garante, privacy e amministratori di sistema

[mattego]

cito dalla semplificazione del Garante:
"le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso."
.. e stiamo parlando delle prescrizioni in materia di amministratori di sistema....
se hai un sistema aziendale non particolarmente complesso, e non hai una risorsa specificamente dedicata all'amministrazione dei sistemi... non sei soggetto agli adempimenti?
se con amministratore di sistema intendiamo solamente il tecnico che all'inizio ti configura PC/server/rete.... e poi non interviene più se non per le manutenzioni a seguito di guasti, è necessario adempiere all'obbligo?
credo di no, se cmq non c'è possibilità che il mio amministratore intervenga dall'esterno....

[Tasslehoff]

Quote:

Originariamente inviato da blasco017

scusami ma accomunare dati sensibili e dati personali mi sembra errato....

"dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

ora non so le ultime novità... ma x i dati personali di solito c'erano degli allegerimenti...

ciao

Guarda in tutta onestà questo è quello che mi è stato passato dalle persone che lavorano per noi e che si occupano di questi aspetti normativi.
Può darsi che mi abbiano passato informazioni spannometriche o cmq non siano entrati troppo nel dettaglio perchè cmq nel nostro caso rientravamo per qualche sistema, quindi nel dubbio tanto valeva regolarizzare tutti i server.

Confesso la mia ignoranza in materia legislativa e burocratica, sono campi che francamente non mi provocano nessun interesse o curiosità e che anzi ritengo una inutile perdita di tempo, io mi sono occupato unicamente delle soluzioni tecniche per rispondere a queste esigenze.
Probabilmente se non ci fossero queste (passatemi il termine) "vaccate" il genere umano avrebbe già inventato motore a curvatura, teletrasporto e replicatore

[mattego]

Quote:

Originariamente inviato da Tasslehoff

Probabilmente se non ci fossero queste (passatemi il termine) "vaccate" il genere umano avrebbe già inventato motore a curvatura, teletrasporto e replicatore

quotissimo... anche se come studio predisponiamo gli adeguamenti per la privacy ed il DPS.... penso che il garante farebbe bene ad occuparsi di cose serie.

[blasco017]

La normativa sulla privacy ha il merito di aver fatto riflettere su alcuni aspetti della sicurezza informatica... ma va presa a piccole dosi! Della normativa in se stessa non me ne frega un c...o nemmeno a me, ma credo sia sbagliato fidarsi solo di voci senza un minimo di approfondimento. E’ in questo modo che ci sono state le miliardate di lettere a clienti e fornitori per trattare dati pubblici..... le vedete ancora queste lettere?
Per quanto riguarda la figura degli amministratori, da quello che ho capito, la normativa vuole evidenziare la problematica di figure che hanno privilegi di accesso ad informazioni di cui non disponevano di specifiche autorizzazioni al trattamento. Un amministratore non è né il tecnico che effettua la configurazione iniziale, né il manutentore che si fa intervenire al bisogno, è bensì un soggetto che può accedere ai sistemi in modo privilegiato, ed ha la possibilità di accedere a tutti i dati. Se questo incarico e potere viene affidato ad un soggetto esterno all’azienda... sembra logico e corretto normare la sua attività, quando si collega, cosa fa, verificarne le attitudini..... se sono una grande azienda ed ho delle figure professionali che si occupano solo di hardware e software senza essere incaricati al trattamento dei dati... verificare ciò che fanno può avere un senso... Nella nostra azienda, con 10 – 15 client, io sono una sorta di super utente, autorizzato al trattamento di tutti i dati, e sono anche amministratore di sistema per avere la possibilità di effettuare quelle operazioni tipiche degli amministratori, gestione e verifica dei backup...definizione utenti.... verifiche di funzionamento varie.... Faccio l’amministratore l’1 x 1000 del mio tempo... e quando lo faccio sono comunque incaricato al trattamento di tutti i dati che posso vedere... Ora non so dimostrare bene con i riferimenti di legge, con quali semplificazioni...., ma sono certo che la normativa non puntava a loggare la mia attività! ...x il server di windows mi hanno proposto una soluzione da 500 euro l’anno, me l’AS400 ancora nulla... Investirò del tempo per trovare i giusti riferimenti normativi con cui tirarmi fuori e non getterò via dei soldi per loggare i miei accessi!

[blasco017]

Non siamo tenuti, ma visto che inizialmente avevo preparato un bel DPS, oggi 31.03.2010, ultimo giorno utile, ho provveduto ad aggiornarlo. Ormai mi è più comodo tenerlo visto che riporto estratti di normativa, faccio il punto della situazione.... e perché a piccole dosi il Codice porta anche a migliorare determinati comportamenti.
Mi sono rivisto le norme ed ho cercato di motivare perché non siamo tenuti alle prescrizioni relative agli amministratori di sistema. Direi che la maggior parte dei soggetti, chi fa solo fatturazione..contabilità...i normali adempimenti per il personale... se ne può tirare fuori. Non mi diverte, ma preferisco leggermi le norme e cercare di non fare cose non necessarie e costose. Se vi può essere utile vi allego i riferimenti di legge con cui motivare, secondo me, l’esclusione dall’obbligo


