2009/1/20 twiz <[email protected]>: > On Tue, 20 Jan 2009 10:07:15 +0100 > Paolo Giardini <[email protected]> wrote: > > >> Il testo del provvedimento recita: >> >> f) Registrazione degli accessi. >> Devono essere adottati sistemi idonei alla registrazione degli accessi >> logici (autenticazione informatica) ai sistemi di elaborazione e agli >> archivi elettronici da parte degli amministratori >> di sistema. Le registrazioni (access log) devono avere caratteristiche >> di completezza, inalterabilità e possibilità di verifica della loro >> integrità adeguate al raggiungimento dello scopo per cui sono >> richieste. > > Solo una cosa mi incuriosisce (chiedo scusa se gia' trattata, ho > guardato velocemente tra i thread e non l'ho vista): "Le registrazioni > devono avere caratteristiche di completezza, inalterabilita' e > possibilita' di verifica". > > Ora, deduco che tutti gli amministratori di sistema debbano essere > tracciati, compreso l'amministratore di sistema che gestisce la > macchina dove finiscono i log. Ora, poiche' deve esserci > "inalterabilita'", sono necessarie almeno due macchine i cui rispettivi > amministratori di sistema non sono in grado di accedere > vicendevolmente ? E in tutti i contesti dove c'e' un solo > amministratore o un solo team ? >
Devono essere due entità separate; cioè chi gestisce il sistema di log (qualsiasi tipo di soluzione si sia scelto) deve essere una persona o un gruppo differente da chi gestisce le macchine su cui vengono effettuate le operazioni. Purtroppo non ho esperienza su ambienti dove sia presente un unico amministratore o un unico team; anche se penso che in ambienti così piccoli, chi gestisce le macchine ha tutto l'interesse a far sì che i log abbiano le caratteristiche richieste dalla legge. Anche se, per come è attualmente scritta, questa soluzione non la soddisfa. Ciauz ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
