REGOLAMENTO PER L UTILIZZO DELLE RISORSE INFORMATICHE

Transcript

1 Pag. 1 di 17 REGOLAMENTO PER L UTILIZZO DELLE

2 Pag. 2 di 17 Sommario Glossario Obiettivi del regolamento e le fonti giuridiche DESTINATARI RESPONSABILITA Rispetto delle Procedure di Sicurezza Responsabilità degli Utenti Individuali Uso per fini lavorativi Protezione contro furti e danneggiamenti Utilizzo strumenti informatici Credenziali di accesso Corretto uso del Personal Computer Antivirus Internet Posta elettronica ( ) Policy Controlli e monitoraggio delle risorse Sanzioni in caso di violazione Revisioni e aggiornamenti... 17

3 Pag. 3 di 17 1 GLOSSARIO Attachment Back up Chat line Chiave USB Client Cracking Desktop Download Drive Allegato di posta elettronica Salvataggio dei dati Aree dedicate alla comunicazione in tempo reale tra persone presenti sulla rete internet Dispositivo di memorizzazione esterno su porta USB, generalmente utilizzato per il backup dei dati personali Computer collegato alla rete informatica Attività di intrusione in reti informatiche finalizzate a causare problemi alle reti medesime ed ai computer ad essa connessi E un termine di origine inglese che in italiano significa "scrivania", pc da scrivania, si intende tutto ciò che è disponibile sul video inizialmente. Scaricare files Apparecchiatura che serve alla lettura e scrittura dei dati su floppy disk Posta elettronica Freeware/shareware Software non soggetto a copyright Guest book LAN Logon / Logoff Nickname Password Patch/fix PdL Peer-to-peer Area dei siti web riservata alla memorizzazione delle informazioni dei visitatori Local Area Network ovvero rete locale che, generalmente, collega tra loro un insieme di p.c e/o altre periferiche (stampanti, ecc.) situati in un edificio o in porzioni di esso Attività di apertura/chiusura di una sessione di lavoro Pseudonimo Parola d ordine segreta Riparazione di una parte di programma informatico che mostra instabilità o problemi connessi con la sicurezza Postazione di Lavoro Collegamento punto-punto tra personal computer Posta certificata Posta Elettronica Certificata (detta anche posta certificata o PEC) è un sistema di comunicazione simile alla posta elettronica standard a cui si aggiungono delle caratteristiche di sicurezza e di certificazione della

4 Pag. 4 di 17 Recovery password Remote banking Screen saver Smart card /badge Sniffing Spamming Trojan horse USB trasmissione tali da rendere i messaggi opponibili a terzi. Attività di ricostruzione delle password Operazioni di commercio elettronico via internet Protezione dello schermo del computer che si attiva automaticamente a tempo Carte elettroniche contenenti credenziali di autenticazione Attività di analisi del traffico di rete Invio massiccio di messaggi di posta elettronica a carattere commerciale e pubblicitario, senza alcuna preventiva richiesta da parte del destinatario Trojan o trojan horse (dall inglese cavallo di troia), è un tipo di malware Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto. Lo scopo è spesso quello di permettere un accesso dall esterno, ovviamente non autorizzato, al sistema su cui viene eseguito Universal Serial Bus (USB) è uno standard di comunicazione seriale che consente di collegare diverse periferiche (mouse, tastiere, scanner, hard disk esterni, macchine fotografiche digitali, stampanti, etc ) ad un computer. UserId Virus Worm Detto anche username o codice alfanumerico identificativo dell utente in una rete informatica; essa associata alla password permette l autenticazione in rete Codice informatico maligno in grado di replicarsi autonomamente attraverso programmi e messaggi di posta elettronica. Può danneggiare hardware, software e dati Codice informatico maligno in grado di replicarsi autonomamente. Non si attacca a programmi e non necessariamente provoca danni diretti ma può limitare la banda e le risorse a disposizione

5 Pag. 5 di 17 2 OBIETTIVI DEL REGOLAMENTO E LE FONTI GIURIDICHE Il presente regolamento disciplina le condizioni per il corretto utilizzo degli strumenti informatici, l uso della posta elettronica e la navigazione in internet. Come disposto dalle linee guida del Garante della Privacy (G.U. n. 58 del 10 marzo 2007) compete ai datori di lavori pubblici e privati assicurare la funzionalità e il corretto impiego di tali mezzi da parte dei lavoratori, definendone le modalità d uso nell organizzazione dell attività lavorativa, tenendo conto della disciplina in tema dei diritti del lavoratori e relazioni sindacali. Il regolamento fornisce, pertanto, i paramenti per disciplinare compiutamente, ai sensi del codice dell Amministrazione Digitale (approvato con D. Lgs. 82/2005, aggiornato delle modifiche previste dal recente Decreto sulle Semplificazioni, convertito in legge n. 35 del 4 aprile 2012), nonché a tutelare la sicurezza dei Sistemi Informativi dell Amministrazione (art. 15, 31 ss, 167 e 169 del Codice della Privacy). Garantire la sicurezza dei Sistemi Informativi significa: Assicurare la disponibilità delle risorse informative e dei dati. Assicurare l integrità dei sistemi e dei dati. Assicurare la riservatezza delle informazioni. Dal 1 gennaio 2004 è in vigore, in Italia, il Codice in materia di protezione dei dati personali (Decreto Legislativo n.196 del 30/6/2003) che riforma la disciplina in materia di privacy. Il Codice richiede l adozione di diverse misure di sicurezza per garantire che i dati trattati siano custoditi e controllati secondo alcune misure minime di sicurezza. Chiunque tratta dati personali è tenuto ad operare nel rispetto di precise regole che riguardano la sicurezza dei dati e dei sistemi al fine di ridurre al minimo le fonti di rischio e garantire correttezza, integrità ed aggiornamento delle informazioni. Ciò premesso, per garantire la sicurezza dei dati e dei sistemi non è sufficiente mettere in sicurezza i Sistemi Informatici, ma è prioritario organizzare e disciplinare l utilizzo degli strumenti informatici. Infatti, un utilizzo indisciplinato di tali strumenti comporta il rischio di arrecare gravi danni alle informazioni memorizzate sulla propria postazione di lavoro e alla rete a cui la postazione è connessa e, conseguentemente, al patrimonio informativo dell Amministrazione. Una corretta applicazione delle misure di sicurezza consente non solo di adempiere agli obblighi di legge, ma anche di migliorare l erogazione dei servizi di rete ed operare nella consapevolezza che i dati trattati siano corretti, integri, aggiornati (come richiesto dall art. 11 D.Lgs 196/2003) e costituiscano, perciò, un vero patrimonio informativo per l Amministrazione.

6 Pag. 6 di 17 3 DESTINATARI Questo documento è destinato, ai fini della corretta applicazione delle risorse informatiche, a tutto il personale di questa Amministrazione e ad ogni altra persona autorizzata, anche in via temporanea, ad usare le attrezzature e i sistemi della predetta Amministrazione. Queste persone verranno indicate in seguito nel presente documento con il termine di Utente. 4 RESPONSABILITA 4.1 Rispetto delle Procedure di Sicurezza L Utente è obbligato a rispettare le procedure e le politiche fornite dalla Direzione dei Sistemi Informativi, Statistici e la Comunicazione. 4.2 Responsabilità degli Utenti Individuali L Utente è autorizzato ad accedere alle risorse informative dell Amministrazione (hardware, software e dati). Resta inteso che tutte le risorse informative rimangono di proprietà dell Amministrazione e che l Utente è consapevole e accetta di restituire la totalità delle risorse utilizzate nel momento in cui dovesse cessare il rapporto con la stessa. L Utente è, altresì, pienamente responsabile di tutte le attività che svolge sul propria postazione di lavoro. 4.3 Uso per fini lavorativi L Utente deve utilizzare le risorse informatiche per fini esclusivamente lavorativi. E opportuno che gli utenti, salva la concessione di preventiva autorizzazione: non modifichino le configurazioni impostate sul proprio PC; non rimuovano o modifichino alcuna apparecchiatura informatica; non portino dati della Amministrazione all esterno con qualsiasi mezzo o strumento. Gli utenti, inoltre, non possono installare ed utilizzare software non autorizzati dall Amministrazione; utilizzare software ricevuto in uso al di fuori delle finalità lavorative. utilizzare i sistemi dell Amministrazione per servizi o comunicazioni illecite o illegali. utilizzare le risorse dell Amministrazione in modo non conforme agli scopi cui sono destinate, per profitto personale o per trarne un qualunque vantaggio.

