Windows XP Professional obbligatorio?

[pjfry]

Ci sono però alcune distinzioni: se, e dico se, il pc non è collegato a nessuna rete, e a tale pc ha accesso una e solo quella persona, allora posso utilizzare software non più aggiornabili.).

Un computer che contiene dati sensibili e non collegato a nessuna rete (neppure ad internet) mi pare un'ipotesi poco probablile...quasi impossibile.

vorresti dire che il computer della cia in mission impossible non era una storia vera?

[Omega1]

Ci sono però alcune distinzioni: se, e dico se, il pc non è collegato a nessuna rete, e a tale pc ha accesso una e solo quella persona, allora posso utilizzare software non più aggiornabili.).

Un computer che contiene dati sensibili e non collegato a nessuna rete (neppure ad internet) mi pare un'ipotesi poco probablile...quasi impossibile.

Lo spirito della legge sulla privacy muove dal proteggere determinate informazioni dall'accesso di mpersone non autorizzate. Se determinati dati sono contenuti in un pc NON collegato ad alcuna rete, protetto da password il cui accesso è consetito ad una e solo quella persona, da chi dovrei proteggere tali dati? Da eventuali intrusioni, che però non sono consentite in quanto non collegato ad alcuna rete. Al limite, se nell'ufficio ha accesso solo una persona, non avrei necessità di password alcuna.
Ma sono esempi quasi unici.

[Omega1]

Dimenticavo: ho citato antivirus e firewall software, ma chi usa PC per lavoro dovrebbe avere dotazioni di sicurezza ben più robuste, indipendentemente dall'OS usato.

Sistemi (software o hardware) antivirus e antiintrusione sono già obbligatori.
Conosco persone che hanno speso diverse migliaia di euro per la protezione.....ma hanno beccato un virus comunque. Aggiungo che laddove la protezione è minima, chi tenta di introdursi lo fa magari solo per la soddisfazione di sfondare una determinata protezione. Se la protezione è medio-alta, allora la curiosità (e magari) l'interesse di entrare per vedere che cosa si nasconde dietro è maggiore. Voglio dire una porta blindata protegge cose di valore più o meno alto....un caveou protegge cose di valore molto alto....

[Iperico]

Uno spirito maligno si è impossessato della mia tastiera e mi obbliga a scrivere ciò che vuole lui, per cui legalmente sono momentaneamente incapace di intendere e di volere.

UnA legge che protegge i dati cè già da tempo (quelli più bravi potranno citare N e anno) la vera novità della 196 è l'obbligo di redigere un documento in cui si farà il censimento di PC S.O. ecc e delle varie licenze presenti nell'azienda.
Per cui la 196 non è pensata per "proteggere e servire" bensì per obbligare ad avere tutto in regola.

[Dylan666]

Se non riusciamo a trovare una risposta unanime sugli OS non più supprortati non capisco cosa cambierebbe parlare di singole applicazioni con lo stesso problema.

[Dylan666]

Mi riferivo a questo

Cmq io preferirei, se siete daccordo, focalizzare questo "thread" sui S.O. e magari aprirne un altro per quello che riguarda le singole applicazioni.

[Omega1]

Per come la vedo io assolutamente no.

Interpreto la legge esattamente come descritto qui:

http://www.sikurezza.org/ml/06_04/msg00104.html

Per inciso, immagino che la discussione sull'aggiornamento di win9x
derivi dal punto 17 dell'allegato B; solo che, esattamente come non si
parla di autenticazione per l'accesso ai sistemi ma ai trattamenti, qui
non si parla di aggiornamento dei sistemi ma di "aggiornamento del
programmi per elaboratore volti a prevenire la vulnerabilità di
strumenti elettronici e a correggrne i difetti". Il soggetto sono i
"programmi per elaboratore volti a". Se non ci sono altri strumenti,
l'aggiornamento è necessariamente del S.O. Se ci sono altri strumenti
adeguati, si fa riferimento a quelli; di nuovo, dipende dal contesto; ad
esempio, un personal firewall a me sembra adeguato in molti contesti, e
inadeguato per molti altri.

