il garante della privacy ha imposto nuove regole per gli amministratori di sys a garanzia del loro "indiscriminato" accesso ai famosi dati sensibili o comunque ai dati aziendali in genere... :(
impone tra l'altro che ci si metta in regola entro giugno! :mad:
qualcuno ne sa qualcosa su come fare, adempimenti vari e soprattutto strumenti che possano semplicemente metterci in regola? edin particolare qualcuno sa suggerirmi un buon sw per la registrazione degli accessi sui server?

grazie a tutti,
Miky

ciao,
prova a guardare questo
http://www.petri.co.il/record-audit-terminal-citrix-rdp-sessions-observeit-product-overview.htm

e anche la versione "gratis"
http://www.petri.co.il/observeit-express.htm

ciao

ho visto la demo e sembra interessante, in questi giorni proverò il trial che ho scaricato, poi ti farò sapere,
grazie,
Miky

il malefico SCOM ?

Senza dubbio i due prodotti proposti sono molto interessanti. Personalmente non conosco il prezzo commerciale dell'ObserveIT però ho paura che il prezzo non sia trascurabile.
Mi chiedevo se qualcuno di voi conosce delle alternative di tipo gratuito e poi mi chiedevo, sempre in risposta alle richieste del garante della privacy, come si può conservare la lista degli accessi in modo tale che non venga modificata? Io pensavo con la firma digitale, ma mi chiedevo se esistono delle soluzioni integrate.

mmm... devo trovare questa normativa..... :cool:

Normativa "formale":
http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499

Normativa "spiegata":
http://punto-informatico.it/2636419/PI/Commenti/amministratore-sistema-buchi-neri.aspx

Cosa fare per adempiere alla normativa senza andare a tirare in ballo i soliti software "ad hoc" che altro non sono che una GUI dei log di Windows/Linux:
http://www.comunecampagnano.it/gnu/mini-howto/log-administrator_minihowto/log-administrator_minihowto.pdf

ho dato un occhio al pdf...

il programma proposto non credo sia valido, o meglio, per quello che fa tanto vale usare l'event log di windows, filtrare i dati per l'amministratore, esportare i dati e creare un file crittato con GPG

ma chi fa questo lavoro di esportazione? l'amministratore stesso? in questo caso, una volta che ha il file txt può modificarlo senza problemi, ed impostare i log di sistema ad un mese massimo di stoccaggio

o forse sbaglio ragionamento?

Riprendo questo thread perchè la fatidica data del 15/12 si avvicina e non si parla + di ulteriori propoghe... :D

In questi mesi saltuariamente ho cercato qualche soluzione, ce ne sono parecchie (anche se trovarne una che vada bene con Win, Linux e BSD e non costi un botto è arduo), ma il problema di fondo (per me) è l'interpretazione del provvedimento...

Per esempio:
Quali tipi di servizi dovrei monitorare? sembrerebbe mail server, web server e dbms...
Gli accessi di chi?! un web designer che accede al DB del portale che sta realizzando rientra nella definizione di Amministratore di sistema?
Idem... un operatore di call center che accede con le sue credenziali al DB tramite interfaccia web? non credo rientri nell'accesso tramite applicazione?!


Come vi state (o vi siete) muovendo? che soluzioni avete adottato voi?

Anch'io mi trovo nella situazione di dover valutare una soluzione per la registrazione degli accessi.... Potreste indicare qui di seguito che cosa avete trovato/attuato dai vari Amm. di sistema?
Io avrei trovato una soluzione della nextlog.... pero' mi piacerebbe sapere cosa altro puo' esserci prima di decidere....
Forza postate qualche consiglio....

ciao a tutti
io sto proprio lavorando nell'ambito.
di open source non ho ancora trovato nulla.
il piu valido credo sia "SA Monitor", completamente basato su oracle ma con licenze al tiro di oracle (spropositate)
in alternativa la soluzione NetIQ che ha licenze piu abbordabili...ma è piu invasivo sui sistemi..anche se molto usabile

Non so se può interessare, ma io sto attuando il provvedimento con una soluzione "realizzata in casa" a costo zero che si basa su rsyslog e snare for windows:
http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/
Spero possa esservi utile.
Saluti
M.

Non so se può interessare, ma io sto attuando il provvedimento con una soluzione "realizzata in casa" a costo zero che si basa su rsyslog e snare for windows:
http://blog.maurizio.proietti.name/2009/10/29/provvedimento-del-garante-sugli-amministratori-di-sistema/
Spero possa esservi utile.
Saluti
M.

