Allegato ex art. 1
REGOLE PROCEDURALI PER LA TENUTA
DEI REGISTRI INFORMATIZZATI DEGLI UFFICI
Capo I
Definizioni e principi generali
Art. 1.
Sistema informativo
1. Il sistema informativo e' definito come l'insieme delle
risorse umane, delle regole organizzative, delle risorse hardware e
software (applicazioni e dati), dei locali e della documentazione
(sia in formato cartaceo, sia elettronico) che, nel loro complesso,
consentono di acquisire, memorizzare, elaborare, scambiare e
trasmettere informazioni inerenti i registri informatizzati degli
uffici.
2. Ai fini delle presenti regole procedurali assumono rilevanza
particolare le seguenti componenti del sistema informativo:
a) il sottosistema delle risorse umane, cioe' le persone che
gestiscono e utilizzano il sistema;
b) il sottosistema dell'infrastruttura logistica, costituito
dai locali in cui sono localizzati i sottosistemi di cui alle lettere
seguenti;
c) il sottosistema delle postazioni di lavoro, costituito dagli
apparati hardware, dal software di base (sistemi operativi) e dal
software di accesso alle basi di dati;
d) il sottosistema applicativo, costituito dal software
sviluppato specificamente per l'informatizzazione degli uffici
nonche' dagli apparati hardware, dal software di base (sistemi
operativi) e dal software di gestione delle basi di dati;
e) il sottosistema dei dati, costituito dall'insieme delle basi
di dati e dei file in cui sono conservati i documenti di pertinenza
dell'ufficio;
f) il sottosistema di connessione interna o rete locale,
costituito dall'hardware e dal software utilizzati per la connessione
delle postazioni di lavoro (cablaggio, apparati di rete attivi e
passivi, software di gestione rete, ecc.);
g) il sottosistema di connessione con l'esterno, costituito
dall'hardware e dal software utilizzati per la connessione della rete
locale con il mondo esterno (firewall, router, modem, linea, ecc.);
h) il sottosistema dei servizi di rete, costituito
dall'hardware e dal software che tramite la rete realizzano funzioni
tese a facilitare lo svolgimento di operazioni comuni o ripetitive
tra utenti e utenti, tra utenti e applicazioni nonche' tra
applicazioni ed applicazioni (DHCP, DNS, E-MAIL, DMZ, SICAP, ecc.).
3. Le componenti dedicate esclusivamente all'ufficio, specificate
al comma 2, lettere c), d), e), insieme con le relative quote di
pertinenza dei sottosistemi delle risorse umane e dell'infrastruttura
logistica, costituiscono il sistema informativo dell'ufficio.
4. Le risorse condivise, specificate al comma 2, lettere f), g),
h), insieme con le relative quote di pertinenza dei sottosistemi
delle risorse umane e dell'infrastruttura logistica, costituiscono il
sistema informativo di edificio.
Art. 2.
Caratteristiche del sistema informativo
1. Il sistema informativo soddisfa le seguenti proprieta':
a) disponibilita': le informazioni ed i servizi sono a
disposizione degli utenti del sistema, compatibilmente con i livelli
di servizio prestabiliti;
b) integrita': le informazioni ed i servizi possono essere
creati, modificati o cancellati solo dalle persone autorizzate e
secondo modalita' predefinite;
c) autenticita': la provenienza dei dati e' garantita e
asseverata;
d) controllo degli accessi: le informazioni possono essere
fruite solo ed esclusivamente dalle persone autorizzate a compiere
tale operazione.
Art. 3.
Responsabile della tenuta dei registri
1. Il dirigente amministrativo dell'ufficio e' il responsabile
della tenuta dei registri e provvede alla stesura del piano della
sicurezza di cui al successivo art. 7, secondo le indicazioni
dell'ufficio del responsabile per i sistemi informativi automatizzati
(di seguito URSIA), vigilando sulla sua applicazione.
Art. 4.
Amministratore di sistema
1. L'amministratore di sistema assicura la conduzione operativa
del sistema informativo, effettuando tutte le operazioni necessarie a
garantire le proprieta' di cui all'art. 2.
