Normativa

Le normative sui Log

Negli ultimi anni l’importanza dei log è cresciuta esponenzialmente ed è ormai universalmente riconosciuta in tutti i contesti in cui sia necessario garantire la protezione delle informazioni gestite, vero patrimonio per le aziende e il loro business.

L’importanza dei log è certificata anche dal numero sempre maggiore di normative e leggi che impongono non solo l’uso, ma la gestione completa del ciclo acquisizione – conservazione – analisi. Nel contesto normativo, i principi fondamentali per la gestione dei log si basano sulla necessità di garantire la loro completezza, inalterabilità ed integrità.

Prima di presentare le principali normative che riguardano i log, si possono anticipare alcune considerazioni utili per meglio contestualizzare e comprendere gli argomenti esposti: non c’è una legge che impone in modo chiaro a tutte le aziende o enti la conservazione o la gestione dei log.

Le normative analizzate possono essere suddivise, in prima battuta, in 3 tipologie:

  1. norme che impongono la gestione dei log ad una specifica tipologia di soggetti in base ai tipi di dati trattati o alle tipologie di attività svolte. (es: provvedimento sul trattamento dei dati di traffico telefonico e telematico; provvedimento sugli amministratori di sistema)
  2. norme ad applicazione “facoltativa” che impongono l’obbligo dei log solo se il soggetto interessato decide di seguirne le indicazioni, necessarie in genere per evitare eventuali sanzioni. (es: certificazioni iso 27001; legge 231/01 sulla responsabilità amministrativa che impone precise responsabilità anche di tipo penale alle aziende ma lascia la scelta se attuare o meno delle procedure necessarie per l’esonero da tali responsabilità)
  3. norme che regolano le modalità di trattamento e di conservazione dei log archiviati per scelte aziendali o per effetto di altre norme (es: d.lgs. 196/03 – c.d. legge privacy).

 

In molti casi, la conservazione e l’analisi dei log non sono obblighi “palesi” ma sono una modalità operativa conseguente alle indicazioni generali presenti nelle normative oppure sono una conseguenza del riferimento ad altre norme che a loro volta impongono la gestione dei log.