Rissone Ruggero wrote: > Quanto richiesto dal Garante, di fatto, e' alquanto blando come > requisito, anche solo se paragonato ai requisiti obbligatori per i > sistemi che trattano dati di traffico. Le verifiche specifiche per > ottemperare a quanto richiesto dal Garante devono analizzare due > aspetti : uno di tipo processuale, un altro di tipo tecnico. >
Secondo me non è blando, è generico: dice che l'operato degli amministratori di sistema deve essere conforme "alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti", il che se vuoi comprende, nel caso di chi tratta traffico, tutte le normative specifiche. Non credo neanche che il trattamento dei dati in un'ospedale e la corrispondenza a tutte le rispettive normative sia banale. Mi sembra un po' di più che limitarsi a nominare non sistemista un carrellista e fare il log degli accessi. > 4) Successivamente, puoi > mettere in piedi strutture in grado di fare un controllo incrociato > tra gli accessi effettuati e quanto definito nei processi al punto > 3). Cosi' magari scopri che il tuo amministratore di sistema ha il > vizietto di notte di accedere ai sistemi e farsi "gli affari altrui" E chi le fa queste cose, il titolare che non ha le competenze? I suoi sistemisti che deve controllare? Tutto il senso delle strutture di audit sta qui... ciao - Claudio -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
