>> La problematice è che a mio avviso non è applicabile come soluzione >> > al garante. Il provvedimento dice che il dato deve essere mantenuto >> > in modo sicuro e immodificabile. Splunk non è in grado di garantire >> > la immodificabilità del dato. Per questa prerogativa il garante fa >> > riferimento a sistemi di memorizzazione che garantiscono >> > l'immodificabilità, ed in questo caso per ignoranza cita supporti >> > ottici quando si potrebbero utilizzare sistemi di tipo WORM, o firma >> > debole. > > la questione e' abbastanza complessa. > Premetto che non ho le conoscenze legali e/o di legalese sufficienti, > e per l'interpretazione corretta del dps mi sono affidato a uno studio > legale. > Il garante non parla mai di supporti worm, l'immodificabilita' del > dato e' in realta' una "garanzia che il dato non sia stato alterato", > e in questo caso, visto che ogni dato indicizzato e archiviato da > splunk viene marcato con un hash, direi che soddisfa in pieno i > requisiti del dps.
Ciao, vorrei segnalare che esistono prodotti di mercato (evito di fare pubblicità visto che la mia società ne fornisce uno) in grado di conservare i log messages in database cifrati proprietari. Se la "macchina" contenente il db venisse violata resterebbe ancora da violare il db per alterare i dati. Ovviamente da admin del server che raccoglie i log si potrebbe cancellare il db ma per questo motivo ci devono essere policy di disaster recovery che archiviano il db in altri siti. Concordo che un hash di un archivio salvato tra l'altro nella stessa posizione dell'archivio non da nessuna garanzia di inalterabilità. Solo per mia curiosità... come vi state organizzando (se vi state organizzando) per fronteggiare la disposizione del garante? Soluzioni fai da te? Soluzioni commerciali? State ammazzando gli amministratori di sistema? -- +------------------------------+ | Ing. Piergiorgio Venuti, CCSP| | 0x15521C4E | +------------------------------+
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
