|
INAF Osservatorio
Astronomico di Torino |
|
CED Centro Elaborazione
Dati |
Politica Informatica OATo
Regolamento e linee guida per l'utilizzo delle risorse informatiche dell'Osservatorio Astronomico di Torino
Versione Luglio 2002
|
INAF Osservatorio
Astronomico di Torino |
|
CED Centro Elaborazione
Dati |
Politica Informatica OATo
Regolamento e linee guida per l'utilizzo delle risorse informatiche dell'Osservatorio Astronomico di Torino
Versione Luglio 2002
Scopo del Documento, Definizioni e Premesse
Lo scopo di questo documento è definire, nel modo più accurato possibile, le procedure di utilizzo delle apparecchiature informatiche a disposizione dell'utenza OATo. Nella grande maggioranza dei casi, le norme qui esposte sono diretta conseguenza di precise normative di legge, ma rappresentano anche l'applicazione di linee guida suggerite dall'Autorità per l'Informatica nella Pubblica Amministrazione. Questo documento, in ogni sua parte, ha il solo scopo di contribuire a rendere efficiente e sicuro il Sistema Informatico dell'Osservatorio Astronomico di Torino.
Si definiscono:
n CED OATo è il Centro di Calcolo o Centro Elaborazioni Dati dell'Osservatorio Astronomico di Torino.
n Sistema indica il complesso dei terminali, Workstation, PC, ecc., delle apparecchiature di rete, dei server e degli strumenti hardware e software connessi alla Rete Informatica OATo.
n Risorse Informatiche le apparecchiature hardware e gli applicativi software di proprietà dell'OATo, ovunque essi siano locati, a disposizione dell’utenza.
n Servizi sono dette le risorse software disponibili all'utenza, e gestite dal CED OATo.
Un servizio tipico è quello di posta elettronica. A titolo di ulteriore esempio si può citare lo spazio web per le pagine http personali. I servizi sono basati su sistemi hardware controllati dal CED OATo.
n Utenti sono gli utilizzatori delle risorse informatiche e dei servizi, che hanno un rapporto di lavoro con l'OATo. Non verrà qui considerata l'accezione più ampia del termine, dove per utente può intendersi anche - ad esempio - il visitatore occasionale delle pagine web.
n Amministratori di Sistema è il personale afferente al Centro di Calcolo, il cui compito è gestire il sistema informatico nella sua globalità, assicurandone l'efficienza ed il funzionamento.
n Amministratori periferici sono coloro in possesso dei privilegi di Amministratore per la singola stazione di lavoro, e quindi responsabili della gestione della stessa.
n D.Lgs. 29 dicembre 1992, n. 518 e D.Lgs. 6 maggio 1999, n. 169, che modificano la legge n. 633 del 1941, relativa al Diritto d'Autore, integrandola con norme relative alla tutela giuridica dei programmi per elaboratore.
n Legge 23 dicembre 1993, n. 547, che modifica il Codice Penale introducendo i crimini informatici
n Legge 31 dicembre 1996, n. 675, che disciplina il trattamento dei dati personali.
n Legge 7 agosto 1990, n. 241, con le nuove norme in materia di procedimento amministrativo e diritto di accesso ai documenti amministrativi
n Legge 15 marzo 1997, n. 59 e legge 15 maggio 1997, n. 127 per la semplificazione delle procedure amministrative
n Legge 16 giugno 1998, n. 191, a proposito del lavoro a distanza per i dipendenti delle pubbliche amministrazioni.
Un sistema Informatico come quello dell’Osservatorio Astronomico di Torino ha caratteristiche particolari. Da un lato vi è la necessità di operare in un regime di libero scambio di idee e dati, dall’altro di garantire a particolari servizi le necessarie garanzie di sicurezza e tutela. Il CED OATo deve inoltre operare per uniformare una serie di sistemi e tecnologie molte volte poco compatibili tra loro, allo scopo di offrire un servizio pienamente operativo a tutta l’utenza. Questo si può solo raggiungere adottando una politica “moderna” dal punto di vista informatico: il contributo di tutti, utenti ed amministratori di sistema, consentirà di ottenere il massimo risultato con il minimo sforzo. Quello che il presente regolamento intende promuovere è proprio un utilizzo ottimale delle risorse, non coercitivo, ma volto ad ottenere il massimo della semplicità e dell’efficienza per tutti gli utenti.
Criteri di accesso ed utilizzo delle risorse informatiche ed ai servizi da parte dell'utenza
n Sono autorizzati all'uso delle risorse informatiche OATo e dei relativi servizi i dipendenti OATo con contratto di lavoro a tempo indeterminato. Per questi utenti l'autorizzazione è automatica, con decorrenza immediata a seguito di comunicazione dell'Ufficio Personale al Responsabile CED OATo.
n L'uso delle risorse informatiche OATo e dei relativi servizi per il personale OATo con contratto di lavoro soggetto a scadenza (contratti di collaborazione/consulenza, borse di studio, ecc.), va sottoposto ad autorizzazione da parte del Responsabile CED OATo, in ciò autorizzato dal Direttore dell’Istituto. E’ necessaria richiesta scritta (via posta elettronica) al CED OATo da parte del Responsabile del Gruppo di Ricerca o Servizio presso il quale si svolgerà l'attività dell'utente.
n Collaboratori senza formale contratto di lavoro, ospiti in visita, ecc. necessitano di autorizzazione come al punto precedente. È necessaria richiesta scritta (via posta elettronica) al CED OATo da parte del Responsabile del Gruppo di Ricerca o Servizio presso il quale si svolgerà l'attività dell'utente, comunicando anche le generalità dello stesso, così da permetterne una identificazione certa.
n Le autorizzazioni sono strettamente personali e non cedibili. Tali autorizzazioni sono da intendersi a tempo determinato e decadono al termine dell'attività che le aveva giustificate (od alla scadenza in caso di mancato rinnovo). Periodi di estensione sono previsti per alcuni servizi a cui l'utente aveva avuto accesso (es.: pagine web, posta elettronica).
n Al CED OATo e solo ad esso spetta il rilascio delle autorizzazioni, in ciò delegato dal Direttore OATo. Esso determinerà per quali risorse e servizi specifici avrà autorizzazione di accesso il singolo utente, basandosi sulla qualifica e sulle necessità operative dello stesso, in ciò rispettando la normativa vigente. È quindi fatto specifico divieto agli amministratori periferici di attivare account, caselle di posta, ecc.
n Ogni utente deve contribuire alla sicurezza complessiva del Sistema, ed è responsabile del corretto uso delle Risorse e dei Servizi ai quali ha accesso. L'utilizzazione del Sistema deve essere razionale e rispondente alla normativa di legge vigente, evitando comportamenti che mettano in pericolo l'integrità e la funzionalità del Sistema stesso. In particolare:
n L'utente è tenuto alla protezione del proprio account tramite password non banale. Alla password vanno applicati i consueti criteri di sicurezza, non deve essere ceduta a terzi, e deve essere cambiata su richiesta del CED OATo.
Poiché la coppia username/password identifica univocamente un utente, le eventuali operazioni illegali attribuibili ad uno username saranno imputate al rispettivo utente. Eventuali evidenze di "furto" della password o "intrusione" con forza bruta saranno valutate dagli organi competenti. Questo evidenzia l'importanza di proteggere il proprio accesso al Sistema, mantenendo segreta e personale la password.
n L'utente si impegna a non sfruttare eventuali debolezze di sicurezza od anomalie del Sistema, al contempo segnalandole in forma riservata al CED OATo.
n L'utente non deve utilizzare account diversi dal proprio allo scopo di mascherare la propria identità, o comunque operare in modo da eludere i controlli di sicurezza operati dal CED OATo.
n Le caselle di posta elettronica sono strettamente personali. Il loro utilizzo deve essere limitato agli scopi attinenti l'attività professionale o di studio. Ogni casella di posta deve essere riconducibile ad una singola utenza: sono quindi da considerarsi illecite le caselle anonime (es.: "guest"), o comunque con più di un intestatario. Agli Amministratori Periferici è fatto divieto di attivare qualunque account di posta. Specifiche necessità, ad esempio nel caso di organizzazione di convegni, saranno soddisfatte con l’abilitazione temporanea di una casella di posta atta allo scopo.
Le account di Amministratore delle singole macchine sono abilitate all’invio di messaggi, generalmente diagnostici o di sicurezza. Anche altre account, utilizzate da particolari software/hardware (es.: stampanti) possono avere queste caratteristiche. In ogni caso, nessuna di queste deve inviare posta all’ esterno della Rete Informatica OATo.
n Collaboratori, ospiti, o più in generale chiunque abbia un contratto di lavoro (in qualsivoglia forma) con durata inferiore a mesi cinque, non ha titolo per utilizzare il servizio di posta elettronica OATo.
n L’ utilizzo della casella di posta deve essere conforme alla legislazione in vigore. Vanno evitati gli utilizzi che pregiudichino il normale funzionamento del servizio. In particolare sono da evitarsi:
n Inoltro o diffusione di messaggi pubblicitari (“spam”)
n Inoltro o diffusione delle cosiddette “Catene di S.Antonio”
n Mail-bombing (invio in automatico di grandi quantità di mail)
n Invio di allegati di dimensioni eccessive. Il servizio di posta elettronica OATo è abilitato a gestire l’invio e la ricezione di messaggi non superiori a 15Mb.
n Al termine del periodo di validità dell'account di posta elettronica, l'accesso verrà disabilitato. Sarà concesso un forward automatico verso altra destinazione (a scelta dell'utente, purché valida ed operativa) per un periodo di mesi 3, al termine del quale l'account verrà definitivamente rimosso.
n Il Sito WEB OATo dispone di pagine introduttive e comuni, con link alle pagine dei Gruppi di Ricerca, a quelle dei Servizi ed a quelle dei dipendenti o collaboratori. Eventuali variazioni, aggiunte o rimozioni vanno richieste con 5 giorni di anticipo. La pagina “Novità/News”, riguardante bandi, avvisi ecc., è gestita dal CED OATo ed è limitata a link verso il reale contenuto risiedente negli spazi web dei singoli Gruppi o Servizi. Questi link vengono rimossi alla scadenza dei bandi, avvisi, ecc., oppure dopo mesi quattro dalla pubblicazione.
n Hanno diritto ad uno spazio web i dipendenti, collaboratori, ospiti, o più in generale chiunque abbia un contratto di lavoro (in qualsivoglia forma) con durata non inferiore a mesi cinque.
n
Il contenuto
delle pagine personali è sotto la responsabilità diretta (anche legale)
dell'autore e titolare della pagina stessa. Nella sua qualità di Ente pubblico,
oltre alle ovvie restrizioni su contenuti illegali, l'Osservatorio non può
ospitare nulla di carattere commerciale. Non è pertanto consentito inserire
nelle pagine personali alcuna pubblicità, richieste/offerte di lavoro private,
o altri contenuti simili.
n
Il contenuto
delle pagine descriventi l’attività del Gruppo di Ricerca o Servizio è sotto la
responsabilità di un incaricato del Gruppo/Servizio stesso, e dovrà rispondere
agli stessi requisiti delle pagine personali.
n
Le pagine web,
di qualsivoglia argomento, dovranno contenere almeno:
n
Link alla Home
Page dell’OATo ed a quella dell’Istituto Nazionale di Astrofisica.
n
Link alla
pagina logicamente precedente quella visualizzata.
n
Nome
dell’autore, anno e mese dell’ultimo aggiornamento.
n
Il CED OATo ha
facoltà di oscurare le pagine che difettino dei requisiti richiesti, o che
siano in violazioni di norme e regolamenti in vigore, o contenenti elementi di
software che possano danneggiare i sistemi dei visitatori della pagina stessa.
A titolo di semplice suggerimento, è opportuno che le pagine, nella loro vesta grafica, si adattino allo schema generale del Sito WEB dell’OATo. Questo per evitare confusioni nel lettore e per mantenere una linea definita ed uniforme.
