nomina di Amministratore di Sistema

    *  Assegnare la nomina di Amministratore di Sistema dopo attenta valutazione di esperienza, capacità e affidabilità del soggetto designato;
    * Prevedere, in fase di nomina, l’elenco degli ambiti di operatività consentiti all’Amministratore di Sistema;
    * Riportare sul DPS l’elenco degli estremi identificativi degli Amministratori di Sistema e le funzioni a loro attribuite (se accedono a dati personali dei lavoratori, il titolare del trattamento deve rendere noti gli estremi dell’Amm. di Sistema ai lavoratori nel modo ritenuto più idoneo);
    * Verificare annualmente le attività svolte dall’Amministratore di Sistema in relazione al rispetto delle misure di sicurezza previste dal DPS;
    * Prevedere la registrazione degli accessi dell’Amministratore di Sistema al sistema e agli archivi. Tali registrazioni devono comprendere riferimenti temporali, riferimento all’evento che le ha generate e devono essere conservate almeno per sei mesi.

Commenti

INFOTEL ha detto…
La figura dell’amministratore di sistema non è nuovo nel nostro scenario normativo, difatti già la legge 675/1996 (con il regolamento attuativo DPR 318/1999) introduceva due nuovi ruoli: il preposto alla custodia della parola chiave e l’amministratore di sistema. Quest’ultimo è stato poi abrogato dall’art. 183 del D.Lgs. 196/2003, anche se le funzioni tipiche dell’amministratore di sistema sono state richiamante nell’allegato B: cioè relativo alla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.
Il Garante avendo riscontrato “non soltanto in organizzazioni di piccole dimensioni, ma anche a elevati livelli di responsabilità, una carente consapevolezza delle criticità insite nello svolgimento delle mansioni di amministratore di sistema, con preoccupante sottovalutazione dei rischi derivanti dall'azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico” ha reintrodotto la figura dell’Amministratore di Sistema con il Provvedimento 27 novembre 2008.
Questa nuova figura introduce notevoli mutamenti nella gestione della privacy delle organizzazioni, infatti i ruoli istituzionali previsti fino ad oggi consistevano nel Titolare del trattamento, nel Responsabile del trattamento e nell’Incaricato.
L’amministratore di sistema poteva essere individuato dal titolare quale incaricato o quale responsabile e dunque sottoposto ai poteri di controllo e di verifica in capo alla struttura; mentre ora la nuova figura dovrà essere individuata tra soggetti con caratteristiche professionali ben definite.
Per l’individuazione e la valutazione sarà opportuno predisporre una sorta di curriculum vitae di ciascun amministratore che indichi chiaramente titoli di studio, certificazioni professionali, esperienze professionali, corsi di formazione già svolti. Il curriculum vitae deve essere datato e firmato dall’amministratore incaricato e allegato alla nomina.
INFOTEL ha detto…
Valutazione delle caratteristiche soggettive sotto il profilo professionale della persona a cui sarà assegnato l’incarico: deve trattarsi di un soggetto affidabile.
Il titolare del trattamento deve valutare l'esperienza, la capacità e l'affidabilità del soggetto designato quali amministratore di sistema che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento compreso il profilo relativo alla sicurezza
La designazione dell’amministratore è individuale: deve essere predisposta un’apposita nomina scritta con l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
L’incarico deve essere attribuito unicamente in via individuale e dunque non ad una società.
INFOTEL ha detto…
Elenco degli amministratori di sistema deve essere definito a cura del titolare del trattamento e da unire al DPS (Documento Programmatico sulla Sicurezza dei dati) o comunque da esibire in un luogo visibile al pubblico e ai dipendenti.
Devono pertanto essere resi noti al pubblico e ai lavoratori i nominativi degli amministratori di sistema tramite menzione nel DPS.
“Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante”
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.
INFOTEL ha detto…
Registrazione degli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, mediante l’adozione di sistemi idonei alla registrazione degli accessi logici
Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste (non sono ammesse descrizioni abbreviate).
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

Post popolari in questo blog

Un committente vuole affidare dei lavori ad un lavoratore autonomo

Contratti di sviluppo, Rifiuti, Stress lavoro, Misure per l’autoimprenditorialità

Pos PSS Psc