Witam grupowiczow.

Jestem nowym uczestnikiem grupy pl.soc.prawo i mam nadzieje ze znajde tu
pomoc w pewnej sprawie.
Wiadome jest ze w zwiazku z ochrona danych osobowych w systemach
informatycznych stosuje sie trzy poziomy zabezpieczen.
Pierwszy - podstwaowy stosuje sie gdy w systemie inf. nie przetwarza sie
"danych wrazliwych"(rasa, wyznanie, poglady polityczne) i zadne z urzadzen
systemu nie jest podlaczone z siecia publiczna.
Drugi - podwyzszony mamy do czynienia w przypadku przetwarzania w systemie
inf. "danych wrazliwych" przy dochowaniu warunku nieistnienia polaczenia
zadnego urzadzenia systemu z siecia publiczna.
trzeci - wysoki stosuje sie gdy przynajmniej jedno urzadzenie syemu
przetwarzajacego wrazliwe dane osobowe jest podlaczone z siecia publiczna.

Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja jakies
rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki techniczne
(serwery posredniczace, zlozonosc hasel) powinny bc zastosowane do ochrony
systemu przetwarzajacego wrazliwe dane osobowe gdzie jedno z urzadzen jest
podlaczone z siecia publiczna.

Dzieki za pomoc.

do góry

"michalsky" <m...@C...pl> naskrobał/a w
news:ef07ct$fet$1@achot.icm.edu.pl:

> Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja
> jakies rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki
> techniczne (serwery posredniczace, zlozonosc hasel) powinny bc
> zastosowane do ochrony systemu przetwarzajacego wrazliwe dane
> osobowe gdzie jedno z urzadzen jest podlaczone z siecia publiczna.

Do ochrony takich danych korzysta się z prokuratora.

--
Pozdrawiam
Krzysztof Ferenc
g...@w...pl UIN: 6750153

do góry

Użytkownik "Goomich" <g...@u...to.wp.pl> napisał w wiadomości
news:Xns98467E852811Agoomichskrzynkapl@127.0.0.1...
> "michalsky" <m...@C...pl> naskrobał/a w
> news:ef07ct$fet$1@achot.icm.edu.pl:
>
>> Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja
>> jakies rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki
>> techniczne (serwery posredniczace, zlozonosc hasel) powinny bc
>> zastosowane do ochrony systemu przetwarzajacego wrazliwe dane
>> osobowe gdzie jedno z urzadzen jest podlaczone z siecia publiczna.
>
> Do ochrony takich danych korzysta się z prokuratora.
>


w jakim sensie?.. mam z nim pogadac na temat proxy, ips-ow i ids-ow w
poziomie trzecim?..

do góry

"michalsky" <m...@C...pl> naskrobał/a w
news:ef0k8p$3rt$1@achot.icm.edu.pl:

> w jakim sensie?.. mam z nim pogadac na temat proxy, ips-ow i ids-ow w
> poziomie trzecim?..

W takim sensie, że za przetwarzanie taki danych grozi do 3 lat
pozbawienia wolności.

--
Pozdrawiam
Krzysztof Ferenc
g...@w...pl UIN: 6750153

do góry

> trzeci - wysoki stosuje sie gdy przynajmniej jedno urzadzenie syemu
przetwarzajacego wrazliwe dane
> osobowe jest podlaczone z siecia publiczna.
>
> Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja jakies
rozporzadzenia, ustawy
> w ktorych mowa jest o tym jakie srodki techniczne

chocbyc zastosowal najmocniejszy lucz, chocby z 1024 bity to i tak zawsze
progrmiasta mogl popelnic blad i tym samym furtka do donaych otwarta,
sa firmy ktore nadaja programom certyfikaty, badaja jest, testuja itp,
ale zawsze furtka moze zostac

Tomek

do góry

On Fri, 22 Sep 2006 10:36:06 +0200, "michalsky"
<m...@C...pl> wrote:

>Wiadome jest ze w zwiazku z ochrona danych osobowych w systemach
>informatycznych stosuje sie trzy poziomy zabezpieczen.

>
>Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja jakies
>rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki techniczne
>(serwery posredniczace, zlozonosc hasel) powinny bc zastosowane do ochrony
>systemu przetwarzajacego wrazliwe dane osobowe gdzie jedno z urzadzen jest
>podlaczone z siecia publiczna.

Witam,
Poziomy bezpieczeństwa, o których piszesz są określone w
rozporządzeniu "w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych"
Załącznik do tego rozporządzenia określa wymagania co do długości
haseł, itd.
Oczywiście nie znajdziesz tam wszystkich technicznych wymagań i bardzo
dobrze! Szczegółowe rozwiązanie musi określić ADO na podstawie analizy
zagrożeń i wymagań w jego systemie. I oczywiście w razie wpadki, z
utratą danych, musi umieć udowodnić, że zrobił wszystko co było
możliwe żeby ochronić dane (ale wszystko co możliwe nie oznacza tutaj
wszystkiego na co było go stać!)
Są tu dwie podstawowe możliwości:
-Nie przetwarzać danych na komputerach podłączonych do Internetu -
mało realne, ale najlepsze rozwiązanie
-Przeprowadzić analizę ryzyka (im bardziej formalnie tym lepiej,
jednak metodologia Octave będzie zwykle przesadą) i dodatkowo
opierając się na normach (zwykle zbiór najlepszych praktyk BS7799)
opracować politykę bezpieczeństwa i instrukcję zarządzania systemem. A
potem znaleźć rozwiązania techniczne które pozwolą na zrealizowanie
ich wymagań.
Niestety nie możemy liczyć na znalezienie w Internecie godowych recept
:) Zasada jest tu taka, że dokumenty te muszą być zawsze opracowane
dla konkretnego systemu, a firmy oferujące gotowe, szablonowe
opracowania należy natychmiast skreślić.

Pozdrawiam
Jarek Żabówka

do góry

Dnia Sun, 24 Sep 2006 21:42:22 +0200, pcspec.ovh.org napisał(a):

> On Fri, 22 Sep 2006 10:36:06 +0200, "michalsky"
> <m...@C...pl> wrote:
>
> Niestety nie możemy liczyć na znalezienie w Internecie godowych recept
> :) Zasada jest tu taka, że dokumenty te muszą być zawsze opracowane
> dla konkretnego systemu, a firmy oferujące gotowe, szablonowe
> opracowania należy natychmiast skreślić.

Zgadza się - gotowce są do niczego. Jednak nie znaczy to, że nie można
wynająć firmy, która po przeanalizowaniu konkretnej sytuacji sporządzi
odpowiednią politykę bezpieczeństwa. Osobiście uważam, że samodzielnie
polityki bezpieczeństwa powyżej pierwszego poziomu nie da się sporządzić
prawidłowo - a przynajmniej nie jest to łatwe. Przydaje się "rzut oka" z
zewnątrz.

3mcie się.
--
Waldek "Jakec" Bulkowski
http://film.e-informator.pl
http://scrabble.e-informator.pl

do góry

Użytkownik "pcspec.ovh.org"
> Poziomy bezpieczeństwa, o których piszesz są określone w
> rozporządzeniu "w sprawie dokumentacji przetwarzania danych osobowych
> oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
> urządzenia i systemy informatyczne służące do przetwarzania danych
> osobowych"
> Załącznik do tego rozporządzenia określa wymagania co do długości
> haseł, itd.
> Oczywiście nie znajdziesz tam wszystkich technicznych wymagań i bardzo
> dobrze! Szczegółowe rozwiązanie musi określić ADO na podstawie analizy
> zagrożeń i wymagań w jego systemie. I oczywiście w razie wpadki, z
> utratą danych, musi umieć udowodnić, że zrobił wszystko co było
> możliwe żeby ochronić dane (ale wszystko co możliwe nie oznacza tutaj
> wszystkiego na co było go stać!)

Witam ponownie.
W załaczniku w czesci C w punkcie 2a) napisane jest ze admin powinien
zastosowac kontrole przseplywu informacji pomiedzy systemem informatycznym a
siecia publiczną.
Moze ktos wie o jakich srodkach technicznych jest tutaj mowa?..

do góry

On Mon, 25 Sep 2006 07:44:20 +0200, "Waldemar \"Jakec\" Bulkowski"
<"jakec "@ tlen.pl> wrote:

>Dnia Sun, 24 Sep 2006 21:42:22 +0200, pcspec.ovh.org napisał(a):
>
>Zgadza się - gotowce są do niczego. Jednak nie znaczy to, że nie można
>wynająć firmy, która po przeanalizowaniu konkretnej sytuacji sporządzi
>odpowiednią politykę bezpieczeństwa. Osobiście uważam, że samodzielnie
>polityki bezpieczeństwa powyżej pierwszego poziomu nie da się sporządzić
>prawidłowo - a przynajmniej nie jest to łatwe. Przydaje się "rzut oka" z
>zewnątrz.
>
>3mcie się.

Popieram na 300%

Jarek Żabówka

do góry

On Mon, 25 Sep 2006 08:50:52 +0200, "michalsky"
<m...@C...pl> wrote:

>
>Witam ponownie.
>W załaczniku w czesci C w punkcie 2a) napisane jest ze admin powinien
>zastosowac kontrole przseplywu informacji pomiedzy systemem informatycznym a
>siecia publiczną.
>Moze ktos wie o jakich srodkach technicznych jest tutaj mowa?..
>
"Adekwatne" :)
Możesz zastosować nawet najprostrzego firewall'a, ale w razie wpadki
musisz umieć udowodnić, że zastosowane zabezpieczenie było właściwie
dobrane. Choć oczywiście sam fakt złamania zabezpieczeń świadczy, że
nie było ;)
Dlatego zastosuj takie zabezpieczenia żeby mieć maksymalną pewność, że
nie zostaną one naruszone. I nie wynika to tylko z obowiązujących
przepisów, ale ze zdrowej informatycznej praktyki.

Pozdrawiam
Jarek Żabówka

do góry