aggiornamento del documento programmatico piano operativo per

COPIA
CITTA’ DI ARZIGNANO
Provincia di Vicenza
Sede: Piazza Libertà n. 12 – Arzignano – (VI) C.A.P. 36071
COD. FISC.: 00244950242
Verbale letto,
VERBALE DELLA
GIUNTA COMUNALE
approvato e
sottoscritto.
IL PRESIDENTE
N. 77 del Reg. Delib.
f.to STEFANO
FRACASSO
IL SEGRETARIO
GENERALE
OGGETTO:
AGGIORNAMENTO DEL DOCUMENTO
PROGRAMMATICO PIANO OPERATIVO PER LE
MISURE DI SICUREZZA EX D.LGS. 196/2003
f.to MARIA VOTTA
GRAVINA
L’anno 2008, il giorno 26 del mese di Marzo alle ore 18:05 , nella Sala delle
Adunanze si è riunita la Giunta Comunale con la presenza di:
In pubblicazione
all’Albo Pretorio
per quindici giorni
consecutivi
dal
11/04/2008.
F.to IL SEGRETARIO
GENERALE
PRESENTI
STEFANO FRACASSO
PAOLO CASSAN
ANZOLIN STEFANO
DE MARZI STEFANO
DE SANCTIS ANTONIO
GIACOMELLO GIANDOMENICO
PERETTI LORELLA
SIGNORIN GIANFRANCO
Sindaco
Vice Sindaco
Assessore
Assessore
Assessore
Assessore
Assessore
Assessore
ASSENTI
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Assiste alla seduta il Segretario Generale Dr. MARIA VOTTA GRAVINA.
Il Presidente STEFANO FRACASSO, riconosciuta legale l’adunanza, invita la
Giunta a deliberare sull’oggetto sopraindicato.
Copia conforme
all’originale ad uso
amministrativo.
Lì, _______________
IL SEGRETARIO
GENERALE
___________________
CERTIFICATO DI ESECUTIVITA’
Divenuta esecutiva il 21/04/2008.
IL SEGRETARIO GENERALE
F.to Maria Votta Gravina
LA GIUNTA COMUNALE,
RICHIAMATA la propria precedente deliberazione n. 77 del 28 marzo 2007, avente ad oggetto
“Aggiornamento del documento programmatico – piano operativo per le misure di sicurezza ex D.Lgs.
196/2003 per il trattamento dei dati personali nell’ambito delle attività del Comune di Arzignano”,
esecutiva ai sensi di legge, con cui si è provveduto ad individuare le misure minime di sicurezza previste
dalla normativa per garantire l’integrità dei dati personali contenuti negli archivi;
PRESO ATTO che
· il Codice entrato in vigore il 1^ gennaio 2004 ha confermato la disciplina in materia di sicurezza
dei dati personali introdotta nel 1996;
· in particolare oltre alle misure minime di sicurezza vi è un dovere più generale di custodire i dati
personali in modo tale da contenere il più possibile il rischio che siano distrutti, dispersi,
conoscibili al di fuori dei casi consentiti o trattati in modo illecito, nonché di introdurre ogni utile
dispositivo di protezione legato alle nuove conoscenze tecniche;
DATO ATTO che gli obblighi, così come specificato nel parere del Garante per la protezione dei
dati personali del 22 marzo 2004, sono di due tipi: l’obbligo più generale di ridurre al minimo determinati
rischi nonché il dovere di adottare in ogni caso le “misure minime” di cui l’omessa adozione come
specificato nell’allegato B) del Codice costituisce reato (art. 169 c.c.);
PRESO ATTO che il Sindaco, in qualità di titolare del trattamento dei dati sensibili del D. Lgs.
n° 196/2003, con proprio provvedimento in data 26/03/2008, ha affidato l’incarico di “Amministratore di
sistema”, all’ istruttore direttivo tecnico Guido Bortolan, il quale dovrà svolgere i compiti stabiliti
nell’allegato B del disciplinare tecnico in materia di misure minime di sicurezza;
DATO ATTO che il Sig. Guido Bortolan, istruttore direttivo tecnico del Servizio CED ha
aggiornato il Documento programmatico di sicurezza e ritenuto pertanto di doverlo adottare al fine di
garantire nel modo più efficace possibile la sicurezza dei dati trattati;
VISTO il D. Lgs. N. 196/2003;
VISTI gli allegati pareri previsti dall’art. 49 del D.Lgs. n. 267/2000;
Con voti unanimi, espressi nei modi e nelle forme di legge;
DELIBERA
1. di approvare il Piano di sicurezza informatica così come predisposto dall’Amministratore di sistema
Sig. Guido Bortolan, nel rispetto delle misure minime di sicurezza come previsto dal D. Lgs. N.
196/2003, come configurato nell’allegato, parte integrante e sostanziale del presente atto;
2. di dare atto che ciascun dipendente dovrà attenersi a quanto stabilito dall’Amministratore del sistema
per il corretto uso dei mezzi e per la sicurezza delle banche dati a disposizione;
3. di dare atto che i Responsabili del trattamento sono identificati nei soggetti di nomina dirigenziale
ciascuno per il settore di competenza;
4. di dare atto che ciascun dirigente di settore, provvederà ove necessario, con propria determinazione, a
definire, nel rispetto del documento programmatico riportato in allegato, soluzioni operative per
2
l’applicazione delle misure di sicurezza, con particolare attenzione per eventuali specificità o
complessità strutturali dell'articolazione organizzativa cui risultano essere preposti;
5. di dichiarare la presente deliberazione, con successiva votazione e con voti unanimi, immediatamente
eseguibile, ai sensi dell’art.134 – comma 4 – del D.Lgs. 18.08.2000, n. 267, data la necessità di
adottare il nuovo allegato entro il 31 marzo p.v. così come previsto dal Garante.
3
Allegato alla deliberazione di G.C. n° 77 del 26/03/2008
IL SINDACO
F.to Stefano Fracasso
IL SEGRETARIO GENERALE
F.to Maria Votta Gravina
PIANO DI SICUREZZA INFORMATICA
PARTE A: rischi e contromisure di carattere generale
Articolo 1. Definizioni
Un sistema informativo automatizzato si definisce sicuro quando soddisfa le seguenti proprietà:
·
Disponibilità: l'informazione ed i servizi che eroga devono essere a disposizione degli utenti del
sistema compatibilmente con i livelli di servizio.
·
Integrità: l'informazione ed i servizi erogati possono essere creati, modificati o cancellati solo dalle
persone autorizzate a svolgere tale operazione.
·
Autenticità: garanzia e certificazione della provenienza dei dati.
·
Confidenzialità o Riservatezza : l'informazione che contiene può essere fruita solo dalle persone
autorizzate a compiere tale operazione.
Articolo 2. Ambito di applicazione
1. Il presente documento definisce il piano per la sicurezza informatica relativo alla formazione, alla
gestione, alla trasmissione, all'interscambio, all'accesso, alla conservazione dei documenti informatici, ai
sensi dell'art. 4 lettera c del D.P.C.M. 31 ottobre 2000 "Regole tecniche per il protocollo informatico di cui
al D.P.R. 20 ottobre 1998, n. 428'' e ai sensi dell'art.10 Deliberazione AIPA 51/2000.
2. Il piano per la sicurezza informatica è predisposto dall’Amministratore di sistema [cfr. Deliberazione della
G.C. n. 01 del 10.01.2000] d'intesa con i titolari dal tarttamento dei dati personali e nel rispetto delle
misure minime di sicurezza come previsto D.L. 30 giugno 2003, n. 196.
3. Il piano fa parte del manuale di gestione di cui alle regole tecniche emanate ai sensi del D.P.R. 20
ottobre 1998, n.428 [cfr. art.10 c. 2 Deliberazione AIPA 51/2000].
4. Il piano considera i seguenti aspetti: analisi del rischio, politiche di sicurezza, interventi operativi, piano
della formazione [cfr. art.10 c. 3 Deliberazione AIPA 51/2000], misure minime di sicurezza ai sensi del
D.L. 30 giugno 2003, n. 196 [cfr. artt da 33 al 36 e all. B].
5. Il piano è sottoposto a verifica ed aggiornato con cadenza annuale.
Articolo 3. Finalità
1. Il crescente ricorso alle tecnologie dell'informazione e della comunicazione intrapreso per lo snellimento,
l'ottimizzazione e una maggiore efficienza dei procedimenti amministrativi, comporta una serie di rischi
imputabili all'inaffidabilità delle componenti hardware e software e all'esposizione alle intrusioni
informatiche.
2. La sicurezza del sistema informativo automatizzato va intesa non solo come "protezione del patrimonio
informativo da rilevazioni, modifiche o cancellazioni non autorizzate per cause accidentali o intenzionali'',
ma anche come "limitazione degli effetti causati dall'eventuale occorrenza di tali cause''.
3. Le soluzioni di sicurezza adottate a tutela del sistema informativo automatizzato hanno l'obiettivo di:
· assicurare la protezione degli interessi dei soggetti, pubblici e privati, che fanno affidamento sui
sistemi informativi dell'Amministrazione Comunale;
· evitare eventi pregiudizievoli che possano danneggiare disponibilità, riservatezza e integrità del
patrimonio informativo, disponibile sui sistemi di elaborazione e tramite le reti di connessione
telematica.
Pag. 4
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Articolo 4. Analisi dei rischi
1. L'analisi dei rischi consente di acquisire consapevolezza e visibilità del livello di esposizione al rischio del
proprio patrimonio informativo e di avere una mappa preliminare dell'insieme delle possibili contromisure
di sicurezza da realizzare.
2. L'analisi dei rischi consiste nell'individuazione di tutte le risorse del patrimonio informativo,
nell'identificazione delle minacce a cui tale risorse sono sottoposte e nella definizione delle relative
contromisure.
Articolo 5. Individuazione dei beni da proteggere
1. Gli elementi del sistema informativo automatizzato che necessitano di protezione sono le risorse
hardware, le risorse software, i supporti di memorizzazione e i dati trattati , il cui elenco, riportato in
Allegato A.1, è parte integrante del presente atto.
2. L'elenco delle risorse hardware, software e dei supporti di memorizzazione, di cui all'Allegato A.1, viene
predisposto e mantenuto costantemente aggiornato dall’Amministratore di sistema.
3. L'elenco dei dati trattati, di cui all'allegato A.1, ai sensi del D. Lgs 196/2003 e successive modificazioni, è
predisposto e aggiornato periodicamente dal responsabile del trattamento, individuato con apposito atto
dall'Amministrazione.
Articolo 6. Individuazione delle minacce
1. Gli elementi che minacciano il patrimonio informativo sono riportati in Allegato A.2, che è parte integrante
del presente atto.
2. L'elenco delle minacce, di cui all'Allegato A.2, viene predisposto e mantenuto costantemente aggiornato
dall’Amministratore di sistema.
Articolo 7. Individuazione delle contromisure
1. Le contromisure di natura fisica, logica ed organizzativa, da adottare al fine di ridurre irischi individuati,
sono riportate nell'Allegato A.3, che è parte integrante del presente atto.
2. Le contromisure si suddividono in misure di sicurezza fisica, misure di sicurezza elettroniche e politiche di
sicurezza.
3. L'elenco delle contromisure, di cui all'Allegato A.3, viene predisposto e mantenuto costantemente
aggiornato dall’Amministratore di sistema.
Articolo 8. Norme per il personale
1. Tutti i dipendenti dell'Amministrazione concorrono alla realizzazione della sicurezza, pertanto devono
proteggere le risorse loro assegnate per lo svolgimento dell'attività lavorativa e indicate all'art. 5, nel
rispetto di quanto stabilito dalle politiche di cui all'art.7, in particolare relativamente all'utilizzo delle risorse
informatiche, all'accesso ai sistemi e ai dati e all'uso della password.
Articolo 9. Il Piano della Formazione
1. L'introduzione del piano per la sicurezza, come di qualunque altro elemento che modifichi le modalità
lavorative all'interno di una qualsiasi realtà, è accompagnata da un piano per la formazione di cui
all'Allegato A.4.
2. Il piano della formazione viene predisposto e aggiornato con cadenza biennale dal responsabile della
formazione dell'Amministrazione d'intesa con l’Amministratore di sistema.
Pag. 5
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Pag. 6
Comune di Arzignamo
Piano Sicurezza Informatica 2008
ALLEGATO A.1
Elenco delle Risorse Hardware
Il documento elenca tutte le risorse hardware individuate dall’Amministratore di sistema.
Rientrano in questa categoria tutte le CPU, terminali, workstation, personal computer, stampanti, disk drive,
linee di comunicazione, server, router in dotazione presso l'Amministrazione Comunale.
Server
ARZIGNANO5
ARZIGNANO2
ARZIGNANO3
ARZIGNANO4
PROXY
VENUS
ORACLE
MARS
ARZIGNANO6
IRIDE
Marca / Modello
Sistema Operativo
IP
MAC
WONDOWS DELL POWER EDGE Microsoft Windows 2003 200.0.0.35 00:13:72:66:4d:55
2003 DOMAIN 2850
SERVER
CONTROLLER
DB server
IBM eserver
Microsoft
200.0.0.15 00:02:55:6D:1B:CE
xSeries 220 -[8645]- Windows 2000 Server
DB server
IBM eserver
Microsoft
200.0.0.14 00:02:55:6D:1B:DA
xSeries 220 -[8645]- Windows 2000 Server
WONDOWS A
c
e
rMicrosoft
200.0.0.50 00:C0:9F:37:E0:3A
2003 DOMAIN Altos G510
Windows 2003 Server
CONTROLLER
Firewall – proxy H e w l e t t - P a c k a r d GNU/Linux
200.0.0.5 00:50:FC:33:F4:FF
– mail server Proliant DL320
Debian Etch
Appoggio
Acer
GNU/Linux
200.0.0.3 00:00:E2:26:6E:B8
Altos
Slackware
DB server
Hewlett-Packard
GNU/Linux
200.0.0.7 00:0F:20:97:17:CF
ML 350 G3
RedHat ES 3
Web server – Acer
GNU/Linux
200.0.0.6 00:C0:9F:1E:AA:4C
DB server
Altos
Debian 3.1
Sperimentale Hewlett-Packard
Microsoft WINDOWS
200.0.0.36 00:12:79:55:2A:90
Riserva
ML 150
2000
SERVER
DB SERVER FUJITSU-SIEMENS WINDOWS 2003
200.0.0.38
APPLICATION RX 300 S3
SERVER X64
SERVER
Pag. 7
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Nome PC
Produttore
Modello
RAM
Processore
Mhz
ADELINA
Assemblato
AWRDACPI
267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz
1594
ALESSANDRA
AcerSystem
Aspire 8000 XP DDRb
368558080 AMD Athlon(tm) XP 2400+
1999
CED
AcerSystem
Aspire 8000 XP DDRb
512 MB AMD Athlon(tm) XP 2400+
1999
ANNA
FUJITSU SIEMENS
SCENIC P / SCENICO P
468434944 AMD Athlon(tm) 64 Processor 3200+
ANTONELLA
Hewlett-Packard
HP Vectra
266846208 Processore Intel Pentium III
797
ANTONIO
AcerSystem
Aspire 8000 XP DDRb
368558080 AMD Athlon(tm) XP 2400+
1999
ATO04
Assemblato
ASSESSORI
Maxdata
P4 5800-MX
BANCONE_MANTESE
Acer
Veriton
BASILIO
Assemblato
1 GB INTEL P4+
3000
ALESSANDRAC
Assemblato
1 GB INTEL P4+
3000
BEATRICE01
Maxdata
P4 5800-MX
CAPOCED-NEW
FUJITSU SIEMENS
SCENIC P / SCENICO P
CARLA
Assemblato
P4S5A/DX+
CARMELA
2200
512 Mb Intel Pentium 4
3000
512 mb Pentiun 4
2800
267894784 Intel(R) Pentium(R) 4 CPU 1.70GHz
512 mb Pentiun 4
1700
2800
1005305856 AMD Athlon(tm) 64 Processor 3200+
2200
267894784 Intel(R) Pentium(R) 4 CPU 2.00GHz
1992
VIA Technologies, Inc. VT8363
267964416 AMD Athlon(tm) MP processor
1333
CENTRALINO
System Manufacturer
System Name
267948032 Processore Intel Pentium III
650
CESARE
AcerSystem
Aspire 8000 XP DDRb
368558080 AMD Athlon(tm) XP 2400+
1999
CINZIA
INTELR
AWRDACPI
267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz
1603
CINZIAB2
MAXDATA
P4S800-MX
501989376 Intel(R) Pentium(R) 4 CPU 2.80GHz
2801
CINZIAD
Assemblato
AWRDACPI
267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz
1603
CINZIAS2
DELL
OPTIPLEX DX 520
CONSIGLIERI
AcerSystem
Aspire 8000 XP DDRb
CULTURA01
MAXDATA
P4S800-MX
DANIELA
AcerSystem
Aspire 8000 XP DDRb
Pag. 8
512 MB Intel CELERON
368558080 AMD Athlon(tm) XP 2400+
1072414720 Intel(R) Pentium(R) 4 CPU 2.80GHz
368558080 AMD Athlon(tm) XP 2400+
3000
1999
2800
1999
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Service
Sistema Operativo
Pack
Microsoft Windows
2000 Professional
4
Microsoft Windows XP
Professional
2
Microsoft Windows XP
Professional
2
Microsoft Windows XP
Professional
2
Microsoft Windows
2000 Professional
3
Microsoft Windows XP
Professional
2
Microsoft Windows XP
Professional
2
Microsoft Windows XP
Professional
2
Microsoft Windows XP
Professional
2
Microsoft Windows XP
Professional
2
Microsoft Windows XP
Professional
2
Microsoft Windows XP
Professional
2
Microsoft Windows XP
Professional
2
Microsoft Windows
2000 Professional
4
Microsoft Windows
2000 Professional
4
Microsoft Windows
2000 Professional
4
Microsoft Windows XP
Professional
2
Microsoft Windows
2000 Professional
4
Microsoft Windows XP
Professional
2
Microsoft Windows
2000 Professional
4
Microsoft Windows
XP Professional
2
Microsoft Windows XP
Professional
Microsoft Windows XP
Professional
2
Microsoft Windows XP
Professional
2
IP
MAC
DHCP
200.0.0.233 00:60:97:19:C1:A8
X
200.0.0.249 00:E0:4C:9D:BE:64
X
200.0.0.90
00:E0:4C:9C:40:D3
200.0.0.166 00:11:2F:F0:BE:0E
X
200.0.0.185 00:01:03:0D:CA:B4
X
200.0.0.235 00:E0:4C:9C:3F:F8
X
200.0.0.209 00:00:E2:65:59:96
X
200.0.0.112 00:E0:4C:9C:40:11
X
200.0.0.105 00:E0:4C:9C:40:11
X
200.0.0.163 00:11:2F:F0:BE:F0
X
200.0.0.191 00:0A:E6:39:64:02
X
200.0.0.202 00:C0:DF:10:A9:27
X
200.0.0.159 00:E0:18:00:95:20
X
200.0.0.160 00:E0:4C:95:B7:CE
X
200.0.0.147 00:05:1C:0B:3E:AE
X
200.0.0.173 00:11:2F:59:57:CE
X
200.0.0.214 00:05:1C:0B:70:5F
X
200.0.0.111 00:E0:4C:9D:C0:AB
X
200.0.0.232
200.0.0.245 00:11:2F:32:04:81
X
200.0.0.205 00:E0:4C:9C:EE:81
X
DANILO
Acer
SIT03
ASSEMBLATO
DENISE
Assemblato
P4S5A/DX+
DIEGO
INTERCOMP
MICRO NLX
DOMENICO
Hewlett-Packard
HP Vectra
DORIANA
Assemblato
AWRDACPI
267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz
ECONOMO
FUJITSU SIEMENS
SCENIC P / SCENICO P
502218752 Intel(R) Pentium(R) 4 CPU 2.93GHz
EGIDIO
ASSEMBLATO
AWRDACPI
267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz
ELENA2
DELL
OPTIPLEX DX 520
ELETTORALE1
Intercomp
Micro Nlx
ELETTORALE4
DELL
OPTIPLEX DX 520
ELETTORALE2
Assemblato
FEDERICO
MAXDATA
P4S800-MX
ROBERTS
DELL
OPTIPLEX DX520
FULVIA
Assemblato
Assemblato.
GIANCARLO
HP
Vectra
GIOVANNA
INTELR
AWRDACPI
267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz
GIUSY
ECS
P4S5A/DX+
267894784 Intel(R) Pentium(R) 4 CPU 2.00GHz
GRAZIA2
MAXDATA
P4S800-MX
501989376 Intel(R) Pentium(R) 4 CPU 2.80GHz
GRAZIELLA2
FUJITSU SIEMENS
SCENIC P / SCENICO
GUIDO
FUJITSU SIEMENS
SCENIC P / SCENICO P
MIRIAMOLD
INTERCOMP
MICRO NLX
LOREDANA2
MAXDATA
P4S800-MX
LORELLA
INTERCOMP
MICRO NLX
LORENZA
ASSEMBLATO
AWRDACPI
Pag. 9
Veriton
267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz
1 GB INTEL P4
267894784 Intel(R) Pentium(R) 4 CPU 2.00GHz
192 MB
Processore Intel Celeron
256 Mb Processore Intel Pentium III
512 MB Intel PENTIUM 4
267948032 Processore Intel Pentium III
512 MB Intel CELERON
200839168 Processore Amd
501989376 Intel(R) Pentium(R) 4 CPU 2.80GHz
512 MB Processore Intel Pentium 4
536068096 Intel(R) Pentium(R) 4 CPU 2.00GHz
256 Mb Intel Pentium 3 800
2 GHZ AMD ATHLON XP
1072414720 AMD Athlon(tm) 64 Processor 3200+
192 MB
Processore Intel Celeron
501989376 Intel(R) Pentium(R) 4 CPU 2.80GHz
256 MB
Microsoft Windows
1600 2000 Professional
WINDOWS XP
3000 professional
Microsoft Windows
1991 2000 Professional
Microsoft Windows
634 2000 Professional
Microsoft Windows
797 2000 Professional
Microsoft Windows
1594 2000 Professional
Microsoft Windows XP
2933 Professional
Microsoft Windows
1594 2000 Professional
2.8
GHZ Microsoft Windows XP
Microsoft Windows
652 2000 Professional
Microsoft Windows
3000 2000 Professional
Microsoft Windows
800 2000 Professional
Microsoft Windows XP
2800 Professional
2.8 Microsoft Windows XP
GHZ Professional
Microsoft Windows
1999 2000 Professional
Microsoft Windows
800 2000 Professional
Microsoft Windows
1603 2000 Professional
Microsoft Windows
1991 2000 Professional
Microsoft Windows XP
2801 Professional
MICROSOFT
256 WINDOWS XP
MB PROFESSIONAL
Microsoft Windows XP
2200 Professional
Microsoft Windows
634 2000 Professional
Microsoft Windows XP
2800 Professional
4
200.0.0.232 00:00:E2:68:1A:96
X
4
200.0.0.164 00:E0:4C:9C:ED:D7
X
4
200.0.0.155 00:0A:E6:39:5A:0B
X
4
200.0.0.156 00:60:97:BC:F4:B1
X
3
200.0.0.157 00:A0:C9:1D:60:D9
X
2
200.0.0.220 00:30:05:87:64:89
X
4
200.0.0.226 00:50:DA:71:18:0A
X
2
200.0.0.143 0014224c564f
X
4
200.0.0.224 00:E0:18:00:97:27
X
4
200.0.0.224 00:E0:18:00:97:27
X
4
200.0.0.165 00:E0:18:00:96:25
X
2
200.0.0.179 00:11:2F:32:04:65
X
4
200.0.0.205 00:04:23:15:EF:0C
X
4
200.0.0.204 00:11:2F:B5:0D:18
X
4
200.0.0.238
4
200.0.0.208 00:05:1C:0B:96:C0
X
3
200.0.0.192 00:0A:E6:39:90:AB
X
2
200.0.0.240 00:11:2F:31:FF:EE
X
2
200.0.0.189 000c761e8dc3
X
2
200.0.0.166 00:11:2F:F0:BE:F1
X
4
200.0.0.243 00:30:18:60:26:58
X
2
200.0.0.174 00:11:2F:32:04:6E
X
4
200.0.0.153 00:A0:C9:1D:63:3E
X
4
Processore Intel Celeron
267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz
Microsoft Windows
1594 2000 Professional
Comune di Arzignamo
Piano Sicurezza Informatica 2008
LORENZO
ASSEMBLATO
256 MB AMD Athlon(tm) Processor
LUISADC
ASSEMBLATO
AWRDACPI
267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz
LUISAP
ASSEMBLATO
P4S5A/DX+
267894784 Intel(R) Pentium(R) 4 CPU 2.00GHz
MARIAGRAZIA
FUJTSU SIMENS
SCENIC P / SCENICO P
512 MB Intel(R) Pentium(R) 4 CPU
MARIO2
DELL
OPTIPLEX DX 520
512 MB Intel(R) Pentium(R) 4 CPU
MARISA
INTERCOMP
MICRO NLX
128 MB Intel(R) CELERON
MARISANA
MAXDATA
P4S800-MX
501989376 Intel(R) Pentium(R) 4 CPU 2.80GHz
MARTA
Acer
Veriton
267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz
MASSIMOP2
FUJTSU SIMENS
SCENIC P / SCENICO P
MAURIZIOD
ASSEMBLATO
MESSI
Hewlett-Packard
HP Vectra
256 MB Processore Intel Pentium III
MIRIAM
DELL
OPTIPLEX 210L
512 MB Processore Intel Celeron
NERI_VITTORINO
FUJTSU SIMENS
SCENIC P / SCENICO P
512 MB Intel(R) Pentium(R) 4 CPU
PAOLAB
INTERCOMP
MICRO NLX
267948032 Processore Intel Pentium III
PAOLAF
Hewlett-Packard
HP Vectra
132628480 Processore Intel Pentium III
PAOLAM
MAXDATA
P4S800-MX
PAOLAS
AcerSystem
Aspire 8000 XP DDRb
368558080 AMD Athlon(tm) XP 2400+
POLIZAEDILIZIA
Hewlett-Packard
HP Vectra
266846208 Processore Intel Pentium III
PROG01
ASSEMBLATO
null
512 MB Intel(R) Pentium(R) 4 CPU 2.00GHz
PROG01NEW
FUJTSU SIMENS
SCENIC P / SCENICO P
512 MB Intel(R) Pentium(R) 4 CPU
PROG02
PROG03
ASSEMBLATO
ASSEMBLATO
AWRDACPI
AWRDACPI
512 MB Intel(R) Pentium(R) 4 CPU
256 MB Intel(R) Pentium(R) 4 CPU
512 MB Intel(R) Pentium(R) 4 CPU
Microsoft Windows
995 2000 Professional
Microsoft Windows
1603 2000 Professional
Microsoft Windows
1991 2000 Professional
MICROSOFT
2.93 WINDOWS XP
GHZ PROFESSIONAL
MICROSOFT
2.8 WINDOWS XP
GHz PROFESSIONAL
500 MICROSOFT
MHZ WINDOWS NT 4
Microsoft Windows XP
2801 Professional
Microsoft Windows
1600 2000 Professional
MICROSOFT
2.93 WINDOWS XP
GHZ PROFESSIONAL
1.6 Microsoft Windows
GHZ 2000 Professional
Microsoft Windows
501 2000 Professional
2.79 Microsoft Windows
GHZ XP Professional
2.93 Microsoft Windows
GHZ XP Professional
Microsoft Windows
650 2000 Professional
Microsoft Windows
797 2000 Professional
Microsoft Windows XP
2801 Professional
Microsoft Windows XP
1999 Professional
Microsoft Windows
797 2000 Professional
4
200.0.0.180 00:E0:06:F8:E5:48
X
3
200.0.0.158 00:05:1C:0B:9E:3D
X
3
200.0.0.190 00:0A:E6:58:B4:0E
X
2
200.0.0.242 00:11:2F:31:FF:DC
X
4
200.0.0.182 0001030dc858
X
4
200.0.0.183 00a024f22b31
X
4
200.0.0.184 00:E0:18:A8:BE:E2
X
2
200.0.0.172 00167663f781
X
2
200.0.0.217 003005640f83
X
4
200.0.0.181 00:E0:18:00:95:29
X
4
200.0.0.184 00:01:03:0D:C7:BD
X
2
200.0.0.142 00112f32049b
X
2
200.0.0.210 00:E0:4C:95:B5:EB
X
4
200.0.0.207 00:01:03:0D:F4:3D
X
4
200.0.0.176 00:50:FC:6E:40:5E
X
2
200.0.0.189
X
4
4
200.0.0.222 00:A0:24:F2:2B:30
200.0.0.171 000ae6395c18
X
X
2
2
6
2
PORTATILE02
PORTATILE05
PPINTON
Pag. 10
267898880 Intel(R) Pentium(R) 4 CPU 2.00GHz
256 MB Intel(R) Pentium(R) 4 CPU
Microsoft Windows
1992 2000 Professional
2.93 WINDOWS XP
GHZ PROFESSIONAL
Microsoft Windows
1992 2000 Professional
1.6 Microsoft Windows
Comune di Arzignamo
Piano Sicurezza Informatica 2008
GHZ 2000 Professional
PVIGILI
ROMOLO2
Microsoft Windows
2000 Professional
AcerSystem
ACER POWER KT
AMD Athlon(tm) XP 2400+
SABRINAB
FUJTSU SIMENS
SCENIC P / SCENICO P
512 MB Intel(R) Pentium(R) 4 CPU
SANDRAB
FUJTSU SIMENS
SCENIC P / SCENICO P
512 MB Intel(R) Pentium(R) 4 CPU
2.93
GHZ
2.93
GHZ
SEG01
AcerSystem
AWRDACPI
368558080 AMD Athlon(tm) XP 2400+
1999
SEGRETARIO
MAXDATA
P4S800-MX
512 MB Intel(R) Pentium(R) 4 CPU
2801
SILVANA
FUJITSU SIEMENS
SCENIC P / SCENICO P
502218752 Intel(R) Pentium(R) 4 CPU 2.93GHz
SILVIA
INTERCOMP
MICRO NLX
SINDACO
FUJITSU SIEMENS
AMILO Pro V2000
128 MB INTEL CELERON
Intel(R) Pentium(R) M processor
526827520 1500MHz
SIT01
Dell Inc.
OptiPlex GX620
1071714304 Intel(R) Pentium(R) 4 CPU 3.20GHz
3192
SIT02
Dell Inc.
OptiPlex GX620
1071714304 Intel(R) Pentium(R) 4 CPU 3.20GHz
3192
SOC01
AcerSystem
AWRDACPI
368558080 AMD Athlon(tm) XP 2400+
1999
SOC02
Hewlett-Packard
HP PC
266317824 Processore Intel Pentium III
SOSTITUTIVO6
INTERCOMP
MICRO NLX
996
500
MHZ
TOTO
Hewlett-Packard
HP Vectra
URBANISTICA
DELL
OPTIPLEX 210L
512 MB Processore Intel CELERON
URP1
INTERCOMP
MICRO NLX
256 MB Processore Intel CELERON
URP2
AcerSystem
ACER POWER KT
384 MB AMD Athlon(tm) XP 2400+
URP3N
AcerSystem
ACER POWER KT
384 MB AMD Athlon(tm) XP 2400+
URP4
INTERCOMP
MICRO NLX
256 MB Processore Intel CELERON
VELIA
INTERCOMP
MICRO NLX
256 MB Processore Intel CELERON
VIGILI
Hewlett-Packard
HP Vectra
266846208 Processore Intel Pentium III
AcerSystem
AWRDACPI
368558080 AMD Athlon(tm) XP 2400+
2
SABRINA
192 MB Processore Intel CELERON
266846208 Processore Intel Pentium III
2933
500
1499
797
2.69
GHZ
500
MHZ
Microsoft Windows
2000 Professional
Microsoft Windows
2000 Professional
Microsoft Windows XP
Professional
Microsoft Windows
2000 Professional
Microsoft Windows XP
Professional
Microsoft Windows XP
Professional
Microsoft Windows XP
Professional
Microsoft Windows XP
Professional
Microsoft Windows XP
Professional
Microsoft Windows XP
Professional
Microsoft Windows XP
Professional
Microsoft Windows
2000 professional
Microsoft Windows
2000 Professional
Microsoft Windows XP
Professional
MICROSOFT
WINDOWS NT
Microsoft Windows
XP Professional
Microsoft Windows
2000 Professional
MICROSOFT
WINDOWS NT
MICROSOFT
WINDOWS NT
797 Windows 2000
2
2
2
200.0.0.211 00:E0:4C:92:96:FA
X
200.0.0.137 00:30:05:87:62:50
X
1
200.0.0.187 00:0A:E4:26:57:5C
X
2
200.0.0.152 00:12:3F:42:9A:07
X
2
200.0.0.200 00:12:3F:42:99:FF
X
2
200.0.0.193 00:E0:4C:92:01:C6
X
2
200.0.0.162 00:04:23:15:ED:2A
X
200.0.0.237 0014224c5640
X
2
2
2
4
4
2
6
2
2
6
6
4
VIGILI2
VIGILI7
VIGILITXIMG
Pag. 11
Microsoft Windows XP
1999 Professional
Comune di Arzignamo
Piano Sicurezza Informatica 2008
2
VINICIO
FUJITSU SIEMENS
SCENIC P / SCENICO P
502185984 Intel(R) Pentium(R) 4 CPU 2.80GHz
VITTORINO
FUJITSU SIEMENS
SCENIC P / SCENICO P
502185984 Intel(R) Pentium(R) 4 CPU 2.80GHz
Pag. 12
Microsoft Windows XP
2793 Professional
Microsoft Windows XP
2793 Professional
Comune di Arzignamo
Piano Sicurezza Informatica 2008
1
200.0.0.217 00:30:05:64:0F:83
X
Router
Cisco System
Modello
CISCO 1700 Series
Stampanti
Anagrafe
Ragioneria
Progettazione
Protocollo
Ragionaria
Tributi / Commercio
Plotter uff. Progettazione
Plotter uff. Piano
Collegamento Internet WLL con Infracom
Modello
Infotec 4220 MF
NRG DSc224
NRG C7010
Infotec IS 2022
NRG DSc38u
Infotec IS 2022
Ocè
HP DJ800
Fotocopiatrice
Fotocopiatrice / duplex / fax
Fotocopiatrice / duplex / fax
Fotocopiatrice / duplex / fax
Plotter
Plotter
IP / MAC
200.0.0.8
200.0.0.9
200.0.0.27
200.0.0.28
200.0.0.29
200.0.0.30
200.0.0.31
200.0.0.32
Elenco delle Risorse Software
Il documento elenca tutte le risorse software individuate dall’Amministratore di sistema.
Rientrano in questa categoria i Sistemi Operativi e Software di Base (Utilità, diagnostici), Software Applicativi,
Gestori di basi di dati, Software di rete, i Programmi in formato sorgente e oggetto.