2. I compiti dell'amministratore di sistema sono svolti da una o
piu' figure professionali del settore della professionalita'
informatica a seconda delle dimensioni degli uffici e del numero
degli edifici.
3. Un unico soggetto puo' svolgere tali funzioni per piu' uffici
o per piu' edifici.
4. L'URSIA provvede a designare i soggetti di cui ai commi 2 e 3
del presente articolo e, qualora riguardi un ufficio giudiziario
appartenente ad un distretto, lo individua fra gli esperti
informatici del competente coordinamento dei sistemi informativi
automatizzati (di seguito CISIA); nel caso in cui non siano
disponibili tali risorse, si ricorre a tecnici informatici esterni.
5. Nel caso siano stati individuati piu' soggetti per lo
svolgimento delle funzioni di amministratore di sistema, l'URSIA
designa il coordinatore.
Art. 5.
Utenti interni ed esterni
1. L'insieme degli utenti interni e' costituito dal personale
dell'ufficio abilitato all'accesso al sistema informativo.
2. Gli utenti interni operano secondo le prescrizioni indicate,
nel capo V e nel manuale per l'utente di cui all'art. 22, comma 2.
3. L'insieme degli utenti esterni e' costituito dai soggetti, non
appartenenti al personale dell'ufficio stesso, i quali sono abilitati
da norme di legge e di regolamento all'utilizzo dei servizi
telematici dell'ufficio .
Capo II
Misure di tipo organizzativo
Art. 6.
Identificazione delle componenti del sistema informativo
1. E' cura del responsabile della tenuta dei registri, con
l'ausilio dell'amministratore di sistema, produrre e mantenere
aggiornato un dettagliato inventario di tutti gli elementi facenti
parte del sistema informativo di sua competenza.
2. Nel caso di piu' uffici nello stesso edificio i capi degli
uffici interessati indicheranno il responsabile della tenuta dei
registri che dovra' curare l'inventario delle risorse condivise.
3. L'inventario di cui al comma 1 e' aggiornato ogni qualvolta si
verifica una variazione qualsiasi nel sistema informativo
dell'ufficio o dell'edificio e la sua corrispondenza con la
situazione reale e' verificata con cadenza almeno trimestrale. In
ogni caso, l'inventario e' gestito in modo tale da risultare sempre
aggiornato e corrispondente alla situazione reale.
Art. 7.
Piano per la sicurezza del sistema informativo dell'ufficio e
dell'edificio
1. Il responsabile della tenuta dei registri, con la
collaborazione dell'amministratore di sistema, provvede alla stesura
e all'aggiornamento periodico di un piano per la sicurezza del
sistema informativo dell'ufficio, secondo gli standard definiti
dall'URSIA.
2. Nel caso di piu' uffici che condividano lo stesso edificio, il
piano per la sicurezza e' stilato con la collaborazione, per quanto
di competenza, dei responsabili della tenuta dei registri dei singoli
uffici.
3. Il piano per la sicurezza contiene almeno le seguenti
informazioni:
a) inventario delle risorse, di cui all'art. 6;
b) misure adottate per la protezione fisica delle aree e dei
locali interessati, di cui al capo III;
c) misure adottate per il controllo degli accessi, di cui agli
articoli 8, 13 e 17;
d) misure di monitoraggio del sistema, di cui all'art. 9;
e) misure adottate per garantire l'integrita' e la
disponibilita' dei dati, di cui all'art. 10;
f) misure adottate per garantire la continuita' degli
applicativi relativi ai registri informatizzati nel caso in cui si
verifichi un mal funzionamento dei server interessati;
g) piano di adeguamento degli applicativi, di cui all'art. 19,
comma 9;
h) la frequenza e le modalita' delle procedure di archiviazione
ottica e di copia storica dei dati, coerentemente con le indicazioni
di cui all'art. 12 del decreto del Ministro della giustizia 27 marzo
2000, n. 264.
