(D.L.vo N. 196/2003) Tramonti, 07/19/2015 Prot. nr. 2356/A23. Aggiornamento 2015/16

Transcript

1 Autonomia Scolastica n. 24 Istituto Comprensivo Statale G. Pascoli Via Orsini Polvica - Tramonti (SA) - Tel e Fax.: C.M. SAIC81100T - C.F saic81100t@istruzione.it- saic81100t@pec.istruzione.. (D.L.vo N. 196/2003) Aggiornamento 2015/16 Tramonti, 07/19/2015 Prot. nr. 2356/A23

2 Il presente documento si compone di n. 14 pagine (inclusa la presente) Il Titolare Responsabile della sicurezza Istituto Comprensivo G. Pascoli Tramonti (SA) rappresentato dal Dirigente Scolastico Prof. ssa Luisa Patrizia Milo a) il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria; b) un docente per i trattamenti dati effettuati dagli insegnanti per fini didattici Introduzione Il presente documento (DPS) definisce lo stato di attuazione nell Istituto Comprensivo G. Pascoli Tramontiper quanto disposto dal D.Leg. n 196 del 30 giugno 2003, artt. Da 33 a 36 e ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA Il presente documento è stato redatto dall insegnante Salucci Maurizio, in qualità di responsabile della sicurezza, che provvede a firmarlo in calce. Definizioni e Responsabilità AMMINISTRATORE DI SISTEMA: il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l'utilizzazione. In questo contesto l'amministratore di sistema assume anche le funzioni di amministratore di rete, ovvero del soggetto che deve sovrintendere alle risorse di rete e di consentirne l'utilizzazione. L'amministratore deve essere un soggetto fornito di esperienza, capacità e affidabilità nella gestione delle reti locali. Ai fini della sicurezza l'amministratore di sistema ha le responsabilità indicate nella lettera di incarico. CUSTODE DELLE PASSWORD: il soggetto cui è conferito la gestione delle password degli incaricati del trattamento dei dati in conformità ai compiti indicati nella lettera di incarico. DATI ANONIMI: i dati che in origine, o a seguito di trattamento, non possono essere associati a un interessato identificato o identificabile. DATI PERSONALI: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. DATI IDENTIFICATIVI: i dati personali che permettono l identificazione diretta dell interessato. 2

3 DATI SENSIBILI: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. DATI GIUDIZIARI: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. INCARICATO: il soggetto, nominato dal titolare o dal responsabile del trattamento, che tratta i dati. L incaricato del trattamento dei dati, con specifico riferimento alla sicurezza, ha le responsabilità indicate nella lettera di incarico. INTERESSATO: il soggetto al quale si riferiscono i dati personali. RESPONSABILE DEL TRATTAMENTO: il soggetto preposto dal titolare al trattamento dei dati personali. La designazione di un responsabile è facoltativa e non esonera da responsabilità il titolare, il quale ha comunque l'obbligo di impartirgli precise istruzioni e di vigilare sull'attuazione di queste. Il responsabile deve essere un soggetto che fornisce, per esperienza, capacità e affidabilità, idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il responsabile del trattamento dei dati personali, ai fini della sicurezza, ha le responsabilità indicate nella lettera di incarico. RESPONSABILE DELLA SICUREZZA INFORMATICA: il soggetto preposto dal titolare alla gestione della sicurezza informatica. La designazione di un responsabile è facoltativa e non esonera da responsabilità il titolare, il quale ha comunque l'obbligo di impartirgli precise istruzioni e di vigilare sull'attuazione di queste. Il responsabile deve essere un soggetto fornito di esperienza, capacità e affidabilità nella gestione delle reti locali. Ai fini della sicurezza il responsabile del sistema informativo ha le responsabilità indicate nella lettera di incarico. TITOLARE: il titolare del trattamento è l'ente (ISTITUTO SCOLASTICO) e la titolarità è esercitata dal rappresentante legale (DIRIGENTE SCOLASTICO), tra i compiti che la legge gli assegna e che non sono delegabili, è prevista la vigilanza sul rispetto da parte dei Responsabili delle proprie istruzioni, nonché sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il titolare è il soggetto che assume le decisioni sulle modalità e le finalità del trattamento 1. ELENCO DEI TRATTAMENTI DEI DATI PERSONALI Il contenuto di quanto segue si riferisce alla struttura organizzativa e funzionale della istituzione scolastica che prevede il trattamento di dati effettuato, per le rispettive competenze, dal corpo docente, dal personale di ATA. Nell affrontare e risolvere le varie problematiche riferite all applicazione del D. Leg.vo 196/03 si è ritenuto opportuno quindi considerare all interno di uno stesso quadro organizzativo, in modo separato il trattamento dei dati operato dal personale docente e dal personale ATA. I dati personali, comuni e sensibili, trattati da docenti riguardano essenzialmente gli alunni; i dati personali comuni e sensibili trattati dal personale ATA riguardano sia gli alunni che il personale della scuola. 3

