Środki bezpieczeństwa stosowane na wysokim poziomie zabezpieczeń

Na podstawie ustawy minister spraw wewnętrznych i administracji wydał rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z paragrafem 6 tego dokumentu zabezpieczenia wymagane przez ustawę dzielą się na 3 poziomy: podstawowy, podwyższony i wysoki.

Zabezpieczenia na poziomie podstawowym muszą być stosowane, gdy:

• w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy (czyli tzw. dane wrażliwe);

• żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną.

Zabezpieczenia na poziomie podwyższonym powinny być stosowane w następujących przypadkach:

• w systemie informatycznym są przetwarzane dane, o których mowa w art. 27 ustawy;

• żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną.

Jeżeli zaś chociaż jedno urządzenie ma połączenie z Internetem, administrator musi stosować wysoki poziom wysoki zabezpieczeń.

Co do minimalnych wymogów stawianych przez poszczególne poziomy zabezpieczeń można wskazać w szczególności dla:

• poziomu podstawowego: kontrola dostępu do danych, zabezpieczenia przed utratą danych wskutek awarii zasilania lub zakłóceń w sieci zasilającej, wykonywanie kopii zapasowych;

• poziomu podwyższonego: ustawienie reguły, zgodnie z którą hasło dostępowe składa się co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne, zabezpieczenie urządzeń i nośników w sposób zapewniający poufność i integralność danych;

• poziomu wysokiego: ochrona przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem; stosowanie środków kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.