4. Il piano per la sicurezza contiene indicazioni circa la
necessita' di avere impianti ridondati e con elevata tolleranza ai
guasti.
5. Il piano per la sicurezza prevede misure conformi, per quanto
attiene al trattamento dei dati personali, a quanto prescritto dal
regolamento di cui all'art. 15, comma 2, della legge 31 dicembre
1996, n. 675.
6. La vigilanza sulla predisposizione e sull'applicazione dei
piani di sicurezza e' esercitata dai capi degli uffici, secondo le
rispettive competenze, avvalendosi anche di un esperto informatico
designato dall'URSIA.
Art. 8.
Politica di gestione degli accessi
1. Ai sensi dell'art. 5 del decreto del Ministro della giustizia
27 marzo 2000, n. 264 la procedura di autenticazione consente di
ottenere uno specifico insieme di privilegi di accesso ed utilizzo,
denominato profilo, rispetto alle risorse del sistema informatico.
2. Attraverso la procedura di autenticazione si individua un
insieme di gruppi di utenti a livello di sistema, a livello di
database management system ed a livello di applicativo. A ciascun
gruppo di utenti e' associato uno ed un solo profilo mentre a ciascun
utente puo' essere assegnato uno o piu' profili.
3. A livello di sistema deve essere definito almeno un gruppo per
ciascuna delle figure previste dagli articoli 3, 4 e 5 delle presenti
regole procedurali. In corrispondenza di ciascun gruppo e' definito
un profilo tale da assegnare a ciascun utente appartenente al gruppo
solo ed esclusivamente i privilegi di accesso ed utilizzo
strettamente necessari per l'espletamento delle attivita' di propria
competenza.
4. Per ciascuna base di dati sono definiti almeno un gruppo
amministratori ed un gruppo utenti a livello di database management
system. In corrispondenza di ciascun gruppo e' definito un profilo
tale da assegnare a ciascun utente appartenente al gruppo solo ed
esclusivamente i privilegi di accesso ed utilizzo delle risorse
gestite tramite il database management system strettamente necessari
per l'espletamento delle attivita' di propria competenza.
5. Per ciascun applicativo e' definito almeno un gruppo per
ciascuna delle diverse tipologie di utenza previste da ogni specifico
applicativo.
6. La definizione di gruppi aggiuntivi puo' essere decisa dal
capo dell'ufficio.
Art. 9.
Monitoraggio del sistema
1. Tutte le attivita' relative all'utilizzo e alla gestione del
sistema informativo sono sottoposte ad un processo continuo di
controllo e verifica della loro corretta e completa esecuzione. Tale
processo trova attuazione innanzitutto attraverso l'utilizzo di
appositi strumenti di controllo a livello di sistema, di database
management system e di applicativo.
2. Il sistema consente le seguenti misure minime di monitoraggio
a garanzia dell'autenticita' e integrita' dei dati:
a) la registrazione di tutti i tentativi di accesso effettuati,
riusciti o falliti, a livello di sistema, di database management
system e di applicativo;
b) gli accessi in lettura e scrittura effettuati direttamente
attraverso il database management system;
c) tutti gli accessi in lettura e scrittura.
3. E' cura dell'amministratore di sistema controllare
periodicamente le registrazioni di cui al comma 3, lettere a) e b),
allo scopo di rilevare eventuali anomalie e conservare le
registrazioni dei log provvedendo alla trascrizione settimanale su
supporti non riscrivibili da conservare unitamente ai backup dei
registri.
Art. 10.
Disponibilita' dei dati
1. Presso ciascun ufficio sono previste idonee politiche e
procedure per il salvataggio (backup) e per il recupero (recovery)
dei dati, sia a livello di sistema, sia a livello di database
management system.
2. Nell'ambito delle politiche di cui al comma 1 e' prevista la
frequenza del salvataggio dei dati che non puo' essere superiore alla
settimana.
