[security] Firewall e Privacy

Fabio Panigatti ml-panigatti a minerprint.it
Mer 14 Apr 2004 17:08:25 CEST


<non sono avvocato>

> "ma c' una legge che dice che su tutte le macchine deve esserci un
> firewall perch i dati qu e dati l bla bla bla"

Chiedigli un po' dove stia scritta la parola "firewall" nel suo testo
di legge :-)

> Lui afferma, e legge, che le reti aziendali devono essere protette da
> firewall ed aggiornato almeno ogni 6 mesi.

Uhmmm... 6 mesi... penso che si riferisa al vecchio DPR 318/99, peraltro
ormai [quasi] superato. Dagli un occhiata, cosi' da renderti conto almeno
dei contenuti di massima. La normativa di riferimento ora e' quella di
cui al DL 196/03. Puoi farti un idea cercando 196/03 e DPS con qualsiasi
motore di ricerca. In particolare, IMHO, come sistemista dovresti
implementare soluzioni in linea con le direttive che l'_azienda_ ha
individuato nel DPS. Che poi l'azienda ti appalti anche la stesura del
DPS o te lo fornisca gia bello che pronto e' un'altra questione. Se
l'azienda non ha un documento del genere o per le parti non coperte dal
documento, proponi delle soluzioni e fattele approvare, ma dai preposti,
non da un dipendente qualsiasi :-)

> Lo rassicuro dicendo che il firewall verr aggiornato (nei servizi
> essenziali, visto che dall'esterno  tutto chiuso !)

Il packet filter e i vari helper, di per loro, potrebbero richiedere
aggiornamenti, quindi il fatto che sia tutto chiuso o meno non vuol
dire che ci si possa dimenticare d'aggiornare anche questi componenti.

> Lui mi chiede, a quel punto, "Allora ce lo assicurate VOI per iscritto nel
> documento !". E la mia domanda  proprio su quest'ultima questione: cosa
> dovrei fare ?

Il tuo interlocutore in merito a queste questioni non e' certo un
dipendente qualsiasi. In ogni caso la responsabilita' penale legata
alla mancata applicazione della normativa non e' ne sua _ne__tua_,
ma dei responsabili designati dall'azienda. Se poi l'azienda decide
di rivalersi su di te civilmente e' un'altra questione: da questo ti
puoi cautelare concordando per benino e per iscritto quello che c'e'
o devi o vuoi o ti dicono di fare.

Il tema 196/03 e' "caldo": occorre stare aggiornati, di questi tempi,
e la consulenza di un [competente] avvocato, come qualcun'altro dice,
sarebbe opportuna.


Fabio




Maggiori informazioni sulla lista security