Linee guida di sicurezza ICT di Ateneo

Transcript

1 Decreto Direttore Amministrativo Repertorio n. 287 / 2011 Prot. n del Tit. I cl. 3 IL DIRETTORE AMMINISTRATIVO VISTO VISTA CONSIDERATA lo Statuto vigente dell Università degli Studi del Piemonte Orientale; il codice in materia di protezione dei dati personali e la normativa vigente in materia di Sicurezza informatica; la necessità di regolamentare la gestione della sicurezza ICT e dei servizi nelle diverse strutture in cui si articola l Ateneo; ACQUISITO IL PARERE del Comitato Esecutivo del CeSPA (Centro per lo Sviluppo di Procedure Amministrative) e del Consiglio del CeSPA; CONSIDERATO quanto emerso nelle riunioni con i tecnici informatici dell Amministrazione centrale e delle strutture periferiche; VALUTATO ogni opportuno elemento; DECRETA Art. 1 Sono emanate, nel testo sotto riportato, le Linee Guida di sicurezza ICT di Ateneo. Art.2 Le presenti Linee Guida saranno pubblicate sul sito Web dell Ateneo. IL DIRETTORE AMMINISTRATIVO (Pasquale MASTRODOMENICO) Linee guida di sicurezza ICT di Ateneo 1. Premessa 1.1 Obiettivi e finalità 1.2 Destinazione del presente documento 1.3 Definizioni 2. Norme generali

2 3. Sicurezza Organizzativa 3.1 Convenzioni tra Ateneo e singole strutture 3.2 Compiti della Commissione Tecnica Informatica di Ateneo 3.3 Compiti del Responsabile dei Servizi di Ateneo nei confronti del PdC 3.4 Compiti del Punto di Contatto 3.5 Compiti della Struttura di Auditing 4. Sicurezza fisica 4.1 Sale server 4.2 Gestione di supporti destinati ad uso personale 4.3 Supporti di memorizzazione di massa 4.4 Continuità dei servizi Dati e servizi Personale informatico 5. Sicurezza di rete 5.1 Suddivisione in reti logiche 5.2 Linee Guida di utilizzo e gestione della rete 5.3 Rete Amministrativa 5.4 Le infrastrutture di rete 5.5 Reti dei laboratori di ricerca e di didattica Rete dei laboratori di didattica Laboratori di ricerca 5.6 Reti con accesso consentito al pubblico 5.7 L accesso remoto 5.8 Altre reti con dati sensibili e giudiziari 5.9 Le Reti Wireless 5.10 Le Reti delle Sedi distaccate 5.11 Le Reti Ospite 5.12 Linee guida per la configurazione dei firewall di Ateneo 5.13 Linee guida di controllo della rete e delle apparecchiature connesse 6 Linee guida per l autenticazione e l autorizzazione di utenti 6.1 Gestione login utente 7 Figure e responsabilità degli amministratori delle risorse informatiche 8 Sicurezza dei client 9. Linee guida di Sicurezza dei Server, dei Sistemi e delle Applicazioni 9.1 Server: proprietà e responsabilità generali 9.2 I certificati 9.3 Server Internet, amministrativi e intranet 9.4 Applicazioni 10. La Posta Elettronica 11. Linee guida per l Auditing 12. Outsourcing 13. Linee Guida per il Personale 13.1 Assunzione e contratti 13.2 Formazione e aggiornamenti 13.3 Cessazioni 14. Provvedimenti e Sanzioni 15. Norme transitorie e finali Allegato 1 - Acceptable Use Policy (AUP) del GARR Allegato 2 - RFC1855 Netiquette Guidelines

3 1. Premessa Il presente documento definisce le modalità di gestione della sicurezza ICT e dei servizi nelle diverse strutture in cui si articola l Ateneo. Compito dell Ateneo è quello di mettere a disposizione delle proprie strutture servizi centralizzati (vedi paragrafo 3.1) I responsabili della gestione di sistemi, applicazioni e servizi e dei relativi progetti che utilizzano la rete e che interagiscono con la sicurezza, devono coordinarsi tra loro pur mantenendo l autonomia della gestione. Queste Linee Guida sono parte integrante della documentazione relativa alla gestione della sicurezza informatica che comprende anche il DPS, la Carta della Sicurezza ICT di Ateneo (d ora in poi definita semplicemente Carta), i regolamenti dei singoli servizi di Ateneo e delle singole strutture. 1.1 Obiettivi e finalità L Ateneo è diventato sempre più dipendente dalla disponibilità e dall integrità dei sistemi informativi per tutto ciò che riguarda l insegnamento, la didattica, la ricerca e l amministrazione. Il presente documento è alla base della gestione dei sistemi informatici di Ateneo e ha l'obiettivo di promuovere la coordinazione dei diversi servizi e delle attività connesse, e di raggiungere livelli di protezione dei servizi essenziali adeguati ai crescenti rischi che li minacciano. 1.2 Destinazione del presente documento Il presente documento è destinato a coloro che hanno la responsabilità di dirigere ed organizzare laboratori didattici informatizzati, aule didattiche, centri di servizi e di ricerca, ai componenti della Commissione Tecnica Informatica di Ateneo, ai responsabili dei sistemi informativi, ai responsabili delle strutture (facoltà, dipartimenti, ecc.) e ai Punti di Contatto. Le norme contenute in questo documento e in tutti quelli che da questo discendono sono da applicarsi alla rete di Ateneo, alle apparecchiature a questa collegate, ai sistemi e servizi implementati, agli utenti che su tale rete operano. Le sedi didattiche distaccate sono trattate in un paragrafo specifico di questo documento. 1.3 Definizioni In questo documento si intende per: Amministratore di sistema: soggetto che gestisce il sistema operativo dell elaboratore che eroga un servizio di rete e, se non diversamente specificato, anche il servizio stesso. Ateneo: l Università degli Studi del Piemonte Orientale Amedeo Avogadro. CE-CeSPA: Comitato Esecutivo del CeSPA (Centro per lo Sviluppo di Procedure Amministrative) Client: ogni elaboratore che NON fornisce servizi in rete ad altri elaboratori Client generico: un client che non appartiene alla rete amministrativa, dei laboratori di ricerca o didattica. Dati critici: dati sensibili, giudiziari e amministrativi fondamentali per il funzionamento dell'ateneo.

