Re: DPSS: esempi

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2004 ml@sikurezza.org
Soggetto: Re: DPSS: esempi
Mittente: Gelpi Andrea
Data: 15 Apr 2004 23:15:46 -0000

Il mer, 2004-04-07 alle 22:24, Paolo Giardini ha scritto:
> Il comma 10 dell'allegato B recita:
> "10. Quando lâaccesso ai dati e agli strumenti elettronici Ã consentito 
> esclusivamente
> mediante uso della componente riservata della credenziale per 
> lâautenticazione, sono

Il testo qui sopra restringe di molto il caso di attuazione di questo
punto, rispetto a quanto previsto dal 314.
In sostanza si sta dicendo che se uno strumento elettronico Ã accedibile
*unicamente* tramite la parte riservata della credenziale (mi viene in
mente l'acceso a root di sistemi unix e simili) solo in questo caso si
aplica quanto segue, e cioÃ che deve esistere una procedura documentata
che dice chi Ã a conoscenza di quella credenziale e come si fa ad
avvisare quando viene usata.

Se il sistema permette l'utilizzo di credenziali diverse (tutti gli
windows e tutti gli unix lo permettono) questo punto non si applica.

> impartite idonee e preventive disposizioni scritte volte a individuare 
> chiaramente le
> modalitÃ con le quali il titolare puÃ assicurare la disponibilitÃ di dati o 
> strumenti
> elettronici in caso di prolungata assenza o impedimento dellâincaricato che 
> renda
> indispensabile e indifferibile intervenire per esclusive necessitÃ di 
> operativitÃ e di
> sicurezza del sistema. In tal caso la custodia delle copie delle 
> credenziali Ã organizzata
> garantendo la relativa segretezza e individuando preventivamente per 
> iscritto i soggetti
> incaricati della loro custodia, i quali devono informare tempestivamente 
> lâincaricato
> dellâintervento effettuato."
> 
> A me pare che si parli abbastanza chiaramente di 
> _custodia_di_copia_di_credenziali_  e modalita' per il loro uso.

SÃ, ma in un contesto decisamente piÃ moderno e comunque molto diverso.

> 
> 
> At 21.02 06/04/04 +0200, you wrote:
> >Paolo Giardini wrote:
> >>Posso far notare che pur senza chiamarlo "custode delle password" anche 
> >>la 196 prevede una figura simile? :-)
> >
> >E' falso. Il vecchio custode delle password DOVEVA avere copia delle 
> >password, con la busta chiusa, la cassaforte, e tutto l'ambaradan.
> >
> >Il nuovo responsabile deve invece avere un modo per accedere alle 
> >postazioni in assenza dell'incaricato, e procedure per farlo. I.E. la 
> >password di amministratore.
> >i.
> 

Concordo in pieno con l'affermazione di Stefano.

> 
> Paolo Giardini
> Studio Giardini Consulenza Informatica
> cell. 347-9075197 e-mail: pgiar@xxxxxxxxxxx
> http://www.solution.it
> 
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
-- 
Gelpi ing. Andrea
*************************
Landmines must be stopped
*************************


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: DPSS: esempi, Paolo Giardini
- DPSS: esempi, Paolo Giardini
- Re: DPSS: esempi, Paolo Giardini

Data:
- precedente: R: Ridondanza dati su macchine Windows 2000/2003, Guido
- successivo: GPG, Walter Valenti
- indice

Argomento:
- precedente: Re: DPSS: esempi, Stefano Zanero
- successivo: Re: DPSS: esempi, Marco Baroni
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005