Buongiorno a tutti, reinvio la presente in quanto non ho avuto
nessun riscontro in lista anche se credo sia argomento *caldo*
e molto sentito al momento:
...
Se ne è parlato parecchio in lista e dagli archivi, oltre che
da documentazione (piu' o meno professionale oltre che "copia
incolla delle indicazioni del Garante) acquisita da internet,
non mi sono molto chiare due cose:
1) Gli obblighi _specifici_ per i SysAdmin (che sono stati
indicati con chiarezza nella lettera di nomina e aderenti
all'allegato B del DL 196/03) e i loro riscontri.
2) Le verifiche da effettuare da parte del Titolare.
in particolare alle considerazioni:
"L’operato degli amministratori di sistema deve essere oggetto
di verifica, con cadenza almeno annuale, per acclarare che
le attività svolte dall’amministratore siano in effetti
conformi alle mansioni attribuite."
Rilevo che da tutte le parti, con soluzioni tecniche e/o
organizzative, si e' fissata l'attenzione sui log di accesso
ai sistemi e programmi per il trattamento dei dati (potenziale
o reale) da parte dei SyAdmin. Poco rilievo, come se fosse già
scontato, sull'adozione di politiche di backup, sicurezza logica
e correlati.
Mi sfugge qualcosa e chiedo lumi su come occorrerebbe implementare
bene la parte controllo di 1) e le verifiche 2);
Es. utilizzando solo Ck list di verifica?
In caso sia necessario altro di livello tecnico piu' elevato,
chiedo come sia possibile semplificare al massimo per i "titolari"
che non abbiano elevate competenze IT.
Sono graditi Link, riferimenti a documenti e/o soluzioni tecniche
(preferibiti quelli a sorgente aperto) esempi di soluzioni adottate
e/o tipologie di verifiche effettuate, ecc.
Grazie anticipatamente a tutti.
Stefano
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