4 Laboratorio di ricerca o didattica: una rete di calcolatori preposta allo svolgimento di attività di studio e ricerca utilizzando la strumentazione informatica (software o hardware) presente, o con l aiuto della stessa. In particolare, si definisce laboratorio di ricerca una qualunque rete sulla quale si vogliano creare, ai fini di studio e di ricerca, e tipicamente di sperimentazione, condizioni in deroga alla politica di Ateneo. Un laboratorio di didattica ha le stesse caratteristiche ma l'accesso è consentito agli studenti. Livello di sicurezza di una rete: è dato dal livello di sicurezza della sua componente più debole. Punto di Contatto (PdC): referente per l ICT presso le strutture, di volta in volta coinvolto nelle attività relative alla sicurezza e ai servizi centralizzati di Ateneo. ReFoS: Ufficio Reti, Fonia e Sicurezza di Ateneo Rete amministrativa: rete di client e server su cui circolano dati sensibili, giudiziari, contabili o relativi alla gestione dei servizi di Ateneo. Rete d Ateneo: l insieme formato da tutte le reti locali e dalle reti di interconnessione delle strutture dell Ateneo nelle sedi di Alessandria, Novara e Vercelli e dalle dorsali d interconnessione tra tali sedi e verso l esterno, finalizzato a condividere le risorse informatiche comuni ed a permettere l interscambio di informazioni e di ogni altra applicazione telematica all interno ed all esterno dell Ateneo. Rete client: rete di soli elaboratori client non classificabile in altre tipologie di rete (ad esempio: rete client docenti). Rete di fonia: rete analogica o digitale su cui transita traffico telefonico con particolare riferimento alle tecnologie Voice Over IP. Rete infrastrutturale: rete di apparecchiature (ad esempio: router e switch, firewall) per la gestione e l interconnessione di reti oppure per la fornitura di servizi specifici (stampanti, ecc). Rete logica: l aggregazione di una o più reti dello stesso tipo, soggette alla stessa politica di sicurezza. Rete Ospite: rete gestita da aziende esterne che sfruttano risorse dell Ateneo Reti delle sedi distaccate: le reti locali delle sedi didattiche distaccate dell Ateneo, che sono collegate direttamente ad Internet e il cui traffico non transita attraverso i firewall di Ateneo Rete wireless: rete il cui mezzo trasmissivo è costituito da segnali radio o trasmissioni via etere. Server: ogni elaboratore che fornisce uno o più servizi ad altri elaboratori. Server amministrativo: ogni elaboratore server fondamentale per lo svolgimento delle attività amministrative di Ateneo oppure che contenga dati sensibili e/o giudiziari. Server Internet: ogni elaboratore server con visibilità esterna alla rete di Ateneo. Server Intranet: ogni elaboratore server la cui visibilità è limitata alla rete di Ateneo, ma che non è un server locale. Server locale: ogni elaboratore server con visibilità limitata all interno della sottorete di appartenenza, che non contiene dati sensibili e/o giudiziari. Tra i server locali rientrano ad esempio anche: stampanti, fax, apparecchiature elettroniche di laboratorio, ecc Server di ricerca/didattica: ogni elaboratore server che fornisce servizi ai laboratori di ricerca/didattica. Struttura: Rettorato, Facoltà, Dipartimenti, biblioteche, centri o gruppi stabiliti dallo statuto di Ateneo.

5 Studenti: soggetti regolarmente iscritti ad un corso di laurea, di laurea specialistica, di specializzazione o di dottorato di ricerca o master all interno dell Ateneo. 2. Norme generali 1. Sono utenti delle risorse informatiche dell Ateneo: docenti e ricercatori dell Ateneo, personale tecnico amministrativo, borsisti, dottorandi, assegnisti, contrattisti, studenti e cultori della materia afferenti all Ateneo ed altri soggetti espressamente autorizzati dal Responsabile della struttura di riferimento. 2. Ad un utente è permesso svolgere le proprie attività istituzionali mediante le risorse dell Ateneo purché nel rispetto delle normative vigenti. 3. Gli studenti hanno diritto di accesso a punti informatici, biblioteche e laboratori aperti agli studenti dello specifico corso di laurea o che comunque nel regolamento specifichino la possibilità di accesso. 4. Gli utenti dell'ateneo devono conformarsi alla Acceptable Use Policy (AUP) del GARR e alla RFC1855 "Netiquette Guidelines" che sono riportate in allegato, oltre che ai Regolamenti di Ateneo e delle singole strutture. 5. Le singole strutture sono tenute a fornire agli utenti regole e informative per l utilizzo di apparecchiature. In assenza di tali regolamenti, e in caso di incertezze, gli utenti devono consultare il PdC locale. 6. I dati sensibili e giudiziari possono essere conservati solo sugli elaboratori elencati nel DPS di Ateneo. 3. Sicurezza Organizzativa 3.1 Convenzioni tra Ateneo e singole strutture Nel rispetto delle proprie finalità e della propria struttura organizzativa, l Ateneo stabilisce la propria offerta in termini di servizi informatici alle singole strutture che lo compongono e i requisiti che devono essere rispettati dalle singole strutture per potere usufruire di tali servizi. L Ateneo mette a disposizione delle strutture d Ateneo i seguenti servizi: Interconnessione interna e Internet DNS primario e attribuzione di classi di indirizzi IP Fonia su IP Sicurezza informatica: firewall, IPS, IDS, antivirus, autenticazione Posta Elettronica centralizzata Eventuali altri servizi Il CE-CeSPA approva le disposizioni contenenti indicazioni per il salvataggio dei dati, il ripristino dei dati e dei servizi. Il CE-CeSPA approva i regolamenti dei laboratori di Ricerca e di Didattica. Il CE-CeSPA gestisce eventuali incidenti informatici dal punto di vista organizzativo e legale. In caso di questioni urgenti relative a problemi di sicurezza di reti, fonia e servizi, il CE- CeSPA delega i rispettivi responsabili a gestire le emergenze. Il Responsabile a sua volta è tenuto ad informare tempestivamente il CE-CeSPA del problema e della soluzione adottata

6 Le singole strutture sono tenute a rispettare, nella propria organizzazione, le linee guida descritte nel presente documento, e possono dotarsi di regolamenti conformi a tali linee guida, indipendentemente dalle tecnologie implementate. Qualora non sia possibile collegare direttamente alla rete di Ateneo sedi didattiche o di ricerca distaccate, le reti di tali sedi verranno gestite secondo linee guida specifiche (vedi paragrafo 5.10). Nel caso in cui si verifichino situazioni anomale, non contemplate in questa raccolta di Linee Guida, esse devono essere segnalate al CE-CeSPA che le vaglierà singolarmente. 3.2 Compiti della Commissione Tecnica Informatica di Ateneo La Commissione Tecnica Informatica di Ateneo (d ora in poi definita CoTe), è composta dai Responsabili degli uffici informatici dell Amministrazione Centrale e dai Punti di Contatto, in qualità di referenti per la propria struttura. La CoTe si riunisce periodicamente in un tavolo di coordinamento ed è responsabile di compiti che possono suddividersi nelle seguenti quattro categorie: a) attività di pianificazione: esame del programma annuale delle attività informatiche di Ateneo coordinamento tra i progetti informatici di Ateneo; b) attività di controllo del livello di sicurezza della rete e dei sistema informativi, affinché sia aderente agli obiettivi indicati dal CE-CeSPA; c) attività di regolamentazione come definito nella Carta al paragrafo 2.1.2; d) attività di aggiornamento della documentazione riguardante le norme e procedure di sicurezza, l elenco dei PDC e dei server Internet, amministrativi e con informazioni sensibili e giudiziarie. La Commissione Tecnica ha inoltre la responsabilità della definizione delle procedure di sicurezza e del controllo della loro sistematica applicazione. All interno della CoTe, per trattare argomenti monotematici, si possono costituire gruppi di lavoro ristretti, quali la Commissione Tecnica permanente di Reti e Sicurezza di Ateneo (come definita nella Carta della Sicurezza ICT di Ateneo). La CoTe è presieduta dal referente dell informatica presso il CE-CeSPA. 3.3 Compiti del Responsabile dei Servizi di Ateneo nei confronti del PdC Il Responsabile di un particolare servizio di Ateneo: a) deve gestire la continuità del servizio, in particolar modo se il servizio è critico b) deve coordinare il lavoro dei PdC, quando coinvolti in progetti o problematiche del servizio interessato c) deve informare tempestivamente il PdC coinvolto, nel caso si rilevino malfunzionamenti del servizio di propria competenza presso una determinata struttura d) in caso di emergenze di sicurezza o di malfunzionamenti ed in assenza o mancanza di collaborazione del PdC o dell amministratore della macchina, può intervenire direttamente nelle modalità che ritiene più opportune. 3.4 Compiti del Punto di Contatto Il PdC, deve: a) garantire all interno della struttura di appartenenza la funzionalità delle apparecchiature e dei servizi utilizzati dalla struttura stessa;

