atizio ha scritto:
. . .
***** no, la legge dice che è 'conosciuta solamente da', non che è vietato
mettere le credenziali in una busta chiusa sigillata consegnandola ecc..
secondo regole prestabilite ecc...
perchè in quel modo fino a quando la busta resta chiusa è solo l'incaricato
a conoscerle, anzi sai bene che la regola n. 10 prescrive proprio il
ricorso
alla copia delle credenziali, e precisa che quel procedimento si applica
solo ed esclusivamente a due casi, necessità di operatività e di sicurezza
del sistema.
Questo è il punto. Il punto 10 dell'allegato B prevede che esistano
regole per la conservazione della password, ma solo se per accedere non
posso usare userId (UserName) differenti.
E' un caso molto limitato, che ad esempio non si può applicare mai sui
sistemi MS Windows in quanto è sempre possibile usare una UserID
differente che faccia le stesse cose e quindi il punto 10 non si applica.
Mi vengono in mente solo 2 casi in cui il punto 10 è applicabile:
1) Esiste la password sul BIOS del sistema
2) L'utente root dei sistemi Unix/Linux
Quindi visto che il punto 10 nella stragrande maggioranza dei casi non è
applicabile, non riesco a capire come fai poi ad aprire la busta, visto
che da nessuna parte sta scritto che lo puoi fare e l'unica cosa che
trovo è che solo l'incaricato deve conoscere la password.
Aggiungici poi il fatto che appena l'incaricato riceve la password
dovrebbe cambiarla (non ricordo il numero del punto nell'allegato B, ma
è fra i primi 10).
Io resto dell'idea che la busta non si possa usare.
Che poi molti la vogliano usare, che ci siano tecnici che la
consigliano, ecc... a mio modo di vedere dipende anche dal fatto che il
318/99 prevedeva espressamente tale soluzione.
Il datore di lavoro deve poter accedere ai dati, ci mancherebbe, ma per
farlo non deve violare l'identità dei collaboratori, visto che ciò è
possibile, organizzandosi opportunamente.
Esempio a caso: per le mail, se si utilizza il protocollo IMAP è tutto
più semplice. Io datore posso accedere alla casella con le mie credenziali.
Ricordiamoci che il titolo dei primi punti dell'allegato B è errato in
quanto dovrebbe essere "sistema di Identificazione" e non "sistema di
Autenticazione".
Le credenziali d'accesso identificano l'utente al sistema informatico ed
è estremamente importante che sia così. Spero ne conveniate tutti.
--
ing. Andrea Gelpi
***************************************************
La Terra non la abbiamo ereditata dai nostri avi,
ma la abbiamo presa in prestito dai nostri bambini.
***************************************************
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
