On Tue, 20 Jan 2009 10:07:15 +0100 Paolo Giardini <[email protected]> wrote:
> Il testo del provvedimento recita: > > f) Registrazione degli accessi. > Devono essere adottati sistemi idonei alla registrazione degli accessi > logici (autenticazione informatica) ai sistemi di elaborazione e agli > archivi elettronici da parte degli amministratori > di sistema. Le registrazioni (access log) devono avere caratteristiche > di completezza, inalterabilità e possibilità di verifica della loro > integrità adeguate al raggiungimento dello scopo per cui sono > richieste. Solo una cosa mi incuriosisce (chiedo scusa se gia' trattata, ho guardato velocemente tra i thread e non l'ho vista): "Le registrazioni devono avere caratteristiche di completezza, inalterabilita' e possibilita' di verifica". Ora, deduco che tutti gli amministratori di sistema debbano essere tracciati, compreso l'amministratore di sistema che gestisce la macchina dove finiscono i log. Ora, poiche' deve esserci "inalterabilita'", sono necessarie almeno due macchine i cui rispettivi amministratori di sistema non sono in grado di accedere vicendevolmente ? E in tutti i contesti dove c'e' un solo amministratore o un solo team ? Leggo su una mail : > Poichè entrambi gli applicativi non rientravano pienamente nelle > prescrizioni (nel punto 4.5 dove recita che "Le registrazioni (access > log) devono avere caratteristiche di completezza, inalterabilità e > possibilità di verifica della loro integrità adeguate al > raggiungimento dello scopo di verifica per cui sono richieste") sono > stati presi a considerazione vari sistemi di registrazione e la scelta > è caduta su SysMark PowerBroker > (http://www.symark.com/products/pboverview.html). Okay, ACL/MAC e compagnia. Oramai i sistemi "trusted" lo fanno regolarmente, ma quindi devo dedurre che "amministratore di sistema" sia sinonimo di "root" e non di "chi ha accesso a una determinata risorsa" ? > Poichè in entrambe le situazioni la password dell'utente > amministrativo (diciamo "root") non è più necessaria se non in casi di > manutenzione da console, la medesima password è custodita da persone > non facenti parte del gruppo degli amministratori e l'utilizzo della > stessa è regolamentata attraverso procedure di utilizzo e di rinnovo > (ad esempio: si richiede l'utilizzo, si utilizza, viene poi > modificata). Okay, ma cio' non cambia la situazione. Qualcosa o qualcuno deve poter loggare e quindi quel demone ha permesso di auditing. Ora, qualcosa o qualcuno ha configurato quel demone e gli ha dato quel permesso e quindi puo' gestire quel "permesso" a piacimento. Questo qualcosa o qualcuno non e' un "amministratore di sistema" ? Occorre creare un secondo ambiente ad-hoc per loggare costui ? Mi sembra l'unica soluzione "a norma di legge", per quanto orrenda. Oppure sto completamente mancando il punto (cosa peraltro probabile) :-) Sia chiaro, non sto discutendo la soluzione, sono solo capitato su questo testo legislativo che, a prima lettura, mi e' sembrato sufficientemente "curioso" da adottare. (senza dimenticare che creare tutta sta complessita', secondo me, aiuta solo a rendere gli ambienti meno mantenibili...) Ciaps - twiz ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
