On Fri, 22 Sep 2006 10:36:06 +0200, "michalsky"
<m...@C...pl> wrote:

>Wiadome jest ze w zwiazku z ochrona danych osobowych w systemach
>informatycznych stosuje sie trzy poziomy zabezpieczen.

>
>Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja jakies
>rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki techniczne
>(serwery posredniczace, zlozonosc hasel) powinny bc zastosowane do ochrony
>systemu przetwarzajacego wrazliwe dane osobowe gdzie jedno z urzadzen jest
>podlaczone z siecia publiczna.

Witam,
Poziomy bezpieczeństwa, o których piszesz są określone w
rozporządzeniu "w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych"
Załącznik do tego rozporządzenia określa wymagania co do długości
haseł, itd.
Oczywiście nie znajdziesz tam wszystkich technicznych wymagań i bardzo
dobrze! Szczegółowe rozwiązanie musi określić ADO na podstawie analizy
zagrożeń i wymagań w jego systemie. I oczywiście w razie wpadki, z
utratą danych, musi umieć udowodnić, że zrobił wszystko co było
możliwe żeby ochronić dane (ale wszystko co możliwe nie oznacza tutaj
wszystkiego na co było go stać!)
Są tu dwie podstawowe możliwości:
-Nie przetwarzać danych na komputerach podłączonych do Internetu -
mało realne, ale najlepsze rozwiązanie
-Przeprowadzić analizę ryzyka (im bardziej formalnie tym lepiej,
jednak metodologia Octave będzie zwykle przesadą) i dodatkowo
opierając się na normach (zwykle zbiór najlepszych praktyk BS7799)
opracować politykę bezpieczeństwa i instrukcję zarządzania systemem. A
potem znaleźć rozwiązania techniczne które pozwolą na zrealizowanie
ich wymagań.
Niestety nie możemy liczyć na znalezienie w Internecie godowych recept
:) Zasada jest tu taka, że dokumenty te muszą być zawsze opracowane
dla konkretnego systemu, a firmy oferujące gotowe, szablonowe
opracowania należy natychmiast skreślić.

Pozdrawiam
Jarek Żabówka