Comune di Pieve di
Cento
DPS Piano di sicurezza
dell’ente
Marzo 2011
Indice
INDICE ------------------------------------------------------------------------------------------------------------- 2
1 LA SICUREZZA: PREMESSA---------------------------------------------------------------------------- 6
2 PROTEZIONE CONTRO L’ACCESSO INDEBITO ALLE RISORSE ED
APPLICAZIONE DEL D.LGS. N. 196/2003.------------------------------------------------------------- 9
3 LO SCHEMA DEL PIANO DI SICUREZZA DI MARZO 2011 ---------------------------------- 10
Verifica degli adempimenti formali ----------------------------------------------------------------------------------------------- 12
Dati residenti su elaboratori elettronici ----------------------------------------------------------------------------------------------12
Verifica degli adempimenti sostanziali ------------------------------------------------------------------------------------------- 14
Adempimenti sostanziali dati elettronici --------------------------------------------------------------------------------------------15
Verifica degli adempimenti formali ----------------------------------------------------------------------------------------------- 16
Dati residenti su archivi cartacei ------------------------------------------------------------------------------------------------------16
Adempimenti sostanziali dati cartacei -----------------------------------------------------------------------------------------------17
Piano formativo degli incaricati: regola 19.6 dell’Allegato B al Codice---------------------------------------------------- 18
Il censimento delle banche dati dell’ente ----------------------------------------------------------------------------------------- 21
Regola 19.1 dell’Allegato B al Codice: elenco dei trattamenti di dati personali, sensibili, giudiziari. --------------------21
Il censimento dei beni che rientrano nel piano di sicurezza ------------------------------------------------------------------ 30
Analisi organizzativa dell’ente ----------------------------------------------------------------------------------------------------- 35
Rapporti con professionisti ed incaricati non dipendenti dell’ente --------------------------------------------------------------39
Distribuzione dei compiti e delle responsabilità (regola 19.2 dell’Allegato B al Codice) ------------------------------- 40
L’accesso alle strutture fisiche dell’ente ---------------------------------------------------------------------------------------------42
Analisi tecnologica dei dati elettronici -------------------------------------------------------------------------------------------- 44
Lo schema generale della rete ---------------------------------------------------------------------------------------------------------44
Analisi ambientale -----------------------------------------------------------------------------------------------------------------------47
Analisi del sistema di cablaggio-------------------------------------------------------------------------------------------------------48
Analisi dell’architettura LAN/WAN -------------------------------------------------------------------------------------------------48
Analisi delle vulnerabilità interne e dell’accesso ai dati --------------------------------------------------------------------------49
Analisi delle applicazioni: regola 19.8 dell’Allegato B al Codice --------------------------------------------------------------51
________________________________________________________________________________________________________________________
02/06/17
2
Analisi delle comunicazioni verso Internet------------------------------------------------------------------------------------------54
Analisi dei servizi pubblicati sulla rete Internet ------------------------------------------------------------------------------------54
Analisi dei dati cartacei -------------------------------------------------------------------------------------------------------------- 56
Analisi ambientale -----------------------------------------------------------------------------------------------------------------------56
Analisi delle vulnerabilità interne e dell’accesso dei dati -------------------------------------------------------------------------56
Le criticità dei beni informatici preposti al trattamento dei dati elettronici ---------------------------------------------- 57
Il fault tolerance --------------------------------------------------------------------------------------------------------------------------58
Il disaster recovery ----------------------------------------------------------------------------------------------------------------------59
L’analisi dei rischi a cui possono essere soggetti i dati elettronici e i dati cartacei: regola 19.3 dell’Allegato B al
Codice ----------------------------------------------------------------------------------------------------------------------------------- 60
Analisi dei rischi dei dati elettronici --------------------------------------------------------------------------------------------------60
Presentazione sintetica dei rischi a cui sono soggetti i dati elettronici trattati dall’Unione Reno Galliera. -----------61
Analisi dei rischi dei dati cartacei-----------------------------------------------------------------------------------------------------63
Presentazione sintetica dei rischi a cui possono essere soggetti i dati cartacei trattati dall’ente ------------------------63
La definizione della politica di sicurezza dell’ente ----------------------------------------------------------------------------- 65
Chi-fa-cosa dentro -----------------------------------------------------------------------------------------------------------------------65
Chi-fa-cosa fuori -------------------------------------------------------------------------------------------------------------------------68
Chi, interno, fa cosa da fuori -----------------------------------------------------------------------------------------------------------69
Chi, esterno, può fare cosa da fuori o, in casi definiti, da dentro ----------------------------------------------------------------70
Rapporti con aziende esterne all’organizzazione assimilabili a titolari del trattamento: regola 19.7 dell’Allegato B al
Codice -------------------------------------------------------------------------------------------------------------------------------------73
Adempimenti inerenti l’Amministratore di Sistema --------------------------------------------------------------------------- 74
4 DPS DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI: LE AZIONI 75
Dati residenti su supporto cartaceo ----------------------------------------------------------------------------------------------- 75
Analisi dei rischi -------------------------------------------------------------------------------------------------------------------------75
Analisi dei rischi e delle azioni intraprese per cautela relativamente al trattamento dei dati cartacei: regola 19.4
dell’Allegato B al Codice --------------------------------------------------------------------------------------------------------------75
Dati residenti su elaboratori elettronici ------------------------------------------------------------------------------------------ 76
Analisi dei rischi -------------------------------------------------------------------------------------------------------------------------76
Analisi dei rischi e delle azioni intraprese per cautela: regola 19.4 dell’Allegato B al Codice -----------------------------77
Le operazioni di salvataggio dei dati: regola 19.5 dell’Allegato B al Codice ---------------------------------------------- 80
________________________________________________________________________________________________________________________
02/06/17
3
I controlli anti-intrusione dall’esterno -------------------------------------------------------------------------------------------- 81
5 AZIONI INTRAPRESE PER IL FAULT TOLERANCE: REGOLA 19.5
DELL’ALLEGATO B AL CODICE ----------------------------------------------------------------------- 82
Server Windows 200X – Server Linux – Database server -------------------------------------------------------------------- 83
Switch ----------------------------------------------------------------------------------------------------------------------------------- 83
Firewall e Router --------------------------------------------------------------------------------------------------------------------- 83
Collegamenti WAN per telecomunicazioni -------------------------------------------------------------------------------------- 84
Sistema di Storage -------------------------------------------------------------------------------------------------------------------- 84
Alimentazione elettrica -------------------------------------------------------------------------------------------------------------- 84
6 PROCEDURE DA SEGUIRE IN CASO DI FAULT ----------------------------------------------- 85
Server ----------------------------------------------------------------------------------------------------------------------------------- 85
Switch ----------------------------------------------------------------------------------------------------------------------------------- 85
Firewall e connessione ad Internet ------------------------------------------------------------------------------------------------ 85
Sistema di storage--------------------------------------------------------------------------------------------------------------------- 85
Alimentazione elettrica -------------------------------------------------------------------------------------------------------------- 86
7 AZIONI DA INTRAPRENDERE PER IL DISASTER RECOVERY ---------------------------- 87
Azione preventive da eseguire nella sede principale --------------------------------------------------------------------------- 87
8 PROCEDURE DA SEGUIRE IN CASO DI DISASTER ------------------------------------------ 88
Considerazioni su Router e Wan Link -----------------------------------------------------------------------------------------------88
Sistema di Storage e Alimentazione elettrica ---------------------------------------------------------------------------------------89
9 CONCLUSIONI --------------------------------------------------------------------------------------------- 90
10 TERMINI E DEFINIZIONI ------------------------------------------------------------------------------- 91
________________________________________________________________________________________________________________________
02/06/17
4
DOCUMENTO APPROVATO CON DELIBERA DI GIUNTA N. 28 DEL 30/03/2009
DOCUMENTO AGGIORNATO NEL MARZO 2010 APPROVATO CON DELIBERA N. 33 DEL 29/3/2010
DOCUMENTO AGGIORNATO NEL MARZO 2011 APPROVATO CON DELIBERA N. ____ DEL ____
________________________________________________________________________________________________________________________
02/06/17
5
1 La sicurezza: premessa
Con l’entrata in vigore del “Codice in materia di protezione dei dati personali” il legislatore sancisce che il diritto alla
riservatezza, all’identità personale e alla protezione dei dati riferiti a persone fisiche o giuridiche sono da annoverarsi tra
i diritti fondamentali. Di conseguenza qualsiasi trattamento di dati personali deve svolgersi nel rispetto della dignità del
soggetto interessato sottoposto al trattamento.
Da quanto esposto sopra deriva la necessità di rafforzare, in un quadro di evoluzione tecnologica, le misure di sicurezza
contro i rischi di distruzione o perdita, anche accidentale, dei dati personali, di accesso non autorizzato o di uso
improprio dei dati stessi. A tal fine alle precauzioni già previste nella normativa precedente (password, codici
identificativi, antivirus etc.), se ne aggiungono altre come: password di non meno di otto caratteri, autenticazione
informatica, sistemi di cifratura, procedure per il ripristino dei dati, ecc., nonché la tenuta di un aggiornato documento
programmatico sulla sicurezza.
Nonostante sia utopistico credere che possa esistere la sicurezza assoluta, questo non esime qualsiasi titolare,
responsabile o incaricato del trattamento dei dati personali a predisporre un piano di sicurezza dell’ente. Occorre però
individuare, in via preliminare, quali sono i requisiti minimi di sicurezza di un sistema informativo basato su strumenti
elettronici o su strumenti cartacei per poterli applicare al sistema stesso nella totalità o in parte.
L’obiettivo è quindi quello di stabilire il livello di sicurezza da raggiungere in relazione al valore del bene intangibile da
proteggere (informazione) ed al rischio sostenibile, senza ridurre la possibilità di fruizione dello stesso.
Un sistema informativo deve, quindi, avere un sistema di protezione contro i seguenti rischi:
accesso indebito alle risorse;
azioni dolose;
errori operativi;
manomissioni o furti;
fault di servizi;
eventi dannosi o disastrosi
offrendo al contempo garanzia di:
autenticità e integrità delle registrazioni elettroniche
ed assicurando:
facilità di auditing
Per accesso indebito alle risorse s’intende che dati, programmi e strumenti di comunicazione devono essere protetti da
accessi non autorizzati, in ottemperanza al d.lgs. n. 196/2003.
Per protezione da azioni dolose s’intende che devono esistere procedure e strumenti per proteggere le risorse del S.I.
________________________________________________________________________________________________________________________
02/06/17
6
da azioni particolari come modifica o copia di informazioni, messaggi, file, programmi da parte di persone non
autorizzate, uso non autorizzato dei privilegi di sistema, dirottamento o duplicazione di informazioni o programmi da
parte di persone non autorizzate, bombe logiche, cavalli di Troia, virus.
Per protezione dagli errori operativi s’intende che il S.I. deve essere progettato in modo che errori operativi non
arrechino danni alle risorse hardware e software, che le operazioni critiche siano attivabili solo da personale autorizzato
e che devono essere previsti strumenti per ripristinare lo stato corretto del sistema nel caso vengano rilevati errori
operativi.
Per protezione da manomissioni o furti s’intende che i server dell’ente, nonché i documenti cartacei, devono essere
custoditi in locali protetti in cui l’accesso è permesso solo agli incaricati per lo svolgimento di compiti ad essi assegnati.
Per protezione contro il fault o la caduta di alcuni servizi, s’intende che è opportuno che esista una procedura in
grado di far ripartire un servizio più o meno critico, più o meno importante, servizio caduto in seguito ad un guasto
hardware e/o software, con i tempi ed i modi definiti dal “manuale della sicurezza”.
Infine per protezione contro eventi dannosi o disastrosi s’intende che è necessario che il sistema informativo preveda
contromisure per tutelarlo da eventi dannosi (assenza di alimentazione elettrica o condizionamento) o disastrosi (incendi
ecc.).
La garanzia che deve essere offerta dal sistema informativo è relativa all’autenticità dei dati, ovvero deve essere
disponibile un meccanismo per associare ad una unità di registrazione l’identificativo dell’utente che l’ha generata nella
forma in cui essa è memorizzata, con una prova incontestabile, e all’integrità del dato stesso. Per integrità dei dati
gestiti e registrati a livello applicativo; si afferma che il compito del S.I. è quello di garantire l’integrità logica (coerenza
e consistenza) e fisica (esistenza di copie o di salvataggi) di tali dati.
Per quanto riguarda i requisiti di auditing essi riguardano quelle caratteristiche del sistema informativo che possono
facilitare le attività ispettive necessarie per assicurare il mantenimento del livello di sicurezza.
Il presente documento viene redatto tenendo conto dell’architettura centralizzata del servizio informatico associato
dell’Unione Reno Galliera a cui l’Amministrazione ha conferito con apposita convenzione la gestione delle funzioni
informatiche.
Il primo passo da fare per decidere la politica da seguire nel garantire la sicurezza di un sistema è l’analisi del rischio.
L’obiettivo di tale analisi è quello di identificare le minacce alle risorse critiche del sistema per valutare le perdite
derivanti dal verificarsi di tali minacce e potere eventualmente giustificare i costi da sostenere per la gestione della
sicurezza.
Il processo è quindi il seguente:
________________________________________________________________________________________________________________________
02/06/17
7
Analisi dei rischi
Identificare il servizio da erogare
Identificare le risorse critiche
Identificare le possibili minacce a
queste risorse
Calcolare la probabilità di accadimento
Valutare i costi che l’azienda dovrà sostenere
nel caso si manifesti una di queste minacce
L’analisi dei rischi, oggetto del presente lavoro, non tratta in dettaglio le probabilità di accadimento dei rischi stessi, né i
costi, legati al mancato uso dei sistemi, in quanto si da per scontato che tali eventi si verifichino e che i costi ad essi
associati siano ingenti.
________________________________________________________________________________________________________________________
02/06/17
8
2 Protezione contro l’accesso indebito alle risorse ed
applicazione del d.lgs. n. 196/2003.
In primo luogo è utile riassumere quali sono gli strumenti ordinari di sicurezza che gli utenti già utilizzano per accedere
ai dati elettronici e/o ai dati cartacei.
Ogni utente è dotato di uno username ed una password per l’accesso alla rete dell’ente. Detto username è fisso ed è
assegnato dal gruppo sistemistico del servizio sistemi informativi dell’Unione Reno Galliera. La password invece è
gestita dall’utente che deve forzatamente modificarla ogni 90 giorni. Il primo identificativo dell’utente permette
l’accesso a tutte le risorse di rete; alcuni servizi però richiedono, per problemi tecnici legati all’integrazione degli utenti
nel Dominio Microsoft (il sistema di directory dell’ente), un ulteriore livello di identificazione quale, per esempio,
l’accesso alla posta elettronica. Solo alcune applicazioni che non sono state ancora integrate con il Dominio Microsoft
ha un ulteriore livello di autenticazione.
Per ciò che concerne le misure minime di sicurezza richieste dalla nuova normativa, l’ente si è opportunamente
attrezzato in base a quanto previsto dal Titolo V, Capo II del Codice in materia di protezione dei dati personali e
dall’Allegato B dello stesso Codice.
In primo luogo occorre precisare che il Comune di Pieve di Cento tratta dati che si configurano sia come dati personali,
sia come dati sensibili, e ancora dati giudiziari in base all’interpretazione letterale del d.lgs. n. 196/2003. In secondo
luogo durante le sessioni formative ai dipendenti è presentato il disciplinare di utilizzo dei sistemi informativi approvato
con delibera di Giunta dell’Unione N. 19 del 29/06/2010 nel quale vengono fornite indicazioni a cui attenersi nel
trattamento dei dati nello svolgimento dei compiti assegnati. Sono stati, inoltre, definiti il responsabile del trattamento
dei dati, gli incaricati autorizzati a compiere specifiche operazioni e le procedure relative alla gestione dei dati stessi.
Tutti i dettagli del piano di sicurezza verranno approfonditi nei capitoli successivi.
________________________________________________________________________________________________________________________
02/06/17
9
3 Lo schema del piano di sicurezza di marzo 2011
Con questo documento si è provveduto a uniformare e a dare una coerenza complessiva al piano di sicurezza
dell’Unione e a quelli degli 8 comuni aderenti tra cui il Comune di Pieve di Cento. Questo in ragione del fatto che la
gestione centralizzata dei servizi informatici presuppone un’organizzazione e un’architettura unica per tutti i comuni.
Restano distinte quelle parti del documento in cui si tratta la gestione dei dati memorizzati su supporto non elettronico,
l’organizzazione logistica e l’assegnazione delle responsabilità legate al modello organizzativo dei singoli Enti (elenco
incaricati, elenco sedi, possessori delle chiavi, ecc.).
Si evidenzia che il presente documento recepisce anche il provvedimento del garante della privacy inerente
l’amministratore di sistema adottati con delibera di Giunta N. 47 del 15/12/2009 e con successive determinazioni
applicative.
L’intero lavoro è denominato DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI ai sensi del
d.lgs. n. 196/2003, ma si presenta come un vero e proprio PIANO DI SICUREZZA DELL’ENTE.
Il PIANO DI SICUREZZA DELL’ENTE prevede vari ambiti di analisi: sia da un punto di vista normativo che
organizzativo e si conclude con il Documento programmatico sulla sicurezza vero e proprio.
verifica degli adempimenti formali;
verifica degli adempimenti sostanziali;
piano formativo degli incaricati;
censimento delle banche dati trattati;
definizione e censimento di tutti i beni che rientrano nel piano di sicurezza dell’ente;
analisi organizzativa dell’ente;
analisi tecnologica dei dati elettronici:
a.
analisi ambientale;
b.
analisi del sistema di cablaggio;
c.
analisi dell’architettura LAN e WAN;
d.
analisi delle vulnerabilità interne e dell’accesso ai dati;
e.
analisi delle comunicazioni verso Internet;
f.
analisi dei servizi pubblicati sulla rete Internet.
analisi tecnologica dei dati cartacei:
g.
analisi ambientale;
________________________________________________________________________________________________________________________
02/06/17
10
h.
analisi delle vulnerabilità interne e dell’accesso ai dati.
Definizione dei livelli di criticità dei beni informatici preposti al trattamento dei dati elettronici
l’analisi dei rischi a cui possono essere soggetti i dati elettronici e i dati cartacei;
analisi dei sistemi di videosorveglianza;
Definizione di una politica di sicurezza dell’ente.
predisposizione di un Documento programmatico sulla sicurezza dei dati.
________________________________________________________________________________________________________________________
02/06/17
11
Verifica degli adempimenti formali
Dati residenti su elaboratori elettronici
Tavola 1: riepilogo adempimenti formali per dati residenti su elaboratori elettronici
Adempimenti formali
Persona fisica o giuridica
Modalità/conseguenze
interessata
Censimento delle banche dati.
Sistemi informativi e Comitato SIA
Espletata con il presente documento.
Non necessaria in quanto l’ente non
Notifica al garante
gestisce alcun dato di quelli previsti
all’art
37
comma
1
del
D.lgs.
196/2003
Identificazione
del
titolare
del Il Comune di Pieve di Cento nella
trattamento dei dati.
persona del legale rappresentante, il
Sindaco,
dr.
Sergio
Maccagnani,
affiancato dagli organi dell’ente, siano
essi la Giunta ed il Consiglio.
Identificazione del/dei responsabili del Eseguita
con
trattamento dei dati (colui che è responsabile
atti
di
nomina
trattamenti:
a Nomina per iscritto riconfermata con
Benati il presente atto.
preposto al trattamento dei dati e che è Antonella, Mantarro Antonella, Serra
soggetto alla vigilanza del titolare).
Pierangela, Tosi Fabrizio con decreti
del Sindaco in data 30/12/2010. La
loro nomina è confermata con il
presente atto
Amministratore
di
sistema
(è
il Emanuele
soggetto cui è conferito il compito di delibera
Tonelli,
di
sovrintendere alle risorse del sistema 15/12/2009
operativo di un elaboratore o di un organizzative,
Giunta
con
altri
nominato
N.
47
con Nominato per iscritto riconfermato
del con il presente atto
funzioni
operatori
del
sistema di base dati e di consentirne servizio nominati con determina CED
l’utilizzazione).
n. 55 del 15/12/2009
Auditor per attività amministratore di ____________, nominata con delibera Nominato per iscritto riconfermato
sistema
di Giunta N. ______ del _______
con il presente atto
________________________________________________________________________________________________________________________
02/06/17
12
Adempimenti formali
Persona fisica o giuridica
Modalità/conseguenze
interessata
Attività
di
auditing
eseguita
il
27/11/2010.
Auditor per il Comune di Pieve di
Cento è Tosi Fabrizio
Il custode delle chiavi - o password Non è previsto
(persona fisica che opera in costante
contatto con gli incaricati e che ha il
compito di custodire la password da
essi stabilita ed annotata in busta
chiusa conservata in armadio sotto
chiave).
Identificazione
(persona
fisica
degli
che
incaricati Tutti gli utenti definiti nel presente È tenuto ad operare secondo le
provvede documento.
quotidianamente al trattamento).
istruzioni e le direttive impartite in
forma
scritta
dal
titolare
e
dal
responsabile.
Interessato (è la persona fisica o Tutti coloro che vengono in contatto Deve dare l’assenso al trattamento dei
giuridica alla quale si riferiscono i diretto con l’ente
propri dati per iscritto
dati)
________________________________________________________________________________________________________________________
02/06/17
13
Verifica degli adempimenti sostanziali
Occorre innanzitutto ribadire la regola generale che vige all’interno dell’ente per ciò che concerne i dati elettronici, che
consiste nella comunicazione, avvenuta anche attraverso i corsi di formazione istituiti, a tutti gli incaricati del divieto di
archiviare alcun tipo di dato sul proprio posto di lavoro/personal computer, pena l’acquisizione della piena
responsabilità del trattamento di quei dati e le relative conseguenze civili e penali in capo all’incaricato/responsabile in
caso di perdita e trafugamento dei dati medesimi.
Nel d.lgs. n. 196/2003 il legislatore richiede di adottare misure idonee volte a garantire la sicurezza e l’integrità dei dati:
è opinione corrente della giurisprudenza che si debba intendere che tali misure siano scelte in relazione alle conoscenze
acquisite in base al progresso tecnologico. Di conseguenza, per rispettare la normativa in vigore, è necessario
aggiornarsi continuamente alle più recenti misure di protezione degli archivi di dati che siano rese disponibili dal
produttore o dal mercato nel suo complesso.
Il d.lgs. n. 196/2003, Allegato B richiede di adottare misure minime che non si limitano alla protezione in senso tecnico
dei sistemi informatici, ma si estendono: alla predisposizione di impianti antincendio che prevengano la distruzione di
archivi, alla trasmissione degli stessi a società specializzate per l’archiviazione in armadi protetti, alla pianificazione di
regole interne per la disciplina del comportamento degli incaricati (es. non attaccare memo di carta riportanti la
password sul monitor del PC), ecc.
Si prende atto che l’ente dichiara di essere in linea con quanto previsto dalla normativa: di seguito si riepilogano le
azioni poste in essere.
________________________________________________________________________________________________________________________
02/06/17
14
Adempimenti sostanziali dati elettronici
Tavola 2 : riepilogo adempimenti sostanziali per dati residenti su elaboratori elettronici
Adempimenti sostanziali
a)
Password per l’accesso ai dati con dovere per l’utente di cambiarla.
b) Emanuele Tonelli è nominato amministratore di sistema
c)
Uno user-id per ogni incaricato, user-id che deve essere cancellato entro tre mesi dal termine dell’incarico.
d) Programma antivirus sia lato server che lato personal computer che è aggiornato ogni volta che il produttore
rilascia la disponibilità di un aggiornamento. Il prodotto adottato è dato dalla suite Sophos.
e)
Sistema di sicurezza che prevenga l’azione degli hackers (pirati informatici), anti intrusione e volto ad evitare
accessi non autorizzati.
f)
Redazione del documento programmatico sulla sicurezza dei dati.
g) È stato approvato un disciplinare contenente le istruzioni per gli incaricati che comprende:
1.
Indicazioni nell’utilizzo della posta elettronica
2.
Indicazioni nell’utilizzo della navigazione internet
3.
Indicazione nell’utilizzo della postazione di lavoro, gestione della password, profilo di responsabilità
individuale
4.
Indicazione nell’utilizzo degli applicativi
5.
Le istruzioni per l’utilizzo dei supporti magnetici.
6.
Altre eventuali specifiche istruzioni.
h) Almeno una volta all’anno il titolare, o se designato, il responsabile, devono verificare la correttezza di tali
informazioni e, se necessario, provvedere alla loro modifica
________________________________________________________________________________________________________________________
02/06/17
15
Verifica degli adempimenti formali
Dati residenti su archivi cartacei
Tavola 3 : riepilogo adempimenti formali per dati residenti su archivi cartacei
Adempimenti formali
Persona fisica o giuridica
Modalità/conseguenze
interessata
Censimento delle banche dati.
Responsabili dei trattamenti
Espletata con il presente documento.
Notifica al garante
Identificazione
Non necessaria.
del
titolare
trattamento dei dati.
del Il Comune di Pieve di Cento nella
persona del legale rappresentante,
affiancato dagli organi dell’ente, siano
essi la Giunta ed il Consiglio
Identificazione del/dei responsabili del Eseguita
con
trattamento dei dati (colui che è responsabile
atti
di
nomina
trattamenti:
a Nomina per iscritto riconfermata con
Benati il presente atto.
preposto al trattamento dei dati e che è Antonella, Mantarro Antonella, Serra
soggetto alla vigilanza del titolare).
Pierangela, Tosi Fabrizio con decreti
del Sindaco in data 30/12/2010
La loro nomina è confermata con il
presente atto
Identificazione
(persona
fisica
degli
che
incaricati Tutti gli utenti definiti nel presente È tenuto ad operare secondo le
provvede documento.
quotidianamente al trattamento).
istruzioni e le direttive impartite in
forma
scritta
dal
titolare
e
dal
responsabile.
Interessato (è la persona fisica o Tutti coloro che vengono in contatto Deve dare l’assenso al trattamento dei
giuridica alla quale si riferiscono i diretto con l’ente
propri dati per iscritto
dati)
________________________________________________________________________________________________________________________
02/06/17
16
Adempimenti sostanziali dati cartacei
Tavola 4: riepilogo adempimenti sostanziali per dati residenti su archivi cartacei
Adempimenti sostanziali
a)
Definizione dei rapporti con i soggetti esterni che si configurano come responsabili del trattamento dei dati.
b) Almeno una volta all’anno il titolare, o se designato, il responsabile, devono verificare la correttezza di tali
informazioni e, se necessario, provvedere alla loro modifica.
________________________________________________________________________________________________________________________
02/06/17
17
Piano formativo degli incaricati: regola 19.6 dell’Allegato B al Codice
In ottemperanza all’Allegato B del “Codice in materia di protezione dei dati” sono previsti interventi formativi degli
incaricati del trattamento per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire
eventi dannosi, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal
titolare. La formazione è prevista a partire dal primo ingresso nell’ente e procede per l’intera vita lavorativa, divenendo
particolarmente significativa in occasioni di mutamenti di mansione e di introduzione di nuovi significativi strumenti ai
fini del trattamento dei dati.
Può non essere superfluo ricordare che un mirato e programmato processo di formazione favorisce una condivisione di
regole e valori che permettono all’ente di operare in condizioni di efficacia ed efficienza.
Il piano di formazione degli incaricati può riguardare tre diverse tipologie di utenti:
Utenti in pianta organica.
Neoassunti.
Utenti in revisione di incarico.
Utenti in pianta organica.
Per questa prima tipologia di utenti sono previsti due livelli di attività formativa:
1.
2.
una sessione iniziale volta a far apprendere le seguenti conoscenze:
lo spirito e i contenuti della legge;
le istruzioni impartite nel manuale degli incaricati;
le informazioni specifiche inerenti il trinomio incarico/profilo/unità-organizzativa o gruppo.
una sessione periodica di aggiornamento volta a spiegare:
le eventuali novità di legge;
le novità tecnologiche introdotte volte ad aumentare il livello di sicurezza secondo lo spirito
di “adeguamento tecnologico” suggerito dalla normativa.
Utenti neoassunti.
Per questa seconda tipologia di utenti sono previsti due livelli di attività formativa:
1.
una sessione iniziale prevista all’interno del percorso formativo del dipendente e da tenersi sotto la
________________________________________________________________________________________________________________________
02/06/17
18
responsabilità del dirigente di settore al quale afferisce il neoincaricato volta a far apprendere:
2.
lo spirito e i contenuti della legge;
le istruzioni impartite nel manuale degli incaricati;
le informazioni specifiche inerenti il trinomio incarico/profilo/unità-organizzativa o gruppo.
la partecipazione alle sessioni periodiche di aggiornamento (come sopra indicato).
Utenti in revisione di incarico
Per questa ultima tipologia di utenti sono previsti due livelli di attività formativa:
1.
una sessione iniziale prevista all’interno del percorso formativo del dipendente e da tenersi sotto la
responsabilità del dirigente di settore al quale afferisce il neoincaricato volta a far apprendere:
2.
le differenze nella gestione dei dati relative al nuovo incarico, rispetto al precedente;
istruzioni impartite nel manuale degli incaricati.
la partecipazione alle sessioni periodiche di aggiornamento (come sopra indicato).
Le modalità di erogazione dell’attività formativa possono avvenire attraverso lezioni frontali o dialogate in aula, nonché
attraverso le più moderne tecnologie di e-learning. Nel caso si scegliesse quest’ultima modalità, si consiglia di
prevedere una fase di verifica dell’apprendimento delle conoscenze e competenze oggetto del percorso formativo.
________________________________________________________________________________________________________________________
02/06/17
19
Tavola 5: piano di formazione degli utenti
Corso di formazione
Descrizione sintetica
Classi di
Numero di
Numero di
incarico
incaricati
incaricati già
interessate
interessati
formati/ da
Calendario
formare
nell'anno
Il nuovo Codice sulla
Iniziazione
al
sistema
Tutti i
Tutela dei dati
informativo
e
riassunto
gruppi
personali ed il
legislativo e spiegazione del
manuale utente
disciplinare con attività in
Tutti
Tutti
Previsti per la
seconda metà
del 2011
aula, presso le postazioni di
lavoro o tramite e-learning
Disciplinare uso
Al momento dell’assunzione
dei dipendenti viene inviato il
disciplinare
Data aggiornamento: 15/03/2011
________________________________________________________________________________________________________________________
02/06/17
20
Il censimento delle banche dati dell’ente
In questa sezione del documento censiamo tutti le banche dati, personali e sensibili che sono oggetto di trattamento
all’interno dell’ente.
Regola 19.1 dell’Allegato B al Codice: elenco dei trattamenti di dati personali, sensibili,
giudiziari.
________________________________________________________________________________________________________________________
02/06/17
21
Tavola 6 Elenco dei trattamenti: informazioni di base
IDENTIF.
NATURA
DEI STRUTTURA DI
STRUM.
BANCA
DATI
E
ALTRE STRUTTURE
TRATTA- DESCRIZIONE SINTETICA
DATI TRATTATI RIFERIMENTO/
UTILIZZAT APPLICATIVO
(anche esterne)
MENTO
sensibili/giudiziari
RESPONSABILE
I
SOFTWARE
Predisposizione di documenti finanziari relativi
alle
01
dinamiche
delle
voci
economiche,
Settore
Finanziario
patrimoniali e finanziarie di bilancio (bilanci,
SERRA
allegati, piano esecutivo di gestione/budget,
PIERANGELA
Personale altri settori/servizi + società cartacei/
incaricata manutenzione applicativa
elettronici
Oracle
conto consuntivo)
02
03
Contabilità Generale - fatture pssive,incassi,
pagamenti,ruoli coattivi
Contabilità Fiscale - accesso al credito, gestione
fonti finanziarie e impieghi
Settore
Sensibili
SERRA
PIERANGELA
Settore
Sensibili
Analisi dati finanziari
Personale altri settori/servizi + società cartacei/
Oracle + file inviati dalla
incaricata manutenzione applicativa
tesoreria
Finanziario
SERRA
Tutto il personale + Fiscalista esterno
PIERANGELA
Settore
04
Finanziario
Sensibili
Finanziario
SERRA
PIERANGELA
Raccolta e Gestione Delibere
Sensibili/Giudiziari
Generale/Direzione
TOSI FABRIZIO
cartacei/
elettronici
Tutto il personale + Fiscalista esterno + cartacei/
società manut.appl.
Segreteria
05
elettronici
Tutti gli altri settori dell'Ente
elettronici
cartacei/
elettronici
Oracle
Oracle
Oracle
________________________________________________________________________________________________________________________
02/06/17
22
Segreteria
06
Raccolta e Gestione Determine
Sensibili/Giudiziari
Generale/Direzione
Tutti gli altri settori dell'Ente
TOSI FABRIZIO
07
Elenchi Composizione Consiglio e Giunta Raccolte richieste e loro evasione
Segreteria
Sensibili/Giudiziari
Generale/Direzione
Partito di appartenenza
TOSI FABRIZIO
Segreteria
08
Archivio Albo dei beneficiari ex DPR 118/2000
Sensibili
09
del
contenzioso
in
sede
legale/civile/amministratva
Archivio degli amministratori + Archivio Generale Sensibili/Giudiziari
elettronici
TOSI FABRIZIO
cartacei/
Generale/Direzione
elettronici
TOSI FABRIZIO
Appalti e contratti - Gestione e controllo dei
11
requisiti di persone fisiche o giuridiche per Casellario Giudiziale
l'aggiudicazione di appalti e concessioni in base carichi pendenti
alla normativa vigente
Segreteria
Generale/Direzione
TOSI FABRIZIO
elettronici
cartacei/
Generale/Direzione
Segreteria
10
cartacei/
elettronici
Segreteria
Sensibili/Giudiziari
elettronici
cartacei/
Generale/Direzione
TOSI FABRIZIO
Archivio
cartacei/
Tribunale
Oracle
File
File
File
File
cartacei/
elettronici
________________________________________________________________________________________________________________________
02/06/17
23
Ordinanze
12
e
decreti(loro
numerazione
e
raccolta), cessione fabbricati, anagrafe canina,
Segreteria
abusi edilizi (inserimento e aggiornamento, Sensibili
Generale/Direzione
registro albo pretorio, registro notifiche, gestione
TOSI FABRIZIO
cartacei/
elettronici
cimiteri
Segreteria
13
Protocollo Generale
Sensibili/Giudiziari
cartacei/
Generale/Direzione
elettronici
TOSI FABRIZIO
Assegno
14
Maternità,
nucleo
Oracle
Settore Servizi alla
familiare,
associazionismo e volontariato, osservatorio dei Sensibili
bisogni, piano di zona, cultura e sport, biblioteca,
Persona
cartacei/
BENATI
elettronici
Tabelle Word, Excel, Access
ANTONELLA
Certificazione medica
Podologia, supporto genitori, tematiche femminili, riguardante
la
servizi socio-assistenziali, interventi disabili, situazione di disabilità, Settore Servizi alla
15
interventi assistenziali diversi, interventi di documenti
relativi Persona
integrazione multietnica,interventi di tutela, RMI- all'eventuale
BENATI
Altri
Settori
competente
dell'Ente
+
medico cartacei/
elettronici
Tabelle Word, Excel, Access
ISEE, inserimenti e formazione lavorativa, situazione di disagio ANTONELLA
contributi e
psico-sociale,
sanitario, familiare.
