Privacy

 

1. INTRODUZIONE

Il presente documento (DPPS) definisce lo stato di attuazione nelle sedi dell’I.I.S. “Tulliano” per quanto  disposto dal D.Leg. n° 196 del 30 giugno 2003, artt. Da 33 a 36 e ALLEGATO B “DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA”

Il contenuto di quanto segue si riferisce alla  struttura organizzativa e funzionale della istituzione scolastica che prevede il trattamento di dati effettuato, per le rispettive competenze, dal corpo docente, dal personale ATA. Nell'affrontare e risolvere le varie problematiche riferite all'applicazione del D.Leg.vo n° 196/03 si è ritenuto opportuno quindi considerare, all'interno di uno stesso quadro organizzativo, in modo separato il trattamento dei dati operato dal personale docente e dal personale ATA e ausiliario.

I dati personali, comuni e sensibili, trattati da docenti riguardano essenzialmente gli alunni; i dati, personali comuni e sensibili trattati dal personale di segreteria riguardano sia gli alunni che il personale della scuola.

2.  ELENCO DEI TRATTAMENTI DEI DATI PERSONALI</p IL CONTENUTO DI QUANTO SEGUE SI RIFERISCE ALLA STRUTTURA ORGANIZZATIVA E FUNZIONALE DELLA ISTITUZIONE SCOLASTICA CHE PREVEDE IL TRATTAMENTO DI DATI EFFETTUATO, PER LE RISPETTIVE COMPETENZE, DAL CORPO DOCENTE, DAL PERSONALE ATA. NELL’AFFRONTARE E RISOLVERE LE VARIE PROBLEMATICHE RIFERITE ALL’APPLICAZIONE DEL D. LEG.VO 196/03 SI È RITENUTO OPPORTUNO QUINDI CONSIDERARE ALL’INTERNO DI UNO STESSO QUADRO ORGANIZZATIVO, IN MODO SEPARATO IL TRATTAMENTO DEI DATI OPERATO DAL PERSONALE DOCENTE E DAL PERSONALE ATAI DATI PERSONALI, COMUNI E SENSIBILI, TRATTATI DA DOCENTI RIGUARDANO ESSENZIALMENTE GLI ALUNNI; I DATI PERSONALI COMUNI E SENSIBILI TRATTATI DAL PERSONALE ATA RIGUARDANO SIA GLI ALUNNI CHE IL PERSONALE DELLA SCUOLA.

I DATI PERSONALI TRATTATI DAI DOCENTI SONO CONTENUTI IN BANCHE DATI SU SUPPORTO CARTACEO CHE SI POSSONO CLASSIFICARE IN :

BASI DI DATI ALLE QUALI HANNO ACCESSO PIÙ DOCENTI

BASI DI DATI ALLE QUALI HA ACCESSO UN SINGOLO DOCENTE.

 

2.1 DATI TRATTATI DAI DOCENTI

Le banche dati cui hanno accesso più docenti sono:

  1. il registro di classe
  2. il registro dei verbali del consiglio di classe o di interclasse
  3. la documentazione relativa alla programmazione didattica
  4. i documenti di valutazione
  5. la documentazione dello stato di handicap
  6. i certificati medici degli allievi
  7. la corrispondenza con le famiglie
  8. PDP, PEI, e tutti i piani didattici relativi ai Bisogni Educativi Specifici
  1. il registro personale
  2. gli elaborati

APPARE OPPORTUNO CONSIDERARE I DATI TRATTATI DAI DOCENTI NEL LORO INSIEME COME DATI SENSIBILI, AI SENSI DELL’ARTICOLO 4 DEL DECRETO LEGISLATIVO N 196 DEL 30 GIUGNO 2003, C.1 LETT.B,C,D. IL TRATTAMENTO DEI DATI DA PARTE DEI DOCENTI (TENUTA DEI REGISTRI, MODALITÀ DI COMPILAZIONE DEI DOCUMENTI DI VALUTAZIONE, VERBALIZZAZIONE ETC.) È DEFINITO PUNTUALMENTE DA NORME DI LEGGE O REGOLAMENTARI.

