NORME AD USO DEGLI INCARICATI PER IL TRATTAMENTO DEI DATI CON STRUMENTI ELETTRONICI

Transcript

1 NORME AD USO DEGLI INCARICATI PER IL TRATTAMENTO DEI DATI CON STRUMENTI ELETTRONICI EDIZIONE 2012

2 INDICE 1 INTRODUZIONE VADEMECUM PER GLI INCARICATI DEI TRATTAMENTI DEI DATI EFFETTUATI CON STRUMENTI ELETTRONICI Nrme ad us dei singli peratri delle pstazini di lavr basate su cmputer Cmprtamenti a rischi Us del supprt rimvibile (di tip flppy disk, cd-rm, pen drive, etc.) REGOLE DI CONDOTTA PER I RESPONSABILI E GLI INCARICATI E LICEITA' DEI RELATIVI TRATTAMENTI Impegni dei Respnsabili, Incaricati ed Addetti Dveri dei Respnsabili, Addetti ed Incaricati Tenuta ed aggirnament dei dati Acquisizini da fnti rali Racclta dei dati Classificazine dei dati Credenziali NORME PER LA SICUREZZA DELLE INFORMAZIONI Nrme per la miglir sicurezza nel trattament dei dati Nrme per la prevenzine dei virus infrmatici Nrme che riguardan la parla chiave Alcune nrme generiche di sicurezza e prtezine dati persnali Nrme che riguardan i sistemi infrmatici aziendali Utilizz del persnal cmputer Utilizz di supprti magnetici Utilizz della rete aziendale Utilizz della rete Internet e dei relativi servizi Utilizz della Psta Elettrnica Registrazine accessi...21 Pag. 2 di 21

3 1 INTRODUZIONE L scp del dcument è di frnire un insieme di istruzini perative agli incaricati del trattament dei dati che fann us di strumenti elettrnici al fine di ttemperare a quant previst nell articl 34 del Decret Legislativ 196/03 in tema di Misure Minime di Sicurezza da adttare per la prtezine dei dati. Il dcument, inltre, cstituisce l insieme delle istruzini impartite dal Titlare agli incaricati dei trattamenti ai sensi degli articli 29 e 30 del Decret Legislativ 196/03. Infine, il dcument cstituisce l strument didattic vlt alla frmazine degli incaricati dei trattamenti. In allegat al presente dcument vengn riprtati alcuni articli del Decret Legislativ 196/03 e del relativ disciplinare tecnic (allegat B). In particlare nel capitl 2 viene riprtat un Vademecum strutturat in punti in cui sn indicate le diverse nrme da seguire a cura degli Incaricati che utilizzan strumenti elettrnici per i trattamenti dei dati. Si tratta, in tal cas, sia di nrme generali di sicurezza della pstazine di lavr che di nrme riguardanti l access ad Internet e l utilizz delle nnché le prcedure da seguire per l effettuazine delle cpie di backup. Nel capitl 3 sn riprtate delle regle di cndtta da parte dei Respnsabili e degli Incaricati del trattament dati. Nel capitl 4 sn riprtate le Nme relative alla sicurezza dei dati che in parte ricalcan quant già descritt nei capitli precedenti ma frnendne una visine unitaria. Pag. 3 di 21

4 2 VADEMECUM PER GLI INCARICATI DEI TRATTAMENTI DEI DATI EFFETTUATI CON STRUMENTI ELETTRONICI 2.1 NORME AD USO DEI SINGOLI OPERATORI DELLE POSTAZIONI DI LAVORO BASATE SU COMPUTER 1. La sicurezza ttale nn esiste: infrmatevi, tenetevi aggirnati, prevenite, evitate le cattive abitudini di lavr; 2. Cnsiderate il PC cme un ggett persnale sia in Azienda che in casa, alla stregua di carte di credit, carta d'identità, ecc. Nn cnsentitene l'utilizz a chiunque e, nel cas di prblemi hardware sftware che cmprtin la necessità d interventi esterni, rivlgetevi sempre alle persne autrizzate dalla UOC Sistema Infrmativ e Sistema di Reprting Aziendale ed ICT (d'ra in avanti nel dcument ICT); 3. Attuate sempre una valida prtezine hardware di base, pnend una più etichette adesive autgrafate sulle viti psteriri del cabinet (la stessa tecnica viene attuata dal persnale ICT prepst alla manutenzine e cnsegna dell hardware per cntrllare l'invalidazine delle garanzie); 4. Le pstazini infrmatiche cndivise da più utenti e cnfigurate cme terminale vver pstazini che nn hann diritt ad accedere ad aree dati se nn attravers autenticazine, nn devn essere utilizzate per l archiviazine lcale di dati persnali sensibili alla privacy; 5. Mdificate peridicamente le passwrd ed evitate di affidare a Windws la memrizzazine autmatica delle stesse (psta elettrnica, access remt, etc.). Tutte le passwrd gestite direttamente dal sistema perativ Windws sn altamente insicure. E' cnsigliabile digitare la passwrd gni vlta che questi servizi vengn utilizzati; 6. Evitate, pssibilmente, di usare la cnnessine ad Internet cn un PC cntenente dati riservati e/ persnali. Se è inevitabile la cnnessine, mantenete attiv in backgrund l antivirus aziendale che è cstantemente aggirnat. Impstate pretendete impstati i livelli di sensibilità e di prtezine al massim. L eventuale attivazine di un firewall persnale deve essere asslutamente autrizzata dall ICT in quant la cattiva cnfigurazine dell stess ptrebbe cmprmettere il funzinament dei servizi IT aziendali al punt da creare, per assurd, prblemi di sicurezza impedend, per esempi, all antivirus centralizzat di attivarsi aggirnarsi; 7. Mentre navigate prima di selezinare un link, psizinateci spra il cursre del muse e sservatene il percrs sulla appsita barra del brwser: se è un file eseguibile prbabilmente è un trucc per farvi scaricare un dialer peggi. In particlar md fate attenzine a tutte i messaggi prvenienti dal brwser che richiedn l apertura, l installazine il salvataggi di files; 8. Eseguite peridicamente la pulizia del disc da ckies, file tempranei, etc.; 9. Fate attenzine ai messaggi di psta elettrnica in frmat html verificandne la prvenienza in quant, seppure cnsentan una frma più elegante e/ simpatica, è un dei metdi più subdli per veiclare cntenuti di virus, wrm e frdi (senza necessità di allegati); 10.Nn rispndete ai messaggi di psta elettrnica prvenienti da indirizzi a vi nn nti, chiedend per esempi di essere cancellati da quella lista di invi: in tal md rischiate di Pag. 4 di 21

5 fare il gic di chi li ha spediti, facendgli capire che la vstra casella di psta è attiva. Aggiungete, anzi, tali indirizzi tra quelli indesiderati; 11.Nn cmunicate la vstra a siti ai quali nn siete veramente interessati e/ sui quali avete anche il minim dubbi; 12.Evitate i falsi allarmi e di rispndere alle csiddette catene di S. Antni in quant tali tecniche vengn utilizzate per saturare la rete dati e rendere di cnseguenza inefficiente i servizi Internet e di Psta Elettrnica Cmprtamenti a rischi Sn cmprtamenti a rischi: 1. la navigazine su siti di Hacking, Cracking, ecc...; 2. scaricare sftware da siti pc attendibili nn ufficiali; 3. aprire messaggi di psta elettrnica ed eseguire files allegati ai messaggi senza preventiva scansine antivirus (anzi, prima si dvrebbe effettuare l aggirnament e pi si dvrebbe aprire il prgramma di psta elettrnica); 4. installare prgrammi scaricati da siti nn ufficiali cmunque di natura incerta; 5. dar credit a un messaggi pubblicitari dalle caratteristiche sspette (spess di natura ertica che prmette facili guadagni) che reindirizza ad un sit internet "per saperne di più"; Pag. 5 di 21

6 2.2 USO DEL SUPPORTO RIMOVIBILE (DI TIPO FLOPPY DISK, CD-ROM, PEN DRIVE, ETC.) Tutti gli Incaricati che trattan dati sensibili: In linea generale, nn viene raccmandata la cpia su supprti rimvibili di dati sensibili e giudiziari per ridurre al minim il rischi di perdita distruzine anche accidentale dei dati stessi. Nn si deve inltre dimenticare che tale supprt di archiviazine, smarrit e/ accidentalmente lasciat incustdit, anche per breve perid, può essere rapidamente lett e cpiat, senza lasciare alcuna traccia dell'accadut. Ci trviam quindi davanti ad un rischi cncret di access nn autrizzat cpia abusiva dei dati sensibili. Ciò premess, ve nell svlgiment della nrmale attività assegnata all'incaricat, nell'ambit del su prfil di autrizzazine, sia indispensabile effettuare una cpia di dati sensibili, ccrre attenersi alle seguenti cautele: 1. Accertarsi che i supprti sian debitamente frmattati e privi di altri file. Nel dubbi, è sempre bene prvvedere alla frmattazine ex nv prima di registrare dati sensibili; 2. Per evitare l'alterazine dei dati in questine, dp la cpia, si attivi la prtezine cntr pssibili nuve scritture, che ptrebber alterare i dati stessi; 3. Il supprt deve essere cntrassegnat da un'etichetta, riprtante un indicazine in chiar d in cdice, tale da permettere all'incaricat di ricnscerne immediatamente il cntenut, ed evitare che egli pssa cnfnderl cn altri simili che prbabilmente sn in su pssess per via della nrmale attività lavrativa; 4. Il supprt di archiviazine nn deve mai essere lasciat incustdit, ma è sempre direttamente e persnalmente cnservat dall'incaricat che ha realizzat la cpia. Ess deve essere immediatamente pst all'intern di una custdia sicura, quand nn utilizzat; in funzine della criticità dei dati archiviati, si può andare da un cassett della scrivania chius a chiave, sin ad un armadi blindat d una cassafrte idnea alla custdia di supprti ttici e/ magnetici. 5. In cas di spedizine ad altr Incaricat, ccrre accertarsi che il destinatari abbia l stess prfil d autrizzazine del mittente e che il supprt venga spedit in una busta sigillata, intestata persnalmente all'incaricat, cn cntrfirma sul lemb di chiusura; ve i dati sian particlarmente sensibili, si deve utilizzare una appsita busta, dtata di sigill in plastica induplicabile e cn numerazine univca, per metter in evidenza qualsiasi tentativ di vilazine; 6. Nn si devn trasmettere supprti di archiviazine, cntenenti dati sensibili ad un destinatari, senza aver prima cncrdat cn il destinatari stess le mdalità e tempi di cnsegna ed aver stabilit la prcedura, che permette di cnfermare l'avvenuta cnsegna al destinatari del supprt; 7. Quand sn registrati dati relativi all'identità genetica di una persna, la creazine del supprt è eseguita all'intern d un lcale prtett da cchi indiscreti ed ccrre a priri una dispsizine in derga, scritta del Respnsabile dal Titlare; inltre la registrazine dei dati sui supprti deve avvenire in frma cifrata, indipendentemente dal rispett delle istruzini di spedizine spra illustrate; Pag. 6 di 21

7 8. Qualra i dati cntenuti nn abbian più ragine di essere, si deve prvvedere immediatamente alla sua cancellazine alla frmattazine dei supprti ed all asprtazine dell'etichetta cn l indicazine del cntenut; 9. Piché i supprti, generalmente sn particlarmente sensibili ai campi magnetici, all scp d evitare la cancellazine danneggiament anche accidentale dei dati, gli stessi nn devn mai essere avvicinati ad un camp magnetic, cme ad esempi il magnete d un altparlante, ppure lasciati abbandnati nelle vicinanze di un trasfrmatre elettric, cme quelli utilizzati nelle lampade da tavl, in quant i campi dispersi ptrebber danneggiare il cntenut dei supprti; 10. I supprti nn devn mai essere espsti ad estremi di temperatura e d umidità; in particlare nn devn essere lasciati espsti al sle in un'autvettura chiusa e, qualra debba essere trasprtat da un ambiente cald ad un fredd, viceversa, cn pssibile sbalz di temperatura significativ, prima dell'utilizz è necessari lasciare passare un adeguat intervall di temp, all scp di permettere all'eventuale cndensa di disslversi; 11. Si faccia sempre attenzine a nn dimenticare i supprti anche all'intern del cmputer, quand, al termine della cpia, si spegne la macchina ci si allntana per qualsiasi mtiv; 12. Qualra il cntenut dei supprti debba essere cpiat su un hard disk, altr strument elettrnic di trattament, ci si accerti di cancellare il relativ cntenut al termine dell'perazine di trattament; si presti una particlare attenzine a che nessun dat sia rimast nella memria buffer, nella clipbard, negli appunti all'intern del cestin, specie in sistemi perativi di tip Micrsft Windws; 13. Se l'perazine è raginevlmente pssibile, si raccmanda vivamente di cmpilare un registr cn l'indicazine numerica, cn altr cntrassegn, ve sn riprtati tutti i supprti cntenenti dati sensibili, la lr ubicazine, le mdalità d access e gli eventuali estremi di cnsegna ad altr incaricat autrizzat; Pag. 7 di 21

8 3 REGOLE DI CONDOTTA PER I RESPONSABILI E GLI INCARICATI E LICEITA' DEI RELATIVI TRATTAMENTI 1. Nel trattare i dati di carattere persnale, Respnsabili, Addetti ed Incaricati adttan, in armnia cn la legge ed i reglamenti, le mdalità più pprtune idnee a favrire il rispett dei diritti, delle libertà fndamentali e della dignità delle persne alle quali si riferiscn i dati trattati. 2. Respnsabili, Addetti e Incaricati, si adperan per il pien rispett, anche da parte dei terzi cn cui entran in cntatt, delle dispsizini che tutelan il segret d azienda è fatt asslut diviet divulgare anche verbalmente ntizie file che riguardan il lavr svlt. 3. Respnsabili, Addetti e Incaricati, che gestiscn anche archivii elettrnici, nel trattare i file cntenenti dati sensibili, s attengn ai dveri di lealtà, liceità, crrettezza, imparzialità, nestà e diligenza prpri dell'esercizi della funzine della qualifica livell ricperti. Essi cnfrman il prpri cmprtament al principi di trasparenza dell Attività Aziendale. 4. Respnsabili, Addetti e Incaricati, che peran a cntatt cl pubblic e ricevn a vari titl i file cntenenti dati persnali relativi alle casistiche spra riprtate, devn sempre cmpilare e far cmpilare la prescritta mdulistica infrmativa accmpagnatria. Avrann inltre sempre cura di archiviare la dcumentazine cmpleta in gni sua parte. 3.1 IMPEGNI DEI RESPONSABILI, INCARICATI ED ADDETTI Respnsabili, Incaricati ed Addetti si impegnan a: 1. Favrire il recuper, l'acquisizine e la tutela dei file cntenenti dati persnali. A tal fine, peran in cnfrmità cn i principi, i criteri metdlgici e le pratiche, generalmente cndivisi ed accettati, curand anche l'aggirnament sistematic e cntinu delle prprie cnscenze stric/amministrative; 2. Tutelan l'integrità degli archivi elettrnici e l'autenticità dei file di cui sn addetti alla tenuta, nei termini stabiliti, in particlare di quelli espsti a rischi di distruzine, cancellazine, dispersine ed alterazine dei dati; 3. Salvaguardare la cnfrmità delle riprduzini dei file agli riginali ed evitare gni azine diretta a maniplare, dissimulare defrmare fatti, testimnianze, dcumenti e dati (attuare le prtezini del tip file prtett da revisini cn passwrd, file di sla lettura, ecc..) 4. assicurare il rispett delle misure minime di sicurezza previste dall allegat B del Cdice della Privacy e successive integrazini e mdificazini, sviluppand misure idnee a prevenire l'eventuale distruzine, dispersine access nn autrizzat ai file e adttand, in presenza di specifici rischi, particlari cautele quali la cnsultazine in cpia di alcuni file e la cnservazine degli riginali in partizini prtette secnd le dispsizini ricevute dal Respnsabile del trattament. Pag. 8 di 21

9 3.2 DOVERI DEI RESPONSABILI, ADDETTI ED INCARICATI Respnsabili, Addetti ed Incaricati devn: 1. nn fare alcun us dei file cntenenti infrmazini ttenute in ragine della prpria attività, anche in via cnfidenziale, per prprie ricerche, prpri fini per realizzare prfitti e interessi privati. Nel cas in cui Respnsabili, Addetti e Incaricati svlgan ricerche sndaggi d pinine per scpi cmmerciali altr, che è indicat dal Titlare del trattament, ciò è sggett alle stesse regle ed ai medesimi limiti previsti dalla dcumentazine che ha dat rigine per finalità all acquisizine dei dati stessi; 2. mantenere riservate le ntizie e le infrmazini cncernenti i dati persnali apprese nell'esercizi delle prprie attività; 3. Respnsabili, Addetti e Incaricati, sservan tali dveri di riserb anche dp la cessazine dalla prpria attività, sia per trasferiment ad altr incaric sia per fine del Rapprt di Lavr; 3.3 TENUTA ED AGGIORNAMENTO DEI DATI 1. Respnsabili, Addetti e Incaricati, favriscn l'esercizi del diritt degli interessati all'aggirnament, alla rettifica d all'integrazine dei dati (artt. 7 8 del D.Lgs n. 196 datat ), garantendne la cnservazine secnd mdalità che assicuran la distinzine delle fnti riginarie dalla dcumentazine successivamente acquisita; 2. Ai fini dell'applicazine dell'art. 7 del D.Lgs n. 196 datat , in presenza d eventuali richieste generalizzate d access ad un'ampia serie di dati dcumenti, Respnsabili, Addetti ed Incaricati sfruttan tutti gli strumenti di ricerca e le fnti pertinenti, frnend al richiedente idnee indicazini per una lr agevle cnsultazine. 3. In cas d esercizi di un diritt, ai sensi dell'art. 8 del Cdice, da parte di chi vi ha interesse a prpsit di dati persnali che riguardan dipendenti, persne decedute e file cntenenti infrmazini/dcumenti assai risalenti nel temp, la sussistenza dell'interesse è valutata anche per riferiment al temp trascrs; 4. l utilizz, l intercnnessine, il blcc, la cmunicazine, la diffusine, la cancellazine e la distruzine dei dati riguardan espressamente anche i trattamenti effettuati senza l ausili di strumenti elettrnici; 5. Oggett di trattament sn i dati persnali, ciè qualsiasi infrmazine su un sggett. 3.4 ACQUISIZIONI DA FONTI ORALI 1. In cas di trattament per acquisizine da fnti rali, è necessari che gli intervistati abbian espress il prpri cnsens in md esplicit, eventualmente anche in frma verbale sulla base di un infrmativa semplificata (mdell indicat dall Azienda), che l peratre cmpila e renda nta almen l identità e l attività svlta dall intervistatre nnché le finalità della racclta dei dati. 2. Respnsabili, Addetti e Incaricati, che acquisiscn da fnti rali, richiedn all autre dell intervista una dichiarazine scritta dell avvenuta cmunicazine degli scpi perseguiti nell intervista stessa e del relativ cnsens manifestat dagli intervistati. Pag. 9 di 21

10 3.5 RACCOLTA DEI DATI Respnsabili, Addetti e Incaricati della racclta dati si attengn alle dispsizini cntenute nel presente dispsitiv, del D.Lgs n. 196 datat , ed alle istruzini verbali impartite qutidianamente, ed in particlare: 1. Respnsabili, Addetti e Incaricati rendn nta all interessat la prpria identità, la funzine e le finalità della racclta, attravers l adeguata dcumentazine (cnsens, infrmativa ecc.); 2. Respnsabili, Addetti e Incaricati frniscn all interessat le infrmazini di cui agli artt del D.Lgs n. 196 datat e gni altr chiariment che cnsenta all stess di rispndere in md adeguat e cnsapevle, dvrann evitare cmprtamenti che pssan cnfigurarsi cme artificisi d indebite pressini; 3. Respnsabili, Addetti e Incaricati nn pssn svlgere cntestualmente press gli stessi interessati attività di rilevazine di dati per cnt di più titlari, salv espressa autrizzazine del Titlare, citand nell infrmativa e nel cnsens la causale; 4. Respnsabili, Addetti e Incaricati prvvedn tempestivamente alla crrezine degli errri e delle inesattezze cntenute nei file circa le infrmazini acquisite nel crs della racclta; 5. Respnsabili, Addetti e Incaricati assicuran una particlare sservanza dei reglamenti e pngn maggire diligenza nella racclta specifica per la memrizzazine su file infrmatici, di dati persnali ed eventualmente classificati sensibili giudiziari. 3.6 CLASSIFICAZIONE DEI DATI La classificazine deve essere fatta in md tale da pter essere applicata ad un bene (i dati) indipendentemente dal media ve quest sia cntenut. In tal sens deve essere prevista anche una attività di etichettatura dei supprti di memrizzazine: Classificazine infrmazini : a) Nn Classificate b) Cnfidenziali c) Riservate d) Ad us intern e) Dati Persnali f) Dati Sensibili Giudiziari. 3.7 CREDENZIALI Una credenziale si cmpne di: 1. Nme utente, vver, cn il termine inglese, username, Pag. 10 di 21

11 2. Parla chiave, vver, cn il termine inglese, passwrd. Si tratta della mdalità attravers la quale l Azienda cnsente ai prpri Incaricati di utilizzare determinati servizi infrmatici/applicativi (trattamenti) presenti all intern dei prpri sistemi infrmativi. Nel cas di un sistema che tratti i dati persnali e sensibili la username e la passwrd devn essere sttpste a plicy ancr più frti e definite nel paragraf relativ nel presente dcument e/ emanate dalla struttura ICT. Gli incaricati dei trattamenti a cui vengn frnite dall Azienda credenziali che gli cnsentan l access a determinati sistemi perativi a determinati applicativi dvrann attenersi strettamente alle nrme generali descritte nel presente dcument. Inltre, dvrann attenersi strettamente alle seguenti dispsizini: 1. Il nme utente e la parla chiave sn asslutamente persnali, nn devn essere cmunicati ad alcun, neppure nel cas di clleghi che hann le medesime autrizzazini; nel cas di assenze prlungate valgn le dispsizini cntenute nel paragraf Nrme che riguardan la parla chiave del presente dcument e/ emanate dalla struttura ICT. 2. L utente è tenut a cnservare le credenziali in maniera scruplsa attenendsi alle nrme di cui al paragraf Nrme per la miglir sicurezza nel trattament dei dati in maniera tale da evitare la sttrazine delle stesse ad pera di un altr peratre di un sggett estern all spedale cn strumenti infrmatici e nn. Qualra fsse appurat il verificarsi di sttrazini di credenziali ad un peratre a causa di carenza di cnsapevlezza, disattenzine incuria ed altri cmprtamenti dell stess nn cnfrmi a quant definit dalle nrme di cui spra, verrann presi prvvedimenti adeguati e nei casi più gravi il ricrs all autrità giudiziaria. Pag. 11 di 21

12 4 NORME PER LA SICUREZZA DELLE INFORMAZIONI Quest capitl ha l scp di frnire agli incaricati ed addetti del trattament una panramica sulle respnsabilità lr spettanti, e far cnscere la plicy relativa alla gestine e svilupp della sicurezza dell infrmazine. Nell ambit infrmatic, il termine sicurezza si riferisce a tre aspetti distinti: 1. Riservatezza: prevenzine cntr l access nn autrizzat alle infrmazini; 2. Integrità: le infrmazini nn devn essere alterabili da incidenti abusi; 3. Dispnibilità: il sistema deve essere prtett da interruzini impreviste. Il raggiungiment di questi biettivi richiede nn sl l utilizz di apprpriati strumenti tecnlgici, ma anche di pprtuni meccanismi rganizzativi; misure sltant tecniche, per quant pssan essere sfisticate, nn sarann efficienti se nn usate prpriamente. In particlare, le precauzini di tip tecnic pssn prteggere le infrmazini durante il lr transit attravers i sistemi, anche quand queste rimangn inutilizzate sul disc fiss di un cmputer; nel mment in cui esse raggiungn l utente finale, la lr prtezine dipende esclusivamente da quest ultim, e nessun strument tecnlgic può sstituirsi al su sens di respnsabilità e al rispett delle nrme. 4.1 NORME PER LA MIGLIOR SICUREZZA NEL TRATTAMENTO DEI DATI 1. UTILIZZATE LE CHIAVI Il prim livell di prtezine di qualunque sistema è quell fisic; è ver che una prta chiusa può in mlti casi nn cstituire una prtezine sufficiente, ma è anche ver che pne se nn altr un prim stacl, e richiede cmunque un sfrz vlntari nn banale per la sua rimzine. È fin trpp facile per un estrane entrare in un uffici nn chius a chiave e sbirciare i dcumenti psti su una scrivania; pertant, chiudete a chiave il vstr uffici alla fine della girnata e chiudete i dcumenti a chiave nei cassetti gni vlta che ptete (da cnsiderare che ptrebbe essere lecit l access nella stanza da parte di persnale nn autrizzat alla cnsultazine dei dati sensibili, es. persnale pulizie, tecnici assistenza, etc.). 2. CONSERVATE I SUPPORTI RIMOVIBILI IN UN LUOGO SICURO Per i supprti rimvibili si applican gli stessi criteri che per i dcumenti cartacei, cn l ulterire pericl che il lr smarriment (che può anche essere dvut a un furt) può passare più facilmente insservat. A men che nn siate sicuri che cntengan sl infrmazini nn sensibili, vann ripsti stt chiave nn appena avete finit di usarli. 3. UTILIZZATE LE PASSWORD Esistn diverse categrie di passwrd, gnuna cn il prpri rul precis: a) La passwrd di access al dmini di rete aziendale impedisce che l eventuale utilizz nn autrizzat di una pstazine renda dispnibili tutte le risrse di rete, a tal prpsit è necessari discnnettere la prpria utenza in cas di nn utilizz della pstazine infrmatica nde salvaguardare la riservatezza dei prpri dati e di quelli aziendali. Pag. 12 di 21

