24. 07. 2009 Arianna Cunaccia Log Management

NetEye si allinea al provvedimento del garante per la protezione dei dati personali

Tematica molto discussa attualmente in ambito di sistemi informativi risulta essere il provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” emesso dall’autorità garante per la protezione dei dati personali.

Le misure e gli accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici prevedono:

  1. Valutazione delle caratteristiche soggettive: attribuzione delle funzioni di amministratore previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, che deve essere in grado di garantire il rispetto delle vigenti disposizioni in materia di trattamento dei dati personali.
  2. Designazioni individuali: quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
  3. Elenco degli amministratori di sistema: estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite devono essere riportate nel DPS (Documento programmatico della Sicurezza) o in un documento interno.
  4. Verifica delle attività: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, per controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto al trattamenteo dei dati personali.
  5. Registrazione degli accessi: devono essere adottati sistemi idonei alla registrazione degli accessi logici (autentificazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un periodo congruo, non inferiore a sei mesi.

Il Garante prevede quattro mesi per mettersi in regola, in NetEye la raccolta di tutti gli accessi dell’amministratore di sistema (login-logoff), la loro archiviazione e criptazione sono giá state realizzate.

In concreto:

  • Le autentificazioni informatiche e access logs d´ora in poi in NetEye vengono registrati in tempo reale includendo completezza di informazione: data, ora, messaggio di log, utenza, risultato di autentificazione, informazioni del client di accesso.
  • I dati sono inalterabili grazie ad algoritmi di crittazione quali Deffie-hellman o RSA.
  • Grazie al back-up del sistema è possibile avere un periodo di conservazione dei dati uguale o superiore ai sei mesi.
  • La verifica degli accessi dell’amministratore di sistema potrà avvenire direttamente attraverso la visualizzazione in NetEye, che, validando in tempo reale la firma digitale per la criptazione sarà in grado di fornire i logs desiderati.
Arianna Cunaccia

Arianna Cunaccia

Author

Arianna Cunaccia

Leave a Reply

Your email address will not be published.

Archive