Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Università di Bologna
PROJECT WORK:
PROVA FINALE
MASTER “SICUREZZA DELLE INFORMAZIONI” 2004-2005
1
SOMMARIO
Introduzione ________________________________________________________________ 1
1 ANALISI DEL RISCHIO: Definizione del campo ____________________________________ 3
1.1 I dati e le finalità del trattamento __________________________________________ 4
1.2 L’Applicazione INFO-MONITOR. __________________________________________ 6
1.2.1 L’Interfaccia Locale (WIN MONITOR) __________________________________ 6
1.2.2 Il Data Base Management System _____________________________________ 6
1.2.3 I Requisiti di progetto documentati dell’applicativo ______________________ 10
__________________________________________________ 10
________________________________________________ 10
___________________________________________________ 11
___________________________________________________ 11
______________________________________________ 11
____________________________________________________ 11
________________________________________ 11
_______________________________________________ 11
1.2.3.2 Descrizione sintetica del modello applicativo _________________________ 12
1.3 La base dati: flussi informativi, profili di accesso e modello di autorizzazione._____ 12
1.3.1 Flusso operativo __________________________________________________ 13
1.3.2 Amministrativo - Gestionale ________________________________________ 13
1.3.3 Statistico________________________________________________________ 14
1.3.4 Sistema profili e autorizzazioni ______________________________________ 14
1.3.5 Modulo Sicurezza “Custom” ________________________________________ 16
1.4 Assets informatici, workstation, linee e infrastrutture di rete. ___________________ 17
1.4.1 Stato della sicurezza dei collegamenti _________________________________ 19
1.4.2 Postazioni di lavoro client __________________________________________ 19
1.5 Il personale interno addetto:_____________________________________________ 20
1.5.1 Qualifiche e incarichi ______________________________________________ 20
1.5.2 Livelli di competenze del personale. __________________________________ 21
1.5.3 Punti critici e rischi per la sicurezza nell’interazione e uso degli strumenti
informatici ______________________________________________________________ 21
1.5.3.1 Accesso al PC__________________________________________________ 21
1.5.3.2 Uso dei programmi. _____________________________________________ 22
1.5.3.3 Salvataggio dei dati,_____________________________________________ 23
1.5.3.4 Uso della posta elettronica, _______________________________________ 23
1.5.3.5 Server locale e protezioni sulle directory, ____________________________ 24
1.5.3.6 Uso delle informazioni e dei dati ___________________________________ 25
1.5.3.7 Dischetti e supporti esterni________________________________________ 26
1.6 Valutazione qualitativa del rischio________________________________________ 26
1.6.1 Lista delle maggiori vulnerabilità. ____________________________________ 31
1.6.2 Livello di maturità dell' azienda ______________________________________ 31
2 GESTIONE DEL RISCHIO, SUPPORTO ALLE DECISIONI E AZIONI DI INTERVENTO. ___________ 33
2.1 Protezione fisica e logica a dati e dispositivi ________________________________ 35
2.1.1 Accesso fisico al Database__________________________________________ 35
2.1.2 Autorizzazioni per l’accesso. ________________________________________ 35
2.1.3 Profili di autorizzazione ____________________________________________ 35
2.1.4 Inferenza e Sql Injection ___________________________________________ 36
2.1.5 Misure per la gestione dei rischi dell’applicativo. ________________________ 36
2.1.6 Controlli di conformità e verifiche sui prodotti che si utilizzano ____________ 37
2
2.2 Reti e linee di comunicazione ___________________________________________ 37
2.3 Misure per la gestione degli utenti e delle procedure d’uso degli strumenti informatici e
delle credenziali ____________________________________________________________ 37
2.3.1 Il livello organizzativo dell’azienda USL ______________________________ 38
2.3.2 Gestione del personale e normative per la sicurezza. _____________________ 39
3 APPENDICI – Documenti __________________________________________________ 40
3.1.1 Estratto dal dlgs 196 del 2003._______________________________________ 40
3.1.2 “Proposte concernenti le strategie in materia di sicurezza informatica e delle
telecomunicazioni per la PA” Cnsi, marzo 2004. Estratto__________________________ 43
3.1.3 Regolamento Aziendale ____________________________________________ 45
3.1.4 Requisiti metodologici e implementativi per lo sviluppo con tecnologia .NET sui
sistemi della Regione Emilia-Romagna________________________________________ 49
3.1.4.1 Piattaforma .net Framework_______________________________________ 50
3
Elaborato
!
" #
# $ % &
! !
& #
' (
!
#! # &
) )
!
#
! # ( *
!
# &
!
# !
+
,
( !
! # !
-./01234!
5 - 5 4! 5
- 5 6 4 /227&
# + 8 !
! # ! #&
9
:
: " - 4&
: 8 - ; < 8 4
&
:
: &
5
9
= #! ! ! ! #! ! ! ! #!
#! ! ! ! #! ! 1 #&
! ! ! ! ! # !
! #! !
! # &
; " " &; &= " ! !
1
! ! " 1 ! ! #! #!
! #! !
,1
, &
! #! ! #!
&% #&
!, #! ! ! ! !