4 I dati personali trattati dai docenti sono contenuti in banche dati su supporto cartaceo che si possono classificare in : basi di dati alle quali hanno accesso più docenti basi di dati alle quali ha accesso un singolo docente. 1.1 DATI TRATTATI DAI DOCENTI Le banche dati cui hanno accesso più docenti sono: il registro di classe il registro dei verbali del consiglio di classe o di interclasse la documentazione relativa alla programmazione didattica i documenti di valutazione la documentazione dello stato di handicap i certificati medici degli allievi la corrispondenza con le famiglie Le banche dati cui ha accesso il singolo docente sono: il registro personale gli elaborati Appare opportuno considerare i dati trattati dai docenti nel loro insieme come dati sensibili, ai sensi dell articolo 4 del decreto legislativo n 196 del 30 giugno 2003, c.1 lett.b,c,d. Il trattamento dei dati da parte dei docenti (tenuta dei registri, modalità di compilazione dei documenti di valutazione, verbalizzazione etc.) è definito puntualmente da norme di legge o regolamentari. 1.2 DATI TRATTATI DAL PERSONALE AMMINISTRATIVO Le banche dati su supporto cartaceo e/o informatizzato, contenenti dati personali, cui ha accesso il personale di segreteria, raggruppati in insiemi omogenei, sono i fascicoli relativi al personale della scuola, i fascicoli alunni e ex alunni l'anagrafe fornitori, i contratti documentazione finanziaria e contabile la documentazione didattica trattata dai docenti per la conservazione il registro degli infortuni 1.3 DATI TRATTATI DAL DIRIGENTE SCOLASTICO Le banche dati di pertinenza del DS sono: 4

5 i fascicoli del personale Direttivi- Docente e Amministrativo i verbali delle assemblee degli Organi Collegiali la programmazione relativa allo stato di disagio. il protocollo riservato il fascicolo del personale in prova. 2. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA Il decreto legislativo n 196 del 30 giugno 2003 sulla protezione dei dati personali individua all art. 4, i quattro soggetti che sono coinvolti nel trattamento dei dati personali : il titolare, cioè la persona fisica o giuridica che ha la responsabilità finale ed assume le decisioni fondamentali riferite al trattamento dei dati personali; il responsabile, è la persona, dotata di particolari caratteristiche di natura morale e di competenza tecnica, preposta dal titolare al trattamento dei dati personali ivi compreso il profilo della sicurezza ; possono essere nominati anche più responsabili in base ad esigenze organizzative; l incaricato è la persona fisica che materialmente provvede al trattamento dei dati, secondo le istruzioni impartite dal titolare o dal responsabile se nominato, l interessato, soggetto cui i dati oggetto di trattamento si riferiscono. Il DPR 318/99 individuava,all articolo 1, un nuovo soggetto che si aggiunge ai quattro descritti in precedenza: l amministratore di sistema, soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base di dati e di consentirne l utilizzazione. Nel D.Leg.vo 196 non viene riproposta la figura dell Amministratore di sistema che pur conserva una propria funzionalità per la garanzia delle misure di SICUREZZA LOGICA del sistema informatico della gestione dati. Pertanto si ravvisa la necessità di individuare tale figura con delega di compiti definiti. 2.1 Individuazione dei soggetti IL TITOLARE Il titolare è la istituzione scolastica, rappresentata dal dirigente scolastico (art. 28 D. Legavo n 196 del 30 giugno 2003). 2.2 INDIVIDUAZIONE E ATTRIBUZIONE DELLE RESPONSABILITÀ IL RESPONSABILE Per la individuazione del responsabile, la cui nomina è facoltativa, esistono diverse possibilità: 5

6 a) non viene nominato, ed il dirigente scolastico assume personalmente tutte le incombenze relative agli adempimenti previsti dal decreto legislativo n 196 del 30 giugno 2003 e provvedimenti collegati. b) viene nominato il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria mentre il capo d istituto si occupa direttamente del trattamento dei dati effettuato dai docenti; vengono nominati. c) il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria; d) uno o più docenti per i trattamenti dati effettuati dagli insegnanti per fini didattici. In base a quanto disposto dall articolo 29 comma 2 del decreto legislativo n 196 del 30 giugno 2003, Il responsabile se designato, deve essere nominato fra i soggetti che per esperienza capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza Il dirigente scolastico ha deciso di adottare la soluzione c. Viene quindi individuato: a) il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria (vedi allegata nomina); b) un docente per i trattamenti dati effettuati dagli insegnanti per fini didattici (vedi allegata nomina); 2.3 GLI INCARICATI Il docente è da considerarsi, per la propria sfera di competenza, incaricato del trattamento come tale deve essere nominato mediante specifico atto che elenchi puntualmente: categorie dei dati cui può avere accesso; tipologia di trattamento e vincoli specifici applicabili alle varie tipologie di dati; istruzioni in merito ai soggetti cui i dati possono essere comunicati o diffusi. Ogni collaboratore amministrativo dovrà essere nominato incaricato del trattamento con specifico atto, in base ai compiti che assolve nell ufficio. I collaboratori scolastici, qualora trattino anche saltuariamente dati personali, dovranno essere incaricati con specifico atto. Le nomine saranno effettuate anche per il personale supplente temporaneo, docente e ATA, e, per quanto riguarda i trattamenti effettuati con strumenti elettronici, per il personale esterno incaricato della manutenzione. Qualora la istituzione scolastica si dovesse avvalere per le pulizie, o per altri servizi, di imprese private e qualora i dipendenti di tali imprese, nell ambito del servizio, avessero accesso ad aree contenenti archivi di dati personali gli stessi dipendenti dovranno essere dal responsabile identificati e autorizzati. 3.3 L AMMINISTRATORE DI SISTEMA L Amministratore di sistema garantisce la tutela ed il corretto uso dei sistemi informatici e delle banche-dati in essa contenuti. 6

7 Dato l elevato rilievo dell utilizzo delle strumentazioni informatiche, sia a livello amministrativo sia didattico, il titolare del trattamento dati ritiene opportuno conferire la nomina dell A.S. ai responsabili dell AREA Informatica dell Istituto. I sistemi di Regolamento interni verranno affissi in ogni LABORATORIO INFORMATICO e/o ufficio dotato di sistemi informatici. Si fa anche riferimento, a proposito, anche al PUA d Istituto. 4. ANALISI DEI RISCHI CHE INCOMBONO SUI DATI L'analisi dei rischi consente di acquisire consapevolezza e visibilità sul livello di esposizione al rischio del proprio patrimonio informativo e avere una mappa preliminare dell'insieme delle possibili contromisure di sicurezza da realizzare. L'analisi dei rischi consiste nella: individuazione di tutte le risorse del patrimonio informativo; identificazione delle minacce a cui tali risorse sono sottoposte; identificazione delle vulnerabilità; definizione delle relative contromisure. La classificazione dei dati in funzione dell'analisi dei rischi risulta la seguente: DATI ANONIMI, ovvero la classe di dati a minore rischio, per la quale non sono previste particolari misure di sicurezza; DATI PERSONALI, o DATI PERSONALI SEMPLICI, ovvero la classe di dati a rischio intermedio o DATI PERSONALI SENSIBILI/GIUDIZIARI, ovvero la classe di dati ad alto rischio; DATI PERSONALI SANITARI, ovvero la classe di dati a rischio altissimo. 4.1 ANALISI INDIVIDUAZIONE DELLE RISORSE DA PROTEGGERE Le risorse da proteggere sono: personale; dati/informazioni; documenti cartacei; hardware; software; apparecchiature di comunicazione; manufatti vari; immagine della scuola. Per ulteriori dettagli vedere gli Allegati 1 e Plessi e loro collocazione SEDE PRINCIPALE Presidenza e uffici di segreteria Via Orsini Tramonti (Polvica) 7