________________________________________________________________________________________________________________________
02/06/17
24
Vendita
alloggi
di
edilizia
residenziale
pubblica in base al
16
Piano di vendita
vigente
paino
di
vendita adottato ai
sensi
della
legge
Settore Servizi alla
Persona
BENATI
Altri Settori dell'Ente
cartaceo
Tabelle Word, Excel, Access
Medico competente
cartaceo
Tabelle Word, Excel, Access
Medico Competente/Autorità Giudiziaria
cartaceo
Tabelle Word, Excel, Access
ANTONELLA
560/93
Settore Servizi alla
Certificazione
17
Utenti refezione scolastica con diete
sanitaria culti religiosi
e ministro di culto
Persona
BENATI
ANTONELLA
Certificazione medica
18
Richiedenti riduzione rette scolastiche
attestante
la Settore Servizi alla
situazione
di Persona
disabilità/provvedimen BENATI
ti
dell'autorità ANTONELLA
giudiziaria
Registro Carte d'identità, validazione codice
fiscale, anagrafe popolazione residente e AIRE,
19
lista di leva, gestione elenco rilevatori, famiglie Sensibili
estratte campioni per ISTAT, cartella consulenti,
fascicoli gare, indagini e rilevazioni ISTAT
Settore
Servizi
Amministrativi
-
Servizi Demografici
ISTAT
cartacei/
elettronici
Oracle
TOSI FABRIZIO
________________________________________________________________________________________________________________________
02/06/17
25
Settore
20
Servizi
Sensibili/Tipologia di Amministrativi
Polizia Mortuaria
sepoltura
-
Servizi Demografici
Altro Ente
cartacei/
elettronici
TOSI FABRIZIO
Settore
21
Elettorato attivo e passivo, albi presidenti e
scrutatori
Giudiziari
Servizi
Amministrativi
- Cause ostative all'elettorato/partito di cartacei/
Servizi Demografici appartenenza
elettronici
Oracle
TOSI FABRIZIO
Settore
22
Registri di stato civile
Sensibili/Giudiziari
Servizi
Amministrativi
- Cambiamento di sesso, culti religiosi e
Servizi Demografici ministro di culto
cartaceo
Oracle
TOSI FABRIZIO
Settore
23
Servizi
Sensibili/certificazione Amministrativi
Contrassegni Portatori Handicap
medica
-
Servizi Demografici
Medico competente
cartaceo
TOSI FABRIZIO
24
Deposito certificazioni, messa a norma impianti,
Settore
pratiche
Programmazione
edilizie
ed
urbanistiche,
cartello
segnaletico di passo carrabile, certificazioni
amministrative, concessione per le occupazioni
Sensibili/Giudiziari
Gestione
Territorio
di suolo pubblico, ascensori e montacarichi,
ANTONELLA
commissione qualità arc
MANTARRO
e
del Tutti gli altri settori dell'Ente - Polizia cartacei/
- Municipale - ARPA
elettronici
________________________________________________________________________________________________________________________
02/06/17
26
Settore
Programmazione
25
Tutela della salute dei lavoratori
Gestione
Sensibili/Giudiziari
e
del
Territorio
Medico competente - INPS - INAIL
cartacei/
elettronici
File
ANTONELLA
MANTARRO
Settore
Programmazione
Appalti - controllo dei requisiti delle società,
26
Gestione
imprese e consorzi per la verifica della regolarità Giudiziari
e
del
Territorio
gestionale
Casellario Giudiziale carichi pendenti
cartacei/
elettronici
File
ANTONELLA
MANTARRO
Settore
Dati
27
Abbattimento Barriere architettoniche
attinenti
condizione
la
socio-
sanitaria del disabile
Programmazione
Gestione
Territorio
e
del
Medico competente
cartaceo
ANTONELLA
MANTARRO
________________________________________________________________________________________________________________________
02/06/17
27
Tavola 7 Elenco dei trattamenti: cessioni a terzi di dati
NATURA
DESCRIZIONE SINTETICA
DEI
SOGGETTO
ALTRE STRUTTURE STRUM.
TERZO
(anche esterne)
DATI TRATTATI
UTILIZZATI
sensibili/giudiziari
Si tratta perlopiù
Medico
Unione
di dati personali, a
Gestione
del
personale
-
(D.Lgs.626), INPDAP,
Galliera Settore
volte
assunzioni,
di
dati
mobilità,
Ragioneria
sensibili forniti sia
su
richiesta
sia
lavoro
-
rapporto
di Inserimento
SERVIZIO
ASSOCIATO
spontaneamente
del
Generale cartacei/
Risorse Umane -
cessazioni, concorsi .
Gestione
competente
Reno
Stato, elettronici
Dipartimento
Funz.
Pubbl.
dei
Medico
inserimento dati personali o
competente
(D.Lgs.626), INPDAP,
Unione
anagrafiche su software di sensibili
dello
Reno
in
Ragioneria
Generale
Galliera Settore
controllo presenze, denunce relazione
alle
dello
Stato, cartacei/
Dipartimento
Funz. elettronici
Risorse Umane periodiche (Mod.770, CUD), varie
infortuni sul lavoro, gestione modificazioni
rapporto
personale
o
comune specificazioni del
con unione
SERVIZIO
Pubbl. , Agenzia delle
ASSOCIATO
Entrate,
rapporto di lavoro
Gestione
del
rapporto
lavoro:
inserimento
Ministero
delle Finanze
di
Medico
dati
competente
(D.Lgs.626), INPDAP,
Unione
Reno
relativi al rapporto di lavoro e
Ragioneria
Generale
Galliera Settore
ai relativi riflessi economici
Giudiziari
(retribuzioni,
compensi
indennità,
vari,
recuperi
stipendiali, aspettative, part-
dello
Stato, cartacei/
Dipartimento
Funz. elettronici
Risorse Umane SERVIZIO
Pubbl. , Agenzia delle
ASSOCIATO
Entrate,
time
Ministero
delle Finanze
Unione
Reno
Consultazione Bilanci degli
Galliera Settore Servizi
Enti per controllo imputazioni
Risorse Umane - Comuni
contabili voci di paga
SERVIZIO
Finanziari
dell'Unione Elettronici
RG
ASSOCIATO
Unione
Gestione
Reno
Anagrafica
Galliera Settore
trasgressori e responsabili in
Polizia
solido
relativi
ai
verbali Sensibili
Cartaceo
Municipale
Codice della Strada e altre
sanzioni amministrative .
SERVIZIO
ASSOCIATO
-
Gestione notizie di reato, atti
giudiziari, incidenti stradali,
Unione
cessioni
fabbricato,
Galliera Settore
anagrafici,
Polizia
di
accertamenti
accertamenti
Reno
commerciali, Sensibili/Giudiziar Municipale
+
occupazioni suolo pubblico, i
SUAP
edilizia, accertamenti sanitari,
Gestione COSAP
accesso
-
ai
documenti
amministrativi,attività
cartacei/
per
elettronici
SERVIZIO
ASSOCIATO
sanzionato
Unione
Reno
Galliera Settore
Sistemi
cartacei/
Informativi-
elettronici
Richieste di Help Desk
SERVIZIO
ASSOCIATO
Unione
Reno
Galliera Settore
Sistemi
Directory Utenti
elettronico
InformativiSERVIZIO
ASSOCIATO
Unione
Reno
Galliera Settore
SIT
Sistemi
Uffici
Informativi-
Tributi
Tecnici/Uffici cartacei/
Sensibili
SERVIZIO
ASSOCIATO
elettronici
Il censimento dei beni che rientrano nel piano di sicurezza
In questa sezione del documento censiamo tutti gli strumenti informatici che hanno una qualche interferenza con il
piano di sicurezza dell’ente e che contengono delle banche dati. In primo luogo presentiamo l’elenco delle sedi
interessate dal progetto.
Tavola 8 riepilogo delle sedi dell’ente
Progressivo
1.
2.
3.
Denominazione sede
Tipo di collegamento
Sede Municipale
Lepida
Piazza A.Costa, 17 – Pieve di Cento
Ufficio Tecnico –
Lepida
Via Borgo Vecchio, 1 – Pieve di Cento
Biblioteca -
Lepida
Piazza A.Costa, 10 – Pieve di Cento
Data di aggiornamento: 15/03/2011
Di seguito presentiamo l’elenco dei beni informatici che sono atti a contenere banche dati o a permetterne in un
qualunque modo l’utilizzo.
Nel presente documento si farà riferimento anche al Servizio Informatico Associato dell’Unione Reno Galliera, sito
presso il Municipio di Argelato, Via Argelati 4.
Tavola 9 Riepilogo del censimento dei beni informatici che rientrano nel piano di sicurezza dell’ente
Tavola 10 - Elenco server fisici, aggiornato al 28/02/2011,(indirizzi IP non sono dettagliati per motivi di
sicurezza)
Num
server
IP
Descrizione
SO
Luogo /armadio
RG-FARM
Armadio 1
RG-FARM
Armadio 1
RG-FARM
Armadio 1
RG-FARM
Armadio 1
RG-FARM
Armadio 1
RG-FARM
Armadio 1
RG-FARM
Armadio 1
RG-FARM
Armadio 2
RG-FARM
Armadio 2
1
antispam
antispam appliance
Sonic
2
NetApp_1
storage NetApp testa 1
Ontap
3
NetApp_3
storage NetApp testa 2
Ontap
4
hvml-i11
linux
5
xen013
vmware (asp + lettura
marcatempo)
xen server pool 2
6
xen010
xen server pool 2
xen
7
vmwaredmz1
host vmware dmz
linux
8
xenfr01
xen server pool 1
xen
9
xen015
xen server pool 2
xen
xen
Pool
XEN
pool 2
pool 2
pool 1
pool 2
10
xenplt01
xen server pool 1
xen
11
xenplt02
xen server pool 1
xen
12
xenfr01
xen server pool 2
xen
13
xen019
xen server pool 2
xen
14
rgsrv042
backup server
win
15
rgsrv040
backup server
win
16
hvml-i12
linux
17
rgced041
disco J + backup vmware
i11
archivio posta
18
xen190
xen server posta
xen
19
rgced043
win
20
rgdmz06
disco L: + macchina backup
posta
server PM Auto attrezzata
21
22
23
pc-centralino
cmxen008
w2003-srv
linux
xen
win
24
w2003-srv3
win
CM Amendola
25
26
win
win
CM Piazza Pace
RG-PM
win
RG-PM
Videosorveglianza server 2
win
RG-PM
Videosorveglianza server 3
win
RG-PM
Videosorveglianza server 4
win
RG-PM
31
fax-cm
Server_Master_
Windows_2003
Server_1_Windo
ws_2003
Server_2_Windo
ws_2003
Server_3_Windo
ws_2003
Server_4_Windo
ws_2003
server video CM
server gestione centralino
Server Xen
Application Server e DB
Sicra
Application Server
Datagraph, Domino2
Fax server
Videosorveglianza server
master
Videosorveglianza server 1
RG-FARM
Armadio 2
RG-FARM
Armadio 2
RG-FARM
Armadio 2
RG-FARM
Armadio 2
RG-FARM
Armadio 2
RG-FARM
Armadio 2
RG-FARM
Armadio 2
RG-FARM
Armadio 3
RG-FARM
Armadio 3
RG-FARM
Armadio 3
RG-FARM
minitower
PC saletta server
CM Amendola
CM Amendola
win
32
Host_Linux
CM Amendola
PM
SP saletta server
33
xencmbib
Videosorveglianza Castel
Maggiore
Host vmware SP Halley
Messi
Host Xen per sunray
27
28
29
30
win
win
linux
linux
pool 1
pool 1
pool 2
pool 2
RG-FARM -->
biblio cm
Tavola 11 - Elenco server virtuali, aggiornato al 28/02/2011, ( indirizzi IP non sono dettagliati per motivi di
sicurezza)
Nu
m
Nome
1
2
3
4
ctx04
ctx05
ctx06
ctx07
IP
Descrizione
SO
Host / Pool
server Citrix XenApp
server Citrix XenApp
server Citrix XenApp
server Citrix XenApp
Win srv 2003
Win srv 2003
Win srv 2003
Win srv 2003
RGPool1
RGPool1
RGPool1
RGPool1
5
6
7
8
9
10
11
12
13
ADSDBPC
ADSDBSG
ADSDBSG
ADSDBAR
ADSDBBE
ADSDBSP
gvmwrgdomain2
cargile
gvml-jb
14
15
16
17
18
RGSRV081
RGSRV082
sapignoli
W2K-SRV2
oraclesoftech
19
20
gvmw-ctxweb
gaced102
21
22
23
24
26
27
28
29
hobbit
hobbitlog
wifibiblio
rgdmz020
ARFINCBO
SGFINCBO
SPFINCBO
serverweb
30
31
32
webiis
CTX03
gvmwapp
37
38
xjcprox2
jsign
39
40
41
42
43
44
45
46
47
48
49
50
51
52
gvmwrgdomain
Webmail
mailtest
BEAMMPRC
SGAMMPRT
PCAMMPRT
SPAMMPRT
ARAMMPRT
CAAMMPRT
CMAMMPRT
GAAMMPRT
contab4
Intranet
revproxy
53
54
dbasp
servercart
55
Server_Notes_
server Orcale ADS Pieve
server Orcale ADS san Giorgio
server Orcale ADS Reno Galliera
server Orcale ADS Argelato
server Orcale ADS Bentivoglio
server Orcale ADS San Pietro
Domain Controller 2, Antivirus
Linux
Linux
Linux
Linux
Linux
Linux
Win
RGPool1
RGPool1
RGPool1
RGPool1
RGPool1
RGPool1
RGPool1
database server Argile Kibernetes
Applicatione server Jboss garsia
We
Server lotus SP CED
SQL 2005 Express
Database server appl. Oracle PM
Concilia PM CM (server SQL)
Database server appl. Oracle Asp,
SP, RG
Licenze Citrix. DB SQL
server Gallliera Serpico e
immagini Pindaro
Monitoraggio rete
log antispam
server hot spot biblioteche
dns esterno per wirega
Business Object Argelato
Business Object San Giorgio
Business Object San Pietro
oneri (web e dati), infoweb, trib.
CM , Anagr. CM
Citrix Gatway esterno
server Citrix XenApp
Application server ADS
Demografici
proxy navigazione web
controllo firma digitale su
applicazioni ads
domain controller
Linux
Linux
RGPool1
RGPool1
Win
Win
Win
Win
Linux
RGPool1
RGPool1
RGPool1
RGPool1
RGPool1
Win
RGPool1
RGPool1
Linux
Linux
Linux
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
Win XP
Win XP
Win XP
web mail di produzione
mailtest
Porta Comnunicazione SAIA BE
Porta Comnunicazione SAIA SG
Porta Comnunicazione SAIA PC
Porta Comnunicazione SAIA SP
Porta Comnunicazione SAIA AR
Porta Comnunicazione SAIA CA
Porta Comnunicazione SAIA CM
Porta Comnunicazione SAIA GA
Contabilità Argile nuova
Server Plone di produzione
reverse proxy (usato da tutte le applicazioni
pubbliche)
database asp
Linux
server cartellini (collegamento
Windows
marcatempo)
server messi Halley
win
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
xen 190
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
RGPool2
vmwaredmz1
hvml-i11
hvml-i11
Host_Linux
56
57
58
59
60
Windows_200
0
server sunray
W2K-SRVTS1
CMVXP076
VPX01
W2K-SRV
(Domino)
in corso di realizzazione
(cambierà IP)
DB Softech
linux
PC per biblioteca
PC per biblioteca
server Domino CM
win xp
win xp
Win
xencmbib
cmxen008
cmxen008
cmxen008
cmxen008
Apparati di
rete
Firewall
Firewall backup
marca
Sonicwall
4060
Sonicwall
4060
O.S.
