COPIA CITTA’ DI ARZIGNANO Provincia di Vicenza Sede: Piazza Libertà n. 12 – Arzignano – (VI) C.A.P. 36071 COD. FISC.: 00244950242 Verbale letto, VERBALE DELLA GIUNTA COMUNALE approvato e sottoscritto. IL PRESIDENTE N. 77 del Reg. Delib. f.to STEFANO FRACASSO IL SEGRETARIO GENERALE OGGETTO: AGGIORNAMENTO DEL DOCUMENTO PROGRAMMATICO PIANO OPERATIVO PER LE MISURE DI SICUREZZA EX D.LGS. 196/2003 f.to MARIA VOTTA GRAVINA L’anno 2008, il giorno 26 del mese di Marzo alle ore 18:05 , nella Sala delle Adunanze si è riunita la Giunta Comunale con la presenza di: In pubblicazione all’Albo Pretorio per quindici giorni consecutivi dal 11/04/2008. F.to IL SEGRETARIO GENERALE PRESENTI STEFANO FRACASSO PAOLO CASSAN ANZOLIN STEFANO DE MARZI STEFANO DE SANCTIS ANTONIO GIACOMELLO GIANDOMENICO PERETTI LORELLA SIGNORIN GIANFRANCO Sindaco Vice Sindaco Assessore Assessore Assessore Assessore Assessore Assessore ASSENTI Sì Sì Sì Sì Sì Sì Sì Sì Assiste alla seduta il Segretario Generale Dr. MARIA VOTTA GRAVINA. Il Presidente STEFANO FRACASSO, riconosciuta legale l’adunanza, invita la Giunta a deliberare sull’oggetto sopraindicato. Copia conforme all’originale ad uso amministrativo. Lì, _______________ IL SEGRETARIO GENERALE ___________________ CERTIFICATO DI ESECUTIVITA’ Divenuta esecutiva il 21/04/2008. IL SEGRETARIO GENERALE F.to Maria Votta Gravina LA GIUNTA COMUNALE, RICHIAMATA la propria precedente deliberazione n. 77 del 28 marzo 2007, avente ad oggetto “Aggiornamento del documento programmatico – piano operativo per le misure di sicurezza ex D.Lgs. 196/2003 per il trattamento dei dati personali nell’ambito delle attività del Comune di Arzignano”, esecutiva ai sensi di legge, con cui si è provveduto ad individuare le misure minime di sicurezza previste dalla normativa per garantire l’integrità dei dati personali contenuti negli archivi; PRESO ATTO che · il Codice entrato in vigore il 1^ gennaio 2004 ha confermato la disciplina in materia di sicurezza dei dati personali introdotta nel 1996; · in particolare oltre alle misure minime di sicurezza vi è un dovere più generale di custodire i dati personali in modo tale da contenere il più possibile il rischio che siano distrutti, dispersi, conoscibili al di fuori dei casi consentiti o trattati in modo illecito, nonché di introdurre ogni utile dispositivo di protezione legato alle nuove conoscenze tecniche; DATO ATTO che gli obblighi, così come specificato nel parere del Garante per la protezione dei dati personali del 22 marzo 2004, sono di due tipi: l’obbligo più generale di ridurre al minimo determinati rischi nonché il dovere di adottare in ogni caso le “misure minime” di cui l’omessa adozione come specificato nell’allegato B) del Codice costituisce reato (art. 169 c.c.); PRESO ATTO che il Sindaco, in qualità di titolare del trattamento dei dati sensibili del D. Lgs. n° 196/2003, con proprio provvedimento in data 26/03/2008, ha affidato l’incarico di “Amministratore di sistema”, all’ istruttore direttivo tecnico Guido Bortolan, il quale dovrà svolgere i compiti stabiliti nell’allegato B del disciplinare tecnico in materia di misure minime di sicurezza; DATO ATTO che il Sig. Guido Bortolan, istruttore direttivo tecnico del Servizio CED ha aggiornato il Documento programmatico di sicurezza e ritenuto pertanto di doverlo adottare al fine di garantire nel modo più efficace possibile la sicurezza dei dati trattati; VISTO il D. Lgs. N. 196/2003; VISTI gli allegati pareri previsti dall’art. 49 del D.Lgs. n. 267/2000; Con voti unanimi, espressi nei modi e nelle forme di legge; DELIBERA 1. di approvare il Piano di sicurezza informatica così come predisposto dall’Amministratore di sistema Sig. Guido Bortolan, nel rispetto delle misure minime di sicurezza come previsto dal D. Lgs. N. 196/2003, come configurato nell’allegato, parte integrante e sostanziale del presente atto; 2. di dare atto che ciascun dipendente dovrà attenersi a quanto stabilito dall’Amministratore del sistema per il corretto uso dei mezzi e per la sicurezza delle banche dati a disposizione; 3. di dare atto che i Responsabili del trattamento sono identificati nei soggetti di nomina dirigenziale ciascuno per il settore di competenza; 4. di dare atto che ciascun dirigente di settore, provvederà ove necessario, con propria determinazione, a definire, nel rispetto del documento programmatico riportato in allegato, soluzioni operative per 2 l’applicazione delle misure di sicurezza, con particolare attenzione per eventuali specificità o complessità strutturali dell'articolazione organizzativa cui risultano essere preposti; 5. di dichiarare la presente deliberazione, con successiva votazione e con voti unanimi, immediatamente eseguibile, ai sensi dell’art.134 – comma 4 – del D.Lgs. 18.08.2000, n. 267, data la necessità di adottare il nuovo allegato entro il 31 marzo p.v. così come previsto dal Garante. 3 Allegato alla deliberazione di G.C. n° 77 del 26/03/2008 IL SINDACO F.to Stefano Fracasso IL SEGRETARIO GENERALE F.to Maria Votta Gravina PIANO DI SICUREZZA INFORMATICA PARTE A: rischi e contromisure di carattere generale Articolo 1. Definizioni Un sistema informativo automatizzato si definisce sicuro quando soddisfa le seguenti proprietà: · Disponibilità: l'informazione ed i servizi che eroga devono essere a disposizione degli utenti del sistema compatibilmente con i livelli di servizio. · Integrità: l'informazione ed i servizi erogati possono essere creati, modificati o cancellati solo dalle persone autorizzate a svolgere tale operazione. · Autenticità: garanzia e certificazione della provenienza dei dati. · Confidenzialità o Riservatezza : l'informazione che contiene può essere fruita solo dalle persone autorizzate a compiere tale operazione. Articolo 2. Ambito di applicazione 1. Il presente documento definisce il piano per la sicurezza informatica relativo alla formazione, alla gestione, alla trasmissione, all'interscambio, all'accesso, alla conservazione dei documenti informatici, ai sensi dell'art. 4 lettera c del D.P.C.M. 31 ottobre 2000 "Regole tecniche per il protocollo informatico di cui al D.P.R. 20 ottobre 1998, n. 428'' e ai sensi dell'art.10 Deliberazione AIPA 51/2000. 2. Il piano per la sicurezza informatica è predisposto dall’Amministratore di sistema [cfr. Deliberazione della G.C. n. 01 del 10.01.2000] d'intesa con i titolari dal tarttamento dei dati personali e nel rispetto delle misure minime di sicurezza come previsto D.L. 30 giugno 2003, n. 196. 3. Il piano fa parte del manuale di gestione di cui alle regole tecniche emanate ai sensi del D.P.R. 20 ottobre 1998, n.428 [cfr. art.10 c. 2 Deliberazione AIPA 51/2000]. 4. Il piano considera i seguenti aspetti: analisi del rischio, politiche di sicurezza, interventi operativi, piano della formazione [cfr. art.10 c. 3 Deliberazione AIPA 51/2000], misure minime di sicurezza ai sensi del D.L. 30 giugno 2003, n. 196 [cfr. artt da 33 al 36 e all. B]. 5. Il piano è sottoposto a verifica ed aggiornato con cadenza annuale. Articolo 3. Finalità 1. Il crescente ricorso alle tecnologie dell'informazione e della comunicazione intrapreso per lo snellimento, l'ottimizzazione e una maggiore efficienza dei procedimenti amministrativi, comporta una serie di rischi imputabili all'inaffidabilità delle componenti hardware e software e all'esposizione alle intrusioni informatiche. 2. La sicurezza del sistema informativo automatizzato va intesa non solo come "protezione del patrimonio informativo da rilevazioni, modifiche o cancellazioni non autorizzate per cause accidentali o intenzionali'', ma anche come "limitazione degli effetti causati dall'eventuale occorrenza di tali cause''. 3. Le soluzioni di sicurezza adottate a tutela del sistema informativo automatizzato hanno l'obiettivo di: · assicurare la protezione degli interessi dei soggetti, pubblici e privati, che fanno affidamento sui sistemi informativi dell'Amministrazione Comunale; · evitare eventi pregiudizievoli che possano danneggiare disponibilità, riservatezza e integrità del patrimonio informativo, disponibile sui sistemi di elaborazione e tramite le reti di connessione telematica. Pag. 4 Comune di Arzignamo Piano Sicurezza Informatica 2008 Articolo 4. Analisi dei rischi 1. L'analisi dei rischi consente di acquisire consapevolezza e visibilità del livello di esposizione al rischio del proprio patrimonio informativo e di avere una mappa preliminare dell'insieme delle possibili contromisure di sicurezza da realizzare. 2. L'analisi dei rischi consiste nell'individuazione di tutte le risorse del patrimonio informativo, nell'identificazione delle minacce a cui tale risorse sono sottoposte e nella definizione delle relative contromisure. Articolo 5. Individuazione dei beni da proteggere 1. Gli elementi del sistema informativo automatizzato che necessitano di protezione sono le risorse hardware, le risorse software, i supporti di memorizzazione e i dati trattati , il cui elenco, riportato in Allegato A.1, è parte integrante del presente atto. 2. L'elenco delle risorse hardware, software e dei supporti di memorizzazione, di cui all'Allegato A.1, viene predisposto e mantenuto costantemente aggiornato dall’Amministratore di sistema. 3. L'elenco dei dati trattati, di cui all'allegato A.1, ai sensi del D. Lgs 196/2003 e successive modificazioni, è predisposto e aggiornato periodicamente dal responsabile del trattamento, individuato con apposito atto dall'Amministrazione. Articolo 6. Individuazione delle minacce 1. Gli elementi che minacciano il patrimonio informativo sono riportati in Allegato A.2, che è parte integrante del presente atto. 2. L'elenco delle minacce, di cui all'Allegato A.2, viene predisposto e mantenuto costantemente aggiornato dall’Amministratore di sistema. Articolo 7. Individuazione delle contromisure 1. Le contromisure di natura fisica, logica ed organizzativa, da adottare al fine di ridurre irischi individuati, sono riportate nell'Allegato A.3, che è parte integrante del presente atto. 2. Le contromisure si suddividono in misure di sicurezza fisica, misure di sicurezza elettroniche e politiche di sicurezza. 