8 Scuola Primaria Scuola Secondaria di 1 grado Scuola dell Infanzia SEDE DISTACCATA Scuola dell Infanzia SEDE DISTACCATA Gete Pietre Locali dove avviene il trattamento dei dati effettuato da personale docente. I locali ove avviene il trattamento dei dati effettuato da docenti coincidono con quelli adibiti ad attività didattica, allocati nei plessi costituenti l istituzione scolastica. Esistono nei plessi locali di pertinenza esclusiva dei docenti (sale insegnanti). Il trattamento dei dati da parte dei docenti avviene sia con mezzi manuali su supporti cartacei, sia con mezzi informatici. Le banche dati contenenti documentazione didattica (registri personali e di classe) vengono consegnati all inizio dell anno scolastico dal Dirigente scolastico ai docenti, che provvedono alla compilazione, alla conservazione ed alla custodia. All interno delle banche dati di cui si tratta vengono custoditi temporaneamente, in attesa del trasferimento nei fascicoli personali, i certificati medici degli alunni. Le banche dati contenenti documentazione didattica vengono consegnate dai docenti e custoditi e conservati dal personale di segreteria. Gli elaborati degli alunni sono conservati in appositi contenitori nelle sale insegnanti ed alla fine di ogni anno scolastico sono consegnati dai docenti al personale di segreteria. I verbali dei consigli di classe e degli organi collegiali sono custoditi e conservati dal Dirigente Scolastico. La programmazione didattica e tutta la documentazione per gli allievi portatori di handicap è custodita e conservata dal Dirigente Scolastico Locali dove avviene il trattamento effettuato dal Dirigente Scolastico e dal personale A.T.A I locali interessati al trattamento dei dati da parte del personale di segreteria e da parte del Dirigente Scolastico sono collocati nel modo seguente SEDE PRINCIPALE Presidenza Ufficio DSGA uffici di segreteria Via Orsini Tramonti (Polvica) 8

9 Scuola Primaria Scuola Secondaria di 1 grado 5.INDIVIDUAZIONE DELLE MINACCE Nella tabella seguente sono elencati gli eventi potenzialmente in grado di determinare danno a tutte o parte delle risorse indicate al punto 4.1. Rischi Deliberato Accidentale Ambientale Terremoto Inondazione Uragano Fulmine Bombardamento Fuoco Uso di armi Danno volontario Interruzione di corrente Interruzione di acqua Guasto hardware Linea elettrica instabile Temperatura e umidità eccessive Polvere Radiazioni elettromagnetiche Scariche elettrostatiche Furto Uso non autorizzato dei supporti di memoria Deterioramento dei supporti di memoria Errore del personale operativo Errore di manutenzione Uso illegale di software Software dannoso Esportazione/importazione illegale di software Accesso non autorizzato alla rete Uso della rete in modo non autorizzato 9

10 Danni sulle linee Errore di trasmissione Sovraccarico di traffico Infiltrazione nelle comunicazioni Analisi del traffico Indirizzamento non corretto dei messaggi Reindirizzamento dei messaggi Guasto dei servizi di comunicazione Mancanza di personale Errore dell'utente Uso non corretto delle risorse Guasto software Uso di software da parte di utenti non autorizzati Uso di software in situazioni non autorizzate Per ulteriori dettagli delle minacce relative all'aspetto informatico vedere l'allegato INDIVIDUAZIONE DELLE VULNERABILITÀ Nelle tabelle seguenti sono elencate le vulnerabilità del sistema informativo che possono essere potenzialmente sfruttate qualora si realizzasse una delle minacce indicate al punto 5. Infrastruttura Hardware Comunicazioni Mancanza di protezione fisica dell'edificio (porte finestre ecc.) Mancanza di controllo di accesso Linea elettrica instabile Locazione suscettibile ad allagamenti Mancanza di sistemi di rimpiazzo Suscettibilità a variazioni di tensione Suscettibilità a variazioni di temperatura Suscettibilità a umidità, polvere, sporcizia Suscettibilità a radiazioni elettromagnetiche Manutenzione insufficiente Carenze di controllo di configurazione (update/upgrade dei sistemi) Linee di comunicazione non protette Giunzioni non protette Mancanza di autenticazione Trasmissione password in chiaro Mancanza di prova di ricezione/invio Presenza di linee dial-up (con modem) Traffico sensibile non protetto 10