Servizio
Per gestione CED e comune di Argelato
(tutte le VPN)
Servizi di gestione
Servizi di gestione
Firewall Pieve
Firewall
Cisco
Servizi di gestione
Switch
Varie
Servizi di gestione
Analisi organizzativa dell’ente
Figura 10 L’organigramma del Comune di Pieve di Cento
Da una semplice lettura si può comprendere chi nell’organizzazione del Comune di Pieve di Cento, con la sua attività e
con le sue decisioni, può influire sulla sicurezza nella gestione dei dati. Tali persone sono state oggetto di percorsi di
motivazione e di processi formativi, circa l’argomento.
Presentiamo a questo punto l’elenco degli incaricati, il gruppo di appartenenza ed il profilo ad essi associato.
Tavola 12 riepilogo degli incaricati – per sede rif.tav.8
COGNOME
NOME
SERVIZIO
Comunicazione,
TOSI
Fabrizio
Tiberio
Antonella
Claudio
Enrico
Anna
Maria
Lucia
Patrizia
Roberta
centralino
Marta
Anna
Giliola
Cristina
Sede Municipale
Normale
Sede Municipale
Normale
Sede Municipale
Normale
Sede Municipale
Normale
Sede Municipale
Normale
Sede Municipale
Normale
Sede Municipale
Alto
Sede Municipale
Normale
Sede Municipale
Normale
Tributi
Finanziario Personale -
FILIPPINI
Normale
Tributi
Finanziario Personale -
FANTONI
Sede Municipale
Cultura, Sviluppo locale
Finanziario Personale -
DINELLI
Normale
Cultura, Sviluppo locale
Comunicazione,
ZIOSI
Sede Municipale
Cultura, Sviluppo locale
Comunicazione,
UFFICIO URP
Normale
Cultura, Sviluppo locale
Comunicazione,
FREGONESE
Sede Municipale
Cultura, Sviluppo locale
Comunicazione,
BALBONI
Normale
Cultura, Sviluppo locale
Comunicazione,
GASPERONI
Sede Municipale
Cultura, Sviluppo locale
Comunicazione,
TASINI
Normale
Cultura, Sviluppo locale
Comunicazione,
TADDIA
Sede Municipale
Cultura, Sviluppo locale
Comunicazione,
TADDIA
Alto
Cultura, Sviluppo locale
Comunicazione,
CAVICCHI
Sede Municipale
Cultura, Sviluppo locale
Comunicazione,
CARLETTI
PROFILO
Cultura, Sviluppo locale
Comunicazione,
ARTIOLI
SEDE
Tributi
________________________________________________________________________________________________________________________
02/06/17
36
Finanziario Personale GOTTI
Silvia
Annalisa
Sede Municipale
Normale
Tributi
Finanziario Personale -
SERRA
Pierangela
Tributi
BORSARI
Luca
Amministratori
Mario
Normale
Tributi
Finanziario Personale -
GOVONI
Sede Municipale
Segretario
Segretario
Generale
CRISO
PC BE SP
Direzione Generale
PIRANI
Alessandro
Amministratori
SINDACO
Sede Municipale
Alto
Sede Municipale
Normale
Sede Municipale
Normale
Sede Municipale
Normale
Sede Municipale
Normale
MACCAGNANI
SERGIO
Amministratori
BALBONI
Laura
Servizi alla Persona
Sede Municipale
Normale
BELTRAMI
Eleonora
Servizi alla Persona
Sede Municipale
Normale
BENATI
Antonella
Servizi alla Persona
BORGATTI
Carla
Servizi alla Persona
Sede Municipale
Normale
BUSI
Maria
Servizi alla Persona
Sede Municipale
Normale
DURANTI
Oreste
Servizi alla Persona
Sede Municipale
Normale
MANICARDI
Paola
Servizi alla Persona
Sede Municipale
Normale
PARMEGGIANI
Gloria
Servizi alla Persona
Sede Municipale
Normale
MANTARRO
Antonella
Territorio
GOVONI
Fabrizio
Territorio
Sede Municipale
Normale
LAMBERTI
Angela
Territorio
Sede Municipale
Normale
CAMPANINI
Anna
Territorio
Sede Municipale
Normale
TADDIA
Luciano
Territorio
Sede Municipale
Normale
VOLONNINO
Michela
Territorio
Sede Municipale
Normale
BACCILIERI
Diego
Servizi alla Persona
Sede Municipale
Normale
Sede Municipale
Sede Municipale
Alto
Alto
Data di aggiornamento 15/03/2011
________________________________________________________________________________________________________________________
02/06/17
37
Tavola 13: riepilogo dei profili
GRUPPO
Tutti i gruppi
PROFILO
Normale
CARATTERISTICHE DEL PROFILO
Sono consentite tutte e sole le operazioni di
lettura e scrittura dei dati (quindi di modifica)
per
l’ordinario
svolgimento
della
propria
mansione
Tutti i gruppi
Minimo
Sono consentite tutte e sole le operazioni di
lettura per l’ordinario svolgimento della propria
mansione
Tutti i gruppi
Alto
Sono consentite tutte e sole le operazioni di
lettura e scrittura (quindi di modifica) per
l’ordinario svolgimento della propria mansione
e la possibilità di modificare i diritti degli altri
membri del gruppo
________________________________________________________________________________________________________________________
02/06/17
38
Rapporti con professionisti ed incaricati non dipendenti dell’ente
Allo scopo di assicurare il rispetto del codice sulla tutela dei dati personali, anche coloro che entrano in qualche modo
in rapporto con l’ente senza diventarne dipendenti a tempo indeterminato, sono tenuti ad un comportamento corretto.
Per essere sicuri di ciò, il comune, nella sottoscrizione dell’incarico, ha aggiunto i seguenti punti:
L’incaricato è autorizzato ad intervenire sui dati e sui sistemi informativi gestiti dal comune solo con atti
strettamente necessari alla prestazione dei servizi oggetto di contratto, ed è fatto esplicito divieto di consultare,
copiare, cancellare e fare qualunque operazione sui dati oggetto di trattamento, a meno di diversa autorizzazione
scritta da parte del responsabile del trattamento dei dati.
Il titolare si riserva di fare controlli sull’operato del responsabile esterno in qualunque momento e con qualunque
mezzo consentito dalla legge.
Il soggetto cui le attività sono affidate dichiara:
o
di essere consapevole che i dati che tratterà nell'espletamento dell'incarico ricevuto, possono essere
dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati
personali;
o
di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali;
o
di adottare le istruzioni specifiche ricevute per il trattamento dei dati personali attraverso il manuale
degli incaricati;
o
di impegnarsi a relazionare ogni volta che è reputato necessario sulle misure di sicurezza adottate e di
allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze;
o
di riconoscere il diritto del committente a verifìcare periodicamente l'applicazione delle norme di
sicurezza adottate.
Le suddette dichiarazioni sono oggetto di specifica firma di accettazione da parte dell’incaricato.
________________________________________________________________________________________________________________________
02/06/17
39
Distribuzione dei compiti e delle responsabilità (regola 19.2 dell’Allegato B al Codice)
In questa sezione è costruita una mappa che associa ad ogni struttura (o reparto, dipartimento, ufficio) i trattamenti da
questa effettuati, descrivendo sinteticamente l'organizzazione della struttura medesima e le relative responsabilità. Ci si
può riferire anche ad analoghe documentazioni già predisposte dal titolare (ordinamenti, ordini di servizio, regolamenti
interni.
________________________________________________________________________________________________________________________
02/06/17
40
Tavola 14 distribuzione dei compiti e delle responsabilità (i riferimenti ai trattamenti sono quelli della tavola 6)
Settore
Responsabile
Trattamenti operati
Compiti della struttura
dalla struttura
Segreteria
Tosi Fabrizio
Generale/Direzione/Demog
–
05,06,07,08,09,10,11,12,
Acquisizione
caricamento
e
13,19,20,21,22,23
cancellazione dati – consultazione –
comunicazione a terzi – stampa
rafici
Finanziario
Serra Pierangela
01,02,03,04,
Acquisizione
–
caricamento
e
cancellazione dati – consultazione –
comunicazione a terzi – stampa
Servizi alla Persona
Benati Antonella
14,15,16,17,18,
Acquisizione
–
caricamento
e
cancellazione dati – consultazione –
comunicazione a terzi – stampa
Programmazione
Sviluppo
e
Mantarro Antonella
24,25,26,27
Acquisizione
–
caricamento
e
cancellazione dati – consultazione
Territorio/
tecnico
Data di aggiornamento 15/03/2011
________________________________________________________________________________________________________________________
02/06/17
41
L’accesso alle strutture fisiche dell’ente
Vogliamo ora mettere in evidenza chi ha le “chiavi” per poter accedere alle strutture dell’ente: lo facciamo con la
seguente tabella riepilogativa.
Tavola 15: assegnazione delle chiavi di accesso ai locali dell’ente
COGNOME
NOME
SERVIZIO
STRUTTURA DI CUI SI
POSSIEDE LA CHIAVE
DI ACCESSO
Comunicazione,
TOSI
Fabrizio
Sviluppo locale
Comunicazione,
ARTIOLI
Tiberio
Antonella
Claudio
Enrico
Anna
Maria
Lucia
Patrizia
Roberta
Cultura,
Ingresso e Uffici
Cultura,
Ingresso e Uffici
Cultura,
Ingresso
e
Uffici
-
Pinacoteca
Cultura,
Ingresso e Uffici
Cultura,
Sviluppo locale
Comunicazione,
FREGONESE
Ingresso e Uffici
Sviluppo locale
Comunicazione,
BALBONI
Cultura,
Sviluppo locale
Comunicazione,
GASPERONI
Ingresso e Uffici
Sviluppo locale
Comunicazione,
TASINI
Cultura,
Sviluppo locale
Comunicazione,
TADDIA
Ingresso e Uffici Teatro
Sviluppo locale
Comunicazione,
TADDIA
Cultura,
Sviluppo locale
Comunicazione,
CAVICCHI
Ingresso e Uffici
Sviluppo locale
Comunicazione,
CARLETTI
Cultura,
Ingresso e Uffici
Cultura,
Sviluppo locale
Ingresso e Uffici
Chiavi dei piani e copie
Comunicazione,
UFFICIO URP
centralino
Cultura,
Sviluppo locale
Comunicazione,
di tutte le chiavi eslcuso
UT
Cultura,
ZIOSI
Marta
Sviluppo locale
Ingresso e Uffici
TONI
Federico
Direzione Tracce Teatro
BARBIERI
Maria Elena
collaboratore Tracce
ingresso
DAL POZZO
Luca
collaboratore teatro
Ingresso e Ufficio Urp
________________________________________________________________________________________________________________________
02/06/17
42
Finanziario - Personale DINELLI
Anna
Tributi
Ingresso e Uffici
Finanziario - Personale FANTONI
Giliola
Tributi
Ingresso e Uffici
Finanziario - Personale FILIPPINI
Cristina
Tributi
Ingresso e Uffici
Finanziario - Personale GOTTI
Silvia
Tributi
Ingresso e Uffici
Finanziario - Personale GOVONI
Annalisa
Tributi
Ingresso e Uffici
Finanziario - Personale SERRA
Pierangela
Tributi
Ingresso e Uffici
BORSARI
Luca
Amministratori
Ingresso
Mario Segretario
Segretario
CRISO
PC BE SP
Direzione Generale
Ingresso
PIRANI
Alessandro
Amministratori
Ingresso
MACCAGNANI
SERGIO
Amministratori
Ingresso
BACCILIERI
Diego
Servizi alla Persona
Ingresso e Uffici
BALBONI
Laura
Servizi alla Persona
Ingresso
BELTRAMI
Eleonora
Servizi alla Persona
Ingresso e Uffici
BENATI
Antonella
Servizi alla Persona
Ingresso e Uffici
BORGATTI
Carla
Servizi alla Persona
Ingresso e Uffici
BUSI
Maria
Servizi alla Persona
Ingresso e Uffici
DURANTI
Oreste
Servizi alla Persona
Ingresso e Uffici
MANICARDI
Paola
Servizi alla Persona
Ingresso e Uffici
PARMEGGIANI
Gloria
Servizi alla Persona
Ingresso e Uffici
MANTARRO
Antonella
Territorio
Ingresso e Uffici
GOVONI
Fabrizio
Territorio
Ingresso e Uffici
LAMBERTI
Angela
Territorio
Ingresso e Uffici
CAMPANINI
Anna
Territorio
Ingresso e Uffici
VOLONNINO
Michela
Territorio
Ingresso e Uffici
TADDIA
Luciano
Territorio
Ingresso e Uffici
Generale-
SINDACO
Data di aggiornamento 15/03/2011
________________________________________________________________________________________________________________________
02/06/17
43
Analisi tecnologica dei dati elettronici
Presentiamo il disegno sintetico della rete del Comune di Pieve di Cento avente lo scopo di rappresentare a colpo
d’occhio la rete dell’ente per capirne i punti critici e porre in essere le analisi successive.
Lo schema generale della rete
________________________________________________________________________________________________________________________
02/06/17
44
172.16.131..x/24
172.16.133..x/24
172.16.152.x/24
IN
Cisco Pix 515E
100 Mbps
SG
(condivisa con SG)
100 Mbps
RG
FIBRA
FIBRA
172.18…xx/24
100 Mbps
FIBRA
GA
10.97.x.x/16
FIBRA
FIBRA
IN
FIREWALL
SonicWall
2040 E
FIBRA
OUT
FIBRA
100 Mbps
CM
OUT
FIBRA
LEPIDA
IN
SonicWall NSA
2400
FIREWALL
SonicWall
2040E
10.90.x.x/16
OUT
(condivisa con RG)
OUT
IN
Server
videosorveglianza
IN
OUT
SP
SEDE – CED ARGELATO
Router LePida
172.16.121..x/24
195.62.168.x /24
192.168.254.X /24
IN
Cisco PIX 515
OUT
2 Mbps
CA
.18
172.16.132.x/24
OUT
IN
FIREWALL
SonicWall
2040 E
DMZ
.17
.254
.1
FIREWALL
SonicWALL 4060
100 Mbps
OUT
BE
.253
REVERSE
PROXY
172.16.?..x/24
IN
Cisco PIX 515
OUT
PC
IN
172.20.X.X /16
172.16.130.X /24
IN
2 Mbps
Descrizione
RenoGalliera_WAN.ppt
Unione Reno Galliera
Figura 1: La WAN dell’Unione Reno Galliera
Data
Rif.
31/12/10
Dal punto di vista tecnologico il censimento dei beni da proteggere si identifica in un’attenta analisi della struttura
informativa nel suo complesso partendo dal mezzo fisico per arrivare al trasporto ed allo stoccaggio dei dati. L’analisi
sarà ripartita in sei aree di intervento:
Analisi ambientale.
Analisi del sistema di cablaggio.
Analisi dell’architettura LAN e WAN.
Analisi delle vulnerabilità interne e dell’accesso ai dati.
Analisi delle applicazioni.
Analisi delle comunicazioni verso Internet.
Analisi dei servizi pubblicati sulla rete Internet.
Analisi ambientale
Obiettivo di questa sezione è l’analisi dello stato dei dati informatizzati, con particolare riguardo all’ambiente di
ricovero degli stessi.
I dati sono tutti archiviati su server e nessuno di essi è presente sulle stazioni di lavoro PC dei singoli incaricati, se si
eccettuano quelli dei posti di lavoro non in rete con il municipio ed i portatili. Tutti i server sono, a loro volta, custoditi
nell’area CED.
L’area CED è ad accesso regolamentato e le persone autorizzate hanno accesso alla chiave della porta del CED stesso,
chiave custodita dagli incaricati nominati nel gruppo “sistemi informativi” (Emanuele Tonelli, Enzo Forni, Luca
Tolomelli, Enzo Monari, Maurizio Vallese, Monica Trentini, Arianna Centonze, Sara Orsini), una copia nell’ufficio
tecnico del comune di Argelato.
I locali CED, come tutto l’edificio comunale, sono protetti da sistema antifurto che entra in funzione automaticamente
dopo le ore 24 di ogni giorno.
Per prevenire fenomeni di autocombustioni o autospegnimento il locale in cui è situata la sala server è condizionato da
due impianti in grado di raffreddare il locale. Il primo è dedicato alla sala stessa, mentre il secondo è parte dell’impianto
del Comune di Argelato che ospita i locali. É programmata una temperatura fissa di 24 gradi massimi all’interno dello
stesso locale. Il sistema di condizionamento è ridondato, ed esiste un servizio di assistenza per l’impianto in grado di
garantire tempi di ripristino dell’ordine di 48 ore solari nel global service del Comune di Argelato (attualmente ditta
CPL Concordia).
________________________________________________________________________________________________________________________
02/06/17
47
Infine l’impianto elettrico del CED è a norma, ogni server è protetto da un gruppo di continuità in grado di assicurare
una autonomia complessiva all’impianto server di circa 15 minuti. Ogni UPS è collegato a due linee di alimentazioni
diverse e separate. Non è presente un gruppo elettrogeno.