 

 

2.2 DATI TRATTATI DAL PERSONALE AMMINISTRATIVO

Le banche dati su supporto cartaceo e/o informatizzato, contenenti dati personali, cui ha accesso il personale di segreteria, raggruppati in insiemi omogenei, sono

  1. i fascicoli relativi al personale della scuola,
  2. i fascicoli alunni e ex alunni
  3. l'anagrafe fornitori, i contratti
  4. documentazione finanziaria e contabile
  5. la documentazione didattica trattata dai docenti per la conservazione
  6. il registro degli infortuni

 

2.3 DATI TRATTATI DAL DIRIGENTE SCOLASTICO

Le banche dati di pertinenza del Dirigente Scolastico sono:

  1. i fascicoli del personale Direttivi- Docente –Amministrativo-Ausiliare
  2. i verbali delle assemblee degli Organi Collegiali
  3. la programmazione relativa allo stato di disagio (BES).
  4. la documentazione dello stato di handicap e di BES
  5. il protocollo riservato
  6. il registro degli infortuni
    1. il titolare, cioè la persona fisica oche ha la responsabilità finale ed assume le decisioni fondamentali riferite al trattamento dei dati personali;
    2. il responsabile, è la persona, dotata di particolari caratteristiche di natura morale e di competenza tecnica, preposta dal titolare al trattamento dei dati personali “ivi compreso il profilo della sicurezza”; possono essere nominati anche più responsabili in base ad esigenze organizzative;
    3. l’incaricato è la persona fisica che materialmente provvede al trattamento dei dati, secondo le istruzioni impartite dal titolare o dal responsabile se nominato,
    4. l’interessato, soggetto cui i dati oggetto di trattamento si riferiscono.

 

3. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA'

Individuazione dei soggetti

IL TITOLARE

3.1 INDIVIDUAZIONE E ATTRIBUZIONE DELLE RESPONSABILITA'

Il dirigente scolastico individua il DSGA per il settore amministrativo ed un docente per il settore didattico quali responsabili delle incombenze relative agli adempimenti previsti dal decreto legislativo n 196 del 30 giugno 2003 e provvedimenti collegati.

 

3.2 GLI INCARICATI

IL PERSONALE AMMINISTRATIVO DOVRÀ ESSERE NOMINATO INCARICATO DEL TRATTAMENTO PER LA PROPRIA SFERA DI COMPETENZA COME TALE DEVE ESSERE NOMINATO MEDIANTE SPECIFICO ATTO CHE ELENCHI PUNTUALMENTE: CATEGORIE DEI DATI CUI PUÒ AVERE ACCESSO; TIPOLOGIA DI TRATTAMENTO E VINCOLI SPECIFICI APPLICABILI ALLE VARIE TIPOLOGIE DI DATI; ISTRUZIONI IN MERITO AI SOGGETTI CUI I DATI POSSONO ESSERE COMUNICATI O DIFFUSI. I DOCENTI DOVRANNO CONSIDERARSI, PER LA PROPRIA SFERA DI COMPETENZA, INCARICATI DEL TRATTAMENTO COME TALE E DOVRANNO ESSERE NOMINATI MEDIANTE SPECIFICO ATTO CHE ELENCHI PUNTUALMENTE: CATEGORIE DEI DATI CUI PUÒ AVERE ACCESSO; TIPOLOGIA DI TRATTAMENTO E VINCOLI SPECIFICI APPLICABILI ALLE VARIE TIPOLOGIE DI DATI; ISTRUZIONI IN MERITO AI SOGGETTI CUI I DATI POSSONO ESSERE COMUNICATI O DIFFUSI.

Le nomine saranno effettuate anche per il personale supplente temporaneo docente e ATA,per il rimanente personale ATA e, per quanto riguarda i trattamenti effettuati con strumenti elettronici.

 

4. ANALISI DEI RISCHI CHI INCOMBONO SUI DATI

Per procedere all’analisi dei rischi che incombono sui dati è necessario descrivere ed analizzare la situazione attuale della istituzione scolastica.

4.1 SITUAZIONE ATTUALE

I dati che seguono sono relativi a una rilevazione effettuata a marzo 2004.

4.1.1 PLESSI E LORO COLLOCAZIONE.

SEDE ASSOCIATA

Via Pelagalli

Arpino

Sede Liceo Classico, ITIS, Liceo Scientifico

SEDE ASSOCIATA

Via Vittoria Colonna

Arpino

Sede IPSIA

 

4.1.2 LOCALI DOVE AVVIENE IL TRATTAMENTO DEI DATI EFFETTUATO DA PERSONALE DOCENTE.

I locali ove avviene il trattamento dei dati effettuato da docenti coincidono con quelli adibiti ad attività didattica, allocati nei plessi costituenti l’istituzione scolastica.

Esistono nelle sedi locali di pertinenza esclusiva dei docenti (sala professore).

Il trattamento dei dati da parte dei docenti avviene con mezzi manuali su supporti cartacei.

Le banche dati contenenti documentazione didattica (registri personali e di classe) vengono consegnati all’inizio dell’anno scolastico dal Dirigente scolastico ai docenti, che provvedono alla compilazione, alla conservazione ed alla custodia.

All’interno delle banche dati di cui si tratta vengono custoditi temporaneamente, in attesa del trasferimento nei fascicoli personali, i certificati medici degli alunni.