7 b) segnalare eventuali malfunzionamenti di un Servizio centralizzato, al responsabile del Servizio stesso e fornire il primo intervento, in collaborazione con il Responsabile; c) in caso di nuove implementazioni, verificare che non abbiano impatto sui servizi esistenti o al di fuori della struttura di propria competenza, ed eventualmente consultare i Responsabili dei servizi interessati. 3.5 Compiti della Struttura di Auditing La struttura di Auditing svolge un attività di controllo saltuaria mirata a verificare la completa e corretta realizzazione delle soluzioni tecniche e il recepimento di tutte le indicazioni contenute nelle presenti Linee Guida. Il Responsabile riferisce periodicamente al CE-CeSPA i risultati delle verifiche. I compiti della struttura sono: a) verificare l efficacia delle misure di sicurezza adottate, e la loro coerenza con le Linee Guida e con le politiche di sicurezza dichiarate nel Documento Programmatico di Sicurezza dell Ateneo; b) eseguire verifiche periodiche sui livelli di sicurezza realizzati; c) individuare i sistemi di attacco ai Sistemi informativi automatizzati, sulla base anche dell evoluzione tecnologica e delle nuove minacce che nel tempo si presentano; d) proporre eventuali modifiche/implementazioni ai sistemi di sicurezza sulla base dei controlli effettuati; e) verificare che l operato degli amministratori di sistema sia in linea con le loro mansioni. 4. Sicurezza fisica 4.1 Sale server La Sicurezza fisica si realizza attraverso la protezione delle aree dedicate agli strumenti, specifici o di supporto, per l elaborazione, la conservazione e la distribuzione delle informazioni. Gli obiettivi che si vogliono conseguire sono: salvaguardare l integrità fisica delle persone e l integrità fisica e funzionale di apparati e locali; evitare che un' operazione non ammessa provochi un danno significativo per l Ateneo o per i soggetti che interagiscono con esso. Le Politiche di Sicurezza Fisica sono espresse dalle seguenti norme: le caratteristiche dei locali utilizzati devono essere commisurate all importanza delle risorse da proteggere; l accesso ai locali deve essere limitato alle persone abilitate; nessuno può utilizzare una attrezzatura critica per la sicurezza se non autorizzato; nessuno può rimuovere od introdurre attrezzature o altri componenti informatici senza autorizzazione. 4.2 Gestione di supporti destinati ad uso personale Tipi di supporto di memorizzazione come floppy, CD, DVD, penne USB (pen drive) o altri dispositivi esterni di memorizzazione (ad es. memory stick), se utilizzati per scambio rapido di dati nel comune lavoro d ufficio rientrano nelle problematiche di sicurezza informatica. L utente che registra le informazioni su tali dispositivi è responsabile della custodia di quest ultimi e deve operare in modo da evitare la lettura non autorizzata del supporto da parte

8 di altri. Tali supporti non sono adatti per la conservazione a lungo o medio termine di informazioni critiche sotto il profilo della sicurezza. I CD o DVD non riscrivibili possono essere utilizzati al posto dei nastri per registrare dati storici o backup di informazioni. 4.3 Supporti di memorizzazione di massa Analogamente ai supporti esterni di memorizzazione, l hard disk del personal computer o di altre apparecchiature è concepito principalmente per uso personale e non si presta a gestire informazioni critiche sotto il profilo della sicurezza. Per questo motivo l uso di tali supporti per informazioni con requisiti di sicurezza (come ad esempio i dati sensibili e giudiziari) deve essere estremamente ridotto ed è responsabilità dell utente una corretta gestione, che prevede il rispetto delle seguenti istruzioni: l utente deve evitare, per quanto possibile, la registrazione delle informazioni di natura aziendale sull hard disk del proprio PC e privilegiare i supporti di memorizzazione in rete (file server); non appena viene meno la necessità di mantenere i dati sul PC, occorre provvedere alla loro cancellazione; le operazioni di manutenzione/riparazione di PC su cui sono registrati dati sensibili e giudiziari devono essere eseguite sotto la supervisione di tecnici informatici dell'ateneo. 4.4 Continuità dei servizi Dati e servizi Il CE-CeSPA, con la consulenza della CoTe, stabilisce quali sono i dati considerati rilevanti per la continuità dei servizi (dati critici), quale sia la richiesta di disponibilità del servizio (es.: gradi di malfunzionamento accettabili, velocità di ripristino in caso di malfunzionamenti o incidenti, ecc.) e quali siano i tempi di conservazione previsti per ciascun tipo di dati, per legge e/o per il corretto funzionamento del servizio. Sulla scorta di queste informazioni, l Ufficio ReFoS presenta annualmente al CE-CeSPA un analisi di impatto dei possibili incidenti su server, dispositivi di rete e strutture di comunicazione che possano incidere sulla disponibilità dei dati critici e dei servizi, anche in relazione al DPS. Il CE-CeSPA approva le disposizioni contenenti indicazioni per il salvataggio dei dati, e il ripristino di dati e servizi. Sulle reti dell'amministrazione, l'installazione di applicativi non previsti per il normale funionamento della struttura (come ad esempio Skype) e' subordinata all'approvazione da parte del CE-CeSPA che vaglierà la richiesta anche sentito il Responsabile Informatico della struttura Personale informatico In ciascuna struttura devono essere definite opportune procedure operative in maniera tale da permettere la costante erogazione dei servizi prioritari indipendentemente dalla presenza o meno del singolo amministratore. 5. Sicurezza di rete 5.1 Suddivisione in reti logiche In adempimento alle strategie di sicurezza enunciate nella Carta della Sicurezza ICT di Ateneo, la rete di Ateneo deve essere suddivisa nelle seguenti reti logiche: rete amministrativa

