Discussion:
Amministratori di sistema e correlati - Verifiche
(too old to reply)
Ing. Stefano Centineo - AMAP S.p.A
2010-03-03 11:55:52 UTC
Permalink
Buongiorno a tutti, reinvio la presente in quanto non ho avuto
nessun riscontro in lista anche se credo sia argomento *caldo*
e molto sentito al momento:

...

Se ne Ú parlato parecchio in lista e dagli archivi, oltre che
da documentazione (piu' o meno professionale oltre che "copia
incolla delle indicazioni del Garante) acquisita da internet,
non mi sono molto chiare due cose:

1) Gli obblighi _specifici_ per i SysAdmin (che sono stati
indicati con chiarezza nella lettera di nomina e aderenti
all'allegato B del DL 196/03) e i loro riscontri.

2) Le verifiche da effettuare da parte del Titolare.
in particolare alle considerazioni:
"L’operato degli amministratori di sistema deve essere oggetto
di verifica, con cadenza almeno annuale, per acclarare che
le attività svolte dall’amministratore siano in effetti
conformi alle mansioni attribuite."


Rilevo che da tutte le parti, con soluzioni tecniche e/o
organizzative, si e' fissata l'attenzione sui log di accesso
ai sistemi e programmi per il trattamento dei dati (potenziale
o reale) da parte dei SyAdmin. Poco rilievo, come se fosse già
scontato, sull'adozione di politiche di backup, sicurezza logica
e correlati.

Mi sfugge qualcosa e chiedo lumi su come occorrerebbe implementare
bene la parte controllo di 1) e le verifiche 2);
Es. utilizzando solo Ck list di verifica?

In caso sia necessario altro di livello tecnico piu' elevato,
chiedo come sia possibile semplificare al massimo per i "titolari"
che non abbiano elevate competenze IT.

Sono graditi Link, riferimenti a documenti e/o soluzioni tecniche
(preferibiti quelli a sorgente aperto) esempi di soluzioni adottate
e/o tipologie di verifiche effettuate, ecc.

Grazie anticipatamente a tutti.

Stefano
Claudio Telmon
2010-03-13 23:03:46 UTC
Permalink
Post by Ing. Stefano Centineo - AMAP S.p.A
2) Le verifiche da effettuare da parte del Titolare.
"L’operato degli amministratori di sistema deve essere oggetto
di verifica, con cadenza almeno annuale, per acclarare che
le attività svolte dall’amministratore siano in effetti
conformi alle mansioni attribuite."
Scusa, non riesco a trovare questa specifica dizione. Io trovo:

"L'operato degli amministratori di sistema deve essere oggetto, con
cadenza almeno annuale, di un'attività di verifica da parte dei titolari
del trattamento o dei responsabili, in modo da controllare la sua
rispondenza alle misure organizzative, tecniche e di sicurezza
riguardanti i trattamenti dei dati personali previste dalle norme vigenti."
Post by Ing. Stefano Centineo - AMAP S.p.A
In caso sia necessario altro di livello tecnico piu' elevato,
chiedo come sia possibile semplificare al massimo per i "titolari"
che non abbiano elevate competenze IT.
Ci provo: Ú normale che il titolare non abbia le competenze dei suoi
sistemisti sulle attività dei sistemisti stessi, e sarebbe davvero
strano che non fosse così. Per questo esistono gli auditor IT, siano
essi interni per le organizzazioni che li hanno, o esterni. Gli auditor
IT come professione fanno verifiche di questo genere, e quindi
dovrebbero sapere cosa serve verificare.

ciao

- Claudio
--
Claudio Telmon
***@telmon.org
http://www.telmon.org
Rissone Ruggero
2010-03-15 08:01:59 UTC
Permalink
-----Messaggio originale-----
Inviato: domenica 14 marzo 2010 0.04
Oggetto: Re: [ml] Amministratori di sistema e correlati - Verifiche
"L'operato degli amministratori di sistema deve essere
oggetto, con cadenza almeno annuale, di un'attività di
verifica da parte dei titolari del trattamento o dei
responsabili, in modo da controllare la sua rispondenza alle
misure organizzative, tecniche e di sicurezza riguardanti i
trattamenti dei dati personali previste dalle norme vigenti."
Post by Ing. Stefano Centineo - AMAP S.p.A
In caso sia necessario altro di livello tecnico piu'
elevato, chiedo
Post by Ing. Stefano Centineo - AMAP S.p.A
come sia possibile semplificare al massimo per i "titolari"
che non abbiano elevate competenze IT.
Ci provo: è normale che il titolare non abbia le competenze
dei suoi sistemisti sulle attività dei sistemisti stessi, e
sarebbe davvero strano che non fosse così. Per questo
esistono gli auditor IT, siano essi interni per le
organizzazioni che li hanno, o esterni. Gli auditor IT come
professione fanno verifiche di questo genere, e quindi
dovrebbero sapere cosa serve verificare.
Quanto richiesto dal Garante, di fatto, e' alquanto blando come requisito, anche solo se paragonato ai requisiti obbligatori per i sistemi che trattano dati di traffico.
Le verifiche specifiche per ottemperare a quanto richiesto dal Garante devono analizzare due aspetti : uno di tipo processuale, un altro di tipo tecnico.

1) Devi identificare gli amministratori di sistema in opportune liste, basando la scelta sia sull'organizzazione di appartenenza di tali individui che sulle competenze specifiche dei singoli (molto probabilmente non nominerai amministratore di sistema un magazziniere carrellista e non nominerai come amministratore di sistemi Sun Solaris chi conosce solo il mondo Windows).
2) Poi devono esserci strumenti che permettono di monitorare tali accessi (Access Log) : come si puo' ben capire sul sistema le verifiche tecniche che puoi fare sono sostanzialmente volte a verificare che ogni tentativo di accesso, sia esso fallito o portato a buon fine, proveniente da qualsiasi tipo di porta di ingresso, venga tracciato ed inviato (senza possibilita' di modificarlo) ad un repository centralizzato per la sua successiva conservazione e/o consultazione e/o post analisi.
3) Puoi anche pensare a politiche interne per le quali i singoli amministratori di sistema, per accedere a tali sistemi, lo facciano solo se motivati da specifiche esigenze : ad es. l'apertura di un trouble ticket per un malfunzionamento.
4) Successivamente, puoi mettere in piedi strutture in grado di fare un controllo incrociato tra gli accessi effettuati e quanto definito nei processi al punto 3). Cosi' magari scopri che il tuo amministratore di sistema ha il vizietto di notte di accedere ai sistemi e farsi "gli affari altrui"

Rispetto a sistemi con dati di traffico, nei quali e' necessario anche tracciare i comandi che sono stati eseguiti, diventa un po' piu' difficile rilevare eventuali comportamenti contrari alle politiche aziendali, specialmente se eseguiti durante il normale orario di lavoro.

Saluti
RR



Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie.

This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Claudio Telmon
2010-03-20 21:54:55 UTC
Permalink
Post by Rissone Ruggero
Quanto richiesto dal Garante, di fatto, e' alquanto blando come
requisito, anche solo se paragonato ai requisiti obbligatori per i
sistemi che trattano dati di traffico. Le verifiche specifiche per
ottemperare a quanto richiesto dal Garante devono analizzare due
aspetti : uno di tipo processuale, un altro di tipo tecnico.
Secondo me non è blando, è generico: dice che l'operato degli
amministratori di sistema deve essere conforme "alle misure
organizzative, tecniche e di sicurezza riguardanti i trattamenti dei
dati personali previste dalle norme vigenti", il che se vuoi comprende,
nel caso di chi tratta traffico, tutte le normative specifiche. Non
credo neanche che il trattamento dei dati in un'ospedale e la
corrispondenza a tutte le rispettive normative sia banale. Mi sembra un
po' di più che limitarsi a nominare non sistemista un carrellista e fare
il log degli accessi.
Post by Rissone Ruggero
4) Successivamente, puoi
mettere in piedi strutture in grado di fare un controllo incrociato
tra gli accessi effettuati e quanto definito nei processi al punto
3). Cosi' magari scopri che il tuo amministratore di sistema ha il
vizietto di notte di accedere ai sistemi e farsi "gli affari altrui"
E chi le fa queste cose, il titolare che non ha le competenze? I suoi
sistemisti che deve controllare? Tutto il senso delle strutture di audit
sta qui...

