ISTITUTO COMPRENSIVO STATALE T. CROCI Via Chopin PADERNO DUGNANO cod. fisc cod. mecc. MIIC8FJ00V

Transcript

1 ISTITUTO COMPRENSIVO STATALE T. CROCI Via Chopin PADERNO DUGNANO cod. fisc cod. mecc. MIIC8FJ00V Documento Programmatico sulla Sicurezza PROT. N 153/A23 DEL 21/01/2015 Codice in materia di protezione dei dati personali D.L. 196 del 30 giugno 2003 art. 34 e Allegato B, regola 19. Redazione completata il _21_/_01_/_2015_ da

2 Indice INDICE... 2 INTRODUZIONE... 3 INFORMAZIONI UTILI ALLA COMPRENSIONE DI INFORMAZIONI CONTENUTE IN QUESTO DOCUMENTO... 4 Figura 1 - Edifici e locali interessati al trattamento... 4 Figura 2 - Organigramma e Strutture interessate al trattamento... 5 Figura 3 - Tipologia di interconnessione e di strumenti utilizzati per il trattamento... 6 REGOLA ELENCO DEI TRATTAMENTI DI DATI PERSONALI... 7 Tabella 1.1 Descrizione dei trattamenti... 8 Tabella 1.2 Ulteriori informazioni Tabella 1.3 Tipologia dispositivi di accesso utilizzati per il trattamento REGOLA DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ Tabella 2.1 Distribuzione dei compiti e delle responsabilità REGOLA ANALISI DEI RISCHI CHE INCOMBONO SUI DATI Tabella 3.1 Rischi dovuti al comportamento degli operatori Tabella 3.2 Rischi dovuti ad eventi relativi agli strumenti Tabella 3.3 Rischi dovuti ad eventi relativi al contesto REGOLA MISURE IN ESSERE E DA ADOTTARE Tabella 4.1 Descrizione delle misure Tabella 4.2 Ulteriori elementi REGOLA CRITERI E MODALITÀ DI SALVATAGGIO E RIPRISTINO DELLA DISPONIBILITÀ DEI DATI Tabella 5.1 Modalità di Salvataggio Tabella 5.2 Modalità di ripristino dei dati REGOLA PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI Tabella 6 Pianificazione degli interventi formativi REGOLA TRATTAMENTI AFFIDATI ALL ESTERNO Tabella 7 Trattamenti in outsourcing REGOLA CIFRATURA DEI DATI O SEPARAZIONE DEI DATI IDENTIFICATIVI Tabella 8 Modalità di cifratura DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 2 di 36

3 Introduzione Scopo di questo documento è quello di conoscere il proprio stato di Sicurezza rispetto al rischio di perdita di dati e violazioni della riservatezza di tali dati. La sua revisione periodica, prevista entro ogni 31 marzo, consente di monitorare il proprio stato di Sicurezza con sempre più consapevolezza e efficacia. Il modello grafico adottato, nella prima redazione, è ispirato alla Guida alla redazione del DPS pubblicata sul sito del Garante ( il giorno 11 giugno A questo sono state aggiunte altre informazioni, che riteniamo consentono una migliore interpretazione (figure 1, 2, 3 e tabella 1.3). Altre informazioni potranno essere aggiunte, nelle redazioni successive, con l evolversi della consapevolezza. Per la corretta interpretazione delle informazioni contenute nelle tabelle è opportuno consultare le descrizioni che le precedono. Questo documento costituisce una delle misure minime previste dal Codice in materia di dati personali d.l. 196/2003. Per la prima stesura ci si è avvalsi della collaborazione di IONA Soluzioni. DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 3 di 36

4 Informazioni utili alla comprensione di informazioni contenute in questo documento S1 Sede principale: Via Chopin 9, Paderno Dugnano Figura 1 - Edifici e locali interessati al trattamento dei dati in forma elettronica Legenda UFFICIO: S1_U3=Ufficio del Dirigente scolastico, S1_U2=Ufficio del Direttore amministrativo, S1_U1=Ufficio Giuridica del Personale, S1_U4=Ufficio Didattica gestionale, S1_U5=Archivio, S1_U6=Archivio storico 1, S1_U7=Archivio storico 2. Legenda Arredi di custodia protetti: no=nessuno, CC= cassetti con serratura, AC= armadi con serratura, AI= armadi ignifughi, AB= amadi blindati, CF= cassaforte DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 4 di 36

5 Informazioni utili alla comprensione di informazioni contenute in questo documento Figura 2 - Organigramma e Strutture interessate al trattamento Dirigente Scolastico Titolare del trattamento dati: Prof. Alfredo Rizza Manutenzioni Responsabile della gestione e manutenzione strumenti elettronici: Onofrio Bruno Infusino Cristofaro Cammarata Direttore Servizi Responsabile della sicurezza dei dati personali: Onofrio Bruno Infusino Credenziali Incaricato della custodia delle copie delle credenziali: Onofrio Bruno Infusino Cristofaro Cammarata Backup Incaricato delle copie di sicurezza delle banche dati: Onofrio Bruno Infusino Cristofaro Cammarata Didattica Responsabile: Onofrio Bruno Infusino Incaricati: Iachini Monica Cecilia Muscarnera Assunta Turco Amministrazione Responsabile: Onofrio Bruno Infusino Incaricati: Assunta Turco Cecilia Muscarnera Cristofaro Cammarata Personale Responsabile: Onofrio Bruno Infusino Incaricati: Cristofaro Cammarata Cecilia Muscarnera Assunta Turco Iachini Monica Immacolata Sergi Posta ( ) Responsabile: Onofrio Bruno Infusino Incaricati: Cristofaro Cammarata Attività curriculare Responsabile: Onofrio Bruno Infusino Incaricati: Tutto il corpo docenti DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 5 di 36

6 Informazioni utili alla comprensione di informazioni contenute in questo documento Figura 3 - Tipologia di interconnessione e di strumenti eletronici utilizzati per il trattamento INTERNET Server LAN Router/modem ARCHIVIAZIONE DI MASSA 7 Client Firewall Zyxel Hub Switch DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 6 di 36

7 Regola Elenco dei trattamenti di dati personali Contenuto Tabella 1.1 In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Codice trattamento Finalità perseguita o attività svolta Categorie di interessati Natura dei dati trattati Struttura di riferimento Altre strutture (anche esterne) che concorrono al trattamento Descrizione degli strumenti elettronici utilizzati Codice identificativo del trattamento Menzione del trattamento dei dati personali attraverso l indicazione della finalità perseguita o dell attività svolta (es., fornitura di beni o servizi, gestione del personale, ecc.) Descrizione delle categorie di persone cui i dati si riferiscono (clienti o utenti, dipendenti e/o collaboratori, fornitori, ecc.). Indicazione se tra i dati personali sono presenti anche S=dati sensibili e/o G=dati giudiziari La struttura (ufficio, funzione, ecc.) all interno della quale viene effettuato il trattamento Se e quali altre strutture (anche esterne) concorrono al trattamento, per il completamento dello stesso Indicazione della tipologia di strumenti elettronici impiegati (elaboratori o p.c. anche portatili, collegati o meno in una rete locale, geografica o Internet; sistemi informativi più complessi). DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 7 di 36

