Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy



Documenti analoghi
Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0

L amministratore di sistema. di Michele Iaselli

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

InfoCertLog. Scheda Prodotto

Privacy Day Forum - 23 Maggio 2013 Luca BOLOGNINI Renato CASTROREALE

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

I LOG dell'amministratore ai fini Privacy - mini howto

AMMINISTRATORI DI SISTEMA: PROROGATI I TERMINI PER GLI ADEMPIMENTI. Le procedure da adottare entro il termine di scadenza della proroga

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Comune di Spilamberto Provincia di Modena. Regolamento per la gestione del sistema di video sorveglianza

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

L unica soluzione completa per registrare e conservare i Log degli Amministratori di Sistema

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici

NET GENERATION SOLUTIONS. Soluzione software per gestire il problema dei LOG degli Amministratori di Sistema

PROXYMA Contrà San Silvestro, Vicenza Tel Fax

La soluzione software per Avvocati e Studi legali

PROTOS GESTIONE DELLA CORRISPONDENZA AZIENDALE IN AMBIENTE INTRANET. Open System s.r.l.

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

La Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Roma,.. Spett.le. Società Cooperativa EDP La Traccia. Recinto II Fiorentini, n Matera (MT)

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Disciplinare sulla gestione dei reclami, suggerimenti e segnalazioni dei cittadini nei confronti dell Amministrazione Comunale di Ancona

Politica per la Sicurezza

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

SecurityLogWatcher Vers.1.0

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

Allegato 5. Definizione delle procedure operative

PRIVACY POLICY DEL SITO WEB

Atto Dirigenziale n del 15/12/2009

La migliore soluzione per la sicurezza documentale

La soluzione software per CdA e Top Management

La CASSAFORTE DIGITALE per

PRIVACY POLICY SITO INTERNET

Specifiche Tecniche CARATTERISTICHE TECNICHE GENERALI MINIME PER LA GESTIONE DEL SERVIZIO

DELIBERAZIONE N. 30/7 DEL

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Ci si riferisce, in particolare, all'abuso della qualità di operatore di

INDICAZIONI GENERALI

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

Fatturazione Elettronica PA Specifiche del Servizio

PRIVACY: Le misure di sicurezza Decreto Legislativo 30 Giugno 2003 n. 196 Breve guida per la nomina dell Amministratore di Sistema

Base di dati e sistemi informativi

RISCOM. Track Your Company,.. Check by isecurity

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

Ogni documento digitalizzato, carta attivo o passivo, viene di infatti accompagnato identità da una sorta di elettron

IT Cloud Service. Semplice - accessibile - sicuro - economico

LA SOLUZIONE PROPOSTA E L ATTIVAZIONE DEL SERVIZIO Luisa Semolic Insiel S.p.A.

MANUALE DELLA QUALITÀ Pag. 1 di 6

Alfonso Ponticelli Una gestione ottimale delle utenze privilegiate

Sistema di Sorveglianza e Ambient Intelligence per Residenze Sanitarie Assistenziali

LA VERIFICA FISCALE SUI DOCUMENTI INFORMATICI. 16 gennaio 2009

Sicurezza delle utenze privilegiate

ARCHIVIAZIONE DOCUMENTALE

Centralizzazione, log e monitoraggio

DICHIARA. Nello specifico dei prodotti e dei servizi sopra citati Microcosmos Multimedia S.r.l. CERTIFICA

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

SCHEMA DI DELIBERAZIONE

Modello dei controlli di secondo e terzo livello

REALIZZAZIONE LAN

ALF0021M MANUALE UTENTE MODULO "SETUP"

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

MANUALE DI CONSERVAZIONE

Docebo: la tua piattaforma E-Learning Google Ready.

Privacy semplice per le PMI

esales Forza Ordini per Abbigliamento

Circolare N.24 del 07 Febbraio Sicurezza sul lavoro. Obblighi e scadenze

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

Distributori DPI DESCRIZIONE SERVIZIO. Informazioni Generali

ATTI AMMINISTRATIVI. Prefettura di Firenze - Protezione dei dati personali

REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

CitySoftware PROTOCOLLO. Info-Mark srl

COMUNE DI CASSANO IRPINO PROVINCIA DI AVELLINO

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL ART. 13 DEL D.LGS. 196/2003 (C.D. CODICE PRIVACY)

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

Soluzioni per ridurre i costi di stampa e migliorare i processi.