Caratteristiche dei sistemi operativi, di Management del Sistema e operatività del CED
n Gli Amministratori di Sistema CED OATo (SysMan nel seguito) sono tutti e soli gli afferenti al CED OATo, in qualità di dipendenti, contrattisti o consulenti. A seconda delle mansioni, essi avranno accesso a diversi settori del Sistema, come assegnato dal Responsabile CED OATo ed in accordo con le procedure di sicurezza in vigore.
n Ai SysMan è data facoltà, dalla attuale legislazione, di controllare il traffico generato da, per ed internamente alla Rete Informatica OATo, con il solo scopo di verificarne il corretto funzionamento, di evitarne gli abusi e di evidenziare problemi legati alla sicurezza informatica.
n È inoltre facoltà dei SysMan:
n procedere alla verifica dell’esistenza di software non licenziato, ed in caso positivo operare per la sua rimozione immediata.
n procedere al cambio delle password di Amministrazione delle singole unità di calcolo, PC e/o WorkStation, qualora si renda necessario in seguito ad un rischio evidente ed immediato per la sicurezza del Sistema.
n Disattivare l’utilizzo di Servizi ed account all’utenza, od alla completa disattivazione del sistema hardware, qualora si renda necessario in base ad un rischio evidente ed immediato per la sicurezza del Sistema.
n I SysMan sono tenuti a procedere al sequestro di file di Log, dati o dell’interno hardware, qualora risultino evidenze di Reati Informatici. Il materiale sequestrato sarà quindi messo a disposizione delle Autorità Competenti.
n Nessun hardware che abbia un collegamento alla Rete Informatica OATo deve essere connesso, disconnesso, acceso o spento senza l’autorizzazione preventiva del CED OATo, a meno che non si sia in presenza di un pericolo oggettivo per le persone o le cose. Tutte i PC e/o WorkStation devono rimanere sempre accesi e collegati alla Rete[*].
n Gli Amministratori Periferici si assumono, totalmente e senza altre condizioni, le responsabilità che penalmente e civilmente sono attribuibili agli Amministratori di Sistema per i reati che coinvolgano l’hardware da loro amministrato.
Nella attuale legislazione, la maggior parte dei reati informatici ha carattere penale, con aggravanti qualora il reato sia stato commesso abusando delle facoltà concesse all’Amministratore di Sistema. La stessa omissione delle applicazione delle misure minime di sicurezza e di privacy è considerata reato.
n Le password di Amministrazione dei PC e WorkStation non gestite direttamente dal CED OATo vanno concordate con il CED stesso e, su richiesta dei SysMan, cambiate.
n È fatto divieto all’Amministratore Periferico di attivare qualunque account senza la preventiva autorizzazione del CED OATo. Altrettanto dicasi per le variazioni alla configurazione di rete.
n Per la gestione di macchine sulle quali siano presenti anche account di utenti altri che l’Amministratore Periferico stesso, l’autorizzazione alla gestione da parte di questi deve essere ottenuta dalla Direzione dell’OATo, previa sottoscrizione di un documento di assunzione di responsabilità.
n L’installazione dei Sistemi Operativi è competenza del CED OATo. Agli Amministratori Periferici, qualora la macchina non sia amministrata direttamente dal CED OATo, verrà consegnato il sistema già configurato.
n Non sono ammessi software visualizzatori di pacchetti TCP/IP, (sniffer), software di intercettazione di tastiera (keygrabber), software di decodifica password (craker), di scansione e più in generale software palesemente rivolti alla violazione della sicurezza del Sistema e della privacy.
n Su ogni PC con sistema operativo Microsoft permanentemente collegato alla rete informatica OATo deve essere presente ed operativa la protezione antivirus (vedasi DPR n.318/1999, art.4 comma c), controllata dai Server Antivirus del CED OATo.
n La scelta dei sistemi operativi in uso all’OATo è prerogativa del CED OATo. Verranno valutati i casi in cui, per esigenze tecniche, sono necessarie eccezioni e deroghe.
