Registrazione degli accessi ed Amministratori di sistema


Registrazione degli accessi ed Amministratori di sistema

La premessa ….[…omissis…]


4.5 Registrazione degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.


[…omissis…]

TUTTO CIÒ PREMESSO IL GARANTE:

Il provvedimento vero e proprio ….[…omissis…]


f. Registrazione degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;

L’esegesi letterale della norma sembrerebbe portare alle seguenti considerazioni (fermo restando che – come ho già evidenziato in altro scritto – sicuramente si poteva fare di meglio quanto a chiarezza del provvedimento):

Quello che deve essere adottato (laddove non già presente) è:
1. un sistema idoneo alla registrazione degli accessi logici intesi come autenticazione informatica ai sistemi di elaborazione
2. un sistema idoneo alla registrazione degli accessi logici agli archivi elettronici
a. in ambedue i casi quando uno degli accessi appena citati venga effettuato da un amministratore di sistema (d’ora in avanti AdS)

I log degli accessi appena menzionati devono essere, praticamente, “forensic ready” e la locuzione “…adeguate al raggiungimento dello scopo per cui sono richieste…” sta a significare che a posteriori si dovrà poter ricostruire quello che è accaduto; se non si raggiunge tale scopo, l’apparato che sarà stato messo in piedi non sarà servito a nulla.

Altra domanda: quali sono esattamente gli AdS?

Posto che nella parte preliminare del provvedimento l’Autorità non solo volutamente non ha voluto effettuare una elencazione delle funzioni che ricadano in tale ambito, ma espressamente ha fatto riferimento anche ad altre normative, non ultima la Legge 547/93 che all’epoca introdusse i reati informatici nell’ordinamento italiano, e che prevede espressamente come ipotesi aggravata l’atto compiuto dal c.d. “operatore di sistema”, soggetto che la giurisprudenza in materia ha individuato in un soggetto che sicuramente ha molti meno “poteri” di quello che viene considerato dalla letteratura tecnica un AdS, mi sembra che la soluzione – come spesso è consuetudine nel diritto – non possa essere totalmente univoca, ma debba essere sempre e comunque contestualizzata.

In pratica (rinvio ad un altro mio articolo più approfondito sull’intero provvedimento sugli AdS) occorrerà effettuare una bella ricognizione delle figure esistenti, e conseguentemente operare.

Ma non è sicuramente finita qui….

(Avv. Luca-M. de Grazia)

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: