Il presente documento (DPPS) definisce lo stato di attuazione nelle scuole dell’I.C. S.Bonaventura di Bagnoregio per quanto  disposto dal D.Leg. n° 196 del 30 giugno 2003, artt. Da 33 a 36 e ALLEGATO B “DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA”

Il contenuto di quanto segue si riferisce alla  struttura organizzativa e funzionale della istituzione scolastica che prevede il trattamento di dati effettuato, per le rispettive competenze, dal corpo docente, dal personale ATA. Nell'affrontare e risolvere le varie problematiche riferite all'applicazione del D.Leg.vo n° 196/03 si è ritenuto opportuno quindi considerare, all'interno di uno stesso quadro organizzativo, in modo separato il trattamento dei dati operato dal personale docente e dal personale ATA e ausiliario.

I dati personali, comuni e sensibili, trattati da docenti riguardano essenzialmente gli alunni; i dati, personali comuni e sensibili trattati dal personale di segreteria riguardano sia gli alunni che il personale della scuola.

Il contenuto di quanto segue si riferisce alla struttura organizzativa e funzionale della istituzione scolastica che prevede il trattamento di dati effettuato, per le rispettive competenze, dal corpo docente, dal personale di ATA. Nell’affrontare e risolvere le varie problematiche riferite all’applicazione del D. Leg.vo 196/03 si è ritenuto opportuno quindi considerare all’interno di uno stesso quadro organizzativo, in modo separato il trattamento dei dati operato dal personale docente e dal personale ATA.

I dati personali, comuni e sensibili, trattati da docenti riguardano essenzialmente gli alunni; i dati personali comuni e sensibili trattati dal personale ATA riguardano sia gli alunni che il personale della scuola.

I dati personali trattati dai docenti sono contenuti in banche dati su supporto cartaceo che si possono classificare in :

4    basi di dati alle quali hanno accesso più docenti

4    basi di dati alle quali ha accesso un singolo docente.

Le banche dati cui hanno accesso più docenti sono:

4    il registro di classe

4    il registro dei verbali del consiglio di classe o di interclasse

4    la documentazione relativa alla programmazione didattica

4    i documenti di valutazione

4    la documentazione dello stato di handicap

4    i certificati medici degli allievi

4    la corrispondenza con le famiglie

Le  banche dati cui ha accesso il singolo docente sono:

4    il registro personale

4    gli elaborati

Appare opportuno considerare i dati trattati dai docenti nel loro insieme come dati sensibili, ai sensi dell’articolo 4 del decreto legislativo n 196 del 30 giugno 2003, c.1 lett.b,c,d. Il trattamento dei dati da parte dei docenti (tenuta dei registri, modalità di compilazione dei documenti di valutazione, verbalizzazione etc.) è definito puntualmente da norme di legge o regolamentari.

Le banche dati su supporto cartaceo e/o informatizzato, contenenti dati personali, cui ha accesso il personale di segreteria, raggruppati in insiemi omogenei, sono

4    i fascicoli relativi al personale della scuola, 

4    i fascicoli alunni e ex alunni

4    l'anagrafe fornitori, i contratti

4    documentazione finanziaria e contabile

4    la documentazione didattica trattata dai docenti per la conservazione

4    il registro degli infortuni

 Le banche dati di pertinenza del Direttore sono:

4    i fascicoli del personale Direttivi- Docente e Amministrativo

4    i verbali delle assemblee degli Organi Collegiali

4    la programmazione relativa allo stato di disagio.

4    il protocollo riservato

4    il  fascicolo del personale in prova.

Il  decreto legislativo n 196 del 30 giugno 2003 sulla protezione dei dati personali individua all’art. 4, i quattro soggetti che sono coinvolti nel trattamento dei dati personali :

4    il titolare, cioè la persona fisica o giuridica  che ha la responsabilità finale ed assume le decisioni fondamentali riferite al trattamento dei dati personali;

4    il responsabile, è la persona, dotata di particolari caratteristiche di natura morale e di competenza tecnica, preposta dal titolare al trattamento dei dati personali “ivi compreso il profilo della sicurezza”; possono essere nominati anche più responsabili in base ad esigenze organizzative;

4    l’incaricato è la persona fisica che materialmente provvede al trattamento dei dati, secondo le istruzioni impartite dal titolare o dal responsabile se nominato,

4    l’interessato, soggetto cui i dati oggetto di trattamento si riferiscono.

Il DPR 318/99 individuava  ,all’articolo 1, un nuovo soggetto che si aggiunge ai quattro descritti in precedenza:

4    l’amministratore di sistema, soggetto cui è conferito il compito di “sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base di dati e di consentirne l’utilizzazione”.

