approvazione aggiornamento del documento programmatico

COPIA
CITTA’ DI ARZIGNANO
Provincia di Vicenza
Sede: Piazza Libertà n. 12 – Arzignano – (VI) C.A.P. 36071
COD. FISC.: 00244950242
Verbale letto,
VERBALE DELLA
GIUNTA COMUNALE
approvato e sottoscritto.
IL PRESIDENTE
f.to FRACASSO
STEFANO
N. 190 del Reg. Delib.
OGGETTO:
IL SEGRETARIO
VERBALIZZANTE
f.to CARRARELLO
GUIDO
APPROVAZIONE AGGIORNAMENTO DEL
DOCUMENTO PROGRAMMATICO - PIANO
OPERATIVO PER LE MISURE DI SICUREZZA PER IL
TRATTAMENTO DEI DATI PERSONALI NELL'AMBITO
DELLE ATTIVITA' DEL COMUNE DI ARZIGNANO
In pubblicazione
L’anno 2004, il giorno 1 del mese di Dicembre alle ore 18:00 , nella Sala delle
all’Albo Pretorio
Adunanze si è riunita la Giunta Comunale con la presenza di:
per quindici giorni
consecutivi
dal
13/12/2004.
F.to CARRARELLO
GUIDO
PRESENTI
FRACASSO STEFANO
CASSAN PAOLO
ANZOLIN STEFANO
DE MARZI STEFANO
DE SANCTIS ANTONIO
GIACOMELLO GIANDOMENICO
PERETTI LORELLA
SIGNORIN GIANFRANCO
Sindaco
Vice Sindaco
Assessore
Assessore
Assessore
Assessore
Assessore
Assessore
ASSENTI
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Sì
Assiste alla seduta il Segretario Generale Dott. CARRARELLO GUIDO.
Il Presidente FRACASSO STEFANO, riconosciuta legale l’adunanza, invita la
Giunta a deliberare sull’oggetto sopraindicato.
Copia conforme
all’originale ad uso
amministrativo.
Lì, _______________
IL SEGRETARIO
GENERALE
___________________
CERTIFICATO DI ESECUTIVITA’
Divenuta esecutiva il 24/12/2004.
IL SEGRETARIO GENERALE
f.to Guido Carrarello
LA GIUNTA COMUNALE
PREMESSO che con Delibera di G. C. n. 103 del 16.07.2003 si approvava il Documento
programmatico – Piano operativo per le misure di sicurezza per il trattamento dei dati personali
nell’ambito delle attività del Comune di Arzignano, come previsto dall’art. 15, comma 1, della Legge 31
dicembre 1996, n. 675;
RILEVATO:
- che l’art. 6 del DPR n. 318/1999 prevede che qualora il trattamento di dati sensibili sia realizzato
mediante elaboratori o sistemi automatizzati, deve essere predisposto e aggiornato con cadenza annuale
un documento programmatico sulla sicurezza dei dati per definire, sulla base dell’analisi dei rischi, della
distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati
stessi:
a) i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di
sicurezza nonché le procedure per controllare l’accesso delle persone autorizzate ai locali medesimi;
b) i criteri e le procedure per assicurare l’integrità dei dati;
c) i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni
di accesso per via telematica;
d) l’elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi
individuati e dei modi per prevenire danni;
- che l’efficacia delle misure di sicurezza come sopra determinate deve essere oggetto di controlli
periodici, da eseguirsi con cadenza almeno annuale;
CONSIDERATO che con l’art. 180 del decreto legislativo 196/03, come modificato dall’art. 6
del decreto legge 266/04, il termine previsto del 31.12.2004 per l’aggiornamento del documento
programmatico a contenuto organizzativo - operativo di cui all’oggetto, è stato spostato al 30.06.2005, ma
che risulta comunque conveniente procedere fin d’ora ad aggiornare il documento programmatico – piano
operativo per le misure di sicurezza e di conferire al presente provvedimento immediata eseguibilità, al
fine di poter attivare tempestivamente i processi di definizione e di applicazione delle misure di sicurezza
per i trattamenti di dati personali sviluppati dai settori dell’Amministrazione Comunale;
VISTI gli allegati pareri previsti dall’art. 49 del D.Lgs. n. 267/2000;
Con voti unanimi, espressi nei modi e nelle forme di legge;
DELIBERA
1. di approvare l’aggiornamento del documento programmatico – piano operativo per le misure di
sicurezza minime inerenti l’attività dei settori del Comune di Arzignano in ordine al trattamento di
dati personali, come configurato nell’allegato A, parte integrante e sostanziale del presente atto;
2. di dare atto che ciascun dipendente dovrà attenersi a quanto stabilito dall’Amministratore del sistema
per il corretto uso dei mezzi e per la sicurezza delle banche dati a disposizione;
3. di dare atto che ciascun dirigente di settore, provvederà ove necessario, con propria determinazione, a
definire, nel rispetto del documento programmatico riportato in allegato, soluzioni operative per
l’applicazione delle misure di sicurezza, con particolare attenzione per eventuali specificità o
complessità strutturali dell'articolazione organizzativa cui risultano essere preposti;
4. di dichiarare la presente deliberazione, con successiva votazione e con voti unanimi, immediatamente
eseguibile, ai sensi dell’art. 134 – 4° comma – del D. Lgs. N. 267/2000, per le motivazioni esplicitate
in premessa.
2
Allegato alla deliberazione di G.C. n. 190 del 01/12/2004.
IL SEGRETARIO GENERALE
F.to Guido Carrarello
COMUNE DI ARZIGNANO
G.C. n. 190 del 01/12/2004
OGGETTO
APPROVAZIONE AGGIORNAMENTO DEL DOCUMENTO
PROGRAMMATICO - PIANO OPERATIVO PER LE MISURE DI SICUREZZA
PER IL TRATTAMENTO DEI DATI PERSONALI NELL'AMBITO DELLE
ATTIVITA' DEL COMUNE DI ARZIGNANO
Parere tecnico del Responsabile del Servizio:
FAVOREVOLE.
lì, 01/12/2004.
Il Dirigente Settore Servizi al Cittadino
F.to Denise Dani
Parere contabile del Responsabile di Ragioneria:
FAVOREVOLE.
lì, 01/12/2004.
Il Dirigente Settore Economico Finanziario
F.to Alessandra Maule
1
Allegato alla deliberazione di G.C. n° 190 del 01/12/2004.
IL SEGRETARIO GENERALE
F.to Guido Carrarello
PIANO DI SICUREZZA INFORMATICA
PARTE A: rischi e contromisure di carattere generale
Articolo 1. Definizioni
Un sistema informativo automatizzato si definisce sicuro quando soddisfa le seguenti proprietà:
• Disponibilità: l'informazione ed i servizi che eroga devono essere a disposizione degli utenti del
sistema compatibilmente con i livelli di servizio.
• Integrità: l'informazione ed i servizi erogati possono essere creati, modificati o cancellati solo dalle
persone autorizzate a svolgere tale operazione.
• Autenticità: garanzia e certificazione della provenienza dei dati.
• Confidenzialità o Riservatezza : l'informazione che contiene può essere fruita solo dalle persone
autorizzate a compiere tale operazione.
Articolo 2. Ambito di applicazione
1.
2.
3.
4.
5.
Il presente documento definisce il piano per la sicurezza informatica relativo alla formazione, alla
gestione, alla trasmissione, all'interscambio, all'accesso, alla conservazione dei documenti informatici, ai
sensi dell'art. 4 lettera c del D.P.C.M. 31 ottobre 2000 "Regole tecniche per il protocollo informatico di cui
al D.P.R. 20 ottobre 1998, n. 428'' e ai sensi dell'art.10 Deliberazione AIPA 51/2000.
Il piano per la sicurezza informatica è predisposto dall’Amministratore di sistema [cfr. Deliberazione della
G.C. n. 01 del 10.01.2000] d'intesa con i Responsabili dei dati personali di cui alla legge 675/96 e
successive integrazioni e modificazioni e nel rispetto delle misure minime di sicurezza previste dal
regolamento di attuazione emanato con D.P.R. 318/99.
Il piano fa parte del manuale di gestione di cui alle regole tecniche emanate ai sensi del D.P.R. 20
ottobre 1998, n.428 [cfr. art.10 c. 2 Deliberazione AIPA 51/2000].
Il piano considera i seguenti aspetti: analisi del rischio, politiche di sicurezza, interventi operativi, piano
della formazione [cfr. art.10 c. 3 Deliberazione AIPA 51/2000], misure minime di sicurezza ai sensi del
D.L. 30 giugno 2003, n. 196 [cfr. artt da 33 al 36 e all. B].
Il piano è sottoposto a verifica ed aggiornato con cadenza annuale.
Articolo 3. Finalità
Il crescente ricorso alle tecnologie dell'informazione e della comunicazione intrapreso per lo snellimento,
l'ottimizzazione e una maggiore efficienza dei procedimenti amministrativi, comporta una serie di rischi
imputabili all'inaffidabilità delle componenti hardware e software e all'esposizione alle intrusioni
informatiche.
2. La sicurezza del sistema informativo automatizzato va intesa non solo come "protezione del patrimonio
informativo da rilevazioni, modifiche o cancellazioni non autorizzate per cause accidentali o intenzionali'',
ma anche come "limitazione degli effetti causati dall'eventuale occorrenza di tali cause''.
3. Le soluzioni di sicurezza adottate a tutela del sistema informativo automatizzato hanno l'obiettivo di:
• assicurare la protezione degli interessi dei soggetti, pubblici e privati, che fanno affidamento sui
sistemi informativi dell'Amministrazione Comunale;
• evitare eventi pregiudizievoli che possano danneggiare disponibilità, riservatezza e integrità del
patrimonio informativo, disponibile sui sistemi di elaborazione e tramite le reti di connessione
telematica.
1.
