[Linux-Biella] LOG

Enrico "Gabubbi" Manfredo manfredo a gabubbi.it
Mer 9 Giu 2010 01:01:32 CEST 

Il 08/06/10 21.40, Alberto Bertoli ha scritto:
> Il giorno mar, 08/06/2010 alle 18.57 +0200, leonardo buffa ha scritto:
>    
>> ciao
>> privacy, dps, log di sistema, accessi etc mi stanno scardinando le
>> palle in questo periodo...
>>      
> dunque, ci ho avuto a che fare marginalmente, la normativa é pubblicata
> sul sito ufficiale del garante della privacy al sito
>
> http://www.garanteprivacy.it/
>
> Dalla home ci sono due link
> la norma
> http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499
>
> e le precisazioni
> http://www.garanteprivacy.it/garante/doc.jsp?ID=1676654
>
> Vado a memoria e sintetizzo :
> Premessa : la norma é nata perché le direzioni aziendale non sapevano
> che alcuni tecnici potenzialmente possono vedere tutti i dati (anche le
> password se girano in chiaro nella rete...)
>
> Lo scopo del Garante é di far sì che la direzione percepisca il
> potenziale pericolo di fughe di dati.
>    
Ho meglio. Per prevenire la fuga di dati ci sono i DLP (Data Loss 
Protection) che però sono richiesti in altre normative (internazionali) 
come il PCI-DSS ecc.
Il concetto del garante è: "chi controlla il controllore?"
> Siccome per certi casi c'é il penale, per evitarlo l'Azienda deve
> comunicare per iscritto agli "amministatori" ed equiparati che essi sono
> amministratori, ed i loro doveri (fare i backup e conservarli sotto
> chiave, etc etc)  poi almeno 1 volta all'anno deve effettuare
> un'ispezione per controllare che rispettino le regole, inoltre devono
> detenere i log per 6 mesi SU UN SUPPORTO NON MODIFICABILE (DVD
> masterizzato ?)
>    
No, il DVD masterizzato non mi pare una buona idea perché il log deve 
essere integro e certificabile. Non sto a fare una filippica su 
quest'argomento però la soluzione che spesso viene usata è la cattura in 
RAW dei dati, l'indicizzazione "strong",  la creazione di una chiave 
hash per ogni singolo record, per serie di record (che contiene anche la 
hash dei singoli) e del pacchetto Una singola modifica ad un solo bit e 
i check non funzionano più.
  Spesso i vari vendor usano dei FS speciali in RO che vengono creati in 
ram, salvati su disco e da li non più modificabili se non cancellandoli 
per intero. Inoltre sono normalmente firmati (e spesso crittografati) 
con protocolli particolarmente robusti.
> La buona notizia era che come log era sufficiente la data/ora di
> connessione e la data/ora di disconnessione (il che é perfettamente
> inutile ...)
>    
Vero. Però devo dire che ho già visto diversi clienti che da già che 
avevano integrato la normativa, hanno deciso poi di far evolvere i 
sistemi in SIEM.
> Gli equiparati sono tutti coloro che (amministratori di rete, di
> database, etc etc ) hanno i grant sufficienti per eseguire comandi tali
> che possano vedere dati non strettamente necessari al loro lavoro, ma
> per adempiere alla loro funzione devono poterli maneggiare.
>
> Una volta adempiuti questi obblighi se c'é una fuga di dati, la
> responsabilità é dell'ammistratore.
>
> D'altra parte l'amministratore dovrebbe avere un budget sufficiente a
> garantire le misure di sicurezza richieste ed eventualmente richiedere
> (meglio per iscritto, se ti tocca andare in tribunale...) eventuali
> adeguamenti. Ad esempio io garantisco la sicurezza della rete se c'é il
> firewall, se manca e c'é una fuga di dati, non venite a chiedere a me di
> renderne conto.
>
>
> Siccome la norma é valida anche per 1 solo PC stand alone,ci sono poi
> delle semplificazioni, inoltre dipende anche molto dalla sensibilità dei
> dati immagazzinati, questo é già stato normato in precedenza.
>
> Questo a dato origine a diversi sw dedicati per adempiere alla
> normativa.
> La scelta potrebbe essere di deresponsabilizzazione, ossia io ho
> acquistato il sw ci pensa lui e mi sono tolto una grana.
>    
Un software non deresponsabilizza. Al limite garantisce (a volte 
certifica) la compilance alla normativa.
> Ho ricevuto una pubblicità di un sw del genere che allego, io non l'ho
> provato e non saprei dire se sia buono o meno.
>
> http://www.groovysoft.com/AllianceLGA_IT.html
>
> L'alternativa é interpellare un commerciale di questi software per farsi
> spiegare cosa fà e rifarselo :-P
>
> Ciao
>
>

Maggiori informazioni sulla lista Linux