Gruppo di lavoro dedicato a redigere un documento pilota focalizzato sul provvedimento:


Il deliverable che verrà prodotto dai Partner partecipanti al gruppo di lavoro permetterà di mappare le soluzioni Oracle di Identity Management e Data Security, oltre che i servizi dei Partner, in linea con i requisiti del provvedimento e potrà eventualmente essere utilizzato per comunicati stampa, articoli informativi o tecnici, post su forum (incluso DBA Italia), highlight sulla newsletter OPN News, sito dedicato, brochure, agenda di un micro convegno in Oracle verso Clienti, struttura di una traccia in un futuro convegno terzo, ecc…


A questo link e di seguito il dettaglio della norma che è oggetto di workshop da parte del Gruppo di Lavoro costituito.

Il giorno 21 aprile 2009 è stata avviata una consultazione pubblica per:

• Attivare le procedure necessarie volte ad acquisire osservazioni e commenti da parte dei titolari del trattamento ai quali il provvedimento si rivolge con esclusivo riferimento a quanto prescritto al punto 2 del dispositivo del provvediemento del 27 novembre 2008
• Trasmettere copia del presente provvedimento al Ministero della Giustizia - Ufficio pubblicazioni leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana.

Osservazioni e commenti potranno essere segnalati entro il 31 maggio all'indirizzo dell'Autorità di Piazza di Montecitorio n.121 00186 Roma o all'indirizzo di posta elettronica ads@garanteprivacy.it

A tal proposito, a valle dell'invio di una lettera di richiesta di chiarimenti in data 15 aprile 2009, è attualmente in fase di redazione una lettera di suggerimenti da parte del Gruppo di Lavoro.

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


Amministratore di Sistema

Dettaglio:

• Preposti alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti
• Amministratori di basi di dati
• Amministratori di reti
• Amministratori di apparati di sicurezza
• Amministratori di sistemi software complessi

Note:

• Le funzioni tipiche dell'amministrazione di un sistema sono richiamate nell'Allegato B del codice, nella parte in cui prevede l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione.
• Gran parte dei compiti previsti nel medesimo Allegato B spettano tipicamente all'amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.

Trattamendo dei dati da parte dell'amministratore

Dettaglio:

• Allorquando esista un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali (anche quando l'amministratore non consulti "in chiaro" le informazioni personali).

Dettaglio:

Conseguenze

Dettaglio:

• Responsabilità, di ordine penale e civile (artt. 15 e 169 del Codice), che possono derivare in caso di incauta o inidonea designazione.

Tempistica

Dettaglio:

• Entro il 30 giugno 2009 per i titolari di trattamenti in corso al momento della pubblicazione del provvedimento ovvero iniziati entro 30 giorni dalla pubblicazione del provvedimento in Gazzetta Ufficiale (24 dicembre 2008).
• Tutti i titolari che intraprendano un trattamento di dati decorsi 30 giorni dalla pubblicazione in Gazzetta del provvedimento in oggetto, dovranno adottare le misure indicate, anteriormente all'inizio all inizio del trattamento stesso.

Attribuzione funzione del ruolo di "amministratore di sistema"

Dettaglio:

• L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.

Note:

• Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.

Designazioni individuali

Dettaglio:

• La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Elencazione amministratori di sistema

Dettaglio:

• Nel DPS o in un Documento interno devono essere annotati gli estremi identificativi degli "amministratori di sistema".
• Se i dati trattati riguardano informazioni personali dei lavoratori, i titolari sono tenuti a renderlo noto a questi e a rendere noto l'ambito di operatività.
  
  
  • Per fare questo si può inserire quest'informazione nell'informativa (ex art. 13 del codice privacy), mediante il disciplinare tecnico ex Provv. N. 13 del 1 marzo 2007 ovvero mediante altri strumenti di comunicazione interna (intranet, circolari, ordini di servizio,..).

Verifica attività degli amministratori di sistema (cadenza annuale)

Dettaglio:

• Verifica annuale circa la rispondenza dell'operato alle misure organizzative, tecniche, di sicurezza previste dalla normativa vigente.

Registrazione degli accessi

Dettaglio:

• Registrazione accessi logici da parte degli amministratori. La registrazione deve rispondere a determinate caratteristiche:
  • Completezza
  • Inalterabilità
  • Verifica di integrità
• Contenuto delle registrazioni:
  • Riferimenti temporali
  • Descrizione dell'evento che le ha generate
• Retention:
  • Conservare per almeno 6 mesi

Note:

• Ciò di fatto significa che i log (relativi all'attività di amministratore), non possono essere memorizzati sul sistema stesso dove sta operando l’amministratore ma debbono essere memorizzati su un "sistema terzo" (immediatamente inviati ad un server esterno), marcati temporalmente, firmati digitalmente (è un'ipotesi per certificare la provenienza) e archiviati in modo inalterabile (ad esempio attraverso un sistema di cifratura).