Regolamento
Versione del 15 apr 2021 alle 10:46 di Caterina (discussione | contributi)
<?xml version="1.0" encoding="UTF-8" ?>
<TaggedPDF-doc>
<?xpacket begin='' id='W5M0MpCehiHzreSzNTczkc9d'?>
<?xpacket begin="" id="W5M0MpCehiHzreSzNTczkc9d"?>
<x:xmpmeta xmlns:x="adobe:ns:meta/" x:xmptk="Adobe XMP Core 5.4-c006 80.159825, 2016/09/16-03:31:08 ">
<rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#">
<rdf:Description rdf:about=""
xmlns:xmp="http://ns.adobe.com/xap/1.0/"
xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/"
xmlns:dc="http://purl.org/dc/elements/1.1/"
xmlns:pdf="http://ns.adobe.com/pdf/1.3/"
xmlns:pdfx="http://ns.adobe.com/pdfx/1.3/">
<xmp:ModifyDate>2021-04-09T09:37:38+02:00</xmp:ModifyDate>
<xmp:CreateDate>2020-12-23T10:40:34+01:00</xmp:CreateDate>
<xmp:MetadataDate>2021-04-09T09:37:38+02:00</xmp:MetadataDate>
<xmp:CreatorTool>Acrobat PDFMaker 11 per Word</xmp:CreatorTool>
<xmpMM:DocumentID>uuid:0c573663-0ac7-409f-ba96-be7b561ce8dc</xmpMM:DocumentID>
<xmpMM:InstanceID>uuid:cf5a4219-77db-4c57-99df-ab17980f5e7b</xmpMM:InstanceID>
<xmpMM:subject>
<rdf:Seq>
<rdf:li>7</rdf:li>
</rdf:Seq>
</xmpMM:subject>
<dc:format>xml</dc:format>
<dc:title>
<rdf:Alt>
<rdf:li xml:lang="x-default">REGOLAMENTO IN MATERIA DI SISTEMI INFORMATICI,RETE TELEMATICA E SICUREZZA</rdf:li>
</rdf:Alt>
</dc:title>
<dc:description>
<rdf:Alt>
<rdf:li xml:lang="x-default"/>
</rdf:Alt>
</dc:description>
<dc:creator>
<rdf:Seq>
<rdf:li>docdel</rdf:li>
</rdf:Seq>
</dc:creator>
<pdf:Producer>Adobe PDF Library 11.0</pdf:Producer>
<pdf:Keywords/>
<pdfx:SourceModified>D:20201223094000</pdfx:SourceModified>
<pdfx:Company>CNR - ISTITUTO DI SCIENZA E TECNOLOGIE DELL’INFORMAZIONE</pdfx:Company>
<pdfx:Comments/>
<pdfx:ContentTypeId>0x0101003594846654ECAE4F8D5B9F17EC20154B</pdfx:ContentTypeId>
</rdf:Description>
</rdf:RDF>
</x:xmpmeta>
<?xpacket end="w"?>
<?xpacket end='r'?>
<bookmark-tree>
<bookmark title="Sommario">
<destination structID="LinkTarget_572"/>
</bookmark>
<bookmark title="Premessa">
<destination structID="LinkTarget_467"/>
</bookmark>
<bookmark title="1 Quadro normativo">
<destination structID="LinkTarget_472"/>
</bookmark>
<bookmark title="2 Entrata in vigore del regolamento e pubblicità">
<destination structID="LinkTarget_408"/>
</bookmark>
<bookmark title="3 Campo di applicazione del regolamento">
<destination structID="LinkTarget_411"/>
</bookmark>
<bookmark title="4 Definizioni">
<destination structID="LinkTarget_413"/>
</bookmark>
<bookmark title="5 Utilizzo della rete">
<destination structID="LinkTarget_383"/>
<bookmark title="5.1 accesso alla rete">
<destination structID="LinkTarget_384"/>
</bookmark>
<bookmark title="5.2 cosa non è consentito fare">
<destination structID="LinkTarget_348"/>
</bookmark>
</bookmark>
<bookmark title="6 Utilizzo delle infrastrutture informatiche">
<destination structID="LinkTarget_310"/>
</bookmark>
<bookmark title="7 Utilizzo del Personal Computer">
<destination structID="LinkTarget_286"/>
</bookmark>
<bookmark title="8 Utilizzo di PC portatili">
<destination structID="LinkTarget_288"/>
</bookmark>
<bookmark title="9 Uso della posta elettronica">
<destination structID="LinkTarget_291"/>
</bookmark>
<bookmark title="10 Navigazione in Internet e intranet">
<destination structID="LinkTarget_298"/>
</bookmark>
<bookmark title="11 Utilizzo dei telefoni, fax e fotocopiatrici">
<destination structID="LinkTarget_272"/>
</bookmark>
<bookmark title="12 Istruzioni in caso di cessazione del rapporto di lavoro o di collaborazione">
<destination structID="LinkTarget_277"/>
</bookmark>
<bookmark title="13 Misure di sicurezza richieste agli utenti">
<destination structID="LinkTarget_235"/>
<bookmark title="13.1 misure di sicurezza generali">
<destination structID="LinkTarget_235"/>
</bookmark>
<bookmark title="13.2 Misure di sicurezza outsourcing">
<destination structID="LinkTarget_251"/>
</bookmark>
<bookmark title="13.3 misure specifiche per gli utenti privilegiati (root e administrator)">
<destination structID="LinkTarget_253"/>
</bookmark>
</bookmark>
<bookmark title="14 Responsabilità dell’utente finale">
<destination structID="LinkTarget_215"/>
<bookmark title="14.1 UTILIZZO DI STRUMENTI E DISPOSITIVI PERSONALI IN LAVORO AGILE">
<destination structID="LinkTarget_227"/>
</bookmark>
</bookmark>
<bookmark title="15 Attività di Controllo">
<destination structID="LinkTarget_198"/>
</bookmark>
<bookmark title="16 Sanzioni">
<destination structID="LinkTarget_187"/>
</bookmark>
<bookmark title="17 Aggiornamento e revisione">
<destination structID="LinkTarget_190"/>
</bookmark>
</bookmark-tree>
<Sect>
<P xml:lang="IT-IT">sistema </P>
<P xml:lang="IT-IT"> </P>
<Figure>
<ImageData src="immagini/RegISTI_img_0.jpg"/>
</Figure>
<Figure>
<ImageData src="immagini/RegISTI_img_1.jpg"/>
</Figure>
<Table>
<TR>
<TD>
<P xml:lang="IT-IT">CNR - ISTITUTO DI SCIENZA E TECNOLOGIE DELL’INFORMAZIONE </P>
</TD>
</TR>
<TR>
<TD>
<P xml:lang="IT-IT">REGOLAMENTO IN MATERIA DI SISTEMI INFORMATICI,RETE TELEMATICA E SICUREZZA </P>
</TD>
</TR>
<TR>
<TD>
<P xml:lang="IT-IT">[Sottotitolo del documento] </P>
</TD>
</TR>
</Table>
<Table>
<TR>
<TD>
<P xml:lang="IT-IT">docdel </P>
<P xml:lang="IT-IT">[Data] </P>
</TD>
</TR>
<TR>
<TD>
<P xml:lang="IT-IT"> </P>
</TD>
</TR>
</Table>
<P xml:lang="IT-IT"> </P>
<H2 id="LinkTarget_572" xml:lang="IT-IT">Sommario </H2>
<TOC>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">Sommario </Reference>
................................................................................................................................
