Disciplinare per l’uso dei sistemi informativi nell’Unione Reno Galliera e nei comuni aderenti

Disciplinare per l’uso dei sistemi informativi nell’Unione Reno Galliera e nei comuni aderenti

.

Parte I – Aspetti generali e comportamentali 2

Art. 1 - Finalità del presente documento 2

Art. 2 - Ambito di applicabilità 2

Art. 3 - Definizioni 2

Art. 4 - Sicurezza fisica dei locali 3

Art. 5 - Accesso e utilizzo delle postazioni di lavoro 4

Art. 6 - Accesso dall’esterno 4

Art. 7 - Utilizzo delle postazioni di lavoro 4

Art. 8 - Utilizzo di dispositivi mobili 5

Art. 9 - Utilizzo del software 5

Art. 10 - Assegnazione delle caselle di Posta elettronica 5

Art. 11 - Utilizzo e gestione della posta elettronica 6

Art. 12 - Navigazione internet 6

Art. 13 - Utilizzo di applicazioni internet 7

Art. 14 - Attività di supporto del servizio informatico 7

Art. 15 - Attività di supporto di software house e fornitori esterni 7

Art. 16 - Accesso ai dati e alle risorse di rete 8

Art. 17 - Gestione dei registri degli accessi 8

Art. 18 - Tutela della Privacy 8

Parte II – Aspetti organizzativi ed economici 8

Art. 19 - Architettura complessiva dei sistemi informativi 8

Art. 20 - Acquisizione di nuovi sistemi informativi 9

Art. 21 - Comitato Servizio Informatico Associato 9

Parte III - Disposizioni finali e transitorie 10

Art. 22 - Strumenti di gestione delle richieste informatiche 10

Art. 23 - Membri del Comitato SIA 10

Art. 24 - Modalità di diffusione del presente documento 10

Art. 25 - Disposizioni transitorie sugli acquisti informatici 10

Parte I – Aspetti generali e comportamentali

Art. 1 - Finalità del presente documento

Il presente documento intende fornire indicazioni tecniche ed organizzative da applicare per garantire la sicurezza dei dati trattati con strumentazioni informatiche e permettere una crescita tecnologica ed organizzativa dei sistemi informativi dei Comuni dell’Unione Reno Galliera in un’ottica di omogeneità tecnologica e di sviluppo al fine di estendere l’uso delle tecnologie sia nell’organizzazione degli enti che nel rapporto con cittadini, professionisti e imprese.

A causa dell’interconnettività e dell’interdipendenza fra le componenti di un sistema informativo, i problemi di sicurezza su una postazione o su un punto della rete si propagano e incidono sul funzionamento di tutto il sistema.

Art. 2 - Ambito di applicabilità

L’ambito di applicabilità è esteso a tutti i soggetti che utilizzano postazioni di lavoro e operano sui dati e sulle informazioni contenute in elaboratori elettronici: dipendenti, collaboratori, amministratori, imprese che hanno rapporti contrattuali con l’Ente o altri soggetti che ne abbiano titolo.

Quanto riportato nel disciplinare non esaurisce tutte le prescrizioni contenute nelle vigenti normative civili e penali.

Art. 3 - Definizioni

Di seguito vengono fornite alcune definizioni per rendere più comprensibile il documento.

Sistema Informativo: per sistema informativo si intende il complesso di strumentazioni hardware e sistemi software.

Servizio Informatico Associato (di seguito SIA): l’organizzazione all’interno dell’Unione Reno Galliera che, in base alle vigente convenzione, gestisce la funzione informatica dei Comuni dell’Unione.

Comitato SIA: è il tavolo, costituito ai sensi della Convenzione vigente, al quale partecipa un rappresentante per ogni comune. I membri del Comitato SIA mantengono i rapporti di comunicazione tra SIA e Comuni.

Referente del Comune: è il rappresentante del Comune nel comitato che cura i rapporti tra il Comune e il SIA. Di solito è una figura apicale del suo comune e nell’attività di comunicazione può essere supportato da altro dipendente con funzioni operative.

Rete sovracomunale interna (o rete interna): è la rete informatica accessibile dai locali dei Comuni e dell’Unione.

Rete esterna: la rete pubblica a cui si accedono ordinariamente cittadini, imprese e professionisti, in sostanza la rete Internet.

Firewall: sono i dispositivi fisici o logici che separano la rete esterna da quella interna ai fini di proteggere la rete interna.

Utilizzatori dei sistemi informativi: sono i dipendenti, i collaboratori stabili (stagisti, borse lavoro, contratti di lavoro temporaneo per un periodo superiore ai 2 mesi), gli amministratori (Sindaci e Assessori), i Consiglieri. Gli utilizzatori accedono con profili diversi al sistema in base alle funzioni svolte sia di tipo tecnico che politico.

Utilizzatori occasionali: sono soggetti che accedono occasionalmente alla rete interna, quali ad esempio fornitori.

Operatori del servizio informatico: sono i tecnici del servizio informatico che con profili diversi svolgono le funzioni di amministratore dei sistemi informatici: rete, server, database, ecc.

Postazione di lavoro (o postazione client): il computer fisso o mobile utilizzato per l’attività lavorativa. Postazione di lavoro virtuale: computer a cui non è associabile in modo diretto un sistema hardware accessibile fisicamente all’utilizzatore; la postazione di lavoro virtuale viene utilizzata solitamente con un collegamento di una postazione fisica e ha le stesse funzionalità della postazione di lavoro ordinaria.

Server: il computer utilizzato per fornire servizi a più utilizzatori della rete interna. Non prevede di solito la connessione diretta degli utilizzatori come avviene per le postazioni di lavoro fisiche o virtuali.

Art. 4 - Sicurezza fisica dei locali

L’accesso ai locali e alle postazioni di lavoro è riservato agli utilizzatori in base alle funzioni loro assegnate. L’accesso di personale esterno (quale ad esempio fornitori dell’Ente), che per necessità dovesse utilizzare in modo estemporaneo la postazione di lavoro dovrà essere concordato e autorizzato dal Servizio Informatico Associato ed avviene sotto la responsabilità dell’utilizzatore interno che ne richiede l’intervento.

Art. 5 - Accesso e utilizzo delle postazioni di lavoro

L’accesso alle postazioni di lavoro di lavoro avviene con account (credenziale) personale e nominativa. La parte riservata delle credenziali di accesso (password, pin o altro) viene modificata periodicamente in base alle disposizioni della normativa vigente. E’ fatto divieto di cedere i propri identificativi personali segreti a soggetti terzi.

Le postazioni di lavoro fornite sono fornite dall’Ente (comune di competenza o Unione). Gli utilizzatori non possono attivare postazioni di lavoro di proprietà nella rete interna, salvo specifica autorizzazione del Servizio Informatico Associato.

L’abilitazione alla rete interna permette l’utilizzo di tutte le postazioni di lavoro fisiche o virtuali. Le autorizzazioni sono assegnate agli utenti e non alle postazioni che sono tendenzialmente intercambiabili.

Art. 6 - Accesso dall’esterno

L’accesso dall’esterno alle applicazioni e ai dati avviene di norma con le stesse credenziali utilizzate per l’interno. L’accesso dall’esterno non è automatico, ma avviene a seguito di specifica abilitazione. Per gli amministratori, i dirigenti e i responsabili apicali l’abilitazione avviene a seguito di richiesta scritta da parte dell’interessato. Per i dipendenti che non abbiano funzioni apicali l’accesso avviene a seguito di richiesta scritta da parte del dirigente o del responsabile apicale dell’area di riferimento.

