La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Gli obblighi derivanti dal provvedimento La gestione tecnica degli accessi ed il controllo delle attività Dr. Riccardo Larese Gortigo Consulente sui sistemi.

Presentazioni simili


Presentazione sul tema: "Gli obblighi derivanti dal provvedimento La gestione tecnica degli accessi ed il controllo delle attività Dr. Riccardo Larese Gortigo Consulente sui sistemi."— Transcript della presentazione:

1 Gli obblighi derivanti dal provvedimento La gestione tecnica degli accessi ed il controllo delle attività Dr. Riccardo Larese Gortigo Consulente sui sistemi informativi aziendali

2 © Dr. Riccardo Larese Gortigo Identificazione degli amministratori di sistema Cosa dice il provvedimento (1) Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

3 © Dr. Riccardo Larese Gortigo Identificazione degli amministratori di sistema Cosa dice il provvedimento (2) Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati.

4 © Dr. Riccardo Larese Gortigo Identificazione degli amministratori di sistema Cosa dice il provvedimento (3) [FAQ n.1] Cosa deve intendersi per "amministratore di sistema"? In assenza di definizioni normative e tecniche condivise, nell'ambito del provvedimento del Garante l'amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati. i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati i personali.

5 © Dr. Riccardo Larese Gortigo Identificazione degli amministratori di sistema Cosa dice il provvedimento (4) [FAQ n.1] Cosa deve intendersi per "amministratore di sistema"? Il Garante non ha inteso equiparare gli "operatori di sistema" di cui agli articoli del Codice penale relativi ai delitti informatici, con gli "amministratori di sistema": questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi. Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.

6 © Dr. Riccardo Larese Gortigo Identificazione degli amministratori di sistema Interpretazione Mansioni professionali di gestione informatica Non necessariamente “accedono” ai dati Rilevanza nella gestione dei rischi (informatici) Amministratori di basi di dati Amministratori di rete e di apparati di sicurezza Amministratori di sistemi software complessi (sistemi ERP) Sono esclusi: Operatori di sistema Coloro che intervengono solo saltuariamente (in occasione di guasti e malfunzionamenti)

7 © Dr. Riccardo Larese Gortigo Identificazione degli amministratori di sistema Cosa significa “intervengono solo saltuariamente”? Nelle aziende di piccola e media dimensione gli interventi di tipo sistemistico possono essere per loro natura salutari; quindi non è la frequenza dell’intervento l’elemento discriminante ma, più propriamente, per un verso la capacità di identificazione delle criticità, per l’altro la delega alla soluzione del problema individuando le modalità di soluzione. Questo aspetto viene proposto frequentemente dagli “outsourcers” che, conseguentemente, affermano di non poter essere identificabili come Ads, in forza della sporadicità degli interventi. Se, tuttavia, gli “outsourcers” svolgono un effettivo ruolo di gestori dei sistemi e della relativa sicurezza, la identificazione dei loro tecnici come AdS non può essere negata.

8 © Dr. Riccardo Larese Gortigo Identificazione degli amministratori di sistema Elenco delle figure professionali Database Administrator Implementazione, gestione ed amministratore di un database utilizzato a livello applicativo e comprendente al suo interno dati personali.L’attività può prevedere o meno l’accesso ai dati (in lettura o scrittura) contenuti nel/nei database, ma in entrambi i casi, il ruolo di amministratore deve essere rilevato Network Administrator Gestione logica della rete, comprendendo l’attività di gestione del sistema di autenticazione degli utenti (ad es. in caso di dominio Windows, gestione di Active Directory)

9 © Dr. Riccardo Larese Gortigo Identificazione degli amministratori di sistema Elenco delle figure professionali Backup Operator Definizione e gestione dei profili di backup di una applicazione o di un sistema di elaborazione.Gestione operativa e controllo dell’esecuzione dei backup. Gestione operativa dell’attività di restore totale o parziale Application Manager Gestione di una applicazione, relativamente alla modifica e gestione di attività di personalizzazione e/o configurazione delle funzionalità del programma

10 © Dr. Riccardo Larese Gortigo Identificazione degli amministratori di sistema Elenco delle figure professionali Profile Manager Gestione dei profili di accesso degli utenti all’applicazione (solo per software applicativo e non per software di sistema) Technical Operator Personale coinvolto in gestione di sistemi hardware, ma solo nel caso in cui le attività abbiano un impatto diretto sui livelli di sicurezza del sistema. Esempi: installazione e manutenzione di apparati di backup; installazione e manutenzione di sistemi di firewall

