In Italia, come tutti ben sanno, ci sono una pletora di leggi e tra queste vi sono alcune che parlano delle figure tecniche degli amministratori di rete e degli amministratori di sistema. Come si può immaginare sono leggi abbastanza moderne poichè moderna è la coscienza del legislatore che ha oggi un’occhio diverso verso l’informatica e l’informazione, e con queste leggi su chi amministra l’informazione. Lo scopo dell’articolo è quello di dare agli amministratori una base di partenza sulle leggi d’interesse citando gli articoli e su dove trovarle, inserendo anche i link a diversi articoli trovati in giro per la rete molto utili.
La legge n. 675/1996, la prima a parlare di trattamento dei dati personali, non annoverava ,direttamente, tale tipologia di ruolo. Solo con integrazioni successive si è presa coscienza della figura dell’amministratore di sistema.
Il D.P.R. n. 318/1999, abrogato, nellart. 1, comma 1, lett. c ha fornito una prima definizione imponendo quale Amministratore di sistema, quel "soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentire l'utilizzazione".
Il Codice del 2003 (D.Lgs. 30 giugno 2003, n. 196) ha, invece, operato una scelta di tipo diverso rispetto alla disciplina precedente. Il suo Allegato B ("Disciplinare tecnico in materia di misure minime di sicurezza") ha tralasciato quella figura, preferendo precisare, per l'organizzazione per la privacy, solo le tre generiche tipologie di soggetti (titolare, responsabile ed incaricato di trattamento).
Il documento in cui effettivamente si cita l’amministratore di sistema è un provvedimento del Garante della Privacy datato 27 Novembre 2008 dal titolo “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema"
- di essere testo prescrittivo (in virtù dell'art. 154, comma 1, lett. c, del vigente Decreto sui dati personali) data la facoltà di prescrivere misure ed accorgimenti, specifici o di carattere generale, rivolti ai titolari di trattamento.
ed entrando più nel dettaglio due scopi:
- richiamare tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici sulla necessità di prestare la massima attenzione su rischi e su criticità implicite nell'affidamento degli incarichi di amministratore di sistema;
- individuare delle prime misure di carattere organizzativo atte a rendere più agevole la conoscenza sugli Amministratori di sistema, in termini di esistenza dei loro ruoli, delle loro responsabilità e, in taluni casi, dell'identità dei soggetti che svolgono tale lavoro.
Misure volte a sensibilizzare i titolari, veri destinatari del documento in parola, ad evitare una "preoccupante sottovalutazione dei rischi derivanti dall'azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico", poichè l’amministratore di sistema, dice il Garante, ha "di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti".
Possiamo riassumere alcuni elementi importanti riguardo la figura dell’amministratore di sistema.
1. Sono incluse nelle normative citate sia gli amministratori di sistema che gli amministratori di rete. di data base o i relativi manutentori
2. Gli amministratori di sistema devono conservare per almeno 6 mesi gli access log ( i log di accesso) in archivi di cui non sia possibile la modifica e l’alterazione. Chiara conseguenza di questo punto è che debbano essere adottati sistemi idonei alla registrazione di questi accessi ai sistemi di elaborazione o agli archivi da parte delle figure amministratrici il sistema e cosa rilevante, questi log devono avere specifiche caratteristiche di completezza ( dati temporali certi e descrizione completa dell’evento generatore ) e verifica dell’integrità, inoltre devono essere conservati per un periodo minimo di mesi 6, elemento che fa nascere processi di conservazione digiatle attualmente ben delineati in ulteriori leggi.
3. I titolari dei dati devono rendere nota la presenza della figura dell’amministratore di sistema, indicando con chiarezza la persona fisica che ricopre questa veste sebbene non sia incaricata o responsabile del trattamento dei dati personali. La figura deve essere presente quindi nel DPS ( Documento Programmatico per la Sicurezza), tale elemento deve essere attuate anche in caso dell’outsourcing del servizio e/o sistema. Nella fattispecie il titolare ha l’obbligo di conservare gli estremi identificativi di tali figure.
4. Per i titolari del trattamento è prevista una verifica annuale sull’operato dell’amministratore di sistema.
5. Rivestire la funzione di amministratore di sistema costituisce un’aggravante per determinati reati del codice penale
Le leggi
Nasce l’esigenza di regolamentare la figura dell’amministratore di sistema in seno alle leggi sulla tutela della privacy. La figura in esame deriva dal termine "system administrator", espressione che in Italia ingloba una varietà di figure relative ai sistemi informativi digitali.La legge n. 675/1996, la prima a parlare di trattamento dei dati personali, non annoverava ,direttamente, tale tipologia di ruolo. Solo con integrazioni successive si è presa coscienza della figura dell’amministratore di sistema.