13 b) La passwrd dei prgrammi specifici permette di restringere l access ai dati al sl persnale autrizzat; Nta: Imparate ad utilizzare questi tipi fndamentali di passwrd, e mantenete distinta almen quella di tip a, che può dver essere resa nta, almen tempraneamente, ai tecnici incaricati dell assistenza. Successivamente all assistenza cambiate la passwrd. 4. ATTENZIONE ALLE STAMPE DI DOCUMENTI CONTENENTI DATI SENSIBLI Nn lasciate accedere ai supprti ai file le persne nn autrizzate; se la stampante nn si trva sulla vstra scrivania recatevi quant prima a ritirare le stampe ttenute. Distruggete persnalmente le stampe, frmattate i supprti e distruggete i file quand nn servn più. 5. NON LASCIATE TRACCIA DEI FILE CON DATI RISERVATI Generalmente nei sistemi perativi cme Windws quand rimuvete un file, i dati nn vengn effettivamente cancellati ma sltant marcati cme nn utilizzati, e sn facilmente recuperabili. Verificate sempre l avvenuta cancellazine dei file cntrlland la sua assenza nel cestin. 6. PRESTATE ATTENZIONE ALL UTILIZZO DEI PC PORTATILI I PC prtatili sn un facile bersagli per i ladri. Se avete necessità di gestire dati riservati su un PC prtatile, fatevi installare un bun prgramma di cifratura del disc rigid (hard-disk) e utilizzate una prcedura di backup peridic. 7. NON FATEVI SPIARE QUANDO STATE DIGITANDO LE PASSWORD Anche se i prgrammi nn ripetn in chiar la passwrd sull scherm, quand digitate la vstra passwrd, questa ptrebbe essere letta guardand i tasti che state battend, anche se avete bune capacità di dattilscrittura. 8. CUSTODITE LE PASSWORD IN UN LUOGO SICURO Nn scrivete la vstra passwrd, men che mai vicin alla vstra pstazine di lavr. L unic affidabile dispsitiv di registrazine è la vstra memria. Se avete necessità di cnservare traccia delle passwrd per scritt, nn lasciate in gir i fgli utilizzati. 9. NON FATE USARE IL VOSTRO COMPUTER A PERSONALE ESTERNO A MENO DI NON ESSERE SICURI DELLA LORO IDENTITÁ Persnale estern della manutenzine interna può avere bisgn di installare del nuv sftware/hardware nel vstr cmputer. Assicuratevi dell identità della persna (se nn cnsciuta) e delle autrizzazini ad perare sul vstr PC. 10.NON UTILIZZATE APPARECCHI NON AUTORIZZATI L eventuale utilizz di mdem chiavette internet su pstazini di lavr cllegati alla rete di edifici ffre una prta d access dall estern nn sl al vstr cmputer, ma a tutta la Rete, ed è quindi vietat. Per l utilizz di altri apparecchi, cnsultatevi cn il Respnsabile del trattament dati del vstr uffici. Pag. 13 di 21

14 11.NON INSTALLATE PROGRAMMI NON AUTORIZZATI Sl i prgrammi Aziendali acquistati dall Amministrazine cn reglare licenza sn autrizzati. Se il vstr lavr richiede l utilizz di prgrammi specifici, cnsultatevi cn il Respnsabile del trattament dati. 12.APPLICATE CON CURA LE LINEE GUIDA PER LA PREVENZIONE DA INFEZIONI DI VIRUS La prevenzine dalle infezini macchina cntratte da virus infrmatici sul vstr cmputer ancr che bbligatria, è mlt più facile e cmprta un sprec di temp mlt minre della crrezine degli effetti di un virus infrmatic; tra l altr, ptreste incrrere in una perdita irreparabile di dati e gravi danni al sistema ed alla rete. 13.CONTROLLATE LA POLITICA LOCALE RELATIVA AI BACKUP I vstri dati ptrebber essere gestiti da un file server ppure in disc lcale e trasferiti in un server sl al mment del backup. Cnsultate la struttura ICT per farvi aiutare nella miglire sluzine architetturale che tuteli i vstri dati. 14.EFFETTUATE L AGGIORNAMENTO DEI SISTEMI ANTIVIRUS Cntrllate che l antivirus istallat sia il più aggirnat pssibile. Verificate peridicamente che gli aggirnamenti avvengan nn ltre le due settimane, in md da preservare il vstr PC da virus di ultima generazine. Nel cas di eventuali allarmi virus, attenetevi scruplsamente alle istruzini che vi sarann cmunicate dal servizi tecnic attravers le linee guida. 4.2 NORME PER LA PREVENZIONE DEI VIRUS INFORMATICI Un virus infrmatic è un prgramma in grad di trasmettersi replicarsi autnmamente e che può causare effetti dannsi. Alcuni virus infrmatici si limitan a riprdursi senza ulteriri effetti, altri si limitan alla semplice visualizzazine di messaggi sul vide, i più dannsi arrivan a distruggere tutt il cntenut del disc rigid e pssn causare gravi danni alla rete. COME SI TRASMETTE UN VIRUS: Attravers prgrammi prvenienti da fnti nn ufficiali dalle macr dei prgrammi di autmazine d uffici (es. Wrd, Excel, ecc); attravers la rete; attravers la navigazine sul Web; attravers dispsitivi asprtabili. QUANDO IL RISCHIO DA VIRUS SI FA SERIO: Quand si installan prgrammi, specie se nn autrizzati sicuri; Quand si cpian dati da flppy-disk, dvd-rm, cd-rm e chiavette USB nn sicuri di prvenienza scnsciuta; Quand si scarican dati prgrammi da Internet. QUALI EFFETTI HA UN VIRUS? I pssibili effetti dei virus sn quant mai disparati. Dei pssibili esempi sn: Pag. 14 di 21

