COMUNE DI TARQUINIA (Provincia di Viterbo)

Transcript

1 COMUNE DI TARQUINIA (Provincia di Viterbo) piazza Giacomo Matteotti, Tarquinia (VT) P. IVA Tel.(+39) fax (+39) url: comune.tarquinia@tarquinia.net REGOLAMENTO SULLE MODALITA D USO DEGLI STRUMENTI INFORMATICI, SUL LORO UTILIZZO TELEMATICO NEL LUOGO DI LAVORO E SULLE MISURE MINIME DI SICUREZZA PER IL TRATTAMENTO DEI DATI PERSONALI Approvato con deliberazione di Giunta N 353 del 28/10/

2 ARTICOLO I. OGGETTO Il presente Regolamento disciplina: Le modalità di utilizzo degli strumenti informatici nell ambito dello sviluppo delle proprie mansioni, dei propri compiti di lavoro e nelle attività di ufficio da parte dei dipendenti che hanno in dotazione una stazione di lavoro di tipo personal computer; L individuazione del complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione per il trattamento dei dati personali al fine di garantire l aderenza e la rispondenza alle vigenti normative in materia e gli adeguati livelli di sicurezza ed integrità del patrimonio informatico dell Amministrazione Comunale; ARTICOLO II. MODALITA DI UTILIZZO DEGLI STRUMENTI INFORMATICI IN DOTAZIONE Durante l espletamento della propria attività lavorativa NON E CONSENTITO: (d) (e) (f) (g) (h) L istallazione e la duplicazione di software non coperto da regolare licenza se non fornita dal Sistema Informativo Comunale; L installazione di software libero non soggetto a licenza d uso, non autorizzato dal Sistema Informativo Comunale; L installazione di software non autorizzato, finalizzato ad alterare la funzionalità del collegamento in rete della stazione di lavoro; L alterazione degli indirizzi e dei protocolli di rete (TCP/IP) assegnati dal Sistema Informativo Comunale; La spedizione e la ricezione, via internet e intranet, di messaggi o archivi per usi non istituzionali, comunque non inerenti i propri compiti di ufficio, mettendo così a rischio la sicurezza e l integrità del patrimonio informativo dell Amministrazione; L inibizione o la sospensione, anche temporanea, del funzionamento del software antivirus installato dal Sistema Informativo Comunale; L utilizzazione di funzioni e tecniche di condivisione dei propri archivi senza la contemporanea adozione di opportune parole chiave di accesso da fornire ai colleghi che ne debbano fare uso; L apertura di canali informativi telematici non autorizzati, da e verso l esterno alla Amministrazione Comunale in qualsiasi forma (trasferimento dischetti, modem, internet, ecc. );

3 (i) (j) (k) (l) (m) (n) (o) L utilizzo in modo improprio dei software applicativi con inserimento di modalità, note e quant altro possa compromettere l integrità e la condivisione delle banche dati in gestione, non autorizzato dal Sistema Informativo Comunale; Abbandonare la stazione di lavoro in produzione senza aver inibito la possibilità d uso da parte di terzi uscendo dal sistema (log off) o il blocco con una password, o tramite uno screen saver; in quanto l utente cui viene assegnata una password di accesso al sistema e/o alla rete è responsabile di tutto quanto accade a seguito di transazioni ed elaborazioni abilitate dalla password; Scaricare files contenuti in supporti magnetici/ottici non aventi alcuna attinenza con la propria prestazione lavorativa; L accesso a sistemi diversi con lo stesso account contemporaneamente, né utilizzare un medesimo codice identificativo personale per accedere contemporaneamente alla stessa applicazione da diverse postazioni; Annotare in documenti cartacei o memorizzare in supporti informatici, presso il sistema cui si riferiscono, le password utilizzate; All utente assegnatario del computer, nel caso di computer protetti da password di amministratore richiedere la rimozione o la conoscenza di detta password; Connettere ai nodi della rete LAN PC o notebook senza la preventiva autorizzazione del Sistema Informativo Comunale; 2.02 Durante l espletamento della propria attività lavorativa E OBBLIGATORIO: (d) (e) (f) (g) L utilizzazione di tutte le cautele riguardanti l uso di software del quale non si conoscano appieno le potenzialità; Ovunque possibile, accertarsi della provenienza dei messaggi di posta elettronica contenente allegati; Aprire gli allegati di posta elettronica solo dopo averli salvati e controllati con il programma antivirus; Sottoporre a controllo antivirus tutti i supporti di provenienza esterna o incerta prima di eseguire o caricare uno qualsiasi dei files in esso contenuti; L attività di aggiornamento del proprio software antivirus ogni qualvolta ne venga indicata o ravvisata la necessità; La denuncia e registrazione di archivi informatici presenti sulla propria stazione di lavoro, ai sensi della legge sulla privacy, nonché l applicazione di tutte le norme conseguenti alla gestione e mantenimento di tali informazioni regolarmente autorizzata; La comunicazione, in busta chiusa e sigillata, al Sistema Informativo Comunale della eventuale chiave utilizzata per accedere alla propria stazione di lavoro;