7 Pag. 7 di Protezione contro furti e danneggiamenti Per assicurare l apparecchiatura dall accesso non autorizzato, la stessa deve essere protetta portando a termine le sessioni attive (ad esempio blocca computer tramite pressione contemporanea dei tasti Ctrl+Alt+Canc oppure attivando uno screen saver dotato di password). Tutte le apparecchiature portatili (computers portatili, palmari, etc.) devono essere custodite in luoghi chiusi a chiave o comunque in luoghi sicuri contro il furto. Quando essa viene utilizzata fuori dall edificio dell Amministrazione, devono essere prese tutte le precauzioni contro il furto non soltanto delle attrezzature ma anche di tutti i dati riservati/cruciali salvati sull apparecchiatura. E responsabilità dell Utente informare immediatamente il proprio referente informatico e la D.G. (nel caso di materiale fornito dalla stessa) di qualsiasi danno, furto o perdita di apparecchiatura, software e/o informazioni che gli sono state affidate. Deve altresì provvedere, nel caso, alla denuncia alle autorità. 5 UTILIZZO STRUMENTI INFORMATICI L uso degli strumenti informatici è limitato alle necessità dell Amministrazione e deve avvenire secondo le disposizioni indicate nel presente documento. Gli Utenti hanno diritto ad accedere alle risorse del sistema informatico per le quali sono stati espressamente autorizzati, nonché ad utilizzarle esclusivamente per gli scopi inerenti le mansioni svolte ed a custodirle in modo appropriato. Ogni Utente è, inoltre, tenuto ad adottare, nell'ambito delle proprie attività, tutte le misure di sicurezza atte a prevenire la possibilità di accessi non autorizzati, furti, frodi, danneggiamenti, distruzioni o altri abusi nei confronti delle risorse informatiche. 5.1 Credenziali di accesso L accesso ai servizi di rete avviene a seguito del processo di autenticazione mediante le credenziali di accesso costituite da UserID e password. UserID La UserID, detta anche UserName, viene creata dagli Amministratori di rete a seguito di richiesta formale dell Ufficio di appartenenza mediante apposito modulo che è possibile trovare sulla Intranet nella sezione MODULISTICA. La UserID è generalmente del tipo nome.cognome. Per gli utenti che in tal modo presentano un numero di caratteri maggiore di 20 (compreso il punto) la UserID è, generalmente, iniziale_del_nome.cognome.

8 Pag. 8 di 17 La password viene, invece, scelta dall utente, nel rispetto delle seguenti misure di sicurezza, ai sensi della L.196/2003: Deve essere composta da almeno 8 caratteri alfanumerici. Non deve contenere alcun riferimento diretto a dati anagrafici e/o personali noti dell utente (nome, cognome, data di nascita, matricola, ecc.). Deve essere modificata dall utente al primo utilizzo e, successivamente, almeno ogni 90 giorni. Non sia composta di sole cifre o di una lettera o carattere ripetuto anche più volte, o ancora digitata attraverso l uso della sola barra spaziatrice; Non sia uguale alle ultime tre utilizzate o uguale alla precedente tranne che per un carattere. Deve contenere caratteri da almeno tre delle seguenti quattro categorie: o Caratteri maiuscoli (dalla A alla Z) o Caratteri minuscoli (dalla A alla Z) o Numeri (da 0 a 9) o Caratteri non alfabetici (per esempio,!, $, #, %) L utente può sbagliare l inserimento della password per 5 volte al massimo. Dopo 5 tentativi sbagliati, l account viene automaticamente bloccato e dovrà essere sbloccato dall Amministratore di Rete. In tal caso la richiesta dovrà essere inoltrata, in via formale, a cura dell Ufficio di appartenenza utilizzando l apposito modulo, disponibile all indirizzo nella sezione MODULISTICA. Si evidenzia che l identità dell utente è verificata attraverso lo UserId e la password a lui assegnati, e pertanto tutte le attività svolte da un determinato UuserId saranno attribuite al relativo utente. Ciò spiega perché sia di fondamentale importanza, ai fini delle correlate responsabilità, che l utente tuteli accuratamente le proprie credenziali di accesso, evitandone la divulgazione indebita. A tal fine è quindi opportuno che la password scelta dall utente non sia comunicata per telefono o altro mezzo a soggetti non autorizzati che si presentano come colleghi, tecnici, supervisori, Autorità competenti, ecc.; non sia digitata davanti ad altri (ad es. colleghi o estranei); non venga annotata su documenti cartacei o elettronici (ad es. foglietti apposti sul personal computer, lasciati sulla scrivania o dentro ad un cassetto, file di testo lasciati sul desktop, ecc.). contenga, come già detto, anche numeri e simboli non alfabetici per proteggersi dall uso indebito di programmi che permettono di provare come password tutte quelle contenute in dizionari elettronici estremamente ampi, in termini di numero di lemmi, e in diverse lingue, scritte sia in senso normale che in senso inverso; non possa essere facilmente riconducibile all utente stesso (nome del coniuge o dei figli, codice fiscale, data di nascita, targa della propria auto, indirizzo della propria abitazione, eccetera); non sia una combinazione di tasti vicini sulla tastiera o una sequenza di caratteri (esempio: qwerty, asdfgh, , aaabbb, ecc.);

