Privacy legata agli amministratori di sistema
In riferimento al provvedimento del 27 novembre 2008 (GU n. 300 del 24-12-2008 ), il Garante della Privacy ha introdotto alcuni adempimenti in materia di Privacy con particolare riferimento alle figure degli Amministratori di Sistema. Questi nuovi adempimenti oltre ad essere intesi come la predisposizione di lettere di incarico, o accettazioen di procedure, richiedono al Titolare del trattamento alcune misure, accorgimenti e, adempimenti di doveri di controllo da sulle attività dell’Amministratore. Lo scopo di questa presentazione è di analizzare nel dettaglio questo provvedimento con l’obiettivo di enucleare le principali novità introdotte e dettagliare in che cosa esse si traducono per chi deve adeguarsi, al fine di poter presentare altresì il servizio che la nostra azienda può proporre per agevolare gli adempimenti.
Questo provvedimento nasce fondamentalmente per 2 motivi:
1. riconoscimento del ruolo di centralità degli Amministratori di Sistema per la sicurezza delle banche dati ed equiparazione di alcune loro attività (es. salvataggio dei dati, manutenzione hardware, …) ad un vero e proprio trattamento di dati personali.
2. carenza di consapevolezza delle criticità insite nello svolgimento delle mansioni del ruolo, con preoccupante sottovalutazione dei rischi derivanti dall'azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico, accertate nei controlli effettuati presso Enti ed Organizzazione anche di dimensioni medio-grandi.
A questo devono adeguarsi tutti i Titolari che trattano dati personali con strumenti informatici ed elettronici, anche quando tale trattamento è parziale. Sono esclusi dall'ambito applicativo del presente provvedimento i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008). Gli estremi per l'applicazione del provvedimento sono da rilevare anche dal DPS interno all'azienda di riferimento.
La data di scadenza per l'adeguamento è scaduta a giugno 2009, per le azienda che si sono adeguate e che non rilevano in maniera elettronica gli accessi ai sistemi proponiamo nel dettaglio le nostre soluzioni di registrazione dei log di accesso alla rete.
Analizzando la legge e gli adempimenti prescritti possiamo riassumere che è fatto obbligo del Titolare di :
- Individuare coloro che ricadono nella categoria di Amministratore di Sistema;
- Valutare l’adeguatezza delle figure individuate rispetto alle disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza;
- Procedere alla nomina formale degli Amministratore di Sistema;
- Verificare periodicamente l'operato degli Amministratori di Sistema;
- Registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli Amministratori di Sistema.
Domande frequenti
A chi ci si riferisce quando si parla di Amministratore di Sistema
Il Garante chiarisce che, quando si parla di Amministratore di Sistema nel provvedimento, occorre fare riferimento oltre che alla “figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti” anche ad altre figure professionali ad essa equiparate. Ai fini del provvedimento, dunque, vanno considerate le seguenti figure professionali:
• System Administrator/Amministratore di sistema;
• Application Administrator/Amministratore di un particolare tipo di applicazion);
• Network Administrator/Amministratore di rete;
• Security Administrator/Amministratore della Sicurezza Logica;
• Database Administrator/Amministratore basi di dati.
Quali sono i criteri per la valutazione dell’Amministratore di Sistema
I criteri per compiere questa valutazione possono essere diversi, ma il Garante richiama espressamente quelli previsti per la nomina del Responsabile del trattamento. Questo vuol dire quindi che l'esperienza, la capacità e l'affidabilità del soggetto da designare devono costituire una garanzia del rispetto delle disposizioni del Codice della Privacy, compreso l'aspetto attinente la sicurezza dei dati.
Come si effettua la nomina
I privilegi amministrativi devono essere assegnati ad utenze nominali e devono essere adottate le misure tecnologiche necessarie a garantire che le funzioni amministrative siano espletate attraverso account individuali. Devono, inoltre, essere documentati in maniera analitica gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. L’elenco delle persone fisiche che hanno ricevuto l’incarico di Amministratori di Sistema, con le relative funzioni loro attribuite, deve essere riportato nel DPSS (Documento Programmatico Sulla Sicurezza) o in un altro documento mantenuto aggiornato. Nel caso, poi, di servizi di amministrazione di sistema affidati in outsourcing, il Titolare avrà l'obbligo di conservare gli estremi identificativi delle persone fisiche preposte quali Amministratori di Sistema.
La verifica dell’operato degli Amministratori di Sistema
Il Titolare deve garantire che siano adottati gli strumenti organizzativi e tecnologici necessari ed idonei a verificare che l’operato degli Amministratori di Sistema avvenga nel pieno rispetto delle misure tecniche, organizzative e di sicurezza previste dalla legge in materia di protezione dei dati personali e che le eventuali violazioni od anomalie vengano prontamente identificate e corrette. I controlli necessari devono essere effettuati con cadenza almeno annuale.
Registrazione degli accessi
Tutti gli accessi logici ai sistemi ed agli archivi elettronici devono essere tracciati e conservati. In assenza di contrarie indicazioni sembra che la registrazione debba comprendere tanto gli eventi positivi (success) che negativi (failure) di accesso. Il livello di dettaglio delle informazioni registrate deve essere commisurato (principio dell’idoneità ed adeguatezza) al contesto organizzativo ed alla criticità, con particolare riferimento alle caratteristiche di sensibilità dei dati trattati.
- Le registrazioni (record) devono comunque contenere l'indicazione della data (timestamp) e la descrizione dell'evento che le genera.
- Le registrazioni devono essere complete, non modificabili e consentire la verifica della loro integrità, tenendo conto delle finalità di controllo cui sono preordinate.
- Le registrazioni devono essere conservate per un periodo minimo di 6 mesi.
In che cosa possiamo aiutarvi ?
Riassumento quindi il Garante della privacy in merito alla registrazione e documentazione degli accessi al sistema informatico, ha regolamentato le responsabilità, anche penali, dell'amministratore del sistema, ovvero del responsabile del trattamento dei dati. In particolare, il provvedimento prevede che tali soggetti debbano documentare gli accessi ai sistemi informatici, utilizzando adeguati strumenti elettronici che permettano di raccogliere e conservare le registrazioni degli accessi (access log) con le caratteristiche di integrità, veridicità e inalterabilità.
I log di accesso alle cartelle in rete devono essere conservati per ALMENO 6 mesi.
Devono rispettare:
• Completezza: monitoraggio di tutta la rete;
• Inalterabilità: rispettata tramite la firma elettronica sia in locale che in remota
• Congruenza: verifica della integrità (tramite firma digitale)
Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
|
Prodotti Gas.Net 
