Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema Normativa del Garante della privacy sugli amministratori di sistema • la normativa: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) • FAQ: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#FAQ • proroga 15/12/2009: http://www.garanteprivacy.it/garante/doc.jsp?ID=1626595 Tango/04 Computing Group – l’azienda Dati della società Tango/04 è una software house fondata nel 1991 Specialista in soluzioni di Business e IT monitoring Sede a Barcellona con presenza in tutto il mondo attraverso un network di partners Focalizzata in: IT governance e monitoring Conformità in ambito sicurezza Soluzioni BSM/BAM Dislocazione nel mondo Uffici locali in: Spagna USA Francia Italia Argentina Brasile Colombia Network internazionale di distributori in tutto il mondo Più di 2.000 clienti Tango/04 – Cosa facciamo Noi monitoriamo le Aziende. Cosa facciamo Il nostro focus è sul controllo automatizzato delle operazioni ed i processi di business, allertando in modo preventivo in tempo reale e fornendo informazioni valutabili ai managers in modo da poterli supportare quando devono prendere decisioni critiche… …e lo facciamo in modo semplice … Amministratori di Sistema: occorre massima trasparenza sul loro operato Il provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) ha introdotto l’obbligo per gli amministratori di sistema di conservare gli "access log" ai sistemi per almeno 6 mesi in archivi immodificabili e inalterabili rispondendo alle seguenti richieste: Elenco degli amministratori di sistema e loro caratteristiche Registrazione degli accessi (log-in e log-out) Verifica degli eventi di accesso raccolti "Chi sono" gli amministratori di sistema oggetto di questo provvedimento? Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Chiunque gestisca la conservazione, la trasmissione o l'elaborazione dei dati personali - anche qualora non abbia, lui stesso, la possibilità di "consultarli in chiaro" - deve essere considerato alla stregua di chi ha la "custodia" (anche se limitata nel tempo e nello spazio) di tali beni critici. E quindi gli viene anche attribuita la responsabilità di un "custode". Magic Quadrant for IT Event Correlation and Analysis Tango/04 Computing Group è stata posizionata da Gartner, Inc., società leader mondiale per le ricerche di mercato nel settore IT, nel suo 2009 Magic Quadrant for IT Event Correlation and Analysis* Research Report. Gartner, Inc. ha valutato che Tango/04 ha una strategia credibile per conseguire l'allineamento tra l’infrastruttura IT e le componenti business-oriented, end-to-end dei servizi IT, un obiettivo che, ormai da molti anni, rappresenta uno delle principali attenzioni di Tango/04. Architettura tecnica Tango/04 Architettura tecnica Tango/04 – Suite Privacy Il monitoraggio della security dei sistemi IT con Tango/04 Le specifiche della normativa del Garante e Tango/04 Cosa deve intendersi per "amministratore di sistema"? In assenza di definizioni normative e tecniche condivise, nell'ambito del provvedimento del Garante l'amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali. Tango/04 Cosa deve intendersi per "amministratore di sistema"? Un amministratore di sistema può essere un utente definito come amministratore delle proprietà del sistema o un utente a cui vengono assegnati particolari diritti di amministrazione di un qualche applicativo. Qualunque utente può essere considerato un Amministratore a seconda dei diritti che gli vengono assegnati. LA nostra soluzione è configurabile per la gestione dinamica degli utenti considerati amministratori del sistema. Nel documento allegato vi sono alcune definizioni di amministratore per progetti di Security Tango/04. Il titolare del trattamento dei dati può dare interpretazioni diverse di amministratore. Tango/04 gestisce la dinamicità delle possibili definizioni. Adobe Acrobat Document Tango/04: gestione degli utenti da monitorare Configurazione dinamica degli utenti da includere o di quelli da escludere dal monitoraggio Le specifiche della normativa del Garante e Tango/04 Relativamente all'obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server? Si, anche i client, intesi come "postazioni di lavoro informatizzate", sono compresi tra i sistemi per cui devono essere registrati gli accessi degli AdS. Tango/04 si interfaccia ai più diffusi protocolli di comunicazione dati in ambito IT. Ogni registrazione client o server che sia è un evento catturabile Tango/04 Monitoraggio dei sistemi Client. Per Tango/04 gli accessi ad un server di dominio o localmente ad un client sono gestiti allo stesso modo. Un client può essere un dominio locale windows oppure un PC Linux con sistema syslog attivo o ancora un dispositivo con registrazione degli accessi (firewall, router, appliance in generale,...) Le specifiche della normativa del Garante e Tango/04 Cosa si intende per access log (login, log-out, tentativi falliti di accesso, altro?...) [Rif. comma 2, lettera f] Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all'atto dell'accesso o tentativo di accesso da parte di un amministratore di sistema o all'atto della sua disconnessione nell'ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software. Gli event records generati dai sistemi di autenticazione contengono usualmente i riferimenti allo "username" utilizzato, alla data e all'ora dell'evento (timestamp), una descrizione dell'evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato…). Tango/04 Centralizzazione degli eventi di un qualunque sistema di log Tango/04 utilizza opportuni agenti per la cattura e la centralizzazione degli eventi generati da file access-log di qualunque tipologia: -eventi da Event Log di windows -eventi da Syslog di Unix/Linux e device -eventi da History Log (e/o System Journal) di iSeries -eventi da file di log con struttura generica La cattura degli eventi è “senza perdita di informazione”, l’evento originale diventa un evento Tango/04 con tutte le sue caratteristiche originali La nostra soluzione per la Normativa sugli amministratori La nostra soluzione per la Normativa sugli amministratori La nostra soluzione per la Normativa sugli amministratori Gestione dell’infrastruttura Le specifiche della normativa del Garante e Tango/04 Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all'access log? [Rif. comma 2, lettera f] Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del Codice e con i principi della protezione dei dati personali, il requisito del provvedimento è certamente soddisfatto. Comunque è sempre possibile effettuare un'estrazione o un filtraggio dei logfiles al fine di selezionare i soli dati pertinenti agli AdS. Tango/04 Gestione dei filtri di lettura eventi Tango/04 reperisce eventi da access-log in modo totale o filtrato. I filtri preimpostati permettono in automatico di scartare gli eventi non necessari. E’ ulteriormente possibile scartare altri tipi di eventi utilizzando i wizard contenuti nei moduli di presentazione di Tango/04 Le specifiche della normativa del Garante e Tango/04 La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS? Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS), che vanno registrate. Tango/04 Monitoraggio dei DBMS La nostra soluzione integra gli agenti per il controllo ed il reperimento di eventi generati dai più diffusi DBMS. Fornisce inoltre gli agenti generici per potersi interfacciare anche a database non previsti. Repository centralizzato di eventi T04 Le specifiche della normativa del Garante e Tango/04 Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi; Tango/04 Il repository degli eventi Tango/04 centralizza tutti gli eventi raccolti, normalizzandoli e mantenendo comunque tutte le caratteristiche originali dell’evento (completezza). Il repository può essere utilizzato per la generazione automatica di reportistica archiviabile poi su supporti non riscrivibili. Il repository stesso è un database archiviabile su supporti di sola lettura (inalterabilità). Il repository è a sua volta monitorato per la segnalazione di eventuali operazioni non autorizzate di modifica agli eventi collezionati (integrità). La nostra soluzione integra in un unico repository anche gli eventi provenienti dai moduli iSeries di Tango/04 Tango/04: archiviazione degli eventi Repository centralizzato di eventi T04 Tango/04: archiviazione degli eventi Repository centralizzato di eventi T04 istanza 1 DB archiviata istanza 2 DB archiviata istanza N DB archiviata Per richieste di visualizzazione eventi “on demand” Tango/04: oltre la normativa..... Tango/04 Oltre la normativa.... I moduli di Tango/04 compresi nella soluzione per la Normativa degli amministratori contengono un set di funzionalità estese, utilizzabili dall’azienda. Tango/04: Oltre la normativa.... Monitoraggi estesi per i devices, dati su DB, caselle di email, file di log, ecc.... Tango/04: oltre la normativa..... Tango/04: Oltre la normativa.... Monitoraggio esteso per il server windows su cui è installato Tango/04 Tango/04: oltre la normativa..... Tango/04: Oltre la normativa.... Console per il controllo in real time degli eventi catturati Tango/04: oltre la normativa..... Tango/04: Oltre la normativa.... Sistema di notifica per la segnalazione di particolari eventi Tango/04: oltre la normativa..... Tango/04: Oltre la normativa.... Reportistica avanzata Contatti Tango/04: www.tango04.it tel: +39 0161 56922 email: [email protected] Grazie per l’attenzione