Ministero dello Sviluppo Economico
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Ministero dello Sviluppo Economico
DIREZIONE GENERALE PER LE RISORSE, L’ORGANIZZAZIONE E IL BILANCIO
Divisione V – Sistemi informativi, trasformazione digitale e formazione
Politiche di sicurezza e conduzione
dei sistemi informativi del
Ministero dello sviluppo economicoSommario
Titolo I. Premessa........................................................................................................................................ 4
Art. 1. Finalità e ambito di applicazione............................................................................................... 4
Art. 2. Revisione ed aggiornamento ...................................................................................................... 5
Titolo II. Regole generali, Principi, Destinatari e Classificazione della Policy...................... 5
Art. 3. Regole generali ............................................................................................................................. 5
Art. 4. Principi ............................................................................................................................................ 5
Art. 5. Destinatari ...................................................................................................................................... 6
Art. 6. Classificazione della policy ........................................................................................................ 6
Art. 7. Appendici alla policy ................................................................................................................... 6
Titolo III. L’utente ..................................................................................................................................... 7
Art. 8. Accesso alle risorse informatiche e di rete .............................................................................. 7
Art. 9. Classificazione delle utenze ....................................................................................................... 7
Art. 10. Politiche di gestione delle identità digitali .......................................................................... 8
Art. 11. Utilizzo e responsabilità delle password ............................................................................. 9
Art. 12. Utilizzo della posta elettronica ............................................................................................ 10
Art. 13. Dati sottoposti a privacy ....................................................................................................... 11
Art. 14. Utilizzo della navigazione internet ..................................................................................... 12
Art. 15. Responsabilità degli utenti ................................................................................................... 13
Art. 16. Salvaguardia delle risorse dell’Amministrazione ............................................................ 13
Art. 17. Non osservanza della normativa dell’Amministrazione ................................................ 14
Titolo IV. La gestione dei sistemi informatici ................................................................................. 14
Art. 18. Soggetti coinvolti ................................................................................................................... 14
Art. 19. Obblighi generali (riservatezza, integrità e disponibilità dei dati memorizzati/in
transito) 14
Art. 20. Misure di sicurezza delle postazioni di lavoro degli utenti ........................................... 16
Art. 21. Misure di sicurezza dei sistemi............................................................................................ 17
Art. 22. Unità locale di Sicurezza (ULS) .......................................................................................... 19
Art. 23. Gestione degli incidenti ........................................................................................................ 20
Art. 24. Rilevazione identificazione e cassificazione degli incidenti ......................................... 20
Art. 25. Gestione degli incidenti ........................................................................................................ 21
Art. 26. Chiusura degli incidenti ........................................................................................................ 21
2Art. 27. Processo di Data Breach ....................................................................................................... 22
Art. 28. Descrizione del flusso ......................................................................................................... 22
Art. 29. Raccolta delle informazioni ................................................................................................. 22
Art. 30. Politiche generali di conduzione dei servizi ..................................................................... 23
Art. 31. Gestione delle reti e difesa perimetrale.............................................................................. 24
Art. 32. Gestione del backup ............................................................................................................... 26
Art. 33. Il ripristino dei dati ................................................................................................................. 26
Art. 34. Esecuzione di test di ripristino del backup........................................................................ 26
Art. 35. Monitoraggio e controlli ....................................................................................................... 26
Art. 36. Disaster Recovery .................................................................................................................. 26
Art. 37. Patching e aggiornamento dei sistemi ................................................................................ 28
Art. 38. Configurazione standard sicura ........................................................................................... 28
Art. 39. Inventario delle postazioni e gestione dei software ........................................................ 29
Art. 40. Controllo accessi .................................................................................................................... 30
Art. 41. Navigazione web e web Filtering........................................................................................ 30
Art. 42. Servizi web .............................................................................................................................. 30
Art. 43. Gestione del sisetma documentale ...................................................................................... 31
Art. 44. Pubblicazione portali ............................................................................................................. 31
Art. 45. VPN ........................................................................................................................................... 32
Art. 46. Telefonia mobile ..................................................................................................................... 32
Art. 47. Condivisioni di rete ................................................................................................................ 32
Art. 48. Videoconferenza ..................................................................................................................... 33
Art. 49. Wi-Fi ......................................................................................................................................... 33
Titolo V. Lo sviluppo software ........................................................................................................... 34
Art. 50. Standard dell’Amministrazione ........................................................................................... 34
Art. 51. Lavoro documentato .............................................................................................................. 34
Art. 52. Processo di pubblicazione dei servizi ................................................................................ 34
Art. 53. Rilascio del codice sorgente ................................................................................................. 35
Art. 54. Non osservanza della normativa dell’Amministrazione ................................................ 35
Art. 55. Modalità di realizzazione software ..................................................................................... 35
Art. 56. Architettura SOA .................................................................................................................... 36
3Art. 57. Profilazione degli utenti, sicurezza e tracciabilità ........................................................... 37
Art. 58. Amministrazione digitale...................................................................................................... 38
1 ALLEGATO A: Classificazione della documentazione .................................................................... 40
1.1 Livelli di classificazione delle informazioni ................................................................................. 40
1.2 Mappatura della classificazione ....................................................................................................... 42
2 ALLEGATO B: Glossario ........................................................................................................................ 45
3 ALLEGATO C: Normative e standard di riferimento ........................................................................ 48
Titolo I. Premessa
Ai sensi dell’art. 17, comma 1, del D.Lgs 7 marzo 2005, n. 82 e s.m.i., recante “Codice
dell’amministrazione digitale”,, il Ministero dello Sviluppo Economico garantisce l’attuazione delle
linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione definite dal
Governo, la transizione alla modalità operativa digitale ed i conseguenti processi di riorganizzazione
finalizzati alla realizzazione di un’amministrazione digitale e aperta, di servizi facilmente utilizzabili
e di qualità, attraverso una maggiore efficienza ed economicità. L’ufficio dirigenziale del MISE a tale
fine preposto è la Divisione V – Sistemi informativi, trasformazione digitale - Formazione della
Direzione generale per le risorse, l'organizzazione e il bilancio (di seguito Div. V) che
nell’espletamento della funzione si avvale della struttura di Assistenza Informatica e di eventuali
professionalità esterne.
