Regolamento per l utilizzo delle Risorse di Calcolo e Reti dell Università della Basilicata

Transcript

1 Regolamento per l utilizzo delle Risorse di Calcolo e Reti dell Università della Basilicata Centro Interfacoltà per i Servizi Informatici e Telematici Il presente documento si trova all URL: Potenza, 30 settembre 2003 Regolamento 1/43 23/09/2003

2 Premessa... 4 Parte Prima Oggetto e finalità del regolamento Criteri generali Definizioni generali Risorse di Calcolo e Rete Soggetti Organi di riferimento Persone di riferimento Referente Informatico Amministratore di Sistema Amministratore di Rete Amministratore di Dominio Responsabile di Struttura Modalità di accesso alle risorse di calcolo e reti Soggetti che possono accedere alle Risorse di Calcolo e Rete Responsabilità degli utenti Divieti e limiti di utilizzo Protezione dei dati, delle informazioni e degli applicativi Misure di sicurezza adottate dal CISIT Misure in caso di non osservanza delle presenti norme Norme transitorie e finali Parte Seconda Introduzione alla sicurezza dei sistemi informatici Sicurezza Vulnerabilità Metodologie Prevenzione: aspetti organizzativi Password Regole di comportamento Misure di sicurezza richieste agli utenti Misure generali Consigli per la scelta della password Misure specifiche per tutti gli utenti Misure specifiche per gli utenti privilegiati Misure di sicurezza specifiche per utilizzatori di Windows Parte terza Normativa vigente Legislazione vigente Introduzione al Crimine Informatico in Italia Reati penali Tipologia dei reati della Legge 23 dicembre 1993 n Esercizio arbitrario delle proprie ragioni con violenza sulle cose (Art. 392) Delitti contro l ordine pubblico (Art. 420) Falsificazione di documenti informatici (Art. 491bis) Dati/documenti informatici Accesso abusivo a un sistema informatico o telematico (Art. 615 ter) Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (Art. 4 Legge 23 dicembre 1993 n. 547) Violazione dei segreti (Art. 5) Regolamento 2/43 23/09/2003

3 Art. 616 c.p. comma Violazione dei segreti (Art. 6 Legge 23 dicembre 1993 n. 547) Violazione dei segreti (Art. 621) Delitti contro il patrimonio (Art. 635) Delitti contro il patrimonio (Art. 10) Conseguenze dell introduzione dei crimini informatici Nascita in Italia della legge 675/96 sulla tutela dei dati personali Obiettivi della legge sulla privacy Provvedimenti in merito alla legge 675 / Definizione di dati personali Figure coinvolte nel trattamento dei dati Obblighi del Titolare Modalità di raccolta e trattamento Diritti dell interessato Comunicazione e diffusione dei dati Cessazione del trattamento Dati Particolari Protezione dei sistemi informatici da attacchi esterni "Obblighi di controllo" del datore di lavoro "Datore di lavoro" e delega di funzioni Considerazioni sul diritto al segreto e diritto alla riservatezza alla luce della Legge n. 675/1996 (tratto liberamente da un contributo della Dott.ssa Michela Massimi) Riferimenti Acceptable Use Policy della rete GARR Dichiarazione di Assunzione e di Responsabilità Regolamento 3/43 23/09/2003

4 Premessa Il presente documento (approvato dal Comitato Tecnico Scientifico del Centro Interfacoltà per i Servizi Informatici e Telematici nell adunanza del XXXXXXX) fornisce la descrizione delle regole da rispettare e dei comportamenti da adottare nell'ambito dell Università degli Studi della Basilicata al fine di armonizzare i servizi informatici erogati dall'ateneo, sia ad uso interno che esterno in ogni struttura e funzione, comprendendo le componenti hardware, software, procedurali e organizzative ed in materia di sicurezza informatica. Il testo approvato del Regolamento fa riferimento all attuale normativa (basata essenzialmente sulla Legge 675/1996 "Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali del 31 dicembre 1996). Nel frattempo il Governo ha presentato un nuovo testo omnicomprensivo ispirato all'introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione. il Testo Unico in materia di protezione dei dati personali denominato "Codice in materia di protezione dei dati personali", definitivamente approvato dal Consiglio dei ministri il 27 giugno 2003 e pubblicato nella Gazzetta Ufficiale del 29 luglio 2003, Serie generale n. 174, Supplemento ordinario n. 123/L (decreto legislativo 30 giugno 2003, n. 196). Tale provvedimento, sulla base dell'esperienza di 6 anni, riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene anche importanti innovazioni tenendo conto della "giurisprudenza" del Garante e della direttiva UE 2002/58 sulla riservatezza nelle comunicazioni elettroniche. Il Codice, che rappresenta il primo tentativo di conformare le innumerevoli disposizioni relative anche in via indiretta alla privacy, entrerà in vigore quasi integralmente il 1 gennaio 2004 e sostituirà la Legge n. 675 e molte disposizioni di legge e di regolamento. Per tale motivo, nelle more dell entrata in vigore della nuova normativa, il testo del presente Regolamento viene approvato nella versione attuale con l impegno di effettuare tutte le modifiche che si renderanno necessarie entro 12 mesi. Il Regolamento per l utilizzo delle Risorse di Calcolo e Reti dell Università della Basilicata é costituito da: Premessa; Parte Prima Regolamento disciplinante le modalità di accesso a di utilizzo delle Risorse di Calcolo e Reti dell Università degli Studi della Basilicata; Parte Seconda Misure di sicurezza richieste agli utenti delle postazioni informatiche pubbliche e private connesse alla rete telematica d Ateneo; Parte Terza Definizioni e Normativa vigente a livello nazionale; Modulo contenente la Dichiarazione di Assunzione di Responsabilità che ogni utente deve sottoscrivere, contenente l'accettazione integrale delle regole sull'utilizzo delle risorse di calcolo. Una clausola speciale riguarda gli utenti privilegiati che hanno pieno controllo dei propri computer (come root o Administrator): questi utenti dovranno assumersi formalmente la piena responsabilità della macchina, del software installato e del suo corretto utilizzo; Regolamento 4/43 23/09/2003

5 Aggiornamenti (on-line sulla URL L'obiettivo del presente documento é quello di fornire un'informazione, per quanto possibile semplice e completa, sugli argomenti connessi all utilizzo delle risorse di calcolo e reti. Le informazioni contenute sono di carattere esclusivamente generale e non riguardano fatti specifici relativi ad persona o gruppo di persone; al tempo stesso quanto contenuto nel documento non é sempre necessariamente esauriente, bensì va considerato parte integrante della normativa vigente in materia di sicurezza informatica, che ogni utente é tenuto a conoscere e rispettare sia attraverso il sito dell Università degli Studi della Basilicata che attraverso i siti nazionali di cui vengono indicati i riferimenti. Tutti gli utenti dei Università degli Studi della Basilicata sono tenuti a leggere e sottoscrivere quanto riportato in queste pagine e ad attenersi strettamente al presente regolamento, in modo da non compromettere la sicurezza dell'intero sistema informatico di ateneo. Eventuali modifiche e/o aggiornamenti verranno inseriti nella sezione Aggiornamenti che gli utenti sono tenuti a consultare periodicamente. Suggerimenti o segnalazioni di errori e imprecisioni possono essere inviati via all'indirizzo cisit@unibas.it. Regolamento 5/43 23/09/2003

6 Parte Prima Regolamento disciplinante le modalità di accesso a di utilizzo delle Risorse di Calcolo e Reti dell Università degli Studi della Basilicata 1 Oggetto e finalità del regolamento Il presente regolamento definisce e disciplina le modalità di accesso e di utilizzo delle Risorse di Calcolo e Rete dell' Università degli Studi della Basilicata (di seguito indicato come USB). Il Centro di Calcolo per i Servizi Informatici e Telematici (di seguito indicato come CISIT) è la struttura della USB preposta alla progettazione, gestione e manutenzione della Rete di Ateneo e dei relativi servizi per la ricerca e la didattica. 2 Criteri generali Le Risorse di Calcolo e Rete della USB sono destinate alla gestione amministrativa, alla ricerca scientifica e tecnologica e possono essere utilizzate esclusivamente per le attività istituzionali della USB o in convenzione. La rete della USB collega permanentemente le diversi sedi dell'ateneo ed è interconnessa alla rete GARR (Gestione Ampliamento delle Reti per la Ricerca). Tramite quest'ultima, la rete della USB è connessa alla rete Internet. Pertanto l uso delle risorse e dei servizi è subordinato al rispetto da parte degli utenti, oltre che del presente regolamento, anche delle norme dettate dagli organi del GARR in merito all accesso e all utilizzo della stessa rete GARR ( E considerata illegittima qualsiasi attività che possa produrre danni alle risorse informatiche della USB o che risulti in contrasto con le norme contenute nel presente regolamento, con le norme GARR o con le leggi vigenti (vedi le norme relative alla tutela legale del software, D. Lgs. 518/92, le norme del codice penale in tema di criminalità informatica, vedi anche Legge 23 dicembre1993, n. 547 G.U. 30/12/93 e Legge 31 dicembre 1996 n pubblicata nella Gazzetta Ufficiale n. 5 dell'8 gennaio Supplemento Ordinario n. 3 - e successive modifiche). Ogni utilizzatore è tenuto ad adottare, nell'ambito delle proprie attività, tutte le misure di sicurezza atte a prevenire la possibilità di accessi non autorizzati, furti, frodi, danneggiamenti, distruzioni o altri abusi che abbiano come mezzo o fine le risorse informatiche. Inoltre, ogni utilizzatore delle Risorse di Calcolo e Rete è tenuto ad adottare le necessarie misure per non interferire nel corretto funzionamento delle comunicazioni, per garantire l'integrità dei sistemi e l'accesso alle risorse da parte degli altri utenti ed evitare che le attività svolte producano disturbo o danni agli atri utenti. Qualsiasi accesso alla Rete deve essere associato ad una persona fisica cui imputare le attività svolte utilizzando il codice utente (login), il sistema di calcolo personale, il sistema di calcolo di tipo server, l'accesso remoto, l'indirizzo TCP/IP. Regolamento 6/43 23/09/2003

7 3 Definizioni generali 3.1 Risorse di Calcolo e Rete Per risorse di calcolo e rete si intendono: Tutti gli elaboratori del CISIT; sistemi di calcolo, workstation, personal computer, dispositivi per l immagazzinamento dei dati, stampanti e comunque tutti gli elaboratori facenti parte della rete unibas.it utilizzati da personale tecnico-amministrativo, personale docente, dottorandi, laureandi, ospiti ed altri soggetti esterni con rapporti di collaborazione e di ricerca con l'ateneo, servizi e/o esperimenti, compresi quelli collocati in altre sedi, purché autorizzati, e comunque connessi alla rete di ateneo; dispositivi portatili, anche personali, per i quali sia stata richiesta la connessione alla rete d ateneo; tutti gli elaboratori facenti comunque parte della rete unibas.it ; tutti gli apparati di rete; tutto il software e i dati acquistati o prodotti dall'usb per l'amministrazione dei sistemi, per l'utilizzo da parte degli utenti o di terzi autorizzati. 3.2 Soggetti Si definiscono, per gli scopi del presente regolamento, i seguenti soggetti: Utente: soggetto con diritto di accesso ai servizi di rete. Utenti strutturati: docenti e personale tecnico-amministrativo dell'università degli Studi della Basilicata. Utenti non strutturati: dottorandi, specializzandi, assegnisti, borsisti e laureandi, autorizzati dai relativi tutori, ospiti ed altri soggetti esterni con rapporti di collaborazione e di ricerca con l'ateneo. Studenti: soggetti regolarmente iscritti ad un corso di studio dell Ateneo o provenienti da altri Atenei a seguito di scambi nell ambito di programmi nazionali ed internazionali. Amministratore di sistema: un utente strutturato che gestisce il sistema operativo dell elaboratore che eroga un servizio di rete e, se non diversamente specificato, anche il servizio stesso. Amministratore di rete: un utente strutturato che si occupa della connessione in rete degli elaboratori appartenenti ad una singola struttura. Amministratore di dominio: la persona che si occupa della distribuzione e della gestione degli indirizzi IP nell'ambito di un dominio assegnato ad una o più strutture. Responsabile di struttura: il Direttore della struttura che fornisce servizi Internet e Intranet. Referente: persona che si interfaccia con il CISIT per le questioni più importanti e che assiste e coordina gli utenti e le risorse locali. Access Point Administrator (APA): la persona che ha, nei confronti del GARR, responsabilità prevalentemente amministrativo-giuridiche definite nel documento "Compiti di un APA". Regolamento 7/43 23/09/2003

