Ministero della Pubblica Istruzione

Ufficio Scolastico Regionale per il Lazio

ISTITUTO D’ISTRUZIONE SUPERIORE “Via P. Nenni”

Liceo Scientifico “B. Pascal” (sede associata) - Liceo Classico “Via P. Nenni” (sede associata)

Via Pietro Nenni, 48 - 00040 - Pomezia tel. 069123126 - fax 069104374

Sede Succursale - via Lamarmora 7 -  00040 – Pomezia tel/fax 069108338

E-mail: rmps470007@istruzione.it -  Cod. Fisc. 80442670586  cod. mecc. RMIS064003

 

 

Documento programmatico

sulla sicurezza dei dati

  D.Lgs. 196/2003

INDICE

 

1. Introduzione

 

2. Elenco dei trattamenti di dati personali

2.1       Dati trattati dal personale docente

2.2       Dati trattati dal personale ATA

2.3       Dati trattati dal dirigente scolastico

 

3. Distribuzione dei compiti e delle responsabilità

3.1       Individuazione ed attribuzioni del responsabile

3.2       I responsabili esterni

3.3       Gli incaricati

3.4       L’incaricato con funzioni di amministratore di sistema

 

4. Analisi dei rischi che incombono sui dati 

4.1       Descrizione stato attuale

4.1.1     Plessi e loro collocazione

4.1.2     Locali dove avviene il trattamento da parte del personale docente

4.1.3     Locali dove avviene il trattamento da parte del dirigente scolastico e del personale ATA

4.1.4     Descrizione generale dell’edificio che ospita presidenza e segreteria

4.1.5     Descrizione dei locali della presidenza e dei servizi di segreteria

4.1.6     Gestione delle chiavi

4.1.7     Rilevazione struttura sistema informatico

4.1.8     Videosorveglianza

 

4.2       Analisi dei rischi

4.2.1     Rischi riguardanti le  basi di dati trattate da docenti

4.2.2     Rischi riguardanti le  basi di dati trattate dal personale ATA

4.2.3     Rischi per il sistema informativo automatizzato

 

5. Misure da adottare per garantire l’integrità e la disponibilità dei dati

5.1       Misure fisiche

5.1.1     Sicurezza di area

5.1.2     Sicurezza degli archivi

5.1.3     Attuazione degli adeguamenti riferiti alle misure fisiche

 

5.2       Misure informatiche

5.2.1     Sistema di autenticazione

5.2.2     Sistema di autorizzazione

5.2.3     Altre misure

5.2.4     Attuazione degli adeguamenti riferiti alle misure informatiche

 

5.3       Misure organizzative

 

6. Criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di affidamento del trattamento a soggetti esterni

6.1       Affidamento a persone fisiche

6.2       Affidamento a persone giuridiche

 

7. Modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento

 

8. Interventi formativi

8.1       Interventi formativi già attuati

8.2       Interventi formativi al momento dell’ingresso in servizio

8.3       Interventi formativi di aggiornamento

 

9. Misure specifiche per i dati personali idonei a rivelare lo stato di salute

1          Introduzione

 

Il presente documento (DPS) definisce lo stato di attuazione nel Liceo Scientifico Statale PASCAL, via Pietro Nenni, 48, Pomezia (Roma) per quanto disposto dal D. Lgs. 30 giugno 2003 n° 196 Codice in materia di protezione dei dati personali agli articoli 31, 33, 34 e 35 e dal Disciplinare tecnico in materia di misure minime di sicurezza (allegato B  del Codice).

 

Il 1° settembre 2008 ha preso servizio il nuovo Dirigente scolastico che ha provveduto, con la collaborazione del Direttore SGA, alla revisione del DPS ed alla verifica degli altri adempimenti previsti dal D. Lgs. 30 giugno 2003 n° 196.

 

La revisione è stata realizzata dal titolare attraverso una puntuale analisi dei contenuti del DPS approvato in precedenza ed in base ai cambiamenti riguardanti aspetti fisici, logici ed organizzativi della sicurezza dei dati.

 

Il contenuto di quanto segue si riferisce alla struttura organizzativa e funzionale della istituzione scolastica che prevede il trattamento di dati effettuato, per le rispettive competenze, dal corpo docente e dal personale ATA. Nell'affrontare e risolvere le varie problematiche riferite all'applicazione   Disciplinare tecnico in materia di misure minime di sicurezza (allegato B  del Codice) si è ritenuto opportuno quindi considerare, all'interno di uno stesso quadro organizzativo, in modo separato il trattamento dei dati operato dal personale docente e dal personale ATA.

 

I dati personali, comuni e sensibili, trattati da docenti riguardano essenzialmente gli alunni; i dati personali, comuni e sensibili trattati dal personale di segreteria riguardano sia gli alunni che il personale della scuola.

 

Da settembre 2006 è attiva la nuova succursale, a Pomezia. in via La Marmora 7, nella quale si svolgono esclusivamente attività didattiche e non sono presenti uffici amministrativi.

 

2          Elenco dei trattamenti di dati personali

 

2.1       Dati trattati dal personale docente

 

I dati personali trattati dai docenti sono contenuti in banche dati su supporto cartaceo che si possono classificare in:

 

o        basi di dati alle quali hanno accesso più docenti

o        basi di dati alle quali ha accesso un singolo docente.

 

Le banche dati cui hanno accesso più docenti sono:

 

o        il registro di classe

o        il registro dei verbali del consiglio di classe o di interclasse

• la documentazione relativa alla programmazione didattica
• i documenti di valutazione
• la documentazione dello stato di handicap
• i certificati medici degli allievi
• la corrispondenza con le famiglie

 

Le  banche dati cui ha accesso il singolo docente sono:

 

• il registro personale
• gli elaborati

 

Appare opportuno considerare i dati trattati dai docenti nel loro insieme come dati sensibili, ai sensi della  lettera  d comma 1 dell’articolo 4 del Codice, essendo difficile, per loro natura e  organizzazione, classificarli in sensibili e personali. Il trattamento dei dati da parte dei docenti (tenuta dei registri, modalità di compilazione dei documenti di valutazione, verbalizzazione etc.) è definito puntualmente da norme di legge o regolamentari.

 

2.2       Dati trattati dal personale ATA

 

Le banche dati su supporto cartaceo e/o informatizzato, contenenti dati personali,  cui ha accesso il personale ATA, raggruppati in insiemi omogenei, sono

 

• i fascicoli relativi al personale della scuola, 
• i fascicoli alunni ed ex alunni
• l'anagrafe fornitori, i contratti
• documentazione finanziaria e contabile
• la documentazione didattica trattata dai docenti per la conservazione
• il registro degli infortuni
• il registro di protocollo
• gli atti e i documenti prodotti dalla Istituzione

 

2.3       Dati trattati dal dirigente scolastico

 

 Le banche dati di esclusiva pertinenza del Dirigente Scolastico sono:

 

• il fascicolo del personale direttivo
• i verbali delle assemblee dei genitori
• la programmazione relativa allo stato di disagio.
• il protocollo riservato
• il  fascicolo del personale in prova.

3          Distribuzione dei compiti e delle responsabilità

 

Il Codice individua agli articoli 28, 29 e 30  i soggetti che sono coinvolti nel trattamento dei dati personali:

q      il titolare, cioè la persona fisica o giuridica  che ha la responsabilità finale ed assume le decisioni fondamentali riferite al trattamento dei dati personali;

 

q      il responsabile, è la persona, dotata di particolari caratteristiche di natura morale e di competenza tecnica, preposta dal titolare al trattamento dei dati personali “ivi compreso il profilo della sicurezza”; possono essere nominati anche più responsabili in base ad esigenze organizzative;

 

q      l’incaricato è la persona fisica che materialmente provvede al trattamento dei dati, secondo le istruzioni impartite dal titolare o dal responsabile se nominato;

 

3.1       Individuazione del responsabile ed attribuzioni

 

Per la individuazione del responsabile, la cui nomina è facoltativa, esistono diverse possibilità:

a)       non viene nominato, ed il dirigente scolastico assume personalmente tutte le incombenze relative agli adempimenti previsti dalla 675/96 (D.Lgs.196/2003) per il titolare;

b)       viene nominato il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria mentre il capo d’istituto si occupa direttamente del trattamento dei dati effettuato dai docenti;

c)       vengono nominati:

-          il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria;

-          uno o più docenti per i trattamenti dati effettuati dagli insegnanti per fini didattici.

 

In base a quanto disposto dall’articolo 8, comma 1 della legge 675/96 (art 29 2° comma, D.Lgs.196/2003)  

“ Il responsabile se designato, deve essere nominato fra i soggetti che per esperienza capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza”.

 

Il dirigente scolastico ha deciso di confermare la soluzione “b”  come disposto nel precedente DPS.

I compiti del responsabile sono specificati nel modello di nomina Allegato A al presente documento.

 

3.2               I Responsabili esterni

 

Dato che questa  Istituzione scolastica si avvale (o si può avvalere) per l’espletamento del servizio mensa e  di  pulizia o per altre attività di imprese esterne, considerato che i dipendenti di tali imprese, nell’ambito del servizio, hanno accesso ad aree contenenti archivi di dati personali e/o a dati personali, i legali rappresentanti delle stesse imprese saranno nominati dal titolare responsabili esterni.

 

3.3               Gli Incaricati

 

Il docente è da considerarsi, per la propria sfera di competenza, incaricato del trattamento come tale deve essere nominato mediante specifico atto che elenchi puntualmente: categorie dei dati cui può avere accesso; tipologia di trattamento e vincoli specifici applicabili alle varie tipologie di dati; istruzioni in merito ai soggetti cui i dati possono essere comunicati o diffusi.

 Ogni assistente amministrativo dovrà essere nominato incaricato del trattamento con specifico atto, in base  ai compiti che assolve nell’ufficio.

I collaboratori scolastici, qualora trattino anche saltuariamente dati personali, dovranno essere incaricati con specifico atto.

Le nomine di incaricato del trattamento dati saranno effettuate anche per il personale supplente temporaneo, docente e ATA .

Dovrà essere nominato incaricato anche il personale esterno (persone fisiche) che sulla base di incarichi o convenzioni stipulate con l’Istituzione scolastica ha accesso al trattamento di dati personali, compreso il  personale esterno incaricato della manutenzione degli strumenti informatici.

I compiti degli incaricati  sono specificati nel modello di nomina Allegato A al presente documento.

 

 

3.4              L’Incaricato con funzioni di amministratore di sistema

 

Il Codice in materia di protezione dei dati personali non prevede in modo esplicito tale figura, che comunque è da assimilarsi ad un incaricato dotato delle necessarie competenze informatiche.

Questa istituzione ha deciso di avvalersi di questa figura individuandola fra il personale di segreteria.

I compiti dell’incaricato con funzioni di amministratore di sistema,  che opera alle dipendenze del responsabile, sono specificati nel modello di nomina Allegato A al presente documento.

 

 

 

4          Analisi dei rischi che incombono sui dati

 

Per procedere all’analisi dei rischi che incombono sui dati è necessario descrivere ed analizzare la situazione attuale della istituzione scolastica.

 

I dati che seguono sono relativi a una rilevazione effettuata nel marzo 2006.

 

4.1       Descrizione dello stato attuale

 

4.1.1     Plessi e loro collocazione

 

Unica sede, si tratta di un fabbricato di nuova costruzione, con destinazione scolastica oggetto di recente ampliamento.