9 Pag. 9 di 17 Appare inoltre opportuno non rendere note password vecchie o non più in uso per evitare che da questi dati sia possibile ricavare informazioni su eventuali ciclicità e/o regole empiriche utilizzate per la scelta della password stessa. Consigli su come scegliere le password Le password migliori sono quelle facili da ricordare ma, allo stesso tempo, difficili da individuare. Questo genere di password può essere ottenuto, ad esempio, comprimendo frasi lunghe in pochi caratteri presenti nella frase, utilizzando anche segni di interpunzione e caratteri maiuscoli e minuscoli. La frase Nel 1969 l uomo è andato sulla luna può, ad esempio, fornire tra le tante possibilità la seguente N69UèAsL. Un altro modo per ottenere password forti consiste nel combinare date o numeri che si ricordano facilmente con pezzi di parole che sono in qualche modo abituali e quindi semplici da ricordare; ad esempio la combinazione felice1983 che utilizza direttamente potrebbe essere una password debole (combinazione del nome del figlio e della data di nascita), può diventare una password migliore in questo modo FeLi83ce, o una password forte così F&Li83cE. N.B.: Non utilizzare come password gli esempi riportati nel presente Regolamento. 5.2 Corretto uso del Personal Computer L uso del personal computer è consentito esclusivamente per le finalità istituzionali e nel perseguimento dell interesse dell Amministrazione. E severamente vietato l uso di modem o chiavette internet proprietarie. Non è consentito all utente il collegamento in rete locale di pc non dell Amministrazione. E assolutamente vietato utilizzare e/o installare strumenti hardware o software atti ad intercettare, falsificare e/o alterare il contenuto di documenti informatici. Non è consentito trasmettere, ricevere, scaricare, stampare o diffondere in qualunque altro modo contenuti di carattere indecente, osceno, razzista, sessualmente esplicito, illegale, immorale. E sempre bene verificare, operando una opportuna scansione antivirus, che i supporti rimovibili non siano stati contaminati da virus. Organizzare i propri dati in un unica cartella c:\documenti presente nel proprio profilo. E consentita la condivisione di file e cartelle in aree condivise, queste ultime verranno create dagli Amministratori di rete a seguito di richiesta formale dell Ufficio di appartenenza mediante apposito modulo che è possibile trovare sulla Intranet nella sezione MODULISTICA. Sempre su richiesta scritta degli utenti, la DGSISC potrà creare apposite aree condivise SHAREPOINT per permettere il lavoro collaborativo all interno dei singoli uffici.

10 Pag. 10 di 17 Le aree condivise sono sottoposte a backup periodici da parte della dei Sistemi Informativi, Statistici e la Comunicazione. Nell ambito del rapporto di lavoro, all utente possono essere affidati in uso supporti rimovibili (ad es. hard disk estraibili, CD, DVD, Token USB, ecc.) sui quali memorizzare ed archiviare dati di proprietà dell Amministrazione. In tal caso, l Utente è tenuto a: custodirli in maniera appropriata; utilizzarli per lo svolgimento delle attività lavorative, nell ambito delle mansioni assegnate ed esclusivamente per scopi leciti; mettere in atto tutte le precauzioni necessarie al fine di evitare l accesso alla risorsa da parte di soggetti non autorizzati. i supporti di memoria rimovibili ( CD, DVD, chiavi USB, ecc.) contenenti dati personali, sensibili o giudiziari, devono essere: conservati in luoghi protetti (ad esempio armadi e/o cassettiere chiusi a chiave), cancellati quando i dati non sono più necessari. verificare il contenuto informativo dei supporti di memoria prima della loro consegna a terzi e prima della loro eliminazione/distruzione. Nel caso di banche dati locali contenenti dati personali, sensibili e giudiziari l onere del backup è a carico dell utente, che deve procedere: all esecuzione settimanale del backup eventualmente con procedure automatiche; alla verifica almeno mensile della corretta esecuzione del backup; al mantenimento di un elenco dei backup effettuati; alla corretta etichettatura dei supporti di memorizzazione (data, riferimento di archivio); all archiviazione dei supporti in luoghi sicuri (ad esempio armadi e/o cassettiere munite di serratura). Si tenga poi presente che: ogni computer, alla fine della giornata lavorativa, deve essere spento o quantomeno le sessioni di lavoro devono essere chiuse (log off), il computer non deve essere lasciato incustodito durante una sessione di lavoro. Anche in caso di breve assenza il computer deve essere bloccato tramite le funzionalità offerte dal sistema, non è consentito installare autonomamente sulla propria postazione di lavoro software e/o periferiche (ad esempio stampanti, scanner, modem, etc ), né modificare le configurazioni esistenti, le attività di installazione/configurazione devono essere svolte esclusivamente da tecnici espressamente autorizzati dall Amministrazione,

11 Pag. 11 di 17 non è consentito riprodurre, tradurre, adattare, trasformare, distribuire software in licenza d uso all Amministrazione. Secondo la legge sul copyright, le persone coinvolte nella riproduzione illegale del software ne sono personalmente responsabili sia civilmente che penalmente. 5.3 Antivirus Su ogni personal computer è installato il software antivirus standard dell Amministrazione, correttamente configurato ed aggiornato; E vietato disabilitare o inibire il corretto funzionamento del software antivirus. 5.4 UTILIZZO STAMPANTI È cura dell utente effettuare la stampa dei dati solo se strettamente necessaria e di ritirarla prontamente dai vassoi delle stampanti comuni. È buona regola evitare di stampare documenti o file molto lunghi o di contenuto grafico su stampanti comuni. Non è consentito stampare documenti personali su qualsivoglia stampante. 6 INTERNET Il sistema informativo dell Amministrazione, e i dati in esso contenuti, possono subire gravi danneggiamenti per effetto di un utilizzo improprio della connessione alla rete internet. Inoltre, attraverso tale rete, possono penetrare nel sistema virus informatici ed utenti non autorizzati. L Utente deve quindi usare Internet in maniera appropriata tenendo presente che: internet è uno strumento messo a disposizione dell Utente per uso professionale, l uso di Internet è consentito esclusivamente per scopi propri dell Amministrazione e, pertanto, non è consentito navigare in siti non attinenti allo svolgimento delle mansioni assegnate, ogni sito Internet può essere governato da leggi diverse da quelle vigenti in Italia, per cui l Utente deve prendere ogni precauzione a tal riguardo, si fa presente che la navigazione Internet avviene centralmente tramite proxy server ed è quindi autenticata. Per finalità statistiche, nonché di verifica della qualità del servizio e della sicurezza, il traffico Internet può quindi essere controllato dall Amministrazione mediante verifiche periodiche. Queste ultime vengono effettuate nel rispetto dei limiti legali disposti dal Garante della Privacy, della Legge 300/1970 Norme sulla tutela della libertà e dignità dei lavoratori, delle libertà sindacali e delle attività sindacali nei luoghi di lavoro e delle norme sul collocamento,

