1. Amministratori di Sistema:
Adeguamento
al Garante Privacy
Roma, Sabato 24 ottobre 2009

2. Agenda Il programma del talk

3. Perchè?

4. Quando?

5. Cosa?

6. Come?

7. Ma?

8. Perchè perchè dobbiamo adeguarci

9. è un decreto…

10. …ci sono sanzioni

11. in ogni caso
può essere utile

12. Quando Entro quando adeguarsi?

13. Tux – by Larry Ewing, Simon Budig and Anja Gerwinski

14. 1260831600

15. 15 dicembre 2009

16. Cosa dobbiamo fare
Cosa e quali sono le aree di intervento

17. Procedurale: Processi, Contratti, Deleghe, Designazione, Albi…

18. Tecnica: User & Password Management, Log Management

19. Utenti Password Log
L’utenza deve avere Deve essere sicura:
una corrispondenza più di 8 caratteri e non I log devono essere
univoca con riconducibile inalterabili
l’incaricato all’incaricato
Deve essere Deve essere cambiata
disattivato dopo un al primo accesso e
Conservati per almeno
cambio di incarico o ogni sei mesi, ogni tre
6 mesi
dopo 6 mesi di se sono presenti dati
inutilizzo sensibili
Lo schema rappresenta una sintesi e non ha alcuna pretesa di completezza

20. Come fare ad adeguarci con linux,
Come alcuni consigli dal BOFH

21. utenti

22. “incaricati dotati di credenziali di
autenticazione [...] un codice per
l'identificazione dell'incaricato associato a una
parola chiave riservata conosciuta solamente
dal medesimo oppure in un dispositivo di
autenticazione in possesso e uso esclusivo […]
oppure in una caratteristica biometrica […] ”
Allegato B

23. http://www.openldap.org/

24. password

25. “una parola chiave riservata conosciuta
solamente dal medesimo […] composta da
almeno otto caratteri oppure […] pari al
massimo consentito; essa non contiene
riferimenti agevolmente riconducibili
all'incaricato ed è modificata […] al primo
utilizzo e […] almeno ogni sei mesi […] ogni tre
mesi”
Allegato B

26. /etc/default/passwd

27. Pluggable
Authentication
Modules
(PAM)

28. log

29. “raccolta dei log centralizzata e l'utilizzo di
dispositivi non riscrivibili o di tecniche
crittografiche per la verifica dell'integrità delle
registrazioni.”
FAQ

30. http://www.balabit.com/network-security/syslog-ng/opensource-logging-system/

31. http://www.gnupg.org

32. Conclusioni, Domande e Riferimenti
Ma

33. -
essere conformi è
essere…?

34. +
logging e correlazione

35. domande?

36. Riferimenti
DL 196/2003: http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
Allegato B: http://www.garanteprivacy.it/garante/doc.jsp?ID=488497
FAQ: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499
Semplificazione: http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271

37. Grazie
Simone Onofri
simone.onofri@techub.it
http://www.techub.it