4 (h) (i) (j) (k) (l) (m) Per il Sistema Informativo Comunale, la custodia dell archivio delle parole chiave aggiornato, in busta chiusa, in cassaforte ed in luogo diverso dalla Sala server operativa, necessario per intervenire in caso di emergenza; Cambiare la password di accesso entro scadenze prefissate, concordate con il Sistema Informativo Comunale; La comunicazione al Sistema Informativo Comunale dell insorgere di condizioni anomale che possano comportare una non perfetta aderenza alle norme di comportamento indicate nel presente regolamento; Quando si lascia la stazione di lavoro, sia al termine dell orario d ufficio o per lunghe assenze, chiudere le sessioni di lavoro aperte sul data base ORACLE ; Per ogni utente assegnatario di account di livello superiore (administrator, root, super_utente) disporre di almeno un altro account come utente di livello inferiore per il normale lavoro; Per l Area Risorse Umane, informare tempestivamente il Sistema Informativo Comunale della perdita della qualifica che consente l accesso ai dati da parte di un dipendente, anche temporaneamente; (n) Per il personale del Sistema Informativo Comunale, il controllo e l aggiornamento del software antivirus centralizzato; (o) (p) (q) (r) Per il personale del Sistema Informativo Comunale, controllare che le ditte esterne addette alla manutenzione usino computer dotati di misure di protezione antivirus; Per il personale del Sistema Informativo Comunale, eseguire il controllo dei supporti infetti da virus con un PC non collegato in rete ( macchina di quarantena); Per il personale del Sistema Informativo Comunale, provvedere alla sicurezza del patrimonio informativo dell Amministrazione, con il controllo continuo della funzionalità dell hardware e software installati per la sicurezza dei dati ( firewall, proxy server, routers, antivirus ); Per il personale del Sistema Informativo Comunale, eseguire con cadenza giornaliera e conservare le copie di salvataggio per almeno 15 giorni consecutivi ed in luogo diverso dalla Sala Server; ARTICOLO III. ACCESSO AI SITI INTERNET Per quanto riguarda l accesso ai siti internet si adottano le seguenti procedure: Distribuzione di norme interne di comportamento contenute nel codice di comportamento dei dipendenti previsto dal Decreto Legislativo n 165 del 30/03/2001; Evidenziazione a video del divieto di accesso ai siti non autorizzati;

5 (d) (e) (f) Verifica a campione degli accessi con modalità che escludano l identificazione di persone eventualmente contattate; Installazione di software-filtro che permettano di inibire o restringere l accesso ai siti non autorizzati e/o limitare i tempi di collegamento; L Amministrazione adotta, nel rispetto delle norme esistenti, tutte le misure di sorveglianza e monitoraggio degli accessi ad internet e di uso delle risorse, necessarie a salvaguardare la sicurezza e l integrità delle risorse stesse nonché il rispetto delle norme dopo contrattazione interna con le rappresentanze sindali; Per ogni comunicazione (interna o esterna), inviata o ricevuta tramite posta elettronica, che abbia contenuti rilevanti o contenga impegni per l Amministrazione si deve fare riferimento alle procedure per la corrispondenza ordinaria; 3.02 Per quanto riguarda l accesso ai siti internet NON E CONSENTITO: (d) (e) (f) (g) (h) (i) Navigare in siti non attinenti allo svolgimento delle mansioni assegnate, in particolar modo in quelli che violano la legge sui diritti di autore, in quelli a contenuto pornografico ed in genere con contenuti in qualsiasi modo illegali; L effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni di remote bamking, acquisti on-line e simili salvo casi direttamente autorizzati dal responsabile del settore interessato e con il rispetto delle normali procedure di acquisto; Lo scarico di software gratuiti ( freeware ) e shareware prelevato da siti internet, se non espressamente autorizzato dal Sistema Informativo Comunale; E vietata ogni forma di registrazione ai siti i cui contenuti non siano legati all attività lavorativa; Non è permessa la partecipazione, per motivi non professionali a Forum, l utilizzo di chat line, di bacheche elettroniche e le registrazioni in guest book anche utilizzando pseudonimi ( o niknames ); La memorizzazione di documenti informatici di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica; Utilizzare la posta elettronica (interna ed esterna) per motivi non attinenti allo svolgimento delle mansioni assegnate; Inviare messaggi (interni ed esterni) di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica; L utilizzo di posta elettronica comunale per la partecipazione a dibattiti, Forum o mail-list, salvo ed esplicita autorizzazione;