L’accesso dall’esterno può avvenire con postazioni di lavoro fornite dall’ente ovvero con postazioni di lavoro di proprietà dell’utilizzatore; in tal caso questi è tenuto a mantenere la postazione di lavoro nelle condizioni minime di sicurezza quale l’installazione di un antivirus.

Art. 7 - Utilizzo delle postazioni di lavoro

La proprietà delle postazioni di lavoro è dell’Amministrazione (Comune o Unione) e l’utilizzo è consentito unicamente per i fini lavorativi e istituzionali inerenti l’utilizzatore.

L’utilizzatore non vanta sulla postazione di lavoro alcun diritto sulla postazione e non può memorizzarvi dati personali che non abbiano attinenza con l’attività lavorativa o istituzionale, salvo specifica autorizzazione del SIA in accordo con la direzione dell’Amministrazione.

Gli utilizzatori salvano i dati nelle unità di rete, in quanto non è garantito il salvataggio dei dati memorizzati sulla postazione di lavoro locale. Specifiche politiche di salvataggio dei dati potranno

essere attuate per operatori che utilizzano le postazioni di lavoro mobili in accordo con il servizio informatico.

Alla fine della sessione di lavoro gli utilizzatori, di norma, spengono la postazione oppure effettuano la semplice disconnessione dalla rete, lasciando acceso il computer, nel caso siano necessari collegamenti remoti successivi.

In caso di momentaneo abbandono della postazioni di lavoro, gli utilizzatori sono tenuti a bloccare la postazione stessa in modo che altri soggetti per accedervi debbano inserire le credenziali.

Art. 8 - Utilizzo di dispositivi mobili

L’utilizzo delle postazioni di lavoro portatili (notebook o netbook) o di dispositivi mobili (smartphone, palmari) richiede maggiori precauzioni rispetto alle postazioni fisse in ordine ai seguenti elementi:

- attenzione rispetto al furto o allo smarrimento delle stesse;

- attenzione rispetto a virus o codici maligni tramite reti wireless;

Le postazioni di lavoro mobili vengono assegnate per esigenze di lavoro specifiche in cui l’utilizzatore ha necessità di frequenti spostamenti. L’assegnazione delle postazioni mobili viene concordata tra la direzione dei singoli comuni e il Servizio Informatico Associato in base alle indicazioni degli organi politici. E’ compito del Servizio Informatico attuare una politica omogenea di assegnazione dei dispositivi portatili, in particolare di quelli acquisiti nel patrimonio dell’Unione.

Art. 9 - Utilizzo del software

Ogni necessità di software sulla postazione di lavoro deve essere comunicata al Servizio Informatico Associato.

L’utilizzo del software avviene nel rispetto del diritto d’autore. Chi richiede l’installazione di un software deve avere acquisito la licenza d’uso ove prevista.

Vige il divieto assoluto di installazione di software da parte degli utilizzatori. Tale attività è riservata agli operatori del servizio informatico che ne verificano preventivamente la compatibilità con i sistemi esistenti. Gli utilizzatori non hanno, di norma, le funzioni di amministratore della macchine che è riservata agli operatori del SIA.

Art. 10 - Assegnazione delle caselle di posta elettronica

I dipendenti e i collaboratori che utilizzano le postazioni di lavoro della rete interna utilizzano una casella di posta elettronica personale o d’ufficio in base ai criteri organizzativi definiti dall’Ente. A tutti i

dipendenti, assessori e consiglieri che ne facciano richiesta può essere fornita una casella di posta elettronica personale. La casella di posta elettronica assegnata, personale o relativa all’ufficio, contiene nella parte relativa al dominio il riferimento all’ente di appartenenza.

L’utilizzo della casella assegnata avviene, di norma, per fini istituzionali. I dipendenti sono tenuti ad utilizzare la posta personale fornita per le comunicazioni con l’Ente preferendola rispetto ad altre caselle fornite da soggetti esterni (ad esempio per le comunicazione con l’ufficio personale).

