-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Simone ([email protected]) wrote:
>> > Penso che Alfredo abbia messo alla luce qualcosa che molti stanno trascurando > e che nella fretta di prendere la cosa migliore al costo più basso stanno > sottovalutando. > Penso che sia chiaro che il Garante ha un disegno in testa che sia di più > lunghe mire. > Il garante nella sua intestazione della norma, per quello che riguarda la mia > interpretazione, dice che vuole evincere che le attività fatte dagli > operatori per puro scopo di amministrazione dei sistemi dove vengono > mantenute informazioni ritenute sensibili e personali si possa fare con un > report annuale. > > 1a Domanda: Ma da un login ed un logout si evince che un'operatore che fa > amministrazione stia facendo pura amministrazione? Forse c'è un diritto del > lavoro troppo forte che adesso non permette di poter fare loggin anche di > quello che fa? > > 2a Domanda: Ci viene detto di tenere i log per un periodo minimo di 6 mesi e > che basta un report annuale? 6 mesi log = report annuale? "report annuale" non sta scritto da nessuna parte. Si richiede una "attività di verifica ...*almeno* annuale dell'operato" ecc. ecc.Punto f del provvedimento. Quindi un semplice log non basta. D'altra parte "attività di verifica da parte dei titolari in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza..." potrebbe essere una definizione alquanto ampia. Anche leggere le FAQ aiuta. cfr punto 12, 14, 16 > > Questa è solo una mia riflessione. > > Dopo di che concordo con Alfredo che il garante non ha detto che dobbiamo > dare l'alta affidabilità dei sistemi per la raccolta dei log. Ma comunque > dobbiamo essere in grado di fronte ad una verifica di provare che i log sono > stati mantenuti in modo corretto. Dice che cosa andiamo in contro nel caso in > cui questo non viene fatto. Ma non dice che nel caso in cui nel controllo > viene chiedo di verificare un periodo dove non siamo stati in grado per vari > motivazioni di non raccogliere i log cosa succede. > Per una mia riflessione personale, secondo me la Guarda di Finanza preposta a > fare questo controllo di sicuro non ci farà un plauso. > Direi inosservanza ai provvedimento del Garante, art. 170 d.lgs 196/2003 - -- Paolo Giardini | EUCIP Certified Professional | CCOS Regione Umbria Privacy Officer AIP/ICTS | Direttore Osservatorio Privacy Sicurezza IT A.I.P./ITCS|CLUSIT|GNU/LUG Perugia|AIPSI|ISSA|ILS|BackTrack.it http://blog.solution.it|Cel.337.652876|Fax 075.93831174|skype pgiardini -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFLBk6lMTCPYEjE66sRAi7MAJ9I5a1zwA5nsFMkUrh7AJfrVhZ/iQCgzkNe +JjElQfMIkq0GBB+WaTw3hI= =DDhO -----END PGP SIGNATURE----- ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