11 © Dr. Riccardo Larese Gortigo Identificazione degli amministratori di sistema Elenco delle figure professionali L’identificazione del ruolo, secondo lo schema generale proposto, può costituire la guida per l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato da riportare negli atti di designazione individuali. Nella concreta realtà aziendale la stessa persona potrebbe svolgere più ruoli tra quelli identificati. In questo caso l’atto di designazione li elencherà tutti, anche esplicitando le aree di attività (ad esempio: rete X; applicazione Y; server Z; sistema di backup W)

12 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Una premessa indispensabile Prima ancora della conformità al provvedimento sugli AdS deve essere garantita la conformità al Disciplinare Tecnico. Il D.T. impone l’utilizzo di account individuali (con le relative password gestite secondo le modalità prescritte) per tutti gli utenti del sistema informatico, e quindi anche per gli AdS Frequentemente le aziende non hanno adempiuto a quest’obbligo ed usano un unico account (“Administrator”) per più utenti E’ quindi innanzitutto indispensabile – se non è stato ancora fatto – procedere al rilascio di credenziali di autenticazione individuali per ogni AdS, conformemente a quanto disposto dal Disciplinare Tecnico.

13 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Una premessa indispensabile Se gli AdS non dispongono di account individuali: Si manifesta una mancata adozione delle Misure Minime di Sicurezza come definite dal Disciplinare Tecnico Non si potrebbe disporre dei previsti log per ciascuno degli AdS individuati dall’azienda Procedere quindi inizialmente assicurando la corretta gestione degli account degli AdS: le difficoltà tecniche proposte sono spesso solo alibi per evitare di svolgere un’attività che, oltre a rendere l’azienda conforme alle norme in vigore, appare consigliabile da un punto di vista gestionale

14 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Cosa dice il provvedimento Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

15 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Cosa dice il provvedimento (2) [FAQ n. 9] Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?...) [Rif. comma 2, lettera f] Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all'atto dell'accesso o tentativo di accesso da parte di un amministratore di sistema o all'atto della sua disconnessione nell'ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software. Gli event records generati dai sistemi di autenticazione contengono usualmente i riferimenti allo "username“ utilizzato, alla data e all'ora dell'evento (timestamp), una descrizione dell'evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato…).

16 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Cosa dice il provvedimento (2) [FAQ n. 10] Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all'access log? [Rif. comma 2, lettera f] Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del Codice e con i principi della protezione dei dati personali, il requisito del provvedimento è certamente soddisfatto. Comunque è sempre possibile effettuare un'estrazione o un filtraggio dei logfiles al fine di selezionare i soli dati pertinenti agli AdS.

17 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Cosa dice il provvedimento (3) [FAQ n. 11] Come va interpretata la caratteristica di completezza del log? La caratteristica di completezza è riferita all'insieme degli eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali.

18 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Cosa dice il provvedimento (4) [FAQ n. 12] Come va interpretata la caratteristica di inalterabilità dei log? Caratteristiche di mantenimento dell'integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono esservi agevolmente integrate con apposito software. Il requisito può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e "certificati".

19 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Cosa dice il provvedimento (5) [FAQ n. 12] Come va interpretata la caratteristica di inalterabilità dei log? E' ben noto che il problema dell'attendibilità dei dati di audit, in genere, riguarda in primo luogo la effettiva generazione degli auditable events e, successivamente, la loro corretta registrazione e manutenzione. Tuttavia il provvedimento del Garante non affronta questi aspetti, prevedendo soltanto, come forma minima di documentazione dell'uso di un sistema informativo, la generazione del log degli "accessi" (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi.

20 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Cosa dice il provvedimento (6) [FAQ n. 13] Si individuano livelli di robustezza specifici per la garanzia della integrità? No. La valutazione è lasciata al titolare, in base al contesto operativo (cfr. faq n. 14). Cosa dice il provvedimento (6) [FAQ n. 14] Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l'adeguatezza? Quelli descritti al paragrafo 4.4 del provvedimento e ribaditi al punto 2, lettera e), del dispositivo. L'adeguatezza è da valutare in rapporto alle condizioni organizzative e operative dell'organizzazione.