3. Le procedure di backup consentono di conservare i dati per il
tempo previsto dal decreto del Presidente della Repubblica
30 settembre 1963, n. 1409 e mediante l'utilizzo di supporti non
riscrivibili, rinnovati a scadenze prestabilite e secondo le regole
tecniche emanate dall'autorita' per l'informatica nella pubblica
amministrazione a norma dell'art. 6, comma 2, del decreto del
Presidente della Repubblica 28 dicembre 2000, n. 445.
4. Le procedure di backup consentono di effettuare, con frequenza
almeno triennale, una copia storica dei dati, che dovra' essere
conservata secondo le modalita' di cui al comma 3. Eseguita tale
operazione, dal registro in uso possono essere eliminati i dati
relativi agli affari esauriti da almeno due anni.
Capo III
Misure di tipo fisico e logico
Art. 11.
Infrastruttura logistica
1. Le macchine server sono collocate in un apposito locale (sala
server), dotato di impianto elettrico ed impianto di condizionamento
opportunamente dimensionati e adeguatamente protetto dai rischi di
incendio e allagamento.
2. L'accesso alla sala server e' consentito sotto la
responsabilita' dell'amministratore di sistema.
3. Tutti i server sono asserviti a gruppi di continuita'.
4. I supporti di backup sono custoditi in armadi blindati e
ignifughi, posti in locali diversi dalla sala server.
Art. 12.
Software
1. Presso l'ufficio e' possibile installare ed utilizzare
esclusivamente software appartenente ad una delle tre seguenti
categorie:
a) software commerciale;
b) applicativi di rilevanza nazionale;
c) applicativi realizzati a livello locale.
2. L'installazione di software diverso da quello indicato alle
lettere a) e b) del comma 1 e' autorizzata dal capo dell'ufficio nel
rispetto di quanto previsto dall'art. 18, commi 4 e 5.
3. E' possibile installare ed utilizzare software commerciale
solo se munito di idonea licenza d'uso, ovvero se fornito,
nell'ambito di accordi-quadro a livello nazionale, dall'URSIA.
4. Relativamente agli applicativi realizzati a livello locale e'
possibile installare ed utilizzare solo quelli dei quali sia stata
verificata la conformita' secondo le procedure di cui all'art. 18.
5. Il software e' installato solo ed esclusivamente a partire da
supporti fisici originali, ovvero da supporti fisici per i quali sia
nota e sicura la provenienza.
Art. 13.
D a t i
1. Gli archivi informatici sono gestiti tramite software per la
gestione di basi di dati (database management system).
2. Il piano per la sicurezza indica una strategia di adeguamento
degli eventuali software diversi da quello indicato al comma 1.
3. L'accesso ai dati degli archivi informatici avviene solo ed
esclusivamente per il tramite degli applicativi appartenenti al
sottosistema applicativo, fatta eccezione per gli amministratori
delle basi di dati relative all'archivio stesso, per i quali vale
quanto prescritto dal comma 4.
4. L'accesso ai dati degli archivi informatici, da parte degli
amministratori di basi di dati, avviene solo ed esclusivamente per il
tramite degli strumenti messi a disposizione dal relativo database
management system. Tutte le operazioni effettuate, da parte degli
amministratori delle basi di dati sono soggette a registrazione,
secondo quanto previsto all'art. 9, comma 1, lettera a). Le
registrazioni di tali operazioni sono salvate su supporto fisico
contestualmente alle ordinarie operazioni di backup e conservate per
un periodo non inferiore a due anni.
Art. 14.
Gestione delle utenze
1. L'amministratore di sistema e i suoi collaboratori, ciascuno
per quanto di competenza, effettuano le seguenti operazioni:
a) creazione delle utenze e dei gruppi, secondo quanto previsto
agli articoli 8 e 19;
b) assegnazione di nome utente e parola chiave a ciascun
utente;
c) mantenimento di un elenco completo dei gruppi e delle
utenze. Per ciascun gruppo sono indicati almeno l'identificativo, la
data di creazione, la lista dei privilegi e l'eventuale data di
disabilitazione; per ciascun gruppo sono indicati almeno il nome e il
cognome, i gruppi di appartenenza, la data di creazione e la data di
disabilitazione.
