Temat: Fizyczne zabezpieczenie przed zagrożeniami z internetu -...

Załącznik do rozporządzenia, część C.XII

System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami
pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń
chroniących przed nieuprawnionym dostępem.

2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a
siecią publiczną;

b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

Przez logiczne zabezpieczenia rozumiem oprogramowanie firewalla, tym bardziej, że spełnia definicję np. firewalla filtrującego IP, natomiast zastanawiam się, co ustawodawca miał na myśli jako zabezpieczenia fizyczne? Nie chodzi o firewall sprzętowy, bo wtedy ust. 2 byłby wyłączony, a więc nie miałoby to sensu.

"Fizyczne zabezpieczenia chroniące przed nieuprawnionym dostępem" pojawiają się także w innych rozporządzeniach, np. w rozporządzeniu ministra pracy i polityki społecznej z dnia 28 listopada 2007 r. w sprawie warunków, sposobu oraz trybu gromadzenia i usuwania danych w ramach Elektronicznego Krajowego Systemu Monitoringu Orzekania o Niepełnosprawności

§ 11. 1. System chroni się przed zagroŜeniami pochodzącymi z sieci publicznej poprzez wdroŜenie fizycznych
oraz logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
2. Logiczne zabezpieczenia, o których mowa w ust. 1, obejmują:
1) kontrolę przepływu informacji pomiędzy systemem a siecią publiczną;
2) kontrolę działań inicjowanych z sieci publicznej i systemu.
3. Dla danych przesyłanych w sieci publicznej stosuje się środki kryptograficznej ochrony.

Swoją droga widać, że to copy-paste z rozporządzenia do uodo - swoją drogą nie mozna było w jednym rozporządzeniu odwołać się do innego? W ogóle polecam lekturę treści tego rozporządzenia - bo fajne "zjawisko".

Jak myślicie - co to jest "fizyczne zabezpieczenie chroniące przed nieuprawnionym dostępem pochodzącym z sieci publicznej"? Odłączenie kabla? ;)

Temat: Fizyczne zabezpieczenie przed zagrożeniami z internetu -...

Ten firewall trzeba również zabezpieczyć przed niepowołanym dostępem i to nie tylko w ramach sieci. Porządne drzwi do pomieszczenia w kórym jest zainstalowany na pewno nie zaszkodzą. Ponadto firewall może byc nie tylko programowy ale równiż sprzętowy.

A tak na poważnie. Chodzi o zabezpieczenie fizycznego dostępu do urządzeń umożliwiających dostęp do Internetu lub porzez Internet do sieci firmy. Na nic nam doskonałe zabezpieczenia logiczne jeżeli do naszego biura może wejść ktokolwiek lub ktokolwiek może się podłączyć do naszego systemu zabezpieczeń. Ponadto mając dostęp bezpośrednio do portu konsoli urządzenia całą zapisaną w nim politykę bezpieczeństwa można "przewrócić do góry nogami" i nikt tego nie zauważy. Mało tego nie będzie śladu kto to zmienił.

Temat: Fizyczne zabezpieczenie przed zagrożeniami z internetu -...

Hmmm. to na temat odrębny. Zrozumienie - że analiza zagrożeń jest podstawą do budowania systemu bezpieczeństwa.

Czy zrobimy go na iso 27001, czy na "zdroworozsądkowym" - nie jest istotne.

Temat: Fizyczne zabezpieczenie przed zagrożeniami z internetu -...

Skoro jesteśmy przy rozporządzeniu - przy poziomie podwyższonym

Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych

Wydaje mi się, że ten zapis powinien dotyczyć każdego z poziomów :-) Z treści rozporządzenia wynika, że dane osobowe zwykłe nalezy zabezpieczać tylko na laptopach a w innej formie niekoniecznie :-)

Temat: Fizyczne zabezpieczenie przed zagrożeniami z internetu -...

Jeżeli mówimy zabezpieczeniu dostępu do sieci publicznej, to fizyczne zabezpieczenie poprzez brak łącza wydaje się nie mieć sensu. Chociaż rozmawiałem kiedyś z dostawcą rozwiązania, które wyglądało mniej więcej tak:
Serwer poczty elektronicznej znajduje się pomiędzy dwoma układami elektronicznymi, podłączającymi go na zmianę do sieci publicznej lub lokalnej. Podobno rozwiązanie to powstało na potrzeby przetwarzania informacji niejawnych.
To raczej taka ciekawostka i w dodatku nie podoba mi się, bo w moim przekonaniu, serwer poczty elektronicznej też jest elementem systemu.

W literaturze można spotkać się z opinią, że chodzi tutaj o firewall-e sprzętowe i programowe. Nie bardzo mogę się z tym zgodzić, bo dla mnie główną różnicą między firewall-em sprzętowym a programowym jest obudowa :) W środku też mam procesor i niejednokrotnie system operacyjny.
W dodatku, pojęcie logicznych zabezpieczeń, nie wyklucza dla mnie ich sprzętowej realizacji.
Rozporządzenie mówi „W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one(...)”. Czyli jeżeli zastosuję sprzętowy firewall, to nie muszę np. prowadzić kontroli działań inicjowanych z sieci publicznej? To dla mnie wyklucza interpretację zgodnie z którą jako zabezpieczenia fizyczne należy rozumieć sprzętowy firewall.

Spotkałem się też z opinią, że jako zabezpieczenia fizyczne należy tu rozumieć, np. zabezpieczenia przeciwprzepięciowe. Fajnie, tylko, że mamy tu słowo „lub”. Czyli jeżeli zabezpieczę się przed skutkami burzy, to przed hakerem już nie muszę? To samo dotyczy zabezpieczenia sprzętu przed dostępem osób nieupoważnionych.

W praktyce pewnie wszyscy stosujemy zabezpieczenia fizyczne sprzętu na którym działają zabezpieczenia logiczne i problem dla nas nie istnieje.
Natomiast w cytowanym rozporządzeniu dotyczącym EKSMOoN jest moim zdaniem lepiej. „Lub” zastąpiono przez „oraz” – czyli tak jak należy, stosujemy zabezpieczenia fizyczne i logiczne. Dodano też zabezpieczenia kryptograficzne całego ruchu, a nie tylko dotyczącego uwierzytelnienia.

Ale większym problemem jest dla mnie jak zapewnić „kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;”. Jeżeli mówimy o informacjach, oznacza to, że zwykły filtr pakietów a nawet proxy nie wystarczy. Mamy kontrolować wszystkie przepływające informacje? Oczywiście możemy wdrażać systemy kontroli treści, tylko że to chyba nie o to chodzi – nie wszędzie jest to niezbędne, kosztuje dużo pieniędzy, a gdy powstawało rozporządzenie, to jeszcze niewielu o takich systemach słyszało...