21 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Cosa dice il provvedimento (7) [FAQ n. 15] Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l'accesso o anche le attività eseguite? Il provvedimento non chiede in alcun modo che vengano registrati dati sull'attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Si veda la risposta alla faq n. 11. Cosa dice il provvedimento (7) [FAQ n. 13] Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log? La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso…). L'analisi dei log può essere compresa tra i criteri di valutazione dell'operato degli amministratori di sistema.

22 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Sintesi dei punti salienti (1) Lo scopo ultimo è permettere di verificare anomalie nella frequenza degli accessi e nelle loro modalità E’ sufficiente la registrazione degli accessi ai sistemi di elaborazione ed ai sistemi software nell’uso interattivo La registrazione dei log è obbligatoria solo per gli Ads ed è preferibile non registrare i log degli utenti, se non esistono condizioni e giustificazioni plausibili che lo rendano necessario In condizioni normali, l’obbligo di registrazione dei log può essere soddisfatto con gli strumenti messi a disposizione dal/dai sistemi operativi in uso

23 © Dr. Riccardo Larese Gortigo Il sistema di rilevazione degli accessi Sintesi dei punti salienti (2) La caratteristica di inalterabilità: prevede soltanto, come forma minima di documentazione dell'uso di un sistema informativo, la generazione del log degli "accessi" (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza può essere soddisfatta nei casi più semplici (normalità delle aziende) con l'eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. La valutazione dei livelli di robustezza a garanzia della integrità non è posta sotto il vigore di norme specifiche, ma viene valutata dal titolare del trattamento

24 © Dr. Riccardo Larese Gortigo La generazione dei files di log con gli strumenti standard Ambiente Windows Ambiente Linux Accessi da remoto

25 © Dr. Riccardo Larese Gortigo Un esempio pratico per il sistema operativo Windows Windows mette a disposizione i log che l’utente decide di attivare. Accesso al sistema In tutte le versioni del sistema operativo (anche per singoli computer non collegati in rete) è possibile attivare la registrazione degli accessi al sistema. I log vengono attivati utilizzando la voce “Controlla eventi di accesso” dei criteri di protezione. Sono controllabili separatamente le operazioni riuscite e non riuscite (ad esempio password errata)

26 © Dr. Riccardo Larese Gortigo Configurazione del log degli eventi di accesso (Windows)

27 © Dr. Riccardo Larese Gortigo Un esempio pratico per il sistema operativo Windows Accesso agli oggetti di Active Directory Se il computer è collegato ad una rete in cui è attivo un domain controller, e quindi Active Directory, Windows permette di registrare gli accessi a qualsiasi oggetto di Active Directory (cartelle, stampanti, files, dischi…). Anche in questo caso sono registrabili le azioni riuscite e/o quelle non riuscite. L’attivazione dello strumento deve essere integrata dalla individuazione degli oggetti per cui eseguire il log (ciò è ovviamente indispensabile in quanto se il log venisse effettuato indiscriminatamente per qualsiasi oggetto assumerebbe dimensioni sbalorditive). L’attivazione per un oggetto (file, cartella, programma) avviene selezionando le “Proprietà” dell’oggetto (clic destro sull’oggetto), selezionando la voce “protezione” e scegliendo gli eventi da sottoporre a log e gli utenti interessati: in altre parole è possibile selezionare gli utenti per i quali registrare il log di accesso agli utenti, e di norma ci si limiterà agli amministratori di sistema. E’ possibile quindi, in linea di massima, selezionare il log di apertura e chiusura dell’oggetto, e limitare la registrazione dei log agli amministratori di sistema. In questo, modo, oltre a evitare di generare log di dimensione enorme, si evita di porre in essere un controllo indiscriminato verso le operazioni eseguite da tutti gli utenti del sistema informatico.