Pag. 1
Piano Sicurezza Informatica 2004
Articolo 4. Analisi dei rischi
L'analisi dei rischi consente di acquisire consapevolezza e visibilità del livello di esposizione al rischio del
proprio patrimonio informativo e di avere una mappa preliminare dell'insieme delle possibili contromisure
di sicurezza da realizzare.
2. L'analisi dei rischi consiste nell'individuazione di tutte le risorse del patrimonio informativo,
nell'identificazione delle minacce a cui tale risorse sono sottoposte e nella definizione delle relative
contromisure.
1.
Articolo 5. Individuazione dei beni da proteggere
1.
2.
3.
Gli elementi del sistema informativo automatizzato che necessitano di protezione sono le risorse
hardware, le risorse software, i supporti di memorizzazione e i dati trattati , il cui elenco, riportato in
Allegato A.1, è parte integrante del presente atto.
L'elenco delle risorse hardware, software e dei supporti di memorizzazione, di cui all'Allegato A.1, viene
predisposto e mantenuto costantemente aggiornato dall’Amministratore di sistema.
L'elenco dei dati trattati, di cui all'allegato A.1, ai sensi della legge 675/96 e successive modificazioni, è
predisposto e aggiornato periodicamente dal responsabile del trattamento, individuato con apposito atto
dall'Amministrazione.
Articolo 6. Individuazione delle minacce
Gli elementi che minacciano il patrimonio informativo sono riportati in Allegato A.2, che è parte
integrante del presente atto.
2. L'elenco delle minacce, di cui all'Allegato A.2, viene predisposto e mantenuto costantemente aggiornato
dall’Amministratore di sistema.
1.
Articolo 7. Individuazione delle contromisure
Le contromisure di natura fisica, logica ed organizzativa, da adottare al fine di ridurre irischi individuati,
sono riportate nell'Allegato A.3, che è parte integrante del presente atto.
2. Le contromisure si suddividono in misure di sicurezza fisica, misure di sicurezza elettroniche e politiche
di sicurezza.
3. L'elenco delle contromisure, di cui all'Allegato A.3, viene predisposto e mantenuto costantemente
aggiornato dall’Amministratore di sistema.
1.
Articolo 8. Norme per il personale
1. Tutti i dipendenti dell'Amministrazione concorrono alla realizzazione della sicurezza, pertanto devono
proteggere le risorse loro assegnate per lo svolgimento dell'attività lavorativa e indicate all'art. 5, nel
rispetto di quanto stabilito dalle politiche di cui all'art.7, in particolare relativamente all'utilizzo delle
risorse informatiche, all'accesso ai sistemi e ai dati e all'uso della password.
Articolo 9. Il Piano della Formazione
1. L'introduzione del piano per la sicurezza, come di qualunque altro elemento che modifichi le modalità
lavorative all'interno di una qualsiasi realtà, è accompagnata da un piano per la formazione di cui
all'Allegato A.4.
2. Il piano della formazione viene predisposto e aggiornato con cadenza biennale dal responsabile della
formazione dell'Amministrazione d'intesa con l’Amministratore di sistema.
Pag. 2
Piano Sicurezza Informatica 2004
ALLEGATO A.1
Elenco delle Risorse Hardware
Il documento elenca tutte le risorse hardware individuate dall’Amministratore di sistema.
Rientrano in questa categoria tutte le CPU, terminali, workstation, personal computer, stampanti, disk drive,
linee di comunicazione, server, router in dotazione presso l'Amministrazione Comunale.
Server
NTSERVER_01
ARZIGNANO_1
ARZIGNANO2
ARZIGNANO3
Marca / Modello
Hewlett-Packard
HP NetServer LH Pro
Hewlett-Packard
HP NetServer LH Pro
IBM eserver xSeries 220
[8645]IBM eserver xSeries 220
[8645]-
PROXY
SERVICE
Intercomp
VENUS
Acer
Altos
Hewlett-Packard
ORACLE
MARS
Pag. 3
Acer
Altos
Sistema Operativo
Microsoft
Windows NT 4.0 Server
Microsoft
Windows NT 4.0 Server
-Microsoft
Windows 2000 Server
-Microsoft
Windows 2000 Server
GNU/Linux
Debian 3.0
Microsoft
Windows 2000 Server
GNU/Linux
Slackware
GNU/Linux
RedHat ES 3
GNU/Linux
Debian 3.0
IP
200.0.0.1
MAC
00:A0.24.CB-52:1F
200.0.0.4
00:60:97:19:C6:E3
200.0.0.15 00:02:55:6D:1B:CE
200.0.0.14 00:02:55:6D:1B:DA
200.0.0.5
00:50:FC:33:F4:FF
200.0.0.23 00:10:5A:30:06:07
200.0.0.3
00:00:E2:26:6E:B8
200.0.0.7
00:0F:20:97:17:CF
200.0.0.6
00:C0:9F:1E:AA:4C
Piano Sicurezza Informatica 2004
Nome PC
ADELINA
ALESSANDRA
ALESSANDRAC
ANNA
ANTONELLA
ANTONIO
ARMIDO
ASS01
ASS02
ASSESSORI
ATO01
AUGUSTO
BANCONE_MANTESE
BARBARA
BARBARA
BASILIO
BEATRICE01
CAPOCED
CARLA
CARMELA
CARMELA_OLD
CENTRALINO
CESARE
CINZIA
CINZIAB2
CINZIAD
CINZIAS
CINZIASA
DANIELA
DENISE
DOMENICO
DORIANA
ECONOMO
EGIDIO
ELENA
ELETTORALE2
Pag. 4
Produttore
INTELR
AcerSystem
AcerSystem
Hewlett-Packard
INTEL
AcerSystem
AcerSystem
INTELR
INTERCOMP
MAXDATA
Modello
AWRDACPI
Aspire 8000 XP DDRb
Aspire 8000 XP DDRb
HP Vectra
Whitney
Aspire 8000 XP DDRb
Aspire 8000 XP DDRb
AWRDACPI
Portatile
P4S800-MX
Sistema Operativo
Microsoft Windows 2000 Pro
Microsoft Windows XP Pro
Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Verione IP
MAC
5.0.2195 200.0.0.233 00:60:97:19:C1:A8
5.1.2600 200.0.0.228 00:E0:4C:9D:BE:64
5.1.2600 200.0.0.90
00:E0:4C:9C:40:D3
5.0.2195 200.0.0.222 00:01:03:0D:F4:28
5.0.2195 200.0.0.225 00:01:03:0D:CA:B4
5.1.2600 200.0.0.179 00:E0:4C:9C:3F:F8
5.0.2195 200.0.0.147 00:E0:4C:9C:40:F4
5.0.2195 200.0.0.232 00:00:E2:68:1A:96
Acer
91.E4C04.I51
VIA Technologies, Inc. VT8363
Microsoft Windows XP Pro
Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
5.1.2600
5.1.2600
5.0.2195
5.1.2600
5.0.2195
200.0.0.224
200.0.0.209
200.0.0.202
00:E0:18:00:97:27
00:00:E2:65:59:96
00:C0:DF:10:A9:27
true
true
true
AcerSystem
MAXDATA
INTELR
SiS
Aspire 8000 XP DDRb
P4S800-MX
AWRDACPI
645
Microsoft Windows XP Pro
Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
5.1.2600
5.1.2600
5.0.2195
5.0.2195
200.0.0.239
200.0.0.165
200.0.0.194
200.0.0.164
00:E0:4C:9C:40:11
00:11:2F:31:FF:EA
00:60:97:BC:F4:EE
00:0A:E6:39:64:02
true
true
true
true
System Manufacturer
AcerSystem
INTELR
MAXDATA
INTELR
System Name
Aspire 8000 XP DDRb
AWRDACPI
P4S800-MX
AWRDACPI
Microsoft Windows 2000 Pro
Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
5.0.2195
5.1.2600
5.0.2195
5.1.2600
5.0.2195
200.0.0.240
200.0.0.160
200.0.0.132
200.0.0.173
200.0.0.214
00:E0:18:00:95:20
00:E0:4C:95:B7:CE
00:05:1C:0B:3E:AE
00:11:2F:59:57:CE
00:05:1C:0B:70:5F
true
true
true
true
true
Hewlett-Packard
AcerSystem
ECS
Hewlett-Packard
INTELR
Intercomp
INTELR
HP PC
Aspire 8000 XP DDRb
P4S5A/DX+
HP Vectra
AWRDACPI
Microsoft Windows XP Pro
Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
5.1.2600
5.1.2600
5.0.2195
5.0.2195
5.0.2195
5.0.2195
5.0.2195
5.0.2195
200.0.0.137
200.0.0.151
200.0.0.155
200.0.0.152
200.0.0.139
200.0.0.159
200.0.0.226
200.0.0.237
00:04:23:15:ED:2A
00:E0:4C:9C:EE:81
00:0A:E6:39:5A:0B
00:60:97:BC:F4:B1
00:A0:C9:1D:60:D9
00:E0:18:00:97:2E
00:50:DA:71:18:0A
00:E0:06:F8:FD:66
true
true
true
true
true
true
true
true
AWRDACPI
Piano Sicurezza Informatica 2004
Client DHCP
true
true
