Sign in or 
Share this
Richiesta chiarimenti al Garante
Comunicazioni
Richiesta di incontro per chiarimenti sul nuovo decreto legislativo
Suggerimenti per il nuovo decreto legislativo
bozza
*******************************************************************************************************************************************************
Contributi
Contributo di Giulio Spreafico
In riferimento al punto f gradiremmo sapere se è corretta l'interpretazione che:
Contributo di Angelo Carugati
Relativamente al punto f. "Registrazione degli accessi delle disposizioni", gradiremmo sapere se:
"Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica)" essendo il processo di autenticazione attivato unicamente all'atto della connessione, e non invece a fronte di ogni accesso ai dati
Contributo di Riccardo Abeti
In riferimento al punto d) "Servizi in outsourcing", laddove il Provvedimento enuncia "Nel caso di servizi di amministrazione di sistemi affidati in outsourcing il titolare deve conservare [...] gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema", sarebbe utile avere qualche indicazione in merito a:
- ampiezza dei soggetti daindicare ( a causa delle turnazioni lo outsourcer potrebbe essere costretto ad indicare tutti i propri dipendenti assegnati a talune mansioni a prescindere dall'attualità dell'impiego presso il titolare);
- l'elenco ogni quanto andrebbe aggiornato? Deve essere aggiornato (annualmente) con il DPS o ad "evento" (ogniqualvolta le persone indicate non siano più assegnate al titolare)?
In riferimento al punto e) "Verifica delle attività", sarebbe utile capire che livello di verifica occorra e se questa possa comportare un riscontro sui file di log degli amministratori (con conseguenti, possibili, ricadute in materia giuslavoristica).
In riferimento al punto f) "Registrazione degli accessi", a proposito della "registrazione degli accessi ai sistemi di elaborazione e agli archivi informatici", sarebbe utile una definizione maggiore di cosa si intenda con la locuzione "archivi informatici" e se questo non sottenda una granularità di access-log che vada oltre i log di accesso al "sistema operativo" (indicazione emersa dai primi interventi interpretativi).
Richiesta di incontro per chiarimenti sul nuovo decreto legislativo
- E-mail che anticipa la lettera cartacea: 15 Aprile
Mittente: SecurityCommunity_it@oracle.com
Destinatario: urp@garanteprivacy.it
Subject: Garante per la protezione dei dati personali - Richiesta di incontro per chiarimenti sul nuovo decreto legislativo - Lettera cartacea che formalizza la richiesta di incontro: 20 Aprile
Mittente: Oracle Community For Security c/o Oracle Italia - Viale Fulvio Testi 137 20092 Cinisello Balsamo (MI)
Destinatario: Piazza Montecitorio 121 00186 Roma
Subject: Richiesta di incontro per chiarimenti sul nuovo decreto legislativo
Suggerimenti per il nuovo decreto legislativo
bozza
*******************************************************************************************************************************************************
Contributi
Contributo di Giulio Spreafico
In riferimento al punto f gradiremmo sapere se è corretta l'interpretazione che:
- Per sistema di cui si richiede la registrazione degli accessi si intende ciascun componente del sistema ad esempio servente, Database, moduli software e dispositivi di sicurezza, dispositivi di rete, firewalls, software di middleware come tp monitors, sistemi documentali, sistemi di gestione operativa quali sistemi di salvataggio;
- Completezza, inalterabilità, verifiva di integrità, riferimenti temporali comportano la necessità di criptazione;
- La verifica degli access log (punti e ed f) per l'integrità richiede la ricostruzione di singoli eventi con metodi di campionamento.
Contributo di Angelo Carugati
Relativamente al punto f. "Registrazione degli accessi delle disposizioni", gradiremmo sapere se:
- E' sufficiente monitorare solo le attivita' di connessione/sconnessione (login/logout) ai sistemi, o se invece
- E' richiesto di monitorare ogni singola attivita' (creazione, lettura, aggiornamento, cancellazione) di accesso ai dati.
"Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica)" essendo il processo di autenticazione attivato unicamente all'atto della connessione, e non invece a fronte di ogni accesso ai dati
Contributo di Riccardo Abeti
In riferimento al punto d) "Servizi in outsourcing", laddove il Provvedimento enuncia "Nel caso di servizi di amministrazione di sistemi affidati in outsourcing il titolare deve conservare [...] gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema", sarebbe utile avere qualche indicazione in merito a:
- ampiezza dei soggetti daindicare ( a causa delle turnazioni lo outsourcer potrebbe essere costretto ad indicare tutti i propri dipendenti assegnati a talune mansioni a prescindere dall'attualità dell'impiego presso il titolare);
- l'elenco ogni quanto andrebbe aggiornato? Deve essere aggiornato (annualmente) con il DPS o ad "evento" (ogniqualvolta le persone indicate non siano più assegnate al titolare)?
In riferimento al punto e) "Verifica delle attività", sarebbe utile capire che livello di verifica occorra e se questa possa comportare un riscontro sui file di log degli amministratori (con conseguenti, possibili, ricadute in materia giuslavoristica).
In riferimento al punto f) "Registrazione degli accessi", a proposito della "registrazione degli accessi ai sistemi di elaborazione e agli archivi informatici", sarebbe utile una definizione maggiore di cosa si intenda con la locuzione "archivi informatici" e se questo non sottenda una granularità di access-log che vada oltre i log di accesso al "sistema operativo" (indicazione emersa dai primi interventi interpretativi).
|
eva.mengoli |
Latest page update: made by eva.mengoli
, May 14 2009, 10:02 AM EDT
(about this update
About This Update
Edited by eva.mengoli
view changes - complete history) |
|
Keyword tags:
None
More Info: links to this page
|
| Started By | Thread Subject | Replies | Last Post | ||
|---|---|---|---|---|---|
| SergioFumagalli | Modalità di interazione | 1 | Apr 8 2009, 8:43 AM EDT by riccardoa | ||
|
Thread started: Apr 6 2009, 12:32 PM EDT
Watch
Forse, più che chiedere risposte scritte sarebbe meglio invitare un rappresentante del garante ad un incontro con la Community chiedendo risposte in quella sede, cioè orali. Valorizzerebbe la community e renderebbe più semplice per il Garante darci delle risposte.
|
|||||
| giulio.spreafico | definizione del sistema a cui è necessario registrare gli accessi | 0 | Apr 3 2009, 3:49 AM EDT by giulio.spreafico | ||
|
Thread started: Apr 3 2009, 3:49 AM EDT
Watch
1. in riferimento al punto f gradiremmo sapere se è corretta l'interpretazione che:
1.1 per sistema di cui si richiede la registrazione degli accessi si intende ciascun componente del sistema ad esempio servente, Database, moduli software e dispositivi di sicurezza, dispositivi di rete, firewalls, software di middleware come tp monitors, sistemi documentali, sistemi di gestione operativa quali sistemi di salvataggio; 1.2 completezza, inalterabilità, verifiva di integrità, riferimenti temporali comportano la necessità di criptazione; 1.3 la verifica degli access log (punti e ed f) per l'integrità richiede la ricostruzione di singoli eventi con metodi di campionamento.
Do you find this valuable?
Keyword tags:
sistema access log
|
|||||
| acarugat | Registrazione degli accessi: Cosa va tracciato | 0 | Mar 30 2009, 12:33 PM EDT by acarugat | ||
|
Thread started: Mar 30 2009, 12:33 PM EDT
Watch
Relativamente al punto f. Registrazione degli accessi delle disposizioni, gradiremmo sapere se
1) e' sufficiente monitorare solo le attivita' di connessione/sconnessione (login/logout) ai sistemi, o se invece 2) e' richiesto di monitorare ogni singola attivita' (creazione, lettura, aggiornamento, cancellazione) di accesso ai dati. La prima interpretazione, alquanto riduttiva rispetto alla seconda, e' indotta dal testo del provvedimento, laddove si afferma "Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica)" essendo il processo di autenticazione attivato unicamente all'atto della connessione, e non invece a fronte di ogni accesso ai dati |
|||||
Showing 3 of 3 threads for this page