12 Pag. 12 di 17 la navigazione in siti non pertinenti all attività lavorativa è stata inibita mediante l adozione di sistemi di blocco e/o filtri automatici che prevengano determinate operazioni quali l upload o l accesso a siti inseriti in specifiche black list, resta comunque proibita la navigazione in siti e la memorizzazione di documenti informatici che, sebbene non filtrati dai sistemi automatici, abbiano contenuti di natura oltraggiosa, pornografica e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica, gli eventuali controlli, compiuti dal personale incaricato potranno avvenire mediante un sistema di controllo dei contenuti (urlfiltering) o mediante l analisi dei file di log della navigazione svolta (come da direttive del Garante della Privacy - G. U. n. 58 del 10 marzo 2007). I sistemi software sono programmati e configurati in modo da cancellare periodicamente ed automaticamente i vari file di log, attraverso procedure di sovrascrittura. Un eventuale prolungamento dei tempi di conservazione può avere luogo solo in caso di una specifica richiesta dell'autorità giudiziaria o della Polizia Postale, non è consentita l effettuazione di alcun genere di transazione finanziaria, ivi comprese le operazioni di remote banking, acquisti on-line e simili, salvo casi direttamente autorizzati dal proprio responsabile gerarchico e con il rispetto delle normali procedure di acquisto, non è consentito scaricare software gratuiti (freeware e shareware) prelevati da siti Internet senza espressa autorizzazione, è vietata ogni forma di registrazione a siti i cui contenuti non siano legati all attività lavorativa. non sono permesse, per motivi non professionali, la partecipazione a forum, l utilizzo di chat line o di bacheche elettroniche e le registrazioni in guestbook, anche utilizzando pseudonimi (o nicknames), tutti i file di provenienza incerta o esterna, ancorché attinenti all attività lavorativa, devono essere sottoposti al controllo antivirus. non è consentito connettere gli strumenti informatici dell Amministrazione (personal computer, palmari, ecc.) a reti esterne pubbliche (Internet) o private (sistemi di altre società) per mezzo di collegamenti fisici con linee telefoniche o con strumenti wireless di qualsiasi genere, senza una esplicita autorizzazione. non è consentito, salvo esplicita autorizzazione, lo scambio (ad esempio Peer-to-Peer) a qualsiasi titolo -e anche se non a scopo di lucro- di materiale audiovisivo, cinematografico, fotografico, informatico, ecc., protetto da copyright. 7 POSTA ELETTRONICA ( ) La Posta elettronica è uno strumento di lavoro, quindi gli Utenti devono evitare di: trasmettere e/o scambiare dati personali, sensibili e/o giudiziari di proprietà dell Amministrazione con soggetti non preventivamente autorizzati

13 Pag. 13 di 17 usare Provider di posta elettronica diversi da quello fornito dall amministrazione per la trasmissione e/o lo scambio di dati personali, sensibili e/o giudiziari di proprietà dell Amministrazione. 7.1 Policy L utente è titolare di una sola casella di posta elettronica secondo lo standard nome.cognome@mit.gov.it. La richiesta di creazione della casella di posta elettronica deve essere inoltrata previa compilazione, a cura dell Ufficio di appartenenza del richiedente, di un apposito modulo, che è possibile trovare sulla Intranet nella sezione MODULISTICA. In ogni caso: - la massima dimensione di ogni messaggio inviato o ricevuto è 8 MB, questo valore è comprensivo del testo del messaggio ed eventuali file allegati, - lo spazio assegnato sul server per ciascuna casella di posta è attualmente pari a 150 MB per le caselle standard e 300 MB per quelle funzionali. La DGSISC provvederà, non appena si avrà disponibilità di hardware aggiuntivo, ad incrementare tali dimensioni, - quando la casella di posta raggiunge un occupazione pari al 75% del limite massimo consentito, l amministratore di sistema invierà una mail di avviso all utente. In questa fase sia la ricezione che l invio dei messaggi rimangono attivi, - quando la casella di posta raggiunge un occupazione pari all 85% del limite massimo consentito, l amministratore di sistema invierà una mail di avviso e all utente verrà impedito l invio di ulteriori messaggi. In questa fase, la sola ricezione dei messaggi rimane comunque attiva, - quando la casella di posta raggiunge un occupazione pari al 100% della sua capacità, l amministratore di sistema invierà una mail di avviso, provvedendo a bloccare sia l invio che la ricezione di ulteriori messaggi. A questo punto, per sbloccare la casella, occorre cancellare dei messaggi oppure memorizzarli in locale, - il sistema di posta elettronica è protetto dai virus e blocca tutti i messaggi contenenti virus o file potenzialmente pericolosi, anche se non infetti, dandone informazione al destinatario mediante un testo allegato al messaggio originale del mittente. I file bloccati sono quelli aventi le seguenti estensioni: *.ade *.bat *.erg *.js *.mp3 *.msp *.sr *.adp *.chm *.exe *.jse *.mpa *.mst *.sct *.asf *.cmd *.hlp *.lnk *.mpe *.nra *.shs *.avi *.com *.hta *.m3u *.mpg *.ogg *.url *.b4s *.cpl *.inf *.mda *.mpeg *.pcd *.vb *.bas *.crt *.ins *.mde *.msc *.pi *.vbe *.jsp *.mdz *.msi *.pls *.vbs

