Adempimenti amministratore di sistema

enzy · 07-02-2012, 08:00

Non so se la sezione e' giusta.... se cosi' non fosse chiedo venia e prego i mod. di spostarla.

Vorrei sapere quali adempimenti di carattere "burocratico" (consigliati o voluti dal Garante con i vari provvedimenti che si sono succeduti nel tempo) deve adottare un Amm di sistema.

Es. Registro degli interventi, controlli da parte del titolare dei dati, log di accesso, ecc..

Grazie

andvento · 10-02-2012, 09:32

Ciao,
per esperienza ti dico che dipende molto dal tipo di cliente che amministri e dal tipo di dati che tratti.....se tratti una pubblica amministrazione allora c'e' da divertirsi

enzy · 10-02-2012, 17:19

allora fammi un esempio di "divertimento" c/o una pubblica amministrazione dato che mi sembra di capire sia il caso piu' complicato.

Tasslehoff · 10-02-2012, 17:31

Mah dipende dai casi, io ad esempio lavoro parecchio per la PA e gli enti con cui ho a che fare hanno personale dedicato per queste faccende, sia per gli aspetti legali che per quelli tecnici.

Si definiscono delle policy interne (es raccolta centralizzata di tutti i log di accessi ai sistemi, installazione di antivirus con aggiornamenti e scansioni schedulate, definizioni delle policy di accesso ai sistemi con utenze nominali etc etc etc...) e le si applicano.

A me francamente sembrano cose del tutto inutili (nel senso che molte norme sono di fatto inapplicabili, o applicabili solo formalmente ma puntualmente interpretate caso per caso) pertanto non meritevoli di approfondimento, ho lasciato questa cosa a chi di dovere e mi sono sempre limitato ad applicare quanto detto sopra pedissequamente.

Mi rendo conto che purtroppo non tutti possono permettersi questo lusso, io però non posso essere di grande aiuto.

antoniox · 15-02-2012, 15:47

Il Titolare del trattamento dei dati è colui che deve (nominare e) dare istruzioni al Responsabile dei Sistemi.

Queste istruzioni devono essere inserite nella lettera di nomina, in un documento allegato o in successive comunicazioni. Il Responsabile è tenuto a prenderne visione e a rispettarle tassativamente; inoltre deve rivolgersi al Titolare in caso di dubbi e per segnalare problematiche o anomalie.

Detto questo, le prescrizioni contenute nelle istruzioni di solito fanno riferimento ad alcune fattispecie classiche:

a) tenere aggiornati i sistemi operativi e i programmi attraverso le patch con verifiche periodiche;

b) installare (e tenere aggiornato) un sistema antivirus su tutti gli elaboratori;

c) predisporre procedure di backup e procedure di ripristino e testarle periodicamente;

d) settare permessi di accesso alle banche dati secondo quanto richiesto dal Titolare;

e) settare policy (complessità della password, protezione allo screen-saver, ecc) secondo quanto richiesto dal Titolare;

Ulteriori operazioni, sempre da disporre su indicazione del Titolare, riguardano la limitazione dei rischi incombenti sui dati; sempre in generale (diversi ambiti richiedono diversi approcci perché incombono diversi rischi, basti pensare ad un reparto di R&D, dove magari il rischio principale è lo spionaggio!), sistemato il rischio di distruzione\cancellazione attraverso il backup, sistemato il rischio di accesso non autorizzato attraverso i permessi, non resta che fare fronte al rischio di accesso non autorizzato dall'esterno grazie all'installazione e configurazione di un firewall.

La predisposizione di un sistema di logging deve andare nella direzione di fornire -ovvio!- dei dati; questi però a cosa devono servire?
A dimostrare di avere adempiuto a certi obblighi in termini di accessi regolamentati ai dati.
A dimostrare di avere effettuato i backup (e con successo).
Ecc.

(scusa la sintesi ma sono di fretta)

07-02-2012, 08:00	#1
enzy Member Iscritto dal: Oct 2005 Messaggi: 175	Adempimenti amministratore di sistema Non so se la sezione e' giusta.... se cosi' non fosse chiedo venia e prego i mod. di spostarla. Vorrei sapere quali adempimenti di carattere "burocratico" (consigliati o voluti dal Garante con i vari provvedimenti che si sono succeduti nel tempo) deve adottare un Amm di sistema. Es. Registro degli interventi, controlli da parte del titolare dei dati, log di accesso, ecc.. Grazie

10-02-2012, 17:31	#4
Tasslehoff Senior Member Iscritto dal: Nov 2001 Città: Kendermore Messaggi: 6656	Mah dipende dai casi, io ad esempio lavoro parecchio per la PA e gli enti con cui ho a che fare hanno personale dedicato per queste faccende, sia per gli aspetti legali che per quelli tecnici. Si definiscono delle policy interne (es raccolta centralizzata di tutti i log di accessi ai sistemi, installazione di antivirus con aggiornamenti e scansioni schedulate, definizioni delle policy di accesso ai sistemi con utenze nominali etc etc etc...) e le si applicano. A me francamente sembrano cose del tutto inutili (nel senso che molte norme sono di fatto inapplicabili, o applicabili solo formalmente ma puntualmente interpretate caso per caso) pertanto non meritevoli di approfondimento, ho lasciato questa cosa a chi di dovere e mi sono sempre limitato ad applicare quanto detto sopra pedissequamente. Mi rendo conto che purtroppo non tutti possono permettersi questo lusso, io però non posso essere di grande aiuto. __________________ https://tasslehoff.burrfoot.it \| Cloud? Enough is enough! \| SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say."

15-02-2012, 15:47	#5
antoniox Senior Member Iscritto dal: Oct 2000 Città: Sala Consilina (SA) Messaggi: 641	Il Titolare del trattamento dei dati è colui che deve (nominare e) dare istruzioni al Responsabile dei Sistemi. Queste istruzioni devono essere inserite nella lettera di nomina, in un documento allegato o in successive comunicazioni. Il Responsabile è tenuto a prenderne visione e a rispettarle tassativamente; inoltre deve rivolgersi al Titolare in caso di dubbi e per segnalare problematiche o anomalie. Detto questo, le prescrizioni contenute nelle istruzioni di solito fanno riferimento ad alcune fattispecie classiche: a) tenere aggiornati i sistemi operativi e i programmi attraverso le patch con verifiche periodiche; b) installare (e tenere aggiornato) un sistema antivirus su tutti gli elaboratori; c) predisporre procedure di backup e procedure di ripristino e testarle periodicamente; d) settare permessi di accesso alle banche dati secondo quanto richiesto dal Titolare; e) settare policy (complessità della password, protezione allo screen-saver, ecc) secondo quanto richiesto dal Titolare; Ulteriori operazioni, sempre da disporre su indicazione del Titolare, riguardano la limitazione dei rischi incombenti sui dati; sempre in generale (diversi ambiti richiedono diversi approcci perché incombono diversi rischi, basti pensare ad un reparto di R&D, dove magari il rischio principale è lo spionaggio!), sistemato il rischio di distruzione\cancellazione attraverso il backup, sistemato il rischio di accesso non autorizzato attraverso i permessi, non resta che fare fronte al rischio di accesso non autorizzato dall'esterno grazie all'installazione e configurazione di un firewall. La predisposizione di un sistema di logging deve andare nella direzione di fornire -ovvio!- dei dati; questi però a cosa devono servire? A dimostrare di avere adempiuto a certi obblighi in termini di accessi regolamentati ai dati. A dimostrare di avere effettuato i backup (e con successo). Ecc. (scusa la sintesi ma sono di fretta) __________________ formattare l'ACER 1524WLMi http://forum.hwupgrade.it/showthread.php?s=&postid=6685664#post6685664

10-02-2012, 09:32	#2
andvento Member Iscritto dal: Jan 2002 Città: Bracciano Messaggi: 50	Ciao, per esperienza ti dico che dipende molto dal tipo di cliente che amministri e dal tipo di dati che tratti.....se tratti una pubblica amministrazione allora c'e' da divertirsi

10-02-2012, 17:19	#3
enzy Member Iscritto dal: Oct 2005 Messaggi: 175	allora fammi un esempio di "divertimento" c/o una pubblica amministrazione dato che mi sembra di capire sia il caso piu' complicato.

Strumenti
Mostra una versione stampabile Invia questa pagina per email