Software
Microsoft Windows 2000 Server
Microsoft Windows NT 4.0 Server
Microsoft Windows 2000 Pro
Microsoft Windows XP Pro
Microsoft Windows NT 4.0
Microsoft Windows 98
Microsoft Windows 95
GNU/Linux RedHat ES 3
GNU/Linux Debian 3.0
GNU/Linux Debian 3.1
GNU/Linux Slackware
SAGA Sicra
DeltaDator CiviliaOpen
Cedaf IRIDE
Cedaf PayRoll
Cedaf Perseo
TrendMicro OfficeScan
TrendMicro ServerProtect
GPE
CataICI
Materne
Magaz
Provvisori
Ptrasporti
Pverde
Pidoneità
Prubrica
Ricoveri
Contributi
Assistiti
Ass. Domiciliare
Notifiche
Atti in Deposito
Tipologia
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Gestionale: Anagrafe, Stato Civile, Elettorale
Finanziaria, Economato, Controllo di Gestione
Gestionale: Protocollo, Atti Amministrativi
Gestionale: Paghe
Gestionale: Gestione del personale
Antivirus Centralizzato per i PC
Antivirus Centralizzato per i Server
Gestionale: Pratiche edilizie
Gestionale: Imposta sugli Immobili
Gestione Rette Scuole Materne e Asilo Nido
Gestione Magazzino Economato
Caricamento e Visura Provvisori Tesoreria
Gestione Trasporti Scolastici
Gestione Verde Pubblico
Gestione Idoneità Alloggio Extracomunitari
Rubrica Telefonica Centralino
Gestione Ricoveri Serv. Sociali
Gestione Contributi Serv. Sociali
Gestione Assistiti Serv. Sociali
Gestione Ass. Domiciliare Serv. Sociali
Gestione Notifiche Messi Comunali
Gestione Atti in Deposito presso i Messi Comunali
Elenco dei dati trattati
Pag. 13
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Il documento elenca tutto il contenuto degli archivi, delle basi di dati, dei dati di transito, delle copie storiche e dei file
di registrazione delle attività detenuti dall'Amministrazione.
Database
Anagrafe / Stato Civile /
Elettorale
Finanziaria
Protocollo
Atti Amministrativi
Partiche Edilizie
Gestione del Personale /
Paghe
Elenco della popolazione
residente, nascite, morti,
matrimoni
Dati di bilancio, mandati di
pagamento - riscossione
Elenco documenti in ingresso e
in uscita
Elenco e contenuto degli atti
amministrativi: delibere di
Consiglio e Giunta,
Determinazioni dirigenziali
Macchina / DBServer
Arzignano2 / in gres
Oracle / Oracle 9i
Arzignano3 / Ms SQL Server
Arzignano3 / Ms SQL Server – Doc MsWord
Ptrasporti
Arzignano3 / Ms SQL Server – Doc MsWord
Anagrafe dei dipendenti /
Arzignano3 / Ms SQL Server
posizioni previdenziali /
presenze assenze / stipendi
Anagrafe contribuenti e dei
Arzignano4 / Ms Access
relativi immobili dichiarati,
elenco dei versamenti.
Gestione Rette Scuole
Mars / Firebird
Materne e Asilo Nido
Gestione Magazzino
Mars / Firebird
Economato
Caricamento
e
Visura Mars / Firebird
Provvisori Tesoreria
Gestione Trasporti Scolastici
Mars / Firebird
Pverde
Gestione Verde Pubblico
Pidoneità
Gestione
Idoneità
Alloggio Mars / Firebird
Extracomunitari
Rubrica Telefonica Centralino Mars / Firebird
ICI
Materne
Magaz
Provvisori
Prubrica
Ricoveri
Contributi
Mars / Firebird
Anagrafe (anag)
Gestione Ricoveri Serv. Sociali Arzignano4 / Ms Access
Gestione
Contributi
Serv. Arzignano4 / Ms Access
Sociali
Gestione Assistiti Serv. Sociali Arzignano4 / Ms Access
Gestione Ass. Domiciliare Serv. Arzignano4 / Ms Access
Sociali
Replica Database Anagrafe
Mars / MySql
Anagrafe (arz)
Replica Database Anagrafe
Logs
Log Vari accesso dati e sistema Mars / MySql
Assistiti
Ass. Domiciliare
Mars / MySql
Utenti
Gestione Diritti di accesso Mars / MySql
Visura Anagrafe
Accounts
Gestione
Utenti
Registrati Arzignano3 / SqlServer
Autocertificazione On Line
Autocertificazione On Line Autocertificazione On Line per Proxy (app. server Apache) mars (db server
Utenti Registrati
MySql)
Visura Anagrafe
Visura Dati Anagrafici per i Arzignano2 (app. server
dipendenti comunali
server MySql)
Notifiche
Gestione
Notifiche
Messi Arzignano4 / MsAccess
Comunali
Gestione Atti In Deposito Mars / Firebird
presso i Messi Comunali
Atti in Deposito
Pag. 14
Apache) mars (db
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Archivio
Gestione Archivio Comunale da Mars / Firebird
sede remota (Mag. Comunali)
Elenco dei supporti di memorizzazione
Il documento elenca i supporti su cui vengono tenute le copie dei software installati, le copie delle banche dati e le
copie dei file di registrazione delle attività.
Dati
Software
Database (Ingres, MsSQL Server,
Oracle,MySql,Firebird)
File sul FileServer (Arzignano5)
Totale
Supporto
Frequenza
CD-ROM di installazione e copia su filesystem
su server
Su disco esterno e su file system locale
Giornaliera
Su disco esterno
Su nastro
Giornaliera
1 volte alla settimana
mercoledì
Elenco degli Utenti del dominio ARZIGNANO
Account
Adelina
Nome utente
Facchin Adelina
Descrizione
Asilo Nido - Scuole Materne
Dis. Gruppi
Domain Users
Scuole
AnagrafeConsulta
cer
Administrator
Built-in account for
administering the
computer/domain
Domain Users
Domain Admins
OperatoriIngres
Schema Admins
Enterprise Admins
Group Policy Creator Owners
Account Operators
Administrators
Backup Operators
albertor
DISABILITATO
Alberto Rancan
Lavori Pubblici
X
Domain Users
Territorio
Albertoz
DISABILITATO
Alberto Zambon
Lavori Pubblici
X
Domain Users
LavoriPubblici
Territorio
Alessandra
Alessandra Maule
Capo Ragioneria
Domain Users
Ragioneria
OperatoriIngres
Tributi
Economato
Contabilit…
bilancio
ATO
PersonaleG
Personale
AlessandraC
Pag. 15
Ceoloni
Uff. Tributi
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Alessandra
Domain Users
CED
OperatoriIngres
Ragioneria
Tributi
Alfredoc
Carlotto Alfredo
Atti e Certificazioni
Domain Users
Anagrafe
OperatoriIngres
Urbanistica
Elettorale
andreab
DISABILITATO
Andrea Bellamio
Agente di Polizia Municipale
X
Domain Users
Polizia
angelo
Cattazzo Angelo
Polizia Municipale
Domain Users
Polizia
OperatoriIngres
Anna
Anna Tosini
Capo Personale
Domain Users
OperatoriIngres
PersonaleG
Personale
Annalisa
Annalisa Pretto
Uff. Relazioni col Pubblico
Domain Users
Anagrafe
OperatoriIngres
Elettorale
antonella
Antonella Cenzato
Uff. Personale
Domain Users
OperatoriIngres
PersonaleG
Personale
Antonio
Berto Antonio
Polizia Municpale
Domain Users
Polizia
antoniod
Antonio de Sanctis Assessore
Domain Users
Anagrafe
Vicesegreteria
Apache
Web Server
Apache
utente Web Server Apache su
Arzignano2
Armido
DISABILITATO
Armido Giordani
P.R.G. - C-D.U
Domain Users
X
Domain Users
Anagrafe
Urbanistica
Territorio
Augusto
DISABILITATO
Augusto Cocco
Augusto Cocco Uff. Elettorale
X
Domain Users
Anagrafe
OperatoriIngres
AnagrafeBO
StatoCivile
Pag. 16
Comune di Arzignamo
Piano Sicurezza Informatica 2008
augustol
Augusto Lovato
Polizia Municipale
Domain Users
Polizia
Barbara
Barbara Bardati
DISATTIVATO Barbara Bardati
Uff. URP
Domain Users
Anagrafe
Urbanistica
OperatoriIngres
barbaram
DISABILITATO
Giorgio Piazzo
temp. urbanistica
X
Domain Users
Urbanistica
PRG
Territorio
Basilio
Basilio Pegoraro
Uff. tributi
Domain Users
Ragioneria
Tributi
OperatoriIngres
Beatrice
Beatrice Lorenzi
Appalti e Contratti
Domain Users
TerritorioAmministr
peg
cer
Urbanistica
Territorio
LavoriPubblici
Carla
Carla Baldisserotto Ufficio Sport
Domain Users
Anagrafe
cer
Vicesegreteria
Carmela
Carmela Bellini
Urbanistica
Domain Users
Urbanistica
Territorio
TerritorioAmministr
Ambiente
Catiana
Pasqualini Catiana Protocollo
Domain Users
Anagrafe
OperatoriIngres
Messi
Protocollo
Elettorale
cedaf
cedaf per
manutenzione
remota
DISABILITATO cedaf
X
cedstage
Stagista Ced
DISABILITATO Stagista ced
X
Domain Guests
Domain Users
CED
Cesare
Bassetto Cesare
Coordinatore serv.
amministrativo LL PP
Domain Users
LavoriPubblici
OperatoriIngres
Pag. 17
Comune di Arzignamo
Piano Sicurezza Informatica 2008
LavoriPubbliciAdmin
Territorio
TerritorioAmministr
Cinzia
Cinzia Nevicelli
Servizi Sociali
Domain Users
OperatoriIngres
Servizi Sociali
CinziaB
Cinzia Bettega
Ragioneria
Domain Users
Ragioneria
OperatoriIngres
Economato
Contabilit…
CinziaD
Cinzia De Maggi
Commercio
Domain Users
Commercio
CinziaS
Cinzia Sartori
Servizi Sociali
Domain Users
Servizi Sociali
Anagrafe
claudio
Claudio Rigoni
Polizia Municpale
Domain Users
Polizia
claudioa
Claudio Accettini
Polizia Municipale
Domain Users
Polizia
Daniela
Daniela Bevilacqua Delibere
Domain Users
Segreteria
OperatoriIngres
Scuole
peg
cer
TerritorioAmministr
Vicesegreteria
Danielaz
Daniela Zapolla
Polizia Municipale
Domain Users
Polizia
Danilo
Danilo Guarti
Ecologia - Ambiente
Domain Users
Ambiente
peg
Territorio
Urbanistica
TerritorioAmministr
Davide
Davide Zorzanello
Ufficio Ambiente (temp)
Domain Users
Ambiente
TerritorioAmministr
Urbanistica
debora
DISABILITATO
Polizia Municipale
Debora Caposilvan
X
Domain Users
Polizia
Denise
Denise Dani
Capo rip. Anagrafe St. civ.
