7522 Letture

Entrano in vigore i nuovi adempimenti per gli amministratori di sistema

Dopo la pubblicazione in Gazzetta Ufficiale (n.300 del 24 Dicembre 2008), entra in vigore il provvedimento del Garante Privacy che fissa alcuni criteri in merito all'attività svolta da parte degli "amministratori di sistema". L'obiettivo è quello di garantire massima trasparenza sull'operato di coloro che trattano dati personali servendosi di strumenti elettronici. Gli amministratori di sistema, scrive l'ufficio del Garante, "sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione". Per tal motivo, il Garante ha deciso di richiamare l'attenzione di enti, amministrazioni e società private sulla figura professionale dell'amministratore di sistema prescrivendo, allo stesso tempo, una serie di misure tecnico-organizzative che possano agevolare la verifica del lavoro svolto.


Secondo quanto stabilito, le misure dovranno essere applicate entro quattro mesi da parte di tutte le aziende private così come dai soggetti pubblici. Restano comunque esclusi dal provvedimento i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati.

I punti cardine sono essenzialmente tre: si dovranno adottare sistemi di controllo che consentano la registrazione degli accessi effettuati dagli amministratori di sistema ai sistemi di elaborazione ed agli archivi elettronici (dovranno essere presenti riferimenti temporali unitamente con una descrizione dell'evento; tali informazioni dovranno essere conservati per un periodo di tempo non inferiore a sei mesi); i titolari del trattamento dovranno periodicamente verificare la rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali; ciascuna azienda o soggetto pubblico dovrà inoltre inserire, nel documento programmatico della sicurezza (DPS) o in un documento interno (disponibile in caso di accertamenti da parte del Garante), gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite.


Il Garante ricorda che "dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza".

Per maggiori informazioni, è possibile fare riferimento ai documenti del Garante - consultabili agli indirizzi seguenti -:
- Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.
- Amministratori di sistema: occorre massima trasparenza sul loro operato. Il Garante fissa i criteri, quattro mesi per mettersi in regola.

  1. Avatar
    mycom
    05/03/2009 15:28:39
    Microsoft consente di registrare gli accessi da parte degli amministratori e degli utenti, tuttavia è molto difficiile gestirne il controllo ed effettuare delle riceche di dettaglio su quello che è avvenuto e che è stato eseguito da parte loro. la normativa si concentra poù sull'audit delle persone con diritti amministrativi che sui sistemi stessi. per garantire questo consiglio di dare un occhiata a qualche prodotto di terze parti come questi che rispende ampiamente ai requisiti normativi richiesti dal garante : http://www.observeit-sys.com/ http://www.scriptlogic.com/products/filesystemauditor/ http://www.scriptlogic.com/products/change-auditor/ http://www.scriptlogic.com/products/change-auditor/ Ciao
  2. Avatar
    juk
    30/01/2009 10:00:40
    Bhè credo venga inteso dal Garante che un amministratore, in quanto tale, abbia accesso alle banche dati con le sue credenziali; quindi, in ambito di dominio, queste vengono memorizzate centralmente. E' possibile in maniera analoga comunque, attivare tramite le policy locali della macchina, l'auditing sugli oggetti. Il Garante indica inoltre di mantenere un registro, in caso di mancaza del DPSS, con l'eleco degli amministratori di sistema. bye juk
  3. Avatar
    frankie111
    30/01/2009 09:27:57
    E se il server non fa parte di un dominio?
  4. Avatar
    juk
    29/01/2009 22:06:44
    Citazione: Non basterebbe secondo te il registro degli eventi di Windows ?
    Direi di no; perlomeno non localmente. Con le policy di audit nel dominio è possibile gestire un buon logging sugli accessi: HOW TO: Controllare gli oggetti di Active Directory in Windows Server 2003 Ulteriori info qui ( informazioni in lingua Inglese ): Windows & Active Directory Auditing bye juk
  5. Avatar
    frankie111
    29/01/2009 20:39:24
    juk, potresti fornire qualche spunto per approfondire ? Non basterebbe secondo te il registro degli eventi di Windows ?
  6. Avatar
    juk
    29/01/2009 20:19:06
    Citazione: Anzi, quello che significa si può anche capire, ma come si mette in atto?
    In Windows Server mai sentito parlare di auditing :?: :? bye juk
  7. Avatar
    LP
    29/01/2009 18:10:15
    Ma che cosa significa: Registrazione degli accessi Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Anzi, quello che significa si può anche capire, ma come si mette in atto?
Entrano in vigore i nuovi adempimenti per gli amministratori di sistema - IlSoftware.it