GoldenLine
Zaloguj się
Gracjan Tyczyński

Gracjan Tyczyński Specjalista
Informatyk,
Regionalny Szpital w
Kołobrzegu

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Witam serdecznie.
Mam do Was takie zapytanie.
Chodzi o instrukcje przetwarzania danych w systemach informatycznych.

Czy podpowie mi ktoś jak powinien wyglądać wpis dotyczący metod szyfrowania nośników wymiennych? (np. TrueCrypt), który był by zawarty w w/w instrukcji.

Proszę o jakiś przykład tutaj lub na priv.
Dziękuję.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Wszystko zależy od tego jaki jest charakter tego wpisu. Instrukcje w niektórych firmach są po to (jedynie) aby zapewnić "zgodność" z ustawą (i rozporządzeniem). A w innych są to dokumenty, które mają "żyć" - służą pracownikom jako źródło wiedzy np. jak coś robić i czego nie robić. Ja jestem fanem tego drugiego podejścia.

Instrukcja (teoretycznie) kierowana jest do wyznaczonych pracowników (głównie personel informatyczny). Moim zdaniem wpis powinien wyglądać "praktycznie" A to jaka jest jego treść - należy samemu zadecydować. Ważne, aby ten, kto czyta, zrozumiał co i jak ma zrobić.
Link do wypowiedziLink
Gracjan Tyczyński

Gracjan Tyczyński Specjalista
Informatyk,
Regionalny Szpital w
Kołobrzegu

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Leszek K.:
Wszystko zależy od tego jaki jest charakter tego wpisu. Instrukcje w niektórych firmach są po to (jedynie) aby zapewnić "zgodność" z ustawą (i rozporządzeniem). A w innych są to dokumenty, które mają "żyć" - służą pracownikom jako źródło wiedzy np. jak coś robić i czego nie robić. Ja jestem fanem tego drugiego podejścia.

Instrukcja (teoretycznie) kierowana jest do wyznaczonych pracowników (głównie personel informatyczny). Moim zdaniem wpis powinien wyglądać "praktycznie" A to jaka jest jego treść - należy samemu zadecydować. Ważne, aby ten, kto czyta, zrozumiał co i jak ma zrobić.

Czy możesz na priv coś przykładowego mi wysłać co własnie tego dotyczy? Szyfrowanie nośników wymiennych (pendrive). Sobie przeanalizuję. Dziękuję.
Link do wypowiedziLink
Gracjan Tyczyński

Gracjan Tyczyński Specjalista
Informatyk,
Regionalny Szpital w
Kołobrzegu

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

W celu ochrony danych przenoszonych na nośnikach wymiennych np. pendrive stosuje się szyfrowanie informacji znajdujących się właśnie na tym urządzeniu. Do celów szyfrowania danych stosuje się narzędzie TrueCrypt.

Ale to za mało chyba. Jeżeli chcę o tym zawrzeć w instrukcji przetwarzania danych informatycznych to jak to mogę sformułować, aby było prawidłowo?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

I co z tego zapisu wynika? Że się stosuje?

Procedurę szyfrowania napisz.

1. Cel procedury
2. Podstawy (np polityka, instrukcja, czy jakiś przepis wewnętrzny)
3. Definicje w tym co to jest ten truecrypt (nie mi, ja wiem), co to jest nośnik wymienny etc
4. Zasady ogólne - czyli obowiązki i z czego to wynika. Wraz z batem, jak ktoś nie stosuje. Odpowiednie zapisy z ustawy znajdziesz.
5. czynności "krok po kroku" szyfrowanie, deszyfrowanie, co robić jak sie nie uda.
6. Nadzór nad realizacją
7. wykaz przepisów powołanych

Gdzieś tam jeszcze określ właściciela procesu.
Link do wypowiedziLink
Michał K.

Michał K. Specjalista ds.
bezpieczeństwa
informatycznego

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Tak jak Grzegorz proponuję zrobienie oddzielnej procedury. W samej procedurze nie stosowałbym nazw programów, bo jak zmienisz oprogramowanie będziesz musiał zmienić dokument. Lepiej zrobić załącznik, gdzie będzie lista dopuszczonych algorytmów, wraz z wymaganiami odnośnie kluczy oraz lista dozwolonego oprogramowania. Pamiętaj, że możesz mieć też pendrivy szyfrowane sprzętowo. Przy okazji przypominam też o szyfrowaniu dysków zewnętrznych i samych laptopów, jeśli takie masz.Michał K. edytował(a) ten post dnia 29.05.12 o godzinie 13:37
Link do wypowiedziLink
Gracjan Tyczyński

Gracjan Tyczyński Specjalista
Informatyk,
Regionalny Szpital w
Kołobrzegu

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Dzięki za wyczerpujące podpowiedzi, ale chodzi mi o zapis w Instrukcji a nie procedurę.
Jak mam wpisać przykładowo w instrukcji Zarządzania - Instrukcja Przetwarzania Danych w systemach informatycznych.

Jak ma wpis wyglądać, ponieważ nie mogę sam nim wykombinować.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Zapis w instrukcji? Tak ci ktoś narzucił, czy sam chcesz?
Link do wypowiedziLink
Gracjan Tyczyński

Gracjan Tyczyński Specjalista
Informatyk,
Regionalny Szpital w
Kołobrzegu

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Grzegorz K.:
Zapis w instrukcji? Tak ci ktoś narzucił, czy sam chcesz?

Takie zalecenia.
Jak to można zawrzeć? Podpowie ktoś na priv? Jakiś przykład?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

A wiesz, mały problem jest. Widziałem juz kilkanaście wzorów instrukcji. Od mocno opartej na załącznikach, po praktycznie jednolity tekst. Więc nieco nie wiem. co ci poradzić.

Masz spis treści? Nie musi być cały.
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Ja to widzę tak:
1. zapis w Instrukcji jest prawidłowy,
2. jeżeli chcesz uszczegółowić napisz procedurę (zgodnie z tym co pisze Grzegorz) i zrób z niej załącznik lub zejdź do poziomu 3 w konstrukcji dokumentacji,
3. co do nazwy programu to z jednej strony faktycznie nie ma sensu pisać nazwy aplikacji w Instrukcji (lepiej zrobić to w procedurze) ale nie stosowałbym takiego podejścia o jakim pisze p. Michał - jeżeli zmieni się aplikacja może zmienić się zasada szyfrowania a stosowanie ogólnego zapisu (pasującego do każdego rozwiązania) nie jest komfortowe – ma to odzwierciedlać stan faktyczny a nie ogólny,
4. pamiętaj również o tym, że w Instrukcji nie powinno być zapisów szczegółowych (jak szczegółowe to procedury dla konretnych systemów i wtedy schodzisz do poziomu 3)
5. jak chcesz wzorzec to sięgnij do komentarza p. Andrzeja Drozda http://www.ksiegarnia.lexisnexis.pl/prawo/7277,ustawa-... – tu masz zamieszczony przykładowy wzór IZSI.
Link do wypowiedziLink
Gracjan Tyczyński

Gracjan Tyczyński Specjalista
Informatyk,
Regionalny Szpital w
Kołobrzegu

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Tzn, że w instrukcji taki zapis tylko wystarczy ?

W celu ochrony danych przenoszonych na nośnikach wymiennych np. pendrive stosuje się szyfrowanie informacji znajdujących się właśnie na tym urządzeniu. Do celów szyfrowania danych stosuje się narzędzie umożliwiające szyfrowanie danych np. TrueCryptGracjan Tyczyński edytował(a) ten post dnia 29.05.12 o godzinie 23:12
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Jeżeli zapis będzie odnosił się do załącznika/procedur (w której będzie to bardziej szczegółowo opisane) to jak najbardziej. Jeżeli chcesz zrobić zapis typu "sztuka dla sztuki" to wystarczy. Nie polecam uszczegóławiania w Instrukcji ponieważ zwróć uwagę, że zazwyczaj obowiązek z zapoznaniem się z treścią tego dokumentu mają pracownicy organizacji co oznacza, że będą mieli wiedzę jak to się robi, czym itp. a wg. mnie do niczego nie jest im to potrzebne.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Z instrukcją albo lepiej - z poszczególnymi jej częściami (np. w postaci odrębnych dokumentów) zapoznają się tylko ci, którzy powinni (need to know basis:). Przykładowo nie sądzę, aby lokalizacje backupów albo szczegóły
dotyczące tego jakim programem są wykonywane należało udostępniać wszystkim.

Wykaz z rozporządzenia co ma zawierać instrukcja:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Dlatego uważam, że instrukcja to szereg dokumentów, a nie jeden.Leszek K. edytował(a) ten post dnia 30.05.12 o godzinie 08:13
Link do wypowiedziLink
Gracjan Tyczyński

Gracjan Tyczyński Specjalista
Informatyk,
Regionalny Szpital w
Kołobrzegu

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Czy może kto mi na maila jakiś przykładowy wzór takiej procedury przesłać? Trochę czas nagli i potrzebuję. Dalej sobie już poradzę.

g.tyczynski@gmail.com

Dziękuję.
Link do wypowiedziLink
Gracjan Tyczyński

Gracjan Tyczyński Specjalista
Informatyk,
Regionalny Szpital w
Kołobrzegu

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Pomoże kto? Będę wdzięczny.
Link do wypowiedziLink
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Tak jak wcześniej wskazywał Grzegorz i Leszek instrukcja jest to szereg dokumentów (procedur). Należy zastosować poziomowość dokumentacji czyli od ogółu do szczegółu. Polityka i instrukcja zarzadzania jako dokumenty ogólnego zastosowania, gdzie powinny być zastosowane odniesienia do tych szczegółowych procedur dedykowanych do konkretnych osób funkcyjnych zgodnie z zasadą wiedzy niezbędnej. Każdy zapoznaje się i pracuje wg. procedur go obowiązujących na danym stanowisku pracy.
Wymagania ogólne co do stosowanych środków uwierzytelnienia powinny być Polityce Bezpieczeństwa Danych Osobowych (zaimplementowane w systemach informatycznych). Natomiast obowiązki użytkowników w zakresie korzystania ze środków uwierzytelnienia mogą być ujęte np. w Regulaminie Użytkownika Systemu Komputerowego lub/oraz w Regulaminie Ochrony i Klasyfikacji informacji.
Ogólny zapis powinien formułować że w przypadku nośników wymiennych – stosuje się politykę korzystania z pendrive’ow służbowych (jednocześnie wymuszając ustawieniami systemu operacyjnego brak możliwości podpięcia innych nośników), a informacje na nich zawarte są zaszyfrowane (np., z wykorzystaniem darmowego oprogramowania truecrypt). Dyski twarde w urządzeniach przenośnych (np. laptopy, netbooki) są zabezpieczone albo na poziomie sprzętowym (jeżeli to jest możliwe – szyfrowania/zabezpieczenie hasłem dostępu z poziomu BIOSu,), albo poprzez programowe szyfrowanie (np. poprzez oprogramowanie truerypt).
Informacje z dysków twardych przy zbywaniu/przekazywaniu sprzętu powinny być usuwane: np. wieloprzebiegowym algorytmem usuwania danych (darmowe oprogramowanie Eraser), alternatywnie demagnasowane lub fizycznie niszczone. Proces usuwania informacji z nośników danych powinien być sformalizowany, a zapisy z poszczególnych działań utrzymywane.
Polityka jak i instrukcja (wymagana przepisami ustawy) podlega często przeglądom różnych instytucji w tym klientów organizacji. dokumenty te mają zapewnić, że system bezpieczeństwa danych osobowych jest wdrożony i funkcjonuje. Natomiast szczegóły powinny byc ujete w dokumentach niższego poziomu. W ten sposób zapewnia też się bezpieczeństwo systemu i danych w nim przechowywanych i przetwarzanych.
Link do wypowiedziLink
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Instrukcja Przetwarzania Danych osobowych - Szyfrowanie...

Jako alternatywę możesz również zastosować autoryzację (uwierzytelnianie) w oparciu o dwa podstawowe elementy: „coś, co mam” i „coś, co znam” wykorzystując do tego kartę stosowaną do uwiarygodnienia użytkownika oraz PIN. Dane zapisane na karcie są wtedy odporne na podsłuch, kopiowanie i nieautoryzowane próby zmiany danych. Natomiast logowanie do komputera realizowane jest poprzez włożenie karty do czytnika i podanie kodu PIN do karty. Po wprowadzeniu numeru PIN zostanie on rozpoznany jako poprawny, użytkownik zostanie zalogowany do komputera. Dodatkową zaletą takiego rozwiązania jest to, że od razu po jej wyjęciu z czytnika następuje automatyczne wylogowanie użytkownika i blokowanie komputera, co zapobiega użytkowaniu komputera przez osoby niepowołane. Ponadto można takie rozwiązanie jednocześnie wykorzystać w systemie kontroli dostępu do pomieszczenia. Dodatkowo może służyć do korzystania z Infrastruktury Klucza Publicznego – PKI czyli podpisywania/szyfrowania wykonanych dokumentów – co zapewnia wiarygodną identyfikację, ochronę integralności dokumentów elektronicznych, gwarancję poufności przechowywanych danych a także znakowanie dokumentów wiarygodnym czasem – zapewnia, że dane istniały przed ich oznaczeniem oraz stanowi dowód, iż od tego czasu dane te nie były modyfikowane.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj