LA GIUNTA COMUNALE. VISTO, ai sensi del Regolamento sui controlli interni Il Segretario Generale F.to Dott. Antonio LOMBARDI

Transcript

1 LA GIUNTA COMUNALE CONSIDERATO: che seguito della cessazione del servizio di assistenza e manutenzione della rete wireless offerto ai Comuni aderenti al PIT Marmo Platano Melandro, si reso è necessario ed urgente provvedere alla attivazione della linea ADSL presso l Ufficio Comune dell Area Programma Marmo Platano Melandro, di c/da Perolla, agro del Comune di Savoia di Lucania, assegnato a questo ente quale Amministrazione Capofila, da mettere a disposizione dei dipendenti inseriti nel ruolo speciale ad esaurimento con DGR n.1536/2011 presso di esso distaccati, per lo svolgimento delle attività istituzionali, con l obbligo di sottoscrivere regolare contratto con la ditta fornitrice del servizio. che successivamente alla attivazione della connessione ad internet realizzata nell ambito dell Ufficio Comune la Metis s.r.l. da Picerno, ditta fornitrice del servizio, ha richiesto la firma del contratto necessario per l assunzione della responsabilità e per l autorizzazione al trattamento dei dati personali. che da qui la necessità e l urgenza di realizzare sempre con la citata Società un LOG server per l archiviazione delle connessione degli utenti e realizzazione di un sistema per l autenticazione delle postazioni, consulenza per la redazione dei documenti interni per l utilizzo della rete medesima. RICHIAMATO il principio generale che l utilizzo delle risorse aziendali, normalmente utilizzate nell ambito del rapporto di lavoro da parte dei dipendenti deve sempre ispirarsi a criteri di diligenza e correttezza. RILEVATO che l Autorità Garante per la Privacy con delibera n.13 del 1 marzo 2007 ha inteso precisare che è opportuno da parte dei datori di lavoro adottare un disciplinare interno adeguatamente da pubblicizzare anche ai fini dell esercizio del potere disciplinare. RITENUTO dover adottare un apposito Regolamento per l accesso alla rete internet e alla postazione di lavoro in cui è tra l altro precisato che gli stessi sono strumenti aziendali e come tali soggetti a controllo secondo i principi di cui alla citata delibera n.13/2007 e della normativa in tema di protezione dei dati personali, D.Lgs 30 giugno 2003, n.196, codice privacy. VISTO le norme vigenti in materia (L.n.241/1990, Ln.15/2000, D.P.R. 445/2000, DLgs. nn.242/1996, 626/1994, 196/2003, 82/2005. VISTO il Regolamento per l accesso alla rete internet e alla postazione di lavoro, allegato e parte integrante del presente provvedimento, con il quale questa Amministrazione intende stabilire le regole per l accesso alla rete internet messo a disposizione dei dipendenti per l esercizio delle attività istituzionali. TENUTO conto che il citato Regolamento si applica a tutti i dipendenti e non, senza distinzione di ruolo e/o di livello, in servizio presso l Ufficio Comune dell Area Programma Marmo Platano Melandro. ruolo speciale ad esaurimento con DGR n.1536/2011 e distaccato presso l Ufficio Comune dell Area Programma Marmo Platano Melandro Approvazione accertato che non comporta impegno di spesa tale da non determinare riflessi diretti o indiretti sulla situazione economica-finanziaria o sul patrimonio dell ente, in quanto non si deve sostenere alcuna spesa, si esprime parere favorevole. Il Responsabile del Servizio Finanziario F.to Rag. Angela TORNINCASA VISTO, ai sensi del Regolamento sui controlli interni Il Segretario Generale F.to Dott. Antonio LOMBARDI Con voti favorevoli ed unanimi espressi a scrutinio palese; D E L I B E R A 1. Approvare, come in effetti approva, il Regolamento per l accesso alla rete internet e alla postazione di lavoro, composto da n.9 pagine, allegato e parte integrante e sostanziale del presente atto. 2. Dare atto che il sopracitato Regolamento è stato già adeguatamente pubblicizzato mediante notifica a tutto il personale dipendente in servizio presso l Ufficio Comune dell Area Programma Marmo Platano Melandro, di c/da Perolla, agro del Comune di Savoia di Lucania unitamente al modulo da compilare e restituire quale dichiarazione di assunzione di responsabilità per l accesso alla rete internet e alla postazione di lavoro. 3. Dare atto che il sopracitato Regolamento entra in vigore con decorrenza immediata. VISTO i pareri di seguito riportati: PARERI AI SENSI DELL ART.49, COMMA 1, DEL D.L.GS. N.267/2000 E S.M.I. PARERE DI REGOLARITA TECNICA Il sottoscritto Responsabile dell Unità di Progetto Struttura di Staff, Ufficio Affari Generali e Risorse Umane, esaminata la seguente proposta di deliberazione della Giunta Comunale: Regolamento per l accesso alla rete internet e alla postazione di lavoro per il personale inserito nel ruolo speciale ad esaurimento con DGR n.1536/2011 e distaccato presso l Ufficio Comune dell Area Programma Marmo Platano Melandro Approvazione in ordine alla regolarità tecnica, esprime parere FAVOREVOLE all adozione della medesima. Si attesta, inoltre, ai sensi dell art.147 bis del TUEL n.267/2000 e s.m.i., che con l adozione della proposta di deliberazione su cui è stato richiesto il parere viene assicurata la regolarità e correttezza dell azione amministrativa secondo i principi costituzionali e legislativi che regolano l attività della Pubblica Amministrazione. Il Responsabile del Servizio F.to Rag. Giovanni GUERRIERO PARERE DI REGOLARITA CONTABILE La sottoscritta Responsabile del Servizio Finanziario esaminata l allegata proposta di deliberazione della Giunta Comunale: Regolamento per l accesso alla rete internet e alla postazione di lavoro per il personale inserito nel

2 AREA PROGRAMMA MARMO PLATANO MELANDRO (Legge Regionale 30 dicembre 2010, n.33, art.23) Sede: Centro Servizi di Zona, C.da Perolla snc Savoia di Lucania (PZ) AMMINISTRAZIONE CAPOFILA: COMUNE DI TITO (PZ) (Deliberazione della Conferenza dei Sindaci n.3 del 15 gennaio 2011) Via Municipio Tito ( PZ ) P.E.C.:comune.tito.pz@cert.ruparbasilicata.it Sito web: REGOLAMENTO per l accesso alla rete internet e alla postazione di lavoro Il presente Regolamento: - raccoglie i principi generali espressi dalle politiche di sicurezza nell uso dei sistemi, dei servizi di rete e della sicurezza informatica. - detta le regole minime da rispettare e i comportamenti da adottare nell'ambito della rete internet realizzata nell ambito dell Ufficio Comune dell Area Programma Marmo Platano Melandro, con sede presso il Centro Servizi di Zona - c/da Perolla snc, agro del Comune di Savoia di Lucania (PZ). Obiettivo fondamentale è quello di evidenziare a tutto il personale, dipendente e non che usufruisce di questi sistemi, quali sono le disposizioni a cui attenersi nell uso della rete internet e delle postazioni e gli obblighi nei confronti della legge. Tutti gli utenti che fanno uso, a qualunque titolo, di sistemi informatici connessi alla rete locale di che trattasi, sono tenuti a conoscere e a rispettare il presente Regolamento. Ogni azione che disattende quanto disposto nel presente Regolamento verrà considerata una violazione della sicurezza e, come tale, comporterà la revoca dell'accesso alla rete internet. Qualora si renda necessario intervenire al fine di mantenere la sicurezza del sistema, il Segretario Generale si riserva il diritto di accedere al sistema informatico per monitorare e controllare quanto necessario nel rispetto della presente politica di sicurezza ma prestando la giusta attenzione alla riservatezza dei dati personali (ai sensi della legge 675/96). L accesso alla rete e alle postazioni si può limitare e/o proibire in presenza di qualsiasi violazione o uso maldestro della stessa. Le seguenti regole devono essere pertanto seguite da tutti gli utenti e, per quanto non specificato nel presente documento, si invita ad assumere un atteggiamento ispirato alla correttezza e alla buona fede. Accesso alla rete il Segretario Generale individua un Referente Informatico con il compito di coordinare ed amministrare le necessità telematiche. Il Referente valuta, altresì, la fattibilità di ogni progetto e/o attività che prevede un applicazione informatizzata in concerto con il proponente al fine di evitare eventuali situazioni di rischio dovute all'esposizione ai pericoli della rete pubblica richiedendo, se necessario, l adozione di specifiche misure di sicurezza. La connessione alla rete locale di che trattasi è consentita, previa richiesta formale e relativa autorizzazione. L'accesso alle rete internet è riservato al personale in servizio dipendente e non. Le modalità per usufruire di tale accesso prevedono la presentazione di una richiesta, opportunamente sottoscritta, effettuata mediante il modulo di accettazione. Nel sottoscrivere la dichiarazione si formula la totale accettazione delle politiche di sicurezza del Servizio. Per l'utilizzo della rete internet da parte di assegnisti, borsisti, dottorandi e collaboratori a vario titolo, la richiesta deve essere presentata ed avallata da chi ha in

