Regolamento per l'utilizzo degli str umenti infor matici Azienda Ospedaliero Universitaria Pisana

Transcript

1 PARTE I Art. 1 Oggetto Regolamento per l'utilizzo degli str umenti infor matici Azienda Ospedaliero Universitaria Pisana OGGETTO, DEFINIZIONI e APPLICAZIONE Il presente regolamento contiene le disposizioni in materia di utilizzo e gestione degli strumenti informatici che tutto il personale aziendale, i collaboratori ed i consulenti esterni, è tenuto a rispettare scrupolosamente quando si trovi ad utilizzare i beni informatici dell'azienda. Art. 2 Definizioni Rete TCP/IP termine diffusamente utilizzato per individuare l'insieme di standard tecnologici alla base dell'implementazione della rete Internet e della stragrande maggioranza delle reti aziendali. Rete di Campus : chiamata genericamente anche rete, è l'insieme di sistemi passivi (cablaggi, armadi, ecc) e attivi (dispositivi di rete), che costituiscono lo strumento per il collegamento sull'area aziendale di computer, dei server e di tutti gli strumenti che utilizzano la rete TCP/IP per la comunicazione dati e per le comunicazioni multimediali, quali ad esempio videoconferenza o VoIP (telefonia su IP). Rete dell'università di Pisa : in alcuni reparti parallelamente alla rete realizzata dall'azienda è presente una rete di proprietà e sotto il controllo dell'università. Servizi Informatici : o semplicemente servizi, sono qualsiasi funzione sviluppata da applicazioni o software di cui gli utenti della rete possono usufruire; i software che erogano servizi possono essere ospitati sui server aziendali o possono essere accedibili via Internet. Risorse Informatiche sono tutti i beni presenti in azienda coinvolti nella gestione ed utilizzo dei dati e delle informazioni, nell'implementazione dei servizi e nel loro utilizzo, quali Personal Computer, software, server, banche dati, collegamenti di rete, stampanti, linee di accesso ad Internet, linee fax, linee telefoniche, ecc. Postazione di lavoro è considerato qualsiasi Personal Computer fisso o portatile con i suoi software, qualsiasi terminale di comunicazione, quali ad esempio PocketPC, Palmtop e Smartphone, in grado di connettersi alla rete per usufruire dei servizi da questa offerti, o non connesso in rete, ma in grado di erogare qualsiasi tipo di funzione. Strumento medicale è considerato qualsiasi apparato, collegato in rete o meno, che memorizzi dati anagrafici o clinici dei pazienti successivamente o meno ad una analisi medica. Hacker è l'esperto, spesso confuso con il pirata informatico, che senza interessi di lucro o interessi personali forza i sistemi informatici o approfondisce la loro conoscenza per rivelarne lacune e malfunzionamenti, noto anche con il nome di white hat. Cracker è colui che che sfrutta le proprie competenze per commettere atti illegali contro sistemi ICT. Spesso può essere identificato con altri nomi quale lamer o black hat. Sistema di trasmissione Wireless : dispositivo che utilizza onde radio per la trasmissione di informazioni, contrapposto ai sistemi wired che utilizzano invece cavi elettrici o in fibra ottica per veicolare le trasmissioni. Sistema operativo è il software che consente di sfruttare le risorse hardware di un computer o di un server e di eseguire su questi le applicazioni di effettivo utilizzo; esempi di sistemi operativi sono Windows 98, Windows XP o Linux. Credenziali di autenticazione sono i dati o i dispositivi in possesso ed utilizzati da personale per essere riconosciuto da un dispositivo informatico; solitamente sono costituiti da una copia di parole chiamate username o userid e un codice segreto o password, ma possono essere costituite da sistemi più evoluti quali lettori di impronte digitali o di cornee, ecc, accompagnati da password. Un sinonimo può essere account. Sistema ICT è il complesso di dispositivi di rete che realizzano la Rete di Campus, di applicazioni per la gestione delle informazioni, di server per l'implementazione di servizi e di funzionalità di rete, di tutte le risorse informatiche presenti in azienda. Social Engineering, nel campo della sicurezza informatica per ingegneria sociale (dall'inglese social engineering) si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni. È una tecnica di persuasione che mira a carpire informazioni riservate o a forzare i soggetti a compiere certe azioni attraverso l'uso di calcolate pressioni psicologiche. Gli hacker usano spesso questa tecnica quando sono intenti alla violazione di un sistema, sfruttando la propensione delle persone a rispondere a domande dirette e impreviste o ad aiutare qualcuno che sembra in difficoltà. Blog, il Blog è un sistema che consente la pubblicazione di informazioni su Internet senza conoscere un linguaggio come l'html e permette a chiunque sia in possesso di una connessione Internet di creare facilmente un sito in cui Regolamento per l'utilizzo degli strumenti informatici 1

2 pubblicare storie, informazioni e opinioni in completa autonomia. Ogni articolo è generalmente legato ad un thread, in cui i lettori possono scrivere i loro commenti e lasciare messaggi all'autore. In questo luogo cibernetico si possono pubblicare notizie, informazioni e storie di ogni genere, aggiungendo, se si vuole, anche dei link a siti di proprio interesse. Wiki è un sito web (o comunque una collezione di documenti ipertestuali) che permette a ciascuno dei suoi utilizzatori di aggiungere contenuti, come in un forum, ma anche di modificare i contenuti esistenti inseriti da altri utilizzatori. Una caratteristica distintiva della tecnologia wiki è la facilità con cui le pagine possono essere create e aggiornate. Generalmente, non esiste una verifica preventiva sulle modifiche, e la maggior parte dei wiki è aperta a tutti gli utenti o almeno a tutti quelli che hanno accesso al server wiki. In alcuni casi per accedere alle funzioni del wiki non è richiesta neanche la