<Reference xml:lang="IT-IT">...................... 1</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">Premessa </Reference>
................................................................................................................................
<Reference xml:lang="IT-IT">............................ 2</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">1 Quadro normativo </Reference>
................................................................................................................................
<Reference xml:lang="IT-IT">..... 2</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">2 Entrata in vigore del regolamento e pubblicità </Reference>
................................................................
<Reference xml:lang="IT-IT">......................... 3</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">3 Campo di applicazione del regolamento </Reference>
................................................................................................
<Reference xml:lang="IT-IT">... 3</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">4 Definizioni </Reference>
................................................................................................................................
<Reference xml:lang="IT-IT">.................. 3</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">5 Utilizzo della rete </Reference>
................................................................................................................................
<Reference xml:lang="IT-IT">....... 4</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">5.1 accesso alla rete </Reference>
................................................................................................
<Reference xml:lang="IT-IT">............................... 4</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">5.2 cosa non è consentito fare </Reference>
................................................................................................
<Reference xml:lang="IT-IT">............... 5</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">6 Utilizzo delle infrastrutture informatiche </Reference>
................................................................................................
<Reference xml:lang="IT-IT">.. 6</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">7 Utilizzo del Personal Computer </Reference>
................................................................................................
<Reference xml:lang="IT-IT">................. 7</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">8 Utilizzo di PC portatili</Reference>
................................................................................................................................
<Reference xml:lang="IT-IT">. 7</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">9 Uso della posta elettronica </Reference>
................................................................................................
<Reference xml:lang="IT-IT">........................ 7</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">10 Navigazione in Internet e intranet </Reference>
................................................................................................
<Reference xml:lang="IT-IT">............. 7</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">11 Utilizzo dei telefoni, fax e fotocopiatrici </Reference>
................................................................................................
<Reference xml:lang="IT-IT">.... 8</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">12 Istruzioni in caso di cessazione del rapporto di lavoro o di collaborazione </Reference>
................................
<Reference xml:lang="IT-IT">............... 8</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">13 Misure di sicurezza richieste agli utenti </Reference>
................................................................................................
<Reference xml:lang="IT-IT">..... 9</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">13.1 misure di sicurezza generali </Reference>
................................................................................................
<Reference xml:lang="IT-IT">............. 9</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">13.2 Misure di sicurezza outsourcing</Reference>
................................................................................................
<Reference xml:lang="IT-IT">....... 9</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">13.3 misure specifiche per gli utenti privilegiati (root e administrator) </Reference>
................................