false
true
true
true
true
true
true
true
EZIO_ANDREA
FEDERICO
FRANCESCO
FULVIA
GIOVANNA
GIUSY
GRAZIA2
GRAZIELLA
GUIDO
IMMIGRAZIONE1
IMMIGRAZIONE2
IMMIGRAZIONE3
KATIANA
LOREDANA
LORENZA
LORENZO
LUCIA
LUISADC
LUISAP
MARCIGAGLIA
MARIA
MARIAGRAZIA
MARIAV
MARIO
MARISA
MARTA
MASSIMOP
MAURIZIOD
MESSI
MIRIAM
NERI_VITTORINO
PAOLAB
PAOLAF
PAOLAS
PENSIONI
PERSONALE
PERSONALE2
Pag. 5
acer
MAXDATA
HP
ECS
INTELR
SiS
MAXDATA
CdcPointSpa
AcerSystem
Aspire 1700
P4S800-MX
HPBDD_IV
P4S5A/DX+
AWRDACPI
645
P4S800-MX
KM266-8235
Aspire 8000 XP DDRb
Microsoft Windows XP Pro
Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows XP Pro
Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
5.1.2600
5.1.2600
5.0.2195
5.0.2195
5.0.2195
5.0.2195
5.1.2600
5.1.2600
5.0.2195
AWRDACPI
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows NT 4.0
Microsoft Windows 2000 Pro
5.0.2195
5.0.2195
4.0
5.0.2195
200.0.0.213
200.0.0.220
200.0.0.238
200.0.0.141
200.0.0.197
200.0.0.192
200.0.0.140
200.0.0.212
200.0.0.177
200.0.0.148
200.0.0.215
200.0.0.196
200.0.0.243
200.0.0.207
200.0.0.153
00:C0:9F:36:EB:31
00:11:2F:32:04:65
00:04:23:15:EF:0C
00:0A:E6:32:50:FD
00:05:1C:0B:96:C0
00:0A:E6:39:90:AB
00:11:2F:31:FF:EE
00:0C:76:1E:8D:C3
00:E0:4C:9C:ED:D7
00:10:5A:30:0A:E4
00:10:5A:30:05:7A
00:60:08:4C:21:86
00:30:18:78:45:41
00:10:5A:30:0A:AF
00:A0:C9:1D:63:3E
true
true
true
true
true
true
true
true
true
true
true
true
true
true
true
Hewlett-Packard
JETWAY
Intercomp
INTELR
Vectra
AWRDACPI
INTERCOMP
INTELR
SiS
System Name
AWRDACPI
645
Microsoft Windows 2000 Pro 5.0.2195
Microsoft Windows 2000 Pro 5.0.2195
Microsoft Windows 2000 Pro 5.0.2195
200.0.0.249
200.0.0.200
200.0.0.190
00:E0:18:00:94:D6
00:05:1C:0B:9E:3D
00:0A:E6:58:B4:0E
true
true
true
MICRO-STAR
JETWAY
JETWAY
Acer
KM266-8235
AWRDACPI
AWRDACPI
91.E4C04.I51
Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows XP Pro
5.1.2600
5.0.2195
5.0.2195
5.1.2600
200.0.0.195
200.0.0.235
200.0.0.189
200.0.0.241
00:0C:76:8C:92:AD
00:30:18:60:26:29
00:30:18:60:26:58
00:00:E2:64:15:13
true
true
true
true
Acer
Hewlett-Packard
INTELR
ASUS
Veriton
HP Vectra
AWRDACPI
P2B-N___
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
Microsoft Windows 2000 Pro
5.0.2195
5.0.2195
5.0.2195
5.0.2195
200.0.0.211
200.0.0.178
200.0.0.183
200.0.0.135
00:00:E2:68:1F:0B
00:01:03:0D:80:CC
00:A0:24:F2:2B:31
00:E0:18:A8:BE:E2
true
true
true
true
INTEL
AcerSystem
Microsoft Windows 2000 Pro 5.0.2195
Whitney
Microsoft Windows 2000 Pro 5.0.2195
Aspire 8000 XP DDRb Microsoft Windows XP Pro
5.1.2600
200.0.0.181
200.0.0.174
200.0.0.245
00:E0:18:00:95:29
00:01:03:0D:C7:BD
00:E0:4C:95:B5:EB
true
true
true
JETWAY
Hewlett-Packard
AWRDACPI
HP PC
200.0.0.216
200.0.0.143
00:30:18:90:15:23
00:04:23:15:EF:69
true
true
Microsoft Windows 2000 Pro 5.0.2195
Microsoft Windows 2000 Pro 5.0.2195
Piano Sicurezza Informatica 2004
POLIZAEDILIZIA
PPINTON
PRESTITO2
PROG01
PROG02
PROG03
PVIGILI
RENATO
ROBERTO_P2
ROMOLO
SABRINA
SABRINAB
SANDRAB
SEGRETARIO
SILVIA
SINDACO
SOC01
SOSTITUTIVO
SOSTITUTIVO2
SOSTITUTIVO3
TRAVELMATE01
URBANISTICA
URP1
URP2
URP3
URP4
VELIA
VIGILI_1
VIGILI_2
VIGILI_3
VIGILI06
VIGILI5
VIGILITXIMG
VINICIO
VITTORINO
Pag. 6
Hewlett-Packard
Acer
HP Vectra
TravelMate
Microsoft Windows 2000 Pro 5.0.2195
200.0.0.208
00:01:03:0D:F4:3D
true
Microsoft Windows 2000 Pro 5.0.2195
Microsoft Windows 2000 Pro 5.0.2195
Microsoft Windows 2000 Pro 5.0.2195
200.0.0.176
200.0.0.227
200.0.0.246
00:50:FC:6E:40:5E
00:A0:24:F2:2B:30
00:0A:E6:39:5C:18
true
true
true
INTELR
SiS
AWRDACPI
645
AcerSystem
Aspire 8000 XP DDRb Microsoft Windows XP Pro
5.1.2600
200.0.0.191
00:E0:4C:9E:71:43
true
INTEL
AcerSystem
BROKDALE
Microsoft Windows 2000 Pro
Aspire 8000 XP DDRb Microsoft Windows XP Pro
Microsoft Windows 2000 Pro
SCENIC P
Microsoft Windows XP Pro
P4S800-MX
Microsoft Windows XP Pro
AWRDACPI
Microsoft Windows 2000 Pro
5.0.2195
5.1.2600
5.0.2195
5.1.2600
5.1.2600
5.0.2195
200.0.0.182
200.0.0.205
200.0.0.234
200.0.0.198
200.0.0.172
200.0.0.218
00:04:23:0D:3A:34
00:E0:4C:9C:EE:89
00:E0:06:F8:E4:35
00:30:05:64:91:72
00:11:2F:31:FF:F4
00:30:18:70:16:17
true
true
true
true
true
true
Microsoft Windows XP Pro
5.1.2600
Microsoft Windows 2000 Pro 5.0.2195
Microsoft Windows 2000 Pro 5.0.2195
200.0.0.193
200.0.0.156
200.0.0.142
00:E0:4C:92:01:C6
00:E0:18:E7:61:B5
00:A0:24:F2:2B:34
true
true
true
Microsoft Windows XP Pro
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0
Microsoft Windows 2000 Pro
5.1.2600
4.0
4.0
4.0
4.0
4.0
4.0
4.0
4.0
5.0.2195
200.0.0.236
200.0.0.247
200.0.0.230
200.0.0.244
200.0.0.146
200.0.0.248
200.0.0.144
00:04:23:15:ED:DC
00:E0:18:00:96:2F
00:A0:24:F2:2B:50
00:E0:18:00:95:37
00:E0:18:00:97:2A
00:E0:18:00:96:2C
00:A0:C9:1D:5C:50
200.0.0.185
00:10:5A:30:08:FD
true
true
true
true
true
true
true
true
true
true
Aspire 8000 XP DDRb Microsoft Windows XP Pro
5.1.2600
AWRDACPI
Microsoft Windows 2000 Pro 5.0.2195
SCENIC P
Microsoft Windows XP Pro
5.1.2600
200.0.0.221
200.0.0.167
200.0.0.210
00:E0:4C:9C:3F:CA
00:30:18:11:17:73
00:30:05:64:0F:83
true
true
true
FUJITSU SIEMENS
MAXDATA
JETWAY
FUJITSU SIEMENS
BIOSTA
INTERCOMP
INTERCOMP
AcerSystem
Hewlett-Packard
AcerSystem
JETWAY
FUJITSU SIEMENS
AWRDACPI
System Name
System Name
TravelMate
HP PC
Piano Sicurezza Informatica 2004
Router
Cisco System
Modello
CISCO 1600 Series
Stampanti
Modello
Anagrafe
Infotec 4220 MF
Ragioneria
NRG DSc224
Progettazione
NRG C7010
Protocollo
Infotec IS 2022
Ragionaria
NRG DSc38u
Tributi / Commercio Infotec IS 2022
fotocopiatrice
fotocopiatrice / duplex / fax
fotocopiatrice / duplex / fax
fotocopiatrice / duplex / fax
IP / MAC
200.0.0.8
200.0.0.9
200.0.0.27
200.0.0.28
200.0.0.29
200.0.0.30
Elenco delle Risorse Software
Il documento elenca tutte le risorse software individuate dall’Amministratore di sistema.
Rientrano in questa categoria i Sistemi Operativi e Software di Base (Utilità, diagnostici), Software Applicativi,
Gestori di basi di dati, Software di rete, i Programmi in formato sorgente e oggetto.
Software
Microsoft Windows 2000 Server
Microsoft Windows NT 4.0
Server
Microsoft Windows 2000 Pro
Microsoft Windows XP Pro
Microsoft Windows NT 4.0
Microsoft Windows 98
Microsoft Windows 95
GNU/Linux RedHat ES 3
GNU/Linux Debian 3.0
GNU/Linux Slackware
SAGA Sicra
DeltaDator
Cedaf IRIDE
Cedaf PayRoll
Cedaf Perseo
TrendMicro OfficeScan
TrendMicro ServerProtect
Tipologia
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Sistema Operativo
Gestionale: Anagrafe, Stato Civile, Elettorale
Finanziaria, Economato, Controllo di Gestione
Gestionale: Protocollo, Atti Amministrativi
Gestionale: Paghe
Gestionale: Gestione del personale
Antivirus Centralizzato per i PC
Antivirus Centralizzato per i Server
Elenco dei dati trattati
Il documento elenca tutto il contenuto degli archivi, delle basi di dati, dei dati di transito, delle copie storiche e dei
file di registrazione delle attività detenuti dall'Amministrazione.