registrazione di un account utente. Internet Chat Relay, nota anche come ICR, costituisce un sistema di trasmissione in tempo reale attraverso messaggi che più utenti possono scambiarsi simultaneamente. Web Conference è un sistema di video conferenza, non necessariamente interattivo, spesso utilizzato per diffondere programmi di formazione, per illustrare prodotti commerciali o servizi, basato su tecnologie web ed usufruibile semplicemente attraverso browser dotati di solito di moduli software opportuni. Servizio Implicitamente Autorizzato è quel servizio che può essere sfruttato dall'interno dell'azienda senza esplicita autorizzazione in quanto consentito in generale dalle politiche di sicurezza. Art. 3 Applicazione Il regolamento di utilizzo degli strumenti informatici deve essere portato a conoscenza di tutto il personale aziendale e da questo applicato nell'utilizzo di qualsiasi strumento informatico presente in azienda o nelle sue sedi remote, attestato direttamente alle Rete di Campus o ad essa connesso attraverso la rete telefonica pubblica, attraverso Internet o attraverso qualsiasi sistema Wireless o altro sistema di interconnessione. Il personale tecnico è in generale tenuto al rispetto del presente regolamento, fatta eccezione dei casi in cui sia opportuno utilizzare gli strumenti ritenuti necessari per far fronte a particolari problemi tecnici, per attività di sperimentazione o per supportare organi aziendali o istituzionali nello svolgimento di indagini. Art. 4 La completezza del regolamento Gli allegati al presente documento costituiscono parte integrante dello stesso e forniscono indicazioni relative a particolari aspetti dell'utilizzo di servizi o di strumenti informatici, consentendo di aggiornare il regolamento all'evoluzione tecnologica. Sono parte integrante del regolamento: a) Allegato A: N E T I Q U E T T E: Etica e norme di buon uso dei servizi di rete; b) Allegato B: Regolamenti previsti dalle reti GARR e RTRT; c) Allegato C: Regole e suggerimenti per il corretto utilizzo degli strumenti informatici. Inoltre è necessario il riferimento alla normativa indicata nel seguito: 1. D. Lgs. n 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali) 2. Legge n 155 del 31 luglio 2005 (Conversione in legge, con modificazioni, del decreto legge 27 luglio 2005, n. 144, recante misure urgenti per il contrasto del terrorismo internazionale) 3. Legge n 547 del 23 dicembre 1993 (Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica) 4. Legge n 633 del 22 aprile 1941(Protezione del diritto d'autore e di altri diritti connessi al suo esercizio), come modificata dal D. Lgs. n 518 del 29 dicembre 1992 (Attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per elaboratore) e successive modifiche 5. Legge n 128 del 21 maggio 2004 (Conversione in legge, con modificazioni, del decreto legge 22 marzo 2004, n. 72, recante interventi per contrastare la diffusione telematica abusiva di materiale audiovisivo, nonche' a sostegno delle attivita' cinematografiche e dello spettacolo) 6. Legge n 48 del 18 marzo 2008 (Ratifica ed esecuzione della Convenzione del Consiglio d'europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno) PARTE II UTILIZZO DELLE RISORSE CAPO I Utilizzo delle postazioni di lavoro, dei servizi e delle risorse Art. 5 Gli strumenti informatici Tutti i beni del patrimonio aziendale coinvolti nella gestione e consultazione dei dati e delle informazioni, quali risorse, Regolamento per l'utilizzo degli strumenti informatici 2

3 strumenti e servizi definiti in precedenza, sono da considerarsi strumenti di lavoro e quindi utilizzabili solo a tal fine; è vietato ogni diverso utilizzo degli stessi, salvo se espressamente autorizzato. Art. 6 Accesso alle postazioni L'accesso alle postazioni di lavoro è consentito esclusivamente al personale aziendale autorizzato e per lo svolgimento delle sole attività istituzionali. Quando il sistema operativo della postazione lo consente, devono essere impostate credenziali di autenticazione per controllare l'accesso al sistema stesso, con lo scopo di tutelarne le risorse ed eventualmente l'accesso alle risorse di rete. Art. 7 Utilizzo delle postazioni L'utilizzo delle postazioni di lavoro è consentito esclusivamente per sfruttarne i programmi (software) installati sulle postazioni da personale autorizzato, e comunque nei modi che garantiscano un corretto utilizzo dello strumento e di tutte le risorse del sistema ICT da questo sfruttabili. Risulta in particolare vietato l'utilizzo delle postazioni come sistemi per la riproduzione di supporti multimediali, quando il loro utilizzo è per fini personali. Art. 8 Utilizzo generico delle risorse informatiche L'accesso ad una postazione di lavoro consente solitamente di usufruire di risorse di varia natura, quali servizi aziendali come posta elettronica o servizi web, stampanti o banche dati, scanner o webcam, servizi Internet. L'utilizzo di qualsiasi risorsa deve essere dedicato ad attività istituzionali; equilibrato per consentire lo sfruttamento da parte di più soggetti di risorse condivise; condotto nel rispetto del comune senso di liceità e correttezza, quando non siano fornite regole ancora più vincolanti. Art. 9 Conoscenza degli strumenti L'accesso ad uno strumento o ad una risorsa, pur essendo regolato da autorizzazioni, deve essere principalmente vincolato alla conoscenza, da parte del personale, delle corrette modalità di utilizzo dello stesso, per evitare danni che possano derivare da imperizia e cattivo uso. Art. 10 Malfunzionamenti o comportamenti anomali dei sistemi L'operatore che durante l'utilizzo di una risorsa dovesse rilevare un comportamento anomalo della stessa o dovesse riconoscerne un malfunzionamento è tenuto a segnalare al personale tecnico della U.O. Reti e Tecnologie Informatiche l'anomalia, nei modi previsti e previo eventuale consulto con colleghi più esperti in materia o referenti informatici, con lo scopo di limitare i danni potenzialmente derivabili dall'uso di uno strumento difettoso, ma limitando anche gli interventi del personale tecnico della U.O. Reti e Tecnologie Informatiche a quelli effettivamente necessari. Art. 11 Utilizzo dei servizi Il personale abilitato all'utilizzo dei servizi informatici può sfruttarne le funzionalità e le potenzialità limitatamente alle attività e per obiettivi di interesse istituzionale, preoccupandosi di comprenderne preventivamente il funzionamento e gli scopi per utilizzarli correttamente. L'attenzione posta nell'utilizzo dei servizi deve essere ancora maggiore quando questi sono forniti da terzi su Internet e quindi si accede ad essi con il nome e per conto dell'azienda. In particolare i servizi di posta elettronica ed accesso ad Internet rappresentano strumenti di estrema utilità e potenzialità nello svolgimento delle attività lavorative e vengono autorizzati individualmente dall'azienda tramite il rilascio di opportune credenziali personali; ciascun assegnatario è diretto responsabile del corretto utilizzo dei servizi che gli sono stati affidati. CAPO II Le credenziali di autenticazione Art. 12 La riservatezza della password Le credenziali possono essere conferite al personale per l'autorizzazione all'utilizzo di particolari risorse o configurate individualmente dallo stesso per controllare l'accesso a risorse o strumenti che gli siano stati affidati. In entrambi i casi non è consentito per nessun motivo condividere la parte riservata delle credenziali (password) con altre persone, poiché la password è personale e non cedibile. Art. 13 Sistemi con credenziali di accesso singola Quando il dispositivo utilizzato non consente la configurazione di più credenziali distinte di accesso, è necessario predisporre un criterio di gestione delle credenziali che consenta l'accesso al sistema quando dovesse essere assente l'operatore in possesso dell'unico codice di accesso. In questo caso e solo in questo caso le credenziali devono essere conservate in una busta sigillata e custodite dal responsabile diretto dell'operatore ed usate solamente in caso di emergenza. Art. 14 Gestione delle credenziali Le credenziali devono essere gestite nel rispetto delle indicazioni fornite nel presente regolamento e comunque nel rispetto delle leggi in vigore, quando la loro applicazione ricada in quelli normati, anche se il sistema utilizzato non prevede controlli automatici sulle stesse. In particolare: Regolamento per l'utilizzo degli strumenti informatici 3

4 1. si deve utilizzare una password di almeno otto caratteri se consentito dal sistema, di tipo alfanumerico, contenente sia lettere maiuscole che minuscole ed almeno un carattere simbolico; 2. si deve modificare la password quando si accede la prima volta alla risorsa in modo da renderla riservata, poi periodicamente, ma almeno ogni sei mesi; 3. non è consentito utilizzare le funzioni di memorizzazione automatica delle password, presenti in numerosi software, per tutte le credenziali di accesso a risorse aziendali; 4. non è consentito utilizzare come password l'eventuale username associato o il nome o cognome della persona interessata, come pure parole attinenti al sistema in utilizzo; 5. è opportuno utilizzare password distinte in funzione delle diverse credenziali assegnate alla stessa persona; 6. è opportuno non utilizzare password già usate in passato. Art. 15 Aggiornamento delle credenziali È obbligatorio verificare almeno annualmente lo stato di validità delle credenziali rilasciate al personale. Per questo motivo tutti i responsabili di struttura sono tenuti a notificare la cessazione di attività da parte di personale non più in servizio o la modifica dei diritti di accesso alle risorse, con lo scopo di allineare le credenziali ai diritti effettivi. Art. 16 Creazione di nuove credenziali All'occorrenza nuove credenziali possono essere create per l'accesso a nuove risorse o per autorizzare personale neoassunto. In funzione della particolare risorsa da accedere è necessario seguire la specifica procedura per la richiesta di nuove credenziali, in modo da documentare il nuovo account. CAPO III Norme comportamentali Art. 17 Indicazioni generali L'utilizzo delle postazioni di lavoro e dei servizi informatici prevede interazioni strette con il personale aziendale e richiede, per questo motivo, che i comportamenti di ciascuno seguano il comune senso di correttezza e liceità, nel rispetto della dignità e delle attività svolte da terzi, soprattutto quando si condividano postazioni o altri strumenti. Nell'utilizzo dei servizi informatici e in particolare di servizi Internet è opportuno conoscere e rispettare una serie di convenzioni e regole di buon comportamento, conosciute con il nome di Netiquette, consolidate nella comunità Internet e sintetizzate in un documento rilasciato dal NIC, responsabile dell'assegnazione dei nomi a dominio nel country code Top Level Domain "it", e riportato in Allegato A. Inoltre, nell'utilizzo delle postazioni e dei servizi informatici è obbligatorio attenersi alle disposizioni di cui al D. Lgs. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali) nonché a quelle di cui al Regolamento Regionale e Aziendale di attuazione del Codice medesimo, nonché ai provvedimenti tutti del Garante della Privacy. Art. 18 La divulgazione di informazioni Tranne nei casi previsti dalla legge o a seguito della presentazione di richieste ufficiali inoltrate da organi giudiziari, non è consentita la divulgazione di informazioni che possano in qualsiasi modo fornire una descrizione del sistema ICT aziendale sia attraverso il tipo e le modalità di accesso ad Internet, il numero e il tipo di postazioni in rete, le tecnologie utilizzate per l'implementazione di qualsiasi elemento del sistema, le modalità di accesso alle rete locale e alle sue risorse. Le informazioni devono considerarsi riservate sia nei confronti di soggetti esterni all'azienda che nei confronti di personale aziendale non autorizzato all'accesso delle risorse stesse, per prevenire azioni note con il nome di social engineering. Art. 19 I dati dell'azienda Le attività lavorative prevedono che il personale aziendale venga a conoscenza di informazioni e dati critici o riservati; non è consentito il trasporto di queste informazioni tramite qualsiasi supporto al di fuori delle infrastrutture aziendali, a meno che ciò non sia stato esplicitamente autorizzato attraverso documentazione legalmente valida. Art. 20 Le attività sulle postazioni L'accesso alle postazioni o ad altri strumenti informatici obbliga l'interessato a tutelarne le risorse durante tutto il periodo di attività, evitando che personale non autorizzato possa usufruire del sistema e dei servizi da questo raggiungibili e che un uso illecito degli stessi strumenti possa essere condotto quando la postazione dovesse essere lasciata incustodita. Per questo motivo è obbligatorio chiudere le sessioni di lavoro prima di allontanarsi dal sistema o, alternativamente, predisporre un salvaschermo bloccato da password, per mantenere attiva la sessione di lavoro in corso. Art. 21 L'accesso ad applicazioni remote L'accesso ad applicazioni remote attraverso postazioni di lavoro può implicare il superamento di due fasi di autenticazione, la prima per accedere alla postazione, la seconda per accedere all'applicazione. L'abbandono della Regolamento per l'utilizzo degli strumenti informatici 4

5 postazione per la sospensione dell'attività per un tempo prolungato, e comunque per la conclusione delle attività quotidiane, obbliga l'interessato a chiudere la sessione di accesso all'applicazione remota, per evitare un'inutile occupazione di risorse, che può rappresentare elemento di cattivo funzionamento del sistema per gli altri utenti. In questo caso, pertanto, è consentito l'utilizzo del salvaschermo esclusivamente per tutelare l'accesso alla postazione di lavoro, dopo aver chiuso la sessione remota, quando questo non precluda l'utilizzo della stessa postazione da parte di altro personale. Art. 22 L'utilizzo della rete locale L'utilizzo della rete locale è consentito esclusivamente attraverso gli strumenti forniti dall'azienda. Non è consentita l'installazione e il collegamento alla rete aziendale di alcun tipo di strumento né la modifica della loro configurazione, se non dopo aver consultato il personale tecnico della U.O. Reti e Tecnologie Informatiche di riferimento ed essere stati espressamente autorizzati. Non è consentito l'accesso agli armadi che ospitano gli apparati di rete salvo in caso di esplicita autorizzazione da parte del personale tecnico della U.O. Reti e Tecnologie Informatiche. Art. 23 Gestione di personal computer o stampanti di rete Quando in un reparto viene dismesso un personale computer o una stampante di rete per malfunzionamento o obsolescenza, è obbligatorio informare il personale della U.O. Reti e Tecnologie Informatiche, indicando contestualmente l'indirizzo IP di rete dell'apparato. Non è consentita l'installazione di PC e stampanti di proprietà dell'azienda Ospedaliero Universitaria sulla rete presente in azienda ma di proprietà dell'università di Pisa. Art. 24 Utilizzo di computer portatili personali L'utilizzo di computer personali è consentito esclusivamente a seguito dell'autorizzazione da parte della U.O. Reti e Tecnologie Informatiche, a condizione che sugli stessi apparati siano presenti software aggiornati antivirus e antispyware. Quando un PC personale preventivamente autorizzato non viene più utilizzato in azienda deve essere fatta comunicazione al personale tecnico della U.O. Reti e Tecnologie Informatiche, in modo da sbloccare le risorse ad esso dedicate. È assolutamente vietato trasportare dati personali relativi ad attività aziendali sui computer personali, tranne che in casi esplicitamente autorizzati. Art. 25 L'utilizzo di accessi ad Internet alternativi Non è consentito l'accesso ad Internet o ad altre reti locali remote mediante l'utilizzo di modem, dispositivi wireless o linee di collegamento di qualsiasi altra tecnologia. Art. 26 Malfunzionamenti o comportamenti anomali dei servizi Qualora venissero rilevati malfunzionamenti o comportamenti anomali nei servizi informatici è cura del personale segnalare l'anomalia al personale tecnico della U.O. Reti e Tecnologie Informatiche, nei modi previsti e previo eventuale consulto con colleghi più esperti in materia o referenti informatici, con lo scopo di evidenziare tempestivamente possibili disfunzioni a beneficio di tutta l'utenza. Art. 27 La conoscenza accidentale di dati riservati L'utilizzo di strumenti informatici può condurre accidentalmente alla conoscenza di dati riservati per i quali non si posseggono diritti di accesso. Tali dati possono contenere informazioni legate alle attività aziendali o possono essere relativi alle modalità o abitudini di utilizzo degli strumenti stessi; è comunque vietata la diffusione delle informazioni ma è cura dell'interessato segnalare l'incidente al personale tecnico della U.O. Reti e Tecnologie Informatiche, nel primo caso con lo scopo di verificare il motivo dell'incidente, nel secondo caso qualora si ritenga che le informazioni individuino comportamenti illeciti o contrari a norme di buon comportamento da parte di utenti. PARTE III Art. 28 Le risorse aziendali GESTIONE DELLE RISORSE In generale la gestione e in particolare la manutenzione delle risorse aziendali deve essere condotta nel rispetto di norme di buon comportamento e del corretto utilizzo degli strumenti, soprattutto lì dove siano condivisi con altri utenti e quindi determinino di fatto un'interazione personale, se pur in forma virtuale. Per questo motivo sia le interfacce esterne (monitor, tastiere, ecc) che gli ambienti di lavoro (desktop, spazio disco, ecc) devono essere utilizzati con l'accortezza necessaria a tutelare il funzionamento degli stessi e la dignità di chi è autorizzato a sfruttarli. Art. 29 Memorizzazione dati sulle postazioni Quando le postazioni di lavoro non ospitano dati soggetti a Privacy, appartenenti alle tipologie individuate dal D.Lgs. 196 del giugno 2003 e tutelati secondo quanto previsto dalla normativa vigente, è consentita la memorizzazione delle sole informazioni finalizzate all'esercizio delle attività istituzionali. Qualora l'utente non abbia garanzie sulla sicurezza di file o dati e sulla loro innocuità, non è autorizzato ad usarli né a memorizzarli o ad utilizzare le postazioni quali strumento per la memorizzazione su supporti asportabili. Art. 30 Cancellazione Dati Regolamento per l'utilizzo degli strumenti informatici 5

6 L'utilizzo da parte di più persone degli stessi sistemi rende possibile l'accesso, per esigenze lavorative o per errore, a dati di terze persone. Non è consentito cancellare alcun tipo di file di cui non si abbia la proprietà, tranne quelli memorizzati in cartelle appositamente utilizzate. Art. 31 Dati soggetti a Privacy Ove possibile o predisposto, non è consentita la conservazione di dati soggetti a Privacy sulle postazioni di lavoro, neanche per funzioni di copia di sicurezza. Tali dati possono esclusivamente essere conservati sui server o nelle banche dati appositamente installate. Qualora per motivi tecnici le postazioni ospitassero dati soggetti a Privacy, non è consentita la memorizzazione sugli stessi supporti di qualsiasi informazione di altra natura. Art. 32 Memorizzazione dati sui server Sono presenti in azienda server per la conservazione o l'elaborazione di dati pertinenti a settori specifici. Al personale autorizzato all'accesso a tali risorse non è consentito memorizzare dati su un qualsiasi server, quando questi non siano attinenti allo scopo per il quale il sistema stesso è stato predisposto. Art. 33 Utilizzo delle stampanti La produzione di documentazione tramite stampanti crea materiale soggetto a privacy che, soprattutto in presenza di stampanti condivise su rete, può portare alla violazione della riservatezza sui dati personali. Per questo motivo è necessario che tutto il personale presti la massima attenzione a quali siano le stampanti sulle quali vengono destinate i documenti e che questi non rimangano mai incustoditi né in coda di stampa, né sui vassoi di uscita delle stesse stampanti. Art. 34 Copia di sicurezza dei dati Ogni operatore è tenuto a verificare la presenza di un sistema per effettuare la copia di sicurezza dei dati con i quali lavora. Qualora le sue competenze tecniche non consentano una verifica diretta, l'operatore è tenuto a consultare un referente informatico o il personale tecnico della U.O. Reti e Tecnologie Informatiche di riferimento, richiedendo eventualmente istruzioni per procedere al salvataggio dei dati, quando questo non sia già stato previsto. Art. 35 Distruzione dei supporti per la memorizzazione di dati I supporti di memorizzazione utilizzati per la creazione di copie dei dati o per le attività quotidiane devono essere distrutti quando, a seguito di aggiornamento degli stessi o di decadenza delle condizioni di conservazione, il contenuto fosse divenuto obsoleto. L'operazione deve essere realizzata attraverso la distruzione fisica del supporto, quando si tratti ad esempio di CD, DVD o nastri, oppure attraverso l'utilizzo di programmi specializzati, quando si tratti di hard disk. Quest'ultima attività è a carico della U.O. Tecnologie Informatiche o delle società incaricate della manutenzione degli apparati, anche quando si riciclano supporti già utilizzati, ma è compito di tutto il personale verificare la corretta gestione dei supporti di memorizzazione che ha sfruttato e che gli sono stati affidati. Art. 36 Software di manutenzione delle postazioni Le postazioni di lavoro e i server aziendali dispongono di software per la loro protezione, quali sistemi antivirus o antispyware, o sistemi per la loro manutenzione. Non è consentito disabilitare o modificare il funzionamento di qualsiasi software installato e configurato dal personale tecnico della U.O. Reti e Tecnologie Informatiche, a meno che ciò non sia stato esplicitamente autorizzato e motivato. Art. 37 Installazione di software L'installazione di qualsiasi tipo di software o periferica su di un sistema può essere condotta esclusivamente quando l'attività sia stata autorizzata da personale tecnico della U.O. Reti e Tecnologie Informatiche e successivamente alla verifica della rispondenza del software alle caratteristiche tecniche e di sicurezza stabilite da organi competenti. Qualora l'utente non abbia garanzie sulla sicurezza dei software e sulla loro innocuità, non è autorizzato ad usarli né a memorizzarli o ad utilizzare le postazioni quali strumento per la loro memorizzazione su supporti asportabili. Fanno eccezione i software e le apparecchiature installate in relazione ad attività in fase di svolgimento, esplicitamente indicate in documentazioni progettuali. Art. 38 Software e diritti di autore Non è consentita la trasmissione, la riproduzione o la duplicazione di software, né l'installazione di programmi, seppur autorizzati dal personale tecnico della U.O. Reti e Tecnologie Informatiche per le attività istituzionali ma privi di licenza d'uso, ai sensi e per gli effetti delle leggi indicate ai punti 4 e 5 dell'art 4 sulla protezione del diritto d'autore e volte a contrastare la diffusione telematica abusiva di opere dell'ingegno. Art. 39 Modifiche sull'hardware dei dispositivi Non è consentita nessuna modifica sull'hardware delle risorse aziendali, se non esplicitamente autorizzata e documentata dai tecnici della U.O. Reti e Tecnologie Informatiche di riferimento. Art. 40 La gestione di dati, software o modifiche hardware non attinenti Regolamento per l'utilizzo degli strumenti informatici 6