 

 

4.1.2          Locali dove avviene il trattamento  da parte  personale docente

 

I locali ove avviene il trattamento dei dati effettuato da docenti coincidono con  la sede della istituzione scolastica.

Esiste nel plesso un  locale di pertinenza esclusiva dei docenti (sala insegnanti).

Il trattamento dei dati da parte dei docenti avviene esclusivamente con mezzi manuali su supporti cartacei.

Le banche dati contenenti documentazione didattica (registri personali e di classe) vengono consegnati all’inizio dell’anno scolastico dal Dirigente scolastico ai docenti, che provvedono alla compilazione, alla conservazione ed alla custodia nelle apposite cassettiere collocate nelle sale insegnanti.

All’interno delle banche dati di cui si tratta vengono custoditi temporaneamente, in attesa del trasferimento nei fascicoli personali, i certificati medici degli alunni.

Le banche dati contenenti documentazione didattica vengono consegnate dai docenti al dirigente scolastico alla fine dell’anno scolastico.

I documenti di valutazione degli allievi vengono compilati dai docenti e custoditi e conservati dal personale di segreteria.

 

4.1.3     Locali dove avviene il trattamento  da parte del  dirigente scolastico e dal personale ATA

 

I locali interessati al trattamento dei dati da parte del personale di segreteria e da parte del dirigente scolastico sono  collocati nella sede principale dell’Istituzione.

 

4.1.4          Descrizione generale degli edifici

 

Sede principale

 

accesso principale	dalla Via Pietro Nenni 48
recinzione	SI - tipo prefabbricato
cortile / giardino esclusivo	SI
parcheggi esclusivi	NO
cancelli esterni di accesso all’area	-        cancello principale grande in ferro con catena e lucchetto -        cancello principale piccolo in ferro con chiusura elettrica -        cancello posteriore in ferro, sempre chiuso
illuminazione esterna	SI
piani fuori terra	QUATTRO
piani interrati	NO
accessi all’edificio	-        accesso principale presidiato -        numerose uscite di sicurezza dotate, all’interno, di maniglione antipanico; tutte le porte sono allarmate
tipologia accessi	-        accesso principale costituito da porte a vetri antinfortunistici con serratura tipo yale efficiente -
sistema generale di allarme	-        esiste sistema generale di allarme
locali utilizzati da altri soggetti	-        abitazione del collaboratore scolastico, posta nel cortile,  cui si accede autonomamente – completamente distaccata dall’edificio scolastico; -        palestra utilizzata da società sportive esterne; la palestra è accessibile dall’esterno e compartimentata rispetto alla scuola. -        due aule, poste all’interno della struttura, utilizzate da associazioni culturali.

 

 

 

Succursale

 

L’edificio è una palazzina destinata civile abitazione “riconvertita”, da tempo,  ad uso scolastico.

 

accesso principale	dalla via La Marmora n° 7
recinzione	SI metallica
cortile / giardino esclusivo	NO
parcheggi esclusivi	NO
cancelli esterni di accesso all’area	-        cancello principale grande in ferro con serratura efficiente
illuminazione esterna	SI rete pubblica
piani fuori terra	tre
piani interrati	Si (utilizzato per i laboratori)
accessi all’edificio	-        accesso principale presidiato -        accesso al piano seminterrato
tipologia accessi	-        accesso principale costituito da porta a vetri antinfortunistici con serratura tipo yale efficiente -
protezioni da intrusione	le finestre accessibili dall’esterno sono protette da grate metalliche
locali utilizzati da altri soggetti	Non presenti
nota	non sono presenti contenitori idonei per custodire la documentazione didattica trattata dai docenti

 

 

 

 

4.1.5     Descrizione dei locali  della presidenza e segreteria

 

I locali della Presidenza e dei Servizi Amministrativi sono collocati al piano terreno, vi si accede da un corridoio  che dà sull’atrio.

Nell’atrio è presente un’area nella quale sono presenti con continuità, in orario di apertura, collaboratori scolastici.I locali interessati al trattamento sono:

 

1.       Presidenza

2.       Vice Presidenza

3.       Direttore SGA

4.       Segreteria SGA

5.       Archivio

6.       Segreteria generale

7.       Sala docenti

8.       Ripostigli ai piani

 

1 – Denominazione e destinazione  locale

 

1. Presidenza

 

2 – Collocazione

-          Piano terreno

 

3 – Accessi

-          n.1 dal corridoio

 

4                    – Protezioni da intrusione esterna

 

-          accessibilità finestre descrizione protezioni

 

-          Si per collocazione

-           

-           

-          porte

 

-          legno  con serratura tipo yale

 

5 – Postazioni di lavoro e dotazioni informatiche

                       

-          n. 1 posto di lavoro -          n. 1 PC stand alone

 

6 – Descrizione arredi

 

descrizione	serratura	efficienza serratura	contenuto
armadio blindato	si	si	protocollo riservato documentazione didattica documentazione allievi handicap

 

7 - rischio incendio

-          vedi documento sicurezza L.626

 

Presente sistema di allarme

 

1 – Denominazione e destinazione  locale

 

2. Vice Presidenza

 

2 – Collocazione

-          Piano terreno

 

3 – Accessi

-          n. 1 dal  corridoio

 

4 – Protezioni da intrusione esterna

 

-          accessibilità finestre descrizione protezioni

 

-          Si per collocazione

- porte

-          legno con serratura  tipo yale

 

 

 

 

5 – Postazioni di lavoro e dotazioni informatiche

 

-          n. 1 posto di lavoro -          n. 1 PC stand alone

 

6 – Descrizione arredi

 

descrizione	serratura	efficienza serratura	contenuto
Armadio     Armadio aperto	Si     No	Si     No	Biblioteca (non presenti dati)     Documentazione varia Registri consigli di classe

 

7 - Rischio incendio

-          vedi documento sicurezza L.626

 

Presente sistema di allarme

 

1 – Denominazione e destinazione  locale

 

3. Direttore SGA

 

2 – Collocazione

-          piano terreno

 

3 – Accessi

-          n. 1 dall’ Ufficio segreteria

 

4 – Protezioni da intrusione esterna

 

- accessibilità finestre descrizione protezioni

 

-          Si per collocazione

- porte

-          legno con serratura  tipo yale

 

5 – Postazioni di lavoro e dotazioni informatiche

 

-          n. 1 -          n. 1 P.C. stand alone

 

 

6 – Descrizione arredi

 

descrizione	serratura	efficienza serratura	contenuto
Armadio metallico blindato     Armadio in legno e vetro         Due scrivanie	si     no         si	si     no         si	Documentazione contabile     Documentazione stipendi, Documentazione varia     Varia documentazione Copie backup

 

7 - Rischio incendio

-          vedi documento sicurezza L.626

 

Presente sistema di allarme

 

1 – Denominazione e destinazione  locale

 

4. Ufficio Segreteria SGA

 

2 – Collocazione

-          piano terreno

 

3 – Accessi

-          n. 1 dal corridoio -          n. 1 dall’ufficio Direttore SGA

 

4 – Protezioni da intrusione esterna

 

- accessibilità finestre descrizione protezioni

 

-          Si per collocazione

- porte

-          in legno con serrature yale

 

5 – Postazioni di lavoro e dotazioni informatiche

 

-           n. 1 -          N. 1 P.C. in rete

 

6 – Descrizione arredi

 

descrizione	serratura	efficienza serratura	contenuto
Armadio in metallo e vetro     Tre armadi metallici         Esiste inoltre una bacheca aperta con chiavi di alcuni locali della scuola dove non si effettua trattamento dati (ripostigli,  ascensore ecc…)	No     SI	No     Si	Stampati     Varia documentazione, Inventario, Documentazione INPS, INAIL Materiali vari

 

7 - Rischio incendio

-          vedi documento sicurezza L.626

 

Presente sistema di allarme

 

1 – Denominazione e destinazione  locale

 

5. Archivio

 

2 – Collocazione

-          piano terreno

 

3 – Accessi

-          n. 1 dal corridoio -          n. 1 attraverso un armadio (chiusa)

 

4 – Protezioni da intrusione esterna

 

- accessibilità finestre descrizione protezioni

 

-          Si per collocazione

- porte

 

-          una  porta in legno con serratura yale

 

5 – Postazioni di lavoro e dotazioni informatiche

 

-          nessuna

6 – Descrizione arredi

 

descrizione	serratura	efficienza serratura	contenuto
Armadi metallici	si	parziale	Documentazione didattica Fascicoli ex docenti

 

7 - Rischio incendio

-          vedi documento sicurezza L.626

 

Presente sistema di allarme

 

1 – Denominazione e destinazione  locale

 

6. Segreteria generale Locale diviso in due aree (segreteria didattica e segreteria amministrativa) mediante pannellatura.

 

2 – Collocazione

-          piano terra

 

3 – Accessi

-          n. 2 dal corridoio -          n. 1 porta esterna sul giardino (tipo uscita di sicurezza)

 

4 – Protezioni da intrusione esterna

 

-          accessibilità finestre descrizione protezioni

 

-          Si per collocazione

-          porte

 

-          due porte in legno con serratura ordinaria -          porta esterna in metallo PVC

 

5 – Postazioni di lavoro e dotazioni informatiche

 

-          n. 3 PC in rete (segreteria didattica) -          n. 3 posti di lavoro (segreteria didattica   -          n. 1 PC server (segreteria amministrativa) -          n. 4 PC in rete (segreteria amministrativa) -          n. 4 posti di lavoro (segreteria amministrativa) -          telefax (segreteria amministrativa)

6 – Descrizione arredi

 

descrizione	serratura	efficienza serratura	contenuto
Armadi metallici     Cassettiere metalliche         Scrivanie	Si     Si         Si	Si     Si         Si	Cancelleria, modulistica, pagelle, diplomi   Documentazione studenti Documentazione ATA Documentazione docenti Documentazione archivio Fascicoli personale,   Varia documentazione

 

7 - Rischio incendio

-          vedi documento sicurezza L.626

 

Presente sistema di allarme

 

1 – Denominazione e destinazione  locale

 

7. Sala insegnanti

 

2 – Collocazione

-          piano terreno

 

3 – Accessi

-          n. 2 dal corridoio

 

4 – Protezioni da intrusione esterna

 

-          accessibilità finestre descrizione protezioni

 

-          Si per collocazione

-          porte

 

-           porte ordinarie in legno con serratura tipo yale

 

5 – Postazioni di lavoro e dotazioni informatiche

 

-          n. 2 PC collegati alla rete didattica (biblioteca e laboratori)

 

6 – Descrizione arredi

 

descrizione	serratura	efficienza serratura	contenuto
Cassettiere	si	si	Varia documentazione didattica

 

7 - Rischio incendio

-          vedi documento sicurezza L.626

 

Presente sistema allarme

 4.1.6     Gestione delle chiavi Chiavi per l’accesso all’edificio

 

 

 

a) soggetti cui sono affidate le chiavi 

 

 

 

 

 

 

b) modalità di affidamento delle chiavi

 

 

 

c) esistono copie delle chiavi     

 

SI

X

NO

 

d) in caso di risposta positiva indicare il soggetto o i soggetti preposti alla   custodia delle copie di sicurezza

 

 

 

Gestione delle chiavi di accesso ai locali dove sono trattati dati personali

 

○        locali situati nell’edificio

 

 

a) soggetti cui sono affidate le chiavi 

 

 

 

b)  modalità di custodia delle chiavi

 

 

 

 

c) esistono copie  delle chiavi    

 

SI

X

NO

 

d) in caso di risposta positiva indicare il soggetto o i soggetti preposti alla   custodia delle copie di sicurezza

 

 

 

 

4.1.7     Rilevazione struttura del sistema informatico

 

1-Tipologia della rete

-          Rete a stella in doppino telefonico

 

2- Tipologia delle risorse hardware

 

-          n. 13 P.C. in rete -          n. 1 server -          n. 2 PC non collegati all’intranet della Istituzione

 

 

-          n. 2 P.C. a disposizione dei docenti  non in rete con i servizi amministrativi

 

3- Collocazione server

 

-          Uffici segreteria generale

 

4- Accesso alle risorse Internet

 

-          Si, tramite Router

5- Posta elettronica

 

-          Si, diversi provider di accesso

Tipologia delle risorse software

 

6- Sistema operativo usato sul server

 

-          Window XP server

 

 

 

7-Sistemi operativi usati sui client

 

Sistemi operativi -          Windows XP Programmi: -          MS OFFICE Professional -          Forniti dal SOC. 3S: protocollo, finanziaria, c/c postale -          SISSI in rete: gestione alunni, docenti, stipendi Antivirus: -  Norton

 

8- Supervisore di rete

 

-          Società a contratto

 

9- Planimetria della rete

 

-          Non  ancora disponibile

 

10- Uso della rete

-           Condivisione documenti e dati

 

11- Interventi di formazione del personale

 

-          Si, per gli assistenti amministrativi, organizzati dall’istituzione

 

12- Assegnazione di nomi logici per le periferiche di rete

 

-          Si

 

13- Assegnazione delle password di accesso alle singole macchine

 

-          Si

 

14- Assegnazione dei codici identificativi personali

 

-          Si

 

15- Collaboratori esterni o temporanei che hanno accesso alla rete

 

-          Solo personale della manutenzione

 

Prevenzione della perdita dei dati

 

16- Incarico formale dell’esecuzione dei backup

 

-          Incarico formale

 

17- Software antivirus

 

-          Norton

 

18- Supporto sul quale viene effettuato il  backup

 

-          Cd Rom,  e supporto di memoria esterno  custoditi in luogo sicuro

 

19- Libro mastro della programmazione dei backup

 

-          No

 

20- Gruppo di continuità

 

-          Si

 

21- Manutenzione delle risorse hardware e software

 

-          Ditte esterne a chiamata

 

 

4.1.8     Videosorveglianza

E’ presente un impianto di videosorveglianza per il controllo dell’accesso al cortile attraverso il cancello principale.

L’impianto, a circuito chiuso,  è costituito da una telecamera,che inquadra il cancello principale, e da un monitor posto nella portineria.

L’impianto non è in grado di effettuare registrazioni.

L’impianto  viene  utilizzato in via esclusiva dai collaboratori scolastici addetti alla portineria per verificare i soggetti che richiedono di accedere all’istituzione.

E’ presente la segnaletica con l’informativa relativa all’impianto.

 

4.2       Analisi dei rischi

 

Si metteranno di seguito in evidenza i rischi propri, connessi al trattamento dei dati personali secondo le categorie di rischio elencate nell’articolo 15, comma 1 della legge 675/96.

Tali rischi si possono classificare in:

-          distruzione o perdita, anche accidentale dei dati;

-          connessi alla integrità dei dati;

-          accesso non autorizzato ai dati;

-          trattamento non consentito o non conforme alla finalità della raccolta;

-          connessi con l’utilizzo di reti di telecomunicazione disponibili al pubblico;

-          connessi al reimpiego di supporto di memorizzazione;

-          connessi alla conservazione della documentazione relativa al trattamento;

-          connessi all’utilizzo di archivi e contenitori con serrature.

 

4.2.1                      Rischi riguardanti le basi di dati trattate da docenti

 

I rischi sotto elencati afferiscono al trattamento dei dati connesso con l’attività didattica, che viene effettuato senza l’ausilio di strumenti elettronici:

 

-          distruzione o perdita accidentale dei dati a causa di eventi naturali, allagamenti, furto danneggiamento etc.;

-          i rischi relativi a furto e danneggiamento appaiono nel complesso di livello medio-basso per quanto riguarda la possibilità di intrusione dall'esterno durante la chiusura della scuola, stante anche la presenza di idoneo sistema di allarme generale;

 

-          connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non stabili;

- rischio nel complesso irrilevante;

 

-          accesso non autorizzato ai dati, da parte di soggetti esterni alla scuola o da parte di personale interno;

- il rischio appare di livello modesto  considerate le procedure per il trattamento dei dati adottate;

 

-          trattamento non consentito o non conforme alle finalità di raccolta: diffusione, comunicazione, manomissione,

- rischio nel complesso irrilevante vista l'esperienza del personale, le procedure adottate e le iniziative di formazione effettuate;

 

-          connessi all’utilizzo di archivi e contenitori con serrature

- il rischio  appare presente dato che   nelle sale insegnanti  i   contenitori (cassettiere ed armadi), non  sempre  dotati di serrature efficienti, spesso non vengono utilizzati in modo adeguato;

 

4.2.2         Rischi riguardanti le basi di dati trattate dal personale ATA

 

Riguardano le basi di dati trattate esclusivamente dal personale ATA ed anche la documentazione didattica su cui operano i docenti non riferita all’anno scolastico in corso; il trattamento è effettuato con strumenti elettronici e con strumenti non elettronici.