Art. 11 - Utilizzo e gestione della posta elettronica

Nell’invio della posta elettronica gli utenti devono includere tra i destinatari solo gli indirizzi strettamente necessari e cercare di limitare la diffusione di indirizzi di posta elettronica di colleghi o terzi, in quanto tale operazione favorisce la diffusione dello spamming (mail spazzatura). Per lo stesso motivo e per l’inutile occupazione di spazio sui server sono vietate le cosiddette “Catene di Sant’Xxxxxxx” ovvero l’inoltro a varie persone di messaggi che contengono informazioni apparentemente utili e relative a lodevoli iniziative che si rivelano di solito come bufale.

Il SIA definisce le policy per la conservazione e l’archiviazione dei messaggi di posta elettronica in modo da permetterne la corretta fruizione da parte degli utilizzatori nel rispetto dell’equilibrio complessivo e dimensionamento dei sistemi.

La posta elettronica è un sistema di comunicazione e non di archiviazione delle informazioni, pertanto gli utilizzatori devono, al fine di un migliore utilizzo globale, limitare la crescita della dimensione complessiva della casella.

Il SIA attiva funzioni di controllo antispam e antivirus sui messaggi di posta elettronica sia in entrata che in uscita.o

Art. 12 - Navigazione internet

La navigazione in internet è utile per l’attività lavorativa e a tale fine deve essere, di norma, utilizzata. Il SIA predispone un servizio di filtro dei contenuti (content filtering) finalizzato ad indirizzare la navigazione verso fini istituzionali. Il sistema di content filtering non esaurisce l’elenco dei siti sconsigliati, ma intende solo fornire una indicazione di massima. Si lascia alla responsabilità dei singoli utilizzatori l’individuazione dei siti corretti sui quali navigare.

Art. 13 - Utilizzo di applicazioni internet

È scoraggiato l’utilizzo di programmi ludici e di intrattenimento tramite Internet (giochi, chat, social network e simili) in quanto tali sistemi, a prescindere dall’impatto sull’attività lavorativa, possono diminuire la sicurezza complessiva dei sistemi informativi.

È vietato l’utilizzo di programmi di streaming multimediale tramite internet e in particolare l’ascolto di radio, la visualizzazione di tv digitali, filmati e altri strumenti assimilabili in quanto generano una richiesta dati continua che può intasare la rete dati e il funzionamento complessivo dei sistemi informativi.

Chi avesse necessità di utilizzare tali sistemi per fini istituzionali dovrà concordarne preventivamente l’utilizzo con il SIA.

Art. 14 - Attività di supporto del servizio informatico

Il Servizio informatico effettua, tramite personale proprio o fornitori di fiducia, l’attività di supporto nell’utilizzo dei sistemi informativi. Le richieste di assistenza vengono attivate tramite i seguenti strumenti:

- richieste telefoniche;

- richieste email e fax;

- richieste tramite sistema automatizzato di help desk;

Per effettuare assistenza gli operatori del SIA utilizzano sistemi di accesso e controllo remoto delle postazioni di lavoro. L’accesso remoto alle postazioni di lavoro avviene sempre di comune accordo tra l’utilizzatore della postazione e l’operatore del SIA.

Art. 15 - Attività di supporto di software house e fornitori esterni

I fornitori di software possono fornire assistenza anche tramite collegamenti da remoto secondo le modalità concordate con il SIA. Di norma, il collegamento avviene in modo presidiato a seguito di specifica autorizzazione degli operatori del SIA. Nel caso in cui l’accesso avvenga in modo diretto l’identificazione deve avvenire in modo personalizzato.

Qualora i fornitori o altri soggetti esterni debbano effettuare attività sulle postazioni di lavoro degli utilizzatori o sui server per installazioni e configurazioni, tali attività dovranno essere concordate preventivamente con il SIA.