3. L'elenco delle contromisure, di cui all'Allegato A.3, viene predisposto e mantenuto costantemente aggiornato dall’Amministratore di sistema. Articolo 8. Norme per il personale 1. Tutti i dipendenti dell'Amministrazione concorrono alla realizzazione della sicurezza, pertanto devono proteggere le risorse loro assegnate per lo svolgimento dell'attività lavorativa e indicate all'art. 5, nel rispetto di quanto stabilito dalle politiche di cui all'art.7, in particolare relativamente all'utilizzo delle risorse informatiche, all'accesso ai sistemi e ai dati e all'uso della password. Articolo 9. Il Piano della Formazione 1. L'introduzione del piano per la sicurezza, come di qualunque altro elemento che modifichi le modalità lavorative all'interno di una qualsiasi realtà, è accompagnata da un piano per la formazione di cui all'Allegato A.4. 2. Il piano della formazione viene predisposto e aggiornato con cadenza biennale dal responsabile della formazione dell'Amministrazione d'intesa con l’Amministratore di sistema. Pag. 5 Comune di Arzignamo Piano Sicurezza Informatica 2008 Pag. 6 Comune di Arzignamo Piano Sicurezza Informatica 2008 ALLEGATO A.1 Elenco delle Risorse Hardware Il documento elenca tutte le risorse hardware individuate dall’Amministratore di sistema. Rientrano in questa categoria tutte le CPU, terminali, workstation, personal computer, stampanti, disk drive, linee di comunicazione, server, router in dotazione presso l'Amministrazione Comunale. Server ARZIGNANO5 ARZIGNANO2 ARZIGNANO3 ARZIGNANO4 PROXY VENUS ORACLE MARS ARZIGNANO6 IRIDE Marca / Modello Sistema Operativo IP MAC WONDOWS DELL POWER EDGE Microsoft Windows 2003 200.0.0.35 00:13:72:66:4d:55 2003 DOMAIN 2850 SERVER CONTROLLER DB server IBM eserver Microsoft 200.0.0.15 00:02:55:6D:1B:CE xSeries 220 -[8645]- Windows 2000 Server DB server IBM eserver Microsoft 200.0.0.14 00:02:55:6D:1B:DA xSeries 220 -[8645]- Windows 2000 Server WONDOWS A c e rMicrosoft 200.0.0.50 00:C0:9F:37:E0:3A 2003 DOMAIN Altos G510 Windows 2003 Server CONTROLLER Firewall – proxy H e w l e t t - P a c k a r d GNU/Linux 200.0.0.5 00:50:FC:33:F4:FF – mail server Proliant DL320 Debian Etch Appoggio Acer GNU/Linux 200.0.0.3 00:00:E2:26:6E:B8 Altos Slackware DB server Hewlett-Packard GNU/Linux 200.0.0.7 00:0F:20:97:17:CF ML 350 G3 RedHat ES 3 Web server – Acer GNU/Linux 200.0.0.6 00:C0:9F:1E:AA:4C DB server Altos Debian 3.1 Sperimentale Hewlett-Packard Microsoft WINDOWS 200.0.0.36 00:12:79:55:2A:90 Riserva ML 150 2000 SERVER DB SERVER FUJITSU-SIEMENS WINDOWS 2003 200.0.0.38 APPLICATION RX 300 S3 SERVER X64 SERVER Pag. 7 Comune di Arzignamo Piano Sicurezza Informatica 2008 Nome PC Produttore Modello RAM Processore Mhz ADELINA Assemblato AWRDACPI 267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz 1594 ALESSANDRA AcerSystem Aspire 8000 XP DDRb 368558080 AMD Athlon(tm) XP 2400+ 1999 CED AcerSystem Aspire 8000 XP DDRb 512 MB AMD Athlon(tm) XP 2400+ 1999 ANNA FUJITSU SIEMENS SCENIC P / SCENICO P 468434944 AMD Athlon(tm) 64 Processor 3200+ ANTONELLA Hewlett-Packard HP Vectra 266846208 Processore Intel Pentium III 797 ANTONIO AcerSystem Aspire 8000 XP DDRb 368558080 AMD Athlon(tm) XP 2400+ 1999 ATO04 Assemblato ASSESSORI Maxdata P4 5800-MX BANCONE_MANTESE Acer Veriton BASILIO Assemblato 1 GB INTEL P4+ 3000 ALESSANDRAC Assemblato 1 GB INTEL P4+ 3000 BEATRICE01 Maxdata P4 5800-MX CAPOCED-NEW FUJITSU SIEMENS SCENIC P / SCENICO P CARLA Assemblato P4S5A/DX+ CARMELA 2200 512 Mb Intel Pentium 4 3000 512 mb Pentiun 4 2800 267894784 Intel(R) Pentium(R) 4 CPU 1.70GHz 512 mb Pentiun 4 1700 2800 1005305856 AMD Athlon(tm) 64 Processor 3200+ 2200 267894784 Intel(R) Pentium(R) 4 CPU 2.00GHz 1992 VIA Technologies, Inc. VT8363 267964416 AMD Athlon(tm) MP processor 1333 CENTRALINO System Manufacturer System Name 267948032 Processore Intel Pentium III 650 CESARE AcerSystem Aspire 8000 XP DDRb 368558080 AMD Athlon(tm) XP 2400+ 1999 CINZIA INTELR AWRDACPI 267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz 1603 CINZIAB2 MAXDATA P4S800-MX 501989376 Intel(R) Pentium(R) 4 CPU 2.80GHz 2801 CINZIAD Assemblato AWRDACPI 267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz 1603 CINZIAS2 DELL OPTIPLEX DX 520 CONSIGLIERI AcerSystem Aspire 8000 XP DDRb CULTURA01 MAXDATA P4S800-MX DANIELA AcerSystem Aspire 8000 XP DDRb Pag. 8 512 MB Intel CELERON 368558080 AMD Athlon(tm) XP 2400+ 1072414720 Intel(R) Pentium(R) 4 CPU 2.80GHz 368558080 AMD Athlon(tm) XP 2400+ 3000 1999 2800 1999 Comune di Arzignamo Piano Sicurezza Informatica 2008 Service Sistema Operativo Pack Microsoft Windows 2000 Professional 4 Microsoft Windows XP Professional 2 Microsoft Windows XP Professional 2 Microsoft Windows XP Professional 2 Microsoft Windows 2000 Professional 3 Microsoft Windows XP Professional 2 Microsoft Windows XP Professional 2 Microsoft Windows XP Professional 2 Microsoft Windows XP Professional 2 Microsoft Windows XP Professional 2 Microsoft Windows XP Professional 2 Microsoft Windows XP Professional 2 Microsoft Windows XP Professional 2 Microsoft Windows 2000 Professional 4 Microsoft Windows 2000 Professional 4 Microsoft Windows 2000 Professional 4 Microsoft Windows XP Professional 2 Microsoft Windows 2000 Professional 4 Microsoft Windows XP Professional 2 Microsoft Windows 2000 Professional 4 Microsoft Windows XP Professional 2 Microsoft Windows XP Professional Microsoft Windows XP Professional 2 Microsoft Windows XP Professional 2 IP MAC DHCP 200.0.0.233 00:60:97:19:C1:A8 X 200.0.0.249 00:E0:4C:9D:BE:64 X 200.0.0.90 00:E0:4C:9C:40:D3 200.0.0.166 00:11:2F:F0:BE:0E X 200.0.0.185 00:01:03:0D:CA:B4 X 200.0.0.235 00:E0:4C:9C:3F:F8 X 200.0.0.209 00:00:E2:65:59:96 X 200.0.0.112 00:E0:4C:9C:40:11 X 200.0.0.105 00:E0:4C:9C:40:11 X 200.0.0.163 00:11:2F:F0:BE:F0 X 200.0.0.191 00:0A:E6:39:64:02 X 200.0.0.202 00:C0:DF:10:A9:27 X 200.0.0.159 00:E0:18:00:95:20 X 200.0.0.160 00:E0:4C:95:B7:CE X 200.0.0.147 00:05:1C:0B:3E:AE X 200.0.0.173 00:11:2F:59:57:CE X 200.0.0.214 00:05:1C:0B:70:5F X 200.0.0.111 00:E0:4C:9D:C0:AB X 200.0.0.232 200.0.0.245 00:11:2F:32:04:81 X 200.0.0.205 00:E0:4C:9C:EE:81 X DANILO Acer SIT03 ASSEMBLATO DENISE Assemblato P4S5A/DX+ DIEGO INTERCOMP MICRO NLX DOMENICO Hewlett-Packard HP Vectra DORIANA Assemblato AWRDACPI 267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz ECONOMO FUJITSU SIEMENS SCENIC P / SCENICO P 502218752 Intel(R) Pentium(R) 4 CPU 2.93GHz EGIDIO ASSEMBLATO AWRDACPI 267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz ELENA2 DELL OPTIPLEX DX 520 ELETTORALE1 Intercomp Micro Nlx ELETTORALE4 DELL OPTIPLEX DX 520 ELETTORALE2 Assemblato FEDERICO MAXDATA P4S800-MX ROBERTS DELL OPTIPLEX DX520 FULVIA Assemblato Assemblato. GIANCARLO HP Vectra GIOVANNA INTELR AWRDACPI 267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz GIUSY ECS P4S5A/DX+ 267894784 Intel(R) Pentium(R) 4 CPU 2.00GHz GRAZIA2 MAXDATA P4S800-MX 501989376 Intel(R) Pentium(R) 4 CPU 2.80GHz GRAZIELLA2 FUJITSU SIEMENS SCENIC P / SCENICO GUIDO FUJITSU SIEMENS SCENIC P / SCENICO P MIRIAMOLD INTERCOMP MICRO NLX LOREDANA2 MAXDATA P4S800-MX LORELLA INTERCOMP MICRO NLX LORENZA ASSEMBLATO AWRDACPI Pag. 9 Veriton 267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz 1 GB INTEL P4 267894784 Intel(R) Pentium(R) 4 CPU 2.00GHz 192 MB Processore Intel Celeron 256 Mb Processore Intel Pentium III 512 MB Intel PENTIUM 4 267948032 Processore Intel Pentium III 512 MB Intel CELERON 200839168 Processore Amd 501989376 Intel(R) Pentium(R) 4 CPU 2.80GHz 512 MB Processore Intel Pentium 4 536068096 Intel(R) Pentium(R) 4 CPU 2.00GHz 256 Mb Intel Pentium 3 800 2 GHZ AMD ATHLON XP 1072414720 AMD Athlon(tm) 64 Processor 3200+ 192 MB Processore Intel Celeron 501989376 Intel(R) Pentium(R) 4 CPU 2.80GHz 256 MB Microsoft Windows 1600 2000 Professional WINDOWS XP 3000 professional Microsoft Windows 1991 2000 Professional Microsoft Windows 634 2000 Professional Microsoft Windows 797 2000 Professional Microsoft Windows 1594 2000 Professional Microsoft Windows XP 2933 Professional Microsoft Windows 1594 2000 Professional 2.8 GHZ Microsoft Windows XP Microsoft Windows 652 2000 Professional Microsoft Windows 3000 2000 Professional Microsoft Windows 800 2000 Professional Microsoft Windows XP 2800 Professional 2.8 Microsoft Windows XP GHZ Professional Microsoft Windows 1999 2000 Professional Microsoft Windows 800 2000 Professional Microsoft Windows 1603 2000 Professional Microsoft Windows 1991 2000 Professional Microsoft Windows XP 2801 Professional MICROSOFT 256 WINDOWS XP MB PROFESSIONAL Microsoft Windows XP 2200 Professional Microsoft Windows 634 2000 Professional Microsoft Windows XP 2800 Professional 4 200.0.0.232 00:00:E2:68:1A:96 X 4 200.0.0.164 00:E0:4C:9C:ED:D7 X 4 200.0.0.155 00:0A:E6:39:5A:0B X 4 200.0.0.156 00:60:97:BC:F4:B1 X 3 200.0.0.157 00:A0:C9:1D:60:D9 X 2 200.0.0.220 00:30:05:87:64:89 X 4 200.0.0.226 00:50:DA:71:18:0A X 2 200.0.0.143 0014224c564f X 4 200.0.0.224 00:E0:18:00:97:27 X 4 200.0.0.224 00:E0:18:00:97:27 X 4 200.0.0.165 00:E0:18:00:96:25 X 2 200.0.0.179 00:11:2F:32:04:65 X 4 200.0.0.205 00:04:23:15:EF:0C X 4 200.0.0.204 00:11:2F:B5:0D:18 X 4 200.0.0.238 4 200.0.0.208 00:05:1C:0B:96:C0 X 3 200.0.0.192 00:0A:E6:39:90:AB X 2 200.0.0.240 00:11:2F:31:FF:EE X 2 200.0.0.189 000c761e8dc3 X 2 200.0.0.166 00:11:2F:F0:BE:F1 X 4 200.0.0.243 00:30:18:60:26:58 X 2 200.0.0.174 00:11:2F:32:04:6E X 4 200.0.0.153 00:A0:C9:1D:63:3E X 4 Processore Intel Celeron 267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz Microsoft Windows 1594 2000 Professional Comune di Arzignamo Piano Sicurezza Informatica 2008 LORENZO ASSEMBLATO 256 MB AMD Athlon(tm) Processor LUISADC ASSEMBLATO AWRDACPI 267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz LUISAP ASSEMBLATO P4S5A/DX+ 267894784 Intel(R) Pentium(R) 4 CPU 2.00GHz MARIAGRAZIA FUJTSU SIMENS SCENIC P / SCENICO P 512 MB Intel(R) Pentium(R) 4 CPU MARIO2 DELL OPTIPLEX DX 520 512 MB Intel(R) Pentium(R) 4 CPU MARISA INTERCOMP MICRO NLX 128 MB Intel(R) CELERON MARISANA MAXDATA P4S800-MX 501989376 Intel(R) Pentium(R) 4 CPU 2.80GHz MARTA Acer Veriton 267894784 Intel(R) Pentium(R) 4 CPU 1.60GHz MASSIMOP2 FUJTSU SIMENS SCENIC P / SCENICO P MAURIZIOD ASSEMBLATO MESSI Hewlett-Packard HP Vectra 256 MB Processore Intel Pentium III MIRIAM DELL OPTIPLEX 210L 512 MB Processore Intel Celeron NERI_VITTORINO FUJTSU SIMENS SCENIC P / SCENICO P 512 MB Intel(R) Pentium(R) 4 CPU PAOLAB INTERCOMP MICRO NLX 267948032 Processore Intel Pentium III PAOLAF Hewlett-Packard HP Vectra 132628480 Processore Intel Pentium III PAOLAM MAXDATA P4S800-MX PAOLAS AcerSystem Aspire 8000 XP DDRb 368558080 AMD Athlon(tm) XP 2400+ POLIZAEDILIZIA Hewlett-Packard HP Vectra 266846208 Processore Intel Pentium III PROG01 ASSEMBLATO null 512 MB Intel(R) Pentium(R) 4 CPU 2.00GHz PROG01NEW FUJTSU SIMENS SCENIC P / SCENICO P 512 MB Intel(R) Pentium(R) 4 CPU PROG02 PROG03 ASSEMBLATO ASSEMBLATO AWRDACPI AWRDACPI 512 MB Intel(R) Pentium(R) 4 CPU 256 MB Intel(R) Pentium(R) 4 CPU 512 MB Intel(R) Pentium(R) 4 CPU Microsoft Windows 995 2000 Professional Microsoft Windows 1603 2000 Professional Microsoft Windows 1991 2000 Professional MICROSOFT 2.93 WINDOWS XP GHZ PROFESSIONAL MICROSOFT 2.8 WINDOWS XP GHz PROFESSIONAL 500 MICROSOFT MHZ WINDOWS NT 4 Microsoft Windows XP 2801 Professional Microsoft Windows 1600 2000 Professional MICROSOFT 2.93 WINDOWS XP GHZ PROFESSIONAL 1.6 Microsoft Windows GHZ 2000 Professional Microsoft Windows 501 2000 Professional 2.79 Microsoft Windows GHZ XP Professional 2.93 Microsoft Windows GHZ XP Professional Microsoft Windows 650 2000 Professional Microsoft Windows 797 2000 Professional Microsoft Windows XP 2801 Professional Microsoft Windows XP 1999 Professional Microsoft Windows 797 2000 Professional 4 200.0.0.180 00:E0:06:F8:E5:48 X 3 200.0.0.158 00:05:1C:0B:9E:3D X 3 200.0.0.190 00:0A:E6:58:B4:0E X 2 200.0.0.242 00:11:2F:31:FF:DC X 4 200.0.0.182 0001030dc858 X 4 200.0.0.183 00a024f22b31 X 4 200.0.0.184 00:E0:18:A8:BE:E2 X 2 200.0.0.172 00167663f781 X 2 200.0.0.217 003005640f83 X 4 200.0.0.181 00:E0:18:00:95:29 X 4 200.0.0.184 00:01:03:0D:C7:BD X 2 200.0.0.142 00112f32049b X 2 200.0.0.210 00:E0:4C:95:B5:EB X 4 200.0.0.207 00:01:03:0D:F4:3D X 4 200.0.0.176 00:50:FC:6E:40:5E X 2 200.0.0.189 X 4 4 200.0.0.222 00:A0:24:F2:2B:30 200.0.0.171 000ae6395c18 X X 2 2 6 2 PORTATILE02 PORTATILE05 PPINTON Pag. 10 267898880 Intel(R) Pentium(R) 4 CPU 2.00GHz 256 MB Intel(R) Pentium(R) 4 CPU Microsoft Windows 1992 2000 Professional 2.93 WINDOWS XP GHZ PROFESSIONAL Microsoft Windows 1992 2000 Professional 1.6 Microsoft Windows Comune di Arzignamo Piano Sicurezza Informatica 2008 GHZ 2000 Professional PVIGILI ROMOLO2 Microsoft Windows 2000 Professional AcerSystem ACER POWER KT AMD Athlon(tm) XP 2400+ SABRINAB FUJTSU SIMENS SCENIC P / SCENICO P 512 MB Intel(R) Pentium(R) 4 CPU SANDRAB FUJTSU SIMENS SCENIC P / SCENICO P 512 MB Intel(R) Pentium(R) 4 CPU 2.93 GHZ 2.93 GHZ SEG01 AcerSystem AWRDACPI 368558080 AMD Athlon(tm) XP 2400+ 1999 SEGRETARIO MAXDATA P4S800-MX 512 MB Intel(R) Pentium(R) 4 CPU 2801 SILVANA FUJITSU SIEMENS SCENIC P / SCENICO P 502218752 Intel(R) Pentium(R) 4 CPU 2.93GHz SILVIA INTERCOMP MICRO NLX SINDACO FUJITSU SIEMENS AMILO Pro V2000 128 MB INTEL CELERON Intel(R) Pentium(R) M processor 526827520 1500MHz SIT01 Dell Inc. OptiPlex GX620 1071714304 Intel(R) Pentium(R) 4 CPU 3.20GHz 3192 SIT02 Dell Inc. OptiPlex GX620 1071714304 Intel(R) Pentium(R) 4 CPU 3.20GHz 3192 SOC01 AcerSystem AWRDACPI 368558080 AMD Athlon(tm) XP 2400+ 1999 SOC02 Hewlett-Packard HP PC 266317824 Processore Intel Pentium III SOSTITUTIVO6 INTERCOMP MICRO NLX 996 500 MHZ TOTO Hewlett-Packard HP Vectra URBANISTICA DELL OPTIPLEX 210L 512 MB Processore Intel CELERON URP1 INTERCOMP MICRO NLX 256 MB Processore Intel CELERON URP2 AcerSystem ACER POWER KT 384 MB AMD Athlon(tm) XP 2400+ URP3N AcerSystem ACER POWER KT 384 MB AMD Athlon(tm) XP 2400+ URP4 INTERCOMP MICRO NLX 256 MB Processore Intel CELERON VELIA INTERCOMP MICRO NLX 256 MB Processore Intel CELERON VIGILI Hewlett-Packard HP Vectra 266846208 Processore Intel Pentium III AcerSystem AWRDACPI 368558080 AMD Athlon(tm) XP 2400+ 2 SABRINA 192 MB Processore Intel CELERON 266846208 Processore Intel Pentium III 2933 500 1499 797 2.69 GHZ 500 MHZ Microsoft Windows 2000 Professional Microsoft Windows 2000 Professional Microsoft Windows XP Professional Microsoft Windows 2000 Professional Microsoft Windows XP Professional Microsoft Windows XP Professional Microsoft Windows XP Professional Microsoft Windows XP Professional Microsoft Windows XP Professional Microsoft Windows XP Professional Microsoft Windows XP Professional Microsoft Windows 2000 professional Microsoft Windows 2000 Professional Microsoft Windows XP Professional MICROSOFT WINDOWS NT Microsoft Windows XP Professional Microsoft Windows 2000 Professional MICROSOFT WINDOWS NT MICROSOFT WINDOWS NT 797 Windows 2000 2 2 2 200.0.0.211 00:E0:4C:92:96:FA X 200.0.0.137 00:30:05:87:62:50 X 1 200.0.0.187 00:0A:E4:26:57:5C X 2 200.0.0.152 00:12:3F:42:9A:07 X 2 200.0.0.200 00:12:3F:42:99:FF X 2 200.0.0.193 00:E0:4C:92:01:C6 X 2 200.0.0.162 00:04:23:15:ED:2A X 200.0.0.237 0014224c5640 X 2 2 2 4 4 2 6 2 2 6 6 4 VIGILI2 VIGILI7 VIGILITXIMG Pag. 11 Microsoft Windows XP 1999 Professional Comune di Arzignamo Piano Sicurezza Informatica 2008 2 VINICIO FUJITSU SIEMENS SCENIC P / SCENICO P 502185984 Intel(R) Pentium(R) 4 CPU 2.80GHz VITTORINO FUJITSU SIEMENS SCENIC P / SCENICO P 502185984 Intel(R) Pentium(R) 4 CPU 2.80GHz Pag. 12 Microsoft Windows XP 2793 Professional Microsoft Windows XP 2793 Professional Comune di Arzignamo Piano Sicurezza Informatica 2008 1 200.0.0.217 00:30:05:64:0F:83 X Router Cisco System Modello CISCO 1700 Series Stampanti Anagrafe Ragioneria Progettazione Protocollo Ragionaria Tributi / Commercio Plotter uff. Progettazione Plotter uff. Piano Collegamento Internet WLL con Infracom Modello Infotec 4220 MF NRG DSc224 NRG C7010 Infotec IS 2022 NRG DSc38u Infotec IS 2022 Ocè HP DJ800 Fotocopiatrice Fotocopiatrice / duplex / fax Fotocopiatrice / duplex / fax Fotocopiatrice / duplex / fax Plotter Plotter IP / MAC 200.0.0.8 200.0.0.9 200.0.0.27 200.0.0.28 200.0.0.29 200.0.0.30 200.0.0.31 200.0.0.32 Elenco delle Risorse Software Il documento elenca tutte le risorse software individuate dall’Amministratore di sistema. Rientrano in questa categoria i Sistemi Operativi e Software di Base (Utilità, diagnostici), Software Applicativi, Gestori di basi di dati, Software di rete, i Programmi in formato sorgente e oggetto. Software Microsoft Windows 2000 Server Microsoft Windows NT 4.0 Server Microsoft Windows 2000 Pro Microsoft Windows XP Pro Microsoft Windows NT 4.0 Microsoft Windows 98 Microsoft Windows 95 GNU/Linux RedHat ES 3 GNU/Linux Debian 3.0 GNU/Linux Debian 3.1 GNU/Linux Slackware SAGA Sicra DeltaDator CiviliaOpen Cedaf IRIDE Cedaf PayRoll Cedaf Perseo TrendMicro OfficeScan TrendMicro ServerProtect GPE CataICI Materne Magaz Provvisori Ptrasporti Pverde Pidoneità Prubrica Ricoveri Contributi Assistiti Ass. Domiciliare Notifiche Atti in Deposito Tipologia Sistema Operativo Sistema Operativo Sistema Operativo Sistema Operativo Sistema Operativo Sistema Operativo Sistema Operativo Sistema Operativo Sistema Operativo Sistema Operativo Sistema Operativo Gestionale: Anagrafe, Stato Civile, Elettorale Finanziaria, Economato, Controllo di Gestione Gestionale: Protocollo, Atti Amministrativi Gestionale: Paghe Gestionale: Gestione del personale Antivirus Centralizzato per i PC Antivirus Centralizzato per i Server Gestionale: Pratiche edilizie Gestionale: Imposta sugli Immobili Gestione Rette Scuole Materne e Asilo Nido Gestione Magazzino Economato Caricamento e Visura Provvisori Tesoreria Gestione Trasporti Scolastici Gestione Verde Pubblico Gestione Idoneità Alloggio Extracomunitari Rubrica Telefonica Centralino Gestione Ricoveri Serv. Sociali Gestione Contributi Serv. Sociali Gestione Assistiti Serv. Sociali Gestione Ass. Domiciliare Serv. Sociali Gestione Notifiche Messi Comunali Gestione Atti in Deposito presso i Messi Comunali Elenco dei dati trattati Pag. 13 Comune di Arzignamo Piano Sicurezza Informatica 2008 Il documento elenca tutto il contenuto degli archivi, delle basi di dati, dei dati di transito, delle copie storiche e dei file di registrazione delle attività detenuti dall'Amministrazione. Database Anagrafe / Stato Civile / Elettorale Finanziaria Protocollo Atti Amministrativi Partiche Edilizie Gestione del Personale / Paghe Elenco della popolazione residente, nascite, morti, matrimoni Dati di bilancio, mandati di pagamento - riscossione Elenco documenti in ingresso e in uscita Elenco e contenuto degli atti amministrativi: delibere di Consiglio e Giunta, Determinazioni dirigenziali Macchina / DBServer Arzignano2 / in gres Oracle / Oracle 9i Arzignano3 / Ms SQL Server Arzignano3 / Ms SQL Server – Doc MsWord Ptrasporti Arzignano3 / Ms SQL Server – Doc MsWord Anagrafe dei dipendenti / Arzignano3 / Ms SQL Server posizioni previdenziali / presenze assenze / stipendi Anagrafe contribuenti e dei Arzignano4 / Ms Access relativi immobili dichiarati, elenco dei versamenti. Gestione Rette Scuole Mars / Firebird Materne e Asilo Nido Gestione Magazzino Mars / Firebird Economato Caricamento e Visura Mars / Firebird Provvisori Tesoreria Gestione Trasporti Scolastici Mars / Firebird Pverde Gestione Verde Pubblico Pidoneità Gestione Idoneità Alloggio Mars / Firebird Extracomunitari Rubrica Telefonica Centralino Mars / Firebird ICI Materne Magaz Provvisori Prubrica Ricoveri Contributi Mars / Firebird Anagrafe (anag) Gestione Ricoveri Serv. Sociali Arzignano4 / Ms Access Gestione Contributi Serv. Arzignano4 / Ms Access Sociali Gestione Assistiti Serv. Sociali Arzignano4 / Ms Access Gestione Ass. Domiciliare Serv. Arzignano4 / Ms Access Sociali Replica Database Anagrafe Mars / MySql Anagrafe (arz) Replica Database Anagrafe Logs Log Vari accesso dati e sistema Mars / MySql Assistiti Ass. Domiciliare Mars / MySql Utenti Gestione Diritti di accesso Mars / MySql Visura Anagrafe Accounts Gestione Utenti Registrati