Analisi del provvedimento del Garante della Privacy del 27 novembre 2008

Proseguendo con gli studi, è inevitabile giungere alla stesura di un qualche documento potenzialmente utile a molti. Nel mio caso, ciò che vorrei condividere è il lavoro fatto per lo Sviluppo di un sistema per il tracciamento e l’archiviazione degli accessi amministrativi di un sistema informativo. Un titolo molto lungo, forse troppo, così come lungo è stato il lavoro che ha portato a questa produzione.

Il documento analizza il provvedimento del Garante della Privacy del 27 novembre 2008. In particolare vengono approfondite tutte le richieste (in ambito informatico) contenute e proposte soluzioni per adempiere a tali richieste. Il tutto utilizzando esclusivamente strumenti FLOSS (Free/Libre/Open-Source Software).

Dettagli del provvedimento del 27 novembre 2008

Il provvedimento in questione coinvolge tutte le aziende che effettuano trattamento di dati sensibili. In particolare viene richiesta la raccolta e l’archiviazione di tutti gli accessi degli amministratori di sistema sulle postazioni dove viene eseguito il trattamento. La caratteristica fondamentale richiesta per i dati archiviati è la loro immodificabilità.

Tutto questo nasce a causa dei permessi di cui godono gli amministratori di sistema (necessari al normale svolgimento delle loro mansioni). Essi, infatti, possono venire a contatto, anche solo accidentalmente, con tali dati.

Insomma, possiamo dire che questa sia una richiesta volta più che altro a richiamare l’attenzione dei responsabili del trattamento su questa figure. Chi ha un minimo di conoscenze informatiche saprà che è estremamente difficile controllare dettagliatamente le operazioni svolte da un amministratore.

Soluzione proposta nel documento

Per adempiere al provvedimento del 27 novembre 2008, nel documento viene proposta:

• raccolta degli eventi tramite rsyslog su sistemi Linux
• raccolta degli eventi tramite Safed su sistemi Windows
• invio degli eventi ad un server Linux
• archiviazione tramite invio giornaliero ad una casella PEC

I dettagli delle configurazioni adottate, assieme ad altre soluzioni, sono esposte nel pdf.

Il documento in questione è rilasciato con licenza Creative Common BY-SA: Download.

Sviluppo di un Sistema per il Tracciamento e l’Archiviazione degli Accessi Amministrativi di un Sistema Informativo by Marco Sciuto is licensed under a Creative Commons Attribuzione – Condividi allo stesso modo 3.0 Unported License.