Intanto proviamo a riportare la discussione su lex che è il terreno
migliore
Secondo me bisogna fare una premessa, tutti noi siamo abituati a
considerare sistemi server, datacenter o ced più o meno grandi con più
o meno amministratori, e tipicamente si da per scontato che si parla
solo di sistemi unix (root)
a mio avviso il testo della legge va letto per quello che è, ovvero
rivolto a:
- sistemi server e desktop
- sistemi windows, linux, cisco etc e appliance varie
- database server e application server
E qui di spono degli interrogativi:
- Devo loggare l'attività/l'accesso dell'amministrotore di dominio al
desktop del dipendente? a mio avviso si ma i sistemi Windows non
dispongono di un sistema di logging efficiente (manca l'ip sorgente da
cui accede per esempio)
- Se un utente finale (amministraizione o magazzino per esempio )
desktop/notebook per qualche motivo è amministratore della propria
macchina, lo devo nominare amministarore ? secondo me si
- Il Dba che accede con il suo programmino al db
oracle/mssql/postgress/mysql etc.. come lo registro? dove tecnicamente
possibile il DB mi crea un file di auditing locale che è assolutamente
modificabile, e non remotizzato, idem per l'accesso alla conosole
amministrativa di un application server qualsiasi websphere, tomcat,
weblogic et... come la mettiamo?
Mi sembra scontato il fatto che a questo punto tutti i sistemi pc,
server, apparati di rete e appliance debbano remotizzare gli accessi
degli amministratori, il problema è che la tecnologia non permette di
isolare l'evento "accesso amministratore" ma nel migliore dei casi
permette solo di isolare gli eventi di accesso al sistema. Di
conseguenza mi troverei un log con gli accessi dell'amministratore e dei
vari programmatori: gli accessi che non riguardano gli amministratori
che vincoli hanno a livello normativo?
Con tutto il rispetto per il garante e i suoi collaboratori, ma non
potrebbero avvalersi di commissioni di studio tecniche o di un comitato
scientifico come quello del clusit prima di uscire con provvedimenti il
cui impatto tecnico e organizzativo non è banale?
Saluti
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