Gli elaborati degli alunni sono conservati in appositi contenitori nelle sale insegnanti ed alla fine di ogni anno scolastico sono consegnati dai docenti al personale di segreteria, per l’archiviazione.

I verbali dei consigli di classe e degli organi collegiali sono custoditi e conservati dal Dirigente Scolastico o dal Responsabile della Sede Staccata.

La programmazione didattica e tutta la documentazione per gli allievi portatori di handicap è custodita e conservata dal Dirigente Scolastico.

La situazione nelle sedi ha una serie di caratteri comuni:

- Sede di via Pelagalli: modesta sicurezza delle vie di accesso ( porte di ingresso di modesta consistenza e dotate di serrature ordinarie; presenza di numerose vie di accesso: porte di sicurezza, finestre non protette etc.); dotazione di sistema di allarme.

- mancanza del sistema di allarme presso la sede IPSIA

- arredi della sala insegnanti dotati di serrature ordinarie.

4.1.3 LOCALI DOVE AVVIENE IL TRATTAMENTO EFFETTUATO DAL DIRIGENTE SCOLASTICO E DAL PERSONALE A.T.A.

I locali interessati al trattamento dei dati da parte del personale di segreteria e da parte del Dirigente Scolastico sono collocati nel modo seguente

Uffici di segreteria

Via Pelagalli 7 , Arpino

Ex palazzina custode

4.1.4 DESCRIZIONE GENERALE DELL’EDIFICIO CHE OSPITA PRESIDENZA E SEGRETERIA

L’edificio della segretaria è costituito provvisoriamente dai locali della ex palazzina del custode, adiacente alla sede ITIS di via Pelagalli.

accesso

Via Pelagalli 3

recinzione

Si

Cortile

Limitato

Parcheggi esclusivi

Si

Cancelli esterni di accesso

Si

Illuminazione esterna

Si

Piani fuori terra

Uno

Piani seminterrato

Parziale

Accessi all’edificio

Un accesso da Via Pelagalli

Tipologia accessi

Accessi principale costituiti da porta in legno

Sistema generale di allarme

Non presente

Locali utilizzati da altri soggetti

No

Aule

Assenti

4.1.5 DESCRIZIONE DEI LOCALI DELLA DIREZIONE E DEI SERVIZI AMMINISTRATIVI

I locali ( ufficio DSGA, Archivio, uffici amministrativi, sono collocati al primo piano della palazzina, ai quali si accede dalla vai Pelagalli;

L’ufficio del Magazziniere è posto nella sede dell’ITIS, al pian terreno, provvisto di porta solida e di inferriate alla finestra; presenza di sistema di allarme. Sul corridoio vi sono aule in prossimità.

1- Denominazione e destinazione locale

Presidenza (assente, provvisoriamente destinata a sala per gli insegnanti

2- Collocazione

     Piano terreno

3- Accessi

   N.1 dal corridoio

4- Protezioni da intrusione esterna

-  Accessibilità finestre descrizioni protezioni inferriata

- Porta Metallica con serratura solida

5- postazioni di lavoro e dotazioni informatiche

       n°.1 posto di lavoro

6- descrizione arredi

descrizione

serratura

Efficienza serratura

contenuto

Armadi in legno

Scrivania

Si

Si

Non efficiente

Si

programmazioni

progetti didattici

verbali organi collegiali

documento sicurezza L. 626

fascicoli personale non in servizio (provvisoriamente collocato nell’ufficio di magazzino)

7- rischio incendio

vedi documento sicurezza L. 626

1- Denominazione e destinazione locale

2.Ufficio D.S.G.A.

