|
|
|
|
Strumenti |
29-03-2010, 17:53 | #41 |
Senior Member
Iscritto dal: Sep 2003
Città: pordenone
Messaggi: 369
|
cito dalla semplificazione del Garante:
"le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso." .. e stiamo parlando delle prescrizioni in materia di amministratori di sistema.... se hai un sistema aziendale non particolarmente complesso, e non hai una risorsa specificamente dedicata all'amministrazione dei sistemi... non sei soggetto agli adempimenti? se con amministratore di sistema intendiamo solamente il tecnico che all'inizio ti configura PC/server/rete.... e poi non interviene più se non per le manutenzioni a seguito di guasti, è necessario adempiere all'obbligo? credo di no, se cmq non c'è possibilità che il mio amministratore intervenga dall'esterno.... |
29-03-2010, 20:54 | #42 | |
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6497
|
Quote:
Può darsi che mi abbiano passato informazioni spannometriche o cmq non siano entrati troppo nel dettaglio perchè cmq nel nostro caso rientravamo per qualche sistema, quindi nel dubbio tanto valeva regolarizzare tutti i server. Confesso la mia ignoranza in materia legislativa e burocratica, sono campi che francamente non mi provocano nessun interesse o curiosità e che anzi ritengo una inutile perdita di tempo, io mi sono occupato unicamente delle soluzioni tecniche per rispondere a queste esigenze. Probabilmente se non ci fossero queste (passatemi il termine) "vaccate" il genere umano avrebbe già inventato motore a curvatura, teletrasporto e replicatore
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." |
|
30-03-2010, 08:19 | #43 |
Senior Member
Iscritto dal: Sep 2003
Città: pordenone
Messaggi: 369
|
quotissimo... anche se come studio predisponiamo gli adeguamenti per la privacy ed il DPS.... penso che il garante farebbe bene ad occuparsi di cose serie.
|
30-03-2010, 09:45 | #44 |
Senior Member
Iscritto dal: Jan 2007
Città: provincia UD
Messaggi: 3382
|
La normativa sulla privacy ha il merito di aver fatto riflettere su alcuni aspetti della sicurezza informatica... ma va presa a piccole dosi! Della normativa in se stessa non me ne frega un c...o nemmeno a me, ma credo sia sbagliato fidarsi solo di voci senza un minimo di approfondimento. E’ in questo modo che ci sono state le miliardate di lettere a clienti e fornitori per trattare dati pubblici..... le vedete ancora queste lettere?
Per quanto riguarda la figura degli amministratori, da quello che ho capito, la normativa vuole evidenziare la problematica di figure che hanno privilegi di accesso ad informazioni di cui non disponevano di specifiche autorizzazioni al trattamento. Un amministratore non è né il tecnico che effettua la configurazione iniziale, né il manutentore che si fa intervenire al bisogno, è bensì un soggetto che può accedere ai sistemi in modo privilegiato, ed ha la possibilità di accedere a tutti i dati. Se questo incarico e potere viene affidato ad un soggetto esterno all’azienda... sembra logico e corretto normare la sua attività, quando si collega, cosa fa, verificarne le attitudini..... se sono una grande azienda ed ho delle figure professionali che si occupano solo di hardware e software senza essere incaricati al trattamento dei dati... verificare ciò che fanno può avere un senso... Nella nostra azienda, con 10 – 15 client, io sono una sorta di super utente, autorizzato al trattamento di tutti i dati, e sono anche amministratore di sistema per avere la possibilità di effettuare quelle operazioni tipiche degli amministratori, gestione e verifica dei backup...definizione utenti.... verifiche di funzionamento varie.... Faccio l’amministratore l’1 x 1000 del mio tempo... e quando lo faccio sono comunque incaricato al trattamento di tutti i dati che posso vedere... Ora non so dimostrare bene con i riferimenti di legge, con quali semplificazioni...., ma sono certo che la normativa non puntava a loggare la mia attività! ...x il server di windows mi hanno proposto una soluzione da 500 euro l’anno, me l’AS400 ancora nulla... Investirò del tempo per trovare i giusti riferimenti normativi con cui tirarmi fuori e non getterò via dei soldi per loggare i miei accessi! |
31-03-2010, 18:10 | #45 |
Senior Member
Iscritto dal: Jan 2007
Città: provincia UD
Messaggi: 3382
|
Non siamo tenuti, ma visto che inizialmente avevo preparato un bel DPS, oggi 31.03.2010, ultimo giorno utile, ho provveduto ad aggiornarlo. Ormai mi è più comodo tenerlo visto che riporto estratti di normativa, faccio il punto della situazione.... e perché a piccole dosi il Codice porta anche a migliorare determinati comportamenti.
