DOCUMENTO PROGRAMMATICO sulla SICUREZZA Rev. 0 Data MISURE IN ESSERE E DA ADOTTARE

Транскрипт

1 1 di 6 MISURE IN ESSERE E DA ADOTTARE In questa sezione sono riportati, in forma sintetica, le misure in essere e da adottare a contrasto dei rischi individuati dall analisi dei rischi. Per misura si intende, non solo lo specifico intervento tecnico o organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi a una specifica minaccia, ma anche tutte quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. Protezione di aree e locali Durante l orario di apertura è in funzione un servizio di portineria, per l ingresso principale. L accesso ai locali dove avviene il trattamento è consentito al solo personale autorizzato tramite porte dotate di serratura. Le chiavi sono depositate presso la portineria e consegnate al personale autorizzato al mattino e da questi depositate, sempre presso la portineria, alla chiusura degli uffici. La Segreteria Didattica, che prevede un area di accesso al pubblico, è dotata di aree di separazione tra personale e pubblico. In tutti i locali sono previste, funzionanti e mantenuti sistemi di luci d emergenza e dispositivi antincendio, siano essi estintori a muro o sistemi a soffitto. Per gli elaboratori è previsto un sistema di continuità dell alimentazione elettrica. Archiviazione e custodia di atti, documenti e supporti Tutti gli uffici sono attrezzati con armadi dotati di serrature e accessibili al solo personale autorizzato, per l archiviazione e custodia della documentazione cartacea, organizzata in fascicoli. Gli uffici dell Amministrazione e la Segreteria Didattica sono dotate di casseforti per la custodia di atti e documenti di particolare rilevanza.

2 2 di 6 Misure logiche di sicurezza Ogni utente è informato delle norme e delle procedure che regolano l utilizzo degli strumenti informatici. Il personale tecnico preposto alle manutenzioni proveniente dall esterno può operare solo alla presenza del personale interno dei servizi informatici. Su ogni elaboratore è installato un sistema di rilevazione di virus informatici che è aggiornato con una periodicità non superiore ai 45 giorni. A ogni utente sono assegnati un codice identificativo e una password personali; la password deve essere modificata dall utente stesso al primo logon al sistema e ha una validità di 2 mesi. Il Responsabile del Trattamento dei Dati, dietro indicazione e mandato della Direzione, gestisce e vigila su codici identificativi e password assegnate agli utenti, provvede alla disattivazione dei codici e delle password di utenti cessati, disattiva i codici e le password smarrite o erroneamente distribuite, ovvero divulgate ad altri utenti. Le varie funzioni dell Istituto utilizzano differenti software gestionali che operano sulle basi di dati trattate dall Istituto. Ogni software gestionale consente il trattamento dei soli dati necessari e sufficienti allo svolgimento delle attività dell operatore. Il personale docente ha accesso unicamente ai dati (nome, cognome e classe/sezione frequentata) che permettono la gestione delle attività didattiche curriculari ed extra curriculari. I consulenti e i fornitori non hanno accesso alcuno ai dati. Gli elaboratori consentono un accesso a internet. È il Responsabile del Trattamento dei Dati, su indicazione della Direzione, che abilita gli utenti ad accedere a internet, vigila sul traffico in ingresso e uscita e sugli accessi procedendo all eventuale disattivazione. L accesso è protetto da sistemi anti-intrusione a più livelli. E previsto, implementato e mantenuto un Firewall. Per tutti gli elaboratori sono previste attività periodiche di manutenzione per l aggiornamento dei sistemi da parte dei produttori di software e hardware.

3 3 di 6 Misura Tipologia Banca Dati In essere Da adottare Responsabilità e Periodicità Controlli Assegnazione Id user + password (non banali) Custodia password (elenco generale e privato) Cambio password (primo utilizzo e ogni 60 giorni) Bimensile Screen Saver con password Disattivazione id user e password smarrite, mal gestite o non usate Criterio di accesso ai dati Logica Singolo Incaricato Trattamento Test di accesso semestrali Antivirus aggiornato Inferiore a 45 giorni Firewall con funzione anti spam Back-Up conservati in zone separate dal server/pc Sostituzione dei floppy per back-up Annuale (distruzione) Ripristino

4 4 di 6 Misura Tipologia Banca Dati In essere Da adottare Responsabilità e Periodicità Controlli Vigilanza sede Archivi cartacei e X Sistema di videosorveglianza con custode Criterio di accesso ai locali dove avvengono i Archivi cartacei e X Resp. Trattamento Dati trattamenti dati Dispositivi antincendio Fisica Archivi cartacei e X Resp. Trattamento Dati Continuità alimentazione elettrica Climatizzazione locali

5 5 di 6 Misura Tipologia Banca Dati In essere Da adottare Responsabilità e Periodicità Controlli Redazione DPS Archivi cartacei e X Resp. Trattamento Dati Aggiornamento annuale Lista incaricati Lista licernze, del software Analisi dei rischi Linee Guida Sicurezza Mensile Formazione Organizzativa Divieto installazione sw non autorizzati Mensile Limitazioni uso internet e posta Mensile elettronica Scrivania sgombra con incaricato fuori ufficio Immediata segnalazione malfunzionamenti hw e sw

6 6 di 6 Misura: descrizione sintetica della misura di sicurezza adottata Tipologia: Logica, Fisica o Organizzativa Periodicità e Responsabilità Controlli: indicazione della periodicità con cui sono verificate le funzionalità e l efficienza della misura e della struttura che ne è responsabile