Regolamento servizio informatico

Azienda Ospedaliera Universitaria
Policlinico “G. Martino” - Messina
REGOLAMENTO SERVIZIO INFORMATICO
PER L’UTILIZZO DELLE RISORSE DI RETE INFORMATICA
NON DISPONIBILE AL PUBBLICO E SICUREZZA DEI DATI
1
INDICE
PREMESSA.........................................................................................................................3
Art. 1 - DEFINIZIONI............................................................................................................4
Art. 2 - UTILIZZO DELLA RETE ..........................................................................................5
Art. 3 - IMPOSTAZIONI DELLA RETE.................................................................................6
Art. 4 - PASSWORD ............................................................................................................7
Art. 5 - ABILITAZIONE CODICI IDENTIFICATIVI................................................................9
Art. 6 - PROGRAMMI ANTI-INTRUSIONE ..........................................................................9
Art. 7 INTERNET ...............................................................................................................11
Art. 8 - DOTAZIONE SOFTWARE.....................................................................................12
Art 9 - ACQUISTI ...............................................................................................................14
Art. 10 - SICUREZZA LOGICA ..........................................................................................14
Art. 11 - REINTEGRO DEI SUPPORTI DI MEMORIZZAZIONE ...................................................... 14
Art. 12 -SICUREZZA FISICA .............................................................................................14
Art 13 - PROCEDURA PER LA CUSTODIA DI COPIE DI SICUREZZA……………………..15
Art 14 - CONVERSAZIONI TELEFONICHE……………..……………..……………...………..17
Art 15. – FAX……………..…………..……………..…………………..…………….……………17
2
PREMESSA
La presenza sempre più rilevante dell'informatica a vari livelli all'interno della struttura
aziendale e l'introduzione di una rete di personal computer, tutti dotati di una propria unità
elaborativa, introduce l'obbligo di stabilire alcune regole fondamentali di approccio alla nuova
filosofia client /server, e di utilizzo del nuovo sistema.
Al fine di limitare i danni e gli inconvenienti che una gestione non corretta del sistema
può causare, vengono elencate nel seguito le principali e minime attività e regole da seguire.
Attualmente, tutte le postazioni di lavoro trattano, in maniere più o meno preponderante,
dati personali e solo alcuni di essi dati sensibili.
Sulla base di tali presupposti ogni Settore, D.A.I. e U.O., di concerto con la Direzione
definirà le misure minime di sicurezza per il loro trattamento, secondo le disposizioni dettate
dalla normativa vigente sulla tutela dei dati personali (D.lgs.196/2003).
Il presente regolamento ha, pertanto, come finalità quello di garantire un corretto utilizzo
del sistema informativo,assicurando, nel contempo, il rispetto delle norme sul trattamento dei
dati e la sicurezza degli stessi.
Il presente regolamento costituisce la disciplina aziendale per i trattamenti dei dati
personali, con particolare riferimento alle misure di sicurezza poste a tutela dei
trattamenti effettuati:
. con strumenti elettronici (prevalentemente: computer, sia operanti in modalità stand
alone, sia in rete);
Le indicazioni di seguito riportate sono obbligatorie con decorrenza immediata ed hanno
valore di ordine di servizio. La loro violazione, parziale o totale, potrà essere suscettibile di
provvedimenti disciplinari commisurati alla gravità della violazione; pertanto, si prega di
leggere con la massima attenzione le disposizioni di seguito enunciate e di completare
l'allegato modulo "per ricevuta e presa visione" (Allegato 1).
3
Si dispone, inoltre, che:
. copia del regolamento venga consegnato, all'atto dell'assunzione o dell'avvio del
rapporto di collaborazione, ad ogni nuovo dipendente o collaboratore;
. i Capi delle Strutture e delle Funzioni aziendali, ciascuno nell'ambito delle proprie
competenze, provvedano a rendere esecutive le norme del presente regolamento e vigilino
sulla costante applicazione ed il rispetto delle disposizioni impartite, riferendo al Responsabile
SIA, nell'ambito delle rispettive competenze, in relazione alle eventuali necessità emerse
nella fase applicativa;
. gli incaricati debbano rivolgersi al proprio superiore gerarchico in caso di esigenze di
chiarimento o di necessità di disposizioni, relativamente a normative ancora in preparazione
ovvero di segnalazione di episodi rilevanti in materia di sicurezza.
Art. 1 - DEFINIZIONI
Ai fini del presente regolamento s’intende per:
¾ Amministratore di Sistema: il soggetto al quale è conferito il compito di sovrintendere
alle risorse del sistema operativo e di consentirne l'utilizzazione. Tale soggetto utilizza
un codice identificativo personale di accesso al sistema gestito secondo le specifiche
standard di advanced security, ed è inoltre abilitato ai comandi low-level di sistema
operativo.
¾ Assistenti di supporto: sono operatori specializzati in procedure informatiche e, quei
dipendenti individuati per iscritto dai Funzionari, che svolgono funzioni elementari di
supporto informatico all'interno dei servizi del Settore di appartenenza con compiti di
ordinaria manutenzione. Essi, provvedono alle segnalazioni al SIA di problemi
hardware e software dei personal computer assegnati, e si rapportano con il SIA per
periodici aggiornamenti organizzativo-tecnici del lavoro su reti.
¾ Autenticazione informatica: l'insieme degli strumenti elettronici e delle procedure
per la verifica anche indiretta dell'identità dell’operatore;
4
¾ Misure minime: il complesso delle misure tecniche, informatiche, organizzative,
logistiche e procedurali di sicurezza che configurano il livello minimo di protezione
richiesto in relazione ai rischi previsti nell'articolo 31;
¾ Parola chiave: componente di una credenziale di autenticazione associata ad una
persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma
elettronica;
¾ Profilo di autorizzazione: l'insieme delle informazioni, univocamente associate ad
una persona, che consente di individuare a quali dati essa può accedere, nonché i
trattamenti ad essa consentiti;
¾ Servizio Informativo Aziendale (SIA): il Servizio che sovrintende all'architettura
informatica, ne cura lo sviluppo e la gestione.
¾ Sistema di autorizzazione: l'insieme degli strumenti e delle procedure che abilitano
l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di
autorizzazione del richiedente;
¾ Strumenti elettronici: gli elaboratori, i programmi per elaboratori e qualunque
dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;
Art. 2 - UTILIZZO DELLA RETE
Le risorse hardware (personal computer, stampanti, server di rete) sono collegate fra di
loro secondo un'architettura che consente di coniugare flessibilità e razionalità di utilizzo.
La condivisione di risorse permette, a chiunque ne abbia titolo e secondo specifiche
autorizzazioni, l'utilizzo delle risorse disponibili.
Nell’ambito dei supporti di memorizzazione di massa del server il SIA mette a
disposizione per ogni Settore delle cartelle condivise, che sono poi rese disponibili sotto
forma di unità logiche, per tutte le postazioni del Settore stesso. Il Funzionario responsabile
provvede a comunicare al SIA i livelli di accesso e relative possibilità di utilizzo per ogni
singolo utente, nonché eventuali necessità che dovessero presentarsi.
In considerazione del fatto che tali particolari risorse, pur essendo disponibili sulle
singole postazioni, di fatto si trovano sul server e, pertanto, permettono di essere copiate sui
5
supporti preposti al back-up, nonché eventualmente di essere accessibili anche da altre
postazioni gli utenti quindi dovranno riversare (salvare) sulle stesse:
•
i propri dati (documenti "finiti") aventi caratteristiche di rilevanza tali da renderne
consigliabile il salvataggio su supporti specifici, al fine di garantire la possibilità di un
loro recupero in caso di crash della postazione remota;
•
quei dati per cui si rende auspicabile la possibilità di un accesso condiviso da parte di
soggetti e/o postazioni diverse, eliminando la necessità di spostamento fisico di
supporti informatici;
•
quei dati personali e sensibili trattati dai vari Uffici che, per motivi particolari di
riservatezza, devono essere ulteriormente tutelati contro l'eventuale furto o tentativo di
manomissione della singola postazione. In questo caso l’utente dovrà altresì
provvedere ad eliminare dalla stessa la copia dei dati riversati sul server.