Nel D.Leg.vo 196 non viene riproposta la figura dell’Amministratore di sistema che pur conserva una propria funzionalità per la garanzia delle misure di SICUREZZA LOGICA del sistema informatico della gestione dati. Pertanto si ravvisa la necessità di individuare tale figura con delega di compiti definiti.

Individuazione dei soggetti

4    IL TITOLARE        

Il  titolare è la istituzione scolastica, rappresentata dal  dirigente scolastico (art. 28 D. Legavo n 196 del 30 giugno 2003).

4    IL RESPONSABILE

Per la individuazione del responsabile, la cui nomina è facoltativa, esistono diverse possibilità:

-          non viene nominato, ed il dirigente scolastico assume personalmente tutte le incombenze relative agli adempimenti previsti dal decreto legislativo n 196 del 30 giugno 2003 e provvedimenti collegati.

-          viene nominato il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria mentre i l capo d’istituto si occupa direttamente del trattamento dei dati effettuato dai docenti;

-          vengono nominati.

a)       il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria;

b)       uno o più docenti per i trattamenti dati effettuati dagli insegnanti per fini didattici.

In base a quanto disposto dall’articolo 29  comma 2   del  decreto legislativo n 196 del 30 giugno 2003,

“ Il responsabile se designato, deve essere nominato fra i soggetti che per esperienza capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza”

Il dirigente scolastico ha deciso di adottare la soluzione “b” dato che fino al momento attuale le questioni afferenti all’accesso ai documenti da parte degli interessati sono state trattate  , per le rispettive competenze, dallo stesso e dal direttore dei servizi generali ed amministrativi e visto che la individuazione di docenti come responsabili richiederebbe la preventiva realizzazione di impegnative attività di formazione

Viene quindi individuato come Responsabile, per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria, il Direttore dei Servizi Generali ed Amministrativi, Sig.ra ROSSI GRAZIELLA (vedi nomina allegata).

Il docente è da considerarsi, per la propria sfera di competenza, incaricato del trattamento come tale deve essere nominato mediante specifico atto che elenchi puntualmente: categorie dei dati cui può avere accesso; tipologia di trattamento e vincoli specifici applicabili alle varie tipologie di dati; istruzioni in merito ai soggetti cui i dati possono essere comunicati o diffusi.  

Ogni collaboratore amministrativo dovrà essere nominato incaricato del trattamento con specifico atto, in base  ai compiti che assolve nell’ufficio.

I collaboratori scolastici, qualora trattino anche saltuariamente dati personali, dovranno essere incaricati con specifico atto.

Le nomine saranno effettuate anche per il personale supplente temporaneo, docente e ATA, e, per quanto riguarda i trattamenti effettuati con strumenti elettronici, per il personale esterno incaricato della manutenzione.

Qualora la istituzione scolastica si dovesse avvalere per le pulizie, o per altri servizi, di imprese private e qualora i dipendenti di tali imprese, nell’ambito del servizio, avessero accesso ad aree contenenti archivi di dati personali gli stessi dipendenti dovranno essere dal responsabile identificati e autorizzati.

(atti allegati)

L’Amministratore di sistema garantisce la tutela ed il corretto uso dei sistemi informatici e delle banche-dati in essa contenuti.

Dato l’elevato rilievo dell’utilizzo delle strumentazioni informatiche, sia a livello amministrativo sia didattico, il titolare del trattamento dati ritiene opportuno conferire la nomina dell’A.S. al responsabile dell’AREA INFORMATIZZAZIONE E SERVIZI, ins. CATTERUCCIA LAURA.

I sistemi di Regolamento interni verranno affissi in ogni LABORATORIO INFORMATICO e/o ufficio dotato di sistemi informatici.

Per procedere all’analisi dei rischi che incombono sui dati è necessario descrivere ed analizzare la situazione attuale della istituzione scolastica.

I dati che seguono sono relativi a una rilevazione effettuata a marzo 2004.

4.1.1 Plessi e loro collocazione.

4.1.2 Locali dove avviene il trattamento dei dati effettuato da personale docente.

I locali ove avviene il trattamento dei dati effettuato da docenti coincidono con quelli adibiti ad attività didattica, allocati nei plessi costituenti l’istituzione scolastica.

Esistono nei plessi locali di pertinenza esclusiva dei docenti (sale insegnanti).

Il trattamento dei dati da parte dei docenti avviene sia con mezzi manuali su supporti cartacei, sia con mezzi informatici.

Le banche dati contenenti documentazione didattica (registri personali e di classe)

Vengono consegnati all’inizio dell’anno scolastico dal Dirigente scolastico ai docenti, che provvedono alla compilazione, alla conservazione ed alla custodia.

All’interno delle banche dati di cui si tratta vengono custoditi temporaneamente, in attesa del trasferimento nei fascicoli personali, i certificati medici degli alunni.

Le banche dati contenenti documentazione didattica documentazione didattica vengono consegnate dai docenti e custoditi e conservati dal personale di segreteria.

Gli elaborati degli alunni sono conservati in appositi contenitori nelle sale insegnanti ed alla fine di ogni anno scolastico sono consegnati dai docenti al personale di segreteria.

I verbali dei consigli di classe e degli organi collegiali sono custoditi e conservati dal Dirigente Scolastico.

La programmazione didattica e tutta la documentazione per gli allievi portatori di handicap è custodita e conservata dal Dirigente Scolastico.

Per la descrizione puntuale della situazione dei locali siti presso la sede centrale di Bagnoregio si rimanda ai punti successivi. La situazione nelle sedi distaccate ha una serie di caratteri comuni:

-          modesta sicurezza delle vie di accesso ( porte di ingresso di modesta consistenza e dotate di serrature ordinarie; presenza di numerose vie di accesso: porte di sicurezza, finestre non protette etc.)

-          mancanza del sistema di allarme,

-          arredi della sala insegnanti non sempre dotati di serrature efficienti.

4.1.3 Locali dove avviene il trattamento effettuato dal Dirigente Scolastico e dal personale A.T.A.

I locali interessati al trattamento dei dati da parte del personale di segreteria e da parte del Dirigente Scolastico sono collocati nel modo seguente

4.1.4 Descrizione generale dell’edificio che ospita presidenza e segreteria

L’edificio della sede centrale, situato adiacente al centro di Bagnoregio, ospita i soli locali della scuola elementare.

4.1.5 Descrizione dei locali della Direzione e dei Servizi Amministrativi

I locali , posti in uno stesso corridoio, sono collocati al primo piano cui si accede

-          tramite una scala proveniente dall’atrio collocato al piano terreno (accesso dal cortile su Via D. Alighieri).

-          Tramite una porta a vetri che dà sul cortile interno.

Sul corridoio si affacciano locali adibiti ad attività didattica, e servizi igienici ed una scala che conduce al piano superiore.

I locali di cui si tratta sono: Presidenza, segreteria assistenti amministrativi, refettorio, archivio, guardiola collaboratori scolastici, laboratori.

L’archivio principale è posto al primo piano e non ha un unico accesso dalla pubblica via.

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Protezioni da intrusione esterna

-          Accessibilità finestre descrizioni protezioni

-          Porta

5-       postazioni di lavoro e dotazioni informatiche

6-       descrizione arredi

7-       rischio incendio

1-       Denominazione e destinazione locale

2- Collocazione

2-       Accessi

3-       Protezioni da intrusione esterna

4-       - accessibilità finestre descrizione protezioni

- porte

5-       Postazioni di lavoro e dotazioni informatiche

6-       Descrizione arredi

7- Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Protezioni da intrusione esterna

- accessibilità finestre descrizione protezioni

- porte

5-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

7- Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Protezioni da intrusione esterna

- accessibilità finestre descrizione protezioni

- porte

5-       Postazioni di lavoro e dotazioni informatiche

8-       Descrizione arredi

7- Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Protezioni da intrusione esterna

- accessibilità finestre

- porte

5-       Postazioni di lavoro e dotazioni informatiche

6-       Descrizione arredi

7- Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Protezioni da intrusione esterna

- accessibilità finestre descrizione protezioni

- porte

5-       Postazioni di lavoro e dotazioni informatiche

6-       Descrizione arredi

7- Rischio incendio

4.1.6.1 SEDI DISTACCATE -

1-       Denominazione e destinazione locale

2-       Banca Dati

3-       Accessi

4-       Archivio

5-       Protezioni da intrusione esterna

accessibilità finestre descrizione protezioni

- porte

6-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

7- Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Archivio

5-       Protezioni da intrusione esterna

accessibilità finestre descrizione protezioni

- porte

6-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

7- Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Archivio

5-       Protezioni da intrusione esterna

accessibilità finestre descrizione protezioni

- porte

6-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

7- Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Archivio

5-       Protezioni da intrusione esterna

accessibilità finestre descrizione protezioni

- porte

6-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

8-       Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Archivio

5-       Protezioni da intrusione esterna

accessibilità finestre descrizione protezioni

- porte

6-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

8-       Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Archivio

5-       Protezioni da intrusione esterna

accessibilità finestre descrizione protezioni

- porte

6-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

8-       Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Archivio

5-       Protezioni da intrusione esterna

accessibilità finestre descrizione protezioni

- porte

6-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

8-       Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Archivio

5-       Protezioni da intrusione esterna

accessibilità finestre descrizione protezioni

- porte

6-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

8-       Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Archivio

5-       Protezioni da intrusione esterna

-          accessibilità finestre descrizione protezioni

- porte

6-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

8-       Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Archivio

5-       Protezioni da intrusione esterna

accessibilità finestre descrizione protezioni

- porte

6-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

8-       Rischio incendio

1-       Denominazione e destinazione locale

2-       Collocazione

3-       Accessi

4-       Archivio

5-       Protezioni da intrusione esterna

accessibilità finestre descrizione protezioni

- porte

6-       Postazioni di lavoro e dotazioni informatiche

7-       Descrizione arredi

8-       Rischio incendio

4.1.7 Gestione delle chiavi.

Chiavi per l’accesso agli edifici scolastici siti nei Comuni di Bagnoregio, Lubriano, Civitella D’Agliano e Castiglione in Teverina.