8 Access Point Manager (APM): la persona che ha, nei confronti del GARR, responsabilità prevalentemente tecnico-operative definite nel documento "Compiti di un APM". Esso appartiene, di norma, al personale tecnico-amministrativo del CISIT. 3.3 Organi di riferimento In materia di reti di trasmissione dati gli organi di riferimento autorevoli nei rispettivi ambiti di intervento sono i seguenti: GARR, Gestione Ampliamento delle Reti di Ricerca ( GARR-OTS, Organismo Tecnico Scientifico di nomina ministeriale ( Nucleo Tecnico GARR-CRUI, Comitato Tecnico Scientifico del CISIT, Centro Interfacoltà per i Servizi Informatici e Telematici - CISIT ( CERT-Computer Emergency Response Team ( dell Università Carnegie Mellon (USA) GARR-CERT ( 3.4 Persone di riferimento Referente Informatico Per ogni struttura (Dipartimento, Facoltà, Centro di Servizi) o gruppo che ne faccia richiesta, può essere nominato dal Responsabile della Struttura o gruppo un Referente Informatico. Tale figura si interfaccia con il CISIT per le questioni più importanti ed ha il compito, in collaborazione con il CISIT, di assistere e di coordinare gli utenti delle Risorse di Calcolo e Rete di competenza. Il Referente Informatico: è un utente strutturato che gestisce i rapporti con il CISIT; può coincidere con l Amministratore di Sistema, con l Amministratore di Rete e/o con l Amministratore di Dominio; è obbligato ad operare nel rispetto delle politiche della CISIT in materia di sicurezza, e gestione delle Risorse di Calcolo e Rete dell USB garantendo la massima riservatezza nella trattazione dei dati personali; fornisce periodicamente al CISIT una lista degli utenti autorizzati ad accedere alle Risorse di Calcolo e Rete della struttura o gruppo rappresentato; ha l obbligo di segnalare al CISIT eventuali malfunzionamenti e abusi nell utilizzo delle Risorse di Calcolo e Rete; deve comunicare al CISIT qualsiasi aggiornamento della rete locale e qualsiasi collegamento, anche temporaneo, di nuovi apparati. Il Referente Informatico può procedere in tali operazioni solamente dopo aver ricevuto autorizzazione da parte del CISIT stesso; può accedere, assieme al personale del CISIT autorizzato, esclusivamente in caso di emergenza e garantendo la massima riservatezza nel trattamento dei dati personali, in qualsiasi momento ai locali ed alle risorse di calcolo di cui è responsabile. Regolamento 8/43 23/09/2003

9 3.4.2 Amministratore di Sistema L Amministratore di Sistema: è un utente strutturato che gestisce il sistema operativo dell elaboratore che eroga un servizio di rete e, se non diversamente specificato, anche il servizio stesso (DPR. 318/99, art. 1, comma 1.c); è nominato dal Responsabile di struttura di appartenenza del server e deve necessariamente possedere competenze tecniche; può coincidere con l Amministratore di Rete e con l Amministratore di Dominio; è obbligato ad operare nel rispetto delle politiche del CISIT in materia di sicurezza, garantendo la massima riservatezza nella trattazione dei dati personali; ha il compito di mantenere funzionanti, sicuri ed efficienti il server e i servizi di rete di sua competenza, secondo le modalità concordate con il CISIT, collaborando con l Amministratore di Rete e con l Amministratore di Dominio per ridurre al minimo i rischi di incidente informatico; ha il compito di comunicare all Amministratore di Dominio, al Responsabile di struttura e al CISIT ogni evento di rischio informatico. La sua nomina, rinuncia o sostituzione va formalmente comunicata al CISIT tramite il Modulo di Assunzione di Responsabilità, conformemente a quanto descritto nelle Norme Amministratore di Rete L Amministratore di Rete: è un utente strutturato che si occupa della connessione in rete degli elaboratori appartenenti ad una singola struttura; è nominato dal Responsabile della struttura di appartenenza e deve necessariamente possedere competenze tecniche; ha il compito di mantenere funzionante, sicura ed efficiente la rete di trasmissione dati della struttura, ivi compresi i dispositivi ed apparati di rete eventualmente presenti, secondo le modalità concordate con il CISIT; può coincidere con l Amministratore di sistema e con l Amministratore di dominio. La sua nomina, rinuncia o sostituzione va formalmente comunicata al CISIT tramite il "Modulo di Assunzione di Responsabilità conformemente a quanto descritto nel Regolamento Amministratore di Dominio L Amministratore di Dominio: è un utente strutturato che si occupa della distribuzione e della gestione degli indirizzi IP nell'ambito di un dominio assegnato ad una o più strutture; è nominato dal Responsabile della struttura di appartenenza e deve necessariamente possedere competenze informatiche e/o telematiche; ha il compito di assegnare e gestire i nomi e gli indirizzi di rete per gli utenti della struttura di afferenza, secondo le modalità concordate con il CISIT può coincidere con l Amministratore di Rete e con l Amministratore di Sistema; Regolamento 9/43 23/09/2003

