Fuoco

 
Lista News
Ad ArsLogica Sistemi la gestione del Data Center e delle PdL della Provincia di Verona
ArsLogica Sistemi per la Provincia di Udine
ArsLogica vince il premio Stage-IT 2014 per il Miglior Progetto Stage
ArsLogica main sponsor del Golf Club 'La Montecchia'
 
In evidenza
 
Privacy, amministratore di sistema cercasi
Imprese e P.A. devono avere un amministratore di sistema, secondo quanto previsto dal provvedimento del garante della privacy del 27 novembre 2008, pubblicato sulla Gazzetta Ufficiale del 24 dicembre 2008.
La misura consiste nella individuazione e formale nomina di chi amministra i sistemi informativi di una azienda, di un ente o di uno studio professionale.

Tale provvedimento ha, secondo il garante, lo scopo di elevare il livello di sicurezza nel trattamento dei dati effettuato con gli elaboratori. Così si potrà contrastare un certo lassismo nell'uso dei computer ed elaboratori. L'obiettivo di quel provvedimento è fare in modo che si faccia effettivamente attenzione alla sicurezza informatica, responsabilizzando enti pubblici, imprese e professionisti e obbligandoli a rivolgersi a persone preparate e capaci di assicurare un livello adeguato di tutela degli elaboratori. L'adempimento può, però, incontrare alcune difficoltà interpretative e attuative. A questo scopo il garante ha pubblicato alcune faq sul suo sito istituzionale. Sempre per superare queste difficoltà operative potranno essere utili i modelli di designazione dell'amministratore di sistema e di comunicazione con il soggetto esterno che gestisce la rete in outsourcing.


A CHI SI APPLICA
Il garante ha precisato in un suo comunicato del 10 dicembre 2009 chi è tenuto alla nomina dell'amministratore di sistema e a gli altri adempimenti connessi.

Questo allo scopo di arginare «azioni promozionali da parte di consulenti rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici». A questo proposito il garante ha chiarito che le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell'amministratore di sistema o a una figura equivalente; conseguentemente le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso. Insomma quello che conta è il dato dimensionale e organizzativo (anche se non si stabiliscono espressamente livelli soglia).


LOGGING Il provvedimento prevede, tra gli altri adempimenti, il cosiddetto logging e cioè la registrazione degli accessi dell'amministratore di sistema, con indicazione dei tempi di apertura e chiusura dell'intervento e con la registrazione dell'evento che ha generato l'intervento del sistemista.

Il garante, nel comunicato del 15 dicembre 2009, ha precisato che si può utilizzare software open source a costo zero per il logging degli accessi degli amministratori di sistema. L'adempimento può essere realizzato senza fare ricorso a costosi applicativi


SANZIONI
Non nominare l'amministratore di sistema privacy può costare caro. L'omissione apre la strada alla applicazione della sanzione prevista dall'articolo 162, comma 2 ter, del Codice della privacy.

In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 30 mila a 180 mila euro. Sanzioni tra l'altro incrementabili se ricorrono situazioni aggravanti o in caso di non sufficiente deterrenza della sanzione edittale. Peraltro l'adempimento non deve essere realizzato dalle piccole e medie imprese, se trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile. Rientrano in quest'ultima categoria, e si è perciò esonerati dall'obbligo di nominare l'amministratore di sistema, i trattamenti necessari per la gestione di ordinativi, le buste paga e l'ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing e dipendenti.


LE INDICAZIONI DEL GARANTE
Il garante ha fornito alcune indicazioni operative rispondendo ad alcune domande frequenti. Vediamo le risposte.

L'obbligo di registrazione degli accessi logici riguarda i sistemi client «postazioni di lavoro informatizzate». La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso). Non è richiesto in alcun modo che vengano registrati dati sull'attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Nei casi più semplici la registrazione può essere soddisfatta tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l'uso di strumenti software o hardware aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità. Il titolare, tuttavia, deve valutare se adottare strumenti più sofisticati (raccolta dei log centralizzata, dispositivi non riscrivibili, tecniche crittografiche per la verifica dell'integrità delle registrazioni).

I più diffusi sistemi operativi garantiscono anche la inalterabilità delle registrazioni. Il requisito, chiarisce il garante, può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e «certificati». Il garante, poi, si spinge a dire che il provvedimento non si preoccupa della effettiva genuina generazione dei dati registrati: il provvedimento si limita a prevedere come forma minima di documentazione dell'uso di un sistema informativo, la generazione del log degli «accessi» (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento. Non c'è, dice la risposta del garante senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi. Inoltre l'accesso applicativo non è compreso tra le caratteristiche tipiche dell'amministratore di sistema e quindi non è necessario, in forza del provvedimento del garante, sottoporlo a registrazione. Per la nomina dell'amministratore di sistema è sufficiente specificare l'ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.
Data pubblicazione: 02 Feb 10   scarica allegato: articolo italiaoggi 7 del 25-01-2010.pdf
 Contattaci    Stampa questa pagina   Invia questa pagina a un amico Accedi alla tua area riservata
 
 
 
© 2007 ArsLogica Sistemi - CF e P.IVA: 04108030281. Registro delle Imprese di Pd n. 04108030281. Tutti i diritti sono riservati.