<Reference xml:lang="IT-IT">.................. 9</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">14 Responsabilità dell’utente finale ............................................................................................................. 10</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">14.1 UTILIZZO DI STRUMENTI E DISPOSITIVI PERSONALI IN LAVORO AGILE .............................................. 10</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">15 Attività di Controllo ................................................................................................................................. 11</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">16 Sanzioni .................................................................................................................................................... 12</Reference>
</TOCI>
<TOCI xml:lang="IT-IT">
<Reference xml:lang="IT-IT">17 Aggiornamento e revisione...................................................................................................................... 12</Reference>
</TOCI>
<TOCI xml:lang="IT-IT"> </TOCI>
</TOC>
<P xml:lang="IT-IT"> </P>
<H1 id="LinkTarget_467" xml:lang="IT-IT">PREMESSA </H1>
<P xml:lang="IT-IT">I sistemi informatici e la rete telematica sono strumenti fondamentali per la missione dell’Istituto e rappresentano un sostanziale investimento di risorse sia in termini umani che finanziari. I fattori di crescita e di evoluzione della “Information Technology”, con particolare riguardo allo sviluppo di applicazioni geograficamente distribuite, all’interazione tra sistemi informativi attraverso reti di comunicazione sempre più veloci e capillari, all’utilizzo di dispositivi mobili (smartphone, tablet, GPS…), impongono una rigorosa attenzione agli aspetti legati alla sicurezza informatica. </P>
<P xml:lang="IT-IT">Premesso quindi che l’utilizzo delle risorse informatiche e telematiche così come l’utilizzo degli strumenti di lavoro, deve sempre ispirarsi ai principi di diligenza, correttezza, liceità e funzionalità, comportamenti che normalmente si adottano nell’ambito di un rapporto di lavoro (artt. 2104 e 2105 del Codice civile), l’ISTI ha adottato un Regolamento interno diretto ad evitare che comportamenti inconsapevoli possano innescare problemi o minacce alla sicurezza nel trattamento dei dati. </P>
<P xml:lang="IT-IT">Il presente Regolamento, se correttamente applicato e fatto rispettare, può risultare anche un efficace strumento per limitare il rischio di insorgenza della responsabilità amministrativa a carico dell’ente, prevista dal DL.gs. n. 231/2001: si ricorda infatti che, alla luce di tale normativa, il datore di lavoro può essere soggetto all’applicazione di gravi sanzioni nel caso di commissione da parte di un dipendente di specifici reati, compreso il trattamento illecito dei dati personali, anche se commessi tramite l’utilizzo di internet, dai quali l’azienda stessa ne abbia tratto un vantaggio, seppur in modo indiretto. </P>
<P xml:lang="IT-IT">Il presente Regolamento costituisce parte integrante del “REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO DATI DELL’ISTI”, in cui sono delineate le misure di sicurezza organizzative, fisiche e logiche adottate per le operazioni di trattamento dati personali all’interno della struttura, ai sensi del “Regolamento europeo in materia di protezione dei dati personali” - GDPR 2016/679. </P>
<H1 id="LinkTarget_472" xml:lang="IT-IT">1 QUADRO NORMATIVO </H1>
<P xml:lang="IT-IT">Di seguito sono riportate le principali fonti normative utilizzate per l’elaborazione del documento: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">• Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 ("GDPR"); </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Decreto legislativo 10 agosto 2018, n. 101, “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016”; </LBody>
</LI>
<LI>
<LBody xml:lang="EN-US">• Opinion 2/2017 del cd. "Article 29 Data Protection Working Party" dell'8 giugno 2017, "on data processing at work"; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Provvedimento del Garante del 1° marzo 2007, “Lavoro: le linee guida del Garante per posta elettronica e Internet”, pubblicato in Gazzetta Ufficiale n. 58 del 10 marzo 2007; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Provvedimento del Garante del 27 novembre 2008“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, pubblicato in Gazzetta Ufficiale n. 300 del 24 dicembre 2008; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Legge 20 maggio 1970, n. 300 “Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell’attività sindacale, nei luoghi di lavoro e norme sul collocamento” ("Statuto dei Lavoratori"); </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Legge 22 aprile 1941 n. 633 "Protezione del diritto d'autore e di altri diritti connessi al suo esercizio" (di seguito anche solo "Legge sul Diritto d'Autore"); </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Decreto Legislativo 10 febbraio 2005, n. 30 (di seguito anche solo "Codice della proprietà industriale"); </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• I vigenti Contratto Collettivo Nazionale di Lavoro e Contratto Collettivo Decentrato Integrativo. </LBody>
</LI>
</L>
<H1 id="LinkTarget_408" xml:lang="IT-IT">2 ENTRATA IN VIGORE DEL REGOLAMENTO E PUBBLICITÀ </H1>
<P xml:lang="IT-IT">Il presente Regolamento, che verrà pubblicato nella Intranet del sito di Istituto, sostituisce quello precedentemente adottato ed entra in vigore in data 16 novembre 2020. </P>
<P xml:lang="IT-IT">Il personale ISTI verrà debitamente informato via email del rilascio del documento corrente o di sue versioni successive. </P>
<H1 id="LinkTarget_411" xml:lang="IT-IT">3 CAMPO DI APPLICAZIONE DEL REGOLAMENTO </H1>
<P xml:lang="IT-IT">Il presente regolamento si applica a tutti gli utenti dell’ISTI, ovvero personale dipendente, assegnisti di ricerca, contrattisti, dottorandi, laureandi, stagisti, tirocinanti, associati, ecc. autorizzati all’uso delle risorse telematiche per svolgere i compiti loro assegnati. </P>
<H1 id="LinkTarget_413" xml:lang="IT-IT">4 DEFINIZIONI </H1>