! #&
, #! '
! ! ! &$ ! !
! #!
< # ! # !
! ! ! !;
8 8 ! 1 !
!
( &
# ! > !
!
! 9
.4 !" #!
/4 " #
34 ! "
#$
2
. 5 ;$ % ? ,9;
% ! $
! !
$ % + @ >
&
A B
% $1
% -%$%4! # 9
&
&
! ! ! $; % $1 %
" C &
- ( 4!
#
! $
+ + &
9
! # # ! #
# # !
) & D
& &
Database
Lan Casalecchio
Wan Ausl Bologna
Reggio Emilia
Lan Bologna
Wan-Lan Modena
& '
( >
C - 4&
! ! 8!
)
- 4 & D $ ' <
- !< !% $ ! ! 4& !
! ! -
D 4&
3
; < -; < 8 4 $; % $1
% -D
= ; 4@
&
" ; < (
% $ % >
- ( 8
4&
; % $1
%- 4&
A ( B &
C
D& & % $1
%!
&
( !
$
( ) ! *
C ?" % $1
% & & %$%
C " - 0&2;4 % $1
% & & %$%
; $% $% ?" %$% & & %$%
& & %$% ' ;
; < ! %$% ' ;
(< C = ; ";
'< ; ";
(< ;
( '; @
.&. ; #
> !
#- % $
% # 4&
)
9 # !
4
&
5 # 9
:
$ + @
: F
@
: F # D@
: @
: G ! !
! ! &
! !
9
: @
: - ! ! 4@
: ! @
: - 0/01
H04@
: @
: ; ! ! 1
! &! &
; # ! ! !
&
-; 4
&
6,
9
11"""& & 1
I # ! 9
: @
: ! @
: % D
@
: &
% ! # ! #!
> A
; .H01
23'!
&
5 A
%$ , <$5+, $% 6D+ JJ, ;$ $% J 5=,%< +
J$5; B &
A
% ,< 5; J,5 ;$ 5 - ,< + +,
5 J,5 $ $% D%$JJ 5=,%< + 4B
,.KKHH KKHH&
!
$ % -+ 5 ' %$%
)
5
!>
A B !
9
:
: &
! ! " ! &
: # - 4
: #
: # !
,.KKHH A B
.&/ + . )&
,% - ,+
5=,(<,5 +,% 9
.& " E ( -
% = " E.&. & < 4&
# # C &
-C 4&
/& 9
o / -C$ $% $ 4!
A B
4&
1$
2$2 + 0 - 4
8 I @
& "
% $1
%&
( & #! #! # ;
> % 1&
$
5 ! >
* !
D % $1!
" 1 &
Tabella confronto Norme – regolamenti Ausl RER e progetto developer
)5 )
) (6 )6)
% D " ,
+ 7 " 6 % # "
; " !
6
" ,
" MN & - 4 "
D 5 - 4
P
&
" &
D < " "
6 &
" "
! !
& &
! #
&
& 6
#
& !
!
&
& 5
" &
#
- 4
# &
, >
!
A B
6 & ; 9
D -
6 &5$+
&
8
& &
4
!
<
A
B
&
8&
QD 1 Q
+ ! 8
E
@ !
6
5 !
! #!
&
&
& R
7
!
# !
9
&
"
&
% 6 &
&
% " ;
; #
& 9
% 6
= 9" #
5 /" < 1
;= -; = 8 4
&
E 9 < I
/222 A ( B
" &
#
5
6
!
@
@
6
!
6 6
6 #
! 6 5 5
#6
@
&
6
@
6 !
!
" &
! - !
"
@ ; 4@ ;
6
D
!
)6)$
. $5( 0 8 & <
!
> I S -
6
&; I
#& D D ! 4
&
I&
6 #
I -
& 4& + ;,&5$+ A B AI
S B@
1 S &
&
A %
5 & B
T& %
<
8
#
>
! - 4
%
-
!
& 1 4
%
# -
1 1 1
6 4
6
<
&
;
9
&- #
4 1
&
(
? - 4
- 4
= "
D
(
9
+ "
"
-
4
E
# 72(./U
?. 3(;$
%
- E
4
<
9C
E " ! D%
;
- 4
E
+ 1
;
- 4
*
9
+
- 4
9
9
&
5
5 5
#
# &
@
6
5 5
>
$
8 " E ! !
& % $1
%
- %= 4!
" &
! @
> @
! 6
& 5
) ) !
&
&
1$
2$9 +) 5
, > A B D -
.H04
, "
, " - 4
3
%
%
< - 4
% - 1 4
% # - 1 1 1 4
<
; 9
#
10
1
?++ - V C 4
" - 4
E # 72(./U ?. 3(;$
% - E 4
La gestione degli account deve essere completamente applicativa
La gestione applicativa degli account deve prevedere anche una security policy opportuna. Nel seguito
sono riportate alcune brevi linee guida
+
< - 4
A B AI S B@
, > - D 4
#- 4&
#- 4
# &
*
9
+
- 4
9
&
< 9C E " ! D%
; - 4
E+ 1
; - 4
11
1$
2$9$
2
.6,.+
( :+ ,6
C 9 &5$+= 1 '
C 9 C ( 8W -C $/&24
" ( E
& < &C &
9 <
A B
8&
QD 1 Q - 4
C 9 % X M " &
&
9 <
A B 8( (
Q, S 1 Q 1 Q -
4
.&3 9 !
