Luciano Quartarone Amministratori di SistemaNel seguito vengono ripresi e chiariti alcuni punti...

Amministratori di Sistema Quadro normativo italiano

©2013LucianoQuartarone,allrightsreserver

O9obre2013LucianoQuartarone

h9p://[email protected]

LucianoQuartarone

LucianoQuartarone

Il tema degli Amministratori di Sistema (nel seguito AdS) continua ad essere di primaria importanza nella corretta gestione, pianificazione ed implementazione dei sistemi IT. Nel seguito vengono ripresi e chiariti alcuni punti relativi a: •  Riferimenti normativi;•  Definizioni;•  Note interpretative e FAQ.

Il tema di come devono essere registrati e conservati di dati relativi agli accessi effettuati dagli AdS non è oggetto di questa presentazione.


AmministratoridiSistemaQuadroNormaIvoItaliano

Riferimenti Normativi

I principali riferimenti normativi da tenere in considerazione quando si parla di Amministratori di Sistema (AdS) sono:

# Descrizione

[1] D.Lgs 30/06/2003, 196 – “Codice di Materia di Protezione dei Dati Personali” (e successivi aggiornamenti)

[2] Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008. (G.U. n. 300 del 24 dicembre 2008)

[3] Allegato B (al Codice): Disciplinare tecnico in materia di misure minime di sicurezza



Alcune definizioni…

Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue carattristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.. In particolare, sono:dati personali: qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

dati identificativi: i dati personali che permettono l'identificazione diretta dell'interessato;



dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonch. i dati personali idonei a rivelare lo stato di salute e la vita sessuale;.

dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualit. di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;"dato anonimo", il dato che in origine, o a seguito di trattamento, non pu. essere associato ad un interessato identificato o identificabile;



dato anonimo: il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile

titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalit., alle modalit. del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;

responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;

incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;



interessato: la persona fisica cui si riferiscono i dati personali;

comunicazione: il dare conoscenza dei dati personali a uno o pi. soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;



trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l 'estrazione, i l raffronto, l 'uti l izzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;

Negli ultimi anni hanno assunto un ruolo significativo altri dati personali, relativi alle comunicazioni elettroniche (via internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti



Amministratore di Sistema: non esiste una definizione univoca di questo “ruolo”. La normativa corrente in [2], al comma 1 delle Considerazioni Preliminari della Premessa, riporta:

“Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.”



ed ancora:

“Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo […] nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati.”

“Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l'amministratore non consulti "in chiaro" le informazioni medesime.”



ed ancora:

“Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo […] nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati.”

“Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l'amministratore non consulti "in chiaro" le informazioni medesime.”

12©2013LucianoQuartarone,allrightsreserver


Altre figure, oltre all’AdS posso avere accesso ai dati mantenuti in un sistema informativo, ma queste figure non rientrano nel campo di interesse dei provvedimenti del Garante. L’accesso ai dati effettuato tramite applicativi software “comuni”, infatti, non è oggetto di interesse del Garante, ma rimane nell’ambito della sicurezza dell’applicazione, della sua qualità e dell’assunzione di responsabilità da parte del produttore. Tutti questi aspetti, oltre a quelli di processo, sono indirizzati da altre norme, non sempre adottate come “requisito” normativo:

•  ISO/IEC 27001:2013 - Information technology -- Security techniques -- Information security management systems – Requirements;

•  ISO/IEC 27002:2013 - Information technology -- Security techniques -- Code of practice for information security controls;

•  ISO/IEC 27005:2011 - Information technology -- Security techniques -- Information security risk management

•  ISO/IEC 25001:2007 - Software engineering -- Software product Quality Requirements and Evaluation (SQuaRE) -- Planning and management



L’AdS:

•  ha grandi responsabilità e elevate criticità riguardo alle base dati che gestisce attraverso l’amministrazione della infrastruttura IT. (legge sulla privacy);

•  è spesso, per la sua natura, nominato come responsabile del trattamento dei dati (legge sulla privacy).

•  riveste attività di controllo sulla fruizione e corretto utilizzo della struttura IT ;

•  ha grande autonomia di operato.



Il Titolare (o responsabile) è tenuto ad individuare l’AdS

“previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto

delle vigenti disposizioni in materia di trattamento ivi compreso il profilo della sicurezza”.

Nella designazione dell’AdS si deve tener conto di esperienza, capacità, affidabilità. Si tratta quindi di qualità tecniche professionali e NON di qualità

morali.



