Allegato A
«Principali garanzie e misure di sicurezza»
1. Introduzione
Il presente allegato descrive le principali garanzie e misure di
sicurezza dell'ANIS, in conformita' all'art. 62-quinquies, comma 5,
del CAD.
Per le predette finalita', l'ANIS e' dotata di:
un sistema di Identity & Access Management per
l'identificazione dell'utente e della postazione, la gestione dei
profili autorizzativi, la verifica dei diritti di accesso, il
tracciamento delle operazioni;
un sistema di tracciamento e di conservazione dei dati di
accesso alle componenti applicative e di sistema;
sistemi di sicurezza per la protezione delle informazioni e dei
servizi erogati dalla base dati;
un sistema di log analysis per l'analisi periodica dei file di
log, in grado di individuare, sulla base di regole predefinite e
formalizzate eventi potenzialmente anomali e di segnalarli al
Ministero tramite funzionalita' di alert;
una Certification Authority;
sistemi e servizi di backup per il salvataggio dei dati e delle
applicazioni;
sistemi e servizi di Disaster Recovery.
Il piano di continuita' operativa esplicitera' le procedure
relative ai sistemi ed ai servizi di backup e di Disaster Recovery.
2. Infrastruttura fisica
L'infrastruttura di ANIS e' installata nei locali individuati dal
Ministero aventi specifici requisiti di sicurezza che garantiscano la
continuita' di servizio tramite soluzioni di alta affidabilita' (HA)
e un rigido controllo dell'accesso anche fisico in ambienti ad
accesso limitato e sottoposti a videosorveglianza continua.
Qualsiasi altra operazione manuale e' consentita solo a personale
autorizzato dal Ministero.
3. Protezione da attacchi informatici
Al fine di protezione dei sistemi operativi da attacchi
informatici, eliminando le vulnerabilita', si utilizzano:
a) in fase di configurazione, procedure di hardening
finalizzate a limitare l'operativita' alle sole funzionalita'
necessarie per il corretto funzionamento dei servizi;
b) in fase di messa in esercizio, oltre che ad intervalli
prefissati o in presenza di eventi significativi, processi di
vulnerability assessment and mitigation nei software utilizzati e
nelle applicazioni dei sistemi operativi;
c) piattaforma di sistemi firewall e sonde anti-intrusione;
d) ogni altra soluzione tecnologica aggiuntiva che sia utile
all'innalzamento del livello di sicurezza e protezione del sistema.
4. Accesso
L'accesso all'ANIS avviene in condizioni di pieno isolamento
operativo e di esclusivita', in conformita' ai principi di esattezza,
disponibilita', accessibilita', integrita' e riservatezza dei dati,
dei sistemi e delle infrastrutture di cui all'art. 51 del CAD.
I sistemi di sicurezza garantiscono che l'infrastruttura di
produzione sia logicamente distinta da altre infrastrutture, anche di
competenza di soggetti terzi di cui il Ministero si avvalga ai sensi
dell'art. 8, comma 2, e che l'accesso alla stessa avvenga in modo
sicuro, controllato, e costantemente tracciato, esclusivamente da
parte di personale autorizzato dal Ministero, e con il tracciamento
degli accessi e di qualsiasi attivita' eseguita.
L'ANIS invia e riceve le comunicazioni in modalita' sicura, su
rete di comunicazione SPC ovvero, tramite internet, mediante
protocollo Transport Layer Security (TLS) per garantire la
riservatezza dei dati su reti pubbliche.
4.1. Accesso degli aventi diritto ai sensi dell'art. 7
L'accesso degli aventi diritto ai sensi dell'articolo avviene
esclusivamente mediante uno degli strumenti di autenticazione
indicati nell'art. 7.
4.2. Accesso delle istituzioni della formazione superiore, delle
pubbliche amministrazioni e degli organismi che erogano pubblici
servizi per alimentazione e consultazione
Fermo restando quanto previsto dall'art. 10, l'accesso delle
istituzioni della formazione superiore, delle pubbliche
amministrazioni e degli organismi che erogano pubblici servizi,
rivolto all'alimentazione dell'ANIS, avverra' nell'osservanza dei
rispettivi compiti istituzionali e della normativa in materia di
protezione dei dati personali nonche' delle regole tecniche del
sistema pubblico di connettivita'. Il conseguente allineamento
dell'ANIS con le altre banche di dati di interesse nazionale,
regionale, provinciale e locale avverra' in conformita' alle linee
guida adottate dall'AgID in materia di interoperabilita'. L'accesso
dei medesimi soggetti di cui al periodo precedente rivolto alla
consultazione dell'ANIS avverra' nel rispetto di quanto previsto
all'art. 50-ter del CAD e, in particolare, nei limiti di garanzia e
di sicurezza previsti al comma 2 del citato articolo.