Liceo Statale Erasmo da Rotterdam LINGUISTICO - SCIENZE SOCIALI SCIENZE UMANE SCIENZE UMANE OPZIONE ECONOMICO SOCIALE

Transcript

1 Liceo Statale Erasmo da Rotterdam LINGUISTICO - SCIENZE SOCIALI SCIENZE UMANE SCIENZE UMANE OPZIONE ECONOMICO SOCIALE Viale Italia, Sesto San Giovanni (MI) tel fax sito web - mipm070008@istruzione.it Cod. meccanografico MIUR MIPM cod.fiscale conto corrente postale IL DIRIGENTE visto il decreto legislativo 30 giugno 2003, n.196 recante il Codice in materia di protezione di dati personali, e segnatamente gli artt. 33, 34, 35 e 36, nonché l allegato B suddetto d.lgs., contenente il Disciplinare tecnico in materia di misure minime di sicurezza; visto il D.M. 305/2006 e i suoi allegati; considerato che l Istituzione Scolastica IMS Erasmoda Rotterdam, con sede in Viale Italia 409, Sesto San Giovanni (MI) in quanto dotata di un autonomo potere decisionale, ai sensi l art.28 d.lgs. n , deve ritenersi titolare di dati personali; atteso che la suddetta Istituzione scolastica è tenuta a prevedere ed applicare le misure minime di sicurezza di cui agli artt. citati d.lgs. n , ADOTTA IL PRESENTE DOCUMENTO PROGRAMMATICO DELLA SICUREZZA L Istituzione scolastica, per l espletamento la funzione didattica e formativa, raccoglie e tratta dati personali dei soggetti coinvolti nell offerta formativa ovvero dei destinatari la stessa, anche con l ausilio di soggetti esterni, ai sensi punto 19 l Allegato B, talchè si precisano i seguenti elementi: 1. Elenco dei trattamenti di dati personali; 1

2 2. Elenco dei dati personali di natura comune, sensibile o giudiziaria; 3. Distribuzione dei compiti e le responsabilità nell'ambito le strutture preposte al dei dati; 4. Ambito dei trattamenti; 5. Analisi dei rischi incombenti sui dati; 6. Misure adottate per garantire l'integrità e la disponibilità dei dati, nonchè la protezione le aree e dei locali, rilevanti ai fini la loro custodia e accessibilità; 7. Criteri e le modalità per il ripristino la disponibilità dei dati in seguito a distruzione o danneggiamento; 8. Programma degli interventi formativi degli incaricati ; 9. Criteri previsti per garantire il rispetto le misure minime per i trattamenti di dati personali affidati all'esterno la struttura; 10. Obbligo di aggiornamento periodico DPS. 1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI Finalità Al fine di perseguire le finalità istituzionali, l Istituzione scolastica tratta dati personali (sia comuni che sensibili o giudiziari) di studenti, personale dipendente, fornitori. I trattamenti sono effettuati, anche mediante strumenti elettronici, per le seguenti finalità: adempimento agli obblighi di fonte legislativa, nazionale o comunitaria, regolamentare o derivante da atti amministrativi; somministrazione dei servizi formativi; gestione e formazione personale, nelle sue varie componenti (docente e non docente); adempimenti assicurativi; tenuta la contabilità; gestione le attività informative curate ai sensi la legge 7 giugno 2000, n.150 contenente la Disciplina le attività di informazione e di comunicazione le pubbliche amministrazioni ; attività strumentali alle precedenti. Fonte dei dati I dati trattati sono conservati su supporti informatici e/o cartacei e sono noti all istituzione scolastica in ragione la produzione: di atti e/o dichiarazioni provenienti da soggetti interessati a fruire direttamente, o a beneficio dei minori sottoposti alla potestà ex art.316 c.c., dei servizi formativi; di documenti contabili connessi alla fornitura di prestazioni e/o di servizi e/o di lavori; di documentazione bancaria, finanziaria e/o assicurativa; di documenti inerenti il rapporto di lavoro, finalizzati anche agli adempimenti retributivi e/o previdenziali. 2