Il presente documento è costituito da 58 articoli suddivisi in 5 titoli. I primi due articoli riportano una
breve premessa alla policy introdotta, gli articoli dal 3 al 7 illustrano i principi generali che hanno
ispirato la policy, gli articoli da 8 a 17 delineano le linee di condotta dell’utente, quelli da18 a 49
descrivono i principi di gestione dell’Amministrazione e gli articoli da 50 a 57 indicano gli obblighi
a cui sono sottoposti i fornitori.
Art. 1. Finalità e ambito di applicazione
Il presente documento stabilisce le regole di comportamento da adottare nella gestione della sicurezza
delle informazioni. La presente policy di sicurezza regolamenta l’accesso e l’utilizzo delle risorse
informatiche dell’Amministrazione con l’obiettivo di garantire la Riservatezza, l’Integrità e la
Disponibilità delle informazioni (RID) e descrive inoltre le procedure in essere presso
l’Amministrazione. La presente policy è da considerarsi applicabile a tutte le risorse
dell’Amministrazione nell’ambito del Sistema Informativo ed è obbligatoria per tutte le entità
organizzative, dipendenti, risorse umane esterne e per chiunque abbia accesso e/o utilizzi le risorse
dell’Amministrazione anche se solo temporaneamente.
Tale policy si applica ai contesti tecnologici attualmente utilizzati dall’Amministrazione così come a
quelli futuri.
4Art. 2. Revisione ed aggiornamento
La Div. V è responsabile della presente policy, ha l’incarico di procedere al suo riesame ed alla
verifica delle politiche di sicurezza complessive in seguito al verificarsi di incidenti di sicurezza, di
variazioni tecnologiche significative, di modifiche all’architettura di sicurezza che potrebbero
incidere sulla capacità di mantenere gli obiettivi di sicurezza o portare alla modifica del livello di
sicurezza complessivo, ad aggiornamenti delle prescrizioni minime di sicurezza richieste dalla
normativa vigente, dalle best practices o a seguito dei risultati delle attività di audit.
In ogni caso, il riesame del presente documento e la verifica delle politiche di sicurezza è svolto
almeno con cadenza annuale.
Titolo II. Regole generali, principi, destinatari e classificazione della Policy
Art. 3. Regole Generali
1. La responsabilità delle azioni compiute nell’esercizio delle proprie funzioni è strettamente
personale. Ai fini di una corretta gestione della sicurezza, al personale in servizio sono fornite,
anche attraverso il presente documento, idonee istruzioni concernenti, in particolare, il
corretto utilizzo dei propri strumenti d’identificazione personale (ad es. badge, smart card,
ecc.), della segretezza dei propri codici (ad es. password, pin, ecc.) e delle operazioni compiute
tramite la propria user-id.
2. L’osservanza delle regole e delle procedure definite nella presente policy, relative alla
sicurezza fisica, logica, organizzativa e applicativa, è obbligatoria e vincolante per tutte le
strutture ed il personale dell’Amministrazione, per le risorse umane esterne e per chiunque
abbia accesso e/o utilizzi le risorse dell’Amministrazione e si rende necessaria per raggiungere
gli obiettivi di sicurezza prefissati. Sono sanzionabili, ai sensi dell’art.2 del Codice di
comportamento del MISE, tutti i comportamenti di mancata osservanza delle norme e
delle disposizioni emanate dall’Amministrazione che comportino violazioni delle
procedure di sicurezza indicate o un degrado del livello del servizio erogato.
3. È compito di tutto il personale di vigilare sull’osservanza delle misure di sicurezza, di
segnalare possibili problemi relativi alla sicurezza o all’erogazione del servizio, di segnalare
situazioni anomale che potrebbero avere impatti sulla sicurezza o sui servizi erogati, di porre
in atto le misure ed i comportamenti più opportuni al fine di raggiungere e mantenere il livello
di sicurezza e di servizio prefissato, in rapporto alle proprie mansioni e capacità. Controlli
periodici sono messi in atto per assicurare il rispetto della normativa e vigilare sui
comportamenti (significativi dal punto di vista della sicurezza) del personale.
4. I responsabili degli uffici sono tenuti a vigilare sull’effettiva applicazione delle norme e delle
procedure da parte del personale.
Art. 4. Principi
Il presente documento si ispira ai seguenti principi:
1. più un sistema informativo è sicuro e le procedure di gestione sono definite, più il sistema
funziona meglio e la produttività individuale è garantita;
52. la definizione delle regole, delle autorizzazioni, dei privilegi e dei diritti d’accesso alle risorse,
ai dati ed ai servizi è basata sul principio della “minima conoscenza”, cioè la stretta
correlazione tra accesso alle informazioni riservate ed effettive esigenze lavorative (need to
know);
3. la configurazione dei sistemi di sicurezza è basata sull’adozione del principio di
"autorizzazione minima" così tradotto: gli utenti e gli amministratori di sistema, devono
possedere le sole autorizzazioni strettamente necessarie ad effettuare il loro compito. In
ogni caso, ciascuno, deve astenersi da effettuare operazioni che, ancorché tecnicamente
consentite dai sistemi, non rientrano nella propria mansione specifica;
4. tutti gli apparati rilevanti per la sicurezza sono realizzati e gestiti secondo identici criteri e le
stesse modalità gestionali e di sicurezza.
5. adeguare i sistemi informatici con quanto stabilito dal D.Lgs 196/03 – Codice in materia di
protezione dei dati personali – con particolare riferimento agli art. 3, e da 31 a 34 (attualmente
in vigore) e dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, relativo
alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla
libera circolazione di tali dati (che abroga la direttiva 95/46/CE) approvato il 27 aprile 2016 e
che entrerà in vigore dal prossimo 25 maggio 2018).
6. adottare, per la rete del MISE, le prescrizioni tecniche indicate come livello “standard” o
superiore dalle MISURE MINIME DI SICUREZZA ICT PER LE PUBBLICHE
AMMINISTRAZIONI (Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015).;
7. applicare i principi di privacy by design e di privacy by default come successivamente
esplicitati nell’art. 19 del presente documento.
