HomeNewsPrivacy ed Amministratori di sistema: le nuove disposizioni

Provvedimento del Garante della privacy relativo agli amministratori di sistema

Logo_Garante_privacyIn data 27 novembre 2008 il Garante della privacy ha emanato alcune disposizioni in merito agli adempimenti che le aziende devono mettere in atto per garantire una corretta gestione delle figure aziendali che hanno accesso privilegiato a dati critici e riservati, gli amministratori di sistema appunto.

Tale provvedimento, che inizialmente doveva essere adottato entro il 30 giugno 2009, e' stato prorogato al 15 dicembre 2009.

Per il testo integrale del provvedimento clicca qui

Per il testo della nuova disposizione clicca qui

Il mancato rispetto delle disposizioni contenute nel provvedimento può dar luogo a sanzioni amministrative che possono arrivare fino a 720.000 euro. in casi particolari può anche dar luogo a sanzioni penali (da 3 a 24 mesi di reclusione).

Secondo il Garante, gli Amministratori di sistema sono figure essenziali per la sicurezza e pertanto soggetti ad accorgimenti specifici.

Ma chi sono gli Amministratori di sistema.

 

chiunque abbia la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti.

Nella pratica:

  • Amministratori di sistemi operativi
  • Gestore delle infrastrutture di rete e sicurezza
  • DBA
  • Gestore delle applicazioni

 

Le disposizioni del provvedimento prevedono:

  1. registrazione degli accessi
  2. verifica delle attività
  3. elenco degli amministratori

Registrazione degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratterisitche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi..

Cosa suggeriamo:

  • Abilitare gli Access Log sui sistemi che trattano dati personali, con priorità su sistemi operativi e strumenti di gestione
  • Raccogliere e storicizzare gli access log tramite infrastrutture intrinsecamente sicure ed applicare funzioni di hashing in grado di garantire l'integrità dei log.
  • Formalizzare la gestione dei log all'interno di un documento specifico

Verifica delle attività

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti..

Cosa suggeriamo:

  • Ufficializzare in un apposito documento la politica adottata per la gestione degli amministratori, includendo le misure organizzative, tecniche e di sicurezza stabilite.
  • Definire un processo di verifica dello stato di applicazione di tali regole (internal audit). 

Elenco degli amministratori

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante..

Cosa suggeriamo:

  • Predisporre un elenco contenente le nomine effettuate, da pubblicare in un  indirizzo intranet reso pubblico attraverso la trascrizione nel DPS.
  • Definire un processo di gestione degli elenchi per garantire l'effettivo aggiornamento delle nomine. 

Per gli amministratori occorre effettuare una valutazione delle caratteristiche soggettive, dotandosi di un preciso mansionario interno nel quale tali caratteristiche siano identificate e procedere ad una designazione individuale tramite lettere di incarico nominali.

Il testo integrale del provvedimento è reperibile cliccando qui.

 


Relativamente a questa problematica Fabricalab offre un servizio di consulenza così strutturato:

  • Attività di analisi per determinare gap e non conformità esistenti ed identificazione delle criticità con definizione del livello di gravità e della probabilità di accadimento.
  • Definizione/revisione dei processi di gestione degli utenti privilegiati
  • Definizione/revisione dei template documentali
  • Individuazione delle soluzioni tecnologiche più idonee e loro eventuale attivazione (vedi articolo GFI Events Manager)
Go to top

Questo sito usa i cookies per migliorare l'esperienza di navigazione. Continuando ad usare il sito, accetti l'uso dei cookies. Per maggiori informazioni sui cookies e su come disabilitarli, visita la pagina relativa alla cookie policy.