|
Ministero della giustizia - Decreto 24 maggio 2001
Regole procedurali relative alla tenuta dei registri
informatizzati dell'amministrazione della giustizia
(G.U. 5 giugno 2001, n. 128)
Il Ministro della Giustizia
Vista la legge 2 dicembre 1991, n. 399, recante "Delegificazione delle
norme concernenti i registri che devono essere tenuti presso gli uffici
giudiziari e l'amministrazione penitenziaria";
Visto il decreto legislativo 12 febbraio 1993, n. 39, recante "Norme in
materia di sistemi informativi automatizzati delle amministrazioni pubbliche, ai
sensi dell'art. 2, comma 1, lettera mm), della legge 23 ottobre 1992, n.
421";
Visto il decreto del Presidente della Repubblica 28 ottobre 1994, n. 748,
recante il regolamento sulle modalità applicative del decreto legislativo 12
febbraio 1993, n. 39, in relazione all'amministrazione della giustizia;
Visto l'art. 15, comma 2, della legge 15 marzo 1997, n. 59, sulla validità
ed efficacia degli atti e documenti formati con strumenti informatici e
telematici;
Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445,
recante il testo unico delle disposizioni legislative e regolamentari in materia
di documentazione amministrativa;
Visto il decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999,
pubblicato nella Gazzetta Ufficiale del 15 aprile 1999, n. 87, avente per
oggetto le regole tecniche per la formazione, la trasmissione, la conservazione,
la duplicazione, la riproduzione e la validazione, anche temporale, dei
documenti informatici;
Visto il decreto del Ministro della giustizia 27 marzo 2000, n. 264,
pubblicato nella Gazzetta Ufficiale del 26 settembre 2000, n. 225, recante il
regolamento sulla tenuta dei registri presso gli uffici giudiziari;
Visto l'art. 1, comma 1, lettera f), del citato decreto n. 264 del 2000, che
prevede l'emanazione di regole procedurali;
Visto il parere reso dall'autorità per l'informatica nella pubblica
amministrazione in data 24 aprile 2001;
Consultato il Garante per la protezione dei dati personali;
Decreta:
Art. 1.
1. Il presente decreto stabilisce le regole procedurali di cui all'art. 1,
comma 1, lettera f), del decreto ministeriale 27 marzo 2000, n. 264, relative ai
registri informatizzati tenuti, a cura delle cancellerie o delle segreterie,
presso gli uffici giudiziari, ovvero ai registri previsti da codici, da leggi
speciali o da regolamenti, comunque connessi all'espletamento delle attribuzioni
e dei servizi svolti dall'amministrazione della giustizia.
2. Per le modalità di tenuta informatizzata dei registri e per la
sottoscrizione con firma digitale dei documenti informatici si tiene conto anche
delle regole tecniche emanate ai sensi del decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445.
3. Le regole procedurali di cui al comma 1 sono riportate nell'allegato al
presente decreto.
REGOLE PROCEDURALI PER LA TENUTA DEI REGISTRI INFORMATIZZATI
DEGLI UFFICI
CAPO I
Definizioni e principi generali
Art. 1. Sistema informativo
1. Il sistema informativo è definito come l'insieme delle risorse umane,
delle regole organizzative, delle risorse hardware e software (applicazioni e
dati), dei locali e della documentazione (sia in formato cartaceo, sia
elettronico) che, nel loro complesso, consentono di acquisire, memorizzare,
elaborare, scambiare e trasmettere informazioni inerenti i registri
informatizzati degli uffici.
2. Ai fini delle presenti regole procedurali assumono rilevanza particolare
le seguenti componenti del sistema informativo:
a) il sottosistema delle risorse umane, cioè le persone che gestiscono e
utilizzano il sistema;
b) il sottosistema dell'infrastruttura logistica, costituito dai locali in
cui sono localizzati i sottosistemi di cui alle lettere seguenti;
c) il sottosistema delle postazioni di lavoro, costituito dagli apparati
hardware, dal software di base (sistemi operativi) e dal software di accesso
alle basi di dati;
d) il sottosistema applicativo, costituito dal software sviluppato
specificamente per l'informatizzazione degli uffici nonché dagli apparati
hardware, dal software di base (sistemi operativi) e dal software di gestione
delle basi di dati;
e) il sottosistema dei dati, costituito dall'insieme delle basi di dati e dei
file in cui sono conservati i documenti di pertinenza dell'ufficio;
f) il sottosistema di connessione interna o rete locale, costituito
dall'hardware e dal software utilizzati per la connessione delle postazioni di
lavoro (cablaggio, apparati di rete attivi e passivi, software di gestione rete,
ecc.);
g) il sottosistema di connessione con l'esterno, costituito dall'hardware e
dal software utilizzati per la connessione della rete locale con il mondo
esterno (firewall, router, modem, linea, ecc.);
h) il sottosistema dei servizi di rete, costituito dall'hardware e dal
software che tramite la rete realizzano funzioni tese a facilitare lo
svolgimento di operazioni comuni o ripetitive tra utenti e utenti, tra utenti e
applicazioni nonché tra applicazioni ed applicazioni (DHCP, DNS, E-MAIL, DMZ,
SICAP, ecc.).
3. Le componenti dedicate esclusivamente all'ufficio, specificate al comma 2,
lettere c), d), e), insieme con le relative quote di pertinenza dei sottosistemi
delle risorse umane e dell'infrastruttura logistica, costituiscono il sistema
informativo dell'ufficio.
4. Le risorse condivise, specificate al comma 2, lettere f), g), h), insieme
con le relative quote di pertinenza dei sottosistemi delle risorse umane e
dell'infrastruttura logistica, costituiscono il sistema informativo di edificio.
Art. 2. Caratteristiche del sistema informativo
1. Il sistema informativo soddisfa le seguenti proprietà:
a) disponibilità: le informazioni ed i servizi sono a disposizione degli
utenti del sistema, compatibilmente con i livelli di servizio prestabiliti;
b) integrità: le informazioni ed i servizi possono essere creati, modificati
o cancellati solo dalle persone autorizzate e secondo modalità predefinite;
c) autenticità: la provenienza dei dati è garantita e asseverata;
d) controllo degli accessi: le informazioni possono essere fruite solo ed
esclusivamente dalle persone autorizzate a compiere tale operazione.
Art. 3. Responsabile della tenuta dei registri
1. Il dirigente amministrativo dell'ufficio è il responsabile della tenuta
dei registri e provvede alla stesura del piano della sicurezza di cui al
successivo art. 7, secondo le indicazioni dell'ufficio del responsabile per i
sistemi informativi automatizzati (di seguito URSIA), vigilando sulla sua
applicazione.
Art. 4. Amministratore di sistema
1. L'amministratore di sistema assicura la conduzione operativa del sistema
informativo, effettuando tutte le operazioni necessarie a garantire le
proprietà di cui all'art. 2.
2. I compiti dell'amministratore di sistema sono svolti da una o più figure
professionali del settore della professionalità informatica a seconda delle
dimensioni degli uffici e del numero degli edifici.
3. Un unico soggetto può svolgere tali funzioni per più uffici o per più
edifici.
4. L'URSIA provvede a designare i soggetti di cui ai commi 2 e 3 del presente
articolo e, qualora riguardi un ufficio giudiziario appartenente ad un
distretto, lo individua fra gli esperti informatici del competente coordinamento
dei sistemi informativi automatizzati (di seguito CISIA); nel caso in cui non
siano disponibili tali risorse, si ricorre a tecnici informatici esterni.
5. Nel caso siano stati individuati più soggetti per lo svolgimento delle
funzioni di amministratore di sistema, l'URSIA designa il coordinatore.
Art. 5. Utenti interni ed esterni
1. L'insieme degli utenti interni è costituito dal personale dell'ufficio
abilitato all'accesso al sistema informativo.
2. Gli utenti interni operano secondo le prescrizioni indicate, nel capo V e
nel manuale per l'utente di cui all'art. 22, comma 2.
3. L'insieme degli utenti esterni è costituito dai soggetti, non
appartenenti al personale dell'ufficio stesso, i quali sono abilitati da norme
di legge e di regolamento all'utilizzo dei servizi telematici dell'ufficio .
CAPO II
Misure di tipo organizzativo
Art. 6. Identificazione delle componenti del sistema
informativo
1. è cura del responsabile della tenuta dei registri, con l'ausilio
dell'amministratore di sistema, produrre e mantenere aggiornato un dettagliato
inventario di tutti gli elementi facenti parte del sistema informativo di sua
competenza.
2. Nel caso di più uffici nello stesso edificio i capi degli uffici
interessati indicheranno il responsabile della tenuta dei registri che dovrà
curare l'inventario delle risorse condivise.
3. L'inventario di cui al comma 1 è aggiornato ogni qualvolta si verifica
una variazione qualsiasi nel sistema informativo dell'ufficio o dell'edificio e
la sua corrispondenza con la situazione reale è verificata con cadenza almeno
trimestrale. In ogni caso, l'inventario è gestito in modo tale da risultare
sempre aggiornato e corrispondente alla situazione reale.
Art. 7. Piano per la sicurezza del sistema
informativo dell'ufficio e dell'edificio
1. Il responsabile della tenuta dei registri, con la collaborazione
dell'amministratore di sistema, provvede alla stesura e all'aggiornamento
periodico di un piano per la sicurezza del sistema informativo dell'ufficio,
secondo gli standard definiti dall'URSIA.
2. Nel caso di più uffici che condividano lo stesso edificio, il piano per
la sicurezza è stilato con la collaborazione, per quanto di competenza, dei
responsabili della tenuta dei registri dei singoli uffici.
3. Il piano per la sicurezza contiene almeno le seguenti informazioni:
a) inventario delle risorse, di cui all'art. 6;
b) misure adottate per la protezione fisica delle aree e dei locali
interessati, di cui al capo III;
c) misure adottate per il controllo degli accessi, di cui agli articoli 8, 13
e 17;
d) misure di monitoraggio del sistema, di cui all'art. 9;
e) misure adottate per garantire l'integrità e la disponibilità dei dati,
di cui all'art. 10;
f) misure adottate per garantire la continuità degli applicativi relativi ai
registri informatizzati nel caso in cui si verifichi un mal funzionamento dei
server interessati;
g) piano di adeguamento degli applicativi, di cui all'art. 19, comma 9;
h) la frequenza e le modalità delle procedure di archiviazione ottica e di
copia storica dei dati, coerentemente con le indicazioni di cui all'art. 12 del
decreto del Ministro della giustizia 27 marzo 2000, n. 264.
4. Il piano per la sicurezza contiene indicazioni circa la necessità di
avere impianti ridondati e con elevata tolleranza ai guasti.
5. Il piano per la sicurezza prevede misure conformi, per quanto attiene al
trattamento dei dati personali, a quanto prescritto dal regolamento di cui
all'art. 15, comma 2, della legge 31 dicembre 1996, n. 675.
6. La vigilanza sulla predisposizione e sull'applicazione dei piani di
sicurezza è esercitata dai capi degli uffici, secondo le rispettive competenze,
avvalendosi anche di un esperto informatico designato dall'URSIA.
Art. 8. Politica di gestione degli accessi
1. Ai sensi dell'art. 5 del decreto del Ministro della giustizia 27 marzo
2000, n. 264 la procedura di autenticazione consente di ottenere uno specifico
insieme di privilegi di accesso ed utilizzo, denominato profilo, rispetto alle
risorse del sistema informatico.
2. Attraverso la procedura di autenticazione si individua un insieme di
gruppi di utenti a livello di sistema, a livello di database management system
ed a livello di applicativo. A ciascun gruppo di utenti è associato uno ed un
solo profilo mentre a ciascun utente può essere assegnato uno o più profili.
3. A livello di sistema deve essere definito almeno un gruppo per ciascuna
delle figure previste dagli articoli 3, 4 e 5 delle presenti regole procedurali.
In corrispondenza di ciascun gruppo è definito un profilo tale da assegnare a
ciascun utente appartenente al gruppo solo ed esclusivamente i privilegi di
accesso ed utilizzo strettamente necessari per l'espletamento delle attività di
propria competenza.
4. Per ciascuna base di dati sono definiti almeno un gruppo amministratori ed
un gruppo utenti a livello di database management system. In corrispondenza di
ciascun gruppo è definito un profilo tale da assegnare a ciascun utente
appartenente al gruppo solo ed esclusivamente i privilegi di accesso ed utilizzo
delle risorse gestite tramite il database management system strettamente
necessari per l'espletamento delle attività di propria competenza.
5. Per ciascun applicativo è definito almeno un gruppo per ciascuna delle
diverse tipologie di utenza previste da ogni specifico applicativo.
6. La definizione di gruppi aggiuntivi può essere decisa dal capo
dell'ufficio.