ciao

- Claudio
--
Claudio Telmon
***@telmon.org
http://www.telmon.org

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Rissone Ruggero
2010-03-22 08:03:37 UTC
Permalink
-----Messaggio originale-----
Inviato: sabato 20 marzo 2010 22.55
Oggetto: Re: R: [ml] Amministratori di sistema e correlati -
Verifiche
Secondo me non è blando, è generico: dice che l'operato
degli amministratori di sistema deve essere conforme "alle
misure organizzative, tecniche e di sicurezza riguardanti i
trattamenti dei dati personali previste dalle norme
vigenti", il che se vuoi comprende, nel caso di chi tratta
traffico, tutte le normative specifiche.
Le normative specifiche (ti posso parlare dei Dati di traffico che e' quanto di piu' vicino alla realta' aziendale in cui opero)erano gia' presenti e di fatto questo provvedimento non ha aggiunto nulla (in termini pratici) che gia' non fosse stato recepito dall'azienda.


Non credo neanche
che il trattamento dei dati in un'ospedale e la
corrispondenza a tutte le rispettive normative sia banale.
Infatti stiamo parlando di dati sensibili, al quale hanno dedicato diversi articoli della 196, proprio perche' non sono banali le implicazioni relative al loro "errato" trattamento.
Pero' un amministratore di sistema, nel momento che accede alla banca dati contenente ad es. le schede dei pazienti ricoverati, non credo venga limitato piu' di tanto solo dal requisito del Garante sugli amministratori di sistema relativo alla presenza di un Access Log.
Io, amministratore, comunico che c'e' un'anomalia sul DB (non e' vero che c'e' ma chi mi autorizza non ha le competenze per valutarlo) che deve essere risolta; chiedo quindi l'autorizzazione per accedervi (che mi viene concessa).
Accedo al DB, faccio un dump delle informazioni sensibili che potrebbero essere di interesse (e quindi avere valore) per enti esterni su un bel supporto magnetico, faccio un logout : ho trattato illecitamente dei dati sensibili, tale operazione non e' stata registrata ma ho rispettato un requisito (generico per usare le tue parole, io ribadisco blando) del Garante.
BTW , neanche troppo tempo fa, due sedi ospedaliere (vicine ma non troppo), utilizzavano un link wireless punto-punto per trasferire cartelle cliniche, esami diagnostici e quant'altro tra la sede centrale e quella distaccata. Ti lascio immaginare quali meccanismi di protezione avessero adottato; di sicuro "potenzialmente" chi poteva trattare quei dati sensibili non erano solo gli Amministratori di Sistema.


Saluti
RR

Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie.

