REGOLAMENTO PER LA SICUREZZA DEI SERVIZI ICT DELL’UNIVERSITA’ DEGLI STUDI DI BARI ALDO MORO Centro Servizi Informatici Università degli Studi di Bari Aldo Moro
REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO Disciplina il livello di sicurezza dei servizi ICT dell’Università di Bari attraverso l’assunzione di regole per la corretta fruizione dei servizi stessi. Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro
REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO Finalità e Ambito di Applicazione Il regolamento è conforme al Regolamento Generale della Protezione Dati e recepisce le raccomandazioni della circolare AGID n.2/2017 del 18.04.2017. Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro
ORGANISMI PREPOSTI ALLA SICUREZZA INFORMATICA REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO ORGANISMI PREPOSTI ALLA SICUREZZA INFORMATICA Il Responsabile della Sicurezza Informatica: Definisce le direttive di sicurezza da adottarsi nell’Ateneo Il Gruppo di sicurezza ICT: rende operative le direttive di sicurezza assunte dal Responsabile della sicurezza Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro
Referenti di Struttura per la Sicurezza REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO Referenti di Struttura per la Sicurezza Ogni Struttura individua uno o più referenti che abbiano il compito di gestire localmente i sistemi e la rete, nel rispetto del regolamento, per Struttura di afferenza: Conoscano la topologia della LAN di Struttura Eseguano periodiche scansioni sui sistemi Segnalino irregolarità al Responsabile della Sicurezza Informatica Eseguano le attività previste dal regolamento ai fini della sicurezza Gestiscano le attivazioni di nuovi utenti dei sistemi e servizi secondo le procedure interne Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro
Sicurezza FISICA dei sistemi - REGOLE REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO Sicurezza FISICA dei sistemi - REGOLE I locali che ospitano i sistemi devono essere: Dedicati ai server e presidiati Dotati di sistema di controllo degli accessi Equipaggiati con dispositivi di stabilizzazione e continuità di tensione Climatizzati Dotati di sistema di estinzione degli incendi Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro
Sicurezza LOGICA dei sistemi e dei servizi – REGOLE #1 REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO Sicurezza LOGICA dei sistemi e dei servizi – REGOLE #1 L’accesso alla rete telematica d’ateneo e dei servizi relativi è reso disponibile a tutti gli utenti Tutti gli utenti devono essere riconosciuti ed identificabili non è consentito installare programmi non autorizzati e certificati; eventuali applicazioni ritenute pericolose vanno rimosse Sono vietate estensioni della rete di ateneo, via VPN o altro L’accesso dall’esterno a postazioni personali è consentito solo in casi particolari e previa autorizzazione del CSI Le operazioni di amministrazione remota di server devono essere eseguite dietro indicazioni del responsabile della sicurezza L’implementazione di reti wireless è consentita dietro autorizzazione del CSI Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro
Sicurezza LOGICA dei sistemi e dei servizi – REGOLE #2 REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO Sicurezza LOGICA dei sistemi e dei servizi – REGOLE #2 Ogni postazione client collegata alla rete deve essere dotata di protezione antivirus di Ateneo, mantenuta aggiornata È obbligatorio eliminare servizi di rete non autorizzati Il collegamento di un server alla rete deve essere comunicato al CSI prevedendo un amministratore di sistema e un responsabile tecnico per la sua sicurezza Le aule informatiche e i laboratori devono essere strutturati in accordo con il parere tecnico del CSI Ogni host di rete che eroghi servizi deve avere un responsabile che si preoccupi del piano di gestione dei rischi e che garantisca la protezione fisica della macchina da accessi incontrollati Il CSI può effettuare attività di logging e auditing sugli apparati di rete, secondo la normativa di legge Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro
Amministratori dei sistemi e delle applicazioni REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO Amministratori dei sistemi e delle applicazioni L’amministratore di sistema provvede alla gestione e manutenzione dei sistemi di elaborazione o delle loro componenti Assegna a ciascun utente una userid personale per l’accesso ai sistemi Disattiva prontamente le userid non utilizzate o di utenti che perdono i permessi di accesso Definisce opportunamente le password di aministrazione Installa e tiene aggiornati i sistemi di protezione antivirus d’Ateneo sulle macchine gestite Supervisiona gli accessi ai sistemi da parte di personale esterno o accessi esterni Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro
Monitoraggio e Logging REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO Monitoraggio e Logging I sistemi devono disporre di procedure per il logging e il monitoraggio I log di sistema devono essere analizzati regolarmente per rilevare eventi importanti per la sicurezza del sistema E’ necessario prevedere l’uso di sistemi per il controllo e la selezione del traffico di rete (firewalling, trafic filtering, ..), previo accordo con il esponsabile della sicurezza La comunicazione fra il client e il server, nei soli casi consentiti di amministrazione da remoto, dovrà avvenire in maniera cifrata Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro
Continuità del servizio e Disaster Recovery REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO Continuità del servizio e Disaster Recovery In caso di interruzioni di servizi causate da guasti hw o sw, l’amministratore del sistema dovrà adoperarsi per ripristinare nel più breve tempo possibile i servizi E’ necessario dotarsi di parti di ricambio o sistemi alternativi per far fronte alle emergenze nei tempi stabiliti E’ possibile stipulare contratti di manutenzione specificando i tempi massimi di intervento Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro
Sviluppatori di Applicazioni - REGOLE REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO Sviluppatori di Applicazioni - REGOLE Qualunque applicazione o programma installato sui sistemi dovrà: prevedere una password di amministrazione diversa da quella di applicazione Evitare password embedded, cioè inserite nel corpo del programma Fare in modo che l’utente sia sempre identificabile Non memorizzare le password in chiaro Prevedere la possibilità di modifica alla password Prevedere le attività di sviluppo, testing e staging su sistemi diversi da quello di produzione ma ad esso allineati Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro
REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO Utenti finali - REGOLE Gli utenti sono tenuti a: Utilizzare i permessi di accesso solo per le finalità previste Non cedere le proprie credenziali di accesso a terzi Non lasciare in vista note o appunti che riportino le credenziali di accesso Effettuare il logout dalle applicazione e/o dal sistema oppure bloccare la workstation o attivare lo screen saver con password in caso di allontanamento dalla stazione di lavoro Scegliere password che rispondano ai criteri di sicurezza standard Sostituire periodicamente le password non riutilizzando quelle già adottate in passato Regolamento per la sicurezza dei servizi ICT Università degli Studi di Bari Aldo Moro