2009/11/17 Domenico Viggiani <[email protected]>: > Parlando concretamente: è davvero necessario evidenziare gli accessi > amministrativi su TUTTE le macchine? E per i PC cosa va fatto? Che altro > bisogna fare per essere ragionevolmente conformi?
Guardiamo per esempio questa FAQ..: http://www.compliancenet.it/content/privacy-amministratori-di-sistema-risposte-alle-domande-piu-frequenti-faq << 4) Relativamente all'obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server Sì, anche i client, intesi come "postazioni di lavoro informatizzate", sono compresi tra i sistemi per cui devono essere registrati gli accessi degli AdS. >> << 11) Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L'adeguatezza rispetto allo scopo della verifica deve prevedere un'analisi dei rischi? La caratteristica di completezza è riferita all'insieme degli eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali. >> Al punto 4 si parla esplicitamente di tutti i client; al punto 11 la definizione "sistemi con cui vengono trattati anche indirettamente.." mi pare essere un sinonimo di client, anche se mi piacerebbe sapere esattamente cosa intende l'autore con "indirettamente". Se è proprio così, mi chiedo se può essere corretto perlomeno restringere il campo ai client normalmente utilizzati dagli utenti che gestiscono i dati personali / sensibili? Quindi sostanzialmente i PC avrebbero le stesse problematiche dei server.. invio a log centralizzato e disabilitare l'admin locale o rendere la (le) pwd nota a una sola persona.. -- Ciao, P. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