10 comunica tempestivamente al CISIT e al Responsabile di struttura ogni incidente che pregiudichi la sicurezza e collabora con il GSI per l'attuazione delle contromisure necessarie; La sua nomina, rinuncia o sostituzione va formalmente comunicata al CISIT tramite il "Modulo di Assunzione di Responsabilità conformemente a quanto descritto nelle Responsabilità Responsabile di Struttura Il Responsabile di Struttura: è il Direttore della struttura (Dipartimento, Facoltà o Centro Servizi) che accede ad un servizio di rete; delega le funzioni operative a collaboratori di comprovata competenza tecnica (Amministratore di Sistema, Amministratore di Rete, Amministratore di Dominio, Referente) e predispone tutte le condizioni organizzative, logistiche ed amministrative affinché questi possano svolgere efficacemente il proprio mandato, ivi compresa la formazione permanente degli amministratori dei servizi erogati dalla struttura; deve fornire al CISIT tutte le informazioni relative all organizzazione dei servizi erogati dalla struttura, in particolare i nominativi di chiunque abbia funzioni di gestione ed amministrazione dei servizi di rete; può emanare regolamenti di accesso ai servizi con validità interna alla struttura, purché conformi con il Regolamento Generale per l utilizzo delle Risorse di Calcolo e Reti dell Università degli Studi della Basilicata. 4 Modalità di accesso alle risorse di calcolo e reti 4.1 Soggetti che possono accedere alle Risorse di Calcolo e Rete Possono accedere alla Rete di Ateneo: Gli utenti strutturati (docenti e personale tecnico-amministrativo dell'università degli Studi della Basilicata) Gli utenti non strutturati (dottorandi, specializzandi, assegnisti, borsisti e laureandi, autorizzati dai relativi tutori, ospiti ed altri soggetti esterni con rapporti di collaborazione e di ricerca con l'ateneo) Gli Studenti: soggetti regolarmente iscritti ad un corso di studio dell Ateneo o provenienti da altri Atenei a seguito di scambi nell ambito di programmi nazionali ed internazionali. Per il periodo di tempo necessario all'espletamento dei loro compiti all'interno dell'usb e previa richiesta alla struttura presso cui svolgono la loro attività, i professori a contratto, i professori visitatori, i collaboratori esterni impegnati nelle attività istituzionali svolte dall'ateneo; Le Organizzazioni Sindacali Interne e le Associazione studentesche riconosciute che ne facciano domanda, tramite un membro dell'organizzazione Sindacale Locale o dell'associazione che si renda responsabile dell'utilizzo delle Risorse di Calcolo e Rete. La domanda di accesso alle Risorse di Calcolo e Rete va inoltrata al Presidente del CISIT che può, all occorrenza, richiedere esplicita autorizzazione al Rettore o al Direttore Amministrativo. Regolamento 10/43 23/09/2003

11 L'utilizzo delle Risorse di Calcolo e Rete è assicurato compatibilmente con le potenzialità delle attrezzature. Il Comitato Tecnico del CISIT (CTS) può regolamentare l accesso a particolari Risorse di Calcolo e Rete, (ad es. il servizio di posta elettronica e le risorse di calcolo parallelo) mediante l emanazione di appositi regolamenti. 4.2 Responsabilità degli utenti L impiego dei sistemi di elaborazione e di connessione in rete telematica dell'usb é destinato alla gestione amministrativa, alla ricerca scientifica e tecnologica e possono essere utilizzate esclusivamente per le attività istituzionali dell'usb o in convenzione. Per ogni Dipartimento, Facoltà, Centro per il quale sia necessario è nominato almeno un Referente Informatico (che può, all occorrenza, assumere le responsabilità di Amministratore Sistema, Amministratore di Rete e/o Amministratore di Dominio), che ha il compito di interfacciarsi con il CISIT per le questioni più importanti, nonché di amministrare e coordinare gli utenti e le risorse locali; il CISIT richiede periodicamente al referente una lista degli utenti autorizzati ad utilizzare le risorse di calcolo e rete; Il CISIT svolge direttamente le azioni di amministrazione e coordinamento degli utenti appartenenti al personale Tecnico-Amministrativo in servizio presso l Amministrazione Centrale e Periferica. Ogni risorsa di calcolo è affidata ad un utente o ad un Amministratore di Sistema, che deve sottoscrivere la Dichiarazione di Assunzione di Responsabilità delle politiche di sicurezza del Servizio. Ogni utente è responsabile del corretto uso delle Risorse di Calcolo sia che queste siano a suo uso esclusivo, sia che ad esse egli acceda tramite un codice personale (login). Ogni Amministratore di Sistema è responsabile della gestione delle risorse di calcolo a lui affidate dal Responsabile della struttura; egli è tenuto a vigilare sul loro corretto utilizzo da parte degli utenti e a mettere in atto tutte le azioni volte a tutelare la sicurezza informatica. In ogni caso il CISIT si riserva il diritto ad accedere alla risorsa di calcolo per compiti di monitoraggio, controllo e/o aggiornamento, ai fini della sicurezza del sistema e della rete, nel rispetto della presente politica di gestione e della riservatezza dei dati personali (ai sensi e nel rispetto della legge 675/96 e successive modifiche). 4.3 Divieti e limiti di utilizzo Per ogni risorsa di calcolo cui il singolo utente (o amministratore di sistema) abbia accesso a seguito della sottoscrizione della Dichiarazione di Assunzione di Responsabilità, è obbligatorio rispettare le seguenti regole: l'accesso alle risorse di calcolo e reti è personale e non può essere condiviso o ceduto; l utente è responsabile della protezione dei dati utilizzati e/o memorizzati nei sistemi a cui ha accesso; l utente devo proteggere i propri account mediante password; l utente è obbligato a segnalare immediatamente al Servizio ogni sospetto di effrazione, incidente, abuso o violazione della sicurezza (cisit@unibas.it); l utente è tenuto a mantenersi aggiornato, controllando periodicamente le direttive del CISIT riportate nelle pagine Aggiornamenti; Regolamento 11/43 23/09/2003

