Allegato C
Misure di sicurezza
Il presente allegato descrive le caratteristiche della
piattaforma e le misure adottate per garantire l'integrita' e la
riservatezza dei dati scambiati e conservati, la sicurezza
dell'accesso ai servizi, il tracciamento delle operazioni effettuate,
in conformita' agli articoli 64, comma 2 e 65, comma 1, lettera c),
del decreto legislativo 7 marzo 2005, n. 82.
Per le predette finalita', l'ANPR e' dotata di:
un sistema di Identity & Access Management per
l'identificazione dell'utente e della postazione, la gestione dei
profili autorizzativi, la verifica dei diritti di accesso, il
tracciamento delle operazioni;
un sistema di tracciamento e di conservazione dei dati di
accesso alle componenti applicative e di sistema;
sistemi di sicurezza per la protezione delle informazioni e dei
servizi erogati dalla base dati;
un sistema di log analysis per l'analisi periodica dei file di
log, in grado di individuare, sulla base di regole predefinite e
formalizzate eventi potenzialmente anomali e di segnalarli al
Ministero dell'interno tramite funzionalita' di alert;
una Certification Authority;
sistemi e servizi di backup per il salvataggio dei dati e delle
applicazioni;
sistemi e servizi di Disaster Recovery.
Il piano di continuita' operativa di cui all'articolo 50-bis del
decreto legislativo 7 marzo 2005, n. 82, esplicitera' le procedure
relative ai sistemi ed ai servizi di backup e di Disaster Recovery.
1. Infrastruttura fisica
L'infrastruttura di ANPR e' installata nella sede della Societa'
di cui all'articolo 1, comma 306, della legge 24 dicembre 2012, n.
228 (nel seguito "la Societa'") ed e' gestita dalla Societa' stessa.
I locali sono sottoposti a videosorveglianza continua e sono
protetti da qualsiasi intervento di personale esterno, ad esclusione
degli accessi necessari a garantire la continuita' operativa del
sistema.
Qualsiasi altra operazione manuale e' consentita solo a personale
autorizzato dal Ministero dell'interno.
La suddetta infrastruttura, oltre alle componenti di sicurezza,
comprende i sistemi e le basi dati di cui al punto 4.1 dell'allegato
al decreto del Presidente del Consiglio di Ministri 23 agosto 2013,
n. 109.
2. Accesso alla base dati
L'accesso nell'ANPR avviene in condizioni di pieno isolamento
operativo e di esclusivita', in conformita' ai principi di esattezza,
disponibilita', accessibilita', integrita' e riservatezza dei dati,
dei sistemi e delle infrastrutture, di cui all'articolo 51 del
decreto legislativo n. 82 del 2005.
I sistemi di sicurezza garantiscono che l'infrastruttura di
produzione sia logicamente distinta dalle altre infrastrutture della
Societa' e che l'accesso alla stessa avvenga in modo sicuro,
controllato, e costantemente tracciato, esclusivamente da parte di
personale autorizzato dal Ministero dell'interno, e con il
tracciamento degli accessi e di qualsiasi attivita' eseguita.
L'ANPR invia e riceve le comunicazioni in modalita' sicura, su
rete di comunicazione SPC ovvero, tramite Internet, mediante
protocollo SSL per garantire la riservatezza dei dati su reti
pubbliche.
Le modalita' di accesso da parte dei comuni, delle pubbliche
amministrazioni e degli organismi che erogano pubblici servizi si
applicano fino alla piena attuazione delle disposizioni di cui
all'articolo 64 del decreto legislativo n. 82 del 2005.
2.1 Accesso dei comuni
L'accesso dei comuni all'ANPR avviene tramite sito web o mediante
web service.
Accesso del comune tramite sito web dell'ANPR.
