“Con l’Europa, investiamo nel vostro futuro”

Istituto Comprensivo Statale “Japigia II – Torre a Mare” - Bari -

DISTRETTO SCOLASTICO N.11 Via Attilio Corrubia n.1 -70126 Bari - Tel.-Fax 080/554.39.56-080/554.93.38

Codice Tesoro U.S. 631 – Matricola Inps 0917498136 Indirizzo e-mail: baic88600g@istruzione.it - PEC: baic88600g@pec.istruzione.it

Codice fiscale 93437890721 - Codice Mecc. BAIC88600G http://WWW.ICJAPIGIAII-TORREAMARE.GOV.IT

____________________________________________________________________________________

Redatto in base alle disposizione del

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA del

CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (art. 34 e Allegato B, regola 19, del d.lgs. 30 giugno 2003, n. 196)

DOCUMENTO

PROGRAMMATICO

SULLA

SICUREZZA

-

AUDIT INTERNO REPORT DI CONTROLLO SULLA

SICUREZZA DEGLI AMBITI DEL SISTEMA

INFORMATIVO SCOLASTICO

2015

EMESSO DA:

L’Amministratore di sistema Sig. Fabio Agrimi

VISTO DA:

IL DIRIGENTE SCOLASTICO Titolare del Trattamento Dati

(Dott.ssa Anna Maria Lagattolla) Norme di riferimento per la compilazione del presente documento:: 1Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) in

http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true 1Guida pratica e misure di semplificazione per le piccole e medie imprese in http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271 1Disciplinare tecnico in materia di misure minime di sicurezza, allegato B al Codice in materia di protezione dei dati personali, in

http://www.garanteprivacy.it/garante/doc.jsp?ID=488497 1Codice in materia di protezione dei dati personali in http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248

Introduzione La presente documentazione è finalizzata al controllo di determinati ambiti ritenuti critici ai sensi del Dlgs 196/03, con la rilevazione dello stato di fatto, delle eventuali non conformità presenti e suggerimenti nell'ottica del miglioramento continuo (modello PDCA). E’ stata scelta dalla Direzione Generale la forma dell’Audit interno per l’esame e l’analisi dello stato di fatto e delle misure attuate oltre che della definizione delle Azioni di Miglioramento nell’ottica del miglioramento continuo imposta dalla legge. Il presente documento viene dunque compilato dal Responsabile della Sicurezza dei dati aziendali e Privacy nonchè dei Sistemi Informatici, arch. Gianvito Spizzico, sulla base delle analisi e del controllo effettuati sull’attività dell’Amministratore di Sistema, sig. Fabio Agrimi, e della configurazione dei Sistemi Informatici aziendali, della tutela e sicurezza dei dati in forma digitale e cartacea, degli accessi ai locali e della conservazione dei dati societari.

Il Sistema Informatico Scolastico L'intera rete risulta gestita nella modalità di Dominio Microsoft Windows Server 2003, in ottica di centralizzazione e monitoraggio dell'intero sistema informativo. La connettività internet è garantita da collegamento primario FASTWEB Adsl

Sistema Informativo La Rete risulta completamente gestita in un sistema collaudato di Dominio centrale con Microsoft Active Directory Di seguito i dati rilevati sul dimensionamento base Connessione internet: FASTWEB Adsl

Sistemi Operativi istallati sui PC desktop: Windows Xp, Windows 7, Windows 8, Windows 10, Windows Server 2003.

Struttura Nomine e Modulistica Stato di fatto: L'ambito delle nomine degli incaricati e responsabili trattamento dati è conforme ai requisiti normativi, ivi compresa la nomina dell'Ads (Amministratore di Sistema) e la distribuzione delle credenziali di accesso ai vari database e pacchetti applicativi secondo lo schema sotto indicato:

Sistema di Autenticazione

Stato di fatto: L'intero parco client risulta attestato al Dominio Microsoft Active Directory, con gestione dinamica degli indirizzi (Dhcp). Il sistema di autenticazione risulta conforme ai requisiti previsti dal Disciplinare tecnico allegato B) del DLgs 196/03. Sul Dominio in uso risultano applicate le misure minime di sicurezza previste dalla normativa vigente. E’ stato attivato un sistema di controllo automatico sulla complessità delle password immesse dagli utenti.