a)       soggetti cui sono affidate le chiavi

Personale istituzione

-            Dirigente

-            Direttore SGA

-            Collaboratori scolastici

-            Docenti, collaboratori o Fiduciari

Soggetti esterni

-            Comune

b)       modalità di affidamento delle chiavi

-          Informale sono in corso verbali di consegna

c)           Esistono copie delle chiavi?                             SI  X                        NO

d)           In caso di risposta positiva indicare il soggetto o i soggetti preposti alla custodia delle copie di sicurezza

-          Dirigente e Direttore SGA

Gestione delle chiavi di accesso ai locali dove sono trattati dati personali

            Locali situati nell’edificio

-     Sede principale: Via D. Alighieri 14 Bagnoregio

a)       Soggetti cui sono affidate le chiavi

Personale istituzione

-          Collaboratori scolastici del plesso

Soggetti esterni

-          Nessuno

b)       Modalità di custodia delle chiavi

-       Bacheca nel locale collaboratori scolastici

c)       Esistono copie delle chiavi?          SI  X                        NO

d)       In caso di risposta positiva indicare il soggetto o i soggetti preposti alla custodia delle copie di sicurezza

-          Collaboratori Scolastici

Gestione delle chiavi degli archivi  dove sono custoditi dati personali

            SEDE CENTRALE (S.E. BAGNOREGIO)

Archivi situati nei locali

-          Tutti i locali dei settori amministrativi

(uffici ed archivi così come precedentemente descritti)

a)       soggetti cui sono affidate le chiavi

-          Non presente attualmente gestione delle chiavi

b)       modalità di custodia delle chiavi: nella guardiola custodi e nei locali segreteria

c) esistono copie di sicurezza delle chiavi             si                no              in  parte X

in caso di risposta positiva indicare il soggetto o i soggetti preposti alla loro custodia

4.1.8 Rilevazione struttura sistema informativo

1.       Tipologia della rete

-          rete unica per i servizi amministrativi

2.       Tipologia delle risorse hardware

-          n. 1 server

-          n. 6 P.C. in rete

3.       Collocazione server

-          Locale segreteria

4.       Accesso alle risorse Internet

-          Si

5.       Posta elettronica

            -    si celleno.it

            -     provider casella elettronica ministeriale

Tipologia delle risorse software

6.       Sistema operativo usato sul server

-          WINDOW XP

7.       Sistemi operativi usati sui client

            Programmi:

-          Microsoft Office Professional

-          Procedure ARGOsoft

-          Alunni, personale, bilancio, protocollo, inventario

-          SISSI

8.       Supervisore di rete

-          consulenza con ditta CELLENO INFORMATICA

9.       Progetto  e certificazione della rete

-          Richiesta

10.   Planimetria della rete

-          Richiesta

11.   Uso della rete

-          condivisione programmi e risorse interne

12.   Interventi di formazione del personale

-          Si

13.   Assegnazione di nomi logici per le periferiche di rete

-          NO

14.   Assegnazione delle password di accesso alle singole macchine

-          NO

15.   Assegnazione dei codici identificativi personali

-          NO

16.   Collaboratori esterni o temporanei che hanno accesso alla rete personale a convenzione

-          nessuno

Prevenzione della perdita dei dati

17.   Incarico formale dell’esecuzione dei backup

-          no incarico formale

18.   Software antivirus

-          Norton                

19.      Supporto sul quale viene effettuato il backup

-          su CD

20.   Libro mastro della programmazione dei backup

-          Non ancora

21.   Gruppo di continuità

-          SI, ma è insufficiente

22.   Manutenzione delle risorse HW e SW

-          Ditte esterne a chiamata

Si metteranno di seguito in evidenza i rischi propri, connessi al trattamento dei dati personali secondo le categorie di rischio elencate nell’articolo 31.