6 ARTICOLO IV. ASSISTENZA HARDWARE E SOFTWARE 4.01 L assistenza hardware e software su tutti gli apparati che costituiscono il Sistema Informativo Comunale è effettuata esclusivamente dal personale addetto alla sua gestione che può avvalersi dell intervento di personale esterno altamente qualificato; 4.02 L assistenza deve essere richiesta utilizzando l apposito link sulla home page della Intranet, e o in caso di impossibilità tramite linea telefonica dedicata; NON E CONSENTITO FAR INTERVENIRE SU DETTI APPARATI PERSONALE NON AUTORIZZATO; CAPO II MISURE DI SICUREZZA PER LA TUTELA DEI DATI ARTICOLO V. INDIVIDUAZIONE DEI RUOLI DI RESPONSABILITA Ai fini del presente regolamento per: (d) (e) TITOLARE si intende l Ente Comune di Tarquinia cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali, ivi compreso il profilo di sicurezza; AMMINISTRATORE DI SISTEMA si intende il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore e di un sistema di base dati e di consentirne l utilizzazione; per RESPONSABILE si intende il soggetto che per collocazione funzionale, esperienza, capacità, e affidabilità assume il compito di garantire il rispetto delle vigenti disposizioni in materia di trattamento dati, ivi compreso il profilo relativo alla sicurezza; per INCARICATO DEL TRATTAMENTO si intende il soggetto che è stato autorizzato dal titolare o dal responsabile a compiere operazioni sui dati cui ha accesso; per UTENTE si intende il soggetto che eventualmente può accedere ai dati;

7 ARTICOLO VI. Trattamento dei dati personali effettuati con strumenti elettronici o comunque automatizzati. La classificazione dei sistemi di archiviazione e di trattamento dei dati personali e le misure minime di sicurezza da adottare sono riportate nella tabella allegata al presente regolamento. PARTE I TRATTAMENTO DEI DATI PERSONALI EFFETTUATO MEDIANTE ELABORATORI NON ACCESSIBILI DA ALTRI ELABORATORI O TERMINALI 6.01 Misure di sicurezza generali. Presso ogni unità organizzativa: Sarà prevista una parola chiave per l accesso ai dati da fornire agli incaricati del trattamento; Saranno individuati per iscritto, quando vi è più di un incaricato del trattamento e sono in uso più parole chiave, i soggetti preposti alla loro custodia o che hanno accesso ad informazioni che concernono le medesime. PARTE II TRATTAMENTO DEI DATI PERSONALI EFFETTUATO MEDIANTE ELABORATORI ACCESSIBILI IN RETE 6.02 Classificazione. Ai fini della presente parte gli elaboratori accessibili in rete impiegati nel trattamento dei dati personali sono distinti in: Elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico (intranet); Elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico (internet); 6.03 Codici identificativi e protezione degli elaborati. Nel caso di trattamenti effettuati con gli elaboratori di cui al punto 6.02 Classificazione, oltre a quanto previsto dalla PARTE I, devono essere adottate le seguenti misure: A ciascun utente o incaricato del trattamento deve essere attribuito un codice identificativo personale per l utilizzazione dell elaboratore, uno stesso codice, fatta eccezione per gli amministratori di sistema relativamente ai sistemi

8 operativi che prevedono un unico livello di accesso per tale funzione, non può, neppure in tempi diversi, essere assegnato a persone diverse; I codici identificativi personali devono essere assegnati e gestiti in modo che sia prevista la disattivazione in caso di perdita della qualità che consentiva l accesso all elaboratore o di mancato utilizzo dei medesimi per un periodo superiore ai sei mesi; Gli elaboratori devono essere protetti contro il rischio di intrusione mediante idonei programmi antivirus, la cui efficacia ed aggiornamento sono verificate con scadenza semestrale; 6.04 Accesso ai dati particolari. Per il trattamento dei dati sensibili e/o giudiziari l accesso per effettuare operazioni è determinato sulla base di autorizzazioni assegnate, singolarmente o per gruppi di lavoro, agli incaricati del trattamento. Se il trattamento è effettuato con elaboratori accessibili mediante una rete di telecomunicazioni disponibile al pubblico, sono soggetto di autorizzazioni anche gli strumenti che possono essere utilizzati per l interconnessione. L autorizzazione, se riferita agli strumenti, deve individuare i singoli elaboratori attraverso i quali è possibile accedere per effettuare operazioni di trattamento. Le autorizzazioni all accesso sono rilasciate e revocate dal titolare, o dal responsabile. Periodicamente, e comunque almeno una volta all anno, è verificata la sussistenza delle condizioni per la loro conservazione. L autorizzazione all accesso deve essere limitata ai soli dati la cui conoscenza è necessaria e sufficiente per lo svolgimento delle operazioni di trattamento. La validità delle richieste di accesso è verificata prima di consentire l accesso stesso. Non è consentita l utilizzazione di un medesimo codice identificativo personale per accedere contemporaneamente alla stessa applicazione da diverse stazioni di lavoro. I dati sono trattati con tecniche di cifratura o mediante l utilizzazione di codici identificativi o di altri sistemi che, considerato il numero e la natura dei dati trattati, permettono di identificare gli interessati solo in casi di necessità. I dati sono conservati, separatamente da ogni altro dato personale trattato per finalità che non richiedano il loro utilizzo. Al trattamento di tali dati si procede con la modalità di cui al comma precedente anche quando detti dati non sono contenuti in elenchi, registri o banche dati o non sono tenuti con l ausilio di mezzi elettronici o comunque automatizzati.

9 Rispetto ai dati la cui disponibilità è essenziale per svolgere attività istituzionale le operazioni di trattamento autorizzate sono strettamente necessarie al perseguimento delle finalità per le quali il trattamento è consentito Documento programmatico sulla sicurezza. Nel caso di trattamento dei dati comuni e sensibili e/o giudiziari effettuato mediante elaboratori deve essere predisposto e aggiornato, con scadenza annuale, un documento programmatico sulla sicurezza dei dati per definire, sulla base dell analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati stessi: I criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l accesso delle persone autorizzate ai locali medesimi; I criteri e le procedure per assicurare l integrità dei dati; I criteri e le procedure per la sicurezza delle trasmissioni dati, ivi compresi quelli per le restrizioni di accesso per via telematica; (d) L elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni. L efficacia delle misure di sicurezza deve essere oggetto di controlli periodici, da eseguirsi con cadenza almeno annuale. Nel caso di trattamento dei dati sensibili e/o giudiziari, il reimpiego dei supporti di memorizzazione già utilizzati per il trattamento può essere effettuato qualora le informazioni precedentemente contenute non siano tecnicamente in alcun modo recuperabili, altrimenti devono essere distrutti. ARTICOLO VII. Trattamento dei dati personali effettuati con strumenti diversi da quelli elettronici o comunque automatizzati Trattamento dati personali effettuato con strumenti diversi. Si devono osservare le seguenti modalità: Nel designare gli incaricati del trattamento per iscritto e nell impartire le istruzioni il titolare o il responsabile devono prescrivere che gli incaricati abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati; Gli atti ed i documenti contenenti i dati devono essere conservati in archivi ad accesso selezionato definendo procedure di consegna e restituzione dei documenti.

