Sommario
1. PREMESSA
La continua evoluzione tecnologica e l?utilizzo sempre pi? intensivo degli strumenti informatici per lo svolgimento di tutte le attivit? istituzionali inducono all?adozione di misure idonee indirizzate alla protezione delle infrastrutture informatiche.
In considerazione del rischio aziendale sotteso all?uso improprio della posta elettronica e della navigazione Internet, l?Istituto ha ritenuto di predisporre un insieme di misure idonee indirizzate alla riduzione del rischio derivante dall?uso improprio degli strumenti forniti in dotazione.
Ancorch? molteplici siano state le misure tecnologiche ed organizzative introdotte dall?INPS a garanzia dell?integrit? e della riservatezza dei dati e delle transazioni informatiche, si ritiene che il livello di rischio in tale ambito possa essere ulteriormente ridotto intervenendo anche sulle regole comportamentali in relazione all?uso degli asset informatici, richiamando le regole del loro impiego e monitorando la loro applicazione.
Con la presente circolare si portano a conoscenza di tutto il personale dell?Istituto le norme sull?utilizzo delle strumentazioni e delle procedure informatiche che ciascun dipendente ? tenuto ad osservare.
Il disciplinare si rivolge anche al personale esterno che utilizzi strumenti e servizi informatici all?interno delle Sedi dell?Istituto.
2. DISPOSIZIONI OPERATIVE
Atteso che l?Istituto, per l?attuazione delle politiche di sicurezza informatica, al fine di difendere il proprio patrimonio informativo ed individuare eventuali utilizzi illeciti e/o fraudolenti, sottopone a tracciatura - log - tutte le transazioni informatiche, conservando altres? i log di navigazione internet e di posta elettronica (in questi ultimi i dati vengono trattati in maniera anonima cos? da garantire la privacy dell?utente che ha effettuato gli accessi);
tenuto conto che tali log sono consultabili solo dagli amministratori di sistema - specificamente incaricati secondo la normativa vigente - esclusivamente su richieste collegate ad azioni relative a finalit? investigative per la repressione di illeciti o su richiesta delle autorit? inquirenti,
al fine di definire i principi generali per il corretto utilizzo degli strumenti informatici dell?Istituto e la conseguente tutela del proprio patrimonio informativo, ? stato predisposto il documento "Disciplinare per l?utilizzo degli strumenti informatici?, allegato alla presente circolare, a cui tutto il personale dovr? attenersi.
Tale documento, in particolare, definisce:
Si ritiene opportuno, per facilit? di lettura, riportare di seguito le principali indicazioni generali e disposizioni.
A. Il personale ? responsabile di tutte le attivit? che svolge utilizzando le risorse informatiche dell?Istituto assegnate (computer, telefono, procedure informatiche, ecc.), il cui utilizzo deve sempre ispirarsi al principio di diligenza e correttezza. In particolare, il Personal Computer (postazioni fisse e notebook) deve essere utilizzato esclusivamente per scopi professionali ed in relazione alle attivit? di presidio del proprio ruolo.
B. Al fine di non compromettere le funzionalit? ed il livello di sicurezza della postazione di lavoro, non sono consentite l?installazione o la rimozione di hardware o software, né la modifica delle configurazioni impostate (ad es. parametri di rete, configurazioni di sistema, ecc.), se non espressamente autorizzate dalla Direzione Centrale Sistemi Informativi e Tecnologici (di seguito DCSIT).
C. Devono essere consentiti l?aggiornamento dell?antivirus e l?installazione degli aggiornamenti di sistema almeno ogni 15 giorni; tali aggiornamenti vengono di norma effettuati automaticamente dal sistema ma, in particolar modo per gli strumenti portatili (notebook), occorre consentire il collegamento con la rete aziendale per il tempo necessario al completamento delle operazioni.
D. E? necessario assicurarsi che il software antivirus sia installato e attivo.
E. I supporti di memoria rimovibili (floppy disk, CD/DVD, chiavi USB, hard disk esterni, ecc.) contenenti dati sensibili o giudiziari devono essere conservati in luoghi protetti (ad esempio, armadi e cassettiere chiusi a chiave) o protetti da una chiave di accesso di protezione. I dati in essi contenuti devono essere cancellati, quando non sono pi? necessari, o, nel caso non fosse possibile cancellarli, i supporti devono essere distrutti.
F. In caso di furto o smarrimento di risorse informatiche o di supporti contenenti dati dell?Istituto, oltre che presentarne denuncia alle autorit? di pubblica sicurezza, l?utente deve tempestivamente darne comunicazione anche alla DCSIT.
G. Senza una specifica autorizzazione della DCSIT, l?utente non deve utilizzare modem o dispositivi affini che consentono la connessione diretta della postazione di lavoro a reti esterne pubbliche (Internet) o private (sistemi di altre societ?), ivi incluso il collegamento tramite telefoni cellulari o apparati hardware wireless (ad es. router wireless o access point). In nessun caso, inoltre, il modem ed i dispositivi affini possono essere utilizzati quando la postazione di lavoro ? collegata contemporaneamente alla rete dell?Istituto.
