Le nuove misure necessarie relative agli Amministratori di sistema: uno sguardo d’insieme.


Vediamo ora nel dettaglio in cosa consistono le nuove misure necessarie di sicurezza relative agli Amministratori di sistema, così come modificate dal Provvedimento del 25 giugno emanato a seguito della consultazione pubblica attivata dallo stesso Garante volta ad acquisire osservazioni e commenti da parte dei titolari del trattamento.

Anzitutto: chi sono gli Amministratori di sistema?

Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.

Ai fini del  Provvedimento del Garante vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali:

  • gli amministratori di database,
  • gli amministratori di reti e di apparati di sicurezza,
  • gli amministratori di sistemi software complessi.

Attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un’effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l’amministratore non consulti “in chiaro” le informazioni medesime.

In concreto, ogni Titolare che rientra nell’obbligo di attuazione delle nuove misure, deve:

  1. individuare coloro che ricadono nella categoria di amministratore di sistema;
  2. valutare l’esperienza, la capacità e l’affidabilità dei soggetti designati quali amministratore di sistema che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza;
  3. designare tali amministratori di sistema in modo individuale con l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato;
  4. redigere un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante in cui riportare gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite; se i servizi di amministrazione di sistema sono affidati in outsourcing, tale documento può essere redatto e custodito dall’Outsourcer nominato Responsabile del trattamento.
  5. se l’attività degli amministratori di sistema riguarda anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, comunicare a questi ultimi l’identità degli amministratori di sistema;
  6. verificare l’operato degli amministratori di sistema, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti; tale verifica può essere demandata all’outsourcer Responsabile del trattamento;
  7. registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, mediante l’adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica).Le registrazioni (access log) devono avere caratteristiche di
    • completezza,
    • inalterabilità,
    • possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste.

Le registrazioni devono comprendere:

    • i riferimenti temporali
    • la descrizione dell’evento che le ha generate.

Le registrazioni devono inoltre  essere conservate per un congruo periodo, non inferiore a sei mesi.

Nel dettaglio, il Provvedimento Garante 27 novembre 2008 così come integrato dal Provvedimento Garante 25 giugno 2009, dispone quanto segue (le parti barrate sono state soppresse, le parti in grassetto  sono state aggiunte):

a) Valutazione delle caratteristiche soggettive

L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

b) Designazioni individuali

La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

c) Elenco degli amministratori di sistema

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o tramite procedure formalizzate a istanza del lavoratore. Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.

d) Servizi in outsourcing

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare il titolare o il responsabile esterno devono deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

e) Verifica delle attività

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

f) Registrazione degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

g) 3-bis: il Garante dispone che l’eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali.

Annunci

6 pensieri su “Le nuove misure necessarie relative agli Amministratori di sistema: uno sguardo d’insieme.

  1. Pingback: Privacy: il giro di boa del 31 marzo | SMBlog

  2. Pingback: DPS a parte: le semplificazioni delle altre misure minime di sicurezza | SMBlog

  3. Pingback: Privacy e 31 marzo: ultima chiamata | SMBlog

  4. Pingback: Il Garante privacy: più tutele per i Lavoratori | SMBlog

  5. Più che un commmento una domanda.
    Lavoro per una azienda che ha server in hosting all’estero dove implementare un sistema di logging o altro è estramente difficile, gli ADS sono sparsi per il mondo.
    Quindi, riguardo il punto d) Servizi in outsourcing è sufficente conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema?
    Di conseguenza In questo caso devo adempiere al punto f) Registrazione degli accessi?
    Grazie per la risposta?

    Mi piace

  6. Gent. Claudio,

    in caso la Sua Azienda sia obbligata o scelga di adottare le nuove misure relative agli AdS, e il relativo servizio sia assegnato in outsourcing, al risposta è:
    > si, il Titolare (oppure l’outsourcing incaricato attraverso la sua nomina o apposita clausola contrattuale) deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
    > si, il Punto f) è il cuore del Provvedimento.

    Chiedo venia per il ritardo nella risposta e colgo l’occasione per augurarle un sereno weekend,

    Paolo Mazzolari

    Mi piace

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...