[start quoting]
>
>***On 29/ott/2009, at 17.06, Marco Bizzantino wrote:
>------------------------------------------------------------
>Il garante non parla mai di supporti worm, l'immodificabilita' del
>dato e' in realta' una "garanzia che il dato non sia stato alterato",
>e in questo caso, visto che ogni dato indicizzato e archiviato da
>splunk viene marcato con un hash, direi che soddisfa in pieno i
>requisiti del dps.
>
>ciao
>Marco
>
[end quoting]
Concordo sul fatto che una soluzione come Splunk possa ritenersi idonea,
così come tutte le soluzioni che permettono di marcare e archiviare i dati
con un *semplice* hash. Esaminando attentamente il provvedimento si trova,
infatti, quanto segue:
"{...} Le registrazioni (access log) devono avere caratteristiche di
completezza, inalterabilità e possibilità di verifica della loro integrità
adeguate al raggiungimento dello scopo di verifica per cui sono
richieste.{...} "
e, ancora, nelle relative FAQ (12 e 13) si specifica che il requisito di
inalterabilità dei log può essere ragionevolmente soddisfatto con la
strumentazione software in dotazione, nei casi più semplici, e con
l'eventuale esportazione periodica dei dati di log su supporti di
memorizzazione non riscrivibili. In casi più complessi i titolari potranno
ritenere di adottare sistemi più sofisticati, quali i log server
centralizzati e "certificati".
Questo equivale a dire che, i dati in questione non devono avere - ai
sensi del provvedimento - alcun requisito di non ripudiabilità, né risulta
necessaria la memorizzazione su supporti WORM. Si chiede unicamente che il
dato sia acquisito e conservato *in condizioni di ragionevole sicurezza e
con strumenti adatti, in base al contesto in cui avviene il trattamento*.
Un log, in sostanza, potrà dirsi “inalterato” qualora vengano usati i
normali strumenti di integrità dei dati già disponibili nei sistemi
operativi o eventualmente ottenibili mediante appositi software, dei quali
tuttavia non si indica alcun grado di sofisticazione. Per i casi più
semplici, il Garante afferma che può essere sufficiente esportare
periodicamente tali log file su supporti non riscrivibili, ma non vi sono
indicazioni stringenti; e quando indica i *supporti di memorizzazione non
riscrivibili* fa riferimento anche, ad esempio, a oggetti come CD-R/DVD-R
et similia, non necessariamente - e soltanto - a strumenti WORM.
E onestamente, in questo caso, non mi pare che l'indicazione sia frutto di
ignoranza, ma solo di espressa volontà ...
JM2C ...
Ciao,
Sonia
-----------------------------------------------------------
Sonia Valerio - CISSP, IQNet-ISM, OPSA
[email protected]
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