I rischi di cui si tratta sono:

-          distruzione o perdita accidentale dei dati

a causa di eventi naturali, allagamenti, furto, danneggiamento etc.;

I rischi di allagamento per cause naturali nei locali adibiti a servizi amministrativi appaiono, data la collocazione, inesistenti modesti, 

Relativamente ai rischi di furto e di danneggiamento:

-          i rischi relativi a  furto e danneggiamento appaiono nel complesso di livello basso sia durante l’orario di apertura che di chiusura della scuola: nel primo caso per il presidio continuo dei locali da parte del personale scolastico; nel secondo caso per la presenza di idoneo sistema di allarme generale,

 

-          connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non stabili

- per i dati su  supporti cartacei il  rischio è da considerarsi, nel complesso, basso anche se si ritengono opportune verifiche periodiche;

 

-          accesso non autorizzato ai dati, da parte di soggetti esterni alla scuola o da parte di personale interno

-  il rischio è presente ma limitato per cause strutturali vista la disposizione degli uffici e degli arredi;

 

-          trattamento non consentito o non conforme alle finalità di raccolta: diffusione, comunicazione, manomissione

- il rischio appare presente ma di non particolare rilievo in quanto il personale  è esperto e consapevole del proprie responsabilità;

 

-          connessi all’utilizzo di archivi e contenitori con serrature

- rischio basso dato che nelle situazioni descritte in precedenza sono presenti contenitori ed archivi dotati di serrature efficienti e adeguate alle norme;

 

-          connessi all’utilizzo del sistema informativo automatizzato

(Si ritiene opportuna una analisi puntuale dei rischi cui è esposto il sistema informativo automatizzato).

 

 

 

4.2.3           Rischi per il sistema informativo automatizzato

 

L’analisi dei rischi consiste nella individuazione degli elementi del sistema informativo automatizzato   che necessitano di protezione  e delle minacce cui gli stessi possono essere sottoposti, tenendo conto del fattore tecnologico e del fattore umano.

 

 Le principali fonti di rischio per un  sistema informatico sono aggregabili, ai fini della analisi oggetto del presente paragrafo,  nel modo che segue:

 

FR1 - maltempo,  inondazioni, fulmini, terremoti, fuoco, attentati

 

FR2 - guasti hardware, caduta di corrente, omissioni hardware, errori e difetti software, sabotaggi, haking, programmi software maligni (malware,virus, worm)

 

FR3 - comportamenti errati, cattiva organizzazione, errata logistica

 

Il sistema informatico della Istituzione, come descritto al precedente punto 4.1.7, è distribuito nei locali dove si esegue il trattamento dati senza l’ausilio di strumenti cartacei per cui per quanto riguarda i rischi compresi nel gruppo FR1 si fa riferimento a quanto detto al precedente punto 4.2.2.

 

Riguardo alle fonti di rischio comprese nel gruppo FR2, fino ad oggi anche da una analisi della serie storiche riguardanti il sistema informatico emerge quanto segue:

○         non si sono registrati consistenti guasti hardware, anche per la continua manutenzione dello stesso e l’uso di macchine affidabili;

○         nella zona in cui insistono i locali che ospitano il sistema informatico  non si verificano frequentemente cadute di corrente; il rischio è comunque contenuto dato che il sistema è dotato di gruppo di continuità sul server;

○         il sistema consente il salvataggio dei dati attraverso il server per gli archivi delle procedure gestionali;

○         il sistema è dotato di antivirus Norton che può essere aggiornato via Internet anche giornalmente;

○         Riguardo il rischio di accesso abusivo, con i rischi connessi quali conoscenza dati a persone non autorizzate, distruzione o perdita totale,, danneggiamento dei dati etc, fino ad oggi non si sono registrati eventi dannosi in ogni modo il sistema non appare vulnerabile per la presenza di strumenti di difesa antintrusione (router e password di accesso alle singole macchine).

 

Per le fonti di rischio comprese nel gruppo FR3 dall’analisi della rilevazione effettuata risulta quanto segue.

Le credenziali di autenticazione, consistenti in un codice per l’autenticazione associato ad una parola chiave sono gestite in modo corretto.

Circa il salvataggio dei dati il rischio di perdita degli stessi è di livello basso  dato che è stata attivata una procedura formale di backup, con individuazione del responsabile e annotazione delle operazioni.

5          Misure da adottare per garantire l’integrità e la disponibilità dei dati

 

5.1       Misure fisiche

 

I requisiti di sicurezza fisica sono tesi a:

-          proteggere le aree 

-          proteggere gli archivi.

-          proteggere le persone che operano sui sistemi,

Variano considerevolmente in funzione delle dimensioni e dell’organizzazione del Sistema Informativo.

 

Nella fattispecie viste le dimensioni di tale sistema sono state fatte le seguenti considerazioni:

 

5.1.1     Sicurezza di area

 

La sicurezza di area ha il compito di prevenire accessi fisici non autorizzati, danni o interferenze con lo svolgimento dei servizi. Le contromisure si riferiscono alle protezioni perimetrali dei siti, ai controlli fisici all’accesso, alla sicurezza degli archivi e delle attrezzature informatiche rispetto a danneggiamenti accidentali o intenzionali, alla protezione fisica dei supporti.

Come si evince dalla da quanto descritto in precedenza (vedi “Situazione attuale”) i locali, presentano   problematiche di sicurezza relative ad possibili intrusioni dall’esterno.

Quindi è necessario predisporre quanto segue:

 

Adeguamento 1

Mantenere una corretta gestione delle chiavi di accesso agli edifici ed ai locali e degli archivi. 

 

5.1.2          Sicurezza degli archivi

 

Adeguamento 2

Ogni posto di lavoro ove opera un incaricato del trattamento dati deve essere dotato almeno di un contenitore (cassetto, armadio) con serratura efficiente e sicura.

I docenti, nei plessi dove operano,  devono  disporre di idonei contenitori,  con serratura, dove conservare la documentazione  loro affidata.