2. Le utenze non possono essere cancellate, ma solo disabilitate.
3. Le politiche per l'aggiornamento delle parole chiave sono
definite nel piano per la sicurezza.
Art. 15.
Backup e recovery
1. Nel piano per la sicurezza vengono individuati i dati da
sottoporre a backup, nonche' le modalita' e la frequenza della
procedura.
2. I dati oggetto di backup sono classificati in dati di sistema
(necessari per il corretto funzionamento del sistema operativo, del
software di base, del database management system, delle applicazioni
installate, ecc.) e dati utente (documenti, fogli elettronici,
archivi di posta elettronica, ecc.).
3. L'amministratore di sistema mette a disposizione di ciascun
utente un'opportuna quota di spazio su disco disponibile per il
backup dei dati utente. L'accesso a ciascuna quota e' tale da
consentire l'accesso in lettura e scrittura solo ed esclusivamente
all'utente proprietario e l'accesso in sola lettura
all'amministratore di sistema. E' cura di ciascun utente provvedere a
copiare sulla propria quota di spazio i file che desidera sottoporre
a backup.
4. L'amministratore di sistema, secondo quanto indicato nel piano
per la sicurezza:
a) garantisce l'effettiva messa in opera delle procedure di
backup;
b) verifica l'avvenuta esecuzione dei backup;
c) mantiene un elenco delle operazioni di backup effettuate;
d) archivia i supporti fisici;
e) effettua, in caso di mal funzionamento, le procedure di
recovery;
f) effettua verifiche periodiche delle procedure di recovery,
secondo quanto disposto dal piano per la sicurezza;
g) mantiene un elenco dei problemi verificatisi e delle
operazioni di recovery effettuate.
Art. 16.
Archiviazione ottica
1. Il sistema informatico e' dotato di almeno un sistema per la
scrittura di supporti ottici, le cui caratteristiche siano conformi
alle regole tecniche emanate dall'autorita' per l'informatica nella
pubblica amministrazione a norma dell'art. 6, comma 2, del decreto
del Presidente della Repubblica n. 445, del 2000.
2. Le applicazioni consentono l'archiviazione dei documenti in
almeno uno dei formati indicati nelle regole tecniche di cui al
comma 1.
3. Il sistema di archiviazione consente la generazione dei file
di controllo e di chiusura, secondo le regole tecniche di cui al
comma 1.
4. L'amministratore di sistema ottempera agli obblighi stabiliti
dalle regole tecniche di cui al comma 1.
Art. 17.
Antivirus
1. L'URSIA provvede alla distribuzione periodica a tutti gli
uffici di un software antivirus e al suo costante aggiornamento.
2. Il piano per la sicurezza stabilisce le modalita' di
aggiornamento del software antivirus sulle postazioni di lavoro.
Capo IV
Misure relative agli applicativi
Art. 18.
Utilizzo degli applicativi
1. Per la gestione informatizzata dei registri e' possibile
utilizzare applicativi di rilevanza nazionale o applicativi
realizzati a livello locale.
2. Gli applicativi di rilevanza nazionale sono rilasciati
dall'URSIA, che ne certifica la conformita' ai sensi dell'art. 3 del
decreto del Ministro della giustizia 27 marzo 2000, n. 264.
3. Nessuna modifica o personalizzazione di applicativi di
rilevanza nazionale e' consentita da parte di soggetti diversi
dall'URSIA.
4. Gli applicativi realizzati nell'ambito di iniziative locali
sono conformi alle regole tecniche ed alle presenti regole
procedurali.
5. La conformita' dei programmi alle caratteristiche previste nel
presente capo viene certificata dall'URSIA.
Art. 19.
Caratteristiche degli applicativi
1. Gli applicativi di cui all'art. 12, comma 1, lettere b) e c),
sono sviluppati da societa' dotate di certificato di qualita' EN ISO
9001, relativo ai servizi di sviluppo di prodotti software (CPV
77207721-7723).