&
12
1$
9$1 %
9 ! ! !
! ! !
! ! &
> !
8 & > (
- 4! A B A B ( 8
! (
! #
) - G 4&
# ! &
! &
- G 4
9 - 4
- 4! - 4 ( - & '
= 4! - & 4&
! ( !
& >
! ; < $
% &
1$
9$2 *
1 (
; < & ( &
9
#! & D ( !
> * C &
; < " I !
! (
; < &< !
13
# ! ! !
E ! ! &
> # &
1$
9$9
( > (
& ;
! !
!
!
- 5 ! $ ! # &4
1$
9$;
; !
9
# ; < -
4
# ! ! !
&
% + $ %
9
9
&
9-.4 -/4 -34
96 1 !
! % &
14
LIVEL
INTERLOCUTORI UTENTI ESISTENZA ACCESSO
LO
INFORMATIVO
A DATI
DI
ACCE
INTERREGIONALI
SSO
T E P T P
E-R
OS. -R IE. OS. IE.
Operatori dei servizi (vigilanza)
Operatori dei servizi (sanitari)
Consulenti/amministratori di rete
Altri servizi ASL (servizi sociali, servizio
di
igiene pubblica, ecc. )
Servizi di medicina del lavoro
ospedaliero
Statistici/Epidemiologi
Medici di base
- direzione assistenza
- assessorato trasporti
- assessorato ambiente
Comu
ni
Province
ARPA
INAIL
ISPE
SL
Ispettorato del lavoro
INPS
CPT
Associazioni di categoria
Altri comitati Paritetici
Associazioni sindacali
Ditte
RLS
RSPP
Medici competenti
TAV
Alta sorveglianza
CE (coordinamento esecuzione)
CP (coordinamento progettazione)
Responsabile dei lavori
Associazionismo locale
15
1$
9$< - &( '
; # !
- 84
A B A #B
- ( 4 A #B
! - 4&
I
- #!
! 4 &
#
&
; - 4
9
) %+
3 .6,.+
( :+ ,6 +
.+,*
$
.
- 4 D 9 1 !
8
- 4 % 9 1 !
/
8 (M
% N
D
- 4 D 9 1 !
8
- 4 % 9 1 !
8 (M %
- 4 % 9 1
8 (M %
, 9 & 1
" E - 4
A B! A #B
A B A B
&
> ; , $% 9
1 6 &
> 9
: , - Q, 4 . N D
9$ ;! ; ++$! %, ! %$ ! %, ! ,<
&
: 9- Q 4
#&
5 > & D *
! & D &
1
Il significato semantico di “Dato di Competenza” in genere si basa su Opera / Organizzazione ma puo’ essere non
ancora determinabile per soggetti esterni
2
Verranno tracciate solo le operazioni “sensibili”; stato definito dai metadati del modulo di sicurezza custom.
16
, G ! & 9
A B
& > !
- " 4
1 & D Y Y
&
Tecnologie e sistemi per la protezione dei dati durante i flussi
Autorizzazioni Asincrone
!
1 1 &
#
&
*
- 1W 1 1 4
- 4
8
4 9
4 &
&
Sicurezza delle Comunicazioni
? - 4 - 4
E
= " - $; %$%4
D ( 9
+ "
+
( -, 1
< <$4&
! - & P< 9 P< P<
$ 8 4&
!- ! ! 4&
E E8 W
- Z$4 & ( -Y 8 Y
4
! &
- 4&
5 # " E
& &
.&7 !" E ! &
C " E
W
81 "8 $;
< - & & 4@ 5+
" E
&
$ + &
17
.) (6,.)+ 3, +,%) .) .. ) )6.66( ,,6..+ +
. (3+
6, (3+6
.. 6) .+ + " # +
,.6),6. . ,.
. . .+ .+
6,.)= (+
"
#
BO- AUSL Casalecchio Circa 20 lan con 4Mb-8Mb di rete interna tra 30 (10)
FI Bo.Sud San loro senza barriere. 15 (5-
Lazzaro HU /222 - 6)
Porretta 7U4 3
(VAV) ;5 /[0E [./
" %&$&%& V ;<J ;5 V
" - 1 4
?; /< &
AUSL 10 Sesto I clients sono equamente distribuiti tra Firenze 25-26 4-5
Firenze Fiorentino Città (Nodo Ferroviario), Sud-Est, Nord-Ovest e (6-8)
Careggi Mugello (VAV).
(VAV) C HU(
‘S. Maria C /E (C P
Nuova’
‘S.Maria
Annunziata’
Borgo
S.Lorenzo
NO AUSL Città Dipartiment Rete Geografica 30 (10)
DO BO di Bologna o Sanità Pubblica La rete geografica dell' Az. Usl Città di Bologna collega
una trentina di sedi principali dell'
Azienda, ognuna
dotata di una rete locale.
Il CED ausl Bologna, o meglio il Servizio Acquisizione
Gestione Sistemi informatici e Reti, si trova presso
l'ospedale Maggiore. Dal CED (centro stella) partono
prevalentemente linee HDSL a 2 Mbps che collegano
gli ospedali e le sedi amministrative principali.
Il programma interessa esclusivamente un' unica sede:
il Dipart. Sanità Pubblica che e'collegato con il centro
stella in HDSL 2 Mbps.
5 W8
" &
;5
;5 07 Z &
+ ;5
E &
%
& # ./
6 + 1 .22 < !
; C " /222 3! 7
/ % <! % [ " & C " H[(
HU(P (/222 &
9- 4
9?; /<
<
= $&
AUSL Parma Città
Parma Fidenza
‘San Secondo’
AUSL Piacenza
Piacenza Città
Fiorenzuola Modem 28,8 con VPN su lan aziendale – 3
d’Arda piccola lan in fase di allestimento
Val Tidone
AUSL Reggio ' S. Clients: quasi prevalentemente Windows 2k Pro 4-5 (1-
Reggio ANNA' ? I /222 2)
Scandiano 4-5 (1-
'C. MAGATI' # 9?; /< 2)
Montecchio # 9; ./UZ 4-5 (1-
'E. FRANCHINI' 2)
DB Regione e/r
MS
18C
&
canale
Tipo Indiriz Tipo di canale Appa
DOWNstrea CPE
Sito zo Profilo Upstream rato
m
B B BM
P MG BP G
San
Lazzaro di Via Bilanciat 2 51 2 512 Rout Cisco
Savena Seminario 1 o - HDSL2M Mbps 2Kbps Mbps Kbps er IP 01721
1$
;$1
!
W
8 =
< < - ,4 &
9
: !
:
: !
! W
85 &
&
; &
( &
3 $
- G 4!
= &
, >
19
id SO Nr. Nr. CP Antiv Acce
utenti Ufficio U. irus sso
(princip).
03 Pen Si User
1 2000 2 t. III
2000 03 Pen Sì Admi
2 Server 1 t. III n
05 Pen Sì User
3 2000 1 t. IV
07 Pen Sì User
4 2000 1 t. IV
09 Pen Sì User
5 2000 1 t. IV
10 Pen Sì User
6 2000 2 t. IV
13 Pen Sì User
7 2000 2 t. IV
15 Pen Sì User
8 2000 2 t. IV
23 Pen Sì User
9 2000 1 t IV
1 Port Pen Sì User
0 XP prof Vari atile t IV
9
UC " /222 & 7
.C " P & /
.C " /222 7
.&[ 9
# !
( &
$ " E
# .
1$
<$1 >
3 - ! ! 4&
.3 + &
/< &
.< % &
.< % &
. + &
. + &
; #
#9 9
&
&
! &
&
20
1$
<$2 3 $
!
#
&
<
%
#
D >
)
# = 8 !
# " !
& &
9 = !
! " ! &
S ! !
! &
= !
D > &
!
) & $
' &
< < 9
< &
(
( I !
- 4 !
& % &
#
& ! &
!
!
) ( &
1$
<$9
1$
<$9$
1 (
"
- 4& ! >
! "
- > 4&
5 C " /222
; 8
E &
- 4&
21
!
&
&&
D > 5+=
! ! !
! !
&5 &
!
!
- ' 4!
)
&
1$
<$9$
2 $
&; !
!
& 5
! #
& , P #
, , &$ < , C "!
# &
> !
E &,
! - & C 4
- E E W 4
&
! !
&
E
! #
! ) # !
- 4&
< 8 " " !
! ! #
9E8 ! S ! " E! &$ &
O E! > >
&
Regolamento Aziendale
Art. 5 - Configurazioni hardware e software
Le stazioni di lavoro utente vengono predisposte e configurate per il corretto
uso dei servizi informatici aziendali dal Servizio Acquisizione e gestione
tecnologie informatiche e di rete.
L'utente si impegna a mantenere la corretta configurazione della stazione di
lavoro che utilizza.
Nel caso in cui sia necessario "scaricare" ulteriori programmi informatici anche
gratuiti dalla rete, 1'utente dovrà formulare una richiesta al Servizio
Acquisizione e gestione tecnologie informatiche e di rete che provvederà a
consegnarli al richiedente.
22
1$
<$9$
9 ?
!
! " "
# &
8 - & = + 3/4
! &
E !
# - X.2 \ !
[2\ E 4
E 9
$
= - # 4!
& I
&
& " E !
> # & 5
# - 5 " E
!5 " E
4&
REGOLAMENTO AZIENDALE
Art. 7 - Backup
!
! #
!
&
5 #
-
4! 9
23
REGOLAMENTO AZIENDALE
. L'utente è direttamente e totalmente responsabile dell' uso che egli fa del
servizio di posta elettronica e di accesso a Internet, dei contenuti che vi
ricerca, dei siti che contatta, delle informazioni che vi immette e delle
modalità con cui opera.
