L'AUTORITà PER L'INFORMATICA NELLA
PUBBLICA AMMINISTRAZIONE
Vista la legge 7 agosto 1990, n. 241;
Vista la legge 5 febbraio 1992, n. 104;
Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni
ed integrazioni;
Vista la legge 16 giugno 1998, n. 191;
Vista la legge 12 marzo 1999, n. 68;
Visto il decreto legislativo 12 febbraio 1993, n. 39;
Visto il decreto legislativo 19 settembre 1994, n. 626, e
successive modificazioni ed integrazioni;
Visto il decreto del Presidente della Repubblica 8 marzo 1999, n.70;
Visto il decreto del Presidente della Repubblica 28 luglio 1999, n.
318;
Visto il decreto del Presidente della Repubblica 28 dicembre 2000,
n. 445;
Visto il decreto del Presidente del Consiglio dei Ministri 8 febbraio
1999;
Visto il decreto del Presidente del Consiglio dei Ministri 31 ottobre
2000;
Visto il decreto del Ministro del lavoro e della previdenza sociale
2 ottobre 2000;
Vista la circolare n. 3/2001 del Ministro per la funzione pubblica;
Vista la deliberazione AIPA 23 novembre 2000, n. 51;
Delibera
di emanare le seguenti regole tecniche
in materia di telelavoro,
anche con riferimento alla rete unitaria delle pubbliche
amministrazioni, alle tecnologie per l'identificazione e alla tutela
della sicurezza dei dati:
Regole tecniche per il telelavoro
Art. 1.
Definizioni
1. Ai fini della presente deliberazione
si intende per:
a) amministrazioni pubbliche: le amministrazioni previste dall'art. 1,
comma 2, del decreto legislativo 3 febbraio 1993, n. 29;
b) documento informatico delle pubbliche amministrazioni: la
rappresentazione informatica di atti, fatti e dati formati dalle
amministrazioni pubbliche o, comunque, utilizzati ai fini
dell'attività istituzionale ed amministrativa;
c) identificazione degli addetti al telelavoro: le modalità e le
tecniche previste per il processo di identificazione ed autenticazione
certa degli addetti al telelavoro;
d) postazione di telelavoro: l'insieme degli apparati hardware, software
e di rete che consentono lo svolgimento di attività di telelavoro;
e) sicurezza delle tecnologie: la sicurezza organizzativa, fisica e
logica sia delle postazioni di lavoro sia delle risorse di supporto di
tipo hardware, software e di rete;
f) sicurezza dei dati personali: la sicurezza ai sensi dell'art. 15
della legge 31 dicembre 1996, n. 675.
Art. 2.
Ambito di applicazione
1. Ai sensi dell'art. 6 del decreto del
Presidente della Repubblica 8 marzo 1999, n. 70, la presente
deliberazione fissa le regole tecniche per il telelavoro nelle pubbliche
amministrazioni, anche con
riferimento alla rete unitaria delle pubbliche amministrazioni, alle
tecnologie per l'identificazione e alla tutela della sicurezza dei dati.
2. Le regole tecniche vengono adeguate alle esigenze dettate
dall'evoluzione delle conoscenze scientifiche e tecnologiche, con
cadenza almeno biennale, a decorrere dalla data di entrata in vigore
della presente deliberazione.
Art. 3.
Progetto di telelavoro
1. Il progetto di telelavoro, previsto
dall'art. 3 del decreto del Presidente della Repubblica 8 marzo 1999, n.