Il Provvedimento del Garante 27 novembre 2008, pubblicato sulla G.U. n. 287 del 9 dicembre 2008, introduce le misure e gli accorgimenti relativi alle funzioni di amministratori di sistema. Nelle premesse si fa riferimento a soggetti che possono accedere ai dati senza comprenderne il significato perché non altrimenti incaricati di operazioni che implichino il trattamento dei dati stessi. Al punto 4 delle premesse si esclude dagli obblighi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabile che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art.29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l 6 agosto 2008, n. 133; art.34 del Codice; Provv. Garante 6 novembre 2008)

Nell’art. 29 legge 133 del 6 agosto 2008 troviamo l’introduzione del comma 1-bis dell.art. 34 del Codice. In tale comma si individuano i soggetti che trattano solo dati personali non sensibili, ovvero dei dati sensibili minimi relativi ai dipendenti (si descrive in pratica chi assolve semplicemente agli obblighi amministrativi contabili, e le informazioni minime ed obbligatorie relative al personale) e dice che possono fare una autocertificazione al posto del DPS e seguire norme di un allegato B semplificato.

Chi si riconosce nella casistica delle semplificazioni del 34 1-bis è quindi escluso dalle prescrizioni per gli amministratori di sistema. Inoltre, con il comunicato stampa del Garante del 10 dicembre 2009, si precisa che le norme riguardano quei soggetti che abbiano fatto ricorso ad una figura professionale dell’amministratore di sistema.... Personalmente interpreto che al Garante interessa sapere del comportamento di soggetti che in modalità “admin” possono accedere a dati di cui non effettuano trattamenti, non sono specificatamente autorizzati a gestire quei dati in funzione di altri incarichi. Se invece un incaricato al trattamento dei dati, in taluni occasioni Vi accede in modalità “admin” , e vi è costretto perché i S.O. prevedono tale figura per l’effettuazione di talune operazioni, al Garante non interessa perché tale soggetto è comunque autorizzato al trattamento dei dati che può vedere in modalità “admin”

ciao

[mattego]

blasco, concordo con il tuo intervento chiarificatore...

[blasco017]

grazie! mi fa piacere perchè mi era costato un certo impegno mettere assieme le varie norme.... e l'ho fatto più per il sito che per le nostre esigenze...
ciao

[sk8ne]

Ne è passata di acqua sotto i ponti ... nell'azienda dove lavoro al momento è finalmente operativo un dominio Windows con Windows Server 2008 R2.

Quali soluzioni avete trovato a distanza di tempo per essere conforme alla normativa? Noi al momento si fa semplicemente un salvataggio dei log di Windows ma sinceramente dubito che sia una cosa sufficiente ...

Per dire, leggevo che su windows

Quote:

tramite "criteri di protezione locali" basta abilitare la voce "Controlla eventi di accesso" e "Controlla eventi di accesso account" sia per gli accessi riusciti che falliti.

Solo che in windows 2008 non c'è la voce "Criteri di protezione locali" .... dove trovo la voce corrispondente?

Alla fine è saltato fuori qualche programmino gratuito che permetta di visualizzare in maniera capibile i log?

[bongo74]

mi iscrivo, sono interessato, soprattutto a soluzioni open

[Tasslehoff]

Ne approfitto per segnalare un software di IDS OpenSource che mi è stato detto essere sufficiente per adempiere alla stupida e assurda normativa di legge in questione.

Si chiama OSSEC, non l'ho mai provato e non credo di farlo perchè ho già risolto con una soluzione basata su agente custom + rsyslog.
Se qualcuno è interessato qui può trovare un tutorial di installazione preso dall'ottimo blog di Paolo Valsecchi.
Qui invece trovate un altro post con il tutorial per l'upgrade del prodotto.

Se qualcuno ha modo di provarlo e l'ha trovato utile ci faccia sapere, e non scordatevi di ringraziare Paolo per la dritta

[bongo74]

alla luce della nuova "uscente" normativa sull'apertura del wifi, queste tecnologie sono necessarie?
grazie

[Tasslehoff]

Quote:

Originariamente inviato da bongo74

alla luce della nuova "uscente" normativa sull'apertura del wifi, queste tecnologie sono necessarie?
grazie

Premesso che degli aspetti burocratici non mi interesso e ne so meno di zero, credo che sia ancora presto perchè qualcuno possa dedurne qualcosa senza un pronunciamento del garante (che Reorx lo strafulmini... ).

[Master FO]

Quote:

Originariamente inviato da Tasslehoff

Premesso che degli aspetti burocratici non mi interesso e ne so meno di zero, credo che sia ancora presto perchè qualcuno possa dedurne qualcosa senza un pronunciamento del garante (che Reorx lo strafulmini... ).

Tra l'altro la normativa rimane in vigore sicuramente fino a fine anno. Poi Maroni ha detto che in qualche modo l'identificazione deve avvenire, quindi magari faranno delle normative ancora più assurde

[pegasolabs]

Quote:

Originariamente inviato da Master FO

Tra l'altro la normativa rimane in vigore sicuramente fino a fine anno. Poi Maroni ha detto che in qualche modo l'identificazione deve avvenire, quindi magari faranno delle normative ancora più assurde

Quoto, è ancora presto. E secondo me non cambierà molto ma si razionalizzeranno solo i requisiti....sarebbe una follia il contrario imho.