8 Regola 19.1 Elenco dei trattamenti di dati personali Tabella 1.1 Descrizione dei trattamenti Codice trattamento A0001 A0002 A0003 Finalità perseguita o attività svolta Istruzione ed assistenza scolastica (amministrazione di scolari e studenti, organizzazione delle attività di insegnamento e valutazione assistenza anche a fini di orientamento professionale, sussidi, borse, assegni, ecc.) Trattamento giuridico ed economico del personale (amministrazione, retribuzioni ed emolumenti, previdenza ed assistenziale, ecc.) Gestione dei fornitori e clienti di beni e servizi(amministrazione dei fornitori e client, contratti, ordini, arrivi, ecc.) Categorie di interessati Alunni e genitori Personale docente e non docente Fornitori e clienti di beni e servizi Natura dei dati trattati S S Struttura di riferimento (vedi Fig. 2) Didattica Personale Amministrazione Altre strutture (anche esterne) che concorrono al trattamento Dirigente Scolastico Direttore Servizi Amministrazione Attività curriculare Dirigente Scolastico Direttore Servizi Amministrazione Dirigente Scolastico Direttore Servizi A0004 Retribuzioni accessorie al Personale Personale Personale Direttore Servizi A0005 A0006 Produzione di liste per comunicazioni al Personale Personale Direttore Servizi personale Gestione della corrispondenza Tutti. Posta Tutte elettronica Descrizione degli strumenti elettronici utilizzati Pc in LAN (vedi figura 3) Pc in LAN (vedi figura 3) Pc in LAN (vedi figura 3) Pc in LAN (vedi figura 3) Pc in LAN (vedi figura 3) Pc in LAN (vedi figura 3) DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 8 di 36

9 Regola 19.1 Elenco dei trattamenti di dati personali Contenuto tabella 1.2 Collegata alla tabella precedente attraverso l identificativo. Si tratta di ulteriori elementi utili per descrivere gli strumenti utilizzati Identificativo del trattamento Eventuale Banca dati Ubicazione fisica dei supporti di memorizzazione Tipologia dei dispositivi di accesso Tipologia di interconnessione Codice facoltativo, per favorire un identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle. Database o archivio informatico, con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento può richiedere l utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche dati sono elencate. Luogo in cui risiedono fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile. Il punto può essere approfondito meglio in occasione di aggiornamenti. Elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare, telefonino, ecc. Descrizione sintetica e qualitativa della rete che collega i dispositivi d accesso ai dati utilizzati dagli incaricati: rete locale, geografica, Internet, ecc. DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 9 di 36

10 Identificativo del trattamento A0001 A0002 A0003 A0001 A0002 A0003 A0004 A0005 A0006 Eventuale banca dati Axios in Rete Axios Axios/Sidi Documenti Elettronici Office2010 Database in Access e programma in Access autoprodotto Outlook Express Protocollo elettronico Axios Italia Ubicazione fisica dei supporti di memorizzazione Hardisk del Server di rete del locale S1_U4 I backup si trovano negli hardisk del server del S1_U4, HARDDISC a nome [archiviazione di massa] nel locale S1_U4 e HARDDISC esterno armadio blindato S1_U3 Hardisk del Server di rete del locale S1_U4 I backup si trovano negli hardisk del server del S1_U4, HARDDISC a nome [archiviazione di massa] nel locale S1_U4, HARDDISC esterno armadio blindato S1_U3 Hardisk del Server di rete del locale S1_U4 I backup si trovano negli hardisk del server del S1_U4, HARDDISC a nome [archiviazione di massa] nel locale S1_U4, HARDDISC esterno armadio blindato S1_U3 Hardisk del Client a nome [utente6] Hardisk del Server di rete del locale S1_U4 I backup si trovano negli hardisk del server del S1_U4, HARDDISC a nome [archiviazione di massa] nel locale S1_U4, HARDDISC esterno armadio blindato S1_U3 Regola 19.1 Elenco dei trattamenti di dati personali Tabella 1.2 Ulteriori informazioni Tipologia di dispositivi di accesso Client Client Client Client Client Tipologia di interconnessione LAN Vedi Figura 3 e tabella 1.3 LAN Vedi Figura 3 e tabella 1.3 LAN Vedi Figura 3 e tabella 1.3 LAN Vedi Figura 3 e tabella 1.3 LAN Vedi Figura 3 e tabella 1.3 DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 10 di 36

11 Regola 19.1 Elenco dei trattamenti di dati personali Contenuto tabella 1.3 Collegata alla tabella precedente tabella, e integrativa della figura 3, descrive la tipologia degli strumenti utilizzati Dispositivo Nome assegnato Ubicazione fisica Lan Sistema Operativo Antivirus Note Identificativo del dispositivo Identificativo elettronico assegnato (nome macchina) Luogo in cui risiede fisicamente Se collegato in rete (Si/No) Sistema Operativo utilizzato Software di protezione antivirus utilizzato Eventuali ulteriori informazioni utili DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 11 di 36