14 Pag. 14 di 17 - per i dipendenti in aspettativa o comando presso altre Amministrazioni è prevista la sospensione della casella di posta elettronica, che verrà riattivata nel momento in cui il dipendente rientrerà in servizio, - in caso di abbandono dell Amministrazione o pensionamento, la casella verrà conservata operativa per i successivi 15 giorni, e quindi rimossa definitivamente dal server - in ogni caso, la casella è automaticamente bloccata se non è utilizzata per oltre 180 giorni. - è fatto esplicito divieto di spedire, per nessun motivo, mail chain letters (catene di S. Antonio) via . In base all articolo 10 del D. Lgs. 185/99 l invio di messaggi di posta elettronica non sollecitati costituisce una violazione punibile con sanzione amministrativa pecuniaria, - è necessario fare attenzione alla posta ricevuta. Gli allegati provenienti da mittenti sconosciuti non devono essere aperti e devono essere immediatamente cancellati, - è consigliabile mandare alle liste di distribuzione SOLO mail brevi, non contenenti allegati (attachment), - la maggior parte delle liste raggiunge un alto numero di persone, si prega quindi di usarle con estrema cautela, - non aprire direttamente dal messaggio il relativo allegato. E meglio preliminarmente salvare l allegato in un file e controllarlo con un antivirus prima di aprirlo, - aprire i messaggi che contengono attachment solo se si è certi del contenuto, - non impostare l apertura automatica degli attachment, - non pubblicare mai, senza l esplicito permesso dell autore, il contenuto di messaggi di posta elettronica, - includere la propria firma in fondo ai messaggi. La firma dovrebbe includere nome, titolo (se desiderato), organizzazione di appartenenza e i vari indirizzi di posta elettronica, - prevedere l inserimento non obbligatorio di un disclaimer alla firma delle mail indirizzate all esterno, del tipo le informazioni trasmesse sono dirette esclusivamente al destinatario e potrebbero contenere materiale riservato o confidenziale di proprietà del Ministero delle Infrastrutture. Ogni modifica, ritrasmissione, diffusione o altro uso non autorizzato è da considerarsi proibita, - le trasmesse tramite internet possono essere intercettate, anche illegalmente, lette, registrate ed utilizzate per altri fini da chiunque. Di conseguenza, nessuna informazione strategica dovrebbe essere trasmessa attraverso questo sistema, a meno che venga trasmessa attraverso una forma cifrata autorizzata, - non è consentito utilizzare la posta elettronica per motivi non attinenti allo svolgimento delle mansioni assegnate, - non è consentito inviare o memorizzare messaggi di natura oltraggiosa, volgare e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica, - le comunicazioni di maggior importanza e/o che contengano impegni per l Amministrazione devono essere sempre preventivamente autorizzate dal responsabile gerarchico competente,

