W ramach procedury nadawania uprawnień w systemie informatycznym należy opisać:
Kwestia nadawania użytkownikom uprawień w systemie informatycznym powinna zostać opisana w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która wraz z polityką bezpieczeństwa składa się na dokumentację przetwarzania danych osobowych. Sporządzenie, wdrożenie i aktualizacja dokumentacji to obowiązek administratora danych, a także podmiotu przetwarzającego powierzone dane osobowe.
Procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym powinna opisywać wszystkie etapy oraz czynności podejmowane przez wyznaczone osoby od momentu nadania uprawień użytkownikowi dostępu do zasobów systemu informatycznego (utworzenie konta), przez modyfikację, czasowe zawieszenie jego uprawnień, aż do wyrejestrowania z systemu (GIODO, ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych).
Pierwsza część procedury nadawania uprawnień w systemie informatycznym powinna dotyczyć procesu nadawania uprawnień. Należy zacząć od wskazania sposobu obiegu w organizacji informacji o konieczności nadania uprawnienia oraz określić, jakie warunki musi spełnić potencjalny użytkownik, aby mógł uzyskać uprawnienia do przetwarzania danych w systemie informatycznym.
PRZYKŁAD Obieg informacji będzie się różnił w zależności od przyjętych rozwiązań i struktury organizacji, ale najczęściej będzie zbudowany następująco: 1) bezpośredni przełożony/pracownik działu HR informuje (należy wskazać formę, np. wniosek złożony w systemie, wniosek w formie papierowej, informacja w wiadomości e-mail) administratora bezpieczeństwa informacji (ABI) o nowym pracowniku (zmianie zakresu upoważnienia do przetwarzania danych osobowych obecnego pracownika) oraz administratora systemu informatycznego (ASI) lub inną osobę odpowiedzialną za przydzielanie i zarządzanie uprawnieniami użytkowników w systemie informatycznym, 2) ASI po nadaniu uprawnień użytkownikowi (identyfikatora i hasła), przekazuje do ABI nadany identyfikator w celu odnotowania w ewidencji osób upoważnionych do przetwarzania danych osobowych, 3) ASI oraz ABI powinni zostać bez zwłoki poinformowani przez bezpośrednio przełożonego/pracownika działu HR o konieczności odebrania lub zmiany zakresu upoważnienia i uprawnień. |
Przed nadaniem użytkownikowi uprawnień do przetwarzania danych osobowych w systemach informatycznych należy:
Są to obowiązki administratora bezpieczeństwa informacji. Jeżeli nie został on powołany, realizuje je administrator danych lub inna wyznaczona przez niego osoba.
W dalszej części procedury powinien znaleźć się przebieg rejestracji użytkownika w systemie przez administratora systemów informatycznych, czyli rejestracja użytkownika w systemie, nadanie identyfikatora, zakresu uprawnień i hasła użytkownikowi. Następnie należy zawrzeć zobowiązanie ASI do przekazania administratorowi bezpieczeństwa informacji identyfikatora przyznanego użytkownikowi, aby mógł go odnotować w ewidencji osób upoważnionych do przetwarzania danych osobowych.
Zgodnie z wymogami rozporządzenia nadawany identyfikator musi być unikalny, hasło powinno się składać z minimum 8 znaków zawierać małe i wielkie litery oraz cyfry lub znaki specjalne oraz być zmieniane nie rzadziej niż co 30 dni (wymagania dla wysokiego poziomu bezpieczeństwa). Dostęp do systemów informatycznych, służących do przetwarzania danych osobowych możliwy jest jedynie po podaniu unikalnego identyfikatora i dokonaniu uwierzytelnienia. W procedurze należy opisać sposób przekazania hasła użytkownikowi (np. w formie pisemnej, elektronicznej). Warto, aby hasło pierwszego logowana miało charakter tymczasowy i po pierwszym logowaniu do systemu wymagana była zmiana hasła przez użytkownika jeszcze przed rozpoczęciem pracy w systemie.
Opisana procedura dotyczy powszechnie stosowanej metody uwierzytelniania użytkowników w systemie za pomocą unikalnego identyfikatora i hasła. Możliwe są jednak inne metody uwierzytelniania lub stosowanie dodatkowego etapu uwierzytelniania (hasło sms, tokeny, klucze sprzętowe). Zasady przydzielania i wykorzystywanie takich środków uwierzytelniania, należy odpowiednio opisać w procedurze nadawania uprawnień do przetwarzania danych osobowych.
W dalszej części procedury należy opisać wyrejestrowanie użytkownika z systemu informatycznego. O konieczności wyrejestrowana użytkownika z systemu, bezpośredni przełożony/pracownik HR informuje ASI (należy opisać, w jakiej formie powinno dojść do poinformowania i w jakim czasie, np. w dniu rozwiązania umowy). Administrator systemów informatycznych wyrejestrowuje użytkownika i informuje o tym ABI, aby ten mógł cofnąć upoważnienie do przetwarzania danych osobowych i odnotować to w ewidencji.
Wyrejestrowanie polega na usunięciu danych użytkownika z bazy użytkowników systemu. Identyfikator użytkownika, który utracił upoważnienie do przetwarzania danych w systemie informatycznym, powinien zostać niezwłocznie wyrejestrowany z systemu, a hasło powinno zostać unieważnione. Wyrejestrowanie użytkownika powinno nastąpić do końca ostatniego dnia jego obecności w pracy. Warto wprowadzić okresową weryfikację przez administratora systemów informatycznych kont użytkowników. Procedurę należy stosować odpowiednio w przypadku zmiany uprawnień.
Poza trwałym wyrejestrowaniem w procedurze należy uregulować czasowe zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej zablokowanie.
W procedurze nadawania uprawnień do systemu informatycznego należy także uregulować takie kwestie jak zastępstwo za administratora systemów informatycznych w przypadku jego nieobecności, obowiązek prowadzenia i ochrony przez ASI rejestru użytkowników i ich uprawnień w systemie.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl