di correrlo. Dovrà essere pensato ed attivato un insieme di contromisure, capace di abbattere il rischio al fine di contenerlo entro livelli ritenuti accettabili
─────────────────────────────────────────────────────────────────────────────────────── Pagina 17 di 29
29292918
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
3.1 Risorse Hardware [Fine della sicurezza fisica è quello di proteggere persone ed hardware coinvolti nel funzionamento del sistema informativo. In particolare occorre definire le politiche di salvaguardia dei computer, server e client, e degli impianti di supporto quali rete, alimentazione e condizionamento.]
Analisi Rischi: Risorse Hardware Risorsa
Rischio
Livello di Rischio
Note-Motivazione
Uso non Autorizzato Manomissione/Sabotaggio Frequenza/Probabilità di Guasto Deterioramento Supporti di Memoria Uso non Autorizzato Supporti di Memoria Intercettazione della Trasmissione Linee di Comunicazione non Protette Errori di Trasmissione Traffico Eccessivo Intercettazione in Rete Infiltrazione in Rete Analisi Illecita del Traffico Spamming o altre Tecniche di Sabotaggio Malfunzionamento/Degrado/ Indisponibilità Strumenti Accessi Esterni non Autorizzati Rischi Connessi all’Elettricità (Blackout/Linea Elettrica Instabile)
─────────────────────────────────────────────────────────────────────────────────────── Pagina 18 di 29
29292919
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Rischi Connessi a Variazioni di Temperatura (Guasto Climatizzatore/Umidità Eccessiva) Suscettibilità a Radiazioni Elettromagnetiche Uso di Password in Chiaro Traffico Wireless non Cifrato Presenza di Linee Dial-up Libero Accesso ai Dispositivi di Rete Azione di Virus Informatici (Codici Maligni) Furto
Laddove non sia possibile raggruppare le risorse hardware al fine di analizzare i rischi a cui possono essere sottoposte, oppure si ritenga opportuno effettuare l’analisi per la singola, o la particolare, risorsa hardware è preferibile utilizzare la struttura tabellare di seguito riportata.
Analisi Rischi: Risorse Hardware Risorsa Elemento di Rischio
Serial Number Livello di Rischio
Note-Motivazione
Uso non Autorizzato Manomissione/Sabotaggio Frequenza/Probabilità di Guasto Intercettazione della Trasmissione Rischi Connessi all’Elettricità Furto …
─────────────────────────────────────────────────────────────────────────────────────── Pagina 19 di 29
29292920
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
3.2 Risorse Software [In questa sezione si esamineranno gli elementi di rischio e i relativi livelli di rischio a cui sono sottoposte le risorse software Analisi Rischi: Risorse Software Risorsa
Elemento di Rischio
Livello di Rischio
Note-Motivazione
Accesso non Autorizzato alle Basi Dati Connesse Errori Software che Minacciano l’Integrità dei Dati Presenza di Codice non Conforme alle Specifiche del Programma Mancanza Autenticazione Utente Mancanza Logging degli Accessi Errori Software Noti Cattiva Gestione Password Diritto di Accesso Scorretti Uso del Software Incontrollato Sessioni Aperte senza Presenza Utente Assenza di Backup Carenza nella Dismissione dei Supporti Uso Illegale di Password Installazione/Copia Illegale del Software Furto di Credenziali di Autenticazione Comportamenti Sleali o Fraudolenti Errore Umano nella Gestione della Sicurezza Fisica ] ─────────────────────────────────────────────────────────────────────────────────────── Pagina 20 di 29
29292921
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
3.3 Risorse Dati [In questa sezione si esamineranno gli elementi di rischio e i relativi livelli di rischio a cui sono sottoposte le risorse dati
Analisi Rischi: Risorse Dati Risorsa
Elemento di Rischio
Livello di Rischio
Note-Motivazione
Accesso non Autorizzato Cancellazione o Modifica non Autorizzata dei Dati Perdita di Dati Assenza di Backup Impossibilità di Ripristinare Copie di Backup Grant/Ruoli Assegnati in Maniera Impropria Furto Supporti
]
─────────────────────────────────────────────────────────────────────────────────────── Pagina 21 di 29
29292922
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
4. Piano Operativo [Definite quali sono le risorse da proteggere si può procedere con la stesura di un piano operativo che evidenzia tutte le azioni e le misure in essere e da adottare (policy di sicurezza) per garantire la sicurezza del Sistema Informativo. Tale passo operativo consente di determinare l’insieme delle contromisure di natura fisica e logica ed organizzativa più idonee per il conseguimento dell’obiettivo prefissato.]