70, deve specificare:
a) i requisiti della postazione di telelavoro, con le relative
tecnologie ed i servizi di supporto, nel rispetto delle disposizioni di
cui al decreto legislativo 19 settembre 1994, n. 626, e successive
modificazioni;
b) le modalità di connessione quali le rete dell'amministrazione,
dial-up fisso o mobile, Internet;
c) le tecniche di identificazione e di autenticazione degli addetti al
telelavoro, l'utilizzo di chiavi di accesso o di codici di
identificazione, in relazione a quanto previsto dal piano di sicurezza
generale dell'amministrazione ed agli aspetti di sicurezza specifici del
progetto, per l'accesso sia ai documenti informatici sia alle risorse di
rete dell'amministrazione di cui al successivo art. 5;
d) le applicazioni informatiche dell'amministrazione o rese disponibili
da application server provider per conto dell'amministrazione;
e) le modalità e la periodicità delle verifiche di sicurezza adottate;
f) gli eventuali processi di automazione indotti dal progetto di
telelavoro sulle procedure in atto;
g) gli interventi di formazione del personale relativi agli aspetti
tecnici;
h) le modalità di acquisizione, di utilizzo e di manutenzione delle
tecnologie;
i) la tipologia e le modalità di formazione, gestione e conservazione
dei documenti informatici, nel rispetto delle regole tecniche di cui
alla deliberazione AIPA n. 51/2000 del 23 novembre 2000;
l) le modalità di scambio dei documenti informatici con
l'amministrazione di riferimento e, ove previsto, con le altre
amministrazioni o gli altri soggetti, pubblici e privati;
m) l'eventuale uso della firma digitale, nel rispetto delle regole
tecniche di cui al decreto del Presidente del Consiglio dei Ministri 8
febbraio 1999 e successive modificazioni e integrazioni;
n) i tipi e le modalità delle verifiche tecniche delle prestazioni di
telelavoro;
o) gli aspetti relativi alla sicurezza delle tecnologie e dei dati
personali;
p) le modalità di ripristino delle apparecchiature dedicate al
telelavoro, in caso di guasti o anomalie, nel piu' breve tempo possibile
e, comunque, entro le 24 ore dal blocco delle attività;
q) gli aspetti relativi all'accessibilità per le persone disabili delle
tecnologie hardware e software di cui al successivo art. 6, con
particolare riferimento alle interfacce utente dei programmi applicativi
relativamente alle attività compatibili con la disabilità
dell'operatore ed in funzione degli obiettivi che il progetto si
prefigge;
r) l'istituzione di centri per l'assistenza tecnica agli addetti, anche
disabili, al telelavoro.
2. Il progetto di telelavoro deve contenere un'analisi dei costi e
benefici attesi.
Art. 4.
Requisiti di sicurezza dei documenti informatici delle tecnologie e dei
dati personali
1. In relazione alle caratteristiche
del progetto di telelavoro, le amministrazioni definiscono le misure di
sicurezza per le tecnologie, i dati personali e i documenti informatici,
ai sensi dell'art. 10 delle regole tecniche di cui alla deliberazione
AIPA n. 51/2000 del 23 novembre 2000.
2. Le azioni da intraprendere in ordine alla sicurezza delle prestazioni
di telelavoro devono essere tali da consentire almeno:
a) l'identificazione degli addetti al telelavoro e l'autorizzazione
all'accesso delle risorse dell'amministrazione;
b) la tracciabilità delle operazioni di rilevanza significativa
effettuate dagli addetti al telelavoro (aggiornamenti, cancellazioni,
accessi a particolari risorse hardware e software).
3. Le azioni di cui al precedente comma 2 non devono consentire:
a) l'uso indiscriminato di Internet per il download di file non
consentiti (file e programmi con una particolare estensione);
b) l'accesso alla rete in orari differenti da quelli consentiti
nell'ambito del piano di sicurezza;
c) la modifica della configurazione hardware e software delle risorse di
telelavoro.
4. Le amministrazioni adottano adeguate misure di sicurezza, ai sensi
dell'art. 15 della legge 31 dicembre 1996, n. 675, e successive
modificazioni ed integrazioni. Le misure minime per la sicurezza dei
dati personali sono definite dal decreto del Presidente del Consiglio
dei Ministri 28 luglio 1999, n. 318.
Art. 5.
Identificazione degli addetti al telelavoro e tipologie di telelavoro
1. Il processo di identificazione degli
addetti al telelavoro deve essere conforme almeno alle specifiche
previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TSEC e,
laddove necessario ai sensi del decreto del Presidente della Repubblica
n. 445/2000 e successive
modificazioni, deve prevedere l'uso della firma digitale o della carta
d'identità elettronica.
2. Nel caso in cui il collegamento delle postazioni di telelavoro alla
rete dell'amministrazione avvenga utilizzando servizi non erogati dalla
rete unitaria della pubblica amministrazione, devono
essere previste opportune tecniche di crittografia che rendano sicuro il
canale di trasmissione, ai fini dell'integrità e riservatezza delle
informazioni.
Art. 6.
Accessibilità della strumentazione al personale disabile
1. Le postazioni di telelavoro, i
programmi, la documentazione degli strumenti e dei servizi, le procedure
di identificazione e di connessione alla rete per le quali sia ritenuto
possibile e sia
previsto l'accesso alle persone con disabilità motoria e sensoriale
devono essere compatibili con le soluzioni tecniche e con gli ausili
disponibili per metterle in condizione di operare.
Roma, 31 maggio 2001
Il presidente: Zuliani |