PREMESSA. Articolo 1 NORMATIVA DI RIFERIMENTO. Articolo 2 DEFINIZIONI E RESPONSABILITÀ

Transcript

1 PREMESSA Scopo di questo documento è stabilire le misure di sicurezza organizzative, fisiche e logiche da adottare affinché siano rispettati gli obblighi, in materia di sicurezza del trattamento dei dati effettuato dall ISTITUTO COMPRENSIVO FRANCESCO D ASSISI, previsti dal D.L.vo 30/06/2003 Num. 196 "Codice in materia di protezione dei dati personali". Il suddetto istituto comprende anche la scuola dell infanzia, primaria e secondaria situate nei Comuni di Bellegra, Rocca Santo Stefano e Roiate. Il trattamento dei dati avviene nei locali sensibili (segreteria ed ufficio del Dirigente) situati presso la scuola secondaria di Bellegra. Il presente documento è stato redatto dal Dirigente Scolastico, Prof. Luigi Lanciotti, in qualità di responsabile della sicurezza, che provvede a firmarlo in calce. Eventuali situazioni di deviazione accertate rispetto a quanto precisato nel presente documento dovranno essere rimosse nel più breve tempo possibile. Articolo 1 NORMATIVA DI RIFERIMENTO D.L.vo n. 196 del 30/06/2003; Regolamento per l'utilizzo della rete. Articolo 2 DEFINIZIONI E RESPONSABILITÀ AMMINISTRATORE DI SISTEMA: il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l'utilizzazione. In questo contesto l'amministratore di sistema assume anche le funzioni di amministratore di rete, ovvero del soggetto che deve sovrintendere alle risorse di rete e di consentirne l'utilizzazione. L'amministratore deve essere un soggetto fornito di esperienza, capacità e affidabilità nella gestione delle reti locali. Ai fini della sicurezza l'amministratore di sistema ha le responsabilità indicate nella lettera di incarico. CUSTODE DELLE PASSWORD: il soggetto cui è conferito la gestione delle password degli incaricati del trattamento dei dati in conformità ai compiti indicati nella lettera di incarico. 1

2 DATI ANONIMI: i dati che in origine, o a seguito di trattamento, non possono essere associati a un interessato identificato o identificabile. DATI PERSONALI: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. DATI IDENTIFICATIVI: i dati personali che permettono l identificazione diretta dell interessato. DATI SENSIBILI: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. DATI GIUDIZIARI: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. INCARICATO: il soggetto, nominato dal titolare o dal responsabile del trattamento, che tratta i dati. L incaricato del trattamento dei dati, con specifico riferimento alla sicurezza, ha le responsabilità indicate nella lettera di incarico. INTERESSATO: il soggetto al quale si riferiscono i dati personali. RESPONSABILE DELLA SICUREZZA INFORMATICA: il soggetto preposto dal titolare alla gestione della sicurezza informatica. La designazione di un responsabile è facoltativa e non esonera da responsabilità il titolare, il quale ha comunque l'obbligo di impartirgli precise istruzioni e di vigilare sull'attuazione di queste. Il responsabile deve essere un soggetto fornito di esperienza, capacità e affidabilità nella gestione delle reti locali. Ai fini della sicurezza il responsabile del sistema informativo ha le responsabilità indicate nella lettera di incarico. Articolo 3 TITOLARE, RESPONSABILI, INCARICATI Titolare del trattamento: Il Dirigente Scolastico, Prof. Luigi Lanciotti Responsabile del trattamento dei dati: Il D.S.G.A., Sig. Anselmo Albensi Responsabile della sicurezza informatica: Fusion Technology s.r.l in persona del suo legale rappresentante pro-tempore Sig. Luigi Testani. Amministratore della rete: Fusion Technology s.r.l in persona del suo legale 2

3 rappresentante pro-tempore Sig. Luigi Testani. Custode delle passwords: Il Dirigente Scolastico e Il D.S.G.A. Incaricati del trattamento dei dati: come da allegato 1 Incaricato dell'assistenza e della manutenzione degli strumenti elettronici: Fusion Technology s.r.l in persona del suo legale rappresentante pro-tempore Sig. Luigi Testani. a) - IL TITOLARE DEL TRATTAMENTO (art. 28 D.L.vo 196/2003) Titolare del trattamento, come definito nella Premessa, è il legale rappresentante di questa Istituzione Scolastico, il Dirigente Scolastico Prof. Luigi Lanciotti ( C.F.: LNCLGU51A29I9992T). E onere del Titolare del trattamento individuare, nominare e incaricare per iscritto uno o più Responsabili del trattamento dei dati, che assicurino e garantiscano che vengano adottate le misure di sicurezza. Il Titolare del trattamento affida al Responsabile del trattamento dei dati il compito di adottare le misure tese a ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati medesimi, anche accidentale, l accesso non autorizzato o il trattamento non consentito, previe istruzioni fornite per iscritto (art. 31 D.L.vo 196/2003). b) - RESPONSABILE DEL TRATTAMENTO IL (art. 29 D.L.vo 196/2003) In relazione all attività del Titolare del trattamento, è prevista la nomina di uno o più Responsabili del trattamento, con compiti diversi a seconda delle funzioni svolte. Il Responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. I compiti affidati al Responsabile sono analiticamente specificati per iscritto dal Titolare (art. 29 c. 4 D. L.vo 196/03). Il Titolare del trattamento affida al Responsabile del trattamento l onere di individuare, nominare ed indicare per iscritto gli Incaricati del trattamento. In particolare, il Titolare del trattamento individua, designa e nomina quale Rappresentante del trattamento dei dati il D.S.G.A. di questa Istituzione Scolastica, Sig. Anselmo Albensi( C.F.: LBNNLM47C12H441X). Il Responsabile del trattamento dei dati ha il compito di: Redigere ed aggiornare ad ogni variazione l elenco dei sistemi di elaborazione connessi in rete, nonché l elenco delle tipologie dei trattamenti effettuati; Individuare, nominare e incaricare per iscritto un incaricato della gestione e della manutenzione degli strumenti elettronici. 3