Art. 5. Destinatari
I contenuti del presente documento si applicano a tutte le attività di gestione del sistema informativo
e a tutto il personale coinvolto, direttamente o indirettamente, nelle attività, siano essi personale
interno, senza distinzione di ruolo, o livello, che personale di terze parti che collabora con
l’Amministrazione, a prescindere dagli accordi contrattuali con essa sottoscritti.
Art. 6. Classificazione della Policy
La presente policy di sicurezza può essere classificata come documento per USO INTERNO
(Rif.:Allegato C: Classificazione dei documenti).
Art. 7. Appendici alla Policy
Le appendici costituiscono parte integrante del presente documento da cui ne derivano il valore
di disposizione a carattere permanete la cui violazione è sanzionata secondo quanto previsto
dall’art. 2 del codice di comportamento del MISE dello sviluppo economico.
Attesa la rapida innovazione tecnologica, le appendici verranno rilasciate progressivamente ed
aggiornati direttamente sotto la responsabilità della Div. V.
La seguente tabella elenca le appendici alla policy e ne descrive il contenuto di massima.
Titolo Descrizione
61. Policy di utilizzo dei servizi Il documento descrive il ciclo di vita delle
utenze e le abilitazioni concesse e/o negate
durante tutte le fasi (ad esempio
l’immissione in ruolo di un dipendente o il
suo trasferimento).
2. Disposizioni postazioni di lavoro Il documento individua la configurazione
standard di una postazione di lavoro
dell’Amministrazione.
3. Piano di continuità operativa Il documento descrive il piano di continuità
operativa del Ministero dello sviluppo
economico.
4. Organizzazione dei dispositivi di Il documento descrive i principi generali
sicurezza delle politiche di sicurezza delle reti, i
processi di approvazione nonché le
specifiche regole di firewalling.
5. Sistema di Telelavoro Il documento descrive le impostazioni del
sistema di VPN dell’Amministrazione.
6. Descrizione sommaria del sistema Il documento, corredato dai “Documenti
informativo del Ministero dello Master” descrive sommariamente le
sviluppo economico caratteristiche tecniche del sistema
informativo dell’Amministrazione.
Titolo III. L’utente
Art. 8. Accesso alle risorse informatiche e di rete
1. l’accesso alle risorse informatiche e di rete è consentito esclusivamente al personale
dell’Amministrazione, ad eventuali fornitori o collaboratori od ospiti specificatamente
autorizzati,
2. ogni risorsa informatica è affidata ad un utente che viene definito responsabile della gestione,
per la parte consentitagli, e dell’utilizzo appropriato della risorsa stessa;
3. l’utente utilizza le risorse informatiche e riceve/inoltra comunicazioni a nome e nell’interesse
dell’Amministrazione;
4. in ogni caso l’Amministrazione si riserva il diritto ad accedere alla risorsa informatica per
compiti di gestione, controllo e/o aggiornamenti, ai fini della sicurezza del sistema e della
rete, nel rispetto della presente policy di gestione e della riservatezza dei dati personali che
devono essere memorizzati unicamente nei server appositamente adibiti (ai sensi del D.Lgs.
196/03).
Art. 9. Classificazione delle utenze
Sono definite tre tipologie di utenze abilitabili sui sistemi informativi:
7• Account funzionali:
account attribuiti non ad un soggetto fisico ma ad una struttura organicamente
istituita (ad esempio una divisione o una Direzione Generale) o funzionale (ad
esempio l'Assistenza Informatica).
• Account di servizio:
account attribuiti non ad un soggetto fisico ma in questo caso a specifiche funzioni
dell’Amministrazione (ad esempio l’Assistenza Informatica)
Entrambi tali account sopra citati non possono essere abilitati per accedere ai servizi internet
ed al momento della creazione devono essere comunque identificate una o più persone fisiche che ne
siano responsabili dell'utilizzo
• Account personali:
account attribuiti ad una persona fisica che ne è titolare e pienamente responsabile.
Tale account non è cedibile. Possono essere assegnati a dipendenti e personale esterno
che a vario titolo debbano utilizzare i sistemi dell'Amministrazione. Il dirigente titolare
della divisione d'appartenenza deve:
• attestare l’identità dei soggetti esterni
• dichiarare il loro rapporto con l’Amministrazione
• indicare la durata dell’account (non più di 365 giorni, comunque rinnovabili).
Art. 10. Politiche di gestione delle identità digitali
1. Ogni utente che accede al sistema informativo dell’Amministrazione è univocamente
identificato attraverso l’assegnazione di credenziali (utenza e password). Al fine di
identificare in maniera univoca ciascun fruitore di servizi, all'atto della creazione dell'account
deve essere fornito il codice fiscale del titolare che ne sarà pienamente responsabile in ordine
ad ogni uso od eventuale abuso. Tale dato sarà gestito ad esclusivo uso dei sistemi quale
chiave univoca di identificazione e non sarà visibile agli utenti che accedono ai servizi;
2. l’accesso alle risorse informative deve essere coerente con le mansioni lavorative assegnate.
Le eccezioni a questa regola, quale ad esempio l’attribuzione di privilegi maggiori di quelli
necessari, devono essere documentate, giustificate e approvate dalla Div.V.
3. l'accesso alle risorse deve essere autorizzato dalla Div.V, in accordo con il proprietario delle
informazioni (owner). L’autorizzazione per l’accesso alle informazioni è concessa al:
• dipendenti, in relazione alle esigenze collegate allo svolgimento delle mansioni
assegnate;
• personale esterno al MISE, in relazione alle attività pianificate e programmate nei
contratti di fornitura o derivanti dal rapporto giuridico che lo lega
all’Amministrazione;
4. l'autorizzazione viene revocata quando non sussiste più la necessità di disporre delle risorse
e/o delle informazioni (ad es. in caso di modifica delle mansioni, cessazione del servizio,
chiusura del contratto);
85. le autorizzazioni per l’accesso ai dati e l’uso dei sistemi informativi che li trattano dovranno
essere concesse, da parte del titolare al trattamento dello specifico dato, secondo procedure
predefinite e formalizzate. I livelli di autorizzazione concessi devono essere riesaminati ed
approvati almeno annualmente, al fine di verificare la sussistenza delle condizioni presenti al
momento del loro iniziale rilascio.