12 l utente risponde del software installato sul computer che gli è affidato; l utente, o chi per esso, deve provvedere all'acquisto, o alla regolarizzazione, delle licenze necessarie per il software presente sul computer che gli è affidato; Sono vietate le seguenti attività: tutte le attività che possono rappresentare una violazione della legge in materia di privacy di altri utenti o dell'integrità di dati personali; tutte le attività che possono rappresentare una violazione della legge in materia di Copyright, fra le quali la copia non autorizzata di software brevettato; tutte le attività che possono compromettere in qualsiasi modo la sicurezza delle risorse di calcolo e di reti; tutte le attività che possono compromettere in qualsiasi modo l'efficienza del funzionamento delle risorse di calcolo e di reti; qualunque attività commerciale o a fini di lucro; qualunque attività di criminalità informatica e illegale in genere. la distribuzione di software che possa danneggiare le risorse di calcolo, anche via ; l accesso a dati e/o programmi per i quali non vi è autorizzazione o esplicito consenso da parte del proprietario. l utilizzo di strumenti che potenzialmente siano in grado di consentire l'accesso non autorizzato alle risorse di calcolo (ad esempio cracker o software di monitoraggio della rete); configurare servizi già messi a disposizione in modo centralizzato, quali DNS (Domain Name Service), DHCP (Dynamic Host Configuration Protocol), NTP (Network Time Protocol), mailing, accesso remoto; effettuare operazioni di routing, bridging, tunneling; intercettare pacchetti sulla rete, utilizzare sniffer o software analoghi; l'accesso ai locali del CISIT, ai locali, ai box e armadi riservati alle apparecchiature di rete o apportare qualsiasi modifica agli stessi senza l'autorizzazione del CISIT; cablare o collegare apparecchiature alle prese di rete senza l'autorizzazione del CISIT; utilizzare indirizzi di rete e nomi non espressamente assegnati dal CISIT; installare modem configurati in call-back; tutti gli accessi via modem devono essere autenticati e criptati; divulgare i numeri telefonici e le password dei modem; intraprendere azioni allo scopo di: o degradare le risorse del sistema, o impedire ad utenti autorizzati l'accesso alle risorse, o ottenere risorse superiori a quelle già allocate ed autorizzate, o accedere a risorse di calcolo, sia dell'ente che di terze parti, violandone le misure di sicurezza; effettuare copie di file di configurazione dei sistemi operativi. Regolamento 12/43 23/09/2003

13 5 Protezione dei dati, delle informazioni e degli applicativi Qualsiasi dato o informazione, sia esso inerente alla didattica, alla ricerca o all'attività amministrativa, a qualsiasi titolo acquisito o realizzato dall'usb, è un bene dell'usb e deve pertanto essere protetto da distruzioni, perdite anche accidentali, alterazioni, usi illeciti e diffusioni non autorizzate. Qualsiasi dato o informazione non espressamente reso disponibile con strumenti finalizzati alla diffusione pubblica di informazioni (World Wide Web, Gopher, FTP-Anonymous, etc.) sono da intendersi riservati. L'accesso e l'utilizzo di dati e/o informazioni riservati deve essere espressamente autorizzato dal responsabile dei medesimi. Qualsiasi software non espressamente rilasciato con strumenti finalizzati alla distribuzione pubblica (FTP-Anonymous, ecc.) è da intendersi riservato. L'utilizzo di qualsiasi software riservato deve essere espressamente autorizzato dal responsabile della struttura a cui esso è affidato. La distribuzione di software da parte di strutture dell'usb può avvenire purché, utilizzando di volta in volta gli strumenti più idonei e le formulazioni più appropriate, vengano informati i potenziali utilizzatori delle seguenti condizioni: l'usb non fornisce alcuna garanzia sui software distribuiti ed in particolare non garantisce la loro adeguatezza così come la correttezza dei risultati; in nessun caso quindi l'usb potrà essere ritenuto responsabile per danni diretti, indiretti derivanti dall'uso dei software distribuiti o dai risultati da essi forniti. L utente può, nei limiti delle licenze possedute, far installare software sulle macchine del CISIT al personale addetto, previa verifica di compatibilità con le installazioni già esistenti. 6 Misure di sicurezza adottate dal CISIT Il CISIT è il gestore dell infrastruttura di rete interna ed esterna dell USB, del dominio Internet unibas.it'' e relativi sottodomini, del monitoraggio della rete, nonché dei collegamenti con il GARR, la rete italiana per la ricerca, e con le altre reti nazionali ed internazionali. Ogni struttura o gruppo che necessiti di una rete locale o sottorete connessa alla Rete di Ateneo, deve fare apposita domanda al CISIT a firma del proprio Responsabile, nella quale risulti il nominativo di un Referente Informatico o Amministratore (di Rete, di Sistema e/o di Dominio). Ogni struttura che necessiti di un sottodominio di unibas.it'' deve fare apposita domanda al CISIT a firma del proprio Responsabile, nella quale risulti il nominativo di almeno un Referente Informatico o Amministratore (di Rete, di Sistema e/o di Dominio), la presa visone e l'accettazione integrale del presente regolamento. Il referente tecnico deve provvedere alla manutenzione dei file di definizione del dominio e deve curare, in collaborazione con il CISIT, il corretto funzionamento della posta elettronica. I servizi che a qualunque titolo usufruiscano delle risorse di rete (mailing list, server news, server Web, etc.) devono avere un responsabile del servizio appartenente all'usb, che curerà, nell'erogazione del servizio, il rispetto del presente regolamento. É compito del CISIT adottare tutti i dispositivi di sicurezza necessari a difendere i propri sistemi informatici; implementare meccanismi di monitoraggio e controllo; Regolamento 13/43 23/09/2003