This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
rino lo turco
2010-03-23 09:45:45 UTC
Permalink
Post by Rissone Ruggero
Post by Claudio Telmon
che il trattamento dei dati in un'ospedale e la
corrispondenza a tutte le rispettive normative sia banale.
Infatti stiamo parlando di dati sensibili, al quale hanno dedicato diversi articoli della 196, proprio perche' non sono banali le implicazioni relative al loro "errato" trattamento.
Pero' un amministratore di sistema, nel momento che accede alla banca dati contenente ad es. le schede dei pazienti ricoverati, non credo venga limitato piu' di tanto solo dal requisito del Garante sugli amministratori di sistema relativo alla presenza di un Access Log.
Io, amministratore, comunico che c'e' un'anomalia sul DB (non e' vero che c'e' ma chi mi autorizza non ha le competenze per valutarlo) che deve essere risolta; chiedo quindi l'autorizzazione per accedervi (che mi viene concessa).
Accedo al DB, faccio un dump delle informazioni sensibili che potrebbero essere di interesse (e quindi avere valore) per enti esterni su un bel supporto magnetico, faccio un logout : ho trattato illecitamente dei dati sensibili, tale operazione non e' stata registrata ma ho rispettato un requisito (generico per usare le tue parole, io ribadisco blando) del Garante.
BTW , neanche troppo tempo fa, due sedi ospedaliere (vicine ma non troppo), utilizzavano un link wireless punto-punto per trasferire cartelle cliniche, esami diagnostici e quant'altro tra la sede centrale e quella distaccata. Ti lascio immaginare quali meccanismi di protezione avessero adottato; di sicuro "potenzialmente" chi poteva trattare quei dati sensibili non erano solo gli Amministratori di Sistema.
in questo caso sarei veramente preoccupato se i dati presenti nel db
fossero in chiaro.
vero ? che l'ads potrebbe accedere al db e farne copia me se il db ?
generato secondo i criteri richiesti nel codice e nell'autorizzazione
generale e nel provvedimento per i dossier sanitario avrebbe in mano
solo dati anonimi , praticamente poco utili a case farmaceutiche,
assicurative etc.; saprebbero cosa si consuma ma non chi , non avrebbero
informazioni nel sul prescrittore ne sul paziente , solo sull'erogatore
, sai che roba basta vedere gli acquisti o le gare per sapere ci?.
E poi , sapere che la struttura xy ha erogato un tot di interventi
chirurgici o ha effettuato una serie di ricoveri in dh o una
ripartizione di accessi al ps secondo codice di triage, non ? un dato
riservato, se ? un ente pubico o accreditato tali dati fanno parte dei
tracciati ministeriali che sono pubblici.
Sapere che vi sono stati una serie di parti in un dato periodo presso
una determinata struttura , o provenienti da una determinata zona
geografica, ? un dato pubblico o comunque di interesse pubblico mentre
non lo ? l'elenco delle partorienti o dei nascituri.

Sicuro ? che permettere a personale non sanitario il libero accesso a
dati in chiaro, ovvero conoscere gli estremi dell'assistito, ? da
pazzi, oltre che illegale; altrettanto sicuro ? che per una qualunque
disfunzione del db trovo difficile l'esigenza di vedere in chiaro tali dati.
Per questo , gi? prima della 196, avevo in staff un medico da affiancare
ai tecnici in caso di accessi a dati sanitari, caricando su di lui la
responsabilit? delle conoscenza del "contenuto" e non del "contenitore".
Spesso si tratta di organizzazione e in ambito sanitario questa ?
fattibile , basti pensare agli accessi agli stupefacenti che ?
controllato o ai blocchi chirurgici che non ? sicuramente ammesso a
tutti il personale.

Cosa ha di contrario la trasmissione wireless? se i dati sono protetti
dove ? il problema ? da una parte proteggo il mezzo , dall'altra
proteggo il dato dove ? il problema? potrei usare anche il sistema a
bandiere ( navali) se uso ad esempio un sistema crypto per i dati

il problema ? che nonostante vi sia un obbligo da 10 anni ancora oggi i
sw gestionali sanitari poco "sanno" di sicurezza dato e questo
nonostante siano venduti molto ma molto cari.

Credo che alcuni non banali problemi relativi alla gestione degli AdS
siano anche risolvibili nel disegnare secondo criteri di sicurezza le
banche dati .
Ad esempio per un progetto di analisi della domanda di salute e
dell'offerta territoriale che sto seguendo dovendo far trattare i dati
da soggetti molto lontani dal mondo sanitario (fac. di statistica,
ingegneria etc) ho provveduto a creare dei sistemi di anonimizzazione
tali da avere al fondo della catena si i dati reali dell'erogato
sanitario ma in forma del tutto anonima. Neanche gli addetti al ced sono
in grado di decodificare i soggetti , a meno che piu utenti dei diversi
livelli si accordino insieme per intercettare i dati nei vari passaggi .
Credo che una buona sicurezza si basi sia su tecnologia che su
distribuzione della stessa a vari livelli.
o sbaglio?

rino
Stefano Zanero
2010-03-23 21:03:21 UTC
Permalink
Post by rino lo turco
in questo caso sarei veramente preoccupato se i dati presenti nel db
fossero in chiaro.
E se sono cifrati, dove sarebbero le chiavi, acciocche' un
amministratore di sistema non possa sottrarle, o eseguire delle query
con la decifratura dei dati stessi ?