 

Adeguamento 2 bis

Al termine delle lezioni i registri di classe devono essere raccolti  e custoditi in luogo sicuro.

 

Adeguamento 3

Tutte le banche di dati personali (sensibili e non) devono essere conservate in contenitori adeguati (schedari, armadi) dotati di serratura efficiente e sicura, e posti in luoghi non accessibili al pubblico.

 

Adeguamento 4

I locali che contengono banche di dati personali (sensibili e non) e/o strumenti informatici devono essere dotati di una porta con serratura efficiente e sicura;

 

Adeguamento 5

Nei locali accessibili al pubblico dovrà essere delimitata l’area di accesso e dovranno essere indicati i locali interdetti al pubblico.

 

Adeguamento 5/bis

Per i locali dei servizi amministrativi nei quali non è possibile, per motivi strutturali, delimitare l’area di accesso per il pubblico saranno attuate misure organizzative in modo da consentire l’ingresso ad un utente alla volta.

 

5.1.3 Attuazione degli adeguamenti riferiti alle misure fisiche

 

Questa Istituzione scolastica per provvedere agli adeguamenti riferiti alla sicurezza delle strutture e degli arredi, descritte al punto precedente, non dispone di risorse finanziare proprie ma deve riferirsi all’Amministrazione provinciale di Roma ed alla quale farà specifiche richieste riferite al contenuto del presente documento.

 

 

 

 

 

5.2       Misure informatiche

 

Il campo di applicazione della Sicurezza Logica riguarda la protezione dell’informazione, e di conseguenza di dati, applicazioni, sistemi e reti, sia in relazione al loro corretto funzionamento ed utilizzo, sia in relazione alla loro gestione e manutenzione nel tempo.

Il Disciplinare tecnico in materia di misure minime di sicurezza, allegato B al Codice, prescrive l’adozione di alcune modalità tecniche che in questa Istituzione scolastica si sintetizzano come segue.

 

5.2.1          Sistema di autenticazione

 

Adeguamento 6

Mantenere, per gli incaricati di trattamento (personale di segreteria), una corretta gestione delle credenziali di autenticazione.

Le credenziali per l’autenticazione consistono nell’istituzione in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo.

 

Adeguamento 7

La gestione del sistema di autenticazione informatica, per il personale di segreteria, sarà disposto dal responsabile come segue:

 

a)      La parola chiave viene assegnata  all’atto del primo conferimento dell’incarico.

b)      La parola chiave è modificata dall’incaricato al primo utilizzo e, successivamente, almeno ogni sei mesi.

c)      In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.

d)      La parola non deve contenere  riferimenti agevolmente riconducibili all’incaricato.

e)      Ad ogni modifica della parola chiave, la parola chiave scelta dall’incaricato è inserita in una busta sigillata con all’esterno dati identificativi dell’interessato e la data di consegna; la busta sarà consegnata al responsabile che la custodirà garantendo la segretezza del contenuto.

f)        In caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema il responsabile potrà accedere alla credenziale; provvedendo ad avvertire tempestivamente l’incaricato.

 

Adeguamento 7 bis

Deve essere individuata   una procedura che assicuri al titolare ed al responsabile, per la gestione di situazioni di emergenza riguardanti la sicurezza e l’operatività del sistema,  la  disponibilità delle credenziali di autenticazione che consentono l’accesso agli strumenti informatici (server etc), al  sistema operativo, alla gestione delle procedure operative. 

 

Adeguamento 7 ter

Il responsabile deve impartire specifiche istruzioni  perché tutta la documentazione relativa al sistema informatico (licenze, manuali etc) sia classificata e facilmente reperibile.

 

 

5.2.2          Sistema di autorizzazione

 

Adeguamento 8

La gestione del sistema di autorizzazione informatica viene disposto  dal responsabile ed attuato dall’incaricato con funzione di amministratore di sistema.

I profili di autorizzazione sono individuati e configurati anteriormente all’inizio del trattamento.

 

5.2.3          Altre misure

 

Adeguamento 9

a)      Almeno annualmente è verificata da parte del responsabile  la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

b)      Il responsabile verifica annualmente la lista degli incaricati di trattamento e degli addetti alla gestione e manutenzione verificando l’ambito di trattamento consentito ed i relativi profili di autorizzazione.

c)      Si allega al presente documento lo schema di scheda per l’individuazione degli incaricati di trattamento con strumenti informatici con i relativi profili di accesso.

d)      Il responsabile dispone che i  dati personali siano protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

e)      Il responsabile  impartisce istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale, attraverso il conferimento di uno specifico compito ad un incaricato e l’istituzione di un registro per il backup.

f)        Il responsabile provvede alla custodia in un luogo sicuro delle copie di backup.

g)      Il responsabile dispone la custodia dei supporti rimovibili contenenti dati personali individuando contenitori con idonee caratteristiche di sicurezza.

h)      Il responsabile dispone la distruzione di supporti rimovibili contenenti dati sensibili e giudiziari non più utilizzati.

i)        Il responsabile dispone e verifica la cancellazione di tutti i dati personali dagli strumenti informatici non più utilizzati o utilizzati in attività diverse da quelle amministrative.

j)        Il titolare quando si avvarrà di soggetti esterni per la fornitura di prodotti o servizi  finalizzati alla realizzazione di misure minime di sicurezza,   si farà consegnare dal soggetto medesimo una descrizione scritta dell’intervento che ne attesti la conformità a quanto disposto dal disciplinare tecnico allegato B del Codice.

 

 

 

Adeguamento 11

Mantenere una corretta gestione delle password di accesso a tutti i P.C.