Domain Users
Anagrafe
OperatoriIngres
Pag. 18
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Elettorale
StatoCivile
peg
AnagrafeBO
AnagrafeConsulta
Servizi Sociali
Scuole
Diego
Framarin Diego
Polizia Municipale
Domain Users
Polizia
Domenico
Carlotto Domenico Uff. commercio
Domain Users
Commercio
peg
domenicon
Domenico
Natangelo
Domain Users
Polizia
Doriana
Doriana
Camporiondo
Stato Civile
Domain Users
Anagrafe
OperatoriIngres
Elettorale
StatoCivile
AnagrafeBO
AnagrafeConsulta
Internet
Economo
Rossana Bari
Ufficio Economato
Domain Users
Ragioneria
OperatoriIngres
Economato
Contabilit…
CED
Egidio
Egidio Motterle
Segreteria
Domain Users
cer
Elena
Rossato Elena
Ufficio Ambiente
Domain Users
Urbanistica
Ambiente
Territorio
TerritorioAmministr
ElenaC
Elena Chiarello
Assistente Sociale
Domain Users
Servizi Sociali
eleonora
DISABILITATO
Eleonora Marini
Polizia Municipale
X
Domain Users
Polizia
Emanuela
DISABILITATO
Magnabosco
Emanuela
uff. commercio
Emanuele
Massarelli
Emanuele
Messo
X
Domain Users
Domain Users
Pag. 19
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Anagrafe
OperatoriIngres
Messi
emanueler
DISABILITATO
Emanuele Ruaro
Agente di Polizia Municipale
X
Domain Users
Polizia
ezioandrea
DISABILITATO
Lovato Ing. Ezio
Andrea
Resp. Uff. Progettazione
X
Domain Users
LavoriPubblici
Territorio
fabio
Fabio Tomasini
Ufficio SIT
Domain Users
Urbanistica
Territorio
Ambiente
Fabiola
Conficconi Fabiola
Urbanistica
Domain Users
TerritorioAmministr
Territorio
Urbanistica
Federico
Federico Poletto
Uff. Tecnico
Domain Users
LavoriPubbliciAdmin
OperatoriIngres
LavoriPubblici
Territorio
TerritorioAmministr
francesco
Francesco Santoro Anagrafe
Domain Users
Anagrafe
fulvia
Fulvia Rosa
Anagrafe
Domain Users
Anagrafe
OperatoriIngres
Vicesegreteria
gabriele
DISABILITATO
Brotto Gabriele
Ing. Brotto Gabriele
X
Domain Users
LavoriPubblici
Territorio
Gaetana
Gaetana Calearo
Uff. Anagrafe
Domain Users
Messi
OperatoriIngres
AnagrafeConsulta
Anagrafe
Elettorale
Giancarlo
Giancarlo
Fracasso
Segnaletica
giancarloc
Giancarlo Cracco
Polizia Municipale
Domain Users
Domain Users
Polizia
giandomenico
Pag. 20
Giandomenico
Giacomello
Assessore
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Domain Users
Assessori
giovanna
Giovanna Vignaga
Lavori Pubblici
Domain Users
LavoriPubblici
Territorio
TerritorioAmministr
giovanni
Giovanni Pianalto
Polizia Municipale
Domain Users
Polizia
giovannim
Giovanni Mastrotto Polizia Municipale
Domain Users
Polizia
giuseppe
DISABILITATO
Giuseppe
Lombardi
EX Segretario Comunale
X
Domain Users
Segreteria
Giusi
Giuseppina
Confente
Urbanistica
Domain Users
Urbanistica
Ambiente
Territorio
Grazia
Grazia Manca
Mandati di pagamento
Domain Users
Ragioneria
OperatoriIngres
Contabilit…
GRAZIELLA
Dal Maso Graziella Responsabile Protocollo
Domain Users
Protocollo
Anagrafe
Messi
Guest
temporaneo
Built-in account for guest
access to the computer/domain
Guido
Guido Bortolan
CED
X
Domain Guests
Domain Users
CED
Internet
OperatoriIngres
Domain Admins
AnagrafeConsulta
Account Operators
Administrators
guidoc
DISABILITATO
Guido Carrarello
ex Segretario Comunale
X
Domain Users
Segreteria
ingres
ingres
Utente di servizio SICRA
Domain Users
Ragioneria
Domain Admins
Administrators
install
Pag. 21
servizio
utente per installazione
programmi amministratore
locale
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Domain Users
Domain Users
Guests
ivan
Dani Ivan
Segnaletica
Domain Users
katty
DISABILITATO
Piazza Katty
Temporaneo Anagrafe
Domain Users
Anagrafe
OperatoriIngres
Messi
Elettorale
Protocollo
Domain Users
lino
DISABILITATO
Lino dalla Gassa
Polizia Municipale
X
Domain Users
Polizia
Livio
Millardi Livio
Polizia Municipale
Domain Users
Polizia
Loredana
Loredana
Roncolato
Delibere
Domain Users
Segreteria
peg
Lorella
Assessore Lorella
Peretti
Lorenza
Lorenza Fianchetto URP
Domain Users
Domain Users
Anagrafe
Internet
OperatoriIngres
peg
AnagrafeConsulta
Elettorale
Lorenzo
Lorenzo Toniolo
Lavori Pubblici
Domain Users
LavoriPubblici
Territorio
Loris
Loris Pinton
Delibere
Domain Users
Segreteria
peg
Luca
Fiorani Luca
Agente di Polizia Municipale
Domain Users
Polizia
Luisa
Pegoraro Luisa
Lavori Pubblici
Domain Users
LavoriPubblici
LavoriPubbliciAdmin
Territorio
TerritorioAmministr
luisadc
Luisa De Cao
Servizi Sociali
Domain Users
Servizi Sociali
Vicesegreteria
Pag. 22
Comune di Arzignamo
Piano Sicurezza Informatica 2008
manola
Manola Anselmi
Polizia Municipale
Domain Users
Polizia
Marco
Lavori Pubblici
Domain Users
Urbanistica
Ambiente
Territorio
TerritorioAmministr
Maria
Maria Bernardini
Maria Assunta Bernardini
Domain Users
Anagrafe
Urbanistica
OperatoriIngres
AnagrafeBO
StatoCivile
Scuole
mariar
Maria Raniero
Stato Civile
Domain Users
Anagrafe
Internet
OperatoriIngres
AnagrafeConsulta
StatoCivile
AnagrafeBO
marias
Maria Grazia
Stecco
Polizia Municipale
Domain Users
Polizia
Mario
Schiavo Mario
Polizia Urbana
Domain Users
Polizia
mariop
Mario Pieropan
Polizia Municipale
Domain Users
Polizia
Marisa
Pino Marisa
Anagrafe
Domain Users
Anagrafe
OperatoriIngres
StatoCivile
Elettorale
Marisana
Marisana Coaro
Personale
Domain Users
Ragioneria
OperatoriIngres
PersonaleG
Personale
Marta
Marta Venco
Ufficio Immigrazione
Domain Users
Servizi Sociali
Anagrafe
Scuole
Elettorale
massimoc
Massimo Cariolato Cultura
Domain Users
Anagrafe
OperatoriIngres
Vicesegreteria
Pag. 23
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Massimop
Massimo Parolin
Comandante P.M
Domain Users
Polizia
OperatoriIngres
matteom
Matteo Menegon
Polizia Municipale
Domain Users
Polizia
maurizio
Maurizio
Marcigaglia
Polizia Municpale
Domain Users
Polizia
mauriziod
Dal Barco Maurizio Polizia Municpale
Domain Users
Polizia
michele
Caldara Michele
Polizia Municipale
Domain Users
Polizia
mirco
DISABILITATO
Mirco Cailotto
Agente di Polizia Municipale
X
Domain Users
Polizia
Miriam
Miriam Farina
Urbanistica
Domain Users
Urbanistica
Territorio
TerritorioAmministr
nada
Pozzan Nada
Polizia Municpale
Domain Users
Polizia
Nicola
DISABILITATO
Mantese Nicola
Agente di Polizia Municipale
X
Domain Users
Polizia
nicolag
Nicola Gramola
Responsabile CED
Domain Users
Domain Admins
AnagrafeConsulta
Internet
OperatoriIngres
CED
Account Operators
Administrators
obi1
DISABILITATO
Obiettore 1
Obiettore
X
Domain Users
Anagrafe
Oriella
DISABILITATO
Oriella Antoniazzi
Temporaneo Tributi
X
Domain Users
Tributi
ospite
utente ospite per
sicra
utente ospite per sicra diritti
solo in lettura
Domain Users
OperatoriIngres
PaolaB
Paola Bevilacqua
Segreteria - Contratti
Domain Users
LavoriPubblici
LavoriPubbliciAdmin
Pag. 24
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Territorio
TerritorioAmministr
Paolaf
Paola Foscarelli
Ragioneria
Domain Users
Ragioneria
OperatoriIngres
Economato
Contabilit…
PaolaM
Paola Marcazzan
Paola Mracazzan Uff.
Personale
Domain Users
Ragioneria
OperatoriIngres
PersonaleG
Personale
PaolaS
Paola Santini
Contabilit… - Controlo di
Gestione
Domain Users
Ragioneria
OperatoriIngres
Economato
Contabilit…
bilancio
CED
paolof
Paolo Fattori
Lavori Pubblici
Domain Users
LavoriPubblici
Territorio
presidente
Presidente del Consiglio
Comunale
Consiglieri
renato
DISABILITATO
Marcon Renato
Stato Civile
X
Domain Users
Anagrafe
Internet
OperatoriIngres
Elettorale
StatoCivile
AnagrafeBO
AnagrafeConsulta
Servizi Sociali
Scuole
repl
replicator
Utente di servizio Directory
Replicator
Domain Users
Backup Operators
Replicator
robertos
Roberto Scalzolaro Polizia Municipale
Domain Users
Polizia
Romolo
DISABILTATO
Romolo Bruni
Disegnatore
X
Domain Users
LavoriPubblici
Internet
Territorio
Rossana
Pag. 25
Bari Rossana
Economo
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Domain Users
Economato
Contabilit…
CED
sabrinab
Sabrina Biasin
Sabrina Biasin Urbanistica
Domain Users
Urbanistica
Territorio
sabrinag
DISABILTATO
Sabrina Gentilin
Ufficio SIT
Domain Users
PRG
Territorio
Urbanistica
Sandra
Alessandra
Bastianello
Tributi
Domain Users
Ragioneria
Tributi
Silvana
Silvana Poli
Silvana Poli Uff. Urbanistica
Domain Users
Urbanistica
peg
Territorio
TerritorioAmministr
Ambiente
Silvi
Silvana Carradore
Assistente Sociale
Domain Users
Servizi Sociali
Silvia
Fongaro Silvia
Delibere
Domain Users
Segreteria
OperatoriIngres
Scuole
peg
cer
TerritorioAmministr
ATO
Vicesegreteria
Domain Users
stefano
Stefano De Marzi
Assessore
Domain Users
Assessori
Urbanistica
Ambiente
stefanof
Stefano Fracasso
Sindaco
Domain Users
Assessori
temp01
Temporaneo /
Obiettore
Martina (anagrafe)
tempana
DISABILTATO
Temporaneo
Anagrafe
Stagista x scuole
Domain Users
X
Domain Users
Scuole
temprag
Pag. 26
DISABILTATO
Temporaneo
Temporaneo Ragioneria De
X
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Ragioneria
Domain Users
Ragioneria
tempter
temporaneo
gestione territorio
Bettella DarioTerritorio
Domain Users
TerritorioAmministr
TempUrba_1
DISABILITATOTe
mporaneo
Urbanistica
Stefania Carlotto
TempUrba_2
Temporaneo
Ambiente
Ziggiotti Martina
umberto
Umberto
Ganzarolli
Polizia Municipale
X
Domain Users
Urbanistica
Domain Users
Territorio
TerritorioAmministr
Urbanistica
Guests
Domain Users
Polizia
Velia
Frighetto Velia
Stato Civile
Domain Users
Anagrafe
OperatoriIngres
StatoCivile
vigili
Attivazione chiave
vigili
Utente per attivazione chiave
hardware soft vigi
Domain Users
Users
Vinicio
Albiero Vinicio
Uff. Urbanistica
Domain Users
Urbanistica
Territorio
Vittorino
Neri Vittorino
Polizia Municipale
Domain Users
Polizia
OperatoriIngres
Elenco dei guppi del Dominio ARZIGNANO
Gruppo
Ambiente
Anagrafe
AnagrafeBO
AnagrafeConsulta
Assessori
ATO
bilancio
CED
cer
Cert Publishers
Commercio
Consiglieri
Contabilit…
DnsUpdateProxy
Pag. 27
Descrizione
Ufficio Ambiente
Anagrafe - Stato Civile - Leva - Messi
Back Office per l'anagrafe
Autorizzati alla consultazione dell'anagrafe
Assessori
AMBITO TERRRITORIALE
membri che modificano le cartelle ragioneria\bilancio\anno
Ufficio CED
utenti che lavorano sulla cartella cer
Enterprise certification and renewal agents
Uff. Commercio
Consigleri
Gestione Risorse Finanziarie
DNS clients who are permitted to perform dynamic updates on
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Domain Admins
Domain Computers
Domain Controllers
Domain Guests
Domain Users
Economato
Elettorale
Enterprise Admins
Group Policy Creator Owners
Internet
LavoriPubblici
LavoriPubbliciAdmin
Messi
OperatoriIngres
peg
Personale
PersonaleG
Polizia
PRG
Protocollo
Ragioneria
Schema Admins
Scuole
Segreteria
Servizi Sociali
StatoCivile
Territorio
TerritorioAmministr
Tributi
Urbanistica
Account Operators
Administrators
Backup Operators
Gruppo di accesso
autorizzazione Windows
Guests
Incoming Forest Trust Builders
Network Configuration
Operators
Performance Log Users
Performance Monitor Users
Pre-Windows 2000 Compatible
Access
Print Operators
Replicator
Server licenze di Terminal
Server
Server Operators
Pag. 28
behalf of some other clients (such as DHCP servers).