I requisiti di sicurezza prevedono il riconoscimento
dell'operatore e della postazione, autorizzata dal comune, e dotata
dei seguenti dispositivi:
certificato identificativo, riferito alla postazione,
memorizzato al suo interno, emesso dalla Certification Authority;
smart-card dedicata e personale, e relativo lettore, con
certificato client di autenticazione, intestato all'operatore, emesso
dalla Certification Authority.
L'infrastruttura di Identity & Access Management garantisce
l'autenticazione dell'utente e la verifica dei diritti di accesso
dello stesso alle varie risorse, in base al relativo profilo
autorizzativo.
L'operatore accede dalla postazione certificata autenticandosi
tramite certificato client.
La postazione e' identificata mediante la connessione del browser
dell'utente a un indirizzo gestito da un apparato di sicurezza
specializzato, che verifica la validita' del certificato
identificativo della postazione e, in caso di esito positivo, la
validita' del certificato client.
Il sistema di Identity & Access management autorizza l'utente in
base al profilo assegnato ed effettua i controlli formali sui
messaggi ricevuti.
Il sistema di tracciamento conserva le informazioni relative alla
associazione utente - postazione - dati acceduti, inclusi i
riferimenti temporali.
Tutte le informazioni relative al tracciamento dei dati sono
accessibili solo dagli incaricati autorizzati su specifica richiesta
da parte degli organi competenti.
Tutte le operazioni effettuate sono tracciate e conservate.
Accesso del comune mediante web service.
I requisiti di sicurezza prevedono:
il certificato identificativo, riferito alla postazione,
memorizzato al suo interno, emesso dalla Certification Authority;
il riconoscimento dell'operatore tramite la userid e password
utilizzata per accedere ai servizi dei sistemi informativi comunali,
che garantiscono l'autenticazione dell'utente e la verifica dei
diritti di accesso dello stesso alle varie funzionalita' applicative;
il certificato identificativo, riferito al server ospitante
l'applicazione che utilizza il web service, memorizzato al suo
interno, emesso dalla Certification Authority.
L'operatore accede autenticandosi tramite la userid e la password
utilizzata per accedere ai servizi dei sistemi informativi comunali.
Per garantire il riconoscimento dell'operatore e della
postazione, autorizzata dal comune, nonche' l'integrita' dei dati, i
messaggi inviati prevedono:
identificativo postazione firmato con il certificato di
postazione;
identificativo utente;
firma dell'intero messaggio mediante il certificato che
identifica il server comune secondo i meccanismi standard della ws
security.
Alla ricezione del messaggio, ANPR verifica la firma del
messaggio ed il sistema di Identity & Access management verifica la
validita' dell'identificativo della postazione, nonche' l'esistenza
dell'utente e la rispondenza dell'operazione richiesta in base al
profilo assegnato; in caso di esito positivo, ANPR elabora il
messaggio.
Il sistema di tracciamento conserva le informazioni relative
all'associazione utente - postazione - dati acceduti, inclusi i
riferimenti temporali.
Tutte le informazioni relative al tracciamento dei dati sono
accessibili solo dagli incaricati autorizzati su specifica richiesta
da parte degli organi competenti.
Tutte le operazioni effettuate sono tracciate e conservate.
Il comune garantisce l'adeguamento delle applicazioni alle regole
di sicurezza descritte.
