Ochrona danych osobowych na poziomie podstawowym

Autor: Marcin Szeliga
Data: 16-06-2014 r.

Aby zastosować podstawowy poziom ochrony danych osobowych należy wykorzystać fizyczne i logiczne środki kontroli dostępu. Zasady ochrony fizycznej, czyli dostępu do pomieszczeń z bazami, należy uregulować w polityce bezpieczeństwa firmy.

Bardziej szczegółowe regulacje dotyczą logicznej kontroli dostępu. Jeżeli dostęp do systemu ma wielu użytkowników, każdy z nich musi posługiwać się odrębnym identyfikatorem. Sytuacja, w której aplikacja kliencka (np. aplikacja WWW) łączy się z bazą za pomocą jednego, zawsze tego samego konta, wymaga wdrożenia kontroli dostępu po stronie tej aplikacji. Ponadto identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. Ponieważ prawidłowe zarządzanie identyfikatorami użytkowników po stronie aplikacji klienckiej jest skomplikowane, zaleca się korzystanie w tym zakresie z wbudowanych funkcji serwera bazodanowego.

Najczęściej stosowanym mechanizmem uwierzytelniania użytkowników jest sprawdzanie loginu i hasła. Hasła użytkowników powinny składać się z co najmniej 6 znaków i być zmieniane nie rzadziej niż co 30 dni. Powyższe zasady można wymusić za pomocą odpowiednich funkcji serwera bazodanowego, np. w przypadku serwera SQL Server, korzystając z Zasad haseł.

Bezpieczeństwo serwera bazodanowego

Kolejny wymóg to zabezpieczenie systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu. Sformułowanie to jest dość ogólne i nie zostało przez ustawodawcę sprecyzowane. Z tego powodu należy wdrożyć zalecenia producenta danego serwera bazodanowego, np. dla serwera SQL firmy Microsoft zalecenia opisane w dokumencie SQL Server 2012 Security Best Practices - Operational and Administrative Tasks. W ten sposób nie tylko poprawimy bezpieczeństwo serwera, ale również, w przypadku ewentualnego wycieku danych, będziemy w stanie udowodnić, że dołożyliśmy wymaganych starań w celu zabezpieczenia systemu informatycznego.

Natomiast by zabezpieczyć system informatyczny przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej, wystarczy zastosować urządzenia podtrzymujące zasilanie (UPS). Przy czym nie ma żadnego wymogu co do czasu awaryjnego zasilania sprzętu informatycznego. Tak więc wystarczy zainstalować urządzenie, które w razie awarii pozwoli bezpiecznie wyłączyć serwer bazodanowy.

W przypadku danych osobowych na komputerach przenośnych należy zapewnić ochronę kryptograficzną na czas, gdy urządzenie jest wykorzystywane poza tzw. obszarem przetwarzania. Wymóg ten można spełnić, szyfrując całe dyski komputerów przenośnych (np. technologią TrueCrypt lub BitLocker) lub szyfrując pliki bazodanowe (np. technologią EFS).

Likwidacja nośników danych

Urządzenia, dyski, elektroniczne nośniki informacji przeznaczone do likwidacji lub przekazania podmiotowi nieuprawnionemu należy pozbawić zapisu danych w sposób trwały, a w przypadku ich naprawy naprawiać je pod nadzorem. Trzeba pamiętać, że sformatowanie czy usunięcie partycji dysków twardych złomowanych lub przekazywanych (np. szkole) komputerów nie spełnia tego wymogu. Aby trwale usunąć dane, należy co najmniej kilkukrotnie nadpisać dysk pseudolosowymi danymi (w systemach Windows możemy w tym celu, po sformatowaniu partycji, wykonać instrukcję Cipher /W:C:, gdzie C: jest literą kasowanej partycji). Dopuszczalne jest również rozmagnesowanie dysku za pomocą specjalnego urządzenia.

Ponadto przetwarzane dane należy zabezpieczyć, regularnie wykonując kopie zapasowe zarówno baz danych, jak i programów klienckich (ustawodawca nie określa częstotliwości wykonywania tych kopii). Kopie zapasowe należy przechowywać w odrębnej lokalizacji, zabezpieczone przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem. Oznacza to, że fizyczny dostęp do kopii zapasowych musi być kontrolowany w podobny sposób, co fizyczny dostęp do serwerów bazodanowych.

Marcin Szeliga, Microsoft Most Valuable Professional,założyciel SQLExpert.pl

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Radcy Prawnego Małgorzata Suchecka

    al. Grunwaldzka 472D Lokal 1 Olivia Business Centre, Olivia Six (13. piętro), 80-309 Gdańsk

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • Buszan Suchecka Orłowski Adwokat Radcowie Prawni Sp.p.

    ul. Armii Krajowej 22/2, 81-849 Sopot

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • KANCELARIA ADWOKACKA Adwokat Michał Gajda

    ul. Księcia Bogusława X 1/3, 70-440 Szczecin

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
Array ( [docId] => 35107 )
Array ( [docId] => 35107 )

Array ( [docId] => 35107 )