ALLEGATO C Misure di sicurezzaIl presente allegato descrive le caratteristiche della piattaforma e le misure adottate per garantire l'integrità e la riservatezza dei dati scambiati e conservati, la sicurezza dell'accesso ai servizi, il tracciamento delle operazioni effettuate, in conformità agli articoli 64, comma 2 e 65, comma 1, lettera c), del decreto legislativo 7 marzo 2005, n. 82.
Per le predette finalità, l'ANPR è dotata di:
un sistema di Identity & Access Management per l'identificazione dell'utente e della postazione, la gestione dei profili autorizzativi, la verifica dei diritti di accesso, il tracciamento delle operazioni;
un sistema di tracciamento e di conservazione dei dati di accesso alle componenti applicative e di sistema;
sistemi di sicurezza per la protezione delle informazioni e dei servizi erogati dalla base dati;
un sistema di log analysis per l'analisi periodica dei file di log, in grado di individuare, sulla base di regole predefinite e formalizzate eventi potenzialmente anomali e di segnalarli al Ministero dell'interno tramite funzionalità di alert;
una Certification Authority;
sistemi e servizi di backup per il salvataggio dei dati e delle applicazioni;
sistemi e servizi di Disaster Recovery.
Il piano di continuità operativa di cui all'articolo 50-bis del decreto legislativo 7 marzo 2005, n. 82, espliciterà le procedure relative ai sistemi ed ai servizi di backup e di Disaster Recovery.
1. Infrastruttura fisica
L'infrastruttura di ANPR è installata nella sede della Società di cui all'articolo 1, comma 306, della legge 24 dicembre 2012, n. 228 (nel seguito “la Società”) ed è gestita dalla Società stessa.
I locali sono sottoposti a videosorveglianza continua e sono protetti da qualsiasi intervento di personale esterno, ad esclusione degli accessi necessari a garantire la continuità operativa del sistema.
Qualsiasi altra operazione manuale è consentita solo a personale autorizzato dal Ministero dell'interno.
La suddetta infrastruttura, oltre alle componenti di sicurezza, comprende i sistemi e le basi dati di cui al punto 4.1 dell'allegato al decreto del Presidente del Consiglio di Ministri 23 agosto 2013, n. 109.
2. Accesso alla base dati
L'accesso nell'ANPR avviene in condizioni di pieno isolamento operativo e di esclusività, in conformità ai principi di esattezza, disponibilità, accessibilità, integrità e riservatezza dei dati, dei sistemi e delle infrastrutture, di cui all'articolo 51 del decreto legislativo n. 82 del 2005.
I sistemi di sicurezza garantiscono che l'infrastruttura di produzione sia logicamente distinta dalle altre infrastrutture della Società e che l'accesso alla stessa avvenga in modo sicuro, controllato, e costantemente tracciato, esclusivamente da parte di personale autorizzato dal Ministero dell'interno, e con il tracciamento degli accessi e di qualsiasi attività eseguita.
L'ANPR invia e riceve le comunicazioni in modalità sicura, su rete di comunicazione SPC ovvero, tramite Internet, mediante protocollo SSL per garantire la riservatezza dei dati su reti pubbliche.
Le modalità di accesso da parte dei comuni, delle pubbliche amministrazioni e degli organismi che erogano pubblici servizi si applicano fino alla piena attuazione delle disposizioni di cui all'articolo 64 del decreto legislativo n. 82 del 2005.
2.1 Accesso dei comuni
L'accesso dei comuni all'ANPR avviene tramite sito web o mediante web service.
Accesso del comune tramite sito web dell'ANPR.
I requisiti di sicurezza prevedono il riconoscimento dell'operatore e della postazione, autorizzata dal comune, e dotata dei seguenti dispositivi:
certificato identificativo, riferito alla postazione, memorizzato al suo interno, emesso dalla Certification Authority;
smart-card dedicata e personale, e relativo lettore, con certificato client di autenticazione, intestato all'operatore, emesso dalla Certification Authority.
L'infrastruttura di Identity & Access Management garantisce l'autenticazione dell'utente e la verifica dei diritti di accesso dello stesso alle varie risorse, in base al relativo profilo autorizzativo.
L'operatore accede dalla postazione certificata autenticandosi tramite certificato client.
La postazione è identificata mediante la connessione del browser dell'utente a un indirizzo gestito da un apparato di sicurezza specializzato, che verifica la validità del certificato identificativo della postazione e, in caso di esito positivo, la validità del certificato client.
Il sistema di Identity & Access management autorizza l'utente in base al profilo assegnato ed effettua i controlli formali sui messaggi ricevuti.
Il sistema di tracciamento conserva le informazioni relative alla associazione utente - postazione - dati acceduti, inclusi i riferimenti temporali.
Tutte le informazioni relative al tracciamento dei dati sono accessibili solo dagli incaricati autorizzati su specifica richiesta da parte degli organi competenti.
Tutte le operazioni effettuate sono tracciate e conservate.
Accesso del comune mediante web service.
