eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoGrupypl.soc.prawoPoziomy bezpieczenstwa danych osobowych w sys. inf.
Ilość wypowiedzi w tym wątku: 17

  • 1. Data: 2006-09-22 08:36:06
    Temat: Poziomy bezpieczenstwa danych osobowych w sys. inf.
    Od: "michalsky" <m...@C...pl>

    Witam grupowiczow.

    Jestem nowym uczestnikiem grupy pl.soc.prawo i mam nadzieje ze znajde tu
    pomoc w pewnej sprawie.
    Wiadome jest ze w zwiazku z ochrona danych osobowych w systemach
    informatycznych stosuje sie trzy poziomy zabezpieczen.
    Pierwszy - podstwaowy stosuje sie gdy w systemie inf. nie przetwarza sie
    "danych wrazliwych"(rasa, wyznanie, poglady polityczne) i zadne z urzadzen
    systemu nie jest podlaczone z siecia publiczna.
    Drugi - podwyzszony mamy do czynienia w przypadku przetwarzania w systemie
    inf. "danych wrazliwych" przy dochowaniu warunku nieistnienia polaczenia
    zadnego urzadzenia systemu z siecia publiczna.
    trzeci - wysoki stosuje sie gdy przynajmniej jedno urzadzenie syemu
    przetwarzajacego wrazliwe dane osobowe jest podlaczone z siecia publiczna.

    Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja jakies
    rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki techniczne
    (serwery posredniczace, zlozonosc hasel) powinny bc zastosowane do ochrony
    systemu przetwarzajacego wrazliwe dane osobowe gdzie jedno z urzadzen jest
    podlaczone z siecia publiczna.

    Dzieki za pomoc.



  • 2. Data: 2006-09-22 10:26:14
    Temat: Re: Poziomy bezpieczenstwa danych osobowych w sys. inf.
    Od: Goomich <g...@u...to.wp.pl>

    "michalsky" <m...@C...pl> naskrobał/a w
    news:ef07ct$fet$1@achot.icm.edu.pl:

    > Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja
    > jakies rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki
    > techniczne (serwery posredniczace, zlozonosc hasel) powinny bc
    > zastosowane do ochrony systemu przetwarzajacego wrazliwe dane
    > osobowe gdzie jedno z urzadzen jest podlaczone z siecia publiczna.

    Do ochrony takich danych korzysta się z prokuratora.

    --
    Pozdrawiam
    Krzysztof Ferenc
    g...@w...pl UIN: 6750153


  • 3. Data: 2006-09-22 12:17:18
    Temat: Re: Poziomy bezpieczenstwa danych osobowych w sys. inf.
    Od: "michalsky" <m...@C...pl>


    Użytkownik "Goomich" <g...@u...to.wp.pl> napisał w wiadomości
    news:Xns98467E852811Agoomichskrzynkapl@127.0.0.1...
    > "michalsky" <m...@C...pl> naskrobał/a w
    > news:ef07ct$fet$1@achot.icm.edu.pl:
    >
    >> Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja
    >> jakies rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki
    >> techniczne (serwery posredniczace, zlozonosc hasel) powinny bc
    >> zastosowane do ochrony systemu przetwarzajacego wrazliwe dane
    >> osobowe gdzie jedno z urzadzen jest podlaczone z siecia publiczna.
    >
    > Do ochrony takich danych korzysta się z prokuratora.
    >


    w jakim sensie?.. mam z nim pogadac na temat proxy, ips-ow i ids-ow w
    poziomie trzecim?..



  • 4. Data: 2006-09-22 12:35:07
    Temat: Re: Poziomy bezpieczenstwa danych osobowych w sys. inf.
    Od: Goomich <g...@u...to.wp.pl>

    "michalsky" <m...@C...pl> naskrobał/a w
    news:ef0k8p$3rt$1@achot.icm.edu.pl:

    > w jakim sensie?.. mam z nim pogadac na temat proxy, ips-ow i ids-ow w
    > poziomie trzecim?..

    W takim sensie, że za przetwarzanie taki danych grozi do 3 lat
    pozbawienia wolności.