Il D.P.R. n. 318/1999, abrogato, nellart. 1, comma 1, lett. c ha fornito una prima definizione imponendo quale Amministratore di sistema, quel "soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentire l'utilizzazione".
Il Codice del 2003 (D.Lgs. 30 giugno 2003, n. 196) ha, invece, operato una scelta di tipo diverso rispetto alla disciplina precedente. Il suo Allegato B ("Disciplinare tecnico in materia di misure minime di sicurezza") ha tralasciato quella figura, preferendo precisare, per l'organizzazione per la privacy, solo le tre generiche tipologie di soggetti (titolare, responsabile ed incaricato di trattamento).
Il documento in cui effettivamente si cita l’amministratore di sistema è un provvedimento del Garante della Privacy datato 27 Novembre 2008 dal titolo “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema"
Il Provvedimento
Il provvedimento del 2008, citato nel precedente paragrafo, ha due caratteristiche:
- di essere documento "divulgativo" (ai sensi dell'art. 154, comma 1, lett. h, del decreto n. 196/2003), in relazione al compito gravante sull'Autorità di promuovere la "conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati";- di essere testo prescrittivo (in virtù dell'art. 154, comma 1, lett. c, del vigente Decreto sui dati personali) data la facoltà di prescrivere misure ed accorgimenti, specifici o di carattere generale, rivolti ai titolari di trattamento.
ed entrando più nel dettaglio due scopi:
- richiamare tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici sulla necessità di prestare la massima attenzione su rischi e su criticità implicite nell'affidamento degli incarichi di amministratore di sistema;
- individuare delle prime misure di carattere organizzativo atte a rendere più agevole la conoscenza sugli Amministratori di sistema, in termini di esistenza dei loro ruoli, delle loro responsabilità e, in taluni casi, dell'identità dei soggetti che svolgono tale lavoro.
Misure volte a sensibilizzare i titolari, veri destinatari del documento in parola, ad evitare una "preoccupante sottovalutazione dei rischi derivanti dall'azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico", poichè l’amministratore di sistema, dice il Garante, ha "di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti".
Elementi importanti
Possiamo riassumere alcuni elementi importanti riguardo la figura dell’amministratore di sistema.
1. Sono incluse nelle normative citate sia gli amministratori di sistema che gli amministratori di rete. di data base o i relativi manutentori
2. Gli amministratori di sistema devono conservare per almeno 6 mesi gli access log ( i log di accesso) in archivi di cui non sia possibile la modifica e l’alterazione. Chiara conseguenza di questo punto è che debbano essere adottati sistemi idonei alla registrazione di questi accessi ai sistemi di elaborazione o agli archivi da parte delle figure amministratrici il sistema e cosa rilevante, questi log devono avere specifiche caratteristiche di completezza ( dati temporali certi e descrizione completa dell’evento generatore ) e verifica dell’integrità, inoltre devono essere conservati per un periodo minimo di mesi 6, elemento che fa nascere processi di conservazione digiatle attualmente ben delineati in ulteriori leggi.
3. I titolari dei dati devono rendere nota la presenza della figura dell’amministratore di sistema, indicando con chiarezza la persona fisica che ricopre questa veste sebbene non sia incaricata o responsabile del trattamento dei dati personali. La figura deve essere presente quindi nel DPS ( Documento Programmatico per la Sicurezza), tale elemento deve essere attuate anche in caso dell’outsourcing del servizio e/o sistema. Nella fattispecie il titolare ha l’obbligo di conservare gli estremi identificativi di tali figure.
4. Per i titolari del trattamento è prevista una verifica annuale sull’operato dell’amministratore di sistema.
5. Rivestire la funzione di amministratore di sistema costituisce un’aggravante per determinati reati del codice penale
Condizioni di Utilizzo |
Privacy |
Linee Guida della Community |
NetworkAdministrator.it © 2009 Another Glue Labs Website
Fornite il vostro contributo intellettuale in maniera semplice ed immediata per mezzo di una mail oppure condividi la pagina nei social network. Il tuo aiuto è prezioso per migliorare il portale e fornire un servizio migliore a tutta la community. Grazie!
- Segnala un Errore
- Inviaci un Suggerimento
- Forniscici un Feedback