A conferma di quanto dicevi Dylan, ho trovato questo:

http://www.sistemi.com/ilpunto/privacy/ ... istemi.pdf

pagg. 33 parag. 9.2.3

[Dylan666]

Notate però anche la nota evidenziata in giallo a piè pagina

[Omega1]

Notate però anche la nota evidenziata in giallo a piè pagina

E riguarda le patch, così come dice la circolare.

Ora, per essere tranquilli uno dovrebbe avere un programma aggiornabile....

[Iperico]

il documento risale a 6 mesi fa (infatti non cè riferimento alla nuova scadenza) e, anche se esauriente, è redatto da una ditta privata.

Io noto soprattutto a pag 29 in alto
Aggiornamento periodico
Ai sensi dell’art. 36 del Codice, le misure minime di sicurezza sono aggiornate periodicamente con decreto del
Ministro della giustizia, di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all’evoluzione
tecnica e all’esperienza maturata nel settore.

Questo giustificherebbe "l'accoppiata" dei personaggi presenti alle riunioni di cui ho parlato nei precedenti post.
Cmq, e almeno questo è sicuro, non è stato ancora pubblicato nulla sulla gazzetta ufficiale (l'unica vera bibbia) che dica di non utilizzare sistemi microsoft precedenti al 2k.
Alla prossima riunione se insisteranno sul "win 98 fuorilegge" ho intenzione di ribattere proprio con questa tesi: se esistono S.O. o applicazioni di uso comune non conformi in nessun caso alla 196 pubblicatene un elenco sulla Gazzetta Ufficiale!

L'incertezza regna sovrana [/code]

[Omega1]

il documento risale a 6 mesi fa (infatti non cè riferimento alla nuova scadenza) e, anche se esauriente, è redatto da una ditta privata.

Io noto soprattutto a pag 29 in alto
Aggiornamento periodico
Ai sensi dell’art. 36 del Codice, le misure minime di sicurezza sono aggiornate periodicamente con decreto del
Ministro della giustizia, di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all’evoluzione
tecnica e all’esperienza maturata nel settore.

Questo giustificherebbe "l'accoppiata" dei personaggi presenti alle riunioni di cui ho parlato nei precedenti post.
Cmq, e almeno questo è sicuro, non è stato ancora pubblicato nulla sulla gazzetta ufficiale (l'unica vera bibbia) che dica di non utilizzare sistemi microsoft precedenti al 2k.
Alla prossima riunione se insisteranno sul "win 98 fuorilegge" ho intenzione di ribattere proprio con questa tesi: se esistono S.O. o applicazioni di uso comune non conformi in nessun caso alla 196 pubblicatene un elenco sulla Gazzetta Ufficiale!

L'incertezza regna sovrana [/code]

Parlo per la mia realtà, che però accomuna molti.
Finchè si tratta di sofware di scrittura, navigazione in internet, scanner, forse anche sofware gestionali, e ovviamente antivirus, firewall, protezioni varie, non avrei alcuna difficoltà ad usare piattaforma Linux e il browser corrispondente. Il problema sorge se devo trasmettere dati a determinati enti, i quali costruiscono software adatti solo su piattaforme Microsoft o Mac.

[Iperico]

Di solito non mi piace mettere "troppa carne al fuoco" ma non riesco a resistere alla tentazione a costo di andare fuori topic.

Finchè si tratta di sofware di scrittura, navigazione in internet, scanner, forse anche sofware gestionali, e ovviamente antivirus, firewall, protezioni varie, non avrei alcuna difficoltà ad usare piattaforma Linux e il browser corrispondente.

Premetto che fino a 6 mesi fà scrivevo linus...poi mi hanno fatto notare che era il nome di un fumetto e non di un S.O
Quindi: non sparate sulla croce rossa
Ho provato a mettere (di nascosto) qualche computer con linux con le distribuzioni più facili da usare prima fra tutte linspire che uscì "free" in occasione della 4.5.
Ma capperi che richieste! Una delle prerogative di linux non era quella di poter essere usato anche su computer un pò datati?
Il 60% dei miei comp. viaggia intorno a PII-k6 ora hanno win 98 ma rammati bene win2k lo reggono soprattutto perchè nessuno di noi ha mai molta fretta
Avete qualche consiglio di una distribuzione (anche a pagamento) di linux facile e leggera così magari mi metto in regola con la 196 senza dare troppi soldi a zio bill.