2- Collocazione

piano primo ex palazzina custode

3- Accessi

-n. 1 dall’ingresso principale; n° 1 da balcone provvisto di inferriata

4 - accessibilità finestre descrizione protezioni

- presente inferriata

1 porte

Metallo con serratura tipo Yale

5- Postazioni di lavoro e dotazioni informatiche

- n. 1 posto di lavoro

- n. 1.P.C. in rete

6- Descrizione arredi

descrizione

serratura

Efficienza

serratura

contenuto

Armadi in metallo

Scrivanie

SI

No

Si

No

Materiale facile consumo

Documentazione contabile

Libri e riviste amm.ve

7- Rischio incendio

vedi documento sicurezza L.626

1-  Denominazione e destinazione locale

3. Ufficio Segreteria

2-  Collocazione

- piano primo ex palazzina custode

3- Accessi

-n. 1 dall’esterno

4- Protezioni da intrusione esterna

- accessibilità finestre descrizione protezioni

-  accessibili per posizione

- porte

- ordinarie in legno con serratura tipo Yale

5-  Postazioni di lavoro e dotazioni informatiche

- n. 5 .P.C. in rete

7- Descrizione arredi

Descrizione

serratura

Efficienza

serratura

contenuto

Armadi metallici

Scrivanie

Armadi in legno

Armadio blindato

Kartex

Si

-

Si

Si

Si

Si

In parte

-

No

No

Si

No

Fascicoli personali docenti, ata, Supplenti

Fascicoli alunni

Documenti Amministrativi

Materiale Certamen

Registro voti

Visite e Viaggi

Graduatorie

Stampati

Bollettini

Diplomi

Materiale esami di Stato

Titolario

7- Rischio incendio

vedi documento sicurezza L.626

1- Denominazione e destinazione locale

5. Archivio

2- Collocazione

                           - Piano terreno ITIS e parte nella ex palazzina custode

3- Accessi

-n. 1 dal corridoio interno

4- Protezioni da intrusione esterna

- accessibilità finestre

poco accessibili per posizione

- porte

- 1 porta con serratura tipo “Yale”

Sistema di allarme al piano terreno della sede ITIS

5- Postazioni di lavoro e dotazioni informatiche

- non presenti

6- Descrizione arredi

descrizione

serratura

Efficienza

serratura

contenuto

Scaffali in legno e in metallo

No

No

vecchi Fascicoli alunni

Pratiche varie

Registri di classe e docenti

Compiti alunni

Vecchia Document.amministr.va

Vecchi Registri protocollo

Corrispondenza

Vecchie graduatorie

Registri protocollo

7- Rischio incendio

vedi documento sicurezza L.626

1- Denominazione e destinazione locale

5. Sala Riunioni Docenti

2-      Collocazione

- primo piano

 

n. 1 dal corridoio

4- Protezioni da intrusione esterna

- accessibilità finestre

Poco accessibile

- porte

- 1 porte con serratura tipo “Yale” verso il corridoio interno

5

       Postazioni di lavoro e dotazioni informatiche

1 P.C. non in rete; sistema di proiezione

6- Descrizione arredi

descrizione

serratura

Efficienza

serratura

contenuto

 

Scaffali in metallo

Tavolo riunioni

Si

Si

Si

No

Materiale vario (pc portatile, TV, Videotape)

 

7- Rischio incendio

vedi documento sicurezza L.626

4.1.6.1 SEDE IPSIA

1- Denominazione e destinazione locale

Istituto Professionale

 

2- Banca Dati

PRIMO PIANO

SALA PROFESSORI

VICE PRESIDENZA

N° 5 AULE

3- Accessi PRIMO PIANO

     Mediante scala

      Protezioni da intrusione esterna

accessibilità finestre descrizione protezioni

finestre POCO ACCESSIBILI

- Porte

- Porte con serratura tipo Yale

4- Descrizione

descrizione

serratura

Efficienza

serratura

Contenuto

Sala Professori

Si

Si

Registri didattici.

Corrispondenza

Vice Presidenza

Si

Si

Documenti riservati

Progetti

Fascicoli H

Registri voti

Rischio incendio

vedi documento sicurezza L.626 e successive integrazioni

5

       Postazioni di lavoro e dotazioni informatiche

2 P.C. non in rete

      Descrizione arredi

descrizione

serratura

Efficienza

serratura

Contenuto

Scaffali in metallo

Scaffale in legno

Si

No

Si

No

Materiale vario

7- Rischio incendio

vedi documento sicurezza L.626 e successive integrazioni

 

4.1.7 GESTIONE DELLE CHIAVI.

Chiavi per l’accesso agli edifici scolastici :

sede Via Vittoria Colonna e sede Via Pelagalli

Personale istituzione:

  1. Dirigente Scolastico (tutte)
  2. Direttore SGA (ingressi e ufficio DSGA)
  3. Collaboratori scolastici (tutti)
  4. Ass.Amministrativo ( ingresso segreteria)

- Informale

No

Gestione delle chiavi di accesso ai locali dove sono trattati dati personali

Locali situati nell’edificio:    ex palazzina custode

  1. Soggetti cui sono affidate le chiavi

Personale istituzione: DSGA - Assistenti amministrativi

Soggetti esterni:  Nessuno

Chiavi per l’accesso agli edifici scolastici sede di. Via Pelagalli

Personale istituzione:

  1. Collaboratori scolastici
  2. Soggetti esterni Convenzionati con la Provincia
  3. Ass. amministrativo Lepore Felice Aldo

- Informale

 

Gestione delle chiavi di accesso ai locali dove sono trattati dati personali

Locali situati nell’edificio:     Sede Via Pelagalli

  1. Soggetti cui sono affidate le chiavi

Personale istituzione: Collaboratori scolastici del plesso

Soggetti esterni:  Nessuno

 

4.1.8 RILEVAZIONE STRUTTURA SISTEMA INFORMATIVO

-   rete unica per i servizi amministrativi

2.Tipologia delle risorse hardware

- n. 1 server

- n. 5 P.C. in rete

- Ufficio D.S.G.A.