2.1.1 Registrazione degli utenti ed assegnazione degli strumenti di
sicurezza
L'infrastruttura di Identity e Access Management censisce
direttamente le utenze, accogliendo flussi di autenticazione e di
autorizzazione, per l'assegnazione delle credenziali, secondo la
seguente procedura:
a) il sindaco o suo delegato individua gli operatori comunali
preposti all'accesso all'ANPR e ne comunica i nominativi al Ministero
dell'interno, evidenziando gli operatori che saranno titolari di
smart-card;
b) sulla base della comunicazione di cui al punto a), la
societa' registra nel sistema di Identity e Access Management gli
operatori comunali ed emette le smart-card richieste, e le trasmette
alle Prefetture;
c) la societa' predispone i plichi che contengono i PIN/PUK e
li trasmette ai comuni;
d) le Prefetture consegnano al sindaco le smart-card;
e) il sindaco individua l'Amministratore locale della sicurezza
e, tramite la propria smart-card personale ed una specifica
applicazione, registra le generalita' della persona individuata, gli
consegna la smart card e il plico con i PIN/PUK, associa alla persona
il ruolo di Amministratore locale della sicurezza, in possesso delle
autorizzazioni descritte di seguito;
f) il sindaco comunica al Ministero dell'interno il nominativo
dell'Amministratore locale della sicurezza, assicurando l'avvenuta
consegna dei dispositivi;
g) l'Amministratore locale della sicurezza accede con la
propria smart-card ad un'apposita applicazione dedicata alla gestione
degli operatori comunali, consegna le smart-card e le relative buste
con i PIN/PUK a ciascuno dei soggetti indicati dal sindaco ai sensi
della lettera a), assegna i profili per l'accesso alle applicazioni,
revoca le autorizzazioni, blocca le smart-card, richiede nuove
smart-card in caso di impossibilita' di utilizzo di quella assegnata,
registra nuovi operatori comunali, prenotando contestualmente la
relativa smart-card che sara' successivamente recapitata dalla
societa', con modalita' analoghe a quelle descritte al punto d);
h) il sindaco accede alla stessa applicazione, puo' effettuare
tutte le operazioni previste per l'Amministratore locale della
sicurezza nonche' la revoca delle autorizzazioni.
Tutte le funzionalita' di sicurezza descritte ai punti precedenti
sono disponibili all'interno di un'apposita Web application, cui si
accede con autenticazione forte e canale sicuro: la smart-card,
pertanto, deve essere necessariamente richiesta per l'Amministratore
locale della sicurezza, oltre che per gli operatori comunali che
avranno accesso al sito Web di ANPR.
Tramite la suddetta applicazione sono distribuiti i certificati
che saranno utilizzati per il riconoscimento delle postazioni.
La gestione e la conservazione della smart-card e' di esclusiva
responsabilita' dell'operatore cui e' assegnata, mentre la gestione e
la conservazione del certificato che identifica la postazione,
memorizzato internamente ad essa, e' di responsabilita' di un
dipendente del Comune appositamente individuato quale responsabile
del certificato stesso. La non esportabilita' di questo certificato
dalla postazione e' garantita dalla presenza di un codice PIN,
generato in fase di installazione sulla specifica postazione
destinataria, la cui conservazione e' di esclusiva responsabilita'
del suddetto dipendente.
Per la gestione dei processi autorizzativi, sono previsti i
seguenti ruoli amministrativi, suddivisi tra gli attori del sistema:
a) Amministratore di Infrastruttura;
b) Amministratore Applicativo;
c) Amministratore Centrale della Sicurezza;
d) Amministratori locali;
e) Amministratore di primo livello (Sindaco o suo delegato);
f) Amministratore di secondo livello (Amministratore locale
della sicurezza);
g) Amministratore della postazione (responsabile dei
certificati di postazione).
I primi due ruoli sono attribuiti a personale della Societa'
dalla stessa individuato e comunicato al Ministero dell'interno.
Il terzo ruolo e' attribuito al personale del Ministero
dell'interno.
2.2 Accesso delle pubbliche amministrazioni e degli organismi che
erogano pubblici servizi
L'accesso delle pubbliche amministrazioni e degli organismi che
erogano pubblici servizi all'ANPR avviene tramite sito web o mediante
web service.
Per l'accesso tramite sito web, i requisiti di sicurezza
prevedono il riconoscimento dell'operatore e della postazione,
autorizzata dalla pubblica amministrazione o dall'ente, sulla base
del Sistema di Identita' Federata, (che contempla anche
l'identificativo dell'operatore e l'indirizzo IP della postazione),
che consente il controllo degli accessi ai soli servizi di
consultazione ed estrazione.