Ciao a tutti,
ci smanetto anche io da un paio di settimane per vedere come fare con tutti i server che abbiamo quì. Ci sono ottimi sw commerciali che ho valutato (come InTrust della Quest e una soluzioen di nextlog) ma le licenze costano... e comunque sono software nati per fare tutt'altro, monitoraggio dei log di rete, ed ora approfittano della normativa per venderli (ovviamente :))

La soluzioen proposta da mproietti è interessante, solo che sarebbe l'ideale trovare un modo di accedere ai log di Windows SENZA dover installare nulla localmente sugli host da monitorare! Ad esempio, stavo valutando anche il sw della Manage Engine che si chiama Event log Analizer, che è ottimo e non ha un gran costo ma non è molto customizzabile, nel senso che mi logga tutto mentre io vorrei filtrare solo quanto chiesto dalla normativa.
Sto cercando dei plugin appositi per Nagios, del resto se lo fa Log Analizer non vedo perchè (sempre tramite un account con privilegi sufficienti) non si possa fare da altre suite :)

Se trovo qualcosa lo posto ;)


piccola nota a margine.
Concordo sul fatto che questa normativa, così fatta, sia totalmente inutile ai fini della sicurezza. Concordo che sia una macchina per far soldi e beato chi riesce ad approfittarne.
Però volendo non essere sempre disfattisti, può essere un primo piccolo passo verso una sensibilizzazione sull'argomento sicurezza. Anche se non confido troppo che sia così... vedremo negli anni a seguire se ci saranno integrazioni e campagne a proposito :muro:

Peccato vi sia poco interesse, comunque scrivo lo stesso :p

Ho scaricato e sto provando i seguenti sw e virtual appliance:
- zenoss
- groundwork
- splunk
- snare

In particolare i primi due li sto installando sotto vmware e servono prettamente per il monitoraggio di rete (groundwork include Nagios). Voglio vedere se riesco tramire loro a portar via in tempo reale i log di sistema di windows.
Mi sto preoccupando solo di windows semplicemente perchè per host linux il problema non si pone minimamente... :sofico:

Mi aggrego a questa discussione.

In azienda si sono accorti adesso che manca poco al 15 dicembre e bisogna fare tutto di fretta, come al solito.

Abbiamo 10 PC tra di loro in Workgroup. C'è solo un server AS400 Un casino esagerato.

Mi sa che non è possibile con la situazione attuale avere un log che sia "affidabile" ...

Peccato vi sia poco interesse, comunque scrivo lo stesso :p

Ho scaricato e sto provando i seguenti sw e virtual appliance:
- zenoss
- groundwork
- splunk
- snare



Zenoss lo avevo provato tempo fà, ma non avevo pensato alla faccenda dei LOG e del tracciamento delle attività admin.

In effetti.... è un ottima idea! Piuttosto che spendere un sacco di money per applicativi come quelli che pubblicizza Symantec...

Mi aggrego a questa discussione.

In azienda si sono accorti adesso che manca poco al 15 dicembre e bisogna fare tutto di fretta, come al solito.

Abbiamo 10 PC tra di loro in Workgroup. C'è solo un server AS400 Un casino esagerato.

Mi sa che non è possibile con la situazione attuale avere un log che sia "affidabile" ...

Per pc windows non ho avuto problemi, durante i test con Event Log Analizer e con InTrust (tutte soluzioni commerciali) a catturare i log.
Per altri sistemi devi sfruttare o il syslog o farti degli script che in qualche modo sputino i log da qualche parte, e poi te li prendi.

Zenoss lo avevo provato tempo fà, ma non avevo pensato alla faccenda dei LOG e del tracciamento delle attività admin.

In effetti.... è un ottima idea! Piuttosto che spendere un sacco di money per applicativi come quelli che pubblicizza Symantec...
Riguardo Zenoss l'ho installato ma non ci ho smanettato più di tanto, anche perchè in azienda hanno deciso di vendere InTrust e Event Log Analizer. Io comunque continuo a studiarmi i sistemi sia Nagios che Zenoss, sperando di adottarli per soluzioni low cost (oltre che per cultura personale). Se hai aggiornamenti butta un urlo :)

Da sottolineare che con Event Log Analizer penso sia possibile filtrare solo i log che ci interessano, il che evita di memorizzare nel db una mole di dati che non ci servono. Ovviamente questo non serve se uno adotta questa soluzione anche per il monitoraggio dei server.

C'è un piccolo aggiornamento, hanno provato a restringere il campo ma non è che ci siano riusciti tanto...
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218

Praticamente saranno ben poche le aziende che rientrano in questa "semplificazione" :muro:

Per pc windows non ho avuto problemi, durante i test con Event Log Analizer e con InTrust (tutte soluzioni commerciali) a catturare i log.
Ma come fai ad analizzare quello che fa un amministratore in rete senza che esista un identificativo dell'admin? Lo devi configurare ed installare per ogni macchina? ma poi ogni utente su ogni macchina è amministratore della stessa, che si fa, si logga tutto?

Io aspetterei una normativa più chiara...

Sì, ok, ma allora che faccio per il 15? Sono due o tre anni che c'è sta normativa che gira ...

Premetto che in questo ambito sono un completo neofita...
Premetto anche che sono linuxaro e ora mi è stato chiesto di "sistemare" una rete aziendale per rispondere a questi requisiti..

Pongo quindi 2-3 domande che magari aiutano chi come me deve affrontare questo problema per la prima volta (e in fretta purtoppo)

domanda 1:
Non bastano i log di Active Directory?

domanda 2:
Nel caso active Directory non fosse sufficente, o nel caso non fosse disponibile, i software di cui parlavate prima (zenoss, groundwork, ...) accedono direttamente ai log di macchine windows e (magari) linux/mac ?

domanda 3:
se nella rete sono presenti AS400, i log sono raggiungibili da questi software?

domanda 4:
Oltre alle politiche di Backup, Firewall, Antivirus, e logging vi sono altre cose da monitorare per questa normativa?

Grazie del vostro tempo e supporto! :help:

Scusate l'uscita forse banale, ma se con il programmino Event Log Explorer che è stato menzionato all'inizio, io faccio un filtraggio degli accessi dell'amministratore (cioè io :stordita: ) e poi li stampo in formato .pdf, otterrei un file leggibile e difficilmente modificabile, poi lo masterizzo su CD o DVD, non otterrei l'obiettivo che impone il garante??

Ma come fai ad analizzare quello che fa un amministratore in rete senza che esista un identificativo dell'admin? Lo devi configurare ed installare per ogni macchina? ma poi ogni utente su ogni macchina è amministratore della stessa, che si fa, si logga tutto?

Da come l'ho interpretata io, si dovrebbe fare in modo che gli admin si loggino con un loro identificativo e non più con il classico "administrator".
Per linux invece, direi gli utenti che possono fare sudo.
Quindi oltre alla parte tecnica, bisogna modificare anche le procedure aziendali per far si che ci si abitui (anche se è dura... lo so) a configurare bene ed usare il proprio utente, inserito nel gruppo degli amministratori.
Riguardo quello che uno "fa", sembra paradossale ma non è richiesto dalla normativa! Serve loggare QUANDO, CHI, DOVE e DA DOVE, ed infine quando si slogga. Lo so che è una cavolata immonda, ma se la vediamo come un piccolo passo verso una sensibilizzazione generale, alla fine ci può anche stare.
Non devi configurare nulla su ogni macchina, basta usare un utente che abbia i privilegi sufficienti per interrogare l'atcivity log di Windows. I sw che ho menzionato supportano questa modalità "agent less", ma se inveve vuoi/puoi installare anche l'agent accedi ad un'infinità di features in più, non richieste dalla normativa ma comunque utili se interessano.

Sul fatto di essere amministratori sulla macchina, non c'entra. Considera che bisogna loggare ogni accesso potenziale a dati sensibili NON autorizzato. Tanto per fare un esempio:
Segretaria di amministrazione. Ha un utente amministratore locale, ma non di dominio ovviamente. E' autorizzata all'accesso ai dati personali, quindi non va loggato niente. Arrivi tu, admin di sistema, che accedi come administrator di dominio, potenzialmente puoi accedere a dati sensibili per i quali NON hai autorizzazione, quindi va loggato. Se accedi come Administrator locale e i dati protetti dalle normative risiedono su quella macchina, anche in quel caso va loggato l'accesso. Io per sicurezza, loggo tutto, tanto non fa danno qualche info in più (anche se poi pesa sullo storage). I sw commerciali permettono di filtrare e quindi ridurre. Ho messo da parte le vie Nagios ecc perchè (purtroppo) così hanno chiesto, quindi farò alcune installazioni di InTrust e altre di Event Log Analizer.

Non ho spiegato bene il mio problema.

I PC di questa rete NON sono in dominio. Sono solo in workgroup. Non esiste un admin "univoco" di tutte le macchine, ogni macchina ha il suo. Per dire, non esite l'utente "administrator" da nessuna parte, esistono una serie di utenti replicati in giro per la rete che hanno il permesso di fare più o meno tutto.

Io bene o male so dove potenzialmente sono i dati sensibili. Mi basterebbe loggare gli accessi a questi files?

Premetto che in questo ambito sono un completo neofita...
Premetto anche che sono linuxaro e ora mi è stato chiesto di "sistemare" una rete aziendale per rispondere a questi requisiti..