- Si tramite P.C. in rete

fris006008@istruzione.it

- provider casella elettronica ministeriale

Tipologia delle risorse software

- WINDOW SERVER

SISSI in rete

Programmi:

- Microsoft Office Professional

- Procedure SISSI in rete:

Alunni, personale, nuovo bilancio,retribuzione,inventario

- Richiesta

- condivisione programmi e risorse interne

- si

- SI

- SI

- SI

- NO

- nessuno

Prevenzione della perdita dei dati

- no incarico formale

- AVG

- su CD

- No

- SI

- Ditte esterne a chiamata

 

4.2 ANALISI DEI RISCHI

Si metteranno di seguito in evidenza i rischi propri, connessi al trattamento dei dati personali secondo le categorie di rischio elencate nell’articolo 31.

Tali rischi si possono classificare in:

- distruzione o perdita, anche accidentale dei dati;

- connessi alla integrità dei dati;

- accesso non autorizzato ai dati;

- trattamento non consentito o non conforme alla finalità della raccolta;

- connessi con l’utilizzo di reti di telecomunicazione disponibili al pubblico;

- connessi al reimpiego di supporto di memorizzazione;

- connessi alla conservazione della documentazione relativa al trattamento;

- connessi all’utilizzo di archivi e contenitori con serrature.

 

4.2.1  RISCHI RIGUARDANTI LE BASI DI DATI TRATTATE DA DOCENTI.

I rischi sotto elencati afferiscono al trattamento dei dati connesso con l’attività didattica, che viene effettuato senza l’ausilio di strumenti elettronici,

-   distruzione o perdita accidentale dei dati a causa di eventi naturali,

-   allagamenti, furto danneggiamento etc.;

-   connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non stabili;

-   accesso non autorizzato ai dati, da parte di soggetti esterni alla scuola o da parte di personale interno;

-   trattamento non consentito o non conforme alle finalità di raccolta : diffusione, comunicazione,

-   manomissione;

-   connessi all’utilizzo di archivi e contenitori con serrature.

 

4.2.2  RISCHI RIGUARDANTI LE BASI DI DATI TRATTATE DAL PERSONALE ATA.

Riguardano le basi di dati trattate esclusivamente dal personale ATA ed anche la documentazione didattica su cui operano i docenti non riferita all’anno scolastico in corso; il trattamento è effettuato con strumenti elettronici e con strumenti non elettronici.

I rischi di cui si tratta sono:

- distruzione o perdita accidentale dei dati a causa di eventi naturali,

- allagamenti, furto, danneggiamento etc.;

- connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non stabili;

- accesso non autorizzato ai dati , da parte di soggetti esterni alla scuola o da parte di personale interno;

- trattamento non consentito o non conforme alle finalità di raccolta: diffusione, comunicazione,manomissione,

- connessi all’utilizzo di archivi e contenitori con serrature;

- connessi all’utilizzo del sistema informativo automatizzato.

Si ritiene opportuna una analisi puntuale dei rischi cui è esposto il sistema informativo automatizzato.

 

4.2.3. ANALISI DEI RISCHI PER IL SISTEMA INFORMATIVO AUTOMATIZZATO.

L’analisi dei rischi consiste nella individuazione degli elementi del sistema informativo automatizzato (SIA) che necessitano di protezione e delle minacce cui gli stessi possono essere sottoposti, tenendo conto del fattore tecnologico e del fattore umano.

 

Risorse hardware

Elementi da proteggere:

- CPU

- terminali

- P.C.

- stampanti

- disk drive

- server

 

Minacce cui sono sottoposti

- malfunzionamenti dovuti a guasti

- malfunzionamenti dovuti ad eventi naturali

- malfunzionamenti dovuti a furti e intercettazioni

 

Risorse software

Elementi da proteggere:

- Sistemi Operativi

- Software di Base

- Software Applicativi

- Gestori di basi di dati

- Software di rete

 

Minacce

- errori involontari contenuti nelle procedure che possono consentire ad utenti non autorizzati l’esecuzione di operazioni riservate

- presenza di codice malizioso, inserito volontariamente nell’applicazione al fine di svolgere operazioni non autorizzate o per danneggiare il programma (virus, cavalli di troia, bombe logiche,backdoor);

- attacchi denial of service

 

Dati

Si tratta del contenuto degli archivi, delle basi di dati, dati di transito, copie storiche, file di log, etc.

 

Minacce

-     accesso non autorizzato

-     modifiche deliberate o accidentali

 

Risorse professionali

Si tratta di: amministratori di sistema, i sistemisti, i programmatori, gli operatori, gli addetti alla manutenzione, i consulenti, etc.

