Circolare INPS n. 135 del 03.12.2012

Disciplinare per lutilizzo degli strumenti informatici

 


 

Sommario

1: Premessa
2: Disposizioni Operative
3: Attivit di supporto e monitoraggio

1. PREMESSA

La continua evoluzione tecnologica e lutilizzo sempre pi intensivo degli strumenti informatici per lo svolgimento di tutte le attivit istituzionali inducono alladozione di misure idonee indirizzate alla protezione delle infrastrutture informatiche.

In considerazione del rischio aziendale sotteso alluso improprio della posta elettronica e della navigazione Internet, lIstituto ha ritenuto di predisporre un insieme di misure idonee indirizzate alla riduzione del rischio derivante dalluso improprio degli strumenti forniti in dotazione.

Ancorch molteplici siano state le misure tecnologiche ed organizzative introdotte dallINPS a garanzia dellintegrit e della riservatezza dei dati e delle transazioni informatiche, si ritiene che il livello di rischio in tale ambito possa essere ulteriormente ridotto intervenendo anche sulle regole comportamentali in relazione alluso degli asset informatici, richiamando le regole del loro impiego e monitorando la loro applicazione.

Con la presente circolare si portano a conoscenza di tutto il personale dellIstituto le norme sullutilizzo delle strumentazioni e delle procedure informatiche che ciascun dipendente tenuto ad osservare.

Il disciplinare si rivolge anche al personale esterno che utilizzi strumenti e servizi informatici allinterno delle Sedi dellIstituto.

2. DISPOSIZIONI OPERATIVE

Atteso che lIstituto, per lattuazione delle politiche di sicurezza informatica, al fine di difendere il proprio patrimonio informativo ed individuare eventuali utilizzi illeciti e/o fraudolenti, sottopone a tracciatura - log - tutte le transazioni informatiche, conservando altres i log di navigazione internet e di posta elettronica (in questi ultimi i dati vengono trattati in maniera anonima cos da garantire la privacy dellutente che ha effettuato gli accessi);

tenuto conto che tali log sono consultabili solo dagli amministratori di sistema - specificamente incaricati secondo la normativa vigente - esclusivamente su richieste collegate ad azioni relative a finalit investigative per la repressione di illeciti o su richiesta delle autorit inquirenti,

al fine di definire i principi generali per il corretto utilizzo degli strumenti informatici dellIstituto e la conseguente tutela del proprio patrimonio informativo, stato predisposto il documento "Disciplinare per lutilizzo degli strumenti informatici, allegato alla presente circolare, a cui tutto il personale dovr attenersi.

Tale documento, in particolare, definisce:

  • i ruoli e le responsabilit delle principali strutture dellIstituto coinvolte nel processo di gestione dei servizi informatici;
  • le raccomandazioni generali e le regole comportamentali cui devono attenersi gli utenti interni, al fine di garantire lutilizzo in sicurezza dei servizi informatici e degli strumenti, in coerenza con la politica dellIstituto e con la normativa in vigore;
  • le attivit di monitoraggio e di tracciamento dei servizi di posta elettronica e di navigazione Internet degli utenti, in conformit con le indicazioni del Garante stabilite nel Provvedimento Generale del 1 marzo 2007, "Linee guida del Garante per posta elettronica e internet.

Si ritiene opportuno, per facilit di lettura, riportare di seguito le principali indicazioni generali e disposizioni.

A. Il personale responsabile di tutte le attivit che svolge utilizzando le risorse informatiche dellIstituto assegnate (computer, telefono, procedure informatiche, ecc.), il cui utilizzo deve sempre ispirarsi al principio di diligenza e correttezza. In particolare, il Personal Computer (postazioni fisse e notebook) deve essere utilizzato esclusivamente per scopi professionali ed in relazione alle attivit di presidio del proprio ruolo.

B. Al fine di non compromettere le funzionalit ed il livello di sicurezza della postazione di lavoro, non sono consentite linstallazione o la rimozione di hardware o software, né la modifica delle configurazioni impostate (ad es. parametri di rete, configurazioni di sistema, ecc.), se non espressamente autorizzate dalla Direzione Centrale Sistemi Informativi e Tecnologici (di seguito DCSIT).

C. Devono essere consentiti laggiornamento dellantivirus e linstallazione degli aggiornamenti di sistema almeno ogni 15 giorni; tali aggiornamenti vengono di norma effettuati automaticamente dal sistema ma, in particolar modo per gli strumenti portatili (notebook), occorre consentire il collegamento con la rete aziendale per il tempo necessario al completamento delle operazioni.

D. E necessario assicurarsi che il software antivirus sia installato e attivo.

E. I supporti di memoria rimovibili (floppy disk, CD/DVD, chiavi USB, hard disk esterni, ecc.) contenenti dati sensibili o giudiziari devono essere conservati in luoghi protetti (ad esempio, armadi e cassettiere chiusi a chiave) o protetti da una chiave di accesso di protezione. I dati in essi contenuti devono essere cancellati, quando non sono pi necessari, o, nel caso non fosse possibile cancellarli, i supporti devono essere distrutti.

F. In caso di furto o smarrimento di risorse informatiche o di supporti contenenti dati dellIstituto, oltre che presentarne denuncia alle autorit di pubblica sicurezza, lutente deve tempestivamente darne comunicazione anche alla DCSIT.

G. Senza una specifica autorizzazione della DCSIT, lutente non deve utilizzare modem o dispositivi affini che consentono la connessione diretta della postazione di lavoro a reti esterne pubbliche (Internet) o private (sistemi di altre societ), ivi incluso il collegamento tramite telefoni cellulari o apparati hardware wireless (ad es. router wireless o access point). In nessun caso, inoltre, il modem ed i dispositivi affini possono essere utilizzati quando la postazione di lavoro collegata contemporaneamente alla rete dellIstituto.

H. Laddove possibile il monitor delle postazioni di lavoro dovr essere posizionato in modo da non rendere possibile, se non per il suo utilizzatore, la lettura delle informazioni visualizzate. Qualora il monitor sia ubicato a ridosso di finestre o presso gli sportelli al pubblico necessario verificarne lorientamento al fine di garantire la riservatezza delle informazioni.

I. LIstituto mette a disposizione del lavoratore un indirizzo di posta elettronica aziendale da utilizzare per finalit inerenti allattivit lavorativa. Nellambito della corrispondenza elettronica, lutente avr cura di trasmettere comunicazioni concise, professionali e rispettose, nei toni, della dignit dei destinatari, utilizzando un linguaggio appropriato e una forma espositiva adeguata. Gli utenti hanno lobbligo di comunicare con i vari livelli della struttura aziendale seguendo le stesse vie gerarchiche utilizzate per la posta convenzionale.

J. Lutente del servizio di posta elettronica tenuto ad adottare comportamenti mirati ad evitare lutilizzo della posta elettronica dellIstituto per motivi personali.

K. In caso di assenza improvvisa o prolungata e per improrogabili necessit legate allattivit lavorativa, lutente interessato pu delegare un altro utente affinché verifichi il contenuto dei messaggi e inoltri al responsabile del trattamento quelli ritenuti rilevanti per lo svolgimento dellattivit lavorativa. Allorquando lutente non conferisca tale delega, il responsabile del trattamento, alla presenza dei richiamati presupposti , pu accedere alle comunicazioni di servizio presenti nella mailbox dellutente con modalit selettive.

L. Pur essendo consentito lacceso web a caselle di posta personali, i dipendenti sono tenuti ad evitare il download di allegati che possono essere veicolo di virus o di elementi dannosi per lintegrit del sistema informativo.

M. E vietato modificare il proprio client di posta elettronica standard messo a disposizione dallIstituto. L'Help Desk non tenuto a fornire assistenza in caso di utilizzo di client di posta difformi da quelli standard.

N. Il dipendente ha lobbligo di segnalare la ricezione di messaggi con contenuto potenzialmente pericoloso alle strutture preposte.

O. Non consentito condividere la propria casella personale con collaboratori esterni.

P. Non consentito utilizzare i servizi forniti dallIstituto per effettuare attivit che possano provocare malfunzionamenti, arrecare danni ad altri utenti, costituire abusi o illeciti, causare la riduzione di efficienza del servizio o arrecare danni, anche in termini di immagine allIstituto, ad altri utenti e/o a terzi.

Q. La connessione ad Internet messa a disposizione del lavoratore da parte dellIstituto ai fini dello svolgimento dellattivit lavorativa. E tuttavia tollerata in via eccezionale lutilizzo della navigazione internet per finalit non direttamente correlate alla prestazione lavorativa, purché ci avvenga per una durata limitata e tale da non incidere sulla propria prestazione lavorativa e, comunque, in modo da non mettere a repentaglio lintegrit e la riservatezza dei dati e del sistema informatico dellIstituto ovvero provochi per lo stesso un danno di immagine.

R. E vietato scaricare sulla propria postazione di lavoro software, file e qualsiasi tipologia di materiale multimediale che viola, o per mezzo dei quali pu essere violata, la normativa in tema di diritto dautore.

S. Non consentito utilizzare e duplicare software senza unidonea licenza alluso né installare software gratuiti (freeware o shareware), se non con preventiva autorizzazione di DCSIT.

Rientra nel dovere di diligenza e di osservanza delle norme per lesecuzione e la disciplina del lavoro consultare con regolarit i messaggi pubblicati su HERMES e le email pervenute nella propria casella di posta elettronica.

3. Attivit di supporto e monitoraggio

Le Direzioni regionali, attraverso i Gruppi regionali di assistenza informatica, svolgono azioni di monitoraggio e supporto ai fini dellapplicazione delle disposizioni contenute nella presente circolare.

La Direzione Centrale Sistemi Informativi e Tecnologici svolge azioni di monitoraggio anche attraverso lutilizzo di sistemi automatizzati.

Inoltre, nellambito della Direzione Centrale Sistemi Informativi e Tecnologici opera una struttura funzionale denominata IRT (Incident Response Team), con compiti di ricezione, analisi e gestione delle segnalazioni pervenute dagli utenti per sospette violazioni di sicurezza.

La presente circolare dovr essere notificata, con le consuete modalit, a tutto il personale dellIstituto.

La aziende fornitrici di servizi allIstituto che utilizzino strumenti informatici dovranno ricevere copia della presente circolare affinché ne venga data diffusione a tutti i propri collaboratori.

Altri utenti hanno acquistato

AteneoWeb s.r.l.

AteneoWeb.com - AteneoWeb.info

Via Gregorio X, 46 - 29121 Piacenza - Italy
staff@ateneoweb.com

C.f. e p.iva 01316560331
Iscritta al Registro Imprese di Piacenza al n. 01316560331
Capitale sociale 20.000,00 € i.v.
Periodico telematico Reg. Tribunale di Piacenza n. 587 del 20/02/2003
Direttore responsabile: Riccardo Albanesi

Progetto, sviluppo software, grafica: AI Consulting S.r.l.
SEGUICI

Social network

Canali informativi

Canali RSS