Art. 11. Utilizzo e responsabilità delle password
Di seguito sono riassunte le principali regole da adottare nella scelta delle password personali e nella
loro gestione:
• la password è personale e non cedibile;
• è fatto divieto di scegliere una password costituita da una sequenza di caratteri che possano
costituire parole presenti in un dizionario o comunque parole di senso compiuto;
• è fatto divieto di scegliere una password facilmente associabile ad informazioni relative
all’utente, quali ad esempio il nome di familiari, codice fiscale, numeri di telefono, la user-id,
ecc.;
• è fatto divieto di utilizzare sequenze digitate alla tastiera (ad esempio: qwerty o 123456);
• è fatto divieto di scrivere la password in posti visibili a terzi (ad esempio su post–it incollato
sul proprio monitor sul monitor);
• la lunghezza deve essere al minimo di 8 caratteri e deve essere composta da lettere (maiuscole
e minuscole), numeri e caratteri speciali;
• è fatto divieto di scegliere password deboli (tutte lettere o numeri uguali);
• la password non deve essere comunicata mediante messaggi e-mail o altre forme di
comunicazione elettronica;
• nel caso in cui si sospetti che la propria password sia stata compromessa deve essere
immediatamente cambiata;
• le credenziali di autorizzazione non utilizzate per più di sei mesi possono essere bloccate;
• nel caso di cambio di incarico, dimissioni etc. le user-id saranno disabilitate;
• l'account potrà essere bloccato qualora venga superato il numero di tentativi di accesso
consentiti per garantire la protezione da attacchi "brute-force";
• l’utilizzo di utenze privilegiate (root sui sistemi Unix, administrator sui sistemi Windows) è
consentito solo per motivi di emergenza. Ai fini della tracciabilità delle operazioni, gli utenti
devono utilizzare la propria user-id personale, con le autorizzazioni necessarie e sufficienti
per lo svolgimento del servizio.
Nel caso in cui la tecnologia utilizzata dall’amministrazione non consenta automaticamente di
implementare meccanismi di complessità e robustezza richiamati in questo documento, sarà cura
dell’utente stesso applicare i criteri minimi di complessità e durata definiti dalle regole sopra indicate.
L’Amministrazione si riserva di implementare sistemi di verifica del corretto utilizzo delle
credenziali, segnalando all’utente eventuali accessi non coerenti col normale utilizzo.
Di seguito i principi di gestione delle utenze utilizzati dall’Amministrazione:
1. le utenze di amministratore di sistema devono essere distinte dalle utenze comuni come
definito nell’Appendice “gestione delle utenze”;
2. le utenze di dipendenti che cessano il servizio o utenti esterni che non hanno più
rapporti col MISE devono essere chiuse nei modi definiti nell’Appendice “gestione
9delle utenze” alla data della conclusione del rapporto. L’avvio delle procedure di
cessazione è a carico della Div.V per i dipendenti e delle specifiche Direzioni Generali
per gli utenti esterni; tale disposizione trova ragione d’essere sia per aspetti afferenti
la privacy sia per il contenimento delle spese di licenza sui sistemi informatici;
3. quando un amministratore di sistema lascia l’Amministrazione, gli utenti con livello di
autorizzazione “amministratore” o superiore devono cambiare la password della propria
utenza.
Art. 12. Utilizzo della posta elettronica
A tutti i dipendenti dell’Amministrazione, prescindendo dal proprio stato giuridico (di ruolo, in
servizio, in aspettativa, comandati o distaccati presso altri enti), è assegnata una casella di posta
elettronica personale.
Il personale esterno all’Amministrazione può possedere una casella di posta elettronica costituita
secondo le modalità indicate al precedente art. 9 “Classificazione delle utenze” per gli account
personali esterni.
Sia per il personale interno che per quello esterno, al momento della conclusione del rapporto con
l’Amministrazione, la casella di posta viene cessata ed il suo contenuto cancellato. È cura dell’utente
effettuare un eventuale backup, del contenuto della casella prima della cessazione, su proprio
supporto di memorizzazione.
Le caselle di posta elettronica del MISE di tipo personale non sono assimilabili a caselle di posta
private.
L’utilizzo del servizio di posta elettronica messo a disposizione dall’Amministrazione, è consentito
anche per fini non istituzionali, a condizione che si rispetti la legge, sia in ricezione che in spedizione
delle e-mail poiché si tratta di un sistema che, a differenza della corrispondenza cartacea, non
comporta un costo direttamente connesso all’utilizzo dello strumento informatico. Sono, in ogni caso,
vietate le “catene di Sant’Antonio” (inoltro reiterato di mail ad un elevato numero di utenti).
L’utilizzo di caselle di posta elettronica funzionali (appartenenti a uffici, dipartimenti AOO), siano
esse di posta ordinaria o certificata è consentito solo ed esclusivamente per attività istituzionali.
Il display name delle caselle personali riporta il nome e cognome (in tale ordine) per esteso del
titolare, compresi secondi nomi e cognomi (inclusi caratteri accentati).
Le caselle del personale non dipendente dall'Amministrazione (stagisti) dovranno avere, nel display
name, tra parentesi, chiara indicazione del rapporto di collaborazione. Ad esempio: il tirocinante
Mario Rossi avrà come indirizzo mario.rossi.ext@MISE.gov.it ed avrà come display name “Mario
Rossi (Consulente)".
L’introduzione del suffisso “.ext” nonché della dicitura nel display name hanno lo scopo di rendere
evidente all’esterno che il titolare della casella non ha un rapporto giuridico con l’Amministrazione
tale da poterla impegnare formalmente (stagisti ma anche distaccati da Enti e Società ed i collaboratori
gratuiti); sono esclusi da tale disciplina i titolari delle cariche istituzionali, i responsabili degli uffici
di diretta collaborazione e chi ha un rapporto di lavoro o un contratto di collaborazione.
10L’utilizzo degli strumenti di posta elettronica (P.E. e P.E.C) da parte del personale
dell’Amministrazione è normato dalle regole già esposte in questo documento sull’uso responsabile
delle risorse dell’Amministrazione (Par. 3.2).
