Documento Programmatico sulla Sicurezza - mondoalaimo.netmondoalaimo.net/attachments/article/16/01...

Prot. n. 1690 del 10 Aprile 2017

Documento Programmatico sulla Sicurezza

Secondo quanto previsto dal D.Lgs.196/03 (Testo unico sulla Privacy)

Release del 10 Aprile 2017

Il responsabile della sicurezza informatica Ing. Prof. Salvatore Musumeci

_____________________________________________________________________________________ Sede Principale: Via Riccardo da Lentini, 89B – 96016 LENTINI (SR) Tel. 095.7835544 - Fax 095.7836218

Sez. staccata : C/da S. Antonio - 96015 Francofonte (SR) Tel. 095.948117 – Fax 095.7842724 C.F. 82001130895 - sito web: www.is-alaimo.gov.it

e-mail : [email protected] – PEC: [email protected]

mailto:[email protected]

mailto:[email protected]

SCOPO E AMBITO DI APPLICAZIONE DEL DPSS

Il presente Documento Programmatico Sulla Sicurezza (definito anche D.P.S.S.) è adottato, ai sensi delle disposizioni di cui all’Art. 34 del Decreto Legislativo n. 196 del 30 giugno 2003 e relativo allegato B, per definire le politiche di sicurezza in materia di trattamento di dati personali nonché i criteri tecnico-organizzativi per la loro attuazione. Il documento, inoltre, fornisce idonee informazioni relative alla tipologia di dati rilevanti ex D.Lgs. 196/2003 e all’analisi dei rischi connessi al trattamento. Nel presente documento i termini Trattamento, Dato personale, Dati identificativi, Dati sensibili, Dati giudiziari, Titolare, Responsabile, Incaricato, Interessato, Diffusione, Banca dati e tutti gli altri termini sono usati in conformità alle definizioni elencate all’art. 4 del Decreto Legislativo n. 196 del 30 giugno 2003, dove per Trattamento s’intende qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. In dettaglio il Documento Programmatico Sulla Sicurezza fornisce informazioni relative a: a. l'elenco dei trattamenti di dati personali con indicazione della natura e la finalità di trattamento perseguita; b. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; c. l'analisi dei rischi che incombono sui dati; d. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché le procedure da seguire per controllare l’accesso ai locali nei quali vengono conservati i dati oggetto del trattamento o l’accesso per via telematica; e. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (garantendone la disponibilità in tempi certi compatibili con i diritti degli interessati); f. la predisposizione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi che incombono sui dati e dei modi per prevenire i danni, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare o sull’introduzione di nuovi strumenti utilizzati per il trattamento dei dati personali; g. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato (per gli organismi sanitari e gli esercenti le professioni sanitarie). Il Documento Programmatico Sulla Sicurezza deve essere divulgato e illustrato a tutti gli incaricati nominati con apposite lettere di incarico allegate al presente documento. Il presente documento è stato adeguato all’ambito specifico lavorativo, ha validità di 1 anno a partire dal 1 settembre e fino alla fine dell’anno scolastico (31 Agosto). Trascorso tale termine, e non oltre il 30 settembre di ogni anno, sarà oggetto di opportune revisioni per adeguarlo ad eventuali modifiche normative, al mutato livello di rischio a cui sono soggetti i dati trattati, ad eventuali assegnazioni o revoca degli incarichi, all’utilizzo di nuovi strumenti informatici o in generale a un mutato assetto organizzativo.

Pagina 1 di 24

TITOLARE DEL TRATTAMENTO DATI E FINALITA'

Definizione Al Titolare del trattamento spetta l’onere di individuare e incaricare uno o più Responsabili del Trattamento, qualora lo ritenesse opportuno. La nomina deve avvenire per iscritto e sempre per iscritto il Titolare elencherà in dettaglio le mansioni assegnate. Il Titolare, a tal proposito, redigerà apposita lettera di incarico che dovrà essere sottoscritta per accettazione dal Responsabile. Sarà cura del Titolare conservare in luogo sicuro una copia della lettera di incarico e istruire adeguatamente i Responsabili in merito agli incarichi assegnati. Tra i compiti non delegabili assegnati al Titolare è prevista la vigilanza sul rispetto da parte dei Responsabili degli incarichi loro assegnati, nonché sulla diligente osservanza delle vigenti disposizioni in materia di trattamento, con particolare riguardo alle misure di sicurezza da adottare. Nel caso in cui non venisse nominato alcun Responsabile del Trattamento, il Titolare ne assume il ruolo e tutte le responsabilità. Il Titolare del trattamento provvederà ad agevolare l'accesso ai dati personali da parte dell'interessato, a fornirgli le informazioni richieste e a ridurre i tempi per il riscontro del richiedente.

Il titolare dei trattamenti dati individuati nelle pagine seguenti è :

Il Dirigente Scolastico “ Prof.ssa Anna De Francesco ”

del 3° Istituto Superiore “Alaimo” via Riccardo da Lentini, 89/B

95016 Lentini (SR)

Finalità del Trattamento I dati personali individuati nelle pagine seguenti verranno trattati per perseguire le seguenti finalità: ”ISTRUZIONE” Il titolare del trattamento dichiara di aver preso visione dell'intero D.P.S.S. Firma per presa visione____________________________________________________ ( Prof.ssa Anna De Francesco )

Pagina 2 di 24

INDICE DEI CONTENUTI

Di seguito sono descritti i contenuti di ogni Capitolo del Documento Programmatico Sulla Sicurezza dei Dati. Per ogni Capitolo sono previste le firme dei soggetti che hanno parte attiva nella gestione dei dati.

1. Sedi del trattamento dati 1.1 Modalità di protezione dei locali e delle banche dati 1.2 Protezione dei locali e degli accessi 1.3 Struttura della SEDE CENTRALE DI LENTINI 1.4 Struttura della SEDE DISTACCATA DI FRANCOFONTE 2. Banche dati 2.1 Protezione delle banche dati e degli schedari 2.2 Protezione delle banche dati fuori dall'orario di lavoro 2.3 Elenco delle banche dati contenenti dati personali della SEDE CENTRALE DI LENTINI 2.4 Elenco delle banche dati contenenti dati personali della SEDE DISTACCATA DI FRANCOFONTE 3. Descrizione dei trattamenti dei dati affidati all'esterno della struttura del titolare 3.1 Modalità operative 3.2 Descrizione del trattamento dei dati affidato ATSOFT 3.3 Descrizione del trattamento dei dati affidato EMMETEC ITALIA SRL 4. Figure del trattamento dei dati personali 4.1 Definizione di responsabile del trattamento dati 4.2 Nomina degli amministratori di sistema 4.3 Nomina del custode delle credenziali di autenticazione 4.4 Incaricati al trattamento dati 4.5 Gruppi omogenei 4.6 Elenco delle figure del trattamento dei dati personali della SEDE CENTRALE DI LENTINI 4.7 Elenco delle figure del trattamento dei dati personali della SEDE DISTACCATA DI FRANCOFONTE 5. Elenco dei trattamenti di dati personali 5.1 Modalità generali di trattamento 5.2 Trattamento dati in formato cartaceo 5.3 Trattamento dati in formato elettronico 5.4 Elenco dei trattamenti di dati personali nella SEDE CENTRALE DI LENTINI 5.5 Elenco dei trattamenti di dati personali nella SEDE DISTACCATA DI FRANCOFONTE 6. Ulteriori misure 6.1 in caso di trattamento di dati sensibili o giudiziari 6.2 I laboratori 6.3 Le LIM 6.4 Apparecchiature personali 7. Inventario e caratteristiche degli elaboratori elettronici 7.1 Modalità operative 7.2 Elenco e caratteristiche degli elaboratori della SEDE CENTRALE DI LENTINI 7.3 Elenco e caratteristiche degli elaboratori della SEDE DISTACCATA DI FRANCOFONTE 8. Criteri di assegnazione delle password negli elaboratori 8.1 Modalità operative 8.2 Criteri di assegnazione delle password negli elaboratori della SEDE CENTRALE DI LENTINI 8.3 Criteri di assegnazione delle password negli elaboratori della SEDE DISTACCATA DI FRANCOF. 9. Modalità di gestione backup e piano di disaster recovery 9.1 Modalità Operative 9.2 Descrizione delle procedure di Backup presenti nella SEDE CENTRALE DI LENTINI 9.3 Descrizione delle procedure di Backup presenti nella SEDE DISTACCATA DI FRANCOFONTE AR. Analisi dei Rischi Ar.A Ar.B Ar.C

Ar.D Ar.E Ar.F Analisi Rischi Hardware Analisi Dei Rischi Incombenti Sui Sistemi Operativi Analisi Dei Rischi Incombenti Sulle Banche Dati Cartacee Analisi Dei Rischi Ambientali Analisi Dei Rischi Incombenti Sulle Banche Dati Elettroniche Analisi Dei Rischi Incombenti Sulle Applicazioni Appendice : FORMAZIONE

Pagina 3 di 24

CAPITOLO 1

SEDI DEL TRATTAMENTO DEI DATI

1.1 Modalità di protezione dei locali e delle banche dati

In ottemperanza agli art. 31, 32, 33, 34, 35 e 36 del D. Lgs. 30/06/2003 n. 196, il presente D.P.S.S. prevede l’organizzazione di idonee misure di sicurezza da adottare volte a garantire la sicurezza dei dati. La sicurezza dei dati si esplica nella loro diligente custodia al fine di prevenire alterazioni, distruzione, diffusioni non autorizzate o trattamenti non conformi alle finalità della raccolta. Il Responsabile del trattamento o, in mancanza, il Titolare appronterà tutti i mezzi necessari per il perseguimento dei fini legati alla sicurezza dei dati, sfruttando anche le conoscenze acquisite in base al progresso tecnico. Sono previste specifiche misure di sicurezza sia per quanto riguarda la custodia di archivi elettronici e non, che l’accesso ai locali ove i dati oggetto del trattamento fisicamente sono conservati.

1.2 Protezione dei locali e degli accessi

In questo capitolo sono illustrate le modalità di accesso alle singole sedi ed ai locali dove fisicamente vengono gestite le banche dati, sia nel caso di dati trattati con l’ausilio di strumenti elettronici che con altri strumenti. Vengono altresì identificate, secondo quanto previsto al punto 19.4 dell’Allegato B, le misure adottate per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità.

1.3 Struttura della SEDE CENTRALE DI LENTINI

Di seguito vengono indicate le protezioni previste per la sede del trattamento dati, l’elenco dei locali soggetti a trattamento e le misure di sicurezza per essi previste.

Protezioni all’accesso alla Sede: • in orario di apertura l’accesso è consentito al pubblico.

Denominazione del Locale: SEDE CENTRALE DI LENTINI Tipologia di Locale: Locale/Ufficio Protezioni presenti: • Porta con serratura

• Sistema di allarme con chiamata remota • Sistema di videosorveglianza • Estintori

Altre Descrizioni: I locali sono ubicati in parte al piano terra ed in parte al primo piano di un edificio in cui sono presenti altre scuole dipendenti da altre dirigenze/amministrazioni.

1.4 Struttura della SEDE DISTACCATA DI FRANCOFONTE

Di seguito vengono indicate le protezioni previste per la sede del trattamento dati, l’elenco dei locali soggetti a trattamento e le misure di sicurezza per essi previste.

Protezioni all’accesso alla Sede: • in orario di apertura l’accesso è consentito al pubblico.

Denominazione del Locale: SEDE DISTACCATA DI FRANCOFONTE Tipologia di Locale: Locale/Ufficio Protezioni presenti: • Porta con serratura

• Sistema di allarme con chiamata remota • Sistema di videosorveglianza • Estintori

Altre Descrizioni: I locali sono ubicati al piano terra in un edificio in cui è presente un’altra scuole dipendenti da altra dirigenza/amministrazione.

Pagina 4 di 24

CAPITOLO 2

BANCHE DATI

Secondo quanto previsto dal punto 19.1 dell'Allegato B, sono descritti di seguito i trattamenti di dati personali svolti dal Titolare.

2.1 Protezione delle banche dati e degli schedari

Nel caso di banca dati cartacea, gli schedari (o altro contenitore) di dati personali devono essere protetti da lucchetti, serrature o misure di protezione equivalenti. La descrizione dei contenitori di ogni banca dati è riportata in questo capitolo. Nel caso di banca dati in formato elettronico i dati sono protetti tramite la predisposizione di un apposito sistema di credenziali di accesso fornite ad ogni incaricato come meglio descritto nei capitoli 4 e 9. Vengono altresì definite tutte le misure di sicurezza da adottare per evitare l’accidentale perdita o danneggiamento dei dati.

2.2 Protezione delle banche dati fuori dall'orario di lavoro

Nel caso di accesso ai dati fuori dall’orario di lavoro o, in casi speciali o particolari, l’incaricato ha l’obbligo di farsi autorizzare dal responsabile (o dal titolare) la sessione di trattamento. L’autorizzazione può essere anche verbale.

2.3 Elenco delle banche dati contenenti dati personali della SEDE CENTRALE Le banche dati vengono distinte in base al tipo di supporto che le contiene e vengono identificate secondo quanto previsto dal D.Lgs 196/2003. Banche Dati Cartacee

Banca Dati: BD 1-C Descrizione: posta in ingresso ed in uscita degli ultimi 3 anni Luogo di custodia: Ufficio protocollo dotato di porta con serratura - stanza 3 Contenitore: Armadio metallico Formato: Cartaceo Dati di tipo: Ordinario e sensibile

Banca Dati: BD 2-C Descrizione: posta in ingresso ed in uscita antecedente agli ultimi 3 anni Luogo di custodia: Archivio - stanza 6 Contenitore: Scaffalatura metallica Formato: Cartaceo Dati di tipo: Ordinario-sensibile

Banca Dati: BD 3-C Descrizione: Contabilità-bilancio-emolumenti antecedente agli ultimi 3 anni Luogo di custodia: Archivio - stanza 6 Contenitore: Scaffalatura metallica Formato: Cartaceo Dati di tipo: Ordinario-sensibile

Banca Dati: BD 4-C Descrizione: Contabilità-bilancio-emolumenti degli ultimi 3 anni Luogo di custodia: Ufficio contabilità dotato di porta con serratura - stanza 2 Contenitore: Armadio metallico generico Formato: Cartaceo Dati di tipo: Ordinario-sensibile

Banca Dati: BD 5-C Descrizione: Fascicoli degli alunni e documenti della didattica antecedente agli ultimi 3 anni Luogo di custodia: Archivio - stanza 6 Contenitore: Scaffalatura metallica Formato: Cartaceo Dati di tipo: Ordinario-sensibile

Banca Dati: BD 6-C Descrizione: Fascicoli degli alunni e documenti della didattica degli ultimi 3 anni Luogo di custodia: Ufficio didattica dotato di porta con serratura - stanza 7 Contenitore: Armadio metallico generico Formato: Cartaceo Dati di tipo: Ordinario-sensibile

Banca Dati: BD 7-C Descrizione: Ordini antecedenti agli ultimi 3 anni Luogo di custodia: Archivio - stanza 6

Pagina 5 di 24

Contenitore: Scaffalatura metallica Formato: Cartaceo Dati di tipo: Ordinario-sensibile

Banca Dati: BD 8-C Descrizione: Ordini degli ultimi 3 anni Luogo di custodia: Ufficio magazzino dotato di porta con serratura - stanza 2 Contenitore: Armadio metallico generico Formato: Cartaceo Dati di tipo: Ordinario-sensibile

Banca Dati: BD 9-C Descrizione: Storico del personale Luogo di custodia: Archivio - stanza 6 Contenitore: Scaffalatura metallica Formato: Cartaceo Dati di tipo: Ordinario-sensibile

Banca Dati: BD 10-C Descrizione: Personale in servizio Luogo di custodia: Ufficio personale dotato di porta blindata con serratura - stanza 1 Contenitore: Armadio metallico generico Formato: Cartaceo Dati di tipo: Ordinario-sensibile

Banche Dati Elettroniche

Banca Dati: BD 1-E Descrizione: Argo protocollo Luogo di custodia: on-line Elaboratore: PC 3-1 PC 3-2 Formato: Elettronico Dati di tipo: Ordinario

Banca Dati: BD 2-E Descrizione: archivio di posta elettronica ed elenco indirizzi email Luogo di custodia: Server locale stanza 4 Elaboratore: Server Formato: Elettronico Dati di tipo: Ordinario-Sensibile

Banca Dati: BD 3-E Descrizione: Argo WEB Luogo di custodia: on-line Elaboratore: PC 2-1 PC 2-2 Formato: Elettronico Dati di tipo: Ordinario

Banca Dati: BD 4-E Descrizione: Emonumenti WIN Luogo di custodia: on-line Elaboratore: PC 2-1 PC 2-2 Formato: Elettronico Dati di tipo: Ordinario

Banca Dati: BD 5-E Descrizione: Entratel Luogo di custodia: on-line Elaboratore: PC 2-1 PC 2-2 Formato: Elettronico Dati di tipo: Ordinario

Banca Dati: BD 6-E Descrizione: Agenzia delle entrate Luogo di custodia: on-line Elaboratore: PC 2-1 PC 2-2 Formato: Elettronico Dati di tipo: Ordinario

Banca Dati: BD 7-E Descrizione: INPS Luogo di custodia: on-line Elaboratore: PC 2-1 PC 2-2

Pagina 6 di 24

Formato: Elettronico Dati di tipo: Ordinario-Sensibile

Banca Dati: BD 8-E Descrizione: INAIL Luogo di custodia: on-line Elaboratore: PC 2-1 PC 2-2 Formato: Elettronico Dati di tipo: Ordinario-Sensibile

Banca Dati: BD 9-E Descrizione: Argo alunni Luogo di custodia: on-line Elaboratore: PC 7-1 PC 7-2 PC 7-3 Formato: Elettronico Dati di tipo: Ordinario-Sensibile

Banca Dati: BD 10-E Descrizione: Argo inventario Luogo di custodia: on-line Elaboratore: PC 2-3 PC 2-4 Formato: Elettronico Dati di tipo: Ordinario

Banca Dati: BD 11-E Descrizione: Argo magazzino Luogo di custodia: on-line Elaboratore: PC 2-3 PC 2-4 Formato: Elettronico Dati di tipo: Ordinario

Banca Dati: BD 12-E Descrizione: Argo contocorrenti Luogo di custodia: on-line Elaboratore: PC 3-1 Formato: Elettronico Dati di tipo: Ordinario

Banca Dati: BD 13-E Descrizione: Argo personale Luogo di custodia: on-line Elaboratore: PC 1-1 Formato: Elettronico Dati di tipo: Ordinario

Banca Dati: BD 14-E Descrizione: Badge Luogo di custodia: PC 1-1 Elaboratore: PC 1-1 Formato: Elettronico Dati di tipo: Ordinario

Banca Dati: BD 15-E Descrizione: SIDI Luogo di custodia: on-line Elaboratore: PC 1-1 e PC 1-2 Formato: Elettronico Dati di tipo: Ordinario

Pagina 7 di 24

2.4 Elenco delle banche dati contenenti dati personali della SEDE DISTACCATA DI FRANCOFONTE Le banche dati vengono distinte in base al tipo di supporto che le contiene e vengono identificate secondo quanto previsto dal D.Lgs 196/2003. Banche Dati Cartacee

Banca Dati: BD FR1-C Descrizione: archivio cartaceo riguardante il personale in servizio a Francofonte Luogo di custodia: UFFICIO AMMINISTRATIVO Contenitore: Armadio generico senza serratura Formato: Cartaceo Dati di tipo: Ordinario e Sensibile

Banca Dati: BD FR2-C Descrizione: archivio cartaceo riguardante i recentissimi fascicoli degli alunni e la didattica in

genere per la sede di Francofonte Luogo di custodia: UFFICIO AMMINISTRATIVO Contenitore: Armadio generico senza serratura Formato: Cartaceo Dati di tipo: Ordinario e sensibile

Banca Dati: BD FR3-C Descrizione: archivio cartaceo riguardante tutti i fascicoli degli alunni e la didattica in genere

tranne quelli recenti per la sede di Francofonte Luogo di custodia: Archivio Contenitore: Armadio generico senza serratura Formato: Cartaceo Dati di tipo: Ordinario e sensibile

Banche Dati Elettroniche

Banca Dati: BD FR1-E Descrizione: argo-alunni - archivio online Luogo di custodia: on-line Elaboratore: PC MERENDA Formato: Elettronico Dati di tipo: Ordinario

Pagina 8 di 24

CAPITOLO 3

DESCRIZIONE DEL TRATTAMENTO DEI DATI AFFIDATO ALL'ESTERNO DELLA STRUTTURA DEL TITOLARE

3.1 Modalità Operative

Qualora il trattamento dei dati venisse affidato in parte o in toto a soggetti esterni alla struttura, la nomina di tali soggetti avverrà per iscritto mediante apposita lettera di incarico. Sarà cura del custode delle credenziali conservare in luogo sicuro copia di tale lettera.

La scelta dei Responsabili del trattamento dati in esterno deve ricadere su soggetti che forniscono i requisiti di affidabilità previsti dal D. Lgs. 196/2003 (art. 29 comma 2).

Sarà compito del Responsabile esterno nominare gli incaricati e impartire loro la dovuta istruzione per garantire il trattamento e la conservazione dei dati in modo puntuale, lecito e sicuro.

Ogni trattamento di dati affidato a terzi verrà elencato nel presente capitolo nel quale sono individuate le sedi esterne nelle quali vengono fisicamente trattati e conservati i dati.

Al Titolare del trattamento spetta il compito di vigilare sull’operato del Responsabile esterno affinché non vengano mai meno le misure minime di sicurezza dei dati.

Nei paragrafi successivi verranno dettagliati tutti i trattamenti affidati all'esterno della struttura del Titolare.

Legenda Trattamenti: M: Modificazione Ca: Cancellazione E: Elaborazione Co: Comunicazione D: Diffusione I: Interconnessione Ra: Raccolta Re: Registrazione O: Organizzazione B: Backup

Legenda tipo di conservazione (cons) A: conservazione sino a fine contratto B: conservazione sino a fine trattamento C: conservazione sino a 10 anni

Legenda tipo di dati Sens: dati sensibili Ord: dati ordinari Giud: Dati giudiziari

Legenda Supporto cart : cartaceo elet : elettronico magn : magnetico-ottico usb : chiave USB

3.2 Descrizione del trattamento dei dati affidato all'esterno.

Responsabile Esterno affidatario: ATSoft SAS di Milana A. & C. Sede del trattamento dati esterno: P.zza Della Resistenza, 20 – 96016 Lentini (SR) Finalità del trattamento dei dati: Manutentore

Banche Dati Affidate:

Contenuto Banca Dati Supp. Trattamenti Tipo Dato Cons Tutti i documenti presenti nel sistema da manutenzionare elet - usb - magn E Ra Re O B Ca Ord/sens B

3.3 Descrizione del trattamento dei dati affidato all'esterno.

Responsabile Esterno affidatario: Emmetec Italia s.r.l. Sede del trattamento dati esterno: Viale Epipoli, 39 Siracusa Finalità del trattamento dei dati: Manutentore

Banche Dati Affidate:

Contenuto Banca Dati Supp. Trattamenti Tipo Dato Cons Tutti i documenti presenti nel sistema da manutenzionare elet - usb - magn E Ra Re O B Ca Ord/sens B

Pagina 9 di 24

CAPITOLO 4

FIGURE DEL TRATTAMENTO DEI DATI PERSONALI

Nel presente capitolo vengono evidenziate le figure legate al trattamento dei dati come descritto nei paragrafi successivi.

4.1 Definizione di responsabile del trattamento dati

In ottemperanza all'articolo 29 D.Lgs. 196/03 il Titolare del trattamento nomina per iscritto uno o più responsabili del trattamento dati con apposita lettera di incarico (Modello LI010). I Responsabili devono essere individuati fra soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, con particolare riguardo alla sicurezza dei dati. I Responsabili, pertanto, dovranno adottare tutte le misure idonee ad assicurare l’integrità dei dati oggetto del trattamento, a ridurre i rischi di diffusione o trattamento di dati non consentiti e mantenere in piena efficienza tutti gli strumenti e la struttura organizzativa al fine di perseguire gli scopi dettati dal presente D.P.S.S. .

Per esigenze organizzative il Titolare può suddividere i compiti fra i diversi Responsabili del trattamento nominati. I Responsabili del trattamento hanno il dovere di informare tempestivamente il Titolare di eventuali incidenti o della sopravvenuta mancanza dei requisiti minimi di sicurezza richiesti.

Ai Responsabili è conferita possibilità di nominare uno o più Incaricati al trattamento e istruirli adeguatamente per renderli idonei a svolgere le mansioni assegnate.

Se non diversamente previsto nella lettera di incarico, la nomina dei Responsabili si intende a tempo indeterminato e decade o per dimissioni o per revoca comunicata per iscritto o con idonei mezzi informatici dal Titolare del trattamento.

4.2 Nomina degli amministratori di sistema

Il Responsabile del trattamento o il Titolare conferiscono a uno o più incaricati le mansioni di gestione delle soluzioni informatiche sia hardware che software adottate per la gestione e la tenuta in sicurezza delle banche dati.

La nomina avviene per iscritto e nella lettera di incarico (Modello LI030) verranno dettagliati i compiti assegnati, compreso quello di approntare i mezzi necessari per effettuare le copie di sicurezza dei dati e il loro ripristino in caso di accidentale distruzione. L’Amministratore di sistema ha anche l’onere di valutare periodicamente lo stato di efficienza delle soluzioni informatiche adottate e provvedere alla loro modifica o integrazione in base all’esperienza acquisita e al progresso tecnologico.

Qualora non fosse già stato incaricato un altro soggetto, l’Amministratore di sistema può essere nominato come custode delle credenziali di autenticazione (codici identificativi, User ID, Password, ecc.) assegnate ad ogni soggetto incaricato. L’amministratore, nello svolgere questo incarico, si atterrà a quanto previsto nel presente D.P.S.S. per il Custode delle credenziali di autenticazione.

Nel caso in cui non venisse nominato alcun Amministratore di sistema, le relative mansioni saranno svolte dal Responsabile del trattamento o, in mancanza, dal Titolare.

4.3 Nomina del custode delle credenziali di autenticazione

Il Responsabile, di concerto con il Titolare, può nominare uno o più custodi delle credenziali di autenticazione per l’accesso ai sistemi di elaborazione dati. L’incarico viene assegnato per iscritto (Modello LI040) e la lettera deve essere conservata in un luogo sicuro da parte del soggetto che conferisce l’incarico. Il Custode delle credenziali prende visione e sottoscrive dell'elenco degli incaricati specificati nel capitolo 4, per i quali dovrà custodire le credenziali di accesso, e l'elenco degli elaboratori descritto nel capitolo 9 che riporta l'elenco degli elaboratori elettronici con le impostazioni delle password e le previsioni di aggiornamento assegnate. Le credenziali non dovranno essere divulgate e dovranno essere custodite in luogo sicuro. Spetta al custode definire le modalità di utilizzo delle credenziali di autenticazione in caso di impedimenti o prolungata assenza dell’incaricato alle quali sono state assegnate. In mancanza di un custode delle credenziali di autenticazione, le mansioni sopra riportate saranno svolte dall’Amministratore del sistema o, in mancanza, dal soggetto che ha conferito l’incarico (Responsabile o Titolare del trattamento).

4.4 Incaricati al trattamento dati Secondo l’Art. 30 del D.Lgs. 196/03, il Titolare o il Responsabile nominano uno o più Incaricati del trattamento con apposita comunicazione scritta (Modello LI020). La lettera di incarico deve essere sottoscritta dal soggetto interessato e sarà cura del Responsabile della conservazione o del Titolare (a seconda di chi ha conferito l’incarico) custodire copia della lettera in luogo sicuro. Sempre per iscritto devono essere identificati i compiti loro assegnati, che vengono specificati nel presente capitolo. Compito degli Incaricati al trattamento è quello di svolgere gli incarichi assegnati, sempre nel pieno rispetto del presente Documento Programmatico Sulla Sicurezza. In caso di incidenti o di conoscenza di circostanze che possano far venir meno i requisiti minimi di sicurezza, gli Incaricati dovranno comunicare tempestivamente tale circostanza al Responsabile del trattamento o, in mancanza, al Titolare. Se non diversamente previsto nella lettera di incarico, gli Incaricati del trattamento vengono nominati a tempo indeterminato e decadono per dimissioni o per revoca.

4.5 I gruppi omogenei Gli incaricati al trattamento possono essere individuati in specifici "Gruppi Omogenei", volti ad evidenziare comuni profili di autorizzazione al trattamento delle banche dati affidate secondo una comune mansione e finalità del trattamento.

4.6 Elenco degli incaricati al trattamento dei dati personali della SEDE CENTRALE DI LENTINI

Presso la sede sono state nominate per iscritto le seguenti figure di responsabilità:

Responsabile trattamento dei dati: BARNABA’ AGATA RITA Amministratore di sistema: MUSUMECI SALVATORE Custode delle credenziali di accesso: CAMPAGNA CARMELINDA

Nella sede sono individuati Incaricati al trattamento dei dati,gruppi omogenei (se presenti) e altri incaricati al trattamento dei dati (se presenti). Agli incaricati viene assegnata, con la funzione di credenziale di autenticazione, la USER ID di accesso agli

Pagina 10 di 24

elaboratori specificati.

INCARICATI AL TRATTAMENTO DEI DATI

Incaricato al trattamento dati UserID Assegnata Ufficio PC Utilizzati CAMPAGNA CARMELINDA ------------------------- STANZA 4 PC 4-1

INSERRA ANTONIO ------------------------- STANZA 2 PC 2-5 RIZZO MARIA GABRIELLA ------------------------- STANZA 3 PC 3-2

ZARBANO LUCIA ------------------------- STANZA 3 PC 3-1 SACCA’ STEFANIA ------------------------- STANZA 1 PC 1-1 ZAGAMI GIUSEPPA ------------------------- STANZA 1 PC 1-2

RANDAZZO MARIA GRAZIA ------------------------- STANZA 2 PC 2-1 NAVARRIA CARMELO ------------------------- STANZA 2 PC 2-2

MARCHESE MARIA GRAZIA ------------------------- STANZA 7 PC 7-3 CRIFO’ MARIA ANTONELLA ------------------------- STANZA 7 PC 7-1

MARZIANO VENERINA ------------------------- STANZA 7 PC 7-3 RANDAZZO PINUCCIA ------------------------- STANZA 2 PC 2-4 NARDO MARIA LUCIA ------------------------- STANZA 2 PC 2-3

DIRIGENTE ------------------------- STANZA 10 PC 10-1 4.7 Elenco degli incaricati al trattamento dei dati personali della SEDE DISTACCATA DI FRANCOFONTE

Presso la sede sono state nominate per iscritto le seguenti figure di responsabilità:

Responsabile trattamento dei dati: LUPICA CAPRA CARMELA Amministratore di sistema: MUSUMECI SALVATORE Custode delle credenziali di accesso: MERENDA DANIELA

Nella sede sono individuati Incaricati al trattamento dei dati,gruppi omogenei (se presenti) e altri incaricati al trattamento dei dati (se presenti). Agli incaricati viene assegnata, con la funzione di credenziale di autenticazione, la USER ID di accesso agli elaboratori specificati.

INCARICATI AL TRATTAMENTO DEI DATI

Incaricato al trattamento dati UserID Assegnata Ufficio PC Utilizzati INSERRA ANTONIO ------------------------ STANZA 1 PC 1-1 MERENDA DANIELA ------------------------ STANZA 1 PC 1-2

LUPICA CAPRA CARMELA ------------------------- STANZA 2 PC 2-1

ALTRI INCARICATI AL TRATTAMENTO DATI

Ai seguenti soggetti vengono attribuiti gli incarichi al trattamento dei dati sotto descritti.

Incaricato al trattamento: ATSOFT SAS Responsabile che assegna l'incarico: BARNABA’ AGATA RITA Descrizione dell'incarico assegnato: MANUTENTORE DI SISTEMA

Incaricato al trattamento: EMMETEC ITALIA SRL Responsabile che assegna l'incarico: BARNABA’ AGATA RITA Descrizione dell'incarico assegnato: MANUTENTORE DI SISTEMA

Al presente documento verranno allegati altri incarichi che sono affidati ai docenti interni e che riguardano incarichi specifici.

Pagina 11 di 24

CAPITOLO 5

ELENCO DEI TRATTAMENTI DEI DATI PERSONALI

5.1 Modalità generali di trattamento

Al Responsabile del trattamento dei dati è affidato il compito di redigere e di aggiornare l’elenco dei trattamenti effettuati sui dati personali come descritto nel presente capitolo.

5.2 Trattamento dati in formato cartaceo

Modalità di accesso ai dati Gli incaricati devono operare sui dati osservando scrupolosamente i limiti descritti nel Capitolo 6 relativi alle mansioni loro affidate ed alle finalità di trattamento perseguite.

Modalità di consultazione La consultazione dei dati avviene in maniera riservata assicurandosi che nessun altro, ad esclusione dell’incaricato, possa prendere visione del documento in trattamento.

Custodia e responsabilità del supporto Sarà cura dell’incaricato assicurare che i dati personali affidatigli non siano consultati da soggetti non autorizzati. Durante una sessione di trattamento l’incaricato ha l’obbligo di non lasciare incustoditi i dati personali e di riporli alla fine del trattamento.

Divieto di copia e riproduzione E’ fatto divieto all’incaricato di fare delle copie o riprodurre i documenti trattati. Fatto salvo il caso in cui l’oggetto del trattamento non sia esplicitamente la copia o la riproduzione al fine di garantire i diritti dell’interessato, oppure sia stato straordinariamente autorizzato dal titolare o dal responsabile del trattamento.

5.3 Trattamento dati in formato elettronico

Così come previsto dall’Allegato B al D.Lgs. 196/2003, il trattamento dei dati personali con strumenti elettronici è consentito solo agli incaricati dotati di credenziali di autenticazione che consentono il superamento di una procedura di autenticazione.

Il Responsabile del trattamento (o in mancanza, il Titolare), in accordo con gli Amministratori di sistema, definisce le modalità di assegnazione delle credenziali di autenticazione agli incaricati del trattamento. Le credenziali possono consistere nell’assegnazione di User ID e password o nell’utilizzo di dispositivi associati ad un codice identificativo o anche ad una caratteristica biometrica.

Ad ogni soggetto autorizzato all’accesso alle banche dati possono essere assegnate anche più credenziali per l’autenticazione in base alle esigenze organizzative o al numero di banche dati gestite.

Se fra le credenziali è prevista l’assegnazione di una password, questa non deve essere di lunghezza inferiore agli otto caratteri (o al numero massimo possibile se lo strumento elettronico utilizzato non lo consente).

Al primo utilizzo delle password, l’incaricato provvederà a modificarla e successivamente la modificherà periodicamente con cadenza almeno semestrale, a meno che la banca dati non contenga dati sensibili; in quest’ultimo caso la parola chiave andrà modificata ogni tre mesi.

Ogni persona incaricata al trattamento dei dati deve adottare tutte le cautele possibili per garantire la segretezza delle credenziali di autenticazione assegnatele.

Legenda Trattamenti: L: Lettura I:Inserimento E: Elaborazione C: Cancellazione S: Stampa A: Acquisizione

Legenda Tipo Dati: E : Banca dati elettronica C : Banca dati cartacea M : Banca dati magnetico-ottica

O : Dati Ordinari S : Dati Sensibili G : Dati Giudiziari

5.4-A Trattamento dati dell'incaricato CAMPAGNA CARMELINDA nella SEDE CENTRALE DI LENTINI

All’incaricato sono affidati i seguenti trattamenti di dati:

Banca Dati Descrizione Banca Dati Trattamenti Tipo Dati BD 1-E ARGO PROTOCOLLO - ARCHIVIO ONLINE I C E S L A E O BD 2-E POSTA ELETTRONICA - ARCHIVIO SU SERVER LOCALE I C E S L A E O BD 3-E argo web - archivio online I C E S L A E O BD 4-E emolumenti win - archivio online I C E S L A E O BD 5-E entratel - archivio online I C E S L A E O BD 6-E agenzia entrate - archivio online I C E S L A E O BD 7-E inps - archivio online I C E S L A E O BD 8-E inail - archivio online I C E S L A E O BD 9-E argo-alunni - archivio online I C E S L A E S BD 10-E Argo inventario I C E S L A E O

Pagina 12 di 24

BD 11-E Argo magazzino I C E S L A E O BD 12-E argo-contocorrenti - Archivio online I C E S L A E O BD 13-E argo protocollo - Archivio online I C E S L A E O BD 14-E Badge I C E S L A E O BD 15-E Sidi I C E S L A E S

5.4-B Trattamento dati dell'incaricato INSERRA ANTONIO nella SEDE CENTRALE DI LENTINI


Banca Dati Descrizione Banca Dati Trattamenti Tipo Dati

BD 15-E Sidi I C E S L A E S 5.4-C Trattamento dati dell'incaricato RIZZO MARIA GRABRIELLA nella SEDE CENTRALE DI LENTINI



BD 1-E ARGO PROTOCOLLO - ARCHIVIO ONLINE I C E S L A E O BD 2-E POSTA ELETTRONICA - ARCHIVIO SU SERVER LOCALE I C E S L A E O BD 1-C ARCHIVIO DELLA POSTA RIGUARDANTE GLI ULTIMI 3 ANNI I C E S L A C O BD 2-C ARCHIVIO DELLA POSTA ANTECEDENTE GLI ULTIMI 3 ANNI I C E S L A C O

5.4-D Trattamento dati dell'incaricato ZARBANO LUCIA nella SEDE CENTRALE DI LENTINI



BD 1-E ARGO PROTOCOLLO - ARCHIVIO ONLINE I C E S L A E O BD 2-E POSTA ELETTRONICA - ARCHIVIO SU SERVER LOCALE I C E S L A E O BD 1-C ARCHIVIO DELLA POSTA RIGUARDANTE GLI ULTIMI 3 ANNI I C E S L A C O BD 2-C ARCHIVIO DELLA POSTA ANTECEDENTE GLI ULTIMI 3 ANNI I C E S L A C O BD 12-E argo-contocorrenti - Archivio online I C E S L A E O

5.4-E Trattamento dati dell'incaricato SACCA’ STEFANIA nella SEDE CENTRALE DI LENTINI



BD 10-C archivio del personale in servizio I C E S L A C S BD 9-C archivio storico del personale I C E S L A C S BD 7-E inps - archivio online I C E S L A E S

BD 15-E Sidi I C E S L A E S

5.4-F Trattamento dati dell'incaricato ZAGAMI GIUSEPPA nella SEDE CENTRALE DI LENTINI



BD 10-C archivio del personale in servizio I C E S L A C S BD 9-C archivio storico del personale I C E S L A C S BD 7-E inps - archivio online I C E S L A E S

BD 15-E Sidi I C E S L A E S BD 13-E argo protocollo - Archivio online I C E S L A E O BD 14-E Badge I C E S L A E O

5.4-G Trattamento dati dell'incaricato RANDONE MARIA GRAZIA nella SEDE CENTRALE DI LENTINI



BD 3-E argo web - archivio online I C E S L A E O BD 4-E emolumenti win - archivio online I C E S L A E O BD 5-E entratel - archivio online I C E S L A E O BD 6-E agenzia entrate - archivio online I C E S L A E O

Pagina 13 di 24

BD 7-E inps - archivio online I C E S L A E O BD 8-E inail - archivio online I C E S L A E O

BD 3-c archivio cartaceo riguardante contabilità- bilancio ed emolumenti antecedenti agli ultimi 3 anni

I C E S L A C O

BD 4-c archivio cartaceo riguardante contabilità- bilancio ed emolumenti degli ultimi 3 anni

I C E S L A C O

5.4-H Trattamento dati dell'incaricato NAVARRIA CARMELO nella SEDE CENTRALE DI LENTINI



BD 3-E argo web - archivio online I C E S L A E O BD 4-E emolumenti win - archivio online I C E S L A E O BD 5-E entratel - archivio online I C E S L A E O BD 6-E agenzia entrate - archivio online I C E S L A E O BD 7-E inps - archivio online I C E S L A E O BD 8-E inail - archivio online I C E S L A E O

BD 3-c archivio cartaceo riguardante contabilità- bilancio ed emolumenti antecedenti agli ultimi 3 anni

I C E S L A C O

BD 4-c archivio cartaceo riguardante contabilità- bilancio ed emolumenti degli ultimi 3 anni

I C E S L A C O

5.4-I Trattamento dati dell'incaricato MARZIANO VENERINA nella SEDE CENTRALE DI LENTINI



BD 9-E argo-alunni - archivio online I C E S L A E S

BD 5-C archivio cartaceo riguardante i fascicoli degli alunni e la didattica in genere antecedenti agli ultimi 3 anni

I C E S L A C S

BD 6-C archivio cartaceo riguardante i fascicoli degli alunni e la didattica in genere degli ultimi 3 anni

I C E S L A C S

5.4-L Trattamento dati dell'incaricato MARCHESE MARIA TIZIANA nella SEDE CENTRALE DI LENTINI





I C E S L A C S


I C E S L A C S

5.4-M Trattamento dati dell'incaricato CRIFO’ MARIA ANTONELLA nella SEDE CENTRALE DI LENTINI





I C E S L A C S


I C E S L A C S

5.4-N Trattamento dati dell'incaricato RANDONE PINUCCIA nella SEDE CENTRALE DI LENTINI



BD 10-E Argo inventario I C E S L A E O BD 11-E Argo magazzino I C E S L A E O BD 8-C archivio cartaceo riguardante tutti gli ordini effettuati negli ultimi 3 anni I C E S L A C O

BD 7-C archivio cartaceo riguardante tutti gli ordini effettuati antecedente agli ultimi 3 anni

I C E S L A C O

Pagina 14 di 24

5.4-O Trattamento dati dell'incaricato NARDO MARIA LUCIA nella SEDE CENTRALE DI LENTINI





I C E S L A C O

5.4-P Trattamento dati dell'incaricato RANDONE PINUCCIA nella SEDE CENTRALE DI LENTINI





I C E S L A C O

5.4-Q Trattamento dati dell'incaricato DIRIGENTE nella SEDE CENTRALE DI LENTINI



BD 1-E ARGO PROTOCOLLO - ARCHIVIO ONLINE I C E S L A E O BD 2-E POSTA ELETTRONICA - ARCHIVIO SU SERVER LOCALE I C E S L A E O BD 3-E argo web - archivio online I C E S L A E O BD 4-E emolumenti win - archivio online I C E S L A E O BD 5-E entratel - archivio online I C E S L A E O BD 6-E agenzia entrate - archivio online I C E S L A E O BD 7-E inps - archivio online I C E S L A E O BD 8-E inail - archivio online I C E S L A E O BD 9-E argo-alunni - archivio online I C E S L A E S BD 10-E Argo inventario I C E S L A E O BD 11-E Argo magazzino I C E S L A E O BD 12-E argo-contocorrenti - Archivio online I C E S L A E O BD 13-E argo protocollo - Archivio online I C E S L A E O BD 14-E Badge I C E S L A E O BD 15-E Sidi I C E S L A E S

5.5-A Trattamento dati dell'incaricato MERENDA DANIELA nella SEDE DISTACCATA DI FRANCOFONTE



BD FR1-E argo-alunni - archivio online I C E S L A E S BD FR1-C archivio cartaceo riguardante il personale in servizio a Francofonte I C E S L A C S

BD FR2-C archivio cartaceo riguardante i recentissimi fascicoli degli alunni e la didattica in genere per la sede di Francofonte

I C E S L A C S

BD FR3-C archivio cartaceo riguardante tutti i fascicoli degli alunni e la didattica in genere tranne quelli recenti per la sede di Francofonte

I C E S L A C S

5.5-B Trattamento dati dell'incaricato LUPICA CAPRA CARMELA nella SEDE DISTACCATA DI FRANCOFONTE



BD FR1-E argo-alunni - archivio online I C E S L A E S BD FR1-C archivio cartaceo riguardante il personale in servizio a Francofonte I C E S L A C S

BD FR2-C archivio cartaceo riguardante i recentissimi fascicoli degli alunni e la didattica in genere per la sede di Francofonte

I C E S L A C S

BD FR3-C archivio cartaceo riguardante tutti i fascicoli degli alunni e la didattica in genere tranne quelli recenti per la sede di Francofonte

I C E S L A C S

Pagina 15 di 24

5.5-C Trattamento dati dell'incaricato INSERRA ANTONIO nella SEDE DISTACCATA DI FRANCOFONTE



BD 15-E Sidi I C E S L A E S

Pagina 16 di 24

CAPITOLO 6

ULTERIORI MISURE

6.A IN CASO DI TRATTAMENTO DI DATI SENSIBILI O GIUDIZIARI

6.1 Protezione dei dati

Al fine di proteggere le Banche Dati da intrusioni informatiche di soggetti o programmi non autorizzati al trattamento, sono utilizzati appositi strumenti software dettagliati nel modello Capitolo 8.

6.2 Protezione dei supporti rimovibili

I supporti rimovibili sono affidati in custodia all’incaricato del trattamento. Il responsabile del trattamento dati si assicurerà che i supporti rimovibili non saranno condotti al di fuori dei locali in cui i dati sono trattati come descritti nel Capitolo 2.

6.3 Distruzione dei supporti rimovibili

I supporti rimovibili che contengono dati non più utilizzati sono distrutti cancellando i dati in essi contenuti ove questo sia possibile. Nel caso di supporti non riscrivibili questi sono distrutti fisicamente.

6.4 Dati relativi allo stato di salute e la vita sessuale

In applicazione dell’Art 22 c.6 D.Lgs. 196/2003 e dell’allegato B punto 24, i dati relativi allo stato di salute e alla vita sessuale dell’interessato sono trattati in forma anonima prevedendo la separazione dei dati sensibili dai dati identificativi. Qualora si rendesse necessario l’individuazione dell’interessato, questa avviene in maniera indiretta recuperando dai dati identificativi il codice identificativo univoco e ricercando i dati sensibili che corrispondono a detto codice univoco. A cura dell’incaricato al trattamento i dati relativi all’identità genetica sono trattati esclusivamente all’interno dei locali assegnati alla banca dati come descritto nel Capitolo 2. Il trasferimento dei dati all’esterno dei locali riservati al loro trattamento avviene in contenitori muniti di apposita serratura. I dati elettronici sono trasportati dopo aver subito un apposito trattamento di cifratura.

6.B LABORATORI

I computer presenti nei laboratori sono muniti di account personali, accessibili con password, e muniti di account amministratore per la normale manutenzione del sistema. Nei registri interni vi sono riportate le mappe con la disposizione interna degli alunni così da poter avere sempre visione dell’utilizzo della rete da parte di tutti gli utilizzatori.

6.C LIM Le LIM, presenti nelle varie aule, sono dotate di connessione wireless ad internet nonché di account limitati ed utilizzabili solamente dagli insegnanti.

6.D APPARECCHIATURE PERSONALI All’interno della scuola è stata attivata una rete wireless per poter connettere eventuali apparecchiature personali che i docenti ed in vario personale interno vorrebbero utilizzare. La rete è filtrata da adeguata apparecchiatura firewall che ne limita l’accesso solo ai dispositivi abilitati tramite identificazione nell’indirizzo MAC unitamente alla password di accesso alla rete.

Pagina 17 di 24

CAPITOLO 7

INVENTARIO E CARATTERISTICHE DEGLI ELABORATORI ELETTRONICI

7.1 Modalità operative

Il Responsabile del trattamento o il Titolare incaricano l’Amministratore del Sistema ad approntare tutte le misure di sicurezza idonee a prevenire e ridurre infezioni da Virus informatici o da intrusioni non autorizzate nel sistema.

L’amministratore provvederà a dettagliare nel seguente capitolo tutte le misure adottate compresi l’utilizzo di appositi programmi Antivirus, Firewall e qualsiasi ulteriore soluzione informatica che ritenesse opportuna per diminuire la vulnerabilità del sistema.

E’ anche compito dell’amministratore pianificare il lavoro relativo all’installazione degli aggiornamenti messi a disposizione delle case produttrici di software per correggere i difetti dei programmi o dei sistemi operativi utilizzati. L’amministratore può prevedere anche che il periodico aggiornamento dei programmi utilizzati per garantire la sicurezza informatica avvenga in un arco di tempo inferiore a quanto previsto dal D.Lgs. 30/06/2003 n. 196.

Tutte le misure di sicurezza previste dall’amministratore di sistema dovranno essere periodicamente valutate per adattare la procedura all’evoluzione tecnologica.

L’amministratore di sistema dovrà provvedere ad istruire adeguatamente eventuali incaricati al trattamento relativamente alle misure adottate, e descritte nel seguente capitolo.

In caso di infezione del sistema da parte di Virus informatici, l’amministratore del sistema dovrà tempestivamente adottare tutte le misure idonee per isolare il sistema ed evitare che il danno venga esteso ad altri elaboratori; dovrà quindi individuare le cause di tale infezione e provvedere a rimuoverle.

7.2 Elenco e caratteristiche degli elaboratori della SEDE CENTRALE

Tutti i computer sono di ultima generazione, protetti da gruppo di continuità, con sistema operativo Windows, collegati in rete, con connessione internet, con antivirus e dotate di pacchetto office completo. Tutta la rete è protetta con firewall hardware. 7.3 Elenco e caratteristiche degli elaboratori della SEDE DISTACCATA DI FRANCOFONTE

Tutti i computer sono di ultima generazione, protetti da gruppo di continuità, con sistema operativo Windows, collegati in rete, con connessione internet, con antivirus e dotate di pacchetto office completo. Tutta la rete è protetta con firewall hardware.

Pagina 18 di 24

CAPITOLO 8

CRITERI DI ASSEGNAZIONE DELLE PASSWORD DEGLI ELABORATORI

8.1 Modalità operative

Al Responsabile del trattamento dei dati è affidato il compito di redigere e di aggiornare l’elenco dei trattamenti effettuati sui dati personali come descritto nel presente capitolo.

In esecuzione del D.Lgs. 196/2003 Allegato B punto 5

• la password deve essere composta da almeno otto caratteri, se il sistema di elaborazione non dovesse gestire il numero di caratteri minimo la password deve essere composta dal numero massimo consentito dal sistema di elaborazione;

• Non deve contenere nomi comuni, nomi di persona o riferimenti agevolmente riconducibili all’incaricato;

• Deve essere modificata con cadenza semestrale.

Nel presente capitolo sono descritte i criteri di autenticazione impostati per ogni singolo elaboratore.

8.2 Criteri di assegnazione delle password negli elaboratori della SEDE CENTRALE DI LENTINI

Elaboratore ---------------------- Password sul BIOS: non impostata Password su accesso utente: Impostata, con lunghezza maggiore o uguale a 8 caratteri con aggiornamento trimestrale Password sullo screensaver Impostata, con lunghezza maggiore o uguale a 8 caratteri con aggiornamento trimestrale

8.3 Criteri di assegnazione delle password negli elaboratori della SEDE DISTACCATA DI FRANCOFONTE

Elaboratore ------------------------ Password sul BIOS: non impostata Password su accesso utente: Impostata, con lunghezza maggiore o uguale a 8 caratteri con aggiornamento trimestrale Password sullo screensaver Impostata, con lunghezza maggiore o uguale a 8 caratteri con aggiornamento trimestrale

Pagina 19 di 24

CAPITOLO 9

MODALITA' DI GESTIONE BACKUP E PIANO DI DISASTER RECOVERY

9.1 Modalità Operative

Secondo quanto previsto dal punto 19.5 dell’Allegato B, si identifica nel presente capitolo . la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento.

Tale procedura, che il Responsabile del trattamento o il Titolare stilano di concerto con l’amministratore di sistema, dovrà fornire le istruzioni e le modalità in merito al tipo di supporto utilizzato, all’impiego di specifici apparati per salvataggi automatizzati, alla nomina degli Incaricati del trattamento che eseguiranno le copie di Backup, alla custodia dei supporti nei quali sono stati memorizzati i dati, alla distruzione dei supporti dopo un certo lasso di tempo o comunque alla cancellazione dei dati dai supporti di Backup in maniera tale da impedire ogni possibile consultazione.

La procedura di salvataggio prevede anche il monitoraggio di tutte le operazioni affinché il Responsabile o il Titolare possano individuare periodicamente circostanze che impongano l’adozione di un diverso piano di Backup o il suo aggiornamento. Il salvataggio dei dati dovrà avvenire con cadenza almeno settimanale.

In caso di distruzione o danneggiamento dei dati oggetto del trattamento, ogni incaricato, di concerto con l’amministratore del sistema, provvederà a ripristinare i dati mediante utilizzo delle copie di backup realizzate in conformità alla normativa.

L’amministratore può anche prevedere l’utilizzo di altri strumenti in suo possesso (supporti cartacei, e-mail, registrazioni audiovisive, ecc.) per ricostruire nel modo più fedele possibile i dati distrutti o danneggiati, sia quelli trattati con l’ausilio di strumenti elettronici che quelli trattati con altri tipi di strumenti.