12 Dispositivo (vedi figura 3) Server Server2011 Ubicazion e fisica Regola 19.1 Elenco dei trattamenti di dati personali Tabella 1.3 Tipologia dispositivi di accesso utilizzati per il trattamento Lan Sistema Operativo Antivirus Note S1_U4 Si Windows 2003 Server Symantec Endpoint 12 Client utente4 S1_U3 Si Windows 8 Pro Symantec Endpoint 12 Client - utente S1_U4 Si Windows XP Pro Symantec Endpoint 12 Client utente5 S1_U1 Si Windows XP Pro Symantec Endpoint 12 Client utente1 S1_U4 Si Windows XP Pro Symantec Endpoint 12 Client utente3 S1_U4 Si Windows XP Pro Symantec Endpoint 12 Client utente6 S1_U1 Si Windows XP Pro Symantec Endpoint 12 Client utente2 S1_U2 Si Windows Seven Pro. Symantec Endpoint 12 Sistema di autenticazione attivato Aggiornamento automatico del s.o attivo Password Salvaschermo attivato Password Salvaschermo attivato Password Salvaschermo attivato Password Salvaschermo attivato Password Salvaschermo attivato Password Salvaschermo attivato Password Salvaschermo attivato Password Salvaschermo attivato DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 12 di 36

13 Regola Distribuzione dei compiti e delle responsabilità Contenuto tabella 2.1 In questa sezione è descritta sinteticamente l organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Se riferiti a documenti già predisposti (provvedimenti, ordini di servizio, regolamenti interni, circolari), sono indicate le precise modalità per reperirli. Struttura L indicazioni delle strutture già menzionate nella tabella 1.1 Trattamenti effettuati Descrizione dei compiti e delle responsabilità Trattamenti di competenza Compiti e responsabilità in forma discorsiva e/o di etichetta come di seguito BL=blocco CM=comunicazione CN=cancellazione CS=conservazione CL=consultazione DF=diffusione DS=distruzione EL=elaborazione ES=estrazione IC=interconnessione MD=modifica OR=organizzazione RC=raccolta RG=registrazione RF=raffronto SL=selezione UT=utilizzo DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 13 di 36

14 Dirigente Scolastico Struttura Direttore dei Servizi Generali Amministrativi Trattamenti effettuati A0001, A0002, A0003. A0001, A0002, A0003; A0004; A0005; A0006. Regola Distribuzione dei compiti e delle responsabilità Tabella 2.1 Distribuzione dei compiti e delle responsabilità Descrizione dei compiti e delle responsabilità Garantire la sicurezza dei dati BL, CM,CN, CS, CL, DF, DS, EL, ES, IC, MD, OR, RC, RG, RF, SL, UT Gestire la sicurezza dei dati personali attraverso incarichi e verifiche BL, CM,CN, CS, CL, DF, DS, EL, ES, IC, MD, OR, RC, RG, RF, SL, UT Manutenzioni Mantenere aggiornato ed efficiente l intero impianto informatico Credenziali Custodire in luogo sicuro le copie delle credenziali di chiunque acceda ai dati personali custoditi nel sistema Backup Eseguire periodicamente i backup e verificarne il ripristino Didattica A0001 Tutto escluso: BL, DF, CN, DS Personale A0002 Tutto escluso: BL, DF, CN, DS Amministrazione A0003 Tutto escluso: BL, DF, CN, DS Posta A0006 BL, CM,CN, CS, CL, DF, DS, EL, ES, IC, MD, OR, RC, RG, RF, SL, UT Attività curriculare A0001 CS, EL, RF, UT, CM DPSS - ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 14 di 36