Designated administrators of the domain
All workstations and servers joined to the domain
All domain controllers in the domain
All domain guests
All domain users
Elettorale
Designated administrators of the enterprise
Members in this group can modify group policy for the domain
Gestori pagine WWW
Lavori Pubblici e Ufficio Tecnico
Gestione e archiviazione atti Settore Lavori Pubblici
Messi Comunali
TUTTI GLI OPERATORI CHE USANO INGRES
persone che lavorano sul peg
Ufficio Personale
Nuovo Gruppo del Personale
Polizia Municipale
Utenti Abilitati al Piano Regolatore
utenti abilitati a consultare protocollo storico
Ragioneria - Entrate - Tributi
Designated administrators of the schema
Gestione rette scolastiche e Forniture per le scuole
Gestione delibere - Protocollo
Utenti Servizi Sociali
Utenti dello Stato Civile (Anagrafe)
Utente generico del settore Territorio
Ufficio Amministrativo Unico
Ufficio Tributi
Members can administer domain user and group accounts
Members can fully administer the computer/domain
Members can bypass file security to back up files
I membri di questo gruppo dispongono di accesso all'attributo
calcolato tokenGroupsGlobalAndUniversal negli oggetti utente
Users granted guest access to the computer/domain
I membri di questo gruppo possono creare trust in ingresso
unidirezionali con l'insieme di strutture
I membri di questo gruppo possono godere di alcuni privilegi
amministrativi per gestire la configurazione di funzionalit… di rete
I membri del gruppo possono accedere in modo remoto per
pianificare la registrazione dei contatori di prestazione sul
computer
I membri del gruppo possono accedere in modo remoto per
monitorare il computer
A backward compatibility group which allows read access on all
users and groups in the domain
Members can administer domain printers
Supports file replication in a domain
Server licenze di Terminal Server
Members can administer domain servers
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Users
Utenti desktop remoto
DnsAdmins
RAS and IAS Servers
sindacato
Utenti WINS
Vicesegreteria
Pag. 29
Ordinary users
Ai membri di questo gruppo Š concesso il diritto di accedere da
postazioni remote
DNS Administrators Group
Servers in this group can access remote access properties of
users
gruppo di accesso a clesius
Membri che dispongono dell'accesso in sola visualizzazione al
server WINS
Servizi Socio-Culturali
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Elenco delle condivisioni su ARZIGNANO2
Condivisione
Descrizione
Ingres
Scambio
cdrom
Backup
Prg
dbtemp
Board
Open
Posizione reale cartella
C:\Ingres
E:\Scambio
F:\
E:\Backup
E:\Prg
D:\tmp\dbtemp
E:\Board
E:\Open
Elenco delle condivisioni su ARZIGNANO3
Condivisione
Descrizione
cdrom
La Legge Ipsoa
Backup
Backup Database Sicra
Posizione reale cartella
F:\
E:\Backup
Elenco delle condivisioni su ARZIGNANO5
Condivisione
Descrizione
Anagrafe
Ambiente
Territorio
Personale
Scuole
ofcscan
Urbanist
UffTecnico
Ragioneria
Segreteria
Sociale
CED
NETLOGON
POLIZIA
PROGRAM
SYSVOL
NETLOGON
SYSVOL
URP
UTIL
ANAG$
ATO$
VENUS
Posizione reale cartella
E:\data\Anagrafe
E:\data\Ambiente
E:\data\Territorio
E:\data\Personale
E:\data\Scuole
C:\Programmi\Trendicro\OfficeScan\PCCSRV
E:\data\Urbanist
E:\data\UffTecnico
E:\data\Ragioneria
E:\data\Segreteria
E:\data\Sociale
E:\CED
SISTEMA
E:\POLIZIA
E:\PROGRAM
SISTEMA
SISTEMA
SISTEMA
E:\DATA
E:\DATA
E:\DATA
E:\DATA
F:\UTIL
ALLEGATO A.2
Elenco delle minacce a cui sono sottoposte le risorse hardware
Il documento elenca le minacce alle risorse hardware, individuate dall’Amministratore di sistema.
Le principali minacce a cui le risorse hardware sono sottoposte sono:
· mal funzionamenti dovuti a guasti, sabotaggi, furti e intercettazione;
· mal funzionamenti dovuti a eventi naturali quali allagamenti, incendi e temporali.
Quest'ultima minaccia interessa gli apparati di rete, cioè le linee di comunicazione, i router e i server. E' infatti
possibile effettuare il monitoraggio indebito o l'alterazione della trasmissione di dati effettuata da questi apparati,
sia che questa avvenga tra terminali, tra computer, tra stazioni di lavoro periferiche e sistemi centrali di
elaborazione.
Elenco delle minacce a cui sono sottoposte le risorse software
Pag. 30
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Il documento elenca le minacce alle risorse software, individuate dall’Amministratore di sistema.
Le minacce principali sono:
· la presenza di errori involontari commessi in fase di progettazione e/o implementazione che consentono ad
utenti non autorizzati l'esecuzione di operazioni e programmi riservati a particolari categorie di utenti;
· la presenza di codice malizioso inserito volontariamente dai programmatori dell'applicazione stessa, al fine di
poter svolgere operazioni non autorizzate sul sistema o per danneggiare lo stesso;
· attacchi di tipo "interruzione di servizio'', che vengono generalmente effettuati ai servizi di rete, ma che sono
facilmente estendibili a un qualunque servizio. Si tratta di attacchi non distruttivi il cui obiettivo è saturare la
capacità di risposta di un servizio con l'obiettivo ultimo di renderlo inutilizzabile dagli altri utenti del sistema.
Elenco delle minacce a cui sono sottoposti i Dati Trattati
Il documento elenca le minacce ai dati trattati, individuate dall’Amministratore di sistema.
Le minacce a cui i dati trattati sono sottoposti sono legate alle debolezze dei sistemi operativi e delle applicazioni
che operano sulle macchine su cui risiedono e sono riconducibili a due categorie:
· l'accesso non autorizzato cioè la possibilità per utenti esterni o interni di visualizzare informazioni riservate a
particolari categorie di utenti;
· modifiche deliberate o accidentali cioè, da una parte la possibilità per utenti non autorizzati di modificare o
cancellare dati a loro "non appartenenti'', dall'altra errori commessi da utenti autorizzati, che inavvertitamente
procedono alla modifica o cancellazione di informazioni significative.
Elenco delle minacce a cui sono sottoposti i Supporti di Memorizzazione
Il documento elenca le minacce ai supporti di memorizzazione, individuate dall’Amministratore di sistema.
Le principali minacce a tali espositivi sono:
· la distruzione e/o l'alterazione ad opera di eventi naturali;
· le azioni accidentali e comportamenti intenzionali;
· il deterioramento nel tempo;
· l'inaffidabilità del mezzo fisico che in alcuni casi può presentare difetti di costruzione che ne compromettono il
buon funzionamento nel tempo;
· l'evoluzione tecnologica e del mercato.
Elenco dei sinistri catastrofici
Il documento elenca le tipologie di sinistri catastrofici.
Per ogni tipologia di sinistro catastrofico viene indicata la relativa valutazione della sua frequenza come:
· Incendio
- mai
· Allagamento
- mai
· Terremoto
- ogni 5 anni
· Furto
- ultimo nel 1998
Pag. 31
Comune di Arzignamo
Piano Sicurezza Informatica 2008
ALLEGATO A.3
Individuazione delle contromisure.
Il documento elenca le contromisure di natura fisica, logica ed organizzativa, da adottare al fine di
ridurre i rischi individuati. Le contromisure si distinguono in misure di sicurezza fisica, misure di
sicurezza elettronica e politiche di sicurezza.
Per misure di sicurezza fisica si intendono le misure adottate per la protezione delle aree critiche,
come i locali dei server, le unità di backup, i supporti di memorizzazione e i supporti cartacei.
I locali del CED si trovano al piano mezzano dell'edificio comunale, le due porte d'accesso ai locali sono
blindate e le finestre che danno all'esterno sono chiuse da sbarre ed ad una altezza di circa cinque metri
sul livello stradale. Inoltre i locali sono forniti di sensori di movimento e sensori di chiusura delle finestre
collegati a un sistema di allarme centralizzato. Il corridoio di accesso è anch'esso sorvegliato dallo
stesso sistema di sensori. I locali sono anche provvisti di sensori di fumo collegati al sistema di allarme.
L'alimentazione elettrica dei locali è fornita da una linea autonoma rispetto al resto del municipio e di
differenziali adeguati per i gruppi di continuità elettrica (UPS).
La sala macchine si trova all'interno dei locali del CED separata da questi da vetri. La sala macchine
possiede un impianto di condizionamento autonomo.
In caso di aumento della temperatura oltre i 30 C° nella sala macchine viene staccata la alimentazione
elettrica .
I nastri di backup sono conservati in locali differenti dalla sala macchine e periodicamente custoditi in
cassaforte.
Per misure di sicurezza elettroniche si intendono le misure in grado di segnalare gli accessi agli
elaboratori, agli applicativi, ai dati e alla rete, di gestire le copie di salvataggio dei dati e degli applicativi,
di assicurare l'integrità dei dati, di proteggere gli elaboratori da programmi volutamente o
involontariamente resi dannosi. Di seguito se ne da una elencazione di quelle adottate.
Le macchine server sono dotate di sistemi di fault tolerance, in particolare:
· tutti i dischi sono in RAID5 o RAID 1 (i dati vengono salvati su più dischi contemporaneamente)
garantendo il funzionamento della macchina e l'integrità dei dati anche a seguito della rottura di un
disco;
· le macchine critiche possono essere equipaggiate con due processori anche se solo due hanno tale
configurazione (IRIDE , ORACLE).
Il sistema di backup è centralizzato e automatizzato. I backup vengono eseguiti con cadenza giornaliera
da una macchina d'appoggio (ARZIGNANO4) su 2 dischi esterni da 500 GB.
I salvataggi della gestione SIT vengono effettuati dalle macchine locali ad hard disk esterno su
arzignano4 da 250 GB e sono schedulati alle ore 13.45.
L'eventuale indisponibilità del sistema di backup può essere sopperita dalle unità a di backup sulle altre
macchine.
I server e gli apparati sono sotto gruppo di continuità che garantisce una continua alimentazione per
circa 15 minuti e previene eventuali sovratensioni della rete elettrica.
Il sistema è dotato di tre differenti antivirus che agiscono a livelli diversi. Il primo provvede ad impedire
eventuali infezioni alle macchine desktop dell’utenza controllando ogni programma che viene eseguito, e
possiede un controllo centralizzato. Il secondo sistema antivirus è stato installato sulle macchine server.
Questo è un sistema a controllo centralizzato specifico per i server. Il principio di funzionamento è simile
al primo. Il terzo risiede sul server di posta elettronica e controlla tutta la posta in arrivo e in partenza
eliminando tutti i virus prima che arrivino all’utente. Tutti i sistemi si aggiornano automaticamente con
cadenza giornaliera e tengono traccia degli attacchi di virus fornendo anche statistiche.
La rete interna è separata dalla rete pubblica (internet) da una macchina (PROXY) che tramite un
firewall (iptables) isola le sue reti. I servizi di accesso al web sono garantiti dalla stessa macchina
tramite un sistema proxy (squid).
Pag. 32
Comune di Arzignamo
Piano Sicurezza Informatica 2008
I programmi gestionali centralizzati possiedono tutti un sistema di rilevazioni delle attività dell'utente, ma
non possiedono sistemi di tracciamento delle operazioni, questi possono essere implementati solo con
la sostituzione dei gestionali con altri che ne facciano uso.
Per politiche di sicurezza s'intende un documento procedurale che descriva le misure adottate
relativamente all'identificazione e autenticazione degli utenti.
L'autenticazione degli utenti che accedono al sistema informativo automatizzato avviene su due livelli: il
primo è caratterizzato all'accesso ai personal computer in Dominio NT e quindi ai servizi di file sharing e
utilizzo delle risorse hardware, il secondo all'accesso ai gestionali centralizzati. In entrambi i casi
l'identificazione avviene tramite l'inserimento della coppia nome-utente e password.
Le password sono di otto caratteri, vengono cambiate ogni tre mesi.
E' stata stilata una circolare (prot. n. 39749 del 07/11/2002) contenente le regole di comportamento
nell'utilizzo dei sistemi informativi automatizzati alle quali gli utenti si devono attenere per incrementare
la sicurezza.
E’ stata stilata una circolare (prot. n. 18718 del 18/05/2004) dove si indicavano le regole sulla
formazione delle password, la scadenza trimestrale e le modalità operative di sostituzione delle stesse.
Pag. 33
Comune di Arzignamo
Piano Sicurezza Informatica 2008
ALLEGATO A.4
Il Piano della Formazione
Il documento descrive il piano della formazione previsto per il biennio successivo il piano deve tenere
conto che la formazione deve interviene in due momenti ben precisi del processo di introduzione di un
sistema di sicurezza:
· Sensibilizzazione sulle problematiche della sicurezza e sulla loro importanza
· Conoscenza delle misure di sicurezza da adottare e da gestire ai diversi livelli di responsabilità
Il piano di formazione deve quindi:
· Rendere consapevoli i partecipanti sull'importanza delle politiche di sicurezza,
· Coinvolgere i partecipanti sulle problematiche inerenti la sicurezza,
· Responsabilizzare i partecipanti sulle attività da eseguire per garantire il mantenimento di un livello
di sicurezza accettabile.
Attraverso la progettazione di due tipologie di corsi, distinte a seconda dei destinatari:
1. la prima indirizzata alla direzione, deve prevedere cenni sulla normativa, indicazioni sulle Politiche di
Sicurezza, analisi dei rischi;
2. l'altra, indirizzata al personale operativo, deve fornire indicazioni precise sui comportamenti da
adottare, sia nelle operazioni quotidiane, che nelle situazioni di emergenza.
Pag. 34
Comune di Arzignamo
Piano Sicurezza Informatica 2008
PIANO PER LA SICUREZZA INFORMATICA
PARTE B: rischi e contromisure per la formazione, gestione, accessibilità, trasmissione
e conservazione dei documenti informatici
Sezione I - Formazione dei documenti informatici
Articolo 1. Contenuti
1. In ogni documento informatico deve essere riportata, in modo facilmente leggibile, l'indicazione del soggetto
che lo forma e delle amministrazioni interessate [cfr. art. 9, c. 2, DPR 445/2000].
2. Per agevolare il processo di formazione dei documenti informatici e consentire al tempo stesso la trattazione
automatica dei dati in essi contenuti, l'Amministrazione rende disponibili per via telematica, in modo
centralizzato e sicuro, moduli e formulari elettronici validi ad ogni effetto di legge [cfr. art. 9, c. 3, DPR
445/2000].
3. Al fine di tutelare la riservatezza dei dati personali di cui al D. Lgs. 196/2003 e successive modificazioni ed
integrazioni, i certificati e i documenti trasmessi ad altre pubbliche amministrazioni contengono soltanto le
informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento e strettamente
necessarie per il perseguimento delle finalità per le quali vengono acquisite [cfr. art. 16, c. 1, DPR 445/2000].
4. Le regole per la determinazione dei contenuti e della struttura dei documenti informatici sono definite dalla
dirigenza con riferimento all'ordinamento delle rispettive amministrazioni [cfr. art. 3, c. 4, Deliberazione AIPA
51/2000].
Articolo 2. Formati
1. Per la produzione dei documenti informatici si adottano formati che al minimo possiedono i requisiti di:
leggibilità, interscambiabilità, non alterabilità durante le fasi di accesso e conservazione, immutabilità nel tempo
del contenuto e della struttura. [cfr. art. 4, Deliberazione AIPA 51/2000]. In via preferenziale si adottano i formati
PDF, XML e TIFF.
Articolo 3. Sottoscrizione
1. La sottoscrizione dei documenti informatici è eseguita con una firma elettronica avanzata basata su un
certificato rilasciato da un Certificatore accreditato e generata con un dispositivo sicuro [cfr. art. 6, c. 3, D. Lgs.
10/2002].
2. Per i documenti informatici che non necessitano di sottoscrizione, l'identificazione dei soggetti che li producono
è assicurata con l'ausilio degli strumenti di riconoscimento ed autenticazione descritti nell'allegato B.1 [cfr.
paragrafi 1 e 4 della circolare AIPA 27/2001].
Articolo 4. Datazione
1. Per attribuire una data certa ad un documento informatico prodotto dall'Amministrazione, ci si avvale del
servizio di marcatura temporale (time stamping) fornito da un Certificatore accreditato.
2. L'esecuzione del processo di marcatura temporale avviene con le procedure previste dal Certificatore che
eroga il servizio, nei tempi e con le garanzie di sicurezza di cui al DPCM 8 febbraio 1999.
Pag. 35
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Sezione II - Gestione dei documenti informatici
Articolo 5. Registrazione dei documenti informatici
1. Tutti i documenti informatici ricevuti e prodotti dall'Amministrazione sono soggetti a registrazione obbligatoria di
protocollo ai sensi dell'art. 53, comma 5, DPR 445/2000.
Articolo 6. Sistema di protocollo informatico
1. Il sistema operativo dell'elaboratore, su cui è realizzato il sistema di protocollo informatico, è conforme alle
specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TCSEC e loro successive evoluzioni
(Circolare AIPA 31/2001). Esso assicura:
a) l'univoca identificazione ed autenticazione degli utenti;
b) la protezione delle informazioni relative a ciascun utente nei confronti degli altri;
c) la garanzia di accesso alle risorse, esclusivamente agli utenti abilitati;
d) la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in modo tale da garantire
l'identificabilità dell'utente stesso. Tali registrazioni sono protette da modifiche non autorizzate.
2. Il sistema di protocollo informatico:
e) consente il controllo differenziato dell'accesso alle risorse del sistema per ciascun utente o gruppi di utenti;
f) assicura il tracciamento di qualsiasi evento di modifica delle informazioni trattate e l'individuazione del suo
autore. Tali registrazioni sono protette da modifiche non autorizzate.
3. La conformità del sistema operativo alle specifiche di cui al comma 1 e il possesso dei requisiti minimi di
sicurezza per quanto attiene la configurazione dello stesso per la specifica applicazione del protocollo
informatico, sono attestate dal fornitore con idonea documentazione inclusa nella fornitura. La configurazione
sarà oggetto di verifica in sede di collaudo.
4. Per la generazione delle impronte dei documenti informatici il sistema utilizza la funzione di HASH, definita nella
norma ISO/IEC 10118-3:1998, Dedicated Hash-Function 3, corrispondente alla funzione SHA-1.
Articolo 7. Registro informatico di protocollo
1. Al fine di garantire la non modificabilità delle operazioni di registrazione, il contenuto del registro informatico di
protocollo, almeno al termine della giornata lavorativa, è riversato su supporti informatici non riscrivibili e
conservato a cura del responsabile C.E.D. (soggetto diverso dal Resp. del Servizio per la tutela del Protocollo
informatico)
Articolo 8. Modifica e/o Annullamento delle registrazioni di protocollo
1. L'operazione di modifica o di annullamento di una registrazione di protocollo è eseguita con le modalità di cui
all'articolo 8 del DPCM 31 ottobre 2000, e precisamente:
a) fra le informazioni generate o assegnate automaticamente dal sistema e registrate in forma non
modificabile, l'annullamento anche di una sola di esse determina l'automatico e contestuale annullamento
dell'intera registrazione di protocollo;
b) delle altre informazioni, registrate in forma non modificabile, l'annullamento anche di un solo campo, che si
rendesse necessario per correggere errori intercorsi in sede di immissione di dati, deve comportare la
rinnovazione del campo stesso con i dati corretti e la contestuale memorizzazione, in modo permanente, del
valore precedentemente attribuito unitamente alla data, l'ora e all'autore della modifica; così analogamente
per lo stesso campo, od ogni altro, che dovesse poi risultare errato;
c) le informazioni originarie, successivamente annullate, vengono memorizzate secondo le modalità specificate
nell'art. 54 DPR 445/2000.
Pag. 36
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Articolo 9. Registro di emergenza
1. In condizioni di emergenza si applicano le modalità di registrazione e di recupero dei dati descritte nell'art. 63
del DPR 445/2000, e precisamente:
a) sul registro di emergenza sono riportate la cause, la data e l'ora di inizio dell'interruzione nonché la data e
l'ora del ripristino della funzionalità del sistema;
b) qualora l'impossibilità di utilizzare la procedura informatica si prolunghi oltre ventiquattro ore, per cause di
eccezionale gravità, il Responsabile del Servizio può autorizzare l'uso del registro di emergenza per periodi
successivi di non più di una settimana. Sul registro di emergenza vanno riportati gli estremi del
provvedimento di autorizzazione;
c) per ogni giornata di registrazione di emergenza è riportato sul registro di emergenza il numero totale di
operazioni registrate;
d) la sequenza numerica utilizzata sul registro di emergenza, anche a seguito di successive interruzioni, deve
comunque garantire l'identificazione univoca dei documenti registrati nell'ambito del sistema documentario
dell'area organizzativa omogenea;
e) le informazioni relative ai documenti protocollati in emergenza sono inserite nel sistema informatico,
utilizzando un'apposita funzione di recupero dei dati, senza ritardo, al ripristino delle funzionalità del sistema.
Durante la fase di ripristino, a ciascun documento registrato in emergenza viene attribuito un numero di
protocollo del sistema informatico ordinario, che provvede a mantenere stabilmente la correlazione con il
numero utilizzato in emergenza.
Articolo 10. Sicurezza fisica dei documenti
1. L'accesso in lettura e scrittura al “repository” dei documenti è effettuato dal processo server dell'applicativo di
protocollo informatico, mai dalle stazioni di lavoro.
2. L’Amministratore di sistema garantisce la puntuale esecuzione delle operazioni di backup dei dati e dei
documenti registrati, su supporti informatici non riscrivibili, da parte di personale appositamente autorizzato. La
descrizione puntuale delle procedure in questione e l'identificazione del personale abilitato allo svolgimento
delle operazioni di backup sono riportate nell'allegato B.2.
3. Ogni operazione di manutenzione o di backup effettuata sul sistema che ospita la base documentale e sul
sistema di protocollo informatico è registrata su un file di log periodicamente controllato.
4. Le copie di backup dei dati e dei documenti sono conservate, a cura dell’Amministratore di sistema, in locali
sicuri e dislocati in luoghi differenti.