. All' utente è consentito di utilizzare il servizio solo per ragioni
professionali
connesse alla propria attività, in modo individuale.
. L'utente sarà pertanto civilmente responsabile di qualsiasi danno
arrecato
all' Azienda, all'Internet Provider ej o a terzi in dipendenza della
mancata
osservanza di quanto sopra.
L'utente è informato del fatto che la conoscenza della password da parte di
terzi consente a questi ultimi l'accesso alla rete aziendale e l'utilizzo dei
relativi servizi in nome dell'utente e l'accesso ai dati cui il medesimo è
abilitato, con le conseguenze che la cosa può comportare, quali ad esempio la
visualizzazione di informazioni riservate, la distruzione o la modifica dei
dati, la lettura della propria posta elettronica, l'uso indebito di servizi,
ecc..
L'utente prende atto che è vietato servirsi o dar modo ad altri di servirsi
della rete aziendale e dei servizi da essa messi a disposizione per utilizzi
illeciti che violino o trasgrediscano diritti d'autore, marchi, brevetti,
comunicazioni private o altri diritti tutelati dalla normativa corrente, per
utilizzi contro la morale e l'ordine pubblico, per recare molestia alla quiete
pubblica o privata, per recare offesa o danno diretto o indiretto all' Azienda e
comunque a chicchessia.
L'utente - in quanto la legge lo consente - si assume la responsabilità civile
per i propri fatti illeciti e per quelli commessi da chiunque utilizzi il suo
codice identificativo, con particolare riferimento all' immissione in rete di
contenuti critici o idonei ad offendere l'ordine pubblico o il buon costume.
1$
<$9$
< 4?
5 ! C <
! 8
! &
!
!
!
> E [
5+= 8 &
8 ! &
> .2\ >
# &
= 3/ 5
& ,
! !
> &
D > #
D &
# >
!
8
W
8 W
&
24
" E -C " 4
- ! WD W4&
1$
<$9$
@
!
! !
! ! ! > (
9
- 4
! " &
!
& G
* #
&
!
O !
)
& $ !
& $
# -
* 4& #
- 4 !
! - 4
&
! *
A B &
> &
#
!
& ; >
&
> !
&
Art. 3 - Identificazione dell'utente
L'utilizzo dei servizi informatici aziendali richiede, da parte di tutti
gli utenti, un codice
di identificazione personale (userid) ed una parola chiave segreta (password).
Sia nel caso di disattivazione del codice di identificazione personale che
nel caso in cui
l'utente si dimentichi la propria password, per riottenere l'accesso ai servizi
l'utente dovrà
compilare nuovamente il modulo Richiesta di abilitazione i servizi informatici
aziendali e consegnarlo al Servizio Acquisizione e gestione tecnologie
informatiche e di rete, firmato dal Responsabile della struttura organizzativa a
cui l'utente appartiene.
La password non potrà essere ceduta a terzi, neppure temporaneamente e
dovrà essere
mantenuta segreta.
Qualsiasi azione svolta sotto l'autorizzazione offerta dalla coppia userid e
password sarà attribuita in termini di responsabilità all'utente titolare del
codice userid, salvo che l'utente dia prova di illecito utilizzo della sua
autorizzazione da parte di terzi.
Non sono previsti codici di accesso anonimi.
25
L'utente deve conservare la password con la massima riservatezza e con la
massima
diligenza. La password non deve essere banale né contenere riferimenti
facilmente riconducibili all'utente. E' modificata da quest'ultimo al primo
utilizzo e successivamente almeno ogni due mesi.
L'utente non deve lasciare incustodita o facilmente accessibile la postazione di
lavoro, una volta collegata al sistema, e deve disattivare la sessione qualora
si debba allontanare dalla postazione di lavoro. Non deve rendere facilmente
accessibili informazioni concernenti la sua password.
Dopo sei mesi di non utilizzo dei servizi, o nel caso in cui l'utente perda la
qualità che gli consentiva di accedere ai servizi informatici aziendali, la
userid e la password vengono automaticamente disattivati. In quest'ultimo caso,
i messaggi di posta elettronica in giacenza vengono eliminati.
L'utente si impegna a comunicare immediatamente al Servizio Acquisizione e
gestione tecnologie informatiche e di rete l'eventuale furto, smarrimento,
perdita ovvero appropriazione a qualsivoglia titolo da parte di terzi della
password.
Nel caso di prolungata assenza dell'utente e in caso di urgenza, qualora si
renda necessario accedere alla posta elettronica o alla postazione di lavoro
dell' utente, a giudizio del responsabile dell'unità operativa, quest'ultimo
chiederà l'abilitazione al Servizio Acquisizione e gestione tecnologie
informatiche e di rete.
1$
<$9$
A
! > > !
! !
# ! D
&
5
!
- & E 4
#
&
' !
!
# !
&
5 #
! !
!
! &
.&0
#
&
:
: #
: =
: %
+ > 9
26
2 5
. interruzione momentanea e nessuna perdita di dati
/ @
&
3 5 # ! ) !
! &
7
! ! ! &%
&
[ ; ! ! ! !
