Il nuovo Disciplinare per l’uso delle risorse informatiche nell’INFN E. Bovo – E. Ronconi Servizio Legale e Contenzioso INFN Workshop CCR INFN - Isola.

Slides:



Advertisements
Presentazioni simili
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Advertisements

il Rappresentante dei Lavoratori per la Sicurezza
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
La Direttiva Europea 2007/02/EC
Introduzione all’analisi forense: metodologie e strumenti
LA NORMATIVA DI RIFERIMENTO
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
Art. 60. D.lgs 29/93 abrogato Orario di servizio e orario di lavoro. [1. L'orario di servizio si articola di norma su sei giorni, dei quali cinque anche.
La tutela dei dati personali
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
Ottobre 2007 Predisposizione e presentazione della domanda di nullaosta.
PROCEDURA PER L’ASSEVERAZIONE DELLE IMPRESE
Fabrizio Grossi. 2) Conservazione dei Log di connessione 3) Individuazione procedure e soggetti preposti per verifica navigazione singola postazione.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
Dr. Daniele Dondarini CNA Regionale Emilia Romagna
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Direttiva 2005/36/CE Relativa al riconoscimento delle qualifiche professionali.
Dati delle Pubbliche Amministrazioni e Servizi in Rete Prefettura di Reggio Calabria novembre 2010.
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
SISTEMA INOLTRO TELEMATICO ISTANZE DECRETO FLUSSI 2010
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
Lezione 8 Posta elettronica e internet in azienda. La legittimità degli strumenti di controllo.
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Accordo 22 maggio 2014: attuazione Provvedimento Garante della Privacy Segreteria di Coordinamento Gruppo UniCredit
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
OSPITI Meeting – Conferenze – Convegni Collaborazioni
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Università di Macerata - P. Cioni1 Economia delle aziende di assicurazione La Circolare Isvap n. 577/D: “Disposizioni in materia di sistema dei controlli.
Trasparenza e Anticorruzione:
Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.
Ing. Adriano Cavicchi Dirigente Generale S.I.N.A.P. Sistema Informativo Nazionale degli Appalti Pubblici Forum P.A. 10 maggio 2004.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Registrazione degli ospiti INFN e gestione del database via web M.Corosu, A.Brunengo INFN Sezione di Genova Linguaggio di programmazione: perl Web server:
LA MODIFICA DELLE MANSIONI DOPO IL JOBS ACT
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
Guardie Giurate Art. 2 Statuto dei lavoratori.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
Harmony Roberto Cecchini Commissione Calcolo e Reti 20 Ottobre 2005.
Acceptable Use Policy (AUP) La Rete Italiana dell'Università e della Ricerca, denominata comunemente "Rete GARR", si fonda su progetti di collaborazione.
1. 2 Corso avanzato SistER secondo modulo Ferrara 26 settembre 2006.
LA RIFORMA DEL MERCATO DEL LAVORO Camera del Lavoro di Alessandria 1 LA RIFORMA DEL MERCATO DEL LAVORO I CONTROLLI A DISTANZA Ottobre 2015.
Le basi di dati.
1 Sicurezza Diritto d’autore Aspetti giuridici. 2 La sicurezza dei dati Copia di Backup ( salvataggio), Password di accesso.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
MONITORAGGIO DEI DIPENDENTI
Nel nostro ordinamento, la tutela della salute e della sicurezza nei luoghi di lavoro è regolata da numerose norme giuridiche, contenute in fonti diverse.
9 marzo Monitoraggio e controllo Il contesto normativo.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
Spunti in tema di evoluzione del diritto dell’obbligazione.
Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.
POLITICHE DI GENERE SUL TERRITORIO ESPERIENZE A CONFRONTO Attività del Comitato Pari Opportunità dell’Odcec di Firenze 1 aprile 2016 Con il patrocinio.
CONTROLLO OPERATIVO L'Azienda individua, tramite il Documento di Valutazione dei Rischi, le operazioni e le attività, associate ai rischi identificati,
LNGS, Workshop CCR 2008, Giugno Sondaggio Utenti INFN Valeria Ardizzone INFN Catania Ombretta Pinazza CNAF.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Gruppo sul Telelavoro: E. Amadei (BO), A. Cavalli (CNAF), R. Gomezel (TS), P. P. Ricci (CNAF), D. Riondino (LNF) Disciplinare per l'applicazione del Telelavoro.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Legge n. 241/1990 La fonte del diritto di accesso agli atti amministrativi.
Transcript della presentazione:

Il nuovo Disciplinare per l’uso delle risorse informatiche nell’INFN E. Bovo – E. Ronconi Servizio Legale e Contenzioso INFN Workshop CCR INFN - Isola d’Elba

Il Disciplinare per l’uso delle risorse informatiche nell’INFN Approvato: 31 marzo 2016 con delibera CD n Entra in vigore: o 1° giugno 2016 Dal momento in cui entrerà in vigore il nuovo Disciplinare saranno abrogate le “Norme generali per l’accesso e l’uso delle risorse informatiche dell’INFN” adottate nel WS CCR - Isola d'Elba

Perché un nuovo Disciplinare? Necessità di adeguamento alle intervenute variazioni normative o Nuovi Provvedimenti del Garante Privacy; o Adozione del Codice di comportamento del personale INFN; o Modifiche allo Statuto dei Lavoratori. Esigenza di richiamare gli utenti ad un uso più responsabile delle risorse o La richiesta di accesso alle risorse può essere esaminata soltanto se l’interessato dichiara di aver preso visione del Disciplinare e di accettarlo. 3WS CCR - Isola d'Elba

Chiarezza nei termini Le definizioni : o le risorse informatiche Elaboratori e analoghi dispositivi di proprietà dell’Ente o comunque connessi alla rete dell’Ente; Apparati e infrastrutture di rete di proprietà dell’Ente o comunque connessi alla rete dell’Ente; Il servizio di connettività alle reti locali e geografiche ad esclusione della mera connettività geografica garantita tramite accordi tra Istituzioni e Federazioni; Istanze virtuali di calcolatori o apparati di rete; Software e dati acquistati, prodotti e pubblicati dall’INFN. o i soggetti coinvolti Utente Referente di gruppo di utenti Amministratore di sistema Servizio di Calcolo e Reti Direttore di Struttura 4WS CCR - Isola d'Elba

L’accesso alle risorse Chi può chiedere l’accesso alle risorse INFN: o Dipendenti, associati, collaboratori, ospiti, dottorandi, specializzandi, assegnisti, borsisti, laureandi o altri autorizzati. Chi autorizza l’accesso: o Direttore o un suo delegato Condizioni necessarie a consentire l’accesso: o Sussistenza di un rapporto che autorizzi lo svolgimento di attività nell’INFN; o Identificazione del soggetto che accede alle risorse. o Accesso personale, non condivisibile né cedibile; per la posta elettronica possono essere resi disponibili indirizzi condivisi attraverso l’uso di liste di distribuzione; o Uso consentito soltanto in modo conforme al Disciplinare 5WS CCR - Isola d'Elba

6

7 L'accesso è personale, non può essere condiviso o ceduto e il relativo utilizzo è consentito a ciascun utente soltanto in conformità alle norme del Disciplinare. WS CCR - Isola d'Elba

L’uso delle risorse Che cosa si può fare con le risorse informatiche INFN: o Conseguimento delle finalità istituzionali dell’INFN, mediante un uso responsabile che tenga conto della necessità di preservare l’integrità delle risorse e garantirne il buon funzionamento. Che cosa non si può fare: o Attività contrarie alla legge o proibite dai regolamenti e dalle consuetudini d’uso delle reti e dei servizi o Attività commerciali non autorizzate, trasmissione di materiale commerciale o pubblicitario non richiesto, uso da parte di terzi per tali attività; o Attività idonee a danneggiare, distruggere, compromettere la sicurezza delle risorse, o dirette a violare la riservatezza o cagionare danno a terzi, inclusa la creazione, trasmissione, conservazione di immagini, dati o altro materiale offensivo, diffamatorio, osceno, indecente o che attenti alla dignità umana. L’uso per fini personali o è tollerato purché non violi le leggi applicabili e sia compatibile con le norme del Disciplinare e di tutte le indicazioni stabilite dall’INFN. 8WS CCR - Isola d'Elba

Le disposizioni specifiche per l’uso delle risorse Le condotte vietate o Svolgere attività non autorizzate dal Servizio di Calcolo e Reti; o Divulgare informazioni su struttura e configurazione delle risorse; o Deteriorare le risorse, ottenere risorse superiori a quelle autorizzate; e quelle richieste; o Osservare le norme in materia di privacy ( o Seguire le indicazioni del Servizio Calcolo e Reti in tema di sicurezza, di salvataggio dei dati … o Agire con responsabilità nella scelta dei software da installare, nella protezione dei dati da accessi non autorizzati, nella verifica dell’affidabilità dei servizi esterni, nell’istallare ed aggiornare gli antivirus, nella scelta e conservazione delle password … 9WS CCR - Isola d'Elba

Utilizzabilità dei servizi esterni ATTENZIONE! Il trattamento dei dati personali, sia comuni che sensibili, o di particolare rilevanza per l'Ente può essere effettuato mediante l'uso di cloud, soltanto ove l'INFN abbia preventivamente verificato le caratteristiche del servizio. WS CCR - Isola d'Elba

La verifica del corretto uso delle risorse Le finalità: o Necessità di assicurare la funzionalità, disponibilità, ottimizzazione integrità dei sistemi informativi; o Necessità di conservare un elevato livello di sicurezza delle risorse; o Necessità di prevenire o comunque interrompere utilizzazioni indebite 11 I soggetti: o Gli Amministratori di sistema o Il Servizio Calcolo e Reti WS CCR - Isola d'Elba

I soggetti Amministratore di Sistema o Figura professionale dedicata alla gestione e manutenzione di impianti di elaborazione con cui vengono effettuati i trattamenti di dati, anche personali, compresi i sistemi di gestione delle basi di dati, le reti locali e gli apparati di sicurezza. Servizio di Calcolo e Reti o Il servizio cui compete la gestione delle risorse di calcolo centrali, i collegamenti in rete all’interno ed all’esterno di ciascuna Struttura, nonché la cura, installazione e sviluppo delle stesse e l’assistenza agli utenti per l’accesso alle risorse ed alla rete; ha inoltre competenza in materia di sicurezza su ogni risorsa di calcolo comunque afferente alla propria Struttura. WS CCR - Isola d'Elba

Le attività richieste agli Amministratori di sistema Verificare regolarmente l’integrità dei sistemi; Controllare e conservare i log di sistema per il tempo necessario a verificare gli standard di sicurezza; Segnalare al Servizio Calcolo e Reti incidenti, sospetti abusi e violazioni della sicurezza e partecipare alla loro gestione; Installare e aggiornare programmi antivirus; Impedire in caso di manutenzioni, l’accesso alle informazioni e ai dati presenti nei sistemi; 13WS CCR - Isola d'Elba

Le attività non consentite agli Amministratori di sistema Visionare i dati della corrispondenza degli utenti (necessità di stretta riservatezza); Riferire, duplicare, cedere a persone non autorizzate informazioni sui dati di corrispondenza; Leggere o registrare in modo sistematico i messaggi di posta elettronica, oltre quanto necessario per garantire il servizio; Riprodurre o memorizzare le pagine web visualizzate dall’utente; Leggere e registrare i caratteri inseriti tramite tastiera o dispositivi analoghi; Effettuare analisi occulte di computer portatili affidati in uso; Registrare il contenuto delle connessioni. 14WS CCR - Isola d'Elba

15

Le attività dei Servizi di Calcolo e Reti Controllo che gli accessi remoti alle risorse avvengano mediante l’uso di protocolli che prevedano l’autenticazione e la cifratura dei dati trasmessi; Limitazione dell’uso interno di servizi e programmi che trasmettono in chiaro le password; Disattivazione dei servizi non essenziali e limitazione del numero degli utenti privilegiati in grado di svolgere attività di coordinamento, controllo e monitoraggio della rete e dei servizi ad essa afferenti; Revisione degli account (almeno annuale) Monitoraggio dei sistemi; Filtraggio e logging sugli apparati perimetrali; Supporto per conservare ed incrementare la sicurezza. WS CCR - Isola d'Elba

Ulteriori misure di tutela e procedimento di verifica delle anomalie Il Servizio Calcolo e Reti, nel rispetto dei principi di necessità pertinenza e non eccedenza, può eseguire elaborazioni sui dati registrati dirette ad evidenziare anomalie nel traffico o condotte non consentite dal Disciplinare Se evidenzia eventi dannosi o comportamenti anomali o non consentiti … Il Servizio, salvi i casi di necessità ed urgenza, previa informazione agli interessati, effettua ulteriori accertamenti e adotta le misure necessarie ad interrompere le condotte dannose o non consentite Se il comportamento vietato viene ripetuto o si rileva la commissione di fatti di particolare gravità, il Servizio Calcolo e Reti adotta le misure tecniche necessarie e dà immediata comunicazione al Direttore di Struttura dei fatti accaduti. 17WS CCR - Isola d'Elba

La raccolta dei dati Tipologia di Dati Raccolti: o Dati sull’uso delle risorse: Associazione tra indirizzo, nome computer e utente; informazioni relative alle transazioni eseguite File di log con informazioni relative alle pagine web accedute (ove siano installati i proxy server) o Dati sulla posta elettronica: Data, ora, indirizzo del mittente e del destinatario dei messaggi di posta, nonché il risultato delle analisi dei software antivirus ed antispam 18WS CCR - Isola d'Elba

La conservazione dei dati acquisiti in relazione all’uso delle risorse Il Servizio Calcolo e Reti per assicurare il funzionamento, la sicurezza e l’ottimizzazione dei sistemi, raccoglie le informazioni relative all'associazione tra indirizzo, nome del computer e utente; non registra il contenuto delle connessioni, può raccogliere informazioni relative alle transazioni eseguite: indirizzi dei nodi, ora di inizio e fine transazione e quantità dei dati trasferiti. Questi dati sono conservati per un periodo non superiore a un anno. I log dei proxy server o altri sistemi di controllo delle sessioni possono essere conservati per un periodo non superiore a sette giorni dal Servizio di Calcolo e Reti che li esamina o elabora soltanto ove ravvisi la necessità di garantire la sicurezza o il buon funzionamento del sistema. 19WS CCR - Isola d'Elba

La conservazione dei dati acquisiti in relazione al servizio di posta elettronica I dati registrati, utilizzati anche per elaborazioni statistiche, sono conservati per un periodo non superiore a un anno e sono accessibili al solo personale, appositamente incaricato, del Servizio Calcolo e Reti di competenza. La casella di posta elettronica è disattivata entro i due mesi successivi alla scadenza del termine nel quale l’utente è autorizzato all’accesso. Entro tale periodo l’utente ha il dovere di trasferire al Direttore o a un suo delegato le comunicazioni di servizio d’interesse e di trasmettergli quelle nel frattempo intervenute. Il contenuto della casella è comunque cancellato entro un anno dalla scadenza del termine di autorizzazione all’accesso. I periodi possono essere prolungati dal Direttore ove ne ravvisi la specifica esigenza. WS CCR - Isola d'Elba

Il Direttore di Struttura Ricevute le segnalazioni dal Servizio di Calcolo circa la reiterazione di comportamenti anomali o vietati o Valuta la sospensione dell’accesso alle risorse informatiche; o Verifica la sussistenza degli estremi per l’avvio di azioni disciplinari, civili o penali. In ogni caso i Direttori di Struttura, adottano ogni opportuna misura affinché coloro che trattano dati relativi all’uso di internet e posta elettronica svolgano le operazioni necessarie al perseguimento delle relative finalità, senza realizzare attività di controllo a distanza, neppure di propria iniziativa. 21WS CCR - Isola d'Elba

Nuovo articolo 4 dello Statuto Lavoratori 1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilita' di controllo a distanza dell'attivita' dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unita' produttive ubicate in diverse province della stessa regione ovvero in piu' regioni, tale accordo puo' essere stipulato dalle associazioni sindacali comparativamente piu' rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unita' produttive dislocate negli ambiti di competenza di piu' Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali. 2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. 3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalita' d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n WS CCR - Isola d'Elba

Nuovo articolo 4 dello Statuto Lavoratori presunzione legale di afferenza alle esigenze organizzate/produttive degli strumenti che immediatamente servono al lavoratore per adempiere alle mansioni assegnate se lo strumento viene modificato con l’aggiunta di sw di localizzazione o filtraggio devono sussistere ragioni giustificative previste dalla legge e poi essere autorizzati; La semplice registrazione non è controllo se non c’è un effettivo utilizzo ai fini del controllo 23WS CCR - Isola d'Elba

Nuovo articolo 4 dello Statuto Lavoratori Una volta informato adeguatamente il lavoratore sulle modalità d’uso degli strumenti e sulle modalità di effettuazione dei controlli e sempre che il controllo sia su dati pertinenti e non eccedenti le finalità per i quali viene operato, ed assolta la procedura autorizzativa, laddove prevista, le informazioni raccolte dal datore di lavoro sono utilizzabili a tutti i fini connessi al rapporto di lavoro - inclusi quelli disciplinari - 24WS CCR - Isola d'Elba

25 Grazie per l’attenzione! un ringraziamento particolare agli altri componenti del Gruppo Harmony: -Roberto Cecchini -Silvia Arezzini -Michele Gulmini -Paolo Lo Re -Michele Michelotto -Sandra Parlati -Stefano Zani