Tutto il personale del MISE, nell’utilizzo della posta elettronica come strumento di lavoro, deve
osservare un comportamento consono. In via esemplificativa e non esaustiva si elencano alcuni
comportamenti da tenere:
• indicare l’oggetto di ogni messaggio in modo sintetico ma espressivo;
• non inviare password o chiavi crittografiche;
• verificare più’ volte al giorno l’eventuale arrivo di nuovi messaggi;
• evitare la sottoscrizione a mailing list non attinenti alle attività lavorative che generano un
elevato volume di traffico;
• evitare la distribuzione di dati ridondanti;
• evitare l’uso dell’e-mail a fini diversi da quelli strettamente lavorativi;
• evitare di usare in via indiscriminata la funzione “Inoltra a tutti”, per ogni mail devono essere
valutati gli effettivi destinatari, diretti o per conoscenza, della comunicazione;
• cancellare i messaggi e-mail non necessari al fine di non saturare la casella di posta.
In caso di assenza improvvisa e prolungata il titolare della casella di posta elettronica, qualora la
stessa contenga informazioni essenziali per lo svolgimento dell’attività d’ufficio, il titolare è tenuto a
delegarne l’accesso ad una persona di sua fiducia.
Ogni utente può configurare, dalla propria postazione di lavoro, l’accesso a terzi della propria casella
di posta elettronica inclusi calendario e contatti. Per tali operazioni, il personale del servizio di
Assistenza Informatica fornirà supporto esclusivamente nel guidare l’utente nell’espletamento delle
azioni necessarie.
Art. 13. Dati sottoposti a privacy
Trasmissione dei dati
È fatto divieto trasmettere o ricevere ogni dato personale o sensibile, proprio o di terzi, attraverso la
posta elettronica del MISE. La trasmissione di tali dati, se prevista dal titolare del dato, deve avvenire
tramite protocollo informatico ovvero tramite sistemi informatici atti a tracciare e gestire l’accesso
alle informazioni.
Tale prescrizione, che discende direttamente dal citato regolamento europeo, trova ragione nella
impossibilità dello strumento di posta elettronica, di tracciare e discriminare l’accesso al dato
soprattutto quando l’interlocuzione avviene con indirizzi email esterni al MISE.
Qualora la tecnologia lo consenta, verranno implementati controlli automatici atti a prevenire la
possibilità di inviare dati sottoposti al trattamento dei dati personali.
In maniera esemplificativa e non esaustiva si evidenzia che:
• Codici fiscali (vedasi il parere del Garante sull'uso e la diffusione della Carta nazionale dei
servizi - 9 luglio 2003),
• IBAN,
11• certificati medici
Non possono essere trasmessi tramite email né possono essere presenti negli allegati. Qualora ne sia
necessaria la trasmissione per motivi d’ufficio questa deve essere effettuata tramite l’assegnazione o
la trasmissione tramite protocollo informatico. Se tali dati sono necessari per l’espletamento di una
procedura informatizzata possono essere acquisiti o forniti tramite il software specifico della
procedura.
Sono esclusi da tale regime i dati inviati e ricevuti tramite P.E.C., in quanto tale strumento garantisce
certezza del soggetto che effettua l’invio e di quello che riceve il dato.
Qualora i dati personali propri o di congiunti debbano essere trasmessi come privati cittadini, ciascuno
dovrà utilizzare una casella di posta privata non istituzionale. L’accesso a tale casella dovrà avvenire
preferibilmente tramite la rete WiFi nelle aree coperte dal servizio.
Tutela della privacy dei dipendenti
Al fine di tutelare la privacy del personale dipendente, non sarà consentito, nelle aree di rete
condivise, di memorizzare file di contenuto multimediale ed immagini. Tale limite non viene esteso
alle aree di storage messe a disposizione del dipendente (Cloud) ed al profilo personale configurato
sulle postazioni di lavoro in quanto destinate anche all’uso personale e quindi sotto l’esclusiva
responsabilità dell’utente (sempre nel rispetto dei principi sopra citati).
Il servizio di Assistenza Informatica non è autorizzato, in alcun modo, ad effettuare il backup dei dati
personali degli utenti, il divieto si estende anche ai dispositivi mobili ed in caso di sostituzione di
dispositivo, fisso o mobile, la stessa fornirà, esclusivamente, istruzioni per l’espletamento
dell’operazione.
Conservazione dei dati
Tutti i dati, personali, sensibili ma anche pubblici, devono essere conservati esclusivamente per il
periodo di tempo strettamente necessario alla loro trattazione. Nello specifico devono essere
cancellati dalle aree di rete tutti i file delle pratiche concluse. Qualora tali file servano come
“precedente” devono resi anonimizzati.
La stessa interpretazione vale per le banche dati centralizzate o distribuite. In particolare eventuali
file excel contenenti dati personali dovranno essere resi anonimi.
Art. 14. Utilizzo della navigazione internet
I dipendenti e gli altri utilizzatori (stagisti, fruitori del WiFi, etc.) che utilizzano un dispositivo
connesso alla rete del MISE, possono fruire del servizio di navigazione Internet.
Su tutta la rete interna del MISE (tutte le sedi) nessun computer può connettersi direttamente ad
internet. ma la connessione avverrà sempre tramite sistemi proxy che ne proteggono e tracciano le
attività.
A tal fine tutti i computer, compresi i server, devono essere configurati in maniera automatica ovvero
manuale (solo nei casi in cui la tecnologia non premetta automatismi).
Il proxy identifica l’utente e consente l’accesso ad ogni risorsa cui si vorrà accedere a meno che non
si richiedano particolari siti vietati come descritto nel seguito del documento.
12Non possono essere utilizzati programmi che si basino su tecnologia peer to peer o che forniscano
funzionalità di proxy "anonimizzante". Sono vietati tutti i software che consentono il controllo remoto
della postazione.
E’ vietato accedere a siti o applicazioni internet che occupano la banda disponibile in maniera
continuativa, così come non si possono visitare siti orientati al gioco o ad altre attività in evidente
contrasto con la propria attività lavorativa. Per inibire gli accessi sopra menzionati potranno essere
implementati filtri automatici.
Art. 15. Responsabilità degli utenti
1. Le risorse informatiche dell’Amministrazione devono essere utilizzate per l’assolvimento
delle finalità proprie dell’Amministrazione.
2. L’Amministrazione attiva tutte le procedure automatiche per consentire un adeguato e
costante utilizzo del mezzo informatico ai fini istituzionali. L’uso di internet e della posta
elettronica per fini personali è consentito limitatamente ai seguenti principi, la violazione dei
quali costituisce illecito disciplinare:
a. l’utilizzo degli strumenti informatici non deve incidere negativamente sulla
prestazione del dipendente o del collaboratore;
b. le attività svolte a titolo personale non devono porre in capo all’Amministrazione
alcuna responsabilità penale, civile o amministrativa. È vietata qualsiasi attività che
possa produrre danni alle risorse informatiche e di rete dell’Amministrazione, che
comporti per la stessa coinvolgimenti in procedimenti penali, civili o amministrative
o che risulti in contrasto con le regole contenute nella presente policy.
3. La navigazione verso la rete Internet è riconducibile alla responsabilità dell’utente in quanto
è consentita solo in modalità autenticata, attraverso un server proxy.
4. Tutto il software utilizzato dall’Amministrazione è originale e regolarmente licenziato dai
produttori. E’ fatto divieto agli utenti di utilizzare software non contemplati nell’Appendice
“Disposizioni postazioni di lavoro”.
5. Gli Utenti sono responsabili per la protezione dei dati utilizzati e/o memorizzati nei sistemi a
cui hanno accesso.
6. In caso di assenze anche brevi dall'ufficio (pochi minuti) deve essere, attivato sulla propria
postazione di lavoro, lo screen saver e la relativa password. In ogni caso lasciare un
elaboratore incustodito connesso alla rete può essere causa di utilizzo da parte di terzi senza
che vi sia la possibilità di provarne in seguito l'indebito uso.
Art. 16. Salvaguardia delle risorse dell’Amministrazione
1. L’Amministrazione effettua controlli aggregati a fronte di ogni anomalia ed adotta misure
anche puntuali al fine di contenere minacce o disservizi che si possano verificare sulla rete.
Ad esito di ogni intervento d’urgenza, anche rivolto al singolo utilizzatore, viene redatta
apposita relazione che resta agli atti della Div.V e viene inoltrata alla Direzione Generale
competente per area d’intervento ovvero per utenza coinvolta.
2. A fronte della rilevazione di comportamenti illeciti, in conformità codice sulla protezione dei
dati personali, la Div.V procede a comunicare all’intera organizzazione (Direzione Generale
o Divisione in ragione della sede interessata) l’invito ad attenersi all’uso previsto per i sistemi
13informatici del MISE. In caso di persistente anomalia, nel rispetto dei principi di pertinenza e
non eccedenza, il controllo viene compiuto su base individuale dandone informazione al
Dirigente competente per l’eventuale avvio di una azione disciplinare.
3. La Div.V, in ragione delle disponibilità di risorse ed al fine di garantire il costante
funzionamento dei sistemi, regola la dimensione delle caselle di posta elettronica e delle aree
di rete condivise compreso il cloud così come specificato nell’Appendice “Gestione delle
utenze”
Art. 17. Inosservanza della normativa dell’Amministrazione
La responsabilità delle azioni compiute nell’erogazione dei servizi è personale. Sono sanzionabili
tutti i comportamenti di mancata osservanza delle norme e disposizioni emanate
dall’Amministrazione che comportino violazioni delle procedure di sicurezza o un degrado del
livello del servizio erogato.
Ogni azione che non sia comunque conforme allo spirito della presente policy o del Codice di
comportamento del MISE sarà considerata una violazione della sicurezza e, come tale, comporterà la
revoca dell’accesso alle risorse informatiche ed alla rete, e la segnalazione alla Direzione Generale di
competenza (Incidente di Sicurezza).
A tal proposito i dipendenti, all’atto dell’assunzione, si impegnano a rispettare tale codice (fruibile
sia sul sito istituzionale che sulla rete intranet dell’Amministrazione e inviato altresì tramite posta
elettronica). Anche i fornitori, all’atto della sottoscrizione degli accordi di erogazione della fornitura
sottoscrivono il Patto di Integrità nel quale vengono indicati i doveri, le norme, le regole e le
procedure emanate, ne accettano i contenuti e si impegnano alla loro osservanza.
Titolo IV. La gestione dei sistemi informatici
Art. 18. Soggetti coinvolti
Sono tenuti a rispettare le seguenti prescrizioni tutti i soggetti che gestiscono sistemi informatici
connessi alla rete del MISE.
Il presente titolo, disciplina, inoltre, le modalità con cui vengono erogati i servizi nei confronti
dell’utenza interna.
Art. 19. Obblighi generali (Riservatezza, Integrità e Disponibilità dei dati memorizzati/in
transito)
L’Amministrazione rispetta, nella gestione dei sistemi e nella erogazione dei servizi, i requisiti
generali per la sicurezza logica e fisica. Tali requisiti sono integrati, in ottemperanza alla normativa
italiana attualmente vigente, con quanto richiesto dal D.Lgs 196/2003 e quanto riportato dal
Regolamento (UE) 2016/679 del Parlamento europeo, relativi alle modalità di protezione e
controllo degli accessi e trattamento dei dati personali, in particolare l’individuazione dei soggetti che
effettuano il trattamento dei dati personali e le relative istruzioni rilasciate dalle aziende.
14L’attività in programma è finalizzata all’adozione di misure idonee conformi a quanto previsto dal
D.Lgs. 196/2003 per il recepimento delle contromisure da inserire nel sistema di sicurezza e l’inoltro
di tali analisi alle funzioni dell’Amministrazione competenti incaricate per l’attuazione.
Il D.Lgs. 196/2003 recante “Codice in materia di protezione dei dati personali” ha definito, per
quanto attiene al trattamento di dati personali, le seguenti figure di responsabilità per il trattamento
dei dati personali (art. 4):
• Titolare: “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le
decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza”.
