|
|
|
Black Box Soluzione al nuovo adempimento richiesto dal Garante sulla Privacy
Il Garante della Privacy ha di recente emesso un provvedimento che richiede l’implementazione da parte di tutte le organizzazioni sia pubbliche che private, di un processo di controllo degli accessi logici ai sistemi informatici da parte degli amministratori.
Il decreto, i cui riferimenti sono disponibili in allegato, richiede che:
"Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste."
Secondo il provvedimento, l'adozione di tale sistema di controllo dovrà essere messo in atto entro 120 giorni dalla data di pubblicazione sulla Gazzetta Ufficiale
(avvenuta il 24 Dicembre 2008 u.s).
Una forte enfasi è posta sulla verifica dell'attività svolta dall'amministratore di sistema, come ivi descritto:
- Dotarsi di un sistema di controllo che consenta di registrare gli accessi effettuati dagli amministratori di sistema
- Ogni operazione deve essere registrata in appositi audit log
- Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un periodo non inferiore a 6 mesi
- Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità
- L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento per verificarne la sua conformità rispetto alle misure di sicurezza.
- Per tutti i Titolari dei trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella GU, le misure dovranno essere introdotte al piu' presto e comunque entro e non oltre 120 giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati.
La normativa completa relativa alla "registrazione degli accessi" e' visibile sul relativo sito del Garante:
www.garanteprivacy.it/garante/doc.jsp?ID=1580831
La soluzione proposta da C.A.T.A. agisce nel perimetro previsto dagli obblighi di legge.
Grazie ad un leggerissimo agente software, installato sui diversi sistemi, è in grado di raccogliere e trasmettere in maniera sicura lungo la rete, i log delle azioni amministrative effettuate su:
> Basi di Dati
> Server
> Client
La sua componente server si occupa di archiviare queste informazioni in una partizione sicura ed inaccessibile per i termini previsti dalla normativa.
La soluzione può essere fruita in modalità ASP.
In questo caso non è necessaria alcuna macchina locale, che funga da server, ma per installazioni più grandi di 10 client (di cui almeno un server) è suggerito installare un applicativo, con funzione di proxy, che raccolga i log da tutti i sistemi prima di inoltrarli verso il respository remoto.
Info
Per maggiori informazioni o dimostrazioni clicca sul pulsante di richiesta informazioni.
|
|
