Wymogi bezpieczeństwa dla systemów w administracji publicznej

Wymagany Ustawą o ochronie danych osobowych oraz rozporządzeniem MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004.100.1024) Wysoki poziom bezpieczeństwa może zostać spełniony poprzez spełnienie wszystkich wskazanych środków bezpieczeństwa które obejmują:

  • Kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną.
  • Kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.
  • Środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.
  • Do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków.
  • Zabezpieczenie pomieszczeń przed dostępem osób nieuprawnionych.
  • W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.
  • Dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
  • Zabezpieczenia przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.
  • Zabezpieczenia przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
  • Zmiana haseł następuje nie rzadziej niż co 30 dni.
  • Zabezpieczanie się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
  • Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem
  • Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego

Wszystkie wskazane wymogi powinny być spełnione poprzez jednostkę administracji publicznej decydującej się na zakup systemu eDokumenty. Sam system udostępnia wymagane funkcje pozwalające spełnić te wymogi. Pozostałe obowiązki wymagają przyjęcia lub odpowiedniej modyfikacji "Polityki bezpieczeństwa" oraz "Instrukcji korzystania z systemu informatycznego".