[piercing]

ritorniamo sempre sul solito discorso...

la legge non potrà mai dire che un prodotto è buono e uno no... bensì fissa dei criteri ai quali attenersi.

L'ho già detto più volte: la legge in questione prevede che ci sia qualcuno che si prenda la responsabilità dei dati che ha in azienda, scrivendo un documento di analisi dei rischi. Se è uno è convinto che non ha nessun rischio, e che vuole usare dos 3.0, basta che lo scrive sul documento e lo firma, poi se succede qualcosa il documento verrà portato di fronte alla giustizia dove sarà valutato se è stato fatto tutto il possibile per evitare la fuga di dati personali.

Questo è un approccio tipico delle nostre leggi (ad esempio la legge sulla sicurezza dei cantieri è improntata esattamente sullo stesso spirito... serve un documento di analisi dei rischi, e conseguentemente adottare le protezioni necessarie in funzione dei rischi che sono stati previsti. E' ovvio che il 90% delle volte il documento di analisi dei rischi è un precompilato scopiazzato da qualche parte, dove l'analisi del rischio nessuno l'ha fatta, e quindi si tende ad adottare sempre le stesse soluzioni).

Evitiamo di andare offtopic inutilimente... perchè potremmo scrivere 50 pagine su questo argomento senza aver detto nulla.

Per finire, da nessuna parte questa legge prevede - ad esempio - l'obbligo delle licenze... e quindi di farne una lista. L'obbligo lo pongono altre leggi.

Siccome però un teorico "responsabile" firma, ad es., di utilizzare gli antivirus su N pc, ne consegue che, in seguito ad un eventuale controllo sulle licenze software, tali antivirus dovrebbero esistere realmente (e una licenza copiata non esiste).

La legge in alcun modo potrà indicare come tirare su un impianto informatico, ma dare delle linee guide dicendo che se succede questa cosa sei fuorilegge è compito del legislatore.

Se pensi che con win98 e una password sul BIOS stai sicuro, il problema non c'è, basta che ci sia qualcuno convinto che lo dichiari e lo firmi. Oppure comprati una licenza di PGP e cripta tutto il computer... Non è un problema di sistema operativo.

[Iperico]

Non ti nascondo che muoio dalla voglia di parlare della 196 in parallelo con la 626 perchè sono convinto che avranno la stessa evoluzione, ma concordo con te che non è questo il luogo per tale discussione.

Per cui focalizzo su "la 196 non mette win 98 nè nessun altro sistema operativo fuori legge"
Con tutto il rispetto gli unici punti di vista "sostanziali" su questa questione sono quelli del ministero della giustizia (supportato da quello per le innovazioni tecnologiche) e quello di chi deve realmente firmare il documento cioè chi si beccherà nel caso di una errore una denuncia per illecito amministrativo.
Perchè se win 98 è fuori legge e io firmo un documento che dice che sui comp. nei quali ci sono dati sensibili uso tale S.O. commetto già un illecito (la legge non ammette ignoranza).

Il punto di vista di chi deve applicare la legge l'ho già riferito nei post precedenti e...ve l'ho venduta come l'ho comperata.
Mi interesserebbe sapere il punto di vista dell'altro soggetto "importante" cioè chi deve firmare.

Non sò se aprire un post o continuare quì lascio la decisione ai moderatori.

In parole povere: chi non si può permettere di fare accademia ma "rischia del suo" cosa pensa su questa questione?
Giusto per onestà intellettuale vi dico che io ho la possibilità rinunciare all'incarico o, in caso estremo, di autodenunciarmi (ma dubito si arriverà a tanto).

[piercing]

Windows 98 non è fuori legge nel momento in cui riesci a conoscere chi vi accede (sia a livello fisico sia a livello filesystem). Visto che per costruzione del prodotto la cosa non è particolarmente agevole (per non dire impossibile con i soli mezzi messi a disposizione del sistema operativo) corre voce che tutto il prodotto sia fuorilegge (cosa che come ho già detto, nessun legislatore può dire).

Faccio un esempio... ho un pc con 98 e uno con 2000 formattato in NTFS.