Arzignano3 / SqlServer Autocertificazione On Line Autocertificazione On Line Autocertificazione On Line per Proxy (app. server Apache) mars (db server Utenti Registrati MySql) Visura Anagrafe Visura Dati Anagrafici per i Arzignano2 (app. server dipendenti comunali server MySql) Notifiche Gestione Notifiche Messi Arzignano4 / MsAccess Comunali Gestione Atti In Deposito Mars / Firebird presso i Messi Comunali Atti in Deposito Pag. 14 Apache) mars (db Comune di Arzignamo Piano Sicurezza Informatica 2008 Archivio Gestione Archivio Comunale da Mars / Firebird sede remota (Mag. Comunali) Elenco dei supporti di memorizzazione Il documento elenca i supporti su cui vengono tenute le copie dei software installati, le copie delle banche dati e le copie dei file di registrazione delle attività. Dati Software Database (Ingres, MsSQL Server, Oracle,MySql,Firebird) File sul FileServer (Arzignano5) Totale Supporto Frequenza CD-ROM di installazione e copia su filesystem su server Su disco esterno e su file system locale Giornaliera Su disco esterno Su nastro Giornaliera 1 volte alla settimana mercoledì Elenco degli Utenti del dominio ARZIGNANO Account Adelina Nome utente Facchin Adelina Descrizione Asilo Nido - Scuole Materne Dis. Gruppi Domain Users Scuole AnagrafeConsulta cer Administrator Built-in account for administering the computer/domain Domain Users Domain Admins OperatoriIngres Schema Admins Enterprise Admins Group Policy Creator Owners Account Operators Administrators Backup Operators albertor DISABILITATO Alberto Rancan Lavori Pubblici X Domain Users Territorio Albertoz DISABILITATO Alberto Zambon Lavori Pubblici X Domain Users LavoriPubblici Territorio Alessandra Alessandra Maule Capo Ragioneria Domain Users Ragioneria OperatoriIngres Tributi Economato Contabilit… bilancio ATO PersonaleG Personale AlessandraC Pag. 15 Ceoloni Uff. Tributi Comune di Arzignamo Piano Sicurezza Informatica 2008 Alessandra Domain Users CED OperatoriIngres Ragioneria Tributi Alfredoc Carlotto Alfredo Atti e Certificazioni Domain Users Anagrafe OperatoriIngres Urbanistica Elettorale andreab DISABILITATO Andrea Bellamio Agente di Polizia Municipale X Domain Users Polizia angelo Cattazzo Angelo Polizia Municipale Domain Users Polizia OperatoriIngres Anna Anna Tosini Capo Personale Domain Users OperatoriIngres PersonaleG Personale Annalisa Annalisa Pretto Uff. Relazioni col Pubblico Domain Users Anagrafe OperatoriIngres Elettorale antonella Antonella Cenzato Uff. Personale Domain Users OperatoriIngres PersonaleG Personale Antonio Berto Antonio Polizia Municpale Domain Users Polizia antoniod Antonio de Sanctis Assessore Domain Users Anagrafe Vicesegreteria Apache Web Server Apache utente Web Server Apache su Arzignano2 Armido DISABILITATO Armido Giordani P.R.G. - C-D.U Domain Users X Domain Users Anagrafe Urbanistica Territorio Augusto DISABILITATO Augusto Cocco Augusto Cocco Uff. Elettorale X Domain Users Anagrafe OperatoriIngres AnagrafeBO StatoCivile Pag. 16 Comune di Arzignamo Piano Sicurezza Informatica 2008 augustol Augusto Lovato Polizia Municipale Domain Users Polizia Barbara Barbara Bardati DISATTIVATO Barbara Bardati Uff. URP Domain Users Anagrafe Urbanistica OperatoriIngres barbaram DISABILITATO Giorgio Piazzo temp. urbanistica X Domain Users Urbanistica PRG Territorio Basilio Basilio Pegoraro Uff. tributi Domain Users Ragioneria Tributi OperatoriIngres Beatrice Beatrice Lorenzi Appalti e Contratti Domain Users TerritorioAmministr peg cer Urbanistica Territorio LavoriPubblici Carla Carla Baldisserotto Ufficio Sport Domain Users Anagrafe cer Vicesegreteria Carmela Carmela Bellini Urbanistica Domain Users Urbanistica Territorio TerritorioAmministr Ambiente Catiana Pasqualini Catiana Protocollo Domain Users Anagrafe OperatoriIngres Messi Protocollo Elettorale cedaf cedaf per manutenzione remota DISABILITATO cedaf X cedstage Stagista Ced DISABILITATO Stagista ced X Domain Guests Domain Users CED Cesare Bassetto Cesare Coordinatore serv. amministrativo LL PP Domain Users LavoriPubblici OperatoriIngres Pag. 17 Comune di Arzignamo Piano Sicurezza Informatica 2008 LavoriPubbliciAdmin Territorio TerritorioAmministr Cinzia Cinzia Nevicelli Servizi Sociali Domain Users OperatoriIngres Servizi Sociali CinziaB Cinzia Bettega Ragioneria Domain Users Ragioneria OperatoriIngres Economato Contabilit… CinziaD Cinzia De Maggi Commercio Domain Users Commercio CinziaS Cinzia Sartori Servizi Sociali Domain Users Servizi Sociali Anagrafe claudio Claudio Rigoni Polizia Municpale Domain Users Polizia claudioa Claudio Accettini Polizia Municipale Domain Users Polizia Daniela Daniela Bevilacqua Delibere Domain Users Segreteria OperatoriIngres Scuole peg cer TerritorioAmministr Vicesegreteria Danielaz Daniela Zapolla Polizia Municipale Domain Users Polizia Danilo Danilo Guarti Ecologia - Ambiente Domain Users Ambiente peg Territorio Urbanistica TerritorioAmministr Davide Davide Zorzanello Ufficio Ambiente (temp) Domain Users Ambiente TerritorioAmministr Urbanistica debora DISABILITATO Polizia Municipale Debora Caposilvan X Domain Users Polizia Denise Denise Dani Capo rip. Anagrafe St. civ. Domain Users Anagrafe OperatoriIngres Pag. 18 Comune di Arzignamo Piano Sicurezza Informatica 2008 Elettorale StatoCivile peg AnagrafeBO AnagrafeConsulta Servizi Sociali Scuole Diego Framarin Diego Polizia Municipale Domain Users Polizia Domenico Carlotto Domenico Uff. commercio Domain Users Commercio peg domenicon Domenico Natangelo Domain Users Polizia Doriana Doriana Camporiondo Stato Civile Domain Users Anagrafe OperatoriIngres Elettorale StatoCivile AnagrafeBO AnagrafeConsulta Internet Economo Rossana Bari Ufficio Economato Domain Users Ragioneria OperatoriIngres Economato Contabilit… CED Egidio Egidio Motterle Segreteria Domain Users cer Elena Rossato Elena Ufficio Ambiente Domain Users Urbanistica Ambiente Territorio TerritorioAmministr ElenaC Elena Chiarello Assistente Sociale Domain Users Servizi Sociali eleonora DISABILITATO Eleonora Marini Polizia Municipale X Domain Users Polizia Emanuela DISABILITATO Magnabosco Emanuela uff. commercio Emanuele Massarelli Emanuele Messo X Domain Users Domain Users Pag. 19 Comune di Arzignamo Piano Sicurezza Informatica 2008 Anagrafe OperatoriIngres Messi emanueler DISABILITATO Emanuele Ruaro Agente di Polizia Municipale X Domain Users Polizia ezioandrea DISABILITATO Lovato Ing. Ezio Andrea Resp. Uff. Progettazione X Domain Users LavoriPubblici Territorio fabio Fabio Tomasini Ufficio SIT Domain Users Urbanistica Territorio Ambiente Fabiola Conficconi Fabiola Urbanistica Domain Users TerritorioAmministr Territorio Urbanistica Federico Federico Poletto Uff. Tecnico Domain Users LavoriPubbliciAdmin OperatoriIngres LavoriPubblici Territorio TerritorioAmministr francesco Francesco Santoro Anagrafe Domain Users Anagrafe fulvia Fulvia Rosa Anagrafe Domain Users Anagrafe OperatoriIngres Vicesegreteria gabriele DISABILITATO Brotto Gabriele Ing. Brotto Gabriele X Domain Users LavoriPubblici Territorio Gaetana Gaetana Calearo Uff. Anagrafe Domain Users Messi OperatoriIngres AnagrafeConsulta Anagrafe Elettorale Giancarlo Giancarlo Fracasso Segnaletica giancarloc Giancarlo Cracco Polizia Municipale Domain Users Domain Users Polizia giandomenico Pag. 20 Giandomenico Giacomello Assessore Comune di Arzignamo Piano Sicurezza Informatica 2008 Domain Users Assessori giovanna Giovanna Vignaga Lavori Pubblici Domain Users LavoriPubblici Territorio TerritorioAmministr giovanni Giovanni Pianalto Polizia Municipale Domain Users Polizia giovannim Giovanni Mastrotto Polizia Municipale Domain Users Polizia giuseppe DISABILITATO Giuseppe Lombardi EX Segretario Comunale X Domain Users Segreteria Giusi Giuseppina Confente Urbanistica Domain Users Urbanistica Ambiente Territorio Grazia Grazia Manca Mandati di pagamento Domain Users Ragioneria OperatoriIngres Contabilit… GRAZIELLA Dal Maso Graziella Responsabile Protocollo Domain Users Protocollo Anagrafe Messi Guest temporaneo Built-in account for guest access to the computer/domain Guido Guido Bortolan CED X Domain Guests Domain Users CED Internet OperatoriIngres Domain Admins AnagrafeConsulta Account Operators Administrators guidoc DISABILITATO Guido Carrarello ex Segretario Comunale X Domain Users Segreteria ingres ingres Utente di servizio SICRA Domain Users Ragioneria Domain Admins Administrators install Pag. 21 servizio utente per installazione programmi amministratore locale Comune di Arzignamo Piano Sicurezza Informatica 2008 Domain Users Domain Users Guests ivan Dani Ivan Segnaletica Domain Users katty DISABILITATO Piazza Katty Temporaneo Anagrafe Domain Users Anagrafe OperatoriIngres Messi Elettorale Protocollo Domain Users lino DISABILITATO Lino dalla Gassa Polizia Municipale X Domain Users Polizia Livio Millardi Livio Polizia Municipale Domain Users Polizia Loredana Loredana Roncolato Delibere Domain Users Segreteria peg Lorella Assessore Lorella Peretti Lorenza Lorenza Fianchetto URP Domain Users Domain Users Anagrafe Internet OperatoriIngres peg AnagrafeConsulta Elettorale Lorenzo Lorenzo Toniolo Lavori Pubblici Domain Users LavoriPubblici Territorio Loris Loris Pinton Delibere Domain Users Segreteria peg Luca Fiorani Luca Agente di Polizia Municipale Domain Users Polizia Luisa Pegoraro Luisa Lavori Pubblici Domain Users LavoriPubblici LavoriPubbliciAdmin Territorio TerritorioAmministr luisadc Luisa De Cao Servizi Sociali Domain Users Servizi Sociali Vicesegreteria Pag. 22 Comune di Arzignamo Piano Sicurezza Informatica 2008 manola Manola Anselmi Polizia Municipale Domain Users Polizia Marco Lavori Pubblici Domain Users Urbanistica Ambiente Territorio TerritorioAmministr Maria Maria Bernardini Maria Assunta Bernardini Domain Users Anagrafe Urbanistica OperatoriIngres AnagrafeBO StatoCivile Scuole mariar Maria Raniero Stato Civile Domain Users Anagrafe Internet OperatoriIngres AnagrafeConsulta StatoCivile AnagrafeBO marias Maria Grazia Stecco Polizia Municipale Domain Users Polizia Mario Schiavo Mario Polizia Urbana Domain Users Polizia