DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Bellegra.pdf · alle risorse del sistema operativo di un...

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (ai sensi dell’art. 34 e regola 19 dell'Allegato B del Codice in materia di protezione dei dati personali

del D.L.vo N. 196 del 30/06/2003)

1

PREMESSA

Scopo di questo documento è stabilire le misure di sicurezza organizzative, fisiche e logiche da adottare affinché siano rispettati gli obblighi, in materia di sicurezza del trattamento dei dati effettuato dall ‘ ISTITUTO COMPRENSIVO “FRANCESCO D’ASSISI, previsti dal D.L.vo 30/06/2003 Num. 196 "Codice in materia di protezione dei dati personali".

Il suddetto istituto comprende anche la scuola dell’infanzia, primaria e secondaria situate nei Comuni di Bellegra, Rocca Santo Stefano e Roiate.

Il trattamento dei dati avviene nei locali sensibili (segreteria ed ufficio del Dirigente) situati presso la scuola secondaria di Bellegra.

Il presente documento è stato redatto dal Dirigente Scolastico, Prof. Luigi Lanciotti, in qualità di responsabile della sicurezza, che provvede a firmarlo in calce.

Eventuali situazioni di deviazione accertate rispetto a quanto precisato nel presente documento dovranno essere rimosse nel più breve tempo possibile.

Articolo 1

NORMATIVA DI RIFERIMENTO

• D.L.vo n. 196 del 30/06/2003;

• Regolamento per l'utilizzo della rete.

Articolo 2

DEFINIZIONI E RESPONSABILITÀ

AMMINISTRATORE DI SISTEMA: il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l'utilizzazione. In questo contesto l'amministratore di sistema assume anche le funzioni di amministratore di rete, ovvero del soggetto che deve sovrintendere alle risorse di rete e di consentirne l'utilizzazione. L'amministratore deve essere un soggetto fornito di esperienza, capacità e affidabilità nella gestione delle reti locali. Ai fini della sicurezza l'amministratore di sistema ha le responsabilità indicate nella lettera di incarico.

CUSTODE DELLE PASSWORD: il soggetto cui è conferito la gestione delle password degli incaricati del trattamento dei dati in conformità ai compiti indicati nella lettera di incarico.


del D.L.vo N. 196 del 30/06/2003)

2

DATI ANONIMI: i dati che in origine, o a seguito di trattamento, non possono essere associati a un interessato identificato o identificabile.

DATI PERSONALI: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

DATI IDENTIFICATIVI: i dati personali che permettono l’identificazione diretta dell’interessato. DATI SENSIBILI: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

DATI GIUDIZIARI: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.

INCARICATO: il soggetto, nominato dal titolare o dal responsabile del trattamento, che tratta i dati. L’incaricato del trattamento dei dati, con specifico riferimento alla sicurezza, ha le responsabilità indicate nella lettera di incarico.

INTERESSATO: il soggetto al quale si riferiscono i dati personali.

RESPONSABILE DELLA SICUREZZA INFORMATICA: il soggetto preposto dal titolare alla gestione della sicurezza informatica. La designazione di un responsabile è facoltativa e non esonera da responsabilità il titolare, il quale ha comunque l'obbligo di impartirgli precise istruzioni e di vigilare sull'attuazione di queste. Il responsabile deve essere un soggetto fornito di esperienza, capacità e affidabilità nella gestione delle reti locali. Ai fini della sicurezza il responsabile del sistema informativo ha le responsabilità indicate nella lettera di incarico.

Articolo 3

TITOLARE, RESPONSABILI, INCARICATI

Titolare del trattamento: Il Dirigente Scolastico, Prof. Luigi Lanciotti

Responsabile del trattamento dei dati: Il D.S.G.A., Sig. Anselmo Albensi

Responsabile della sicurezza informatica: Fusion Technology s.r.l in persona del suo legale rappresentante pro-tempore Sig. Luigi Testani.

Amministratore della rete: Fusion Technology s.r.l in persona del suo legale


del D.L.vo N. 196 del 30/06/2003)

3

rappresentante pro-tempore Sig. Luigi Testani.

Custode delle passwords: Il Dirigente Scolastico e Il D.S.G.A.

Incaricati del trattamento dei dati: come da allegato 1

Incaricato dell'assistenza e della manutenzione degli strumenti elettronici:

Fusion Technology s.r.l in persona del suo legale rappresentante pro-tempore Sig. Luigi Testani.

a) - IL TITOLARE DEL TRATTAMENTO (art. 28 D.L.vo 196/2003)

Titolare del trattamento, come definito nella Premessa, è il legale rappresentante di questa Istituzione Scolastico, il Dirigente Scolastico Prof. Luigi Lanciotti

( C.F.: LNCLGU51A29I9992T).

E’ onere del Titolare del trattamento individuare, nominare e incaricare per iscritto uno o più Responsabili del trattamento dei dati, che assicurino e garantiscano che vengano adottate le misure di sicurezza.

Il Titolare del trattamento affida al Responsabile del trattamento dei dati il compito di adottare le misure tese a ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati medesimi, anche accidentale, l’accesso non autorizzato o il trattamento non consentito, previe istruzioni fornite per iscritto (art. 31 D.L.vo 196/2003).

b) - RESPONSABILE DEL TRATTAMENTO IL (art. 29 D.L.vo 196/2003)

In relazione all’attività del Titolare del trattamento, è prevista la nomina di uno o più Responsabili del trattamento, con compiti diversi a seconda delle funzioni svolte.

Il Responsabile è individuato tra soggetti che per esperienza , capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

I compiti affidati al Responsabile sono analiticamente specificati per iscritto dal Titolare (art. 29 c. 4 D. L.vo 196/03). Il Titolare del trattamento affida al Responsabile del trattamento l’onere di individuare, nominare ed indicare per iscritto gli Incaricati del trattamento.

In particolare, il Titolare del trattamento individua, designa e nomina quale Rappresentante del trattamento dei dati il D.S.G.A. di questa Istituzione Scolastica, Sig. Anselmo Albensi( C.F.: LBNNLM47C12H441X).

Il Responsabile del trattamento dei dati ha il compito di:

Redigere ed aggiornare ad ogni variazione l’elenco dei sistemi di elaborazione

connessi in rete, nonché l’elenco delle tipologie dei trattamenti effettuati;

Individuare, nominare e incaricare per iscritto un incaricato della gestione e

della manutenzione degli strumenti elettronici.


del D.L.vo N. 196 del 30/06/2003)

4

Designare e individuare gli incaricati del trattamento dei dati personali

appartenenti ai profili professionali del personale ATA, e conferire agli stessi

l’incarico con atto scritto contenente puntuali istruzioni relativi agli ambiti di

trattamento consentiti.

Verificare con cadenza almeno semestrale , l’efficacia dei programmi di protezione ed antivirus, nonché definire le modalità di accesso ai locali;

Informare il Titolare nella eventualità che si siano rilevati dei rischi.

Altresì al Responsabile del trattamento dei dati è affidato il compito di gestire e

custodire le password per l’accesso ai dati da parte degli Incaricati. Egli

predispone, per ogni Incaricato del trattamento, una busta sulla quale è indicato lo

USER–ID utilizzato: all’interno della busta deve essere indicata la password utilizzata

dall’ Incaricato per accedere alla banca-dati.

Le buste con le password debbono essere conservate in luogo chiuso e protetto (nell’armadio blindato collocato nel corridoio antistante gli uffici di segreteria).

Il Titolare del trattamento dei dati informa il Responsabile sulle responsabilità che gli

sono affidate in relazione a quanto disposto dalle normative in vigore fornendogli

una copia di tutte le norme che riguardano la sicurezza del trattamento dei dati in

vigore al momento della nomina.

La nomina del Responsabile del trattamento è a tempo indeterminato, decade per revoca in qualsiasi momento o con il venir meno dei compiti che giustificavano il trattamento.

c) - GLI INCARICATI DEL TRATTAMENTO (art. 30 D.L.vo 196/2003)

Al Responsabile del trattamento è affidato il compito di nominare, con

comunicazione scritta, gli Incaricati del trattamento dei dati.

La designazione di ciascun Incaricato del trattamento dei dati deve essere


del D.L.vo N. 196 del 30/06/2003)

5

effettuata con lettera di incarico in cui sono ben specificati i compiti che gli sono affidati e l’ambito del trattamento consentito.

Gli Incaricati del trattamento devono ricevere idonee ed analitiche istruzioni scritte, anche per gruppi omogenei di lavoro, sulle mansioni loro affidate e sugli adempimento cui sono tenuti.

Agli Incaricati deve essere assegnata una parola chiave e un codice identificativo personale.

La nomina degli Incaricati del trattamento deve essere controfirmata dall’interessato per presa visione.

In particolare, tenuto conto del piano di lavoro e delle attività predisposto dal DSGA per l’a.s. 2006/07 e adottato dal D.S., il Responsabile del trattamento individua e

nomina i seguenti Incaricati con annesso ambito del trattamento dei dati consentito:

I°- Area protocollo, archivio ed affari generali

FABI ROSA (C:F.:FBARSO58H49H441L)

Tenuta registro protocollo;

Sportello informazioni interna ed esterna;

Supporto alla Dirigenza e rapporti informazioni con la stessa ed altri uffici;

Rapporti con il comune;

Coordinamento delibere verbali organi collegiali, GLH d’istituto e loro divulgazione;

Smistamento della corrispondenza all’interno dell’ufficio; spedizione della corrispondenza;

Archivio corrente e storico; archiviazione atti e fascicoli personali docenti e ATA;

Elezioni, controllo adempimenti;

TFR e disoccupazione;

Supporto Pof;

II° – Area alunni

(Scuola Infanzia e primaria)


del D.L.vo N. 196 del 30/06/2003)

6

MARTINI MARILENA (C.F.. MRTMLN60A69G022F)

Informazione utenza interna ed esterna (controllo osservanza normativa privacy)- iscrizioni alunni- Gestione registro matricolare - Tenuta fascicoli documenti alunni - Richiesta o trasmissione documenti - Gestione corrispondenza con le famiglie - Gestione statistiche- Gestione schede valutazione, tabelloni scrutini, gestione assenze e ritardi - Gestione e procedure per sussidi –

Gestione organizzativa viaggi d’istruzione.

Certificazione varie e tenuta registri e relativa archiviazione - esoneri educazione fisica - infortuni alunni /denuncia INAIL, Assicurazione ministeriale/Assicurazione integrativa per infortuni o R.C.) - Adozione libri di testo - pratiche portatori di handicap, in riferimento alla convocazioni dei G.L.H.O. - per monitoraggio relativi agli alunni - Stesura verbali - Esami – Mensa scolastica (organizzazione giornaliera, rendicontazione periodica) – Servizi di assistenza agli alunni. Rapporti con le scuole statali e private (relativamente agli alunni).

Infortunio del personale: denuncia INAIL, Assicurazione, ecc;

TFR e disoccupazione;

Elezioni e convocazioni Consigli di classe ed intersezione ;

Organico docenti, sostegno ed ATA ;

Posta elettronica;

Supporto al Pof e controllo dell’osservanza normativa privacy;

(Scuola Secondaria)

MATTEI MASSIMO (C.F.:MTTMSM44P13H501B)

Informazione utenza interna ed esterna (controllo osservanza normativa privacy)- iscrizioni alunni- Gestione registro matricolare - Tenuta fascicoli documenti alunni - Richiesta o trasmissione documenti - Gestione corrispondenza con le famiglie - Gestione statistiche- Gestione schede valutazione, tabelloni scrutini, gestione assenze e ritardi - Gestione e procedure per sussidi –


del D.L.vo N. 196 del 30/06/2003)

7

Gestione organizzativa viaggi d’istruzione.

Certificazione varie e tenuta registri e relativa archiviazione - esoneri educazione fisica - infortuni alunni /denuncia INAIL, Assicurazione ministeriale/Assicurazione integrativa per infortuni o R.C.) - Adozione libri di testo - pratiche portatori di handicap, in riferimento alla convocazioni dei G.L.H.O. - per monitoraggio relativi agli alunni - Stesura verbali - Esami – Mensa scolastica (organizzazione giornaliera, rendicontazione periodica) – Servizi di assistenza agli alunni. Rapporti con le scuole statali e private (relativamente agli alunni).

Infortunio del personale: denuncia INAIL, Assicurazione, ecc;

Elezioni e convocazioni Consigli di classe ed intersezione ;

Organico docenti, sostegno ed ATA ;

Posta elettronica;

Supporto al Pof e controllo dell’osservanza normativa privacy;

III°- Area settore amministrativo contabile

MATTEI MASSIMO (C.F.: MTTMSM44P13H501B)

Contabilizzazione competenze fondamentali ed accessorie (personale a tempo determinato pagato dalla scuola), Cud, TFR e disoccupazione;

Anagrafe delle prestazioni: richiesta autorizzazioni, rilascio autorizzazioni, trasmissione dati al Dipartimento della funzione Pubblica;

Contratti d’opera;

Competenze fiscali (modello 770-IRAP, versamenti INPS);

Aggiornamento programmi Sissi;

Ordinazioni materiali;

Supporto al Pof e controllo osservanza normativa privacy;


del D.L.vo N. 196 del 30/06/2003)

8

IV° Area Personale

(scuola primaria ed infanzia)

MARTINI MARILENA(C.F.: MRTMLN60A69G022F) Amministrazione del personale

PERSONALE ATA: Cura la tenuta di tutti i fascicoli personali, è addetta a tutte le pratiche che vanno dalle assunzioni in servizio al pensionamento. (Controllo documenti di rito all’atto dell’assunzione e relativa spedizione agli uffici competenti, domande di ricostruzione di carriera, riconoscimento dei servizi pre-ruolo ai fini della pensione e buonuscita, domande di ricongiungimento periodi assicurativi – L.29/79, ecc.) e tutto quanto richiesto dal personale in servizio. E’ responsabile di tutti i dati che vanno richiesti al momento dell’assunzione e degli stessi successivamente modificati (informativa Privacy, compilazione stato del personale, dati da inserire per pagamento compensi fondamentali ed accessori,, ferie, ecc.). Ricostruzioni di carriera. Anagrafe personale –Preparazione documenti periodo di prova .

Gestisce le domande di supplenza ( collabora con il D.S., o commissione predisposta, a valutare nuove domande di inserimento/aggiornamento alle relative “fasce” del personale ATA, inserisce i relativi dati al sistema centrale, segue eventuali ricorsi e relativi aggiornamenti); Graduatorie supplenze - Compilazione graduatorie interne, per ata e docenti, ecc.

Convocazioni attribuzione supplenze. Emissione contratti di lavoro personale docente T.D. e T.I.;

Comunicazione telematica contratti (personale pagato dalla D.P.T.); Controllo pagamento effettuato DPT;

Inserimento dati al SIMPI;

Registra le varie assenze dal servizio, emette i relativi decreti che invierà eventualmente alla segreteria amministrativa, Ragioneria Prov.le dello Stato, D.P.T. ecc.

Gestione fascicoli personali;

Rilascio certificati di servizio;

Richiesta visite fiscali;

Trasmissione dati di carattere sindacale

Accertamento orario personale ATA (ritardi, permessi e recuperi, banca delle ore, ecc.). Comunicazione mensile delle ore straordinarie.


del D.L.vo N. 196 del 30/06/2003)

9


Posta elettronica;


Supporto Pof;

Controllo osservanza normativa privacy;

(scuola secondaria)

MATTEI MASSIMO (C.F.MTTMSM44P13H501B) Amministrazione personale

PERSONALE ATA: Cura la tenuta di tutti i fascicoli personali, è addetta a tutte le pratiche che vanno dalle assunzioni in servizio al pensionamento. (Controllo documenti di rito all’atto dell’assunzione e relativa spedizione agli uffici competenti, domande di ricostruzione di carriera, riconoscimento dei servizi pre-ruolo ai fini della pensione e buonuscita, domande di ricongiungimento periodi assicurativi – L.29/79, ecc.) e tutto quanto richiesto dal personale in servizio. E’ responsabile di tutti i dati che vanno richiesti al momento dell’assunzione e degli stessi successivamente modificati (informativa Privacy, compilazione stato del personale, dati da inserire per pagamento compensi fondamentali ed accessori,, ferie, ecc.). Ricostruzioni di carriera. Anagrafe personale –Preparazione documenti periodo di prova .

Gestisce le domande di supplenza ( collabora con il D.S., o commissione predisposta, a valutare nuove domande di inserimento/aggiornamento alle relative “fasce” del personale ATA, inserisce i relativi dati al sistema centrale, segue eventuali ricorsi e relativi aggiornamenti); Graduatorie supplenze ;

Convocazioni attribuzione supplenze. Emissione contratti di lavoro personale docente T.D. e T.I.;

Comunicazione telematica contratti (personale pagato dalla D.P.T.); Controllo pagamento effettuato DPT;

Inserimento dati al SIMPI;

Registra le varie assenze dal servizio, emette i relativi decreti che invierà eventualmente alla segreteria amministrativa, Ragioneria Prov.le dello Stato, D.P.T. ecc.

Gestione fascicoli personali;

Rilascio certificati di servizio;


del D.L.vo N. 196 del 30/06/2003)

10

Trasmissione dati di carattere sindacale


Posta elettronica;


Supporto Pof;

Controllo osservanza normativa privacy.

L’aver indicato sommariamente le funzioni ad ogni Assistente Amministrativo non comporta rigidità nell’espletamento del proprio lavoro in quanto il personale assegnato in ogni Ufficio è comunque tenuto a conoscere tutte le funzioni nonché l’attività lavorativa dei colleghi e sostituirli in caso di assenza.

Area collaboratori scolastici

Ceci Valter (C.F.: CCEVTR61S17H441E)), in servizio presso la sede centrale;

Miozzi Otello (C.F. MZZTLL49M06G022J), in servizio presso la sede centrale;

Urpiani Ennio ( C.F. :LPNNNE50C16H441A), in servizio presso la sede centrale;

Ceci Domenico(C.F.: CCEDNC55D05A749R), in servizio presso la scuola primaria di Bellegra;

Pardeo Salvatore (C.F.:PRDSVT 50P12G288E),in servizio presso la scuola primari di Bellegra;

Colanera Elvira ( C.F.: CLNLVR67E48H441S),in servizio presso la scuola dell’infanzia di Bellegra;

Tomasi Anna(C.F.:TMSNNA63P61H441O), in servizio presso la scuola dell’infanzia di Bellegra;

Lauri Lidia (C.F.:LRALDI40P56H441W, in servizio presso la scuola dell’infanzia di Rocca Santo Stefano;

Mori Margherita(C.F.:MROMGH44B58I992E),in servizio presso la scuola dell’infanzia di


del D.L.vo N. 196 del 30/06/2003)

11

Rocca Santo Stefano;

Ciancarella Gaetana(C.F.: CNCGTN45P59H441P),in servizio presso la scuola primaria-secondaria, di Rocca Santo Stefano;

Greco Giorgio (C.F.: GRCGRG42E03H441A), in servizio presso la scuola-primaria e secondaria di Rocca Santo Stefano ;

Ciuffi Sandra (C.F.: CFFSDR57C68H494T), in servizio presso la scuola dell’infanzia, primaria e secondaria di Roiate;

Cinti Mario Gabriele (C.F.: CNTMGB52B02A749S), in servizio presso la scuola dell’infanzia, primaria e secondaria di Roiate;

TUTTI I COLLABORATORI SCOLASTICI: nei loro specifici incarichi o nelle loro mansioni generali previste dal CCNL nell’area specifica di appartenenza (accoglienza e sorveglianza nei confronti degli alunni, ausilio materiale nei confronti degli alunni in situazione di difficoltà, custodia e sorveglianza nei locali scolastici, vigilanza nei confronti del pubblico evitando ed impedendo l’intrusione di persone estranee, collaborazione con i docenti e con il personale di segreteria, pulizia dei locali delle scuole di Rocca Santo Stefano e Roiate) osserveranno la massima privacy, evitando di diffondere notizie che devono restare private, in particolare quando ricevono o portano in giro Circolari Ministeriali, Note degli Uffici Superiori o circolari interne in visione al personale docente.

- Sono anche addetti al controllo dei danni agli arredi e segnalazione malfunzionamenti.

Tale personale deve ricevere idonee ed analitiche informazioni da parte del Responsabile del trattamento sulle mansioni loro affidate e sugli adempimenti cui sono tenuti in ragione della riservatezza che si deve garantire per l’incarico affidato e per il fatto di essere dipendenti di questa pubblica istituzione scolastica.

Agli Incaricati del trattamento il Responsabile consegnerà una copia della normativa che riguarda la sicurezza del trattamento dei dati in vigore al momento della nomina. Tale nomina è a tempo indeterminato, decade per revoca, o con il venir meno dei compiti che giustificavano il trattamento.

Si precisa che tutti i Collaboratori scolastici sono tenuti alla custodia delle chiavi del plesso ove prestano servizio.

– AREA DOCENTI


del D.L.vo N. 196 del 30/06/2003)

12

- Ins. Nonnino Maria Antonietta (C.F. ZNNMNT55P59H501S) I° collaboratore scuola secondaria;

- Ins. Carlini Anna Maria (C.F.: CRLNMR45P59G022B) II° collaboratore -scuola primaria Bellegra-;

- Ins. Fabi Natalina (C.F. : FBANLN63D54H441A ) referente scuola secondaria di Rocca Santo Stefano;

- Ins. Orlandi Lucilla (C.F.: RLNLLL63B52H501J ) referente scuola dell’infanzia di Rocca Santo Stefano;

- Ins. Caporilli Anna ( CPRNNA69L69G022A) referente per il plesso di Roiate

L’ins. Zonnino Maria Antonietta, in caso di assenza o temporaneo allontanamento del Dirigente Scolastico è delegata a firmare gli atti interni ed esterni privi di rilevanza economica;

docenti collaboratori e referente di scuola dell’infanzia sono incaricati di :

predisporre il piano delle sostituzioni dei docenti assenti;

controllare la circolazione delle comunicazioni interne e di quelle dirette alle famiglie;

relazionarsi con la segreteria ed i collaboratori scolastici per il buon funzionamento dell’istituzione scolastica

sono referenti per l’organizzazione dei problemi relativi all’utenza, ai rapporti con i genitori e con gli enti esterni.

Articolo 4

ANALISI DEI RISCHI INCOMBENTI SUI DATI

L’Istituzione scolastica ha proceduto ad una ricognizione dei rischi che potrebbero comportare una distruzione, sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa, ovvero meramente fortuito, in grado di recare pregiudizio ai dati personali trattati.

La classificazione dei dati in funzione dell'analisi dei rischi risulta la seguente:

• DATI ANONIMI, ovvero la classe di dati a minore rischio, per la quale non sono previste particolari misure di sicurezza;


del D.L.vo N. 196 del 30/06/2003)

13

• DATI PERSONALI, o DATI PERSONALI SEMPLICI, ovvero la classe di dati a rischio intermedio o DATI PERSONALI SENSIBILI/GIUDIZIARI, ovvero la classe di dati ad alto

rischio; � DATI PERSONALI SANITARI, ovvero la classe di dati a rischio

altissimo. Le fonti di rischio sono state accorpate in: 1)Comportamenti degli operatori.

Sottrazione di credenziali di autenticazione; comportamenti imperiti, imprudenti o negligenti dei soggetti legittimati al trattamento dei dati; comportamenti dolosi dei soggetti legittimati; errori materiali. 2) Eventi relativi agli strumenti.

Danno arrecato da virus informatici e/o da hackers, mediante interventi precedenti all’aggiornamento degli strumenti di contrasto attivati (software e firewall), spamming o tecniche di sabotaggio. Malfunzionamento, indisponibilità o usura fisica degli strumenti. Accessi abusivi negli strumenti elettronici. Intercettazione dei dati in occasione di trasmissione in rete. 3) Eventi relativi al contesto fisico-ambientale.

Distruzione o perdita di dati in conseguenza di eventi incontrollabili (terremoto) ovvero, seppur astrattamente preventivabili (incendi o allagamenti) di origine fortuita, dolosa o colposa, per i quali non è possibile apprestare cautele. Guasti a sistemi complementari, quale la mancata erogazione di energia elettrica per lunghi periodi di tempo, in grado di pregiudicare la climatizzazione dei locali. Furto o danneggiamento degli strumenti elettronici di trattamento dei dati, in orario diverso da quello di lavoro. Accesso non autorizzato da parte di terzi – interni o esterni all’istituzione scolastica – mediante uso abusivo di credenziali di autenticazione, in funzione di danneggiamento o sottrazione dei dati. Errori umani nell’attivazione degli strumenti di protezione.

I suddetti rischi sono stati ripartiti in classi di gravità, tenendo conto della concreta possibilità di realizzazione presso l’istituzione scolastica, adottando la seguente scansione: A= alto B = basso EE = molto elevato M = medio MA = medio-alto MB = medio-

basso

La tabella seguente sintetizza i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone le possibili conseguenze e stimandone la gravità, ponendoli altresì in correlazione con le misure di sicurezza previste.


del D.L.vo N. 196 del 30/06/2003)

14

Analisi dei rischi

EVENTO

IMPATTO SULLA SICUREZZA DEI

DATI RIF. MISURE DI AZIONE

DESCRIZIONE GRAVITÀ

STIMATA

COMPORTAMENTI

DEGLI OPERATORI Furto di credenziali di autenticazione

Accesso altrui non autorizzato

M Vigilanza sul rispetto delle istruzioni impartite

Carenza di consapevolezza, disattenzione o

incuria

Dispersione, perdita e

accesso altrui non autorizzato

M Formazione e flusso continuo di

informazione

Comportamenti sleali o fraudolenti

Dispersione, perdita e


M/B Vigilanza sul rispetto delle istruzioni impartite

Errore materiale Dispersione, perdita e


M/A Vigilanza sul rispetto delle istruzioni impartite,

formazione e flusso continuo di

informazione

EVENTI RELATIVI

AGLI STRUMENTI Azione di virus informatici o di codici malefici

Perdita o alterazione,

anche irreversibile, di

dati, di programmi e di

elaboratori;

EE Adozione di idonei dispositivi di protezione

Spamming o altre tecniche di sabotaggio




elaboratori; impossibilità

temporanea di accesso ai dati e di utilizzo dei

programmi

EE Adozione di idonei dispositivi di protezione


del D.L.vo N. 196 del 30/06/2003)

15

Malfunzionamento, indisponibilità o degrado degli

strumenti




elaboratori; impossibilità


programmi

M Assistenza e manutenzione continua degli elaboratori e dei programmi; ricambio

periodico

Accessi esterni non autorizzati

Dispersione, perdita o

alterazione, anche

irreversibile, di dati, nonché

manomissione di programmi e di elaboratori; impossibilità


programmi

MA Adozione di idonei dispositivi di protezione

Intercettazione di informazioni in rete

Dispersione di dati; accesso

altrui non autorizzato

MA Adozione di idonei dispositivi di protezione

EVENTI RELATIVI

AL CONTESTO Accessi non autorizzati a

locali/reparti ad accesso ristretto


alterazione, anche

irreversibile, di dati, nonché

manomissione di programmi e di elaboratori; accesso altrui

non autorizzato; impossibilità


programmi

M Protezione dei locali mediante serratura con distribuzione delle chiavi

ai soli autorizzati


del D.L.vo N. 196 del 30/06/2003)

16

Asportazione e furto di strumenti contenenti dati

Dispersione e perdita di dati, di programmi e di elaboratori; accesso altrui

non autorizzato

A Protezione dei locali e dei siti di ubicazione

degli elaboratori e dei supporti di

memorizzazione mediante cancello in ferro e serratura con

distribuzione delle chiavi ai soli autorizzati

Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria

Perdita di dati, dei programmi

e degli elaboratori

M Attività di prevenzione, controllo, assistenza e

manutenzione periodica,vigilanza sul rispetto delle istruzioni

impartite, formazione e flusso continuo di

informazione

Guasto ai sistemi complementari

(impianto elettrico, climatizzazione,

etc.)


anche irreversibile, di dati, nonché

manomissione dei programmi

e degli elaboratori; impossibilità


programmi

M/A Attività di controllo, assistenza e

manutenzione periodica

Errori umani nella gestione della sicurezza fisica


anche irreversibile, di dati, nonché

manomissione dei programmi

e degli elaboratori; impossibilità


programmi

M/B Vigilanza sul rispetto delle istruzioni impartite,

formazione e flusso continuo di

informazione

Articolo 5


del D.L.vo N. 196 del 30/06/2003)

17

INDIVIDUAZIONE DELLE RISORSE DA PROTEGGERE Le risorse da proteggere sono:

• personale; • dati personali, sensibili, giudiziari; • documenti cartacei; • hardware; • software; • apparecchiature di comunicazione;

Articolo 6 MISURE ADOTTATE PER GARANTIRE L'INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, NONCHÈ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E

ACCESSIBILITÀ

Sulla scorta della ricognizione dei rischi sopra rappresentata, l’istituzione scolastica ha provveduto ad apprestare e/o introdurre strumenti di tutela, ovvero a prevedere successive, e più incisive, misure di sicurezza. La tabella seguente sintetizza le misure di sicurezza in essere, corredate da indicazioni di dettaglio.

Le misure di sicurezza adottate o da adottare MISURA

RISCHIO

CONTRASTATO STRUTTURA

INTERESSATA EVENTUALE

BANCA DATI

INTERESSATA

MISURA GIÀ IN

ESSERE PERIODICITÀ E

RESPONSABILITÀ

DEI CONTROLLI Preventiva, di contrasto, di

contenimento degli effetti


alterazione, anche

irreversibile, di dati, di

programmi e di

elaboratori; accesso altrui non

autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi

Segreteria Dirigente scolastico

Laboratorio informatica

Relativo archivio

Antivirus, Firewall e

credenziali di autenticazione

Bimestrale; responsabile pro tempore del servizio


del D.L.vo N. 196 del 30/06/2003)

18

Preventiva, di contrasto, di



alterazione, anche


programmi e di



Ufficio personale

Relativo archivio



Bimestrale; responsabile pro tempore del servizio e, per la parte

di competenza,

della ditta esterna




alterazione, anche


programmi e di



Servizi amministrativi

Relativo archivio





del D.L.vo N. 196 del 30/06/2003)

19




alterazione, anche


programmi e di



Servizi inerenti l’offerta

formativa

Relativo archivio







alterazione, anche


programmi e di



Servizi strumentali agli organi collegiali

Relativo archivio




Articolo 7 INDIVIDUAZIONE DELLE CONTROMISURE

Le contromisure individuano le azioni che si propongono al fine di annullare o di limitare le vulnerabilità e di contrastare le minacce, esse sono classificabili nelle seguenti tre categorie:

• contromisure di carattere fisico; • contromisure di carattere procedurale; • contromisure di carattere elettronico/informatico.

Contromisure di carattere fisico


del D.L.vo N. 196 del 30/06/2003)

20

• Le apparecchiature informatiche critiche (server di rete, computer utilizzati per il trattamento dei dati personali o sensibili/giudiziari e apparecchiature di telecomunicazione, dispositivi di copia) e gli archivi cartacei contenenti dati personali o sensibili/giudiziari sono situati in locali ad accesso controllato e muniti di cancello in ferro e serratura;

• i locali ad accesso controllato sono all'interno di aree sotto la responsabilità dell’Istituto Comprensivo “Francesco D’Assisi”Bellegra;

• i responsabili dei trattamenti indicati nell'allegato 1 sono anche responsabili dell'area in cui si trovano i trattamenti;

• i locali ad accesso controllato sono chiusi anche se presidiati, le chiavi sono custodite a cura del Dirigente Scolastico del D.S.G.A. e degli Assistenti Amministrativi (vedere nomina allegata al DPS);

• l'ingresso ai locali ad accesso controllato è possibile solo dall'interno dell'area sotto la responsabilità dell’Istituto Comprensivo di Bellegra;

• i locali sono già provvisti di sistema di estintore; Contromisure di carattere procedurale

• l'ingresso nei locali ad accesso controllato è consentito solo alle persone autorizzate;

• il responsabile dell'area ad accesso controllato deve mantenere un effettivo controllo sull'area di sua responsabilità;

• i visitatori occasionali della aree ad accesso controllato sono accompagnati da un incaricato;

• è controllata l’attuazione del piano di verifica periodica sull'efficacia degli allarmi e degli estintori;

• l’ingresso in locali ad accesso controllato da parte di dipendenti o estranei per operazioni di pulizia o di manutenzione avviene solo se i contenitori dei dati sono chiusi a chiave e i computer sono spenti oppure se le operazioni si svolgono alla presenza dell’Incaricato del trattamento di tali dati;

• i registri di classe, contenenti dati comuni e particolari, durante l’orario delle lezioni devono essere tenuti in classe sulla scrivania e affidati all’insegnante di turno. Al termine delle lezioni vengono depositati dal collaboratore scolastico nella sala dei collaboratori scolastici e chiusi con chiave; il giorno successivo vengono riportati in aula dal collaboratore scolastico;

• il docente è responsabile della riservatezza del registro personale in cui sono annotati dati comuni e particolari. Fuori dall’orario di servizio, il registro viene conservato nella cassettiera che viene, che viene dallo stesso chiuso a chiave;

• il protocollo riservato, accessibile solo al Titolare e al Responsabile del trattamento è conservato nella stanza del Dirigente., in un armadio-cassaforte chiuso a chiave; la chiave è conservata dal Dirigente Scolastico e dal D.S.G.A.

• inoltre per il trattamento dei soli dati cartacei sono adottate le seguenti disposizioni:

o si accede ai soli dati strettamente necessari allo svolgimento delle proprie mansioni;

o si utilizzano archivi con accesso selezionato;


del D.L.vo N. 196 del 30/06/2003)

21

o atti e documenti devono essere restituiti al termine delle operazioni e mai lasciati alla vista di soggetti terzi;

o è fatto divieto di fotocopiare/scannerizzare documenti senza l'autorizzazione del responsabile del trattamento o del titolare;

o è fatto divieto di esportare documenti o copie dei medesimi all'esterno dell’Istituto senza l'autorizzazione del responsabile o del titolare del trattamento, tale divieto si estende anche all'esportazione telematica;

o il materiale cartaceo asportato e destinato allo smaltimento dei rifiuti deve essere ridotto in minuti frammenti .

Contromisure di carattere elettronico/informatico La scuola si è avvalsa della collaborazione del Sig. Luigi Testani, rappresente legale DELLA Fusion Technology s.r.l. per adottare le contromisure di carattere elettronico/informatico per ridurre al massimo la possibilità di violazione di privacy attraverso l’accesso ai sistemi di persone non autorizzate (condizioni del contratto allegate al DPS). La protezione dei dati sensibili verrà garantita con l’introduzione di passwords composte di almeno 8 caratteri da rinnovare ogni 3 mesi.

La protezione dei dati personali verrà garantita con l’introduzione di passwords con almeno 8 caratteri da rinnovare ogni 6 mesi. Le passwords saranno codificate dal titolare e dal Responsabile del Trattamento dati dell’Istituzione Scolastica, e custodite in armadi chiusi a chiave in buste chiuse.

Il Sig. Massimo Mattei si occuperà personalmente di effettuare procedure automatiche di backup almeno ogni 10 giorni come previsto dalla normativa vigente.

Sono state acquisite licenze d’uso per software antivirus, nonché sistemi di firewall con verifica di idoneità e con costante aggiornamento.

Sono programmati interventi per l’acquisto di router con firewall per la tutela dei dati contenuti nell’hardware. Tale acquisto è avvenuto all’inizio del’a.s. 2006/2007.

Articolo 8 CRITERI DELLE MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI IN SEGUITO

A DISTRUZIONE O DANNEGGIAMENTO

Al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita, è stata definita una procedura di periodica esecuzione di copie di sicurezza dei dati trattati. Sono state perciò acquisite licenze di uso per software antivirus, nonché sistemi di firewall con verifica di idoneità e costante aggiornamento. In ogni caso si osserva che l’istituzione scolastica dispone di un sistema di controllo degli accessi ai locali. I documenti sono anche conservati in copia cartacea presso locali dell’istituzione scolastica non accessibili ai terzi e dotati di adeguati strumenti di protezione (armadi con serrature, porte blindate e finestre protette da inferriate). Sinteticamente è possibile rappresentare la seguente procedura di copia, verifica e ripristino dei dati per ogni p.c. o terminale di collegamento a server.


del D.L.vo N. 196 del 30/06/2003)

22

Art. 9 Interventi formativi

Il Dirigente Scolastico ha adottato in data 12.02.2007, il regolamento dati sensibili e giudiziari ed ha organizzato specifica attività formativa avente come oggetto il D.Lvo 196/03 a cui ha partecipato tutto il personale docente e ATA. La suddetta formazione, svolta in data 16.02.2007 dalla Dott.ssa Loredana Mazzenga, è stata finalizzata a rendere edotti gli incaricati del trattamento dati sui rischi che incombono sugli stessi, delle misure disponibili per evitare eventi dannosi, delle responsabilità e delle sanzioni che ricadono sugli incaricati in caso di violazione di privacy. Dopo la formazione si è proceduto alla stesura del DPS che verrà letto nella prossima riunione del Collegio dei Docenti e deliberato dal Consiglio di Istituto nella seduta successiva.