3 carico il potenziale utente, tutor o chiunque esso sia, il quale assumerà la responsabilità dell operato del medesimo. Si fa presente che l'account di posta assegnato all'utente temporaneo, sarà revocato dopo 15 giorni dalla scadenza del rapporto con l'ente. Uso di macchine personali La connessione alla rete internet di macchine personali, quali personal computer, palmari ecc, è severamente vietato, salvo per motivate ragioni debitamente esposte nella formale richiesta. Ogni richiesta è soggetta al vaglio del Referente Informatico individuato. Aggiunta di nuovi punti di accesso alla rete Qualora si rendesse necessario aggiungere in un ufficio un nuovo punto permanente di accesso alla rete è necessario presentare richiesta formale al Referente informatico. E' severamente vietato aggiungere hub per duplicare le porte senza aver ottenuto la dovuta autorizzazione. Installazione di altre apparecchiature di rete Non e consentita l installazione di apparecchiature di rete quali Router, Access Point Wireless, Modem o altre apparecchiature senza l esplicito consenso e autorizzazione. Misure preventive di protezione (Filtri/Firewall) L applicazione di filtri (livello router/firewall) consente di evitare l esposizione delle macchine ad alcuni pericoli della rete. Considerando le diverse esigenze/necessità di utilizzo della rete si è stabilito un profilo standard. Per tutte le altre esigenze è necessario fare richiesta al Referente informatico. Cosa non e consentito fare fornire a soggetti non autorizzati all'accesso alle postazioni e alla rete il servizio di connettività di rete o altri servizi che la includono, compreso l utilizzo delle postazioni. utilizzare servizi o risorse di Rete, collegare apparecchiature o servizi o software alla Rete, diffondere virus, hoaxes o altri programmi in un modo che danneggi, molesti o perturbi le attività di altre persone, utenti o i servizi disponibili e su quelle ad essa collegate. creare o trasmettere (se non per scopi strettamente collegati alle attività istituzionali) qualunque immagine, dato o altro materiale offensivo, diffamatorio, osceno, indecente, o che attenti alla dignità umana, specialmente se riguardante il sesso, la razza o il credo. trasmettere materiale commerciale e/o pubblicitario non richiesto ("spamming"), nonché permettere che le proprie risorse siano utilizzate da terzi per questa attività. danneggiare, distruggere, cercare di accedere senza autorizzazione ai dati o violare la riservatezza di altri utenti, compresa l'intercettazione o la diffusione di parole di accesso (password), chiavi crittografiche riservate e ogni altro dato personale come definito dalle leggi sulla protezione della privacy. svolgere sulla rete e sulle postazioni ogni altra attività vietata dalla Legge dello Stato, dalla normativa Internazionale, nonchè dai regolamenti e dalle consuetudini. La responsabilità del contenuto dei materiali prodotti e diffusi attraverso la Rete è delle persone che li producono e diffondono. Nel caso di persone che non hanno raggiunto la maggiore età, la responsabilità può coinvolgere anche le persone che la legge indica come tutori dell attività dei minori. I soggetti autorizzati (S.A.) all'accesso alla rete e alle postazioni, possono utilizzare la Rete per tutte le proprie attività istituzionali. Si intendono come attività istituzionali tutte quelle inerenti allo svolgimento dei compiti previsti dallo statuto di un soggetto autorizzato, comprese le attività all'interno di convenzioni o accordi approvati dai rispettivi organi competenti, purchè l'utilizzo sia a fini istituzionali. Rientrano in particolare nelle attività istituzionali, le funzioni amministrative dei soggetti e tra i soggetti autorizzati all'accesso e le attività di ricerca per conto terzi, con esclusione di tutti i casi esplicitamente non ammessi dal presente documento. Tutti gli utenti a cui vengono forniti accessi alla rete e alle postazioni devono essere riconosciuti ed identificabili. Devono perciò essere attuate tutte le misure che impediscano l'accesso a utenti non identificati. Di norma gli utenti devono essere dipendenti del soggetto autorizzato, anche temporaneamente, all'accesso alla rete e alle postazioni. Per quanto riguarda i soggetti autorizzati all'accesso alla rete ed alle postazioni (S.A.) gli utenti possono essere anche persone temporaneamente autorizzate da questi in virtù di un rapporto di lavoro a fini istituzionali. È responsabilità dei soggetti autorizzati all'accesso, anche temporaneo, alla rete ed alle postazioni di adottare tutte le azioni ragionevoli per assicurare la conformità delle proprie norme con quelle qui esposte e per assicurare che non avvengano utilizzi non ammessi della rete e delle postazioni. Ogni soggetto con accesso alla rete ed alle postazioni deve inoltre portare a conoscenza dei propri utenti (con i mezzi che riterrà opportuni) le norme contenute in questo documento. L'accesso alla rete ed alle postazioni è condizionato all'accettazione integrale delle norme contenute in questo documento. E inoltre vietato (a livello di rete locale): configurare servizi già messi a disposizione in modo centralizzato, quali DNS (Domain Name Service), DHCP (Dynamic Host Configuration Protocol), SMTP (Simple Mail Transfer Protocol) server-relay, accesso remoto; modem dial-in/out. effettuare operazioni di routing, bridging, tunneling. intercettare pacchetti sulla rete utilizzando sniffer o software analoghi. Si ricorda che la violazione di questa norma può costituire la violazione di alcune disposizioni di legge che regolamentano la trasmissione elettronica di dati e quindi costituiscono un reato.

4 Le seguenti attività vietate possono essere svolte, a scopo di monitoraggio e per garantire la sicurezza, solo da personale preventivamente autorizzato e nel rispetto delle norme vigenti sulla riservatezza dei dati personali: Analisi del traffico di rete con strumenti di Intrusion Detection. Port scan e/o uso di altri strumenti/procedure (hardware/software) che potenzialmente sono in grado di consentire l analisi del traffico di rete. Misure minime di sicurezza richieste agli utenti In questa sezione sono elencate le misure di sicurezza generali minime a cui tutti gli utenti sono tenuti ad attenersi. Misure di sicurezza generali Di seguito si elencano una serie di misure di carattere generale che ogni utente dovrebbe seguire ai fini della sicurezza informatica del proprio sistema e dei propri dati: segnalare ogni sospetto di possibile intrusione e ogni altra stranezza nel funzionamento del sistema. non comunicare e rendere note le proprie password di accesso né concedere ad altri l'uso del proprio account, del quale l utente è pienamente responsabile. non utilizzare la propria password per/da connessioni remote non sicure. utilizzare programmi antivirus e provvedere regolarmente all'aggiornamento. controllare sempre i documenti allegati alla posta e in particolare: 1. non utilizzare la funzione di preview automatico. 2. non aprite allegati che il software anti-virus ha segnalato come potenzialmente pericolosi. 3. non aprite provenienti da sconosciuti specialmente se il campo Subject/Soggetto: è bianco o contenente lettere e numeri che non hanno senso. indica che siete vincitori di qualcosa (soldi o altro) in un contesto di cui siete estranei. è una notifica di un vostro problema con istruzioni per installare software di aggiornamento sulla vostra macchina. è una notifica di errore nell addebito di un servizio che non usate. è una richiesta di cancellazione del vostro nominativo da liste a cui non vi siete mai iscritti. chiudere eventuali collegamenti remoti e impedire l'accesso alla consolle terminando la sessione corrente quando un computer rimane inutilizzato. utilizzare con cautela programmi gratuiti (o shareware) prelevati da siti Internet o in allegato a riviste o libri. utilizzare con cautela programmi di tipo IRC, ICQ o Napster, (Peer-to-Peer) potenzialmente pericolosi. utilizzare (per gli utenti che possono accedere alle risorse di calcolo remote) SSH (anziché telnet) e SCP/SFTP (anziché ftp), che permettono di aprire sessioni remote o trasferire file trasmettendo le password in formato criptato. se vengono utilizzate pen drive, dischi esterni o similari, rispettare le seguenti prescrizioni: 1. sottoporre a scansione antivirus i dischi di provenienza incerta, già adoperati in precedenza o preformattati. 2. proteggere in scrittura i dischi di boot, di installazione o contenenti programmi eseguibili. 3. eseguire il back-up periodico dei propri dati. 4. verificare periodicamente la correttezza delle procedure di recupero da back-up. Misure specifiche per gli utenti privilegiati (root e administrator) Gli utenti privilegiati devono prestare particolare attenzione a: utilizzare la propria autorità con moderazione e responsabilmente. limitare altri accessi privilegiati al proprio sistema. utilizzare l'accesso ordinario per accedere ai propri file personali, limitando l'accesso privilegiato a operazioni di amministrazione del sistema.