7 Qualora a seguito di sopralluoghi o normali attività di manutenzione il personale tecnico della U.O. Reti e Tecnologie Informatiche dovesse riscontrare violazioni agli art. 29, 31, 32, 37, 38 o 39, i dati e i software non attinenti le attività istituzionali e le modifiche hardware presenti sul sistema possono essere rimossi senza alcun preavviso. Art. 41 Strumenti di analisi del traffico dati Non è consentito per nessun motivo l'utilizzo di software o di strumenti elettronici che consentano di intercettare, modificare o sopprimere il contenuto di comunicazioni, documenti informatici o dati sul sistema ICT aziendale. PARTE IV Art. 42 Accesso ad Internet UTILIZZO DI INTERNET L'accesso ad Internet è consentito esclusivamente al personale autorizzato, a seguito di richiesta scritta e secondo la procedura aziendale prevista, e a tutte le figure esterne che, per motivi istituzionali, devono utilizzare Internet per condurre attività aziendali. Questi ultimi devono essere espressamente autorizzati dal responsabile delle attività o dal responsabile delle Tecnologie Informatiche e possono disporre di un account temporaneo, da bloccare non appena il loro intervento sia concluso. In ogni caso l'accesso ad Internet sottintende la completa accettazione del presente regolamento in ogni sua parte. Inoltre, poiché l'accesso ad Internet viene realizzato attraverso le reti GARR (La Rete dell'università e della Ricerca Scientifica Italiana) e RTRT (Rete Telematica Regione Toscana) a seconda dell'appartenenza o meno del personale a strutture universitarie, i regolamenti che le due istituzioni prevedono per l'accesso alla Rete costituiscono parte integrante del presente e vengono riportati in Allegato B. L'utilizzo della rete universitaria è consentito esclusivamente al personale esplicitamente autorizzato. Art. 43 Accesso ai siti In generale, nel rispetto delle indicazioni già fornite per l'utilizzo dei servizi informatici, la consultazione di siti Internet e l'utilizzo delle risorse da questi erogati, quali motori di ricerca, forum, blog, corsi interattivi e soprattutto wiki, deve essere condotta nel pieno rispetto delle regole di Netiquette, seguendo comportamenti corretti e leciti e comunque ai fini dell'esercizio delle proprie funzioni istituzionali. Art. 44 Download di file Non è consentito scaricare da Internet qualsiasi tipo e formato di file che non sia richiesto per lo svolgimento delle attività istituzionali; anche in questo caso è necessario verificare preventivamente l'affidabilità del sito che eroga il materiale, con lo scopo di limitare al massimo nel sistema ICT aziendale la presenza di qualsiasi forma di software maligno. In particolare, quando non sia attinente con le attività aziendali, non è consentito scaricare da Internet: 1. Immagini, formati multimediali, presentazioni, file audio e video o applicazioni e software di qualsiasi natura; 2. Documenti di qualsiasi formato e contenuto; 3. Software, applicazioni, tools per la gestione o la personalizzazione delle postazioni di lavoro o di loro periferiche quali scanner, stampanti di qualsiasi tipo, lettori multimediali, plotter, videocamere, schede audio, etichettatrici, se non espressamente autorizzati dal personale tecnico della U.O. Reti e Tecnologie Informatiche; 4. Software o pacchetti per l'aggiornamento di sistemi operativi o applicazioni ad uso aziendale, quando i medesimi non siano specificamente autorizzati dal personale tecnico della U.O. Reti e Tecnologie Informatiche. Per l'aggiornamento dei sistemi operativi presenti in azienda sono stati implementati repository controllati con le principali distribuzioni e un server dedicato all'aggiornamento dei sistemi operativi Microsoft. Art. 45 Partecipazione a chat (ICR), Webconference, sessioni multimediali È consentita la partecipazione a webconference e a sessioni di comunicazione multimediale esclusivamente con lo scopo di usufruire di corsi per l'approfondimento di tematiche specifiche legate alla formazione personale o per condurre attività comunque previste dall'azienda. Lì dove ci sia la possibilità di interazione tramite gli strumenti indicati, si è tenuti al rispetto delle consuete norme di correttezza, liceità e al rispetto della dignità e operato dei partecipanti. Non è invece consentito l'utilizzo di qualsiasi forma di chat. Art. 46 Utilizzo di strumenti di condivisione di risorse Non è assolutamente consentito l'utilizzo di qualsiasi strumento per la condivisione di risorse, documenti o distribuzione di file in generale, quali Gnutella, Kazaa, Azareus, Bittorrent o Emule, loro derivati o concorrenti. Art. 47 Utilizzo di strumenti di comunicazione vocale e video su Internet Non sono consentite le comunicazioni interpersonali audio e video su Internet, quando non espressamente autorizzate in seno di attività o progetti aziendali. In particolare non è consentito l'utilizzo di strumenti per la telefonia, IP Telephony o VoIP, quali ad esempio Skype, se non come servizi espressamente attivati e messi a disposizione dall'azienda. Regolamento per l'utilizzo degli strumenti informatici 7