Il pc con 98 non ha sopra nessun dato, perchè tutte le applicazioni fanno riferimento a file che sono situati sul pc 2000, e tutti questi file hanno autorizzazioni puntuali per ogni utente. Inoltre sulla 2000 c'è una politica di auditing attiva che registra chiunque acceda ai file della macchina stessa. Sfido chiunque a dire che sono fuorilegge utilizzando 98 (sempre ammesso che qualcuno stia capendo cosa ho fatto!)

Per il resto non ti ho capito... chi è per te colui che "deve applicare la legge" e chi è colui che "deve firmare"? Per me sono la stessa persona. Il responsabile di un'azienda alla fine è sempre uno. Tutta la parte finale mi resta oscura.

[Iperico]

Come potrai leggere nei miei post precedenti le informazioni in mio possesso dicono una cose diverse.
I predecessori di win 98 sono da considerarsi software non più aggiornabili o supportati per cui non sono conformi alle richieste del legislatore.
Per cui il problema NON è l'accessibilità, che nei nostri uffici è sempre stata riservata al bagadge (o come cavolo si chiama)

Se ho capito il tuo esempio il computer con win 98 non contiene dati sensibili...per cui è ovvio che sei in regola!

Per il resto non ti ho capito... chi è per te colui che "deve applicare la legge" e chi è colui che "deve firmare"? Per me sono la stessa persona. Il responsabile di un'azienda alla fine è sempre uno. Tutta la parte finale mi resta oscura.

Colui che deve applicare la legge è il giudice

Chi deve firmare (riferito al documento programmatico) è il titolare del trattamento dei dati (responsabile dell'azienda) il quale ha la facoltà di nominare un responsabile interno del trattamento (e quì sono caz..)

Il tema che mi interesserebbe sviluppare è riferito appunto a questi ultimi soggetti.
In pratica: quelli che nel documento programmatico per la sicurezza sono o titolari del trattamento dei dati o responsabili interni come la pensano su quest'argomento (win98)

P.S.
Purtroppo l'esigenza primaria di non offendere la suscettibilità di nessuno mi fa peccare in chiarezza espositiva, spero cmq di essere stato più chiaro.

[Iperico]

I predecessori di win 98

sorry i predessori di win 2k

[Iperico]

Faccio un esempio... ho un pc con 98 e uno con 2000 formattato in NTFS.
Il pc con 98 non ha sopra nessun dato, perchè tutte le applicazioni fanno riferimento a file che sono situati sul pc 2000, e tutti questi file hanno autorizzazioni puntuali per ogni utente. Inoltre sulla 2000 c'è una politica di auditing attiva che registra chiunque acceda ai file della macchina stessa. Sfido chiunque a dire che sono fuorilegge utilizzando 98 (sempre ammesso che qualcuno stia capendo cosa ho fatto!)

Scusa nel post di prima ho scritto una fesseria riguardo a questo passaggio.
Allora se ho capito bene come stanno le cose non sei in regola nel momento che accedi a un dato sensibile usando un sistema non più supportato cioè nel momento in cui il dato si trova sulla macchina con win 98 è potenzialmente "a rischio"...cmq sono al limite delle mie competenze informatiche...abbi pietà...

la domanda vera è un'altra e mi riaggancio al post precedente.
Il tuo capo vede questo sistema e dice: bello...io non ci capisco nulla...ma se tu sei sicuro che vada bene vorrà dire che firmerai il documento programmatico della sicurezza come "responsabile interno del trattamento" così se cè qualche problema finisci nella cacca insieme a me.
La parte che vorrei sviluppare ora è propio questa:
Chi rischia "del suo" come la pensa?

Spero di non aver fatto troppo casino

[piercing]

Colui che deve applicare la legge è il giudice

...per me è ogni cittadino al quale la legge può essere applicata, se solo i giudici dovessero essere rispettosi della legge nessuno farebbe il giudice

io capisco il tuo punto di vista... ma credo sia l'approccio che non è corretto.

Devi partire da un'analisi dei rischi: cosa può succedere ai dati? con che modalità? quali sono i dati più "golosi"? insomma devi farti quante più domande possibili.

Per ogni domanda devi trovare una soluzione di tutela, indicando chi è il responsabile della procedura... non esiste un responsabile "globale", se non l'organo amministrativo aziendale, anche se il documento lo firmasse il portiere del palazzo.