& ;
# &
+ !> #! . - 4 [
- 4& #> !
!
&
&
. #
/ # !
#&
3 # ! 1
7 # ! & ,
& &
[ # ! 1
& > &
% 5 > ! !
! # &
. < !
/ #
3
7 Probabile, segnalati o osservati casi nella maggior parte dei servizi interni
[ !
+ > #!
& 5 !
& I
&
> 2 [- 4&
2 5 ! - 4
+ 2 % > !
.
+ . % !
/
27
+ / % !
3
+ 3 % !
7
+ 7 ! #
[
Tabella del rischio risultante per le risorse umane e gli assets informatici
$ $5+, )
+ =
< W
&
#
<
E! ! !
[ 7 3 ;?
B
" E # & !
&
D
=
7 7 3 9?
A
!
&
<
!
=
Z8 7 [ / 9?
A E!
#
!
<
!
" 7 7 [ ;?
9 !
!
E !
=
7 7 3 9?
A
%
!
7 7 / 9?
9
D
" !
" E 7 [ / 9?
A
" 3 / [ 9?
9 !
"
!
" 3 3 7 9?
9
" ! 8
=
"
/ / 7 2?
A !
28
= !
E !
!
7 7 [ ;?
9
E #
- 8 8
!
!
;
4
#
#
E
E !
!
;
#
[ 7 3 ;?
B
- 8 8
!
!
!
;
!
( / / / 2?
B
#
+ ! / / / 2?
B
!
/ / / 2?
B
! E
$ 7 . . 2?
B + 1
#
!
[ / 3 9?
9
!
[ / 7 9?
A
!
29
!
[ / 7 9?
A
!
!
S ! [ 3 3 9?
A
!
;
(
<
!
"
[ 7 3 ;?
B
&;
&
% D
! / 7 / 2?
A
-=<4
; ;
<
( C W
8 3 3 7 9?
9
"
" 7 / [ 9?
A
!
!
&
!
!
$ " 7 3 7 9?
A
" !
!
$ 7 3 3 9?
9
E
!
&
!
!
!
$ " 3 7 3 9?
9 !
&
30
1$
@$1 3 !$
" !
" ! " &
$ ! ! !
!
5 8 ! = +3/
< " E !
< E
#&
- 4
<
&
! ! &
#! !
&
#- 4
A B
&
#
9
# ! &
&
>
$ ! !
&
1$
@$2 3 ! C
!
-%
&4 8!
! ! !- 4&
! >
! O >
&
6 ! O> &
5 ! O
- & ! # 4
> #
&
$ # - 4
# &
31
$
&
.H01
23
# 9- & /H(
32(3.4&
5 # #
&
! !
> &
9
!
! !
# &
# ) ! (
(
& !
&
> (
9
: #
:
:
:
( ! &
:
32
/ $ +,5$;$ % ? ,! D ,%+, $;$ ,5 $ J,5 ; 5+$% $5+,&
33
34
/&.
! !
9 C ; < !
-" E 4 O
: # W
&
: 8 ; % 8 &
: % 1! > ! !
! &
: &
2$
1$1
>
%$%
! = "
; & C > ;<J
; < > &
% !
&
!
&
2$
1$2 $
C
" 1 &
> &
; <
- " 4
&
! # ! #
! ! !
&
' #
! #
#!
&
2$
1$9
#
# &
; !
9
# ; < -
4
# ! ! !
&
35
5
; ( !
! > G & 5
& - ! !
4
9
> (
! # # ]
! ! ]
&
# ]
I ! ! ]
!
]I > #! ]I
]; ]
]
2$
1$; + 5 +D
! - # &4!
I S & - %
& 4&
(
9
- ! ! !
# ! ! 8
&4
8 !
&
9
- ! #
4
+ -
!
4
< -
! !
! &
!
# ! !
] # >
# ! > !
# &
9
# W ! !
&
&
2$
1$< - $
!
!
36
( 8
( -3;$ 4!
!
&
(
- T& = " E
4 &
( - 8!
! I 4! 9 &
2$
1$@ ( !
D
>
9
: #
! &
: &
: ; !
&
: ; !
&
: ; -
4! &
: % # ! !
&
: ! #
&
/&/ %
= <
C &
& 9
]
> # ]
$ !
]
5 ! ' E
!
! #
A B
!
&
/&3 <
! * !
9
- E
: D
: D
37
: &
:
: E
:
:
:
: &
: D &
: D " !
- E
; ! 9
:
:
:
:
: - 5 ' < /22[4
: ! &
: &
: E
&
: ! !
: !
: 8 #! !
! ! &
: = !
! &
: E
&
:
: " ! " ! 8
: = !
: = ! E ! !
# - 8 8
! !
4
: !
2$
9$1 + 3
#
# ! !
-
4! ! #! !
&
$
#
! )
&I
38
( &
$ #
!
! #
!
) # > &
I !
! !
& & !
&
;
!
! & D
> # ( !
) &
#! !
&
> #
!
& #
# &
2$
9$2 * $
# ! >
# &
$ !
&
# 9
8
! % -$ % 4
# & #
&
5
! !