Art. 9. Monitoraggio del sistema
1. Tutte le attività relative all'utilizzo e alla gestione del sistema
informativo sono sottoposte ad un processo continuo di controllo e verifica
della loro corretta e completa esecuzione. Tale processo trova attuazione
innanzitutto attraverso l'utilizzo di appositi strumenti di controllo a livello
di sistema, di database management system e di applicativo.
2. Il sistema consente le seguenti misure minime di monitoraggio a garanzia
dell'autenticità e integrità dei dati:
a) la registrazione di tutti i tentativi di accesso effettuati, riusciti o
falliti, a livello di sistema, di database management system e di applicativo;
b) gli accessi in lettura e scrittura effettuati direttamente attraverso il
database management system;
c) tutti gli accessi in lettura e scrittura.
3. è cura dell'amministratore di sistema controllare periodicamente le
registrazioni di cui al comma 3, lettere a) e b), allo scopo di rilevare
eventuali anomalie e conservare le registrazioni dei log provvedendo alla
trascrizione settimanale su supporti non riscrivibili da conservare unitamente
ai backup dei registri.
Art. 10. Disponibilità dei dati
1. Presso ciascun ufficio sono previste idonee politiche e procedure per il
salvataggio (backup) e per il recupero (recovery) dei dati, sia a livello di
sistema, sia a livello di database management system.
2. Nell'ambito delle politiche di cui al comma 1 è prevista la frequenza del
salvataggio dei dati che non può essere superiore alla settimana.
3. Le procedure di backup consentono di conservare i dati per il tempo
previsto dal decreto del Presidente della Repubblica 30 settembre 1963, n. 1409
e mediante l'utilizzo di supporti non riscrivibili, rinnovati a scadenze
prestabilite e secondo le regole tecniche emanate dall'autorità per
l'informatica nella pubblica amministrazione a norma dell'art. 6, comma 2, del
decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.
4. Le procedure di backup consentono di effettuare, con frequenza almeno
triennale, una copia storica dei dati, che dovrà essere conservata secondo le
modalità di cui al comma 3. Eseguita tale operazione, dal registro in uso
possono essere eliminati i dati relativi agli affari esauriti da almeno due
anni.
CAPO III
Misure di tipo fisico e logico
Art. 11. Infrastruttura logistica
1. Le macchine server sono collocate in un apposito locale (sala server),
dotato di impianto elettrico ed impianto di condizionamento opportunamente
dimensionati e adeguatamente protetto dai rischi di incendio e allagamento.
2. L'accesso alla sala server è consentito sotto la responsabilità
dell'amministratore di sistema.
3. Tutti i server sono asserviti a gruppi di continuità.
4. I supporti di backup sono custoditi in armadi blindati e ignifughi, posti
in locali diversi dalla sala server.
Art. 12. Software
1. Presso l'ufficio è possibile installare ed utilizzare esclusivamente
software appartenente ad una delle tre seguenti categorie:
a) software commerciale;
b) applicativi di rilevanza nazionale;
c) applicativi realizzati a livello locale.
2. L'installazione di software diverso da quello indicato alle lettere a) e
b) del comma 1 è autorizzata dal capo dell'ufficio nel rispetto di quanto
previsto dall'art. 18, commi 4 e 5.
3. è possibile installare ed utilizzare software commerciale solo se munito
di idonea licenza d'uso, ovvero se fornito, nell'ambito di accordi-quadro a
livello nazionale, dall'URSIA.
4. Relativamente agli applicativi realizzati a livello locale è possibile
installare ed utilizzare solo quelli dei quali sia stata verificata la
conformità secondo le procedure di cui all'art. 18.
5. Il software è installato solo ed esclusivamente a partire da supporti
fisici originali, ovvero da supporti fisici per i quali sia nota e sicura la
provenienza.
Art. 13. Dati
1. Gli archivi informatici sono gestiti tramite software per la gestione di
basi di dati (database management system).
2. Il piano per la sicurezza indica una strategia di adeguamento degli
eventuali software diversi da quello indicato al comma 1.
3. L'accesso ai dati degli archivi informatici avviene solo ed esclusivamente
per il tramite degli applicativi appartenenti al sottosistema applicativo, fatta
eccezione per gli amministratori delle basi di dati relative all'archivio
stesso, per i quali vale quanto prescritto dal comma 4.