Pongo quindi 2-3 domande che magari aiutano chi come me deve affrontare questo problema per la prima volta (e in fretta purtoppo)

domanda 1:
Non bastano i log di Active Directory?


Non credo, devi prelevare i log dalla macchina da monitorare. Questo perchè se fai login localmente e su quella macchina sono presenti dati che un ads non può vedere, va tracciato. Ma nutro ancora dubbi su sta cosa... Inoltre possono esserci casi misti in cui non tutte le macchine accedono al dominio


domanda 2:
Nel caso active Directory non fosse sufficente, o nel caso non fosse disponibile, i software di cui parlavate prima (zenoss, groundwork, ...) accedono direttamente ai log di macchine windows e (magari) linux/mac ?


Non accedono direttamente. Ci sono diversi plugin o un agent (almeno per nagios) da installare sulla macchina, nulla di serio ma magari i firewall locali possono dar fastidio. I programmi citati per windows invece accedono se gli fornisci un'utenza con sufficienti privilegi. Per i syslog invece, nessun problema




domanda 3:
se nella rete sono presenti AS400, i log sono raggiungibili da questi software?


Ci sono dei modi, ma non li ho personalmente studiati, non avendo questa esigenza per ora. Comunque la risposta è SI.



domanda 4:
Oltre alle politiche di Backup, Firewall, Antivirus, e logging vi sono altre cose da monitorare per questa normativa?

Grazie del vostro tempo e supporto! :help:

Non ho ben capito la domanda... devi salvare i log degli accessi da parte di utenti che possono accedere a dati per i quali non sono autorizzati. Non mi pare che si parli di firewall e antivirus. Casomai l'user che usi per fare i backup si.

Non ho spiegato bene il mio problema.

I PC di questa rete NON sono in dominio. Sono solo in workgroup. Non esiste un admin "univoco" di tutte le macchine, ogni macchina ha il suo. Per dire, non esite l'utente "administrator" da nessuna parte, esistono una serie di utenti replicati in giro per la rete che hanno il permesso di fare più o meno tutto.

Io bene o male so dove potenzialmente sono i dati sensibili. Mi basterebbe loggare gli accessi a questi files?

Ho capito... e rispondo schiettamente... BOH!
Leggiti le semplificazioni che forse non rientrate tra le aziende che devono trattare questo adeguamento normativo:
http://punto-informatico.it/2757747/PI/Commenti/amministratore-sistema-quale-semplificazione.aspx
e quì la norma di semplificazione:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218

Scusate l'uscita forse banale, ma se con il programmino Event Log Explorer che è stato menzionato all'inizio, io faccio un filtraggio degli accessi dell'amministratore (cioè io :stordita: ) e poi li stampo in formato .pdf, otterrei un file leggibile e difficilmente modificabile, poi lo masterizzo su CD o DVD, non otterrei l'obiettivo che impone il garante??

si, anche se non esporti in pdf e salvi direttamente i log. Un aggiornamento di pochi giorni fa di Event Log analyzer permette di criptare i file txt che produceva come archivio.
Comunque gioca molto sui filtri (sto facendolo pure io) sennò ti ritrovi anche i log dello stesso event log analyzer che si connette ai client. Io creerò un utente a parte apposta per farlo usare a EVA.

Ho capito... e rispondo schiettamente... BOH!
Leggiti le semplificazioni che forse non rientrate tra le aziende che devono trattare questo adeguamento normativo:
http://punto-informatico.it/2757747/PI/Commenti/amministratore-sistema-quale-semplificazione.aspx
e quì la norma di semplificazione:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218

Ho capito ... vabbè, intando vediamo di fare comprare una macchina che faccia da controller di dominio, poi passiamo tutti i 30 PC sotto dominio e quindi vediamo il da farsi ... ho già capito come passerò le vacanze natalizie ... :rolleyes:

Ho capito ... vabbè, intando vediamo di fare comprare una macchina che faccia da controller di dominio, poi passiamo tutti i 30 PC sotto dominio e quindi vediamo il da farsi ... ho già capito come passerò le vacanze natalizie ... :rolleyes:

saremo in due a passare belle vacanze :muro:
comunque da ulteriori approfondimenti che ho fatto, tu considera che devi loggare SOLO gli accessi che già non sono autorizzati! Ad esempio, se sei tu l'amministratore dei sistemi NON sei autorizzato al trattamento, quindi devi loggare i tuoi accessi sulle macchine che contengono tali dati. Questo per spiegare meglio che non bisogna loggare l'attività delle persone che sono amministratori della propria macchina, ma solo le persone che possiedono i requisiti per accedere dove normalmente non accedono.

Stavo facendomi delle pippe mentali, ad esempio, sulle macchine di test che usiamo per replicare ambienti dei clienti. L'azienda si fa firmare un documento per il trattamento dei dati, quindi implicitamente il personale è autorizzato al trattamento. Ergo, come è giusto che sia, io amministratore, sono implicitamente incluso al trattamento e non devo registrare le login su tale sistema :)
Ben diverso è, per esempio, il pc della segretaria che ha magari una cartella con i curriculum dei candidati oppure i dati di potenziali clienti con cui ancora non intratteniamo già rapporti di tipo commerciale. Questo rientra nella semplificazione, nel senso che almeno nel caso di aziende di servizi, riduce il numero di pc da controllare.




@ SPADIZ
aggiungo una cosa riguardo il memorizzarsi i PDF. Si può fare, ma ai fini di una eventuale attività di reporting, ti vai a martellare le palle da solo perchè non hai dati accessibili tramite query. Non pregiudica nulla ai fini normativi, ma perdi la possibilità di selezionare determinati eventi/utenti/periodi ecc, quindi fossi in te mi terrei i dati in forma più analitica :)

Non credo, devi prelevare i log dalla macchina da monitorare. Questo perchè se fai login localmente e su quella macchina sono presenti dati che un ads non può vedere, va tracciato. Ma nutro ancora dubbi su sta cosa... Inoltre possono esserci casi misti in cui non tutte le macchine .

Non capisco il motivo per cui non si puo' operare una soluzione del genere. Se mi collego al server di cui devo salvare i log, perche' non posso esportarli dall'Event Viewer?
Mi pare che anche una faq del Garante offra tale soluzione... illuminatemi !

Alla fine ho installato l'Event Log Explorer sul server, ho filtrato tutti gli accessi dell'amministratore, li ho esportati in formato testo, li ho zippati, ho creato una chiave univoca con algoritmo MD5 ed ho masterizzato. E chi s'è visto s'è visto. Sempre meglio di nulla. Mi sembrava interessante usare Snare, ma il fatto di dover mettere una macchina Linux su cui mandare i log (a chi avrei delegato poi la sua amministrazione?) mi ha fatto fare marcia indietro. Tutto sommato credo che vista la nostra realtà aziendale, il modus operandi sia stato soddisfacente.

Ma senza installare l'Event Log Explorer non avresti potuto fare la stessa cosa dall'Event Viewer del server?
Scusate ma non capisco la differenza che passa tra l'installazione di Event Log Explorer e l'Event Viewer di Windows dato che i log salvati sono sempre gli stessi.
Inoltre, visto che i log si aggiornano continuamente, ogni quanto ripeti questa operazione? Io faccio un salvataggio settimanale dei file EVT con successiva masterizzazione.

Ma senza installare l'Event Log Explorer non avresti potuto fare la stessa cosa dall'Event Viewer del server?
Scusate ma non capisco la differenza che passa tra l'installazione di Event Log Explorer e l'Event Viewer di Windows dato che i log salvati sono sempre gli stessi.
Inoltre, visto che i log si aggiornano continuamente, ogni quanto ripeti questa operazione? Io faccio un salvataggio settimanale dei file EVT con successiva masterizzazione.

Penso che la tua osservazione sia giusta e pertinente. Posso solo risponderti che avendo visto il programma tempo addietro, e avendone potuto riscontrare una maggiore immediatezza nella fruizione immediata di ciò che serve ho pensato di utilizzarlo, tutto qui. Secondariamente la norma che imporrebbe la conservazione dei log per 6 mesi appare alquanto ambigua e lacunosa, in teoria (a mio avviso) la cosa andrebbe fatta ogni giorno, magari schedulando o automatizzando la procedura, ma anche su questo fronte non c'è nulla di esplicito ed il tutto viene demandato al buonsenso (e qui aggiungo: di chi? dell'AS??? :mc: )

Buongiorno a tutti, è da un pò che sto guardando questa problematica e ci sono due cose che dicono sulle faq del garante e molti ne stanno discutendo:

- ci deve essere la certezza dei dati loggati
(quindi syslog su udp non va bene, si deve usare un agent che invii i syslog su tcp)
- i log devono essere irreversibili
(quindi archiviarli in un posto che poi magari via script la notte faccio gli md5 è inutile perchè io admin che ho intenzioni fraudolente posso fare il danno e poi cancellare le traccie dai file di log in chiaro prima che venga fatta la funzione di hash).

Attualmente le soluzioni giuste ci sono ma costano un patrimonio.
(Vedi Rsa e Juniper STRM)

Personalmente seguo il forum italiano di Zenoss se a qualcuno servisse qualche delucidazione in merito (http://www.consadori.com/forum).