28 © Dr. Riccardo Larese Gortigo Configurazione del log degli accessi agli oggetti

29 © Dr. Riccardo Larese Gortigo Come visualizzare i log? Windows mette a disposizione a questo scopo lo strumento “Visualizzatore eventi”, anch’esso compreso tra gli strumenti di amministratore. Il visualizzatore permette la visione dei log attivati. Lo strumenti permette inoltre di filtrare gli eventi secondo diversi criteri (ad esempio periodo, tipo di evento, utente interessato) e di esportare il log eventualmente filtrato in un file di tipo ASCII di formati diversi (completo, parziale, tabellare, ecc.). Il limite della funzionalità del visualizzatore è costituito dal fatto che si tratta di uno strumento interattivo, e che quindi, per procedere ad una estrazione, è necessario l’intervento di un operatore. Il visualizzatore eventi presenta diverse voci, quelle che ci riguardano sono: ApplicazioneLog degli accessi agli oggetti di sistema ProtezioneLog degli accessi al sistema

30 © Dr. Riccardo Larese Gortigo Come visualizzare i log? Grande attenzione deve essere posta – utilizzando a questo scopo le proprietà della voce a cui si accede con il clic destro – nel definire un periodo di conservazione corrispondente (o superiore) a quello di estrazione dei dati, e nella definizione della dimensione massima dell’archivio del log che assicuri che informazioni non vengano perse.

31 © Dr. Riccardo Larese Gortigo Come generare i files di log? All’interno del sistema operativo è contenuto anche il comando “eventquery.vbs”. Mediante lo stesso è possibile esportare i files di log mediante un comando “dos”. Trattandosi di un comando (paragonabile ad un programma) esso non richiede un utilizzo interattivo (dialogo con l’utente) ma può essere eseguito automaticamente (senza alcun intervento di un operatore) e può essere “schedulato”, cioè pianificato con una certa frequenza (ad esempio una volta alla settimana o al mese). In questo modo l’esportazione dei log viene automatizzata. EventQuery.vbs [-s sistema [-u nomeutente [-p password]]] [-fi filtro] [/FO formato] [/R intervallo] [/NH] [/V] [/V nomeregistro | *]

32 © Dr. Riccardo Larese Gortigo Come generare i files di log? Come si vede, il comando permette di selezionare, definendo un opportuno filtro, quali sono i log che si vogliono esportare, ad esempio: i log al 1/11/09 al 30/11/90 degli accessi al sistema da parte dell’utente ADMIN07 (che è un amministratore): il files prodotto conterrà solo i dati di interesse. E’ altresì possibile configurare, nello stesso comando, più filtri, od eseguire, in sequenza, più comandi per estrarre, consecutivamente, tutti i log richiesti. In questo caso, ovviamente, tutti i comandi vengono inseriti in un “batch” opportunamente configurato.

33 © Dr. Riccardo Larese Gortigo Come generare i files di log? Qui di seguito si fornisce un esempio dell’output generato in una particolare modalità di esportazione: Elenco degli eventi nel registro 'security' dell'host 'PORTATILE' Tipo: controllo riuscito Evento: 538 Data/Ora: 26/10/ Origine: Security Nome computer: PORTATILE Categoria: Accesso/fine sess. Utente: PORTATILE\Dr. Riccardo Larese Descrizione: Fine sessione dell'utente: Nome utente:Dr. Riccardo Larese Dominio:PORTATILE ID di accesso:(0x0,0x3721F0) Tipo di accesso:2 Tipo: controllo riuscito Evento: 528 Data/Ora: 26/10/ Origine: Security Nome computer: PORTATILE Categoria: Accesso/fine sess. Utente: PORTATILE\Dr. Riccardo Larese Descrizione: Accesso alla rete riuscito: Nome utente:Dr. Riccardo Larese Dominio:PORTATILE ID accesso:(0x0,0x3721F0) Tipo accesso:2 Processo di accesso:User32 Pacchetto di autenticazione:Negotiate Nome workstation:PORTATILE GUID di accesso:-

34 © Dr. Riccardo Larese Gortigo Configurazione del log degli eventi di accesso (Linux) I sistemi operativi Linux like utilizzano un “demone” denominato syslog per registrare e trattare gli eventi voluti. E’ possibile modificare il relativo file di configurazione per registrare ogni acquisizione dei diritti di “root” su file separato rispetto al classico “messages” o farlo processare tramite script per l’invio ad un destinatario di posta. L’evento appare come segue: È comunque necessario sviluppare un concatenamento che evidenzi la locazione che ha richiesto “l’ escalation” dei permessi:

35 © Dr. Riccardo Larese Gortigo Controllo degli accessi da remoto

36 © Dr. Riccardo Larese Gortigo Controllo degli accessi da remoto

37 © Dr. Riccardo Larese Gortigo Controllo degli accessi da remoto

38 © Dr. Riccardo Larese Gortigo Come garantire l’inalterabilità del log? Va premesso che, come d’altro canto precisa il Garante stesso nelle Q&A, garantire la inalterabilità di un file è molto difficile, ma ci sono diverse modalità che permettono di raggiungere un risultato che può essere ritenuto soddisfacente in condizioni normali. Il primo modo si basa sulle proprietà degli oggetti (e quindi anche dei files, e quindi anche dei files di log): come si vede dall’esempio, di ogni file vengono registrati data ed ora di creazione e dell’ultima modifica apportata. Il semplice fatto che tra i due momenti vi sia una differenza minima (dovuta al tempo fisico di registrazione) dimostra che il file non ha subito alcuna modifica dopo che è stato generato automaticamente.

39 © Dr. Riccardo Larese Gortigo Come garantire l’inalterabilità dei log? Una modalità leggermente più complessa è memorizzare i files in una cartella per la quale sono stati attivati i controlli di accesso agli oggetti (vedi sopra): dato che la caratteristica viene “ereditata” dagli oggetti contenuti nella cartella, potrei disporre di un ulteriore log (anche questo, ovviamente, esportabile) attestante che i files non sono stati modificati. Una strategia diversa potrebbe consistere nell’inviare (a mezzo mail) il file, non appena generato e mediante una procedura batch che comprende i comandi eventquery) in una casella di posta, preferibilmente non del dominio aziendale, ed a cui non possa avere accesso l’amministratore di sistema, dove rimanga conservata.

40 © Dr. Riccardo Larese Gortigo Il controllo periodico da parte del titolare del trattamento Cosa dice il provvedimento Verifica delle attività L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. Considerazioni Come può il titolare svolgere una verifica efficace se la logica di base del provvedimento è che gli AdS svolgono un ruolo altamente tecnico che richiede competenze specifiche molto particolari?

41 © Dr. Riccardo Larese Gortigo Il controllo periodico da parte del titolare del trattamento Proposta di soluzione Si propone un fac-simile di questionario che il titolare somministra all’AdS richiedendo informazioni relativamente alla gestione del sistema Il questionario proposto è piuttosto ampio, riguardando in realtà tutti gli aspetti relativi alla gestione ed alla sicurezza, e quindi, nella versione integrale, risulta adeguato soprattutto per gli Ads che sono stati individuati quali “responsabili del trattamento” Non va tuttavia dimenticato che la verifica mira a controllare la rispondenza dell’operato degli AdS alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

42 © Dr. Riccardo Larese Gortigo Il questionario di verifica 1. L’infrastruttura generale del sistema informatico fornisce un adeguato livello di protezione per le informazioni in esso contenute? In caso contrario, quali sono le possibili aree di miglioramento? 2. I sistemi di autenticazione utilizzati per la protezione degli accessi ai sistemi informatici si sono dimostrati efficaci e pienamente rispondenti ai requisiti richiesti dal Disciplinare Tecnico? In caso contrario, quali sono i miglioramenti possibili, sia sotto il profilo tecnico che sotto il profilo organizzativo? 3. Il sistema di protezione dai virus informatici si è dimostrato efficace? Il sistema copre dal rischio costituito dai virus informatici tutti i sistemi di elaborazione potenzialmente aggredibili dai virus informatici? 4. Il software antivirus viene regolarmente aggiornato? Con quale frequenza e modalità? 5. Si sono verificati episodi di aggressioni da parte di virus informatici che abbiano richiesto lo svolgimento di attività tecnico/sistemistiche per l’eliminazione della minaccia? In tal caso: a) è accertata l’eliminazione della minaccia? Quali attività è stato necessario svolgere? Il virus ha causato danneggiamento degli archivi o ne ha pregiudicato la disponibilità per significativi periodi di tempo?

43 © Dr. Riccardo Larese Gortigo Il questionario di verifica 1. Sono proponibili miglioramenti per l’innalzamento del livello di protezione riguardo al rischio costituito dai virus informatici? Se si, quali sono le proposte? 2. Il sistema di protezione dalle intrusioni dall’esterno della rete informatica si è dimostrato efficace? Il sistema di protezione copre dal rischio delle intrusioni tutti i sistemi di elaborazione potenzialmente aggredibili dai virus informatici? 3. Si sono verificati episodi di intrusione nella rete informatica che abbiano richiesto lo svolgimento di attività tecnico/sistemistiche per l’eliminazione della minaccia? In tal caso: a) è accertata l’eliminazione della minaccia? Quali attività è stato necessario svolgere? Sono stati danneggiati gli archivi o ne è stata pregiudicata la disponibilità per significativi periodi di tempo? 4. Sono proponibili miglioramenti per l’innalzamento del livello di protezione riguardo al rischio di intrusione in rete? Se si, quali sono le proposte? 5. Il sistema di protezione dei dati mediante procedure di salvataggio periodico (backup) si è dimostrato efficace? Il sistema garantisce il salvataggio periodico di tutti gli archivi contenenti dati personali? In caso contrario, quali sono gli archivi o le tipologie di archivi che non risultano adeguatamente protetti?

44 © Dr. Riccardo Larese Gortigo Il questionario di verifica 1. Le periodicità dei salvataggi sono adeguate per garantire la disponibilità degli archivi e sono comunque conformi a quanto stabilito dal Disciplinare Tecnico? 2. Quali sono gli strumenti (tecnici ed organizzativi) che sono stati posti in essere per assicurare il regolare completamento delle procedure di salvataggio secondo le periodicità e le modalità stabilite? Tali strumenti e procedure sono stati utilizzati e seguite secondo quanto previsto? Se esiste documentazione a tale scopo, indicarne ubicazione e contenuto 3. In riferimento ai dati personali di natura sensibile o giudiziaria trattati mediante l’utilizzo di strumenti informatici, è assicurato il rispetto dell’obbligo di garantire la possibilità di accesso ai dati in tempi certi non superiori ad una settimana, anche in caso di danneggiamenti gravi? 4. Gli utenti utilizzato le credenziali di autenticazione in uso secondo modalità conformi a quanto stabilito dal Disciplinare Tecnico? Quali sono gli eventuali strumenti tecnici adottabili allo scopo di assicurare il pieno rispetto di quanto previsto dal Disciplinare Tecnico? 5. Gli utenti adottano modalità di gestione e salvataggio degli archivi autonomamente da essi generati che ne assicurano i livelli di protezione stabiliti dal Disciplinare Tecnico (ad esempio: protezione mediante backup, riservatezza dei dati)? Quali sono gli eventuali strumenti tecnici adottabili per assicurare i livelli di protezione previsti?

45 © Dr. Riccardo Larese Gortigo Il questionario di verifica 1. Durante lo svolgimento delle mansioni di amministratore di sistema, è stato necessario eseguire operazioni che richiedessero l’accesso ai dati presenti nei sistemi informatici? In tal caso quali precauzioni sono state adottate per impedirne il danneggiamento o l’accesso a informazioni riservate da parte di persone non autorizzate? 2. Sono stati eseguiti gli aggiornamenti dei software allo scopo di prevenirne la vulnerabilità o a correggerne difetti entro i tempi previsti dal Disciplinare Tecnico? Quali software sono stati aggiornati? Se esiste documentazione relativa, indicarne ubicazione e contenuto. 3. Il software applicativo ha manifestato difetti od errori che abbiano causato danneggiamenti ai dati gestiti, o che abbiamo, per un significativo periodo di tempo, limitato la disponibilità dei dati stessi? In tal caso: a) quali software sono stati interessati?; b) quali sono state le conseguenze ed i tempi necessari per ripristinare archivi ed applicazioni?; c) quali sono state le azioni adottate per impedire il ripetersi di tali incidenti? 4. E’ accaduto che abbia avuto accesso ai sistemi informatici personale tecnico a cui sono state affidate mansioni di gestione tecnica che non fossero stati precedentemente designati quali amministratori di sistema? 5. Quali sono i sistemi in uso per effettuare la registrazione dei log degli accessi degli amministratori? Dove sono conservati tali log e quali sono le modalità adottate per assicurarne l’inalterabilità e la conservazione? I sistemi di registrazione dei log degli accessi degli amministratori hanno permesso la registrazione di tutti gli accessi?

46 Gli obblighi derivanti dal provvedimento La gestione tecnica degli accessi ed il controllo delle attività Dr. Riccardo Larese Gortigo Consulente sui sistemi informativi aziendali


Scaricare ppt "Gli obblighi derivanti dal provvedimento La gestione tecnica degli accessi ed il controllo delle attività Dr. Riccardo Larese Gortigo Consulente sui sistemi."

Presentazioni simili


Annunci Google