15 Regola Analisi dei rischi che incombono sui dati Contenuto tabelle 3.N Descrizione dei principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutazione delle possibili conseguenze e gravità in relazione al contesto fisico ambientale di riferimento e agli strumenti elettronici utilizzati. Tab Rischi dovuti al comportamento degli operatori Tab 3.2 Rischi dovuti ad eventi relativi agli strumenti Tab Rischi dovuti ad eventi relativi al contesto Elenco degli eventi Rischio Impatto sulla sicurezza Elenco degli eventi individuati che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. In riferimento alla guida suggerita dal Garante alla privacy è stata presa in considerazione la lista esemplificativa degli eventi descitti si / no Descrizione delle principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento, e valutazione della loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell evento (anche in termini sintetici: es., alta/media/bassa). Si rileva così un primo indicatore omogeneo per i diversi rischi da contrastare L analisi dei rischi può essere condotta utilizzando metodi di complessità diversa: l approccio qui descritto è volto solo a consentire una prima riflessione in attesa di procedere ad una analisi più strutturata. DPSS ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 15 di 36

16 Regola Analisi dei rischi che incombono sui dati Tabella 3.1 Rischi dovuti al comportamento degli operatori Elenco eventi Rischio Descrizione dell impatto sulla sicurezza rilevanza probabilità sottrazione di credenziali di autenticazione si Mancanza di controllo sulle reali autenticazioni. Accesso a personale non preposto al trattamento. alta alta carenza di consapevolezza disattenzione dell operatore incuria dell operatore si si si Esposizione dei dati a persone non preposte al trattamento. Possibilità di fuga di dati. alta media Esposizione dei dati a persone non preposte al trattamento. Possibilità di fuga di dati. Danneggiamento dati. alta media Esposizione dei dati a persone non preposte al trattamento. Possibilità di fuga di dati. Danneggiamento dati alta bassa comportamenti sleali o fraudolenti si Fuga e/o danneggiamento dati alta bassa errore materiale si Vedi: carenza di consapevolezza disattenzione dell operatore incuria dell operatore DPSS ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 16 di 36

17 Regola Analisi dei rischi che incombono sui dati Tabella 3.2 Rischi dovuti ad eventi relativi agli strumenti Elenco eventi Rischio Descrizione dell impatto sulla sicurezza rilevanza probabilità azione di virus informatici o di programmi suscettibili di recare danno si Danneggiamento o perdita dei dati alta bassa spamming o tecniche di sabotaggio si Diminuzione dell efficienza lavorativa. Perdita dei dati bassa bassa malfunzionamento, indisponibilità o degrado degli strumenti si Diminuzione dell efficienza lavorativa. Perdita dei dati bassa bassa accessi esterni non autorizzati si Fuga di dati. Perdita dei dati. alta bassa intercettazione di informazioni in rete si Fuga di dati. alta bassa inaffidabilità dei supporti esterni di memorizzazione si Perdita dei dati alta bassa DPSS ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 17 di 36

18 Regola Analisi dei rischi che incombono sui dati Tabella 3.3 Rischi dovuti ad eventi relativi al contesto Elenco eventi Rischio Descrizione dell impatto sulla sicurezza rilevanza probabilità accessi non autorizzati a locali - reparti ad accesso ristretto sottrazione di strumenti contenenti dati si si Fuga di dati. Perdita dei dati Fuga di dati alta alta bassa bassa eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria si Perdita dei dati. alta bassa guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.) si Diminuzione dell efficienza lavorativa bassa bassa errori umani nella gestione della sicurezza fisica si Fuga di dati media bassa DPSS ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 18 di 36