Sistema di Autorizzazione Stato di fatto: Le banche dati risultano strutturati in DBMS opportunamente configurati con sistema di accesso discrezionale basato su ruolo (RBAC). Il sistema di autorizzazione risulta conforme ai requisiti previsti dal Disciplinare tecnico allegato B) del DLgs 196/03. Viene effettuato il controllo periodico (almeno annuale) del sistema di autorizzazione implementato (acl- access control list) sulle banche dati. Si utilizza periodicamente (semestrale) il tool Mbsa - Microsoft Baseline Security Analyzer.

Sistema di Anti Intrusione/Antivirus Stato di fatto: Il sistema anti-intrusione risulta, da punto di vista tecnologico, correttamente implementato tramite I'utilizzo di :

un firewall perimetrale di tipo lsa Server Proxy

un sistema di messaggistica evoluto con Microsoft Windows Exchange 2003

un sistema antivirus

un sistema antispam Avira Admin Server Console

un sistema di aggiornamento centralizzalo Microsoft WSUS

Sicurezza Fisica Stato di fatto: Il sistema di sicurezza fisico risulta conforme ai requisiti previsti dal Disciplinare tecnico del DLgs 196/03. I pc e i server sono dotati di gruppi di continuità (UPS) che proteggono le apparecchiature da danni fisici fisici in caso di interruzione energia elettrica improvvisa o sbalzi di tensione.

Piano di Disaster Recovery e Business Continuity Stato di fatto: Le banche dati attualmente presenti in questa Azienda, risultano sottoposte a politica di backup periodico attraverso un sistema storage a dischi usb.

Piano di Formazione degli Incaricati Stato di fatto: La normativa in materia di protezione dei dati personali (D.Lgs. 196/2003) prevede esplicitamente un relativo programma di formazione e aggiornamento indirizzato ai dipendenti. Gli interventi formativi di base devono essere programmati in presenza di queste circostanze: Al momento dell'ingresso in servizio;

in caso di cambiamento di mansioni, che implichino modifiche rilevanti rispetto al trattamento dei dati personali;

in caso di introduzione di nuovi significativi strumenti, che implichino modifiche rilevanti rispetto al trattamento dei dati personali.

ANALISI DELLA SITUAZIONE DEL SERVER (SIMULAZIONE ATTACCO LOGICO)

Whois IP assegnato dal provider Fastweb

Ip 93.61.75.81 Riferimenti registrati su RIPE : Tramite il RIPE (Reti IP Europee) si risale al provider, in alcuni casi alla zona indicativa dove è pervenuto il collegamento ed eventualmente i nodi di collegamento da cui è passato l'utilizzatore di quel IP.

Abuse contact info: abuse@fastweb.it

inetnum: 93.61.75.0 - 93.61.75.127 netname: FASTWEB-POP-INTERNET descr: Infrastructure for Fastwebs main location descr: INTERNET Service POP 3101 ar601 country: IT admin-c: IRSN1-RIPE tech-c: IRSN1-RIPE status: ASSIGNED PA mnt-by: FASTWEB-MNT remarks: In case of improper use originating from our network, remarks: please mail customer or abuse@fastweb.it remarks: INFRA-AW created: 2013-03-08T02:40:10Z last-modified: 2013-03-08T02:40:10Z source: RIPE # Filtered

Update Delete

person: IP Registration Service NIS address: Via Caracciolo, 51 address: 20155 Milano MI address: Italy phone: +39 02 45451 fax-no: +39 02 45451 nic-hdl: IRSN1-RIPE mnt-by: FASTWEB-MNT remarks: remarks: In case of improper use originating remarks: from our network, remarks: please mail customer or abuse@fastweb.it remarks: created: 2005-09-15T10:18:18Z last-modified: 2008-02-29T14:12:48Z source: RIPE # Filtered

Update Delete RIPEstat

route: 93.60.0.0/15 descr: Fastweb Networks block origin: AS12874 mnt-by: FASTWEB-MNT created: 2009-06-24T20:28:17Z last-modified: 2009-06-24T20:28:17Z source: RIPE # Filtered

TRACERT o TRACEROUTE

Traceroute è un’applicazione che analizza il percorso dei pacchetti informatici. Con questo termine s'identifica anche il tragitto dei dati. Inserito un indirizzo web nel campo di ricerca e dato l’invio parte un’analisi tra più server. La macchina chiede a ogni passaggio in quale server è “racchiuso” il sito web che stiamo cercando, fino a quando, passando di richiesta in richiesta, non si trova quello che lo contiene. In seguito il programma calcola i tempi di risposta di ogni server e la media del tempo totale impiegato. Il funzionamento del programma è basato sul campo TTL (Time to Live) di ogni pacchetto IP. Questo campo diminuisce a ogni passaggio e quando arriva a 0 il router spedisce una notifica al mittente. Traceroute è un’applicazione importante e complementare al ping perché individua il punto in cui si interrompe il flusso dei dati e aiuta a capire se un rallentamento è dovuto ai numerosi punti di snodo incontrati lungo la “strada”. Il risultato dell’operazione potrebbe essere poco affidabile se i pacchetti di dati inviati compiono più di un percorso. Rilevazione instradamento verso 93-61-75-81.ip145.fastwebnet.it [93.61.75.81] su un massimo di 30 punti di passaggio: 1 <1 ms <1 ms <1 ms 93-61-75-81.ip145.fastwebnet.it [93.61.75.81] Rilevazione completata.

ELENCO PORTE

Test di verifica porte chiuse/aperte verifica sul firewall

Se tutte le porte si trovano nello stato di " Closed " questo vuole dire che le impostazioni di sicurezza hanno un buon livello di protezione.

Se alcune porte si trovano nello stato di "Open" significa che vi sono dei servizi attivi sul sistema, di conseguenza se si conosce il rischio e il servizio attivo sulla porta è indispensabile, sicuramente vi sono altri sistemi di protezione. Invece, se si è ignari del fatto di avere delle porte nello stato "Open" allora bisogna controllare le impostazioni del firewall e provare a chiuderle.

Your computer at IP:

93.61.75.81

Port Service Status Security Implications

0

<nil>

Closed

Your computer has responded that this port exists but is currently closed to connections.

21

FTP

Closed

Your computer has responded that this port exists but is currently closed to connections.

22

SSH

Closed

Your computer has responded that this port exists but is currently closed to connections.

23

Telnet

Closed

Your computer has responded that this port exists but is currently closed to connections.

25

SMTP

Closed

Your computer has responded that this port exists but is currently closed to connections.

79

Finger

Closed

Your computer has responded that this port exists but is currently closed to connections.

80

HTTP

Closed

Your computer has responded that this port exists but is currently closed to connections.

110

POP3

Closed

Your computer has responded that this port exists but is currently closed to connections.

113

IDENT

Closed

Your computer has responded that this port exists but is currently closed to connections.

119

NNTP

Closed

Your computer has responded that this port exists but is currently closed to connections.

135

RPC

Closed

Your computer has responded that this port exists but is currently closed to connections.

Your computer has responded that this port exists but is currently closed to connections.

139 Net BIOS

Closed

143

IMAP

Closed

Your computer has responded that this port exists but is currently closed to connections.

389

LDAP

Closed

Your computer has responded that this port exists but is currently closed to connections.

443

HTTPS

Closed

Your computer has responded that this port exists but is currently closed to connections.

445

MSFT

DS

Closed

Your computer has responded that this port exists but is currently closed to connections.

1002

ms-ils

Closed

Your computer has responded that this port exists but is currently closed to connections.

1024

DCOM

Closed

Your computer has responded that this port exists but is currently closed to connections.

1025

Host

Closed

Your computer has responded that this port exists but is currently closed to connections.

1026

Host

Closed

Your computer has responded that this port exists but is currently closed to connections.

1027

Host

Closed

Your computer has responded that this port exists but is currently closed to connections.

1028

Host

Closed

Your computer has responded that this port exists but is currently closed to connections.

1029

Host

Closed

Your computer has responded that this port exists but is currently closed to connections.