14 informare e responsabilizzare gli utenti circa i rischi penali, civili, amministrativi connessi all'uso indebito dei mezzi informatici, promuovendo anche corsi di formazione per adeguare le competenze del personale; evitare che, sia i propri utenti che soggetti esterni non autorizzati, utilizzino le risorse dell' USB, per introdursi abusivamente in sistemi informatici sia interni che esterni allo scopo di danneggiare, disattivare, sovraccaricare, pregiudicare o interferire con l utilizzo degli stessi; evitare che si verifichino casi di abusiva duplicazione e/o commercializzazione di programmi software. Il CISIT si impegna inoltre ad informare tempestivamente gli utenti circa disservizi, malfunzionamenti, sospensioni temporanee del servizio a causa di guasti, manutenzione o di interventi resisi necessari per una corretta gestione delle risorse. Il CISIT è referente per il personale Tecnico-Amministrativo in servizio presso l Amministrazione Centrale (e Periferica). Il CISIT ha diritto di accesso alle risorse di calcolo per compiti di monitoraggio, controllo e/o aggiornamenti, ai fini della sicurezza del sistema e della rete, nel rispetto della presente politica di gestione e della riservatezza dei dati personali (ai sensi e nel rispetto della Legge 675/96 e successive modifiche). Il CISIT gestisce i servizi World Wide Web per la USB. In particolare, per quanto riguarda il server principale d'ateneo ( ha il compito di: gestire l'architettura complessiva del server; curare le pagine Web riguardanti gli aspetti generali dell'usb; provvedere alla manutenzione del sistema; Il CISIT mette a disposizione delle strutture dell USB (Facoltà, Dipartimenti, Istituti, Centri di Ricerca e Uffici Amministrativi) spazio sul server Web di Ateneo per l'inserimento e l'aggiornamento di proprie informazioni, la cui gestione e la responsabilità dei contenuti informativi è totalmente a carico delle stesse. La home page'' di qualunque struttura deve contenere esplicitamente il nome e l'indirizzo del responsabile delle informazioni inserite o un link che punti ad una pagina contenente tali informazioni; la ``home page'' della struttura deve contenere un collegamento al server centrale dell'usb. In ogni caso dovranno essere rispettate le Norme in materia di abusiva riproduzione di opere librarie...'' (Legge 22/5/93 n. 159, che sanziona la riproduzione abusiva a fini di lucro di opere o parte di esse, letterarie, drammatiche, scientifiche, didattiche e musicali protette dalla legge sul diritto d'autore). Il titolare della home page'' è personalmente responsabile della correttezza e dell'aggiornamento dei dati pubblicati tramite il WWW Server. Egli esonera in ogni caso l'usb da ogni responsabilità civile e penale attribuibile a documenti e servizi da essa pubblicati, tramite il WWW Server, ovvero alla mancata pubblicazione degli stessi. Gli utenti della Rete dell'usb che intendano attivare servizi assimilabili a bollettini, fogli redazionali o testate giornalistiche (quali bacheche elettroniche, giornali elettronici, e simili) devono inoltrare richiesta al CISIT, dichiarando che tali attività rientrano tra i fini istituzionali dell'usb. L'utente deve dichiarare per iscritto che intende assumersi la responsabilità degli abusi che possono essere commessi, anche da terzi, attraverso detti servizi. Il CTS autorizza l'attivazione dei servizi di cui al punto precedente una volta accertata la loro aderenza ai fini istituzionali dell'usb. Regolamento 14/43 23/09/2003

15 7 Misure in caso di non osservanza delle presenti norme. In caso di abuso e/o azione non conforme a quanto stabilito nel presente regolamento, a seconda della gravità del medesimo, e fatte salve le ulteriori conseguenze di natura penale, civile e amministrativa, gli organi responsabili delle Risorse di Calcolo e Rete dell'usb potranno applicare i seguenti provvedimenti: a) richiamo verbale; b) richiamo scritto; c) sospensione temporanea dall accesso alle Risorse di Calcolo e Rete della USB; d) esclusione definitiva dall uso delle Risorse di Calcolo e Rete della USB. I casi più gravi verranno segnalati all'autorità competente e potranno essere soggetti ad azioni disciplinari e/o legali. 8 Norme transitorie e finali Il presente Regolamento viene attuato in via sperimentale per un periodo di 12 mesi dalla sua emanazione. Dopo gli eventuali adeguamenti può essere aggiornato, su proposta del Comitato Tecnico Scientifico del CISIT, ogniqualvolta le mutate esigenze dell Ateneo, le innovazioni tecnologiche e/o eventuali variazioni delle normative di legge lo impongano, e comunque almeno ogni due anni. L Ateneo mette a disposizione le risorse per l attuazione del Regolamento e per la formazione permanente del personale addetto alla gestione dei servizi di rete, in misura e secondo modalità deliberate dagli Organi Accademici sulla base delle esigenze e degli sviluppi tecnologici del settore. Per tutto quanto non specificato nel presente regolamento valgono le normative vigenti in materia di sicurezza informatica Regolamento 15/43 23/09/2003

16 Parte Seconda 9 Introduzione alla sicurezza dei sistemi informatici 9.1 Sicurezza Chi si occupa di sicurezza informatica ha, come obiettivo principale, quello di offrire un adeguato grado di protezione dei dati, riducendo i fattori di rischio. In particolare, proteggere i dati significa garantirne: la riservatezza o confidenzialità, ovvero la protezione da letture non autorizzate dei dati memorizzati, elaborati e trasmessi nel sistema, che ha lo scopo di impedire l'utilizzo illegittimo di informazioni riservate; l'integrità, ovvero la protezione da modifiche non autorizzate dei dati memorizzati, elaborati e trasmessi nel sistema, che ha lo scopo di impedire la manipolazione illegittima delle informazioni. In particolare, garantire l'integrità di un messaggio transitato sulla rete significa assicurare che il messaggio ricevuto sia esattamente quello spedito dal mittente; la disponibilità, ovvero la capacità di garantire l'accesso ai dati o alle risorse del sistema; l' autenticazione, ovvero la possibilità di identificare in modo certo e univoco chi invia, manipola e riceve i dati. L'autenticazione è una forma di prova di identità che individua univocamente gli utenti del sistema. L'autenticazione fornisce supporto al non ripudio, che consiste nel dare garanzia che chi trasmette e chi riceve non possano negare di aver inviato e ricevuto il messaggio. Il non ripudio costituisce una prova formale, utilizzabile anche a termine di legge, per dimostrare che una certa persona ha sottoscritto un documento. 9.2 Vulnerabilità La sicurezza delle informazioni è d importanza cruciale in qualunque contesto sociale e lavorativo, anche, ma non solo, in relazione alle leggi relative alla privacy e alla protezione dei dati. I problemi sono fondamentalmente dovuti a un insieme di fattori che coinvolgono sia aspetti prettamente tecnici e tecnologici che aspetti organizzativi e di comportamento. In generale i rischi in termini di sicurezza informatica sono da imputarsi alla vulnerabilità, ovvero alla presenza di lacune o insufficienze nel sistema complessivo del trattamento dei dati. La vulnerabilità può essere addebitata: al software (sia il sistema operativo, sia le applicazioni), che ha raggiunto ormai livelli di enorme complessità e di conseguenza contiene sempre più frequentemente errori (accidentali e non). Sfruttando gli errori diviene possibile attivare funzionalità che rendono un software, apparentemente innocuo, un pericolo alla sicurezza dei dati; ai protocolli di rete. I computer in rete interagiscono con gli altri sistemi connessi attraverso protocolli di comunicazione che possono presentare vulnerabilità. In questo caso un sistema intruso si può inserire in una comunicazione con scopo di convincere un sistema vittima a credere che il sistema intruso possa utilizzare legittimamente i suoi servizi; al comportamento degli utenti, che non sempre, per disattenzione o mancanza di informazione, rispettano norme di sicurezza anche di tipo elementare. In realtà la Regolamento 16/43 23/09/2003