n Su ogni unità di elaborazione (anche dotata di più processori), con l’eccezione dei computer portatili, è ammesso l’utilizzo di un solo sistema operativo. Sono tollerate le macchine che, al momento della ufficializzazione di questo documento, siano già dotate di 2 o più sistemi operativi. Sono anche ammessi software di emulazione che consentano l’installazione di un secondo sistema operativo, purche` non sia consentito a quest’ultimo di connettersi alla Rete.
n I PC Laptop, di proprietà dell’OATo, possono essere disconnessi e connessi alla Rete senza preavviso al CED OATo.
n Sui sistemi Laptop, di proprietà dell’OATo, deve essere presente ed operativa la protezione antivirus fornita e controllata dal CED OATo.
n Ai PC Laptop viene assegnato un numero IP dinamico, con tecnologia DHCP.
n E` fatto divieto assoluto di utilizzo di apparecchiature modem per connessioni internet in ingresso od uscita. Questo per evitare l’apertura di connessioni alla Rete OATo non filtrate dal Firewall.
Qualunque tipo di comunicazione che preveda un intervento del CED, comprese quelle di richiesta di autorizzazioni, deve avvenire via posta elettronica o per iscritto. Non saranno prese in considerazione richieste e comunicazioni per via verbale.
n Qualunque acquisto di apparecchiatura hardware e software deve essere comunicato al CED OATo, onde poter fornire un parere tecnico sulla congruenza dell’acquisto e mantenere una linea di condotta uniforme per gli acquisti OATo.
n Per ogni acquisto, è ovviamente valida la normativa attualmente in vigore per le pubbliche Amministrazioni.
n Ogni apparecchiatura hardware deve essere acquistata con una copertura di garanzia di almeno un anno, on-site, next-day[†]. Sono comunque consigliate le estensioni a tre anni dello stesso contratto di garanzia.
n Alle richieste di intervento sulle macchine controllate da Amministratori Periferici verrà assegnata una priorità inferiore a quelle degli interventi di rete e sulle macchine gestite dal CED OATo. Per i sistemi operativi Microsoft, le richieste di intervento sulle macchine non inserite nel Dominio Active Directory OATo avranno priorità inferiore a quelle logicamente ad esso connesse. Le richieste di assistenza hardware al CED per macchine non coperte da garanzia avranno tempi di intervento più lunghi, e l’aggravio di costo sarà a carico dell’utenza.
n Le macchine, PC e WorkStation, che non permetteranno, a causa dell’obsolescenza hardware, una gestione ragionevole, verranno disconnesse dalla rete. Nessun ulteriore intervento di assistenza da parte del CED verrà preso in considerazione per dette macchine.
Operatività della Rete
Livelli di Servizio, Procedure, Connettività con la Rete Esterna
Si definiscono 5 livelli di operatività, da 1 a 5, dove 5 rappresenta il livello normale, mentre 1 è la situazione più critica. I livelli sono definiti con riferimento alla connettività verso l’esterno, attraverso il Firewall, ma potrebbero anche riflettere le condizioni dei servizi di rete interni.
|
DEFCON |
DEFINIZIONE |
INGRESSO |
USCITA |
LOG |
|
5 |
Normale |
Servizi Completi |
Servizi Completi |
Connessioni Amministrative |
|
4 |
Allarme |
Servizi Completi |
Servizi Completi |
Tutte |
|
3 |
Ridotta |
Servizi Essenziali |
Servizi Completi |
Tutte |
|
2 |
Essenziale |
Servizi Essenziali |
Servizi Essenziali |
Tutte |
|
1 |
Interrotta |
Connessioni Amministrative |
Connessioni Amministrative |
Tutte |
Elenco dei Servizi Abilitati citati nella tabella precedente. Le “Connessioni Amministrative” non sono a disposizione dell’utenza e quindi non verranno qui riportate. Con “Servizi Completi” si intende l’insieme dei servizi Essenziali più quelli Aggiuntivi. Il seguente elenco è comunque da interdersi indicativo e non esaustivo.
|
SERVIZI
ESSENZIALI |
SERVIZI
AGGIUNTIVI |
|
dns ping ssh,scp smtp |
http,https netmeeting ftp ntp pop3,imap protocolli
non standard |