Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

http://www.bludis.it/prodotti/ManageEngine/event_log/Pagine/default.aspx

Pag. 1 di 6

Indice
1 IL PROVVEDIMENTO DEL GARANTE ................................................................................................................. 2 1.1 1.2 1.3 2 3 TRATTAMENTI RELATIVI ALLE FUNZIONI DEGLI AMMINISTRATORI DI SISTEMA ..................................................... 2 GESTIONE DEGLI ACCESS LOG DEGLI AMMINISTRATORI DI SISTEMA.................................................................. 3 CHIARIMENTI IN MERITO AL PROVVEDIMENTO DEL GARANTE .............................................................................. 3

LA SOLUZIONE PER ESSERE SUBITO IN REGOLA ....................................................................................... 3 OUTSOURCING DEL SERVIZIO DI GESTIONE DEGLI ACCESS LOG......................................................... 5

Il Provvedimento del Garante

Il 27 novembre 2008 il Garante per la Protezione dei Dati Personali, ha pubblicato un importante provvedimento riguardante le Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema (di seguito AdS). Il fine del Garante quello di richiamare lattenzione sulle responsabilit dellAdS il quale, per lesercizio delle sue funzioni, ha evidentemente un accesso privilegiato alle informazioni aziendali inclusi gli archivi contenenti dati personali. Il termine per mettersi in regola scaduto il 15 dicembre 2009, e chi non ha adottato le misure prescritte rischia in caso di verifica - di incorrere in pesanti sanzioni pecuniarie.

1.1

Trattamenti relativi alle funzioni degli Amministratori di Sistema

Il Garante evidenzia ... la particolare criticit del ruolo degli amministratori di sistema... e ... richiama l'attenzione ... sulla necessit di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualit di amministratore di sistema;.... Nellassegnazione di ruoli con accesso privilegiato il Garante richiede ai titolari di ... valutare con particolare cura l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. (http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499) Riportiamo di seguito una sintesi delle misure richieste dal Garante relativamente alla scelta e alla verifica delloperato degli AdS: Valutazione delle caratteristiche soggettive delle persone designate Designazioni individuali (per es. evitare account di amministratore condivisi)

http://www.bludis.it/prodotti/ManageEngine/event_log/Pagine/default.aspx

Pag. 2 di 6

 1.2

Elenco formale degli AdS: system administrator, amministratore di base di dati (database administrator) o amministratore di rete (network administrator); Verifica periodica delloperato degli AdS Registrazione degli eventi di accessi (Access log degli AdS) Gestione degli Access Log degli Amministratori di Sistema

Questo uno degli adempimenti pi complessi poich implica sia una revisione di alcune procedure e documenti sia limplementazione di adeguati sistemi di auditing. Scendendo nel dettaglio il Garante obbliga le aziende al tracciamento completo (logging) degli eventi di accesso (e anche i tentativi falliti) degli amministratori di sistema a sistemi e database. I suddetti log (Access Log) devono essere archiviati e conservati per un periodo non inferiore a sei mesi, garantendo linalterabilit e lintegrit degli eventi. Il Garante sottolinea il concetto di idoneit dei sistemi di audit, che dipende ovviamente dal contesto un cui vengono applicati: ...devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilit e possibilit di verifica della loro integrit adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, e comunque non inferiore a sei mesi; (http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499)

1.3

Chiarimenti in merito al provvedimento del Garante

Dopo la pubblicazione del provvedimento, sono pervenute al Garante molte richieste di chiarimento sulla corretta interpretazione delle prescrizioni. Il 25 Maggio del 2010, il Garante ha pubblicato una raccolta di FAQ in merito allapplicazione pratica delle misure da adottare, chiarendo in particolare che: Non necessario tracciare tutto quello che fa lamministratore, ma solo gli eventi di Logon, Logoff e tentativi di accesso. (FAQN 22) Bisogna tenere traccia degli accessi sui server, sui client (FAQ N 4 ) ed anche sui Database (FAQ N19) Non necessario tracciare gli accessi degli amministratori agli applicativi (FAQ N22)

La soluzione per essere subito in regola

http://www.bludis.it/prodotti/ManageEngine/event_log/Pagine/default.aspx

Pag. 3 di 6

La soluzione proposta da Bludis si basa su EventLog Analyzer, uno dei software della suite ManageEngine, leader nelle soluzioni per la gestione dellinfrastruttura e dei servizi IT. EventLog Analyzer uno strumento completo per il log Management che fornisce reports per le compliance a normative come la SOX,HIPAA, PCI. Queste normative sono molto pi restrittive del provvedimento del Garante e includono gi lobbligo della gestione e archiviazione degli Access Log. Limplementazione di EventLog Analyzer permette perfettamente alle richieste del provvedimento. quindi di ottemperare

Il server si installa e si configura in pochi minuti, senza la necessit di installare un agent, e inizia immediatamente a collezionare i log dai sistemi target e a generare i report sugli Access Log. Gli eventi vengono analizzati e archiviati per un periodo personalizzabile. Lintervallo di tempo sufficiente per ottemperare al provvedimento del garante di 6 mesi (180 giorni), ma possibile impostare questo parametro secondo le proprie necessit. Per prevenire il tampering dei log e per una corretta marcatura temporale vengono automaticamente applicate una funzione di Hashing e il timestamping. Se viene modificato anche un solo carattere in un log, EventLog Analyzer in grado di rilevarlo e segnalarlo alle persone preposte al controllo. La sicurezza di EventLog Analyzer si basa su autenticazione (user ID e password), profili di accesso differenziati per utente e lintegrazione con Active Directory e server Radius. La crittografia automatica (opzionale) rende illeggibili i file di archivio e previene la lettura diretta non autorizzata dei raw log. EventLog Analyzer permette di gestire qualunque tipo di log (sicurezza, sistema, applicazioni etc.), e generare allarmi in base specifici eventi. Oltre a ottemperare al

http://www.bludis.it/prodotti/ManageEngine/event_log/Pagine/default.aspx

Pag. 4 di 6

provvedimento del garante pu essere quindi utilizzato come strumento di monitoraggio dellinfrastruttura IT e analisi degli eventi. Riportiamo di seguito le funzionalit di EventLog Analyzer che permettono di rispondere in modo puntuale agli adempimenti richiesti dal Garante in materia di gestione degli access log degli AdS. Collezionamento dei log di sistemi Windows (EventLog), Unix/Linux (Syslog) e di MSSQL, Oracle, AS400, IIS, VMWare, DHCP. Tracciamento e conservazione degli accessi dellamministratore di sistema. Schedulazione e generazione automatica di report sulle attivit degli Amministratori (Accessi, tentativi di accesso etc.). Archiviazione sicura dei log mediante applicazione di Cifratura, timestamping e hashing (per ottemperare allobbligo di inalterabilit e non modificabilit degli access log )

Per un elenco completo delle caratteristiche consultare il seguente link: http://www.bludis.it/prodotti/ManageEngine/event_log/funzionalita/Pagine/default.aspx

Outsourcing del servizio di gestione degli Access Log

Lattivit di tracciamento e conservazione degli Access Log degli AdS pu essere data in gestione a terzi. La distributed Edition di EventLog Analyzer adatta agli operatori che erogano servizi di gestione e reporting dei log per i loro clienti. I Managed Server, installati presso i clienti, raccolgono i log dagli host locali e si sincronizzano con il server centrale tramite connessione sicura https.

http://www.bludis.it/prodotti/ManageEngine/event_log/Pagine/default.aspx

Pag. 5 di 6

I dati sono segragati e ciascun cliente accede alla console con una proprio profilo di accesso, consultando i report e gli allarmi della propria infratruttura. Oltre alla possibilit di erogare servizi di log management, la distributed edition offre vantaggi di scalabilit e monitoraggio distribuito per grandi organizzazioni. Per maggiori informazioni: http://www.bludis.it/prodotti/ManageEngine/event_log/Pagine/default.aspx

http://www.bludis.it/prodotti/ManageEngine/event_log/Pagine/default.aspx

Pag. 6 di 6