| poprzedni wątek | następny wątek | pl.soc.prawo |
| 2006-09-22 10:36 | Poziomy bezpieczenstwa danych osobowych w sys. inf. | michalsky |
| Witam grupowiczow. Jestem nowym uczestnikiem grupy pl.soc.prawo i mam nadzieje ze znajde tu pomoc w pewnej sprawie. Wiadome jest ze w zwiazku z ochrona danych osobowych w systemach informatycznych stosuje sie trzy poziomy zabezpieczen. Pierwszy - podstwaowy stosuje sie gdy w systemie inf. nie przetwarza sie "danych wrazliwych"(rasa, wyznanie, poglady polityczne) i zadne z urzadzen systemu nie jest podlaczone z siecia publiczna. Drugi - podwyzszony mamy do czynienia w przypadku przetwarzania w systemie inf. "danych wrazliwych" przy dochowaniu warunku nieistnienia polaczenia zadnego urzadzenia systemu z siecia publiczna. trzeci - wysoki stosuje sie gdy przynajmniej jedno urzadzenie syemu przetwarzajacego wrazliwe dane osobowe jest podlaczone z siecia publiczna. Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja jakies rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki techniczne (serwery posredniczace, zlozonosc hasel) powinny bc zastosowane do ochrony systemu przetwarzajacego wrazliwe dane osobowe gdzie jedno z urzadzen jest podlaczone z siecia publiczna. Dzieki za pomoc. |
||
| 2006-09-22 12:26 | Re: Poziomy bezpieczenstwa danych osobowych w sys. inf. | Goomich |
| "michalsky" news:ef07ct$fet$1@achot.icm.edu.pl: > Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja > jakies rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki > techniczne (serwery posredniczace, zlozonosc hasel) powinny bc > zastosowane do ochrony systemu przetwarzajacego wrazliwe dane > osobowe gdzie jedno z urzadzen jest podlaczone z siecia publiczna. Do ochrony takich danych korzysta się z prokuratora. -- Pozdrawiam Krzysztof Ferenc goomich@wp.pl UIN: 6750153 |
||
| 2006-09-22 14:17 | Re: Poziomy bezpieczenstwa danych osobowych w sys. inf. | michalsky |
Użytkownik "Goomich" news:Xns98467E852811Agoomichskrzynkapl@127.0.0.1... > "michalsky" > news:ef07ct$fet$1@achot.icm.edu.pl: > >> Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja >> jakies rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki >> techniczne (serwery posredniczace, zlozonosc hasel) powinny bc >> zastosowane do ochrony systemu przetwarzajacego wrazliwe dane >> osobowe gdzie jedno z urzadzen jest podlaczone z siecia publiczna. > > Do ochrony takich danych korzysta się z prokuratora. > w jakim sensie?.. mam z nim pogadac na temat proxy, ips-ow i ids-ow w poziomie trzecim?.. |
||
| 2006-09-22 16:18 | Re: Poziomy bezpieczenstwa danych osobowych w sys. inf. | tom |
| > trzeci - wysoki stosuje sie gdy przynajmniej jedno urzadzenie syemu przetwarzajacego wrazliwe dane > osobowe jest podlaczone z siecia publiczna. > > Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja jakies rozporzadzenia, ustawy > w ktorych mowa jest o tym jakie srodki techniczne chocbyc zastosowal najmocniejszy lucz, chocby z 1024 bity to i tak zawsze progrmiasta mogl popelnic blad i tym samym furtka do donaych otwarta, sa firmy ktore nadaja programom certyfikaty, badaja jest, testuja itp, ale zawsze furtka moze zostac Tomek |
||
| 2006-09-24 21:42 | Re: Poziomy bezpieczenstwa danych osobowych w sys. inf. | pcspec.ovh.org |
| On Fri, 22 Sep 2006 10:36:06 +0200, "michalsky" >Wiadome jest ze w zwiazku z ochrona danych osobowych w systemach >informatycznych stosuje sie trzy poziomy zabezpieczen. > >Moje pytanie jest raczej natury technicznej ale moze prawnicy znaja jakies >rozporzadzenia, ustawy w ktorych mowa jest o tym jakie srodki techniczne >(serwery posredniczace, zlozonosc hasel) powinny bc zastosowane do ochrony >systemu przetwarzajacego wrazliwe dane osobowe gdzie jedno z urzadzen jest >podlaczone z siecia publiczna. Witam, Poziomy bezpieczeństwa, o których piszesz są określone w rozporządzeniu "w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych" Załącznik do tego rozporządzenia określa wymagania co do długości haseł, itd. Oczywiście nie znajdziesz tam wszystkich technicznych wymagań i bardzo dobrze! Szczegółowe rozwiązanie musi określić ADO na podstawie analizy zagrożeń i wymagań w jego systemie. I oczywiście w razie wpadki, z utratą danych, musi umieć udowodnić, że zrobił wszystko co było możliwe żeby ochronić dane (ale wszystko co możliwe nie oznacza tutaj wszystkiego na co było go stać!) Są tu dwie podstawowe możliwości: -Nie przetwarzać danych na komputerach podłączonych do Internetu - mało realne, ale najlepsze rozwiązanie -Przeprowadzić analizę ryzyka (im bardziej formalnie tym lepiej, jednak metodologia Octave będzie zwykle przesadą) i dodatkowo opierając się na normach (zwykle zbiór najlepszych praktyk BS7799) opracować politykę bezpieczeństwa i instrukcję zarządzania systemem. A potem znaleźć rozwiązania techniczne które pozwolą na zrealizowanie ich wymagań. Niestety nie możemy liczyć na znalezienie w Internecie godowych recept :) Zasada jest tu taka, że dokumenty te muszą być zawsze opracowane dla konkretnego systemu, a firmy oferujące gotowe, szablonowe opracowania należy natychmiast skreślić. Pozdrawiam Jarek Żabówka |
||
| 2006-09-25 07:44 | Re: Poziomy bezpieczenstwa danych osobowych w sys. inf. | Waldemar \Jakec\ Bulkowsk |
| Dnia Sun, 24 Sep 2006 21:42:22 +0200, pcspec.ovh.org napisał(a): > On Fri, 22 Sep 2006 10:36:06 +0200, "michalsky" > > > Niestety nie możemy liczyć na znalezienie w Internecie godowych recept > :) Zasada jest tu taka, że dokumenty te muszą być zawsze opracowane > dla konkretnego systemu, a firmy oferujące gotowe, szablonowe > opracowania należy natychmiast skreślić. Zgadza się - gotowce są do niczego. Jednak nie znaczy to, że nie można wynająć firmy, która po przeanalizowaniu konkretnej sytuacji sporządzi odpowiednią politykę bezpieczeństwa. Osobiście uważam, że samodzielnie polityki bezpieczeństwa powyżej pierwszego poziomu nie da się sporządzić prawidłowo - a przynajmniej nie jest to łatwe. Przydaje się "rzut oka" z zewnątrz. 3mcie się. -- Waldek "Jakec" Bulkowski http://film.e-informator.pl http://scrabble.e-informator.pl |
||
| 2006-09-25 08:50 | Re: Poziomy bezpieczenstwa danych osobowych w sys. inf. | michalsky |
Użytkownik "pcspec.ovh.org" > Poziomy bezpieczeństwa, o których piszesz są określone w > rozporządzeniu "w sprawie dokumentacji przetwarzania danych osobowych > oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać > urządzenia i systemy informatyczne służące do przetwarzania danych > osobowych" > Załącznik do tego rozporządzenia określa wymagania co do długości > haseł, itd. > Oczywiście nie znajdziesz tam wszystkich technicznych wymagań i bardzo > dobrze! Szczegółowe rozwiązanie musi określić ADO na podstawie analizy > zagrożeń i wymagań w jego systemie. I oczywiście w razie wpadki, z > utratą danych, musi umieć udowodnić, że zrobił wszystko co było > możliwe żeby ochronić dane (ale wszystko co możliwe nie oznacza tutaj > wszystkiego na co było go stać!) Witam ponownie. W załaczniku w czesci C w punkcie 2a) napisane jest ze admin powinien zastosowac kontrole przseplywu informacji pomiedzy systemem informatycznym a siecia publiczną. Moze ktos wie o jakich srodkach technicznych jest tutaj mowa?.. |
