Mam siec komputerową z danymi osobowymi. W GIODO jest sgłoszenie, ze net jest
na kilku komputerach w wydzielonej sieci komputerowej. Teraz jest potrzeba,by
udostępnić internet w sieci "prdukcyjnej" do celów bankowości elektronicznej.
Ma być bezpiecznie. Zastanwiałem się nad zleceniem usługi np firmie b3 system
która na własnym sprzęcie zapewnia dostęp do netu, monitoring zabezpieczeń itp.
Koszty jednak są duże; 600 zł /miesiąc. Stanęło więc na tym, że nasz lokalny
dostawca netu (radiówka) skonfiguruje dostęp na wybranych komputerach i
zapewnia (ustnie) że to będzie bezpieczne. Chciałbym to mieć w jakiejś formier
na piśmie: nie chcę, by firma miała problemy z prokuraturą jak coś będzie nie
tak. Sam specjalizuję się w bazach danych i nie zamierzam robić z siebie guru
od zabezpieczeń. Ułożyłem sobie zlecenie jak niżej:
-----------------------------
Zlecenie

Zleceniodawca zleca, a zleceniobiorca przyjmuje do realizacji niżej
wyszczególnione prace.


I. Użyta terminologia:
 Wydzielona sieć komputerowa: router i komputery tworzące fizycznie
wydzieloną sieć z dostępem do Internetu.

 Siec komputerowa XXX: Sieć komputerowa przedsiębiorstwa XXX oparta na
serwerze NetWare i protokołach IPX/TCP/IP. W sieci są przechowywane dane i
programy niezbędne do funkcjonowania przedsiębiorstwa, w tym dane osobowe
podlegające ustawowej ochronie. Dotychczas fizycznie oddzielona od Internetu.

II. Zakres usługi.

1. Zachowanie dostępu do Internetu (WWW, poczta elektroniczna, pobieranie
plików) na pracujących dotychczas w wydzielonej sieci komputerach. Przegląd i
weryfikacja zastosowanych zabezpieczeń.
2. Zapewnienie na dwóch podłączonych do sieci komputerowej XXX komputerach
ograniczonego dostępu do Internetu z zachowaniem poniższych reguł:
1. Zapewnienie dostępu z wskazanych komputerów pracujących w sieci
komputerowej XXX do serwisów bankowych

a) Bank Spółdzielczy
b) PKO BP
2. Zablokowanie możliwości jakichkolwiek połączeń między siecią komputerową XXX
i Internetem.
3. Zabezpieczenie komputerów wymienionych w punkcie 2.1 przed połączeniami z i
do Internetu innymi, niż wskazanymi w punkcie 2.1.a i 2.1.b
3. Monitoring zabezpieczeń.
----------------------------------------------------
-------

Tyle zlecenie. Będę wdzięczny za wszelkie komentarze i sugestie. Ważne, by
zachować formułę, która chroni zarząd mojej firmy (i mnie) przed skutkami
nieidstatecznie skutecznego zabezpieczenia sieci przy okazji w/w operacji, a
ściślej "mobilizuje" zleceniobiorcę by zadbał o skuteczne wykonanie zlecenia.
Wiem, że nie ma zabezpieczeń w 100% skutecznych. ALe z drugiej strony te, które
sie robi na podstawie umowy robi się z większą starannością.


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Marek wrote:
> Mam siec komputerową z danymi osobowymi. W GIODO jest sgłoszenie, ze net jest
> na kilku komputerach w wydzielonej sieci komputerowej. Teraz jest potrzeba,by
> udostępnić internet w sieci "prdukcyjnej" do celów bankowości elektronicznej.
> Ma być bezpiecznie. Zastanwiałem się nad zleceniem usługi np firmie b3 system
> która na własnym sprzęcie zapewnia dostęp do netu, monitoring zabezpieczeń itp.
> Koszty jednak są duże; 600 zł /miesiąc. Stanęło więc na tym, że nasz lokalny
> dostawca netu (radiówka) skonfiguruje dostęp na wybranych komputerach i
> zapewnia (ustnie) że to będzie bezpieczne. Chciałbym to mieć w jakiejś formier
> na piśmie: nie chcę, by firma miała problemy z prokuraturą jak coś będzie nie
> tak. Sam specjalizuję się w bazach danych i nie zamierzam robić z siebie guru
> od zabezpieczeń. Ułożyłem sobie zlecenie jak niżej:

zaczynając od końca.
-
treść zlecenia jest do bani.
W firmie od pisania umów powinien być prawnik a nie informatyk.
Jak nie ma takiego to należy to takiemu zlecić.
Po co masz brać na siebie odpowiedzialność za treść umowy zlecenia. Za
to ci nie płacą.
-
jak potrzebny jest dostęp do internetu, a nie danych w Internecie to
należy pracownikowi postawić drugi komputer, a nie wpinać całą sieć do
netu tylko po to żeby miał dostęp do innego serwisu.
Tak długo jak długo to ty nie musisz udostępniać swoich danych w
internecie, tak długo taka sieć powinna być fizycznie od tego internetu
odseparowana.
- po jakości sprzętu widzę, że w ogóle nie macie żadnych zabezpieczeń.

do góry

> Marek wrote:
> > Mam siec komputerową z danymi osobowymi. W GIODO jest sgłoszenie, ze net
jest
> zaczynając od końca.
> -
> treść zlecenia jest do bani.
Możesz to jakoś wypunktować? Ja nie znam się na prawie, firmowy prawnik na
sieciach, Księgowa chce mieć bankowosc elektroniczną. Wiem, że w 95
przypoadkach na 100 zwykły router z podstwowym firewallem wystarcza. Pozostaje
jeszcze to 5 % w których nie zamierzam się zmieścic:nai ja, ani firma. Na
profesjonalne zabezpieczenia nie ma pieniędzy.

> jak potrzebny jest dostęp do internetu,  a nie danych w Internecie to
> należy pracownikowi postawić drugi komputer, a nie wpinać całą sieć do
> netu tylko po to żeby miał dostęp do innego serwisu.
> Tak długo jak długo to ty nie musisz udostępniać swoich danych w
> internecie, tak długo taka sieć powinna być fizycznie od tego internetu
> odseparowana.
I tu się z tobą w 100 procentyach zgadzam. Ale to kosztuje równowartośc
dodatkowego komputera.

> - po jakości sprzętu widzę, że w ogóle nie macie żadnych zabezpieczeń.
Z czego to wnioskujesz ?

PS. Dzięki!!! Chciałbym sie Twoimi uwagami podzielić z dyrektorem: jeżeli
możesz napisz jak to widzisz w formie strawnej dla szefa....


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

> sieciach, Księgowa chce mieć bankowosc elektroniczną. Wiem, że w 95
> przypoadkach na 100 zwykły router z podstwowym firewallem wystarcza. Pozostaje
> jeszcze to 5 % w których nie zamierzam się zmieścic:nai ja, ani firma. Na
> profesjonalne zabezpieczenia nie ma pieniędzy.

5% - optymista.
Szaleńców jest wielu. Jeśli faktycznie ma być dodatkowy dostęp, a nie
wielu pracowników - to łatwiej postawić 1 odseparowany od sieci
produkcyjnej komputer z dostępem do netu.

> I tu się z tobą w 100 procentyach zgadzam. Ale to kosztuje równowartośc
> dodatkowego komputera.

Koszt komputera - zdarzają się notebooki z windowsem za 1600 - masz
kompletne stanowisko z oprogramowaniem... + darmowy firewall (np.
Comodo) + OpenOffice - i już się da na tym pracować, i Płatnik
zadziała (po to ten Windows). Stacjonarny też w tej cenie dostaniesz.

> PS. Dzięki!!! Chciałbym sie Twoimi uwagami podzielić z dyrektorem: jeżeli
> możesz napisz jak to widzisz w formie strawnej dla szefa....

Zabezpieczenie - koszt miesięczny = ...zł, dodatkowe routery forewalle
- ...zł, Istnieje możliwość ataku.
Alternatywa - jednorazowo zakup kompa, sieć wewnętrzna bezpieczna.