1030

Host

Closed

Your computer has responded that this port exists but is currently closed to connections.

1720

H.323

OPEN!

Users running Microsoft NetMeeting may discover that port 1720 is open and exposed to the Internet. This should be regarded as something of a security danger since denial of service exploits for port 1720 and the H.323 protocol have been developed in the past and others could be discovered in the future. The best policy and practice is to only run NetMeeting when it is explicitly needed. Alternatively, a NAT router or personal firewall could be configured to keep port 1720 closed until it is needed for NetMeeting conferencing.

5000

UPnP

Closed

Your computer has responded that this port exists but is currently closed to connections

Stato di fatto: Dai test effettuati esaminando il punto pubblico 93.61.75.81, risulta che la superficie di attacco è molto ridotta. Azioni di miglioramento:

Nessuna Non si ritiene necessario operare un’analisi su porte aperte riferite all’IP pubblico.

REPORT ANALISI HijackThis SUL SERVER

Logfile of Trend Micro HijackThis v2.0.5 Scan saved at 13.42.14, on 30/10/2015 Platform: Windows 2003 SP2 (WinNT 5.02.3790) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Adaptec\Adaptec Storage Manager\StorServ.exe C:\WINDOWS\system32\serverappliance\appmgr.exe C:\Programmi\Sybase\SQL Anywhere 8\win32\dbsrv8.exe C:\Programmi\Sybase\SQL Anywhere 8\win32\dbsrv8.exe C:\Programmi\Sybase\SQL Anywhere 8\win32\dbsrv8.exe C:\Programmi\Cobian Backup 11\cbVSCService11.exe C:\Programmi\Cobian Backup 11\cbService.exe C:\WINDOWS\system32\Dfssvc.exe C:\WINDOWS\System32\dns.exe C:\WINDOWS\system32\serverappliance\elementmgr.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\GFI\MailEssentials\msecatt.exe C:\Programmi\GFI\MailEssentials\MiddleLayer\contentsecurity.as.attendant.exe C:\Programmi\GFI\MailEssentials\mestrxsvc.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\WINDOWS\System32\ismserv.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programmi\Exchsrvr\bin\srsmain.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\serverappliance\srvcsurg.exe C:\Programmi\Iomega\AutoDisk\ADService.exe C:\WINDOWS\system32\tcpsvcs.exe C:\Programmi\GFI\MailEssentials\pop2exch.exe C:\Programmi\Exchsrvr\bin\exmgmt.exe C:\Programmi\Exchsrvr\bin\mad.exe C:\WINDOWS\system32\mqsvc.exe C:\Programmi\File comuni\System\MSSearch\Bin\mssearch.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Exchsrvr\bin\lscntrl.exe C:\Programmi\Exchsrvr\bin\store.exe C:\Programmi\Exchsrvr\bin\emsmta.exe C:\Programmi\GFI\MailEssentials\listserv.exe C:\Programmi\Exchsrvr\bin\events.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe

c:\windows\system32\inetsrv\w3wp.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programmi\Analog Devices\SoundMAX\Smax4.exe C:\Programmi\Iomega\AutoDisk\ADUserMon.exe C:\Programmi\Iomega\DriveIcons\ImgIcon.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\CCleaner\CCleaner.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Programmi\Avira\AntiVir Desktop\sched.exe C:\Programmi\Avira\AntiVir Desktop\avguard.exe C:\Programmi\Avira\AntiVir Desktop\avshadow.exe C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\Programmi\Avira\AntiVir Desktop\avmailc.exe C:\Programmi\Avira\AntiVir Desktop\avgnt.exe C:\Programmi\Avira\AntiVir Desktop\avrestart.exe C:\Programmi\Avira\AntiVir Desktop\avrestart.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmi\TeamViewer\TeamViewer_Service.exe C:\Programmi\TeamViewer\TeamViewer.exe C:\Programmi\TeamViewer\tv_w32.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Cobian Backup 11\cbInterface.exe C:\WINDOWS\system32\cmd.exe c:\programmi\teamviewer\TeamViewer_Desktop.exe C:\Documents and Settings\sancilio.SEGRETERIA\Documenti\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file) O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ADUserMon] C:\Programmi\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programmi\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] C:\Programmi\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cobian Backup 11 interface] "C:\Programmi\Cobian Backup 11\cbInterface.exe" -service O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Programmi\CCleaner\CCleaner.exe" /MONITOR O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-21-2677665200-781552073-2716003459-1173\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?') O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O15 - ESC Trusted Zone: http://runonce.msn.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1219333147078 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (DownloadManager Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.7.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = segreteria.local O17 - HKLM\Software\..\Telephony: DomainName = segreteria.local O17 - HKLM\System\CCS\Services\Tcpip\..\{7DF4BBB5-4F78-415F-836E-5226DD5CDF53}: NameServer = 85.18.200.200,89.97.140.140 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = segreteria.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = segreteria.local O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adaptec Storage Manager Agent (AdaptecStorageManagerAgent) - Adaptec Incorporated - C:\Programmi\Adaptec\Adaptec Storage Manager\StorServ.exe O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Adaptive Server Anywhere - argo (ASANYs_argo) - iAnywhere Solutions, Inc. - C:\Programmi\Sybase\SQL Anywhere 8\win32\dbsrv8.exe O23 - Service: Adaptive Server Anywhere - Argo2 (ASANYs_Argo2) - iAnywhere Solutions, Inc. - C:\Programmi\Sybase\SQL Anywhere 8\win32\dbsrv8.exe O23 - Service: Adaptive Server Anywhere - sissi (ASANYs_sissi) - iAnywhere Solutions, Inc. - C:\Programmi\Sybase\SQL Anywhere 8\win32\dbsrv8.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Cobian Backup 11 Volume Shadow Copy Requester (cbVSCService11) - CobianSoft, Luis Cobian - C:\Programmi\Cobian Backup 11\cbVSCService11.exe O23 - Service: Cobian Backup 11 Gravity (CobianBackup11) - Luis Cobian, CobianSoft - C:\Programmi\Cobian Backup 11\cbService.exe O23 - Service: GFI MailEssentials Legacy Attendant Service - GFI Software Ltd. - C:\Programmi\GFI\MailEssentials\msecatt.exe O23 - Service: GFI POP2Exchange - GFI Software Ltd. - C:\Programmi\GFI\MailEssentials\pop2exch.exe O23 - Service: GFI MailEssentials Managed Attendant Service (gfiasmlhost) - GFI Software Ltd - C:\Programmi\GFI\MailEssentials\MiddleLayer\contentsecurity.as.attendant.exe O23 - Service: GFI MailEssentials Enterprise Transfer Service (GFIMETRXSVC) - GFI - C:\Programmi\GFI\MailEssentials\mestrxsvc.exe O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. -

C:\Programmi\Google\Update\GoogleUpdate.exe O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: GFI List Server (listserv) - GFI Software Ltd - C:\Programmi\GFI\MailEssentials\listserv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TeamViewer 10 (TeamViewer) - TeamViewer GmbH - C:\Programmi\TeamViewer\TeamViewer_Service.exe O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programmi\Iomega\AutoDisk\ADService.exe -- End of file - 10545 bytes

Report Check sulle misure relative al Disciplinare Tecnico 1) autenticazione informatica

> passed 2) adozione di procedure di gestione delle credenziali di autenticazione

> passed 3) ulilizzazione di un sistema di autorizzazione

> passed 4) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai

singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici > passed

5) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad

accessi non consentiti e a determinati programmi informatici > passed

6) adozione di procedure per la custodia di copie di sicurezza, il ripristino della

disponibilità dei dati e dei sistemi > passed

7) tenuta di un aggiornato documento programmatico sulla sicurezza

> passed 8) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di

dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. > n.d. (non necessaria)

9) formazione incaricati

> passed 10) notificazione e nomine

n.d. (non necessaria)

Si procede alla verifica delle seguenti misure di protezione: 1. accesso fisico ai locali ove si svolge il trattamento automatizzato

> pass

2. la gestione delle parole chiave e dei profili di accesso degli incaricati > pass

3. le procedure atte a verificare l'integrità e I'aggiornamento dei dati personali