&
$
9
1 ! ! #
! ! G
&
< 9
( ! !
#
#! ! #!
! 8 &
39
3 $5; ';
9$
1$1 6 1F@ 2BB9$
! #
#&
5 8 # #
&
+ 6
! !
>
#
#
&
# > !
! &
Requisiti di sicurezza
, ( < D%$; D%$JJ
& 3.& ,
.& !
!
! ! 6
! ! ! !
# &
& 33& <
.& 5 G 6 3.!
!
6 [U! 3!
&
& 37& +
.& >
! 6 4!
9
4 @
4 @
4 @
4 6 6
@
4 !
@
4 ! #
@
4 @
4
&
.H01
23
40
.& >
&
/& 6 6
6 !
!
6 ! &
3& G
6 &
7& >
6 &
[& ! > !>
! !
@
6 > 6 ! !
& >
&
0& 6 ! ! *
! &
K& !
&
U& #
6 6 &
H&
&
.2& I 6 >
6 !
# *
#
6
# # &
>
!
6 6 &
..&
&
./& I >
&
.3& ! !
6 ! 6
&
.7& ! ! >
&
41
.[& 5 6 6 6
6
! *
&
.0& 6
6 & 0.[( ! 6
&
.K& #
&
6 > &
.U&
&
;
.H& $ 3. !
! !
9
.H&.& 6 @
.H&/& # 6
@
.H&3& 6 @
.H&7& 6 # # ! >
! #@
.H&[& # #
/3@
.H&0& !
! !
G #!
# #
& > # 6 ! >
! !
@
.H&K& 6
! # ! 6
@
.H&U& /7!
6
6 &
D
/2& 6 ! 6 & 0.[(
! 6 &
/.& 6
&
//&
! !
!
&
42
/3& 6
!
&
/7&
!
# 6 //! 0! !
&
6 # 6
@
6
@ > &
<
/[&
! 6
6 #
&
/0& ! 6 ! !
6 &
+ 6
< # ! ! !
6 ! 9
/K& !
6 !
& 5 6 6
6 6 !
* &
/U& I
!
! &
/H& 6 > &
! ! 6 ! &I
!
9$
1$2 &
'( ? 2BB;$
6
A
D + & & *
#
# -
#! > !
4&B
A # !
!
+&
=
A #B
43
9A % +!
%
!
+ 4B9 ! !
A
&B
B > B >
A
+B 5 9
" !
"! %
! &4
-
+4
E( !
! &4&
5 & &
#
& * # & & # D #
+ !
!
& & #
&
> 5 #
& # 9
( ! #
& &@
(
1 ! !
( @
(
@
(
@
( # A B (
&
# 9
( @
( @
( # @
(
44
& &@
(
E " "@
(
! #
&
D #> -<
4&
9$
1$9 )
REGOLAMENTO PER L'UTILIZZO DEI SERVIZI INFORMATICI AZIENDALI
Art. 1 - Oggetto
Questo regolamento ha per oggetto le norme per l'accesso e l'utilizzo dei
seguenti
servizi:
1) posta elettronica
2) rete Internet
3) sistemi informativi aziendali 4) computer aziendali
45
l'utente si dimentichi la propria password, per riottenere l'accesso ai servizi
l'utente dovrà
compilare nuovamente il modulo Richiesta di abilitazione i servizi informatici
aziendali e consegnarlo al Servizio Acquisizione e gestione tecnologie
informatiche e di rete, firmato dal Responsabile della struttura organizzativa a
cui l'utente appartiene.
La password non potrà essere ceduta a terzi, neppure temporaneamente e
dovrà essere
mantenuta segreta.
Qualsiasi azione svolta sotto l'autorizzazione offerta dalla coppia userid e
password sarà attribuita in termini di responsabilità all'utente titolare del
codice userid, salvo che l'utente dia prova di illecito utilizzo della sua
autorizzazione da parte di terzi.
Non sono previsti codici di accesso anonimi.
L'utente deve conservare la password con la massima riservatezza e con la
massima
diligenza. La password non deve essere banale né contenere riferimenti
facilmente riconducibili all'utente. E' modificata da quest'ultimo al primo
utilizzo e successivamente almeno ogni due mesi.
L'utente non deve lasciare incustodita o facilmente accessibile la postazione di
lavoro, una volta collegata al sistema, e deve disattivare la sessione qualora
si debba allontanare dalla postazione di lavoro. Non deve rendere facilmente
accessibili informazioni concernenti la sua password.
Dopo sei mesi di non utilizzo dei servizi, o nel caso in cui l'utente perda la
qualità che gli consentiva di accedere ai servizi informatici aziendali, la
userid e la password vengono automaticamente disattivati. In quest'ultimo caso,
i messaggi di posta elettronica in giacenza vengono eliminati.
L'utente si impegna a comunicare immediatamente al Servizio Acquisizione e
gestione tecnologie informatiche e di rete l'eventuale furto, smarrimento,
perdita ovvero appropriazione a qualsivoglia titolo da parte di terzi della
password.