9 rete laboratori di ricerca rete laboratori di didattica rete infrastrutturale altre reti per servizi con dati sensibili e giudiziari (fonia, registrazione dati d accesso, registrazione di immagini a circuito chiuso) Ove possibile devono essere separate le reti di Client generici e le reti di Server. Ogni host dell Ateneo al momento del collegamento in rete, dovrà essere assegnato ad una delle reti sopra enunciate e quindi ereditarne il livello di sicurezza. 5.2 Linee Guida di utilizzo e gestione della rete La rete delle strutture di Ateneo deve essere organizzata in modo che: Sia rispettata la suddivisione in reti logiche enunciata al paragrafo 5.1, tenuto conto delle funzioni che ciascuna sottorete svolge e di conseguenza il livello di sicurezza che deve essere garantito. Per questioni pratiche sia tenuto conto della dislocazione geografica; eventualmente più sottoreti con diversa dislocazione geografica possono concorrere a formare una singola rete logica. Sia possibile introdurre dei filtri di pacchetto e dei dispositivi di controllo delle intrusioni tra le sottoreti della struttura e le altri parti della rete. Le reti non esplicitamente trattate nel presente documento, potranno lavorare con ampi margini di libertà, salvo garantire un livello minimo di sicurezza. Sono vietate, se non funzionalmente necessarie, scansioni di porte, analisi automatiche della rete, spamming, flooding, test di vulnerabilità e altre attività che abbiano impatto negativo sul funzionamento della rete di Ateneo e/o di reti esterne. Tali attività sono concesse ai tecnici informatici nella modalità previste dalle Linee guida di controllo della rete e delle apparecchiature connesse oppure confinate all interno di laboratori se finalizzate a motivazioni di ricerca o didattica. Le password di accesso dei servizi forniti dall Ateneo non viaggiano in chiaro sulla rete. Le eventuali connessioni wireless tra diversi edifici devono essere criptate. L accesso ai sistemi di una struttura (facoltà, dipartimento, ecc) da parte di un altra struttura è trattato come un caso particolare di accesso dall esterno. 5.3 Rete Amministrativa Queste linee guida riguardano le sottoreti di Ateneo sulle quali si svolga attività di contabilità e/o siano trattati dati critici (in particolare dati sensibili e giudiziari) come definiti dall'analisi di Impatto. Tutti gli elaboratori da cui si accede a server con dati sensibili e giudiziari devono appartenere ad una sottorete di questo tipo Vengono definite le seguenti linee guida: 1. Sul perimetro delle sottoreti amministrative, quando possibile, devono essere utilizzati meccanismi di autenticazione forte per l accesso alle risorse di calcolo e alle basi di dati. L'accesso dall esterno deve essere autorizzato dal CE-CeSPA e il collegamento in remoto deve avvenire su canali cifrati. 2. Client e server dell Amministrazione, nel momento in cui interagiscono su dorsali di rete geograficamente distanti, devono comunicare in modo sicuro seguendo quanto previsto nel paragrafo 5.7 (Accesso Remoto). 3. Si devono privilegiare in ogni momento le necessità della sicurezza: solo i servizi necessari devono essere permessi e deve essere effettuato un controllo del traffico a

10 livello applicativo. Devono essere minimizzati inoltre i rischi di scaricamento di codice malevolo (virus, worm, spyware, etc). 4. All interno delle reti amministrative viene garantita la riservatezza degli utenti compatibilmente con i controlli necessari per minimizzare i rischi informatici. Azioni di monitoraggio e verifica sono svolte in conformità alle linee guida relative. 5. Sulle reti amministrative è permesso collegarsi con dispositivi wireless o calcolatori portatili, solo se tali dispositivi hanno un livello di criptatura adeguato. 6. Eventuali problematiche sulla rete amministrativa hanno priorità per il ReFoS sulle altre tipologie di rete. 7. Non sono permessi accessi SSH. 8. Software peer-to-peer sono vietati salvo comprovata necessità per il funzionamento di applicazioni amministrative. 5.4 Le infrastrutture di rete L amministrazione acquista in modo centralizzato gli apparati necessari al funzionamento della rete di Ateneo. Ha a sua disposizione il totale degli apparati attivi e ne può decidere la disposizione, lo spostamento e la riallocazione al fine di ottimizzare i costi nei suoi piani di sviluppo e svecchiamento. Tale considerazione si applica a tutti gli apparati di rete già presenti in Ateneo anche se acquistati direttamente dalle strutture prima della nascita del CE-CeSPA. Fanno eccezione gli apparati acquistati a fini didattici o di ricerca e posti nei laboratori. È fatto divieto di installare nuovi apparati di rete (router, switch, hub, firewall, access point, modem, dispositivi per tunnel VPN) senza il consenso dell Ufficio ReFoS. I dispositivi di rete devono essere collocati in ambienti ad accesso ristretto e controllato. Il CE-CeSPA concede deroghe, temporanee o permanenti, a questa norma per situazioni eccezionali, quali ad esempio edifici vincolati dalle Belle Arti, nei quali la realizzazione di tale norma non è possibile. In ogni caso, anche in queste situazioni, deve essere adottato il massimo livello di protezione fisica possibile (armadi sicuri, sistemi di allarme,...). I dispositivi di rete devono essere configurati ad un livello di sicurezza adeguato, in quanto tutti i successivi livelli di sicurezza si basano sul loro corretto funzionamento. 5.5 Reti dei laboratori di ricerca e di didattica Queste linee guida riguardano tutti i laboratori di ricerca e di didattica e tutti i soggetti autorizzati all accesso ai laboratori di ricerca e di didattica. Il Responsabile della struttura cui appartiene il laboratorio è il responsabile del laboratorio presso il CE-CeSPA e mantiene aggiornate presso il PdC locale le informazioni relative al laboratorio. I Responsabili dei laboratori rispondono della sicurezza dei loro laboratori, dell impatto del laboratorio sulle altre reti dell Ateneo e dell aderenza del proprio laboratorio alla presenti linee guida e ai regolamenti. Il Responsabile della struttura emana un regolamento del laboratorio che deve almeno definire: le modalità di accesso al laboratorio, il personale autorizzato. Il regolamento del laboratorio deve essere approvato dal CE-CeSPA. I laboratori di ricerca o di didattica non devono fornire servizi critici che influiscano sul normale funzionamento dell Ateneo. Tutto il traffico tra la rete del laboratorio e il resto della rete di Ateneo deve passare attraverso un firewall gestito dall Ufficio ReFoS.