19 Regola Misure in essere e da adottare Contenuti In questa sezione sono riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. Le misure da adottare sono inserite anche in una sezione dedicata ai programmi per migliorare la sicurezza. Tab 4.1 Misure Descrizione dei rischi contrastati Trattamenti interessati Misure in essere Misure da adottare Struttura o persone addette all adozione descrizione sintetica delle misure adottate (seguendo anche le indicazioni contenute nelle altre regole dell Allegato B del Codice). per ciascuna misura indicare sinteticamente i rischi che si intende contrastare (anche qui, sono state utilizzate le indicazioni fornite dall Allegato B). indicazione dei trattamenti interessati per ciascuna delle misure adottate. Determinate misure possono non essere riconducibili a specifici trattamenti o banche di dati (ad esempio, con riferimento alle misure per la protezione delle aree e dei locali Descrizione delle misure già attive Descrizione delle misure da adottare con eventuale indicazione dei tempi previsti per l adozione indicazione della struttura o della persona responsabili o preposte all adozione delle misure indicate Tab 4.2 Ulteriori elementi per la descrizione analitica delle misure di sicurezza Scheda analitica di ciascuna misura contenente un maggior numero di informazioni, utili nella gestione operativa della sicurezza e, in particolare, nelle attività di verifica e controllo. Queste schede sono a formato libero e le informazioni utili sono individuate in funzione della specifica misura. la minaccia che si intende contrastare la tipologia della misura (preventiva, di contrasto, di contenimento degli effetti ecc.) le informazioni relative alla responsabilità dell attuazione e della gestione della misura i tempi di validità delle scelte (contratti esterni, aggiornamento di prodotti, ecc.) gli ambiti cui si applica (ambiti fisici -un reparto, un edificio, ecc. o logici - una procedura, un applicazione, ecc.-) Indicazione del compilatore della scheda e la data in cui la compilazione è terminata. DPSS ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 19 di 36

20 Regola Misure in essere e da adottare Tabella 4.1 Descrizione delle misure Misure Nomine Descrizione dei rischi contrastati Carenza di consapevolezza Autenticazione Accessi esterni non autorizzati Autorizzazioni gestite da programmi Autorizzazioni di accesso a documenti elettronici Protezioni automatiche Firewall Antivirus Aggiornamenti Sistemi operativi Accessi esterni non autorizzati Accessi esterni non autorizzati Accessi non autorizzati Disattenzione dell operatore accessi esterni non autorizzati azione di virus informatici o di programmi suscettibili di recare danno accessi esterni non autorizzati Trattamenti interessati Misura già in essere Misura da adottare tutti parziale Da adottarsi al più presto e non oltre fine anno2015 Nomina scritta di incarico, all interno della struttura, con definizione dei compiti e delle responsabilità sottoscritta per accettazione. tutti nessuna Da adottarsi al più presto e non oltre fine anno2015 Attivazione delle procedure di autenticazione. tutti attiva tutti Attiva tutti Attiva Controlli periodici Controlli periodici Attivazione di salvaschermi protetti da password tutti attiva Controlli periodici Attivazione di un file log di controllo accessi tutti attiva Controlli periodici Formazione del personale finalizzata alla navigazione con prudenza. Divieto di installazioni di software non preventivamente autorizzati Struttura o persone addette all adozione Direttore servizi Manutenzioni Manutenzioni Manutenzioni Manutenzioni Manutenzioni Manutenzioni Direttore Servizi tutti attiva Sostituzione dei sistemi operativi obsoleti o inadatti Manutenzioni DPSS ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 20 di 36

21 Misure Backup e ripristino Custodia credenziali Formazione Descrizione dei rischi contrastati Disattenzione o incuria dell operatore Comportamenti sleali o fraudolenti Errore materiale Azione di virus informatici Spamming e sabotaggio Malfunzionamento o degrado hardware Accessi esterni non autorizzati Eventi distruttivi Accessi non autorizzati a locali/reparti ad accesso ristretto inaffidabilità dei supporti esterni di memorizzazione sottrazione di credenziali di autenticazione sottrazione di credenziali di autenticazione carenza di consapevolezza errori umani nella gestione della sicurezza fisica Trattamenti interessati Misura già in essere Misura da adottare tutti attiva Backup settimanale e verifica dei ripristini dei dati da ricostituirsi in caso di perdita dei dati tutti attiva Custodia delle credenziali in busta chiusa e sigillata da conservarsi in cassaforte. tutti attiva Formazione al personale per renderlo edotto sulle proprie responsabilità in relazione al trattamento dati ai sensi della legge Struttura o persone addette all adozione Backup Credenziali Tutte le strutture DPSS ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 21 di 36