Tali rischi si possono classificare in:

- distruzione o perdita, anche accidentale dei dati;

- connessi alla integrità dei dati;

- accesso non autorizzato ai dati;

- trattamento non consentito o non conforme alla finalità della raccolta;

- connessi con l’utilizzo di reti di telecomunicazione disponibili al pubblico;

- connessi al reimpiego di supporto di memorizzazione;

- connessi alla conservazione della documentazione relativa al trattamento;

- connessi all’utilizzo di archivi e contenitori con serrature.

4.2.1  Rischi riguardanti le basi di dati trattate da docenti.

I rischi sottoelencati afferiscono al trattamento dei dati connesso con l’attività didattica, che viene effettuato senza l’ausilio di strumenti elettronici,

-   distruzione o perdita accidentale dei dati a causa di eventi naturali,

-   allagamenti, furto danneggiamento etc.;

-   connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non stabili;

-   accesso non autorizzato ai dati, da parte di soggetti esterni alla scuola o da parte di personale interno;

-   trattamento non consentito o non conforme alle finalità di raccolta : diffusione, comunicazione,

-   manomissione;

-   connessi all’utilizzo di archivi e contenitori con serrature.

4.2.2  Rischi riguardanti le basi di dati trattate dal personale ATA.

Riguardano le basi di dati trattate esclusivamente dal personale ATA ed anche la documentazione didattica su cui operano i docenti non riferita all’anno scolastico in corso; il trattamento è effettuato con strumenti elettronici e con strumenti non elettronici.

I rischi di cui si tratta sono:

- distruzione o perdita accidentale dei dati a causa di eventi naturali,

- allagamenti, furto, danneggiamento etc.;

- connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non stabili;

- accesso non autorizzato ai dati , da parte di soggetti esterni alla scuola o da parte di personale

     interno;

- trattamento non consentito o non conforme alle finalità di raccolta: diffusione, comunicazione,

  manomissione,

- connessi all’utilizzo di archivi e contenitori con serrature;

- connessi all’utilizzo del sistema informativo automatizzato.

Si ritiene opportuna una analisi puntuale dei rischi cui è esposto il sistema informativo automatizzato.

4.2.3. Analisi dei rischi per il sistema informativo automatizzato.

L’analisi dei rischi consiste nella individuazione degli elementi del sistema informativo automatizzato (SIA) che necessitano di protezione e delle minacce cui gli stessi possono essere sottoposti, tenendo conto del fattore tecnologico e del fattore umano.

Risorse hardware

Elementi da proteggere:

- CPU

- terminali

- workstation

- P.C.

- stampanti

- disk drive

- linee di comunicazione

- server

Minacce cui sono sottoposti

- malfunzionamenti dovuti a guasti

- malfunzionamenti dovuti a sabotaggi

- malfunzionamenti dovuti ad eventi naturali

- malfunzionamenti dovuti a furti e intercettazioni

Risorse software

Elementi da proteggere:

- Sistemi Operativi

- Software di Base

- Software Applicativi

- Gestori di basi di dati

- Software di rete

Minacce

- errori involontari contenuti nelle procedure che possono consentire ad utenti non autorizzati

  l’esecuzione di operazioni riservate

- presenza di codice malizioso, inserito volontariamente nell’applicazione al fine di svolgere

  operazioni non autorizzate o per danneggiare il programma (virus, cavalli di troia, bombe logiche,

  backdoor);

- attacchi denial of service

Dati

Si tratta del contenuto degli archivi, delle basi di dati, dati di transito, copie storiche, file di log, etc.

Minacce

-     accesso non autorizzato

-     modifiche deliberate o accidentali

Risorse professionali

Si tratta di: amministratori di sistema, i sistemisti, i programmatori, gli operatori, gli addetti alla manutenzione, i consulenti, etc.

Minacce

-          attacchi sociali engineering attraverso i quali estranei cercano di ottenere informazioni per attaccare il sistema;

-          scarsa consapevolezza in materia di sicurezza o motivi di rivalsa nei confornti dell’amministrazione;

Supporti di memorizzazione

Sono i supporti su cui vengono tenute le copie dei software installati, dei file di log e dei back-up.

Minacce

-          distruzione o alterazione ad opera di eventi naturali

-          distruzione o alterazione ad opera di azioni accidentali o intenzionali

-          deterioramento nel tempo

-          inaffidabilità del mezzo fisico

-          evoluzione tecnologica del mercato.

Le attività di sviluppo delle linee guida, riguardano le seguenti aree:

4    sicurezza Fisica

4    sicurezza Informatica

4    sicurezza Organizzativa

I requisiti di sicurezza fisica sono tesi a

-          proteggere le persone che operano sui sistemi

-          proteggere le arre

-          proteggere gli archivi.

Variano considerevolmente in funzione delle dimensioni e dell’organizzazione del Sistema Informativo.