11 Connessioni da questi laboratori ad altre sottoreti dell Ateneo sono consentite solo previa autenticazione forte dell utente sui server di autenticazione centrali. Eventuali costi aggiuntivi per l implementazione della politica di sicurezza dei laboratori sono a carico della struttura che gestisce i laboratori. Per qualunque altra esigenza specifica del laboratorio, il Responsabile del laboratorio consulta il CE-CeSPA che affronterà lo specifico problema avvalendosi della consulenza tecnica dell Ufficio ReFoS Rete dei laboratori di didattica Per i laboratori di didattica, il regolamento deve includere anche le seguenti norme per gli studenti: 1. Lo studente ha diritto all accesso alle risorse informatiche nel corso della durata della carriera universitaria tramite l assegnazione delle credenziali elettroniche che sono attribuite contestualmente all immatricolazione. Il diritto di accesso ai singoli laboratori didattici è stabilito in base al regolamento specifico di ciascun laboratorio. 2. L accesso alle risorse informatiche è subordinato all accettazione del regolamento di Ateneo e del laboratorio e alla presa visione dell informativa sull utilizzo. 3. Il personale del laboratorio didattico può in ogni momento chiedere allo studente di mostrare un documento che dimostri il diritto di accesso al laboratorio. 4. In caso di violazioni, il personale del laboratorio è autorizzato a bloccare le credenziali dello studente rimandando ogni altra decisione al responsabile del laboratorio stesso. Nei laboratori di didattica non devono essere trattati né conservati dati sensibili o giudiziari. Non sono permessi server amministrativi o server Internet in questa rete. Nell implementazione delle politiche di sicurezza sul firewall per le reti didattiche è necessario tenere traccia di ogni connessione e dell accesso degli utenti alla rete Laboratori di ricerca Se in un laboratorio di ricerca vengono trattati dati sensibili e giudiziari tale laboratorio deve rispettare anche le Linee guida per le Reti Amministrative. Nell implementazione delle politiche di sicurezza sul firewall per le reti di ricerca l ufficio competente baserà le sue considerazioni sulle esigenze espresse dal Responsabile della struttura. Non è possibile avere server amministrativi in questa rete. 5.6 Reti con accesso consentito al pubblico In alcune situazioni l'accesso in rete è consentito al pubblico, cioè a persone che non sono gli utenti citati al paragrafo 2.1. Si fa riferimento ad esempio alle biblioteche e alle conferenze organizzate nelle sedi dell'ateneo. Tali reti devono essere configurate come i laboratori di didattica. In caso di conferenze, il responsabile della struttura che organizza la conferenza deve richiedere all'ufficio Refos la realizzazione di una rete apposita, fornendo uno strumento (ad es. ldap, active directory) per la verifica delle utenze create per le persone alle quali si fornisce l'accesso in rete. Sarà cura del responsabile della struttura stessa associare a ciascuna utenza i dati identificativi dell utente.

12 5.7 L accesso remoto L accesso dall esterno da parte del personale di Ateneo (manutenzione sistemi ICT, consultazione documenti e base dati, telelavoro, ) deve avvenire esclusivamente tramite VPN, con l utilizzo del sistema ufficiale di Ateneo. L accesso remoto da parte di fornitori (assistenza, manutenzione, ) può essere concesso solo a fronte di una delle seguenti situazioni: - accesso VPN mediante l utilizzo del sistema ufficiale di Ateneo; - garanzia di conformità del livello di sicurezza dei loro sistemi, valutata dall ufficio ReFoS. Non è consentito l accesso tramite SSH su Reti Amministrative. E consentito in entrata solo su reti di ricerca previa richiesta all Ufficio ReFoS. E consentito in uscita su richiesta all'ufficio ReFos. 5.8 Altre reti con dati sensibili e giudiziari Il sistema di fonia in rete, le apparecchiature per la registrazione dei dati d accesso, quelle per la registrazione di immagini a circuito chiuso ed altre eventuali apparecchiature non contemplate nei paragrafi precedenti, che richiedono il trasferimento su rete di dati sensibili e giudiziari, devono essere isolate su sottoreti specifiche. 5.9 Le Reti Wireless A seconda degli utenti che hanno diritto di accesso alla rete e del tipo di utilizzo della rete stessa, una rete wireless deve ereditare il livello di sicurezza di una delle reti di cui al paragrafo Le Reti delle Sedi distaccate Le reti distaccate, per la loro dimensione limitata e per la loro posizione geografica, devono essere trattate in maniera diversa. Tali reti sono collegate direttamente ad Internet, e il loro traffico non transita attraverso i firewall gestiti dagli organi centrali. Quando una rete distaccata viene collegata direttamente alla rete d Ateneo, perde la sua qualità di rete distaccata e deve uniformarsi interamente alle presenti Linee guida. Per ciascuna di tali reti deve essere individuato un PdC di riferimento tra quelli delle sedi principali dell Ateneo, che fungerà da PdC anche per la rete distaccata. La rete distaccata deve dotarsi di un firewall ed implementare su di esso le linee guida relative. In deroga alle presenti Linee guida, le infrastrutture di rete e il firewall devono essere gestiti localmente; la configurazione deve essere sottoposta all approvazione dell Ufficio ReFoS. Le reti distaccate, in quanto appartenenti a sedi didattiche, devono seguire le Linee guida per i laboratori didattici. Qualora nella sede distaccata vengano trattati dati sensibili e giudiziari, deve essere isolata una sottorete sulla quale avviene tale trattamento, e tale sottorete deve rispettare le Linee guida per le Reti Amministrative. Si ribadisce che, in ogni caso, è necessario chiedere il parere dell Ufficio ReFoS anche per qualunque azione di sviluppo e ampliamento delle reti distaccate Le Reti Ospite Eventuali Reti Ospite, devono essere isolate su sottoreti specifiche e devono dichiarare di attenersi alle linee guida dell Ateneo Linee guida per la configurazione dei firewall di Ateneo Al fine di garantire la sicurezza dei sistemi di calcolo, è necessario porre gli apparati di rete in sicurezza fisica: nelle aree in cui è concesso l accesso agli studenti (laboratori, punti

13 informativi, area aperta al pubblico di segreterie studenti, biblioteche, ecc) deve valere la norma che tutto ciò che non è necessario per il servizio fornito deve essere precluso, poichè a tali sistemi possono accedere più facilmente utenti non autorizzati. L Ufficio ReFoS attiva una protezione perimetrale della rete di Ateneo mediante firewall, sotto la sua diretta responsabilità, attraverso i quali deve transitare tutto il traffico in uscita o in entrata dalla rete di Ateneo. È un obiettivo strategico dotarsi di un sistema IPS-IDS (Intrusion Prevention/Detection System) che permetta di avere la conoscenza delle problematiche di sicurezza dell Ateneo. Poiché l'utilizzo di traffico cifrato crea problemi di sicurezza al firewall, perché rende impossibile l'analisi del traffico e il logging delle operazioni da parte del sistema di Intrusion Prevention (IPS), vige il principio generale di limitare il traffico cifrato dal firewall alle applicazioni necessarie (Entratel, Remote Banking.), mantenendolo in chiaro negli altri casi, purché non metta a rischio il corretto funzionamento dell Ateneo. Inoltre: E concesso agli utenti cifrare il contenuto delle comunicazioni di posta elettronica. L Accesso Remoto è garantito come stabilito nel paragrafo 5.7 E permesso l uso di HTTPS. I protocolli POPS e IMAPS sono permessi verso specifici/prestabiliti server interni e verso l esterno previa richiesta degli utenti all Ufficio ReFoS Rilevanti modifiche alla configurazione del firewall devono essere comunicate ai PdC affinchè possano verificarne il corretto funzionamento localmente Linee guida di controllo della rete e delle apparecchiature connesse Le presenti Linee guida hanno lo scopo di regolamentare le attività di monitoraggio e verifica del traffico di rete e del funzionamento delle apparecchiature connesse in rete (queste linee guida non riguardano l'uso di IPS e IDS). Tali attività sono essenziali per il corretto funzionamento della rete, anche in assenza di situazioni di emergenza, per determinare le cause di comportamenti anomali, rallentamenti del traffico, eccetera. Pertanto tali attività sono considerate parte della normale gestione della rete. Il monitoraggio è obbligatorio su: Server internet Server e firewall amministrativi Proxy web e va effettuato seguendo le disposizioni tecniche del ReFoS. Possono dedicarsi a tali attività solo il personale dell Ufficio ReFoS o i PdC su richiesta dell Ufficio ReFoS. Il monitoraggio del traffico in rete deve limitarsi alle intestazioni dei pacchetti e in nessun caso può entrare nel merito dei dati. Gli utenti devono essere preventivamente informati sulle procedure di monitoraggio in atto, in conformità con la normativa vigente sulla tutela dei dati personali. E necessario però che i PdC delle Strutture coinvolte vengano tempestivamente informati in caso si ritenga che l intervento possa interferire con il normale funzionamento della rete. È possibile definire un programma di test periodici di controllo per il quale sarà prevista una singola autorizzazione. Conservazione dei log. Tutti i log dei server e degli apparati di rete dell Ateneo devono essere conservati e messi a disposizione dell Ufficio ReFoS. Questi dati sono disponibili nei

14 casi di emergenza o indagine, nel rispetto della legge sulla tutela dei dati personali. Ogni altra copia deve essere distrutta. I log relativi al traffico dati verranno conservati in ottemperanza alle disposizioni di legge. Per quanto riguarda il traffico telefonico, non sussistono obblighi di legge poiché il servizio di fonia è fornito solo ai dipendenti (Provvedimento del Garante del 17 gennaio 2008 (G.U. n.30 del 5 febbraio 2008) e successivo provvedimento di modifica del 24 luglio 2008 (G.U. n.189 del 13 agosto 2008)). Saranno sistematicamente conservati solo i dati necessari per il corretto funzionamento del servizio (ad es. per la rendicontazione degli addebiti), e nel rispetto della legge sulla tutela dei dati personali. In caso si verifichi la necessità di conservare temporaneamente ulteriori dati di traffico telefonico, l Ufficio ReFoS ne darà tempestiva comunicazione al CE-CeSPA. 6 Linee guida per l autenticazione e l autorizzazione di utenti L Ateneo si dota di un sistema centralizzato che contenga le utenze (ad es. ldap, active directory). 6.1 Gestione login utente 1 Il Regolamento oppure i Regolamenti della struttura devono prevedere la modalità di rilascio, gestione, rinnovo o revoca di un utenza. 2 In base alle informazioni contenute nel profilo di accesso viene impostato il sistema di autenticazione (semplice o forte), gestiti come specificato nel Regolamento. 3 Deve essere stabilito da apposito regolamento chi ha diritto ad utenze sui server dell'ateneo. In ogni caso, la user-id e relativo profilo utente devono avere durata massima di 5 anni, e possono poi essere rinnovati. 4 La modalità di gestione dei diversi eventi che comportano modifiche alle abilitazioni delle utenze deve essere riportata in appositi documenti. 5 La realizzazione del sistema di identificazione e validazione centralizzati è a fondamento di un valido sistema di autorizzazione all accesso dei più svariati servizi. 6 L'implementazione dell accesso ai servizi tramite autenticazione forte in sostituzione della coppia login/password è un punto fondamentale da raggiungere per la sicurezza di Ateneo, in particolare per quanto riguarda servizi critici e utenti che trattano dati personali. 7 Figure e responsabilità degli amministratori delle risorse informatiche 1) Sulla base del Regolamento per l attuazione delle norme in materia di dati personali, emanato dall Ateneo, si definisce: Titolare del trattamento dei dati: il Rettore pro-tempore; Responsabile del trattamento dei dati nelle strutture amministrative, di servizio, didattiche e scientifiche: il Responsabile pro-tempore della struttura stessa. 2) Il Titolare è inoltre responsabile giuridico di tutti i sistemi e le apparecchiature informatiche acquistate o affittate dall Università e delega il controllo e la supervisione di tali risorse al Responsabile della specifica struttura dell Università che le ospita e/o se ne fa carico.

15 3) Il Titolare, sulla base della normativa vigente e su indicazione dei Responsabili delle strutture di cui al punto 1), nomina gli Amministratori di Sistema in possesso di idonei requisiti per la gestione delle risorse informatiche di competenza della struttura di appartenenza. Il tema degli Amministratori di Sistema, relativamente a definizioni e procedure operative, è trattato in uno specifico documento. 8 Sicurezza dei client Per i client valgono le seguenti norme, in aggiunta alle norme generali di gestione della Rete di Ateneo (paragrafo 5). Per la rete amministrativa gli account di amministratore di ogni client sono affidati al laboratorio informatico della struttura. Per le altre reti la gestione dell account di amministrazione è stabilito dal Responsabile della struttura, e se non specificato diversamente, è affidato al laboratorio informatico della struttura. Per inserire un client nella rete d Ateneo è necessario: Richiedere un indirizzo IP all Ufficio ReFoS oppure configurare la macchina per riceverlo dinamicamente, a seconda delle istruzioni ricevute dal PdC locale. Installare una protezione antivirus per i sistemi operativi che lo necessitino. Controllare che la macchina non sia utilizzata come server Applicare tempestivamente tutte le patch di sicurezza del sistema e degli applicativi di cui si intende fare uso e mantenerne nel tempo l aggiornamento. Impostare una procedura di autenticazione utente per l accesso alla rete (ad esempio autenticazione su ldap, active directory, samba, radius. ) L attivazione di host multi-homed deve essere autorizzata dall Ufficio ReFoS per evitare problemi di routing e naming. In particolare è vietato l uso di Internet Key, modem o qualunque collegamento in rete che non attraversi il firewall di Ateneo. Qualora si volesse attivare un servizio server su una macchina client, si veda il capitolo Linee Guida di Sicurezza dei Server (vedi capitolo 9). Tutto il personale che utilizza le reti di Ateneo, anche con portatili personali, deve sottostare alle presenti Linee Guida. 9. Linee guida di Sicurezza dei Server, dei Sistemi e delle Applicazioni Lo scopo di queste linee guida è stabilire regole uniformi in tutto l Ateneo per il collegamento in rete dei server. 9.1 Server: proprietà e responsabilità generali Per ciascun server è necessario indicare le caratteristiche tecniche e le funzioni del server: per i server locali la segnalazione va fatta al PdC, per tutti gli altri all Ufficio ReFoS. Tali informazioni devono essere mantenute aggiornate. Per l attivazione di server locali è necessario il benestare del PdC: quest ultimo, in caso di problemi di sicurezza o di rete, può temporaneamente isolare un server locale.

