Inserisci un commentoPrivacy: la direttiva del garante sugli amministratori di sistema e la proposta di Advanction
Come far fronte all'adeguamento con la recente normativa del Garante della Privacy riguardante il monitoraggio delle attività degli amministratori di sistema nelle aziende
Il Garante della Privacy ha stabilito, con un provvedimento datato 27 novembre 2008 e successivamente aggiornato il 23 febbraio 2009, che entro il 30 giugno 2009 le aziende private, gli enti, le amministrazioni pubbliche adottino adeguate misure tecniche e organizzative che riguardano la figura degli 'amministratori di sistema'.
Tale direttiva è nata dall'esigenza di valutare con particolare attenzione l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali.
Nel suo provvedimento il garante ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.
Le misure da adottare riguardano la registrazione degli accessi con l’adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Per quanto riguarda la verifica della attività deve essere previsto un controllo almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite.
La proposta di Advanction
Advanction è in grado di proporre una suite completa di prodotti per ottemperare alle direttive del Garante della Privacy:
Monitoraggio degli accessi e delle attività ai sistemi:
E' opportuno implementare la soluzione giusta dipendentemente dalle tipologie dei sistemi e dei database presenti in azienda, evitando impatti sulle performance dei sistemi, ma bilanciando le esigenze di compliance con il mantenimento e la crescita della produttività aziendale.
Per monitorare le attività degli amministratori di sistema, ed eventualmente degli utenti, sui sistemi di business, Advanction propone i seguenti strumenti:
- AS400 e Mainframe: Intellinx
- Sistemi ERP: Guardium
- Database: Guardium e netForensics DataOne
Collezionamento e archiviazione dei Log di sistema:
- netForensics LogOne consente di collezionare e archiviare in modo sicuro i log dei sistemi e delle applicazioni aziendali
Per saperne di più: http://www.advanction.com/it/garante_sysadmin.html
Tale direttiva è nata dall'esigenza di valutare con particolare attenzione l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali.
Nel suo provvedimento il garante ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.
Le misure da adottare riguardano la registrazione degli accessi con l’adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Per quanto riguarda la verifica della attività deve essere previsto un controllo almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite.
La proposta di Advanction
Advanction è in grado di proporre una suite completa di prodotti per ottemperare alle direttive del Garante della Privacy:
Monitoraggio degli accessi e delle attività ai sistemi:
E' opportuno implementare la soluzione giusta dipendentemente dalle tipologie dei sistemi e dei database presenti in azienda, evitando impatti sulle performance dei sistemi, ma bilanciando le esigenze di compliance con il mantenimento e la crescita della produttività aziendale.
Per monitorare le attività degli amministratori di sistema, ed eventualmente degli utenti, sui sistemi di business, Advanction propone i seguenti strumenti:
- AS400 e Mainframe: Intellinx
- Sistemi ERP: Guardium
- Database: Guardium e netForensics DataOne
Collezionamento e archiviazione dei Log di sistema:
- netForensics LogOne consente di collezionare e archiviare in modo sicuro i log dei sistemi e delle applicazioni aziendali
Per saperne di più: http://www.advanction.com/it/garante_sysadmin.html
Pubblicato il: 11 marzo 2009
Fonte: Ufficio Stampa Advanction
Autore: stefano bonacina
Link: http://www.advanction.com/it/garante_sysadmin.html
News inserita in: Sicurezza e virus
E' vietata la riproduzione integrale del testo e l'uso delle foto. E' consentita solo la riproduzione parziale dell'articolo con link diretto al sito e citazione della fonte. L'editore non è responsabile di eventuali omissioni e/o imprecisioni.
Facebook
Twitter
Rss
Mobile