15 Pag. 15 di 17 - non è consentito l utilizzo dell indirizzo di posta elettronica dell Amministrazione per la partecipazione a dibattiti, forum o mailing-list, salvo diversa ed esplicita autorizzazione, - non è consentito l utilizzo dell indirizzo di posta elettronica dell Amministrazione per inviare messaggi di tipo umanitario, sociale o di solidarietà salvo diversa ed esplicita autorizzazione rilasciata dal proprio responsabile gerarchico, - la posta elettronica non deve essere utilizzata per ricevere, memorizzare o spedire materiale che viola il copyright, il marchio o altre leggi sul diritto d autore (cfr Leggi sul diritto d autore DLgs 68/2003), - per limitare il fenomeno dello spamming è necessario evitare di diffondere il proprio indirizzo e- mail dell Amministrazione attraverso siti, forum, chat, o quanto altro ritenuto non affidabile e pertinente alla propria attività lavorativa, - per limitare il fenomeno della posta elettronica fraudolenta (phishing)) che utilizza collegamenti ingannevoli, si consiglia di non fare clic sui collegamenti ipertestuali (link) contenuti nei messaggi di posta elettronica, bensì copiarli e incollarli nel browser. Si prega porre massima attenzione a messaggi provenienti da sedicenti enti che si dichiarano titolari di conti correnti o carte di credito (Poste, Visa, Unicredit etc.). E Phising!! - è proibito scaricare video, brani musicali ecc. e trasmettere a livello mondiale riguardanti argomenti personali, - il tono, la presentazione e lo stile della posta elettronica devono riflettere l immagine dell Amministrazione. 8 CONTROLLI E MONITORAGGIO DELLE RISORSE L Amministrazione procederà periodicamente, nei limiti della privacy, con le garanzie previste dal Testo Unico D. Lgs. 196/2003 e delibera del Garante della Privacy Sicurezza dei dati di traffico telefonico e telematico - 17 gennaio 2008 (G.U. n. 30 del 5 febbraio 2008) e successive modifiche, anche ad un controllo quantitativo dell utilizzo della rete, dei PC per verificarne un uso equilibrato e coerente con l attività dell Amministrazione. In particolare, i controlli periodici possono essere effettuati su: La durata dei collegamenti ad Internet. I siti visitati più frequentemente Le informazioni raccolte dai dispositivi di sicurezza (Firewall, Antivirus, IDS, ecc.). Il monitoraggio non è finalizzato al controllo delle attività degli Utenti (salvo eventuale esplicita richiesta in tal senso da parte delle Autorità competenti). Le informazioni raccolte consentono un controllo dell efficienza e dell utilizzo corretto delle risorse informatiche dell Amministrazione.

16 Pag. 16 di 17 I dati sopra descritti sono acquisiti in forma anonima e quindi non riconducibili all identità del singolo utente. I dati sono di norma archiviati per un periodo non superiore a sei mesi, salvo eventuale esplicita richiesta delle Autorità competenti. 9 SANZIONI IN CASO DI VIOLAZIONE È fatto obbligo a tutti gli utenti di osservare le disposizioni portate a conoscenza con il presente regolamento. Il mancato rispetto o la violazione delle regole sopra ricordate è perseguibile nei confronti del personale dipendente con i provvedimenti disciplinari e risarcitori previsti dal vigente CCNL, nonché con tutte le azioni civili e penali consentite. Si evidenzia, inoltre, che comportamenti palesemente scorretti da parte di un utente, quali: violare la sicurezza di archivi e computers della rete; violare la privacy di altri utenti della rete, leggendo o intercettando la posta elettronica loro destinata; compromettere intenzionalmente il funzionamento della rete e degli apparecchi che la costituiscono con i programmi (virus, trojan horses, ecc.); costituiscono dei veri e propri crimini informatici e come tali sono punibili dalla legge con l eventuale aggravante del reato di interruzione di pubblico servizio. Nell ipotesi in cui l utente commetta atti che possano configurarsi come reato, sia che ciò avvenga a mezzo Internet, posta elettronica o con qualunque altro sistema in dotazione all Amministrazione, i responsabili saranno immediatamente denunciati alle Autorità competenti. Si evidenzia a tal riguardo che il Codice Penale dispone: Art. 615-ter. - (Accesso abusivo ad un sistema informatico o telematico). Art. 6l5quater - Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici; Art. 6l5quinquies - Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico. Art. 617-quater. - Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche. Art. 617-quinquies. - Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche. Art. 617sexies - Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche.

17 Pag. 17 di 17 Art. 635bis - Danneggiamento di informazioni, dati e programmi informatici Art. 640quinquies - Frode informatica del soggetto che presta servizi di certificazione di firma elettronica. 10 REVISIONI E AGGIORNAMENTI Tutti gli utenti possono proporre, quando ritenuto necessario, integrazioni motivate al presente Regolamento. Le proposte verranno esaminate dalla dei Sistemi Informativi e Statistici e la Comunicazione. Il presente documento è soggetto ad aggiornamenti e revisioni annuali.