Art. 16 - Accesso ai dati e alle risorse di rete

Le attivazione di nuovi utenti e le impostazioni per l’accesso ai dati vengono effettuate dal personale del servizio informatico. Tale attività non può mai essere effettuata su iniziativa del SIA, ma sempre a seguito di richiesta scritta da parte del responsabile del settore di riferimento o dal referente del comune (membro del comitato SIA).

L’abilitazione alle applicazioni e l’assegnazione di funzioni all’interno dell’applicazione vengono effettuate, di norma, dall’ufficio responsabile del trattamento a cui l’applicazione si riferisce. Tale attività può essere fatta in via straordinaria dagli operatori del SIA a seguito di specifici accordi al fine di avere una migliore organizzazione complessiva.

I comuni (tramite il referente o altro responsabile) comunica gli utilizzatori che devono essere disabilitate o le cui funzioni devono essere modificate in seguito alla cessazione o mutazione del rapporto lavorativo o istituzionale.

Art. 17 - Gestione dei registri degli accessi

L’accesso ai sistemi, le operazioni di navigazione, l’invio dei messaggi di posta elettronica (non il testo stesso) viene registrato nei log (registri) di sistema. Tali log non sono utilizzati per controllo specifico dagli operatori da parte del SIA, ma possono essere utilizzati per statistiche generali finalizzate al miglior funzionamento complessivo del sistema. I log di sistema sono disponibili per le richieste dell’autorità giudiziaria.

Art. 18 - Tutela della Privacy

Ogni operazione di trattamento dei dati avviene solo rispetto ad archivi attinenti al proprio lavoro nel rispetto della normativa vigente in materia di privacy.

Parte II – Aspetti organizzativi ed economici

Art. 19 - Architettura complessiva dei sistemi informativi

L’architettura tecnologica dei sistemi informativi è definita del servizio informatico associato in base alle indirizzi degli organi politici.

L’Unione Reno Galliera e i comuni associati favoriscono l’utilizzo di formati aperti e, dove tecnicamente possibile e conveniente, la diffusione di sistemi open source e il riuso del software sia tra i comuni dell’Unione che in ambiti territoriali più ampi (ad esempio Provincia, Regione, altre Unioni) L’Unione Reno Galliera e i comuni associati prediligono, quando possibile, l’installazione centralizzata dei software e l’utilizzo di postazioni di lavoro leggere (thin client).

Al fine di razionalizzare i costi e gli spazi, nonché per una migliore organizzazione, sono preferibili stampanti di rete per uffici e gruppi di lavoro omogenei; è sconsigliato l’utilizzo di stampanti direttamente connesse alla postazione di lavoro.

Art. 20 - Acquisizione di nuovi sistemi informativi

Gli investimenti sui nuovi software vengono finanziati in base alle vigenti convenzioni e agli indirizzi della Giunta dell’Unione.

La decisione per l’acquisizione di nuovi software deve essere concordata tra SIA e responsabili dei servizi interessati.

L’acquisizione di nuovi software e hardware deve essere fatta seguendo principi di omogeneizzazione e standardizzazione.

Al fine di mantenere omogeneità e contenere la spesa corrente inerente i contratti di manutenzione, gli acquisti di natura informatica, in particolare quelli che si riferiscono a nuovi software gestionali, sono autorizzati per iscritto dal Responsabile del SIA a seguito di specifica richiesta del Comune interessato che ne evidenzia i vantaggi derivanti dalla sua implementazione. Tale autorizzazione è necessaria anche per i software finanziati dai comuni.

La spesa corrente informatica relativa a canoni di assistenza e manutenzione di software è tendenzialmente in carico all’Unione. Al fine di attuare corrette previsioni di bilancio i comuni comunicano al Responsabile del SIA entro il 15 settembre di ogni anno gli importi dei canoni previsti per l’anno successivo in seguito all’acquisto di nuovi software avvenuta nel corso dell’anno.