15 effetti snri e messaggi scnsciuti appain sul vide; attivazine/disattivazine autmatica di applicazini; prblemi nell accensine del cmputer; cancellazine di file dall hard disk; il cmputer diventa inutilizzabile presentand un grave errre di sistema; il cmputer rallenta pesantemente le prestazini (diventa lenta ). COME PREVENIRE I VIRUS: O USARE SOLTANTO PROGRAMMI PROVENIENTI DA FONTI FIDATE Cpie sspette di prgrammi pssn cntenere virus infrmatici altr sftware danns. Ogni prgramma deve essere sttpst alla scansine prima d essere installat. Nn utilizzate prgrammi nn autrizzati, cn particlare riferiment ai videgichi, che sn spess utilizzati per veiclare virus infrmatici. O ASSICURATEVI DI NON FAR PARTIRE IL VOSTRO COMPUTER DA SUPPORTI RIMOVIBILI Infatti se il supprt fsse infettat, il virus si trasferirebbe nella memria RAM e ptrebbe espandersi ad altri file. O PROTEGGETE I VOSTRI SUPPORTI RIMOVIBILI DA SCRITTURA QUANDO POSSIBILE In quest md eviterete le scritture accidentali, magari tentate da un virus infrmatic che tenta di prpagarsi. I virus nn pssn in gni cas aggirare la prtezine meccanica. O NON DIFFONDETE MESSAGGI VIA DI PROVENIENZA DUBBIA Se ricevete messaggi che avvisan di un nuv virus periclsissim, ignratel e nn inltratel asslutamente: le di quest tip sn dette cn terminlgia anglsassne hax (termine spess tradtt in italian cn bufala ), l equivalente delle leggende metrplitane della rete. Quest è ver anche se il messaggi prviene dal vstr miglire amic, dal vstr cap, da vstra srella da un tecnic infrmatic. È ver anche e sprattutt se si fa riferiment a una ntizia prveniente dalla Micrsft ppure dall IBM, le pste, la banca... (sn gli hax più diffusi). O NON PARTECIPATE A CATENE DI S. ANTONIO E SIMILI Analgamente, tutti i messaggi che vi invitan a diffndere la ntizia quant più pssibile sn hax. Anche se parlan della fame nel mnd, della situazine delle dnne negli stati arabi, di una bambina in fin di vita, se prmettn guadagni miraclsi grande frtuna; sn tutti hax aventi spess scpi mlt simili a quelli dei virus, ciè utilizzare indebitamente le risrse infrmatiche. Queste attività sn vietate dagli standard di Internet e cntribuire alla lr diffusine può prtare alla terminazine del prpri access. 4.3 NORME CHE RIGUARDANO LA PAROLA CHIAVE SCELTA DELLE PASSWORD Il più semplice metd per l access illecit ad un sistema cnsiste nell indvinare la passwrd dell utente legittim. In mlti casi sn stati prcurati seri danni al sistema Pag. 15 di 21

16 infrmativ ed alle reti a causa di un access prtett da passwrd debli. La scelta di passwrd frti è, quindi, parte essenziale della sicurezza infrmatica. COSA FARE NON dite a nessun la vstra passwrd. Ricrdate che l scp principale per cui usate una passwrd è assicurare che nessun altr pssa utilizzare le vstre risrse pssa farl a vstr nme. NON scrivete la passwrd da nessuna parte che pssa essere letta facilmente, sprattutt vicin al cmputer. Quand immettete la passwrd NON fate sbirciare a nessun quell che state battend sulla tastiera. NON scegliete passwrd che si pssan trvare in un dizinari. Su alcuni sistemi è pssibile prvare tutte le passwrd cntenute in un dizinari per vedere quale sia quella giusta. NON crediate che usare parle straniere renderà più difficile il lavr di scperta, infatti chi vule scprire una passwrd è dtat di mlti dizinari delle più svariate lingue. NON usate il vstr nme utente. È la passwrd più semplice da indvinare. NON usate passwrd che pssan in qualche md essere legate a vi cme, ad esempi, il vstr nme, quell di vstra mglie/marit, dei figli, del cane, date di nascita, numeri di telefn etc.. Cambiate la passwrd al prim access e successivamente ad intervalli reglari. In cas in cui l applicazine dvesse cnsentire l access a dati sensibili la passwrd dvrà essere mdificata almen gni tre mesi. Negli altri casi almen gni sei mesi. Usate passwrd lunghe almen tt caratteri il massim cnsentit dal sistema cn un mist di lettere, numeri e segni di interpunzine laddve il sistema l cnsenta. Utilizzate passwrd distinte per sistemi cn divers grad di sensibilità. In alcuni casi le passwrd viaggian in chiar sulla rete e pssn essere quindi intercettate, per cui, ltre a cambiarla spess, è imprtante che sia diversa per quella usata da sistemi sicuri. Il tip di passwrd in asslut più sicura è quella assciata ad un supprt d identificazine cme un cd-rm, flppy-disk, un mini hard-disk USB, una carta a micrprcessre. In cas di dubbi, cnsultate l amministratre di sistema della struttura ICT. Pag. 16 di 21

17 COME SCEGLIERE UNA PASSWORD Le migliri passwrd sn quelle facili da ricrdare ma, all stess temp, difficili da indvinare, cme quelle che si pssn ttenere cmprimend frasi lunghe. La frase C era una vlta una gatta che aveva una macchia nera sul mus può ad esempi frnire, tra le tante pssibilità, Cr1Vlt1Gtt. Ecc alcuni altri esempi: Frase Pssibile passwrd 57% di Finlandesi hann dett si alla EU Rma è la capitale d Italia La mia macchina csta 27 milini Megli un uv ggi che una gallina dmani T be r nt t be Nel 1970 h traslcat a Rma "Esc" si trva in alt a sinistra Gnu è un acrnim ricrsiv Tutt è bene quel che finisce bene 57%DFNHDSAEU RMCPIEST MOPL27KKL MGLO/GLND (2B)V(!2B) I70I->RM "E"stULK GstACRR 2TBCFNB IN CASO DI ASSENZA PROLUNGATA Nel cas in cui un incaricat dvesse essere assente imprvvisamente in maniera prgrammata, la persna incaricata cme sstitut verrà dtata, di nuve credenziali cnsciute sltant dal sstitut le quali sarann appartenenti al medesim prfil autrizzativ di quelle dell assente, che metterann il sstitut nelle cndizini di agire in vece dell assente ma senza la cnscenza della parla chiave. Per alcun mtiv si ptrann cmunicare le prprie credenziali di access ad altri peratri. 4.4 ALCUNE NORME GENERICHE DI SICUREZZA E PROTEZIONE DATI PERSONALI Al lavr press la vstra pstazine, rientate l scherm del vide in md da nn essere lett a distanza a vstra insaputa. Al termine della girnata lavrativa ed in cas d assenza tempranea dal pst di lavr (pausa pranz, riunini, ecc.) è necessari: 1. Riprre tutta la dcumentazine ed i supprti fisici cntenenti dati persnali negli armadi, nelle cassettiere persnali negli archivi all up predispsti; 2. Spegnere i terminali e discnnettere la prpria sessine sui PC; 3. Impedire l access a tutti i PC e terminali attravers l impieg generalizzat di passwrd e, ve previst, dell appsita serratura di disattivazine; 4. Custdire press di sé in lug sicur le chiavi delle serratura di disattivazine; Pag. 17 di 21

18 5. Custdire le chiavi delle serrature dei mbili, uffici e cmputer in psizini nn evidenti facilmente identificabili da estranei. 4.5 NORME CHE RIGUARDANO I SISTEMI INFORMATICI AZIENDALI Premess che l utilizz delle risrse infrmatiche e telematiche aziendali deve sempre ispirarsi ai principi di diligenza e crrettezza, atteggiamenti questi destinati a srreggere gni att cmprtament pst in essere nell'ambit del rapprt di lavr, si ritiene utile adttare ulteriri regle interne di cmprtament cmune, dirette ad evitare cmprtamenti incnsapevli e/ scrretti. Il persnal cmputer (fiss mbile) ed i relativi prgrammi e/ applicazini affidati al dipendente sn, cme è nt, strumenti di lavr, pertant: 1. tali strumenti vann custditi in md apprpriat; 2. tali strumenti pssn essere utilizzati sl per fini prfessinali (in relazine, vviamente alle mansini assegnate) e nn anche per scpi persnali, tant men per scpi illeciti; 3. debbn essere prntamente segnalati all Azienda il furt, danneggiament smarriment di tali strumenti parti di essi cn relativa denuncia alle autrità di Pubblica Sicurezza; Ai fini spra espsti sn, quindi, da evitare atti cmprtamenti cntrastanti cn le predette indicazini Utilizz del persnal cmputer Onde evitare il grave pericl di intrdurre virus infrmatici nnché di alterare la stabilità delle applicazini dell elabratre, è cnsentit installare prgrammi prvenienti dall estern sl se espressamente autrizzati dal Respnsabile del trattament e/ dall amministratre del sistema. Nn è cnsentit l us di prgrammi che nn sn distribuiti ufficialmente dall amministratre del sistema dal Respnsabile (v. in prpsit, gli bblighi impsti dal D.lgs. 29 dicembre 1992, n. 518, sulla tutela giuridica del sftware e dalla L. 18 agst 2000, n. 248, cntenente nuve nrme di tutela del diritt d autre); Nn è cnsentit utilizzare strumenti sftware e/ hardware atti ad intercettare, falsificare, alterare spprimere il cntenut di cmunicazini e/ dcumenti infrmatici; Nn è cnsentit mdificare le cnfigurazini impstate sul prpri PC (ferm restand la facltà di cambiare la passwrd assegnata, in busta sigillata, dagli uffici prepsti dalla struttura ICT) Utilizz di supprti magnetici Nn è cnsentit scaricare files cntenuti in supprti magnetici/ttici nn aventi alcuna attinenza cn la prpria prestazine lavrativa. Tutti i files di prvenienza incerta esterna, ancrché attinenti all attività lavrativa, devn essere sttpsti al cntrll antivirus. Pag. 18 di 21

19 4.5.3 Utilizz della rete aziendale Le unità di rete sn aree di cndivisine di infrmazini strettamente prfessinali e nn pssn in alcun md, essere utilizzate per scpi diversi. Pertant, qualunque file che nn sia legat all attività lavrativa nn può essere dislcat, nemmen per brevi peridi, in queste unità. L Azienda si riserva la facltà di prcedere alla rimzine di gni files applicazine che riterrà essere periclsi per la sicurezza del sistema vver acquisiti installati in vilazine del presente Cdice di cndtta Utilizz della rete Internet e dei relativi servizi Navigazine in Internet: 1. Nn è cnsentit navigare in siti nn attinenti all svlgiment delle mansini assegnate, sprattutt in quelli che pssn rivelare le pinini plitiche, religise sindacali del dipendente; 2. Nn è cnsentita l effettuazine di gni genere di transazine finanziaria ivi cmprese le perazini di remte banking, acquisti n-line e simili, salv casi direttamente autrizzati dal Respnsabile dall amministratre del sistema e cn il rispett delle nrmali prcedure di acquist; 3. Nn è cnsentit l scaric di sftware gratuiti (freeware) e shareware prelevat da siti Internet, se nn espressamente autrizzat dal Respnsabile dall amministratre del sistema; 4. E vietata gni frma di registrazine a siti i cui cntenuti nn sian legati all attività lavrativa; 5. Nn è permessa la partecipazine, per mtivi nn prfessinali a Frum, l utilizz di chat line, scial netwrk, di bacheche elettrniche e le registrazini in guest bk anche utilizzand pseudnimi ( nicknames); 6. Nn è cnsentita la memrizzazine di dcumenti infrmatici di natura ltraggisa e/ discriminatria per sess, lingua, religine, razza, rigine etnica, pinine e appartenenza sindacale e/ plitica. 7. È severamente vietat aggirare le prtezini applicate dalla struttura ICT cn sftware capace di farl Utilizz della Psta Elettrnica L accunt di psta elettrnica aziendale viene assegnat a tutti i dipendenti e cllabratri al mment dell'entrata in frze all'azienda e viene revcat al termine del cntratt di lavr. L'accunt è di prprietà dell'azienda e viene assegnat per l'attività lavrativa del dipendente cllabratre. L'accunt può essere assegnat anche a persnale estern all'azienda e revcat qualra venga a decadere il mtiv dell'assegnazine. Il Titlare ptrà accedere per mtivi asslutamente cnnessi all svlgiment della attività aziendale, ltre che in assenza del lavratre, in situazini nelle quali nn si ptrà in Pag. 19 di 21