11 Gestione inadeguata della rete Connessioni a linea pubblica non protette Documenti cartacei Software Personale Locali documenti non protetti Carenza di precauzioni nell'eliminazione Non controllo delle copie Interfaccia uomo-macchina complicata Mancanza di identificazione / autenticazione Mancanza del registro delle attività (log) Errori noti del software Tabelle di password non protette Carenza/Assenza di password management Scorretta allocazione dei diritti di accesso Carenza di controllo nel caricamento e uso di software Permanenza di sessioni aperte senza utente Carenza di controllo di configurazione Carenza di documentazione Mancanza di copie di backup Incuria nella dismissione di supporti riscrivibili Mancanza di personale Mancanza di supervisione degli esterni Formazione insufficiente sulla sicurezza Mancanza di consapevolezza Uso scorretto di hardware/software Carenza di monitoraggio Mancanza di politiche per i mezzi di comunicazione Procedure di reclutamento inadeguate 6. INDIVIDUAZIONE DELLE CONTROMISURE Le contromisure individuano le azioni che si propongono al fine di annullare o di limitare le vulnerabilità e di contrastare le minacce, esse sono classificabili nelle seguenti tre categorie: contromisure di carattere fisico; contromisure di carattere procedurale; contromisure di carattere elettronico/informatico. Contromisure di carattere fisico Le apparecchiature informatiche critiche (server di rete, computer utilizzati per il trattamento dei dati personali o sensibili/giudiziari e apparecchiature di telecomunicazione, dispositivi di copia) e gli 11

12 archivi cartacei contenenti dati personali o sensibili/giudiziari sono situati in locali ad accesso controllato; I locali sono sei: 1. ufficio DSGA (server di rete) con 1 computer utilizzato per il trattamento dei dati personali o sensibili/giudiziari, 2. ufficio di segreteria con 3 computers utilizzati per il trattamento dei dati personali o sensibili/giudiziari e apparecchiature di telecomunicazione, dispositivi di copia, fax), 3. presidenza (documenti sensibili degli alunni- PEI protocollo riservato), 4. archivio 1 5. archivio 2 6. Aula server intranet Situazione tipi di protezione i locali ad accesso controllato sono all'interno di aree sotto la responsabilità dell Istituto; i responsabili dei trattamenti indicati nell'allegato 1 sono anche responsabili dell'area in cui si trovano i trattamenti; i locali ad accesso controllato sono chiusi anche se presidiati, le chiavi sono custodite a cura del del collaboratore scolastico indicato con nomina annuale dal DSGA; l'ingresso ai locali ad accesso controllato è possibile solo dall'interno dell'area sotto la responsabilità dell ISTITUTO; L accesso agli uffici di segreteria, presidenza è protetto da sistema d allarme e cancello in ferro. E presente un estintore. L accesso all archivio 1 (privo di sistema d allarme e non protetto da serratura), anche se rientra nell area segreteria-presidenza non risponde ai requisiti minimi di sicurezza. L accesso all archivio 2 (privo di sistema d allarme e cancello in ferro) è chiuso da serratura tipo yale. L aula server intranet è dotata di computer server con archivio dati personali e/o sensibili. L accesso la server è riservato solo ai docenti muniti di password e per aree. L'ingresso al locale ad accesso controllato è protetto da antifurto e porta in ferro. Sono da programmare l acquisto di armadi ignifughi e messa in sicurezza dell archivio 1 e 2 e la predisposizione di estintori. Contromisure di carattere procedurale l'ingresso nei locali ad accesso controllato è consentito solo alle persone autorizzate; il responsabile dell'area ad accesso controllato deve mantenere un effettivo controllo sull'area di sua responsabilità; nei locali ad accesso controllato è esposta una lista delle persone autorizzate ad accedere, che è periodicamente controllata dal responsabile del trattamento o da un suo delegato; i visitatori occasionali della aree ad accesso controllato sono accompagnati da un incaricato; per l ingresso ai locali ad accesso controllato è necessaria preventiva autorizzazione da parte del Responsabile del trattamento e successiva registrazione su apposito registro; è controllata l attuazione del piano di verifica periodica sull'efficacia degli allarmi e degli estintori; l ingresso in locali ad accesso controllato da parte di dipendenti o estranei per operazioni di pulizia o di manutenzione avviene solo se i contenitori dei dati sono chiusi a chiave e i computer sono spenti oppure se le operazioni si svolgono alla presenza dell Incaricato del trattamento di tali dati; i registri di classe, contenenti dati comuni e particolari, durante l orario delle lezioni devono essere tenuti in 12

