[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Gennaio 2006 lex@sikurezza.org
Soggetto: [lex] Analisi del punto 10 All. B.
Mittente: Rosario Russo
Data: Fri,  6 Jan 2006 12:05:21 +0100 (CET)
Ciao a tutti.

So che è già stato trattato l'argomento, ma non mi trovo d'accordo con le risposte lette, per cui provo a formulare un'analisi personale e aspettare i vostri commenti.

Il punto 10 impone che, se per accedere ai dati viene usata una password, questa stessa sia custodita e consegnata ad un incaricato particolare (il custode delle password) che garantisce la disponibilità dei dati e dei sistemi in caso di prolungata assenza o impedimento da parte di un incaricato.

Questa procedura è da applicare *sempre*, a meno che non si usino sistemi diversi per l’autenticazione (ad esempio, sistemi biometrici): questo è quanto si estrapola dalle prime righe del punto 10.
Supponiamo quindi di porci in queste condizioni: gli utenti a,b,c,d accedono ai dati A,B,C mentre gli utenti e,f,g,h accedono ai dati X,Y,Z e "p" accede ai dati W. Ora, se manca "a", non c'è nessun problema. b,c,d possono accedere comunque. Lo stesso accade se manca "b" "c" o "d". Ma se manca "p" che succede? Sembrerebbe che sia questo il caso di applicare la procedura descritta al punto 10, ma, a mio parere non è così.


Leggendo i vostri post (magari un po' datati, visto che risalgono al 2004) emerge con evidenza che la procedura che prevede di scrivere le parole chiave in buste chiuse, sigillate, ecc...ecc... sia da applicare solo in casi particolarissimi; molti di voi, poi, vedono in questi casi particolarissimi la figura dell'amministratore di rete (o di sistema). Ma non mi trovo d'accordo. Anzi, sarei d'accordo, dal punto di vista tecnico (effettivamente, se manca l'amministratore di rete è molto più grave dell'assenza di un incaricato!), ma non dal punto di vista legale.

Infatti, da nessuna parte del punto 10, si parla di "amministratori" di rete. La legge dice, usando altre parole: "se per accedere ai dati usi la password (infatti potresti usare altri sistemi di accesso, ad esempio smart card o sistemi biometrici: nel qual caso, questa procedura non è applicabile!), allora devi prevedere delle procedure che permettano di sostituire l'incaricato assente [si badi bene: incaricato del trattamento, non amministratore di rete!] nel caso succeda il patatrak nella tua rete [necessità di operatività e sicurezza del sistema]".

Non sembra quindi lecito leggere "incaricato" con "amministratore" o altra figura. D'altro canto, se manca un incaricato, poco male: sicuramente ce n'è un altro che può accedere agli stessi dati. Se anche fosse l'unico ad accede a quel tipo di dati (ad esempio, il caso dell'utente "p" che è l'unico ad accedere ai dati "W"), non è questo il caso previsto dal punto 10, che riguarda casi di "esclusive necessità di operatività e sicurezza dei sistemi", dal momento che l'assenza di "p" non è un evento che determina una necessità indispensabile ed indifferibile ed inoltre non riguarda, ripeto, l'operatività e la sicurezza dei sistemi, come testualmente stabilito dal punto 10. Ciò mi farebbe pensare che la figura di cui si parli sia effettivamente l'amministratore di rete, la cui assenza determinerebbe seri problemi alla sicurezza e renderebbe indispensabile ed indifferibile un suo intervento per "garantire la disponibilità dei dati". Peccato che il termine usato sia "incaricato"...

D'altra parte, se il lavoro di "messa in sicurezza" è stato fatto degnamente, ad un incaricato non saranno mai dati permessi ("privilegi") più di quelli del gruppo "USERS". Per cui, anche conoscendo le sue credenziali riservate, tenute dall'"incaricato della custodia", chi lo sostituisce non potrebbe far altro che gettare la spugna. Non riuscirebbe nemmeno a cambiare l'ora dell'orologio del PC! Magari accede ai dati, ma la procedura descritta dal punto 10 non riguarda, come ho già detto, l'accesso ai dati.

Inoltre, la figura dell'amministratore di rete o di sistema non è prevista dal Codice (anzi è stata esplicitamente eliminata: nella legge precedente [318/99] invece era prevista!)

Non è facile venire fuori da questo èmpasse. Quali sono le vostre considerazioni?

Grazie a tutti per il prezioso contributo.

Ing. Rosario Russo




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005