• Responsabile: “la persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati
personali”.
• Incaricato: “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o
dal responsabile”.
• Amministratore di sistema: “figure professionali finalizzate alla gestione e alla manutenzione
di un impianto di elaborazione o di sue componenti”. Vengono considerate tali anche altre
figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli
amministratori di basi di dati (DBA), gli amministratori di reti e di apparati di sicurezza e gli
amministratori di sistemi software complessi.
Gli incaricati sono nominati e hanno competenza solo sui dati che rientrano nella definizione di “dati
personali” o “sensibili” riportata dalla medesima legge.
L’Amministrazione si impegna a garantire la tutela della privacy sotto la responsabilità di una
funzione dedicata. Ai soggetti individuati dalla legge e sopra descritti sono attribuiti specifici compiti
e specifiche responsabilità per iscritto.
Le procedure di tutela dei dati sono l’insieme delle attività volte a raccogliere, gestire ed analizzare
le informazioni di qualsiasi tipo (dati, transazioni, registrazioni, ecc.) presenti o transitate sul Sistema
Informativo che occorre mantenere dal punto di vista legale, o necessarie in caso di dispute legali che
abbiano come oggetto di contesa le operazioni effettuate sul sistema stesso oppure necessarie per
motivi di sicurezza o di audit.
L’Amministrazione è responsabile dell’individuazione di tutte le informazioni critiche per la
conduzione dell’esercizio e della loro archiviazione e conservazione.
L’Amministrazione si impegna inoltre ad introdurre entro il 25 maggio 2018 tutte le misure
aggiuntive previste dal nuovo regolamento EU 2016/679 di seguito elencate:
• Effettuare un DPIA (Data Protection Impact Assessment) che consiste nella valutazione degli
impatti sulla protezione dei dati personali. Questa analisi deve contenere almeno una
descrizione sistematica dei trattamenti previsti e delle finalità del trattamento una
valutazione dei rischi per i diritti e le libertà degli interessati e le relative misure di sicurezza
previste per contrastare i rischi individuati.
15• Introdurre il Registro delle attività di trattamento di dati personali. Tale Registro, tenuto
a cura del Titolare del trattamento, dovrà essere messo a disposizione dell’Autorità Garante
qualora lo richieda, e dovrà contenere:
o il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare
del trattamento, del rappresentante del titolare del trattamento e del responsabile della
protezione dei dati;
o le finalità del trattamento;
o una descrizione delle categorie di interessati e delle categorie di dati personali;
o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati,
compresi i destinatari di paesi terzi;
o i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
o una descrizione generale delle misure di sicurezza tecniche e organizzative.
• Individuare la figura del DPO (Data Privacy Officer) che, sostituendo l’attuale responsabile
della sicurezza dei dati avrà il compito di informare il titolare e gli incaricati, circa gli
obblighi derivanti dai dati trattati, monitorare l’implementazione ed applicazione delle
politiche adottate dal titolare in materia di protezione dei dati, verificare l’efficacia,
l’adeguatezza e l’applicazione del DPIA, assicurare che siano prontamente comunicati alle
autorità preposte gli accessi illeciti ai dati personali (processo di Data Breach), rispondere e
cooperare con le richieste dell’autorità Garante per la Privacy, verificare la consistenza del
Registro delle attività di trattamento, sia per il Responsabile che per l’Incaricato, nel quale
vanno conservate le informazioni sul trattamento dei dati.
• Introdurre nei sistemi di progettazione il principio di privacy by design, che consiste
nell’implementare misure di carattere sia tecnico che organizzativo per tutelare i diritti
dell’interessato già dalle prime fasi di progettazione ed il principio di privacy by default che
implica un approccio alla protezione dei dati personali proattivo e non più reattivo (partire da
configurazioni “chiuse” dei sistemi informatici, per poi gradualmente ampliarle solo dopo
avere valutato l’impatto di eventuali aperture ovvero le impostazioni predefinite devono
essere quelle che garantiscono il maggior rispetto della privacy, affinché i dati personali non
siano resi accessibili ad un numero indefinito di persone senza l’intervento umano).
Art. 20. Misure di sicurezza delle postazioni di lavoro degli utenti
Il personale interno all’Amministrazione è dotato di una postazione di lavoro fissa o portatile con
almeno i seguenti dispositivi di sicurezza:
• Agent Antivirus collegato alla console centrale per la distribuzione degli aggiornamenti;
• Agent software distribution per il patching degli applicativi e per l’installazione di nuovi
software;
• Agent per l’effettuazione della VPN con la rete dell’Amministrazione (solo postazioni
portatili);
16Per le postazioni portatili che non sono collegate alla rete dell’Amministrazione, direttamente o
tramite VPN, per lungo tempo, è responsabilità diretta dell’utente provvedere all’aggiornamento
diretto dell’antivirus e al patching del sistema stesso.
Il personale esterno all’Amministrazione può essere dotato di postazione di lavoro aziendale che può
essere connessa alla rete dell’Amministrazione. L’Utente esterno all’Amministrazione e/o la sua
organizzazione deve garantire che le postazioni di lavoro siano protette in maniera analoga alle
postazioni dell’Amministrazione garantendone la protezione da virus e malware ed l’aggiornamento
in termini di patching.
Art. 21. Misure di sicurezza dei sistemi
Ogni sistema in sviluppo ed in esercizio deve essere messo in sicurezza tramite l’adozione di misure
di sicurezza adeguate al sistema in considerazione. Per ogni nuovo sistema e/o applicativo deve essere
effettuata un’adeguata analisi del rischio al fine di identificare le specifiche misure di sicurezza. Di
seguito si riportano delle misure minime e generali di sicurezza da includere nei sistemi in essere ed
in sviluppo:
• Requisiti sugli utenti:
o Gli account presenti del dominio RETE devono avere esclusivamente privilegi di
utente. La creazione di utenti con privilegi amministrativi deve essere fatta utilizzando
esclusivamente il domino RISORSE.
o Deve essere limitato al massimo l’accesso remoto ai server.
o Gli account applicativi devono avere privilegi limitati al solo funzionamento
dell’applicazione specifica.
o Ogni applicazione deve avere un proprio account amministrativo.
o L’assegnazione di queste utenze al personale esterno ha carattere eccezionale e deve
essere giustificata ed autorizzata dalla Div.V sulla base di contratti di fornitura che
richiedano specificatamente tale compito. L’utenza deve essere immediatamente
cessata al termine degli incarichi contrattualmente previsti.
o Le password devono essere memorizzate esclusivamente attraverso un sistema che
metta a disposizione un database cifrato il cui file deve essere posto sotto backup
esclusivo multiplo.
• Identity Management: ogni componente del sistema (OS, DB, applicativo ecc.) deve essere
integrato con il sistema di provisioning delle utenze ovvero deve essere connesso a sistema
centralizzato delle utenze (ad es. LDAP). Il sistema di gestione delle credenziali è unico e
centralizzato per le credenziali dei dipendenti. Per quanto concerne la gestione delle utenze
esterna, nelle more dell’attivazione di SPID, le credenziali devono essere gestite tramite
sistemi LDAP.
• User M2M e Administrator:
o tutte le utenze M2M sono associate all’amministratore del server;
o l’utenza M2M è nominata come l'applicazione che la utilizza;
17o la password delle utenze M2M deve rispettare i criteri di complessità già indicati in
questo documento;
o le utenze amministrative non nominali (administrator, root, sys, system, oracle, etc.)
sono disabilitate oppure le relative password sono conservate in busta chiusa in
cassaforte. Gli accessi amministrativi attraverso le utenze amministrative non
nominali devono essere approvati e registrati;
• Account e password policy: il sistema effettua la verifica delle credenziali di autenticazione
prima di consentire l’accesso. Il sistema deve implementare regole sulle password e account:
o Password:
cifratura delle password memorizzate;
lunghezza minima pari ad almeno 8 caratteri;
almeno tre dei seguenti criteri: un carattere minuscolo; un carattere maiuscolo;
un carattere numerico; un simbolo;
divieto di utilizzare le precedenti 5 password;
divieto di utilizzare password contenenti informazioni personali o ovvie
blocco account dopo 3 tentativi errati;
scadenza dopo al massimo 90 giorni;
cambio password obbligatorio al primo accesso;
o Account:
blocco account dopo 180 giorni di non utilizzo;
gestione data scadenza account;
ogni utente deve essere univocamente identificato sui sistemi tramite sistema
di gestione delle credenziali
la gestione delle utenze interne avviene in maniera centralizzata
• Protezione dei flussi di comunicazione esterni:
o tutti gli accessi e/o i flussi di comunicazione da e verso l’esterno (ad es. verso altre
amministrazioni, enti esterni, organizzazioni in genere esterne all’Amministrazione)
devono utilizzare canali di comunicazione sicura e/o cifrata (ad es. SFTP, FTPS, https,
VPN, ecc.);
o tutti i portali accessibili dall’esterno devono utilizzare protocolli di comunicazione
cifrata (ad es. https/TLS, ecc.);
• Data Security in Testing:
o i dati presenti sui sistemi dell’ambiente di produzione/live devono essere logicamente
ovvero fisicamente separati dai dati utilizzati per il test o di sviluppo anche qualora sia
necessario effettuare test in produzione anche per fini di troubleshooting;
18o in tutti gli ambienti non di produzione, i dati personali degli utenti non devono essere
utilizzati, a meno che i dati siano adeguatamente protetti;
o in particolare, se sono necessari dati “live”, devono essere attuate misure idonee al fine
di mascherare / anonimizzare i dati personali degli utenti (in modo tale che la persona
interessata non possa essere identificata);
• Audit Log: le componenti del sistema (OS, DB, applicativo, etc.) devono essere integrate,
per l'invio dei log, con lo strumento di log collecting. Tutti i log degli amministratori di
sistema devono essere automaticamente memorizzati sul sistema di Log Management
implementato dall’Amministrazione in ottemperanza al Provvedimento del Garante del
28/11/2008 – (Provvedimento Amministratori di Sistema). In relazione alle capacità di
archiviazione dell’infrastruttura informatica del MISE l’Amministrazione conserverà i file
di log della posta elettronica e della navigazione in Internet per un periodo non superiore
a 12 mesi.
• I file di log generati devono contenere almeno le seguenti informazioni:
o utenza che ha generato l’evento;
o sistema informatico che ha generato l’evento;
o data ed ora dell'evento (timestamp);
o tipologia ed esito dell’evento (login, logout, etc.).
• Antivirus / Antimalware Protection: sui server Windows deve essere attivato un sistema di
protezione Antivirus/antimalware connesso alla console centrale per gli aggiornamenti;
• Data Encryption: i sistemi che conservano dati “critici” (ad es. dati sensibili, PIN, ecc.)
devono implementare controlli di cifratura dei dati (a livello OS/DB/applicativo) per
garantirne la riservatezza delle informazioni. Deve essere prevista una gestione sicura delle
chiavi crittografiche (tale per cui la chiave sia conosciuta da un solo soggetto e conservata in
modo sicuro);
• Data Integrity: i sistemi che conservano dati “critici” (ad es. audit log, ecc.) devono
implementare controlli di integrità/firma (ad es. attraverso l'utilizzo di hashing, trusted
timestamp, sistemi di controllo/monitoraggio dell'integrità dei file, ecc.);
• Strong Authentication: l’accesso a dati critici (ad es. dati sensibili, dati giudiziari,) deve
essere protetto da sistemi di strong authentication (basata su due fattori).
Art. 22. Unità Locale di Sicurezza (ULS)
Le regole tecniche e di sicurezza SPC (Sistema Pubblico di Connettività) prevedono che tutte le
Amministrazioni connesse ad SPC siano dotate di una struttura chiamata ULS che sia responsabile di
gestire gli aspetti relativi alla sicurezza delle infrastrutture connesse al SPC situate nell’ambito del
dominio di competenza e di costituire l’interfaccia verso le altre strutture organizzative che
compongono il sistema di sicurezza dell’SPC.
I compiti assegnati alle ULS-SPC sono:
• garantire la realizzazione ed il mantenimento almeno del livello minimo di sicurezza sul
dominio di competenza;
19Puoi anche leggere