13 classe sulla scrivania e affidati all insegnante di turno. Al termine delle lezioni vengono raccolti dai collaboratori scolastici e depositati, al termine delle lezioni, in appositi armadietti in metallico dotati di chiusura a chiave. il docente è responsabile della riservatezza del registro personale in cui sono annotati dati comuni e particolari. Fuori dall orario di servizio il registro viene conservato nell armadietto del docente che è chiuso a chiave, una chiave di riserva è mantenuta con le dovute cautele dalla scuola (nella cassaforte della presidenza); il protocollo riservato, accessibile solo al Titolare e al Responsabile del trattamento è conservato nella cassaforte in presidenza; inoltre per il trattamento dei soli dati cartacei sono adottate le seguenti disposizioni: o si accede ai soli dati strettamente necessari allo svolgimento delle proprie mansioni; o si utilizzano archivi con accesso selezionato; o atti e documenti devono essere restituiti al termine delle operazioni; o è fatto divieto di fotocopiare/scannerizzare documenti senza l'autorizzazione del responsabile del trattamento; o è fatto divieto di esportare documenti o copie dei medesimi all'esterno dell'istituto senza l'autorizzazione del responsabile del trattamento, tale divieto si estende anche all'esportazione telematica; o il materiale cartaceo asportato e destinato allo smaltimento dei rifiuti deve essere ridotto in minuti frammenti. Contromisure di carattere elettronico/informatico Vedere l Allegato NORME PER IL PERSONALE Tutti i dipendenti concorrono alla realizzazione della sicurezza, pertanto devono proteggere le risorse loro assegnate per lo svolgimento dell'attività lavorativa e indicate al punto 4.1, nel rispetto di quanto stabilito nel presente documento e dal regolamento di utilizzo della rete (Allegato 4). 8. INCIDENT RESPONSE E RIPRISTINO Vedere l Allegato 3 9. PIANO DI FORMAZIONE La formazione degli incaricati viene effettuata all ingresso in servizio, all installazione di nuovi strumenti per il trattamento dei dati, e comunque con frequenza annuale. Le finalità della formazione sono: sensibilizzare gli incaricati sulle tematiche di sicurezza, in particolar modo sui rischi e sulle responsabilità che riguardano il trattamento dei dati personali; proporre buone pratiche di utilizzo sicuro della rete; riconoscere eventuali anomalie di funzionamento dei sistemi (hardware e software) correlate a problemi di sicurezza. 13

14 Sono in via di definizione corsi di formazione per il personale docente e ATA Il piano prevede inoltre la pubblicazione di normativa ed ordini di servizio in apposita bacheca situata presso l ufficio di segreteria 10. AGGIORNAMENTO DEL PIANO Il presente piano è soggetto a revisione annua ai sensi dell'art. 19 allegato B del D.L.vo 30/06/2003 Num Il piano deve essere aggiornato ogni qualvolta si verificano le seguenti condizioni: modifiche all'assetto organizzativo della scuola ed in particolare del sistema informativo (sostituzioni di hardware, software, procedure, connessioni di reti, ecc.) tali da giustificare una revisione del piano; danneggiamento o attacchi al patrimonio informativo della scuola tali da dover correggere ed aggiornare i livelli minimi di sicurezza previa analisi dell'evento e del rischio. Il redattore responsabile DPS Prof. Salucci Maurizio Il Titolare Istituto Comprensivo G. Pascoli Tramonti (SA) rappresentato dal Dirigente Scolastico Prof. ssa Luisa Ptrizia Milo 14

15 Indice: Introduzione 2 Definizioni e responsabilità 2 1. Elenco dei trattamenti dei dati personali Dati trattati dai docenti Dati trattati dal personale amministrativo Dati trattati dal Dirigente Scolastico 5 2. Distribuzione dei compiti e delle responsabilità Individuazione dei soggetti: il titolare Individuazione e attribuzioni della responsabilità: il responsabile Gli incaricati 7 3 L amministratore di sistema 7 4 Analisi dei rischi che incombono sui dati Analisi individuale delle risorse da proteggere Plessi e loro identificazione Locali dove avviene il trattamento dei dati effettuato da personale docente Locali dove avviene il trattamento effettuato dal Dirigente Scolastico e dal personale A.T.A. 9 5 Individuazione delle minacce Individuazione delle vulnerabilità Individuazione delle contromisure Norme per il personale-allegato Incident response e ripristino 14 9.Piano di formazione Aggiornamento del piano 14 15