4. L'accesso ai dati degli archivi informatici, da parte degli amministratori
di basi di dati, avviene solo ed esclusivamente per il tramite degli strumenti
messi a disposizione dal relativo database management system. Tutte le
operazioni effettuate, da parte degli amministratori delle basi di dati sono
soggette a registrazione, secondo quanto previsto all'art. 9, comma 1, lettera
a). Le registrazioni di tali operazioni sono salvate su supporto fisico
contestualmente alle ordinarie operazioni di backup e conservate per un periodo
non inferiore a due anni.
Art. 14. Gestione delle utenze
1. L'amministratore di sistema e i suoi collaboratori, ciascuno per quanto di
competenza, effettuano le seguenti operazioni:
a) creazione delle utenze e dei gruppi, secondo quanto previsto agli articoli
8 e 19;
b) assegnazione di nome utente e parola chiave a ciascun utente;
c) mantenimento di un elenco completo dei gruppi e delle utenze. Per ciascun
gruppo sono indicati almeno l'identificativo, la data di creazione, la lista dei
privilegi e l'eventuale data di disabilitazione; per ciascun gruppo sono
indicati almeno il nome e il cognome, i gruppi di appartenenza, la data di
creazione e la data di disabilitazione.
2. Le utenze non possono essere cancellate, ma solo disabilitate.
3. Le politiche per l'aggiornamento delle parole chiave sono definite nel
piano per la sicurezza.
Art. 15. Backup e recovery
1. Nel piano per la sicurezza vengono individuati i dati da sottoporre a
backup, nonché le modalità e la frequenza della procedura.
2. I dati oggetto di backup sono classificati in dati di sistema (necessari
per il corretto funzionamento del sistema operativo, del software di base, del
database management system, delle applicazioni installate, ecc.) e dati utente
(documenti, fogli elettronici, archivi di posta elettronica, ecc.).
3. L'amministratore di sistema mette a disposizione di ciascun utente
un'opportuna quota di spazio su disco disponibile per il backup dei dati utente.
L'accesso a ciascuna quota è tale da consentire l'accesso in lettura e
scrittura solo ed esclusivamente all'utente proprietario e l'accesso in sola
lettura all'amministratore di sistema. è cura di ciascun utente provvedere a
copiare sulla propria quota di spazio i file che desidera sottoporre a backup.
4. L'amministratore di sistema, secondo quanto indicato nel piano per la
sicurezza:
a) garantisce l'effettiva messa in opera delle procedure di backup;
b) verifica l'avvenuta esecuzione dei backup;
c) mantiene un elenco delle operazioni di backup effettuate;
d) archivia i supporti fisici;
e) effettua, in caso di mal funzionamento, le procedure di recovery;
f) effettua verifiche periodiche delle procedure di recovery, secondo quanto
disposto dal piano per la sicurezza;
g) mantiene un elenco dei problemi verificatisi e delle operazioni di
recovery effettuate.
Art. 16. Archiviazione ottica
1. Il sistema informatico è dotato di almeno un sistema per la scrittura di
supporti ottici, le cui caratteristiche siano conformi alle regole tecniche
emanate dall'autorità per l'informatica nella pubblica amministrazione a norma
dell'art. 6, comma 2, del decreto del Presidente della Repubblica n. 445, del
2000.
2. Le applicazioni consentono l'archiviazione dei documenti in almeno uno dei
formati indicati nelle regole tecniche di cui al comma 1.
3. Il sistema di archiviazione consente la generazione dei file di controllo
e di chiusura, secondo le regole tecniche di cui al comma 1.
4. L'amministratore di sistema ottempera agli obblighi stabiliti dalle regole
tecniche di cui al comma 1.
Art. 17. Antivirus
1. L'URSIA provvede alla distribuzione periodica a tutti gli uffici di un
software antivirus e al suo costante aggiornamento.
2. Il piano per la sicurezza stabilisce le modalità di aggiornamento del
software antivirus sulle postazioni di lavoro.
CAPO IV
Misure relative agli applicativi
Art. 18. Utilizzo degli applicativi
1. Per la gestione informatizzata dei registri è possibile utilizzare
applicativi di rilevanza nazionale o applicativi realizzati a livello locale.
2. Gli applicativi di rilevanza nazionale sono rilasciati dall'URSIA, che ne
certifica la conformità ai sensi dell'art. 3 del decreto del Ministro della
giustizia 27 marzo 2000, n. 264.