3 2. ELENCO DEI DATI PERSONALI DI NATURA COMUNE, SENSIBILE O GIUDIZIARIA Sulla scorta le precisazioni sopra elencate, l istituzione scolastica dichiara, con riferimento ai destinatari o famigliari dei destinatari l offerta formativa ovvero personale coinvolto, a qualunque titolo, nella medesima, o interessato ad essere coinvolto, ovvero di soggetti, a qualsiasi titolo, coinvolti in rapporti negoziali con l istituzione scolastica, o aspiranti ad assumere tale ruolo, di trattare i dati di seguito elencati: a) Dati identificativi, ai sensi l art.4, comma 1, lettere b) e c) d.lgs. n , univocamente riconducibili ad un soggetto fisico, identificato o identificabile, quali nominativo, dati di nascita, residenza, domicilio, stato di famiglia, codice fiscale, stato relativo all adempimento degli obblighi di leva; b) Dati identificativi, ai sensi l art.4, comma 1, lettere b) e c) d.lgs. n , univocamente riconducibili a persone giuridiche, enti o associazioni, inerenti la forma giuridica, la data di costituzione, la sede, il domicilio, l evoluzione degli organi rappresentativi e legali, la sede, la Partita IVA, il Codice fiscale, la titolarità di diritti o la disponibilità di beni strumentali; c) Dati sensibili, ai sensi l art.4, comma 1, lett.d) d.lgs. n ; d) Dati giudiziari, ai sensi l art.4, comma 1, lett.e) d.lgs. n ; e) Dati inerenti il livello di istruzione e culturale nonché relativi all esito di scrutini, esami, piani educativi individualizzati differenziati; f) Dati inerenti le condizioni economiche e l adempimento degli obblighi tributari; g) Dati riferibili a procedimenti giudiziari, pendenti in qualsiasi grado, o pregressi, di natura civile, amministrativa, tributaria, presso autorità giurisdizionali italiane o estere, diversi da quelli rientranti nell art.4 comma 1, lett.e) d.lgs. n ; h) Dati atti a rilevare la presenza presso l istituzione scolastica dei destinatari l offerta formativa ovvero dei famigliari nonché personale coinvolto, a qualsiasi titolo, nella somministrazione di tale offerta; i) Dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; k) Dati inerenti negoziazioni e relative modalità di pagamento rispetto a forniture di beni, servizi o di opere, ovvero proposte ed offerte inerenti le medesime negoziazioni; l) Dati inerenti la fornitura e le modalità di pagamento riguardo ad attività professionale a fini formativi; m) Dati contabili e fiscali; n) Dati inerenti la titolarità di diritti, il possesso o la detenzione di beni mobili registrati, mobili o immobili; o) Dati detenuti in applicazione di disposizioni di origine nazionale o comunitaria, atti o provvedimenti amministrativi, fonti contrattuali. 3. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL'AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI L ente titolare dei dati ha designato, mediante autonomo provvedimento (allegato al presente Documento) quale Responsabile ai sensi l art. 29 d.lgs. n la signora Lucilla Chiesa, nata a Milano il 25/12/1955, preposta alle funzioni di Direttore dei Servizi Generali e Amministrativi, in considerazione la esperienza, capacità ed affidabilità espressa dalla medesima, tale da offrire idonea garanzia pieno rispetto le disposizioni in materia di. 3

4 Il suddetto Responsabile ha ricevuto adeguate istruzioni riguardo: a) all individuazione ed adozione le misure di sicurezza da applicare nell ambito l istituzione scolastica, al fine di salvaguardare la riservatezza, l integrità, la completezza e la disponibilità dei dati trattati; b) all esigenza di provvedere, mediante atto scritto, all individuazione le unità legittimate al, per mezzo dei singoli preposti, ovvero di singoli incaricati, ai sensi l art.30 d.lgs. n , deputati ad operare sotto la diretta autorità responsabile, attenendosi alle istruzioni impartite, fermo restando l obbligo gravante sul responsabile, di vigilare sul rispetto le misure di sicurezza adottate. c) all esigenza di verificare che gli obblighi di informativa siano stati assolti correttamente, ovvero che sia stato conseguito il consenso degli interessati; d) all obbligo di collaborare con il titolare nell adempiere alle richieste avanzate dal Garante per la protezione dei dati personali ovvero alle autorità investite dei poteri di controllo; e) all attribuzione la competenza ad elaborare e sottoscrivere notificazioni al Garante per la protezione dei dati personali; f) all obbligo di osservare e far osservare il divieto di comunicazione e diffusione dei dati personali comunque trattati da parte l istituzione scolastica; g) all obbligo, ovvero a proporre soluzioni organizzative che consentano un ampliamento dei livelli di sicurezza Il Responsabile, ai sensi l art. 30 d.lgs. n e le indicazioni rappresentante sub b), ha provveduto ad individuare (mediante atti allegati al presente Documento) gli incaricati, autorizzandoli al dei dati in possesso l istituzione scolastica, esclusivamente con riferimento all espletamento le funzioni istituzionali ad essi rispettivamente assegnate. Tali incaricati, in particolare, sono stati formalmente edotti in merito alla circostanza che: a) il e la conservazione dei dati deve avvenire esclusivamente in modo lecito e proporzionato alle funzioni istituzionali, nel rispetto la riservatezza; b) la raccolta, registrazione ed elaborazione dei dati, mediante strumento informatico o cartaceo, deve essere limitata alle finalità istituzionali; c) integra onere l incaricato la correzione od aggiornamento dei dati posseduti, l esame la loro pertinenza rispetto alle funzioni; d) integra inosservanza le istruzioni la comunicazione, effettuata in qualsiasi maniera dei dati in possesso, con eccezione caso che il destinatario sia l interessato alla stessa, ovvero altri soggetti legittimati a ricevere dette comunicazioni. L ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di aggiornamento periodico. A tutti gli incaricati destinati al di dati mediante strumento elettronico, sono state conferite credenziali di autenticazioni (art.34, comma 1, lett.b) mediante parola chiave, conformi alle caratteristiche indicate nell allegato B. Con atto allegato al presente documento è stato designato l incaricato la custodia le copie di credenziali di autenticazione nonché la funzione di verifica loro aggiornamento periodico ovvero la corretta utilizzazione. Le suddette credenziali sono disattivate automaticamente dal gestore la rete periodicamente, ovvero in tutti i casi di mancata utilizzazione per almeno 6 mesi. Concorre al anche un consulente esterno all istituzione scolastica, incaricato mediante contratto (allegato al presente documento) supporto alla gestione la rete degli uffici. Al fine di meglio precisare la suddetta ripartizione le funzioni si rinvia alla tabella seguente: 4

5 Tabella 1 - Strutture preposte ai trattamenti e riparto le responsabilità STRUTTURA RESPONSABILE INCARICATO TRATTAMENTI OPERATI DALLA STRUTTURA OPERAZIONI DI TIPO INFORMATICO PROPRIE DELLA STRUTTURA Dirigente Scolastico Dirigente Scolastico Dario D Andrea Direttore dei Servizi Generali e Amministrativi Collaboratore dirigente con funzioni vicarie Servizio Acquisti e Magazzino Segreteria Finanziaria 1. trattamenti strumentali all attivazione, alla gestione diretta in alcuni casi, alla conclusione dei procedimenti amministrativi relativi agli studenti e alle loro famiglie, al personale, agli acquisti di beni o servizi DSGA Lucilla Chiesa 1. trattamenti strumentali all attivazione, alla gestione diretta in alcuni casi, alla conclusione dei procedimenti amministrativi relativi agli studenti e alle loro famiglie, al personale, agli acquisti di beni o servizi DSGA Lucilla Chiesa 1. Sonia Cecchin 2. Luisa Visca DSGA Lucilla Chiesa 1. Angela Spinella 2. Loreta Di Bitonto (per la succursale) Servizio Didattica DSGA Lucilla Chiesa 1. Manuela Masenelli 2. Giovanna Vacalebre 3. Loreta di Bitonto (per la succursale) 1. concorso in alcuni trattamenti relativi a studenti (es. formazione classi, predisposizione elenchi partecipanti ad attività integrative, valutazione crediti formativi per riorientamento) e personale (es. gestione sostituzione assenti) 1. trattamenti strumentali allo svolgimento dei compiti di gestione amministrativa (tenuta dei dati connessi all espletamento di procedimenti amministrativi, attività contrattuale, gestione di beni, procedure di bilancio); 2. gestione la corrispondenza, coerente con gli ambiti di cui al punto 1, ricevuta ed inviata dal Dirigente l istituzione scolastica; 3. tenuta protocollo generale, per gli ambiti di cui al punto 1, con conseguente registrazione la posta, anche elettronica o ricevuta via fax, e le comunicazioni di ufficio in entrata e in uscita 1. Trattamenti strumentali alla predisposizione e concreta erogazione l offerta formativa (raccolta le domande di iscrizione; condizioni sanitarie ed economiche dei destinatari l offerta formativa; documentazione concernente opzioni per insegnamenti facoltativi; dati inerenti profili sanitari o relativi al nucleo famigliare dei destinatari l offerta formativa, per il riconoscimento di attività di sostegno in ragione Consultazione dei dati, stampa, comunicazione a terzi, manutenzione tecnica dei programmi utilizzati nel Acquisizione e caricamento dei dati, consultazione, stampa, comunicazione a terzi, manutenzione tecnica dei programmi utilizzati nel, gestione tecnica operativa la base dati (salvataggi, ripristini, ecc.) Consultazione dei dati, stampa, comunicazione a terzi, manutenzione tecnica dei programmi utilizzati nel Acquisizione e caricamento dei dati, consultazione, stampa, comunicazione a terzi, manutenzione tecnica dei programmi utilizzati nel, gestione tecnica operativa la base dati (salvataggi, ripristini, ecc.) Come sopra 5