I requisiti di sicurezza prevedono:
il certificato identificativo, riferito alla postazione, memorizzato al suo interno, emesso dalla Certification Authority;
il riconoscimento dell'operatore tramite la userid e password utilizzata per accedere ai servizi dei sistemi informativi comunali, che garantiscono l'autenticazione dell'utente e la verifica dei diritti di accesso dello stesso alle varie funzionalità applicative;
il certificato identificativo, riferito al server ospitante l'applicazione che utilizza il web service, memorizzato al suo interno, emesso dalla Certification Authority.
L'operatore accede autenticandosi tramite la userid e la password utilizzata per accedere ai servizi dei sistemi informativi comunali.
Per garantire il riconoscimento dell'operatore e della postazione, autorizzata dal comune, nonché l'integrità dei dati, i messaggi inviati prevedono:
identificativo postazione firmato con il certificato di postazione;
identificativo utente;
firma dell'intero messaggio mediante il certificato che identifica il server comune secondo i meccanismi standard della ws security.
Alla ricezione del messaggio, ANPR verifica la firma del messaggio ed il sistema di Identity & Access management verifica la validità dell'identificativo della postazione, nonché l'esistenza dell'utente e la rispondenza dell'operazione richiesta in base al profilo assegnato; in caso di esito positivo, ANPR elabora il messaggio.
Il sistema di tracciamento conserva le informazioni relative all'associazione utente - postazione - dati acceduti, inclusi i riferimenti temporali.
Tutte le informazioni relative al tracciamento dei dati sono accessibili solo dagli incaricati autorizzati su specifica richiesta da parte degli organi competenti.
Tutte le operazioni effettuate sono tracciate e conservate.
Il comune garantisce l'adeguamento delle applicazioni alle regole di sicurezza descritte.
2.1.1 Registrazione degli utenti ed assegnazione degli strumenti di sicurezza
L'infrastruttura di Identity e Access Management censisce direttamente le utenze, accogliendo flussi di autenticazione e di autorizzazione, per l'assegnazione delle credenziali, secondo la seguente procedura:
a) il sindaco o suo delegato individua gli operatori comunali preposti all'accesso all'ANPR e ne comunica i nominativi al Ministero dell'interno, evidenziando gli operatori che saranno titolari di smart-card;
b) sulla base della comunicazione di cui al punto a), la società registra nel sistema di Identity e Access Management gli operatori comunali ed emette le smart-card richieste, e le trasmette alle Prefetture;
c) la società predispone i plichi che contengono i PIN/PUK e li trasmette ai comuni;
d) le Prefetture consegnano al sindaco le smart-card;
e) il sindaco individua l'Amministratore locale della sicurezza e, tramite la propria smart-card personale ed una specifica applicazione, registra le generalità della persona individuata, gli consegna la smart card e il plico con i PIN/PUK, associa alla persona il ruolo di Amministratore locale della sicurezza, in possesso delle autorizzazioni descritte di seguito;
f) il sindaco comunica al Ministero dell'interno il nominativo dell'Amministratore locale della sicurezza, assicurando l'avvenuta consegna dei dispositivi;
g) l'Amministratore locale della sicurezza accede con la propria smart-card ad un'apposita applicazione dedicata alla gestione degli operatori comunali, consegna le smart-card e le relative buste con i PIN/PUK a ciascuno dei soggetti indicati dal sindaco ai sensi della lettera a), assegna i profili per l'accesso alle applicazioni, revoca le autorizzazioni, blocca le smart-card, richiede nuove smart-card in caso di impossibilità di utilizzo di quella assegnata, registra nuovi operatori comunali, prenotando contestualmente la relativa smart-card che sarà successivamente recapitata dalla società, con modalità analoghe a quelle descritte al punto d);
h) il sindaco accede alla stessa applicazione, può effettuare tutte le operazioni previste per l'Amministratore locale della sicurezza nonché la revoca delle autorizzazioni.
Tutte le funzionalità di sicurezza descritte ai punti precedenti sono disponibili all'interno di un'apposita Web application, cui si accede con autenticazione forte e canale sicuro: la smart-card, pertanto, deve essere necessariamente richiesta per l'Amministratore locale della sicurezza, oltre che per gli operatori comunali che avranno accesso al sito Web di ANPR.
Tramite la suddetta applicazione sono distribuiti i certificati che saranno utilizzati per il riconoscimento delle postazioni.
La gestione e la conservazione della smart-card è di esclusiva responsabilità dell'operatore cui è assegnata, mentre la gestione e la conservazione del certificato che identifica la postazione, memorizzato internamente ad essa, è di responsabilità di un dipendente del Comune appositamente individuato quale responsabile del certificato stesso. La non esportabilità di questo certificato dalla postazione è garantita dalla presenza di un codice PIN, generato in fase di installazione sulla specifica postazione destinataria, la cui conservazione è di esclusiva responsabilità del suddetto dipendente.