Mi sono rivisto le norme ed ho cercato di motivare perché non siamo tenuti alle prescrizioni relative agli amministratori di sistema. Direi che la maggior parte dei soggetti, chi fa solo fatturazione..contabilità...i normali adempimenti per il personale... se ne può tirare fuori. Non mi diverte, ma preferisco leggermi le norme e cercare di non fare cose non necessarie e costose. Se vi può essere utile vi allego i riferimenti di legge con cui motivare, secondo me, l’esclusione dall’obbligo Il Provvedimento del Garante 27 novembre 2008, pubblicato sulla G.U. n. 287 del 9 dicembre 2008, introduce le misure e gli accorgimenti relativi alle funzioni di amministratori di sistema. Nelle premesse si fa riferimento a soggetti che possono accedere ai dati senza comprenderne il significato perché non altrimenti incaricati di operazioni che implichino il trattamento dei dati stessi. Al punto 4 delle premesse si esclude dagli obblighi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabile che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art.29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l 6 agosto 2008, n. 133; art.34 del Codice; Provv. Garante 6 novembre 2008) Nell’art. 29 legge 133 del 6 agosto 2008 troviamo l’introduzione del comma 1-bis dell.art. 34 del Codice. In tale comma si individuano i soggetti che trattano solo dati personali non sensibili, ovvero dei dati sensibili minimi relativi ai dipendenti (si descrive in pratica chi assolve semplicemente agli obblighi amministrativi contabili, e le informazioni minime ed obbligatorie relative al personale) e dice che possono fare una autocertificazione al posto del DPS e seguire norme di un allegato B semplificato. Chi si riconosce nella casistica delle semplificazioni del 34 1-bis è quindi escluso dalle prescrizioni per gli amministratori di sistema. Inoltre, con il comunicato stampa del Garante del 10 dicembre 2009, si precisa che le norme riguardano quei soggetti che abbiano fatto ricorso ad una figura professionale dell’amministratore di sistema.... Personalmente interpreto che al Garante interessa sapere del comportamento di soggetti che in modalità “admin” possono accedere a dati di cui non effettuano trattamenti, non sono specificatamente autorizzati a gestire quei dati in funzione di altri incarichi. Se invece un incaricato al trattamento dei dati, in taluni occasioni Vi accede in modalità “admin” , e vi è costretto perché i S.O. prevedono tale figura per l’effettuazione di talune operazioni, al Garante non interessa perché tale soggetto è comunque autorizzato al trattamento dei dati che può vedere in modalità “admin” ciao |
02-04-2010, 10:29 | #46 |
Senior Member
Iscritto dal: Sep 2003
Città: pordenone
Messaggi: 369
|
blasco, concordo con il tuo intervento chiarificatore...
|
02-04-2010, 10:38 | #47 |
Senior Member
Iscritto dal: Jan 2007
Città: provincia UD
Messaggi: 3382
|
grazie! mi fa piacere perchè mi era costato un certo impegno mettere assieme le varie norme.... e l'ho fatto più per il sito che per le nostre esigenze...
ciao |
19-07-2010, 12:27 | #48 | |
Senior Member
Iscritto dal: Feb 2002
Città: Veronizzamelo
Messaggi: 1096
|
Ne è passata di acqua sotto i ponti ... nell'azienda dove lavoro al momento è finalmente operativo un dominio Windows con Windows Server 2008 R2.
Quali soluzioni avete trovato a distanza di tempo per essere conforme alla normativa? Noi al momento si fa semplicemente un salvataggio dei log di Windows ma sinceramente dubito che sia una cosa sufficiente ... Per dire, leggevo che su windows Quote:
Alla fine è saltato fuori qualche programmino gratuito che permetta di visualizzare in maniera capibile i log?
__________________
"ATTENZIONE!! Non aprire assolutamente questa scatola. Prima verificarne il contenuto..." |
|
20-07-2010, 08:23 | #49 |
Senior Member
Iscritto dal: May 2006
Messaggi: 6018
|
mi iscrivo, sono interessato, soprattutto a soluzioni open
__________________
Pc funzionanti, (Amd x2 3600+ , Amd x2 4400+ , e8400, Q9400, Q9500) Debian 10,G860,i5 6500, in arrivo Q6600 Scotch edition] |
05-11-2010, 20:00 | #50 |
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6497
|
Ne approfitto per segnalare un software di IDS OpenSource che mi è stato detto essere sufficiente per adempiere alla stupida e assurda normativa di legge in questione.
Si chiama OSSEC, non l'ho mai provato e non credo di farlo perchè ho già risolto con una soluzione basata su agente custom + rsyslog. Se qualcuno è interessato qui può trovare un tutorial di installazione preso dall'ottimo blog di Paolo Valsecchi. Qui invece trovate un altro post con il tutorial per l'upgrade del prodotto. Se qualcuno ha modo di provarlo e l'ha trovato utile ci faccia sapere, e non scordatevi di ringraziare Paolo per la dritta
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." |
06-11-2010, 06:48 | #51 |
Senior Member
Iscritto dal: May 2006
Messaggi: 6018
|
alla luce della nuova "uscente" normativa sull'apertura del wifi, queste tecnologie sono necessarie?
grazie
__________________
Pc funzionanti, (Amd x2 3600+ , Amd x2 4400+ , e8400, Q9400, Q9500) Debian 10,G860,i5 6500, in arrivo Q6600 Scotch edition] |
06-11-2010, 09:33 | #52 |
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6497
|
Premesso che degli aspetti burocratici non mi interesso e ne so meno di zero, credo che sia ancora presto perchè qualcuno possa dedurne qualcosa senza un pronunciamento del garante (che Reorx lo strafulmini... ).
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." |
06-11-2010, 09:35 | #53 | |
Member
Iscritto dal: Apr 2005
Città: Campagnola Emilia
Messaggi: 202
|
Quote:
Tra l'altro la normativa rimane in vigore sicuramente fino a fine anno. Poi Maroni ha detto che in qualche modo l'identificazione deve avvenire, quindi magari faranno delle normative ancora più assurde
__________________
"L'informatica è come la fisica.La differenza è che mentre la fisica è governata da leggi naturali, in informatica sei tu il creatore. All'interno del computer puoi essere un Dio." Linus Torvalds |
|
06-11-2010, 10:11 | #54 |
Senior Member
Iscritto dal: May 2004
Città: Salerno
Messaggi: 21185
|
Quoto, è ancora presto. E secondo me non cambierà molto ma si razionalizzeranno solo i requisiti....sarebbe una follia il contrario imho.
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 22:33.