6 di situazioni di disagio, sociale, economico o famigliare; documenti e registri relativi alle presenze presso l istituzione scolastica e alle valutazioni periodiche e finali) 2. gestione la corrispondenza, coerente con gli ambiti di cui al punto 1, ricevuta ed inviata dal Dirigente l istituzione scolastica; 3. tenuta protocollo generale, per gli ambiti di cui al punto 1, con conseguente registrazione la posta, anche elettronica o ricevuta via fax, e le comunicazioni di ufficio in entrata e in uscita; 4. trattamenti strumentali alle attività degli organi collegiali ed attività connesse ai rapporti con organi pubblici (composizione degli organi collegiali rappresentativi la comunità servita dall offerta formativa, convocazione degli organi, raccolta le ibere, raccolta degli atti concertati con altre istituzioni pubbliche) 6

7 Servizio Personale e Stipendi DSGA Lucilla Chiesa 1. Luigia De Nicolo 2. Anna Maria Tranchida 3. Loreta di Bitonto (per la succursale) 1. trattamenti strumentali allo svolgimento dei compiti istituzionali, in materia di selezione ed amministrazione personale (registrazione le presenza presso l istituzione scolastica, assenze per malattia, esigenze famigliari, espletamento funzioni politiche o sindacali; aspetti economici e previdenziali: paghe, contributi, etc.; raccolta di curricula riguardo a soggetti interessati all espletamento di funzioni docenti) 2. gestione la corrispondenza, coerente con gli ambiti di cui al punto 1, ricevuta ed inviata dal Dirigente l istituzione scolastica; 3. tenuta protocollo generale, per gli ambiti di cui al punto 1, con conseguente registrazione la posta, anche elettronica o ricevuta via fax, e le comunicazioni di ufficio in entrata e in uscita Come sopra Servizi strumentali, affidati all esterno, concernenti il supporto alla gestione la rete DSGA Lucilla Chiesa Antonio Lampasi 1. Trattamenti strumentali (interventi di supporto alla gestione la rete, amministrata ordinariamente dal DSGA/responsabile ) Manutenzione tecnica dei programmi utilizzati nel, gestione tecnica operativa la base dati (salvataggi, ripristini, ecc.) 7

8 4. AMBITO DEI TRATTAMENTI Si precisano nella tabella sottostante le modalità e gli strumenti utilizzati per il dei dati nei vari uffici: Tabella 2 - Elenco dei trattamenti: informazioni di base Struttura deputata al Natura dei dati trattati Ambito fisico dove ha luogo il Sensibili Giudiziari Descrizione degli strumenti utilizzati Dirigente Scolastico SI SI Ufficio Dirigente Scolastico, situato al piano rialzato la sede di Viale Italia, 409 Supporti cartacei Pc connesso a server interno Direttore dei Servizi Generali e Amministrativi SI SI Ufficio DSGA, situato al piano rialzato la sede di Viale Italia, 409 Collaboratore dirigente con funzioni vicarie SI SI Ufficio collaboratore dirigente Servizio Acquisti e Magazzino Segreteria Finanziaria SI SI Ufficio Acquisti e Magazzino/ Segreteria Finanziaria/Ufficio Didattica, situato al piano rialzato la sede di Viale Italia, 409 Servizio Didattica SI SI Ufficio Acquisti e Magazzino/ Segreteria Finanziaria/Ufficio Didattica, situato nella sede di Viale Italia, 409, situati al piano rialzato la sede di Viale Italia, 409 Servizio Personale e Stipendi SI SI Ufficio Personale e Stipendi, situato al piano rialzato la sede di Viale Italia, 409 Supporti cartacei Pc connesso a server interno Supporti cartacei Pc connesso a server interno Supporti cartacei Pc connesso a server interno Supporti cartacei Pc connesso a server interno Supporti cartacei Pc connesso a server interno Il dei dati avviene attraverso modalità diverse: elaborazione di atti su supporto cartaceo; utilizzo di strumenti elettronici interni (P.C.) collegati in rete fra loro e con un server interno; collegamenti mediante rete intranet con le strutture centrali o periferiche MIUR; collegamenti tramite rete internet con altri uffici la pubblica amministrazione. 8