17 protezione dei dati dipende prevalentemente dagli utenti che utilizzano i sistemi, poiché nessuno strumento tecnologico può sostituirsi al senso di responsabilità e al rispetto delle norme. La connessione in sé non è invece una causa, ma piuttosto un mezzo, attraverso il quale avvengono i più frequenti e intrusivi attacchi alla sicurezza dei dati. 9.3 Metodologie Gli amministratori e i responsabili dei sistemi informatici possono provvedere al mantenimento della sicurezza delle informazioni e delle risorse attuando metodologie di tipo proattivo e di tipo reattivo. Le metodologie proattive consistono in attività di prevenzione che mirano a ridurre al minimo le vulnerabilità del sistema sia dal punto di vista organizzativo che da quello tecnologico. Una semplice strategia proattiva consiste, per esempio, nell'installare sistemi software antivirus per la rilevazione dei virus e nel mantenerli periodicamente aggiornati. Le metodologie reattive vengono invece attuate ad attacco avvenuto per: valutare i danni e le violazioni delle norme; identificare i colpevoli; segnalare correttamente l'attacco ai responsabili legali della struttura; ripristinare i dati e il corretto funzionamento del sistema nel più breve tempo possibile. Una semplice attività di reazione consiste per esempio nella rimozione dei virus, mediante il software antivirus che li ha rilevati. In generale occorre prevedere la possibilità di essere vittima sia di attacchi esterni che interni, ovvero attacchi condotti da persone che operano all'interno della struttura e che hanno quindi il vantaggio di essere utenti registrati con diritti di accesso alle risorse. 9.4 Prevenzione: aspetti organizzativi Dal punto di vista organizzativo, i responsabili dei sistemi informatici devono avere cura di utilizzare essi stessi politiche di amministrazione atte a prevenire attacchi alla sicurezza. Queste politiche si concretizzano tipicamente: in fase di acquisizione di nuove risorse, avendo cura di: o optare per sistemi operativi, applicazioni e servizi che offrano supporti al controllo degli accessi e all'implementazione di politiche di accesso articolate; o utilizzare esclusivamente software per il quale si dispone di licenza d'uso; o definire regolamenti e politiche di accesso che specifichino le responsabilità e le prerogative degli utenti; o definire e implementare politiche di backup dei dati; o utilizzare software per la rilevazione e rimozione dei virus (antivirus); o utilizzare sistemi (hardware e/o software) che consentano il monitoraggio della rete e limitino gli accessi alla rete locale. periodicamente, avendo cura di: o aggiornare il software scaricando gli opportuni package; o aggiornare in particolare gli antivirus; Regolamento 17/43 23/09/2003

18 o monitorare la rete e i sistemi, alla ricerca di segnali che siano indice di attività potenzialmente pericolose. È indispensabile definire a priori quali sono le politiche di accesso alle risorse da parte degli utenti, ovvero chi può accedere a cosa e con che tipo di diritti. Queste politiche devono poi essere implementate utilizzando sistemi operativi e applicazioni che prevedano la gestione di più utenti e meccaniche d'accesso avanzate. Sistemi operativi e applicazioni ad uso personale, che non prevedano politiche di accesso ai file e alle risorse, ma consentono a tutti gli utenti l'accesso a tutte le risorse (quali, ad esempio, Microsoft Windows 98), rendono impossibile la realizzazione di politiche di sicurezza significative. 9.5 Password Il metodo più semplice per l'accesso illecito a un sistema è quello di impossessarsi indebitamente della password di un utente autorizzato e, spacciandosi per esso, di compromettere riservatezza, integrità, autenticazione e a volte disponibilità dei dati. A ogni utente sono tipicamente assegnate una o più password, tra le quali: la password di accesso al computer o al dominio locale, che impedisce l'utilizzo improprio delle risorse interne (hardware, software e dati). La password di accesso alla posta elettronica e ai servizi Internet, che identifica l'utente nell'uso delle risorse esterne. Nella maggior parte dei casi è lo stesso utente che, utilizzando password banali o trascrivendole su promemoria, crea le condizioni perché la credenziale sia scoperta da altri. Per evitare che questo tipo di problema si verifichi è opportuno: fornire agli utenti un insieme di regole di comportamento (da sottoscrivere ad esempio al momento della creazione degli account), che li responsabilizzino. Suggerire agli utenti di utilizzare password che siano contemporaneamente semplici da ricordare e non banali. Prevedere meccanismi automatici che costringano gli utenti a cambiare periodicamente la password. 9.6 Regole di comportamento Definendo il regolamento d'uso delle risorse e in particolare degli account, è opportuno suggerire all'utente come comportarsi nella gestione della password. Contestualmente l'utente va responsabilizzato facendogli comprendere che la password è il meccanismo di base dell'autenticazione e che terze parti in possesso della sua password possono produrre danni ai dati e al sistema in vece sua, sia intenzionalmente che non intenzionalmente. Altre regole di comportamento da suggerire agli utenti riguardano in generale le loro responsabilità riguardo: all'uso corretto delle risorse interne; all'uso corretto di Internet e dei suoi servizi (posta elettronica, chat, news, Web, eccetera); alla riservatezza delle informazioni. In quest ultimo caso è opportuno anche fare riferimento alla Acceptable Use Policy della rete GARR. Regolamento 18/43 23/09/2003