5 devono scegliere le proprie password con particolare attenzione, evitando di utilizzare la stessa password per diversi account e cambiandola regolarmente. Si ricorda inoltre che: 1. è vietato installare programmi di monitoraggio pacchetti (network snooping). 2. è vietato installare programmi di intercettazione password (sniffing). 3. per motivi di sicurezza è fatto divieto di usare programmi come IRC, ICQ, MSN, e- Mule come utente privilegiato essendo programmi potenzialmente pericolosi. certi della fonte di provenienza e della loro effettiva natura. Installare se opportuno, un software di Personal FireWall e/o di prevenzione da Spyware o Spybot oltre all anti-virus. Responsabilità dell utente finale L'accesso alle risorse di rete dell utente è personale e non può essere condiviso o ceduto. Inoltre l utente è tenuto a: proteggere il proprio account mediante l uso di password sicure; Consigli per la scelta della password: Misure di sicurezza specifiche per gli utenti di sistemi Windows-Microsoft 1. Evitare di utilizzare l'account di Amministratore, se non strettamente necessario. 2. Eseguire periodicamente le operazioni automatiche di aggiornamento Windows attivabili da Start - Windows update, o attraverso il sito ufficiale Microsoft. la password deve avere almeno 7 caratteri ed essere composta da lettere maiuscole e minuscole, numeri e caratteri speciali. & ^ % $ #, evitare parole del dizionario (qualunque lingua!), nomi propri o geografici, cambiare regolarmente la password, al massimo ogni due mesi, evitare di usare la stessa password su sistemi diversi, 3. Installare, dove possibile, il software Microsoft Windows critical update notification, attivabile anch'esso dalle pagine Web di Microsoft. 4. Non utilizzare Internet Explorer ma browser alternativi più sicuri come Mozilla Firefox. Se proprio si usa Internet Explorer operare le seguenti fasi: disattivare l'opzione di completamento automatico (strumenti opzioni Internet - completamento automatico) perché memorizza le password. disattivare l'esecuzione automatica di cookies e scripts (ActiveX, Java,...) in strumenti - opzioni Internet - Security - Custom, in modo da poter scegliere quali eseguire e quali rifiutare. Posta elettronica: evitare l uso di Outlook o Outlook Express. Utilizzare come client Mozilla Thunderbird. impostare il browser di posta in modo da mostrare solo le intestazioni dei messaggi senza aprirli automaticamente; evitare di aprire messaggi di posta con allegati *.vbs (Visual Basic Script) o eseguibili, quando provengano da mittenti poco sicuri o sconosciuti; evitare di diffondere messaggi di tipo Catene di S. Antonio se non si è assolutamente non utilizzare procedure per l'accesso che contengano la password. installare sul computer solo software dotato di regolare licenza; segnalare immediatamente ogni sospetto di effrazione, incidente, abuso o violazione della sicurezza compilando l apposito modulo di Incidente o via . Modalità per la richiesta di accesso alla rete internet ed alla postazione di lavoro Come già accennato, per usufruire dell'accesso alla rete internet ed alla postazione di lavoro, è necessario compilare, sottoscrivere e consegnare l allegato modulo di dichiarazione di assunzione di responsabilità contenente i seguenti dati: Nome e cognome dell utente Indirizzo IP assegnato Maschera di rete Gateway; Indirizzo MAC adress della scheda Wi-Fi Scheda Ethernet della macchina;