DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

Transcript

1 ISTITUTO COMPRENSIVO STATALE Via Roma, Casalserugo (PD) - Tel. 049/ Fax 049/ C.F pdic83400r@istruzione.it - Codice Ministero PDIC83400R DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Ai sensi dell art. 34 comma 1 lettera g del Decreto legislativo n. 196 del 30 giugno 2003 (Aggiornamento Prot. n. 4071/A32 del 19 giugno 2013) Il Dirigente scolastico Visto il decreto legislativo 30 giugno 2003, n.196 recante il Codice in materia di protezione di dati personali, e segnatamente gli artt. 33 e ss., nonché l allegato B del suddetto D.lgs., contenente il Disciplinare tecnico in materia di misure minime di sicurezza; Considerato che l istituto scolastico Istituto Comprensivo statale di Casalserugo è titolare del trattamento di dati personali ai sensi dell art.28 del d.lgs. n. 196 del 2003; Visto l obbligo di prevedere ed applicare le misure minime di sicurezza di cui agli artt. 31 e ss. del D.lgs. n.196 del 2003; Visto il Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero della Pubblica Istruzione, emanato con Decreto Ministeriale n.305 del ; Viste le linee guida del Garante per Posta elettronica e Internet, Registro delle deliberazioni n. 13 del 1 marzo 2007 in Gazzetta Ufficiale n. 58 del 10 marzo 2007; Visto il Provvedimento del Garante del 27/11/2008 relativo a misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di Amministratore di Sistema; Visto il D.L. 9/2/2012 n. 5 convertito in L. n. 35 del 4/4/2012 che elimina l obbligo di redigere il Documento programmatico sulla sicurezza; Considerato che la succitata abrogazione normativa non determina in alcun modo l esonero, per il titolare o per il responsabile del trattamento di dati, dall obbligo di osservare le misure minime di sicurezza e che infatti, permane l integrale applicazione dell art. 34 del d.lgs. 196/03, nell ipotesi di trattamento dei dati con strumenti elettronici, con il conseguente onere per i titolari/responsabili del trattamento di predisporre: a) l autenticazione informatica; b) l adozione di procedure di gestione delle credenziali di autenticazione; c) l utilizzazione di un sistema di autorizzazione; d) l periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici provvedendo anche alla formazione degli stessi al fine di garantire l effettiva protezione dei dati, nonché l efficacia delle misure minime adottate; e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) l adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; h) l adozione di tecniche di cifratura o di codici identificativi per Vista determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. quindi la necessità di predisporre la redazione di un documento idoneo ad attestare il corretto adempimento delle misure minime previste dall art. 34 e dall Allegato B e ritenuto di poterlo ancora chiamare DPS. DPS - IC Casalserugo SETTEMBRE

2 Aggiorna il DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (già adottato con Prot. n. 1644/A17 del 21 marzo 2007) Il presente documento, elaborato al fine di mettere in atto le misure di sicurezza per tutelare i dati personali oggetto di trattamento, fornisce una individuazione dei criteri tecnici ed organizzativi per la protezione delle aree e dei locali interessati a misure di sicurezza e dei criteri per assicurare l integrità dei dati, da adottare per il trattamento dei dati personali effettuato dal personale dell Istituto Comprensivo statale di Casalserugo il cui legale rappresentante pro-tempore è il dirigente scolastico Ettore Antico che nel seguito del documento sarà indicato come titolare. Il presente documento è aggiornato periodicamente ed i termini utilizzati seguono le definizioni riportate all art.4 del D.lgs 196/2003. Del documento fanno parte integrante le schede allegate al Regolamento del Ministero della Pubblica Istruzione citato nelle premesse. Il Disciplinare interno per l utilizzo della posta elettronica ed Internet nel rapporto di lavoro e nel rapporto formativo e per l amministrazione delle risorse informatiche, che ha passato la revisione senza modifiche, nella sua versione del 31/03/2010, continua ad essere parte integrante del presente documento. SOMMARIO 1 Elenco dei trattamenti di dati personali Finalità Luoghi di tenuta e trattamento dei dati:... 3 Tabella 1.1 Elenco dei trattamenti: informazioni essenziali (regola 19.1 del disciplinare tecnico)... 3 Tabella 1.2 Elenco dei trattamenti: ulteriori elementi per descrivere gli strumenti (regola 19.1 del disciplinare tecnico)... 7 Tabella 1.3 Elenco dei trattamenti: ulteriori elementi per descrivere gli strumenti cartacei (regola 19.1 del disciplinare tecnico)... 9 Tabella 2 Competenze e responsabilità delle strutture preposte ai trattamenti (regola 19.2) Analisi dei rischi che incombono sui dati Misure da adottare per garantire l'integrità e la disponibilità dei dati, non che la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità Tabella 4.1 Le misure di sicurezza adottate o da adottare (regola 19.4 del disciplinare tecnico) dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento Tabella 5.1 Criteri e procedure per il ripristino della disponibilità dei dati (regola 19.5 del disciplinare tecnico) Tabella 5.2 Criteri e procedure per il salvataggio dei dati (regola 19.5 del disciplinare tecnico) Previsione di interventi formativi degli incaricati del trattamento Tabella 6 Pianificazione degli interventi formativi previsti (regola 19.6 del disciplinare tecnico) dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare Individuazione dei criteri da adottare per la cifratura o per la separazione dei dati personali idonei a rivelare lo stato di salute e la vita sessuale (Regola 19.8 del disciplinare tecnico) Conclusioni Elenco dei trattamenti di dati personali 1.1 Finalità Il trattamento dei dati personali è funzionale al raggiungimento delle finalità di istruzione e di formazione in ambito scolastico, professionale e superiore, con particolare riferimento a quelle svolte anche in forma integrata, ed è quindi di rilevante interesse pubblico, ai sensi degli articoli 20 e 21 DPS - IC Casalserugo SETTEMBRE

