[Tech] norme di sicurezza per dati

[Marco Neri]

At 18.41 12/03/03 +0100, you wrote:

>per un progetto associativo, della gente avrebbe da trattare un 
>database con la lista dei partecipanti ad un progetto. Siccome si 
>intende che i nominativi e loro mail non si ritrovino in mani altrui... mi
>ritrovo a dover suggerire delle norme di sicurezza.
>
>Per esempio, creare un utente dedicato a quel lavoro e fare in modo 
>che la password la abbia solo una persona. Dove mettere i dati? Come 
>farli circolare tra l'utente e il server? ... Gli utenti sono tutti ignari
della riga di codice e non 
>hanno tempo per stare a imparare.
>

IMHO ci sono due piani di discussione:

a) legale
b) tecnico

a) Legale: legge 675/1996 trattamento di dati persnali e d.P.R. n. 318 del
28 luglio 1999; questo e' quello che mi ricordo di una ricerca che avevo
fatto tempo fa su un argomento analogo.
Puoi cercare materiale su www.interlex.it 
A casa ho la raccolta del materiale e, se ti interessa, ti mando tutti i
riferimenti.

b) Tecnico: un aspetto particolare che spesso viene sottovalutato e' quello
della informazione degli operatori. Occorre spiegare agli operatori che
dati trattano, la necessita' della  sicurezza, i motivi e la portata di
certe scelte restrittivi affinche' sia consapevoli di quello che stanno
facendo. Un utente "ignorante" e non  motivato e' la falla piu' grossa di
un sistema informatico.

Le regole - dettate dal buon senso tecnico - devono essere POCHE, SEMPLICI
e APPLICABILI; in particolare, in accordo con la legge, dovrebbe essere che
ogni operatore ha un proprio conto con relativa password (che puo' cambiare
a propria discrezione) in modo da poter semnpre risalire a chi ha fatto una
certa operazione e quando (questo presuppone che sia stato attivato
l'auditing su i file relativi) compreso le opportune operazioni di backup.

Saluti
Marco Neri