Ha piu' senso il trattamento separato dei dati identificativi, ma non e'
cosi' banale nella pratica.
--
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel. +39 02 2399-4017
Fax. +39 02 2399-3411
E-mail: ***@elet.polimi.it
Web: http://home.dei.polimi.it/zanero/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Claudio Telmon
2010-03-23 18:44:54 UTC
Permalink
Post by Rissone Ruggero
non credo venga
limitato piu' di tanto solo dal requisito del Garante sugli
amministratori di sistema relativo alla presenza di un Access Log.
Non c'è solo quel requisito. C'è l'obbligo per i titolare di verificare
che quello che fanno sia conforme alle normative, che è quello di cui
stiamo discutendo. Access log è una cosa. Obbligo di verifica è
un'altra, e non si concretizza certo solo andando a guardare i log.
Proviamo a cambiare prospettiva: il titolare è responsabile, quindi deve
sorvegliare. Se non ha le competenze, come fa a sorvegliare (che era la
domanda originale)? Risposta: cerca qualcuno con le competenze
necessarie e che lo affianchi.
Post by Rissone Ruggero
Io, amministratore, comunico che c'e' un'anomalia sul DB (non e' vero
che c'e' ma chi mi autorizza non ha le competenze per valutarlo) che
deve essere risolta; chiedo quindi l'autorizzazione per accedervi
(che mi viene concessa). Accedo al DB, faccio un dump delle
informazioni sensibili che potrebbero essere di interesse (e quindi
avere valore) per enti esterni su un bel supporto magnetico, faccio
un logout : ho trattato illecitamente dei dati sensibili, tale
operazione non e' stata registrata ma ho rispettato un requisito
(generico per usare le tue parole, io ribadisco blando) del Garante.
Ha rispettato un requisito, ma non quello di cui stiamo parlando.

Se mi vuoi dire che la normativa sul trattamento dei dati personali non
risolve miracolosamente tutti i problemi di sicurezza di un'azienda, non
puoi che trovarmi d'accordo...

Questo non toglie che ci siano molte situazioni che non sono di plateale
volontà di frodare da parte di un amministratore onnipotente, ma molto
più spesso e semplicemente di comportamenti poco attenti e professionali
da parte degli amministratori, che espongono comunque i dati personali a
rischi. Scopo della normativa, ricordiamo, non è evitare le frodi nelle
aziende ma tutelare i dati, nei limiti di quanto possibile a una norma.
I problemi di poca cura/professionalità vengono regolarmente rilevati
dalle attività di audit, che non ha certo inventato il garante nè
esistono da quando c'è la normativa sui dati personali.
Post by Rissone Ruggero
BTW , neanche troppo tempo fa, due sedi ospedaliere (vicine ma non
troppo), utilizzavano un link wireless punto-punto per trasferire
cartelle cliniche, esami diagnostici e quant'altro tra la sede
centrale e quella distaccata. Ti lascio immaginare quali meccanismi
di protezione avessero adottato; di sicuro "potenzialmente" chi
poteva trattare quei dati sensibili non erano solo gli Amministratori
di Sistema.
E secondo te quegli amministratori stavano rispettando tutte le
normative vigenti? Non stavano mica frodando volontariamente, nè
nascondendo quello che facevano, ma il loro comportamento poco
competente stava mettendo a rischio i dati e secondo il provvedimento
sarebbe stato compito del titolare verificare invece il loro comportamento.
Una verifica da parte di un auditor di quello che avevano messo sarebbe
stata certamente utile a scoprire il problema. O doveva accorgersene da
solo il direttore dell'ospedale con la sua laurea in medicina?

ciao

- Claudio
--
Claudio Telmon
***@telmon.org
http://www.telmon.org

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Continue reading on narkive:
Loading...