> >-----Messaggio originale----- > >Da: [email protected] > >[mailto:[email protected]] Per conto di Claudio Telmon > >Inviato: sabato 20 marzo 2010 22.55 > >A: [email protected] > >Oggetto: Re: R: [ml] Amministratori di sistema e correlati - > >Verifiche > > > >Rissone Ruggero wrote: > >
> >Secondo me non è blando, è generico: dice che l'operato > >degli amministratori di sistema deve essere conforme "alle > >misure organizzative, tecniche e di sicurezza riguardanti i > >trattamenti dei dati personali previste dalle norme > >vigenti", il che se vuoi comprende, nel caso di chi tratta > >traffico, tutte le normative specifiche. Le normative specifiche (ti posso parlare dei Dati di traffico che e' quanto di piu' vicino alla realta' aziendale in cui opero)erano gia' presenti e di fatto questo provvedimento non ha aggiunto nulla (in termini pratici) che gia' non fosse stato recepito dall'azienda. Non credo neanche > >che il trattamento dei dati in un'ospedale e la > >corrispondenza a tutte le rispettive normative sia banale. Infatti stiamo parlando di dati sensibili, al quale hanno dedicato diversi articoli della 196, proprio perche' non sono banali le implicazioni relative al loro "errato" trattamento. Pero' un amministratore di sistema, nel momento che accede alla banca dati contenente ad es. le schede dei pazienti ricoverati, non credo venga limitato piu' di tanto solo dal requisito del Garante sugli amministratori di sistema relativo alla presenza di un Access Log. Io, amministratore, comunico che c'e' un'anomalia sul DB (non e' vero che c'e' ma chi mi autorizza non ha le competenze per valutarlo) che deve essere risolta; chiedo quindi l'autorizzazione per accedervi (che mi viene concessa). Accedo al DB, faccio un dump delle informazioni sensibili che potrebbero essere di interesse (e quindi avere valore) per enti esterni su un bel supporto magnetico, faccio un logout : ho trattato illecitamente dei dati sensibili, tale operazione non e' stata registrata ma ho rispettato un requisito (generico per usare le tue parole, io ribadisco blando) del Garante. BTW , neanche troppo tempo fa, due sedi ospedaliere (vicine ma non troppo), utilizzavano un link wireless punto-punto per trasferire cartelle cliniche, esami diagnostici e quant'altro tra la sede centrale e quella distaccata. Ti lascio immaginare quali meccanismi di protezione avessero adottato; di sicuro "potenzialmente" chi poteva trattare quei dati sensibili non erano solo gli Amministratori di Sistema. Saluti RR Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