2. Gli applicativi che gestiscono i registri consentono
l'estrazione e la stampa dei dati, ai sensi dell'art. 6, comma 3, del
decreto del Ministro della giustizia 27 marzo 2000, n. 264.
3. L'applicativo consente, come misura minima relativa
all'autenticazione degli utenti, l'accesso ai dati con un meccanismo
di autenticazione basato sulla conoscenza di una coppia (username,
password).
4. L'autenticazione di cui al comma 3 e' effettuata tramite un
meccanismo a sfida che non richieda il transito della password sulla
rete.
5. L'autenticazione puo' essere effettuata una sola volta al
momento dell'accesso al sistema informatico, oppure essere ripetuta
al momento dell'accesso a ciascun programma.
6. L'applicativo fornisce un meccanismo di gestione degli accessi
che consente di applicare quanto disposto dagli articoli 8 e 14.
7. L'accesso agli archivi informatici da parte degli utenti e'
consentito solo ed esclusivamente tramite le componenti del
sottosistema applicativo.
8. L'accesso alle basi di dati da parte degli amministratori di
basi di dati e' consentito solo ed esclusivamente tramite l'utilizzo
degli opportuni strumenti software di amministrazione.
9. Il piano per la sicurezza indica una strategia di adeguamento
degli applicativi che non soddisfino i requisiti di cui ai precedenti
commi.
Art. 20.
Documentazione
1. L'applicativo e' accompagnato da apposita documentazione di
utilizzo, costituita da un manuale di amministrazione ed un manuale
di utilizzo, e disponibile sia in forma cartacea che in forma
elettronica.
2. La documentazione elettronica soddisfa i seguenti requisiti:
a) essere consultabile con modalita' del tutto compatibili con
quelle disponibili nel sistema operativo utilizzato;
b) consentire una navigazione ipertestuale rispetto a termini e
argomenti chiave;
c) permettere di effettuare ricerche per sommario, indice e
testo libero;
d) rendere disponibile una modalita' di consultazione
dipendente dal contesto, in modo tale da attivare le pagine relative
all'argomento corrispondente alla funzionalita' correntemente
utilizzata.
3. Il manuale di amministrazione contiene almeno le seguenti
informazioni:
a) requisiti hardware e software;
b) procedura di installazione;
c) gestione dei gruppi e degli utenti;
d) procedure operative;
e) procedure di aggiornamento;
f) procedure di backup e recovery;
g) gestione dei mal funzionamenti.
4. Il manuale di utilizzo contiene almeno le seguenti
informazioni:
a) descrizione generale dell'applicativo;
b) descrizione della procedura di accesso e di uscita
dall'applicativo;
c) modalita' di utilizzo;
d) elenco di tutte le funzionalita';
e) elenco dei possibili messaggi di errore e guida alla
risoluzione dei problemi;
f) glossario dei termini.
5. Per ciascuna funzionalita' di cui al comma 4, lettera d), il
manuale di utilizzo contiene le seguenti informazioni:
a) finalita' della funzione;
b) modalita' di accesso;
c) prerequisiti per l'utilizzo;
d) descrizione delle maschere che compaiono sul video;
e) dati richiesti dall'applicativo per l'esecuzione.
6. L'applicativo e' corredato dal codice sorgente e da tutta la
documentazione tecnica, sia in formato elettronico che cartaceo,
prodotta durante l'intero ciclo di vita del software, coerentemente
con le norme di qualita' di cui all'art. 19, comma 1.
Art. 21.
Servizi accessori
1. L'applicativo e' corredato da idoneo servizio di manutenzione
correttiva ed evolutiva, nonche' da idoneo servizio di assistenza
tecnica.
Capo V
Comportamento dell'utente
Art. 22.
Manuale per l'utente
1. L'utente del sistema informativo dell'ufficio e' tenuto ad
osservare comportamenti atti a ridurre al minimo i rischi di perdita,
danneggiamento o diffusione non autorizzata dei dati a garanzia della
integrita' e autenticita' degli stessi.
