Garante della privacy e archiviazione degli accessi amministrativi

Il garante della privicy ha varato , nel novembre 2008 , una nuova “regola” , legata alla gestione dei dati e nello specifico dei dati personali/sensibili , che impone alle aziende di mantenere archiviati i log degli accessi effettuati dagli “amministratori di sistema” ai dati stessi.

Per fortuna ( chissà se è un caso … ) Lotus Domino è completamente in linea con quanto richiesto dal garante.

Il sistema di registrazione degli accessi al sistema di Lotus permette di svolgere completamente il lavoro di archiviazione di almeno 6 mesi di log e la garanzia della non modificabilità di questi log.

Con una piccola procedura è anche possibile effettuare una “campionatura” degli accessi amministrativi da inviare a chi in azienda sarà addetto al controllo ( che il garante vuole che le aziende facciano almento 1 volta all’anno ).

Annunci

4 Risposte

  1. Il post di per se è abbastanza completo. Complimenti. Avrei il dubbio di come rendere poi non modificabili i log che vado ad archiviare.
    Qualche suggerimento o idea?

    • In realtà il garante non ci stà obbligando ad avere garanzie “matematiche” sulla inalterabilità dei log … Anche perchè non viene fatta menzione di controllo sul percorso che i log devono compiere dalla loro sorgente alla loro archiviazione. E’ interessante leggere la faq numero 12 sul sito del garante … che ti riporto :

      12) Come va interpretata la caratteristica di inalterabilità dei log? Caratteristiche di mantenimento dell’integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono esservi agevolmente integrate con apposito software. Il requisito può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l’eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e “certificati”.

      È ben noto che il problema dell’attendibilità dei dati di audit, in genere, riguarda in primo luogo la effettiva generazione degli auditable events e, successivamente, la loro corretta registrazione e manutenzione. Tuttavia il provvedimento del Garante non affronta questi aspetti, prevedendo soltanto, come forma minima di documentazione dell’uso di un sistema informativo, la generazione del log degli “accessi” (login) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi.

      Importante quando si fà riferimento ad archiviare le informazioni su supporto non riscrivibile …. e quando si parla , più sotto , di “ragionevole sicurezza” …

      Per quel che mi riguarda io stò proponendo ai miei clienti , oltre ad un’attività consulenziale/organizzativa , un software che archivia su file zip i log , “prendendoli” dalle macchina che hanno o posso accedere a dati considerati personali.

      • In caso di necessità di estrarre i dati di interesse di chi controlla andresti a campionare i log di Domino con un agente che estrae i dati di login dal log.nsf o pensavi ad altre attività più strutturate?

  2. Si , tutto tramite un semplice agente.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: