R: Documento programmatico: un dubbio

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2003 ml@sikurezza.org
Soggetto: R: Documento programmatico: un dubbio
Mittente: frederick vgilger
Data: 22 Jan 2003 00:12:53 -0000

>>a voi che risulta ? secondo me un'azienda che, nei suoi uffici
>>amministrativi ha dati sensibili, se tiene suddetti dati su macchine
in
>>rete, deve compilare il DPS e non ci sono santi che tengano, siano i
>>dati ``tanti'' o ``pochi'' ... confermate ?

>>finelli

 
Concordo, personalmente mi occupo di problematiche 675, ITSEC e DPS. Non
solo le aziende sono ‘obbligate’ a categorizzare i propri dati ma anche
a descriverne i meccanismi di trattamento e le misure atte a garantire
il rispetto dei livelli di sicurezza per questi dati, come descritto
dalla normativa. Ma non solo, i meccanismi devono anche intendere
continuity dei sistemi/archivi e persone interessate ai processi (nome
del resp. Della verifica sui file server, nome del resp verifica
procedura).

Alcune aziende, per scappare agli oneri della consulenza in ambito ITSEC
e DPS, prentendono che non hanno dati sensibili e richiamano la vecchia
interpretazione (religione, salute, etc). Quando invece la normativa e
la stessa prassi del Garante definisce oggetto della normativa del
trattamento dei dati non solo dati sensibile ma anche dati, il cui
concatenamento possa identificare una persona (es: nome, cognome, numero
di telefono).

Questa interpretenzione estensiva, ha fatto si che molte aziende
preferiscono considerare oggetto del DPS tutti i dati ‘in totum’ di una
data area (generalmente: Risorse Umane, Organizzazione,
Amministrazione).

Il vero vantaggio di un DPS fatto bene è che dovrebbe andare a supporto
di un attività di risk analysis più profonda. Il DPS non è solo il
dichiarato, me ‘dovrebbe’ anche comportare anche delle
disposizioni/pianifiche delle misure da implementare cosi da raggiungere
i livelli richiesti.

A questo titolo è emblematico la differenza tra due DPS che intravedo
spesso presso varie aziende del nord italia: il DPS fatto da uno studio
legale (che non da una panoramica esaustiva dei sistemi, limitandosi ad
un approccio tipo codice civile..) e un DPS fatto da una società di
consulenza organizzativa (a mio parere più completo e più fruibile per
l’Azienda).

Scusate per la lunghezza_____

Wandoo



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Documento programmatico: un dubbio, m

Data:
- precedente: R: Problema Kazaa e protocolli peer to peer, Daniele
- successivo: riconoscere una intrusione su Windows, Gianluca
- indice

Argomento:
- precedente: Documento programmatico: un dubbio, m
- successivo: Re: Documento programmatico: un dubbio, Brigante
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005