mariop Mario Pieropan Polizia Municipale Domain Users Polizia Marisa Pino Marisa Anagrafe Domain Users Anagrafe OperatoriIngres StatoCivile Elettorale Marisana Marisana Coaro Personale Domain Users Ragioneria OperatoriIngres PersonaleG Personale Marta Marta Venco Ufficio Immigrazione Domain Users Servizi Sociali Anagrafe Scuole Elettorale massimoc Massimo Cariolato Cultura Domain Users Anagrafe OperatoriIngres Vicesegreteria Pag. 23 Comune di Arzignamo Piano Sicurezza Informatica 2008 Massimop Massimo Parolin Comandante P.M Domain Users Polizia OperatoriIngres matteom Matteo Menegon Polizia Municipale Domain Users Polizia maurizio Maurizio Marcigaglia Polizia Municpale Domain Users Polizia mauriziod Dal Barco Maurizio Polizia Municpale Domain Users Polizia michele Caldara Michele Polizia Municipale Domain Users Polizia mirco DISABILITATO Mirco Cailotto Agente di Polizia Municipale X Domain Users Polizia Miriam Miriam Farina Urbanistica Domain Users Urbanistica Territorio TerritorioAmministr nada Pozzan Nada Polizia Municpale Domain Users Polizia Nicola DISABILITATO Mantese Nicola Agente di Polizia Municipale X Domain Users Polizia nicolag Nicola Gramola Responsabile CED Domain Users Domain Admins AnagrafeConsulta Internet OperatoriIngres CED Account Operators Administrators obi1 DISABILITATO Obiettore 1 Obiettore X Domain Users Anagrafe Oriella DISABILITATO Oriella Antoniazzi Temporaneo Tributi X Domain Users Tributi ospite utente ospite per sicra utente ospite per sicra diritti solo in lettura Domain Users OperatoriIngres PaolaB Paola Bevilacqua Segreteria - Contratti Domain Users LavoriPubblici LavoriPubbliciAdmin Pag. 24 Comune di Arzignamo Piano Sicurezza Informatica 2008 Territorio TerritorioAmministr Paolaf Paola Foscarelli Ragioneria Domain Users Ragioneria OperatoriIngres Economato Contabilit… PaolaM Paola Marcazzan Paola Mracazzan Uff. Personale Domain Users Ragioneria OperatoriIngres PersonaleG Personale PaolaS Paola Santini Contabilit… - Controlo di Gestione Domain Users Ragioneria OperatoriIngres Economato Contabilit… bilancio CED paolof Paolo Fattori Lavori Pubblici Domain Users LavoriPubblici Territorio presidente Presidente del Consiglio Comunale Consiglieri renato DISABILITATO Marcon Renato Stato Civile X Domain Users Anagrafe Internet OperatoriIngres Elettorale StatoCivile AnagrafeBO AnagrafeConsulta Servizi Sociali Scuole repl replicator Utente di servizio Directory Replicator Domain Users Backup Operators Replicator robertos Roberto Scalzolaro Polizia Municipale Domain Users Polizia Romolo DISABILTATO Romolo Bruni Disegnatore X Domain Users LavoriPubblici Internet Territorio Rossana Pag. 25 Bari Rossana Economo Comune di Arzignamo Piano Sicurezza Informatica 2008 Domain Users Economato Contabilit… CED sabrinab Sabrina Biasin Sabrina Biasin Urbanistica Domain Users Urbanistica Territorio sabrinag DISABILTATO Sabrina Gentilin Ufficio SIT Domain Users PRG Territorio Urbanistica Sandra Alessandra Bastianello Tributi Domain Users Ragioneria Tributi Silvana Silvana Poli Silvana Poli Uff. Urbanistica Domain Users Urbanistica peg Territorio TerritorioAmministr Ambiente Silvi Silvana Carradore Assistente Sociale Domain Users Servizi Sociali Silvia Fongaro Silvia Delibere Domain Users Segreteria OperatoriIngres Scuole peg cer TerritorioAmministr ATO Vicesegreteria Domain Users stefano Stefano De Marzi Assessore Domain Users Assessori Urbanistica Ambiente stefanof Stefano Fracasso Sindaco Domain Users Assessori temp01 Temporaneo / Obiettore Martina (anagrafe) tempana DISABILTATO Temporaneo Anagrafe Stagista x scuole Domain Users X Domain Users Scuole temprag Pag. 26 DISABILTATO Temporaneo Temporaneo Ragioneria De X Comune di Arzignamo Piano Sicurezza Informatica 2008 Ragioneria Domain Users Ragioneria tempter temporaneo gestione territorio Bettella DarioTerritorio Domain Users TerritorioAmministr TempUrba_1 DISABILITATOTe mporaneo Urbanistica Stefania Carlotto TempUrba_2 Temporaneo Ambiente Ziggiotti Martina umberto Umberto Ganzarolli Polizia Municipale X Domain Users Urbanistica Domain Users Territorio TerritorioAmministr Urbanistica Guests Domain Users Polizia Velia Frighetto Velia Stato Civile Domain Users Anagrafe OperatoriIngres StatoCivile vigili Attivazione chiave vigili Utente per attivazione chiave hardware soft vigi Domain Users Users Vinicio Albiero Vinicio Uff. Urbanistica Domain Users Urbanistica Territorio Vittorino Neri Vittorino Polizia Municipale Domain Users Polizia OperatoriIngres Elenco dei guppi del Dominio ARZIGNANO Gruppo Ambiente Anagrafe AnagrafeBO AnagrafeConsulta Assessori ATO bilancio CED cer Cert Publishers Commercio Consiglieri Contabilit… DnsUpdateProxy Pag. 27 Descrizione Ufficio Ambiente Anagrafe - Stato Civile - Leva - Messi Back Office per l'anagrafe Autorizzati alla consultazione dell'anagrafe Assessori AMBITO TERRRITORIALE membri che modificano le cartelle ragioneria\bilancio\anno Ufficio CED utenti che lavorano sulla cartella cer Enterprise certification and renewal agents Uff. Commercio Consigleri Gestione Risorse Finanziarie DNS clients who are permitted to perform dynamic updates on Comune di Arzignamo Piano Sicurezza Informatica 2008 Domain Admins Domain Computers Domain Controllers Domain Guests Domain Users Economato Elettorale Enterprise Admins Group Policy Creator Owners Internet LavoriPubblici LavoriPubbliciAdmin Messi OperatoriIngres peg Personale PersonaleG Polizia PRG Protocollo Ragioneria Schema Admins Scuole Segreteria Servizi Sociali StatoCivile Territorio TerritorioAmministr Tributi Urbanistica Account Operators Administrators Backup Operators Gruppo di accesso autorizzazione Windows Guests Incoming Forest Trust Builders Network Configuration Operators Performance Log Users Performance Monitor Users Pre-Windows 2000 Compatible Access Print Operators Replicator Server licenze di Terminal Server Server Operators Pag. 28 behalf of some other clients (such as DHCP servers). Designated administrators of the domain All workstations and servers joined to the domain All domain controllers in the domain All domain guests All domain users Elettorale Designated administrators of the enterprise Members in this group can modify group policy for the domain Gestori pagine WWW Lavori Pubblici e Ufficio Tecnico Gestione e archiviazione atti Settore Lavori Pubblici Messi Comunali TUTTI GLI OPERATORI CHE USANO INGRES persone che lavorano sul peg Ufficio Personale Nuovo Gruppo del Personale Polizia Municipale Utenti Abilitati al Piano Regolatore utenti abilitati a consultare protocollo storico Ragioneria - Entrate - Tributi Designated administrators of the schema Gestione rette scolastiche e Forniture per le scuole Gestione delibere - Protocollo Utenti Servizi Sociali Utenti dello Stato Civile (Anagrafe) Utente generico del settore Territorio Ufficio Amministrativo Unico Ufficio Tributi Members can administer domain user and group accounts Members can fully administer the computer/domain Members can bypass file security to back up files I membri di questo gruppo dispongono di accesso all'attributo calcolato tokenGroupsGlobalAndUniversal negli oggetti utente Users granted guest access to the computer/domain I membri di questo gruppo possono creare trust in ingresso unidirezionali con l'insieme di strutture I membri di questo gruppo possono godere di alcuni privilegi amministrativi per gestire la configurazione di funzionalit… di rete I membri del gruppo possono accedere in modo remoto per pianificare la registrazione dei contatori di prestazione sul computer I membri del gruppo possono accedere in modo remoto per monitorare il computer A backward compatibility group which allows read access on all users and groups in the domain Members can administer domain printers Supports file replication in a domain Server licenze di Terminal Server Members can administer domain servers Comune di Arzignamo Piano Sicurezza Informatica 2008 Users Utenti desktop remoto DnsAdmins RAS and IAS Servers sindacato Utenti WINS Vicesegreteria Pag. 29 Ordinary users Ai membri di questo gruppo Š concesso il diritto di accedere da postazioni remote DNS Administrators Group Servers in this group can access remote access properties of users gruppo di accesso a clesius Membri che dispongono dell'accesso in sola visualizzazione al server WINS Servizi Socio-Culturali Comune di Arzignamo Piano Sicurezza Informatica 2008 Elenco delle condivisioni su ARZIGNANO2 Condivisione Descrizione Ingres Scambio cdrom Backup Prg dbtemp Board Open Posizione reale cartella C:\Ingres E:\Scambio F:\ E:\Backup E:\Prg D:\tmp\dbtemp E:\Board E:\Open Elenco delle condivisioni su ARZIGNANO3 Condivisione Descrizione cdrom La Legge Ipsoa Backup Backup Database Sicra Posizione reale cartella F:\ E:\Backup Elenco delle condivisioni su ARZIGNANO5 Condivisione Descrizione Anagrafe Ambiente Territorio Personale Scuole ofcscan Urbanist UffTecnico Ragioneria Segreteria Sociale CED NETLOGON POLIZIA PROGRAM SYSVOL NETLOGON SYSVOL URP UTIL ANAG$ ATO$ VENUS Posizione reale cartella E:\data\Anagrafe E:\data\Ambiente E:\data\Territorio E:\data\Personale E:\data\Scuole C:\Programmi\Trendicro\OfficeScan\PCCSRV E:\data\Urbanist E:\data\UffTecnico E:\data\Ragioneria E:\data\Segreteria E:\data\Sociale E:\CED SISTEMA E:\POLIZIA E:\PROGRAM SISTEMA SISTEMA SISTEMA E:\DATA E:\DATA E:\DATA E:\DATA F:\UTIL ALLEGATO A.2 Elenco delle minacce a cui sono sottoposte le risorse hardware Il documento elenca le minacce alle risorse hardware, individuate dall’Amministratore di sistema. Le principali minacce a cui le risorse hardware sono sottoposte sono: · mal funzionamenti dovuti a guasti, sabotaggi, furti e intercettazione; · mal funzionamenti dovuti a eventi naturali quali allagamenti, incendi e temporali. Quest'ultima minaccia interessa gli apparati di rete, cioè le linee di comunicazione, i router e i server. E' infatti possibile effettuare il monitoraggio indebito o l'alterazione della trasmissione di dati effettuata da questi apparati, sia che questa avvenga tra terminali, tra computer, tra stazioni di lavoro periferiche e sistemi centrali di elaborazione. Elenco delle minacce a cui sono sottoposte le risorse software Pag. 30 Comune di Arzignamo Piano Sicurezza Informatica 2008 Il documento elenca le minacce alle risorse software, individuate dall’Amministratore di sistema. Le minacce principali sono: · la presenza di errori involontari commessi in fase di progettazione e/o implementazione che consentono ad utenti non autorizzati l'esecuzione di operazioni e programmi riservati a particolari categorie di utenti; · la presenza di codice malizioso inserito volontariamente dai programmatori dell'applicazione stessa, al fine di poter svolgere operazioni non autorizzate sul sistema o per danneggiare lo stesso; · attacchi di tipo "interruzione di servizio'', che vengono generalmente effettuati ai servizi di rete, ma che sono facilmente estendibili a un qualunque servizio. Si tratta di attacchi non distruttivi il cui obiettivo è saturare la capacità di risposta di un servizio con l'obiettivo ultimo di renderlo inutilizzabile dagli altri utenti del sistema. Elenco delle minacce a cui sono sottoposti i Dati Trattati Il documento elenca le minacce ai dati trattati, individuate dall’Amministratore di sistema. Le minacce a cui i dati trattati sono sottoposti sono legate alle debolezze dei sistemi operativi e delle applicazioni che operano sulle macchine su cui risiedono e sono riconducibili a due categorie: · l'accesso non autorizzato cioè la possibilità per utenti esterni o interni di visualizzare informazioni riservate a particolari categorie di utenti; · modifiche deliberate o accidentali cioè, da una parte la possibilità per utenti non autorizzati di modificare o cancellare dati a loro "non appartenenti'', dall'altra errori commessi da utenti autorizzati, che inavvertitamente procedono alla modifica o cancellazione di informazioni significative. Elenco delle minacce a cui sono sottoposti i Supporti di Memorizzazione Il documento elenca le minacce ai supporti di memorizzazione, individuate dall’Amministratore di sistema. Le principali minacce a tali espositivi sono: · la distruzione e/o l'alterazione ad opera di eventi naturali; · le azioni accidentali e comportamenti intenzionali; · il deterioramento nel tempo; · l'inaffidabilità del mezzo fisico che in alcuni casi può presentare difetti di costruzione che ne compromettono il buon funzionamento nel tempo; · l'evoluzione tecnologica e del mercato. Elenco dei sinistri catastrofici Il documento elenca le tipologie di sinistri catastrofici. Per ogni tipologia di sinistro catastrofico viene indicata la relativa valutazione della sua frequenza come: · Incendio - mai · Allagamento - mai · Terremoto - ogni 5 anni · Furto - ultimo nel 1998 Pag. 31 Comune di Arzignamo Piano Sicurezza Informatica 2008 ALLEGATO A.3 Individuazione delle contromisure. Il documento elenca le contromisure di natura fisica, logica ed organizzativa, da adottare al fine di ridurre i rischi individuati. Le contromisure si distinguono in misure di sicurezza fisica, misure di sicurezza elettronica e politiche di sicurezza. Per misure di sicurezza fisica si intendono le misure adottate per la protezione delle aree critiche, come i locali dei server, le unità di backup, i supporti di memorizzazione e i supporti cartacei. I locali del CED si trovano al piano mezzano dell'edificio comunale, le due porte d'accesso ai locali sono blindate e le finestre che danno all'esterno sono chiuse da sbarre ed ad una altezza di circa cinque metri sul livello stradale. Inoltre i locali sono forniti di sensori di movimento e sensori di chiusura delle finestre collegati a un sistema di allarme centralizzato. Il corridoio di accesso è anch'esso sorvegliato dallo stesso sistema di sensori. I locali sono anche provvisti di sensori di fumo collegati al sistema di allarme. L'alimentazione elettrica dei locali è fornita da una linea autonoma rispetto al resto del municipio e di differenziali adeguati per i gruppi di continuità elettrica (UPS). La sala macchine si trova all'interno dei locali del CED separata da questi da vetri. La sala macchine possiede un impianto di condizionamento autonomo. In caso di aumento della temperatura oltre i 30 C° nella sala macchine viene staccata la alimentazione elettrica . I nastri di backup sono conservati in locali differenti dalla sala macchine e periodicamente custoditi in cassaforte. Per misure di sicurezza elettroniche si intendono le misure in grado di segnalare gli accessi agli elaboratori, agli applicativi, ai dati e alla rete, di gestire le copie di salvataggio dei dati e degli applicativi, di assicurare l'integrità dei dati, di proteggere gli elaboratori da programmi volutamente o involontariamente resi dannosi. Di seguito se ne da una elencazione di quelle adottate. Le macchine server sono dotate di sistemi di fault tolerance, in particolare: · tutti i dischi sono in RAID5 o RAID 1 (i dati vengono salvati su più dischi contemporaneamente) garantendo il funzionamento della macchina e l'integrità dei dati anche a seguito della rottura di un disco; · le macchine critiche possono essere equipaggiate con due processori anche se solo due hanno tale configurazione (IRIDE , ORACLE). Il sistema di backup è centralizzato e automatizzato. I backup vengono eseguiti con cadenza giornaliera da una macchina d'appoggio (ARZIGNANO4) su 2 dischi esterni da 500 GB. I salvataggi della gestione SIT vengono effettuati dalle macchine locali ad hard disk esterno su arzignano4 da 250 GB e sono schedulati alle ore 13.45. L'eventuale indisponibilità del sistema di backup può essere sopperita dalle unità a di backup sulle altre macchine. I server e gli apparati sono sotto gruppo di continuità che garantisce una continua alimentazione per circa 15 minuti e previene eventuali sovratensioni della rete elettrica. Il sistema è dotato di tre differenti antivirus che agiscono a livelli diversi. Il primo provvede ad impedire eventuali infezioni alle macchine desktop dell’utenza controllando ogni programma che viene eseguito, e possiede un controllo centralizzato. Il secondo sistema antivirus è stato installato sulle macchine server. Questo è un sistema a controllo centralizzato specifico per i server. Il principio di funzionamento è simile al primo. Il terzo risiede sul server di posta elettronica e controlla tutta la posta in arrivo e in partenza eliminando tutti i virus prima che arrivino all’utente. Tutti i sistemi si aggiornano automaticamente con cadenza giornaliera e tengono traccia degli attacchi di virus fornendo anche statistiche. La rete interna è separata dalla rete pubblica (internet) da una macchina (PROXY) che tramite un firewall (iptables) isola le sue reti. I servizi di accesso al web sono garantiti dalla stessa macchina tramite un sistema proxy (squid). Pag. 32 Comune di Arzignamo Piano Sicurezza Informatica 2008 I programmi gestionali centralizzati possiedono tutti un sistema di rilevazioni delle attività dell'utente, ma non possiedono sistemi di tracciamento delle operazioni, questi possono essere implementati solo con la sostituzione dei gestionali con altri che ne facciano uso. Per politiche di sicurezza s'intende un documento procedurale che descriva le misure adottate relativamente all'identificazione e autenticazione degli utenti. L'autenticazione degli utenti che accedono al sistema informativo automatizzato avviene su due livelli: il primo è caratterizzato all'accesso ai personal computer in Dominio NT e quindi ai servizi di file sharing e utilizzo delle risorse hardware, il secondo all'accesso ai gestionali centralizzati. In entrambi i casi l'identificazione avviene tramite l'inserimento della coppia nome-utente e password. Le password sono di otto caratteri, vengono cambiate ogni tre mesi. E' stata stilata una circolare (prot. n. 39749 del 07/11/2002) contenente le regole di comportamento nell'utilizzo dei sistemi informativi automatizzati alle quali gli utenti si devono attenere per incrementare la sicurezza. E’ stata stilata una circolare (prot. n. 18718 del 18/05/2004) dove si indicavano le regole sulla formazione delle password, la scadenza trimestrale e le modalità operative di sostituzione delle stesse. Pag. 33 Comune di Arzignamo Piano Sicurezza Informatica 2008 ALLEGATO A.4 Il Piano della Formazione Il documento descrive il piano della formazione previsto per il biennio successivo il piano deve tenere conto che la formazione deve interviene in due momenti ben precisi del processo di introduzione di un sistema di sicurezza: · Sensibilizzazione sulle problematiche della sicurezza e sulla loro importanza · Conoscenza delle misure di sicurezza da adottare e da gestire ai diversi livelli di responsabilità Il piano di formazione deve quindi: · Rendere consapevoli i partecipanti sull'importanza delle politiche di sicurezza, · Coinvolgere i partecipanti sulle problematiche inerenti la sicurezza, · Responsabilizzare i partecipanti sulle attività da eseguire per garantire il mantenimento di un livello di sicurezza accettabile. Attraverso la progettazione di due tipologie di corsi, distinte a seconda dei destinatari: 1. la prima indirizzata alla direzione, deve prevedere cenni sulla normativa, indicazioni sulle Politiche di Sicurezza, analisi dei rischi; 2. l'altra, indirizzata al personale operativo, deve fornire indicazioni precise sui comportamenti da adottare, sia nelle operazioni quotidiane, che nelle situazioni di emergenza. Pag. 34 Comune di Arzignamo Piano Sicurezza Informatica 2008 PIANO PER LA SICUREZZA INFORMATICA PARTE B: rischi e contromisure per la formazione, gestione, accessibilità, trasmissione e conservazione dei documenti informatici Sezione I - Formazione dei documenti informatici Articolo 1. Contenuti 1. In ogni documento informatico deve essere riportata, in modo facilmente leggibile, l'indicazione del soggetto che lo forma e delle amministrazioni interessate [cfr. art. 9, c. 2, DPR 445/2000]. 