8 Art. 48 Utilizzo di strumenti o servizi non forniti dall'azienda Non è consentito l'utilizzo di alcuno strumento o servizio sul sistema ICT che non sia fornito direttamente o non sia stato espressamente o implicitamente autorizzato; analoga regolamentazione subiscono i servizi usufruibili su Internet. Art. 49 Utilizzo di sistemi di anonimato e tunnelling Non è consentito l'utilizzo di sistemi che consentono la creazione di tunnel per l'accesso ad Internet in modo anonimo e per l'utilizzo di servizi che in questo modo possono sfuggire al controllo dei dispositivi di sicurezza. PARTE V ATTIVITÀ DI MONITORAGGIO Art. 50 Il monitoraggio del sistema ICT In relazione alle indicazioni contenute nella normativa vigente in materia di monitoraggio del traffico generato dalle connessioni ad Internet effettuate tramite le infrastrutture messe a disposizione da fornitori di servizi di telecomunicazione, con lo scopo di tutelare l'azienda da attività illecite esercitate tramite le risorse informatiche, ma soprattutto con lo scopo di tutelare il patrimonio informativo, viene monitorato il traffico generato dagli accessi ad Internet da parte delle postazioni della Rete di Campus e controllato il traffico in accesso ai principali servizi e banche dati aziendali. Le informazioni relative al traffico Internet sono memorizzate in modo sicuro e non vengono utilizzate se non per motivi tecnici, in presenza di incidenti o di indagini disciplinari o giudiziarie; il traffico generato all'interno della Rete di Campus viene monitorato esclusivamente da strumenti in grado di rilevare la presenza di tentativi di attacco nei confronti delle risorse aziendali. Art. 51 Il monitoraggio del traffico Intranet La Rete di Campus consente a tutte le postazioni l'utilizzo dei servizi informatici aziendali. Per tutelare le risorse aziendali da comportamenti illeciti, è predisposto un sistema di rilevazione delle intrusioni (Intrusion Detection System) che ha lo scopo di riconoscere, tra le attività condotte sulla rete, quei comportamenti assimilabili ad un tentativo di attacco nei confronti delle risorse stesse, con lo scopo di raggiungere informazioni o risorse per i quali non si dispone di diritti di accesso. Le informazioni rilasciate dagli strumenti di IDS possono essere utilizzate esclusivamente per rilevare lacune nel sistema di sicurezza informatico o comportamenti anomali condotti dai dispositivi collegati alla rete di Campus e non viene tenuta traccia delle attività su essa condotte. Art. 52 Il monitoraggio del traffico Internet Le attività svolte su Internet dagli utenti, costituite dai collegamenti a siti, posta elettronica e utilizzo di servizi Internet, vengono monitorate e le informazioni relative vengono conservate per tempi ritenuti idonei agli interessi aziendali e nel rispetto della normativa vigente; i dati vengono conservati in modo sicuro e non sono accessibili se non per attività istituzionali o su richiesta degli organi giudiziari. PARTE VI PROVVEDIMENTI DISCIPLINARI Art. 53 Provvedimenti derivanti dalla violazione del regolamento La violazione delle norme individuate dal Regolamento per l'utilizzo degli strumenti informatici può costituire, a seconda dei casi, un semplice caso di comportamento non consono alle attività istituzionali o un caso di comportamento lesivo nei confronti degli interessi aziendali. Nel primo caso gli effetti della violazione possono portare a conseguenze limitate alla sfera individuale o relative a rapporti inter personale, nel secondo caso possono essere messi in gioco interessi economici dell'azienda, derivanti da responsabilità della stessa per la proprietà degli strumenti informatici con i quali possono essere condotte attività illecite, o per la responsabilità esistente sull'operato dei propri dipendenti. In tutti i casi in cui la violazione può essere assimilata a contesti normati da altri regolamenti, questi risulteranno di riferimento per la valutazione del caso. Art. 54 Principali violazioni e loro peso Nel seguito vengono indicati gli articoli che individuano le violazioni di maggiore gravità, raggruppandoli per classi di importanza decrescente: I Classe, violazioni agli: Art. 12 (La riservatezza della password), Art. 22 (L'utilizzo della rete locale), Art. 25 (L'utilizzo di accessi ad Internet alternativi), Art. 37 (Installazione di software), Art. 41 (Strumenti di analisi del traffico dati), Art. 44 (Download di file), Art. 46 (Utilizzo di strumenti di condivisione di risorse), Art. 49 (Utilizzo di sistemi di anonimato e tunnelling); II Classe, violazione agli: Art 14 (Gestione delle credenziali), Art. 15 (Aggiornamento delle credenziali), Art 17 (sulle Norme Comportamentali), Art 18 (La divulgazione di informazioni), Art. 27 (La conoscenza accidentale di dati riservati), Art. 31 (Dati soggetti a Privacy), Art. 34 (Copia di sicurezza dei dati), Art. 35 (Distruzione dei supporti per la memorizzazione di dati), Art. 36 (Software di manutenzione delle postazioni), Art. 42 (Accesso ad Internet), Art. 45 (Partecipazione a chat (ICR), Webconference, sessioni multimediali), Art. 47 (Utilizzo di strumenti di comunicazione vocale e video su Internet); Regolamento per l'utilizzo degli strumenti informatici 8

9 La III Classe è costituita dai rimanenti articoli del regolamento. Art. 55 Responsabilità civili, penale ed erariali È fatto espresso avvertimento che dall'utilizzo scorretto o non autorizzato degli strumenti informatici aziendali potrebbero derivare responsabilità personali sia in ambito civile che penale ed erariale nei confronti dell'azienda o terzi. A tal proposito l'azienda è espressamente manlevata e tenuta indenne dal responsabile per ogni pretesa risarcitoria, in qualsiasi sede, conseguente ad un uso scorretto o non autorizzato delle risorse aziendali. PARTE VII MODALITÀ DI AGGIORNAMENTO DEL REGOLAMENTO Art. 56 Il regolamento e gli allegati Il presente regolamento è da intendersi come documento generale di riferimento per regolare l'utilizzo degli strumenti informatici e contiene indicazioni globalmente valide. Poiché l'evoluzione tecnologica degli strumenti può prevedere la necessità di fornire indicazioni precise e dedicate a particolari dispositivi è possibile aggiornare il regolamento con indicazioni specifiche, eventualmente da inserire sotto forma di allegati, il cui elenco è fornito nell'articolo 4. Art. 57 Modifiche del regolamento e allegati Il presente regolamento viene prodotto e approvato da un gruppo di lavoro costituito da personale amministrativo e tecnico, con supporto legale, ed è soggetto a revisione almeno annuale, per poter aggiornare una materia in costante innovazione. Allegato A La Netiquette: Da Wikipedia, l'enciclopedia libera. La Netiquette, parola derivata dalle parole della lingua francese etiquette (buona educazione) e net (rete) o network, è un insieme di regole che guidano il comportamento di un utente su un newsgroup, mailing list, forum o e mail in genere. Il rispetto della netiquette non è imposto da alcuna legge, ma si fonda su una convenzione ormai di generale condivisione. Sotto un aspetto giuridico, la netiquette è spesso richiamata nei contratti di fornitura di servizi di accesso da parte dei provider. Il mancato rispetto della netiquette comporta una generale disapprovazione da parte degli altri utenti della Rete, che porta frequentemente ad un isolamento del soggetto "maleducato" e talvolta la richiesta di sospensione di alcuni servizi utilizzati per compiere atti contrari ad essa (solitamente la e mail e usenet). N E T I Q U E T T E Etica e norme di buon uso dei servizi di rete Fra gli utenti dei servizi telematici di rete, prima fra tutte la rete Internet, ed in particolare fra i lettori dei servizi di "news" Usenet, si sono sviluppati nel corso del tempo una serie di "tradizioni" e di "principi di buon comportamento" (galateo) che vanno collettivamente sotto il nome di "netiquette". Tenendo ben a mente che la entita' che fornisce l'accesso ai servizi di rete (provider, istituzione pubblica, datore di lavoro, etc.) puo' regolamentare in modo ancora piu' preciso i doveri dei propri utenti; riportiamo in questo documento un breve sunto dei principi fondamentali della "netiquette", a cui tutti sono tenuti ad adeguarsi. 1. Quando si arriva in un nuovo newsgroup o in una nuova lista di distribuzione via posta elettronica, e' bene leggere i messaggi che vi circolano per almeno due settimane prima di inviare propri messaggi in giro per il mondo: in tale modo ci si rende conto dell'argomento e del metodo con cui lo si tratta in tale comunita'. 2. Se si manda un messaggio, e' bene che esso sia sintetico e descriva in modo chiaro e diretto il problema. 3. Non divagare rispetto all'argomento del newsgroup o della lista di distribuzione. 4. Se si risponde ad un messaggio, evidenziare i passaggi rilevanti del messaggio originario, allo scopo di facilitare la comprensione da parte di coloro che non lo hanno letto, ma non riportare mai sistematicamente l'intero messaggio originale. 5. Non condurre "guerre di opinione" sulla rete a colpi di messaggi e contromessaggi: se ci sono diatribe personali, e' meglio risolverle via posta elettronica in corrispondenza privata tra gli interessati. 6. Non pubblicare mai, senza l'esplicito permesso dell'autore, il contenuto di messaggi di posta elettronica. 7. Non pubblicare messaggi stupidi o che semplicemente prendono le parti dell'uno o dell'altro fra i contendenti in una discussione. Leggere sempre le FAQ (Frequently Asked Questions) relative all'argomento trattato prima di inviare nuove domande. 8. Non inviare tramite posta elettronica messaggi pubblicitari o comunicazioni che non siano stati sollecitati in modo esplicito. Regolamento per l'utilizzo degli strumenti informatici 9

10 9. Non essere intolleranti con chi commette errori sintattici o grammaticali. Chi scrive, e' comunque tenuto a migliorare il proprio linguaggio in modo da risultare comprensibile alla collettività. Alle regole precedenti, vanno aggiunti altri criteri che derivano direttamente dal buon senso: a) La rete e' utilizzata come strumento di lavoro da molti degli utenti. Nessuno di costoro ha tempo per leggere messaggi inutili o frivoli o di carattere personale, e dunque non di interesse generale. b) Qualunque attivita' che appesantisca il traffico sulla rete, quale per esempio il trasferimento di archivi voluminosi, deteriora il rendimento complessivo della rete. Si raccomanda pertanto di effettuare queste operazioni in orari diversi da quelli di massima operativita' (per esempio di notte), tenendo presenti le eventuali differenze di fuso orario. c) Vi sono sulla rete una serie di siti server (file server) che contengono in copia aggiornata documentazione, software ed altri oggetti disponibili sulla rete. Informatevi preventivamente su quale sia il nodo server piu' accessibile per voi. Se un file e' disponibile su di esso o localmente, non vi e' alcuna ragione per prenderlo dalla rete, impegnando inutilmente la linea e impiegando un tempo sicuramente maggiore per il trasferimento. d) Il software reperibile sulla rete puo' essere coperto da brevetti e/o vincoli di utilizzo di varia natura. Leggere sempre attentamente la documentazione di accompagnamento prima di utilizzarlo, modificarlo o re distribuirlo in qualunque modo e sotto qualunque forma. Comportamenti palesemente scorretti da parte di un utente, quali: violare la sicurezza di archivi e computers della rete; violare la privacy di altri utenti della rete, leggendo o intercettando la posta elettronica loro destinata; compromettere il funzionamento della rete e degli apparecchi che la costituiscono con programmi (virus, trojan horses, ecc.) costruiti appositamente; costituiscono dei veri e propri crimini elettronici e come tali sono punibili dalla legge. Per chi desiderasse approfondire i punti qui trattati, il documento di riferimento e' RFC1855 "Netiquette Guidelines", ed anche RFC2635 "A Set of Guidelines for Mass Unsolicited Mailings and Postings" disponibili sulla rete presso: i. ftp://ftp.nic.it/rfc/rfc1855.txt ii. ftp://ftp.nic.it/rfc/rfc2635.txt Allegato B I regolamenti di accesso ad Internet del GARR e della rete RTRT 1. b regolamenti.shtml 2. Allegato C Regole e suggerimenti per il corretto utilizzo degli strumenti informatici Per l'utilizzo delle postazioni di lavoro e più in generale delle risorse informatiche aziendali, oltre alle indicazioni contenute nel regolamento è necessario consultare l'appendice C del Documento Programmatico sulla Sicurezza, pubblicato sul sito intranet sotto la voce Privacy. Regolamento per l'utilizzo degli strumenti informatici 10