3. Nessuna modifica o personalizzazione di applicativi di rilevanza nazionale
è consentita da parte di soggetti diversi dall'URSIA.
4. Gli applicativi realizzati nell'ambito di iniziative locali sono conformi
alle regole tecniche ed alle presenti regole procedurali.
5. La conformità dei programmi alle caratteristiche previste nel presente
capo viene certificata dall'URSIA.
Art. 19. Caratteristiche degli applicativi
1. Gli applicativi di cui all'art. 12, comma 1, lettere b) e c), sono
sviluppati da società dotate di certificato di qualità EN ISO 9001, relativo
ai servizi di sviluppo di prodotti software (CPV 77207721-7723).
2. Gli applicativi che gestiscono i registri consentono l'estrazione e la
stampa dei dati, ai sensi dell'art. 6, comma 3, del decreto del Ministro della
giustizia 27 marzo 2000, n. 264.
3. L'applicativo consente, come misura minima relativa all'autenticazione
degli utenti, l'accesso ai dati con un meccanismo di autenticazione basato sulla
conoscenza di una coppia (username, password).
4. L'autenticazione di cui al comma 3 è effettuata tramite un meccanismo a
sfida che non richieda il transito della password sulla rete.
5. L'autenticazione può essere effettuata una sola volta al momento
dell'accesso al sistema informatico, oppure essere ripetuta al momento
dell'accesso a ciascun programma.
6. L'applicativo fornisce un meccanismo di gestione degli accessi che
consente di applicare quanto disposto dagli articoli 8 e 14.
7. L'accesso agli archivi informatici da parte degli utenti è consentito
solo ed esclusivamente tramite le componenti del sottosistema applicativo.
8. L'accesso alle basi di dati da parte degli amministratori di basi di dati
è consentito solo ed esclusivamente tramite l'utilizzo degli opportuni
strumenti software di amministrazione.
9. Il piano per la sicurezza indica una strategia di adeguamento degli
applicativi che non soddisfino i requisiti di cui ai precedenti commi.
Art. 20. Documentazione
1. L'applicativo è accompagnato da apposita documentazione di utilizzo,
costituita da un manuale di amministrazione ed un manuale di utilizzo, e
disponibile sia in forma cartacea che in forma elettronica.
2. La documentazione elettronica soddisfa i seguenti requisiti:
a) essere consultabile con modalità del tutto compatibili con quelle
disponibili nel sistema operativo utilizzato;
b) consentire una navigazione ipertestuale rispetto a termini e argomenti
chiave;
c) permettere di effettuare ricerche per sommario, indice e testo libero;
d) rendere disponibile una modalità di consultazione dipendente dal
contesto, in modo tale da attivare le pagine relative all'argomento
corrispondente alla funzionalità correntemente utilizzata.
3. Il manuale di amministrazione contiene almeno le seguenti informazioni:
a) requisiti hardware e software;
b) procedura di installazione;
c) gestione dei gruppi e degli utenti;
d) procedure operative;
e) procedure di aggiornamento;
f) procedure di backup e recovery;
g) gestione dei mal funzionamenti.
4. Il manuale di utilizzo contiene almeno le seguenti informazioni:
a) descrizione generale dell'applicativo;
b) descrizione della procedura di accesso e di uscita dall'applicativo;
c) modalità di utilizzo;
d) elenco di tutte le funzionalità;
e) elenco dei possibili messaggi di errore e guida alla risoluzione dei
problemi;
f) glossario dei termini.
5. Per ciascuna funzionalità di cui al comma 4, lettera d), il manuale di
utilizzo contiene le seguenti informazioni:
a) finalità della funzione;
b) modalità di accesso;
c) prerequisiti per l'utilizzo;
d) descrizione delle maschere che compaiono sul video;
e) dati richiesti dall'applicativo per l'esecuzione.
6. L'applicativo è corredato dal codice sorgente e da tutta la
documentazione tecnica, sia in formato elettronico che cartaceo, prodotta
durante l'intero ciclo di vita del software, coerentemente con le norme di
qualità di cui all'art. 19, comma 1.
Art. 21. Servizi accessori
1. L'applicativo è corredato da idoneo servizio di manutenzione correttiva
ed evolutiva, nonché da idoneo servizio di assistenza tecnica.
