Re: SysAdmin, responsabilità e rischi

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2001 ml@sikurezza.org
Soggetto: Re: SysAdmin, responsabilità e rischi
Mittente: Fabio Panigatti
Data: 29 Nov 2001 09:48:02 -0000

> Si' e no. La lettera b) dell'articolo 2 pare suggerirlo lontanamente,
> tuttavia l'articolo 4 dice chiaramente che "a ciascun utente o incaricato
> del trattamento deve essere attribuito un codice identificativo personale
> per l'utilizzazione dell'elaboratore", il che esclude che uno degli
> incaricati tenga un elenco ;)

Secondo me la chiave della questione si trova all'articolo 2 del DPR 318/99,
quando al comma b chiede di "individuare per iscritto i soggetti preposti
alla loro custodia". L'oggetto della frase è "parole chiave". La custodia
prevede implicitamente un qualcosa da custodire, che non riesco ad
individuare in nessun'altro modo se non in un supporto (disco, carta, cmos,
tatuaggio, marmo) su cui sono riportate le suddette "parole chiave".
Questa è la considerazione per cui ho ritenuto di poter individuare un
obbligo di registrazione.

In una sorta di morra cinese del lessico ritengo che la mia "custodia" vinca
sul tuo "codice personale" :)))

L'art 4 , in forza del suo comma 1, eredita gli obblighi e le indicazioni
dell'art 2. Il passaggio da te citato secondo va interpretato in questo
modo:
il codice è "personale" in quanto distinto da quello assegnato ad altri.
Ognuno ha il suo account, insomma.

Anche la comunicazione di modifica della parola chiave prevista al comma 2
dell art. 2 penso che debba essere interpretata come comunicazione non solo
dell'avvenuto cambio ma anche della nuova chiave, scelta e modificata
autonomamente dall'utente stesso.

> fosse unico e indivisibile. Non conferisce all'amministratore la facolta'
> di tenere l'elenco ;)

Non è l'amministratore che dovrebbe tenere l'elenco, su questo siamo
d'accordo. Dovrebbe essere il responsabile individuato per iscritto come
richiesto all'art.2; immagino che in molti casi potrebbe essere individuato
nello stesso responsabile del trattamento più che nell'amministratore del
sistema che, in effetti, non ha bisogno di conoscere le pwd in quanto la
modifica dovrebbe poter essere fatta dall'utente stesso, senza intervento
dell'admin.

La domanda che alegga nell'aria è: perchè tutto ciò?

Io mi sono risposto che il legislatore abbia fatto un po' di confusione tra
un account per l'accesso ad un sistema e le chiavi intese come secret di
un algoritmo crittografico. Qualora i dati sensibili fossero conservati in
un archivio crittato il testo potrebbe avere più senso.

Ciao


Fabio



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- SysAdmin, responsabilità e rischi, O-Zone
- Re: SysAdmin, responsabilità e rischi, O-Zone
- Re: SysAdmin, responsabilità e rischi, Raistlin
- Re: SysAdmin, responsabilità e rischi, O-Zone
- Re: SysAdmin, responsabilità e rischi, Raistlin
- Re: SysAdmin, responsabilità e rischi, Fabio Panigatti
- Re: SysAdmin, responsabilità e rischi, Raistlin

Data:
- precedente: Re: Impedimente dell'eseguzione di McafeeViruscan 4.x.x [teoria], Salvatore Basso
- successivo: Re: Virus W32.Badtrans, Fausto Pasqualetti
- indice

Argomento:
- precedente: Re: SysAdmin, responsabilità e rischi, Raistlin
- successivo: Virus W32.Badtrans, Amodiovalerio Verde
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005