Database
Anagrafe / Stato Civile /
Elettorale
Finanziaria
Protocollo
Atti Amministrativi
Partiche Edilizie
Gestione del Personale /
Paghe
Vari
Macchina / DBServer
Arzignano2 / ingres
Arzignano2 / ingres
Oracle / Oracle 9i
Arzignano3 / Ms SQL Server
Arzignano3 / Ms SQL Server – Doc MsWord
Arzignano3 / Ms SQL Server – Doc MsWord
Arzignano3 / Ms SQL Server
NTServer_01 – Arzignano_1 / Ms Access
Elenco dei supporti di memorizzazione
7
Il documento elenca i supporti su cui vengono tenute le copie dei software installati, le copie delle banche dati e le
copie dei file di registrazione delle attività.
Dati
Software
Database (ingres Arzignano2,
MsSQL server Arzignano3)
File sul FileServer (NtServer_01 e
Arzignano_1)
Totale
Supporto
Frequenza
CD-ROM di installazione e copia su filesystem
su server
Su disco esterno e su file system locale
giornaliera
Su disco esterno
giornaliera
Su nastro
settimanale
Elenco degli Utenti del dominio ARZIGNANO
UserName
FullName
Groups
Adelina
Facchin Adelina
AnagrafeConsulta
cer
Domain Users
Scuole
Account Operators
Administrators
Backup Operators
Domain Admins
Domain Users
Enterprise Admins
Group Policy Creator Owners
OperatoriIngres
Schema Admins
Domain Users
Territorio
Domain Users
LavoriPubblici
Territorio
ATO
bilancio
Contabilità
Domain Users
Economato
OperatoriIngres
Personale
Ragioneria
Tributi
Anagrafe
CED
Domain Users
OperatoriIngres
Anagrafe
Domain Users
OperatoriIngres
Urbanistica
Anagrafe
Domain Users
OperatoriIngres
Urbanistica
Domain Users
Polizia
Domain Users
Administrator
albertor
Alberto Rancan
Albertoz
Alberto Zambon
Alessandra
Alessandra Maule
AlessandraC
Ceoloni Alessandra
alessia
Montagna Alessia
Alfredo
Carlotto Alfredo
andreab
Andrea Bellamio
angelo
Cattazzo Angelo
AcctDisable
d
No
No
No
No
No
No
No
No
No
No
No
No
No
Yes
Yes
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
8
Anna
Anna Tosini
Annalisa
Annalisa Pretto
antonella
Antonella Cenzato
Antonio
Berto Antonio
Armido
Armido Giordani
Augusto
Augusto Cocco
augustol
Augusto Lovato
Barbara
Barbara Bardati
barbaram
Basilio
Basilio Pegoraro
Beatrice
Beatrice Lorenzi
Carla
Carla Baldisserotto
Carmela
Carmela Bellini
Catiana
Pasqualini Catiana
cedaf
cedaf per manutenzione
OperatoriIngres
Polizia
Domain Users
OperatoriIngres
Personale
Anagrafe
Domain Users
OperatoriIngres
Domain Users
OperatoriIngres
Personale
Domain Users
Polizia
Ambiente
Anagrafe
Domain Users
Territorio
Urbanistica
Anagrafe
AnagrafeBO
Domain Users
Elettorale
OperatoriIngres
StatoCivile
Domain Users
Polizia
Anagrafe
Domain Users
OperatoriIngres
Urbanistica
Domain Users
PRG
Territorio
Urbanistica
Domain Users
OperatoriIngres
Ragioneria
Tributi
cer
Domain Users
LavoriPubblici
peg
Territorio
TerritorioAmministr
Urbanistica
Anagrafe
cer
Domain Users
Vicesegreteria
Ambiente
Domain Users
Territorio
TerritorioAmministr
Urbanistica
Anagrafe
Domain Users
Messi
OperatoriIngres
Protocollo
Domain Guests
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
Yes
Yes
Yes
Yes
Yes
Yes
No
No
No
No
No
No
Yes
Yes
Yes
Yes
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
Yes
9
cedstage
remota
Stagista Ced
Cesare
Bassetto Cesare
Cinzia
Cinzia Nevicelli
CinziaB
Cinzia Bettega
CinziaD
Cinzia De Maggi
CinziaS
Cinzia Sartori
claudio
Claudio Rigoni
claudioa
Claudio Accettini
Daniela
Daniela Bevilacqua
Danielaz
Daniela Zapolla
Danilo
Danilo Guarti
Davide
Davide Zorzanello
debora
Debora Caposilvan
demografico
Utente di servizio
Denise
Denise Dani
CED
Domain Users
Domain Users
LavoriPubblici
LavoriPubbliciAdmin
OperatoriIngres
Territorio
TerritorioAmministr
Domain Users
OperatoriIngres
Servizi Sociali
Contabilità
Domain Users
Economato
OperatoriIngres
Ragioneria
Commercio
Domain Users
Anagrafe
Domain Users
Servizi Sociali
Domain Users
Polizia
Domain Users
Polizia
cer
Domain Users
OperatoriIngres
peg
Scuole
Segreteria
TerritorioAmministr
Vicesegreteria
Domain Users
Polizia
Ambiente
Domain Users
peg
Territorio
TerritorioAmministr
Urbanistica
Ambiente
Domain Users
Domain Users
Polizia
Administrators
Domain Admins
Domain Users
Ragioneria
Anagrafe
AnagrafeBO
AnagrafeConsulta
Domain Users
Elettorale
OperatoriIngres
peg
Scuole
Servizi Sociali
StatoCivile
Yes
Yes
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
10
Diego
Framarin Diego
Domenico
Carlotto Domenico
domenicon
Domenico Natangelo
Doriana
Doriana Camporiondo
Economo
Rossana Bari
Egidio
Egidio Motterle
Elena
Rossato Elena
ElenaC
Elena Chiarello
eleonora
Eleonora Marini
Emanuela
Emanuele
Magnabosco Emanuela
Massarelli Emanuele
emanueler
Emanuele Ruaro
ezioandrea
Lovato Ing. Ezio Andrea
Fabiola
Conficconi Fabiola
Federico
Federico Poletto
finanziaria
Utente di servizio
francesco
Francesco Santoro
fulvia
Fulvia Rosa
Domain Users
Polizia
Commercio
Domain Users
peg
Domain Users
Polizia
Anagrafe
AnagrafeBO
AnagrafeConsulta
Domain Users
Elettorale
Internet
OperatoriIngres
StatoCivile
Contabilità
Domain Users
Economato
OperatoriIngres
Ragioneria
cer
Domain Users
Ambiente
Domain Users
Territorio
TerritorioAmministr
Urbanistica
Domain Users
Servizi Sociali
Domain Users
Polizia
Domain Users
Anagrafe
Domain Users
Messi
OperatoriIngres
Domain Users
Polizia
Domain Users
LavoriPubblici
Territorio
Domain Users
Territorio
TerritorioAmministr
Urbanistica
Domain Users
LavoriPubblici
LavoriPubbliciAdmin
OperatoriIngres
Territorio
TerritorioAmministr
Administrators
Domain Admins
Domain Users
Ragioneria
Territorio
Domain Users
Polizia
Anagrafe
Domain Users
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
Yes
Yes
Yes
No
No
No
No
Yes
Yes
No
No
No
Yes
Yes
Yes
Yes
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
11
Gaetana
Gaetana Calearo
Giancarlo
giancarloc
Giancarlo Fracasso
Giancarlo Cracco
giandomenico
Giandomenico Giacomello
giovanna
Giovanna Vignaga
giovanni
Giovanni Pianalto
giovannim
Giovanni Mastrotto
Giusi
Giuseppina Confente
Grazia
Grazia Manca
GRAZIELLA
Dal Maso Graziella
Guest
Guido
Udente di default
Guido Bortolan
guidoc
Guido Carrarello
ingres
Ingres utente database
install
IUSR_ARZIGNANO_1
servizio
User x IIS su Arzignano_1
krbtgt
lino
Lino dalla Gassa
Livio
Millardi Livio
Loredana
Loredana Roncolato
Lorenza
Lorenza Franchetto
OperatoriIngres
Vicesegreteria
Anagrafe
AnagrafeConsulta
Domain Users
Messi
OperatoriIngres
Domain Users
Domain Users
Polizia
Assessori
Domain Users
Domain Users
LavoriPubblici
Territorio
TerritorioAmministr
Domain Users
Polizia
Domain Users
Polizia
Ambiente
Domain Users
Territorio
Urbanistica
Contabilità
Domain Users
OperatoriIngres
Ragioneria
Anagrafe
Domain Users
Messi
Protocollo
Domain Guests
Account Operators
Administrators
AnagrafeConsulta
CED
Domain Admins
Domain Users
Internet
OperatoriIngres
Domain Users
Segreteria
Administrators
Domain Admins
Domain Users
Ragioneria
Domain Users
Administrators
Domain Guests
Domain Users
Domain Users
Domain Users
Polizia
Domain Users
Polizia
Domain Users
peg
Segreteria
Anagrafe
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
Yes
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
Yes
No
No
No
No
No
No
No
No
12
Lorenzo
Lorenzo Toniolo
Loris
Loris Pinton
Luca
Fiorani Luca
Luisa
Pegoraro Luisa
luisadc
Luisa De Cao
manola
Manola Anselmi
Maria
Maria Bernardini
mariar
Maria Raniero
marias
Maria Grazia Stecco
Mario
Schiavo Mario
mariop
Mario Pieropan
Marisa
Pino Marisa
Marisana
Marisana Coaro
Marta
Marta
Marta Venco
Marta Venco
massimoc
Massimo Cariolato
Massimop
Massimo Parolin
AnagrafeConsulta
Domain Users
Internet
OperatoriIngres
peg
Domain Users
LavoriPubblici
Territorio
Domain Users
peg
Segreteria
Domain Users
Polizia
Domain Users
LavoriPubblici
LavoriPubbliciAdmin
Territorio
TerritorioAmministr
Domain Users
Servizi Sociali
Vicesegreteria
Domain Users
Polizia
Anagrafe
AnagrafeBO
Domain Users
OperatoriIngres
StatoCivile
Urbanistica
Anagrafe
AnagrafeBO
AnagrafeConsulta
Domain Users
Elettorale
Internet
OperatoriIngres
StatoCivile
Domain Users
Polizia
Domain Users
Polizia
Domain Users
Polizia
Anagrafe
Domain Users
OperatoriIngres
StatoCivile
Domain Users
OperatoriIngres
Personale
Ragioneria
Anagrafe
Domain Users
Servizi Sociali
Urbanistica
Anagrafe
Domain Users
OperatoriIngres
Vicesegreteria
Domain Users
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
Yes
Yes
Yes
Yes
No
13
matteom
Matteo Menegon
maurizio
Maurizio Marcigaglia
mauriziod
Dal Barco Maurizio
michele
Caldara Michele
mirco
Mirco Cailotto
Miriam
Miriam Farina
nada
Pozzan Nada
Nicola
Mantese Nicola
nicolag
Nicola Gramola
obi1
ospite
Obiettore 1
utente ospite per sicra
PaolaB
Paola Bevilacqua
Paolaf
Paola Foscarelli
PaolaM
Paola Marcazzan
PaolaS
Paola Santini
PaolaS
paolof
Paola Santini
Paolo Fattori
renato
Marcon Renato
OperatoriIngres
Polizia
Domain Users
Polizia
Domain Users
Polizia
Domain Users
Polizia
Domain Users
Polizia
Domain Users
Polizia
Domain Users
Territorio
TerritorioAmministr
Urbanistica
Domain Users
Polizia
Domain Users
Polizia
Account Operators
Administrators
AnagrafeConsulta
CED
Domain Admins
Domain Users
Internet
OperatoriIngres
Domain Users
Domain Users
OperatoriIngres
Domain Users
LavoriPubblici
LavoriPubbliciAdmin
Territorio
TerritorioAmministr
Contabilità
Domain Users
Economato
OperatoriIngres
Ragioneria
Domain Users
OperatoriIngres
Personale
Ragioneria
bilancio
Contabilità
Domain Users
Economato
OperatoriIngres
Ragioneria
Domain Users
LavoriPubblici
Territorio
Anagrafe
AnagrafeBO
AnagrafeConsulta
Domain Users
Elettorale
Internet
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
Yes
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
14
repl
robertos
Romolo
Rossana
Sabrina
sabrinab
Sandra
Silvana
Silvi
Silvia
SQLAgentCmdExec
SQLExecutiveCmdExec
stefano
stefanof
temp01
temprag
tempter
toto
TsInternetUser
umberto
OperatoriIngres
Scuole
Servizi Sociali
StatoCivile
replicator
Backup Operators
Domain Users
Replicator
Roberto Scalzolaro
Domain Users
Polizia
Romolo Bruni
Domain Users
Internet
LavoriPubblici
Territorio
Bari Rossana
Contabilità
Domain Users
Economato
Sabrina Colli
Domain Users
Tributi
Sabrina Biasin
Domain Users
Territorio
Urbanistica
Alessandra Bastianello
Domain Users
Ragioneria
Tributi
Silvana Poli
Domain Users
peg
Territorio
Urbanistica
Silvana Carradore
Domain Users
Servizi Sociali
Fongaro Silvia
ATO
cer
Domain Users
OperatoriIngres
peg
Scuole
Segreteria
TerritorioAmministr
Vicesegreteria
SQLAgentCmdExec
Domain Users
Users
SQLExecutiveCmdExec
Domain Users
Stefano De Marzi
Assessori
Domain Users
Stefano Fracasso
Assessori
Domain Users
Temoraneo / Obiettore
Domain Users
Temporaneo Ragioneria
Domain Users
temporaneo gestione territorio Domain Users
Territorio
TerritorioAmministr
Urbanistica
Antonio de Sanctis
Anagrafe
Domain Users
OperatoriIngres
Vicesegreteria
TsInternetUser
Domain Users
Guests
Umberto Ganzarolli
Domain Users
Polizia
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
Yes
Yes
No
No
No
No
No
No
No
No
No
No
No
No
15
Velia
Frighetto Velia
vigili
Attivazione chiave vigili
Vinicio
Albiero Vinicio
Vittorino
Neri Vittorino
Anagrafe
Domain Users
OperatoriIngres
StatoCivile
Domain Users
Users
Domain Users
Territorio
Urbanistica
Domain Users
OperatoriIngres
Polizia
No
No
No
No
No
No
No
No
No
No
No
No
Elenco dei guppi del Dominio ARZIGNANO
Group
Account Operators
Administrators
Ambiente
Anagrafe
AnagrafeBO
AnagrafeConsulta
Assessori
ATO
Backup Operators
bilancio
CED
cer
Cert Publishers
Commercio
Contabilità
DnsAdmins
DnsUpdateProxy
Domain Admins
Domain Computers
Domain Controllers
Domain Guests
Domain Users
Economato
Elettorale
Enterprise Admins
Group Policy Creator Owners
Gruppo di accesso autorizzazione Windows
Guests
Incoming Forest Trust Builders
Internet
LavoriPubblici
LavoriPubbliciAdmin
Messi
Network Configuration Operators
OperatoriIngres
peg
Performance Log Users
Performance Monitor Users
Personale
Polizia
Pre-Windows 2000 Compatible Access
PRG
Print Operators
Protocollo
GroupType
Local
Local
Global
Global
Global
Global
Global
Global
Local
Global
Global
Global
Global
Global
Global
Local
Global
Global
Global
Global
Global
Global
Global
Global
Global
Global
Local
Local
Local
Global
Global
Global
Global
Local
Global
Global
Local
Local
Local
Global
Local
Global
Local
Global
16
Ragioneria
RAS and IAS Servers
Replicator
Schema Admins
Scuole
Segreteria
Server licenze di Terminal Server
Server Operators
Servizi Sociali
sindacato
StatoCivile
Territorio
TerritorioAmministr
Tributi
Urbanistica
Users
Utenti desktop remoto
Utenti WINS
Vicesegreteria
Global
Local
Local
Global
Global
Global
Local
Local
Global
Local
Global
Global
Global
Global
Global
Local
Local
Local
Local
17
Elenco delle condivisioni su NTSERVER_01
Share and path
NETLOGON=C:\WINNT\system32\Repl\Import\Scripts
(disktree)
NETLOGON=C:\WINNT\system32\Repl\Import\Scripts
(disktree)
d=D:\ (disktree)
d=D:\ (disktree)
d=D:\ (disktree)
d=D:\ (disktree)
ADMIN$=C:\WINNT (special admin share)
C$=C:\ (special admin share)
F$=F:\ (special admin share)
G$=G:\ (special admin share)
IPC$= (special admin share)
REPL$=C:\WINNT\system32\Repl\Export (disktree)
REPL$=C:\WINNT\system32\Repl\Export (disktree)
Ato$=F:\Ato$ (disktree)
Anag$=F:\Anag$ (disktree)
Ambiente=F:\Ambiente (disktree)
Sociale=G:\Sociale (disktree)
Personale=F:\Personale (disktree)
G_proposte=F:\Segreteria\Giunta\Proposte (disktree)
C_proposte=F:\Segreteria\Consig\Proposte (disktree)
Anagrafe=G:\Anagrafe (disktree)
UffTecnico=G:\UffTecnico (disktree)
Segreteria=F:\Segreteria (disktree)
URP=F:\URP (disktree)
Ragioneria=F:\Ragioneria (disktree)
Territorio=G:\Territorio (disktree)
Util=C:\Util (disktree)
Scuole=G:\Scuole (disktree)
Account
ARZIGNANO\Account Operators
Everyone
Everyone
ARZIGNANO\==>DeletedAccount
ARZIGNANO\Guido
ARZIGNANO\Administrators
ARZIGNANO\Replicator
ARZIGNANO\Administrators
Everyone
Everyone
Everyone
Own
all
read
read
all
all
all
admin-only (no dacl)
admin-only (no dacl)
admin-only (no dacl)
admin-only (no dacl)
admin-only (no dacl)
read
all
unprotected (no dacl)
unprotected (no dacl)
unprotected (no dacl)
unprotected (no dacl)
unprotected (no dacl)
all
all
unprotected (no dacl)
unprotected (no dacl)
all
unprotected (no dacl)
unprotected (no dacl)
unprotected (no dacl)
unprotected (no dacl)
unprotected (no dacl)
18
Elenco delle condivisioni su ARZIGNANO_1
Share and path
NETLOGON=C:\WINNT\System32\Repl\Import\Scripts
(disktree)
ADMIN$=C:\WINNT (special admin share)
C$=C:\ (special admin share)
F$=F:\ (special admin share)
IPC$= (special admin share)
REPL$=C:\WINNT\System32\Repl\Export (disktree)
REPL$=C:\WINNT\System32\Repl\Export (disktree)
D=D:\ (disktree)
Polizia=F:\Polizia (disktree)
Polizia=F:\Polizia (disktree)
SIT=F:\SIT (disktree)
ced=F:\ced (disktree)
ofcscan=F:\OfficeScan\PCCSRV (disktree)
Urbanist=F:\Urbanist (disktree)
PRG=F:\PRG (disktree)
Assessori=F:\Assessori (disktree)
Assessori=F:\Assessori (disktree)
backup=F:\backup (disktree)
backup=F:\backup (disktree)
backup=F:\backup (disktree)
backup=F:\backup (disktree)
OfficeScan=F:\OfficeScan (disktree)
Scambio=F:\Scambio (disktree)
Program=F:\Program (disktree)
leggi=F:\leggi (disktree)
Rete_Civica=F:\Rete_Civica (disktree)
Open=C:\Open (disktree)
Open=C:\Open (disktree)
Open=C:\Open (disktree)
Account
Everyone
ARZIGNANO\Replicator
ARZIGNANO\Administrators
ARZIGNANO\Administrators
ARZIGNANO\Polizia
Everyone
ARZIGNANO\Administrators
ARZIGNANO\Assessori
ARZIGNANO\install
ARZIGNANO\Account Operators
ARZIGNANO\Administrators
ARZIGNANO\Doriana
ARZIGNANO\Administrator
SYSTEM
ARZIGNANO\Polizia
Own
read
admin-only (no dacl)
admin-only (no dacl)
admin-only (no dacl)
admin-only (no dacl)
read
all
unprotected (no dacl)
all
all
unprotected (no dacl)
all
unprotected (no dacl)
unprotected (no dacl)
unprotected (no dacl)
all
all
all
all
all
read
unprotected (no dacl)
unprotected (no dacl)
unprotected (no dacl)
unprotected (no dacl)
unprotected (no dacl)
all
all
change
19
ALLEGATO A.2
Elenco delle minacce a cui sono sottoposte le risorse hardware
Il documento elenca le minacce alle risorse hardware, individuate dall’Amministratore di sistema.