 

 

 

5.2.4     Attuazione degli adeguamenti riferiti alle misure informatiche

 

Per quanto attiene agli adeguamenti del  sistema informatico descritti ai punti precedenti  questa istituzione può provvedere nei tempi previsti dato che 

a)       il software di gestione appare in linea con le norme e si tratta quindi solo di attivare le previste procedure di autenticazione;

b)       l’attivazione di idonei strumenti elettronici  per prevenire il rischio di intrusione nel sistema informatico ha aspetti tecnici, organizzativi ed economici sostenibili;

 

5.3       Misure organizzative

 

Accanto all’adozione di misure tecnologiche già illustrate, è necessario, come richiamato, vengano definite una serie di norme e procedure miranti a regolamentare gli aspetti organizzativi del processo di sicurezza.

 

Gli aspetti organizzativi riguardano principalmente:

q      la definizione di ruoli, compiti e responsabilità per la gestione di tutte le fasi del processo Sicurezza;

q      l’adozione di specifiche procedure che vadano a completare e rafforzare le contromisure tecnologiche adottate.

 

Un ulteriore aspetto inerente la Sicurezza Organizzativa è quello concernente i controlli sulla consistenza e sulla affidabilità degli apparati.

 

In ordine alla norme di comportamento, si rimanda a quanto è definito nei documenti di nomina per l’assegnazione di responsabilità ed incarichi ed a quanto specificato nell’allegato A.

 

Il titolare ed il responsabile, relativamente ai propri ambiti di competenza, aggiornano almeno annualmente la lista degli incaricati (redatta anche per classi omogenee di incarico) con i relativi profili di autorizzazione utilizzando gli allegati B e C.

6          Criteri da adottare per garantire l’adozione delle misure minime di sicurezza nel caso di affidamento del trattamento a soggetti esterni

 

Nel caso di affidamento da parte della Istituzione a soggetti esterni di attività che comportino trattamento dei dati conviene distinguere due casi:

a)      affidamento a persone fisiche;

b)      affidamento a persone giuridiche.

 

6.1       Affidamento a persone fisiche.

 

Nel caso che il soggetto sia una persona fisica lo stesso sarà nominato, dal titolare o dal responsabile, incaricato di trattamento dati attraverso un atto di nomina che specifichi puntualmente le norme di comportamento da seguire.

Ove necessario il titolare o il responsabile provvederanno a informare l’incaricato sui contenuti fondamentali delle norme che disciplinano il trattamento dei dati personali.

Il titolare o il responsabile verificheranno periodicamente, nelle forme ritenute più opportune, sulla correttezza del trattamento, con particolare riferimento all’adozione delle misure minime di sicurezza, da parte degli incaricati

 

6.2               Affidamento a persone giuridiche.

 

Nel caso che il soggetto sia una persona giuridica lo stessa sarà nominata dal titolare   responsabile esterno  di trattamento dati attraverso un atto di nomina che specifichi puntualmente le norme di comportamento da seguire con specifico riferimento alle misure minime di sicurezza da adottare.

Il titolare vigilerà sulle attività relative al trattamento dipendenti dal responsabile esterno e si farà rilasciare dallo stesso una dichiarazione di conformità a quanto stabilito dalle norme di legge e dal presente documento.

7         Modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento

 

Il responsabile nel caso del verificarsi di eventi che provochino la distruzione od il danneggiamento dei dati personali contenuti nelle banche dati del sistema informatico, provvederà senza ritardo a ripristinare la funzionalità delle banche dati utilizzando le copie di backup ( 5.2.3 punti e) ed f)).

Il ripristino della disponibilità dei dati andati perduti a causa di eventi di diversa natura consiste di norma

○         nella installazione del software di base, dei programmi, di tutti i file di dati,

○         nella sostituzione di componenti hardware danneggiati che hanno provocato la interruzione dei trattamenti.

 

La re-installazione del software di base, dei programmi di  office automation e dei file di dati residenti nei PC sarà effettuata dalla società incaricata della manutenzione.

La re-istallazione del software di rete, dei programmi gestionali e dei file di dati residenti nel server sarà effettuato dal soggetto titolare del contratto di manutenzione o fornitura software.

La sostituzione di componenti hardware non funzionanti sarà effettuato dal soggetto titolare del contratto di manutenzione o fornitura hardware.

Nei contratti di manutenzione stipulati con i fornitori di software e hardware  dovrà essere inserita una specifica clausola che consenta il ripristino della funzionalità del sistema informatico e della disponibilità dei dati entro il tempo stabilito dalla legge.

8          Interventi formativi

 

8.1       Interventi formativi già attuati

 

E’ stata realizzata negli scorsi anni la formazione di tutto il personale della Istituzione in servizio, docente ed ATA, attraverso la organizzazione di specifiche attività.

Il Dirigente scolastico ed il Direttore SGA sono stati sottoposti a specifica formazione nell’autunno 2008.

 

8.2       Interventi formativi al momento dell’ingresso in servizio

 

All’inizio di ogni anno scolastico, il titolare ed il responsabile programmeranno, qualora necessario, attività formative per il personale che prende servizio nella istituzione e che non è stato in precedenza sottoposto a formazione sui temi di cui si tratta.

Gli interventi formativi potranno essere realizzati anche in collaborazione con altre istituzioni scolastiche.

Il personale supplente temporaneo che prenderà   servizio durante il corso dell’anno scolastico sarà informato sui contenuti del Codice e sui doveri da esso derivanti, anche attraverso la fornitura di materiale informativo di sintesi dal titolare   o dal responsabile.

 

8.3       Interventi formativi di aggiornamento

 

In sede di verifica dell’efficacia delle misure di sicurezza, anche in relazione a novità che di dovessero presentare nelle norme di legge e/o in relazione all’evoluzione tecnica del settore, il titolare ed il responsabile programmeranno le necessarie attività formative.

 

Le attività formative sui contenuti di cui si tratta verranno certificate.