 

Minacce

-   attacchi attraverso i quali estranei cercano di ottenere informazioni per attaccare il sistema;

-   scarsa consapevolezza in materia di sicurezza o motivi di rivalsa nei confronti dell’amministrazione;

 

Supporti di memorizzazione

Sono i supporti su cui vengono tenute le copie dei software installati, dei file di log e dei back-up.

 

Minacce

-          distruzione o alterazione ad opera di eventi naturali

-          distruzione o alterazione ad opera di azioni accidentali o intenzionali

-          deterioramento nel tempo

-          evoluzione tecnologica del mercato.

 

5.  MISURE DA ADOTTARE PER GARANTIRE L’INTEGRITA’ E LA DISPONIBILITA’ DEI DATI

Le attività di sviluppo delle linee guida, riguardano le seguenti aree:

    sicurezza Fisica

    sicurezza Informatica

    sicurezza Organizzativa

 

5.1 SICUREZZA FISICA

I requisiti di sicurezza fisica sono tesi a

-          proteggere le persone che operano sui sistemi

-          proteggere le aree

-          proteggere gli archivi.

Variano considerevolmente in funzione delle dimensioni e dell’organizzazione del Sistema Informativo.

Nella fattispecie viste le dimensioni di tale sistema sono state fatte le seguenti considerazioni:

 

5.1.1 SICUREZZA DI AREA

La sicurezza di area ha il compito di prevenire accessi fisici non autorizzati, danni o interferenze con lo svolgimento dei servizi. Le contromisure si riferiscono alle protezioni perimetrali dei siti, ai controlli fisici all’accesso, alla sicurezza degli archivi e delle attrezzature informatiche rispetto a danneggiamenti accidentali o intenzionali, alla protezione fisica dei supporti.

Come si evince da quanto descritto in precedenza (vedi “Situazione attuale”) i locali, presentano alcune problematiche di sicurezza relative a possibili intrusioni dall’esterno che possono avvenire soprattutto fuori dall’orario di lavoro quando i locali non sono presidiati.

Quindi è necessario predisporre quanto segue.

- Adeguamento 1

Prevedere l’installazione di un sistema di allarme ed a supporto di tale sistema deve essere prevista l’installazione di vetri antisfondamento e/o barre alle finestre e serrature adeguate alle porte, nell’area comprendente i locali adibiti a servizi amministrativi.

Sicurezza delle apparecchiature hardware

La sicurezza delle apparecchiature è riconducibile da un lato alle protezioni da danneggiamenti accidentali o intenzionali e dall’altro alla sicurezza degli impianti di alimentazione. Anche la manutenzione dell’hardware rientra in questa area, come anche la protezione da manomissione o furti. Sarà effettuato quanto prima l’aggiornamento del software per la protezione dai virus  installato su tutti i computers.

 

5.1.2 SICUREZZA DEGLI ARCHIVI

- Adeguamento 2

Ogni posto di lavoro ove opera un incaricato del trattamento dati deve essere dotato almeno di un contenitore, (cassetto, armadio) con serratura efficiente e sicura; (per i docenti possono essere previste cassettiere dotate di serrature per ogni cassetto);

- Adeguamento 3

Le banche di dati personali (sensibili e non) devono essere contenute in contenitori adeguati (schedari, armadi) dotati di serratura efficiente e sicura.

- Adeguamento 4

I locali che contengono banche di dati personali (sensibili e non) e/o strumenti informatici devono essere dotati di una porta adeguata con serratura efficiente e sicura.

- Adeguamento 5

Devono essere indicati all’interno dei locali amministrativi le zone interdette al pubblico o personale estraneo agli uffici.

- Adeguamento 6

Nei locali, uffici, accessibili al pubblico deve essere indicato l’orario consentito per le visite.

 

5.2 MISURE INFORMATICHE

Il campo di applicazione della Sicurezza Logica riguarda principalmente la protezione dell’informazione, e di conseguenza di dati, applicazioni, sistemi e reti, sia in relazione al loro corretto funzionamento ed utilizzo, sia in relazione alla loro gestione e manutenzione nel tempo.

Le contromisure di Sicurezza Logica sono quindi da intendersi come l’insieme di misure di sicurezza di carattere tecnologico (Information and Communication Technology) e di natura procedurale ed organizzativa che concorrono nella realizzazione del livello di sicurezza da raggiungere. Da prendere in considerazione anche l’acquisto di un gruppo di continuità per sopperire ad eventuali black-out della rete elettrica.

- Adeguamento 8

Previsione di aggiornamento periodico del programma antivirus almeno sulle postazioni contenenti dati personali o sensibili.

-Adeguamento 9

Assegnazione alle singole macchine di un controllo di accesso e di identificazione utente attraverso password.

 

Servizi di Sicurezza.

