> >-----Messaggio originale----- > >Da: [email protected] > >[mailto:[email protected]] Per conto di Claudio Telmon > >Inviato: domenica 14 marzo 2010 0.04 > >A: [email protected] > >Oggetto: Re: [ml] Amministratori di sistema e correlati - Verifiche
> >> > >> > > > >Scusa, non riesco a trovare questa specifica dizione. Io trovo: > > > >"L'operato degli amministratori di sistema deve essere > >oggetto, con cadenza almeno annuale, di un'attività di > >verifica da parte dei titolari del trattamento o dei > >responsabili, in modo da controllare la sua rispondenza alle > >misure organizzative, tecniche e di sicurezza riguardanti i > >trattamenti dei dati personali previste dalle norme vigenti." > > > >> In caso sia necessario altro di livello tecnico piu' > >elevato, chiedo > >> come sia possibile semplificare al massimo per i "titolari" > >> che non abbiano elevate competenze IT. > > > >Ci provo: è normale che il titolare non abbia le competenze > >dei suoi sistemisti sulle attività dei sistemisti stessi, e > >sarebbe davvero strano che non fosse così. Per questo > >esistono gli auditor IT, siano essi interni per le > >organizzazioni che li hanno, o esterni. Gli auditor IT come > >professione fanno verifiche di questo genere, e quindi > >dovrebbero sapere cosa serve verificare. > > Quanto richiesto dal Garante, di fatto, e' alquanto blando come requisito, anche solo se paragonato ai requisiti obbligatori per i sistemi che trattano dati di traffico. Le verifiche specifiche per ottemperare a quanto richiesto dal Garante devono analizzare due aspetti : uno di tipo processuale, un altro di tipo tecnico. 1) Devi identificare gli amministratori di sistema in opportune liste, basando la scelta sia sull'organizzazione di appartenenza di tali individui che sulle competenze specifiche dei singoli (molto probabilmente non nominerai amministratore di sistema un magazziniere carrellista e non nominerai come amministratore di sistemi Sun Solaris chi conosce solo il mondo Windows). 2) Poi devono esserci strumenti che permettono di monitorare tali accessi (Access Log) : come si puo' ben capire sul sistema le verifiche tecniche che puoi fare sono sostanzialmente volte a verificare che ogni tentativo di accesso, sia esso fallito o portato a buon fine, proveniente da qualsiasi tipo di porta di ingresso, venga tracciato ed inviato (senza possibilita' di modificarlo) ad un repository centralizzato per la sua successiva conservazione e/o consultazione e/o post analisi. 3) Puoi anche pensare a politiche interne per le quali i singoli amministratori di sistema, per accedere a tali sistemi, lo facciano solo se motivati da specifiche esigenze : ad es. l'apertura di un trouble ticket per un malfunzionamento. 4) Successivamente, puoi mettere in piedi strutture in grado di fare un controllo incrociato tra gli accessi effettuati e quanto definito nei processi al punto 3). Cosi' magari scopri che il tuo amministratore di sistema ha il vizietto di notte di accedere ai sistemi e farsi "gli affari altrui" Rispetto a sistemi con dati di traffico, nei quali e' necessario anche tracciare i comandi che sono stati eseguiti, diventa un po' piu' difficile rilevare eventuali comportamenti contrari alle politiche aziendali, specialmente se eseguiti durante il normale orario di lavoro. Saluti RR Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