16 9.2 I certificati Sui Server che offrono servizi all esterno dell Ateneo è necessaria l installazione di certificati uffìciali. 9.3 Server Internet, amministrativi e intranet Ove possibile i server devono logicamente risiedere su reti dedicate, al fine di avere una gestione flessibile delle politiche di sicurezza che li riguardano e l implementazione di livelli di sicurezza diversi dal resto della rete. Si dovrebbero definire reti server distinte, in base alla criticità del servizio, ai dati trattati, e al tipo di utenti di ciascun server. I server devono essere fisicamente collocati in ambienti ad accesso ristretto e controllato. Solo i servizi necessari debbono essere permessi su tali server, al fine di garantire adeguata sicurezza, anche a vantaggio della funzionalità. Una struttura che necessiti visibilità esterna per uno dei propri server deve: nominare un responsabile che gestisce l accesso privilegiato garantire che la configurazione del server segua lo specifico regolamento. definire una politica di backup dei dati su supporti movibili e/o server dedicati: si deve indicare dove saranno conservati eventuali supporti di memorizzazione e la cadenza di effettuazione delle operazioni di backup adottare adeguati meccanismi di ripristino del sistema garantire all'ufficio ReFoS la possibilità di verificare in ogni momento la configurazione del proprio server, ad esempio concedendo accesso in sola lettura alla macchina. La gestione dei server che forniscono servizi essenziali per l Ateneo deve rispondere a requisiti di disponibilità del servizio e di sicurezza. Per tale ragione, la gestione richiede attività costante sul server, al fine di conoscerne approfonditamente il software, la configurazione e le procedure di amministrazione. Gli aggiornamenti periodici dei programmi per elaboratore, volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti, devono essere effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale (Codice in materia di protezione dei dati personali - all. B, art. 17). 9.4 Applicazioni L utilizzo di applicazioni che possono creare malfunzionamenti alla rete di Ateneo, ed eccessivi consumi di banda, possono essere bloccate dall Ufficio ReFoS (es. software peer to peer). 10. La Posta Elettronica L Ateneo si dota di un sistema di Posta Elettronica e deve prevedere un apposito Regolamento. Il Regolamento deve includere l elenco dei soggetti abilitati, le modalità di attivazione e revoca di un casella di posta e le caratteristiche del servizio Responsabilità : il titolare della mailbox è responsabile dell eventuale uso improprio della mailbox stessa. Nel caso delle caselle istituzionali tale responsabilità è data al responsabile dell ufficio / servizio in questione

17 Il Responsabile del Servizio di posta ed il Responsabile del ReFoS si riservano di intervenire e bloccare il traffico per gli indirizzi IP e/o le caselle di posta che generano un traffico anomalo di mail. L Amministrazione si riserva inoltre il diritto, in caso di violazione delle presenti linee guida o degli specifici regolamenti, di interrompere o sospendere, in tutto o in parte, l erogazione del servizio e di intervenire con eventuali provvedimenti e sanzioni. Eventuali altre restrizioni legate a problemi tecnici verranno decise dalla CoTe in collaborazione con il responsabile tecnico del servizio, qualora se ne presenti la necessità. 11. Linee guida per l Auditing Il presente documento verrà integrato con le linee guida per l Auditing 12. Outsourcing I privati che prendono in outsourcing un servizio per conto dell Ateneo, per la fornitura di tale servizio, si devono uniformare alla normativa di gestione della rete dell Ateneo e mantenere un livello di sicurezza pari o superiore a quello dell Ateneo. 13. Linee Guida per il Personale Tutto il personale di Ateneo per accedere a dispositivi informatici deve effettuare una procedura di autorizzazione/autenticazione su un sistema di autenticazione di Ateneo o integrato con esso, Nel caso in cui emerga che un utente non rispetti le politiche di sicurezza dell Ateneo, gli/le verrà immediatamente disabilitato l accesso alle risorse di Ateneo e successivamente egli/ella sarà soggetto a provvedimenti disciplinari Assunzione e contratti Ai nuovi assunti deve essere fornito adeguato materiale di riferimento per il rispetto delle politiche di sicurezza. Tutti i fornitori esterni che forniscono servizi e che necessitano un accesso ai sistemi informativi e alla rete di Ateneo devono rispettare le presenti linee guida Formazione e aggiornamenti L Ateneo è tenuto a fornire adeguata formazione sui nuovi sistemi, per assicurane un utilizzo efficiente e non compromettere la sicurezza delle informazioni. Regolare formazione deve essere prevista dall Ateneo per aggiornare il personale sulle ultime tecniche di sicurezza dell informazione e sulle ultime minacce 13.3 Cessazioni Quando un dipendente lascia l Ateneo, l accesso ai sistemi informativi deve essere disattivato e successivamente revocato a fronte di una comunicazione ufficiale. Può essere mantenuto attivo anche oltre la durata del rapporto di lavoro solo a fronte di una richiesta formale dell interessato, inviata al magnifico Rettore, previa valutazione da parte del Responsabile della struttura di afferenza.

18 14. Provvedimenti e Sanzioni In caso di malfunzionamenti, comportamenti non consentiti o non conformi alle politiche e ai regolamenti, il Responsabile del servizio coinvolto può prendere tutte le misure necessarie atte a ripristinarne il corretto funzionamento, compresa la possibilità di bloccare all utente/agli utenti l accesso al servizio stesso, informando tempestivamente il CE-CeSPA. Sarà cura del Responsabile del servizio coinvolto contattare il PdC locale per avvertire della situazione e cercare di ripristinare nel più breve tempo possibile le condizioni di normale funzionamento. 15. Norme transitorie e finali L Ufficio ReFoS presenterà un documento sullo stato attuale della rete di Ateneo e della sicurezza informatica e un progetto per una rete che rispetti le linee guida qui definite. Il CE-CeSPA, vagliato il documento, concorderà con il l Ufficio ReFoS una procedura per operare la transizione dalla rete attuale a quella progettata. Il responsabile dell'audit e la Struttura di Auditing verranno nominati quando, a giudizio della CoTe, la rete di Ateneo sarà conforme alle linee guida qui definite. ALLEGATO 1 Acceptable Use Policy (AUP) del GARR 1. La Rete Italiana dell'università e della Ricerca Scientifica, denominata comunemente "la Rete GARR", si fonda su progetti di collaborazione scientifica ed accademica tra le Università, le Scuole e gli Enti di Ricerca pubblici italiani. Di conseguenza il servizio di Rete GARR è destinato principalmente alla comunità che afferisce al Ministero dell'istruzione, dell'università e della Ricerca (MIUR). Esiste tuttavia la possibilità di estensione del servizio stesso anche ad altre realtà, quali quelle afferenti ad altri Ministeri che abbiano una Convenzione specifica con il Consortium GARR, oppure realtà che svolgono attività di ricerca in Italia, specialmente, ma non esclusivamente, in caso di organismi "no-profit" impegnati in collaborazioni con la comunità afferente al MIUR. L'utilizzo della Rete è comunque soggetto al rispetto delle Acceptable Use Policy (AUP) da parte di tutti gli utenti GARR. 2. Il "Servizio di Rete GARR", definito brevemente in seguito come "Rete GARR", è costituito dall'insieme dei servizi di collegamento telematico, dei servizi di gestione della rete, dei servizi applicativi e di tutti quelli strumenti di interoperabilità (operati direttamente o per conto del Consortium GARR) che permettono ai soggetti autorizzati ad accedere alla Rete di comunicare tra di loro (Rete GARR nazionale). Costituiscono parte integrante della Rete GARR anche i collegamenti e servizi telematici che permettono la interconnessione tra la Rete GARR nazionale e le altre reti. 3. Sulla rete GARR non sono ammesse le seguenti attività: o fornire a soggetti non autorizzati all'accesso alla Rete GARR il servizio di connettività di rete o altri servizi che la includono, quali la fornitura di servizi di housing, di hosting e simili, nonchè permettere il transito di dati e/o

