> >-----Messaggio originale----- > >Da: [email protected] > >[mailto:[email protected]] Per conto di Paolo Giardini > >Inviato: martedì 20 gennaio 2009 10.07 > >A: [email protected]
> >Ecco, questo è il punto del quale vorrei discutere. > > > >Il testo del provvedimento recita: > > > >f) Registrazione degli accessi. > >Devono essere adottati sistemi idonei alla registrazione > >degli accessi logici (autenticazione informatica) ai sistemi > >di elaborazione e agli archivi elettronici da parte degli > >amministratori di sistema. Le registrazioni (access log) > >devono avere caratteristiche di completezza, inalterabilità > >e possibilità di verifica della loro integrità adeguate al > >raggiungimento dello scopo per cui sono richieste. > >Le registrazioni devono comprendere i riferimenti temporali > >e la descrizione dell'evento che le ha generate e devono > >essere conservate per un congruo periodo, non inferiore a sei mesi. > > > >Siamo certi che il provvedimento intenda "ogni operazione > >effettuata" o non solamente "login e logout"? > >Cosa si intende per "accessi"? Accesso al sistema o accesso > >ai file (ma solo quelli contenenti dati personali?). > >Il testo specifica "autenticazione informatica". > > > >Che ne pensate? > > Viste le potenzialita' di un sysadmin, in assenza di prodotti di sicurezza esterni che impediscono l'accesso a determinate directory o a determinati set di comandi (e che non siano disattivabili, modificabili dal syasdmin), credo che in ottica di protezione della infrastruttura, sia opportuno anche tracciare le attivita' effettuate...Ho qualche dubbio sull'ouput del comando eseguito, in quanto in alcuni contesti era proprio richiesto che questo non fosse visualizzato/tracciato. RR Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. Rispetta l'ambiente. Non stampare questa mail se non e' necessario. www.avoicomunicare.it Ogni giorno, il tuo luogo di dialogo. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