Analisi del sistema di cablaggio
Tutto il cablaggio delle sedi è stato realizzato e certificato in categoria 5 enhanced: per gli stessi non è presente uno
specifico contratto di manutenzione, ma la ditta LGM, come sotto riportato, viene contattata al bisogno.
Gli armadi di cablaggio installati sono:
due armadi di cablaggio presso la vecchia sala server
8 armadi situati nei diversi punti della sede (vedere lo schema della LAN)
Analisi dell’architettura LAN/WAN
L’architettura di LAN della sede dell’Ente è basata su un backbone Gigabit Ethernet, alla quale sono connessi i server e
gli switch di piano, realizzata attraverso uno switch che offre anche la connettività fast ethernet verso:
gli armadi remoti;
gli switch di secondo livello che collegano tutta la periferia di personal computer e stampanti;
La struttura è comunque piuttosto semplice e si provvede alla manutenzione nel modo seguente:
1.
Il CED per tutta la parte di apparecchiature attive;
2.
il personale interno del CED con switch di ricambio ogni tanto disponibili nei locali del CED per le
sedi interessate dal progetto.
Le fibre ottiche collegano la sede dell’Unione con il comune di San Giorgio di Piano e sono installate e certificate da
Telea: la manutenzione relativa è affidata ad Acanto. La manutenzione del firewall dell’Unione è affidata a VEM
Sistemi.
La LAN della sala server si trova presso il comune di Argelato, il cablaggio è in categoria 5E oppure 6; ci sono 6 switch
Gigabit Ethernet e 2 due firewall in fault tolerance la cui manutenzione è affidata alla ditta System Service che fornisce
supporto anche sulla rete e sulle VPN che collegano il CED con i comuni e la sede dell’Unione.
All’architettura di rete geografica, basata essenzialmente sulla rete regionale e pubblica Lepida, l’ente ha affiancato una
connessione HDSL presso la sala server del CED e una ADSL presso la sede dell’Unione per un opportuno back-up
delle connessioni.
Provvedono alla manutenzione della WAN i seguenti fornitori:
________________________________________________________________________________________________________________________
02/06/17
48
1.
Lepida S.p.A.. per quello che riguarda le linee di comunicazione in fibra, tra i vari comuni linee per le quali è
fissato uno SLA (Service Level Agreement) di quattro ore massime per l’intervento;
2.
Acantho per le comunicazioni in fibra fra le sedi dell’Unione.
3.
Il CED per le apparecchiature di rete, per le quali è sempre disponibile una unità di spare pronta per la
sostituzione.
4.
TelecomItalia per quello che riguarda le linee telefoniche di comunicazione XDSL ed i relativi apparati di
interconnessione, per le quali è fissato uno SLA (Service Level Agreement) di 16 ore lavorative massime per
l’intervento;
5.
System Service per gli apparati di interconnessione di tipo firewall, per i quali è fissato uno SLA (Service
Level Agreement) di 4 ore lavorative massime per l’intervento;
Analisi delle vulnerabilità interne e dell’accesso ai dati
Specifichiamo ancora che in questa fase stiamo analizzando i dati archiviati su supporto informatico ed elettronico,
mentre per quelli di tipo cartaceo rimandiamo l’analisi ad un paragrafo successivo.
Come in precedenza sottolineato, tutti i dati gestiti dall’ente sono archiviati su server, anche le caselle di posta
elettronica dei singoli utenti, se si eccettuano i computer portatile: solo in modo transitorio possono lasciare traccia su di
un posto di lavoro, ma devono, una volta utilizzata e comunque a fine mansione essere ritrasferiti sul server e cancellati
dal posto di lavoro, pena l’assunzione da parte dell’operatore di tutte le responsabilità civili e penali derivanti dalla
normativa.
Diverso è il discorso per le sedi distaccate, nelle quali non è presente un server, nelle quali non sono presenti, come
detto precedentemente, alcun dato.
É importante qui sottolineare le regole di accesso ai dati da parte del personale dell’ente, che possono essere così
riepilogate:
1.
ogni dipendente ha diritto di accedere solamente ai dati che sono necessari per lo svolgimento delle proprie
mansioni;
2.
tutti i personal computer dell’ente hanno sistema operativo Windows XP, Windows 7 o Linux;
3.
ogni dipendente ha uno username, valido finché ha rapporti con l’ente, per l’accesso alla rete dell’ente stesso:
lo username permette l’accesso alla rete Windows 200X, che è la base per l’accesso ai dati, e fornisce le
credenziali anche per l’accesso ai file server. I server basati su altri sistemi operativi, o le specifiche
applicazioni, come la posta elettronica o il software gestionale, richiedono di ridigitare specifici username e
password. Viceversa l’accesso ad Internet non è regolamentato da uno username specifico in quanto basato su
transparent proxy;
4.
ad ogni username è associata una password per l’accesso ai server la cui scadenza è fissata in 90 giorni. I
________________________________________________________________________________________________________________________
02/06/17
49
server Windows hanno la password a scadenza, mentre per le singole applicazioni deve essere il singolo utente
che provvede in autonomia al cambio della password ogni 90 giorni;
5.
in caso di assenza dell’utente, se è necessario accendere la sua stazione di lavoro per condividere la stampante
collegata, basta accendere la macchina, la quale viene poi lasciata al Ctrl/Alt/Canc, stato sufficiente per la
condivisione della stampante.
Da quanto riassunto si può quindi evincere che l’ente si è dotato di un sistema che offre un buon livello di sicurezza
nell’accesso ai dati. E’ fatto comunque divieto a chiunque di portare all’esterno dati gestiti dal proprio servizio di
appartenenza, sotto una qualunque forma, ad eccezione dei casi autorizzati previsti dal manuale di istruzione degli
incaricati.
I Consiglieri Comunali e il gruppo del Consiglio Comunale hanno a disposizione un accesso ad un’area riservata del
sito.
________________________________________________________________________________________________________________________
02/06/17
50
Analisi delle applicazioni: regola 19.8 dell’Allegato B al Codice
Chi redige il documento ha approfondito lo stato dell’arte delle applicazioni gestionali installate nel comune e, anche a
seguito di un confronto avuto con l’Avvocato Stefano Orlandi, in team con il quale viene redatto questo documento,
esperto ed autore di pubblicazioni sull’argomento specifico, dobbiamo fare le seguenti considerazioni che valgono per
le applicazioni software presenti nell’ente.
Tali applicazioni infatti paiono conformi ai seguenti punti del d.lgs. 196/2003 denominato “Codice sulla tutela dei dati
personali”, anche in relazione agli aggiornamenti effettuati:
1.
Titolo III Art. 22 comma 6 recita: “I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati,
tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di
codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono
temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli
interessati solo in caso di necessità.
2.
Titolo III Art. 22 comma 7 recita: “I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati
separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati
sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati
senza l'ausilio di strumenti elettronici.
Il software, inoltre, pare conforme alle seguenti regole delle misure minime (allegato B del d.lgs. in oggetto):
1.
Art. 16 recita: I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui
all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con
cadenza almeno semestrale.
2.
Art. 17 recita: Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di
strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati
sensibili o giudiziari l'aggiornamento è almeno semestrale
Tutti i dati comunali sono infatti protetti da sistema antivirus. L’amministratore ha predisposto un sistema antivirus sia
sui client e sui server, sistema che dovrebbe ridurre al minimo tale rischio, ma che non può eliminarlo totalmente come
risaputo.
________________________________________________________________________________________________________________________
02/06/17
51
Presentiamo di seguito un elenco di dettaglio dei software installati presso l’Ente
Tavola 16: riepilogativa del censimento dei software applicativi che rientrano nel piano di sicurezza dell’ente
Pro
g
Codi
ce
Ente
Nome
Descrizione
Fruizione tramite
1
1
All
Mail server
Posta elettronica
Web, Thunderbird, Citrix
2
3
2
3
All
All
Antispam
Internet
email
Web (IE, Mozilla)
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
All
All
All
All
All
All
All
All
All
All
All
All
All
All
All
Citrix web
Kaspersky
Disco Y
Disco S
Dike
Infoweb Dipendenti
Portale Cedolino
Blackberry
Albo
Oneri on line
Wirega
Multe on line
WebSIT
DWG Viewer
AVG - AVIRA …
Antispam
Navigazione Internet con Proxy (danguardian,
squid)
Accesso da remoto
Server antivirus
File Server dinamico (dati nelle cartelle di rete)
File server Statico (dati nelle cartelle di rete)
Firma Digitale
Gestione cartellini dipendenti
Gestione Cedolino dipendenti
Posta e agenda su telefono
Albo pretorio
Calcolo Oneri on line
WiFi biblioteche e piazze
Pagamento contravvenzioni
Sistema Informativo Territoriale
Visualizzatore Autocad
ANTIVIRUS postazioni isolate fuori dominio
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
De4
Demografici
Web
701
PC
20
Protocollo
Gennari
702
PC
21
703
PC
22
23
Citrix
PC
Citrix, esplora risorse
Citrix, esplora risorse
Citrix
Solo Web
Solo Web
smartphone
Per cittadini
Per cittadini (tecnici)
Per cittadini
Per i cittadini, Web (provincia)
Per i cittadini, Web (provincia)
Citrix
pc
W:\Programmi\PC_NET_PR
NET_Proto
Protocollo vecchio dal .. Al 2000?
hw e sw Cea X
Biglietteria Tracce e comunicazione dati
TRACCE
all'agenzia delle entrate
CF4
Contabilità e Bilancio
contabilità
O\NET_PRO
Client locale
704
PC
finanziaria
Citrix
705
PC
CF4CB E CF4CC
Certificato al bilancio e conto consuntivo
Citrix
706
PC
CF4MU
Mutui
Citrix
707
PC
CF40F OFFICE
Contabilità uffici
Citrix
708
PC
CF4XML
Invio dati XML Corte dei Conti
Citrix
709
PC
CG4
Controllo di gestione
Citrix
710
PC
INA Saia
SAIA
Desktop virtuale
711
PC
Entratel
Entratel, invio anagrafe tributaria
client locale
713
PC
GS4PR
Protocollo
Citrix
24
25
26
27
28
29
30
31
32
Stadario
714
PC
Territorio
715
PC
Sosia ASP
ag.
Aggiornamento toponomastica
Client java
Gestione bollettazione ASP
Citrix
________________________________________________________________________________________________________________________
02/06/17
52
33
34
716
PC
SUAPNET
Pratiche edilizie
Citrix
717
PC
TR4
Gestione Tributi
Citrix
36
37
38
39
DATI VECCHIO
LOCALI SUL PC ANNA
718
PC
CATASTO
DAL .. AL…
DINELLI
719
PC
Sire
Gestione riscossioni Equitalia
Citrix
720
PC
Anagrafe Canina
Anagrafe Canina
Citrix
721
PC
Essein
Programma inventario Essein
client locale
In totale vi sono in servizio al Comune di Pieve di Cento oltre 10 servizi applicativi.
Se si considerano tutti i comuni dell’Unione il patrimonio applicativo è di circa 265 applicazioni
________________________________________________________________________________________________________________________
02/06/17
53
Analisi delle comunicazioni verso Internet
Tutte le comunicazioni verso Internet passano attraverso il collegamento con la rete regionale LEPIDA: tale
connessione è basata su tecnologia in fibra ottica a 100 MBit nominali presente nella sede del Municipio. L’ente si è
dotato di tutta la strumentazione necessaria per ridurre al minimo i rischi di intrusione nonché di fuoriuscite di dati non
autorizzate verso la rete.
Per prima cosa è opportuno presentare sinteticamente la struttura di comunicazione, meglio descritta dall’immagine
presentata in precedenza:
il server di posta elettronica è interno e completamente gestito dal CED;
tutti gli utenti autorizzati possono navigare in Internet; ci sono due livelli di accesso diversi alla navigazione: uno
più restrittivo per la generalità degli utilizzatori e uno più allargato dedicato agli uffici stampa e alle segreterie
degli organi politici e ai sistemi informativi.
la rete interna è divisa dalla rete pubblica da un firewall, che gestisce anche i log di connessione degli utenti
(della cui esistenza gli utenti sono informati nel manuale di formazione utente), nel quale sono fissate le seguenti
regole:
o
porte aperte in uscita: http, https, smtp, pop3, ftp (quest’ultimo solo per gli utenti del CED e su
specifiche esigenze altri utenti singoli di volta in volta autorizzati);
o
porte aperte in ingresso: smtp, pop3, (posta in relay) siti web in reverse proxy e web mail (iNotes via
web);
E’ necessario ora riepilogare i servizi attivi:
tutti gli utenti dotati di personal computer hanno la posta elettronica, con possibilità di inviare/ricevere allegati:
questo servizio è funzionale allo svolgimento della propria mansione, secondo quanto stabilito nel disciplinare
Internet;
navigazione in Internet secondo quanto detto nello specifico disciplinare Internet approvato nel giugno 2010;
Una parte consistente di quanto sopra riportato è riaffermato nella “Politica di sicurezza dell’ente”, che sarà illustrata
successivamente.
Analisi dei servizi pubblicati sulla rete Internet
I servizi pubblicati sulla rete Internet sono numericamente ristretti, ma vale ugualmente la pena citarli per meglio
comprendere il loro impatto sulla sicurezza dei dati:
1.
Il primo servizio pubblicato, ma di scarsa importanza ai fini della sicurezza, è dato dalle pagine web di
presentazione dell’ente, raggiungibili al link www.renogalliera.it.
________________________________________________________________________________________________________________________
02/06/17
54
2.
Calcolo edilizia oneri on-line
3.
Prenotazione agenda SUAP
4.
Accesso alla Intranet dei Consiglieri Comunali
5.
Pagamento on line delle contravvenzioni
6.
Albo pretorio on line
7.
Delibere on line
Non sono presenti altri servizi applicativi pubblicati.
________________________________________________________________________________________________________________________
02/06/17
55
Analisi dei dati cartacei
Analisi ambientale
Le operazioni di trattamento dei dati cartacei avvengono negli uffici e/o reparti dove lavorano gli incaricati. Ogni
ufficio è dotato di contenitori muniti di chiave nei quali riporre i dati personali sensibili e giudiziari, come indicato dal
manuale di istruzioni fornito agli incaricati.
Ogni ufficio è ad accesso regolamentato, nel senso che le porte della sede di riferimento si aprono solo grazie al “via
libera” fornito dalla chiave in possesso dei capi ufficio, come evidenziato dalla tabella relativa. I singoli incaricati
possono anche accedere, dietro autorizzazione del responsabile di reparto/ufficio, in ambienti diversi da quelli di lavoro
ordinario.
Analisi delle vulnerabilità interne e dell’accesso dei dati
I rischi a cui sono soggetti i dati cartacei trattati dall’ente sono quelli tradizionali:
sottrazione di documenti da parte del personale
mancate reposizione dei dati trattati sotto chiave, quindi la mancata osservazione delle istruzioni impartite
agli incaricati.
________________________________________________________________________________________________________________________
02/06/17
56
Le criticità dei beni informatici preposti al trattamento dei dati elettronici
L’analisi della criticità dei beni riguarda esclusivamente la dotazione informatica preposta al trattamento dei dati
elettronici.
Occorre precisare che l’analisi è indirizzata a misurare la criticità della disponibilità dei dati, di conseguenza oggetto di
analisi sono i beni informatici in quanto consentono la disponibilità dei dati stessi.
Tale analisi è effettuata sotto due punti di vista:
▪
il fault tolerance: questa analisi, che nel presente lavoro sarà particolarmente approfondita, si può desumere
implicitamente dalla lettura dell’Allegato B del d.lgs n. 196/03 “Codice in materia di protezione dei dati personali”
dove si sancisce la necessità di garantire la “disponibilità dei dati”;
▪
il disaster recovery: questa seconda analisi rientra tra le misure minime dell’Allegato B del d.lgs n.196/03 “Codice
in materia di protezione dei dati personali”.
L’analisi della criticità dei beni informatici viene fatta dall’alto verso il basso ovvero considerando prima di tutto i
servizi applicativi che si devono offrire e poi le risorse utilizzate per offrire tali servizi, partendo da quelle più vicine
agli utenti (database, server virtuali) fino a quelle infrastrutturali (sistema di storage, networking, host fisici,
alimentazione elettrica). E’ ovvio che il fallimento dei livello più bassi può causare l’interruzione dei servizi agli utenti
(interni ed esterni) quindi si è cercato di ridondare gli strati infrastrutturali sia ai fini della fault tolerance che del
disaster recovery.
Servizi Applicativi (back-office, front-office)
Pool Server virtuali (database, file server, appl.)
Host fisici
Storage
LAN /WAN
Server fisici
Elettricità
Tavola 17
Per procedere a questa prima analisi occorre innanzitutto definire il livello di criticità di ciascun bene informatico. E’
possibile ipotizzare una scala di criticità che va da 1 a 4 così definita:
1.
minimo: il sistema possono stare fermi anche una settimana senza che si riscontrino problemi all’intero sistema
informativo;
2.
intermedia: il sistema può stare fermo per una settimana senza problemi all’intero sistema informativo, tranne
che in periodi critici di eccesso di lavoro, nel quale le possibilità di fermo si riducono a 8 ore lavorative;
________________________________________________________________________________________________________________________
02/06/17
57
3.
alta: il sistema non può, in qualunque situazione stare fermo per più di 8 ore lavorative (24 ore solari);
4.
critica: il sistema non può stare fermo per più di 4 ore lavorative.
Le applicazioni che richiedono una maggiore continuità sono tutte le applicazioni inerenti i servizi demografici
(anagrafe e stato civile), il protocollo degli enti e l’albo pretorio on line che dal 1/1/2011 garantisce la pubblicità
legale degli atti della Pubblica Amministrazione. Possiamo considerare queste applicazioni al livello 4 e tutte le altre
indicate al livello 3.
Il fault tolerance
La strategia di fault tolerance è data da tutti quegli accorgimenti che permettono di garantire la continuità del servizio
informatico. Tale strategia assume notevole rilevanza nel trattamento dei dati dell’ente e soprattutto nelle necessità di
garantire la continuità del servizio. Il Comune di Pieve di Cento è infatti una realtà che offre un pubblico servizio. Di
conseguenza tutti i fattori volti a garantire al massimo la continuità di lavoro, rivestono una importanza decisiva o,
addirittura, vitale.
Dal momento che l’ambiente è quasi totalmente virtualizzato la criticità dei device fisici è legata alla criticità delle
macchine virtuali ospitate e si deve considerare che nei pool di server virtuali il fault di una singola macchina non causa
il blocco del sistema in quanto il suo ruolo può essere assunto da un’altra componente.
________________________________________________________________________________________________________________________
02/06/17
58
Il disaster recovery
Analizzare le problematiche di disaster recovery è molto più complesso in quanto i problemi da affrontare sono
molteplici:
Innanzi tutto bisogna rifare un’analisi di criticità orientata specificamente ai server, ed una orientata alle linee di
comunicazione, in quanto i termini sono differenti da quelli usati per lo studio precedente: possiamo però rifarci
all’elenco sopra riportato per un censimento dei server e dei collegamenti WAN.
Occorre quindi definire la criticità di tutti i device sotto elencati per elaborare una strategia di intervento efficace a
coprire le esigenze di distater recovery.
________________________________________________________________________________________________________________________
02/06/17
59
L’analisi dei rischi a cui possono essere soggetti i dati elettronici e i dati cartacei:
regola 19.3 dell’Allegato B al Codice
In linea con l’art. 35, Capo I, Titolo V del d.lgs. n. 196/2003 che “impone di ridurre al minimo, mediante l’adozione di
idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso
non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” si procede analizzando i
rischi a cui sono soggetti i dati informatici ed i dati cartacei trattati dagli incaricati dell’ente.
Per ciò che concerne le azioni intraprese per fronteggiare tali rischi si rimanda al capitolo relativo al Documento
Programmatico per la sicurezza dei dati.
Analisi dei rischi dei dati elettronici
I rischi ai quali possono essere soggetti i dati residenti sugli elaboratori presenti nell’ente, già precedentemente
inventariati, sono i seguenti:
Accesso indebito alle risorse sia da parte di personale interno non autorizzato, che da parte di “pirati” esterni.
Rischi connessi alla trasmissione dei dati.
Perdita dei dati e quindi perdita della loro integrità fisica.
Errori operativi volti a minare l’integrità logica dei dati.
Azioni dolose.
Manomissioni o furti.
Eventi dannosi o disastrosi.
________________________________________________________________________________________________________________________
02/06/17
60
Presentazione sintetica dei rischi a cui sono soggetti i dati elettronici trattati dall’Unione Reno Galliera.
Tavola 18: I rischi a cui sono soggetti i dati elettronici trattati dall’Unione Reno Galliera sono di seguito
riepilogati:
Rischio
Dettaglio
Gravità stimata
Probabilità
di
accadimento
Accesso indebito alle risorse da parte di
utenti interni all’ente
Accesso alle banche dati non
o Alta
o Bassa
o Alta
o Media
di
o Alta
o Bassa
consapevolezza,
o Alta
o Bassa
o Alta
o Bassa
o Media
o Bassa
o Alta
o Media
o Alta
o Media
o Media
o Media
o Media
o Bassa
o Alta
o Media
autorizzato.
Copie non autorizzate dei dati
per
il
trasporto
all’esterno
dell’ente
Comportamenti degli operatori
Furto
di
credenziali
autenticazione
carenza
di
disattenzione o incuria
comportamenti
sleali
o
fraudolenti
Eventi relativi agli strumenti
errore materiale
azione di virus informatici o di
codici malefici
spamming o altre tecniche di
sabotaggio
malfunzionamento,
indisponibilità o degrado degli
strumenti
Eventi relativi al contesto
accessi
non
autorizzati
locali/reparti
ad
a
accesso
ristretto
Guasto
ai
complementari
sistemi
(impianto
elettrico, climatizzazione, ...)
________________________________________________________________________________________________________________________
02/06/17
61
Rischio
Dettaglio
Gravità stimata
Probabilità
di
accadimento
Sicurezza nelle trasmissioni dei dati
Tentativi di carpire i dati che
o Alta
o Media
o Alta
o Media
o Bassa
o Bassa
o Alta
o Media
o Bassa
o Bassa
o Bassa
o Bassa
o Bassa
o Bassa
che creano disallineamenti.
o Bassa
o Bassa
o Alta
o Bassa
o Alta
o Bassa
o Alta
o Media
o Impredicibile
o Alta
vengono inviati all’ente da
parte di pirati esterni.
Tentativi di carpire i dati che
vengono spediti dal Comune di
Pieve di Cento da parte di
pirati esterni.
Rischio
di
invio
dati
a
destinatari sbagliati.
Tentativi di intrusione nella
rete
interna
dell’ente.
dall’esterno, da Internet, da
sedi di comuni collegati via
linee telefoniche all’ente e da
parte di pirati esterni.
Rischi circa l’integrità fisica dei dati
Cancellazione
involontaria/accidentale
dei
dati.
Servizi di back-up non andati a
buon fine.
Rischi circa l’integrità logica dei dati
Incongruenze fra i dati.
Le applicazioni software in uso
Rischi manomissioni o furti o azioni
Manomissioni del CED.
dolose
Furti
di
elaboratori,
dati
sia
che
dagli
degli
elaboratori stessi.
Eventi dannosi o disastrosi
Incendio.
Terremoti, alluvioni ed ogni
altro evento non prevedibile.
________________________________________________________________________________________________________________________
02/06/17
62
Analisi dei rischi dei dati cartacei
I rischi ai quali possono essere soggetti i dati cartacei presenti nell’ente sono i seguenti:
Accesso indebito alle risorse sia da parte di personale interno non autorizzato.
Rischi connessi alla trasmissione dei dati.
Perdita dei dati e quindi perdita della loro integrità fisica.
Furti e azioni dolose.
Eventi dannosi o disastrosi.
Rischi connessi alla procedura di eliminazione di dati erroneamente stampati.
Presentazione sintetica dei rischi a cui possono essere soggetti i dati cartacei trattati dall’ente
Tavola 19: I rischi a cui possono essere soggetti i dati cartacei trattati dall’ente possono essere così riepilogati:
Rischio
Dettaglio
Gravità stimata
Probabilità
di
accadimento
Accesso indebito alle risorse da parte di
utenti interni all’ente
Accesso alle banche dati non
o Alta
o Bassa
o Alta
o Media
o Alta
o Bassa
o Alta
o Bassa
o Media
o Bassa
o Media
o Bassa
o Alta
o Media
o Bassa
o Bassa
autorizzato.
Copie non autorizzate dei dati
per
il
trasporto
all’esterno
dell’ente
Comportamenti degli operatori
Carenza
di
consapevolezza,
disattenzione o incuria
comportamenti
sleali
o
fraudolenti
Eventi relativi al contesto
errore materiale
accessi
non
autorizzati
locali/reparti
ad
a
accesso
ristretto
Guasto
ai
complementari
sistemi
(impianto
elettrico, climatizzazione, ...)
Sicurezza nelle trasmissioni dei dati
Rischio
di
invio
dati
a
________________________________________________________________________________________________________________________
02/06/17
63
Rischio
Dettaglio
Gravità stimata
Probabilità
di
accadimento
destinatari sbagliati.
Rischi circa l’integrità fisica dei dati
Cancellazione
o Bassa
o Bassa
o Alta
o Media
altro evento non prevedibile.
o Impredicibile
o Alta
Mancata distruzione dei dati
o Alta
o Bassa
involontaria/accidentale
dei
dati
Eventi dannosi o disastrosi
Rischi
connessi
eliminazione
stampati
di
alla
dati
procedura
di
erroneamente
Incendio.
Terremoti, alluvioni ed ogni
erroneamente stampati dagli
incaricati
.
________________________________________________________________________________________________________________________
02/06/17
64
La definizione della politica di sicurezza dell’ente
E’ la fase organizzativa più importante e delicata da affrontare.
Occorre precisare che per quanto riguarda la gestione dei dati sensibili su supporto cartaceo vale la regola generale,
condivisa dall’intera organizzazione ed opportunamente esplicitata nel manuale di istruzione dei diversi incaricati, in
base alla quale alla fine di ciascun trattamento autorizzato devono essere riposti sotto chiave nei relativi archivi.
Si procede invece all’analisi dei dati elettronici che si articola in 4 punti:
1.
Chi-fa-cosa dentro, ovvero chi, all’interno dell’organizzazione ha diritto di accedere a dati (digitali o cartacei),
in che orari, con che diritti, che server ha diritto di utilizzare, quali applicazioni, ecc.
2.
Chi-fa-cosa fuori, ovvero chi ha diritto di uscire verso Internet, verso i clienti, partners, fornitori, chi ha diritto
di fare qualunque cosa che, nell’esercizio delle proprie funzioni, entri in relazione con il mondo esterno.
3.
Chi, interno, fa cosa da fuori ovvero chi, membro dell’organizzazione, ha necessità di accedere dall’esterno
alla rete dell’ente con che diritti e per fare cosa.
4.
Chi, esterno, può fare cosa da fuori, ovvero chi esterno all’organizzazione, come un fornitore o un partner, può
fare cosa nel momento in cui accede ai sistemi informativi, digitali o cartacei, della organizzazione.
a.
Rapporti con aziende esterne all’organizzazione assimilabili a titolari del trattamento.
Chi-fa-cosa dentro
In questa fase si analizza chi, all’interno dell’organizzazione ha diritto di accedere a dati elettronici, in che orari, con
che diritti, che server ha diritto di utilizzare, quali applicazioni, ecc..
Legenda: R sta per read (diritto di lettura) e W sta per write (diritto di scrittura).
Tavola 21: chi-fa-cosa dentro
Gruppi
Area Amministrativa,
Server
File Server
Diritti
Orari
R/W per la directory di
Nessuna limitazione
Demografici, Segreteria del
area (sia per le cartelle di
Sindaco
dati comuni che per quelle
con
dati
sensibili)
e
nessuno per le altre
Altri server
R
Nessuna limitazione
________________________________________________________________________________________________________________________
02/06/17
65
Gruppi
Server
DB Server gestionale
Diritti
Orari
R/W, con possibilità di
Nessuna limitazione
dare diritti a tutti gli utenti
dell’ente
Servizio Finanziario
E-Mail server
R/W
Nessuna limitazione
Applicazioni gestionali
R/W
Nessuna limitazione
Servizi di gestione
Nessuno
Nessuna limitazione
File Server
R/W per la directory di
Nessuna limitazione
area (sia per le cartelle di
dati comuni che per quelle
con
dati
sensibili)
e
nessuno per le altre
Altri server
R
Nessuna limitazione
DB Server gestionale
R/W, con possibilità di
Nessuna limitazione
dare diritti a tutti gli utenti
dell’ente
Servizi alla Persona
E-Mail server
R/W
Nessuna limitazione
Applicazioni gestionali
R/W
Nessuna limitazione
Servizi di gestione
Nessuno
Nessuna limitazione
File Server
R/W per la directory di
Nessuna limitazione
area (sia per le cartelle di
dati comuni che per quelle
con
dati
sensibili)
e
nessuno per le altre
Altri server
R
Nessuna limitazione
DB Server gestionale
R/W, con possibilità di
Nessuna limitazione
dare diritti a tutti gli utenti
dell’ente
E-Mail server
R/W
Nessuna limitazione
________________________________________________________________________________________________________________________
02/06/17
66
Gruppi
Server
File Server
Diritti
Orari
R/W per la directory di
Nessuna limitazione
area (sia per le cartelle di
dati comuni che per quelle
con
dati
sensibili)
e
nessuno per le altre
Altri server
R
Nessuna limitazione
DB Server gestionale
R/W, con possibilità di
Nessuna limitazione
dare diritti a tutti gli utenti
dell’ente
E-Mail server
R/W
Nessuna limitazione
________________________________________________________________________________________________________________________
02/06/17
67
Chi-fa-cosa fuori
In questa fase ci si sofferma su chi ha diritto di uscire verso Internet, verso i clienti, patners, fornitori, che ha diritto di
usare un modem, chi a diritto di fare qualunque cosa che, nell’esercizio delle proprie funzioni entri in relazione con il
mondo esterno.
Tavola 22: chi-fa-cosa fuori
Gruppi
Segreteria Sindaco
Servizio Ragioneria
Servizi alla Persona
Territorio sviluppo e
Servizi
Diritti
Orari
Posta
R/W
Nessuna limitazione
Navigazione
Nessuna limitazione
Nessuna limitazione
Posta
R/W
Nessuna limitazione
Navigazione
Nessuna limitazione
Nessuna limitazione
Posta
R/W
Nessuna limitazione
Navigazione
Nessuna limitazione
Nessuna limitazione
Posta
R/W
Nessuna limitazione
Navigazione
Nessuna limitazione
Nessuna limitazione
Posta
R/W
Nessuna limitazione
Navigazione
Nessuna limitazione
Nessuna limitazione
Applicazioni gestionali e
Solo gruppo autorizzato
Nessuna limitazione
programmazione
Servizi
Amministrativi/demografici
file server
________________________________________________________________________________________________________________________
02/06/17
68
Chi, interno, fa cosa da fuori
Oggetto dell’analisi è chi, membro dell’organizzazione, ha necessità di accedere dall’esterno alla rete dell’ente allo
scopo di definire i diritti e per fare cosa: l’accesso avviene in VPN attraverso una comunicazione SSL.
Tavola 23: chi, interno, fa-cosa da fuori
Gruppi
Segreteria Sindaco
Persone
Diritti
Nessuno tranne il responsabile del
Tutti
gruppo
Servizio Ragioneria
Nessuno, tranne il responsabile del
Tutti
gruppo
Servizi alla Persona
Nessuno, tranne il responsabile del
Tutti
gruppo
Territorio sviluppo e programmazione
Nessuno tranne il responsabile del
Tutti
gruppo
Servizi Amministrativi/demografici
Nessuno, tranne il responsabile del
Tutti
gruppo
Occorre ricordare che gli utenti eventualmente autorizzati entrano con gli stessi diritti di quando lavorano in LAN,
ovvero dal proprio posto di lavoro interno.
________________________________________________________________________________________________________________________
02/06/17
69
Chi, esterno, può fare cosa da fuori o, in casi definiti, da dentro
Infine analizziamo chi esterno all’organizzazione, come un fornitore o un partner, può fare cosa nel momento in cui
accede ai sistemi informativi interni all’organizzazione.
Tavola 24: chi, esterno,può fare-cosa da fuori o, in casi definiti, da dentro
Azienda
Server o apparecchiatura o
Diritti
Orari
servizio
Ambito SRL
Utente AD
Help desk
Tutti i server
Gestione
0-24
del sistema
SIT –
Segnalazioni
– WS
anagrafe
ADS
Utente AD
Server con applicativi ADS
Gestione
0-24
del sistema
System Service
Utente AD
Firewall
+VPN
VEM
Utente AD
(fornitore
Firewall VEM
Utente AD
Server ASP
0-24
Gestione
0-24
del sistema
Utente AD
Pindaro
Server comune di Galliera
+Serpico
IT View
Gestione
del sistema
ASP)
Data Management
0-24
del sistema
+VPN
CBA
Gestione
Utente AD
Gestione
0-24
del sistema
Sistemi Citrix
Gestione
0-24
del sistema
Red Turtle
Utente AD
Server web LINUX Red T.
Gestione
0-24
del sistema
Softech
Utente AD
ASP
Banca dati ASP
Gestione
0-24
________________________________________________________________________________________________________________________
02/06/17
70
Azienda
Server o apparecchiatura o
Diritti
Orari
servizio
del sistema
CM(soc+scol)
GA
Utente AD
Softer
Marcatempo, server cartellini
Gestione
0-24
del sistema
Utente AD
Datagraph
Utente AD
Eurocom
Programma del personale e
Gestione
del protocollo
del sistema
Server di videosorveglianza
Accesso ai
Etheria
0-24
0-24
locali
Gestione
del sistema
Sipo BO
Zaniboni
Gestione anagrafe e stato
Gestione
civile in outsourcing
del sistema
Tributi
Gestione
0-24
Comune
BO
Kybernates
Utente AD
Tributi CA
0-24
del sistema
Sertec
No
ut
solo
GA
Gestione
accesso fisico
0-24
del sistema
e uso utenti di
e
con
operatori
Sapignoli
Utente AD
PM RG
Polizia Municipale
Gestione
0-24
del sistema
Progetti di Impresa
Utente AD
Gestione sito Web
Gestione
0-24
del sistema
Segnalazioni
Maggioli
Utente AD
Polizia municipale
Gestione
0-24
________________________________________________________________________________________________________________________
02/06/17
71
Azienda
Server o apparecchiatura o
Diritti
Orari
servizio
del sistema
3Cime
Utente AD
SAN
Gestione
0-24
del sistema
Springfirm
Utente AD
Sunray CM
Server Sunray
Gestione
0-24
del sistema
Geovest
Utente AD
Tributi Tarsu sportello
Gestione
0-24
del sistema
BBG
Utente AD
Tributi
Servizio Tributi
0-24
SG+ CA
System Service
Solo VPN
Firewall
Apparati di rete
+ Utente AD
888
Utente AD
Gestione
0-24
del sistema
CM +SP
Edilizia
Gestione
0-24
del sistema
________________________________________________________________________________________________________________________
02/06/17
72
Rapporti con aziende esterne all’organizzazione assimilabili a titolari del trattamento: regola
19.7 dell’Allegato B al Codice
Allo scopo di assicurare un servizio di manutenzione ordinaria gestito in outsorcing è necessario che alcune società
esterne possano intervenire sui sistemi informativi dell’ente. Dette società prestano l’assistenza dovuta al fine di
garantire la continuità del servizio, il ripristino dei sistemi in caso di fault, blocco o disastro.
Per l’elenco delle suddette società è possibile fare riferimento al piano di sicurezza dell’ente al paragrafo precedente dal
titolo: “Chi esterno fa cosa da fuori”.
In questo paragrafo si intende, invece, sottolineare che i rapporti con queste strutture sono regolati da una apposita
convenzione che le nomina “responsabili esterni all’organizzazione” ai sensi dell’art. 29 del d.lgs n. 196/2003.
Nella convenzione si fa presente che le società esterne che intervengono sul sistema informativo dell’ente avendo, di
regola, diritti di amministratore, in teoria possono fare tutto. In ragione di ciò è imposto loro di intervenire solo con atti
necessari alla prestazione dei servizi oggetto di contratto. E’ fatto loro esplicito divieto di consultare, copiare, cancellare
e fare qualunque operazione sui dati oggetto di trattamento, a meno di diversa autorizzazione scritta da parte del
responsabile del trattamento dei dati. È fatto inoltre divieto, salvo diversa autorizzazione scritta da parte
dell’amministratore dei sistemi, di cancellare i log riportanti “chi ha fatto cosa” sui dati.
________________________________________________________________________________________________________________________
02/06/17
73
Adempimenti inerenti l’Amministratore di Sistema
In relazione al provvedimento del garante della privacy del 28/11/2008 relativo all’amministratore di sistema, l’Unione
ha provveduto con Determina N. 47 del 15/12/2009 a nominare il Responsabile dei Sistemi Informativi, dott. Emanuele
Tonelli, come amministratore di sistema con funzioni organizzative, il quale ha individuato con determina N. 55 del
15/12/2009 le funzioni attribuite alle singole persone del servizio che svolgono funzioni di amministrazione sui sistemi.
La delibera e la determina sono state inoltrate ai comuni aderenti all’Unione per rendere possibile l’attività di audit. Il
Comune di Pieve di Cento ha individuato per l’attività di Audit il dott. Tosi Fabrizio.
________________________________________________________________________________________________________________________
02/06/17
74
4 DPS Documento Programmatico sulla Sicurezza dei dati: le
azioni
Dati residenti su supporto cartaceo
Analisi dei rischi
I rischi ai quali sono soggetti i dati residenti su supporto cartaceo presenti nell’ente sono molto minori, ma comunque
possiamo così elencarli:
Accesso indebito alle risorse sia da parte di personale interno non autorizzato.
Rischi connessi alla trasmissione dei dati.
Perdita dei dati e quindi perdita della loro integrità fisica.
Furti e azioni dolose.
Eventi dannosi o disastrosi.
Rischi connessi alla procedura di eliminazione di dati erroneamente stampati.
Analisi dei rischi e delle azioni intraprese per cautela relativamente al trattamento dei dati
cartacei: regola 19.4 dell’Allegato B al Codice
Le soluzioni individuate per la protezione dei dati residenti su elaboratori sono diverse e sono di seguito elencate.
Tavola 25: riepilogo dei rischi e delle azioni legate al trattamento dei dati cartacei
Rischio
Criteri e procedure per evitare l’accesso indebito alle
Azione
risorse da parte di utenti interni all’ente
Ogni utente autorizzato ha le chiavi dell’ente o
degli uffici di propria pertinenza (si veda tabella
relativa). È fatto divieto assoluto agli incaricati di
recarsi in locali per i quali l’accesso non è
autorizzato e fuori dall’orario di lavoro.
Criteri e procedure per disciplinare il comportamenti degli
Formazione periodica di tutti gli incaricati
operatori
Controlli periodici circa l’operato degli utenti
Controlli degli accessi, sia fisici che informatici
Tutti i locali sono ad accesso controllato
Criteri e procedure per disciplinare gli eventi relativi al
contesto
________________________________________________________________________________________________________________________
02/06/17
75
Rischio
Criteri e procedure per assicurare la sicurezza nelle
Azione
trasmissioni dei dati
I dati su supporto cartaceo sono consegnati solo a
corriere postale o ad un corriere privato o ad altro
operatore autorizzato
Criteri e procedure per assicurare l’integrità fisica dei dati
Tutti i locali sono protetti da un sistema
antincendio a norma 626.
Criteri tecnici ed organizzativi per la protezione delle aree
Ogni utente autorizzato ha le chiavi dell’ente o
e dei locali interessati dalle misure di sicurezza, nonché
degli uffici di propria pertinenza (si veda tabella
individuazione delle procedure per controllare l’accesso
relativa). È fatto divieto assoluto agli incaricati di
delle persone autorizzate ai locali medesimi: ciò al fine di
recarsi in locali per i quali l’accesso non è
evitare al massimo manomissioni o furti o azioni dolose
autorizzato e fuori dall’orario di lavoro.
Eventi dannosi o disastrosi
Tutti i dati su supporto cartaceo prodotti dall’ente
possono comunque riprodotti in ogni momento
partendo dagli archivi elettronici.
I dati ricevuti in futuro saranno oggetto di
digitalizzazione
Rischi connessi alla procedura di eliminazione di dati
erroneamente stampati.
Tutti i supporti cartacei che devono essere
distrutti finiscono in alcuni raccoglitori solo dopo
essere stati stracciati
Elaborazione di un piano di formazione per rendere edotti
Ogni volta che si presenta la necessità vengono
gli incaricati del trattamento dei rischi individuati e dei
tenute delle sessioni di aggiornamento, anche
modi per prevenire i danni
nell’ambito della formazione all’utilizzo dei
nuovi strumenti informatici, volte ad assicurare
tale conoscenza e l’aggiornamento della stessa
Controlli periodici
Il responsabile effettua controlli periodici annuali
circa l’applicazione delle regole suddette
Dati residenti su elaboratori elettronici
Analisi dei rischi
Come evidenziato sopra, i rischi ai quali sono soggetti i dati residenti sugli elaboratori presenti nell’ente, già
precedentemente elencati, sono i seguenti:
Accesso indebito alle risorse sia da parte di personale interno non autorizzato, che da parte di “pirati” esterni
________________________________________________________________________________________________________________________
02/06/17
76
Rischi connessi alla trasmissione dei dati
Perdita dei dati e quindi perdita della loro integrità fisica
Errori operativi volti a minare l’integrità logica dei dati
Azioni dolose
Manomissioni o furti
Eventi dannosi o disastrosi
Analisi dei rischi e delle azioni intraprese per cautela: regola 19.4 dell’Allegato B al Codice
Le soluzioni individuate per la protezione dei dati residenti su elaboratori sono diverse e sono di seguito elencate.
Tavola 26: analisi dei rischi e azioni intraprese per i dati residenti su supporto elettronico
Rischio
Criteri e procedure per evitare l’accesso indebito alle
Azione
risorse da parte di utenti interni all’ente
Ogni utente ha un codice identificativo ed una
password che lo abilitano ad entrare nel sistema
di rete limitatamente ai dati necessari per lo
svolgimento delle proprie mansioni. La password
è a scadenza secondo i requisiti normativi
L’abilitazione per entrare in rete permette per la
maggior parte delle applicazioni anche l’accesso
agli applicativi; si sta cercando di limitare tutti i
casi in cui c’è un sistema di credenziali distinto
Criteri e procedure per disciplinare il comportamenti degli
operatori
Formazione periodica di tutti gli incaricati e
diffusione del disciplinare di utilizzo dei sistemi
informativi
Criteri e procedure per disciplinare gli eventi relativi agli
Controlli periodici circa l’operato degli utenti
Controlli degli accessi, sia fisici che informatici
Content filtering tramite server proxy
Aggiornamento e potenziamento periodico dei
strumenti
sistemi antivirus installati
Azioni specifiche previste per il fault tolerance
(vedi tabelle successive)
Criteri e procedure per disciplinare gli eventi relativi al
Tutti i locali sono ad accesso controllato
________________________________________________________________________________________________________________________
02/06/17
77
Rischio
contesto
Azione
I sistemi di condizionamento del CED sono a
tolleranza di guasto, sono disponibili in coppia ed
in caso di guasto è pronta ad intervenire la società
che ne ha in gestione la manutenzione
Criteri e procedure per assicurare la sicurezza nelle
trasmissioni dei dati
L’accesso alla rete pubblica degli utenti è
regolamentato da strumenti tecnici (firewall) che
consentono l’accesso al servizio solo agli
incaricati che ne hanno necessità e registrano le
attività fatte
I suddetti sistemi proteggono la rete locale da
accessi indebiti alle risorse da parte di “pirati”
esterni
La comunicazione con alcuni fornitori ed utenti
avviene tramite router specifico via VPN,
associati ai relativi username e password
Criteri e procedure per assicurare l’integrità fisica dei dati
I back-up sono normalmente archiviati in su disco
nel CED presente all’interno della sede, tranne i
mensili rimangono archiviati su disco fisso.
Gli altri strumenti di back-up delle sedi remote e
non collegate, sono archiviati, sotto chiave, nelle
singole sedi
È installato un sistema antivirus. Il prodotto
adottato è dato dalla suite della Sophos
Criteri e procedure per assicurare l’integrità logica dei dati
Le applicazioni software in uso coprono l’ente da
tale rischio
Criteri tecnici ed organizzativi per la protezione delle aree
I server di rete sono localizzati in un ambiente –
e dei locali interessati dalle misure di sicurezza, nonché
CED ad accesso controllato, la cui chiave è nelle
individuazione delle procedure per controllare l’accesso
mani
delle persone autorizzate ai locali medesimi: ciò al fine di
Informatico e delle altre persone autorizzate
esclusive
dei
membri
del
Servizio
evitare al massimo manomissioni o furti o azioni dolose
Criteri tecnici ed organizzativi per limitare al massimo gli
effetti di eventi dannosi o disastrosi
I dati vengono ricoverati tutti i giorni in armadio
sotto chiave
________________________________________________________________________________________________________________________
02/06/17
78
Rischio
Elaborazione di un piano di formazione per rendere edotti
Azione
Il piano di disaster recovery è definito
Ogni volta che si presenta la necessità vengono
gli incaricati del trattamento dei rischi individuati e dei
tenute delle sessioni di aggiornamento, anche
modi per prevenire i danni
nell’ambito della formazione all’utilizzo dei
nuovi strumenti informatici, volte ad assicurare
tale conoscenza e l’aggiornamento della stessa
Controlli periodici
Il responsabile e l’amministratore di sistema
effettuano
controlli
periodici
annuali
circa
l’applicazione delle regole suddette
Descriviamo ora di seguito in modo dettagliato le attività più importanti intraprese per affrontare i rischi sopra riportati
________________________________________________________________________________________________________________________
02/06/17
79
Le operazioni di salvataggio dei dati: regola 19.5 dell’Allegato B al Codice
Si presenta, di seguito, il piano di sicurezza specifico per le operazioni di salvataggio dei dati, che nell’ambito del D.p.s.
è sicuramente il documento che riveste la maggiore importanza.
Il sistema di back-up dei dati dei server è separato per ogni server e centralizzato nelle responsabilità: è basato su
diversi software di back-up che pilotano disco di rete.
Il back-up è quotidiano full. Tramite il sistema di storage, durante la mattina viene eseguito un backup ogni due ore e
durante il resto della giornata ogni 4 ore.
Il sever di posta ha un back-up full giornaliero.
Per ogni full back-up si tiene una copia (vedere nei dettagli la sezione Disaster Recovery).
Il backup viene effettuato su dischi di rete (NAS).
Non viene previsto alcun sistema di back-up dei client in quanto si è già specificato che tutti i dati sono e devono
risiedere su server.
Di seguito elencheremo le operazioni previste, che fungono da manuale di istruzioni per gli incaricati addetti, ed il
responsabile della esecuzione di tali operazioni:
1.
Eseguire giornalmente il back-up dei dati
2.
Archiviare i supporti del back-up sotto chiave
3.
Controllare che le versioni del software di back-up siano allineate alle ultime versioni disponibili → Luca
Tolomelli
4.
Eseguire trimestralmente una prova di restore parziale dei dati
5.
eseguire settimanalmente un back-up intero dei dati
6.
Eseguire annualmente una prova di restore dei dati ai fini di disaster su di un server jolly
7.
Provvedere a centralizzare in luogo definito, CD ROM dei sistemi operativi e dei software di sistema, in modo
da averli sempre a disposizione in caso di bisogno
8.
Provvedere a centralizzare in luogo definito e sicuro, copie dei back-up, in modo da averli sempre a
disposizione in caso di bisogno
________________________________________________________________________________________________________________________
02/06/17
80
I controlli anti-intrusione dall’esterno
Presentiamo di seguito il piano di sicurezza relativo ai controlli anti-intrusione: anche in questo caso elencheremo le
operazioni previste, che fungono da manuale di istruzioni per gli incaricati addetti, ed il responsabile della esecuzione di
tali operazioni. Tali operazioni verranno eseguite dopo la installazione del firewall.
Tavola 27: riepilogo delle operazioni di controlli anti-intrusione dall’esterno
1.
tenere aperto il monitor relativo ai tentativi di intrusione che il firewall offre
2.
eseguire giornalmente il controllo del log relativo ai tentativi di intrusione
3.
avvisare l’amministratore di sistema dei dati di eventuali attacchi
4.
attivare azioni correttive
5.
chiedere consulenza al fornitore dell’assistenza sistemistica su altre precauzioni da adottare
________________________________________________________________________________________________________________________
02/06/17
81
5 Azioni intraprese per il fault tolerance: regola 19.5
dell’Allegato B al Codice
Le soluzioni adottate per attivare un meccanismo di fault tolerance per ciascuno dei device in elenco sono strettamente
legate al fattore criticità ed al tipo di device di fronte al quale ci troviamo. Come si evince dall’elenco ci troviamo di
fronte ai seguenti a sistemi che possiamo così catalogare:
Server Windows 200X - Server Linux - Database Server
Switch
Router e Firewall
Collegamenti WAN per telecomunicazioni
Sistema di storage
Sistema di alimentazione elettrica
E’ opportuno evidenziare che i fault vengono monitorati grazie al sistema Hobbit che permette di individuare le
interruzioni del servizio su:
-
server fisici e virtuali
-
apparati di rete
-
connessioni LAN e WAN
________________________________________________________________________________________________________________________
02/06/17
82
Analizziamo ora le azioni adottate per ciascun elemento
Server Windows 200X – Server Linux – Database server
Una prima considerazione va fatta sulla macchina fisica. I servizi su questi server sono critici, ma esistono già dei
sistemi di fault tolerance sui dischi (Raid 10); e sulle memorie RAM. Come per tutti i server, la macchina è coperta da 3
anni di garanzia e dopo il terzo anno è prevista la sostituzione della macchina stessa. Le operazioni sopra riportate sono
eseguite dal responsabile della rete interna. In caso di assenza del responsabile di rete l’operazione può essere fatta da
uno qualunque dei membri del Servizio Informatico.
Le macchine virtuali sono facilmente “spostabili” su altri server fisici, con una operazione a cura degli operatori del
CED.
Switch
Attualmente nell’Unione Reno Galliera risultano installati diversi switch sui quali si basano tutta l’architettura di rete
delle sedi interessate dal progetto ed hanno chiaramente un fattore elevato di criticità.
In caso di fault gli switch possono essere sostituiti, temporaneamente e con l’obiettivo di far ripartire un servizio, anche
se ridotto, da un vecchio modello, disponibile a magazzino, oppure da un hub di scorta. La rete ripartirà comunque
anche se con velocità ridotte. Le operazioni sopra riportate sono eseguite dal responsabile della rete interna. In caso di
assenza del responsabile di rete l’operazione può essere fatta da uno qualunque dei membri del Servizio Informatico.
Firewall e Router
I router costituiscono la portante delle comunicazioni dell’ente verso il mondo esterno. I router sono apparecchiature
sulle quali non è sempre possibile prevedere un back-up a caldo e d’altronde non è possibile pensare di tenere una
macchina di questo tipo di scorta in magazzino. Le precauzioni intraprese sono due:
1.
Il router che connette l’ente ad Internet tramite la rete a Larga Banda LEPIDA è in gestione e manutenzione
dalla società Lepida.
2.
Per le connessioni HDSL il router è a noleggio ed è assistito da Telecomitalia, la quale assicura dei livelli di
SLA Service Level Agreement in grado di assicurare tempi di intervento dell’ordine delle 8 ore dalla
segnalazione di guasto o del problema.
Le connessioni in fibra ottica sono gestite tramite switch e apparecchiature relative (media converter, ecc.).
Il firewall è ridondato ovvero ci sono due sistemi Sonicwall 4060 in modalità attivo – passivo: quando il firewall
primario va in fault interviene il secondario che ha le stesse configurazioni del primario. Il sistema è assistito
direttamente in gestione e manutenzione alla System Service.
________________________________________________________________________________________________________________________
02/06/17
83
Le connessioni XDSL e ISDN sono invece in assistenza Telecomitalia che garantisce tempi di intervento entro le 8 ore
lavorative
Collegamenti WAN per telecomunicazioni
Tutti i collegamenti LAN principali sono in fibra ottica a 100 Mb/s grazie alla rete regionale Lepida che fornisce
assistenza 24x7 e su cui si appoggia anche la telefonia in modalità VOIP. Presso la sede del CED è attivo un
collegamento di backup HDSL, mentre presso la sede dell’Unione è attivo un collegamento di backup ADSL.
Sistema di Storage
Sul sistema di storage, acquisito di recente, saranno memorizzati i pool delle macchine XEN, il file server e i database
server.
Il sistema di Storage (SAN NetApp Fas 2020) gode della garanzia triennale del produttore ed è supportato da un punto
di vista sistemistica dalla ditta 3Cime Technology.
Il sistema è a doppia testa ridondata (per gestire eventuali fault di controller, CPU, sistema operativo, ecc).
In caso di fault di dischi la situazione è la seguente:
in caso di rottura di un disco il sistema continua a funzionare e viene attivata in automatico una richiesta di
sostituzione al fornitore;
in caso di rottura di due dischi (sullo stesso array) il sistema continua a funzionare per 2 ore e poi si mette in
protezione non potendo garantire integrità dei dati;
in caso di rottura di 3 dischi sullo stesso array il sistema cessa di funzionare ed è necessario il ripristino dei
backup;
in caso di rottura di due dischi su array diversi il sistema continua a funzionare (come nel caso di un fault di un
singolo disco);
Alimentazione elettrica
Tutti i server dispongono di doppia alimentazione e ogni alimentazione si appoggia ad un gruppo di continuità diverso. I
gruppi di continuità sono alimentati da linee elettriche distinte.
In caso di sovratensioni gli UPS vanno in protezione per evitare danneggiamenti al sistema ed è necessario provvedere a
riattivarlo.
________________________________________________________________________________________________________________________
02/06/17
84
6 Procedure da seguire in caso di fault
La procedura da seguire, che cercheremo di definire passo a passo, è strettamente legata alle soluzioni tecniche adottate.
Vero è che quasi tutti i sistemi di fault tolerance individuati si attivano in modo automatico. Ci sono però delle azioni da
eseguire comunque.
Server
Il sistema virtualizzato (prevalentemente anche se non totalmente) pemette nella stragrande maggioranza dei casi di
affrontare eventuali fault fisici senza interruzioni del servizio. Vediamo nel dettaglio le operazioni da compiere.
1.
Rilevazione del fault tramite il sistema di monitoraggio
2.
Rilevazione dell’impatto sui servizi
3.
Nel caso il fault sia limitato a una singola macchina spostamento delle macchine virtuali su altre macchine
4.
Attivazione delle richieste di assistenza hardware e sistemistica
5.
In caso di eventi disastrosi che coinvolgono vari server, recupero dei backup e reinstallazione dei server anche
in una sede diversa
Switch
Tutti gli switch garantiscono il lavoro di tutti gli utenti e quindi devono funzionare sempre. In caso di fault di uno
switch le operazioni che il responsabile del CED dell’ente devono fare sono due:
1.
accedere immediatamente al magazzino e ricuperare uno switch o un hub di scorta;
2.
provvedere alla sostituzione dello switch danneggiato con uno di scorta: gli utenti potranno così ricominciare a
lavorare anche se con prestazioni ridotte;
3.
provvedere alla reintegrazione del router di scorta
Firewall e connessione ad Internet
1.
In caso di fallimento del firewall verifica che il sistema secondario sia partito correttamente
2.
In caso di problemi contattare l’assistenza System Service
3.
In caso di fault delle connessioni Lepida viene contattato il numero di assistenza Lepida attivo 24 x 7
4.
In caso di fault prolungato della rete Lepida deve essere attivato il collegamento con la linea HDSL
Sistema di storage
1.
In caso di fault di un disco del sistema Storage (FAS NetApp 2020) avviene la richiesta automatica al fornitore
che invia un disco sostitutivo e un tecnico per l’installazione entro la giornata lavorativa; tale attività non
richiede interventi del personale del servizio informatico che devono solamente presidiare la corretta
evoluzione delle attività (si noti che il blocco di un disco non causa il blocco del sistema come evidenziato in
________________________________________________________________________________________________________________________
02/06/17
85
precedenza).
2.
In caso di altri fault e in caso di mancato riavvio dei sistemi viene attivata una richiesta di assistenza alla ditta
3Cime Technology che risponde entro 2 ore dalla richieste e interviene entro la giornata lavorativa
Alimentazione elettrica
1.
Verifica che i gruppi di continuità siano entrati in funzione
2.
In caso di prolungato fermo progressivo spegnimento dei server e delle postazioni di lavoro
________________________________________________________________________________________________________________________
02/06/17
86
7 Azioni da intraprendere per il disaster recovery
Dobbiamo innanzi tutto definire quali sono le sedi interessate allo studio di disaster recovery. Attualmente c’è la sede
principale (CED presso Argelato), la sede di archiviazione dati, sempre presso Argelato, ma in un edificio distinto dal
ced, la sede di Castel Maggiore (Piazza Amendola) che è adeguata come sala server e che può essere essere usata come
sede di disaster recovey.
E’ opportuno evidenziare che si sta attivando una nuova sede per l’Unione Reno Galliera ed in tale sede verrà
predisposto un sistema di disater recovery più evoluto.
A. Sede principale Comune di Argelato, Via Argelati 4 - 40050 Argelato (BO)
B.
Sede di archiviazione dei dati c/o Palazzina Servizi alla persona Piazza Caduti per la Libertà 11 - Cap 40050
Argelato (Bo)
C. Sede di Disaster Recovery, Piazza Amendola, Comune di Castel Maggiore.
Azione preventive da eseguire nella sede principale
1.
eseguire giornalmente il back-up dei dati
2.
controllare la corretta esecuzione dei back-up
3.
controllare due volte alla settimana la buona riuscita dei back-up “disaster copy”
4.
controllare che le versioni del software di back-up siano quelle presenti nei CD-ROM di installazione
5.
provvedere a centralizzare in luogo definito e sicuro, esterno all’ente, o interno ma in luogo sicuro, CD ROM
dei sistemi operativi e dei software di sistema e di back-up, in modo da averli sempre a disposizione in caso di
bisogno
________________________________________________________________________________________________________________________
02/06/17
87
8 Procedure da seguire in caso di disaster
1.
Innanzi abbiamo definito ed attivato una procedura che permette di avere periodicamente i dati ricoverati in un
luogo sicuro, nel nostro caso la sede di “archiviazione dei dati di back-up-disaster”. Nel nostro caso dunque
ogni giorno una copia incrementale dei back-up definita “disaster copy” viene effettuata dalla sede A alla sede
di archiviazione dei dati B di copia dei dati, pronta per essere trasferita nella sede C in caso di disastro.
2.
In secondo luogo si ricorda che giornalmente si eseguono e si controllano i back-up ordinari
3.
nella sede B sono salvati anche i modelli delle macchine virtuali più utilizzate
4.
Presso la sede di disaster sono disponibili alcuni server non utilizzati da attivare in caso di disastro; oltre a
questi, in caso di bisogno, abbiamo previsto che il fornitore hardware ItView renda disponibile un server
“disaster” da installare presso la sede C, pronto per accogliere la restore dei dati: detto server verrà fornito,
sulla base dell’accordo che il cliente ha in essere con il ItView stesso, entro 3 giorni nella sede C di disaster,
completo di lettore dei nastri di back-up.
5.
ordinare a ItView necessità di attivare i server “disaster” sui quali far ripartire il servizio, server che, come da
accordi devono essere resi disponibili nella sede di disaster entro 3 giorni
6.
avvertire del disastro i partner System Service, ADS, 3Cime Technology e ItView perché si tenga pronto ad
intervenire
7.
definire gli utenti che dovranno ripartire nella sede di disaster
8.
provvedere alla reinstallazione dei server Windows 200X e Linux e al restore dei dati
9.
installare le postazioni client per detti utenti o permettergli di lavorare da postazioni esistenti ridefinire le
stampanti
10. riattivare il sistema di back-up sul nuovo server
Considerazioni su Router e Wan Link
1.
avvertire del disastro il partner System Service perché si tenga ad intervenire
2.
avvertire del disastro i partner System Service, ADS e ItView perché si tenga ad intervenire
3.
la sede di disaster è dotata di collegamento Lepida e quindi non è necessario attivare nuovi collegamenti o
abbonamenti
4.
provvedere alla riconfigurazione dei servizi firewall
________________________________________________________________________________________________________________________
02/06/17
88
Sistema di Storage e Alimentazione elettrica
1.
Nella sede di disaster non si dispone di un sistema di storage ed è quindi necessario provvedere con server che
hanno lo spazio disco interno senza ricorrere ad un sistema di storage esterno
2.
La sede di disaster è dotata di alimentazione elettrica adeguata
________________________________________________________________________________________________________________________
02/06/17
89
9 Conclusioni
La realizzazione di un ambiente strutturato e centralizzato avvenuta in questi anni ha reso più critiche le politiche di
sicurezza perché il fault della server farm centrale implica il blocco di tutti gli utenti di tutti i comuni.
Le attività di fault tolerance e soprattutto di disater recovery sono rese difficili dalle caratteristiche del nostro sistema
che di seguito evidenziamo:
numero di applicazioni molto elevato (oltre 60 applicazioni per i soli servizi dell’Unione, oltre 260 se si
considerano tutti gli enti serviti)
in conseguenza c’è un elevato numero di server (oltre 55 server virtuali e 30 fisici) e una occupazione di spazio
intorno agli 8 TB (otto TeraByte)
Per questo si è cercato negli ultimi anni di attivare misure più forti per favorire la continuità operativa e il ripristino in
caso di eventi disastrosi. Tra questi evidenziamo:
il rifacimento dell’impianto elettrico;
l’attivazione di linee di backup
l’attivazione di un sistema di condizionamento dedicato alla sala server
l’attivazione di un sistema di storage dedicato con doppia testa ridondato
per innalzare i livelli di sicurezza sarebbe opportuno prevedere ulteriori interventi sull’infrastruttura
l’attivazione di un collegamento dedicato (in LAN tramite fibra ottica) tra la sede del CED e la sede di disaster
recovery, questo permette di non riconfigurare gli apparati con indirizzi diversi;
acquisire un ulteriore sistema di storage anche di fascia bassa per la sede di disaster recovery
acquisire ulteriori server da inserire nella sede di disaster
potenziamento degli apparati di rete, in particolare di quelli di fascia alta
________________________________________________________________________________________________________________________
02/06/17
90
10 Termini e definizioni
La terminologia relativa alla disciplina della gestione dei rischi di protezione può a volte essere di difficile
comprensione. In alcuni casi, un termine noto può essere interpretato in modo diverso da persone diverse. Per questi
motivi è importante comprendere le definizioni attribuite dagli autori di questa guida ai termini più importanti in essa
contenuti. Molte delle definizioni elencate di seguito sono state originariamente utilizzate all’interno di documenti
pubblicati da altre due organizzazioni: la International Standards Organization (ISO) e la Internet Engineering Task
Force (IETF). Gli indirizzi dei siti Web di queste organizzazioni sono contenuti nella sezione "Ulteriori informazioni"
più avanti in questo capitolo. Nell’elenco riportato di seguito sono illustrati i componenti principali della gestione dei
rischi di protezione.
• Previsione di perdita annua — L’importo totale in denaro che l’organizzazione perderà in un anno se non viene
presa alcuna iniziativa per ridurre un rischio.
• Tasso di occorrenza annuo — Il numero di volte che un rischio si potrebbe verificare nel corso di un anno.
• Bene — Tutto ciò che ha valore per un’organizzazione, come i componenti hardware e software, i dati, le persone e
la documentazione.
• Disponibilità — La caratteristica di un sistema o di una risorsa di sistema che ne garantisce l’utilizzabilità da parte di
un utente autorizzato che ne abbia fatto richiesta. La disponibilità è una delle caratteristiche fondamentali di un
sistema sicuro.
• CIA — Acronimo di Confidentiality, Integrity, Availability (Riservatezza, Integrità e Disponibilità).
• Riservatezza — La caratteristica in base alla quale un’informazione non viene resa disponibile o divulgata a
individui, entità o processi non autorizzati (ISO 7498-2).
• Controllo — Una modalità organizzativa, procedurale o tecnologica di gestione di un rischio; sinonimo di misura di
protezione o contromisura.
• Analisi costi-benefici — Stima e confronto del valore relativo e del costo associati ai diversi controlli proposti al
fine di implementare il controllo più efficace.
• Supporto alle decisioni — Definizione delle priorità dei rischi sulla base di un’analisi costi-benefici. Il costo
sostenuto per la riduzione di un rischio mediante una soluzione di protezione viene confrontato con i benefici che la
riduzione del rischio apporta all’azienda.
• Difesa a più livelli — L’approccio che prevede l’applicazione di più livelli di protezione nel caso in cui il livello di
difesa di un singolo componente di protezione non sia sufficiente.
• Attacco — Sfruttamento di una vulnerabilità al fine di danneggiare le attività o intaccare la protezione delle
________________________________________________________________________________________________________________________
02/06/17
91
informazioni aziendali.
• Esposizione — La divulgazione dannosa e diretta di dati sensibili a un’entità non autorizzata (RFC 2828). Ai fini del
processo di gestione dei rischi di protezione, con questa definizione si intende in particolare l’entità del danno a un
bene aziendale.
• Impatto — La perdita di profitti complessiva prevista come conseguenza di un attacco ai danni di un bene.
• Integrità — La caratteristica dei dati che non hanno subito alterazioni o distruzioni in modo non autorizzato (ISO
7498-2).
• Riduzione dei rischi — Gestione dei rischi mediante specifiche azioni progettate per affrontare i pericoli ad essi
associati.
• Soluzione di riduzione dei rischi — L’implementazione di un controllo organizzativo, procedurale o tecnologico al
fine di gestire un rischio di protezione.
• Probabilità — La possibilità che un evento si verifichi.
• Gestione dei rischi qualitativa — Un approccio alla gestione dei rischi che prevede l’assegnazione di un valore
relativo ai diversi beni, rischi, controlli e tipi di impatto.
• Gestione dei rischi quantitativa — Un approccio alla gestione dei rischi che prevede l’assegnazione di un valore
numerico oggettivo (ad esempio un valore economico) ai diversi beni, rischi, controlli e tipi di impatto.
• Reputazione — L’opinione della gente nei riguardi di un’organizzazione; la reputazione di molte aziende ha un
valore reale, anche se, essendo un concetto intangibile, è difficilmente quantificabile.
• Ritorno sull’investimento nella protezione (ROSI) — L’importo totale in denaro che un’organizzazione prevede di
risparmiare in un anno grazie all’implementazione di un controllo di protezione.
• Rischio — La combinazione della probabilità che un evento si verifichi e delle conseguenze associate al verificarsi
dell’evento (Guida ISO 73).
• Valutazione dei rischi — Il processo di identificazione dei rischi e di determinazione dell’impatto ad essi associato.
• Gestione dei rischi — Il processo che prevede la determinazione di un livello accettabile di rischio, la valutazione
del livello attuale di rischio, l’adozione di azioni volte a ridurre il rischio a un livello accettabile e il mantenimento di
questo livello di rischio.
• Previsione di perdita singola (SLE) — L’importo totale dei ricavi perduti in seguito a una singola occorrenza del
rischio.
• Pericolo — Una causa potenziale di impatto indesiderato ai danni di un sistema o un’organizzazione (ISO 13335-1).
________________________________________________________________________________________________________________________
02/06/17
92
• Vulnerabilità — Qualsiasi punto debole, processo amministrativo, azione o esposizione fisica che rende un bene
informatico suscettibile di attacco
________________________________________________________________________________________________________________________
02/06/17
93
