Am primit acum citeva zile un link de la un blog foarte interesant despre legile romanesti in domeniul IT-ului. Postul care mi-a atras atentia punea in discutie “Cerintele minime in domeniul prelucrarii datelor cu caracter personal”. Cum am scris si acolo intr-un comentariu, consider ca legea cu toate ca prevede lucruri care sint absolut necesare cum ar fii: obligativitatea unui “user roles model”, anonimizarea datelor, modalitatea de access la sistemele care contin datele personale, physical IT security, obligativitatea politicilor si procedurilor, a logurilor de access cit si criptarea liniilor de transmisie, trece cu vederea problemele legate de nevoia de a avea sisteme de operare si aplicatii cit mai sigure.

Legea nu prevede de exemplu ca sistemele de operare si aplicatiile sa fie in asa fel instalate incit sa indeplineasca cerintele unor standarde internationale de computer security cum ar fii (Common Criteria ). Majoritatea sistemelor de operare (Windows, Redhat, Suse sau Solaris) cit si o multitudine de aplicatii sint certificate EAL 3,3+ sau 4.

Totodata nu este prevazuta obligativitatea criptarii datelor in cazul in care ele sint copiate sau exportate pe alte medii de stocare. Este cunoscut cazul unui auditor de la Deloitte & Touche USA care a uitat in avion un CD necriptat cu datele tuturor angajatilor de la McAfee.

In pagina 4 este totusi stipulata obligativitatea unor audituri. Dar daca auditurile se vor margini numai la a verifica daca serverele sint in camere inchise atunci ce mai conteaza daca serverul ruleaza un sistem de operare la care nu s-au mai aplicat patch-uri sau aplicatia este plina de bug-uri de securitate.

De ce inca odata este uitata nevoia de securitate in domeniul IT si se incearca protejarea unor date cu continut atit de sensibil prin inchiderea in pivnita a serverelor? Si asta este o solutie, dar in cazul asta legea ar trebui sa interzica folosirea oricarui fel de networking pentru aceste calculatoare.

Anunțuri