4 Designare e individuare gli incaricati del trattamento dei dati personali appartenenti ai profili professionali del personale ATA, e conferire agli stessi l incarico con atto scritto contenente puntuali istruzioni relativi agli ambiti di trattamento consentiti. Verificare con cadenza almeno semestrale, l efficacia dei di protezione ed antivirus, nonché definire le modalità di accesso ai locali; Informare il Titolare nella eventualità che si siano rilevati dei rischi. Altresì al Responsabile del trattamento dei dati è affidato il compito di gestire e custodire le password per l accesso ai dati da parte degli Incaricati. Egli predispone, per ogni Incaricato del trattamento, una busta sulla quale è indicato lo USER ID utilizzato: all interno della busta deve essere indicata la password utilizzata dall Incaricato per accedere alla banca-dati. Le buste con le password debbono essere conservate in luogo chiuso e protetto (nell armadio blindato collocato nel corridoio antistante gli uffici di segreteria). Il Titolare del trattamento dei dati informa il Responsabile sulle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative in vigore fornendogli una copia di tutte le norme che riguardano la sicurezza del trattamento dei dati in vigore al momento della nomina. La nomina del Responsabile del trattamento è a tempo indeterminato, decade per revoca in qualsiasi momento o con il venir meno dei compiti che giustificavano il trattamento. c) - GLI INCARICATI DEL TRATTAMENTO (art. 30 D.L.vo 196/2003) Al Responsabile del trattamento è affidato il compito di nominare, con comunicazione scritta, gli Incaricati del trattamento dei dati. La designazione di ciascun Incaricato del trattamento dei dati deve essere 4

5 effettuata con lettera di incarico in cui sono ben specificati i compiti che gli sono affidati e l ambito del trattamento consentito. Gli Incaricati del trattamento devono ricevere idonee ed analitiche istruzioni scritte, anche per gruppi omogenei di lavoro, sulle mansioni loro affidate e sugli adempimento cui sono tenuti. Agli Incaricati deve essere assegnata una parola chiave e un codice identificativo personale. La nomina degli Incaricati del trattamento deve essere controfirmata dall interessato per presa visione. In particolare, tenuto conto del piano di lavoro e delle attività predisposto dal DSGA per l a.s. 2006/07 e adottato dal D.S., il Responsabile del trattamento individua e nomina i seguenti Incaricati con annesso ambito del trattamento dei dati consentito: FABI ROSA (C:F.:FBARSO58H49H441L) Tenuta registro protocollo; I - Area protocollo, archivio ed affari generali Sportello informazioni interna ed esterna; Supporto alla Dirigenza e rapporti informazioni con la stessa ed altri uffici; Rapporti con il comune; Coordinamento delibere verbali organi collegiali, GLH d istituto e loro divulgazione; Smistamento della corrispondenza all interno dell ufficio; spedizione della corrispondenza; Archivio corrente e storico; archiviazione atti e fascicoli personali docenti e ATA; Elezioni, controllo adempimenti; TFR e disoccupazione; Supporto Pof; II Area alunni (Scuola Infanzia e primaria) 5

6 MARTINI MARILENA (C.F.. MRTMLN60A69G022F) Informazione utenza interna ed esterna (controllo osservanza normativa privacy)- iscrizioni alunni- Gestione registro matricolare - Tenuta fascicoli documenti alunni - Richiesta o trasmissione documenti - Gestione corrispondenza con le famiglie - Gestione statistiche- Gestione schede valutazione, tabelloni scrutini, gestione assenze e ritardi - Gestione e procedure per sussidi Gestione organizzativa viaggi d istruzione. Certificazione varie e tenuta registri e relativa archiviazione - esoneri educazione fisica - infortuni alunni /denuncia INAIL, Assicurazione ministeriale/assicurazione integrativa per infortuni o R.C.) - Adozione libri di testo - pratiche portatori di handicap, in riferimento alla convocazioni dei G.L.H.O. - per monitoraggio relativi agli alunni - Stesura verbali - Esami Mensa scolastica (organizzazione giornaliera, rendicontazione periodica) Servizi di assistenza agli alunni. Rapporti con le scuole statali e private (relativamente agli alunni). Infortunio del personale: denuncia INAIL, Assicurazione, ecc; TFR e disoccupazione; Elezioni e convocazioni Consigli di classe ed intersezione ; Organico docenti, sostegno ed ATA ; Posta elettronica; Supporto al Pof e controllo dell osservanza normativa privacy; (Scuola Secondaria) MATTEI MASSIMO (C.F.:MTTMSM44P13H501B) Informazione utenza interna ed esterna (controllo osservanza normativa privacy)- iscrizioni alunni- Gestione registro matricolare - Tenuta fascicoli documenti alunni - Richiesta o trasmissione documenti - Gestione corrispondenza con le famiglie - Gestione statistiche- Gestione schede valutazione, tabelloni scrutini, gestione assenze e ritardi - Gestione e procedure per sussidi 6

7 Gestione organizzativa viaggi d istruzione. Certificazione varie e tenuta registri e relativa archiviazione - esoneri educazione fisica - infortuni alunni /denuncia INAIL, Assicurazione ministeriale/assicurazione integrativa per infortuni o R.C.) - Adozione libri di testo - pratiche portatori di handicap, in riferimento alla convocazioni dei G.L.H.O. - per monitoraggio relativi agli alunni - Stesura verbali - Esami Mensa scolastica (organizzazione giornaliera, rendicontazione periodica) Servizi di assistenza agli alunni. Rapporti con le scuole statali e private (relativamente agli alunni). Infortunio del personale: denuncia INAIL, Assicurazione, ecc; Elezioni e convocazioni Consigli di classe ed intersezione ; Organico docenti, sostegno ed ATA ; Posta elettronica; Supporto al Pof e controllo dell osservanza normativa privacy; III - Area settore amministrativo contabile MATTEI MASSIMO (C.F.: MTTMSM44P13H501B) Contabilizzazione competenze fondamentali ed accessorie (personale a tempo determinato pagato dalla scuola), Cud, TFR e disoccupazione; Anagrafe delle prestazioni: richiesta autorizzazioni, rilascio autorizzazioni, trasmissione dati al Dipartimento della funzione Pubblica; Contratti d opera; Competenze fiscali (modello 770-IRAP, versamenti INPS); Aggiornamento Sissi; Ordinazioni materiali; Supporto al Pof e controllo osservanza normativa privacy; 7

8 IV Area Personale (scuola primaria ed infanzia) MARTINI MARILENA(C.F.: MRTMLN60A69G022F) Amministrazione del personale PERSONALE ATA: Cura la tenuta di tutti i fascicoli personali, è addetta a tutte le pratiche che vanno dalle assunzioni in servizio al pensionamento. (Controllo documenti di rito all atto dell assunzione e relativa spedizione agli uffici competenti, domande di ricostruzione di carriera, riconoscimento dei servizi pre-ruolo ai fini della pensione e buonuscita, domande di ricongiungimento periodi assicurativi L.29/79, ecc.) e tutto quanto richiesto dal personale in servizio. E responsabile di tutti i dati che vanno richiesti al momento dell assunzione e degli stessi successivamente modificati (informativa Privacy, compilazione stato del personale, dati da inserire per pagamento compensi fondamentali ed accessori,, ferie, ecc.). Ricostruzioni di carriera. Anagrafe personale Preparazione documenti periodo di prova. Gestisce le domande di supplenza ( collabora con il D.S., o commissione predisposta, a valutare nuove domande di inserimento/aggiornamento alle relative fasce del personale ATA, inserisce i relativi dati al sistema centrale, segue eventuali ricorsi e relativi aggiornamenti); Graduatorie supplenze - Compilazione graduatorie interne, per ata e docenti, ecc. Convocazioni attribuzione supplenze. Emissione contratti di lavoro personale docente T.D. e T.I.; Comunicazione telematica contratti (personale pagato dalla D.P.T.); Controllo pagamento effettuato DPT; Inserimento dati al SIMPI; Registra le varie assenze dal servizio, emette i relativi decreti che invierà eventualmente alla segreteria amministrativa, Ragioneria Prov.le dello Stato, D.P.T. ecc. Gestione fascicoli personali; Rilascio certificati di servizio; Richiesta visite fiscali; Trasmissione dati di carattere sindacale Accertamento orario personale ATA (ritardi, permessi e recuperi, banca delle ore, ecc.). Comunicazione mensile delle ore straordinarie. 8

9 Archivio corrente e storico; archiviazione atti e fascicoli personali docenti e ATA; Posta elettronica; Elezioni, controllo adempimenti; Supporto Pof; Controllo osservanza normativa privacy; (scuola secondaria) MATTEI MASSIMO (C.F.MTTMSM44P13H501B) Amministrazione personale PERSONALE ATA: Cura la tenuta di tutti i fascicoli personali, è addetta a tutte le pratiche che vanno dalle assunzioni in servizio al pensionamento. (Controllo documenti di rito all atto dell assunzione e relativa spedizione agli uffici competenti, domande di ricostruzione di carriera, riconoscimento dei servizi pre-ruolo ai fini della pensione e buonuscita, domande di ricongiungimento periodi assicurativi L.29/79, ecc.) e tutto quanto richiesto dal personale in servizio. E responsabile di tutti i dati che vanno richiesti al momento dell assunzione e degli stessi successivamente modificati (informativa Privacy, compilazione stato del personale, dati da inserire per pagamento compensi fondamentali ed accessori,, ferie, ecc.). Ricostruzioni di carriera. Anagrafe personale Preparazione documenti periodo di prova. Gestisce le domande di supplenza ( collabora con il D.S., o commissione predisposta, a valutare nuove domande di inserimento/aggiornamento alle relative fasce del personale ATA, inserisce i relativi dati al sistema centrale, segue eventuali ricorsi e relativi aggiornamenti); Graduatorie supplenze ; Convocazioni attribuzione supplenze. Emissione contratti di lavoro personale docente T.D. e T.I.; Comunicazione telematica contratti (personale pagato dalla D.P.T.); Controllo pagamento effettuato DPT; Inserimento dati al SIMPI; Registra le varie assenze dal servizio, emette i relativi decreti che invierà eventualmente alla segreteria amministrativa, Ragioneria Prov.le dello Stato, D.P.T. ecc. Gestione fascicoli personali; Rilascio certificati di servizio; 9

10 Trasmissione dati di carattere sindacale Archivio corrente e storico; archiviazione atti e fascicoli personali docenti e ATA; Posta elettronica; Elezioni, controllo adempimenti; Supporto Pof; Controllo osservanza normativa privacy. L aver indicato sommariamente le funzioni ad ogni Assistente Amministrativo non comporta rigidità nell espletamento del proprio lavoro in quanto il personale assegnato in ogni Ufficio è comunque tenuto a conoscere tutte le funzioni nonché l attività lavorativa dei colleghi e sostituirli in caso di assenza. Area collaboratori scolastici Ceci Valter (C.F.: CCEVTR61S17H441E)), in servizio presso la sede centrale; Miozzi Otello (C.F. MZZTLL49M06G022J), in servizio presso la sede centrale; Urpiani Ennio ( C.F. :LPNNNE50C16H441A), in servizio presso la sede centrale; Ceci Domenico(C.F.: CCEDNC55D05A749R), in servizio presso la scuola primaria di Bellegra; Pardeo Salvatore (C.F.:PRDSVT 50P12G288E),in servizio presso la scuola primari di Bellegra; Colanera Elvira ( C.F.: CLNLVR67E48H441S),in servizio presso la scuola dell infanzia di Bellegra; Tomasi Anna(C.F.:TMSNNA63P61H441O), in servizio presso la scuola dell infanzia di Bellegra; Lauri Lidia (C.F.:LRALDI40P56H441W, in servizio presso la scuola dell infanzia di Rocca Santo Stefano; Mori Margherita(C.F.:MROMGH44B58I992E),in servizio presso la scuola dell infanzia di 10

11 Rocca Santo Stefano; Ciancarella Gaetana(C.F.: CNCGTN45P59H441P),in servizio presso la scuola primariasecondaria, di Rocca Santo Stefano; Greco Giorgio (C.F.: GRCGRG42E03H441A), in servizio presso la scuola-primaria e secondaria di Rocca Santo Stefano ; Ciuffi Sandra (C.F.: CFFSDR57C68H494T), in servizio presso la scuola dell infanzia, primaria e secondaria di Roiate; Cinti Mario Gabriele (C.F.: CNTMGB52B02A749S), in servizio presso la scuola dell infanzia, primaria e secondaria di Roiate; TUTTI I COLLABORATORI SCOLASTICI: nei loro specifici incarichi o nelle loro mansioni generali previste dal CCNL nell area specifica di appartenenza (accoglienza e sorveglianza nei confronti degli alunni, ausilio materiale nei confronti degli alunni in situazione di difficoltà, custodia e sorveglianza nei locali scolastici, vigilanza nei confronti del pubblico evitando ed impedendo l intrusione di persone estranee, collaborazione con i docenti e con il personale di segreteria, pulizia dei locali delle scuole di Rocca Santo Stefano e Roiate) osserveranno la massima privacy, evitando di diffondere notizie che devono restare private, in particolare quando ricevono o portano in giro Circolari Ministeriali, Note degli Uffici Superiori o circolari interne in visione al personale docente. - Sono anche addetti al controllo dei danni agli arredi e segnalazione malfunzionamenti. Tale personale deve ricevere idonee ed analitiche informazioni da parte del Responsabile del trattamento sulle mansioni loro affidate e sugli adempimenti cui sono tenuti in ragione della riservatezza che si deve garantire per l incarico affidato e per il fatto di essere dipendenti di questa pubblica istituzione scolastica. Agli Incaricati del trattamento il Responsabile consegnerà una copia della normativa che riguarda la sicurezza del trattamento dei dati in vigore al momento della nomina. Tale nomina è a tempo indeterminato, decade per revoca, o con il venir meno dei compiti che giustificavano il trattamento. Si precisa che tutti i Collaboratori scolastici sono tenuti alla custodia delle chiavi del plesso ove prestano servizio. AREA DOCENTI 11