22 Misure Protezione dati cartacei Protezione locali Protezione accessi ristretti Gruppo di continuità Descrizione dei rischi contrastati accessi esterni non autorizzati accessi esterni non autorizzati ai locali/reparti ad accesso ristretto. sottrazione di strumenti contenenti dati accessi non autorizzati a locali - reparti ad accesso ristretto Guasto a sistema elettrico Antispamming spamming o tecniche di sabotaggio Protezione bios Verifiche impianti Aggiornamenti Software Comportamenti sleali e fraudolenti Guasto a sistemi complementari accessi esterni non autorizzati Trattamenti interessati Misura già in essere Misura da adottare tutti attiva Redazione di istruzioni scritte, destinate ai responsabili e incaricati, finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. tutti tutti chiusura locali fuori dagli orari di lavoro chiusura dei locali attiva Controllo accessi Completamento allarmi antintrusione Controllo degli accessi. Identificazione e registrazione delle persone ammesse, a qualunque titolo, dopo l'orario di chiusura Preventiva autorizzazione degli accessi, Struttura o persone addette all adozione Tutte le Strutture Direttore Servizi e personale incaricato Direttore Servizi e personale incaricato attiva Controlli periodici Manutenzioni A0005 attiva Servizio antispamming al provider di posta elettronica Tutte la strutture che utilizzano la posta elettronica. nessuna nessuna Da adottarsi al più presto Impostazione della password di bios a livello di amminstrazione macchina Interdizione dei boot device a Floppydisk e Cdrom Da adottarsi con cadenza periodica Controlli periodici degli impianti Manutenzioni tutti attiva Aggiornamenti periodici di Office Manutenzioni DPSS ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 22 di 36

23 Misure Descrizione dei rischi contrastati Trattamenti interessati Misura già in essere Misura da adottare Struttura o persone addette all adozione Manutenzione hw e sw malfunzionamento, indisponibilità o degrado degli strumenti attiva Da adottarsi all occorenza Assistenza hw Assistenza Sw Manutenzioni DPSS ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 23 di 36

24 Regola Misure in essere e da adottare Tabella 4.2 Ulteriori elementi Scheda n. Misura:Nomine Compilata da: Direttore Servizi Il giorno: Aggiornata da: il giorno: Scheda n. Misura: Formazione Compilata da: : Direttore Servizi Il giorno: Aggiornata da: il giorno: Scheda n. Misura: Autenticazione Compilata da: Direttore Servizi Il giorno: Aggiornata da: il giorno: Formalizzazione degli incarichi conformemente alla legge Nomina dei responsabili e incaricati al trattamento dati, aggiornata alla nuova normativa, con lettera d incarico e sottoscrizione per accettazione. Da effettuarsi a cura dei relativi responsabili Periodicità: Ogni volta che si rendono necessari variazioni di incarico Ad ogni entrata in servizio di nuovo personale Comunque controlli almeno annuali Azione preventiva tesa a rendere consapevole il personale incaricato Interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. Tenuta di sessioni di informazione al personale interessato sulla normativa e eventuali variazioni Da effettuarsi a cura di personale specializzato Periodicità: Ad ogni entrata in servizio di nuovo personale Ogni volta che, a seguto di variazioni di incarico, si rileva una carenza di consapevolezza All introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali Adozione su tutti i dispositivi elettronici di accesso ai dati che lo consentono. Attivazione delle autenticazioni con definizione della durata della validità Validità: 6 mesi per i dati personali, 3 mesi se dati sensibili e/o giudiziari Controllo periodico della necessità di sussistenza delle autenticazioni. Disattivazione delle autenticazioni non necessarie Da effettuarsi a cura delle seguenti strutture: direttore servizi, manutenzioni, credenziali, responsabili al trattamento Periodicità controlli: Trimestrale Ad ogni entrata in servizio di nuovo personale Comunque controlli almeno semestrali DPSS ISTITUTO COMPRENSIVO STATALE T. CROCI, Via Chopin 9, PADERNO DUGNANO Pagina 24 di 36