9 Con riferimento alla gestione dei dati mediante collegamento alle reti l Istituzione scolastica, operando come semplice utente, declina ogni responsabilità non riconducibile al funzionamento degli strumenti informatici interni e le misure di sicurezza attivate in tale ambito. Con riferimento all ubicazione fisica dei supporti di memorizzazione le copie di sicurezza, l Istituzione scolastica, tenendo conto l analisi di cui al punto 5, ha ritenuto di provvedere alla custodia presso l ufficio la Dsga, riservando l accesso a tali supporti alla signora Lucilla Chiesa, Responsabile. 5. ANALISI DEI RISCHI INCOMBENTI SUI DATI L Istituzione scolastica ha proceduto ad una ricognizione dei rischi che potrebbero comportare distruzione, sottrazione, perdita, abusivo dei dati, di origine dolosa, colposa, ovvero meramente fortuita, in grado di recare pregiudizio ai dati personali trattati. Le fonti di rischio sono state accorpate in: 1)Comportamenti degli operatori Sottrazione di credenziali di autenticazione; comportamenti imperiti, imprudenti o negligenti dei soggetti legittimati al dei dati; comportamenti dolosi dei soggetti legittimati; errori materiali. 2) Eventi relativi agli strumenti Danno arrecato da virus informatici e/o da hackers, mediante interventi precedenti all aggiornamento degli strumenti di contrasto attivati (software e firewall), spamming o tecniche di sabotaggio. Malfunzionamento, indisponibilità o usura fisica degli strumenti. Accessi abusivi negli strumenti elettronici. Intercettazione dei dati in occasione di trasmissione in rete. 3) Eventi relativi al contesto fisico-ambientale. Distruzione o perdita di dati in conseguenza di eventi incontrollabili (terremoto) ovvero, seppur astrattamente preventivabili (incendi o allagamenti) di origine fortuita, dolosa o colposa, per i quali non è possibile apprestare cautele. Guasti a sistemi complementari, quale la mancata erogazione di energia elettrica per lunghi periodi di tempo, in grado di pregiudicare la climatizzazione dei locali. Furto o danneggiamento degli strumenti elettronici di dei dati, in orario diverso da quello di lavoro. Accesso non autorizzato da parte di terzi interni o esterni all istituzione scolastica mediante uso abusivo di credenziali di autenticazione, in funzione di danneggiamento o sottrazione dei dati. Errori umani nell attivazione degli strumenti di protezione. I suddetti rischi sono stati ripartiti in classi di gravità, tenendo conto la concreta possibilità di realizzazione presso l istituzione scolastica, adottando la seguente scansione: A= alto B = basso EE = molto elevato M = medio MA = medio-alto MB = medio-basso La tabella seguente sintetizza i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone le possibili conseguenze e stimandone la gravità tenuto conto la probabilità che l evento si verifichi. 9

10 Tabella 4 - Analisi dei rischi EVENTO IMPATTO SULLA SICUREZZA DEI DATI DESCRIZIONE RISCHIO STIMATO EVENTI RELATIVI AI COMPORTAMENTI DEGLI OPERATORI Furto di credenziali di autenticazione Accesso altrui non autorizzato M Carenza di consapevolezza, disattenzione o incuria Dispersione, perdita e accesso altrui non autorizzato Comportamenti sleali o fraudolenti Dispersione, perdita e accesso altrui non autorizzato Errore materiale Dispersione, perdita e accesso altrui non autorizzato EVENTI RELATIVI AGLI STRUMENTI Azione di virus informatici o di codici malefici Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; M M B EE Spamming o altre tecniche di sabotaggio Malfunzionamento, indisponibilità o degrado degli strumenti Accessi esterni non autorizzati Intercettazione di informazioni in rete Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Dispersione, perdita o alterazione, anche irreversibile, di dati, nonché manomissione di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Dispersione di dati; accesso altrui non autorizzato EE MA MA MA 10

11 EVENTI RELATIVI AL CONTESTO Accessi non autorizzati a locali/reparti ad accesso ristretto Asportazione e furto di strumenti contenenti dati Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria Guasto ai sistemi complementari (impianto elettrico, etc.) Errori umani nella gestione la sicurezza fisica Dispersione, perdita o alterazione, anche irreversibile, di dati, nonché manomissione di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Dispersione e perdita di dati, di programmi e di elaboratori; accesso altrui non autorizzato Perdita di dati, dei programmi e degli elaboratori Perdita o alterazione, anche irreversibile, di dati, nonché manomissione dei programmi e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Perdita o alterazione, anche irreversibile, di dati, nonché manomissione dei programmi e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi M MB M A M 6. MISURE ADOTTATE PER GARANTIRE L'INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, NONCHÈ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITÀ. Sulla scorta la ricognizione dei rischi sopra rappresentata, l istituzione scolastica ha provveduto ad apprestare e/o introdurre strumenti di tutela, ovvero a prevedere successive, e più incisive, misure di sicurezza. La tabella seguente sintetizza le misure di sicurezza in essere, corredate da indicazioni di dettaglio. Tabella 5 - Le misure di sicurezza adottate o da adottare Misure Tipologia di misura Rischi contrastati Trattamenti interessati Misure già in essere Eventuali misure da adottare Tempi di adozione/verifica in giorni Struttura o persona addetta all adozione 11