3 del D.lgs 196/2003. Per le sue finalità istituzionali, l Istituzione scolastica tratta dati personali, sia comuni che sensibili o giudiziari, di studenti, genitori, personale dipendente e fornitori. 1.2 Luoghi di tenuta e trattamento dei dati: I dati su supporto cartaceo sono conservati negli armadi degli uffici di segreteria, nella stanza denominata archivio storico e nell archivio cartaceo storico della scuola media di Bovolenta, che è suddiviso in parte in armadi chiusi a chiave nella ex-segreteria per quanto riguarda i F.P. del personale in servizio quando tale scuola faceva da segreteria e attualmente non più in servizio (supplenti brevi ovvero trasferiti o cessati) ed in parte nel seminterrato chiuso a chiave con cartelle di titolario e registri e fascicoli relativi ad alunni e titolario della stessa scuola media, fino al 1/09/97, e a documenti relativi all attività didattica delle scuole elementari e materne del bacino di Bovolenta fino all 1/9/2003, trasmessi dall Istituto Comprensivo di Candiana, dal quale erano gestite fino al 31/08/2003, data di soppressione di quell Istituto. I dati acquisiti attraverso il protocollo riservato sono conservati nell ufficio del dirigente scolastico. I dati su supporto elettronico sono conservati negli archivi elettronici del computer server dei servizi amministrativi. (Nella tabella che segue, relativamente ai dati sensibili e giudiziari, nella descrizione del trattamento, le finalità e le attività svolte, i tipi di dati trattati e le operazioni eseguite sono indicati in modo sintetico e con riferimento alle schede allegate al Regolamento del Ministero della Pubblica Istruzione citato nelle premesse, con specificazione, per ogni identificativo di trattamento, delle specifiche schede) Tabella 1.1 Elenco dei trattamenti: informazioni essenziali (regola 19.1 del disciplinare tecnico) Id del trattamento Trattame nto Finalità perseguita o attività Categorie di svolta interessati T1 Gestione Area Alunni Alunni Genitori Relativamente ai dati sensibili e giudiziari : Scheda n. 4 Attività propedeutiche all avvio dell anno scolastico; Scheda n. 5 Attività educativa, didattica e formativa e di valutazione; Scheda n. 7 Rapporti Scuola- Famiglie: gestione del contenzioso. T2 Gestione Area Bilancio Personale Fornitori Natur a dei dati Terzi a cui vengono comunicati i dati S G USP, MIUR, Altre istituzioni scolastiche, AUSL, Enti Locali, Gestori pubblici e privati dei servizi di assistenza, Istituti di assicurazione, INAIL, Aziende, imprese e altri soggetti pubblici o privati per tirocini formativi, stages e alternanza scuola lavoro, Avvocature dello Stato, Magistrature ordinarie e amministrativo-contabile, Organi di polizia giudiziaria, Liberi professionisti, Argo Software Strutt ura di riferi ment o Altre strutture che concorrono al trattamento S S A2.3 A5 A1 A3 A2.2 USP, USR, MIUR, Agenzia delle A3 A2.1 A1 Entrate, Altre istituzioni scolastiche, EX-INPDAP, INPS, INAIL, AUSL, Altre Amministrazioni Pubbliche, Corte dei Conti, MEF, Banca che effettua il servizio di cassa DPS - IC Casalserugo SETTEMBRE

4 T3 T4 T5 T6 Gestione Area Personale Relativamente ai dati sensibili e giudiziari : Scheda n. 1 Selezione e reclutamento a TI e TD e gestione del rapporto di lavoro; Scheda n. 2 Gestione del contenzioso e procedimenti disciplinari; Scheda n. 3 Organismi collegiali e commissioni istituzionali; Scheda n. 7 Rapporti Scuola- Famiglie: gestione del contenzioso. Gestione Area Retribuzioni Relativamente ai dati sensibili e giudiziari : Scheda n. 1 Selezione e reclutamento a TI e TD e gestione del rapporto di lavoro; Scheda n. 2 Gestione del contenzioso e procedimenti disciplinari; Scheda n. 3 Organismi collegiali e commissioni istituzionali; Gestione Area Previdenziale e Fiscale Gestione Protocollo Relativamente ai dati sensibili e giudiziari: Tutte le schede allegate al regolamento sul trattamento dei dati sensibili e giudiziari Personale Personale Personale Alunni, Genitori, Fornitori, Personale, Altre amministrazio ni USP, USR, MIUR, Altre istituzioni scolastiche, Ordinario Diocesano, Organizzazioni Sindacali, Presidenza del Consiglio, EX-INPDAP, INPS, INAIL, AUSL, Altre Amministrazioni Pubbliche, Corte dei Conti, MEF, Enti assistenziali, previdenziali e assicurativi, Organi preposti alla vigilanza su igiene e sicurezza, Autorità di pubblica Sicurezza, Agenzia delle Entrate, Organi preposti agli accertamenti idoneità impiego USP, USR, MIUR, Altre istituzioni scolastiche, Ordinario Diocesano, Organizzazioni Sindacali, Presidenza del Consiglio, EX-INPDAP, INPS, INAIL, AUSL, Altre Amministrazioni Pubbliche, Corte dei Conti, MEF, Enti assistenziali, previdenziali e assicurativi, Magistrature ordinarie e amministrativo-contabile,agenzia delle Entrate, Banca che effettua il servizio di cassa USP, MIUR, Agenzia delle Entrate, Corte dei Conti, Enti assistenziali, previdenziali e assicurativi, MEF, Banca che effettua il servizio di cassa USP, USR, MIUR, Altre istituzioni scolastiche, Ordinario Diocesano, Organizzazioni Sindacali, Presidenza del Consiglio, EX-INPDAP, INPS, INAIL, AUSL, Altre Amministrazioni Pubbliche, Corte dei Conti, MEF, Enti assistenziali, previdenziali e assicurativi, Organi preposti alla vigilanza su igiene e sicurezza, Autorità di pubblica Sicurezza, Agenzia delle Entrate, Organi preposti agli accertamenti idoneità impiego, Banca che effettua il servizio di cassa S S A2.1 S S A2.1 S S A2.1 A1 A3 DPS - IC Casalserugo SETTEMBRE A3 A3 S S A2.2 A3 A2.1 - A2.3

5 T7 Gestione Sicurezza Personale amministrativ o accesso aree Sissi in Rete, Rete locale T8 Backup e Restore Banche dati informatiche T9 T10 T11 T12 Gestione Protocollo e corrispondenza riservata Relativamente ai dati sensibili e giudiziari: Tutte le schede allegate al regolamento sul trattamento dei dati sensibili e giudiziari Gestione della posta elettronica Relativamente ai dati sensibili e giudiziari: Tutte le schede allegate al regolamento sul trattamento dei dati sensibili e giudiziari Gestione assenze del Personale dipendente Relativamente ai dati sensibili e giudiziari : Scheda n. 1 Selezione e reclutamento a TI e TD e gestione del rapporto di lavoro; Comunicazione Anagrafe delle prestazioni Alunni, genitori, personale Personale, utenti del servizio scolastico, fornitori Personale Personale, Fornitori, prestatori d opera USP, MIUR, Altre istituzioni scolastiche, AUSL, Enti Locali, Gestori pubblici e privati dei servizi di assistenza, Istituti di assicurazione, INAIL, Aziende, imprese e altri soggetti pubblici o privati per tirocini formativi, stages e alternanza scuola lavoro, Avvocature dello Stato, Magistrature ordinarie e amministrativo-contabile, Organi preposti alla vigilanza su igiene e sicurezza, Autorità di pubblica Sicurezza, Organi di polizia giudiziaria, Liberi professionisti USP, USR, MIUR, Altre istituzioni scolastiche, Presidenza del Consiglio, EX-INPDAP, INPS, INAIL, AUSL, Altre Amministrazioni Pubbliche, Corte dei Conti, MEF, Organi preposti alla vigilanza su igiene e sicurezza, Autorità di pubblica Sicurezza, Agenzia delle Entrate, Organi preposti agli accertamenti idoneità impiego Presidenza Consiglio Ministri DFP Sito web DPS - IC Casalserugo SETTEMBRE A3 S S A1 A4 A4 A3 - A2.1 A2.3 S S A2.2 A3 A2.1 A2.3 A1 S A2.2 A3 A2.1 - A3 - A1 A2.1 A1

6 T13 T14 T15 T16 T17 T18 T19 Invio pagamento F24EP (contributi a carico scuola e dipendenti) Trasmissione compensi accessori e stipendi a MEF SPT tramite SIDI Servizi on line INPS (comprende ex INPDAP) Gestione con Suite Microsoft Office professional Gestione Dispostivi dell infrastruttura tecnologica Gestione Provvedimenti Disciplinari alunni Relativamente ai dati sensibili e giudiziari : Scheda n. 4 Attività propedeutiche all avvio dell anno scolastico; Scheda n. 5 Attività educativa, didattica e formativa e di valutazione; Scheda n. 7 Rapporti Scuola- Famiglie: gestione del contenzioso. Gestione Graduatorie e supplenze Personale esterno e della scuola Area riservata sito Agenzia entrate entratel e fisconline t/main/index.jsp A2.1 A3 Personale MEF tramite SIDI (Area riservata) S S A2.1 A3 Personale Area riservata Sito INPS S S A2.1 A3 Genitori, Alunni, Personale interno ed esterno, Fornitori Genitori, Alunni, Personale interno ed esterno, Fornitori Genitori, Alunni, Personale Tutte A4 Tutte Genitori, USP S A1 A A2.2 Personale USP, USR, MIUR S S A2.3 A3 A2.1 A2.2 A1 A3 DPS - IC Casalserugo SETTEMBRE

7 T20 T21 T22 T23 T24 T25 T26 Gestione Fornitori di beni e servizi Contratti prestazione d opera e altre Collaborazioni esterne Gestione Trattative sindacali Relativamente ai dati sensibili e giudiziari : Scheda n. 3 Organismi collegiali e commissioni istituzionali; Gestione Archivio cartaceo storico Gestione Assistenza tecnica e manutenzione hardware e software Gestione Riproduzione e notifica documenti Gestione Atti cartacei amministrativi correnti Ditte esterne Personale interno ed esterno Contrattazione sindacale Tutte le categorie Tutti i soggetti che utilizzano i PC degli uffici Amministrativi Personale, Alunni, Genitori Fornitori Personale, Alunni, Genitori Fornitori USP, USR, MIUR, Altre istituzioni scolastiche, Presidenza del Consiglio, INPS, INAIL, AUSL, Altre Amministrazioni Pubbliche, Enti assistenziali, previdenziali e assicurativi, Organi preposti alla vigilanza su igiene e sicurezza, Autorità di pubblica Sicurezza, Agenzia delle Entrate, Banca che effettua il servizio di cassa Enti Pubblici Territoriali, INAIL, Organizzazioni Sindacali, Ditte Esterne Componenti RSU Organizzazioni Sindacali I dati non vengono comunicati a terzi (prima dell eventuale comunicazione vengono trasferiti alle strutture interne autorizzate al trattamento) A2.1 A3 A1 - A2.2 - A2.3 A2.1 A1 A3 S A1 A3 - A2.3 S S A2.2 A3 A2.1 A2.3 - A1 A4 A3 A6 A2.1 A2.2 A2.3 A2.2 A3 A2.1 A2.3-A1 Tabella 1.2 Elenco dei trattamenti: ulteriori elementi per descrivere gli strumenti (regola 19.1 del disciplinare tecnico) Id Trattame nto Applicativo Banca Dati Ubicazione fisica dei supporti di memorizzazione Luogo Elaboratore Tipologia dei dispositivi di accesso Tipologia di interconnessione DPS - IC Casalserugo SETTEMBRE

8 T1 T2 T3 Software gestionale Sissi in Rete + Suite Microsoft Office + Argo Alunni Web + SIDI Software gestionale Sissi in Rete + Suite Microsoft Office Software gestionale Sissi in Rete + Suite Microsoft Office + Iris (rilevazione presenze) + SIDI T4 Software gestionale Argo + Suite Microsoft Office + SIDI T5 T6 Software gestionale Argo Suite Microsoft Office + SIDI Software gestionale Nettuno + Suite Microsoft Office ServerSissi + ServerTitolario + ServerRiserv + Server Argo + Server SIDI ServerSissi + ServerTitolario + Server SIDI ServerSissi + ServerTitolario + ServerRiserv + ServerRilevaz + Server SIDI ServerSissi + ServerTitolario + ServerRiserv + Server SIDI ServerSissi + ServerTitolario + Server SIDI ServerProt + ServerTitolario Ufficio segreteria 3, Server Argo 2 in Italia e 1in Francia. SIDI MIUR Ufficio segreteria 3,. SIDI MIUR Ufficio segreteria 3, SIDI MIUR Ufficio segreteria 3. SIDI MIUR Ufficio segreteria 3. SIDI MIUR PC server Server Argo Server SIDI PC server Server SIDI PC server Server SIDI PC server Server SIDI PC server Server SIDI PC portatili e fissi Internet, intranet, rete locale DPS - IC Casalserugo SETTEMBRE PC PC PC PC Internet, intranet, rete locale Internet, intranet, rete locale Internet, intranet, rete locale Internet, intranet, rete locale Ufficio segreteria 3 PC server PC Rete locale T7 Software gestionali ServerSissi, Ufficio segreteria 3 PC server PC Rete locale ServerArgo e ServerProt T8 Software di sistema ServerWin2000 Ufficio segreteria 3 PC server PC Rete locale Windows 2000 server Backup T9 Suite Microsoft Office ServerRiserv + Ufficio segreteria 3 PC server + PC PC Rete locale Riserv Dirig Dirigente T10 Microsoft Outlook Express e Outlook e Area Riservata Ministero Istruzione T11 Area riservata MEF per rid. per Assenze e Scioperi, SIDI per statistiche, SISSI in RETE per decreti T12 Area riservata Dipartimento Funzione Pubblica Perla PA Posta ServerSissi + Server MEF + Server SIDI Presidenza Consiglio Ministri - DFP Ufficio segreteria 3+ Altri Uffici Ufficio segreteria 3. SIDI MIUR Presidenza Consiglio Ministri - DFP PC server + Pc Protocollo + Altri PC PC server Server SIDI Presidenza Consiglio Ministri - DFP PC PC PC Internet Rete locale Internet Internet

9 T13 Area riservata Agenzia Agenzia entrate Agenzia entrate Agenzia entrate PC Internet Entrate Entratel - Fisconline T14 Applicazione MEF MEF - SPT MEF - SPT MEF - SPT PC Internet accessibile dall area riservata SIDI T15 Software e sito web INPS INPS INPS INPS PC Internet T16 Suite Microsoft Office ServerTitolario Ufficio segreteria 3 PC server PC Rete locale Professional T17 Software proprietario dei PC o Rete locale dispositivi dedicato T18 Suite Microsoft Office ServerRiserv + Ufficio segreteria 3 PC server + PC PC Rete locale Professional Riserv Dirig Dirigente T19 Accesso Area Riservata MIUR + Suite Microsoft Office Professional Software gestionale Sissi in Rete+ Suite Microsoft Office MIUR + ServerTitolario Ufficio segreteria 3 PC server PC Rete locale T20 ServerSissi+ Ufficio segreteria 3 PC server PC Rete locale ServerTitolario T21 Suite Microsoft Office ServerTitolario Ufficio segreteria 3 PC server PC Rete locale T22 Suite Microsoft Office ServerTitolario Ufficio segreteria 3 PC server PC Rete locale Archivio cartaceo T23 nessuno nessuna T24 Software utilizzati dalla tutte Ufficio segreteria 3 PC server PC Rete locale ditta manutenzione T25 nessuno nessuna T26 nessuno nessuna Tabella 1.3 Elenco dei trattamenti: ulteriori elementi per descrivere gli strumenti cartacei (regola 19.1 del disciplinare tecnico) Id Trattamento Archivio cartaceo Ubicazione logistica Stanza Armadio T23 Raccoglitori, Faldoni, Cartelle Etichettati Scaffalatura e armadi numerati Archivio storico, e Archivio storico Bovolenta T26 Raccoglitori, Faldoni, Cartelle Etichettati Armadi numerati Archivio corrente dei Vari Uffici Le misure indicate nel presente documento sono relative alla sede centrale dell istituzione scolastica. Vari Vari DPS - IC Casalserugo SETTEMBRE

10 Le procedure di trattamento dei dati avvengono nella sola sede centrale, considerato che i dati oggetto delle misure indicate nel presente documento sono trattenuti presso le altri sedi solo per il tempo necessario a provvedere all inoltro alla sede centrale o, solo per motivi di spazio, per quanto riguarda l archivio storico di Bovolenta. I dati o le chiavi sono trattenuti sotto la responsabilità degli incaricati (docenti e responsabile della sede) in cassetto chiuso del quale detengono la chiave. L inoltro avviene in busta chiusa per il tramite del personale della scuola con consegna all ufficio protocollo. Il titolare del trattamento ha confermato, ai sensi dell art.29 D. Lgs 196/2003, con atto scritto contenente analitiche istruzioni relative ai compiti affidati, il responsabile del trattamento nella persona del sig. Massimo Toso. Lo stesso Direttore SGA è inoltre stato incaricato dell Amministrazione di Sistema per la rete degli Uffici, con custodia delle copie delle credenziali, di responsabile dei backup e della custodia delle copie di sicurezza delle banche dati. Il responsabile del trattamento ha provveduto, sulla base della lettera di designazione e delle disposizione dell art.30, ad individuare i nuovi incaricati del trattamento dei dati personali appartenenti ai profili professionali del personale ATA; ha conferito agli stessi l incarico con atto scritto contenente puntuali istruzioni relative agli ambiti di trattamento consentiti, corredato da linee guida e con allegate le schede relative al trattamento dei dati sensibili e giudiziari. Inoltre, il personale ATA già incaricato alla data attuale e ancora in servizio viene dal responsabile confermato in detto precedente incarico ed informato del presente del DPS. Il titolare ha direttamente provveduto ad individuare e incaricare il personale docente non già destinatario di precedente incarico in questo Istituto con atto che fornisce le istruzioni necessarie. Il personale docente già incaricato alla data attuale viene dal titolare confermato in detto precedente incarico ed informato del presente del DPS A tutti gli incaricati del trattamento di dati mediante strumento elettronico sono state conferite credenziali di autenticazione (art.34, comma 1, lett.b) mediante parola chiave, conformi alle caratteristiche indicate nell allegato B. Agli incaricati sono state fornite puntuali indicazioni per la modifica della parola chiave ogni tre mesi. Id Struttura A1 Struttura Ufficio Dirigente Scolastico A2.1 Ufficio segreteria 5 bis - Area personale, retribuzioni, acquisti, bilancio, Tabella 2 Competenze e responsabilità delle strutture preposte ai trattamenti (regola 19.2) Trattamenti dei compiti e delle responsabilità effettuati T22 - T9 - T18 Gestione degli Organi collegiali Gestione dell offerta formativa Gestione della sicurezza sul posto di lavoro legge 626 Gestione della protezione dei dati personali Relazioni sindacali Rapporti con gli enti Gestione Protocollo Riservato Gestione Provvedimenti disciplinari alunni Sovrintende alla chiamata delle supplenze E il titolare del trattamento dati T1-T2-T3 T4-T5- Uso applicativi Argo, Sissi in Rete e Nettuno T6- T7 T8-T11 Gestione dei documenti office automation T12-T13 T14 Accesso all area riservata del sito Istruzione T15-T16-T20- Consultazione e archiviazione dei fascicoli personali dei dipendenti T23-T26 Gestione del software per la rilevazione delle presenze del personale DPS - IC Casalserugo SETTEMBRE

11 esperti esterni Uso applicativo Nettuno protocollo (in particolare prot in uscita) Invio Documenti Entratel Invio Comunicazioni a MEF su stipendi e accessori Invio UNIEMENS integrato Gestione della documentazione cartacea relativa al bilancio Contratti personale esterno Istituzione scolastica Rapporti con i fornitori Gare e acquisti di beni e servizi. A2.2 Ufficio segreteria 3 - Area Protocollo e Assenze A2.3 Ufficio segreteria 3 - Area Alunni, Inventario, Supplenze A3 Ufficio di segreteria 5 bis - Area Direttore Servizi Generali e Amministrativi T6 T8-T10 T16- T23 T26 T1-T6-T8-T16- T18-T20-T23- T26- T1-T2-T3-T4-T5- T6-T7 T8-T10- T12-T13-T14- T15-T16-T18- T19-T20-T21- T22-T23-T24- T25-T26 Uso applicativo Nettuno Gestione dei documenti office automation Stampe registro protocollo Gestione della posta elettronica Smistamento e archiviazione corrispondenza Gestione titolario generale Gestione archivio storico Accesso al servizio di comunicazione degli scioperi MEF (sciop.net) e SIDI Accesso al servizio di comunicazione delle assenze MEF (assenze.net) e SIDI Registrazione assenze e stampa decreti assenze con SISSI in Rete Invio visite fiscali Sostituzione Area Alunni Uso applicativo Sissi in Rete fino al 17/01/2013 e Argo Alunni web dal 18/01/2013 Gestione dei documenti di office automation Accesso ad aree riservate web per inserimento dati alunni (SIDI,AROF,ARIS) Accesso al servizio di denuncia infortuni del sito dell assicurazione Consultazione e archiviazione dei fascicoli personali degli alunni Uso applicativo Nettuno protocollo (in particolare prot in uscita) Cambio cassette backup del server Supporto a relazioni sindacali Accesso al server per aggiornamenti software Sissi in rete e cambio cassette Tenuta Inventario beni e beni facile consumo Gestione Graduatorie e Supplenze Sostituzione e Area Protocollo Gestione del Bilancio Utilizzo di tutti gli applicativi Sissi in Rete, Argo e Nettuno Utilizzo Applicativi gestione Sicurezza Sovrintende ai servizi generali amministrativo-contabili Coordina e verifica l attività del Personale ATA Concessione credenziali accesso area riservata Istruzione.it E consegnatario dei beni mobili E il responsabile del trattamento dati E anche Amministratore di Sistema DPS - IC Casalserugo SETTEMBRE

12 A4 A5 A6 A7 Amministratore di Sistema Personale Docente Personale Ausiliario Argo software s.r.l. T7 - T8 - T17 T24 Amministra il Server di sistema Serversissi con il Dbase SISSI Amministra i sistemi operativi dei clients in rete Amministra e configura il router per l accesso ad internet Provvede agli aggiornamenti degli applicativi Sissi e la loro installazione Predispone l automazione del backup dell archivio SISSI Installa sui client della rete amministrativa idoneo Antivirus Installa su tutte le macchine idonei programmi antispywere Utilizza l applicativo Sissi e il sistema operativo Windows 2003 server per la gestione degli accessi e dei profili Utilizza Event viewer (e ne conserva i report) per registrare gli accessi alla rete e ai singoli PC degli Incaricati E il Direttore SGA T1 Trattamento dati degli alunni T25 Riproduzione mediante fotocopiatura dei documenti e notifica degli stessi T1 Fornisce le applicazioni on-line e lo spazio web necessario al funzionamento del programma gestionale per gli alunni e del registro elettronico degli insegnanti e dell interfaccia web con i genitori alunni in particolare per quanto riguarda le assenze e le valutazioni degli alunni stessi. adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata,con continuità, ad adottare tutte le misure di sicurezza che trovano fondamento e riferimento in un quadro normativo ampio e complesso (codice della privacy, t.u. sulla sicurezza del lavoro, regole tecniche del Codice dell'amministrazione Digitale) 3 Analisi dei rischi che incombono sui dati La ricognizione e l analisi dei rischi, che potrebbero comportare una distruzione, sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa, ovvero meramente fortuita, in grado di recare pregiudizio ai dati personali trattati, è stata riportata nelle tabelle che seguono nelle quali gli eventi sono stati suddivisi in tre categorie: 1)Comportamenti degli operatori. Sottrazione di credenziali di autenticazione; carenza di consapevolezza, disattenzione o incuria; comportamenti sleali o fraudolenti; errori materiali. 2) Eventi relativi agli strumenti. Danno arrecato da virus informatici o di programmi suscettibili di recare danno; spamming o tecniche di sabotaggio; malfunzionamento, indisponibilità o usura degli strumenti; accessi esterni non autorizzati; intercettazione di informazioni in rete. DPS - IC Casalserugo SETTEMBRE

13 3) Eventi relativi al contesto fisico-ambientale. Accessi non autorizzati a locali ad accesso ristretto; eventi distruttivi naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc) nonché dolosi, accidentali o dovuti ad incuria; guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc); errori umani nella gestione della sicurezza fisica. I suddetti rischi sono stati ripartiti in classi di gravità, tenendo conto della concreta possibilità di realizzazione, adottando la seguente scansione: Alta - Bassa - Molto Elevata - Media - Medio-Alta - Medio-Bassa La tabella seguente sintetizza i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone l impatto sulla sicurezza. le possibili conseguenze e stimandone la gravità, ponendoli altresì in correlazione con le misure di sicurezza previste. Comportamento degli operatori Id Rischio Tabella 3 Analisi dei rischi (regola 19.3 del disciplinare tecnico) Rischi R1 Sottrazione di credenziali di autenticazione. Si Media R2 Carenza di consapevolezza, disattenzione o incuria. Si Media R3 Comportamenti sleali o fraudolenti. Si Bassa R4 Errore materiale. Si Media Si/No dell impatto sulla sicurezza (gravità:alta/media/bassa) Eventi relativi agli strumenti R5 Azione di virus informatici o di programmi suscettibili di recare danno. R6 Spamming o tecniche di sabotaggio. Si Alta R7 Malfunzionamento, indisponibilità o degrado degli strumenti. Si Media R8 Accessi esterni non autorizzati. Si Media Si Alta R9 Intercettazione di informazioni in rete. Si Media Ev en R10 Accessi non autorizzati a locali/reparti ad accesso ristretto. Si Media DPS - IC Casalserugo SETTEMBRE

