Page 1

Benvenuto

CDH Via Ferrero 31 – 10098 – Rivoli (TORINO) Tel +39 011.9508400 Fax +39 011.9508440 info@cdhsrl.it


Estratto dal Provvedimento 27 novembre 2008 GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

CDH Via Ferrero 31 – 10098 – Rivoli (TORINO) Tel +39 011.9508400 Fax +39 011.9508440 info@cdhsrl.it


Il provvedimento Comunicato stampa - 14 gennaio 2009 Amministratori di sistema: occorre massima trasparenza sul loro operato. Il Garante fissa i criteri, quattro mesi per mettersi in regola Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione. Per questo il Garante ha deciso di richiamare l'attenzione di enti, amministrazioni, società private sulla figura professionale dell' amministratore di sistema e ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici. Le ispezioni effettuate in questi anni dall'Autorità hanno permesso di mettere in luce in diversi casi una scarsa consapevolezza da parte di organizzazioni grandi e piccole del ruolo svolto dagli amministratori di sistema. I gravi casi verificatisi negli ultimi anni hanno evidenziato una preoccupante sottovalutazione dei rischi che possono derivare quando l'attività di questi esperti sia svolta senza il necessario controllo. Le misure e le cautele dovranno essere messe in atto entro quattro mesi da parte di tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza. Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati. Registrazione degli accessi Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Verifica della attività Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali. Elenco degli amministratori di sistema e loro caratteristiche Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite. Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza. Roma, 14 gennaio 2008

3

http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 Stampa

chiudi


I punti chiave 1) Elenco degli amministratori di sistema Ciascuna azienda o soggetto pubblico dovrĂ  inserire nel documento programmatico della sicurezza gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite. 2) Verifica delle AttivitĂ  Verifica annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali. 3) Registrazione degli accessi Adozione di sistemi di controllo che consentano la registrazione e custodia dei tracciati (Log) relativi agli accessi effettuati dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. 4


Gli amministratori di sistema 1. Considerazioni preliminari Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Gli amministratori di sistema cosÏ ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. 5


Gli amministratori di sistema La disciplina di protezione dei dati previgente al Codice del 2003 definiva l'amministratore di sistema, individuandolo quale "soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione" (art. 1, comma 1, lett. c) d.P.R. 318/1999). Il Codice non ha invece incluso questa figura tra le proprie definizioni normative. Tuttavia le funzioni tipiche dell'amministrazione di un sistema sono richiamate nel menzionato Allegato B, nella parte in cui prevede l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Gran parte dei compiti previsti nel medesimo Allegato B spettano tipicamente all'amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione. 6


Gli amministratori di sistema Segnalazione ai titolari di trattamenti relativa alle funzioni di amministratore di sistema Ai sensi del menzionato art. 154, comma 1, lett. h) il Garante, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l'attenzione dei medesimi titolari sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema; richiama inoltre l'attenzione sull'esigenza di valutare con particolare cura l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l'opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l'incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato, da vagliare anche in considerazione delle responsabilità, specie di ordine penale e civile (artt. 15 e 169 del Codice), che possono derivare in caso di incauta o inidonea 7 designazione.


Gli amministratori di sistema Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

8


Verifica delle attivitĂ 

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attivitĂ  di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

9


Registrazione degli accessi • Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuati dagli amministratori di sistema, di database e di rete ai sistemi di elaborazione e agli archivi elettronici.

• Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

• Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

10


Controllo degli accessi Cosa: – Registrazione access log (autenticazione) Dove: – Sistemi Operativi – Database – Apparati di rete – Applicazioni “complesse” (accesso a dati sensibili) Come: – Raccolta dei log centralizzata – Storico non inferiore a sei mesi – Reportistica / Query Quali attività ha fatto l'utente X sui sistemi? Quali attività amministrative sono state fatte sul sistema Y? Da chi? – Crypting del database (opzionale) – Hashing dei log 11


Provvedimenti connessi Possiamo individuar fin da subito una serie di provvedimenti connessi all’attività degli amministratori come sono stati definiti in senso ampio:       

Gestione password Raccomandazione sul backup centralizzato Cifratura di particolari dati Navigazione web Posta elettronica Riciclaggio pc Video sorveglianza via IP

Num 12


Gestione password Secondo quanto previsto dalla vigente normativa privacy (vedasi il Disciplinare tecnico in materia di misure di sicurezza, Allegato B al Decreto Legislativo n. 196/2003), ciascuna password deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; la password non deve contenere riferimenti agevolmente riconducibili all'incaricato (pertanto non si devono utilizzare nome e cognome o date particolari) e deve essere modificata con cadenza almeno semestrale (a titolo meramente esemplificativo e non esaustivo: dati amministrazione, dati commerciali) o trimestrale (a titolo meramente esemplificativo e non esaustivo: dati del personale dipendente, dati di utenti strutture sanitarie).