Bisogna allargare il concetto in questione... non si parla solo di informatica e di antivirus... anche uno schedario cartaceo è qualcosa che ricade in questa normativa... e se contiene dati sensibili (ad esempio le malattie di un dipendente) deve essere conservato in modo che l'accesso al dato sia controllabile e facendo di tutto per scongiurarne la comunicazione non autorizzata. E' facile capire che tra il tenere un documento nel caveau della banca d'italia o in un cassetto tenunto chiuso a chiave e la cui apertura venga sempre schedata su un foglio firma c'è una notevole differenza e tantissime vie di mezzo...

Per questo insisto nel dire che non è un problema di quale sistema operativo si adotti, nel momento in cui si ritiene che tale sistema sia effetticamente sicuro per la tipologia dei dati da adottare.

Non posso dirti io se il tuo win98 con i suoi dati dentro sia o meno sicuro... perchè non si parla di sicurezza oggettiva (per la quale troppo bisognerebbe dire e scrivere), ma di sicurezza soggettiva. Io te l'ho già detto... metterei una bella password sul Bios e una bella licenza di PGP su tutto il disco, separando per quanto possibile i dati dal client.

Serve, in altre parole, la stesura di una politica aziendale di accesso al dato, in funzione della "riservatezza" del dato stesso. Una volta chiarito questo aspetto, la soluzione viene da se. Purtroppo quest'approccio diretto viene da tutti scalzato dall'approccio inverso che è quello di dire... "ho una situazione che non so manco qual'è... e voglio regolarizzarla... possibilmente continuando a far fare a tutti come gli pare...". Finchè l'approccio sarà quest'ultimo... ti continuerai a fare domande su domande...

Ultimo appunto... se devi firmare il documento (non so perchè... ma non entro in merito), devi avere potere di vita e di morte sulle politiche aziendali relative ai dati e alla sicuerezza anche fisica... il che vuol dire che devi essere custode delle chiavi dello stabile, della cassaforte/schedario, di tutte le password e dei sistemi... hai tutto questo potere? allora usalo e firma senza remore. I tuoi dubbi sono solo perchè sai di firmare qualcosa che non puoi far mantenere...

Se hai responsabilità hai l'obbligo di usarla, e se non ce l'hai non prenderti obblighi.... (molto filosofica sta frase!)

[Iperico]

Sono d'accordo con quello che hai detto, ma scusa fin d'ora per la franchezza della domanda.
Hai descritto sistemi di protezione che prescindono dal sistema operatiovo: pass di bios, PGP, monitoraggio di sistema di accesso a dati contenuti su altri comp.
Tu firmerai o firmeresti come co-responsabile legale sulla congruità di tali sistemi con la 196?
Ora con una franchezza che rasenta la brutalità ti faccio notare che tra le parole "firmerò" e "firmerei" cè una sostanziale differenza.
Firmerò = Sono uno di quelli che verrà denunciato se qualcosa andrà storto
Firmerei = Sono sicuro delle mie idee, ma sò che non andrò nei guai nel caso avessi torto.

[
Ultimo appunto... se devi firmare il documento (non so perchè... ma non entro in merito), devi avere potere di vita e di morte sulle politiche aziendali relative ai dati e alla sicuerezza anche fisica... il che vuol dire che devi essere custode delle chiavi dello stabile, della cassaforte/schedario, di tutte le password e dei sistemi... hai tutto questo potere? allora usalo e firma senza remore. I tuoi dubbi sono solo perchè sai di firmare qualcosa che non puoi far mantenere...

Se hai responsabilità hai l'obbligo di usarla, e se non ce l'hai non prenderti obblighi.... (molto filosofica sta frase!)

Nei moduli con il modello per la 196 che ci sono pervenuti (dall'associazione della quale faccio parte) è indicata la possibilità per il titolare di nominare un co-responsabile dei dati interno o esterno.
Anzi in una nota in allegato tale procedura è consigliata.
La mia posizione a riguardo lo già espressa in un post precedente: rinunciare o all'estremo autodenunciarmi, ma dovresti sapere cosa succede a dire di nò al capo....

In questa sede o in un post apposito (decidedano i moderatori) mi interesserebbe sapere il parere su win 9x NON di quelli che firmerebbero, ma di quelli che firmeranno sul serio il documento.
La distinzione tra le due situazioni spero che ora sia chiara!