12 - Ins. Nonnino Maria Antonietta (C.F. ZNNMNT55P59H501S) I collaboratore scuola secondaria; - Ins. Carlini Anna Maria (C.F.: CRLNMR45P59G022B) II collaboratore -scuola primaria Bellegra-; - Ins. Fabi Natalina (C.F. : FBANLN63D54H441A ) referente scuola secondaria di Rocca Santo Stefano; - Ins. Orlandi Lucilla (C.F.: RLNLLL63B52H501J ) referente scuola dell infanzia di Rocca Santo Stefano; - Ins. Caporilli Anna ( CPRNNA69L69G022A) referente per il plesso di Roiate L ins. Zonnino Maria Antonietta, in caso di assenza o temporaneo allontanamento del Dirigente Scolastico è delegata a firmare gli atti interni ed esterni privi di rilevanza economica; docenti collaboratori e referente di scuola dell infanzia sono incaricati di : predisporre il piano delle sostituzioni dei docenti assenti; controllare la circolazione delle comunicazioni interne e di quelle dirette alle famiglie; relazionarsi con la segreteria ed i collaboratori scolastici per il buon funzionamento dell istituzione scolastica sono referenti per l organizzazione dei problemi relativi all utenza, ai rapporti con i genitori e con gli enti esterni. Articolo 4 ANALISI DEI RISCHI INCOMBENTI SUI DATI L Istituzione scolastica ha proceduto ad una ricognizione dei rischi che potrebbero comportare una distruzione, sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa, ovvero meramente fortuito, in grado di recare pregiudizio ai dati personali trattati. La classificazione dei dati in funzione dell'analisi dei rischi risulta la seguente: DATI ANONIMI, ovvero la classe di dati a minore rischio, per la quale non sono previste particolari misure di sicurezza; 12

13 DATI PERSONALI, o DATI PERSONALI SEMPLICI, ovvero la classe di dati a rischio intermedio o DATI PERSONALI SENSIBILI/GIUDIZIARI, ovvero la classe di dati ad alto rischio; DATI PERSONALI SANITARI, ovvero la classe di dati a rischio altissimo. Le fonti di rischio sono state accorpate in: 1)Comportamenti degli operatori. Sottrazione di credenziali di autenticazione; comportamenti imperiti, imprudenti o negligenti dei soggetti legittimati al trattamento dei dati; comportamenti dolosi dei soggetti legittimati; errori materiali. 2) Eventi relativi agli strumenti. Danno arrecato da virus informatici e/o da hackers, mediante interventi precedenti all aggiornamento degli strumenti di contrasto attivati (software e firewall), spamming o tecniche di sabotaggio. Malfunzionamento, indisponibilità o usura fisica degli strumenti. Accessi abusivi negli strumenti elettronici. Intercettazione dei dati in occasione di trasmissione in rete. 3) Eventi relativi al contesto fisico-ambientale. Distruzione o perdita di dati in conseguenza di eventi incontrollabili (terremoto) ovvero, seppur astrattamente preventivabili (incendi o allagamenti) di origine fortuita, dolosa o colposa, per i quali non è possibile apprestare cautele. Guasti a sistemi complementari, quale la mancata erogazione di energia elettrica per lunghi periodi di tempo, in grado di pregiudicare la climatizzazione dei locali. Furto o danneggiamento degli strumenti elettronici di trattamento dei dati, in orario diverso da quello di lavoro. Accesso non autorizzato da parte di terzi interni o esterni all istituzione scolastica mediante uso abusivo di credenziali di autenticazione, in funzione di danneggiamento o sottrazione dei dati. Errori umani nell attivazione degli strumenti di protezione. I suddetti rischi sono stati ripartiti in classi di gravità, tenendo conto della concreta possibilità di realizzazione presso l istituzione scolastica, adottando la seguente scansione: A= alto B = basso EE = molto elevato M = medio MA = medio-alto MB = mediobasso La tabella seguente sintetizza i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone le possibili conseguenze e stimandone la gravità, ponendoli altresì in correlazione con le misure di sicurezza previste. 13

14 Analisi dei rischi COMPORTAMENTI DEGLI OPERATORI EVENTI RELATIVI AGLI STRUMENTI EVENTO Furto di credenziali di autenticazione Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti Errore materiale Azione di virus informatici o di codici malefici IMPATTO SULLA SICUREZZA DEI DATI DESCRIZIONE Accesso altrui non autorizzato Dispersione, perdita e accesso altrui non autorizzato Dispersione, perdita e accesso altrui non autorizzato Dispersione, perdita e accesso altrui non autorizzato Perdita o alterazione, anche irreversibile, di dati, di e di elaboratori; GRAVITÀ STIMATA M M M/B M/A EE RIF. MISURE DI AZIONE Vigilanza sul rispetto delle istruzioni impartite Formazione e flusso continuo di informazione Vigilanza sul rispetto delle istruzioni impartite Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione Adozione di idonei dispositivi di protezione Spamming o altre tecniche di sabotaggio Perdita o alterazione, anche irreversibile, di dati, di e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei EE Adozione di idonei dispositivi di protezione 14

15 EVENTI RELATIVI AL CONTESTO Malfunzionamento, indisponibilità o degrado degli strumenti Accessi esterni non autorizzati Intercettazione di informazioni in rete Accessi non autorizzati a locali/reparti ad accesso ristretto Perdita o alterazione, anche irreversibile, di dati, di e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei Dispersione, perdita o alterazione, anche irreversibile, di dati, nonché manomissione di e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei Dispersione di dati; accesso altrui non autorizzato Dispersione, perdita o alterazione, anche irreversibile, di dati, nonché manomissione di e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei M MA MA M Assistenza e manutenzione continua degli elaboratori e dei ; ricambio periodico Adozione di idonei dispositivi di protezione Adozione di idonei dispositivi di protezione Protezione dei locali mediante serratura con distribuzione delle chiavi ai soli autorizzati 15

16 Asportazione e furto di strumenti contenenti dati Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria Guasto ai sistemi complementari (impianto elettrico, climatizzazione, etc.) Errori umani nella gestione della sicurezza fisica Dispersione e perdita di dati, di e di elaboratori; accesso altrui non autorizzato Perdita di dati, dei e degli elaboratori Perdita o alterazione, anche irreversibile, di dati, nonché manomissione dei e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei Perdita o alterazione, anche irreversibile, di dati, nonché manomissione dei e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei A M M/A M/B Protezione dei locali e dei siti di ubicazione degli elaboratori e dei supporti di memorizzazione mediante cancello in ferro e serratura con distribuzione delle chiavi ai soli autorizzati Attività di prevenzione, controllo, assistenza e manutenzione periodica,vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione Attività di controllo, assistenza e manutenzione periodica Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione Articolo 5 16

17 INDIVIDUAZIONE DELLE RISORSE DA PROTEGGERE Le risorse da proteggere sono: personale; dati personali, sensibili, giudiziari; documenti cartacei; hardware; software; apparecchiature di comunicazione; Articolo 6 MISURE ADOTTATE PER GARANTIRE L'INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, NONCHÈ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITÀ Sulla scorta della ricognizione dei rischi sopra rappresentata, l istituzione scolastica ha provveduto ad apprestare e/o introdurre strumenti di tutela, ovvero a prevedere successive, e più incisive, misure di sicurezza. La tabella seguente sintetizza le misure di sicurezza in essere, corredate da indicazioni di dettaglio. MISURA Preventiva, di contrasto, di contenimento degli effetti Le misure di sicurezza adottate o da adottare RISCHIO CONTRASTATO Dispersione, perdita o alterazione, anche irreversibile, di dati, di e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei STRUTTURA INTERESSATA Segreteria Dirigente scolastico Laboratorio informatica EVENTUALE BANCA DATI INTERESSATA Relativo archivio MISURA GIÀ IN ESSERE Antivirus, Firewall e credenziali di autenticazione PERIODICITÀ E RESPONSABILITÀ DEI CONTROLLI Bimestrale; responsabile pro tempore del servizio 17

18 Preventiva, di contrasto, di contenimento degli effetti Preventiva, di contrasto, di contenimento degli effetti Dispersione, perdita o alterazione, anche irreversibile, di dati, di e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei Dispersione, perdita o alterazione, anche irreversibile, di dati, di e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei Ufficio personale Servizi amministrativi Relativo archivio Relativo archivio Antivirus, Firewall e credenziali di autenticazione Antivirus, Firewall e credenziali di autenticazione Bimestrale; responsabile pro tempore del servizio e, per la parte di competenza, della ditta esterna Bimestrale; responsabile pro tempore del servizio 18

19 Preventiva, di contrasto, di contenimento degli effetti Preventiva, di contrasto, di contenimento degli effetti Dispersione, perdita o alterazione, anche irreversibile, di dati, di e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei Dispersione, perdita o alterazione, anche irreversibile, di dati, di e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei Servizi inerenti l offerta formativa Servizi strumentali agli organi collegiali Relativo archivio Relativo archivio Antivirus, Firewall e credenziali di autenticazione Antivirus, Firewall e credenziali di autenticazione Bimestrale; responsabile pro tempore del servizio Bimestrale; responsabile pro tempore del servizio Articolo 7 INDIVIDUAZIONE DELLE CONTROMISURE Le contromisure individuano le azioni che si propongono al fine di annullare o di limitare le vulnerabilità e di contrastare le minacce, esse sono classificabili nelle seguenti tre categorie: contromisure di carattere fisico; contromisure di carattere procedurale; contromisure di carattere elettronico/informatico. Contromisure di carattere fisico 19