Num 13


Salvataggio e cifratura Partendo dal presupposto che sulla base della normativa privacy, è onere del datore di lavoro organizzare la gestione dei dati e delle informazioni al fine di consentirne l'accesso ed il trattamento esclusivamente ai lavoratori designati, adottare dei sistemi di monitoraggio dei salvataggi delle informazioni La cifratura rappresenta una delle misure minime di sicurezza che il legislatore prevede in caso di trattamento dati sensibili e/o giudiziari

Num 14


Navigazione web

Al fine di ridurre il rischio di navigazioni improprie (ovvero estranee all'attivitĂ  lavorativa), il datore di lavoro deve adottare misure atte e prevenire tali fenomeni, operando i controlli sul lavoratore solo in casi di necessitĂ  defensionali (vedasi riscontro di accesso a siti illeciti da parte dell'IP aziendale).

Num 15


Navigazione web Tale obiettivo potrĂ  essere raggiunto individuando: 1a) categorie di siti correlati o meno con la specifica attivitĂ  lavorativa; 1b) adozione di black-list aventi ad oggetto siti o spazi web contenenti determinate parole; 1c) configurazione di sistemi che limitino, monitorino o escludano download di file o programmi aventi particolari caratteristiche. Il datore di lavoro non provvederĂ  dunque ad un controllo diretto dei log di navigazione, ma ad un controllo generico delle navigazioni effettuate dalla rete aziendale, ricorrendo ad un controllo diretto nel caso in cui si verifichino episodi di particolare gravitĂ  (a titolo meramente esemplificativo e non esaustivo: download di materiale pedopornografico, violazione della legge sul diritto d'autore mediante download di opere musicali o cinematografiche Num 16 protette).


Estratto provvedimento Posta • Utilizzo della posta elettronica nel rapporto di lavoro a) compete ai datori di lavoro assicurare la funzionalità e il corretto impiego di tali mezzi da parte dei lavoratori, definendone le modalità d'uso nell'organizzazione dell'attività lavorativa, tenendo conto della disciplina in tema di diritti e relazioni sindacali; b) spetta ad essi adottare idonee misure di sicurezza per assicurare la disponibilità e l'integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità (artt. 15, 31 ss., 167 e 169 del Codice); I servizi di posta elettronica sono parimenti suscettibili (anche attraverso la tenuta di log file di traffico e-mail e l'archiviazione di messaggi) di controlli che possono giungere fino alla conoscenza da parte del datore di lavoro (titolare del trattamento) del contenuto della corrispondenza; e) le informazioni così trattate contengono dati personali anche sensibili riguardanti lavoratori o terzi, identificati o identificabili. (1) Num 17


Esempio compliance Posta

Num 18


Riciclaggio pc CONSIDERATO che l'applicazione della disciplina contenuta nel menzionato d.lg. n. 151/2005, mirando (tra l'altro) a privilegiare il recupero di componenti provenienti da rifiuti di apparecchiature elettriche ed elettroniche (Raee), anche nella forma del loro reimpiego o del riciclaggio in beni oggetto di (nuova) commercializzazione (cfr. in particolare artt. 1 e 3, comma 1, lett. e) ed f), d.lg. n. 151/2005), comporta un rischio elevato di "circolazione" di componenti elettroniche "usate" contenenti dati personali, anche sensibili, che non siano stati cancellati in modo idoneo, e di conseguente accesso ad essi da parte di terzi non autorizzati (quali, ad esempio, coloro che provvedono alle predette operazioni propedeutiche al riutilizzo o che acquistano le apparecchiature sopra indicate) Num 19


Videosorveglianza • L’installazione di telecamere è lecita solo quando altre misure di sicurezza siano ritenute insufficienti o inattuabili. • L’eventuale registrazione e conservazione delle immagini deve essere limitata nel tempo. • I cittadini devono sapere sempre e comunque se un’area è sottoposta a videosorveglianza. • Responsabili ed incaricati • Si devono designare per iscritto tutte le persone fisiche, incaricate del trattamento, autorizzate ad utilizzare gli impianti e, nei casi in cui è indispensabile per gli scopi perseguiti, a visionare le registrazioni. Vanno osservate le regole ordinarie anche per ciò che attiene all’eventuale designazione di responsabili del trattamento, avendo particolare cura al caso in cui il titolare si avvalga di un Num 20 organismo esterno anche di vigilanza privata.


CDH Srl Via Ferrero 31 – 10098 – Rivoli (TO) (TO) Tel +39 011.9508400 Fax +39 011.9508440 info@cdhsrl.it

21


Estratto normativa Privacy - amministratori di sistema  

Estratto normativa Privacy - amministratori di sistema

Advertisement
Read more
Read more
Similar to
Popular now
Just for you