19 informazioni sulla Rete GARR tra due soggetti entrambi non autorizzati all'accesso sulla Rete GARR (third party routing); o utilizzare servizi o risorse di Rete, collegare apparecchiature o servizi o software alla Rete, diffondere virus, hoaxes o altri programmi in un modo che danneggi, molesti o perturbi le attività di altre persone, utenti o i servizi disponibili sulla Rete GARR e su quelle ad essa collegate; o creare o trasmettere (se non per scopi di ricerca o comunque propriamente in modo controllato e legale) qualunque immagine, dato o altro materiale offensivo, diffamatorio, osceno, indecente, o che attenti alla dignità umana, specialmente se riguardante il sesso, la razza o il credo; o trasmettere materiale commerciale e/o pubblicitario non richiesto ("spamming"), nonché permettere che le proprie risorse siano utilizzate da terzi per questa attività; o danneggiare, distruggere, cercare di accedere senza autorizzazione ai dati o violare la riservatezza di altri utenti, compresa l'intercettazione o la diffusione di parole di accesso (password), chiavi crittografiche riservate e ogni altro dato personale come definito dalle leggi sulla protezione della privacy; o svolgere sulla Rete GARR ogni altra attività vietata dalla Legge dello Stato, dalla normativa Internazionale, nonchè dai regolamenti e dalle consuetudini ("Netiquette") di utilizzo delle reti e dei servizi di Rete cui si fa accesso. 4. La responsabilità del contenuto dei materiali prodotti e diffusi attraverso la Rete è delle persone che li producono e diffondono. Nel caso di persone che non hanno raggiunto la maggiore età, la responsabilità può coinvolgere anche le persone che la legge indica come tutori dell attività dei minori. 5. I soggetti autorizzati (S.A.) all'accesso alla Rete GARR, definiti nel documento "Regole di accesso alla Rete GARR", possono utilizzare la Rete per tutte le proprie attività istituzionali. Si intendono come attività istituzionali tutte quelle inerenti allo svolgimento dei compiti previsti dallo statuto di un soggetto autorizzato, comprese le attività all'interno di convenzioni o accordi approvati dai rispettivi organi competenti, purchè l'utilizzo sia a fini istituzionali. Rientrano in particolare nelle attività istituzionali, la attività di ricerca, la didattica, le funzioni amministrative dei soggetti e tra i soggetti autorizzati all'accesso e le attività di ricerca per conto terzi, con esclusione di tutti i casi esplicitamente non ammessi dal presente documento. Altri soggetti, autorizzati ad un accesso temporaneo alla Rete (S.A.T.) potranno svolgere solo l'insieme delle attività indicate nell'autorizzazione. Il giudizio finale sulla ammissibilità di una attività sulla Rete GARR resta prerogativa degli Organismi Direttivi del Consortium GARR. 6. Tutti gli utenti a cui vengono forniti accessi alla Rete GARR devono essere riconosciuti ed identificabili. Devono perciò essere attuate tutte le misure che impediscano l'accesso a utenti non identificati. Di norma gli utenti devono essere dipendenti del soggetto autorizzato, anche temporaneamente, all'accesso alla Rete GARR. Per quanto riguarda i soggetti autorizzati all'accesso alla Rete GARR (S.A.) gli utenti possono essere anche persone temporaneamente autorizzate da questi in virtù di un rapporto di lavoro a fini istituzionali. Sono utenti ammessi gli studenti

20 regolarmente iscritti ad un corso presso un soggetto autorizzato con accesso alla Rete GARR. 7. È responsabilità dei soggetti autorizzati all'accesso, anche temporaneo, alla Rete GARR di adottare tutte le azioni ragionevoli per assicurare la conformità delle proprie norme con quelle qui esposte e per assicurare che non avvengano utilizzi non ammessi della Rete GARR. Ogni soggetto con accesso alla Rete GARR deve inoltre portare a conoscenza dei propri utenti (con i mezzi che riterrà opportuni) le norme contenute in questo documento. 8. I soggetti autorizzati all'accesso, anche temporaneo, alla Rete GARR accettano esplicitamente che i loro nominativi (nome dell'ente, Ragione Sociale o equivalente) vengano inseriti in un annuario elettronico mantenuto a cura degli Organismi Direttivi del Consortium GARR. 9. In caso di accertata inosservanza di queste norme di utilizzo della Rete, gli Organismi Direttivi del Consortium GARR prenderanno le opportune misure, necessarie al ripristino del corretto funzionamento della Rete, compresa la sospensione temporanea o definitiva dell'accesso alla Rete GARR stessa. 10. L'accesso alla Rete GARR è condizionato all'accettazione integrale delle norme contenute in questo documento. ALLEGATO 2 RFC Netiquette Guidelines Network Working Group S. Hambridge Request For Comments: 1855 Intel Corp. FYI: 28 October 1995 Category: Informational La versione italiana del documento documento RFC-1855 "Netiquette Guidelines" ("Galateo di Rete") e' stata realizzata per l'uso del sito della CGIL e gentilmente concessa. Coloro che lo desiderano possono fare riferimento alla versione originale in lingua inglese: ftp://ftp.nic.it/rfc/rfc1855.txt L'estensore di questa traduzione si scusa anticipatamente con gli autori della RFC1855, come anche con i lettori, per eventuali errori di traduzione. Saranno ben gradite segnalazioni degli eventuali errori commessi. Stato di questo memo Questo memo fornisce informazioni alla comunità Internet. Questo memo non rappresenta alcun tipo di standard Internet. La distribuzione di questo memo è illimitata. Abstract