Carlo Strozzi Documento Programmatico sulla Sicurezza (DPS) (D.Lgs. 30 Giugno 2003 n° 196) $Date: 2008/06/29 08:31:55 $ (UTC) 1. Introduzione Lo scopo del presente documento è di descrivere i criteri adottati da Carlo Strozzi (di seguito ``l'Azienda'') ai fini del trattamento e della salvaguardia delle informazioni e per la protezione dei dati personali in esse eventualmente contenuti. Per brevità, nel seguito si indicheranno tutti gli elementi appartenenti al patrimonio informativo oggetto del presente DPS semplicemente come ``i dati'', specificando all'occorrenza se si tratti di ``dati sensibili'', ``dati personali'', ''dati giudiziari'' o dati di altra fattispecie. Per dati personali, sensibili e giudiziari si intendono le rispettive tipologie di informazioni così come definite nel quadro normativo di riferimento del DPS. L'Azienda tratta i dati in massima parte, e spesso esclusivamente, in forma elettronica, ricorrendo al trattamento cartaceo solo nella misura in cui ciò sia strettamente necessario, ad esempio per obbligo di legge. Anche laddove i dati originali abbiano origine cartacea, essi vengono quasi sempre archiviati in copia anche in forma elettronica. Ciò implica che gli aspetti legati al trattamento elettronico dei dati assumano per l'Azienda un carattere primario, anche ai fini del presente DPS. Per comprendere quest'ultimo in tutti i suoi aspetti viene pertanto richiesta una preparazione informatica di livello adeguato ed una buona dimestichezza con le problematice di networking e di sicurezza tipiche dei sistemi computerizzati. Poichè l'evoluzione tecnologica del settore è continua e rapida, così come lo sono le minacce alla sicurezza ed all'integrità delle informazioni, questo DPS non è una entità statica bensì è soggetto a revisioni periodiche, all'occorrenza anche frequenti, effettuate ad intervalli di tempo che non possono essere stabiliti a priori; tali revisioni avvengono quindi in base alle dinamiche evolutive dei rischi a cui questo documento si propone di fare fronte. Ciascuna revisione sarà dotata di marcatura temporale, e verrà mantenuta traccia di tutte le modifiche apportate fra le revisioni stesse. Il presente DPS è rivolto all'adempimento degli obblighi informativi di legge nei confronti del personale interno dell'Azienda, nonchè dei Clienti e dei Fornitori della stessa e di tutti gli altri aventi titolo. Ciascuna revisione viene prontamente resa disponibile agli interessati attraverso una o più delle seguenti modalità: invio in forma elettronica tramite Telefax o E-Mail, e pubblicazione sul sito Web dell'Azienda all'indirizzo http://www.strozzi.it . In quanto di fatto documento pubblico, quindi, questo DPS non contiene dettagli tecnici che, se divulgati, possano mettere a rischio la sicurezza del trattamento in oggetto, nè altre informazioni riservate dell'azienda che non siano rilevanti ai fini della stesura del DPS stesso. Esso si limita a descrivere in modo sufficientemente accurato i criteri generali e gli aspetti rilevanti ai fini dell'esercizio dei diritti e dell'espletamento dei doveri che la legge riserva alle parti coinvolte. 3. Tipologie di dati Ai fini della riservatezza e della sicurezza delle informazioni, l'Azienda classifica al proprio interno i dati secondo le seguenti categorie: a) dati pubblici (P - Public Data); sono dati che possono essere diffusi all'esterno dell'Azienda senza necessità di riservatezza. b) dati interni (I - Internal Data); sono dati ad uso interno dell'Azienda, non destinati alla diffusione o per i quali l'eventuale divulgazione può risultare inopportuna. Appartengono a questa categoria anche i dati fiscali obbligatori, quelli cioè destinati ad essere conosciuti anche ad un numero ristretto di soggetti terzi, fra i quali il Fisco ed i consulenti fiscali e tributari di cui l'Azienda si avvale per la tenuta della propria contabilità. c) dati confidenziali (C - Confidential Data); sono dati che, se divulgati a soggetti non autorizzati, siano essi interni o esterni all'azienda, possono seriamente danneggiare ll'Azienda, ad esempio compromettendo trattative commerciali, agevolare aziende concorrenti a discapito dell'Azienda o creando situazioni di imbarazzo all'Azienda stessa. Un esempio di dato confidenziale è un documento contrattuale in cui vengono praticate ad un Cliente condizioni di particolare favore. Un tale documento non è da intendersi ad uso strettamente interno l'Azienda, essendone necessariamente a conoscenza anche il Cliente, tuttavia è un documento che non deve essere divulgato a terzi. Ai dati confidenziali può accedere solo chi è espressamente autorizzato e ad essi appartengono a pieno titolo i dati personali, sensibili e giudiziari; questi, infatti, oltre ad essere soggetti a trattamento regolamentato, sono noti (o sono comunicabili) non solo al personale aziendale autorizzato ma anche a coloro a cui tali dati si riferiscono, e sui quali i primi possono esercitare i diritti di legge. d) dati riservati (R - Restricted Data); sono dati confidenziali che se divulgati all'esterno dell'azienda possono seriamente danneggiare quest'ultima, ad esempio segreti industriali e know-how tecnologico. Eventuali dati non classificati ai fini della riservatezza devono intendersi come appartenenti alla categoria "I". Ai fini della salvaguardia e dell'integrità dei dati, l'Azienda classifica al proprio interno le informazioni come segue: a) dati non critici (LI - Low-Impact Data); sono dati la cui distruzione o compromissione, accidentale o dolosa, non rappresenta un grave danno per l'azienda. b) dati critici (HI - High-Impact Data); sono dati la cui distruzione o compromissione costituisce fatto grave, ad esempio per le ripercussioni sul fatturato dell'azienda, sulla sua operatività o sulla sua passibilità ai sensi di legge. Appartengono a questa classe anche i dati personali, sensibili e giudiziari. Eventuali dati non classificati ai fini della salvaguardia ed integrità devono intendersi come appartenenti alla categoria "LI". Ad esempio, in base alle categorie su indicate un documento classificato come "C-LI" va trattato come confidenziale ("C"), ma la sua eventuale distruzione non rappresenta tuttavia un danno grave ("LI") per l'azienda. E` il caso di un documento che può essere facilmente ricreato in originale, di un messaggio di E-Mail poco significativo, ecc. Nel presente DPS, ove si debba fare riferimento a tutte le tipologie diuna classificazione si utilizza il carattere "*". Ad esempio, con "I-*" si intendono tutti i dati ad uso interno, sia di tipo "LI" che "HI". 4. Responsabilità Le figure rilevanti ai fini del trattamento dei dati da parte l'Azienda sono: a) Titolare del Trattamento (di seguito TdT), nella persona del legale rappresentante dell'Azienda. b) Responsabile del Trattamento (di seguito RdT) e della sicurezza dei dati, nella persona del responsabile dei sistemi informativi. c) Incaricati del Trattamento (nel seguito IdT), nelle persone dei funzionari e dei collaboratori che operano materialmente sui dati; ai fini del presente DPS, tutti gli incaricati sono funzionalmente sottoposti al responsabile del trattamento. d) Amministratori del Sistema (sysadmin), nelle persone dei funzionari e dei collaboratori che si occupano della gestione sistemistica dell'infrastruttura informatica; anche questi soggetti sono funzionalmente sottoposti al responsabile del trattamento, ed anzi occupano una posizione critica nell'organizzazione, poichè sono in possesso di credenziali di autenticazione che permettono libero accesso a tutte le parti del sistema informativo, e quasi sempre anche ai dati in esso contenuti. Queste figure sono rese necessarie dal modello di sicurezza esibito dalla maggior parte dei sistemi usati nella pratica (utenza 'root' per i sistemi UNIX, GNU/Linux e assimilabili, utenza 'Administrator' per quelli Windows, e così via). Il titolare, il responsabile e gli incaricati sono domiciliati per le rispettive cariche presso la sede legale dell'Azienda. Alla data vi è un unico incaricato del trattamento, e coincide sia con il responsabile del trattamento e della sicurezza dei dati che con il titolare del trattamento stesso, che con il sysadmin. Il TdT ha facoltà di affidare in tutto o in parte il trattamento dei dati a soggetti terzi (trattamento in ``outsourcing''), con atto scritto in cui si nominano questi ultimi responsabili del trattamento e si specificano i luoghi ove il trattamento verrà effettuato. I soggetti identificati sono tenuti a garantire un livello di sicurezza e di integrità dei dati non inferiore a quello stabilito dall'Azienda per i dati trattati internamente. La nomina del responsabile del trattamento in outsourcing deve essere sottoscritta dal destinatario per accettazione e viene custodita a cura del titolare del trattamento. In quanto soggetto operante nel settore ITC, l'Azienda può talvolta ospitare presso propri sistemi informatici i dati ad essa affidati da soggetti terzi (dati in ``hosting'' rispetto l'Azzienda, e in outsourcing rispetto al soggetto terzo). Questa eventualità può comprendere qualsiasi tipologia di dati, quindi anche quelli personali, sensibili e giudiziari. Nel caso di dati in hosting presso le proprie strutture, pertanto, l'Azienda agisce nella veste di RdT nominato con procedura scritta ad opera del soggetto terzo per cui il trattamento viene effettuato. Per il trattamento dei dati in hosting l'Azienda applica i medesimi criteri di classificazione, sicurezza e di riservatezza descritti in questo DPS relativamente ai dati di propria titolarità. 5. Trattamento cataceo L'Azienda tratta in forma cartacea esclusivamente dati di propria titolarità. Alla data non è contemplato un trattamento di tali dati per conto terzi. Inoltre, l'Azienda effettua il trattamento dei dati in forma cartacea unicamente laddove questo sia obbligatorio per legge, oppure qualora i dati stessi siano cartacei all'origine (es. lettere raccomandate, talune fatture di acquisto, ecc.). In tutti gli altri casi i dati vengono prodotti, trasmessi ed archiviati in forma esclusivamente elettronica, ed è pertanto su questa seconda modalità che verte la quasi totalità del presente DPS. I dati cartacei all'origine vengono immediatamente trasposti in forma elettronica, e fatti salvi i documenti siglati con firme autografe e quelli per i quali la legge prevede l'obbligo di conservazione cartacea degli originali, le sorgenti cartacee vengono distrutte entro breve tempo dalla loro trasposizione. La conservazione del cartaceo, selezionato in base ai criteri descritti, avviene presso la sede legale dell'Azienda o presso soggetti terzi da questa formalmente incaricati, e tali archivi sono accessibili unicamente agli aventi titolo (vedi paragrafo ``Responsabilità''), sono presidiati nei normali orari di ufficio oppure sono chiusi a chiave. Poichè in ogni caso l'Azienda conserva copie elettroniche dei dati, per la conservazione del cartaceo non vengono adottate misure particolari se non le già citate restrizioni di accesso. Una eventuale distruzione accidentale di tali documenti, ad esempio a causa di un incendio, non comporterebbe infatti la perdita del contenuto informativo degli stessi, essendo questo conservato altrove in forma elettronica e gestito con i criteri di cui al punto seguente. I dati cartacei con codice di riservatezza diverso da "P" devono venire obbligatoriamente resi inutilizzabili (ad es. mediante triturazione) prima di essere inviati al macero. 6. Trattamento elettronico Gli archivi elettronici dell'Azienda sono localizzati presso le strutture operative dell'Azienda. Le strutture idonee ad ospitarli vengono identificate dal RdT sulla base di considerazioni tecniche, di sicurezza e di opportunità, e possono cambiare al mutare di tali valutazioni. Il TdT rimane l'interlocutore unico a cui gli interessati possono rivolgersi per conoscere in ogni momento l'ubicazione fisica ed il contenuto dei dati che li riguardano, così come per l'esercizio delle altre prerogative di legge. 6.1. Sicurezza fisica Il sito presso cui gli archivi elettronici dell'Azienda sono collocati è sottoposto a controlli di accesso, è presidiato 24 ore al giorno, 7 giorni su 7, per la maggior parte dell'anno. Il sito è dotato di video-sorveglianza e di allarmi anti-intrusione che vengono attivati in particolare nelle ore notturne e in caso di occasionali assenze del personale di sorveglianza, ad esempio per ferie, o altre circostanze occasionali. Compatibilmente con le disponibilità finanziarie dell'Azienda queste misure sono oggetto di costante revisione ed ampliamento, ad esempio con l'installazione di ulteriori telecamere di video-sorveglianza e più sofisticati sistemi di prevenzione delle intrusioni. 6.2. Sicurezza logica Il trattamento e l'archiviazione dei dati vengono effettuati su sistemi informatici opportunamente attrezzati. Di seguito vengono descritti i criteri logici e le procedure salienti del trattamento ai fini del DPS: - i sistemi sono interconnessi in una Local Area Network (LAN) di tipo privato. - la LAN è connessa con la rete pubblica Internet attraverso opportune misure protettive, in particolare Firewall e TCP-Wrappers. - le macchine preposte all'erogazione di servizi verso l'esterno espongono verso Internet solo le porte relative ai servizi necessari. - la maggior parte delle componenti software, sia di base che applicative, installate su tali macchine vengono sottoposte ad aggiornamento con frequenza variabile fra le 24 ore e le due settimane. - tutti i dati vengono memorizzati il più possibile in formati aperti, royalty-free e le cui specifiche sono pubblicamente e liberamente disponibili. - viene data preferenza all'uso di programmi software con codice aperto e liberamente disponibile (Software Libero, e Software Open Source con licenze libere). - l'uso di programmi e/o formati non liberi è eccezionalmente ammesso, ma solo su temporanea ed esplicita autorizzazione da parte del RdT. - la sicurezza dei servizi esposti viene periodicamente verificata per mezzo di auditing basati su ben note tecniche e strumenti di hacking, quali port-scanners, network-sniffers e altri diffusi tools di security- assessment. - nei limiti del possibile, i sistemi esposti vengono configurati per cercare di minimizzare i disservizi derivanti da attacchi di tipo DoS/DDoS (ad esempio DNS-recursion, ecc.) - al fine di limitare la quantità di SPAM ricevuto tramite E-Mail, l'Azienda utilizza sui propri server di posta una combinazione di tecniche, fra cui black-lists RBL o differite, white-lists, ed altro. - l'utilizzo prevalente di Software Libero e di sistemi GNU/Linux rende l'infrastruttura dell'Azienda relativamente immune da virus informatici. Tuttavia, nei rari casi in cui vi siano utenti dell'azienda che leggono la propria E-Mail utilizzando sistemi più frequentemente interessati da virus, quali quelli della classe MS-OutLook, e comunque in tutti i casi in cui siano in uso client di posta dotati di una qualche forma di active-scripting, le rispettive caselle di E-Mail vengono sottoposte a scansione anti-virus, con aggiornamento dei database dei virus ogni poche ore. - i messagi di E-Mail in ingresso vengono sottoposti a processo di de-MIME, al fine soprattutto di limitare i rischi di phishing, fenomeno che viene messo in atto in massima parte attraverso l'invio di messaggi HTML e rispetto al quale nulla possono i sistemi anti-virus, e ben poco quelli anti-spam. - i salvataggi (back-up) di tutti i dati archiviati in forma elettronica, di qualsiasi classe o categoria, vengono effettuati in automatico con frequenza giornaliera su supporti mobili in linea. Un eventuale guasto può comportare, nel caso peggiore, la perdita dei dati creati o modificati nel corso delle precedenti 24 ore (in media nelle ultime 12 ore). I supporti mobili vengono ciclicamente sostituiti con altri ad intervalli di una o due settimane, oppure più di frequente in occasione di temporanee assenze del personale di sorveglianza (vedi paragrafo ``Sicurezza fisica''). - l'eventuale ripristino dei dati da una copia di back-up viene fatto dal sysadmin seguendo una procedura scritta da egli redatta, e custodita con le dovute precauzioni dal sysadmin stesso e in copia dal RdT. - in caso di guasto ai supporti removibili contenenti dati appartenenti a qualsiasi livello di classificazione, tali supporti vengono resi inservibili prima di venire smaltiti tramite rottamazione. Le azioni di pre-smaltimento sono volte a rendere inaccessibili i dati ancora eventualmente presenti in tali supporti, anche nel caso in cui eventuali tentativi di recupero vengano posti in atto da personale specializzato e dotato di tecnologie appositamente concepite per questo scopo. - i log dei servizi vengono costantemente monitorati da opportuni processi unattended, configurati per segnalare ai system-administrator tramite E-Mail eventuali situazioni anomale o sospette. - i file di log dei servizi erogati vengono archiviati per periodi variabili a seconda della criticità e dell'esposizione ad attacchi dello specifico servizio. In caso di situazioni anomale, i file di log interessati vengono archiviati se necessario per periodi prolungati, fintanto che la loro conservazione non viene ritenuta superflua ai fini di indagine e di soluzione degli eventuali problemi riscontrati. - i sistemi che ospitano i dati sono dotati di protezioni anti-fulmine sia sui cablaggi di alimentazione che sulle connessioni a Internet e alla rete telefonica, e sono alimentati attraverso opportuni sistemi tampone volti a ridurre il rischio di perdite di dati a fronte di sbalzi o di improvvise mancanze di tensione. - tutte le persone coinvolte o potenzialmente coinvolgibili nei processi di trattamento elettronico dei dati devono essere dotate di E-Mail e di chiavi crittografiche PGP/GPG. Tali chiavi devono appartenere al c.d. Web of Trust, e devono possibilmente essere note ai vari keyservers