<P xml:lang="IT-IT">Definiamo, ai fini del presente regolamento, quali sono i beni informatici patrimonio dell’Istituto e oggetto della sicurezza informatica. </P>
<P xml:lang="IT-IT">Risorse tecnologiche </P>
<P xml:lang="IT-IT">A- le risorse hardware: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">• Sistemi personali (desktop computer, portatili, tablet, smartphone) </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Sistemi Comuni/condivisi (workstation, desktop computer di laboratorio) </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Server per infrastrutture orientate ai servizi </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Server per infrastrutture orientate al calcolo </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Server per storage </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Supporti elettronici per il mantenimento dei dati </LBody>
</LI>
</L>
<P xml:lang="IT-IT">B- le risorse di rete: </P>
<L>
<LI>
<LBody xml:lang="EN-US">• Dispositivi di rete (switch, router, firewall, access point wifi) </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Dispositivi di comunicazione remota (sistemi audio/videoconferenza) </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Infrastruttura di rete “wired & wireless” </LBody>
</LI>
</L>
<P xml:lang="IT-IT">C- le risorse software: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">• Programmi software (applicativi) acquistati </LBody>
</LI>
<LI>
<LBody xml:lang="EN-US">• Programmi software "open source / freeware" </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Programmi software prodotti internamente </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Sistemi operativi (acquistati/open source) </LBody>
</LI>
</L>
<P xml:lang="IT-IT"> </P>
<P xml:lang="IT-IT">Informazioni elettroniche </P>
<P xml:lang="IT-IT">D- i dati/oggetti disponibili su supporto elettronico acquistati e/o prodotti: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">• Dati personali comuni </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Dati personali sensibili / particolari/ giudiziari </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Dati amministrativi </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Dati classificati secondo il livello di segretezza:
<L>
<LI>
<LBody xml:lang="IT-IT">o Confidenziale </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">o Riservato </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">o Segreto </LBody>
</LI>
</L>
</LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• Dati soggetti a Copyright. </LBody>
</LI>
</L>
<P xml:lang="IT-IT">E- Informazioni ottenibili mediante accesso a: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">• banche dati digitali a pagamento e/o libere o sistemi informativi esterni pubblici e/o privati </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• sistemi informativi interni pubblici e/o privati </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• cataloghi pubblici e/o privati </LBody>
</LI>
</L>
<P xml:lang="IT-IT">Ai fini del presente regolamento, definiamo inoltre: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">• "Infrastruttura informatica" (anche "infrastruttura IT") l'insieme delle risorse hardware, software e di rete necessarie al funzionamento di servizi e soluzioni informatiche. Componenti tipici sono sistemi operativi, software applicativi, database, server, storage dati, router e switch, i datacenter. Tali componenti possono essere anche virtualizzati e/o distribuiti su cloud privati e pubblici; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• "Applicazione" servizio reso e/o ottenuto coordinando risorse dell'infrastruttura informatica. </LBody>
</LI>
</L>
<H1 id="LinkTarget_383" xml:lang="IT-IT">5 UTILIZZO DELLA RETE </H1>
<P xml:lang="IT-IT">La rete locale di Istituto (isti.cnr.it), integrata nella rete di Area della Ricerca di Pisa, fa parte della Rete Italiana dell'Università e della Ricerca Scientifica, denominata comunemente "Rete GARR". L'accesso alla rete GARR, attraverso la quale viene concesso il collegamento a Internet, è condizionato all'accettazione integrale delle norme contenute nel documento "
<Link xml:lang="IT-IT">Acceptable Use Policy"</Link>
(AUP/GARR), che regolamentano l'utilizzo di tale rete per tutti gli utenti GARR. La politica di sicurezza di Istituto non può prescindere da tali norme che tutti gli utenti devono seguire obbligatoriamente. </P>
<H2 id="LinkTarget_384" xml:lang="IT-IT">5.1 ACCESSO ALLA RETE </H2>
<P xml:lang="IT-IT">La connessione alla rete è consentita a tutti i sistemi di Istituto, previa registrazione del sistema stesso sul server di dominio dell’ISTI (DNS isti.cnr.it) e ottenimento di un univoco indirizzo IP “pubblico”. </P>
<P xml:lang="IT-IT">Per ogni Laboratorio o Servizio è nominato un “Referente di rete”. </P>
<P xml:lang="IT-IT">Il Referente di rete è colui che, su delega del Responsabile del Laboratorio o del Servizio, coordina ed amministra le necessità telematiche del gruppo di lavoro di cui è referente. </P>
<P xml:lang="IT-IT">Ogni modifica che riguarda la configurazione e l’accesso alla rete di qualsiasi sistema o apparato deve essere concordata con il referente di rete del laboratorio e da questo con il “Servizio Infrastruttura informatica ISTI e Supporto ai Servizi” (di seguito indicato come Servizio S2I2S). </P>
<P xml:lang="IT-IT">Ad ogni sistema (per convenzione) è assegnato un profilo che lo classifica come: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">- Sistema personale (non condiviso con altri soggetti e che non eroga servizi accessibili ad altri) </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">- Sistema condiviso/multi-utente </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">- Sistema con servizi Intranet </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">- Sistema con servizi Internet </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">- Sistema per il trattamento dati personali </LBody>
</LI>
</L>
<P xml:lang="IT-IT">I sistemi che erogano servizi e/o richiedono di rimanere accesi ed accessibili via rete al di fuori del normale orario di lavoro, nel fine settimana e nei giorni festivi, devono essere protetti dall’accesso diretto (via consolle) e dall’accesso remoto (via rete) da password (username/password). Per tali sistemi deve inoltre essere predisposto (a cura dell’amministratore di sistema designato) un documento di “Intervento di Emergenza” che riporti l’insieme delle procedure minime di intervento da parte degli incaricati alle emergenze di turno (ovvero personale del servizio di reperibilità interno). </P>
<P xml:lang="IT-IT">I sistemi utilizzati per il “trattamento dati personali” richiedono adeguate misure di sicurezza e vincoli di riservatezza, in particolare riguardo ai dati sensibili, nel rispetto dei principi stabiliti all’art. 5 del GDPR, ovvero: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">− liceità, correttezza e trasparenza </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">− limitazione della finalità </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">− minimizzazione dei dati </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">− esattezza </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">− limitazione della conservazione </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">− integrità e riservatezza </LBody>
</LI>
</L>
<P xml:lang="IT-IT">Ogni sistema connesso alla rete è affidato ad un utente finale, e/o ad un amministratore
<Link>1</Link>
che si assume la responsabilità della sua gestione ed utilizzo. </P>
<Footnote>
<P xml:lang="IT-IT">1 </P>
<P xml:lang="IT-IT">In assenza di definizioni normative e tecniche condivise, “nell'ambito del provvedimento del Garante, l'amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi SOFTWARE complessi quali i sistemi ERP (ENTERPRISE RESOURCE PLANNING) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”. (
<Link xml:lang="IT-IT">Provvedimento del Garante 27 novembre 2008)</Link>
</P>
</Footnote>
<P xml:lang="IT-IT">Per i sistemi multi-utente, l’amministratore può rilasciare degli “account” personali, con accesso limitato alle funzionalità che risultano necessarie all’espletamento del proprio incarico, ad altri utenti che, a loro volta, si assumono la responsabilità dell’utilizzo del proprio “account”, in particolare per quanto riguarda il contenuto dei dati conservati, il materiale prodotto ed eventualmente diffuso attraverso la rete. </P>
<H2 id="LinkTarget_348" xml:lang="IT-IT">5.2 COSA NON È CONSENTITO FARE </H2>
<P xml:lang="IT-IT">Si richiamano le norme stabilite nel documento “Acceptable Use Policy della rete GARR” URL:
<Link xml:lang="IT-IT">https://www.garr.it/it/regole-di-utilizzo-della-rete-aup</Link>
che al punto 3/4 citano: </P>
<P xml:lang="IT-IT">Sulla rete GARR non sono ammesse le seguenti attività: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">• fornire a soggetti non autorizzati all'accesso alla rete GARR il servizio di connettività di rete o altri servizi che la includono, quali la fornitura di servizi di housing, di hosting e simili, nonché permettere il transito di dati e/o informazioni sulla rete GARR tra due soggetti entrambi non autorizzati all'accesso sulla rete GARR (third party routing); </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• utilizzare servizi o risorse di rete, collegare apparecchiature o servizi o software alla rete, diffondere virus, hoaxes o altri programmi in un modo che danneggi, molesti o perturbi le attività di altre persone, utenti o i servizi disponibili sulla rete GARR e su quelle ad essa collegate; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• creare o trasmettere (se non per scopi di ricerca o comunque propriamente in modo controllato e legale) qualunque immagine, dato o altro materiale offensivo, diffamatorio, osceno, indecente, o che attenti alla dignità umana, specialmente se riguardante il sesso, l’etnia, il credo religioso o politico; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• trasmettere materiale commerciale e/o pubblicitario non richiesto ("spamming"), nonché permettere che le proprie risorse siano utilizzate da terzi per questa attività; danneggiare, distruggere, cercare di accedere senza autorizzazione ai dati o violare la riservatezza di altri utenti, compresa l’intercettazione o la diffusione di parole di accesso (password) e chiavi crittografiche riservate; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• svolgere sulla rete GARR ogni altra attività vietata dalla Legge dello Stato, dalla normativa Internazionale, nonché dai regolamenti e dalle consuetudini ("Netiquette") di utilizzo delle reti e dei servizi di rete acceduti. </LBody>
</LI>
</L>
<P xml:lang="IT-IT">La responsabilità del contenuto dei materiali prodotti e diffusi attraverso la rete è delle persone che li producono e li diffondono. </P>
<P xml:lang="IT-IT">È inoltre vietato: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">• configurare, da parte di singoli utenti, servizi già messi a disposizione dell’Istituto in modo centralizzato, quali: DNS (Domain Name Service), DHCP (Dynamic Host Configuration Protocol), SMTP server-relay, accesso remoto, modemdial-in/out; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• effettuare operazioni di routing, bridging, tunneling che non siano state preventivamente concordate e validate dal Servizio S2I2S; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• intercettare pacchetti sulla rete, utilizzare sniffer o software analoghi, eccetto per scopi legati al debug e risoluzione di problemi sul funzionamento di servizi distribuiti, dopo aver opportunamente avvisato il Servizio S2I2S. La violazione di questa norma (intercettazione di pacchetti) può comportare la violazione di alcune disposizioni di legge che regolamentano la trasmissione elettronica dei dati e quindi costituire un reato (L. n. 547/’93). </LBody>
</LI>
</L>
<H1 id="LinkTarget_310" xml:lang="IT-IT">6 UTILIZZO DELLE INFRASTRUTTURE INFORMATICHE </H1>
<P xml:lang="IT-IT">L'infrastruttura informatica garantisce livelli di affidabilità, sicurezza, automazione ed efficienza e fornisce strumenti e risorse utilizzati per lo sviluppo di applicazioni e servizi destinati sia agli utenti dell'istituto che a comunità esterne oppure servizi pubblici. </P>
<P xml:lang="IT-IT">L'accesso ai servizi deve avvenire attraverso un account personale riconosciuto e autorizzato dall'istituto. L'infrastruttura dell'istituto offre una soluzione di identity management agli utenti dell'ISTI e ad eventuali servizi che ne facciano richiesta. </P>
<P xml:lang="IT-IT">Ogni utente è responsabile delle credenziali e dell'attività del proprio account. Qualsiasi conoscenza o sospetto di violazione dell'account deve essere comunicata al più presto ai responsabili dei servizi accessibili con quell'utenza. </P>
<P xml:lang="IT-IT">Qualora vengano rilevate attività illecite o comportamenti pericolosi da parte dell'utenza verrà bloccato l'accesso alle risorse dal gestore del servizio. </P>
<H1 id="LinkTarget_286" xml:lang="IT-IT">7 UTILIZZO DEL PERSONAL COMPUTER </H1>
<P xml:lang="IT-IT">Il PC affidato all’utente è uno strumento di lavoro di proprietà dell’Ente. L’utente è tenuto ad evitare qualsiasi attività che potrebbe contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. Inoltre, il PC deve essere custodito con cura evitando ogni possibile forma di danneggiamento. </P>
<H1 id="LinkTarget_288" xml:lang="IT-IT">8 UTILIZZO DI PC PORTATILI </H1>
<P xml:lang="IT-IT">L'utente è responsabile del PC portatile assegnatogli dall’Istituto e deve custodirlo con diligenza sia durante gli spostamenti sia durante l'utilizzo nel luogo di lavoro. </P>
<P xml:lang="IT-IT">Ai PC portatili si applicano le stesse regole di utilizzo previste per il PC desktop, con particolare attenzione alla rimozione di eventuali file elaborati prima della riconsegna. </P>
<H1 id="LinkTarget_291" xml:lang="IT-IT">9 USO DELLA POSTA ELETTRONICA </H1>
<P xml:lang="IT-IT">La casella di posta elettronica assegnata all'utente è uno strumento di lavoro. L'accesso al sistema di posta elettronica è gestito attraverso l'uso di un account personale rilasciato dall'Istituto. Lo stesso account può essere abilitato per l'accesso a servizi diversi. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse. </P>
<P xml:lang="IT-IT">Per le applicazioni e gli apparati che richiedono un'interazione tramite la posta elettronica (per spedire o ricevere o spedire/ricevere) devono essere richiesti e assegnati dal gestore del sistema di posta elettronica degli speciali account che verranno associati ad un utente fisico (probabilmente lo stesso che si occupa del servizio gestito da quell'applicazione) che sarà responsabile per il loro utilizzo. </P>
<P xml:lang="IT-IT">È fatto divieto di utilizzare le caselle di posta elettronica denominate
<Link xml:lang="IT-IT">nomeservizio@isti.cnr.it</Link>
o
<Link xml:lang="IT-IT">nomeufficio@isti.cnr.it</Link>
per motivi diversi da quelli strettamente legati all'attività lavorativa. </P>
<P xml:lang="IT-IT">Nel caso si ricevano messaggi di 'spam' o di 'phishing' evitarne assolutamente la diffusione verso altri indirizzi email, evitare di aprire allegati o seguire link contenuti in tali messaggi e, quando si ritenga importante, segnalare la presenza di tali messaggi ai gestori del Servizio S2I2S. </P>
<P xml:lang="IT-IT">La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti. </P>
<P xml:lang="IT-IT">In generale le comunicazioni ufficiali, da inviarsi mediante gli strumenti tradizionali (fax, posta, …), devono essere autorizzate e firmate dal Direttore e/o dai Responsabili di ufficio, a seconda del loro contenuto e dei destinatari delle stesse. </P>
<P xml:lang="IT-IT">È obbligatorio porre la massima attenzione nell’aprire i file allegati alla posta elettronica prima del loro utilizzo (non eseguire download di file eseguibili o documenti da siti Web o Ftp non conosciuti). </P>
<H1 id="LinkTarget_298" xml:lang="IT-IT">10 NAVIGAZIONE IN INTERNET E INTRANET </H1>
<P xml:lang="IT-IT">L'assegnazione di un IP 'pubblico' sulla rete di Istituto permette la navigazione anche sulla rete internet attraverso un firewall dell'intera Area della Ricerca gestito da uno specifico servizio dell'Istituto di Informatica e Telematica (IIT-CNR). </P>
<P xml:lang="IT-IT">L'accesso a servizi riservati e alla intranet di Istituto è gestito attraverso l'uso dell'account istituzionale, lo stesso utilizzato anche per la posta elettronica. Tale account può essere abilitato selettivamente per accedere ad alcuni servizi piuttosto che ad altri, tali abilitazioni vengono stabilite dalla direzione dell'Istituto e gestite dal Servizio S2I2S, anche attraverso l'eventuale delega ai referenti di rete. </P>
<P xml:lang="IT-IT">L'account istituzionale permette inoltre l'autenticazione e l'accesso alla rete WiFI Eduroam, presente presso il nostro Istituto come presso tutti gli enti universitari e di ricerca nazionali e internazionali associati a questa iniziativa di roaming di rete. </P>
<P xml:lang="IT-IT">Altre reti Wifi utilizzabili in Istituto hanno meccanismi di accesso che prevedono comunque il riconoscimento di specifiche credenziali dell'utente. </P>
<H1 id="LinkTarget_272" xml:lang="IT-IT">11 UTILIZZO DEI TELEFONI, FAX E FOTOCOPIATRICI </H1>
<P xml:lang="IT-IT">I telefoni presenti negli uffici e negli ambienti condivisi, così come i dispositivi fax, sono strumenti di lavoro e dovrebbero essere utilizzati per motivi personali sono nei casi di effettiva necessità. Eventuali utenze di telefonia mobile concesse dall'Istituto ai dipendenti possono essere utilizzate anche per fini personali solo nel caso in cui vi sia un preventivo accordo con la Direzione e vengano utilizzati meccanismi atti alla separazione del traffico personale da quello di lavoro. </P>
<P xml:lang="IT-IT">Nel caso dell'uso di stampanti multifunzione che fanno accesso in rete per la spedizione e condivisione dei documenti stampati o acquisiti tramite scansione grafica si rimanda a quando scritto sull'uso della rete e della posta elettronica. </P>
<P xml:lang="IT-IT">Allo stesso modo per quanto riguarda l'utilizzo di applicazioni che fanno accesso ai server email e alla rete wireless dell'Istituto da apparati di telefonia mobile (smartphone) si rimanda ai paragrafi sull'accesso alla rete e all'uso della posta elettronica. </P>
<P xml:lang="IT-IT">L'utente è infine responsabile di eventuali telefoni cellulari e smartphone che gli vengano assegnati dall'Istituto, per le cui regole di utilizzo si rimanda a quelle dei pc portatili. </P>
<H1 id="LinkTarget_277" xml:lang="IT-IT">12 ISTRUZIONI IN CASO DI CESSAZIONE DEL RAPPORTO DI LAVORO O DI COLLABORAZIONE </H1>
<P xml:lang="IT-IT">In caso di cessazione del rapporto di lavoro o di collaborazione con l’Istituto e in tutti i casi in cui vengono meno le motivazioni che avevano determinato la necessità di mantenere l’assegnazione degli strumenti di lavoro successivamente alla cessazione del suddetto rapporto, i destinatari di tali strumenti dovranno restituirli avendo cura di eliminare preventivamente tutti i propri eventuali dati personali riferiti o riferibili al destinatario medesimo, nonché le eventuali informazioni e comunicazioni personali non attinenti l’attività lavorativa svolta che gli stessi abbiano eventualmente archiviato, avendo cura di richiedere l'archiviazione su supporti gestiti dall'Istituto della documentazione inerente l’attività lavorativa che si ritiene debba essere conservata. </P>
<P xml:lang="IT-IT">Anche la casella di posta elettronica, unitamente alle credenziali di autenticazione per l’accesso alla rete e agli altri servizi dell'Istituto o dell'ente viene disattivata al momento della conclusione del rapporto di lavoro o di collaborazione, che ne giustificava l’assegnazione. La Direzione si riserva, tuttavia, di valutare caso per caso, la necessità di mantenere attiva in ricezione la casella per un congruo periodo di tempo. </P>
<P xml:lang="IT-IT"> </P>
<H1 id="LinkTarget_235" xml:lang="IT-IT">13 MISURE DI SICUREZZA RICHIESTE AGLI UTENTI </H1>
<H2 xml:lang="IT-IT">13.1 MISURE DI SICUREZZA GENERALI </H2>
<P xml:lang="IT-IT">Ogni utente è tenuto a: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">• segnalare ogni sospetto di possibile intrusione e ogni altra “stranezza” nel funzionamento del proprio sistema al referente di rete del proprio laboratorio o al Servizio S2I2S; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• non comunicare e rendere note le proprie password di accesso né concedere ad altri l'uso del proprio account, del quale l’utente è pienamente responsabile; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• non utilizzare la propria password per/da connessioni remote non sicure; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• utilizzare programmi antivirus e a provvederne regolarmente all'aggiornamento; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• controllare sempre i documenti allegati alla posta prima di utilizzarli; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• chiudere eventuali collegamenti remoti e impedire l'accesso alla console terminando la sessione corrente quando un computer rimane inutilizzato; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• utilizzare con cautela programmi gratuiti (o shareware) prelevati da siti Internet (non noti) o in allegato a riviste o libri; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• utilizzare con cautela programmi di tipo Peer-to-Peer; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• utilizzare (per gli utenti che possono accedere alle risorse di calcolo remote) connessioni sicure quali SSH, SCP, SFTP, preferibilmente tramite accesso con chiavi ssh asimmetriche (vietato l'accesso via TELNET, evitare ove possibile FTP); </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• sottoporre a scansione “antivirus” i dati provenienti da dispositivi mobili quali “pen drive” (o similari); </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• eseguire il back-up periodico dei propri dati; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">• verificare periodicamente la correttezza delle procedure di recupero da “back-up”. </LBody>
</LI>
</L>
<P xml:lang="IT-IT">Ogni utente in generale, è tenuto a svolgere, a conoscere e rispettare tutte le norme di sicurezza in vigore. In particolare deve farsi identificare e autenticare ove richiesto. </P>
<H2 id="LinkTarget_251" xml:lang="IT-IT">13.2 MISURE DI SICUREZZA OUTSOURCING </H2>
<P xml:lang="IT-IT">Nel caso la gestione del sistema sicurezza (o di alcune fasi di esso) siano affidate a terzi, dovranno essere adottate idonee clausole contrattuali volte a formalizzare l’attribuzione delle relative responsabilità con riguardo alle attività di trattamento dati. Inoltre, in caso di trasferimento dati in un paese terzo (extra ue), occorre assicurarsi che quest'ultimo assicuri un livello di protezione dei dati adeguato ai sensi dell'art. 45 e s.s del GDPR). </P>
<H2 id="LinkTarget_253" xml:lang="IT-IT">13.3 MISURE SPECIFICHE PER GLI UTENTI PRIVILEGIATI (ROOT E ADMINISTRATOR) </H2>
<P xml:lang="IT-IT">Gli utenti privilegiati devono prestare particolare attenzione a utilizzare la propria autorità con moderazione e responsabilmente, limitare altri accessi privilegiati al proprio sistema, evitare di collegarsi come root dall'esterno della rete isti.cnr.it, utilizzare l'accesso ordinario per accedere ai propri file personali, limitando l'accesso privilegiato ad operazioni di amministrazione del sistema, utilizzare l'accesso ordinario e il comando “su” (UNIX) per avere l'accesso privilegiato. </P>
<P xml:lang="IT-IT">Gli utenti privilegiati sono tenuti a informarsi regolarmente riguardo le “patch” di sicurezza e gli aggiornamenti relativi al sistema operativo che gestiscono, a scegliere le proprie password con particolare attenzione, evitando di ri-utilizzare la stessa per diversi account e a cambiarla periodicamente; </P>
<P xml:lang="IT-IT">Gli utenti privilegiati sono inoltre tenuti a monitorare il proprio sistema tenendo sotto osservazione in particolare i seguenti aspetti: tentativi di accesso falliti, accessi come utente privilegiato, programmi con il bit setuid, file rhosts, modifiche ai file di sistema, password troppo facili, /var/adm/messages o equivalenti, activity log file (history o equivalenti). </P>
<H1 id="LinkTarget_215" xml:lang="IT-IT">14 RESPONSABILITÀ DELL’UTENTE FINALE </H1>
<P xml:lang="IT-IT">L'accesso alle risorse di rete dell’utente (finale/amministratore) è personale e non può essere condiviso o ceduto. Inoltre l’utente è tenuto a: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">1 proteggere il proprio account mediante l’uso di “password” sicure; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">2 rispondere del software installato sul computer che deve risultare regolarmente “licenziato” (si deve disporre di una regolare licenza d’uso) o “libero” (non protetto dal diritto d’autore); </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">3 segnalare immediatamente ogni sospetto di effrazione, incidente, abuso o violazione della sicurezza ai propri referenti di rete. </LBody>
