|
L'AUTORITÀ
PER L'INFORMATICA
NELLA PUBBLICA AMMINISTRAZIONE
Vista la legge 7 agosto 1990, n. 241;
Vista la legge 5 febbraio 1992, n. 104;
Vista la legge 31 dicembre
1996, n. 675, e successive modificazioni ed integrazioni;
Vista la legge 16 giugno
1998, n. 191;
Vista la legge 12 marzo
1999, n. 68;
Visto il decreto legislativo
12 febbraio 1993, n. 39;
Visto
il decreto
legislativo 19
settembre 1994,
n. 626,
e successive modificazioni ed integrazioni;
Visto
il decreto del
Presidente della Repubblica 8 marzo 1999, n. 70;
Visto il decreto del Presidente della Repubblica 28 luglio 1999, n.
318;
Visto il decreto del
Presidente della Repubblica 28 dicembre 2000, n. 445;
Visto il
decreto del
Presidente del
Consiglio dei
Ministri 8 febbraio 1999;
Visto
il decreto
del Presidente
del Consiglio
dei Ministri 31
ottobre 2000;
Visto il decreto del
Ministro del lavoro e della previdenza sociale 2 ottobre 2000;
Vista la circolare n. 3/2001
del Ministro per la funzione pubblica;
Vista la deliberazione AIPA 23 novembre 2000, n. 51;
Delibera
di
emanare le
seguenti regole
tecniche in materia di telelavoro,
anche con
riferimento alla
rete unitaria
delle pubbliche
amministrazioni, alle
tecnologie per l'identificazione e alla tutela della sicurezza dei dati:
Regole
tecniche per il telelavoro
Art.
1
Definizioni
1. Ai fini della presente deliberazione si intende per:
a)
amministrazioni pubbliche:
le amministrazioni
previste dall'art. 1, comma 2, del decreto legislativo 3 febbraio
1993, n. 29;
b) documento
informatico delle
pubbliche amministrazioni:
la rappresentazione informatica
di atti,
fatti e dati formati
dalle amministrazioni pubbliche
o, comunque,
utilizzati ai
fini dell'attività istituzionale ed amministrativa;
c)
identificazione degli addetti al telelavoro: le modalità e le tecniche
previste per
il processo
di identificazione
ed autenticazione certa degli addetti al telelavoro;
d) postazione
di telelavoro:
l'insieme degli apparati hardware, software e
di rete
che consentono lo
svolgimento di attività di telelavoro;
e) sicurezza
delle tecnologie: la sicurezza organizzativa, fisica e logica sia delle
postazioni di lavoro sia delle risorse di supporto di tipo hardware,
software e di rete;
f) sicurezza
dei dati personali: la sicurezza ai sensi dell'art. 15 della legge
31 dicembre 1996, n. 675.
Art.
2
Ambito di applicazione
1. Ai sensi dell'art. 6 del decreto del Presidente della
Repubblica 8 marzo 1999,
n. 70,
la presente
deliberazione fissa le
regole tecniche per il telelavoro nelle pubbliche amministrazioni, anche
con riferimento alla rete
unitaria delle pubbliche amministrazioni, alle tecnologie
per l'identificazione
e alla tutela della sicurezza dei dati.
2. Le
regole tecniche
vengono adeguate
alle esigenze dettate
dall'evoluzione delle
conoscenze scientifiche
e tecnologiche, con cadenza almeno
biennale, a decorrere dalla data di entrata in vigore della presente
deliberazione.
Art.