    --
    Pozdrawiam
    Krzysztof Ferenc
    g...@w...pl UIN: 6750153


  • 5. Data: 2006-09-22 14:18:54
    Temat: Re: Poziomy bezpieczenstwa danych osobowych w sys. inf.
    Od: "tom" <t...@p...gazeta.pl>

    > trzeci - wysoki stosuje sie gdy przynajmniej jedno urzadzenie syemu
    przetwarzajacego wrazliwe dane
    > osobowe jest podlaczone z siecia publiczna.
    >
    > Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja jakies
    rozporzadzenia, ustawy
    > w ktorych mowa jest o tym jakie srodki techniczne

    chocbyc zastosowal najmocniejszy lucz, chocby z 1024 bity to i tak zawsze
    progrmiasta mogl popelnic blad i tym samym furtka do donaych otwarta,
    sa firmy ktore nadaja programom certyfikaty, badaja jest, testuja itp,
    ale zawsze furtka moze zostac

    Tomek




  • 6. Data: 2006-09-24 19:42:22
    Temat: Re: Poziomy bezpieczenstwa danych osobowych w sys. inf.
    Od: pcspec.ovh.org <j...@g...pl>

    On Fri, 22 Sep 2006 10:36:06 +0200, "michalsky"
    <m...@C...pl> wrote:

    >Wiadome jest ze w zwiazku z ochrona danych osobowych w systemach
    >informatycznych stosuje sie trzy poziomy zabezpieczen.

    >
    >Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja jakies
    >rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki techniczne
    >(serwery posredniczace, zlozonosc hasel) powinny bc zastosowane do ochrony
    >systemu przetwarzajacego wrazliwe dane osobowe gdzie jedno z urzadzen jest
    >podlaczone z siecia publiczna.

    Witam,
    Poziomy bezpieczeństwa, o których piszesz są określone w
    rozporządzeniu "w sprawie dokumentacji przetwarzania danych osobowych
    oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
    urządzenia i systemy informatyczne służące do przetwarzania danych
    osobowych"
    Załącznik do tego rozporządzenia określa wymagania co do długości
    haseł, itd.
    Oczywiście nie znajdziesz tam wszystkich technicznych wymagań i bardzo
    dobrze! Szczegółowe rozwiązanie musi określić ADO na podstawie analizy
    zagrożeń i wymagań w jego systemie. I oczywiście w razie wpadki, z
    utratą danych, musi umieć udowodnić, że zrobił wszystko co było
    możliwe żeby ochronić dane (ale wszystko co możliwe nie oznacza tutaj
    wszystkiego na co było go stać!)
    Są tu dwie podstawowe możliwości:
    -Nie przetwarzać danych na komputerach podłączonych do Internetu -
    mało realne, ale najlepsze rozwiązanie
    -Przeprowadzić analizę ryzyka (im bardziej formalnie tym lepiej,
    jednak metodologia Octave będzie zwykle przesadą) i dodatkowo
    opierając się na normach (zwykle zbiór najlepszych praktyk BS7799)
    opracować politykę bezpieczeństwa i instrukcję zarządzania systemem. A
    potem znaleźć rozwiązania techniczne które pozwolą na zrealizowanie
    ich wymagań.
    Niestety nie możemy liczyć na znalezienie w Internecie godowych recept
    :) Zasada jest tu taka, że dokumenty te muszą być zawsze opracowane
    dla konkretnego systemu, a firmy oferujące gotowe, szablonowe
    opracowania należy natychmiast skreślić.

    Pozdrawiam
    Jarek Żabówka






  • 7. Data: 2006-09-25 05:44:20
    Temat: Re: Poziomy bezpieczenstwa danych osobowych w sys. inf.
    Od: "Waldemar \"Jakec\" Bulkowski" <"jakec "@ tlen.pl>

    Dnia Sun, 24 Sep 2006 21:42:22 +0200, pcspec.ovh.org napisał(a):

    > On Fri, 22 Sep 2006 10:36:06 +0200, "michalsky"
    > <m...@C...pl> wrote:
    >
    > Niestety nie możemy liczyć na znalezienie w Internecie godowych recept
    > :) Zasada jest tu taka, że dokumenty te muszą być zawsze opracowane
    > dla konkretnego systemu, a firmy oferujące gotowe, szablonowe
    > opracowania należy natychmiast skreślić.