Le principali minacce a cui le risorse hardware sono sottoposte sono:
• mal funzionamenti dovuti a guasti, sabotaggi, furti e intercettazione;
• mal funzionamenti dovuti a eventi naturali quali allagamenti e incendi.
Quest'ultima minaccia interessa gli apparati di rete, cioè le linee di comunicazione, i router e i server. E' infatti
possibile effettuare il monitoraggio indebito o l'alterazione della trasmissione di dati effettuata da questi apparati,
sia che questa avvenga tra terminali, tra computer, tra stazioni di lavoro periferiche e sistemi centrali di
elaborazione.
Elenco delle minacce a cui sono sottoposte le risorse software
Il documento elenca le minacce alle risorse software, individuate dall’Amministratore di sistema.
Le minacce principali sono:
• la presenza di errori involontari commessi in fase di progettazione e/o implementazione che consentono ad
utenti non autorizzati l'esecuzione di operazioni e programmi riservati a particolari categorie di utenti;
• la presenza di codice malizioso inserito volontariamente dai programmatori dell'applicazione stessa, al fine di
poter svolgere operazioni non autorizzate sul sistema o per danneggiare lo stesso;
• attacchi di tipo "interruzione di servizio'', che vengono generalmente effettuati ai servizi di rete, ma che sono
facilmente estendibili a un qualunque servizio. Si tratta di attacchi non distruttivi il cui obiettivo è saturare la
capacità di risposta di un servizio con l'obiettivo ultimo di renderlo inutilizzabile dagli altri utenti del sistema.
Elenco delle minacce a cui sono sottoposti i Dati Trattati
Il documento elenca le minacce ai dati trattati, individuate dall’Amministratore di sistema.
Le minacce a cui i dati trattati sono sottoposti sono legate alle debolezze dei sistemi operativi e delle applicazioni
che operano sulle macchine su cui risiedono e sono riconducibili a due categorie:
• l'accesso non autorizzato cioè la possibilità per utenti esterni o interni di visualizzare informazioni riservate a
particolari categorie di utenti;
• modifiche deliberate o accidentali cioè, da una parte la possibilità per utenti non autorizzati di modificare o
cancellare dati a loro "non appartenenti'', dall'altra errori commessi da utenti autorizzati, che inavvertitamente
procedono alla modifica o cancellazione di informazioni significative.
Elenco delle minacce a cui sono sottoposti i Supporti di Memorizzazione
Il documento elenca le minacce ai supporti di memorizzazione, individuate dall’Amministratore di sistema.
Le principali minacce a tali espositivi sono:
• la distruzione e/o l'alterazione ad opera di eventi naturali;
• le azioni accidentali e comportamenti intenzionali;
• il deterioramento nel tempo;
• l'inaffidabilità del mezzo fisico che in alcuni casi può presentare difetti di costruzione che ne compromettono il
buon funzionamento nel tempo;
• l'evoluzione tecnologica e del mercato.
Elenco dei sinistri catastrofici
Il documento elenca le tipologie di sinistri catastrofici.
Per ogni tipologia di sinistro catastrofico viene indicata la relativa valutazione della sua frequenza come:
• Incendio
- mai anni
• Allagamento
- mai anni
• Terremoto
- ogni 5 anni
• Furto
- ultimo nel 1998
20
ALLEGATO A.3
Individuazione delle contromisure.
Il documento elenca le contromisure di natura fisica, logica ed organizzativa, da adottare al fine di ridurre i rischi
individuati. Le contromisure si distinguono in misure di sicurezza fisica, misure di sicurezza elettronica e politiche di
sicurezza.
Per misure di sicurezza fisica si intendono le misure adottate per la protezione delle aree critiche, come i locali dei
server, le unità di backup, i supporti di memorizzazione e i supporti cartacei.
I locali del CED si trovano al piano mezzano dell'edificio comunale, le due porte d'accesso ai locali sono blindate e
le finestre che danno all'esterno sono chiuse da sbarre ed ad una altezza di circa tre metri sul livello stradale.
Inoltre i locali sono forniti di sensori di movimento e sensori di chiusura delle finestre collegati a un sistema di
allarme centralizzato. Il corridoio di accesso è anch'esso sorvegliato dallo stesso sistema di sensori. I locali sono
anche provvisti di sensori di fumo collegati al sistema di allarme. L'alimentazione elettrica dei locali è fornita da una
linea autonoma rispetto al resto del municipio e di differenzialii adeguati per i gruppi di continuità elettrica (UPS).
La sala macchine si trova all'interno dei locali del CED separata da questi da vetri. La sala macchine possiede un
impianto di condizionamento autonomo.
I nastri di backup sono conservati in locali differenti dalla sala macchine e periodicamente custoditi in cassaforte.
Per misure di sicurezza elettroniche si intendono le misure in grado di segnalare gli accessi agli elaboratori, agli
applicativi, ai dati e alla rete, di gestire le copie di salvataggio dei dati e degli applicativi, di assicurare l'integrità dei
dati, di proteggere gli elaboratori da programmi volutamente o involontariamente resi dannosi. Di seguito se ne da
una elencazione di quelle adottate.
Le macchine server sono dotate di sistemi di fault tolerance, in particolare:
• tutti i dischi sono in RAID5 (i dati vengono salvati su più dischi contemporaneamente) garantendo il
funzionamento della macchina e l'integrità dei dati anche a seguito della rottura di un disco;
• tutte le macchine possono essere equipaggiate con due processori anche se solo tre lo sono (NTSERVER_01
e ARZIGNANO_1, ORACLE).
Il sistema di backup è centralizzato e automatizzato. I backup vengono eseguiti con cadenza giornaliera da una
macchina d'appoggio (SERVICE) su disco esterno da 250GB. L'eventuale indisponibilità del sistema di backup può
essere sopperita dalle unità a di backup sulle altre macchine.
I server e gli apparati sono sotto gruppo di continuità che garantisce una continua alimentazione e prevene da
eventuali sovratensioni della rete elettrica.
Il sistema è dotato di tre differenti antivirus che agiscono a livelli diversi. Il primo provvede ad impedire eventuali
infezioni alle macchine desktop dell’utenza controllando ogni programma che viene eseguito, e possiede un
controllo centralizzato. Il secondo sistema antivirus è stato installato sulle macchine server. Questo è un sistema a
controllo centralizzato specifico per i server. Il principio di funzionamento è simile al primo. Il terzo risiede sul server
di posta elettronica e controlla tutta la posta in arrivo e in partenza eliminando tutti i potenziali virus prima che
arrivino all’utente. Tutti i sistemi si aggiornano automaticamente con cadenza giornaliera e tengono traccia degli
attacchi di virus fornendo anche statistiche.
La rete interna è separata dalla rete pubblica (internet) da una macchina (PROXY) che tramite un firewall (iptables)
isola le sue reti. I servizi di accesso al web sono garantiti dalla stessa macchina tramite un sistema proxy (squid).
I programmi gestionali centralizzati possiedo tutti un sistema di rilevazioni delle attività dell'utente, ma non
possiedono sistemi di tracciamento delle operazioni, questi possono essere implementati solo con la sostituzione
dei gestionali con altri che ne facciano uso.
Per politiche di sicurezza s'intende un documento procedurale che descriva le misure adottate relativamente
all'identificazione e autenticazione degli utenti.
L'autenticazione degli utenti che accedono al sistema informativo automatizzato avviene su due livelli: il primo è
caratterizzato all'accesso ai personal computer in Dominio NT e quindi ai servizi di file sharing e utilizzo delle
risorse hardware, il secondo all'accesso ai gestionali centralizzati. In entrambi i casi l'identificazione avviene tramite
l'inserimento della coppia nome-utente e password.
Le password sono di otto caratteri, vengono cambiate ogni tre mesi.
E' stata stilata una circolare (prot. n. 39749 del 07/11/2002) contenente le regole di comportamento nell'utilizzo dei
sistemi informativi automatizzati alle quali gli utenti si devono attenere per incrementare la sicurezza.
E’ stata stilata una circolare (prot. n. 18718 del 18/05/2004) dove si indicavano le regole sulla formazione delle
password, la scadenza trimestrale e le modalità operative di sostituzione delle stesse.
21
ALLEGATO A.4
Il Piano della Formazione
Il documento descrive il piano della formazione previsto per il biennio successivo il piano deve tenere conto che la
formazione deve interviene in due momenti ben precisi del processo di introduzione di un sistema di sicurezza:
• Sensibilizzazione sulle problematiche della sicurezza e sulla loro importanza
• Conoscenza delle misure di sicurezza da adottare e da gestire ai diversi livelli di responsabilità
Il piano di formazione deve quindi:
• Rendere consapevoli i partecipanti sull'importanza delle politiche di sicurezza,
• Coinvolgere i partecipanti sulle problematiche inerenti la sicurezza,
• Responsabilizzare i partecipanti sulle attività da eseguire per garantire il mantenimento di un livello di sicurezza
accettabile.