System & Network Integrator. Rap 3 : suite di Identity & Access Management

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB

EyesLog The log management system for your server farm. Soluzioni Informatiche

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

LA SMATERIALIZZAZIONE DEI DOCUMENTI FISCALI

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

Privacy Policy di

SysAround S.r.l. L'efficacia delle vendite è l elemento centrale per favorire la crescita complessiva dell azienda.

INFORMATIVA SULLA PRIVACY. In questa pagina si descrivono le modalità di gestione del sito in riferimento al

crazybrain snc Presentazione_VisualFTP.pdf Pag. 1 VisualFTP Presentazione del prodotto Web partner:

PROFILO FORMATIVO Profilo professionale e percorso formativo

VERSIONE 3.0. THEMIS Srl Via Genovesi, Torino

Transcript:

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy http://www.bludis.it/prodotti/manageengine/event_log/pagine/default.aspx Pag. 1 di 6

Indice 1 IL PROVVEDIMENTO DEL GARANTE... 2 1.1 TRATTAMENTI RELATIVI ALLE FUNZIONI DEGLI AMMINISTRATORI DI SISTEMA... 2 1.2 GESTIONE DEGLI ACCESS LOG DEGLI AMMINISTRATORI DI SISTEMA... 3 1.3 CHIARIMENTI IN MERITO AL PROVVEDIMENTO DEL GARANTE... 3 2 LA SOLUZIONE PER ESSERE SUBITO IN REGOLA... 3 3 OUTSOURCING DEL SERVIZIO DI GESTIONE DEGLI ACCESS LOG... 5 1 Il Provvedimento del Garante Il 27 novembre 2008 il Garante per la Protezione dei Dati Personali, ha pubblicato un importante provvedimento riguardante le Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema (di seguito AdS). Il fine del Garante è quello di richiamare l attenzione sulle responsabilità dell AdS il quale, per l esercizio delle sue funzioni, ha evidentemente un accesso privilegiato alle informazioni aziendali inclusi gli archivi contenenti dati personali. Il termine per mettersi in regola è scaduto il 15 dicembre 2009, e chi non ha adottato le misure prescritte rischia in caso di verifica - di incorrere in pesanti sanzioni pecuniarie. 1.1 Trattamenti relativi alle funzioni degli Amministratori di Sistema Il Garante evidenzia... la particolare criticità del ruolo degli amministratori di sistema... e... richiama l'attenzione... sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema;.... Nell assegnazione di ruoli con accesso privilegiato il Garante richiede ai titolari di... valutare con particolare cura l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. (http://www.garanteprivacy.it/garante/doc.jsp?id=1577499) Riportiamo di seguito una sintesi delle misure richieste dal Garante relativamente alla scelta e alla verifica dell operato degli AdS: Valutazione delle caratteristiche soggettive delle persone designate Designazioni individuali (per es. evitare account di amministratore condivisi) http://www.bludis.it/prodotti/manageengine/event_log/pagine/default.aspx Pag. 2 di 6

Elenco formale degli AdS: system administrator, amministratore di base di dati (database administrator) o amministratore di rete (network administrator); Verifica periodica dell operato degli AdS Registrazione degli eventi di accessi (Access log degli AdS) 1.2 Gestione degli Access Log degli Amministratori di Sistema Questo è uno degli adempimenti più complessi poichè implica sia una revisione di alcune procedure e documenti sia l implementazione di adeguati sistemi di auditing. Scendendo nel dettaglio il Garante obbliga le aziende al tracciamento completo (logging) degli eventi di accesso (e anche i tentativi falliti) degli amministratori di sistema a sistemi e database. I suddetti log (Access Log) devono essere archiviati e conservati per un periodo non inferiore a sei mesi, garantendo l inalterabilità e l integrità degli eventi. Il Garante sottolinea il concetto di idoneità dei sistemi di audit, che dipende ovviamente dal contesto un cui vengono applicati:...devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, e comunque non inferiore a sei mesi; (http://www.garanteprivacy.it/garante/doc.jsp?id=1577499) 1.3 Chiarimenti in merito al provvedimento del Garante Dopo la pubblicazione del provvedimento, sono pervenute al Garante molte richieste di chiarimento sulla corretta interpretazione delle prescrizioni. Il 25 Maggio del 2010, il Garante ha pubblicato una raccolta di FAQ in merito all applicazione pratica delle misure da adottare, chiarendo in particolare che: Non è necessario tracciare tutto quello che fa l amministratore, ma solo gli eventi di Logon, Logoff e tentativi di accesso. (FAQN 22) Bisogna tenere traccia degli accessi sui server, sui client (FAQ N 4 ) ed anche sui Database (FAQ N 19) Non è necessario tracciare gli accessi degli amministratori agli applicativi (FAQ N 22) 2 La soluzione per essere subito in regola http://www.bludis.it/prodotti/manageengine/event_log/pagine/default.aspx Pag. 3 di 6

