LE REGOLE PER L UTILIZZO DEI SISTEMI

Transcript

1 LE REGOLE PER L UTILIZZO DEI SISTEMI INFORMATICI Approvato con Deliberazione della Giunta Provinciale n. 107 del 21 maggio 2009

2 Indice Premessa Entrata in vigore del regolamento e pubblicità Utilizzo del Personal Computer Utilizzo della rete dell Amministrazione Provinciale dell Ogliastra Gestione delle Password Utilizzo dei supporti magnetici Utilizzo di PC portatili Uso della posta elettronica Uso della rete Internet e dei relativi servizi Protezione antivirus Utilizzo dei telefoni, fax e fotocopiatrici Enteli Osservanza delle disposizioni in materia di Privacy Accesso ai dati trattati dall utente Sistemi di controlli graduali Non osservanza della normativa Entele Aggiornamento e revisione di 8

3 Premessa La progressiva diffusione delle nuove tecnologie informatiche, ed in particolare il libero accesso alla rete Internet dai Personal Computer, espone l Amministrazione Provinciale dell Ogliastra ai rischi di un coinvolgimento sia patrimoniale sia penale, creando problemi alla sicurezza e all immagine dell Ente stesso. Evidenziato, quindi che, l utilizzo delle risorse informatiche e telematiche della nostra Amministrazione deve sempre ispirarsi al principio della diligenza e correttezza, comportamenti che normalmente si adottano nell ambito di un rapporto di lavoro, l Amministrazione Provinciale dell Ogliastra adotta un Regolamento interno diretto ad evitare che comportamenti inconsapevoli possano innescare problemi o minacce alla Sicurezza nel trattamento dei dati. 1. Entrata in vigore del regolamento e pubblicità Il regolamento è approvato dalla Giunta Provinciale e ha effetto dalla data della sua pubblicazione. Questo documento fa parte integrante del Documento Programmatico alla Sicurezza (DPS). Copia del regolamento, oltre ad essere pubblicato all Albo dell Ente, è inviato a ciascun Dipendente tramite la posta elettronica istituzionale. Saranno effettuate delle sessioni per formare e informare i Dipendenti al rispetto del presente Regolamento. 2. Campo di applicazione del regolamento Il Regolamento si applica a tutti i Dipendenti, senza distinzione di ruolo e/o livello, nonché a tutti i Collaboratori dell Ente, a prescindere dal tipo di rapporto contrattuale (lavoratori somministrati, collaboratore a progetto, in stage, ecc.). Ai fini delle disposizioni dettate per l utilizzo delle risorse informatiche e telematiche, per utente deve intendersi ogni Dipendente e collaboratore (collaboratore a progetto, in stage, agente, ecc.) in possesso di specifiche credenziali di autenticazione. 3. Utilizzo del Personal Computer Il Personal Computer affidato al Dipendente è uno strumento di lavoro. Ogni utilizzo non inerente all attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. L accesso all elaboratore deve essere protetto da password che deve essere custodita dall incaricato con la massima diligenza e non divulgata. La stessa password deve essere attivata per l accesso alla rete, per lo Screen Saver e per il collegamento a Internet. Non è consentita l attivazione della password di accensione (Bios), senza preventiva autorizzazione da parte del Titolare al trattamento dei dati. Non è consentito installare autonomamente programmi provenienti dall esterno salvo previa autorizzazione esplicita del Titolare al trattamento dei dati e/o al responsabile dei sistemi informatici dell Ente, in quanto sussiste il grave pericolo di portare Virus informatici e di alterare la stabilità delle applicazioni dell elaboratore. Non è consentito l uso di programmi diversi da quelli distribuiti ed installati ufficialmente dal Responsabile dei Sistemi Informatici dell Amministrazione Provinciale dell Ogliastra. L inosservanza di questa disposizione, infatti, oltre al rischio di danneggiamenti del sistema per incompatibilità con il software esistente, può esporre l Ente a gravi responsabilità civili ed anche 2 di 8

