Kilkanaście dni temu ujrzał światło dzienne dokument pod nazwą: Massachusetts Data Protection Law, który wyznacza pewien standard w zakresie ochrony danych osobowych. Na dzień dzisiejszy obowiązuje on na terenie stanu Massachusetts, ale mając na uwadze wielorakość projektów, procedur i patentów, które z tamtego stanu przeniosły się najpierw na rynek amerykański, a potem w ramach umów międzynarodowych (chociażby Sarbanes-Oxley Act,) na resztę świata; warto moim zdaniem już teraz się z nim zapoznać i może za wczasu pomyśleć o dostosowaniu swoich przepisów wewnętrznych do tych zapisów.
Jakie są najważniejsze dla IT zapisy?
Prawo wymaga używania odpowiednich środków bezpieczeństwa systemu komputerowego w celu ochrony danych osobowych, jak opisano w sekcji 17.04:
1. Bezpieczne protokoły uwierzytelniania użytkownika w tym:
a) kontrola identyfikatorów użytkowników i innych znaków rozpoznawczych;
b) bezpieczna metoda przypisywania i wybierania haseł składających się z co najmniej siedmiu liter i cyfr;
c) kontroli bezpieczeństwa danych hasła w celu zapewnienia, że takie hasła są przechowywane w miejscu, niezależnie od miejsca przechowywania danych, do których dostepu wymagane jest to hasło dostępu;
d) ograniczenie dostępu do aktywnych użytkowników i aktywnych kont użytkowników tylko
e) blokowania dostępu do identyfikacji użytkownika (po wielu nieudanych próbach uzyskania dostępu) lub ograniczenia wprowadzania danych w szczególności do dostępu do systemu;
2. Bezpieczna kontrola dostępu do środków, które:
a) ograniczenie dostępu do dokumentacji oraz plików zawierających dane osobowe tych, którzy potrzebują tego rodzaju informacji do wykonywania swoich obowiązków pracy,
b) przypisanie identyfikatorów oraz haseł, dla kazdej osoby korzystającej z komputera;
3. Szyfrowanie wszystkich nadawanych danych i plików zawierające dane osobowe, w tym w środowiskach bezprzewodowych, które będą transmitowane przez sieć publiczną.
4. Okresowe monitorowanie sieci i systemów, pod kątem nieautoryzowanego użycia lub dostępu do informacji osobistych, oraz nagranie ścieżki audytu dla użytkowników, wydarzenia, daty, godziny i sukcesu lub niepowodzenia logowania;
5. Okresowe oceny kontroli miejsc pracy ograniczać się do tych miejsc pracy związanych z potrzebą widok ścieżki audytu;
6. W przypadku plików zawierających dane osobowe w systemie, który jest podłączony do Internetu, musi być wdrożona chrona firewall z aktualnymi łatkami, w tym dla systemu operacyjnego i jego zabezpieczeń. Zapora musi, chronić co najmniej urządzenia zawierających informacje osobiste i monitorować dostęp lub połączenia z nieautoryzowanych źródeł/użytkowników.
7. W najnowszej wersji systemu bezpieczeństwa agenta oprogramowania, które musi zawierać AntiSpyware i oprogramowania antywirusowego, w tym aktualne łatki i definicje wirusów lub wersję takiego oprogramowania, które mogą być nadal wspierane z aktualnych łatek i definicji wirusów, które obejmuje oprogramowanie zabezpieczające, musi być tak ustawiony, aby uzyskać najnowsze aktualizacje zabezpieczeń w sposób regularny.
8. Edukacja i szkolenie pracowników w zakresie prawidłowego korzystania z komputera, systemu bezpieczeństwa i znaczenie ochrony danych osobowych.
9. Ograniczony fizyczny dostęp do zapisów komputerowych zawierających dane osobowe, w tym pisemne procedury, które określają, w jaki sposób fizyczny dostęp do danych osobowych jest ograniczony. Gdy stwierdzono nieautoryzowane wejście w bezpieczny obszar albo przez pracownika, albo jakiejkolwiek innej osoby – nieupoważnionej, integralność systemu komputerowego musi być poddana przeglądowi.
Pełną treść zapisu można pobrać stąd. Dodatkowo można też wysłuchać komentarza do tego zapisu tutaj.
0 Comments.