>pass 4. la sicurezza delle trasmissioni in rete

> pass 5. le modalità di conservazione dei documenti, non soggetti a trattamento automatizzato

> pass 6. le modalità di reimpiego dei supporti di memorizzazione

> pass 7. il livello di formazione ed il grado di apprendimento degli incaricati

> pass

x

x

x

x

x

x

x

x

x

Appendice Elenco Misure Minime dettagliate del Disciplinare Tecnico All. B del Dlgs 196/03: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per I'autenticazione. 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. 6. Il codice per I'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato I'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

x

x

x

x

x

x

x

x

10. Quando I'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per I'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente I'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. 13. l profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art.615-quinquies del codice penale, mediante I'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. ln caso di trattamento di dati sensibili o giudiziari I'aggiornamento è almeno semestrale.

x

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

Piano delle verifiche e aggiornamento periodico del DPS Con cadenza almeno annuale si procede ad effettuare test di verifica dell'efficacia delle misure di protezione dei dati personali introdotte in azienda e di aggiornare il presente documento. In particolare si procede alla verifica delle seguenti misure di protezione:

I'accesso fisico ai locali ove si svolge il trattamento automatizzato

la gestione delle parole chiave e dei profili di accesso degli incaricati

le procedure atte a verificare I'integrità e l'aggiornamento dei dati personali

la sicurezza delle trasmissioni in rete

le modalità di conservazione dei documenti, non soggetti a trattamento automatizzato

le modalità di reimpiego dei supporti di memorizzazione

il livello di formazione ed il grado di apprendimento degli incaricati 1.1 Accesso fisico ai locali.

Verifica delle misure di sicurezza fisiche adottate relative all'accesso al sito dove si svolge il trattamento (automatizzalo o meno) dei dati sensibili e giudiziari

Verifica del corretto funzionamento del sistema di rilevazione intrusione e se ne verifica la corretta e sistematica attivazione e disattivazione diurna, notturna e festiva, nonché la sua regolare manutenzione.

Verifica dei sistemi di rilevazione e spegnimento incendi, lo stato di carica delle bombole di agente estinguente, la regolare manutenzione e la conoscenza da parte del personale addetto delle modalità d'uso.

1.2 Gestione della parola chiave e dei profili di accesso agli incaricati.

Verifica della conoscenza da parte degli incaricati della procedura per il cambio della parola chiave (password).

Verifica dell'aggiornamento dei profili di accesso ai dati.

Verifica che ogni profilo di autorizzazione venga controllato almeno annualmente. 1.3 Procedure atte a verificare I'integrità e I'aggiornamento dei dati personali.

Verifica procedure adottate per I'introduzione dei dati sia su supporto cartaceo sia in modalità elettronica, allo scopo di verificare I'integrità degli stessi.

Verifica che non vi siano disallineamenti tra dati conservati su archivi diversi (indipendentemente dal fatto che siano archivi manuali o automatizzati)

Verifica delle procedure di back up di dati automatizzati.

Verifica delle modalità e tempestività con cui eventuali richieste di modifica dati, avanzate dall'interessato vengono recepite.

1.4 Sicurezza delle trasmissioni di rete.

Verifica che le modalità di trasmissione dati adottate siano nel rispetto delle procedure di sicurezza.

1.5 Modalità di conservazione dei documenti, su supporti non automatizzati.

Verifica delle procedure di conservazione dei dati sensibili prestando attenzione alla modalità di custodia in contenitori con serratura, e verificando che le chiavi siano in custodia ai soli incaricati che dovranno astenersi dal farne duplicati e che dovranno custodire con opportuna diligenza.

I documenti cartacei contenenti dati sensibili e giudiziari devono essere distrutti, o resi illeggibili, con le apposite macchine distruggi documenti; i supporti magnetici devono essere cancellati; i supporti ottici devono essere distrutti.

Verifica che i supporti magnetici siano sottoposti a cancellazione qualora riutilizzati in altro ambito aziendale

1.6 Modalità di reimpiego dei supporti di memorizzazione.

Nessun supporto di dati personali può essere allontanato dal sito senza prima procedere alla eliminazione dei dati personali eventualmente presenti.

L’Amministratore di sistema Sig. Fabio Agrimi