Sono le funzioni di sicurezza che il sistema dovrà garantire su tutte le piattaforme ed a tutti i livelli di elaborazione. ISO individua i seguenti servizi di sicurezza:

- Autenticazione

- Controllo Accessi

- Confidenzialità

- Integrità

- Non Ripudio

 

      Meccanismi di Sicurezza.

Rappresentano le modalità tecniche attraverso le quali è possibile realizzare i servizi di sicurezza. ISO individua i seguenti meccanismi di sicurezza:

- Cifratura

- Firma Digitale

- Meccanismi  per il controllo degli accessi

- Integrità dei dati

-  Meccanismi per l’autenticazione

- Traffic Padding ovvero saturazione del traffico in rete

- Controllo di instradamento

 

Rete locale.

I servizi e i Meccanismi di Sicurezza come sopra descritti non sono attualmente da prendere in considerazione viste le dimensioni del sistema informativo in questione, e visto che i PC non sono collegati in rete disponibile al pubblico, art.3 DPR 318/99.

Rete fornita dall’Amm. Scolastica Nazionale.

I Servizi e i Meccanismi minimi di Sicurezza come sopra descritti sono già operanti per tutto il sistema informativo del Ministero della P.I. (S.I.S.S.I.). Infatti per quanto riguarda il controllo degli accessi abbiamo:

Identificazione, ovvero riconoscimento degli utenti e validazione della loro identità con la digitazione di una password

Registrazione, in presenza di tentativi di effrazione, il sistema impedisce l’uso della stazione di lavoro

 

5.3. SICUREZZA ORGANIZZATIVA

Accanto all’adozione di misure tecnologiche già illustrate, è necessario, come richiamato, vengano definite una serie di norme e procedure miranti a regolamentare gli aspetti organizzativi del processo di sicurezza.

Gli aspetti organizzativi riguardano principalmente:

- la definizione di ruoli, compiti e responsabilità per la questione di tutte le fasi del processo Sicurezza;

- l’adozione di specifiche procedure che vadano a completare e rafforzare le contromisure tecnologiche adottate.

Un ulteriore aspetto inerente la Sicurezza Organizzativa è quello concernente i controlli sulla consistenza e sulla affidabilità degli apparati.

In ordine alle norme di comportamento, si rimanda a quanto è definito nei documenti di nomina per l’assegnazione di responsabilità ed incarichi ed a quanto specificato nell’allegato A.

 

5.4 PROGRAMMA IN CORSO D’ATTUAZIONE.

L’attuazione delle norme in questa istituzione scolastica è stata avviata a partire dal trattamento dati effettuato dagli uffici di segreteria. Per quanto riguarda i dati trattati da docenti, trattamento regolamentato da norme puntuali, sarà definito in tempi rapidi un piano di lavoro finalizzato ad implementare le citate norme con quelle previste dal  D. Legislvo n 196 del 30 giugno 2003

Quanto segue riguarda quindi in modo specifico il trattamento dei dati personali e sensibili svolto negli uffici di segreteria.

 

 

Trattamento dei dati

con strumenti diversi da quelli elettronici o comunque automatizzati

Attività realizzate e/o da realizzare

- ricognizione delle banche dati (art. 4  comma 1 , lett,p

- classificazione delle banche dati contenenti dati sensibili (art.20) e dei dati relativi ai provvedimenti di cui  all’rt. 686 del CPP ( art.47);

- individuazione per ogni banca dati in modo puntuale l’ubicazione ( locale dove è collocata) ed il tipo di contenitore, descrivendone le caratteristiche;

- individuazione, raggruppandoli secondo criteri relativi all’organizzazione, i trattamenti (art4 comma 1 );

- il responsabile nominerà per iscritto (art. 30, comma 2 D.Leg.vo 196/03) gli incarichi delle attività di trattamento di cui al punto 4, nonché le regole di affidamento e riconsegna documenti;

 

 

Trattamento dei dati

con strumenti elettronici o comunque automatizzati

Trattamento dei dati con elaboratori non accessibili da altri elaboratori o terminali:

- viene individuata per ogni elaboratore la password;

- il responsabile è preposto alla custodia delle password ed alla loro assegnazione agli incaricati

 

Trattamento dei dati

Con elaboratori accessibili da altri elaboratori e terminali.

 

 

6 – CRITERI DA ADOTTARE PER GARANTIRE L’ADOZIONE DELLE MISURE MINIME DI SICUREZZA NEL CASO DI AFFIDAMENTO DEL TRATTAMENTO A SOGGETTI ESTERNI

Nel caso di affidamento da parte della Istituzione a soggetti esterni di attività che comportino trattamento dei dati conviene distinguere due casi:

  1. a)       affidamento a persone fisiche;
  2. b)       affidamento a persone giuridiche.