19 Infine possono essere suggeriti comportamenti prudenti che evitino la diffusione dei virus, come evitare di aprire o visualizzare attach ai messaggi di posta provenienti da indirizzi sconosciuti o di utilizzare dischetti senza prima verificarli con un antivirus o scaricare file da siti sospetti. 10 Misure di sicurezza richieste agli utenti Quello che segue è un elenco di misure di sicurezza generali a cui tutti gli utenti sono tenuti ad attenersi. In caso di dubbi o per richieste di informazioni specifiche ogni utente è pregato di rivolgersi al personale del CISIT Misure generali È opportuno che ciascun utente segue alcuni principi basilari: ogni computer è affidato ad un responsabile (che può essere il proprietario, il referente della struttura o gruppo, oppure il CISIT) che si assume la responsabilità del corretto utilizzo e amministrazione della risorsa; la password di utente privilegiato deve essere nota al CISIT o al referente locale per gli interventi di amministrazione remota sulla macchina; l'utente che amministra personalmente come root o Administrator la propria macchina si assume tutte le responsabilità che questo comporta; in caso di necessità il Servizio ha il diritto comunque di richiedere l'accesso al sistema; il sistema deve essere mantenuto per quanto possibile sicuro: indicazioni sulla sicurezza del proprio sistema sono riportate qui di seguito, o possono essere ottenute dal personale del CISIT; il sistema deve essere monitorato; ogni sospetto di possibile intrusione e ogni altro problema di sicurezza vanno immediatamente segnalati al CISIT; ogni utente deve fare un uso appropriato della risorsa che gli è affidata. Nell'impossibilità di stabilire criteri di giudizio riguardo a questo argomento ci si affida al buon senso e al giudizio di ogni utente, il quale si è assunto la piena responsabilità delle sue azioni Consigli per la scelta della password Usando la rete ci si troverà, probabilmente, a dover utilizzare un certo numero di password; occorrerà quindi essere capaci di scegliere intelligentemente le proprie password, in modo che esse siano il più possibile difendibili dai vari tipi di "attacchi" tesi a scoprirle. Una buona password è anche difficile da ricordare, per cui potrebbe talvolta essere necessario raggiungere un compromesso tra l'importanza dei dati protetti, le proprie capacità mnemoniche e la sicurezza in senso assoluto della parola usata. Qui di seguito sono elencati alcuni criteri fondamentale per scegliere la miglior password possibile: 1. La password deve essere la più lunga possibile. Tutti i programmi per la forzatura di password impiegano un tempo che dipende drammaticamente dalla lunghezza della password. La lunghezza ottimale suggerita per la password è di almeno 10 caratteri. 2. La password deve contenere almeno una lettera minuscola, una maiuscola non all'inizio, una cifra e un carattere alfanumerico (numeri e caratteri speciali. & ^ % $ #). In questo modo saranno ingannati anche quei programmi che provano con tutte le combinazioni possibili. 3. La password non deve essere in alcun modo collegata alla vostra vita privata. Non deve essere né il nome o il cognome di parenti o amici, né la targa della propria auto, né la Regolamento 19/43 23/09/2003

20 propria data di nascita, né la città di residenza. Qualunque persona che cerchi di indovinare la password per tentativi proverà subito queste possibilità. 4. Fare molta attenzione a digitale la password in presenza di estranei; qualunque persona che vi conosca e legga anche solo un paio di caratteri della password potrebbe anche indovinare il resto al primo colpo. 5. La password, tuttavia, non deve essere troppo difficile da digitare, altrimenti, oltre a sbagliarla spesso, dovrete digitarla lentamente, il che potrebbe favorire chi occasionalmente dovesse osservarvi. 6. La password non deve essere una parola comune riportata in un dizionario. Molti programmi per la forzatura di password si basano su tentativi effettuati con tutte le parole in un dizionario. 7. La password non deve venire scritta da nessuna parte. È perfettamente inutile scegliere una parola a prova di bomba se poi la si scrive, ad esempio, su un POST-IT o sul retro del tappetino del mouse. 8. Se (solo strettamente) necessario per motivo di lavoro comunicare la password a qualcuno perché acceda al vostro posto alle risorse informatiche, abbiate cura di cambiarla immediatamente dopo. 9. cambiare regolarmente la password, al massimo ogni due-tre mesi, 10.3 Misure specifiche per tutti gli utenti Gli utenti delle risorse informatiche dell Università della Basilicata sono pregati di seguire le misure seguenti: gli utenti non devono comunicare a nessuno le proprie password né concedere ad altri l'uso del proprio account, del quale sono pienamente responsabili; gli utenti possono accedere alle risorse di calcolo remote utilizzando SSH (anziché telnet) e SFTP (anziché ftp), che permettono di aprire sessioni remote o trasferire file trasmettendo le informazioni in formato criptato; è fortemente sconsigliato utilizzare la propria password da connessioni remote non sicure; è fortemente sconsigliato montare filesystem da una connessione remota; gli utenti sono invitati ad utilizzare programmi antivirus e a provvederne regolarmente all'aggiornamento; il CISIT può fornire licenze e supporto per l'installazione e l'aggiornamento; quando un computer rimane inutilizzato è consigliabile chiudere eventuali collegamenti remoti e impedire l'accesso alla console terminando la sessione corrente; al momento del login verificare la provenienza dell'ultima sessione di lavoro; evitare di utilizzare i file.rhosts e /etc/hosts.equiv (questa indicazione è valida sotto UNIX); evitare di utilizzare file o directory world-writable (questa indicazione è valida sotto UNIX); utilizzare con cautela programmi gratuiti (o shareware) prelevati da siti Internet o in allegato a riviste o libri; è fatto divieto l impiego di programmi di tipo IRC, ICQ, Napster, Gnutella, Kazaa, WinMX, edonkey etc, potenzialmente pericolosi e non necessari per fini istituzionali dell ateneo; Regolamento 20/43 23/09/2003