2. I comportamenti di cui al comma 1 sono descritti negli
articoli 23, 24, 25 mentre i comportamenti di maggior dettaglio sono
riportati in un apposito manuale per l'utente, da stilare, a cura
dell'amministratore di sistema, sulla base delle presenti regole
procedurali e del piano per la sicurezza.
Art. 23.
Regole di tipo fisico
1. L'utente e' tenuto, ove sia possibile, a chiudere a chiave la
porta del proprio ufficio e a tenere sotto chiave i propri documenti,
indipendentemente dal supporto fisico utilizzato.
2. L'utente e' tenuto, allontanandosi momentaneamente dalla
postazione di lavoro, a chiudere le applicazioni attive o a
proteggerla tramite password del salvaschermo.
3. L'utente e' tenuto, al termine della giornata di lavoro, a
spegnere la postazione.
4. L'utente e' tenuto ad assicurarsi dell'identita' e delle
autorizzazioni di personale che debba installare il nuovo software o
hardware sulla propria postazione di lavoro.
5. L'utente e' tenuto a non utilizzare, su postazioni di lavoro
collegate alla rete locale dell'ufficio, modem o altri strumenti di
connessione con l'esterno.
Art. 24.
Regole di tipo logico
1. L'utente e' tenuto a non installare sulla propria postazione
di lavoro alcun programma non preventivamente autorizzato dal capo
dell'ufficio.
2. L'utente puo', qualora lo reputi necessario, configurare o
richiedere la configurazione della propria postazione di lavoro in
modo che venga richiesta una password all'accensione.
3. Il capo dell'ufficio puo' assegnare all'utente un programma
per la cifratura dei dati sul disco rigido, su motivata richiesta
scritta di quest'ultimo o per espresse esigenze di ufficio.
4. L'amministratore di sistema, su incarico del responsabile
della tenuta dei registri, stabilisce le procedure di utilizzo dei
programmi di cui al comma 3.
5. L'utente che utilizzi, per le proprie necessita' di lavoro, un
computer portatile:
a) risponde personalmente dei dati sul portatile in dotazione;
b) e' motivato a effettuare la richiesta di cui al comma 3;
c) puo' richiedere all'amministratore di sistema l'assegnazione
di una quota disco, di cui all'art. 15, comma 3, per il backup dei
dati del portatile;
6. L'utente e' tenuto a non diffondere messaggi di posta
elettrnica di provenienza dubbia ed a non partecipare alle cosiddette
"catene di S. Antonio" o simili.
Art. 25.
Gestione delle password
1. L'utente e' tenuto:
a) a non rivelare a terzi la propria password;
b) a non scrivere la password in punti facilmente visibili;
c) a digitare la password al riparo da sguardi indiscreti.
2. L'utente sceglie la propria password:
a) diversa dal proprio username;
b) non costituita da una semplice parola rintracciabile in un
dizionario;
c) non legata alla propria vita personale;
d) con una lunghezza non inferiore a sei caratteri;
e) contenente almeno un simbolo diverso da una lettera, oppure
un misto di lettere maiuscole e minuscole.
3. La password e' cambiata con frequenza almeno annuale.
4. L'amministratore di sistema ha facolta' di stabilire una
frequenza di cambio della password superiore a quanto stabilito nel
comma 3, nonche' di configurare il sistema e gli applicativi in modo
da forzare l'utente al cambio allo scadere del termine fissato.
Capo VI
Disposizioni finali
Art. 26.
Tempi di attuazione
1. I tempi di attuazione delle presenti regole procedurali sono i
seguenti, con decorrenza dalla data della loro pubblicazione:
a) entro sei mesi e' preparato il piano di adeguamento degli
applicativi di cui all'art. 19, comma 9;
b) entro dodici mesi e' completata la prima versione del piano
per la sicurezza di cui all'art. 7;
c) entro diciotto mesi sono adottate presso l'ufficio tutte le
prescrizioni relative all'infrastruttura tecnologica di cui al capo
III e all'infrastruttura logistica di cui al capo IV;
d) entro tre anni, tutti gli applicativi in uso sono adeguati
alle prescrizioni del capo IV e dell'art. 16.