Art. 21 - Comitato Servizio Informatico Associato

Il Comitato Servizio Informatico Associato è il tavolo composto dal Responsabile del SIA, da un rappresentante di ogni comune e da un rappresentante dell’Unione oltre al responsabile del SIA. L’obiettivo del Comitato è quello di evidenziare le priorità di sviluppo dei sistemi informativi e monitorare le attività in corso. Il Comitato è quindi la sede naturale per lo scambio di comunicazioni tra

il SIA e i comuni. Il rappresentante del Comune può partecipare direttamente oppure tramite soggetto delegato. Il Comitato viene convocato almeno una volta all’anno dal Responsabile del SIA. Il Comitato può essere convocato anche su richiesta di uno dei componenti.

Parte III - Disposizioni finali e transitorie

Art. 22 - Strumenti di gestione delle richieste informatiche

Nel momento in cui viene approvato il presente documento non è attivo il sistema di attivazione delle richieste tramite software di help desk; le richieste di assistenza vengono attivate solo tramite email, fax, telefono.

Art. 23 - Membri del Comitato SIA

Per l’anno 2010 e salvo diverse successive comunicazioni degli Enti interessati, sono membri del Comitato SIA: Xxxxxxxx Xxxxxxx (Responsabile Servizio Informatico Associato), Xxxxx Xxxxxx Xxxxxx (Comune di Argelato), Xxxxxxxx Xxxxxxxxx (Comune di Bentivoglio), Xxxxxx Xxxxxx (Comune di Castello d’Argile), Xxxxx Xxxxxxx (Comune di Castel Maggiore), Xxxxxxx Xxxxxxxx (Comune di Galliera), Xxxxxxxx Xxxx (Comune di Pieve di Cento), Xxxxxx Xxxxxxxx (Comune di San Giorgio di Piano), Xxxxxxx Xxxxxxxx (Comune di San Xxxxxx in Casale), Nara Xxxxx (Unione Reno Galliera).

Art. 24 - Modalità di diffusione del presente documento

Il presente documento viene portato a conoscenza di tutti gli utilizzatori dei sistemi informativi e viene accompagnata da un vademecum riassuntivo che evidenzia in modo sintetico i punti più rilevanti.

Nel rispetto e nei limiti del presente documento, ulteriori elementi di dettaglio potranno essere emanati dal Responsabile del Servizio Informatico Associato.

Art. 25 - Disposizioni transitorie sugli acquisti informatici

Per l’anno 2010 e fatte salve diverse disposizioni della Giunta dell’Unione sono in vigore I seguenti accordi:

Acquisti di beni e contratti in carico al SIA dell’Unione:

- personal computer;

- stampanti per piccoli gruppi di lavoro;

- software di base (Sistema Operativo) e licenze Office;

- canoni di manutenzione e assistenza per software e hardware;

- software e sistemi da destinare a tutti comuni attinenti a progetti approvati dalla Giunta dell’Unione (esempio WiRega per l’anno 2009, Albo Pretorio per l’anno 2010)

- software e sistemi attinenti a servizi conferiti in Unione.

Acquisti in carico ai comuni:

- materiali di consumo;

- canoni di multifunzione;

- contratti relativi a servizi di telefonia (centralino, linee telefoniche, fax);

- contratti di assistenza per software acquistati dai comuni non concordati e non comunicati al SIA;

- apparati di rete, cablaggi, impianti elettrici, gruppi di continuità;

- altro hardware non specificato nella sezione precedente (scanner, stampanti di grandi dimensioni, plotter, ecc.);

- altri software che non rientrano nella sezione precedente (Sistemi CAD, sistemi gestionali, investimenti per nuovi siti web, ecc);

- prestazioni di servizio erogate, anche da società informatiche, che non rientrano tra le attività di assistenza e la manutenzione di software o hardware (es. caricamento dati, elaborazioni, calcoli, ecc).