H. Laddove possibile il monitor delle postazioni di lavoro dovr? essere posizionato in modo da non rendere possibile, se non per il suo utilizzatore, la lettura delle informazioni visualizzate. Qualora il monitor sia ubicato a ridosso di finestre o presso gli sportelli al pubblico ? necessario verificarne l?orientamento al fine di garantire la riservatezza delle informazioni.
I. L?Istituto mette a disposizione del lavoratore un indirizzo di posta elettronica aziendale da utilizzare per finalit? inerenti all?attivit? lavorativa. Nell?ambito della corrispondenza elettronica, l?utente avr? cura di trasmettere comunicazioni concise, professionali e rispettose, nei toni, della dignit? dei destinatari, utilizzando un linguaggio appropriato e una forma espositiva adeguata. Gli utenti hanno l?obbligo di comunicare con i vari livelli della struttura aziendale seguendo le stesse vie gerarchiche utilizzate per la posta convenzionale.
J. L?utente del servizio di posta elettronica ? tenuto ad adottare comportamenti mirati ad evitare l?utilizzo della posta elettronica dell?Istituto per motivi personali.
K. In caso di assenza improvvisa o prolungata e per improrogabili necessit? legate all?attivit? lavorativa, l?utente interessato pu? delegare un altro utente affinché verifichi il contenuto dei messaggi e inoltri al responsabile del trattamento quelli ritenuti rilevanti per lo svolgimento dell?attivit? lavorativa. Allorquando l?utente non conferisca tale delega, il responsabile del trattamento, alla presenza dei richiamati presupposti , pu? accedere alle comunicazioni di servizio presenti nella mailbox dell?utente con modalit? selettive.
L. Pur essendo consentito l?acceso web a caselle di posta personali, i dipendenti sono tenuti ad evitare il download di allegati che possono essere veicolo di virus o di elementi dannosi per l?integrit? del sistema informativo.
M. E? vietato modificare il proprio client di posta elettronica standard messo a disposizione dall?Istituto. L'Help Desk non ? tenuto a fornire assistenza in caso di utilizzo di client di posta difformi da quelli standard.
N. Il dipendente ha l?obbligo di segnalare la ricezione di messaggi con contenuto potenzialmente pericoloso alle strutture preposte.
O. Non ? consentito condividere la propria casella personale con collaboratori esterni.
P. Non ? consentito utilizzare i servizi forniti dall?Istituto per effettuare attivit? che possano provocare malfunzionamenti, arrecare danni ad altri utenti, costituire abusi o illeciti, causare la riduzione di efficienza del servizio o arrecare danni, anche in termini di immagine all?Istituto, ad altri utenti e/o a terzi.
Q. La connessione ad Internet ? messa a disposizione del lavoratore da parte dell?Istituto ai fini dello svolgimento dell?attivit? lavorativa. E? tuttavia tollerata in via eccezionale l?utilizzo della navigazione internet per finalit? non direttamente correlate alla prestazione lavorativa, purché ci? avvenga per una durata limitata e tale da non incidere sulla propria prestazione lavorativa e, comunque, in modo da non mettere a repentaglio l?integrit? e la riservatezza dei dati e del sistema informatico dell?Istituto ovvero provochi per lo stesso un danno di immagine.
R. E? vietato scaricare sulla propria postazione di lavoro software, file e qualsiasi tipologia di materiale multimediale che viola, o per mezzo dei quali pu? essere violata, la normativa in tema di diritto d?autore.
S. Non ? consentito utilizzare e duplicare software senza un?idonea licenza all?uso né installare software gratuiti (freeware o shareware), se non con preventiva autorizzazione di DCSIT.
Rientra nel dovere di diligenza e di osservanza delle norme per l?esecuzione e la disciplina del lavoro consultare con regolarit? i messaggi pubblicati su HERMES e le email pervenute nella propria casella di posta elettronica.
Le Direzioni regionali, attraverso i Gruppi regionali di assistenza informatica, svolgono azioni di monitoraggio e supporto ai fini dell?applicazione delle disposizioni contenute nella presente circolare.
La Direzione Centrale Sistemi Informativi e Tecnologici svolge azioni di monitoraggio anche attraverso l?utilizzo di sistemi automatizzati.
Inoltre, nell?ambito della Direzione Centrale Sistemi Informativi e Tecnologici opera una struttura funzionale denominata IRT (Incident Response Team), con compiti di ricezione, analisi e gestione delle segnalazioni pervenute dagli utenti per sospette violazioni di sicurezza.
La presente circolare dovr? essere notificata, con le consuete modalit?, a tutto il personale dell?Istituto.
La aziende fornitrici di servizi all?Istituto che utilizzino strumenti informatici dovranno ricevere copia della presente circolare affinché ne venga data diffusione a tutti i propri collaboratori.
AteneoWeb s.r.l.
AteneoWeb.com - AteneoWeb.info
Via Nastrucci, 23 - 29122 Piacenza - Italy
staff@ateneoweb.com
C.f. e p.iva 01316560331
Iscritta al Registro Imprese di Piacenza al n. 01316560331
Capitale sociale 20.000,00 € i.v.
Periodico telematico Reg. Tribunale di Piacenza n. 587 del 20/02/2003
Direttore responsabile: Riccardo Albanesi
Unione Stampa Periodici Italiana