    Zgadza się - gotowce są do niczego. Jednak nie znaczy to, że nie można
    wynająć firmy, która po przeanalizowaniu konkretnej sytuacji sporządzi
    odpowiednią politykę bezpieczeństwa. Osobiście uważam, że samodzielnie
    polityki bezpieczeństwa powyżej pierwszego poziomu nie da się sporządzić
    prawidłowo - a przynajmniej nie jest to łatwe. Przydaje się "rzut oka" z
    zewnątrz.

    3mcie się.
    --
    Waldek "Jakec" Bulkowski
    http://film.e-informator.pl
    http://scrabble.e-informator.pl


  • 8. Data: 2006-09-25 06:50:52
    Temat: Re: Poziomy bezpieczenstwa danych osobowych w sys. inf.
    Od: "michalsky" <m...@C...pl>


    Użytkownik "pcspec.ovh.org"
    > Poziomy bezpieczeństwa, o których piszesz są określone w
    > rozporządzeniu "w sprawie dokumentacji przetwarzania danych osobowych
    > oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
    > urządzenia i systemy informatyczne służące do przetwarzania danych
    > osobowych"
    > Załącznik do tego rozporządzenia określa wymagania co do długości
    > haseł, itd.
    > Oczywiście nie znajdziesz tam wszystkich technicznych wymagań i bardzo
    > dobrze! Szczegółowe rozwiązanie musi określić ADO na podstawie analizy
    > zagrożeń i wymagań w jego systemie. I oczywiście w razie wpadki, z
    > utratą danych, musi umieć udowodnić, że zrobił wszystko co było
    > możliwe żeby ochronić dane (ale wszystko co możliwe nie oznacza tutaj
    > wszystkiego na co było go stać!)

    Witam ponownie.
    W załaczniku w czesci C w punkcie 2a) napisane jest ze admin powinien
    zastosowac kontrole przseplywu informacji pomiedzy systemem informatycznym a
    siecia publiczną.
    Moze ktos wie o jakich srodkach technicznych jest tutaj mowa?..



  • 9. Data: 2006-09-25 08:04:13
    Temat: Re: Poziomy bezpieczenstwa danych osobowych w sys. inf.
    Od: pcspec.ovh.org <j...@g...pl>

    On Mon, 25 Sep 2006 07:44:20 +0200, "Waldemar \"Jakec\" Bulkowski"
    <"jakec "@ tlen.pl> wrote:

    >Dnia Sun, 24 Sep 2006 21:42:22 +0200, pcspec.ovh.org napisał(a):
    >
    >Zgadza się - gotowce są do niczego. Jednak nie znaczy to, że nie można
    >wynająć firmy, która po przeanalizowaniu konkretnej sytuacji sporządzi
    >odpowiednią politykę bezpieczeństwa. Osobiście uważam, że samodzielnie
    >polityki bezpieczeństwa powyżej pierwszego poziomu nie da się sporządzić
    >prawidłowo - a przynajmniej nie jest to łatwe. Przydaje się "rzut oka" z
    >zewnątrz.
    >
    >3mcie się.

    Popieram na 300%

    Jarek Żabówka


  • 10. Data: 2006-09-25 08:10:50
    Temat: Re: Poziomy bezpieczenstwa danych osobowych w sys. inf.
    Od: pcspec.ovh.org <j...@g...pl>

    On Mon, 25 Sep 2006 08:50:52 +0200, "michalsky"
    <m...@C...pl> wrote:

    >
    >Witam ponownie.
    >W załaczniku w czesci C w punkcie 2a) napisane jest ze admin powinien
    >zastosowac kontrole przseplywu informacji pomiedzy systemem informatycznym a
    >siecia publiczną.
    >Moze ktos wie o jakich srodkach technicznych jest tutaj mowa?..
    >
    "Adekwatne" :)
    Możesz zastosować nawet najprostrzego firewall'a, ale w razie wpadki
    musisz umieć udowodnić, że zastosowane zabezpieczenie było właściwie
    dobrane. Choć oczywiście sam fakt złamania zabezpieczeń świadczy, że
    nie było ;)
    Dlatego zastosuj takie zabezpieczenia żeby mieć maksymalną pewność, że
    nie zostaną one naruszone. I nie wynika to tylko z obowiązujących
    przepisów, ale ze zdrowej informatycznej praktyki.

    Pozdrawiam
    Jarek Żabówka


strony : [ 1 ] . 2


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1