Art. 6 - Sicurezza

Art. 6 - Sicurezza

1. Il Rettore, sentito il Direttore del GESTORE, istituisce il "Nucleo sulla Sicurezza Informatica" (NSI), nominandone contestualmente il Presidente.

a) L’NSI è costituito da un minimo di 3 ad un massimo di 5 membri, di cui di diritto il Responsabile del GESTORE, un esperto in sicurezza informatica in ambito sanitario ed uno in giurisprudenza in ambito informatico.

b) L’NSI è affiancato da un gruppo di esperti nei protocolli di rete ed applicativi, nominati dal Rettore tra il personale dell'Ateneo e di altri Enti in convenzione con l'Ateneo, che condividono parte della SIRA.

c) Il Presidente convoca almeno una volta all’anno l’NSI integrato dal gruppo di esperti.

2. L’NSI definisce e propone le linee guida da attuare per mantenere e ripristinare la sicurezza informatica generale e le comunica ai referenti delle Strutture, che sono obbligate a metterle in atto nei tempi da esso indicati. L’esperto in sicurezza informatica in ambiente sanitario, di cui al comma 1.a, è deputato ad autorizzare servizi che coinvolgano la connessione fra entità sanitarie, anche per scopi di didattica e ricerca. Per tutti gli altri servizi che richiedono un’autorizzazione l’NSI delega un proprio membro o un esperto all’ordinaria amministrazione.

3. Tutti i sistemi in rete devono essere mantenuti costantemente in adeguate condizioni di sicurezza.

a) Le Strutture che offrono servizi informatici attraverso server e servizi di connessione sono tenute a conservare per il periodo previsto dalla normativa vigente la registrazione degli accessi ai servizi per consentire eventuali indagini interne o esterne aventi per oggetto l’uso improprio delle risorse.

b) Le strutture dovranno garantire l'utenza che dette registrazioni non sono disponibili ad alcuno se non nei casi previsti dal decreto legislativo 30 giugno 2003, n. 196 e s.m.i. (T.U Privacy).

c) I referenti delle Strutture sono tenuti a segnalare immediatamente al GESTORE intrusioni o tentativi di intrusione che abbiano avuto come oggetto elaboratori della propria Struttura, dichiarando la disponibilità di registrazioni utili, di cui alla lettera (a).

d) Ove il GESTORE rilevi l'inadeguatezza di un sistema per quanto concerne la sicurezza diretta o indiretta,o rilevi casi di uso scorretto o improprio della rete attraverso tale sistema, detto sistema deve essere immediatamente ripristinato secondo le indicazioni fornite, o staccato dalla rete a cura della Struttura di appartenenza fino alla messa in sicurezza. In difetto dell'azione da parte della Struttura, il GESTORE mette in atto tutti gli accorgimenti tecnici ad esso disponibili per disattivare ogni trasporto sul SIRA relativo al sistema inadeguato, sino all’intervento correttivo operato dalla Struttura.

admin