20 altr md accedere a necessarie infrmazini e cmunicazini che diversamente se nn ricevute vver recepite cn ritard ptrebber versimilmente arrecare un evidente pregiudizi ecnmic e nn sl all Azienda. L accunt di psta elettrnica aziendale assegnat è quindi un strument di lavr e per i mtivi spra espsti si ritiene utile segnalare che: 1. nn è cnsentit utilizzare la psta elettrnica per mtivi nn attinenti all svlgiment delle mansini assegnate; 2. nn è cnsentit inviare memrizzare messaggi (interni ed esterni) di natura ltraggisa e/ discriminatria per sess, lingua, religine, razza, rigine etnica, pinine, ecc.; 3. la psta elettrnica diretta all estern della rete infrmatica aziendale può essere intercettata da estranei, e dunque, nn deve essere usata per inviare dati sensibili se nn previa crittgrafia; 4. gni cmunicazine (interna ed esterna), inviata ricevuta, che abbia cntenuti rilevanti cntenga dati sensibili, deve essere autrizzata dal Respnsabile dal Titlare del Trattament, mentre per gni altra cmunicazine di carattere rdinari, interna ed esterna, si deve fare riferiment alle prcedure in essere per tale crrispndenza; 5. nn è cnsentit l utilizz dell indirizz di psta elettrnica aziendale assegnat per la partecipazine a dibattiti (interni ed esterni), Frum, mail-list, salv diversa ed esplicita autrizzazine del Respnsabile del Titlare; 6. nn è cnsentit utilizzare l'accunt di psta elettrnica aziendale per l'iscrizine a siti nn attinenti alla prpria attività lavrativa; 7. è scnsigliat l'invi di messaggi cn allegati mlt grandi vers mlti utenti vver utilizzare l strument di psta elettrnica in maniera nn apprpriata causand danni all'inter sistema (ad esempi l'invi di una a 100 utenti cn un allegat di 20MB). Qualra si dvesse rendere necessaria la cndivisine di file mlt grandi vers mlti utenti sarà necessari prcedere alla pubblicazine del materiale sul prtale aziendale, strument più apprpriat per tali cmunicazini. L Azienda ha mess a dispsizine di ciascun lavratre appsite funzinalità di sistema, di agevle utilizz, che cnsentn di inviare autmaticamente, in cas di assenze (ad esempi, per ferie attività di lavr furi sede), messaggi di rispsta cntenenti le "crdinate" (anche elettrniche telefniche) di un altr incaricat altre utili mdalità di cntatt della struttura. È quindi pprtun che l incaricat si avvalga di tali funzine, per prevenire csì l'apertura della psta elettrnica. In cas di eventuali assenze nn prgrammate (ad es., per malattia), qualra l incaricat nn pssa attivare la prcedura descritta, il Titlare del trattament, perdurand l'assenza ltre un determinat limite temprale, ptrebbe disprre, sempre che sia necessari e mediante persnale appsitamente incaricat (ad es., l'amministratre di sistema ppure, il respnsabile per la prtezine dei dati), l'attivazine di un analg accrgiment. La prcedura per l'attivazine della rispsta autmatica (funzine chiamata a vlte furi sede) è descritta nel Manuale OWA dispnibile nel prtale nella sezine Dcumentazine/Psta Elettrnica. In previsine della pssibilità che, in cas di assenza imprvvisa prlungata e per imprrgabili necessità legate all'attività lavrativa, si debba cnscere il cntenut dei Pag. 20 di 21

21 messaggi di psta elettrnica, l'interessat può delegare un altr lavratre (fiduciari) a verificare il cntenut di messaggi e a inltrare al Titlare del trattament quelli ritenuti rilevanti per l svlgiment dell'attività lavrativa. Il Titlare si riserva cmunque di accedere all accunt di psta elettrnica assegnata all incaricat nei casi in cui il prtcll incaricat/fiduciari nn permetta di accedere alla psta elettrnica dell incaricat in situazini particlari ad esempi qualra il fiduciari designat nn accetti l incaric in cas di assenze a catena dell incaricat e del fiduciari. A cura del Titlare del Respnsabile del trattament, di tale attività verrà redatt appsit verbale e infrmat l incaricat interessat alla prima ccasine utile. Nei messaggi di psta elettrnica è bene che l incaricat inserisca un avvertiment ai destinatari nel quale dichiari l'eventuale natura nn persnale dei messaggi stessi, precisand che le rispste ptrann essere cnsciute nell'rganizzazine di appartenenza dell incaricat. Piché in cas di vilazini cntrattuali e giuridiche, sia l Azienda, sia il singl lavratre sn ptenzialmente perseguibili cn sanzini, anche di natura penale, gli uffici incaricati verificherann, nei limiti cnsentiti dalle nrme legali e cntrattuali, il rispett delle regle e l integrità del prpri sistema infrmatic Registrazine accessi Per mtivi di sicurezza tutti gli accessi a internet e alla psta elettrnica sn sttpsti a registrazine degli accessi (lg). I lg vengn mantenuti per 7 girni sl per verifiche inerenti la sicurezza dei sistemi infrmatici. Sl gli amministratri dei firewall e della psta elettrnica pssn, previa autrizzazine scritta da parte della direzine ICT, accedere ai lg. Nei lg sn presenti le seguenti infrmazini: pstazine di lavr dal quale l'utente effettua l'access; data e ra di access; siti internet richiesti; nme utente; mittente e destinatari di psta elettrnica; ggett della mail. Nn vengn effettuati backup dei lg della navigazine internet e dei lg della psta elettrnica. Pag. 21 di 21