CAPO V
Comportamento dell'utente
Art. 22. Manuale per l'utente
1. L'utente del sistema informativo dell'ufficio è tenuto ad osservare
comportamenti atti a ridurre al minimo i rischi di perdita, danneggiamento o
diffusione non autorizzata dei dati a garanzia della integrità e autenticità
degli stessi.
2. I comportamenti di cui al comma 1 sono descritti negli articoli 23, 24, 25
mentre i comportamenti di maggior dettaglio sono riportati in un apposito
manuale per l'utente, da stilare, a cura dell'amministratore di sistema, sulla
base delle presenti regole procedurali e del piano per la sicurezza.
Art. 23. Regole di tipo fisico
1. L'utente è tenuto, ove sia possibile, a chiudere a chiave la porta del
proprio ufficio e a tenere sotto chiave i propri documenti, indipendentemente
dal supporto fisico utilizzato.
2. L'utente è tenuto, allontanandosi momentaneamente dalla postazione di
lavoro, a chiudere le applicazioni attive o a proteggerla tramite password del
salvaschermo.
3. L'utente è tenuto, al termine della giornata di lavoro, a spegnere la
postazione.
4. L'utente è tenuto ad assicurarsi dell'identità e delle autorizzazioni di
personale che debba installare il nuovo software o hardware sulla propria
postazione di lavoro.
5. L'utente è tenuto a non utilizzare, su postazioni di lavoro collegate
alla rete locale dell'ufficio, modem o altri strumenti di connessione con
l'esterno.
Art. 24. Regole di tipo logico
1. L'utente è tenuto a non installare sulla propria postazione di lavoro
alcun programma non preventivamente autorizzato dal capo dell'ufficio.
2. L'utente può, qualora lo reputi necessario, configurare o richiedere la
configurazione della propria postazione di lavoro in modo che venga richiesta
una password all'accensione.
3. Il capo dell'ufficio può assegnare all'utente un programma per la
cifratura dei dati sul disco rigido, su motivata richiesta scritta di
quest'ultimo o per espresse esigenze di ufficio.
4. L'amministratore di sistema, su incarico del responsabile della tenuta dei
registri, stabilisce le procedure di utilizzo dei programmi di cui al comma 3.
5. L'utente che utilizzi, per le proprie necessità di lavoro, un computer
portatile:
a) risponde personalmente dei dati sul portatile in dotazione;
b) è motivato a effettuare la richiesta di cui al comma 3;
c) può richiedere all'amministratore di sistema l'assegnazione di una quota
disco, di cui all'art. 15, comma 3, per il backup dei dati del portatile;
6. L'utente è tenuto a non diffondere messaggi di posta elettronica di
provenienza dubbia ed a non partecipare alle cosiddette "catene di S.
Antonio" o simili.
Art. 25. Gestione delle password
1. L'utente è tenuto:
a) a non rivelare a terzi la propria password;
b) a non scrivere la password in punti facilmente visibili;
c) a digitare la password al riparo da sguardi indiscreti.
2. L'utente sceglie la propria password:
a) diversa dal proprio username;
b) non costituita da una semplice parola rintracciabile in un dizionario;
c) non legata alla propria vita personale;
d) con una lunghezza non inferiore a sei caratteri;
e) contenente almeno un simbolo diverso da una lettera, oppure un misto di
lettere maiuscole e minuscole.
3. La password è cambiata con frequenza almeno annuale.
4. L'amministratore di sistema ha facoltà di stabilire una frequenza di
cambio della password superiore a quanto stabilito nel comma 3, nonché di
configurare il sistema e gli applicativi in modo da forzare l'utente al cambio
allo scadere del termine fissato.
CAPO VI
Disposizioni finali
Art. 26. Tempi di attuazione
1. I tempi di attuazione delle presenti regole procedurali sono i seguenti,
con decorrenza dalla data della loro pubblicazione:
a) entro sei mesi è preparato il piano di adeguamento degli applicativi di
cui all'art. 19, comma 9;
b) entro dodici mesi è completata la prima versione del piano per la
sicurezza di cui all'art. 7;
c) entro diciotto mesi sono adottate presso l'ufficio tutte le prescrizioni
relative all'infrastruttura tecnologica di cui al capo III e all'infrastruttura
logistica di cui al capo IV;
d) entro tre anni, tutti gli applicativi in uso sono adeguati alle
prescrizioni del capo IV e dell'art. 16.
|
Pagina stampabile
