LINEE GUIDA IN MATERIA DI SICUREZZA PER L`INCARICATO

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
(ai sensi degli art. 33,34,35,36 del D.L.vo N. 196 del
30/06/2003)
Allegato alla nomina a.s. 2013-2014 dell’assistente amministrativo
LINEE GUIDA IN MATERIA DI SICUREZZA PER
L’assistente amministrativo INCARICATO DEL TRATTAMENTO
OGGETTO E AMBITO DI APPLICAZIONE
Il presente regolamento disciplina le modalità di accesso e di uso della rete informatica e telematica
dell’Istituzione scolastica e dei servizi che, tramite la stessa rete, è possibile ricevere o offrire.
La rete è connessa alla rete Internet.
PRINCIPI GENERALI – DIRITTI E RESPONSABILITÀ
L’Istituzione scolastica promuove l'utilizzo della rete quale strumento utile per perseguire le proprie
finalità.
Gli utenti manifestano liberamente il proprio pensiero nel rispetto dei diritti degli altri utenti e di terzi, nel rispetto dell'integrità dei sistemi e delle relative risorse fisiche, in osservanza delle leggi, norme e obblighi contrattuali.
Consapevoli delle potenzialità offerte dagli strumenti informatici e telematici, gli utenti si impegnano
ad agire con responsabilità e a non commettere abusi aderendo a un principio di autodisciplina.
Il posto di lavoro costituito da personal computer viene consegnato completo di quanto necessario
per svolgere le proprie funzioni, pertanto è vietato modificarne la configurazione.
Il software installato sui personal computer è quello richiesto dalle specifiche attività lavorative
dell’operatore. E’ pertanto proibito installare qualsiasi programma da parte dell’utente o di altri operatori, escluso l’amministratore del sistema. L'utente ha l'obbligo di accertarsi che gli applicativi utilizzati siano muniti di regolare licenza.
Ogni utente è responsabile dei dati memorizzati nel proprio personal computer. Per questo motivo è
tenuto ad effettuare la copia di questi dati secondo le indicazioni emanate dal titolare del trattamento dei dati o suo delegato.
ABUSI E ATTIVITÀ VIETATE
E' vietato ogni tipo di abuso1. In particolare è vietato:
a) usare la rete in modo difforme da quanto previsto dalle leggi penali, civili e amministrative e da
quanto previsto dal presente regolamento;
b) utilizzare la rete per scopi incompatibili con l'attività istituzionale;
c) utilizzare una password di cui non si è autorizzati;
d) cedere a terzi codici personali (USER ID e PASSWORD) di accesso al sistema;
e) conseguire l'accesso non autorizzato a risorse di rete interne o esterne a quella dell’Istituzione
scolastica;
f) violare la riservatezza di altri utenti o di terzi;
g) agire deliberatamente con attività che influenzino negativamente la regolare operatività della rete e ne restringano l'utilizzabilità e le prestazioni per altri utenti;
h) agire deliberatamente con attività che distraggano risorse (persone, capacità, elaboratori);
i) fare o permettere ad altri trasferimenti non autorizzati di informazioni (software, basi dati, ecc.);
j) installare o eseguire deliberatamente o diffondere su qualunque computer e sulla rete, programmi destinati a danneggiare o sovraccaricare i sistemi o la rete (p.e. virus, cavalli di troia,
worms, spamming della posta elettronica, programmi di file sharing - p2p);
k) installare o eseguire deliberatamente programmi software non autorizzati e non compatibili con
le attività istituzionali;
1
Si intende con abuso qualsiasi violazione del presente regolamento e di altre norme civili, penali e amministrative che disciplinano le attività e i servizi svolti sulla rete e di condotta personale.
1
l)
cancellare, disinstallare, copiare, o asportare deliberatamente programmi software per scopi personali;
m) installare deliberatamente componenti hardware non compatibili con le attività istituzionali;
n) rimuovere, danneggiare deliberatamente o asportare componenti hardware.
o) utilizzare le risorse hardware e software e i servizi disponibili per scopi personali;
p) utilizzare le caselle di posta elettronica dell’istituto per scopi personali e/o non istituzionali;
q) utilizzare la posta elettronica con le credenziali di accesso di altri utenti;
r) utilizzare la posta elettronica inviando e ricevendo materiale che violi le leggi.
s) utilizzare l'accesso ad Internet per scopi personali;
t) accedere direttamente ad Internet con modem collegato al proprio Personal Computer se non
espressamente autorizzati e per particolari motivi tecnici;
u) connettersi ad altre reti senza autorizzazione;
v) monitorare o utilizzare qualunque tipo di sistema informatico o elettronico per controllare le attività degli utenti, leggere copiare o cancellare file e software di altri utenti, senza averne l'autorizzazione esplicita;
w) usare l'anonimato o servirsi di risorse che consentano di restare anonimi sulla rete;
x) inserire o cambiare la password per la gestione del Bios, se non dopo averla espressamente comunicata all'amministratore di sistema e essere stati espressamente autorizzati;
y) Di essere a conoscenza che ogni operazione effettuata sulla rete Lan può essere monitorata e
memorizzata, quindi occorre evitare di introdursi in cartelle il cui accesso sia negato perché mancano i relativi permessi. Se sussistono problemi nel collegamento al server o alla rete Lan chiamare l’amministratore di rete che effettuerà un controllo;
z) Di essere a conoscenza che le operazioni di stampa e la navigazione sul web tramite Internet sono anch’esse soggette ad un costante controllo;
aa) Di essere a conoscenza che non risulta possibile inviare tramite posta elettronica messaggi pubblicitari o comunicazioni che non siano stati sollecitati in modo esplicito;
bb) Di essere a conoscenza che l’accesso ad archivi e/o computers della rete per fini non inerenti alla
tipologia del proprio lavoro costituisce una violazione della sicurezza;
cc) Di essere consapevole che la lettura non autorizzata della posta elettronica altrui costituisce violazione della privacy;
dd) Di non scaricare da Internet e/o installare software per utilizzo personale o ludico;
ee) Di utilizzare le seguenti regole per la posta elettronica:
non aprire documenti o mandare in esecuzione file di cui non sia certa la provenienza
non aprire direttamente gli allegati ma salvarli su disco e controllarne il contenuto con un
antivirus
inviare messaggi di posta solo se espressamente autorizzati dal Responsabile
controllare accuratamente l’indirizzo dei destinatario prima di inviare dati personali
ff) Di essere a conoscenza che per una corretta navigazione in Internet occorre inoltre tenere sempre presente quanto non è consentito:
Violare le leggi sul Copyright.
Spedire messaggi di posta elettronica offensivi oppure mostrare, scaricare, salvare, copiare immagini dal contenuto osceno e/o violento.
Molestare, insultare o attaccare altri.
Usare la password o gli archivi di altri senza averne il permesso.
Utilizzare Internet per fini privati.
gg) Di essere a conoscenza che la propria password è strettamente personale e segreta, quindi non
deve essere comunicata a nessuno e tanto meno lasciata scritta su un foglietto vicino al Personal
Computer.
Deve essere lunga almeno 8 caratteri compreso un carattere numerico.
Non deve essere facilmente intuibile, evitando il nome proprio, il nome di congiunti, date
di nascita e comunque riferimenti alla propria persona o lavoro facilmente ricostruibili.
Trascrivere su un biglietto chiuso in busta sigillata e controfirmata la nuova password e
consegnarla al custode delle credenziali.
Questa password dovrà essere cambiata ogni 3 mesi nel momento in cui viene richiesta la
modifica dal server.
2
Ogni volta che si digita la password occorre prestare attenzione che nessuna persona
memorizzi la password guardando i caratteri direttamente sulla tastiera del PC;
Di informare immediatamente l’amministratore della rete in caso di smarrimento o sospetta copia da parte di altri che provvederà a bloccare la vecchia password e a fornirne
una nuova attivazione dell’utente. Si tenga presente che neanche l’amministratore della
rete conosce la vostra password che sarà memorizzata in busta chiusa e depositata in
cassaforte presso il locale del DSGA;
hh) Di attivarsi per minimizzare la probabilità di appropriazione, danneggiamento o distruzione anche
non voluta di apparecchiature informatiche o archivi informatici o cartacei contenenti dati
sensibili;
ii) Di attivarsi per minimizzare la probabilità di accesso, comunicazione o modifiche non autorizzate
alle informazioni sensibili;
jj) Di essere a conoscenza che la protezione degli archivi informatici contenenti dati sensibili e
giudiziari devono sottostare alle seguenti regole:
Obbligo di password impostata nel BIOS all’accensione del Personal Computer;
autorizzazione scritta per l'accesso agli incaricati ed agli addetti alla manutenzione;
l’hard disk contenente il sistema operativo (solitamente C:) e i file di lavoro NON DEVONO
ESSERE CONDIVISI IN RETE se non diversamente richiesto per motivi di lavoro;
supervisione dell'incaricato del trattamento a tutte le operazioni di manutenzione
straordinaria sia del software che dell’hardware che dovranno essere effettuate on-site;
antivirus costantemente aggiornato;
piano di backup con procedure concordate con i responsabili del trattamento e del sistema
informativo;
conservazione in armadio con chiusura a chiave delle copie di backup;
distruzione fisica dei floppy disk non utilizzati che contenevano copie parziali o totali degli
archivi;
obbligo di uso di screen saver con password dopo un periodo di 10 minuti di inattività.
Comunque non abbandonare la propria postazione di lavoro per la pausa o altri motivi
senza aver spento la postazione di lavoro o aver programmato il Personal Computer con
uno screen saver dotato di password;
divieto di installazione, sui personal computer, di archivi con dati sensibili di carattere
personale dell'utente se non concordati con il responsabile della trattamento dati;
divieto di installazione di software di qualsiasi tipo sui personal computer che contengono
archivi con dati sensibili senza apposita autorizzazione da parte del responsabile del
trattamento dati;
divieto di installazione sui personal computer che contengono archivi con dati sensibili di
accessi remoti di qualsiasi tipo mediante modem e linee telefoniche.
Il controllo dei documenti stampati è responsabilità degli incaricati al trattamento che
mandano in stampa i documenti.
La stampa di documenti contenenti dati sensibili deve essere effettuata su stampanti
poste in locali ad accesso controllato e devono essere immediatamente ritirate o
presidiate dall’incaricato.
kk) Di attivarsi per ottemprare alle misure di sicurezza relative agli accessi fisici, in particolare:
sono definite aree ad accesso controllato quei locali che contengono apparecchiature informatiche
critiche (server di rete, computer utilizzati per il trattamento dei dati sensibili e apparecchiature di
telecomunicazione) e archivi informatici e/o cartacei contenenti dati sensibili; tali aree:
Devono essere all’interno di aree sotto la responsabilità dell’ICTrino
Deve essere chiaramente identificato un "responsabile dell’area";
Il locale deve essere chiuso anche se presidiato, le chiavi sono custodite a cura del
"responsabile dell’area";
L’accesso deve essere consentito solo alle persone autorizzate;
L’accesso deve essere possibile solo dall’interno dell’area sotto la responsabilità
dell'istituto scolastico;
I locali devono essere provvisti di sistema di allarme che garantisca durante le ore
notturne un elevato grado di sicurezza;
Il "responsabile dell’area" ad accesso controllato deve mantenere un effettivo controllo
3
sull’area di sua responsabilità;
La lista delle persone autorizzate ad accedere;
La lista deve essere periodicamente controllata;
I visitatori occasionali devono essere accompagnati;
Gli ingressi fuori orario devono essere controllati;
Di attivarsi per minimizzare la probabilità di accesso, comunicazione o modifiche non
autorizzate alle informazioni sensibili;
jj) Non lasciare a disposizione di estranei fotocopie inutilizzate o incomplete di documenti che contengono dati personali o sensibili ma accertarsi che vengano sempre distrutte.
kk) Non lasciare incustodito il registro contenente gli indirizzi e i recapiti telefonici del personale e
degli studenti e non annotarne il contenuto sui fogli di lavoro.
ll) Non abbandonare la postazione di lavoro per la pausa o altro motivo senza aver provveduto a
custodire in luogo sicuro i documenti trattati.
mm) Segnalare tempestivamente al Responsabile la presenza di documenti incustoditi, provvedendo temporaneamente alla loro custodia.
nn) Attenersi alle direttive ricevute e non effettuare operazioni per le quali non si è stati espressamente autorizzati dal Responsabile o dal Titolare.
ATTIVITÀ CONSENTITE
a) Di essere a conoscenza e di accettare che l'assegnazione di un nome nel dominio della rete Lan
interna dell’I.C.Trino e la sua registrazione sono soggette alle regole ed alle Procedure Tecniche
di registrazione stabilite dalla normativa italiana;
b) Di essere a conoscenza e di accettare le norme di buon uso delle risorse di rete
c) Di effettuare la procedura di aggiornamento dell’antivirus periodicamente almeno una volta alla
settimana (a meno che l’aggiornamento avvenga in automatico dal server), comprensiva della
scansione totale per la ricerca dei virus e compresa la deframmentazione dell’intero hard disk;
d) Di conoscere le misure di sicurezza organizzative, fisiche e logiche da adottare affinché siano
rispettati gli obblighi, in materia di sicurezza, previsti dalla legge 675/96 sulla protezione dei dati
personali (Legge sulla Privacy) e dal DPR 318/99;
e) Spegnere correttamente il computer al termine di ogni sessione di lavoro;
f) Comunicare tempestivamente al Titolare o al Responsabile qualunque anomalia riscontrata nel
funzionamento del computer;
g) Conservare sempre i dati del cui trattamento si è incaricati in apposito armadio assegnato, dotato di serratura.
h) Accertarsi della corretta funzionalità dei meccanismi di chiusura dell’armadio, segnalando tempestivamente al Responsabile eventuali anomalie.
i) Conservare i documenti ricevuti da genitori/studenti o dal personale in apposite cartelline non
trasparenti.
j) Consegnare al personale o ai genitori/studenti documentazione inserita in buste non trasparenti.
k) Non consentire l’accesso a estranei al fax e alla stampante di rete degli uffici che contengano documenti non ancora ritirati dal personale.
l) Effettuare esclusivamente copie fotostatiche di documenti per i quali si è autorizzati.
m) Distruggere i documenti non più utilizzati dell’ufficio per eliminare documenti inutilizzati.
È consentito all'amministratore di sistema:
monitorare o utilizzare qualunque tipo di sistema informatico o elettronico per controllare il
corretto utilizzo delle risorse di rete, dei client e degli applicativi, per copiare o rimuovere file e
software, solo se rientrante nelle normali attività di manutenzione, gestione della sicurezza e
della protezione dei dati e nel pieno rispetto di quanto previsto riguardo ai diritti dei lavoratori;
creare, modificare, rimuovere o utilizzare qualunque password, solo se rientrante nelle normali
attività di manutenzione, gestione della sicurezza e della protezione dei dati e nel pieno rispetto di quanto previsto riguardo ai diritti dei lavoratori. L’amministratore darà comunicazione
dell’avvenuta modifica all’utente che provvederà ad informare il custode delle password;
rimuovere programmi software, solo se rientrante nelle normali attività di manutenzione, gestione della sicurezza e della protezione dei dati e nel pieno rispetto di quanto previsto riguardo ai diritti dei lavoratori;
4
rimuovere componenti hardware, solo se rientrante nelle normali attività di manutenzione, gestione della sicurezza e della protezione dei dati e nel pieno rispetto di quanto previsto riguardo ai diritti dei lavoratori.
SOGGETTI CHE POSSONO AVERE ACCESSO ALLA RETE
Hanno diritto ad accedere alla rete dell’I.C.Trino tutti gli allievi, gli insegnanti, i dipendenti, le ditte
fornitrici di software per motivi di manutenzione e limitatamente alle applicazioni di loro competenza, collaboratori esterni impegnati nelle attività istituzionali per il periodo di collaborazione.
L'accesso alla rete è assicurato compatibilmente con le potenzialità delle attrezzature.
L'amministratore di sistema può regolamentare l'accesso alla rete di determinate categorie di utenti,
quando questo è richiesto da ragioni tecniche.
Per consentire l'obiettivo di assicurare la sicurezza e il miglior funzionamento delle risorse disponibili
l'amministratore di sistema può proporre al titolare del trattamento l'adozione di appositi regolamenti di carattere operativo che gli utenti si impegnano ad osservare.
L'accesso agli applicativi gestiti dal server è consentito agli utenti che, per motivi di servizio, ne devono fare uso.
MODALITÀ DI ACCESSO ALLA RETE E AGLI APPLICATIVI
Qualsiasi accesso alla rete e agli applicativi viene associato ad una persona fisica cui collegare le attività svolte utilizzando il codice utente.
L'utente che richiede e ottiene l'accesso alla rete e agli applicativi si impegna ad osservare il presente regolamento e le altre norme disciplinanti le attività e i servizi che si svolgono via rete ed si impegna a non commettere abusi e a non violare i diritti degli altri utenti e dei terzi.
L'utente che richiede e ottiene l'accesso alla rete e agli applicativi si assume la totale responsabilità
delle attività svolte tramite la rete.
Al primo collegamento alla rete e agli applicativi, l'utente deve modificare la password (parola chiave) comunicatagli dal custode delle password e rispettare le norme indicate.
SANZIONI
In caso di abuso, a seconda della gravità del medesimo, e fatte salve ulteriori conseguenze di
natura penale, civile e amministrativa, possono essere comminate le sanzioni disciplinari previste
dalla normativa vigente in materia e dai regolamenti dell’I.C.Trino
IL DIRIGENTE SCOLASTICO
Titolare del trattamento dati
Il DSGA
responsabile del trattamento dati personali
5