Attraverso la progettazione di due tipologie di corsi, distinte a seconda dei destinatari:
1. la prima indirizzata alla direzione, deve prevedere cenni sulla normativa, indicazioni sulle Politiche di
Sicurezza, analisi dei rischi;
2. l'altra, indirizzata al personale operativo, deve fornire indicazioni precise sui comportamenti da adottare, sia
nelle operazioni quotidiane, che nelle situazioni di emergenza.
22
PIANO PER LA SICUREZZA INFORMATICA
PARTE B: rischi e contromisure per la formazione, gestione, accessibilità, trasmissione e
conservazione dei documenti informatici
Sezione I - Formazione dei documenti informatici
Articolo 1. Contenuti
1. In ogni documento informatico deve essere riportata, in modo facilmente leggibile, l'indicazione del soggetto
che lo forma e delle amministrazioni interessate [cfr. art. 9, c. 2, DPR 445/2000].
2. Per agevolare il processo di formazione dei documenti informatici e consentire al tempo stesso la trattazione
automatica dei dati in essi contenuti, l'Amministrazione rende disponibili per via telematica, in modo
centralizzato e sicuro, moduli e formulari elettronici validi ad ogni effetto di legge [cfr. art. 9, c. 3, DPR
445/2000].
3. Al fine di tutelare la riservatezza dei dati personali di cui agli articoli 22 e 24 della L. 675/96 e successive
modificazioni ed integrazioni, i certificati e i documenti trasmessi ad altre pubbliche amministrazioni
contengono soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento
e strettamente necessarie per il perseguimento delle finalità per le quali vengono acquisite [cfr. art. 16, c. 1,
DPR 445/2000].
4. Le regole per la determinazione dei contenuti e della struttura dei documenti informatici sono definite dalla
dirigenza con riferimento all'ordinamento delle rispettive amministrazioni [cfr. art. 3, c. 4, Deliberazione AIPA
51/2000].
Articolo 2. Formati
1. Per la produzione dei documenti informatici si adottano formati che al minimo possiedono i requisiti di:
leggibilità, interscambiabilità, non alterabilità durante le fasi di accesso e conservazione, immutabilità nel tempo
del contenuto e della struttura. [cfr. art. 4, Deliberazione AIPA 51/2000]. In via preferenziale si adottano i
formati PDF, XML e TIFF.
Articolo 3. Sottoscrizione
1. La sottoscrizione dei documenti informatici è eseguita con una firma elettronica avanzata basata su un
certificato rilasciato da un Certificatore accreditato e generata con un dispositivo sicuro [cfr. art. 6, c. 3, D. Lgs.
10/2002].
2. Per i documenti informatici che non necessitano di sottoscrizione, l'identificazione dei soggetti che li producono
è assicurata con l'ausilio degli strumenti di riconoscimento ed autenticazione descritti nell'allegato B.1 [cfr.
paragrafi 1 e 4 della circolare AIPA 27/2001].
Articolo 4. Datazione
1. Per attribuire una data certa ad un documento informatico prodotto dall'Amministrazione, ci si avvale del
servizio di marcatura temporale (time stamping) fornito da un Certificatore accreditato.
2. L'esecuzione del processo di marcatura temporale avviene con le procedure previste dal Certificatore che
eroga il servizio, nei tempi e con le garanzie di sicurezza di cui al DPCM 8 febbraio 1999.
23
Sezione II - Gestione dei documenti informatici
Articolo 5. Registrazione dei documenti informatici
1. Tutti i documenti informatici ricevuti e prodotti dall'Amministrazione sono soggetti a registrazione obbligatoria di
protocollo ai sensi dell'art. 53, comma 5, DPR 445/2000.
Articolo 6. Sistema di protocollo informatico
1. Il sistema operativo dell'elaboratore, su cui è realizzato il sistema di protocollo informatico, è conforme alle
specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TCSEC e loro successive evoluzioni
(Circolare AIPA 31/2001). Esso assicura:
a) l'univoca identificazione ed autenticazione degli utenti;
b) la protezione delle informazioni relative a ciascun utente nei confronti degli altri;
c) la garanzia di accesso alle risorse, esclusivamente agli utenti abilitati;
d) la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in modo tale da
garantire l'identificabilità dell'utente stesso. Tali registrazioni sono protette da modifiche non autorizzate.
2. Il sistema di protocollo informatico:
e) consente il controllo differenziato dell'accesso alle risorse del sistema per ciascun utente o gruppi di utenti;
f) assicura il tracciamento di qualsiasi evento di modifica delle informazioni trattate e l'individuazione del suo
autore. Tali registrazioni sono protette da modifiche non autorizzate.
3. La conformità del sistema operativo alle specifiche di cui al comma 1 e il possesso dei requisiti minimi di
sicurezza per quanto attiene la configurazione dello stesso per la specifica applicazione del protocollo
informatico, sono attestate dal fornitore con idonea documentazione inclusa nella fornitura. La configurazione
sarà oggetto di verifica in sede di collaudo.
4. Per la generazione delle impronte dei documenti informatici il sistema utilizza la funzione di HASH, definita
nella norma ISO/IEC 10118-3:1998, Dedicated Hash-Function 3, corrispondente alla funzione SHA-1.
Articolo 7. Registro informatico di protocollo
1. Al fine di garantire la non modificabilità delle operazioni di registrazione, il contenuto del registro informatico di
protocollo, almeno al termine della giornata lavorativa, è riversato su supporti informatici non riscrivibili e
conservato a cura di ________ (soggetto diverso dal Resp. del Servizio per la tutela del Protocollo informatico)
Articolo 8. Modifica e/o Annullamento delle registrazioni di protocollo
1. L'operazione di modifica o di annullamento di una registrazione di protocollo è eseguita con le modalità di cui
all'articolo 8 del DPCM 31 ottobre 2000, e precisamente:
a) fra le informazioni generate o assegnate automaticamente dal sistema e registrate in forma non
modificabile, l'annullamento anche di una sola di esse determina l'automatico e contestuale annullamento
dell'intera registrazione di protocollo;
b) delle altre informazioni, registrate in forma non modificabile, l'annullamento anche di un solo campo, che si
rendesse necessario per correggere errori intercorsi in sede di immissione di dati, deve comportare la
rinnovazione del campo stesso con i dati corretti e la contestuale memorizzazione, in modo permanente, del
valore precedentemente attribuito unitamente alla data, l'ora e all'autore della modifica; così analogamente
per lo stesso campo, od ogni altro, che dovesse poi risultare errato;
c) le informazioni originarie, successivamente annullate, vengono memorizzate secondo le modalità
specificate nell'art. 54 DPR 445/2000.
24
Articolo 9. Registro di emergenza
1. In condizioni di emergenza si applicano le modalità di registrazione e di recupero dei dati descritte nell'art. 63
del DPR 445/2000, e precisamente:
a) sul registro di emergenza sono riportate la cause, la data e l'ora di inizio dell'interruzione nonché la data e
l'ora del ripristino della funzionalità del sistema;
b) qualora l'impossibilità di utilizzare la procedura informatica si prolunghi oltre ventiquattro ore, per cause di
eccezionale gravità, il Responsabile del Servizio può autorizzare l'uso del registro di emergenza per periodi
successivi di non più di una settimana. Sul registro di emergenza vanno riportati gli estremi del
provvedimento di autorizzazione;
c) per ogni giornata di registrazione di emergenza è riportato sul registro di emergenza il numero totale di
operazioni registrate;
d) la sequenza numerica utilizzata sul registro di emergenza, anche a seguito di successive interruzioni, deve
comunque garantire l'identificazione univoca dei documenti registrati nell'ambito del sistema documentario
dell'area organizzativa omogenea;
e) le informazioni relative ai documenti protocollati in emergenza sono inserite nel sistema informatico,
utilizzando un'apposita funzione di recupero dei dati, senza ritardo, al ripristino delle funzionalità del sistema.
Durante la fase di ripristino, a ciascun documento registrato in emergenza viene attribuito un numero di
protocollo del sistema informatico ordinario, che provvede a mantenere stabilmente la correlazione con il
numero utilizzato in emergenza.
Articolo 10. Sicurezza fisica dei documenti
1. L'accesso in lettura e scrittura al “repository” dei documenti è effettuato dal processo server dell'applicativo di
protocollo informatico, mai dalle stazioni di lavoro.
2. L’Amministratore di sistema garantisce la puntuale esecuzione delle operazioni di backup dei dati e dei
documenti registrati, su supporti informatici non riscrivibili, da parte di personale appositamente autorizzato. La
descrizione puntuale delle procedure in questione e l'identificazione del personale abilitato allo svolgimento
delle operazioni di backup sono riportate nell'allegato B.2.
3. Ogni operazione di manutenzione o di backup effettuata sul sistema che ospita la base documentale e sul
sistema di protocollo informatico è registrata su un file di log periodicamente controllato.
4. Le copie di backup dei dati e dei documenti sono conservate, a cura dell’Amministratore di sistema, in locali
sicuri e dislocati in luoghi differenti.
Sezione III - Accessibilità ai documenti informatici
Articolo 11. Gestione della riservatezza
1. Ad ogni documento, all'atto della registrazione nel sistema di protocollo informatico, è associata una Access
Control List (ACL) che consente di stabilire quali utenti o gruppi di utenti hanno accesso ad esso. Per default il
sistema segue la logica dell'organizzazione, nel senso che ciascun utente può accedere solamente ai
documenti che sono stati assegnati alla sua struttura di appartenenza, o agli uffici ad esso subordinati.
2. Le regole adottate dall'Amministrazione per consentire l'accesso ai documenti informatici nel rispetto della
normativa vigente sulla “privacy”, differenziate per tipo documento, sono riportate nell'allegato B.3.
Articolo 12. Accesso da parte degli utenti interni all'Amministrazione
1. Il livello di autorizzazione all'utilizzo delle funzioni del sistema di gestione informatica dei documenti, distinte tra
funzioni orientate alla consultazione dei dati e funzioni orientate all'inserimento e alla modifica delle
informazioni, è attribuito dal Responsabile del Servizio per la tenuta del protocollo informatico [art. 61, c. 3,
DPR 445/2000].