12 Misure relative agli strumenti Misure Installazione e configurazione sistema operativo server e client che gestisca le procedure di autenticazione Gestione Credenziali di autenticazione a livello di sistema operativo e di procedura gestionale preposta al. Formazione personale sui rischi, sulle misure disponibili, sulle procedure di conservazione e di ripristino. Tipologia di misura Obbligatoria Rischi contrastati Accessi indesiderati e non controllati Accessi indesiderati e non controllati Accessi indesiderati, danneggiamenti o perdita accidentale, applicabilità l intero sistema di sicurezza. Antivirus, antispam Di contrasto Danneggiamenti o distruzione di dati, indisponibilità dei sistemi Firewall e proxy server Di contrasto Danneggiamenti, diffusione o distruzione di dati, indisponibilità dei sistemi Trattamenti interessati Misure già in essere Eventuali misure da adottare Tempi di adozione/verifica in giorni Struttura o persona addetta all adozione Tutti SI Nessuna **/30 Consulente Tutti Tutti Tutti SI, con gestione scadenza ed assegnazione credenziali mediante policy di dominio SI, con le modalità di cui al successivo punto 8 documento SI, con distribuzione centralizzata degli aggiornamenti Nessuna **/30 Responsabile e consulente Realizzazione di ulteriori momenti di formazione in caso di ingresso in servizio di nuovo personale o di significativi cambiamenti di mansioni per quello già in servizio o, ancora, di introduzione di rilevanti innovazioni negli strumenti utilizzati nel dei dati personali 90/30 Responsabile Nessuna **/60 Responsabile e Consulente Tutti SI Nessuna **/60 Responsabile e Consulente 12

13 Misure Procedure di backup automatizzato Procedura per custodia ed uso dei supporti rimovibili Procedure di restore e di disaster recovery Organizzazione le policy di dominio, gestione dei gruppi organizzativi Sistema di mirroring in RAID Gestione di un server di dominio aggiuntivo o in cluster Attivazione servizi di auditing e monitoraggio Procedura di distruzione dei supporti removibili non più in uso Tipologia di misura Contenimento degli effetti Contenimento degli effetti Contenimento degli effetti Contenimento degli effetti Di contrasto Rischi contrastati Danneggiamenti o distruzione di dati Danneggiamenti o distruzione di dati Danneggiamenti o distruzione di dati Accessi indesiderati e non controllati, danneggiamenti o distruzione. Indisponibilità dei sistemi Indisponibilità dei sistemi Non tracciabilità di accessi o attività non consentite o fraudolente Diffusione non controllata di dati Trattamenti interessati Misure già in essere Eventuali misure da adottare Tutti Backup manuale Installazione e configurazione procedura automatizzata Tutti Nessuna Redazione ed applicazione la procedura Tutti Solo restore manuale, senza test e procedura Procedura e test di restore sistema Tutti Nessuna Configurazione le policy e dei gruppi organizzativi Tutti Nessuna Upgrade hardware server Tutti Nessuna Disponibilità pc aggiuntivo, installazione e configurazione Tutti Nessuna Attivazione servizi di auditing e monitoraggio Tutti NO Attivare procedura per distruzione supporti removibili Tempi di adozione/verifica in giorni Struttura o persona addetta all adozione 90/60 Responsabile e Consulente 120/60 Responsabile di procedura 90/60 Responsabile e Consulente 60/30 Responsabile e Consulente Non def. Consulente 120/60 Consulente 90/60 Consulente 120/60 Responsabile di procedura 13