Nel caso di prolungata assenza dell'utente e in caso di urgenza, qualora si
renda necessario accedere alla posta elettronica o alla postazione di lavoro
dell' utente, a giudizio del responsabile dell'unità operativa, quest'ultimo
chiederà l'abilitazione al Servizio Acquisizione e gestione tecnologie
informatiche e di rete.
Art. 4 - Registrazione delle attività
Le operazioni effettuate servendosi di userid e password potranno essere
memorizzate
per finalità di sicurezza del sistema.
L'attività di registrazione avviene attraverso i file "log" di sistema a
cura del Servizio
Acquisizione e gestione tecnologie informatiche e di rete.
Per quanto riguarda l'accesso ai servizi di posta elettronica e internet, il
Servizio Acquisizione e gestione tecnologie informatiche e di rete garantisce la
custodia dei file "log" per 90 giorni on line e per 30 mesi su supporto ottico.
Le registrazioni potraIU1o essere utilizzate, su richiesta del Titolare o dei
Responsabili del trattamento dei dati personali, per valutare la qualità di
taluni servizi erogati dall' Azienda.
L'Azienda si riserva di effettuare dei controlli, anche a campione,
concernenti l'utilizzo
corretto degli strumenti di lavoro.Infine i log potranno essere oggetto di
provvedimenti dell' Autorità giudiziaria e amministrativa e in generale dei
soggetti aventi funzioni ispettive e di controllo.
Art. 5 - Configurazioni hardware e software
Le stazioni di lavoro utente vengono predisposte e configurate per il corretto
uso dei servizi informatici aziendali dal Servizio Acquisizione e gestione
tecnologie informatiche e di rete.
L'utente si impegna a mantenere la corretta configurazione della stazione di
lavoro che utilizza.
Nel caso in cui sia necessario "scaricare" ulteriori programmi informatici anche
gratuiti dalla rete, 1'utente dovrà formulare una richiesta al Servizio
46
Acquisizione e gestione tecnologie informatiche e di rete che provvederà a
consegnarli al richiedente.
al sito
Art. 9 - Connessione a provider diversi da quello aziendale
47
cesserà nei seguenti casi:
48
L'utente è informato del fatto che la conoscenza della password da parte di
terzi consente a questi ultimi l'accesso alla rete aziendale e l'utilizzo dei
relativi servizi in nome dell'utente e l'accesso ai dati cui il medesimo è
abilitato, con le conseguenze che la cosa può comportare, quali ad esempio la
visualizzazione di informazioni riservate, la distruzione o la modifica dei
dati, la lettura della propria posta elettronica, l'uso indebito di servizi,
ecc..
L'utente prende atto che è vietato servirsi o dar modo ad altri di servirsi
della rete aziendale e dei servizi da essa messi a disposizione per utilizzi
illeciti che violino o trasgrediscano diritti d'autore, marchi, brevetti,
comunicazioni private o altri diritti tutelati dalla normativa corrente, per
utilizzi contro la morale e l'ordine pubblico, per recare molestia alla quiete
pubblica o privata, per recare offesa o danno diretto o indiretto all' Azienda e
comunque a chicchessia.
L'utente - in quanto la legge lo cOl1$ente - si assume la responsabilità civile
per i propri fatti illeciti e per quelli commessi da chiunque utilizzi il suo
codice identificativo, con particolare riferimento all' immissione in rete di
contenuti critici o idonei ad offendere l'ordine pubblico o il buon costume.
9$
1$; )5
$,6. ) 6 )
Estratto da: Linee guida per lo sviluppo .NET sui sistemi della Regione Emilia-Romagna.
Linguaggio di riferimento:
T
Convenzioni
A
; 8; B
Commenti
T &5$+= " E 9A
+ ; B&
Namespace
A PB
Sicurezza
; 9 &5$+
&
Applicazioni web ASP.NET
A
C " B C " - 4
A
C " B
- A
= B4 *
49
`
Chiusura delle connessioni e “data readers”
T& - ; !
4&
$ 9
^ _
5 ; % ! A B& `
^
,< _
I S I
D ! I &5 >
I - 4& + ;,&5$+ *
S !
^
`_
9
-> A S B4
- 4 * G - GA S
B4
* G +W G
- ;,4
> G
> G &
,0E5
I ! O &% !
%$%&+ & &< E & ! ! ! !
S ! !
&
Gestione delle eccezioni
< ! $W
&
)6)$
. $ 3 &
- ! 4&
; &
+ -
E4 -
# 4&
Utilizzo in una Web Application
^,< _
Utilizzo in una Console application
- # S 4 > "
! &
^
,< _
Utilizzo in una Windows Form application
> C " = !
`&
50
" ( @ - 4
( % ! % >
6 & $6
G !
a < & > 8 *
G !
&
& W # D &
# $- $W 4
- < N< 4
S ( ( -a+! 4
" E &
9
(M < V (M (M &
a+> 6 D >
& > ! !
88 8
&
&
6 #
& !
6
&
Sicurezza tecnologie .net framework
http://msdn.microsoft.com/library/ita/default.asp?url=/library/ITA/cpguide/html/cpconintroductiont
ocodeaccesssecurity.asp
51