il blog di Paolo Giardini

Amministratori di sistema: le FAQ del Garante

maggio 21st, 2009 Pubblicato in Privacy

Con netto anticipo sulla scadenza fissata per la consultazione pubblica avviata dal Garante Privacy sul tema degli Amministratori di sistema, è stata pubblicata oggi sul sito del Garante una lista di domande e risposte che sciolgono senz’altro alcuni dei dubbi che tutti abbiamo sulla reale portata del provvedimento dello scorso novembre, anche se molte altre domande ancora rimangono senza risposta. In ogni caso, alcune precisazioni estrapolate da una prima veloce lettura si possono già fare.

Ad esempio, il Titolare di trattamento che sia anche l’unico utente di un pc, a meno di casi particolari, non è tenuto ad applicare quanto previsto dal provvedimento. Il che fa tirare un grosso sospiro di sollievo a tante piccole e micro imprese che si chiedevano se fosse il caso di installare un server apposito per registrare i log di accesso.
Già che parliamo di modalità tecniche, si nota dalle risposte che in realtà non viene richiesto nulla di esoterico, bastando in molti casi già gli strumenti posti a disposizione dal sistema operativo. E’ comunque compito del Titolare valutare quale sia il giusto grado di sicurezza da implementare per proteggere e conservare “per almeno sei mesi” i log. Quindi in casi specifici potrà essere necessario ricorrere a server di log centralizzati, salvataggio con crittografia, copia su supporti ottici, e quant’altro, ma nella maggior parte dei casi tutto questo non sarà necessario.

Altra domanda spesso fomulata: cosa registrare? Il Garante precisa che sono da registrare solo gli eventi legati dal sistema di autenticazione informatica, pertanto login, logout ed eventuali condizioni di errore. E se il log registra anche altri eventi oltre a quelli legati all’autenticazione, cosa comune ad esempio su syslog? Fa nulla. Il requisito dettato dal provvedimento è rispettato lo stesso.

A leggere le risposte inserite in queste FAQ, viene quasi da pensare che alla fine, tutto il parlare fatto su questo provvedimento sia stato solo tempo perso. Intendiamoci, mi sto riferendo alle discussioni tecniche che sono fiorite un pò dappertutto. Ad esempio, sull’affidabilità di un log gestito da chi poi è la stessa figura che il log dovrebbe permettere di controllare. Insomma, il classico “chi controlla il controllore?”.  Riporto un brano dalla riposta n. 12:

“E’ ben noto che il problema dell’attendibilità dei dati di audit, in genere, riguarda in primo luogo la effettiva generazione degli auditable events e, successivamente, la loro corretta registrazione e manutenzione. Tuttavia il provvedimento del Garante  non affronta questi aspetti, prevedendo soltanto, come forma minima di documentazione dell’uso di un sistema informativo, la generazione del log degli “accessi” (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi.”

Insomma: “State tutti tranquilli. Abbiamo scherzato.” ;-)

Il link al documento del Garante Privacy contenente le FAQ sugli amministratori di sistema

Forse ti interessa leggere anche: soluzione-open-source-per-log-amministratori-di-sistema

  1. 5 Risposte a “Amministratori di sistema: le FAQ del Garante”

  2. Scritto da Maurizio Proietti il nov 13, 2009

    Salve a tutti,
    non so se può interessare, ma io sto attuando il provvedimento con una soluzione “realizzata in casa” a costo zero che si basa su rsyslog e snare for windows.
    La documentazione è qui:
    http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/
    Spero possa esservi utile e spero possiate contribuire a migliorarla.
    Saluti
    M.

  3. Scritto da Paolo Giardini il nov 13, 2009

    Buongiorno Maurizio.
    Interessa senz’altro e ti ringrazio per la tua segnalazione.

    E’ interessante snare server. Hai visto ntsyslog, che suggerivo nelle slide allegate a questo post?

    Nota:invito tutti a seguire l’esempio di Maurizio, per la condivisione delle esperienze e la crescita comune.

  4. Scritto da Nicola il gen 26, 2010

    Ho una domanda, forse banale ma che non mi è molto chiara…
    Nelle varie guide che sono state proposte si va a monitorare login/logout che gli amministratori fanno sui server. Ma se un amministratore accede su un client dal quale può accedere a documenti e dati presenti sui server??? Che si va? Devono essere monitorati anche queste attività?

  5. Scritto da Paolo Giardini il gen 26, 2010

    In risposta a Nicola:
    Si, devono essere monitorati tutti gli accessi degli amministratori anche su postazioni di lavoro, quando queste contengano o vi vengano trattati dati personali.

  1. 1 Trackback(s)

  2. nov 20, 2009: solution.it » Blog Archive » Soluzione Open Source per log Amministratori di Sistema

Lascia un Commento

*
Protected by WP Anti Spam