Qualcuno ha esaminato il provvedimento del garante su amministratori di sistema, db administrator, amministratori di rete, responsabili delle copie di backup, outsourcer, ecc.?
Ecco il link alla G.U. del 24/12/2008 http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-24&task=dettaglio&numgu=300&redaz=08A09816&tmstp=1230131020678 A parte le questioni burocratico-organizzative (valutazione delle capacità , nomina, pubblicazione dei nomi), si parla espressamente di verifica annuale dell'attività svolta e di registrazione degli accessi. "Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilita' e possibilita' di verifica della loro integrita' adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi." Libero sfogo alla fantasia nell'interpretazione di quanto sopra! Il tutto va messo in opera entro fine aprile 2009. Saludos. -- Paolo Giardini | EUCIP Certified | WOT Notary | CCOS Regione Umbria Privacy Officer AIP/ICTS | Iscritto Albo Consulenti Docenti FORMEZ Resp.Relazioni Osservatorio Privacy e Sicurezza IT | www.aipnet.it Socio A.I.P./ITCS | CLUSIT | GNU/LUG Perugia | AIPSI | ISSA | ILS http://www.solution.it | Cel.337.652876 | Fax 075.93831174
smime.p7s
Description: S/MIME Cryptographic Signature
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