Sezione III - Accessibilità ai documenti informatici
Articolo 11. Gestione della riservatezza
1. Ad ogni documento, all'atto della registrazione nel sistema di protocollo informatico, è associata una Access
Control List (ACL) che consente di stabilire quali utenti o gruppi di utenti hanno accesso ad esso. Per default il
sistema segue la logica dell'organizzazione, nel senso che ciascun utente può accedere solamente ai
documenti che sono stati assegnati alla sua struttura di appartenenza, o agli uffici ad esso subordinati.
2. Le regole adottate dall'Amministrazione per consentire l'accesso ai documenti informatici nel rispetto della
normativa vigente sulla “privacy”, differenziate per tipo documento, sono riportate nell'allegato B.3.
Articolo 12. Accesso da parte degli utenti interni all'Amministrazione
1. Il livello di autorizzazione all'utilizzo delle funzioni del sistema di gestione informatica dei documenti, distinte tra
funzioni orientate alla consultazione dei dati e funzioni orientate all'inserimento e alla modifica delle
informazioni, è attribuito dal Responsabile del Servizio per la tenuta del protocollo informatico [art. 61, c. 3, DPR
445/2000].
Pag. 37
Comune di Arzignamo
Piano Sicurezza Informatica 2008
2. Il controllo degli accessi ai dati di protocollo e alla base documentale da parte del personale
dell'Amministrazione è assicurato utilizzando lo USER ID e la PASSWORD assegnata ad ogni utente, ovvero
attraverso i meccanismi di “single sign on” implementati dal Servizio Informatica e descritti nell'allegato B.1.
3. Il Servizio Informatica assicura la variazione sistematica, almeno bimestrale, delle password assegnate agli
utenti per l'accesso alle funzioni del sistema di protocollo informatico.
Articolo 13. Accesso da parte di altre pubbliche amministrazioni
1. L'accesso al sistema di gestione informatica dei documenti da parte di altre pubbliche amministrazioni avviene
nel rispetto dei principi della cooperazione applicativa secondo gli standard e il modello architetturale della Rete
Nazionale della pubblica amministrazione.
2. Le specifiche tecniche e funzionali relative alla porta di dominio, implementata per gestire gli accessi al sistema
documentale da parte di altre pubbliche amministrazioni, sono riportate nell'allegato B.4.
3. Il sistema presenta le funzioni minime di accesso di cui all'articolo 60, comma 2 del DPR n. 445/2000.
Articolo 14. Accesso da parte di utenti esterni
1. L'accesso per via telematica al sistema di protocollo informatico da parte di utenti esterni all'Amministrazione è
consentito solo con strumenti tecnologici che permettono di identificare in modo certo il soggetto richiedente.
2. Per il controllo degli accessi esterni si utilizzano, oltre alla firma elettronica conforme alla normativa vigente, la
Carta d'Identità Elettronica (CIE) e la Carta Nazionale dei Servizi (CNS).
3. Si utilizzano altresì i sistemi di riconoscimento e autenticazione descritti nell'allegato B.5.
Sezione IV - Trasmissione e interscambio dei documenti informatici
Articolo 15. Sistema di posta elettronica
1. La trasmissione dei documenti informatici avviene attraverso un servizio di posta elettronica certificata
conforme agli standard della Rete Nazionale delle pubbliche amministrazioni. L'Amministrazione si avvale di un
servizio di “posta elettronica certificata” offerto da un soggetto in grado di assicurare la riservatezza e la
sicurezza del canale di comunicazione; di dare certezza sulla data di spedizione e di consegna dei documenti,
facendo ricorso al “time stamping” e al rilascio di ricevute di ritorno elettroniche.
2. Il server di posta certificata di cui si avvale l'Amministrazione, oltre alle funzioni di un server SMTP tradizionale,
svolge anche le seguenti operazioni
a) accesso alle Certification Authority per la verifica dei Message Authentication Code (MAC) presenti sui
messaggi ricevuti;
b) tracciamento delle attività nel file di log della posta;
c) gestione automatica delle ricevute di ritorno.
Articolo 16. Interoperabilità e cooperazione applicativa
1. Lo scambio di documenti informatici soggetti a registrazione di protocollo avviene mediante messaggi conformi
ai sistemi di posta elettronica compatibili con il protocollo SMTP/MIME definito nelle specifiche pubbliche "The
Request for Comments" (RFC) 821-822, RFC 2045-2049 e successive modificazioni o integrazioni.
2. I dati della segnatura informatica di protocollo di un documento informatico trasmesso ad un'altra pubblica
amministrazione sono inseriti in un file conforme allo standard XML - XML 1.0 (raccomandazione W3C del 10
febbraio 1998).
3. Le modalità di composizione dei messaggi protocollati, di scambio degli stessi tra Aree Oganizzative
Omogenee (AOO) e di notifica degli eventi sono conformi alle specifiche riportate nella Circolare AIPA n.
28/2001.
Pag. 38
Comune di Arzignamo
Piano Sicurezza Informatica 2008
4. L'operazione di ricezione dei documenti informatici comprende i processi di verifica dell'autenticità, della
provenienza e dell'integrità dei documenti stessi.
5. I documenti informatici sono trasmessi all'indirizzo elettronico dichiarato dai destinatari, ovvero abilitato alla
ricezione della posta per via telematica [cfr. art. 14, DPR 445/2000]. L'operazione di spedizione include la
verifica della validità amministrativa della firma.
Articolo 17. Cifratura dei messaggi
1. Lo scambio di dati e documenti attraverso reti non sicure avviene attraverso l'utilizzo dei sistemi di
autenticazione e cifratura.
2. Lo scambio di dati e documenti attraverso reti sicure, come la Rete Nazionale delle pubbliche amministrazioni o
le reti interne, può avvenire anche senza adottare le misure di sicurezza di cui al precedente comma in quanto
esse non sono ritenute necessarie [cfr. art. 9, Circolare AIPA 28/2001]
Sezione V - Conservazione dei documenti informatici
Articolo 18. Supporti di memorizzazione
1. Per l'archiviazione ottica dei documenti si utilizzano i supporti di memorizzazione digitale che consentono la
registrazione mediante la tecnologia laser (WORM, CD-R, DVD-R).
Articolo 19. Procedure di conservazione
1. La conservazione dei documenti digitali e dei documenti analogici (che comprendono quelli su supporto
cartaceo) avviene nei modi e con le tecniche specificate nella Deliberazione AIPA n. 42/2001.
2. Il riferimento temporale, inteso come l'informazione, contenente la data e l'ora in cui viene ultimato il processo
di conservazione digitale, associata ad uno o più documenti digitali, è generato secondo i canoni di sicurezza
riportati nell'allegato B.6.
Articolo 20. Tenuta dell'archivio informatico
1. Il Responsabile del procedimento di conservazione digitale:
a) adotta le misure necessarie per garantire la sicurezza fisica e logica del sistema preposto al processo di
conservazione digitale e delle copie di sicurezza. Tali misure sono riportate nell'allegato B.7;
b) definisce i contenuti dei supporti di memorizzazione e delle copie di sicurezza;
c) verifica periodicamente, con cadenza non superiore ai cinque anni, l'effettiva leggibilità dei documenti
conservati provvedendo, se necessario, al riversamento diretto o sostitutivo del contenuto dei supporti.
Pag. 39
Comune di Arzignamo
Piano Sicurezza Informatica 2008
ALLEGATO B.1
Strumenti per l'identificazione e le autenticazioni degli utenti interni.
L'Amministrazione è dotata di una rete interna LAN (Local Area Network) su cui è implementato un Dominio
Windows NT 4.0 (ITSEC E3).
Gli utenti della LAN accedono alle risorse locali e condivise tramite la coppia di parole user id e password. Questa
identificazione dà accesso ai file della rete e alle risorse hardware.
Un secondo livello di identificazione e accesso è garantito dai programmi gestionali centralizzati che possiedono un
sistema di identificazione proprio che stabilisce l'accesso ai dati e ai privilegi di utilizzo degli stessi.
ALLEGATO B.2
Misure tecniche e operative adottate per l'esecuzione delle procedure di backup dei dati di protocollo e dei
documenti informatici.
La procedura di protocollo informatico e di gestione degli atti deliberativi è implementata tramite il programma
IRIDE. La base documentale risiede all'interno di un database relazionale sul server ARZIGNANO3 e delle copie in
sola lettura dei documenti sono conservate anche nel file server ARZIGNANO4 (condivisione S:\).
I backup del database della base documentale viene effettuato giornalmente durante la notte e riversato su disco
esterno. Anche le copie dei documenti vengono riversati giornalmente su disco esterno. Due volte alla settimana
(mercoledì e sabato) vencono eseguiti gli stessi backup su cassetta e poi conservate per circa due mesi per poi
essere calcellate e riutilizzate. Le operazioni di backup sono a cura del personale del CED.
ALLEGATO B.3
Policy inerente l'accessibilità e la riservatezza dei dati di protocollo e dei documenti informatici.
I dati di protocollo e gli atti deliberativi sono accessibili tramite l'applicativo IRIDE che autentica gli utenti e ne
assegna i privilegi di accesso.
In particolare tutti gli utenti autenticati possono accedere in consultazione ma non in modifica ai dati di protocollo e
ai documenti informatici e sono autorizzati a emettere protocolli interni e in uscita. L'inserimento di nuovi protocolli in
ingresso e l'eventuale modifica e concessa solo a un utente designato a tale scopo dall'Amministrazione e
all'Amministratore di sistema.
Gli utenti preposti alla stesura degli atti possono inserire i documenti nel programma ma non possono modificare i
documenti una volta iniziato l'iter. E' sempre consentita la consultazione da parte degli utenti autenticati.
ALLEGATO B.4
Descrizione tecnica e funzionale della porta di dominio implementata dall'Amministrazione per l'accesso ai
dati di protocollo e ai documenti informatici da parte di altre pubbliche amministrazioni.
Non sono state implementate porte di dominio per l'accesso al protocollo informatico.
La possibilità di accedere al protocollo informatico è in fase di studio.
ALLEGATO B.5
Strumenti tecnologici addottati dall'Amministrazione, in aggiunta alla CIE e CNS, per l'identificazione e
l'autenticazione degli utenti esterni.
Non è prevista la consultazione del protocollo da parte di utenti esterni al sistema informativo.
Pag. 40
Comune di Arzignamo
Piano Sicurezza Informatica 2008
ALLEGATO B.6
Descrizione delle procedure di sicurezza adottate dall'Amministrazione per la produzione del riferimento
temporale di cui alla Deliberazione AIPA n. 42/2001 e l'associazione di questi all'insieme dei documenti
conservati su supporti ottici.
Non è ancora stato adottato il riversamento ottico sostitutivo di documenti cartacei o informatici.
ALLEGATO B.7
Misure tecniche e procedurali adottate dall'Amministrazione per garantire la sicurezza fisica e logica del
sistema preposto al processo di conservazione digitale e delle copie di sicurezza dell'archivio informatico.
Non è stato implementato un sistema di conversione di documenti amministrativi in formato digitale in quanto non si
dispone ancora di un sistema di gestione documentale informatizzato.
Pag. 41
Comune di Arzignamo
Piano Sicurezza Informatica 2008
Allegato alla deliberazione di G.C. n. 77 del 26/03/2008.
IL SEGRETARIO GENERALE
F.to Maria Votta Gravina
COMUNE DI ARZIGNANO
G.C. n. 77 del 26/03/2008
OGGETTO
AGGIORNAMENTO DEL DOCUMENTO PROGRAMMATICO PIANO
OPERATIVO PER LE MISURE DI SICUREZZA EX D.LGS. 196/2003
Parere tecnico del Responsabile del Servizio:
FAVOREVOLE.
lì, 26/03/2008.
Il Dirigente Settore Economico Finanziario
F.to Alessandra Maule
Parere contabile del Responsabile di Ragioneria:
FAVOREVOLE
lì, 26/03/2008.
Il Dirigente Settore Economico Finanziario
F.to Alessandra Maule
Pag. 42
Comune di Arzignamo
Piano Sicurezza Informatica 2008