Nella fattispecie viste le dimensioni di tale sistema sono state fatte le seguenti considerazioni:

5.1.1 Sicurezza di area

La sicurezza di area ha il compito di prevenire accessi fisici non autorizzati, danni o interferenze con lo svolgimento dei servizi. Le contromisure si riferiscono alle protezioni perimetrali dei siti, ai controlli fisici all’accesso, alla sicurezza degli archivi e delle attrezzature informatiche rispetto a danneggiamenti accidentali o intenzionali, alla protezione fisica dei supporti.

Come si evince da quanto descritto in precedenza (vedi “Situazione attuale”) i locali, presentano alcune problematiche di sicurezza relative a possibili intrusioni dall’esterno che possono avvenire soprattutto fuori dall’orario di lavoro quando i locali non sono presidiati.

Quindi è necessario predisporre quanto segue.

4    Adeguamento 1

Prevedere l’installazione di un sistema di allarme ed a supporto di tale sistema deve essere prevista l’installazione di vetri antisfondamento e/o barre alle finestre e serrature adeguete alle porte, nell’area comprendente i locali adibiti a servizi amministrativi.

Sicurezza delle apparecchiature hardware

La sicurezza delle apparecchiature è riconducibile da un lato alle protezioni da danneggiamenti accidentali o intenzionali e dall’altro alla sicurezza degli impianti di alimentazione. Anche la manutenzione dell’hardware rientra in questa area, come anche la protezione da manomissione o furti. Sarà effettuato quanto prima l’aggiornamento del software per la protezione dai virus  installato su tutti i computers ed il personale verrà informato sull’importanza del rispetto di alcune fondamentali norme di sicurezza relative alle succitate problematiche.

5.1.2 Sicurezza degli archivi

4    Adeguamento 2

Ogni posto di lavoro ove opera un incaricato del trattamento dati deve essere dotato almeno di un contenitore, (cassetto, armadio) con serratura efficiente e sicura; (per i docenti possono essere previste cassettiere dotate di serrature per ogni cassetto);

4    Adeguamento 3

Le banche di dati personali (sensibili e non) devono essere contenute in contenitori adeguati (schedari, armadi) dotati di serratura efficiente e sicura.

4    Adeguamento 4

I locali che contengono banche di dati personali (sensibili e non) e/o strumenti informatici devono essere dotati di una porta adeguata con serratura efficiente e sicura.

4    Adeguamento 5

Devono essere indicati all’interno dei locali amministrativi le zone interdette al pubblico o personale estraneo agli uffici.

4    Adeguamento 6

Nei locali, uffici, accessibili al pubblico deve essere indicato l’orario consentito per le visite.

Il campo di applicazione della Sicurezza Logica riguarda principalmente la protezione dell’informazione, e di conseguenza di dati, applicazioni, sistemi e reti, sia in relazione al loro corretto funzionamento ed utilizzo, sia in relazione alla loro gestione e manutenzione nel tempo.

Le contromisure di Sicurezza Logica      sono quindi da intendersi come l’insieme di misure di sicurezza di carattere tecnologico (Information and Communication Technology) e di natura procedurale ed organizzativa che concorrono nella realizzazione del livello di sicurezza da raggiungere. Sotto questo aspetto si sente la mancanza dell’organizzazione del back-up periodico dei dati che protegga gli stessi dal rischio della morte fisica delle memorie di massa. Da prendere in considerazione anche l’acquisto di un gruppo di continuità per sopperire ad eventuali black-out della rete elettrica.

4    Adeguamento 7

Acquisizione e messa in funzione di un dispositivo di back-up, istituzione di un registro per l’annotazione periodica del salvataggio dati.

4    Adeguamento 8

Acquisizione e messa in funzione di un gruppo di continuità, tenuta del registro dei controlli periodici di funzionamento dello stesso.

4    Adeguamento 9

Previsione di aggiornamento periodico del programma antivirus almeno sulle postazioni contenenti dati personali o sensibili.

4    Adeguamento 10

Assegnazione alle singole macchine di un controllo di accesso e di identificazione utente attraverso password.

4    Adeguamento 11

Autorizzazione e regolamentazione all’uso degli strumenti di telecomunicazione, modem.

¨        Servizi di Sicurezza.

Sono le funzioni di sicurezza che il sistema dovrà garantire su tutte le piattaforme ed a tutti i livelli di elaborazione. ISO individua i seguenti servizi di sicurezza:

-                           Autenticazione

-                           Controllo Accessi

-                           Confidenzialità

-                           Integrità

-                           Non Ripudio

¨       Meccanismi di Sicurezza.

Rappresentano le modalità tecniche attraverso le quali è possibile realizzare i servizi di sicurezza. ISO individua i seguenti meccanismi di sicurezza:

-                           Cifratura

-                           Firma Digitale

-                           Meccanismi  per il controllo degli accessi

-                           Integrità dei dati

-                           Meccanismi per l’autenticazione

-                           Traffic Padding ovvero saturazione del traffico in rete

-                           Controllo di instradamento

-                           Notarizzazione

Rete locale.

I servizi e i Meccanismi di Sicurezza come sopra descritti non sono attualmente da prendere in considerazione viste le dimensioni del sistema informativo in questione, e visto che i PC non sono collegati in rete disponibile al pubblico, art.3 DPR 318/99.

Rete fornita dall’Amm. Scolastica Nazionale.

I Servizi e i Meccanismi minimi di Sicurezza come sopra descritti sono già operanti per tutto il sistema informativo del Ministero della P.I. (S.I.S.S.I.). Infatti per quanto riguarda il controllo degli accessi abbiamo:

identificazione, ovvero riconoscimento degli utenti e validazione della loro identità che è possibile con l’assegnazione di codici di identificazione utente, memorizzati nel badge e con la digitazione di una password (P.I.N.).

Controllo di congruenza tra i dati inseriti e le informazioni inserite nel badge, che rende operativa la macchina solo nel caso di verifica positiva

autorizzazione, ovvero determinazione di quali utenti sono abilitati ad eseguire quali azioni, in quali circostanze, con quali risorse del sistema

registrazione, in presenza di tentativi di effrazione, il sistema impedisce l’uso della stazione di lavoro e registra su archivi interni di controllo tutte le informazioni come il codice e il PIN dichiarati, la data e l’ora del tentativo di accesso.

Accanto all’adozione di misure tecnologiche già illustrate, è necessario, come richiamato, vengano definite una serie di norme e procedure miranti a regolamentare gli aspetti organizzativi del processo di sicurezza.

Gli aspetti organizzativi riguardano principalmente:

-          la definizione di ruoli, compiti e responsabilità per la questione di tutte le fasi del processo Sicurezza;

-          l’adozione di specifiche procedure che vadano a completare e rafforzare le contromisure tecnologiche adottate.

Un ulteriore aspetto inerente la Sicurezza Organizzativa è quello concernente i controlli sulla consistenza e sulla affidabilità degli apparati.

In ordine alle norme di comportamento, si rimanda a quanto è definito nei documenti di nomina per l’assegnazione di responsabilità ed incarichi ed a quanto specificato nell’allegato A.

L’attuazione delle norme in questa istituzione scolastica è stata avviata a partire dal trattamento dati effettuato dagli uffici di segreteria. Per quanto riguarda i dati trattati da docenti, trattamento regolamentato da norme puntuali, sarà definito in tempi rapidi un piano di lavoro finalizzato ad implementare le citate norme con quelle previste dal  D. Legislvo n 196 del 30 giugno 2003

Quanto segue riguarda quindi in modo specifico il trattamento dei dati personali e sensibili svolto negli uffici di segreteria.

Trattamento dei dati

con strumenti diversi da quelli elettronici o comunque automatizzati

Attività realizzate e/o da realizzare

-          ricognizione delle banche dati (art. 4  comma 1 , lett,p

-          classificazione delle banche dati contenenti dati sensibili (art.20) e dei dati relativi ai provvedimenti di cui  all’rt. 686 del CPP ( art.47);

-          individuazione per ogni banca dati in modo puntuale l’ubicazione ( locale dove è collocata) ed il tipo di contenitore, descrivendone le caratteristiche;

-          individuazione, raggruppandoli secondo criteri relativi all’organizzazione, i trattamenti (art4 comma 1 );

-          il responsabile ha designato per scritto (art. 30, comma 2 D.Leg.vo 196/03) gli incarichi delle attività di trattamento di cui al punto 4, nonché le regole di affidamento e riconsegna documenti;

-          sarà realizzato, compatibilmente con le esigenze del P.A. 2004, un programma di formazione per tutto il personale interessato, docente e non docente, attraverso specifiche attività sui contenuti delle norme di cui si tratta.(da realizzare)

Trattamento dei dati

con strumenti elettronici o comunque automatizzati

Trattamento dei dati con elaboratori non accessibili da altri elaboratori o terminali:

-          è stata individuata per ogni elaboratore la password;

-          il responsabile è stato preposto alla custodia delle password ed alla loro assegnazione agli incaricati

Trattamento dei dati

Con elaboratori accessibili da altri elaboratori e terminali.

Nel caso di affidamento da parte della Istituzione a soggetti esterni di attività che comportino trattamento dei dati conviene distinguere due casi:

a)       affidamento a persone fisiche;

b)       affidamento a persone giuridiche.

Nel caso che il soggetto sia una persona fisica lo stesso sarà nominato, dal titolare o dal responsabile, incaricato di trattamento dati attraverso un atto di nomina che specifichi puntualmente le norme di comportamento da seguire.

Ove necessario il titolare o il responsabile provvederanno a informare l’incaricato sui contenuti fondamentali delle norme che disciplinano il trattamento dei dati personali.

Il titolare o il responsabile verificheranno periodicamente, nelle forme ritenute più opportune, sulla correttezza del trattamento, con particolare riferimento all’adozione delle misure minime di sicurezza, da parte degli incaricati.

Nel caso che il soggetto sia una persona giuridica la stessa sarà nominata dal titolare responsabile esterno di trattamento dati attraverso un atto di nomina che specifichi puntualmente le norme di comportamento da seguire con specifico riferimento alle misure minime di sicurezza da adottare.

Il titolare vigilerà sulle attività relative al trattamento dipendenti dal responsabile esterno e si farà rilasciare dallo stesso una dichiarazione di conformità a quanto stabilito dalle norme di legge e dal presente documento.

Il responsabile nel caso del verificarsi di eventi che provochino la distruzione od il danneggiamento dei dati personali personali contenuti nelle banche dati del sistema informatico, provvederà senza ritardo a ripristinare la funzionalità delle banche dati utilizzando le copie di back-up.  

Si realizzerà, nel mese di aprile 2004, l’informazione di tutto il personale della Istituzione in servizio, docente ed ATA, attraverso la organizzazione di una specifica attività per complessive 2 ore.

Il Dirigente scolastico ed il Direttore SGA sono stati sottoposti a specifica formazione nel mese di gennaio 2004.

Sono state effettuate altre ore di formazione specifica (n°4) per le figure:

-          Responsabile del trattamento dei dati

-          Amministratore di sistema

Il personale supplente temporaneo che prenderà servizio durante il corso dell’anno scolastico verrà informato sui contenuti del codice e sui doveri da esso derivanti, anche attraverso la fornitura di materiale informativo di sintesi dal titolare o dal responsabile.

All’inizio di ogni anno scolastico, entro il mese di ottobre, il titolare ed il responsabile programmeranno, qualora necessario, attività formative per il personale che prende servizio nella istituzione e che non è stato in precedenza sottoposto a formazione sui temi di cui si tratta.

Gli interventi formativi potranno essere realizzati anche in collaborazione con altre istituzioni scolastiche.

In sede di verifica dell’efficacia delle misure di sicurezza, anche in relazione a novità che di dovessero presentare nelle norme di legge e/o in relazione all’evoluzione tecnica del settore, il titolare ed il responsabile programmeranno le necessarie attività formative.

Le attività formative sui contenuti di cui si tratta verranno certificate ed annotate su un apposito registro.

Questa istituzione tratta dati idonei a rivelare lo stato di salute del personale, docente ed ATA, e degli alunni esclusivamente per finalità previste dalla legge.

Secondo quanto prescritto dall’articolo 22 comma 7 del D. Igs 196/2003 i dati idonei a rivelare lo stato di salute “sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo”; inoltre il comma 7 dello stesso articolo dispone che i dati idonei a rivelare lo stato di salute, qualora contenuti in banche dati informatiche vengano trattati “con tecniche di cifratura o mediante l’utilizzo di codici identificativi o di altre soluzioni, che li rendono temporaneamente inintellegibili anche a chi  è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità”.

Riguardo al trattamento senza l’ausilio di strumenti elettronici, dei dati di cui si tratta si stabilisce quanto segue:

a)       Dati riguardanti il personale docente ed ata

I dati consistono essenzialmente in certificati medici consegnati o fatti pervenire all’ufficio di segreteria.

Dopo la ricezione, durante il trattamento (protocollazione etc) saranno inseriti in un contenitore chiuso riferito all’interessato e successivamente inseriti nel fascicolo personale, dove saranno conservati all’interno di una busta chiusa recante l’indicazione del contenuto separatamente dagli altri documenti.

b)       Dati riguardanti gli alunni

I dati consistono essenzialmente in certificati medici consegnati dagli alunni o dai genitori ai docenti o al personale ATA, per scopi definiti da norme di legge (giustificazione assenze; esonero da attività di educazione fisica, necessità di particolari diete alimentari etc.)

Dopo la ricezione i dati saranno inseriti in un contenitore chiuso riferito all’interessato e successivamente trattati da personale incaricato e custoditi in appositi contenitori chiusi.

I certificati riguardanti la necessità di particolari diete alimentari, potranno in caso di necessità, essere comunicati al soggetto che espleta il servizio mensa previamente nominato responsabile esterno del trattamento da parte del titolare.

Allegati

A – documenti di nomina per l’assegnazione di responsabilità ed incarichi

B – lista degli incaricati di trattamento con strumenti elettronici

C – lista degli incaricati di trattamento senza l’ausilio di strumenti elettronici.