2. Per agevolare il processo di formazione dei documenti informatici e consentire al tempo stesso la trattazione automatica dei dati in essi contenuti, l'Amministrazione rende disponibili per via telematica, in modo centralizzato e sicuro, moduli e formulari elettronici validi ad ogni effetto di legge [cfr. art. 9, c. 3, DPR 445/2000]. 3. Al fine di tutelare la riservatezza dei dati personali di cui al D. Lgs. 196/2003 e successive modificazioni ed integrazioni, i certificati e i documenti trasmessi ad altre pubbliche amministrazioni contengono soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento e strettamente necessarie per il perseguimento delle finalità per le quali vengono acquisite [cfr. art. 16, c. 1, DPR 445/2000]. 4. Le regole per la determinazione dei contenuti e della struttura dei documenti informatici sono definite dalla dirigenza con riferimento all'ordinamento delle rispettive amministrazioni [cfr. art. 3, c. 4, Deliberazione AIPA 51/2000]. Articolo 2. Formati 1. Per la produzione dei documenti informatici si adottano formati che al minimo possiedono i requisiti di: leggibilità, interscambiabilità, non alterabilità durante le fasi di accesso e conservazione, immutabilità nel tempo del contenuto e della struttura. [cfr. art. 4, Deliberazione AIPA 51/2000]. In via preferenziale si adottano i formati PDF, XML e TIFF. Articolo 3. Sottoscrizione 1. La sottoscrizione dei documenti informatici è eseguita con una firma elettronica avanzata basata su un certificato rilasciato da un Certificatore accreditato e generata con un dispositivo sicuro [cfr. art. 6, c. 3, D. Lgs. 10/2002]. 2. Per i documenti informatici che non necessitano di sottoscrizione, l'identificazione dei soggetti che li producono è assicurata con l'ausilio degli strumenti di riconoscimento ed autenticazione descritti nell'allegato B.1 [cfr. paragrafi 1 e 4 della circolare AIPA 27/2001]. Articolo 4. Datazione 1. Per attribuire una data certa ad un documento informatico prodotto dall'Amministrazione, ci si avvale del servizio di marcatura temporale (time stamping) fornito da un Certificatore accreditato. 2. L'esecuzione del processo di marcatura temporale avviene con le procedure previste dal Certificatore che eroga il servizio, nei tempi e con le garanzie di sicurezza di cui al DPCM 8 febbraio 1999. Pag. 35 Comune di Arzignamo Piano Sicurezza Informatica 2008 Sezione II - Gestione dei documenti informatici Articolo 5. Registrazione dei documenti informatici 1. Tutti i documenti informatici ricevuti e prodotti dall'Amministrazione sono soggetti a registrazione obbligatoria di protocollo ai sensi dell'art. 53, comma 5, DPR 445/2000. Articolo 6. Sistema di protocollo informatico 1. Il sistema operativo dell'elaboratore, su cui è realizzato il sistema di protocollo informatico, è conforme alle specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TCSEC e loro successive evoluzioni (Circolare AIPA 31/2001). Esso assicura: a) l'univoca identificazione ed autenticazione degli utenti; b) la protezione delle informazioni relative a ciascun utente nei confronti degli altri; c) la garanzia di accesso alle risorse, esclusivamente agli utenti abilitati; d) la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in modo tale da garantire l'identificabilità dell'utente stesso. Tali registrazioni sono protette da modifiche non autorizzate. 2. Il sistema di protocollo informatico: e) consente il controllo differenziato dell'accesso alle risorse del sistema per ciascun utente o gruppi di utenti; f) assicura il tracciamento di qualsiasi evento di modifica delle informazioni trattate e l'individuazione del suo autore. Tali registrazioni sono protette da modifiche non autorizzate. 3. La conformità del sistema operativo alle specifiche di cui al comma 1 e il possesso dei requisiti minimi di sicurezza per quanto attiene la configurazione dello stesso per la specifica applicazione del protocollo informatico, sono attestate dal fornitore con idonea documentazione inclusa nella fornitura. La configurazione sarà oggetto di verifica in sede di collaudo. 4. Per la generazione delle impronte dei documenti informatici il sistema utilizza la funzione di HASH, definita nella norma ISO/IEC 10118-3:1998, Dedicated Hash-Function 3, corrispondente alla funzione SHA-1. Articolo 7. Registro informatico di protocollo 1. Al fine di garantire la non modificabilità delle operazioni di registrazione, il contenuto del registro informatico di protocollo, almeno al termine della giornata lavorativa, è riversato su supporti informatici non riscrivibili e conservato a cura del responsabile C.E.D. (soggetto diverso dal Resp. del Servizio per la tutela del Protocollo informatico) Articolo 8. Modifica e/o Annullamento delle registrazioni di protocollo 1. L'operazione di modifica o di annullamento di una registrazione di protocollo è eseguita con le modalità di cui all'articolo 8 del DPCM 31 ottobre 2000, e precisamente: a) fra le informazioni generate o assegnate automaticamente dal sistema e registrate in forma non modificabile, l'annullamento anche di una sola di esse determina l'automatico e contestuale annullamento dell'intera registrazione di protocollo; b) delle altre informazioni, registrate in forma non modificabile, l'annullamento anche di un solo campo, che si rendesse necessario per correggere errori intercorsi in sede di immissione di dati, deve comportare la rinnovazione del campo stesso con i dati corretti e la contestuale memorizzazione, in modo permanente, del valore precedentemente attribuito unitamente alla data, l'ora e all'autore della modifica; così analogamente per lo stesso campo, od ogni altro, che dovesse poi risultare errato; c) le informazioni originarie, successivamente annullate, vengono memorizzate secondo le modalità specificate nell'art. 54 DPR 445/2000. Pag. 36 Comune di Arzignamo Piano Sicurezza Informatica 2008 Articolo 9. Registro di emergenza 1. In condizioni di emergenza si applicano le modalità di registrazione e di recupero dei dati descritte nell'art. 63 del DPR 445/2000, e precisamente: a) sul registro di emergenza sono riportate la cause, la data e l'ora di inizio dell'interruzione nonché la data e l'ora del ripristino della funzionalità del sistema; b) qualora l'impossibilità di utilizzare la procedura informatica si prolunghi oltre ventiquattro ore, per cause di eccezionale gravità, il Responsabile del Servizio può autorizzare l'uso del registro di emergenza per periodi successivi di non più di una settimana. Sul registro di emergenza vanno riportati gli estremi del provvedimento di autorizzazione; c) per ogni giornata di registrazione di emergenza è riportato sul registro di emergenza il numero totale di operazioni registrate; d) la sequenza numerica utilizzata sul registro di emergenza, anche a seguito di successive interruzioni, deve comunque garantire l'identificazione univoca dei documenti registrati nell'ambito del sistema documentario dell'area organizzativa omogenea; e) le informazioni relative ai documenti protocollati in emergenza sono inserite nel sistema informatico, utilizzando un'apposita funzione di recupero dei dati, senza ritardo, al ripristino delle funzionalità del sistema. Durante la fase di ripristino, a ciascun documento registrato in emergenza viene attribuito un numero di protocollo del sistema informatico ordinario, che provvede a mantenere stabilmente la correlazione con il numero utilizzato in emergenza. Articolo 10. Sicurezza fisica dei documenti 1. L'accesso in lettura e scrittura al “repository” dei documenti è effettuato dal processo server dell'applicativo di protocollo informatico, mai dalle stazioni di lavoro. 2. L’Amministratore di sistema garantisce la puntuale esecuzione delle operazioni di backup dei dati e dei documenti registrati, su supporti informatici non riscrivibili, da parte di personale appositamente autorizzato. La descrizione puntuale delle procedure in questione e l'identificazione del personale abilitato allo svolgimento delle operazioni di backup sono riportate nell'allegato B.2. 3. Ogni operazione di manutenzione o di backup effettuata sul sistema che ospita la base documentale e sul sistema di protocollo informatico è registrata su un file di log periodicamente controllato. 4. Le copie di backup dei dati e dei documenti sono conservate, a cura dell’Amministratore di sistema, in locali sicuri e dislocati in luoghi differenti. Sezione III - Accessibilità ai documenti informatici Articolo 11. Gestione della riservatezza 1. Ad ogni documento, all'atto della registrazione nel sistema di protocollo informatico, è associata una Access Control List (ACL) che consente di stabilire quali utenti o gruppi di utenti hanno accesso ad esso. Per default il sistema segue la logica dell'organizzazione, nel senso che ciascun utente può accedere solamente ai documenti che sono stati assegnati alla sua struttura di appartenenza, o agli uffici ad esso subordinati. 2. Le regole adottate dall'Amministrazione per consentire l'accesso ai documenti informatici nel rispetto della normativa vigente sulla “privacy”, differenziate per tipo documento, sono riportate nell'allegato B.3. Articolo 12. Accesso da parte degli utenti interni all'Amministrazione 1. Il livello di autorizzazione all'utilizzo delle funzioni del sistema di gestione informatica dei documenti, distinte tra funzioni orientate alla consultazione dei dati e funzioni orientate all'inserimento e alla modifica delle informazioni, è attribuito dal Responsabile del Servizio per la tenuta del protocollo informatico [art. 61, c. 3, DPR 445/2000]. Pag. 37 Comune di Arzignamo Piano Sicurezza Informatica 2008 2. Il controllo degli accessi ai dati di protocollo e alla base documentale da parte del personale dell'Amministrazione è assicurato utilizzando lo USER ID e la PASSWORD assegnata ad ogni utente, ovvero attraverso i meccanismi di “single sign on” implementati dal Servizio Informatica e descritti nell'allegato B.1. 3. Il Servizio Informatica assicura la variazione sistematica, almeno bimestrale, delle password assegnate agli utenti per l'accesso alle funzioni del sistema di protocollo informatico. Articolo 13. Accesso da parte di altre pubbliche amministrazioni 1. L'accesso al sistema di gestione informatica dei documenti da parte di altre pubbliche amministrazioni avviene nel rispetto dei principi della cooperazione applicativa secondo gli standard e il modello architetturale della Rete Nazionale della pubblica amministrazione. 2. Le specifiche tecniche e funzionali relative alla porta di dominio, implementata per gestire gli accessi al sistema documentale da parte di altre pubbliche amministrazioni, sono riportate nell'allegato B.4. 3. Il sistema presenta le funzioni minime di accesso di cui all'articolo 60, comma 2 del DPR n. 445/2000. Articolo 14. Accesso da parte di utenti esterni 1. L'accesso per via telematica al sistema di protocollo informatico da parte di utenti esterni all'Amministrazione è consentito solo con strumenti tecnologici che permettono di identificare in modo certo il soggetto richiedente. 2. Per il controllo degli accessi esterni si utilizzano, oltre alla firma elettronica conforme alla normativa vigente, la Carta d'Identità Elettronica (CIE) e la Carta Nazionale dei Servizi (CNS). 3. Si utilizzano altresì i sistemi di riconoscimento e autenticazione descritti nell'allegato B.5. Sezione IV - Trasmissione e interscambio dei documenti informatici Articolo 15. Sistema di posta elettronica 1. La trasmissione dei documenti informatici avviene attraverso un servizio di posta elettronica certificata conforme agli standard della Rete Nazionale delle pubbliche amministrazioni. L'Amministrazione si avvale di un servizio di “posta elettronica certificata” offerto da un soggetto in grado di assicurare la riservatezza e la sicurezza del canale di comunicazione; di dare certezza sulla data di spedizione e di consegna dei documenti, facendo ricorso al “time stamping” e al rilascio di ricevute di ritorno elettroniche. 2. Il server di posta certificata di cui si avvale l'Amministrazione, oltre alle funzioni di un server SMTP tradizionale, svolge anche le seguenti operazioni a) accesso alle Certification Authority per la verifica dei Message Authentication Code (MAC) presenti sui messaggi ricevuti; b) tracciamento delle attività nel file di log della posta; c) gestione automatica delle ricevute di ritorno. Articolo 16. Interoperabilità e cooperazione applicativa 1. Lo scambio di documenti informatici soggetti a registrazione di protocollo avviene mediante messaggi conformi ai sistemi di posta elettronica compatibili con il protocollo SMTP/MIME definito nelle specifiche pubbliche "The Request for Comments" (RFC) 821-822, RFC 2045-2049 e successive modificazioni o integrazioni. 2. I dati della segnatura informatica di protocollo di un documento informatico trasmesso ad un'altra pubblica amministrazione sono inseriti in un file conforme allo standard XML - XML 1.0 (raccomandazione W3C del 10 febbraio 1998). 3. Le modalità di composizione dei messaggi protocollati, di scambio degli stessi tra Aree Oganizzative Omogenee (AOO) e di notifica degli eventi sono conformi alle specifiche riportate nella Circolare AIPA n. 28/2001. Pag. 38 Comune di Arzignamo Piano Sicurezza Informatica 2008 4. L'operazione di ricezione dei documenti informatici comprende i processi di verifica dell'autenticità, della provenienza e dell'integrità dei documenti stessi. 5. I documenti informatici sono trasmessi all'indirizzo elettronico dichiarato dai destinatari, ovvero abilitato alla ricezione della posta per via telematica [cfr. art. 14, DPR 445/2000]. L'operazione di spedizione include la verifica della validità amministrativa della firma. Articolo 17. Cifratura dei messaggi 1. Lo scambio di dati e documenti attraverso reti non sicure avviene attraverso l'utilizzo dei sistemi di autenticazione e cifratura. 2. Lo scambio di dati e documenti attraverso reti sicure, come la Rete Nazionale delle pubbliche amministrazioni o le reti interne, può avvenire anche senza adottare le misure di sicurezza di cui al precedente comma in quanto esse non sono ritenute necessarie [cfr. art. 9, Circolare AIPA 28/2001] Sezione V - Conservazione dei documenti informatici Articolo 18. Supporti di memorizzazione 1. Per l'archiviazione ottica dei documenti si utilizzano i supporti di memorizzazione digitale che consentono la registrazione mediante la tecnologia laser (WORM, CD-R, DVD-R). Articolo 19. Procedure di conservazione 1. La conservazione dei documenti digitali e dei documenti analogici (che comprendono quelli su supporto cartaceo) avviene nei modi e con le tecniche specificate nella Deliberazione AIPA n. 42/2001. 2. Il riferimento temporale, inteso come l'informazione, contenente la data e l'ora in cui viene ultimato il processo di conservazione digitale, associata ad uno o più documenti digitali, è generato secondo i canoni di sicurezza riportati nell'allegato B.6. Articolo 20. Tenuta dell'archivio informatico 1. Il Responsabile del procedimento di conservazione digitale: a) adotta le misure necessarie per garantire la sicurezza fisica e logica del sistema preposto al processo di conservazione digitale e delle copie di sicurezza. Tali misure sono riportate nell'allegato B.7; b) definisce i contenuti dei supporti di memorizzazione e delle copie di sicurezza; c) verifica periodicamente, con cadenza non superiore ai cinque anni, l'effettiva leggibilità dei documenti conservati provvedendo, se necessario, al riversamento diretto o sostitutivo del contenuto dei supporti. Pag. 39 Comune di Arzignamo Piano Sicurezza Informatica 2008 ALLEGATO B.1 Strumenti per l'identificazione e le autenticazioni degli utenti interni. L'Amministrazione è dotata di una rete interna LAN (Local Area Network) su cui è implementato un Dominio Windows NT 4.0 (ITSEC E3). Gli utenti della LAN accedono alle risorse locali e condivise tramite la coppia di parole user id e password. Questa identificazione dà accesso ai file della rete e alle risorse hardware. Un secondo livello di identificazione e accesso è garantito dai programmi gestionali centralizzati che possiedono un sistema di identificazione proprio che stabilisce l'accesso ai dati e ai privilegi di utilizzo degli stessi. ALLEGATO B.2 Misure tecniche e operative adottate per l'esecuzione delle procedure di backup dei dati di protocollo e dei documenti informatici. La procedura di protocollo informatico e di gestione degli atti deliberativi è implementata tramite il programma IRIDE. La base documentale risiede all'interno di un database relazionale sul server ARZIGNANO3 e delle copie in sola lettura dei documenti sono conservate anche nel file server ARZIGNANO4 (condivisione S:\). I backup del database della base documentale viene effettuato giornalmente durante la notte e riversato su disco esterno. Anche le copie dei documenti vengono riversati giornalmente su disco esterno. Due volte alla settimana (mercoledì e sabato) vencono eseguiti gli stessi backup su cassetta e poi conservate per circa due mesi per poi essere calcellate e riutilizzate. Le operazioni di backup sono a cura del personale del CED. ALLEGATO B.3 Policy inerente l'accessibilità e la riservatezza dei dati di protocollo e dei documenti informatici. I dati di protocollo e gli atti deliberativi sono accessibili tramite l'applicativo IRIDE che autentica gli utenti e ne assegna i privilegi di accesso. In particolare tutti gli utenti autenticati possono accedere in consultazione ma non in modifica ai dati di protocollo e ai documenti informatici e sono autorizzati a emettere protocolli interni e in uscita. L'inserimento di nuovi protocolli in ingresso e l'eventuale modifica e concessa solo a un utente designato a tale scopo dall'Amministrazione e all'Amministratore di sistema. Gli utenti preposti alla stesura degli atti possono inserire i documenti nel programma ma non possono modificare i documenti una volta iniziato l'iter. E' sempre consentita la consultazione da parte degli utenti autenticati. ALLEGATO B.4 Descrizione tecnica e funzionale della porta di dominio implementata dall'Amministrazione per l'accesso ai dati di protocollo e ai documenti informatici da parte di altre pubbliche amministrazioni. Non sono state implementate porte di dominio per l'accesso al protocollo informatico. La possibilità di accedere al protocollo informatico è in fase di studio. ALLEGATO B.5 Strumenti tecnologici addottati dall'Amministrazione, in aggiunta alla CIE e CNS, per l'identificazione e l'autenticazione degli utenti esterni. Non è prevista la consultazione del protocollo da parte di utenti esterni al sistema informativo. Pag. 40 Comune di Arzignamo Piano Sicurezza Informatica 2008 ALLEGATO B.6 Descrizione delle procedure di sicurezza adottate dall'Amministrazione per la produzione del riferimento temporale di cui alla Deliberazione AIPA n. 42/2001 e l'associazione di questi all'insieme dei documenti conservati su supporti ottici. Non è ancora stato adottato il riversamento ottico sostitutivo di documenti cartacei o informatici. ALLEGATO B.7 Misure tecniche e procedurali adottate dall'Amministrazione per garantire la sicurezza fisica e logica del sistema preposto al processo di conservazione digitale e delle copie di sicurezza dell'archivio informatico. Non è stato implementato un sistema di conversione di documenti amministrativi in formato digitale in quanto non si dispone ancora di un sistema di gestione documentale informatizzato. Pag. 41 Comune di Arzignamo Piano Sicurezza Informatica 2008 Allegato alla deliberazione di G.C. n. 77 del 26/03/2008. IL SEGRETARIO GENERALE F.to Maria Votta Gravina COMUNE DI ARZIGNANO G.C. n. 77 del 26/03/2008 OGGETTO AGGIORNAMENTO DEL DOCUMENTO PROGRAMMATICO PIANO OPERATIVO PER LE MISURE DI SICUREZZA EX D.LGS. 196/2003 Parere tecnico del Responsabile del Servizio: FAVOREVOLE. lì, 26/03/2008. Il Dirigente Settore Economico Finanziario F.to Alessandra Maule Parere contabile del Responsabile di Ragioneria: FAVOREVOLE lì, 26/03/2008. Il Dirigente Settore Economico Finanziario F.to Alessandra Maule Pag. 42 Comune di Arzignamo Piano Sicurezza Informatica 2008