Da un punto di vista giuridico e non tecnico aggiungo alcune considerazioni interpretative.
E' di tutta evidenza che il provvedimento si applica a tutti i soggetti preposti ad attività riconducibili alle mansioni tipiche dei cd amm.tori di sistema e a tutti coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche dati. Quindi non solo amm.tori di sistema. Ciò è esplicitato nel provvedimento e il titolo è fuorviante. Sembra che debbano essere tracciati gli "accessi" di tutti questi signori in tutti i sistemi sopra enunciati. Il tenore letterale del provvedimento non lascia dubbi. Ma il vero punto di domanda è : cosa vuole ottenere, qual'è la ratio del provvedimento ? Tutto ciò a cosa serve ? Perchè se la volontà del Garante è la necessità di richiamare l'attenzione su tali rischi, fissare criteri più idonei per la scelta di soggetti impiegati in tali mansioni, controllare un pochino di più....etc ..etc..(si leggano i considerando del provv), nulla questio. Il provv è sufficientemente chiaro cosi com'è scritto. Se invece, la preoccupazione è ANCHE quella di poter ricostruire meglio ex post l'attività compiuta, ovvero tutte le operazioni compite da chi ha avuto accesso, il provvedimento non è soddisfacente, anzi ha proprio dimenticato qualcosa. Ha dimenticato cioè di prevedere, oltre ai log di accesso, l'adozione degli strumenti idonei "a loggare", registrare, ovvero a consentire la ricostruzione ex post, di TUTTE le attività poste in essere dal soggetto "Amm.tore sistema in senso lato". Non sempre è facile risalire al responsabile di una certa attività sul dato informatico (personale e non) solo con i log di accesso. Ecco che vi faccio una domanda: secondo voi è un'occasione mancata o un esatta volontà (in senso limitativo) del Garante ? Credo che anche le diverse opinioni lette qui come altrove si conforntino su questi due opposti piani di osservazione. Saluti Stefano Aterno www.studioaterno.it -- msg. originale -- Oggetto: Re: [lex] Amministratori di sistema e provvedimento Garante Privacy Da: Stefano Zanero <[email protected]> Data: 06/02/2009 11:23 wipedisk wrote: > per "accesso" intendiamo il login come utente, oppure anche cos'altro > "accede" dopo, quell'utente ? > > mi spiego meglio: accedo come root ad un server, poi accedo a > postgresql... da li' accedo ad una dozzina di tabelle... > > nel log di sistema rimane che e' acceduto root alle ore X e fino alle > ore Y... E nel log del database che e' acceduto un utente con privilegi amministrativi alle ore X+t1 e fino alle ore Y-t2 -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