4.1 Sicurezza Fisica [Fine della sicurezza fisica è quello di proteggere persone ed hardware coinvolti nel funzionamento del sistema informativo. In particolare occorre definire le politiche di salvaguardia dei computer, server e client, e degli impianti di supporto quali la rete.
Sicurezza Fisica: Misure Adottate Descrizione Misura
Note per la Corretta Applicazione
Custodia/Accesso Archivi Cartacei
Es: I documenti cartacei contenenti dati personali sono conservati in armadio ignifugo dotato di serratura, nel locale ……. adibito ad archivio…..
Custodia/Accesso Supporti Magnetici
Es: I supporti utilizzati per l’attività di backup sono conservati in armadi ignifughi dotati di serratura, nel locale adibito ad archivio interno alla sede, ed in una sede distaccata individuata
Accesso Fisico ai Locali Dispositivi Antincendio
Es: I locali della sede sono dotati di estintori……
Continuità Alimentazione Elettrica
Es: Server collegato ad un gruppo di continuità
Verifica leggibilità supporti di Backup
Es: I supporti di backup si testano e verificano con cadenza mensile (bimestrale)
Le tabelle riportate di seguito servono a particolareggiare aspetti rilevanti inerenti le policy intraprese dall’Ente a garanzia della sicurezza fisica.
─────────────────────────────────────────────────────────────────────────────────────── Pagina 22 di 29
29292923
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Sicurezza Fisica: Gestione Backup Organizzazione dei Job di Backup - Alternanza e Periodicità dei Salvataggi Giorno (della Settimana)
Job Name
Server
Tipo Backup
Cadenza Temporale
Posizione Copia 1
Posizione Copia 2
Start
Periodo Conservazione
Full/ Incremental
Sicurezza Fisica: Accesso ai Locali Personale Esterno Procedura d’Accesso Server
Es: 1) Riconoscimento 2) Consegna Badge 3) Restituzione Badge
Postazioni di Lavoro Personale Interno Procedura d’Accesso Server
Es: 1) Accesso ai locali tramite badge/chiavi 2)…..
Postazioni di Lavoro
─────────────────────────────────────────────────────────────────────────────────────── Pagina 23 di 29
29292924
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Sicurezza Fisica: Accesso Archivi Cartacei Procedure/Credenziali di Autenticazione Es: 1) Gli Incaricati, dopo aver effettuato la registrazione, potranno prelevare i documenti per il tempo necessario ad effettuare le Operazioni….. 2) Custodire i documenti in un cassetto chiuso a chiave nel caso di temporanea assenza dal posto di lavoro 3) Ad operazioni effettuate provvedere a riporre i documenti nel luogo preposto alla conservazione . .
Sicurezza Fisica: Accesso Supporti Magnetici Procedure/Credenziali di Autenticazione Es: 1) . .
─────────────────────────────────────────────────────────────────────────────────────── Pagina 24 di 29
29292925
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Sicurezza Fisica: Sistemi in Rete Politiche di Sicurezza dell’Ente Server Controllo Accessi Fisici Sistemi Autorizzazioni e Identificazione per l’Accesso Locale e alla Rete Aziendale Ridondanza Dati Ridondanza Sistema Sicurezza Impianti Protezione Intranet da Accessi non Autorizzati (potrebbe essere inclusiva delle tre righe sottostanti) Postazioni Fisiche di Accesso alla Rete Strumenti Hardware per la Protezione della Rete Strumenti Software per la Protezione della Rete Utilizzo di IDS (Intrusion Detection System) ]
4.2 Sicurezza Logica [La sicurezza logica impatta sull’integrità, disponibilità, e riservatezza delle informazioni gestite, ed è pertanto una componente estremamente critica della sicurezza di un sistema informativo. Vanno considerate e qui riportate adeguate policy di autenticazione ai sistemi, che garantiscano riservatezza ed integrità dei dati. Inoltre, relativamente alla perdita di dati, con conseguente indisponibilità dell’informazione, vanno definiti criteri e procedure per il salvataggio di dati, e per il ripristino della disponibilità dei dati. Le due tabelle successive sono state predisposte per accogliere queste informazioni.