10 7.02 Trattamento dati sensibili e/o giudiziari, con strumenti diversi. Si devono osservare le seguenti modalità oltre a quanto previsto al comma 7.01: Gli atti e i documenti contenenti i dati sono conservati in luoghi chiusi, sale o contenitori muniti di serratura; L accesso agli archivi deve essere controllato e devono essere identificati e registrati i soggetti che vi vengono ammessi dopo l orario di chiusura degli archivi stessi. CAPO III DISPOSIZIONI FINALI ARTICOLO VIII. Compito di sorveglianza La verifica della sicurezza dei Sistemi Informativi dell Amministrazione riguarda gli aspetti hardware, software, le linee di comunicazione dati e l utilizzo delle riorse. (d) I responsabili di ciascuna Unità organizzativa hanno il compito di sorvegliare il corretto rispetto delle modalità di utilizzo degli strumenti informatici in dotazione ai dipendenti, nonché di disporre eventuali ulteriori direttive giudicate necessarie nell ambito di particolari specificità o responsabilità; Il Dirigente responsabile del Sistema Informativo Comunale o il personale da questi delegato provvede a verifiche finalizzate al controllo del rispetto delle norme e all eliminazione di eventuali condizioni di rischio per la sicurezza informatica e rilevazione di infrazioni alle norme vigenti, ivi compreso l uso improprio delle attrezzature informatiche. I controlli vengono svolti previo avviso ai Responsabili dei Settori o Aree interessate e in contraddittorio con l utente assegnatario del sitema sottoposto a controllo. In particolare, tra l altro si controlla l esistenza, nelle apparecchiature, di configurazioni logiche e fisiche non adeguate e pericolose, la presenza di software, componenti hardware e linee dati non autorizzati o non correttamente installati e modalità d uso pericolose e non consentite. Di tali verifiche il Dirigente responsabile del Sistema Informativo Comunale produce relazione al Sindaco. Il personale del Sistema Informatico Comunale su incarico del Dirigente provvede a modificare nelle configurazioni hardware, software e di linee di comunicazioni dati sui sistemi che presentino problemi di sicurezza o violazioni di norme. Tali modifiche possono comprendere, tra l altro: installazione o rimozione di programmi o loro parti, cambiamenti nelle configurazioni hardware

11 e software, aggiunta o rimozione di componenti hardware, cambiamenti o rimozioni di linee di comunicazione dati. (e) Ovunque sia possibile, le attività sui sistemi informativi vengono registrate su LOG. L accesso ai LOG è consentito solo ai responsabili della sicurezza e al Dirigente Responsabile o personale da questi delegato. ARTICOLO IX. Inosservanza delle disposizioni Poiché in caso di violazioni contrattuali e giuridiche, sia il Comune, sia il singolo lavoratore sono potenzialmente perseguibili con sanzioni, anche di natura penale, il Comune verificherà, nei limiti consentiti dalle norme legali e contrattuali e con procedure preventivamente concordate con le rappresentanze sindacali, il rispetto delle regole e l integrità del proprio sistema informatico La non osservanza del presente Regolamento può comportare sanzioni disciplinari, civili e penali; ARTICOLO X. Integrazioni o correzioni Si fa riserva di adottare successive eventuali integrazioni o correzioni alle disposizioni del presente regolamento, in relazione all entrata in vigore di sopravvenute normative ed all evolversi della tecnologia.

12 CLASSIFICAZIONE DEI SISTEMI DI ARCHIVIAZIONE E DI TRATTAMENTO DEI DATI PERSONALI E MISURE MINIME DI SICUREZZA DA ADOTTARE AI SENSI DEL D.Lgs.vo 196/2003 TIPO DI SISTEMA Computer non accessibili da altri elaboratori (modalità stand alone ) Computer accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico Computer accessibili da altri elaboratori mediante una rete di telecomunicazione disponibile al pubblico.. MISURE MINIME DI SICUREZZA DATI COMUNI DATI SENSIBILI AGGIORNAMENTO PASSWORD PASSWORD TRIMESTRALE Password Codice identificativo personale per ciascun utente o incaricato Antivirus Password Codice identificativo personale per ciascun utente o incaricato Antivirus Archivi cartacei Accesso selezionato Definire procedure di consegna e restituzione dei documenti Password Codice identificativo personale per ciascun utente o incaricato del trattamento Antivirus Autorizzazioni di accesso singole o per gruppi di lavoro da rilasciare agli incaricati del trattamento Password Codice identificativo personale per ciascun utente o incaricato del trattamento Antivirus Autorizzazioni di accesso singole o per gruppi di lavoro da rilasciare agli incaricati del trattamento Documento programmatico sulla sicurezza Accesso selezionato Definire procedure di consegna e restituzione dei documenti Mettere a disposizione degli incaricati contenitori muniti di serratura Controllare e registrare l accesso agli archivi dopo l orario di chiusura SEMESTRALE SEMESTRALE ANNUALE