Viceversa, al fine di evitare un inutile spreco di risorse sul server, gli utenti dovranno
mantenere sui dispositivi di memorizzazione delle singole postazioni tutti i dati che non hanno
le caratteristiche sopra citate.
Art. 3 - IMPOSTAZIONI DELLA RETE
Ogni singolo Personal Computer accede alla rete tramite apposito codice per
identificazione associato ad una parola chiave riservata, conosciuta solo dall’incaricato
interessato, ed è univocamente definito da un indirizzo IP.
Ogni incaricato può disporre di una o più credenziali per l'autenticazione.
Il SIA conserva apposita tabella contenente la relazione fra ogni singola postazione, il
suo ID di rete ed il relativo indirizzo IP.
La password può essere sostituita da un dispositivo di autenticazione in possesso e uso
esclusivo dell‘incaricato, oppure in una caratteristica biometria (dell'incaricato), eventualmente
associata a un codice identificativo o a una parola chiave.
Proprio per consentire le funzionalità dell'architettura (condivisioni, utilizzo di diverse
risorse da ogni singola postazione, ecc.) è vietata qualsiasi modifica alle impostazioni,
connessioni o condivisioni create dal SIA.
6
Art. 4 - PASSWORD
Ogni personal computer, deve, in conformità al Dlgs 196/2003 essere dotato di
password, composta da almeno otto caratteri e nel caso in cui lo strumento elettronico non lo
permetta, da un numero di caratteri pari al massimo consentito.
La password, inoltre, non deve contenere riferimenti agevolmente riconducibili
all'incaricato (es. data di nascita oppure uguale al nome utente), ma deve, invece, essere
modificata almeno ogni sei mesi se si trattano di dati personali e ogni tre mesi se si trattano
dati sensibili e/o dati giudiziari.
La medesima password non può essere assegnata ad altri incaricati, neppure in tempi
diversi.
L’azienda per garantire una maggiore sicurezza agli accessi ai sistemi informatici ha
stabilito l’utilizzo di almeno tre password:
1. password di accesso alla risorsa (tramite controllo del bios di sistema),
2. login e password di accesso alla rete (tramite verifica del dominio NT),
3. login e password di accesso al software applicativo di pertinenza.
Per consentire la funzionalità delle risorse condivise all'interno delle stesso ufficio
(stampanti) la password di accesso alla singola risorsa sarà attribuita per ufficio, e
diversificata tramite l’aggiunta di un ordinale.
Tutte le password ed i login saranno aggiornate dal SIA di concerto con ogni
Responsabile di settore, che provvederà a conservarne l'elenco secondo le modalità previste
dalla normativa vigente.
Il Responsabile del Servizio Informatico provvederà ad incaricare per iscritto i dipendenti
addetti alla gestione e conservazione delle password.
Al più tardi ogni sei mesi il SIA provvederà a sostituire le password di rete e di
applicazione di ogni singolo utente, disattivando definitivamente e senza possibilità di
riutilizzo quelle fino a quel momento in uso. A tal fine il SIA potrà avvalersi anche dei servizi di
password expiring forniti dal sistema operativo.
I codici identificativi personali dovranno essere gestiti in modo che ne sia prevista la
disattivazione in caso di perdita della qualità che consentiva l'accesso all'elaboratore. Se
verrà meno la qualità che aveva consentito l'attribuzione del codice identificativo personale
7
(per esempio risoluzione del rapporto di lavoro) lo stesso codice non potrà essere attribuito a
un nuovo dipendente.
I codici identificativi individuali sono strettamente personali e non devono essere
comunicati ad alcuno. Sono consegnati individualmente ad ogni dipendente che ne è,
pertanto, pienamente responsabile. Qualora il SIA, tramite il normale monitoraggio delle
connessioni verificasse che le stesse sono state utilizzate da dipendente diverso rispetto a
quello assegnatario, provvederà immediatamente e per iscritto a darne comunicazione alla
Direzione.
