-
Autentificazione
informatica.
E’ necessario adottare
soltanto soluzioni informatiche che consentano l’accesso alle procedure
solo ed esclusivamente dopo aver verificato l’identità dell’utente e le
sue credenziali di accesso, nonché i suoi diritti di operatività.
Non si possono, cioè, adottare procedure il cui avviamento non sia
subordinato alla richiesta di autenticazione Utente e Password.
Tutti i prodotti Axios Italia equivalenti a
SISSI in Rete sono conformi a questo requisito.
-
Adozione di procedure di gestione delle credenziali di autenticazione.
La scuola deve dotarsi di un
sistema che sia in grado di generare le credenziali (utente/password)
per tutti coloro che accedono ai dati.
Ad esempio su SISSI in Rete allo stato attuale è possibile accedere
attraverso una identificazione (sissi/sissi) nota a tutti per essere
stata pubblicata su internet dal MIUR stesso:
Documento Ministeriale. La cosa più grave è che questa
coppia utente e password non può essere rimossa dai responsabili della
scuola.
Inoltre il sistema deve essere
in grado di consentire, a coloro che accedono la prima volta (es. il
personale di segreteria), di modificare immediatamente la password
assegnata e successivamente di modificarla a scadenze programmate.
Tutti i prodotti Axios Italia equivalenti a
SISSI in Rete sono conformi a questo requisito.
SICUREZZA PLUS,
inoltre è l’unica procedura al momento che consente REALMENTE di
rimuovere e/o modificare la coppia sissi/sissi.
Molte scuole si sono rivolte a noi lamentando l’operato di alcune
aziende che, millantando capacità non possedute, sostenevano di aver
eliminato il problema (sissi/sissi).
A tal proposito abbiamo creato un test per consentire alla scuola di
verificare il grado d’affidabilità del proprio database.
Provatelo!
-
Utilizzazione di un
sistema di autorizzazione.
Ogni utente del database deve essere autorizzato ad accedere per
qualunque operazione sui dati.
La scuola deve quindi accertarsi di possedere un prodotto che consenta
al Responsabile di assegnare ad ogni Utente i diritti (lettura,
variazione, inserimento, cancellazione) relativamente ad ogni dato a cui
l’Utente può accedere.
SICUREZZA PLUS
è perfettamente corrispondente a questi requisiti.
-
Aggiornamento periodico
dell’individuazione dell’ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti
elettronici.
La scuola deve dotarsi di
una procedura che le consenta di gestire automaticamente:
-
L’obbligo di modifica della password al primo accesso alle
procedure.
-
La verifica della durata massima, in giorni, di un codice
d’accesso impostabile dall’utente.
-
La verifica della durata massima, in giorni, anch’essa
impostabile dall’utente, di un codice d’accesso mai utilizzato.
-
La scadenza unica per tutti i codici di accesso che devono essere
necessariamente reimpostati.
SICUREZZA PLUS
è perfettamente corrispondente a questi requisiti.
-
Protezione dei dati
rispetto ai trattamenti illeciti, ad accessi non consentiti e a
determinati programmi informatici.
La scuola deve dotarsi di un
firewall (hardware o software) e di un prodotto anti-virus.
OFFERTA FIREWALL E ANTIVIRUS
Il firewall hardware è più affidabile e completo quello software è quasi
sempre più economico.
Esistono molti prodotti anti-virus che consentono di proteggere anche la
rete e gli accessi ad internet.
Per quanto concerne l’accesso ai dati da parte di programmi esterni vale
quanto detto prima a proposito della coppia sissi/sissi. Nel test
dimostriamo come attraverso Access sia possibile accedere a tutti i dati
di SISSI in Rete se questi non sono stati protetti attraverso prodotti
quali
SICUREZZA PLUS.
-
Adozione di procedure
per la custodia delle copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi.
La scuola deve dotarsi di un
buon sistema di Backup/Restore dei dati. Tale sistema deve essere in
grado di:
-
Eseguire il backup di sicurezza in forma compressa e protetta da
password.
-
Criptare il database prima di copiarlo.
-
Gestire e stampare il log (giornale) delle operazioni di copia
effettuate.
-
Eseguire un backup tecnico (cioè epurato dei dati sensibili) per
l’assistenza tecnica con invio automatico dello stesso al centro di
assistenza via FTP.
-
Consentire il Restore dei dati solo ai possessori delle
necessarie autorizzazioni.
BACKUP & RESTORE PLUS
è perfettamente corrispondente a questi requisiti.
-
Tenuta di un aggiornato
Documento Programmatico sulla Sicurezza (D.P.S.).
Contrariamente da quanto
sostenuto da alcuni operatori del settore il D.P.S. NON E’ UN SEMPLICE FILE DI WORD
ma molto di più. La sua
gestione, complessa ed articolata, necessita di una procedura apposita
che deve prevedere al minimo:
-
Una guida che aiuti l’utente, passo passo, nella compilazione
delle tabelle fino ad arrivare alla stesura completa del D.P.S.
-
Semplicità d’uso e chiari riferimenti nelle definizioni alla
norma.
-
Lettura automatica della configurazione hardware e software del
sistema informatico scolastico.
-
Inserimento automatico dei dati del personale docente e ATA
all’interno delle strutture.
-
Gestione del giornale delle attività
-
Stampa dei seguenti documenti in formato Word e quindi facilmente
personalizzabili:
-
D.P.S.
-
Nomine responsabili (anche uno per ogni sede distaccata).
-
Nomine incaricati.
-
Nomine Custode delle parole-chiave, Custode delle chiavi, Tecnico
interno ed esterno del sistema informativo, Supervisore del backup e
dell’aggiornamento del software.
-
Documento art. 180.
-
Configurazione del sistema informativo con stampa del verbale di
autorizzazione a nuove installazioni
-
Organigramma dei responsabili di ogni singolo trattamento.
-
Profili d’autorizzazione (generici o particolareggiati).
-
Riepilogo spese previste per adeguamento del sistema.
-
Stampa nominativa richiesta diffusione dati per alunni diplomati
-
Stampa nominativa acquisizione del consenso per alunni e
personale (Docente/ATA).
AXIOS PRIVACY
è il nostro prodotto conforme a questi requisiti.