per motivi di praticità. - ove praticabile, oltre alle già citate misure protettive, vengono attivate ulteriori misure restrittive a livello dei singoli servizi, quali Access Control Lists (ACL) o altri metodi di enforcement dei diritti di accesso. I vari metodi di autenticazione utilizzati dall' Azienda, quali password, certificati X509, ecc., vengono in questo DPS indicati collettivamente con il termine di ``credenziali di accesso''. - l'Azienda classifica le credenziali di accesso in tre categorie, a seconda della tipologia dei dati a cui esse danno accesso: a) credenziali pro-forma; danno accesso in lettura a dati di classe "I-*", ed eventualmente in scrittura a dati di classe "I-LI". Queste credenziali sono solitamente nella forma di password e non hanno altri requisiti oltre a quello di non essere banali (uguali allo user-ID a cui sono spesso abbinate, ecc.), nè sono soggette a scadenza prefissata. b) credenziali rilevanti; danno accesso in lettura, ed eventualmente in scrittura, a dati di classe "C-*" ed "R-*". Queste credenziali, qualora siano costituite da password, devono essere cambiate con frequenza almeno bimestrale e sono soggette ad auditing periodici di sicurezza per mezzo di tecniche e strumenti di hacking, quali dictionary e brute-force attacks, ecc. Ove i sistemi lo consentano, queste password non devono essere note ad altri se non ai diretti interessati, e vengono attivate secondo questa procedura: Innanzi tutto il RdT autorizza tramite E-Mail PGP/GPG il sysadmin ad attivare un'utenza e a comunicarla all'IdT in questione. Se il sistema in questione consente il cambio password da parte dell'IdT: * il sysadmin attiva l'accesso e comunica una password provvisoria all'interessato, sempre tramite E-Mail PGP/GPG. * l'IdT è tenuto ad effettuare quanto prima il login nel sistema e a cambiare la password provvisoria che ha ricevuto. * entro 24 ore dal rilascio della password provvisoria, il sysadmin verifica che questa non dia più accesso (cioè che essa sia stata cambiata) e comunica al RdT eventuali inadempienze. Se il sistema in questione NON consente il cambio password da parte dell'IdT: * il sysadmin attiva l'accesso e comunica la password all'IdT, sempre tramite E-Mail PGP/GPG. * con scadenza almeno bimestrale l'IdT è tenuto a fare richiesta di una nuova password al sysadmin, password che gli verrà poi comunicata come da punto precedente. In tutti i casi, tanto il sysadmin quanto l'IdT sono tenuti a notificare al RdT eventuali violazioni procedurali (quali password comunicate tramite E-Mail in chiaro, ecc.). c) credenziali top-secret; sono per definizione quelle del/dei sysadmin, che questi ultimi sono tenuti a gestire in autonomia con i massimi criteri di sicurezza fra quelli su esposti. Presso l'Azienda è prassi comune l'utilizzo di credenziali di accesso diverse, e più evolute, delle comuni coppie utente/password, quali i metodi di autenticazione a chiave asimmetrica, tipicamente certificati X509. Le procedure di gestione di tali certificati sono analoghe a quelle su descritte per le credenziali in senso ampio, ma si basano sui normali meccanismi di Certification Authority (CA). Tale CA è rappresentata all'interno l'Azienda dalla figura del RdT, che opera secondo le procedure previste da questa metodologia, firmando con la propria chiave privata i certificati abilitati, e curandone la revoca attraverso la tenuta delle relative CRL. Compatibilmente con le risorse finanziarie a disposizione, è intenzione dell'Azienda sperimentare sistemi di autenticazione biometrica. Le rispettive procedure non sono al momento ancora state delineate e lo saranno solo in caso di esito positivo di tali esperimenti. 7. Glossario Come premesso in apertura, per la comprensione completa del presente DPS è richiesta una adeguata preparazione in fatto di sicurezza informatica e di networking. Il lettore occasionale può trovare spiegazioni di tipo divulgativo dei vari termini tecnici consultando il sito http://it.wikipedia.org . 8. Note conclusive Eventuali loghi e marchi registrati citati nel presente documento rimangono di proprietà dei rispettivi titolari. Per suggerimenti e richieste di chiarimenti circa il contenuto di questo DPS scrivere a: carlo(at)strozzi.it . Copyright (c) 2008 Carlo Strozzi. La riproduzione letterale del presente documento è consentita con ogni mezzo, a condizione che la presente nota sia riportata su ciascuna riproduzione. $Id: dps.txt,v 1.3 2008/06/29 08:31:55 www-data Exp $