ART.10

TRATTAMENTI DI DATI PERSONALI SENSIBILI O GIUDIZIARI CON STRUMENTI ELETTRONICI AFFIDATI ALL’ESTERNO

L’Istituzione scolastica, ha proceduto alla esternalizzazione di taluni trattamenti, secondo modalità conformi a quanto previsto dal d.lgs. n.196 del 2003, procedendo alla nomina di un soggetto esterno quale responsabile del trattamento, limitatamente ai dati e alle operazioni necessari per lo svolgimento delle attività conferite. A tal fine l’Istituzione scolastica ha imposto le cautele indicate in calce alla tabella che segue, affinché il soggetto destinatario adotti le misure di sicurezza richieste dal Codice. L’atto di nomina è allegato al presente DPS

Trattamenti affidati all’esterno

ATTIVITÀ

ESTERNALIZZATA

COMPORTANTE

TRATTAMENTO DI

DATI SENSIBILI O

GIUDIZIARI

DESCRIZIONE

SINTETICA DATI

PERSONALI, SENSIBILI O

GIUDIZIARI

INTERESSATI

SOGGETTO

ESTERNO DESCRIZIONE DEI CRITERI PER

L’ADOZIONE DELLE MISURE


del D.L.vo N. 196 del 30/06/2003)

23

Conservazione e messa a disposizione

tramite server in dotazione

delle informazioni occorrenti

per lo svolgimento dei compiti

d’ufficio

Protezione attraverso l’applicazione delle misure di sicurezza previste nell’allegato B – Codice sicurezza dati personali D.lgs 196/2003

Ditta esterna di cui al

contratto in essere,

allegato al presente DPS,

come integrato

dall’allegato atto di

nomina a responsabile

del relativi trattamenti

Vincolo contrattuale, a carico del fornitore esterno, a tenere i

comportamenti descritti in calce alla

presente tabella.

Necessario per lo

svolgimento delle attività strumentali finalizzate

all’installazione e al buon

funzionamento degli

elaboratori, dei

programmi e degli altri strumenti

elettronici in dotazione agli uffici comunali

Come sopra Come sopra

VINCOLI CONTRATTUALMENTE ASSUNTI DAL FORNITORE ESTERNO AI FINI DELLA SICUREZZA DEI DATI L’Istituzione scolastica ha affidato all’esterno, nei termini risultanti dalla sopraindicata tabella, i trattamenti di dati personali sensibili o giudiziari, effettuati con strumenti elettronici, previa assunzione da parte dell’affidatario – nell’ambito dello stesso contratto con cui viene realizzato l’affidamento o con atto aggiuntivo – degli impegni derivanti dalle seguenti dichiarazioni: 1. di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati personali; 2. di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali; 3. di adottare le istruzioni specifiche ricevute per il trattamento dei dati personali e di integrarle nelle procedure già in essere; 4. di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di avvertire (allertare) immediatamente il proprio committente in caso di situazioni


del D.L.vo N. 196 del 30/06/2003)

24

anomale o di emergenze; 5. di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate; 6. di garantire massima riservatezza circa le informazioni di cui si è venuti a conoscenza per l’espletamento del proprio incarico.

ART. 11 ATTI E DOCUMENTI NON IN FORMATO ELETTRONICO, ARCHIVI CARTACEI

I trattamenti di dati personali con strumenti diversi da quelli elettronici sono effettuati dagli incaricati seguendo le istruzioni impartite durante la formazione, finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. L'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati ha carattere annuale. Gli atti e i documenti contenenti dati, personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti. I medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. L'accesso agli archivi contenenti dati sensibili o giudiziari è consentito solamente alle persone preventivamente autorizzate dal titolare o dal Responsabile del Trattamento.

ART. 12 OBBLIGO DI AGGIORNAMENTO PERIODICO DEL DPS

Il presente documento programmatico sulla sicurezza è sottoposto a revisione annuale nella sua interezza, entro la scadenza del 31 marzo di ciascun anno, come previsto dalla regola 19 del Disciplinare tecnico di cui all’allegato B) al D.Lgs. 196/03, in relazione al disposto dell’art. 34, lettera g) del decreto stesso. La suddetta revisione per l’anno scolastico 2006/2007 è avvenuta in data 16.03.2007. Gli allegati al presente documento ne formano parte integrante. Il presente documento è aggiornato al 16.03.2007 Bellegra lì. 16.03.2007

Il titolare del trattamento dati (Prof. Luigi Lanciotti)

………………………………………………..

Il responsabile del trattamento dati (Sig. Anselmo Albensi)

…………………………………………………

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Bellegra.pdf · alle risorse del sistema operativo di un...

Documents

Transcript of DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Bellegra.pdf · alle risorse del sistema operativo di un...