06 | 09 | 2010
IT Consulent
Google Search

Support
Contact us
Newsletter
Vuoi essere informato sulle ultime novità ed attività. Iscriviti alla newsletter
Newsletter informativa


Ricevi HTML?

Privacy, l'amministratore di sistema | Stampa |  E-mail

Imprese e p.a. devono avere un amministratore di sistema, secondo quanto previsto dal provvedimento del garante della privacy del 27 novembre 2008, pubblicato sulla Gazzetta Ufficiale del 24 dicembre 2008.

La misura consiste nella individuazione e formale nomina di chi amministra i sistemi informativi di una azienda, di un ente o di uno studio professionale.

Tale provvedimento ha, secondo il garante, lo scopo di elevare il livello di sicurezza nel trattamento dei dati effettuato con gli elaboratori. Così si potrà contrastare un certo lassismo nell'uso dei computer ed elaboratori. L'obiettivo di quel provvedimento è fare in modo che si faccia effettivamente attenzione alla sicurezza informatica, responsabilizzando enti pubblici, imprese e professionisti e obbligandoli a rivolgersi a persone preparate e capaci di assicurare un livello adeguato di tutela degli elaboratori. L'adempimento può, però, incontrare alcune difficoltà interpretative e attuative. A questo scopo il garante ha pubblicato alcune faq sul suo sito istituzionale. Sempre per superare queste difficoltà operative potranno essere utili i modelli di designazione dell'amministratore di sistema e di comunicazione con il soggetto esterno che gestisce la rete in outsourcing.

 

A CHI SI APPLICA
Il garante ha precisato in un suo comunicato del 10 dicembre 2009 chi è tenuto alla nomina dell'amministratore di sistema e a gli altri adempimenti connessi.

Questo allo scopo di arginare «azioni promozionali da parte di consulenti rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici». A questo proposito il garante ha chiarito che le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell'amministratore di sistema o a una figura equivalente; conseguentemente le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso. Insomma quello che conta è il dato dimensionale e organizzativo (anche se non si stabiliscono espressamente livelli soglia).

LOGGING
Il provvedimento prevede, tra gli altri adempimenti, il cosiddetto logging e cioè la registrazione degli accessi dell'amministratore di sistema, con indicazione dei tempi di apertura e chiusura dell'intervento e con la registrazione dell'evento che ha generato l'intervento del sistemista.

Il garante, nel comunicato del 15 dicembre 2009, ha precisato che si può utilizzare software open source a costo zero per il logging degli accessi degli amministratori di sistema. L'adempimento può essere realizzato senza fare ricorso a costosi applicativi

SANZIONI
Non nominare l'amministratore di sistema privacy può costare caro. L'omissione apre la strada alla applicazione della sanzione prevista dall'articolo 162, comma 2 ter, del Codice della privacy.

In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 30 mila a 180 mila euro. Sanzioni tra l'altro incrementabili se ricorrono situazioni aggravanti o in caso di non sufficiente deterrenza della sanzione edittale. Peraltro l'adempimento non deve essere realizzato dalle piccole e medie imprese, se trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile. Rientrano in quest'ultima categoria, e si è perciò esonerati dall'obbligo di nominare l'amministratore di sistema, i trattamenti necessari per la gestione di ordinativi, le buste paga e l'ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing e dipendenti.

 
LE INDICAZIONI DEL GARANTE
Il garante ha fornito alcune indicazioni operative rispondendo ad alcune domande frequenti. Vediamo le risposte.

L'obbligo di registrazione degli accessi logici riguarda i sistemi client «postazioni di lavoro informatizzate». La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso). Non è richiesto in alcun modo che vengano registrati dati sull'attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Nei casi più semplici la registrazione può essere soddisfatta tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l'uso di strumenti software o hardware aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità. Il titolare, tuttavia, deve valutare se adottare strumenti più sofisticati (raccolta dei log centralizzata, dispositivi non riscrivibili, tecniche crittografiche per la verifica dell'integrità delle registrazioni).

I più diffusi sistemi operativi garantiscono anche la inalterabilità delle registrazioni. Il requisito, chiarisce il garante, può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e «certificati». Il garante, poi, si spinge a dire che il provvedimento non si preoccupa della effettiva genuina generazione dei dati registrati: il provvedimento si limita a prevedere come forma minima di documentazione dell'uso di un sistema informativo, la generazione del log degli «accessi» (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento. Non c'è, dice la risposta del garante senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi. Inoltre l'accesso applicativo non è compreso tra le caratteristiche tipiche dell'amministratore di sistema e quindi non è necessario, in forza del provvedimento del garante, sottoporlo a registrazione. Per la nomina dell'amministratore di sistema è sufficiente specificare l'ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.

Autore: Antonio Ciccia
Fonte: ItaliaOggi Sette - 25 gennaio 2010


Add this page to your favorite Social Bookmarking websites
Reddit! Del.icio.us! Mixx! Free and Open Source Software News Google! Live! Facebook! StumbleUpon! TwitThis Joomla Free PHP
 
Login



Associazioni & Partner
Socio delle seguenti associazioni informatiche internazionali:

Information Systems Security Association
www.issa.org
---------
Associazione Italiana Professionisti Sicurezza Informatica
www.aipsi.org
---------
Associazione Italiana per la Sicurezza Informatica
www.clusit.it
---------
Associazione Italiana per l'informatica ed il calcolo automatico
www.aica.it
---------
International Crime Analisys Association
www.criminologia.org
---------
Federazione Italiana Privacy
www.federprivacy.it
---------
Test Center DS__0215

Accreditato per il rilascio delle certificazioni europee:
Designed by raduga - Web by Massimo Chirivì