2. Il controllo degli accessi ai dati di protocollo e alla base documentale da parte del personale
dell'Amministrazione è assicurato utilizzando lo USER ID e la PASSWORD assegnata ad ogni utente, ovvero
attraverso i meccanismi di “single sign on” implementati dal Servizio Informatica e descritti nell'allegato B.1.
25
3. Il Servizio Informatica assicura la variazione sistematica, almeno bimestrale, delle password assegnate agli
utenti per l'accesso alle funzioni del sistema di protocollo informatico.
Articolo 13. Accesso da parte di altre pubbliche amministrazioni
L'accesso al sistema di gestione informatica dei documenti da parte di altre pubbliche amministrazioni avviene
nel rispetto dei principi della cooperazione applicativa secondo gli standard e il modello architetturale della
Rete Nazionale della pubblica amministrazione.
2. Le specifiche tecniche e funzionali relative alla porta di dominio, implementata per gestire gli accessi al sistema
documentale da parte di altre pubbliche amministrazioni, sono riportate nell'allegato B.4.
3. Il sistema presenta le funzioni minime di accesso di cui all'articolo 60, comma 2 del DPR n. 445/2000.
1.
Articolo 14. Accesso da parte di utenti esterni
1. L'accesso per via telematica al sistema di protocollo informatico da parte di utenti esterni all'Amministrazione è
consentito solo con strumenti tecnologici che permettono di identificare in modo certo il soggetto richiedente.
2. Per il controllo degli accessi esterni si utilizzano, oltre alla firma elettronica conforme alla normativa vigente, la
Carta d'Identità Elettronica (CIE) e la Carta Nazionale dei Servizi (CNS).
3. Si utilizzano altresì i sistemi di riconoscimento e autenticazione descritti nell'allegato B.5.
Sezione IV - Trasmissione e interscambio dei documenti informatici
Articolo 15. Sistema di posta elettronica
1. La trasmissione dei documenti informatici avviene attraverso un servizio di posta elettronica certificata
conforme agli standard della Rete Nazionale delle pubbliche amministrazioni. L'Amministrazione si avvale di un
servizio di “posta elettronica certificata” offerto da un soggetto in grado di assicurare la riservatezza e la
sicurezza del canale di comunicazione; di dare certezza sulla data di spedizione e di consegna dei documenti,
facendo ricorso al “time stamping” e al rilascio di ricevute di ritorno elettroniche.
2. Il server di posta certificata di cui si avvale l'Amministrazione, oltre alle funzioni di un server SMTP tradizionale,
svolge anche le seguenti operazioni
a) accesso alle Certification Authority per la verifica dei Message Authentication Code (MAC) presenti sui
messaggi ricevuti;
b) tracciamento delle attività nel file di log della posta;
c) gestione automatica delle ricevute di ritorno.
Articolo 16. Interoperabilità e cooperazione applicativa
1. Lo scambio di documenti informatici soggetti a registrazione di protocollo avviene mediante messaggi conformi
ai sistemi di posta elettronica compatibili con il protocollo SMTP/MIME definito nelle specifiche pubbliche "The
Request for Comments" (RFC) 821-822, RFC 2045-2049 e successive modificazioni o integrazioni.
2. I dati della segnatura informatica di protocollo di un documento informatico trasmesso ad un'altra pubblica
amministrazione sono inseriti in un file conforme allo standard XML - XML 1.0 (raccomandazione W3C del 10
febbraio 1998).
3. Le modalità di composizione dei messaggi protocollati, di scambio degli stessi tra Aree Oganizzative
Omogenee (AOO) e di notifica degli eventi sono conformi alle specifiche riportate nella Circolare AIPA n.
28/2001.
4. L'operazione di ricezione dei documenti informatici comprende i processi di verifica dell'autenticità, della
provenienza e dell'integrità dei documenti stessi.
26
5. I documenti informatici sono trasmessi all'indirizzo elettronico dichiarato dai destinatari, ovvero abilitato alla
ricezione della posta per via telematica [cfr. art. 14, DPR 445/2000]. L'operazione di spedizione include la
verifica della validità amministrativa della firma.
Articolo 17. Cifratura dei messaggi
1. Lo scambio di dati e documenti attraverso reti non sicure avviene attraverso l'utilizzo dei sistemi di
autenticazione e cifratura.
2. Lo scambio di dati e documenti attraverso reti sicure, come la Rete Nazionale delle pubbliche amministrazioni
o le reti interne, può avvenire anche senza adottare le misure di sicurezza di cui al precedente comma in
quanto esse non sono ritenute necessarie [cfr. art. 9, Circolare AIPA 28/2001]
Sezione V - Conservazione dei documenti informatici
Articolo 18. Supporti di memorizzazione
1. Per l'archiviazione ottica dei documenti si utilizzano i supporti di memorizzazione digitale che consentono la
registrazione mediante la tecnologia laser (WORM, CD-R, DVD-R).
Articolo 19. Procedure di conservazione
1. La conservazione dei documenti digitali e dei documenti analogici (che comprendono quelli su supporto
cartaceo) avviene nei modi e con le tecniche specificate nella Deliberazione AIPA n. 42/2001.
2. Il riferimento temporale, inteso come l'informazione, contenente la data e l'ora in cui viene ultimato il processo
di conservazione digitale, associata ad uno o più documenti digitali, è generato secondo i canoni di sicurezza
riportati nell'allegato B.6.
Articolo 20. Tenuta dell'archivio informatico
1.
Il Responsabile del procedimento di conservazione digitale:
a) adotta le misure necessarie per garantire la sicurezza fisica e logica del sistema preposto al processo di
conservazione digitale e delle copie di sicurezza. Tali misure sono riportate nell'allegato B.7;
b) definisce i contenuti dei supporti di memorizzazione e delle copie di sicurezza;
c) verifica periodicamente, con cadenza non superiore ai cinque anni, l'effettiva leggibilità dei documenti
conservati provvedendo, se necessario, al riversamento diretto o sostitutivo del contenuto dei supporti.
27
ALLEGATO B.1
Strumenti per l'identificazione e le autenticazioni degli utenti interni.
L'Amministrazione è dotata di una rete interna LAN (Local Area Network) su cui è implementato un Dominio
Windows NT 4.0 (ITSEC E3).
Gli utenti della LAN accedono alle risorse locali e condivise tramite la coppia di parole user id e password. Questa
identificazione dà accesso ai file della rete e alle risorse hardware.
Un secondo livello di identificazione e accesso è garantito dai programmi gestionali centralizzati che possiedono un
sistema di identificazione proprio che stabilisce l'accesso ai dati e ai privilegi di utilizzo degli stessi.
ALLEGATO B.2
Misure tecniche e operative adottate per l'esecuzione delle procedure di backup dei dati di protocollo e dei
documenti informatici.
La procedura di protocollo informatico e di gestione degli atti deliberativi è implementata tramite il programma
IRIDE. La base documentale risiede all'interno di un database relazionale sul server ARZIGNANO3 e delle copie in
sola lettura dei documenti sono conservate anche nel file server NTSERVER_01.
I backup del database della base documentale viene effettuato giornalmente durante la notte e riversato su
cassetta. Anche le copie dei documenti vengono riversati giornalmente su cassetta. Esiste una cassetta diversa
per ogni giorno della settimana, dal lunedì al venerdì e le cassette del venerdì vengono sostituite ogni settimana e
conservate per due mesi. Le operazioni di backup sono a cura del personale del CED.
Un ulteriore copia dei documenti e del database è effettuata con cadenza settimanale dal Responsabile dei Sistemi
Informativi e conservata separatamente.
ALLEGATO B.3
Policy inerente l'accessibilità e la riservatezza dei dati di protocollo e dei documenti informatici.
I dati di protocollo e gli atti deliberativi sono accessibili tramite l'applicativo IRIDE che autentica gli utenti e ne
assegna i privilegi di accesso.
In particolare tutti gli utenti autenticati possono accedere in consultazione ma non in modifica ai dati di protocollo e
ai documenti informatici e sono autorizzati a emettere protocolli interni e in uscita. L'inserimento di nuovi protocolli
in ingresso e l'eventuale modifica e concessa solo a un utente designato a tale scopo dall'Amministrazione e
all'Amministratore di sistema.
Gli utenti preposti alla stesura degli atti possono inserire i documenti nel programma ma non possono modificare i
documenti una volta iniziato l'iter. E' sempre consentita la consultazione da parte degli utenti autenticati.
ALLEGATO B.4
Descrizione tecnica e funzionale della porta di dominio implementata dall'Amministrazione per l'accesso ai
dati di protocollo e ai documenti informatici da parte di altre pubbliche amministrazioni.
Non sono state implementate porte di dominio per l'accesso al protocollo informatico.
La possibilità di accedere al protocollo informatico è in fase di studio.
28
ALLEGATO B.5
Strumenti tecnologici addottati dall'Amministrazione, in aggiunta alla CIE e CNS, per l'identificazione e
l'autenticazione degli utenti esterni.
Non è prevista la consultazione del protocollo da parte di utenti esterni al sistema informativo.
ALLEGATO B.6
Descrizione delle procedure di sicurezza adottate dall'Amministrazione per la produzione del riferimento
temporale di cui alla Deliberazione AIPA n. 42/2001 e l'associazione di questi all'insieme dei documenti
conservati su supporti ottici.
Non è ancora stato adottato il riversamento ottico sostitutivo di documenti cartacei o informatici.
ALLEGATO B.7
Misure tecniche e procedurali adottate dall'Amministrazione per garantire la sicurezza fisica e logica del
sistema preposto al processo di conservazione digitale e delle copie di sicurezza dell'archivio informatico.
Non è stato implementato un sistema di conversione di documenti amministrativi in formato digitale in quanto non
si dispone ancora di un sistema di gestione documentale informatizzato.
29