Obblighi del Titolare/responsabile:

1.  La nomina di AdS è individuale;2.  Vanno specificati con precisione e rigore ambito di operatività, ruoli e

compiti dell’AdS.3.  La nomina deve essere validata dal titolare o responsabile;4.  È valida fino a revoca;5.  Deve essere redatta una lista firmata dal titolare o responsabile, di tutti gli

amministratori di sistema con i compiti attribuiti.6.  La lista deve essere resa disponibile a tutti i lavoratori dei quali gli AdS

trattano i dati.



Cosa registrare:

Tutti gli accessi degli AdS (login/logon) ai sistemi informatici quali server (virtuali o fisici), client (pc, workstation…). Poiché il provvedimento [2] riporta:

“...laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali.”

è opportuno che vengano registrati anche gli accessi ad apparati quali switch, router, firewall, AP wifi



Cosa registrare:

In alcune situazioni è possibile accedere ai dati server senza effettuare un login sul sistema, ma solo sul servizio applicativo che espone i dati: è il caso di molti DBMS, in cui l’accesso avviene interrogando direttamente il motore del DBMS. Gli accessi AMMINISTRATIVI al DBMS devono essere registrati.



Alcuni chiarimenti

Cosa deve intendersi per "amministratore di sistema"? Il Garante non ha inteso equiparare gli "operatori di sistema" di cui agli articoli del Codice penale relativi ai delitti informatici, con gli "amministratori di sistema": questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.

Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.



Alcuni chiarimenti

Relativamente all'obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?

Si, anche i client, intesi come "postazioni di lavoro informatizzate", sono compresi tra i sistemi per cui devono essere registrati gli accessi degli AdS.

Nei casi più semplici tale requisito può essere soddisfatto tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l'uso di strumenti software o hardware aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità.



Alcuni chiarimenti

Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?...) Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all'atto dell'accesso o tentativo di accesso da parte di un AdS o all'atto della sua disconnessione nell'ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software.Gli event records generati dai sistemi di autenticazione contengono usualmente i riferimenti allo "username" utilizzato, alla data e all'ora dell'evento (timestamp), una descrizione dell'evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato…).



Alcuni chiarimenti

Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l'accesso o anche le attività eseguite?

Il provvedimento non richiede in alcun modo che vengano registrati dati sull’attività interattiva degli amministratori di sistema.



Alcuni chiarimenti

È corretto affermare che l'accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l'accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?

Si. L'accesso applicativo non è compreso tra le caratteristiche tipiche dell'amministratore di sistema e quindi non è necessario, in forza del provvedimento del Garante, sottoporlo a registrazione.



How can I help you?


Non essendoci un norma di certificazione per gli AdS la verifica della qualità dei controlli messi in atto da un’azienda o da una pubblica amministrazione, è lasciata al buon senso ed alla preparazione tecnica dei singoli “esperti” operanti nel settore.



Forte dell’esperienza maturata in precedenti attività,

posso fornire assistenza in un processo di self-assessment normativo.

Questo assessment, come altri da me sviluppati, ha lo scopo di portare alla luce eventuali carenze organizzativi e/o procedurali.

In seguito a questa attività, sarà possibile definire delle azioni correttive per colmare eventuali mancanze o rivalutare i controlli introdotti per mantenerne viva l’efficacia.



Sul mercato esistono alcune soluzioni software che partendo dagli output del LogManagement, contribuiscono alla gestione di tutti gli aspetti “procedurali” dei requisiti richiesti dalla normativa.

Altre soluzioni lavorano come add-on del Log Management, integrandosi con questo ed estendendone le funzionalità per soddisfare i requisiti normativi e gestire tutti gli aspetti procedurali (ad esempio: nomina degli AdS, definizione dei trattamenti, degli incaricati e verifica delle policy di gestione delle credenziali).

Fra i vari produttori, segnalo la soluzione di Innovery S.p.A., alla cui progettazione ho collaborato direttamente.


So, don’t be shy read more about me on

http://www.lucianoquartarone.it/

and get in touch.

…testimonials say more than every words.


Amministratori di Sistema Quadro normativo Italiano

Thanks for your attention.

Mr.Luciano,QuartaroneITSecurityConsultant

Mobile:+(39)3925127104||+(44)2035298528Skype:ilucianoq||eMail:[email protected]


Luciano Quartarone Amministratori di SistemaNel seguito vengono ripresi e chiariti alcuni punti...

Documents

Transcript of Luciano Quartarone Amministratori di SistemaNel seguito vengono ripresi e chiariti alcuni punti...