Nel modello di sicurezza dell'Identita' Federata, nell'ambito
dell'Access & Facility Management, alle pubbliche amministrazioni e
agli enti che erogano pubblici servizi sono demandate le funzioni di
autenticazione e di autorizzazione, all'interno di profili
prestabiliti, assumendo rispettivamente i ruoli di Identity Provider
e Attribute Authority, in conformita' al modello GFID dell'Agenzia
per l'Italia Digitale e mediante l'adozione di soluzioni tecnologiche
che garantiscano il tracciamento sia dell'Identity Provider sia
dell'operatore.
Le operazioni effettuate presso la postazione sono registrate nel
sistema di Identity e Access Management, che registra le informazioni
di autenticazione e gli attributi e li utilizza per verificare i
diritti di accesso all'informazione e per alimentare il sistema di
tracciamento.
Per l'accesso tramite web service, si utilizzano i meccanismi
propri del pattern di sicurezza che consente, ove richiesto, di
trasferire, ai fini del tracciamento, oltre all'identificativo
dell'ente anche l'identificativo dell'utente finale e l'indirizzo IP
della sua postazione. Il server applicativo viene identificato
tramite apposito certificato.
3. Sistema di monitoraggio dei servizi
Il Ministero dell'interno, attraverso l'infrastruttura di cui al
paragrafo 1, eroga i servizi di cui all'allegato D e assolve le
funzionalita' di sicurezza descritte nel presente allegato, nel
rispetto delle specifiche tecniche elaborate dalla Societa' e
approvate dal Ministero.
Per il monitoraggio dei servizi, il Ministero dell'interno si
avvale di uno specifico sistema, ubicato nel Centro Nazionale per i
Servizi Demografici del Ministero dell'interno (CNSD), presso il
quale sono installate apposite consolle di controllo, utilizzate
esclusivamente da personale autorizzato dal Ministero dell'interno
per l'accesso in sola visualizzazione.
La visualizzazione completa dello stato del servizio e
dell'infrastruttura tecnologica che lo supporta avviene mediante:
a) vista c.d. "ad albero" dei servizi che rendono disponibili
le seguenti informazioni:
lista dei servizi erogati (nome, descrizione, codifica,
etc.);
infrastruttura tecnologica che ospita i servizi erogati con
il dettaglio dei servizi tecnici che li compongono;
allarmi associati alle risorse infrastrutturali dei servizi
tecnici che hanno impatto sui servizi erogati;
eventuali ticket di incidenti aperti dalla Societa' di cui
all'articolo 1, comma 306, della legge 24 dicembre 2012, n. 228, per
la gestione e la risoluzione degli allarmi.
b) vista di alto livello con rappresentazione, sia real time
sia giornaliera, dell'andamento dello stato dei servizi erogati e dei
relativi indicatori di disponibilita' (eventi di infrastruttura,
eventi da sonde end-to-end, ticket di incidenti);
c) rappresentazione dell'andamento della produzione dei
servizi, in funzione dei livelli di autorizzazione definiti dal
Ministero dell'interno, anche in termini di analisi delle interazioni
del sistema con i soggetti che accedono (comuni, pubbliche
amministrazioni, ed altri enti) e degli scostamenti dal trend,
compresi report sintetici sullo stato di sicurezza del sistema.
4. Protezione da attacchi informatici
Al fine di protezione dei sistemi operativi da attacchi
informatici, eliminando le vulnerabilita', si utilizzano:
a) in fase di configurazione, procedure di hardening
finalizzate a limitare l'operativita' alle sole funzionalita'
necessarie per il corretto funzionamento dei servizi;
b) in fase di messa in esercizio, oltre che ad intervalli
prefissati o in presenza di eventi significativi, processi di
vulnerability assessment and mitigation nei software utilizzati e
nelle applicazioni dei sistemi operativi;
c) piattaforma di sistemi firewall e sonde anti-intrusione.