||
| 2006-09-25 10:04 | Re: Poziomy bezpieczenstwa danych osobowych w sys. inf. | pcspec.ovh.org |
| On Mon, 25 Sep 2006 07:44:20 +0200, "Waldemar \"Jakec\" Bulkowski" <"jakec "@ tlen.pl> wrote: >Dnia Sun, 24 Sep 2006 21:42:22 +0200, pcspec.ovh.org napisał(a): > >Zgadza się - gotowce są do niczego. Jednak nie znaczy to, że nie można >wynająć firmy, która po przeanalizowaniu konkretnej sytuacji sporządzi >odpowiednią politykę bezpieczeństwa. Osobiście uważam, że samodzielnie >polityki bezpieczeństwa powyżej pierwszego poziomu nie da się sporządzić >prawidłowo - a przynajmniej nie jest to łatwe. Przydaje się "rzut oka" z >zewnątrz. > >3mcie się. Popieram na 300% Jarek Żabówka |
||
| 2006-09-25 10:10 | Re: Poziomy bezpieczenstwa danych osobowych w sys. inf. | pcspec.ovh.org |
| On Mon, 25 Sep 2006 08:50:52 +0200, "michalsky" > >Witam ponownie. >W załaczniku w czesci C w punkcie 2a) napisane jest ze admin powinien >zastosowac kontrole przseplywu informacji pomiedzy systemem informatycznym a >siecia publiczną. >Moze ktos wie o jakich srodkach technicznych jest tutaj mowa?.. > "Adekwatne" :) Możesz zastosować nawet najprostrzego firewall'a, ale w razie wpadki musisz umieć udowodnić, że zastosowane zabezpieczenie było właściwie dobrane. Choć oczywiście sam fakt złamania zabezpieczeń świadczy, że nie było ;) Dlatego zastosuj takie zabezpieczenia żeby mieć maksymalną pewność, że nie zostaną one naruszone. I nie wynika to tylko z obowiązujących przepisów, ale ze zdrowej informatycznej praktyki. Pozdrawiam Jarek Żabówka |
||
| 2006-09-25 12:39 | Re: Poziomy bezpieczenstwa danych osobowych w sys. inf. | michalsky |
Użytkownik "pcspec.ovh.org" news:9c3fh25hgkpt34ureunpjk108aqvvck53a@4ax.com... > On Mon, 25 Sep 2006 08:50:52 +0200, "michalsky" > > >> >>Witam ponownie. >>W załaczniku w czesci C w punkcie 2a) napisane jest ze admin powinien >>zastosowac kontrole przseplywu informacji pomiedzy systemem informatycznym >>a >>siecia publiczną. >>Moze ktos wie o jakich srodkach technicznych jest tutaj mowa?.. >> > "Adekwatne" :) > Możesz zastosować nawet najprostrzego firewall'a, ale w razie wpadki > musisz umieć udowodnić, że zastosowane zabezpieczenie było właściwie > dobrane. Choć oczywiście sam fakt złamania zabezpieczeń świadczy, że > nie było ;) > Dlatego zastosuj takie zabezpieczenia żeby mieć maksymalną pewność, że > nie zostaną one naruszone. I nie wynika to tylko z obowiązujących > przepisów, ale ze zdrowej informatycznej praktyki. > firewall jak firewall... ja bym raczej sklanial sie do wymuszenia polaczen do internetu przez proxy. co o tym sadzicie?.. |
||
| nowsze | 1 2 | starsze |
| Tytuł | Autor | Data |
|---|---|---|
Ochrona danych osobowych.... |
Jerzy Junkiewicz | 2005-10-18 14:39 |
Udostepnianie danych osobowych |
Daroot | 2006-01-08 16:30 |
Ochrona danych osobowych |
Zbynek Ltd. | 2006-01-12 15:47 |
Ochrona danych osobowych |
Waldemar Bulkowski | 2006-01-18 08:31 |
kradziez danych osobowych |
BJ | 2006-10-09 18:53 |
ochrona danych osobowych |
Argonn | 2006-12-12 21:02 |
baza danych i problrm z ochrona danych osobowych |
Paluch | 2007-02-23 23:27 |
ochrona danych osobowych... |
Bartek | 2007-03-13 00:54 |
Ochrona danych osobowych |
emil | 2007-03-20 20:32 |
Przechowywanie danych osobowych |
SOCAR | 2007-05-17 17:08 |