[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Febbraio 2003 ml@sikurezza.org Soggetto: Re: chicca sulle autorizzazioni agli accessi (DPR318 ) Mittente: Federico Lombardo Data: 12 Feb 2003 22:42:44 -0000
Relativamente a questo, posso darti una risposta "intrinseca" Il garante ad una domanda simile mi ha risposto: Relativamente al profilo organizzativo, il nominativo dell'attuale amministratore di sistema, nonchè del soggetto preposto alla custodia delle parole chiave, e dei singoli incaricati alle operazioni indicate all'interno del "regolamento per l'utilizzo della rete informatica aziendale", con espressa indicazione delle categorie di dati delle quali gli stessi potrebbero venire a conoscenza nello svolgere la propria attività. (Si evidenzia al porposito che tali Incaricati dovranno essere nominati con specifica lettere di incarico); In questa frasi si può "estrapolare" che DEVE esistere un amministratore di sistema che potenzialmente può accedere a tutto (anche se non lo fa n.b.) poichè l'amministratore stesso non deve essere fortemente vincolato nello svolgere le sue azioni proprie per rispettare il dpr 318. Detto in poche parole: metti per iscritto la descrizione e la proprietà dei dati!!! devo aggiungerti una postilla relativa alla mia realtà aziendale, ovvero che qui per regolamento sottoscritto dal lavoratore, tutti i dati sono proprietà dell'azienda e l'utente si impegna a NON usare i servizi IT aziendali per veicolare dati sensibili! L'argomento è quanto più difficile. Federico_non_sono_un_avvocato. ----- Original Message ----- From: <montebicco@tin.it> To: <ml@sikurezza.org> Sent: Monday, February 10, 2003 10:36 AM Subject: chicca sulle autorizzazioni agli accessi (DPR318 ) Il mio capo, dopo una lunga riunione per spiegare per l'ennesima volta il significato del dpr318, ha commentato: "ma allora tu, che sei amministratore di sistema, puoi accedere ai miei documenti (memorizzati sui file server che ovviamente gestiamo noi sistemisti, ndr) contenenti dati sensibili, che neanche tu dovresti poter leggere; quindi devi trovare un sistema che permetta solo a me l'accesso a tali dati, e me lo devi garantire!" Tecnicamente, quale soluzione mi consigliate? I dati "sensibilissimi", sono costituiti da archivi access, documenti word, qualche foglio excel, e sono in una directory dedicata. Qualche sw che permetta una crittografia del contenuto della directory, una chiave di accesso alla directory stessa, o cos'altro? Grazie e un saluto a tutti. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005