4 penali in caso di violazione della normativa a tutela dei diritti d autore sul software (D. Lgs. 518/92 sulla tutela giuridica del software e L. 248/2000 nuove norme di tutela del diritto d autore) che impone la presenza nel sistema di software regolarmente licenziato o comunque libero e quindi non protetto dal diritto d autore. Non è consentito all utente modificare le caratteristiche impostate sul proprio PC, salvo previa autorizzazione esplicita del Titolare del trattamento dei dati e/o del Responsabile dei Sistemi Informatici dell Ente. Il Personal Computer deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall ufficio. Lasciare un elaboratore incustodito, connesso alla rete, può essere causa di utilizzo da parte di terzi senza che vi sia la possibilità di provarne in seguito l indebito uso. Deve, sempre, essere attivato lo Screen Saver e la relativa password. Non è consentita l installazione sul proprio PC di nessun dispositivo di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem, ), se non con l autorizzazione espressa del Titolare al trattamento dei dati e/o al Responsabile dei Sistemi Informatici dell Ente. Ogni utente deve prestare la massima attenzione ai supporti di origine esterna, avvertendo immediatamente il Titolare al trattamento dei dati e/o al Responsabile dei Sistemi Informatici dell Ente nel caso in cui vengano rilevati virus. 4. Utilizzo della rete dell Amministrazione Provinciale dell Ogliastra Le unità di rete (cartelle dedicate al servizio presenti sul server) sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere utilizzate per scopi diversi. Pertanto, qualunque file che non sia legato all attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in queste unità. Su queste unità, vengono svolte regolari attività di controllo, amministrazione e backup, da parte del Responsabile dei Sistemi Informatici dell Ente. Le password d ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite secondo le procedure impartite. È assolutamente proibito entrare nella rete e nei programmi con altri nomi utente. Il Titolare al trattamento dei dati e/o al Responsabile dei Sistemi Informatici dell Ente può, in qualunque momento, procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la Sicurezza sia sui PC degli incaricati sia sulle unità di rete. Costituisce buona regola la periodica (almeno ogni sei mesi) pulizia degli archivi, con cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati. È infatti assolutamente da evitare un archiviazione ridondante. È cura dell utente effettuare la stampa dei dati solo se strettamente necessaria e di ritirarla prontamente dai vassoi delle stampanti comuni. È buona regola evitare di stampare documenti o file non adatti (molto lunghi o non supportati, come ad esempio il formato Pdf o file di contenuto grafico) su stampanti comuni. In caso di necessità la stampa in corso può essere cancellata. 5. Gestione delle Password Le password di ingresso alla rete, di accesso ai programmi, delle istituzionali e dello Screen Saver, sono previste ed attribuite dal Titolare al trattamento dei dati e/o dal Responsabile dei Sistemi Informatici dell Ente. È necessario procedere alla modifica della password a cura dell incaricato del trattamento al primo utilizzo (ove possibile tecnicamente) e, successivamente, almeno ogni sei mesi. Nel caso di trattamento di dati sensibili e di dati giudiziari la periodicità della variazione deve essere ridotta a tre mesi, così come previsto dal punto 5 del disciplinare tecnico allegato al Codice della privacy, D.lgs 196/ di 8

5 Molti sistemi permettono di temporizzare la validità delle password e, quindi, di bloccare l accesso al personale computer e/o al sistema, qualora non venga autonomamente variata dall incaricato entro i termini massimi: in questi casi vanno adattate le istruzioni contenute nel presente regolamento. Le password possono essere formate da lettere (maiuscole o minuscole) e numeri, ricordando che lettere maiuscole e minuscole hanno significati diversi per il sistema. Devono essere composte da almeno otto caratteri (ove possibile tecnicamente) e non deve contenere riferimenti agevolmente riconducibili all incaricato (punto 5 dell Allegato B del D.lgs 196/ Disciplinare Tecnico in Materia di Misure Minime di Sicurezza). Qualora l utente venisse a conoscenza delle password di altro utente, è tenuto a darne immediata notizia al Titolare al trattamento dei dati e/o al Responsabile dei Sistemi informatici dell Ente 6. Utilizzo dei supporti magnetici Tutti i supporti magnetici riutilizzabili (penne USB, dischetti, cassette, cartucce ecc) contenenti dati sensibili e giudiziari devono essere trattati con particolare cautela onde evitare che il loro contenuto possa essere recuperato (punto 22 del disciplinare tecnico). Si ricorda che una persona esperta potrebbe, infatti, recuperare i dati memorizzati anche dopo la loro cancellazione. I supporti magnetici contenenti dati sensibili e giudiziari (punto 21 del disciplinare tecnico) devono essere custoditi in archivi chiusi a chiave. 7. Utilizzo di PC portatili L utente è responsabile del PC portatile assegnatogli dal Titolare al trattamento dei dati e/o al Responsabile dei Sistemi Informatici dell Ente e deve custodirlo con diligenza sia durante gli spostamenti sia durante l utilizzo nel luogo di lavoro. Ai PC portatili si applicano le regole di utilizzo previste per i Pc connessi in rete, con particolare attenzione alla rimozione di eventuali file elaborati sullo stesso prima della riconsegna. Deve essere posta massima attenzione alla custodia dei PC portatili utilizzati all esterno delle Sedi dell Ente (convegni, trasferte in altri Enti, ecc ), questi, in caso di allontanamento del Responsabile, devono essere custoditi in un luogo protetto. 8. Uso della posta elettronica La casella di posta istituzionale, assegnata dall Amministrazione Provinciale dell Ogliastra all utente, è uno strumento di lavoro. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse. È fatto divieto di utilizzare le caselle di posta elettronica istituzionale dell Amministrazione Provinciale dell Ogliastra per l invio di messaggi personali o per la partecipazione a dibattiti, forum o mail-list salvo diversa ed esplicita autorizzazione. È buona norma evitare messaggi completamente estranei al rapporto di lavoro o alle relazioni tra colleghi. La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti. Ogni comunicazione inviata o ricevuta che abbia contenuti rilevanti o contenga impegni contrattuali o precontrattuali per l Amministrazione Provinciale dell Ogliastra deve essere visionata od autorizzata dall Amministrazione. In ogni modo è opportuno fare riferimento alle procedure in essere per la corrispondenza ordinaria. La documentazione elettronica che costituisce per l Ente il know how (conoscenze e le abilità operative necessarie per svolgere una determinata attività lavorativa) o procedure sensibili e/o 4 di 8

6 protette (tutelate in base all art. 6 bis del r.d n.1127, contraddistinte da diciture od avvertenze dirette ad evidenziarne il carattere riservato o segreto a tutela del patrimonio), non può essere comunicata all esterno senza preventiva autorizzazione dell Amministrazione. È possibile utilizzare la ricevuta di ritorno per avere la conferma dell avvenuta lettura del messaggio da parte del destinatario, ma di norma per la comunicazione ufficiale è obbligatorio avvalersi degli strumenti tradizionali (fax, posta tradizionale, PEC, firma digitale ). Per la trasmissione di file all interno di l Amministrazione Provinciale dell Ogliastra è possibile utilizzare la posta elettronica, prestando attenzione alla dimensione degli allegati. È stato implementato l applicativo di Anti-Spam, pertanto, è possibile che qualche mittente venga identificato come non desiderabile, e inviato automaticamente nella cartella delle Spam denominata Junkmail. Qualora si verificasse tale inconveniente è necessario comunicarlo al Titolare al trattamento dei dati e/o al Responsabile dei Sistemi Informatici dell Ente. È obbligatorio controllare i file allegati (attachment) di posta elettronica prima del loro utilizzo. Non eseguire download di file eseguibili o documenti da siti Web o Ftp non conosciuti. È vietato inviare catene telematiche (o di Sant Antonio). Se si dovessero ricevere messaggi di tale tipo, si deve comunicarlo immediatamente al Titolare al trattamento dei dati e/o al Responsabile dei Sistemi Informatici dell Ente. Non si devono in alcun caso attivare gli allegati di tali messaggi. E possibile accedere alla posta elettronica dell Ente, fuori dalla propria sede di lavoro, attraverso la webmail al link: 9. Uso della rete Internet e dei relativi servizi Il PC abilitato alla navigazione in Internet costituisce uno strumento dell Ente necessario allo svolgimento della propria attività lavorativa. È assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all attività lavorativa stessa. È stato pertanto implementato un servizio di filtraggio dei siti internet potenzialmente dannosi o non certificati. È fatto divieto all utente il download di software gratuito (freeware) e shareware prelevato da siti Internet, se non espressamente autorizzato dal Titolare al trattamento dei dati e/o al Responsabile dei Sistemi Informatici dell Ente. È tassativamente vietata l effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni di remote banking, acquisti on-line e simili salvo i casi direttamente autorizzati dall Amministrazione e con il rispetto delle normali procedure di acquisto. È da evitare ogni forma di registrazione a siti i cui contenuti non siano legati all attività lavorativa. È vietata la partecipazione a Forum non professionali, l utilizzo di chat line (esclusi gli strumenti autorizzati), di bacheche elettroniche e le registrazioni in guest books anche utilizzando pseudonimi (o nicknames). 10. Protezione antivirus Il sistema informatico dell Amministrazione Provinciale dell Ogliastra, a partire da Gennaio 2010 sarà protetto da software antivirus centralizzato della modalità Client/Server. Ogni utente deve comunque tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico dell Ente mediante virus o mediante ogni altro software aggressivo. Ogni dispositivo magnetico/ottico di provenienza esterna all'ente dovrà essere verificato mediante il programma antivirus prima del suo utilizzo e, nel caso venga rilevato un virus, dovrà essere prontamente consegnato Responsabile dei Sistemi Informatici dell Ente. 5 di 8

7 11. Utilizzo dei telefoni, fax, stampanti e fotocopiatrici dell Ente Il telefono dell Ente affidato all utente è uno strumento di lavoro. Ne viene concesso l uso esclusivamente per lo svolgimento dell attività lavorativa, pertanto non sono consentite comunicazioni a carattere personale o comunque non strettamente inerenti l attività lavorativa stessa. La ricezione o l effettuazione di telefonate personali è consentito solo nel caso di comprovata necessità ed urgenza, mediante il telefono fisso dell Ente a disposizione. Qualora venisse assegnato un cellulare dell Ente all utente, quest ultimo sarà responsabile del suo utilizzo e della sua custodia. Al cellulare dell Ente si applicano le medesime regole sopra previste per l utilizzo del telefono fisso dell Ente, in particolare, è vietato l utilizzo del telefono cellulare messo a disposizione per inviare o ricevere SMS o MMS di natura personale o comunque non pertinenti rispetto allo svolgimento dell attività lavorativa. L eventuale uso promiscuo (anche per fini personali) del telefono cellulare dell Ente è possibile soltanto in presenza di preventiva autorizzazione scritta e in conformità delle istruzioni al riguardo impartite dal Responsabile dei Sistemi Informatici dell Ente. È vietato l utilizzo dei fax dell Ente per fini personali, tanto per spedire quanto per ricevere documentazione, salva diversa esplicita autorizzazione da parte del Responsabile di ufficio. È vietato l utilizzo delle fotocopiatrici e delle stampanti dell Ente per fini personali, salvo preventiva ed esplicita autorizzazione da parte del Responsabile di ufficio. 12. Osservanza delle disposizioni in materia di Privacy È obbligatorio attenersi alle disposizioni in materia di Privacy e di misure minime di sicurezza, come indicate nella lettera di designazione di incaricato del trattamento dei dati ai sensi del disciplinare tecnico allegato al D.lgs n. 196/ Accesso ai dati trattati dall utente Oltre che per motivi di sicurezza del sistema informatico, anche per motivi tecnici e/o manutentivi (ad esempio, aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware, etc.) o per finalità di controllo e programmazione dei costi dell Ente (ad esempio, verifica costi di connessione ad internet, traffico telefonico, etc.), comunque estranei a qualsiasi finalità di controllo dell attività lavorativa, è facoltà dell Amministrazione, tramite il Responsabile dei Sistemi Informatici dell Ente, o addetti alla manutenzione, accedere direttamente, nel rispetto della normativa sulla privacy, a tutti gli strumenti informatici dell Ente e ai documenti ivi contenuti, nonché ai tabulati del traffico telefonico. 14. Sistemi di controlli graduali In caso di anomalie, il personale Responsabile dei Sistemi Informatici dell Ente effettuerà controlli anonimi che si concluderanno con un avvisi generalizzati diretto ai Dipendenti dell Area o del Settore in cui è stata rilevata l anomalia. In detti avvisi si evidenzierà l utilizzo irregolare degli strumenti dell Ente e si inviteranno gli interessati ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite. Controlli su base individuale potranno essere computi solo in caso di successive ulteriori anomalie. Al persistere delle anomalie rilevate seguirà l attivazione del procedimento disciplinare. 15. Non osservanza del Regolamento Il mancato rispetto o la violazione delle regole contenute nel presente documento è perseguibile con provvedimenti disciplinari nonché con le azioni civili e penali consentite. 6 di 8

8 16. Aggiornamento e revisione Tutti gli utenti possono proporre, quando ritenuto necessario, integrazioni al presente Regolamento. Le proposte verranno esaminate dalla Amministrazione. Il presente Regolamento è soggetto a revisione con frequenza annuale. 7 di 8