Pozdrawiam,
DarW

do góry

m...@o...pl wrote:
>> Marek wrote:
>>> Mam siec komputerową z danymi osobowymi. W GIODO jest sgłoszenie, ze net
> jest
>> zaczynając od końca.
>> -
>> treść zlecenia jest do bani.
> Możesz to jakoś wypunktować?

To musiałbym wypunktować wszystko.
W ogóle nie jest określone co będzie zrobione, za ile, do kiedy.
Żadnej specyfikacji jak to ma być zrobione.
Jakie kary za niewyrobenie się w terminie
kto jest odpowiedzialny za wpadkę i kto za to zapłaci i do jakiej kwoty
w przypadku monitoringu, jak czas reakcji, kto do kogo ma to zgłosić,
kto naprawia\łata i w jakim czasie, kto zapłaci za wyciek danych.

W ogóle się za to nie zabieraj.


Ja nie znam się na prawie, firmowy prawnik na
> sieciach,

To znajdzcie innego, który się zna. Zapłacicie kilka tysięcy za usługę,
ale przynajmniej nie będzie potem , że się szuka kozła ofiarnego.


> Księgowa chce mieć bankowosc elektroniczną.

I tylko dlatego?
To jaj kupcie komputer.
W sumie za propozycję podłoczenia sieci do internetu tylko dlatego, że
ksiegowa chce mieć bankowość elektronicznę, to ja bym ci obciął premię
natychmist.


> Wiem, że w 95
> przypoadkach na 100 zwykły router z podstwowym firewallem wystarcza. Pozostaje
> jeszcze to 5 % w których nie zamierzam się zmieścic:nai ja, ani firma. Na
> profesjonalne zabezpieczenia nie ma pieniędzy.

no to o czym mu tu gadamy.
Nie da się zrobić zabezpieczeń za darmo.

> I tu się z tobą w 100 procentyach zgadzam. Ale to kosztuje równowartośc
> dodatkowego komputera.

Kary za wypływ danych pójdą w miliony, a ty jako admin możesz pójść
siedzieć na dwa lata.
>
> PS. Dzięki!!! Chciałbym sie Twoimi uwagami podzielić z dyrektorem: jeżeli
> możesz napisz jak to widzisz w formie strawnej dla szefa....
>
To po co szef się w to wtrąca jak nie ma w ogóle zielonego pojęcia o
czym mowa.
Po co mu w ogóle o tym pisać, skoto on i tak tego nie zrozumie.
Szef idiota, co musi zawsze mieć ostatnie zdanie nawet w tematach na
których się nie zna?
Zatrudnijcie zewnętrzna firmę, która wam opracuje zabezpieczenia.
Jej raport będzie miał chyba tylko jedno zdanie. Kupić księgowej komputer.

do góry

[ciach]

Czyli to, co sam mu dzisiaj mówiłem. Prośba: możesz mi to przesłać na e-mail w
strawnej dla szefa formie ? (bez zdania o mojej premii i jego percepcji ;)

W sumie proponowałem:
1. Ponieważ dwie panienki mają w sumie kilkanaście-kilkadziesiąt przelewów do
zrobienia= postawić komputer i po bólu.
2. Skoro już w sieci, to profersjonalne zabezpieczenie, a nie router za 200 zł
3. Skoro już ma być ten tani router+ to niech zleceniodawca weźmie
odpowiedzialność.
4. Jak już nie ma kto napisać porządnej umowy, to zamówić zewnętrzny audyt.

PS.
Księgowa boi się płac w dobrze zabezpieczonym środowisku sieciowym (woli na
niezabezpieczonej stacji roboczej...), a tu się napala na kilkanaście przelewów
elektronicznych w banku, który ma pod nosem... (wystarczy wyjść z biura,by
zanieść druki...)
--
Marek

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

> PS.
> a tu się napala na kilkanaście przelewów
> elektronicznych w banku, który ma pod nosem... (wystarczy wyjść z biura,by
> zanieść druki...)

Wydaje mi sie że ma rację, to już standard, daje więcej możliwości.



zbyszek

do góry