La soluzione proposta da Bludis si basa su EventLog Analyzer, uno dei software della suite ManageEngine, leader nelle soluzioni per la gestione dell infrastruttura e dei servizi IT. EventLog Analyzer è uno strumento completo per il log Management che fornisce reports per le compliance a normative come la SOX,HIPAA, PCI. Queste normative sono molto più restrittive del provvedimento del Garante e includono già l obbligo della gestione e archiviazione degli Access Log. L implementazione di EventLog Analyzer permette quindi di ottemperare perfettamente alle richieste del provvedimento. Il server si installa e si configura in pochi minuti, senza la necessità di installare un agent, e inizia immediatamente a collezionare i log dai sistemi target e a generare i report sugli Access Log. Gli eventi vengono analizzati e archiviati per un periodo personalizzabile. L intervallo di tempo sufficiente per ottemperare al provvedimento del garante è di 6 mesi (180 giorni), ma è possibile impostare questo parametro secondo le proprie necessità. Per prevenire il tampering dei log e per una corretta marcatura temporale vengono automaticamente applicate una funzione di Hashing e il timestamping. Se viene modificato anche un solo carattere in un log, EventLog Analyzer è in grado di rilevarlo e segnalarlo alle persone preposte al controllo. La sicurezza di EventLog Analyzer si basa su autenticazione (user ID e password), profili di accesso differenziati per utente e l integrazione con Active Directory e server Radius. La crittografia automatica (opzionale) rende illeggibili i file di archivio e previene la lettura diretta non autorizzata dei raw log. EventLog Analyzer permette di gestire qualunque tipo di log (sicurezza, sistema, applicazioni etc.), e generare allarmi in base specifici eventi. Oltre a ottemperare al http://www.bludis.it/prodotti/manageengine/event_log/pagine/default.aspx Pag. 4 di 6

provvedimento del garante può essere quindi utilizzato come strumento di monitoraggio dell infrastruttura IT e analisi degli eventi. Riportiamo di seguito le funzionalità di EventLog Analyzer che permettono di rispondere in modo puntuale agli adempimenti richiesti dal Garante in materia di gestione degli access log degli AdS. Collezionamento dei log di sistemi Windows (EventLog), Unix/Linux (Syslog) e di MSSQL, Oracle, AS400, IIS, VMWare, DHCP. Tracciamento e conservazione degli accessi dell amministratore di sistema. Schedulazione e generazione automatica di report sulle attività degli Amministratori (Accessi, tentativi di accesso etc.). Archiviazione sicura dei log mediante applicazione di Cifratura, timestamping e hashing (per ottemperare all obbligo di inalterabilità e non modificabilità degli access log ) Per un elenco completo delle caratteristiche consultare il seguente link: http://www.bludis.it/prodotti/manageengine/event_log/funzionalita/pagine/default.aspx 3 Outsourcing del servizio di gestione degli Access Log L attività di tracciamento e conservazione degli Access Log degli AdS può essere data in gestione a terzi. La distributed Edition di EventLog Analyzer è adatta agli operatori che erogano servizi di gestione e reporting dei log per i loro clienti. I Managed Server, installati presso i clienti, raccolgono i log dagli host locali e si sincronizzano con il server centrale tramite connessione sicura https. http://www.bludis.it/prodotti/manageengine/event_log/pagine/default.aspx Pag. 5 di 6

I dati sono segragati e ciascun cliente accede alla console con una proprio profilo di accesso, consultando i report e gli allarmi della propria infratruttura. Oltre alla possibilità di erogare servizi di log management, la distributed edition offre vantaggi di scalabilità e monitoraggio distribuito per grandi organizzazioni. Per maggiori informazioni: http://www.bludis.it/prodotti/manageengine/event_log/pagine/default.aspx http://www.bludis.it/prodotti/manageengine/event_log/pagine/default.aspx Pag. 6 di 6

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back