─────────────────────────────────────────────────────────────────────────────────────── Pagina 25 di 29
29292926
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Sicurezza Logica: Misure Adottate Descrizione Misura
Note per la Corretta Applicazione
Assegnazione di Codici Identificativi Univoci agli Incaricati Predisposizione ed Aggiornamento Antivirus Richieste Fatte ai Produttori di Software Controllo degli Accessi ai Sistemi Informativi Controllo Software
Aggiornamento SO – Verifica dei programmi che compongono l’Applicativo
Riservatezza (Accesso Autorizzato)
Algoritmi di Cifratura
Integrità (Modifica Autorizzata)
Rilevazione Pacchetti Dati Corrotti
Disponibità dei Dati
Backup Automatici giornalieri incrementali
Password: Policy Assegnazione-modifica Profilazione Utenti Sicurezza Reti di Telecomunicazione ( Intranet dell’Ente /Internet )
Sicurezza Logica: Password Regole di Definizione Assegnazione Modalità di Modifica Modalità Registrazione Password Policy Trasmissione Password in Rete ─────────────────────────────────────────────────────────────────────────────────────── Pagina 26 di 29
29292927
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Oltre alle informazioni sintetiche riportate in precedenza, può essere utile compilare una scheda analitica contenente le informazioni utili alla gestione operativa della sicurezza, ed in particolare alle attività di verifica e di controllo.
Procedure Attive per il Salvataggio Data Base
Criteri Individuati per il Salvataggio (Procedure Operative in Essere)
Struttura Operativa Incaricata del Salvataggio
Ripristino Data Base: Criteri e Procedure per il Ripristino dei Dati (Scheda Operativa)
Pianificazione delle prove di ripristino
Nella tabella di seguito riportata devono essere inserite informazioni in relazione alle modalità di protezione adottate per i dati per cui è richiesta la cifratura o la separazione fra dati identificativi e dati personali (dati di tipo sanitario), nonché criteri e modalità con le quali viene tutelata la sicurezza di tali trattamenti.
─────────────────────────────────────────────────────────────────────────────────────── Pagina 27 di 29
29292928
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA
REGIONE BASILICATA 582813743
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Cifratura Dato
Protezione Scelta (Cifratura/Separazione)
Tecnica Adottate Data di Effettività
Descrizione
Informazioni Utili
4.3 Sicurezza Organizzativa [Oltre all’adozione delle opportune misure tecnologiche precedentemente illustrate, devono essere definite una serie di norme e procedure miranti a regolamentare gli aspetti organizzativi del processo medesimo (management system). L’aspetto organizzativo principale riguarda la definizione di ruoli, compiti e responsabilità per la gestione del processo di Sicurezza. La tabella successiva individua competenze e responsabilità correlate.
Sicurezza Organizzativa: Misure Adottate Descrizione Misura
Note per la Corretta Applicazione/Responsabilità correlate alla figura
Formazione Incaricati Custodia Documenti Cartacei Responsabile Gestione Processo Sicurezza SI Identificazione Incaricati Preposti alle Attività di Trattamento Assegnazione di Codici Identificativi Univoci agli Incaricati Identificazione Custode Password Identificazione Amministratore Sistema
Es: Autorizzazione Utenti Accesso Sistema …….
─────────────────────────────────────────────────────────────────────────────────────── Pagina 28 di 29
29292929
DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E
REGIONE BASILICATA 582813743
STATISTICA
Viale della Regione Basilicata n° 4 85100 Potenza tel 0971/668335 fax 0971/668954
[email protected]
Identificazione DBA Identificazione Responsabile Elaborazione Dati
N.B.: Le misure diversificate per il colore carattere rosso, per la loro natura generale, qualificante il processo di sicurezza dell’intero Ente e non del singolo Sistema Informativo, possono ritenersi campi opzionali.]
─────────────────────────────────────────────────────────────────────────────────────── Pagina 29 di 29