Ciao, In merito all'osservazione numero 3 "la registrazione è limitata a quei soli sistemi informatici e/o archivi, cui hanno accesso gli amministratori, attraverso i quali si attua una qualsiasi forma di trattamento dei dati"
Volevo sottoporre il seguente spunto di riflessione: Sono da considerare amministratori solamente chi opera direttamente sui sistemi in cui risiedono i dati oggetti del trattamento e/o anche gli amministratori di rete/sicurezza che non trattano i dati ma possono influenzare con le loro attività la disponibilità dei dati/sistemi stessi? (esempio: policy del firewall che inibisce l'accesso ad un determinato sistema). Nel paragrafo 1 "Considerazioni preliminari" del provvedimento del Garante sono espressamente citati gli amministratori di reti e di apparati di sicurezza. Grazie 1000 Marco -----Messaggio originale----- Da: [email protected] [mailto:[email protected]] Per conto di Stefano Bendandi Inviato: sabato 31 gennaio 2009 16.06 A: [email protected] Oggetto: Re: [lex] Amministratori di sistema e provvedimento Garante Privacy > Salve a tutta la lista. Questo provvedimento ha suscitato una > discussione sulla lista sikurezza, > http://www.sikurezza.org/ml/01_09/msg00024.html > Sarebbe davvero utile l'interpretazione di qualche giurista > relativamente a cosa è necessario registrare. Il testo del provvedimento parla di "...registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema..." Da ciò traggo le seguenti considerazioni: 1) sono soggetti a registrazione solo gli eventi di accesso (login) che possano qualificarsi come risultato di una procedura di autenticazione informatica 2) in assenza di contrarie indicazioni sembrano essere soggetti a registrazione tanto gli eventi positivi (success) che quelli negativi (failure) 3) la registrazione è limitata a quei soli sistemi informatici e/o archivi, cui hanno accesso gli amministratori, attraverso i quali si attua una qualsiasi forma di trattamento dei dati Ovviamente è solo una interpretazione...ma l'estrema sintesi e genericità del punto 4.5 del provvedimento (si tratta di sole 6 righe di testo) mi induce a pensarla in questo modo. Saluti Stefano Bendandi -- http://www.stefanobendandi.com http://stefanobendandi.blogspot.com ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
