Archiwalny

Procedura nadawania uprawnień w systemie informatycznym – jak ją przygotować

Wojciech Rudzki

Autor: Katarzyna Zaklikocka

Dodano: 8 sierpnia 2017
Dokument archiwalny
Procedura nadawania uprawnień w systemie informatycznym – jak ją przygotować
Pytanie:  Jednym z wymaganych elementów instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych jest procedura nadawania uprawnień w systemie informatycznym. W jaki sposób zgodnie z przepisami należy opisać tę procedurę? Jakie elementy powinny się w niej obowiązkowo znaleźć?
Odpowiedź: 

W ramach procedury nadawania uprawnień w systemie informatycznym należy opisać:

  • obieg informacji o konieczności nadania uprawnienia – kto komu przekazuje tę informację,
  • warunki, jakie musi spełnić potencjalny użytkownik, aby mógł uzyskać uprawnienia do przetwarzania danych w systemie informatycznym,
  • przebieg rejestracji użytkownika w systemie przez administratora systemów informatycznych (ASI),
  • zobowiązanie ASI do przekazywania administratorowi bezpieczeństwa informacji identyfikatora przyznanego użytkownikowi,
  • sposób przekazania użytkownikowi hasła do systemu,
  • wyrejestrowanie użytkownika z systemu informatycznego,
  • pozostałe kwestie – zastępstwo za administratora systemów informatycznych w przypadku nieobecności, obowiązek prowadzenia i ochrony przez ASI rejestru użytkowników i ich uprawnień w systemie.

Kwestia nadawania użytkownikom uprawień w systemie informatycznym powinna zostać opisana w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która wraz z polityką bezpieczeństwa składa się na dokumentację przetwarzania danych osobowych. Sporządzenie, wdrożenie i aktualizacja dokumentacji to obowiązek administratora danych, a także podmiotu przetwarzającego powierzone dane osobowe.

Procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym powinna opisywać wszystkie etapy oraz czynności podejmowane przez wyznaczone osoby od momentu nadania uprawień użytkownikowi dostępu do zasobów systemu informatycznego (utworzenie konta), przez modyfikację, czasowe zawieszenie jego uprawnień, aż do wyrejestrowania z systemu (GIODO, ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych).

Opisz obieg informacji o konieczności nadania uprawnienia i warunki, jakie musi spełnić użytkownik

Pierwsza część procedury nadawania uprawnień w systemie informatycznym powinna dotyczyć procesu nadawania uprawnień. Należy zacząć od wskazania sposobu obiegu w organizacji informacji o konieczności nadania uprawnienia oraz określić, jakie warunki musi spełnić potencjalny użytkownik, aby mógł uzyskać uprawnienia do przetwarzania danych w systemie informatycznym.

PRZYKŁAD

Obieg informacji będzie się różnił w zależności od przyjętych rozwiązań i struktury organizacji, ale najczęściej będzie zbudowany następująco:

1)    bezpośredni przełożony/pracownik działu HR informuje (należy wskazać formę, np. wniosek złożony w systemie, wniosek w formie papierowej, informacja w wiadomości e-mail) administratora bezpieczeństwa informacji (ABI) o nowym pracowniku (zmianie zakresu upoważnienia do przetwarzania danych osobowych obecnego pracownika) oraz administratora systemu informatycznego (ASI) lub inną osobę odpowiedzialną za przydzielanie i zarządzanie uprawnieniami użytkowników w systemie informatycznym,

2)    ASI po nadaniu uprawnień użytkownikowi (identyfikatora i hasła), przekazuje do ABI nadany identyfikator w celu odnotowania w ewidencji osób upoważnionych do przetwarzania danych osobowych,

3)    ASI oraz ABI powinni zostać bez zwłoki poinformowani przez bezpośrednio przełożonego/pracownika działu HR o konieczności odebrania lub zmiany zakresu upoważnienia i uprawnień.

Przed nadaniem użytkownikowi uprawnień do przetwarzania danych osobowych w systemach informatycznych należy:

  • zapoznać go z przepisami o ochronie danych osobowych,
  • odebrać oświadczenie o zachowaniu danych osobowych oraz sposobów ich zabezpieczenia w poufności,
  • nadać upoważnienie do przetwarzania danych osobowych.

Są to obowiązki administratora bezpieczeństwa informacji. Jeżeli nie został on powołany, realizuje je administrator danych lub inna wyznaczona przez niego osoba.

Opisz przebieg rejestracji i zobowiąż ASI do przekazywania informacji o nadaniu identyfikatora do ABI

W dalszej części procedury powinien znaleźć się przebieg rejestracji użytkownika w systemie przez administratora systemów informatycznych, czyli rejestracja użytkownika w systemie, nadanie identyfikatora, zakresu uprawnień i hasła użytkownikowi. Następnie należy zawrzeć zobowiązanie ASI do przekazania administratorowi bezpieczeństwa informacji identyfikatora przyznanego użytkownikowi, aby mógł go odnotować w ewidencji osób upoważnionych do przetwarzania danych osobowych.

Wskaż sposób przekazania hasła użytkownikowi

Zgodnie z wymogami rozporządzenia nadawany identyfikator musi być unikalny, hasło powinno się składać z minimum 8 znaków zawierać małe i wielkie litery oraz cyfry lub znaki specjalne oraz być zmieniane nie rzadziej niż co 30 dni (wymagania dla wysokiego poziomu bezpieczeństwa). Dostęp do systemów informatycznych, służących do przetwarzania danych osobowych możliwy jest jedynie po podaniu unikalnego identyfikatora i dokonaniu uwierzytelnienia. W procedurze należy opisać sposób przekazania hasła użytkownikowi (np. w formie pisemnej, elektronicznej). Warto, aby hasło pierwszego logowana miało charakter tymczasowy i po pierwszym logowaniu do systemu wymagana była zmiana hasła przez użytkownika jeszcze przed rozpoczęciem pracy w systemie.

Uwaga

Opisana procedura dotyczy powszechnie stosowanej metody uwierzytelniania użytkowników w systemie za pomocą unikalnego identyfikatora i hasła. Możliwe są jednak inne metody uwierzytelniania lub stosowanie dodatkowego etapu uwierzytelniania (hasło sms, tokeny, klucze sprzętowe). Zasady przydzielania i wykorzystywanie takich środków uwierzytelniania, należy odpowiednio opisać w procedurze nadawania uprawnień do przetwarzania danych osobowych.

Opisz wyrejestrowanie użytkownika z systemu

W dalszej części procedury należy opisać wyrejestrowanie użytkownika z systemu informatycznego. O konieczności wyrejestrowana użytkownika z systemu, bezpośredni przełożony/pracownik HR informuje ASI (należy opisać, w jakiej formie powinno dojść do poinformowania i w jakim czasie, np. w dniu rozwiązania umowy). Administrator systemów informatycznych wyrejestrowuje użytkownika i informuje o tym ABI, aby ten mógł cofnąć upoważnienie do przetwarzania danych osobowych i odnotować to w ewidencji.

Wyrejestrowanie polega na usunięciu danych użytkownika z bazy użytkowników systemu. Identyfikator użytkownika, który utracił upoważnienie do przetwarzania danych w systemie informatycznym, powinien zostać niezwłocznie wyrejestrowany z systemu, a hasło powinno zostać unieważnione. Wyrejestrowanie użytkownika powinno nastąpić do końca ostatniego dnia jego obecności w pracy. Warto wprowadzić okresową weryfikację przez administratora systemów informatycznych kont użytkowników. Procedurę należy stosować odpowiednio w przypadku zmiany uprawnień.

Ważne:

Poza trwałym wyrejestrowaniem w procedurze należy uregulować czasowe zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej zablokowanie.

Ureguluj pozostałe kwestie

W procedurze nadawania uprawnień do systemu informatycznego należy także uregulować takie kwestie jak zastępstwo za administratora systemów informatycznych w przypadku jego nieobecności, obowiązek prowadzenia i ochrony przez ASI rejestru użytkowników i ich uprawnień w systemie.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
  • rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).
Wojciech Rudzki

Autor: Katarzyna Zaklikocka

aplikantka radcowska przy OIRP w Warszawie, absolwentka Wydziału Prawa i Administracji Uniwersytetu Gdańskiego oraz studiów podyplomowych na kierunku Zarządzanie Bezpieczeństwem Informacji w Szkole Głównej Handlowej w Warszawie. Posiada kilkuletnie doświadczenie w zakresie doradztwa z ochrony danych osobowych zdobyte w kancelariach prawnych, doświadczony administrator bezpieczeństwa informacji i trener, autorka artykułów i opracowań dotyczących tematyki ochrony danych osobowych, ekspert w zakresie prawa pracy i przetwarzania danych osobowych w związku z rekrutacją i zatrudnieniem

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x