Buongiorno a tutti
Se ne è parlato parecchio in lista e dagli archivi, oltre che
da documentazione (piu' o meno professionale oltre che "copia
incolla delle indicazioni del Garante) acquisita da internet,
non mi sono molto chiare due cose:
1) Gli obblighi _specifici_ per i SysAdmin (che vanno indicati
con chiarezza nella lettera di nomina e aderenti all'allegato
B del DL 196/03)
2) Verifiche da effettuare da parte del Titolare.
in particolare alle considerazioni:
"L’operato degli amministratori di sistema deve essere oggetto
di verifica, con cadenza almeno annuale, per acclarare che
le attività svolte dall’amministratore siano in effetti
conformi alle mansioni attribuite."
Rilevo che da tutte le parti, con soluzioni tecniche e/o
organizzative, si e' fissata l'attenzione sui log di accesso
ai sistemi e programmi per il trattamento dei dati (potenziale
o reale) da parte dei SyAdmin. Poco rilievo, come se fosse già
scontato, sull'adozione di politiche di backup, sicurezza logica
e correlati.
Mi sfugge qualcosa e chiedo lumi su come occorrerebbe implementare
bene la parte 2) e se solo con Ck list di verifica.
In caso sia necessario altro di livello tecnico piu' elevato,
chiedo come sia possibile semplificare al massimo per i "titolari"
che non abbiano elevate competenze IT.
Sono graditi Link, riferimenti a documenti e/o soluzioni tecniche
(preferibiti quelli a sorgente aperto) esempi di soluzioni adottate
e/o tipologie di verifiche effettuate, ecc.
Grazie anticipatamente a tutti.
Stefano
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