 

6.1 Affidamento a persone fisiche.

Nel caso che il soggetto sia una persona fisica lo stesso sarà nominato, dal titolare-responsabile, incaricato di trattamento dati attraverso un atto di nomina che specifichi puntualmente le norme di comportamento da seguire.

Ove necessario il titolare - responsabile provvederanno a informare l’incaricato sui contenuti fondamentali delle norme che disciplinano il trattamento dei dati personali.

Il titolare o il responsabile verificheranno periodicamente, nelle forme ritenute più opportune, sulla correttezza del trattamento, con particolare riferimento all’adozione delle misure minime di sicurezza, da parte degli incaricati.

 

6.2 Affidamento a persone giuridiche.

Nel caso che il soggetto sia una persona giuridica la stessa sarà nominata dal titolare responsabile esterno di trattamento dati attraverso un atto di nomina che specifichi puntualmente le norme di comportamento da seguire con specifico riferimento alle misure minime di sicurezza da adottare.

Il titolare vigilerà sulle attività relative al trattamento dipendenti dal responsabile esterno e si farà rilasciare dallo stesso una dichiarazione di conformità a quanto stabilito dalle norme di legge e dal presente documento.

 

 

7 – MODALITA’ PER IL RIPRISTINO DELLA DISPONIBILITA’ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO.

Il responsabile nel caso del verificarsi di eventi che provochino la distruzione od il danneggiamento dei dati personali contenuti nelle banche dati del sistema informatico, provvederà senza ritardo a ripristinare la funzionalità delle banche dati utilizzando le copie di back-up più recente.

 

8 – INTERVENTI FORMATIVI

 

8.1 INTERVENTI FORMATIVI AL MOMENTO DELL’INGRESSO IN SERVIZIO

All’inizio di ogni anno scolastico, entro il mese di ottobre, il titolare ed il responsabile programmeranno, qualora necessario, attività formative per il personale che prende servizio nella istituzione e che non è stato in precedenza sottoposto a formazione sui temi di cui si tratta.

Allo stato dei fatti verrà attività formative entro il mese di marzo indirizzata a tutto il personale. Gli interventi formativi potranno essere realizzati anche in collaborazione con altre istituzioni scolastiche.

 

8.2 INTERVENTI FORMATIVI DI AGGIORNAMENTO

In sede di verifica dell’efficacia delle misure di sicurezza, anche in relazione a novità che di dovessero presentare nelle norme di legge e/o in relazione all’evoluzione tecnica del settore, il titolare ed il responsabile programmeranno le necessarie attività formative.

Le attività formative sui contenuti di cui si tratta verranno certificate ed annotate su un apposito registro.

Per il corrente A.S. si prevede di attivare uno specifico corso di formazione per ttutto il personale docente e Ata da svolgersi entro il mese di marzo.

 

9 – MISURE SPECIFICHE PER I DATI PERSONALI IDONEI A RIVELARE LO STATO DI SALUTE.

Questa istituzione tratta dati idonei a rivelare lo stato di salute del personale, docente ed ATA, e degli alunni esclusivamente per finalità previste dalla legge.

Secondo quanto prescritto dall’articolo 22 comma 7 del D. Igs 196/2003 i dati idonei a rivelare lo stato di salute “sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo”; inoltre il comma 7 dello stesso articolo dispone che i dati idonei a rivelare lo stato di salute, qualora contenuti in banche dati informatiche vengano trattati “con tecniche di cifratura o mediante l’utilizzo di codici identificativi o di altre soluzioni, che li rendono temporaneamente inintellegibili anche a chi  è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità”.

Nell’Istituto il trattamento di questi dati avviene senza l’ausilio di strumenti elettronici e quindi si stabilisce quanto segue:

  1. a)       Dati riguardanti il personale docente ed Ata

I dati consistono essenzialmente in certificati medici,con prognosi, consegnati o fatti pervenire all’ufficio di segreteria.

Dopo la ricezione, durante il trattamento (protocollazione etc) saranno inseriti in un contenitore chiuso e successivamente inseriti nel fascicolo personale, dove saranno conservati all’interno di una busta chiusa recante l’indicazione del contenuto separatamente dagli altri documenti.

  1. b)       Dati riguardanti gli alunni

I dati consistono essenzialmente in certificati medici, con prognosi, consegnati dagli alunni o dai genitori ai docenti o al personale ATA, per scopi definiti da norme di legge (giustificazione assenze; esonero da attività di educazione fisica, necessità di particolari diete alimentari etc.)

Dopo la ricezione i dati saranno inseriti in un contenitore chiuso e successivamente trattati da personale incaricato e custoditi in appositi contenitori chiusi.

I certificati riguardanti la necessità di particolari diete alimentari, potranno in caso di necessità, essere comunicati al soggetto che espleta il servizio mensa previamente nominato responsabile esterno del trattamento da parte del titolare.