Tale riservatezza è necessaria in quanto il personal computer collegato in rete
costituisce un possibile punto di accesso anche per gli altri personal e quindi potrebbe
permettere ad altri dipendenti non autorizzati (o a terzi esterni all'azienda) di accedere anche
a dati sensibili in evidente violazione delle norme sulla sicurezza dei dati stessi.
E’ fatto assoluto divieto ai dipendenti addetti alla gestione di ogni personal computer
dell’utilizzo dello stesso ad altro personale od estranei all’ufficio che non sia dipendente di
ditte che abbiano la manutenzione del software o dell’Hardware, dell’apparecchiatura
informatica ad essi assegnata attraverso apposite lettere d’incarico.
Al termine dell'orario di lavoro, intendendo per termine anche la sospensione per la
pausa del pranzo, o in caso di assenza di durata tale da non consentire la sicurezza dei dati
della singola postazione, il personal computer deve essere lasciato in modalità non
accessibile da terzi.
All'uopo si dovranno adottare le seguenti misure:
- al termine dell'attività o di temporaneo abbandono della postazione si dovrà effettuare
un "log off’ della stazione di lavoro utilizzata, impedendo così l'utilizzo improprio della
postazione stessa;
- nel caso di abbandono temporaneo del posto di lavoro può essere seguita in
alternativa la seguente procedura: digitare contemporaneamente i tasti Alt+Ctrl+Canc,
digitare il tasto Invio. A questo punto il PC è bloccato. Per sbloccarlo ridigitare
contemporaneamente i tasti Alt+Ctrl+Canc, inserire la propria password di rete e quindi
digitare il tasto Invio.
8
Si rammenta inoltre che, ai fini di un'adeguata riservatezza dei dati nel corso dei
trattamenti, dovrà
essere attivato uno screensaver protetto da password ogni qual volta
venga lasciato incustodito il proprio P.C.
In caso di assenza o impedimento dell’incaricato, l’Azienda Ospedaliera Universitaria
Policlinico “G. Martino” potrebbe trovarsi nella circostanza di dover accedere allo strumento o
ai dati trattati dalla persona assente. Per tali motivi le parole chiave autonomamente sostituite
da ciascun incaricato dovranno essere conservate e custodite nel rispetto delle modalità di
conservazione informatica.
La modalità di custodia informatica prevede che tutte le parole chiave per l'accesso alla
rete siano registrate su disco magnetico del sistema centrale e della rete locale attraverso il
sistema di sicurezza. Nel file contenente tali parole chiave, esse non sono in chiaro, bensì
cifrate e quindi non riconoscibili. A tale file possono accedere solo i soggetti a ciò abilitati,
secondo le regole in uso.
Ove per ragioni organizzative sia necessaria la conoscenza di una parola chiave si
opera secondo le direttive aziendali impartite in funzione della specifica rete acceduta.
L'attribuzione della prima parola chiave - associata al codice identificativo personale consente di entrare nel sistema al solo fine di provvedere all'autonoma sostituzione della
medesima.
L'Incaricato provvede ad autodeterminare la nuova parola seguendo le indicazioni
restrittive comunicate dall'azienda circa la lunghezza ed i criteri di composizione, ed inviarla al
sistema.
Art. 5 - ABILITAZIONE CODICI IDENTIFICATIVI
L'ambito dei trattamenti automatizzati previsti per ciascun incaricato è correlato ai
compiti ed alle funzioni svolte nella unità organizzativa di assegnazione e da luogo
all'assegnazione di un profilo di autorizzazione al trattamento di dati personali, sensibili e/o
giudiziari. Tali profili sono organizzati per classi omogenee di comportamento e configurati
anteriormente all’inizio del trattamento, in maniera tale da limitare l'accesso ai soli dati
necessari per effettuare le operazioni di trattamento nell'ambito assegnato all’incaricato.
9
Annualmente deve essere verificato che i soggetti che accedono ai dati abbiano conservato
le stesse qualità che consentono l'accesso.
Per l'accesso alla rete centrale ad ogni dipendente dotato di un codice identificativo
(User-Id) viene assegnato un profilo di autorizzazione sui Sistemi Centrali in base alla
Funzione aziendale di assegnazione.
I soggetti addetti alla manutenzione di elaboratori o PC sono autorizzati a svolgere le
operazioni di manutenzione attenendosi alle disposizioni scritte sulla sicurezza di cui al
presente regolamento.
Nel caso la manutenzione si riferisca a guasti e non ad aggiornamenti del software, per
ogni elaboratore ed indipendentemente dalla loro connessione alla rete, ove si renda
necessaria la rimozione di dischi, memorie o supporti magnetici per essere trasportati in
laboratori esterni, l'addetto alla manutenzione ed il personale dipendente dovranno rispettare
i comportamenti previsti per tali eventi, evitando di svolgere trattamenti non consentiti dei dati,
anche considerando le restrizioni di cui alla successiva norma sul "riutilizzo controllato dei
supporti".
Art. 6 - PROGRAMMI ANTI-INTRUSIONE
La presenza dei cosiddetti virus è un problema da affrontare con le dovute serietà e
cautele e soprattutto con la consapevolezza che il mancato rispetto delle regole può essere
dannoso sia al proprio personale, e quindi al proprio lavoro, che a quello degli altri, se non
addirittura a quello dell'intera Azienda nel caso si " infetti" il server centrale.
Per questo motivo nel presente articolo si descrivono le precauzioni che ciascun utente
è tenuto ad osservare.
Su ogni postazione di lavoro viene installato un programma antivirus, che opererà
normalmente anche in background per uno scanning continuo dei dati utilizzati. In caso di
mancanza o malfunzionamento di questo software (per reinstallazione del sistema operativo
o altre cause), l’operatore è tenuto a segnalare la cosa al SIA con la massima urgenza.
Dei programmi "antivirus" già installati vengono fornite, regolarmente e con cadenza
quanto meno settimanale, versioni aggiornate, per consentire la massima sicurezza possibile
rispetto ai "virus" fino a quel momento noti.
Il SIA è tenuto ad effettuare direttamente, o a comunicare la disponibilità dello stesso.
10
In quest’ultimo caso gli assistenti di supporto sono tenuti ad effettuare tempestivamente
le procedure, secondo le modalità indicate dal SIA, dando conferma scritta allo stesso della
regolare esecuzione, segnalando nel dettaglio i virus eventualmente riscontrati.
Nel caso di presenza di virus, anche se rimosso automaticamente, dovrà essere
contattato immediatamente il SIA ed il personal computer "infetto" non dovrà essere usato per
alcun motivo fino alla bonifica.
Al fine di monitorare il fenomeno, il SIA manterrà un elenco dei virus riscontrati e/o
segnalati.
Il software antivirus:
1. non deve essere mai disabilitato;
2. deve risultare attivo per ogni "file";
3. deve essere eseguito su tutto l'Hard Disk,
4. deve essere eseguito ogni volta che viene utilizzato un floppy disk o un CD Rom.
Per agevolare il lavoro degli utenti il SIA potrà predisporre delle procedure
automatizzate di scansione da effettuarsi in momenti di inattività degli uffici (all’orario di
chiusura).
Il SIA dovrà segnalare, in forma scritta, al Funzionario responsabile, ogni eventuale
anomalia e difformità riscontrata, rispetto a quanto indicato, al fine di adottare i necessari
provvedimenti per il mantenimento della sicurezza del Sistema.
Art. 7 INTERNET
Allo stato attuale, su reti LAN chiuse, i rischi maggiori per la sicurezza derivano
dall’utilizzo di collegamenti ad Internet operati da postazioni connesse alla rete locale. Per
questo motivo queste postazioni devono rispettare protocolli di sicurezza più elevati rispetto a
quelli degli altri Personal Computer.
E’ fatto assoluto divieto di effettuare connessioni diverse da quelle impostate dal SIA in
“Accesso Remoto”, anche per motivi di teleassistenza, senza la previa verifica del SIA
stesso.
Il SIA predispone le necessarie impostazioni di sistema per l’accesso alla rete Internet e
relativi servizi di E-mail. Per i motivi di sicurezza sopra citati, e per impedire l’accesso a
persone non autorizzate, gli utenti non dovranno nel modo più assoluto avvalersi delle
11
funzioni di memorizzazione delle password contenute nei programmi di navigazione e client di
E-mail.
Durante la navigazione l’addetto dovrà limitarsi ad accedere ai siti connessi con le
attività dell’Azienda, evitando con particolare cura tutti quelli che non presentino le massime
garanzie in termini di sicurezza. Per ulteriore precauzione le funzioni di verifica dei “cookies”,
delle applet Java e degli script ActiveX dovranno essere comunque attivate, e l’operatività
degli stessi consentita solo se sussistono le condizioni minime di sicurezza previste dal SIA.
Tutto il materiale proveniente da Internet, nonché gli attachment di E-mail, dovranno
essere sottoposti a verifica con software antivirus avente le firme aggiornate, essendo
estremamente elevato il rischio di contrarre virus anche di recente produzione.
La connessione ad Internet deve avvenire per finalità professionali e solo attraverso la
rete messa a disposizione dall’Azienda Ospedaliera Universitaria Policlinico “G. Martino”.
Non è consentito importare programmi (anche freeware) o file di qualsiasi natura da
Internet se non per uso professionale attinente le funzioni svolte e, comunque, solo previa
notifica al Responsabile che gestisce il sistema.
Non sono consentiti l’apertura e l’esecuzione di file ricevuti in e-mail da mittenti
sconosciuti.
Non è consentito l’uso di Internet per la ricezione di programmi radio e musicali, per
conversazioni in chat fine o collegamenti a webcam, ad eccezione di straordinari motivi
professionali.
Non è consentita la connessione, permanente o temporanea, con siti che aggiornano
automaticamente il cIient collegato (salvo il caso di contratti di manutenzione che prevedano
tale circostanza ).
Le caselle di posta elettronica sono messe a disposizione dall’Azienda Ospedaliera
Universitaria Policlinico “G. Martino” per usi prevalentemente professionali, l'uso personale
comporta l'assunzione diretta di responsabilità sui contenuti dei messaggi da parte di chi li
invia. Non è consentito inviare informazioni confidenziali tramite posta elettronica.
Art. 8 - DOTAZIONE SOFTWARE
Ogni personal computer e, più in generale, ogni attrezzatura informatica, ha in dotazione
software di utilità forniti su rilascio di regolare licenza.
12
La legge che disciplina i diritti d'autore (L. 22 aprile 1941 n. 633), aggiornata dal Dl.
29.12.1992, n.518, che ha recepito la direttiva CEE n. 250 del 14.05.1991 relativa alla tutela
giuridica del software, prevede che la sua duplicazione, salvo apposito contratto, oltre al
numero di licenze regolarmente acquistate, sia reato perseguibile anche penalmente.
Pertanto, ogni software installato sulle attrezzature in dotazione agli Uffici dovrà essere
corredato da regolare licenza.
Tutte le licenze, anche quelle che verranno nel tempo acquisite, devono essere
consegnate al SIA che ne curerà la registrazione e le conservazioni.
Al fine di tenere aggiornato il patrimonio informatico in dotazione, nonché per rendere
più snella l'attività di manutenzione, il SIA predisporrà una scheda, sottoscritta anche
dall'utente assegnatario, per ogni singola attrezzatura, indicante le caratteristiche della stessa
(marca, modello, numero di matricola, numero di inventario, ecc.) e il software installato.
Ogni software non indicato nella suddetta scheda è da considerarsi privo di regolare
licenza e pertanto di ritenere non autorizzato e assimilabile a "software pirata".
E’ fatto assoluto divieto ad ogni addetto di effettuare l’installazione di qualunque tipo di
software, anche se dotato di regolare licenza, senza previo assenso del SIA, che verificherà
preventivamente le caratteristiche del prodotto e le eventuali ripercussioni che una sua
installazione potrebbe avere sul buon funzionamento della singola postazione o dell’intera
LAN.
I singoli assegnatari dovranno rispondere di ogni eventuale difformità riscontrata. Il SIA è
tenuto a segnalate, in forma scritta per i provvedimenti anche disciplinari del caso ogni
eventuale installazione non registrata.
I supporti informatici di vario genere, spesso allegati gratuitamente a riviste e periodici,
non sempre sono di buona qualità. Inoltre alcuni prodotti di tipo "shareware" (cioè privi di
licenza) in genere risultano non soggetti a copyright solo per soggetti privati. Perciò, se ne
vieta categoricamente l'impiego.
E' vietata l'installazione di programmi di intrattenimento, giochi e quant'altro non
attinente all'attività lavorativa.
L'attivazione di screen-saver, in quanto in grado di determinare un notevole degrado di
prestazioni in sistemi operativi di tipo "Windows", dovrà essere effettuata con la supervisione
del SIA, che curerà altresì che, in mancanza di altro software all’uopo dedicato, siano attivate
le funzioni di protezione dello screen-saver medesimo.
13
Per quanto sopra esposto, il SIA è tenuto ad effettuare periodici controlli su ogni
postazione di lavoro e a segnalare in forma scritta eventuali inadempienze.
Art 9 - ACQUISTI
Al fine di garantire la compatibilità delle singole componenti con l'intero sistema
informatico e di mantenere una standardizzazione dei prodotti, anche per un miglior utilizzo
delle risorse disponibili, per ogni acquisto di materiale informatico, sia hardware che software,
dovrà essere acquisito preventivamente il parere di conformità del responsabile dei SIA.
Art. 10 - SICUREZZA LOGICA
Oltre che con le modalità precisate negli articoli precedenti (codici identificativi individuali,
autorizzazioni specifiche per l'accesso selezionato ai dati, programmi antivirus, periodici
controlli, ecc.) l'integrità e la sicurezza dei dati devono essere garantite da rischi di distruzione
e perdite accidentali (comandi applicativi c/o operativi errati, presenza nonostante tutto, di
virus, malfunzionamenti dell'hardware, ecc.).
E' pertanto obbligatorio procedere giornalmente, a cura del SIA, ad effettuare le
procedure di salvataggio almeno settimanali, adottando un sistema di rotazione dei supporti e
garantendone la conservazione periodica in luoghi ignifughi e blindati (armadio blindato o
cassaforte).
Art. 11 - REINTEGRO DEI SUPPORTI DI MEMORIZZAZIONE
Considerata la difficoltà di mantenere una netta separazione fra i dati trattati dagli Uffici, e
considerata comunque la non opportunità, anche fortuita, che anche dati non rilevanti per la
normativa vigente vengano accidentalmente diffusi, i supporti magnetici già utilizzati per il
trattamento possono essere riutilizzati qualora le informazioni precedentemente contenute
non siano tecnicamente in alcun modo recuperabili, altrimenti devono essere distrutti.
Per la stessa ragione lo smaltimento o la cessione del materiale ormai obsoleto (HardDisk, PC, cartucce DAT o MO etc.), potrà essere effettuato solo previa autorizzazione del
SIA, che avrà verificato l’impossibilità assoluta di procedere, per eventuali Terzi, al recupero
dei dati precedentemente in uso.
In caso di danneggiamenti che dovessero interessare dati sensibili e giudiziari ovvero gli
strumenti che li contengono, le funzioni competenti assicurano il ripristino dell'accesso a tali
14
dati in tempi certi compatibili con le esigenze di utilizzo degli utenti interessati e comunque
non superiori ai sette giorni.
Art. 12 -SICUREZZA FISICA
E' preciso dovere di ciascuno, secondo le funzioni e le relative responsabilità, di fare in
modo che vengano utilizzati scrupolosamente tutti gli accorgimenti atti ad evitare indebite
intrusioni negli uffici aziendali ( manutenzione e controllo dell'impianto di allarme, chiusura a
chiave dei contenitori e dei luoghi ove vengono conservati dati e attrezzature, utilizzo del
badge magnetico per l'accesso ai locali dove risulti installato l'apposito lettore, verifica
periodica della corretta tenuta di infissi, serramenti e porte d'accesso dall'esterno,
posizionamento di estintori in quantità sufficiente e, particolarmente, in prossimità del locale
SIA e dove sono conservati i supporti per il backup).
Qualsiasi persona ammessa, dopo l'orario di chiusura, deve essere identificata e
registrata
E' considerata negligenza, e trattata nei modi previsti dalla normativa vigente, anche la
mancata segnalazione di eventuali anomalie casualmente riscontrate da parte di chiunque ne
venga a conoscenza.
Art 13- PROCEDURA PER LA CUSTODIA DI COPIE DI SICUREZZA
Le Funzioni competenti provvedono al back-up periodico dei dati di proprietà
dell’Azienda Ospedaliera Universitaria Policlinico “G. Martino” secondo gli standard stabiliti
avendo cura della conservazione in sicurezza delle copie di back-up.
Il salvataggio dei dati sui PC è vivamente sconsigliato e si obbligano gli incaricati a
memorizzare i dati che necessitano di salvataggio sui server aziendali per i quali tale
salvataggio è garantito dall’Azienda Ospedaliera Universitaria Policlinico “G. Martino”
Nei casi strettamente necessari, ove non sia possibile effettuare il salvataggio dei dati
del PC sul server di LAN, la procedura di copia dei dati registrati sui PC deve essere di
routine e l'archiviazione dei supporti di back-up (CD, pen drive) deve avvenire in luogo sicuro
e, ove possibile, distante dal computer per evitare che eventi disastrosi possano
contemporaneamente danneggiare originali e copie relativi ai dati trattati.
Gli incaricati debbono custodire e controllare i supporti sui quali sono registrati i dati
sensibili e giudiziari in maniera tale che soggetti non autorizzati non possano venire a
15
conoscenza nemmeno accidentalmente dei contenuti di tali supporti. I supporti, al termine di
ogni lavorazione dovranno essere custoditi riposti in contenitori, armadi o cassetti muniti di
serratura e chiusi e chiave.
Tali supporti non potranno essere utilizzati da altri soggetti che non possiedono
l'incarico di poter trattare i dati in essi registrati, ovvero possono essere riutilizzati da altri
incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente
in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.
In caso di cattivo funzionamento del supporto che ne determini l'impossibilità della
lettura dei dati registrati, i supporti dovranno essere distrutti.
Per quanto concerne l’invio in manutenzione dei dischi magnetici o parte di essi del
sistema centrale e degli hard disk dei server che contengono dati del paziente, dovrà essere
preventivamente
effettuata
una
fase
di
cancellazione
dei
dati
in
essi contenuti
(smagnetizzazione del supporto ovvero formattazione a basso livello), ovvero, qualora ciò
non fosse possibile, andrà richiesta preventivamente l'autorizzazione al paziente stesso.
Per quanto concerne la dismissione (rottamazione, restituzione al fornitore ovvero invio
al magazzino per la conservazione) degli strumenti assegnati dall'azienda agli incaricati (Desk
top, PC portatili e cellulari aziendali), i dati memorizzati su detti strumenti, di pertinenza dei
singoli
incaricati,
dovranno
essere
cancellati
da
quest'ultimi;
i
supporti
saranno
successivamente presi in custodia dall’azienda.
Art 14- CONVERSAZIONI TELEFONICHE
Non è consentito fornire informazioni che abbiano ad oggetto dati personali, sensibili, e
giudiziari sul proprio personale o su i pazienti dell’Azienda Ospedaliera
Universitaria
Policlinico “G. Martino”, se non si è certi di chi sia l’interlocutore.
Si eviti, quindi, di fornire telefonicamente informazioni sull'organizzazione interna e sullo stato
di salute dei pazienti a sconosciuti.
Nel caso la conversazione telefonica venga svolta in modalità "viva voce" l'interlocutore
dovrà essere informato circa l'eventuale presenza di altri ascoltatori.
Art 15. – FAX
Evitare l’invio di messaggi fax inutili. Usare la dovuta cautela nell’invio informale di
messaggi fax, il loro contenuto potrebbe essere considerato come una formale
16
comunicazione dell’Azienda Ospedaliera Universitaria Policlinico “G. Martino”. Nell’invio di un
fax contenente dati personali ad una persona autorizzata a visionarli, si inviti la persona
destinataria
ad
essere
vicina
all'apparecchiatura
ricevente
al
momento
della
spedizione/ricevimento.
17