In caso di distruzione o danneggiamento degli strumenti utilizzati per l’accesso ai dati, l’Amministratore di sistema (o in mancanza un incaricato nominato dal Responsabile o dal Titolare) provvederà tempestivamente al ripristino del normale stato di utilizzo dei suddetti strumenti o alla loro sostituzione.

La procedura di ripristino o di accesso ai dati avverrà comunque in tempi compatibili con i diritti degli interessati in conformità al punto 23 dell’allegato B del D.Lgs. 196/2003.

Ad ogni evento che comporti distruzione, danneggiamento o problemi di accesso ai dati dovrà essere opportunamente aggiornata l’analisi dei rischi di cui ai capitoli AR del presente D.P.S.S. .

9.2 Descrizione delle procedure di Backup presenti nella SEDE CENTRALE DI LENTINI

La procedura di back-up è così strutturata:

● back-up giornaliero di tipo incrementale che interessano le varie postazioni effettuato via rete su server aziendale al momento dello spegnimento delle varie postazioni.

● back-up settimanale di tipo incrementale di tutto il contenuto del server su apposita unità esterna. Ogni 8 settimane viene effettuato un backup completo e non incrementale dello stesso.

9.3 Descrizione delle procedure di Backup presenti nella SEDE DISTACCATA DI FRANCOFONTE

La procedura di back-up è così strutturata:

● back-up giornaliero di tipo incrementale che interessano le varie postazioni effettuato via rete su server aziendale al momento dello spegnimento delle varie postazioni.

● back-up settimanale di tipo incrementale di tutto il contenuto del server su apposita unità esterna. Ogni 8 settimane viene effettuato un backup completo e non incrementale dello stesso.

Pagina 20 di 24

CAPITOLO AR

ANALISI DEI RISCHI

Secondo quanto previsto dagli Artt. 33 , 34 e 35 del D.Lgs. 196/2003 nei seguenti capitoli verranno trattate le analisi dei rischi ai quali sono soggetti i dati trattati e compilata un'apposita lista dei rischi incombenti sui dati derivanti da:

• Sistemi di elaborazione (rischi hardware)

• Sistemi operativi (Rischi sistemi operativi)

• Banche Dati cartacee (Rischi banche dati cartacee)

• Ambiente di lavoro (Rischi ambientali)

• Banche Dati elettroniche (Rischi banche dati elettroniche)

• Applicazioni (Rischi applicazioni)

L'analisi dei rischi è redatta in relazione al progresso tecnologico, alla sostituzione, integrazione e sostituzione di hardware, agli aggiornamenti o alla sostituzione di sistemi operativi e\o programmi applicativi. Il livello di rischio è indicato con un valore da 1 a 5 : più alto sarà il valore maggiore sarà il livello di rischio.

Per ogni rischio individuato viene evidenziata la soluzione idonea ad un abbattimento dello stesso.

AR.A Analisi dei rischi incombenti sull'hardware Il livello di rischio è indicato con un valore da 1 a 5 : più alto sarà il valore maggiore sarà il livello di rischio.

Rischi Specifici Riconosciuti: nessuno

Rischi Generici:

Rischio : Danneggiamento in sede di trattamento dei dati. Azione correttiva : Copie di backup delle Banche Dati.

Rischio : Errata installazione o errato uso del software. Azione correttiva : Copie di backup delle Banche Dati.

Rischio : Accesso consentito ad utenti non autorizzati. Azione correttiva : Verifica periodica delle credenziali di accesso.

Rischio : Errato uso dell’applicativo. Azione correttiva : Copie di backup delle Banche Dati.

AR.B Analisi dei rischi incombenti sui Sistemi Operativi

Sistemi Operativi presenti negli elaboratori • Windows 7 o superiore Il livello di rischio è indicato con un valore da 1 a 5 : più alto sarà il valore maggiore sarà il livello di rischio.


Rischi generici:

Rischio : Danneggiamento fisico dei dati in fase di copia o di spostamento da una unita ad un’altra. Azione Correttiva : Copie di backup delle Banche Dati.

Rischio : Intrusione da parte di soggetti estranei o non autorizzati al trattamento dei dati. Azione Correttiva : Software di firewall (controllo degli accessi) e di Monitoring (registrazione di tutte le operazioni effettuate su un elaboratore). Queste misure preventive sono applicate secondo esigenza ed a discrezione dell’amministratore di sistema. Per una visione più dettagliata dei sistemi di protezione fare riferimento al capitolo 8 e 9.

Rischio : Blocco del Sistema Operativo con relativa perdita dei dati in memoria o scrittura di informazioni errate o incomplete nella Banca dati. Azione Correttiva : Copie di backup delle Banche Dati.

Rischio : Errato uso del Sistema Operativo. Azione Correttiva : Copie di backup delle Banche Dati.

Pagina 21 di 24

AR.C Analisi dei Rischi incombenti sulle Banche Dati Cartacee

Il livello di rischio è indicato con un valore da 1 a 5 : più alto sarà il valore maggiore sarà il livello di rischio.


Rischi generici:

Rischio : Danneggiamento in seguito ad incendio in sede di trattamento dei dati. Azione Correttiva : Estintore o impianti antincendio conformi alle leggi.

Rischio : Distruzione, manomissione o furto volontario delle banche dati cartacee da parte del personale interno. Azione Correttiva : Controllo periodico delle modalità di trattamento dati, verifica degli accessi ai dati secondo le mansioni assegnate, custodia delle banche dati in luogo sicuro e protetto fuori dagli orari di lavoro.

Rischio : Manomissione involontaria delle banche dati a seguito di distrazione, negligenza o scarsa conoscenza delle procedure. Azione Correttiva : Ripristino della banca dati entro 7 giorni dall’avvenuto danneggiamento.

AR.D Analisi dei Rischi incombenti sugli Ambienti di Lavoro Il livello di rischio è indicato con un valore da 1 a 5 : più alto sarà il valore maggiore sarà il livello di rischio.


AR.E Analisi dei Rischi sulle Banche Dati Elettroniche Il livello di rischio è indicato con un valore da 1 a 5 : più alto sarà il valore maggiore sarà il livello di rischio.


AR.F Analisi dei rischi incombenti sulle Applicazioni Il livello di rischio è indicato con un valore da 1 a 5 : più alto sarà il valore maggiore sarà il livello di rischio.


Pagina 22 di 24

Il presente documento programmatico sulla sicurezza è stato redatto in ottemperanza al D.Lgs. 196/03. I soggetti sotto elencati ne hanno preso visione e si impegnano ad attenersi a quanto previsto nel documento.

10 Aprile 2017

Titolare del trattamento: ______________________________________________________ (Ing. Prof.ssa Anna De Francesco )

Per LA SEDE CENTRALE Responsabili del trattamento: ( BARNABA’ AGATA RITA) ____________________________________ Amministratore di sistema: _____________________________________________________ (MUSUMECI SALVATORE) Custode delle credenziali di accesso: _____________________________________________ (CAMPAGNA CARMELINDA) Per LA SEDE DISTACCATA DI FRANCOFONTE Responsabili del trattamento: ( LUPICA CAPRA CARMELA) ____________________________________ Amministratore di sistema: _____________________________________________________ (MUSUMECI SALVATORE) Custode delle credenziali di accesso: _____________________________________________ (MERENDA DANIELA)

Pagina 23 di 24

Documento Programmatico sulla Sicurezza - mondoalaimo.netmondoalaimo.net/attachments/article/16/01...

Documents

Transcript of Documento Programmatico sulla Sicurezza - mondoalaimo.netmondoalaimo.net/attachments/article/16/01...