20 Le apparecchiature informatiche critiche (server di rete, computer utilizzati per il trattamento dei dati personali o sensibili/giudiziari e apparecchiature di telecomunicazione, dispositivi di copia) e gli archivi cartacei contenenti dati personali o sensibili/giudiziari sono situati in locali ad accesso controllato e muniti di cancello in ferro e serratura; i locali ad accesso controllato sono all'interno di aree sotto la responsabilità dell Istituto Comprensivo Francesco D Assisi Bellegra; i responsabili dei trattamenti indicati nell'allegato 1 sono anche responsabili dell'area in cui si trovano i trattamenti; i locali ad accesso controllato sono chiusi anche se presidiati, le chiavi sono custodite a cura del Dirigente Scolastico del D.S.G.A. e degli Assistenti Amministrativi (vedere nomina allegata al DPS); l'ingresso ai locali ad accesso controllato è possibile solo dall'interno dell'area sotto la responsabilità dell Istituto Comprensivo di Bellegra; i locali sono già provvisti di sistema di estintore; Contromisure di carattere procedurale l'ingresso nei locali ad accesso controllato è consentito solo alle persone autorizzate; il responsabile dell'area ad accesso controllato deve mantenere un effettivo controllo sull'area di sua responsabilità; i visitatori occasionali della aree ad accesso controllato sono accompagnati da un incaricato; è controllata l attuazione del piano di verifica periodica sull'efficacia degli allarmi e degli estintori; l ingresso in locali ad accesso controllato da parte di dipendenti o estranei per operazioni di pulizia o di manutenzione avviene solo se i contenitori dei dati sono chiusi a chiave e i computer sono spenti oppure se le operazioni si svolgono alla presenza dell Incaricato del trattamento di tali dati; i registri di classe, contenenti dati comuni e particolari, durante l orario delle lezioni devono essere tenuti in classe sulla scrivania e affidati all insegnante di turno. Al termine delle lezioni vengono depositati dal collaboratore scolastico nella sala dei collaboratori scolastici e chiusi con chiave; il giorno successivo vengono riportati in aula dal collaboratore scolastico; il docente è responsabile della riservatezza del registro personale in cui sono annotati dati comuni e particolari. Fuori dall orario di servizio, il registro viene conservato nella cassettiera che viene, che viene dallo stesso chiuso a chiave; il protocollo riservato, accessibile solo al Titolare e al Responsabile del trattamento è conservato nella stanza del Dirigente., in un armadiocassaforte chiuso a chiave; la chiave è conservata dal Dirigente Scolastico e dal D.S.G.A. inoltre per il trattamento dei soli dati cartacei sono adottate le seguenti disposizioni: o si accede ai soli dati strettamente necessari allo svolgimento delle proprie mansioni; o si utilizzano archivi con accesso selezionato; 20

21 o atti e documenti devono essere restituiti al termine delle operazioni e mai lasciati alla vista di soggetti terzi; o è fatto divieto di fotocopiare/scannerizzare documenti senza l'autorizzazione del responsabile del trattamento o del titolare; o è fatto divieto di esportare documenti o copie dei medesimi all'esterno dell Istituto senza l'autorizzazione del responsabile o del titolare del trattamento, tale divieto si estende anche all'esportazione telematica; o il materiale cartaceo asportato e destinato allo smaltimento dei rifiuti deve essere ridotto in minuti frammenti. Contromisure di carattere elettronico/informatico La scuola si è avvalsa della collaborazione del Sig. Luigi Testani, rappresente legale DELLA Fusion Technology s.r.l. per adottare le contromisure di carattere elettronico/informatico per ridurre al massimo la possibilità di violazione di privacy attraverso l accesso ai sistemi di persone non autorizzate (condizioni del contratto allegate al DPS). La protezione dei dati sensibili verrà garantita con l introduzione di passwords composte di almeno 8 caratteri da rinnovare ogni 3 mesi. La protezione dei dati personali verrà garantita con l introduzione di passwords con almeno 8 caratteri da rinnovare ogni 6 mesi. Le passwords saranno codificate dal titolare e dal Responsabile del Trattamento dati dell Istituzione Scolastica, e custodite in armadi chiusi a chiave in buste chiuse. Il Sig. Massimo Mattei si occuperà personalmente di effettuare procedure automatiche di backup almeno ogni 10 giorni come previsto dalla normativa vigente. Sono state acquisite licenze d uso per software antivirus, nonché sistemi di firewall con verifica di idoneità e con costante aggiornamento. Sono programmati interventi per l acquisto di router con firewall per la tutela dei dati contenuti nell hardware. Tale acquisto è avvenuto all inizio del a.s. 2006/2007. Articolo 8 CRITERI DELLE MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO Al fine di garantire l integrità dei dati contro i rischi di distruzione o perdita, è stata definita una procedura di periodica esecuzione di copie di sicurezza dei dati trattati. Sono state perciò acquisite licenze di uso per software antivirus, nonché sistemi di firewall con verifica di idoneità e costante aggiornamento. In ogni caso si osserva che l istituzione scolastica dispone di un sistema di controllo degli accessi ai locali. I documenti sono anche conservati in copia cartacea presso locali dell istituzione scolastica non accessibili ai terzi e dotati di adeguati strumenti di protezione (armadi con serrature, porte blindate e finestre protette da inferriate). Sinteticamente è possibile rappresentare la seguente procedura di copia, verifica e ripristino dei dati per ogni p.c. o terminale di collegamento a server. 21