Per la gestione dei processi autorizzativi, sono previsti i seguenti ruoli amministrativi, suddivisi tra gli attori del sistema:
a) Amministratore di Infrastruttura;
b) Amministratore Applicativo;
c) Amministratore Centrale della Sicurezza;
d) Amministratori locali;
e) Amministratore di primo livello (Sindaco o suo delegato);
f) Amministratore di secondo livello (Amministratore locale della sicurezza);
g) Amministratore della postazione (responsabile dei certificati di postazione).
I primi due ruoli sono attribuiti a personale della Società dalla stessa individuato e comunicato al Ministero dell'interno.
Il terzo ruolo è attribuito al personale del Ministero dell'interno.
2.2 Accesso delle pubbliche amministrazioni e degli organismi che erogano pubblici servizi
L'accesso delle pubbliche amministrazioni e degli organismi che erogano pubblici servizi all'ANPR avviene tramite sito web o mediante web service.
Per l'accesso tramite sito web, i requisiti di sicurezza prevedono il riconoscimento dell'operatore e della postazione, autorizzata dalla pubblica amministrazione o dall'ente, sulla base del Sistema di Identità Federata, (che contempla anche l'identificativo dell'operatore e l'indirizzo IP della postazione), che consente il controllo degli accessi ai soli servizi di consultazione ed estrazione.
Nel modello di sicurezza dell'Identità Federata, nell'ambito dell'Access & Facility Management, alle pubbliche amministrazioni e agli enti che erogano pubblici servizi sono demandate le funzioni di autenticazione e di autorizzazione, all'interno di profili prestabiliti, assumendo rispettivamente i ruoli di Identity Provider e Attribute Authority, in conformità al modello GFID dell'Agenzia per l'Italia Digitale e mediante l'adozione di soluzioni tecnologiche che garantiscano il tracciamento sia dell'Identity Provider sia dell'operatore.
Le operazioni effettuate presso la postazione sono registrate nel sistema di Identity e Access Management, che registra le informazioni di autenticazione e gli attributi e li utilizza per verificare i diritti di accesso all'informazione e per alimentare il sistema di tracciamento.
Per l'accesso tramite web service, si utilizzano i meccanismi propri del pattern di sicurezza che consente, ove richiesto, di trasferire, ai fini del tracciamento, oltre all'identificativo dell'ente anche l'identificativo dell'utente finale e l'indirizzo IP della sua postazione. Il server applicativo viene identificato tramite apposito certificato.
3. Sistema di monitoraggio dei servizi
Il Ministero dell'interno, attraverso l'infrastruttura di cui al paragrafo 1, eroga i servizi di cui all'allegato D e assolve le funzionalità di sicurezza descritte nel presente allegato, nel rispetto delle specifiche tecniche elaborate dalla Società e approvate dal Ministero.
Per il monitoraggio dei servizi, il Ministero dell'interno si avvale di uno specifico sistema, ubicato nel Centro Nazionale per i Servizi Demografici del Ministero dell'interno (CNSD), presso il quale sono installate apposite consolle di controllo, utilizzate esclusivamente da personale autorizzato dal Ministero dell'interno per l'accesso in sola visualizzazione.
La visualizzazione completa dello stato del servizio e dell'infrastruttura tecnologica che lo supporta avviene mediante:
a) vista c.d. “ad albero” dei servizi che rendono disponibili le seguenti informazioni:
lista dei servizi erogati (nome, descrizione, codifica, etc.);
infrastruttura tecnologica che ospita i servizi erogati con il dettaglio dei servizi tecnici che li compongono;
allarmi associati alle risorse infrastrutturali dei servizi tecnici che hanno impatto sui servizi erogati;
eventuali ticket di incidenti aperti dalla Società di cui all'articolo 1, comma 306, della legge 24 dicembre 2012, n. 228, per la gestione e la risoluzione degli allarmi.
b) vista di alto livello con rappresentazione, sia real time sia giornaliera, dell'andamento dello stato dei servizi erogati e dei relativi indicatori di disponibilità (eventi di infrastruttura, eventi da sonde end-to-end, ticket di incidenti);
c) rappresentazione dell'andamento della produzione dei servizi, in funzione dei livelli di autorizzazione definiti dal Ministero dell'interno, anche in termini di analisi delle interazioni del sistema con i soggetti che accedono (comuni, pubbliche amministrazioni, ed altri enti) e degli scostamenti dal trend, compresi report sintetici sullo stato di sicurezza del sistema.
4. Protezione da attacchi informatici
Al fine di protezione dei sistemi operativi da attacchi informatici, eliminando le vulnerabilità, si utilizzano:
a) in fase di configurazione, procedure di hardening finalizzate a limitare l'operatività alle sole funzionalità necessarie per il corretto funzionamento dei servizi;
b) in fase di messa in esercizio, oltre che ad intervalli prefissati o in presenza di eventi significativi, processi di vulnerability assessment and mitigation nei software utilizzati e nelle applicazioni dei sistemi operativi;
c) piattaforma di sistemi firewall e sonde anti-intrusione.