14 Misure Procedura di spegnimento automatico server in caso di assenza di alimentazione di rete Procedura di sospensione automatica le sessioni Verifica funzionale periodica la funzionalità dei sistemi Tipologia di misura Contenimento degli effetti Rischi contrastati Danneggiamenti, diffusione o distruzione di dati, indisponibilità dei sistemi Accessi indesiderati e non controllati Indisponibilità dei sistemi e affidabilità dei dati Trattamenti interessati Misure già in essere Eventuali misure da adottare Tempi di adozione/verifica in giorni Struttura o persona addetta all adozione Tutti SI Nessuna **/60 Consulente Tutti NO Attivazione procedura di sospensione automatica Tutti NO Verifica funzionale periodica la funzionalità dei sistemi 60/30 Consulente 180/90 Responsabile e Consulente Misure relative al contesto Vigilanza attiva la sede Di contrasto Accessi indesiderati e non controllati Vigilanza passiva la sede Di contrasto Accessi indesiderati e non controllati Registrazione accessi Accessi indesiderati e non controllati Autenticazione accessi Di contrasto Accessi indesiderati e non controllati Tutti Tutti Durante gli orari di apertura degli uffici costante vigilanza collaboratore scolastico preposto, con specifica definizione le competenze, all ingresso/centralino Dispositivo di allarme a sensori e segnalatore luminoso/acustico Tutti NO Istituire un registro di visita per gli estranei all amministrazione Nessuna Non def. Responsabile dei servizi di vigilanza Nessuna Non def. Responsabile dei servizi di vigilanza 180/90 Responsabile dei servizi di vigilanza Tutti SI Nessuna 180/90 Responsabile 14

15 Misure Custodia in classificatori ed armadi con chiusura Deposito in cassaforte o armadi blindati e/o antifiamma Dispositivi antincendio Limitazione l accesso dei locali CED o dove risiede il server Tipologia di misura Contenimento degli effetti Rischi contrastati Accessi indesiderati e non controllati Danneggiamenti o distruzione di dati Danneggiamenti o distruzione di dati, indisponibilità dei sistemi Accessi indesiderati e non controllati Trattamenti interessati Tutti Tutti Misure già in essere Conservazione degli atti contenenti dati personali in armadi e schedari metallici con serrature le cui chiavi sono a loro volta protette in apposito contenitore metallico le cui chiavi sono in possesso solo personale incaricato Gli atti di particolare rilevanza ai fini la tutele dei dati contenuti sono conservati in armadi blindati, la cui chiave è in possesso dei soli Eventuali misure da adottare Tempi di adozione/verifica in giorni Struttura o persona addetta all adozione Nessuna Non def. Responsabile di procedura Nessuna Non def. Responsabile di procedura incaricati Tutti SI, estintori Nessuna **/180 Responsabile dei servizi di vigilanza Tutti No Attivare lock case server e/o sensoire di apertura o altro Non def. Responsabile dei servizi di vigilanza Misure relative ai comportamenti degli operatori Assegnazione formale di responsabilità ed incarichi Certificazione le attività di soggetti esterni Obbligatoria Obbligatoria Non applicabilità sistema di sicurezza Malfunzionamento o non applicabilità sistema di sicurezza Tutti SI Nessuna Non def. Titolare Tutti NO Inviare lettera di 60/30 Responsabile richiesta certificato 15

16 Misure Formazione per la gestione di dati con non informatizzato, finalizzata al controllo degli accessi, alla custodia ed alla conservazione. Tipologia di misura Obbligatoria Consultazioni registrate dei dati Redazione di elenco strutturato dei dati oggetto diviso per classi e finalità di gestione. Obbligatoria Rischi contrastati Non applicabilità sistema di sicurezza Non rintracciabilità degli accessi ai dati Non applicabilità sistema di sicurezza Trattamenti interessati Tutti Misure già in essere SI, con le modalità di cui al successivo punto 8 documento Eventuali misure da adottare Realizzazione di ulteriori momenti di formazione in caso di ingresso in servizio di nuovo personale o di significativi cambiamenti di mansioni per quello già in servizio o, ancora, di introduzione di rilevanti innovazioni negli strumenti utilizzati nel dei dati personali Tutti NO Adozione software di protocollo che preveda la gestione la pratica Tempi di adozione/verifica in giorni Struttura o persona addetta all adozione 90/30 Titolare 90/30 Responsabile Tutti SI Nessuna 90/30 Responsabile 7. CRITERI E MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO Al fine di garantire la disponibilità dei dati contro i rischi di distruzione o perdita, è stata definita nell istituzione scolastica una procedura di periodica esecuzione di copie di sicurezza dei dati trattati con modalità. La tabella seguente elenca sinteticamente la procedura di copia, verifica e ripristino dei dati utilizzata per ogni PC collegato al server interno. Struttura in possesso di p.c. e collegamento a server Criteri e procedure per il salvataggio Supporto magnetico/ottico e luogo di custodia le copie Struttura o persona incaricata salvataggio Procedura di ripristino e pianificazione 16

