On 17/nov/2009, at 12.19, Alfredo Speranza wrote: > Stefano Zanero wrote: > >> La legge 675/96 e' abrogata. > > Bisognerebbe anche informare il Garante, visto che sul sito alla pagina > "normativa --> italiana" risulta presente: > http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FLa+legge+n.+675 > > E in ogni caso la figura del "titolare del trattamento" non è e non può > essere abbrogata. > >> (e peraltro non riesco a immaginare in che modo l'indisponibilita' di un >> servizio di logging possa creare un problema di continuita'...) > > Evidentemente non si sono spiegato bene, mi scuso. Non parlavo di continuità > del business (business continuity), ma bensì della contunità del servizio di > "collezionamento" dei log di accesso degli amministratori. > Supponiamo che il syslog vada a "ciampanelle" e il titolare del trattamento > dei dati sensibili non se ve accorga, supponiamo anche dopo un periodo di > tempo medio lungo arrivi un audit del garante. Il titolare non sarà più in > grado di produrre alcun log di accesso degli amministrator, quindi l'azienda > sarà multata o nel peggiore dei l'amministratore delegato (o il > rappresentante legale) sarà processato penalmente. > Per questo credo che sia opportuno fornire un servizio facile da gestire da > chi non è un tecnico. > > Alfredo > > Penso che Alfredo abbia messo alla luce qualcosa che molti stanno trascurando e che nella fretta di prendere la cosa migliore al costo più basso stanno sottovalutando. Penso che sia chiaro che il Garante ha un disegno in testa che sia di più lunghe mire. Il garante nella sua intestazione della norma, per quello che riguarda la mia interpretazione, dice che vuole evincere che le attività fatte dagli operatori per puro scopo di amministrazione dei sistemi dove vengono mantenute informazioni ritenute sensibili e personali si possa fare con un report annuale.
1a Domanda: Ma da un login ed un logout si evince che un'operatore che fa amministrazione stia facendo pura amministrazione? Forse c'è un diritto del lavoro troppo forte che adesso non permette di poter fare loggin anche di quello che fa? 2a Domanda: Ci viene detto di tenere i log per un periodo minimo di 6 mesi e che basta un report annuale? 6 mesi log = report annuale? Questa è solo una mia riflessione. Dopo di che concordo con Alfredo che il garante non ha detto che dobbiamo dare l'alta affidabilità dei sistemi per la raccolta dei log. Ma comunque dobbiamo essere in grado di fronte ad una verifica di provare che i log sono stati mantenuti in modo corretto. Dice che cosa andiamo in contro nel caso in cui questo non viene fatto. Ma non dice che nel caso in cui nel controllo viene chiedo di verificare un periodo dove non siamo stati in grado per vari motivazioni di non raccogliere i log cosa succede. Per una mia riflessione personale, secondo me la Guarda di Finanza preposta a fare questo controllo di sicuro non ci farà un plauso. Buona giornata. > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