3
Progetto di telelavoro
1. Il progetto
di telelavoro, previsto dall'art. 3 del decreto del Presidente della
Repubblica 8 marzo 1999, n. 70, deve specificare:
a) i
requisiti della
postazione di telelavoro, con le relative tecnologie
ed i servizi di supporto, nel rispetto delle disposizioni di cui al
decreto legislativo 19 settembre 1994, n. 626, e successive modificazioni;
b) le
modalità di
connessione quali
le rete
dell'amministrazione, dial-up fisso o mobile, Internet;
c) le
tecniche di
identificazione e
di autenticazione
degli addetti al telelavoro, l'utilizzo di chiavi di accesso o di codici
di identificazione, in
relazione a
quanto previsto
dal piano
di sicurezza
generale dell'amministrazione ed agli aspetti di sicurezza
specifici del
progetto, per
l'accesso sia ai documenti informatici sia
alle risorse
di rete dell'amministrazione di cui al successivo art. 5;
d) le
applicazioni informatiche
dell'amministrazione o
rese disponibili da
application server
provider per
conto dell'amministrazione;
e) le
modalità e
la periodicità delle verifiche di sicurezza adottate;
f) gli
eventuali processi di automazione indotti dal progetto di
telelavoro sulle procedure in atto;
g) gli
interventi di
formazione del
personale relativi
agli aspetti tecnici;
h) le
modalità di
acquisizione, di utilizzo e di manutenzione delle tecnologie;
i) la
tipologia e
le modalità
di formazione,
gestione e
conservazione dei
documenti informatici,
nel rispetto delle regole tecniche di
cui alla deliberazione
AIPA n. 51/2000 del 23 novembre 2000;
l) le
modalità di
scambio dei
documenti informatici
con l'amministrazione di
riferimento e,
ove previsto,
con le altre
amministrazioni o gli altri soggetti, pubblici e privati;
m) l'eventuale
uso della
firma digitale,
nel rispetto delle
regole tecniche
di cui al decreto del
Presidente del Consiglio dei Ministri 8 febbraio 1999 e successive
modificazioni e integrazioni;
n) i
tipi e
le modalità
delle verifiche
tecniche delle
prestazioni di telelavoro;
o) gli
aspetti relativi
alla sicurezza delle
tecnologie e dei dati personali;
p) le
modalità di
ripristino delle apparecchiature dedicate al telelavoro,
in caso
di guasti
o anomalie,
nel più breve tempo possibile e, comunque, entro le 24 ore dal
blocco delle attività;
q) gli
aspetti relativi
all'accessibilità per
le persone disabili
delle tecnologie
hardware e software di cui al successivo art.
6, con
particolare riferimento
alle interfacce
utente dei programmi applicativi relativamente alle attività
compatibili con la disabilità dell'operatore
ed in
funzione degli
obiettivi che il progetto si prefigge;
r) l'istituzione
di centri per l'assistenza tecnica agli addetti, anche disabili, al
telelavoro.
2. Il progetto
di telelavoro deve contenere un'analisi dei costi e benefici attesi.
Art.
4
§Requisiti di
sicurezza dei documenti informatici delle tecnologie e dei dati
personali
1. In relazione alle caratteristiche del progetto di
telelavoro, le amministrazioni definiscono le misure di sicurezza per le
tecnologie, i dati
personali e
i documenti informatici, ai sensi dell'art. 10 delle
regole tecniche di cui
alla deliberazione AIPA n. 51/2000 del 23 novembre 2000.
2. Le
azioni da
intraprendere in
ordine alla sicurezza
delle prestazioni di telelavoro devono essere tali da consentire almeno:
a)
l'identificazione degli
addetti al
telelavoro e
l'autorizzazione all'accesso delle risorse dell'amministrazione;
b) la
tracciabilità delle operazioni di rilevanza significativa
effettuate dagli addetti al telelavoro (aggiornamenti, cancellazioni,
accessi a particolari risorse hardware e software).
3. Le azioni di cui al precedente comma 2 non devono
consentire:
a) l'uso
indiscriminato di
Internet per il download di file non consentiti (file e programmi con una
particolare estensione);
b) l'accesso
alla rete in orari
differenti da quelli consentiti nell'ambito del piano di sicurezza;
c) la
modifica della
configurazione hardware
e software delle risorse di telelavoro.
4. Le
amministrazioni adottano
adeguate misure di sicurezza, ai sensi dell'art. 15 della legge 31
dicembre 1996, n. 675, e successive modificazioni
ed integrazioni. Le misure minime per la sicurezza dei dati
personali sono definite dal decreto del Presidente del Consiglio dei
Ministri 28 luglio 1999, n. 318.
Art.
5
Identificazione degli addetti al telelavoro e tipologie di telelavoro
1. Il processo
di identificazione degli addetti al telelavoro deve essere
conforme almeno
alle specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2
delle norme TSEC e, laddove necessario ai sensi del
decreto del Presidente della Repubblica n. 445/2000 e successive modificazioni,
deve prevedere
l'uso della
firma digitale o della carta d'identità elettronica.
2. Nel
caso in cui il collegamento delle postazioni di telelavoro alla
rete dell'amministrazione
avvenga utilizzando
servizi non erogati
dalla rete
unitaria della pubblica amministrazione, devono essere previste
opportune tecniche di crittografia che rendano sicuro il
canale di
trasmissione, ai fini
dell'integrità e riservatezza delle informazioni.
Art.
6
Accessibilità della strumentazione al personale disabile
1. Le
postazioni di
telelavoro, i
programmi, la documentazione degli strumenti
e dei servizi, le procedure di identificazione e di connessione
alla rete
per le
quali sia ritenuto
possibile e sia previsto l'accesso
alle persone con disabilità motoria e sensoriale devono
essere compatibili con le soluzioni tecniche e con gli ausili
disponibili per metterle in condizione di operare.
Roma, 31 maggio 2001
Il presidente: Zuliani
|