17 Dirigente Scolastico Direttore dei Servizi Generali e Amministrativi Collaboratore dirigente con funzioni vicarie Servizio Acquisti e Magazzino Segreteria Finanziaria Servizio Didattica Servizio Personale e Stipendi Procedura backup di Axios con cadenza periodica impostata a parametro in giorni da ultimo salvataggio. Valore variabile impostato dall utente, nessuna procedura scritta. Procedura backup di AxiosI con cadenza periodica impostata a parametro in giorni da ultimo salvataggio. Valore variabile impostato dall utente, nessuna procedura scritta. Procedura backup di Axios con cadenza periodica impostata a parametro in giorni da ultimo salvataggio. Valore variabile impostato dall utente, nessuna procedura scritta. Procedura backup di Axios con cadenza periodica impostata a parametro in giorni da ultimo salvataggio. Valore variabile impostato dall utente, nessuna procedura scritta. Procedura backup di Axioscon cadenza periodica impostata a parametro in giorni da ultimo salvataggio. Valore variabile impostato dall utente, nessuna procedura scritta. Procedura backup di Axioscon cadenza periodica impostata a parametro in giorni da ultimo salvataggio. Valore variabile impostato dall utente, nessuna procedura scritta. Hard-disk server e cd-rom Da nominare Restore di AXIOS, nessuna pianificazione o test di funzionamento Hard-disk server e cd-rom Da nominare Restore di Axios, nessuna pianificazione o test di funzionamento Hard-disk server e cd-rom Da nominare Restore di Axios, nessuna pianificazione o test di funzionamento Hard-disk server e cd-rom Da nominare Restore di Axios, nessuna pianificazione o test di funzionamento Hard-disk server e cd-rom Da nominare Restore di Axios, nessuna pianificazione o test di funzionamento Hard-disk server e cd-rom Da nominare Restore di Axios, nessuna pianificazione o test di funzionamento 8. PROGRAMMA DEGLI INTERVENTI FORMATIVI DEGLI INCARICATI DEL TRATTAMENTO. L istituzione scolastica ha assicurato a tutti i titolari di credenziali di autenticazione in servizio al la formazione relativa o ai rischi che incombono sui dati, o alle misure disponibili per prevenire eventi dannosi, o agli aspetti la normativa sulla protezione dei dati personali più rilevanti in rapporto con le specifiche attività svolte, o alle responsabiltà che ne derivano, o alle misure minime adottate dal titolare in ottemperanza alla normativa vigente e alle caratteristiche dei trattamenti effettuati. La documentazione relativa alla frequenza le attività formative è agli atti l istituzione scolastica. In previsione l ingresso in servizio di nuovo personale o di significativi cambiamenti di mansioni per quello già in servizio o, ancora, di introduzione di rilevanti innovazioni negli strumenti utilizzati nel dei dati personali l istituzione scolastica intende aderire alle iniziative formative organizzate dalla direzione regionale Ministero l Istruzione l Università e la Ricerca Scientifica, tenendo anche conto l economicità di un azione organizzata su base regionale, rispetto ad una gestione in proprio le attività formative. L istituzione opera per questo integrale rinvio alla programmazione la Direzione regionale, riservandosi comunque di agire in via suppletiva, qualora, per ragione organizzative od economiche, non sia 17

18 possibile far partecipare il proprio personale alle attività di formazione necessarie per adempiere alle prescrizioni ordinamentali. La competenza per individuare i bisogni formativi e proporre le possibili risposte è egata al Responsabile. 9. CRITERI PREVISTI PER GARANTIRE IL RISPETTO DELLE MISURE MINIME PER I TRATTAMENTI DI DATI PERSONALI AFFIDATI ALL'ESTERNO DELLA STRUTTURA L Istituzione scolastica non ha proceduto alla esternalizzazione di trattamenti di dati personali, sensibili o giudiziari. 10. OBBLIGO DI AGGIORNAMENTO PERIODICO DEL DPS Il presente documento programmatico sulla sicurezza è sottoposto a revisione annuale nella sua interezza, entro la scadenza 31 marzo di ciascun anno, come previsto dalla regola 19 Disciplinare tecnico di cui all allegato B) al D.Lgs. 196/03, in relazione al disposto l art. 34, lettera g) decreto stesso. Gli allegati al presente documento ne formano parte integrante. Il presente documento è aggiornato al IL RESPONSABILE DEL TRATTAMENTO per IL TITOLARE DEL TRATTAMENTO 18