22 Art. 9 Interventi formativi Il Dirigente Scolastico ha adottato in data , il regolamento dati sensibili e giudiziari ed ha organizzato specifica attività formativa avente come oggetto il D.Lvo 196/03 a cui ha partecipato tutto il personale docente e ATA. La suddetta formazione, svolta in data dalla Dott.ssa Loredana Mazzenga, è stata finalizzata a rendere edotti gli incaricati del trattamento dati sui rischi che incombono sugli stessi, delle misure disponibili per evitare eventi dannosi, delle responsabilità e delle sanzioni che ricadono sugli incaricati in caso di violazione di privacy. Dopo la formazione si è proceduto alla stesura del DPS che verrà letto nella prossima riunione del Collegio dei Docenti e deliberato dal Consiglio di Istituto nella seduta successiva. ART.10 TRATTAMENTI DI DATI PERSONALI SENSIBILI O GIUDIZIARI CON STRUMENTI ELETTRONICI AFFIDATI ALL ESTERNO L Istituzione scolastica, ha proceduto alla esternalizzazione di taluni trattamenti, secondo modalità conformi a quanto previsto dal d.lgs. n.196 del 2003, procedendo alla nomina di un soggetto esterno quale responsabile del trattamento, limitatamente ai dati e alle operazioni necessari per lo svolgimento delle attività conferite. A tal fine l Istituzione scolastica ha imposto le cautele indicate in calce alla tabella che segue, affinché il soggetto destinatario adotti le misure di sicurezza richieste dal Codice. L atto di nomina è allegato al presente DPS Trattamenti affidati all esterno ATTIVITÀ ESTERNALIZZATA DESCRIZIONE SINTETICA DATI PERSONALI, SOGGETTO ESTERNO DESCRIZIONE DEI CRITERI PER L ADOZIONE DELLE MISURE COMPORTANTE SENSIBILI O TRATTAMENTO DI GIUDIZIARI DATI SENSIBILI O INTERESSATI GIUDIZIARI 22

23 Conservazion e e messa a disposizione tramite server in dotazione delle informazioni occorrenti per lo svolgimento dei compiti d ufficio Necessario per lo svolgimento delle attività strumentali finalizzate all installazion e e al buon funzionament o degli elaboratori, dei e degli altri strumenti elettronici in dotazione agli uffici comunali Protezione attraverso l applicazion e delle misure di sicurezza previste nell allegato B Codice sicurezza dati personali D.lgs 196/2003 Ditta esterna di cui al contratto in essere, allegato al presente DPS, come integrato dall allegato atto di nomina a responsabile del relativi trattamenti Come sopra Vincolo contrattuale, a carico del fornitore esterno, a tenere i comportamenti descritti in calce alla presente tabella. Come sopra VINCOLI CONTRATTUALMENTE ASSUNTI DAL FORNITORE ESTERNO AI FINI DELLA SICUREZZA DEI DATI L Istituzione scolastica ha affidato all esterno, nei termini risultanti dalla sopraindicata tabella, i trattamenti di dati personali sensibili o giudiziari, effettuati con strumenti elettronici, previa assunzione da parte dell affidatario nell ambito dello stesso contratto con cui viene realizzato l affidamento o con atto aggiuntivo degli impegni derivanti dalle seguenti dichiarazioni: 1. di essere consapevole che i dati che tratterà nell espletamento dell incarico ricevuto, sono dati personali e, come tali sono soggetti all applicazione del codice per la protezione dei dati personali; 2. di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali; 3. di adottare le istruzioni specifiche ricevute per il trattamento dei dati personali e di integrarle nelle procedure già in essere; 4. di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di avvertire (allertare) immediatamente il proprio committente in caso di situazioni 23

24 anomale o di emergenze; 5. di riconoscere il diritto del committente a verificare periodicamente l applicazione delle norme di sicurezza adottate; 6. di garantire massima riservatezza circa le informazioni di cui si è venuti a conoscenza per l espletamento del proprio incarico. ART. 11 ATTI E DOCUMENTI NON IN FORMATO ELETTRONICO, ARCHIVI CARTACEI I trattamenti di dati personali con strumenti diversi da quelli elettronici sono effettuati dagli incaricati seguendo le istruzioni impartite durante la formazione, finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. L'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati ha carattere annuale. Gli atti e i documenti contenenti dati, personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti. I medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. L'accesso agli archivi contenenti dati sensibili o giudiziari è consentito solamente alle persone preventivamente autorizzate dal titolare o dal Responsabile del Trattamento. ART. 12 OBBLIGO DI AGGIORNAMENTO PERIODICO DEL DPS Il presente documento programmatico sulla sicurezza è sottoposto a revisione annuale nella sua interezza, entro la scadenza del 31 marzo di ciascun anno, come previsto dalla regola 19 del Disciplinare tecnico di cui all allegato B) al D.Lgs. 196/03, in relazione al disposto dell art. 34, lettera g) del decreto stesso. La suddetta revisione per l anno scolastico 2006/2007 è avvenuta in data Gli allegati al presente documento ne formano parte integrante. Il presente documento è aggiornato al Bellegra lì Il titolare del trattamento dati (Prof. Luigi Lanciotti).. Il responsabile del trattamento dati (Sig. Anselmo Albensi) 24