Ci sono tanti modi di risolvere un problema.. se si conoscono in modo chiaro i termini.. e questa normativa mi sembra molto "generica" come spiegazione su come è ritenuta "accettabile" l'implementazione.

ciao, secondo voi, alla luce delle precisazioni del garante (http://www.garanteprivacy.it/garante/doc.jsp?ID=1676654 ), uno studio commercialista con 4-5 pc ed un server, con un gestionale per la compilazione delle dichiarazioni dei redditi, può essere escluso dall'obbligo di nomina del sysadmin?
leggendo le precisazioni, mi sembra di sì...
grazie

Attenzione: Il documento richiesto non è disponibile.

[www.garanteprivacy.it]


:muro:

link corretto...
qui:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1676654

Dal cliente da cui sto lavorando da ormai un anno (un grosso ente pubblico) ovviamente c'è grande attenzione a questo tema, ogni 2x3 viene sbandierato lo spauracchio del garante della privacy per qualsiasi cosa :rolleyes:

Qui il problema si pone per diversi sistemi (qualche centinaio) dei più variegati, dai serverini intel based agli as400 ai vecchi sistemi unix HP e AIX fino al mainframe zOS.

Il tutto si è risolto raccogliendo tutti i log su una serie di macchine in cluster failover su cui gira un banale demone syslog.
Questo raccoglie gli eventi di login da tutti i server, li archivia e tramite un'interfaccia di frontend custom, sviluppata dalla società che ha vinto questo appalto, li rende accessibili alle persone competenti in materia.

Per linux si è deciso di adottare un syslog alternativo al classico preinstallato da tutte le distribuzioni, che permettesse di inviare le notifiche di login e logout via TCP eventualmente usando TLS, quindi rsyslog o syslog-ng.
Il tutto si è risolto installando da sorgenti o package binari e modificando gli opportuni file di configurazione per inviare le notifiche degli eventi auth.* e authpriv.*

Per Windows è stato altrettanto semplice, tramite "criteri di protezione locali" basta abilitare la voce "Controlla eventi di accesso" e "Controlla eventi di accesso account" sia per gli accessi riusciti che falliti.
Poi è stato sufficiente usare una utility tipo NTsyslog (http://ntsyslog.sourceforge.net/) per inviare i suddetti eventi di Windows al server syslog specificando gli EventID da inviare (solo quelli inerenti al login e logout).

Alla fine la raccolta dei dati è relativamente semplice, il problema più oneroso è ridefinire tutti i criteri di accesso affinchè gli utenti utilizzino la propria utenza personale per accedere ai sistemi, non perchè sia difficile in se, ma solo perchè richiede un notevole sforzo organizzativo e il cambio di abitudini sbagliate ma radicate negli anni :rolleyes:

Io ad es per le mie macchine ho installato e configurato un server NIS per gestire le utenze sui server.
Avrei preferito usare un LDAP il problema è che l'età di alcune macchine unix che devo gestire non me lo permetteva senza dover mettere radicalmente mano al sistema con conseguenze imprevedibili... :rolleyes:

ciao, secondo voi, alla luce delle precisazioni del garante (http://www.garanteprivacy.it/garante/doc.jsp?ID=1676654 ), uno studio commercialista con 4-5 pc ed un server, con un gestionale per la compilazione delle dichiarazioni dei redditi, può essere escluso dall'obbligo di nomina del sysadmin?
leggendo le precisazioni, mi sembra di sì...
grazieDipende, se sul server e sui pc risiedono dati sensibili o personali allora la casistica ricade in quella alla quale si applica la normativa.

scusami ma accomunare dati sensibili e dati personali mi sembra errato....

"dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

ora non so le ultime novità... ma x i dati personali di solito c'erano degli allegerimenti...

ciao

cito dalla semplificazione del Garante:
"le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso."
.. e stiamo parlando delle prescrizioni in materia di amministratori di sistema....
se hai un sistema aziendale non particolarmente complesso, e non hai una risorsa specificamente dedicata all'amministrazione dei sistemi... non sei soggetto agli adempimenti?
se con amministratore di sistema intendiamo solamente il tecnico che all'inizio ti configura PC/server/rete.... e poi non interviene più se non per le manutenzioni a seguito di guasti, è necessario adempiere all'obbligo?
credo di no, se cmq non c'è possibilità che il mio amministratore intervenga dall'esterno....

scusami ma accomunare dati sensibili e dati personali mi sembra errato....

"dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

ora non so le ultime novità... ma x i dati personali di solito c'erano degli allegerimenti...

ciaoGuarda in tutta onestà questo è quello che mi è stato passato dalle persone che lavorano per noi e che si occupano di questi aspetti normativi.
Può darsi che mi abbiano passato informazioni spannometriche o cmq non siano entrati troppo nel dettaglio perchè cmq nel nostro caso rientravamo per qualche sistema, quindi nel dubbio tanto valeva regolarizzare tutti i server.

Confesso la mia ignoranza in materia legislativa e burocratica, sono campi che francamente non mi provocano nessun interesse o curiosità e che anzi ritengo una inutile perdita di tempo, io mi sono occupato unicamente delle soluzioni tecniche per rispondere a queste esigenze.
Probabilmente se non ci fossero queste (passatemi il termine) "vaccate" il genere umano avrebbe già inventato motore a curvatura, teletrasporto e replicatore :rolleyes:

Probabilmente se non ci fossero queste (passatemi il termine) "vaccate" il genere umano avrebbe già inventato motore a curvatura, teletrasporto e replicatore :rolleyes:

quotissimo... anche se come studio predisponiamo gli adeguamenti per la privacy ed il DPS.... penso che il garante farebbe bene ad occuparsi di cose serie.

La normativa sulla privacy ha il merito di aver fatto riflettere su alcuni aspetti della sicurezza informatica... ma va presa a piccole dosi! Della normativa in se stessa non me ne frega un c...o nemmeno a me, ma credo sia sbagliato fidarsi solo di voci senza un minimo di approfondimento. E’ in questo modo che ci sono state le miliardate di lettere a clienti e fornitori per trattare dati pubblici..... le vedete ancora queste lettere?
Per quanto riguarda la figura degli amministratori, da quello che ho capito, la normativa vuole evidenziare la problematica di figure che hanno privilegi di accesso ad informazioni di cui non disponevano di specifiche autorizzazioni al trattamento. Un amministratore non è né il tecnico che effettua la configurazione iniziale, né il manutentore che si fa intervenire al bisogno, è bensì un soggetto che può accedere ai sistemi in modo privilegiato, ed ha la possibilità di accedere a tutti i dati. Se questo incarico e potere viene affidato ad un soggetto esterno all’azienda... sembra logico e corretto normare la sua attività, quando si collega, cosa fa, verificarne le attitudini..... se sono una grande azienda ed ho delle figure professionali che si occupano solo di hardware e software senza essere incaricati al trattamento dei dati... verificare ciò che fanno può avere un senso... Nella nostra azienda, con 10 – 15 client, io sono una sorta di super utente, autorizzato al trattamento di tutti i dati, e sono anche amministratore di sistema per avere la possibilità di effettuare quelle operazioni tipiche degli amministratori, gestione e verifica dei backup...definizione utenti.... verifiche di funzionamento varie.... Faccio l’amministratore l’1 x 1000 del mio tempo... e quando lo faccio sono comunque incaricato al trattamento di tutti i dati che posso vedere... Ora non so dimostrare bene con i riferimenti di legge, con quali semplificazioni...., ma sono certo che la normativa non puntava a loggare la mia attività! ...x il server di windows mi hanno proposto una soluzione da 500 euro l’anno, me l’AS400 ancora nulla... Investirò del tempo per trovare i giusti riferimenti normativi con cui tirarmi fuori e non getterò via dei soldi per loggare i miei accessi!

Non siamo tenuti, ma visto che inizialmente avevo preparato un bel DPS, oggi 31.03.2010, ultimo giorno utile, ho provveduto ad aggiornarlo. Ormai mi è più comodo tenerlo visto che riporto estratti di normativa, faccio il punto della situazione.... e perché a piccole dosi il Codice porta anche a migliorare determinati comportamenti.
Mi sono rivisto le norme ed ho cercato di motivare perché non siamo tenuti alle prescrizioni relative agli amministratori di sistema. Direi che la maggior parte dei soggetti, chi fa solo fatturazione..contabilità...i normali adempimenti per il personale... se ne può tirare fuori. Non mi diverte, ma preferisco leggermi le norme e cercare di non fare cose non necessarie e costose. Se vi può essere utile vi allego i riferimenti di legge con cui motivare, secondo me, l’esclusione dall’obbligo


Il Provvedimento del Garante 27 novembre 2008, pubblicato sulla G.U. n. 287 del 9 dicembre 2008, introduce le misure e gli accorgimenti relativi alle funzioni di amministratori di sistema. Nelle premesse si fa riferimento a soggetti che possono accedere ai dati senza comprenderne il significato perché non altrimenti incaricati di operazioni che implichino il trattamento dei dati stessi. Al punto 4 delle premesse si esclude dagli obblighi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabile che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art.29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l 6 agosto 2008, n. 133; art.34 del Codice; Provv. Garante 6 novembre 2008)

Nell’art. 29 legge 133 del 6 agosto 2008 troviamo l’introduzione del comma 1-bis dell.art. 34 del Codice. In tale comma si individuano i soggetti che trattano solo dati personali non sensibili, ovvero dei dati sensibili minimi relativi ai dipendenti (si descrive in pratica chi assolve semplicemente agli obblighi amministrativi contabili, e le informazioni minime ed obbligatorie relative al personale) e dice che possono fare una autocertificazione al posto del DPS e seguire norme di un allegato B semplificato.

Chi si riconosce nella casistica delle semplificazioni del 34 1-bis è quindi escluso dalle prescrizioni per gli amministratori di sistema. Inoltre, con il comunicato stampa del Garante del 10 dicembre 2009, si precisa che le norme riguardano quei soggetti che abbiano fatto ricorso ad una figura professionale dell’amministratore di sistema.... Personalmente interpreto che al Garante interessa sapere del comportamento di soggetti che in modalità “admin” possono accedere a dati di cui non effettuano trattamenti, non sono specificatamente autorizzati a gestire quei dati in funzione di altri incarichi. Se invece un incaricato al trattamento dei dati, in taluni occasioni Vi accede in modalità “admin” , e vi è costretto perché i S.O. prevedono tale figura per l’effettuazione di talune operazioni, al Garante non interessa perché tale soggetto è comunque autorizzato al trattamento dei dati che può vedere in modalità “admin”

ciao

blasco, concordo con il tuo intervento chiarificatore...

grazie! mi fa piacere perchè mi era costato un certo impegno mettere assieme le varie norme.... e l'ho fatto più per il sito che per le nostre esigenze...
ciao

Ne è passata di acqua sotto i ponti ... nell'azienda dove lavoro al momento è finalmente operativo un dominio Windows con Windows Server 2008 R2.

Quali soluzioni avete trovato a distanza di tempo per essere conforme alla normativa? Noi al momento si fa semplicemente un salvataggio dei log di Windows ma sinceramente dubito che sia una cosa sufficiente ...

Per dire, leggevo che su windows

tramite "criteri di protezione locali" basta abilitare la voce "Controlla eventi di accesso" e "Controlla eventi di accesso account" sia per gli accessi riusciti che falliti.

Solo che in windows 2008 non c'è la voce "Criteri di protezione locali" .... dove trovo la voce corrispondente?

Alla fine è saltato fuori qualche programmino gratuito che permetta di visualizzare in maniera capibile i log?

mi iscrivo, sono interessato, soprattutto a soluzioni open

Ne approfitto per segnalare un software di IDS OpenSource che mi è stato detto essere sufficiente per adempiere alla stupida e assurda normativa di legge in questione.

Si chiama OSSEC (http://www.ossec.net/), non l'ho mai provato e non credo di farlo perchè ho già risolto con una soluzione basata su agente custom + rsyslog.
Se qualcuno è interessato qui (http://nolabnoparty.com/setup-di-ossec-log-analyzer-su-centos-5/) può trovare un tutorial di installazione preso dall'ottimo blog di Paolo Valsecchi (http://nolabnoparty.com).
Qui (http://nolabnoparty.com/aggiornare-ossec-log-analyzer-alla-versione-2-5-1/) invece trovate un altro post con il tutorial per l'upgrade del prodotto.

Se qualcuno ha modo di provarlo e l'ha trovato utile ci faccia sapere, e non scordatevi di ringraziare Paolo per la dritta :)

alla luce della nuova "uscente" normativa sull'apertura del wifi, queste tecnologie sono necessarie?
grazie

alla luce della nuova "uscente" normativa sull'apertura del wifi, queste tecnologie sono necessarie?
graziePremesso che degli aspetti burocratici non mi interesso e ne so meno di zero, credo che sia ancora presto perchè qualcuno possa dedurne qualcosa senza un pronunciamento del garante (che Reorx lo strafulmini... :rolleyes: ).

Premesso che degli aspetti burocratici non mi interesso e ne so meno di zero, credo che sia ancora presto perchè qualcuno possa dedurne qualcosa senza un pronunciamento del garante (che Reorx lo strafulmini... :rolleyes: ).


Tra l'altro la normativa rimane in vigore sicuramente fino a fine anno. Poi Maroni ha detto che in qualche modo l'identificazione deve avvenire, quindi magari faranno delle normative ancora più assurde :muro:

Tra l'altro la normativa rimane in vigore sicuramente fino a fine anno. Poi Maroni ha detto che in qualche modo l'identificazione deve avvenire, quindi magari faranno delle normative ancora più assurde :muro:

Quoto, è ancora presto. E secondo me non cambierà molto ma si razionalizzeranno solo i requisiti....sarebbe una follia il contrario imho.