A.I.P.A. (AUTORITA’ PER L’INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE)
DELIBERAZIONE DEL 31 MAGGIO 2001 N. 16
"REGOLE TECNICHE PER IL TELELAVORO AI SENSI DELL’ART.6 DEL D.P.R. 8.3.99 N. 70"
(G.U. 2.7.2001 n.151)
ARTICOLO 1.
DEFINIZIONI
1. Ai fini della presente deliberazione si intende per:
a) amministrazioni pubbliche: le amministrazioni previste dall’art. 1, comma 2, del decreto legislativo 3 febbraio 1993, n. 29;
b) documento informatico delle pubbliche amministrazioni: la rappresentazione informatica di atti, fatti e dati formati dalle amministrazioni pubbliche o, comunque, utilizzati ai fini dell’attivita’ istituzionale ed amministrativa;
c) identificazione degli addetti al telelavoro: le modalita’ e le tecniche previste per il processo di identificazione ed autenticazione certa degli addetti al telelavoro;
d) postazione di telelavoro: l’insieme degli apparati hardware, software e di rete che consentono lo svolgimento di attivita’ di telelavoro;
e) sicurezza delle tecnologie: la sicurezza organizzativa, fisica e logica sia delle postazioni di lavoro sia delle risorse di supporto di tipo hardware, software e di rete;
f) sicurezza dei dati personali: la sicurezza ai sensi dell’art. 15 della legge 31 dicembre 1996, n. 675.
ARTICOLO 2.
AMBITO DI APPLICAZIONE
1. Ai sensi dell’art. 6 del decreto del Presidente della Repubblica 8 marzo 1999, n. 70, la presente deliberazione fissa le regole tecniche per il telelavoro nelle pubbliche amministrazioni, anche con riferimento alla rete unitaria delle pubbliche amministrazioni, alle tecnologie per l’identificazione e alla tutela della sicurezza dei dati.
2. Le regole tecniche vengono adeguate alle esigenze dettate dall’evoluzione delle conoscenze scientifiche e tecnologiche, con cadenza almeno biennale, a decorrere dalla data di entrata in vigore della presente deliberazione.
ARTICOLO 3.
PROGETTO DI TELELAVORO
1. Il progetto di telelavoro, previsto dall’art. 3 del decreto del Presidente della Repubblica 8 marzo 1999, n. 70, deve specificare:
a) i requisiti della postazione di telelavoro, con le relative tecnologie ed i servizi di supporto, nel rispetto delle disposizioni di cui al decreto legislativo 19 settembre 1994, n. 626, e successive modificazioni;
b) le modalita’ di connessione quali le rete dell’amministrazione, dial-up fisso o mobile, Internet;
c) le tecniche di identificazione e di autenticazione degli addetti al telelavoro, l’utilizzo di chiavi di accesso o di codici di identificazione, in relazione a quanto previsto dal piano di
sicurezza generale dell’amministrazione ed agli aspetti di sicurezza specifici del progetto, per l’accesso sia ai documenti informatici sia alle risorse di rete dell’amministrazione di cui al successivo art. 5;
d) le applicazioni informatiche dell’amministrazione o rese disponibili da application server provider per conto dell’amministrazione;
e) le modalita’ e la periodicita’ delle verifiche di sicurezza adottate;
f) gli eventuali processi di automazione indotti dal progetto di telelavoro sulle procedure in atto;
g) gli interventi di formazione del personale relativi agli aspetti tecnici;
h) le modalita’ di acquisizione, di utilizzo e di manutenzione delle tecnologie;
i) la tipologia e le modalita’ di formazione, gestione e conservazione dei documenti informatici, nel rispetto delle regole tecniche di cui alla deliberazione AIPA n. 51/2000 del 23 novembre
2000;
l) le modalita’ di scambio dei documenti informatici con l’amministrazione di riferimento e, ove previsto, con le altre amministrazioni o gli altri soggetti, pubblici e privati;
m) l’eventuale uso della firma digitale, nel rispetto delle regole tecniche di cui al decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 e successive modificazioni e integrazioni;
n) i tipi e le modalita’ delle verifiche tecniche delle prestazioni di telelavoro;
o) gli aspetti relativi alla sicurezza delle tecnologie e dei dati personali;
p) le modalita’ di ripristino delle apparecchiature dedicate al telelavoro, in caso di guasti o anomalie, nel piu’ breve tempo possibile e, comunque, entro le 24 ore dal blocco delle attivita’;
q) gli aspetti relativi all’accessibilita’ per le persone disabili delle tecnologie hardware e software di cui al successivo art. 6, con particolare riferimento alle interfacce utente dei
programmi applicativi relativamente alle attivita’ compatibili con la disabilita’ dell’operatore ed in funzione degli obiettivi che il progetto si prefigge;
r) l’istituzione di centri per l’assistenza tecnica agli addetti, anche disabili, al telelavoro.
2. Il progetto di telelavoro deve contenere un’analisi dei costi e benefici attesi.
ARTICOLO 4.
REQUISITI DI SICUREZZA DEI DOCUMENTI INFORMATICI DELLE TECNOLOGIE E DEI DATI PERSONALI
1. In relazione alle caratteristiche del progetto di telelavoro, le amministrazioni definiscono le misure di sicurezza per le tecnologie, i dati personali e i documenti informatici, ai sensi dell’art. 10 delle regole tecniche di cui alla deliberazione AIPA n. 51/2000 del 23 novembre 2000.
2. Le azioni da intraprendere in ordine alla sicurezza delle prestazioni di telelavoro devono essere tali da consentire almeno:
a) l’identificazione degli addetti al telelavoro e l’autorizzazione all’accesso delle risorse dell’amministrazione;
b) la tracciabilita’ delle operazioni di rilevanza significativa effettuate dagli addetti al telelavoro (aggiornamenti, cancellazioni, accessi a particolari risorse hardware e software).
3. Le azioni di cui al precedente comma 2 non devono consentire:
a) l’uso indiscriminato di Internet per il download di file non consentiti (file e programmi con una particolare estensione);
b) l’accesso alla rete in orari differenti da quelli consentiti nell’ambito del piano di sicurezza;
c) la modifica della configurazione hardware e software delle risorse di telelavoro.
4. Le amministrazioni adottano adeguate misure di sicurezza, ai sensi dell’art. 15 della legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni. Le misure minime per la sicurezza dei dati personali sono definite dal decreto del Presidente del Consiglio dei Ministri 28 luglio 1999, n. 318.
ARTICOLO 5.
IDENTIFICAZIONE DEGLI ADDETTI AL TELELAVORO E TIPOLOGIE DI TELELAVORO
1. Il processo di identificazione degli addetti al telelavoro deve essere conforme almeno alle specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TSEC e, laddove necessario ai sensi del decreto del Presidente della Repubblica n. 445/2000 e successive modificazioni, deve prevedere l’uso della firma digitale o della carta d’identita’ elettronica.
2. Nel caso in cui il collegamento delle postazioni di telelavoro alla rete dell’amministrazione avvenga utilizzando servizi non erogati dalla rete unitaria della pubblica amministrazione, devono
essere previste opportune tecniche di crittografia che rendano sicuro il canale di trasmissione, ai fini dell’integrita’ e riservatezza delle informazioni.
ARTICOLO 6.
ACCESSIBILITA’ DELLA STRUMENTAZIONE AL PERSONALE DISABILE
1. Le postazioni di telelavoro, i programmi, la documentazione degli strumenti e dei servizi, le procedure di identificazione e di connessione alla rete per le quali sia ritenuto possibile e sia
previsto l’accesso alle persone con disabilita’ motoria e sensoriale devono essere compatibili con le soluzioni tecniche e con gli ausili disponibili per metterle in condizione di operare.
————
N O T A
Si riportano le premesse al presente atto:
"L’AIPA
Vista la legge 7 agosto 1990, n. 241;
Vista la legge 5 febbraio 1992, n. 104;
Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni;
Vista la legge 16 giugno 1998, n. 191;
Vista la legge 12 marzo 1999, n. 68;
Visto il decreto legislativo 12 febbraio 1993, n. 39;
Visto il decreto legislativo 19 settembre 1994, n. 626, e successive modificazioni ed integrazioni;
Visto il decreto del Presidente della Repubblica 8 marzo 1999, n. 70;
Visto il decreto del Presidente della Repubblica 28 luglio 1999, n. 318;
Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
Visto il decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999;
Visto il decreto del Presidente del Consiglio dei Ministri 31 ottobre 2000;
Visto il decreto del Ministro del lavoro e della previdenza sociale 2 ottobre 2000;
Vista la circolare n. 3/2001 del Ministro per la funzione pubblica;
Vista la deliberazione AIPA 23 novembre 2000, n. 51;
Delibera di emanare le seguenti regole tecniche in materia di telelavoro, anche con riferimento alla rete unitaria delle pubbliche amministrazioni, alle tecnologie per l’identificazione e alla tutela della sicurezza dei dati:…"