</LI>
</L>
<P xml:lang="IT-IT">Si precisa, che l’inosservanza della disposizione di cui al punto 2 espone l’Ente a gravi responsabilità civili, in quanto, le violazioni della normativa a tutela dei diritti d’autore sul software, che vieta la copia e l’istallazione abusiva del software protetto da copyright, vengono sanzionate anche penalmente. </P>
<P xml:lang="IT-IT">L’utente finale è responsabile dei dispositivi assegnati dall’Istituto. L'eventuale perdita o sottrazione dei suddetti dispositivi costituisce una forma di “data breach”, ovvero di violazione dei dati personali. Inoltre, potrebbe costituire un rischio elevato la conoscibilità a terzi non autorizzati dei dati personali in essi contenuti. Pertanto, per buona norma, i dati riservati non dovrebbero essere archiviati su tali dispositivi, bensì su supporti gestiti localmente dall’Istituto. </P>
<P xml:lang="IT-IT">In caso di data breach, gli utenti sono tenuti a seguire le “Linee guida sulle procedure di gestione della violazione dei dati personali (data breach)” emanate per l’Istituto e disponibili nella intranet di Istituto. </P>
<P xml:lang="IT-IT">Gli utenti sono tenuti inoltre a rispettare oltre alle normative di riferimento: </P>
<L>
<LI>
<LBody xml:lang="IT-IT">− le Regole deontologiche e di buona condotta per chi svolge attività scientifica e statistica; </LBody>
</LI>
<LI>
<LBody xml:lang="IT-IT">− le Circolari, emanate all’interno dell’Istituto in materia di protezione dei dati personali, riguardanti le attività gestionali-amministrative e le attività scientifiche. </LBody>
</LI>
</L>
<P xml:lang="IT-IT">La suddetta documentazione è disponibile nella intranet di Istituto. </P>
<P xml:lang="IT-IT">Per ulteriori approfondimenti in materia di protezione dei dati personali e misure di sicurezza, è possibile consultare il sito
<Link xml:lang="IT-IT">https://stepnews.isti.cnr.it/</Link>
</P>
<H2 id="LinkTarget_227" xml:lang="IT-IT">14.1 UTILIZZO DI STRUMENTI E DISPOSITIVI PERSONALI IN LAVORO AGILE </H2>
<P xml:lang="IT-IT">in conformità alla legge n. 81 del 2017, contenente le “misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato”, agid, a seguito della “versione semplificata” del lavoro agile introdotta con il dpcm del 4 marzo 2020, ha predisposto un piccolo vademecum, per aiutare i dipendenti pubblici a utilizzare in maniera sicura pc, tablet e smartphone personali quando lavorano da casa, basato sulle misure minime di sicurezza informatica per le pubbliche amministrazioni fissate dalla circolare 17 marzo 2017. il documento completo è disponibile nel sito
<Link xml:lang="IT-IT">HTTPS://WWW.AGID.GOV.IT/</Link>
</P>
<P xml:lang="IT-IT"> </P>
<Figure Alt="Immagine che contiene il vadecum per lavorare online in sicurezza ">
<ImageData src="immagini/RegISTI_img_2.jpg"/>
</Figure>
<H1 id="LinkTarget_198" xml:lang="IT-IT">15 ATTIVITÀ DI CONTROLLO </H1>
<P xml:lang="IT-IT">Per garantire la sicurezza, il personale preventivamente autorizzato dal Direttore può svolgere attività di monitoraggio e analisi del traffico di rete (con strumenti di “Intrusion Detection”, port scan o altri strumenti), soprattutto in caso di incidente informatico e/o intrusione da parte di terzi. </P>
<P xml:lang="IT-IT">La Direzione, tramite gli amministratori di sistema, si riserva il diritto di accedere a qualunque risorsa di calcolo per compiti di monitoraggio, controllo e/o aggiornamento, ai fini della sicurezza del sistema e della rete, nel rispetto della presente politica di gestione e in conformità alle norme vigenti in materia di protezione dei dati personali, nel rispetto dei principi stabiliti nell’art. 5 del GDPR 2016/676. </P>
<P xml:lang="IT-IT">Il personale autorizzato, tramite gli amministratori di sistema, può in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosa per la Sicurezza sia sui PC del personale dipendente, sia sulle unità di rete (in conformità alle policy AUP/GARR). In caso di anomalie, verranno effettuati controlli anonimi che si concluderanno con avvisi generalizzati diretti ai dipendenti dell’area di lavoro interessata o del settore in cui è stata rilevata l’anomalia, nei quali si evidenzierà l’utilizzo irregolare degli strumenti di proprietà dell’Ente e si inviteranno gli interessati ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite </P>
<P xml:lang="IT-IT">Controlli su base individuale potranno essere compiuti solo in caso di successive ulteriori anomalie, a meno che non sia evidente l’autore dell’illecito. </P>
<P xml:lang="IT-IT">Nel caso di rilevazione di attività illecite o pericolose o se è richiesto dalle autorità di controllo, la Direzione, tramite gli amministratori di sistema, può disabilitare account o interrompere l'accesso alla rete di dispositivi, impedendo così l'accesso alle risorse dell'Istituto (compresa la posta elettronica). </P>
<P xml:lang="IT-IT">In nessun caso verranno compiuti controlli prolungati, costanti o indiscriminati. </P>
<P xml:lang="IT-IT"> </P>
<H1 id="LinkTarget_187" xml:lang="IT-IT">16 SANZIONI </H1>
<P xml:lang="IT-IT">È fatto obbligo a tutti gli utenti di osservare le disposizioni portate a conoscenza con il presente Regolamento. </P>
<P xml:lang="IT-IT">Il mancato rispetto o la violazione delle regole sopra ricordate è perseguibile nei confronti del personale dipendente con provvedimenti disciplinari e risarcitori previsti dal vigente CCNL, nonché con tutte le azioni civili e penali consentite. </P>
<H1 id="LinkTarget_190" xml:lang="IT-IT">17 AGGIORNAMENTO E REVISIONE </H1>
<P xml:lang="IT-IT">Il presente Regolamento potrà essere soggetto a revisione periodica. </P>
<P xml:lang="IT-IT">data </P>
<P xml:lang="IT-IT">La Direzione </P>
<P xml:lang="IT-IT"> </P>
<P xml:lang="IT-IT">Il presente documento è stato redatto a cura del Gruppo di lavoro - Supporto Ufficio Gestione Privacy - </P>
<P xml:lang="IT-IT"> </P>
<P xml:lang="IT-IT"> </P>
<Figure>
<ImageData src="immagini/RegISTI_img_3.jpg"/>
</Figure>
</Sect>
</TaggedPDF-doc>