14 R11 R12 Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc,) nonché dolosi, accidentali o dovuti ad incuria. Guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.). Si Si Media Media R13 Errori umani nella gestione della sicurezza fisica. Si Media 4 Misure da adottare per garantire l'integrità e la disponibilità dei dati, non che la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità Contro i rischi d intrusione i locali della sede centrale, unica sede nella quale sono conservate le banche dati soggette a protezione, sono dotati di impianto d allarme a sensori infrarossi, attivabile mediante digitazione d un codice consegnato al personale dipendente. E stata disposta l attivazione dell allarme al termine dell orario di lavoro. Per quanto riguarda l archivio cartaceo storico presso la Scuola Media di Bovolenta questo è chiuso a chiave Per garantire la sicurezza delle aree in cui i dati sono trattati elettronicamente, sono state introdotte sui personal computer password di BIOS e password di rete, trimestralmente cambiate. Le aree contenenti dati in supporto cartaceo (archivio e mobili contenenti documentazione contabili dei dipendenti e degli alunni) sono ubicate in modo tale che ciascun addetto possa rilevare a vista e impedire il tentativo di accesso da parte di persone estranee. Sono state impartite disposizioni affinché, in assenza del personale, le stanze rimangano chiuse e le chiavi siano custodite dal personale collaboratore scolastico in servizio addetto alla vigilanza che, al termine del servizio, provvederà al deposito delle chiavi nell apposito contenitore. L ubicazione di stampanti ed apparecchio telefax tradizionale non consente ad estranei di leggere od asportare eventualmente documenti non ancora prelevati dal personale, mentre quella del fotocopiatore, che è anche stampante di rete, può dare questo tipo di problematiche. Di seguito si illustrano le norme applicate per garantire la sicurezza e l integrità dei dati per: Computer e supporti informatici: I computer, inclusi i server, risultano tutti sollevati da terra, in modo da evitare eventuali perdite di dati dovuti ad allagamenti; il server è dotato di doppio alimentatore e di doppio gruppo di continuità che consente di escludere la perdita di dati derivanti da sbalzi di tensione o di interruzione di corrente elettrica. L integrità dei dati sul server amministrativo è garantita da una tripla procedura di backup che avviene tutta in automatico con apposito software (tranne evidentemente il cambio della cassetta): la prima giornalmente opera il salvataggio di una copia dei dati su una cassetta; la seconda sempre giornalmente su file nel server, la terza settimanalmente su file nel server. Le cassette sono conservate in un Ufficio diverso rispetto a quello dove è posizionato il Server e periodicamente, circa ogni due mesi, una delle cassette di backup viene riposta in cassaforte e sostituita con un altra. L introduzione di password di BIOS all accensione dei personal computer, di password dello screen-saver e di password per l accesso in rete determina un soddisfacente livello di protezione dei dati contenuti nei PC. L introduzione delle password e di apposito software antivirus inibisce ad estranei l uso dei personal computer, attraverso i quali, si accede alla posta elettronica. Per l invio di messaggi a più destinatari, sono state fornite al personale istruzioni affinché quale destinatario venga sempre indicata la scuola con l indirizzo e in CCN i destinatari, in modo che non possano essere individuati gli indirizzi degli altri destinatari attraverso la funzione di proprietà. I floppy disk contenenti dati degli studenti, delle famiglie degli stessi, dei lavoratori dipendenti e collaboratori, possono essere riutilizzati esclusivamente dopo opportuna formattazione, in modo da impedire la lettura dei dati precedenti, cosi come stabilito dalla legge. I DVD ROM non più utilizzabili vengono distrutti. DPS - IC Casalserugo SETTEMBRE

15 Per quanto riguarda infine l obbligo previsto dalle misure minime sulla sicurezza di cui all allegato B del codice della privacy, i computer sono dotati di programma antivirus che è aggiornato sotto la responsabilità del titolare del trattamento automaticamente con cadenza almeno mensile e che consente di rilevare immediatamente all apertura di un file la presenza di un virus. Supporti cartacei: relativamente ai supporti cartacei sono state impartite dettagliate istruzioni a tutto il personale al momento dell affidamento dell incarico e nel corso degli interventi di formazione. (vedi lettere di individuazione degli incaricati del trattamento dei dati e Linee Guida allegate) L affidamento a un privato (Argo software Srl), individuato tra quelli che hanno sottoscritto apposita convenzione con il MIUR,del trattamento da effettuare all esterno con il cosiddetto cloud computing, volto a rispondere a esigenze di innovazione tecnologica e normative, è stato effettuato soprattutto sulla base delle migliori garanzie offerte da questo privato, rispetto ai propri concorrenti, in merito alle misure tecniche e organizzative volte a ridurre al minimo i rischi di distruzione o perdita o modificazione anche accidentale di dati relativi a personale, alunni e genitori trattati all esterno,. Tabella 4.1 Le misure di sicurezza adottate o da adottare (regola 19.4 del disciplinare tecnico) Id M1 M2 M3 M4 M5 M6 M7 M8 Predisposizione dei profili di autorizzazione di accesso agli applicativi Sissi in Rete con concessione credenziali Procedura formale di concessione delle credenziali per l utilizzo degli applicativi Nettuno Procedura per la concessione di credenziali per l accesso all area riservata di Istruzione.it SIDI Concessione delle credenziali per l accesso all area riservata del sito web per la richiesta e visualizzazione dei CIG Concessione credenziali per la gestione della posta elettronica Concessione delle credenziali per l accesso all applicativo per le denunce di infortunio alunni Concessione credenziali accesso sito rilevazione scioperi (Sciopnet) Concessione delle credenziali per l accesso al sito PERLAPA.gov.it (Anagrafe prestazioni) Descrizion e dei rischi contrastati R1,R2,R3, R4 R1,R2,R3, R4 R1,R2,R3, R4 R1,R2,R3, R4 R1,R2,R3, R4 R1,R2,R3, R4 R1,R2,R3, R4 R1,R2,R3, R4 Trattamenti interessati già in essere da adottare T1 T3 T7 X A3 Area T7 X A3 Area T1 T2 T3 T4 T5 T6 X Struttura o persone addette all adozione A3 Area T20 X A3 Area T10 X A3 Area T1 X A3 Area T11 X A3 Area T12 X A1 Area Dirigente Scolastico DPS - IC Casalserugo SETTEMBRE

16 M9 Concessione delle credenziali per l accesso al sito Agenzia entrate Entratel e Fisconline M10 Concessione delle credenziali per l accesso al sito INPS per la visualizzazione degli UNIEMENS aggregato trasmessi, per la visualizzazione delle attestazioni di malattia del personale dell Istituto e per l inserimento delle domande di prestito degli iscritti M11 Abilitazione all accesso area riservata delle credenziali per trasmissione compensi accessori e stipendi a MEF SPT tramite SIDI M12 Concessione delle credenziali per l accesso ai dispositivi di amministrazione del sistema informativo M13 Concessione delle credenziali per l accesso di ciascun utente del sistema alle risorse del dominio M14 Installazione Antivirus sui PC della rete Amministrativa M15 Redazione di un disciplinare tecnico per le procedure di Backup con cadenza almeno settimanale M16 Verifica delle procedure di ripristino di Backup M17 Configurazione o ripristino del sistema operativo dei clients M18 Redazione di un disciplinare tecnico per la conservazione dei supporti di memorizzazione removibili M19 Predisposizione di un piano di interventi di manutenzione dell Hardware al fine di garantire l integrità dei dati M20 Procedura di concessione delle autorizzazioni all accesso dei documenti cartacei M21 Installazione nei locali in cui sono contenuti gli archivi informatici e cartacei (archivio corrente) di un impianto antifurto R1,R2,R3, R4 R1,R2,R3, R4 R1,R2,R3, R4 R1,R2,R3, R4, R8,R9 R1,R2,R3, R4 T13 X A1 Area Dirigente Scolastico T15 X A1 Area Dirigente Scolastico T14 X A3 Area T7 X A3 Area T7 X A3 Area R5,R6 T7 X A4 Amministratore di Sistema R5,R7,R11, R12,R13 R5,R7,R11, R12,R13 R1,R2,R3, R4 R5,R7,R11, R12,R13 T7 X A4 Amministratore di Sistema T7 X A4 Amministratore di Sistema T7 X A4 Amministratore di Sistema T7 X A4 Amministratore di Sistema R7 T7 X A4 Amministratore di Sistema R10,R13 T7 X A1 Area Dirigente Scolastico R8, R10, R13 T7 T26 X A3 Area DPS - IC Casalserugo SETTEMBRE

