Strona główna

Bezpieczeństwo Informacji - Szkolenie z 14 listopada 2012

 

Wstęp: dane osobowe

Dane osobowe to dane identyfikujące osobę fizyczną (szczegóły w ustawie o Ochronie Danych Osobowych - UODO). Wyróżnia się dane wymagające szczególnej ostrożności w przetwarzaniu (art. 27 ust. 1 UODO), między innymi dane o:

  1. nałogach,
  2. chorobach,
  3. skazaniach,
  4. poglądach politycznych i wyznaniowych.

Zagrożenia bezpieczeństwa

Przetwarzanym informacjom zagraża:

  1. dostęp nieuprawniony, 
  2. zniszczenie,
  3. naruszenie ich integralności i zmiana.

Konsekwencje

Osoba przetwarzająca dane osobowe powinna zwracać szczególną uwagę na ich bezpieczeństwo. Ich utrata może pociągać za sobą konsekwencje w postaci:

  1. pozwów o naruszenie dóbr osobistych,
  2. sprawy karnej.

Ustawa o ochronie danych osobowych nakłada na osobę przetwarzającą dane obowiązek informowania Administratora Bezpieczeństwa Informacji o każdym incydencie związanym z przetwarzanymi danymi osobowymi.

Najczęstsze przyczyny zniszczenia i ujawnienia danych

  1. Zgubienie nośnika,
  2. kradzież,
  3. techniczna awaria,
  4. wirusy i szkodliwe oprogramowanie,
  5. wyłudzenie danych lub zdobycie ich w sposób nieuprawniony (np. włamanie do systemu teleinformatycznego),
  6. przypadkowy dostęp osób niepowołanych (serwis sprzętu komputerowego itd.).

Zabezpieczanie danych przed zagrożeniami:

  1. Zabezpieczenie przed zniszczeniem to przede wszystkim kopie bezpieczeństwa.
  2. Zabezpieczenie przed wyciekiem danych:
  3. szczególna ostrożność przy przenoszeniu danych (nośniki wymienne łatwo zgubić lub ukraść),
  4. szyfrowanie danych tak, by nawet w przypadku dostaniu się nośnika w niepowołane ręce był on bezużyteczny,
  5. stosowanie ochrony antywirusowej i zapory,
  6. stosowanie odpowiednich haseł.

Hasła stosowane w systemach teleinformatycznych uczestniczących w przetwarzaniu danych osobowych powinny spełniać wymagania (wg. rozporządzenia MSWiA Z Dnia 29 Kwietnia 2004r (DZ. U. Z 2004 R. NR 100, POZ. 1024)  (dostępnego np. na http://www.giodo.gov.pl/144/id_art/1002/j/pl/):

  1. mieć co najmniej 8 znaków, im więcej tym lepiej,
  2. zawierać znaki specjalne i/lub duże litery,
  3. powinny być nieoczywiste, niesłownikowe, może być np. zdanie
  4. powinny być okresowo zmieniane.

Przykładowymi hasłami spełniającymi powyższe założenia są:

  •  !@#pp0)$11 
  • !HasloNiemozliweDoZlamaniaAutomatem!

Przy czym drugie z haseł jest bezpieczniejsze i łatwiejsze do zapamiętania. 

* oczywiście powyższe hasła już nie są bezpieczne, bo są publicznie dostępne.

 

Szyfrowanie danych

Obowiązek szyfrowania danych (kryptograficznego ich zabezpieczenia) ciąży na użytkowniku i wynika z Rozporządzenie MSWiA Z Dnia 29 Kwietnia 2004r (DZ. U. Z 2004 R. NR 100, POZ. 1024).

Łatwo dostępne możliwości zabezpieczania
danych

Najłatwiej kryptograficznie zabezpieczyć dane przez tak zwane szyfrowane archiwum. Stosunkowo łatwo je utworzyć i przy odpowiednim haśle i algorytmie zabezpieczeń zapewnia dobry poziom ochrony. Tworzenie przykładowego archiwum oprogramowaniem 7-zip przedstawione jest w filmiku http://www.youtube.com/watch?v=mZA2tgUUeBY.

Innym rozwiązaniem jest szyfrowanie dysku przenośnego (przedstawione np. na filmiku http://www.youtube.com/watch?v=Ottxl8EdvP0), na przykład przy pomocy bezpłatnego oprogramowania Truecrypt.

Można stosować też inne zabezpieczenia, należy jednak zwrócić uwagę na to, by algorytm szyfrujący zastosowany w oprogramowaniu był możliwie bezpieczny. Obecnie za bezpieczne uważa się międyzy innymi algorytmy  AES, Serpent i Twofish.

Zawsze należy pamiętać o tym, że wszystkie te rozwiązania są bezużyteczne jeżeli są niewłaściwie stosowane (na przykład użyte jest jednoliterowe hasło lub hasło przenoszone jest razem z nośnikiem danych).