[security] Firewall e Privacy

Fabio Panigatti ml-panigatti a minerprint.it
Gio 15 Apr 2004 11:37:24 CEST


>  ...Ŕ almeno semestrale...

E' vero. Chissa' perche' mi era venuto subito in mente il 318/99. Avrei
dovuto almeno rileggermi il 196/03 prima di commentare.

> Il DPR 318 Ŕ confluito nella 196/03.

Certo, pensavo d'aver scritto chiaramente che la normativa di
riferimento ora e' il 196/03.

> Anche i punti 25 e 26 dell'allegato tecnico sono interessanti
> per l'argomento responsabilitÓ per chi si avvale di soggetti
> esterni alla propria struttura........

Questi articoli me li ricordavo un po' meglio. Da una lettura (poco
competente) dell'articolo 25, si evincerebbe la necessita', da parte
del soggetto esterno incaricato di adottare le misure minime di
sicurezza, di redarre un documento che attesti la conformita' di
quanto svolto alle disposizioni di cui all'allegato B.

Questo penso significhi che colui agisce per conto del titolare ai
sensi dell'articolo 25 ha ricevuto incarico di attuare le misure minime
e non mi pare che questo sia il caso, visto che chi pone il quesito
non e' a conoscenza di tali misure minime e, quindi, non era di sicuro
incaricato in tal senso, ma svolgeva il suo compito nell'ottica d'un
normale intervento sistemistico di cui non conosciamo i dettagli
contrattuali. Il fatto che tale intervento venga effettuato in una
realta' dove e' applicabile il DL 196/03 non sembra che sia rilevante
(per lo meno, ad una interpretazione letterale). In questo caso, a mio
parere, la cosa piu' importante e' cautelarsi nei confronti di rivalse
legate al fatto che il proprio intervento ha modificato uno stato di
fatto "conforme" in modo non idoneo. Da qui il consiglio di concordare
per iscritto i termini dell'intervento con il preposto dell'azienda che,
eventualmente, si avvarra' delle consulenze del caso per valutare quanto
da concordare.

In questo esercizio di funzioni non si assume responsabilita' di tipo
penale (ma confermamelo). La mancata stesura di tale documento non
sembrerebbe essere sanzionata in questo senso (ma potrebbero benissimo
sfuggirmi implicazioni d'ordine superiore, tipo da cp). Tra l'altro
l'incaricato esterno non svolge questo incarico come professionista
iscritto ad ordine professionale o come soggetto rispondente a
particolari requisiti, quindi il rilascio di tale documento da parte
dell'incaricato esterno "potrebbe" (notare il condizionale) essere una
formalita' di poco peso, in termini di responsabilita' dell'incaricato
esterno che lo rilascia.

L'articolo 26 non mi sembra, a prima vista, pertinente (stiamo parlando
di responsabilita' dell'incaricato esterno, giusto?). Dove intravedi
una possibile implicazione?

In ogni caso il senso del mio intervento voleva toccare non tanto gli
aspetti normativi, quanto il fatto che, qualsiasi sia il ruolo di
o-zone in quell'azienda, quelle sono problematiche che deve vedere e
risolvere con i preposti, non con il primo dipendente che contesta.


Fabio




Maggiori informazioni sulla lista security