17 M22 Installazione nei locali della Scuola Media di Bovolenta e in alcuni di quelli della Scuola Media di Casalserugo (Nuovo Ufficio e Archivio storico) in cui sono contenuti gli archivi cartacei, ma anche destinati ad ospitare archivi informatici (nuovo Ufficio), di un impianto antifurto M23 Predisposizione di armadi provvisti di chiusura per la custodia dei documenti e supporti informatici M24 Predisposizione di ulteriori armadi e classificatori provvisti di chiusura per la custodia dei documenti e dei supporti informatici M25 Procedura formale di consegna delle chiavi degli armadi agli incaricati dei trattamenti M26 Procedura formale di concessione delle autorizzazioni per l accesso ai locali M27 Procedura di concessione delle autorizzazioni all accesso alle applicazioni Argo Alunni Web e altre applicazioni Argo web per registro elettronico e comunicazioni con i genitori R8, R10, R13 R8, R10, R13 R8, R10, R13 T7 T23 T26 X A1 Area Dirigente Scolastico e A3 Area (Richiesta ai Comuni) T7 T23 T26 X A3 Area e A1 Area Dirigente Scolastico T7 T23 T26 X A3 Area e A1 Area Dirigente Scolastico (Richiesta al Comune Casalserugo) R10,R13 T7 T23 T26 X A3 Area R10,R13 T7- T23 T26 X A1 Area Dirigente Scolastico R1,R2,R3, R4 T1 T3 T7 X A3 Area e A1 Area Dirigente Scolastico DPS - IC Casalserugo SETTEMBRE

18 Tabella 4.2 Scheda descrittiva delle misure adottate Scheda n 1 M1 Predisposizione dei profili di autorizzazione di accesso agli applicativi Sissi in Rete con concessione delle credenziali Tramite il programma di gestione sicurezza di Sissi in Rete, IL assegna ai vari utenti, riconosciuti dalla rete con un certo nome utente e una certa password, il profilo di accesso agli applicativi Sissi in Rete in coerenza con il piano delle attività adottato. Tabella 4.2 Scheda descrittiva delle misure adottate Scheda n 2 M2 30 marzo 2009 Procedura formale di concessione delle credenziali per l utilizzo dell applicativo Nettuno Protocollo Comunicazione da parte del del nome dell utente e della password per l applicativo Protocollo ad ogni dipendente che può utilizzare tale applicazione in relazione ai propri compiti. L elenco completo delle password è rinvenibile dalla funzione di gestione utenze interna all applicazione per gli utenti con prerogative di Amministratore. DPS - IC Casalserugo SETTEMBRE

19 Tabella 4.2 Scheda descrittiva delle misure adottate Scheda n 3 M3 31 marzo 2012 Procedura per la concessione di credenziali per l accesso all area riservata di Istruzione.it - SIDI Le credenziali per l accesso al servizio vengono rilasciate dal gruppo di lavoro ministeriale, la password è personale e modificabile da parte del personale che la riceve. Il o il DS abilitano gli incaricati ad operare nelle varie aree. Tabella 4.2 Scheda descrittiva delle misure adottate Scheda n 4 M4 31 marzo 2012 Concessione delle credenziali per l accesso all area riservata del sito web per la richiesta e visualizzazione dei CIG Le credenziali per l accesso al servizio vengono rilasciate dall Autorità per la vigilanza sui contratti pubblici di lavori, servizi e forniture al Dirigente Scolastico che a sua volta abilita il e/o altro personale ad operare per conto dell Istituto ognuno con propria password personale e modificabile. DPS - IC Casalserugo SETTEMBRE

20 Tabella 4.2 Scheda descrittiva delle misure adottate Scheda n 5 21 marzo 2007 M5 Concessione credenziali per la gestione della posta elettronica Le credenziali per l accesso al servizio vengono rilasciate all Istituzione scolastica dagli uffici competenti, il imposta Outloock Express (o Microsoft Outloock) per gli account del personale di segreteria e per il DS e comunica le credenziali all assistente amm.vo che si occupa del reclutamento dei supplenti. Le credenziali sono custodite in cassaforte. Tabella 4.2 Scheda descrittiva delle misure adottate Scheda n 6 M6 21 marzo 2007 Concessione delle credenziali per l accesso all applicativo per le denunce di infortunio alunni della Compagnia di assicurazione Le credenziali per l accesso al servizio vengono rilasciate all Istituzione scolastica dalla Compagnia assicurativa. Il cura che ne sia a conoscenza il personale preposto al tipo di servizio e custodisce queste credenziali in cassaforte. DPS - IC Casalserugo SETTEMBRE