Kwestia nadawania użytkownikom uprawień w systemie informatycznym powinna zostać opisana w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która wraz z polityką bezpieczeństwa składa się na dokumentację przetwarzania danych osobowych. Sporządzenie, wdrożenie i aktualizacja dokumentacji to obowiązek administratora danych osobowych, a także podmiotu przetwarzającego powierzone dane osobowe. Dowiedz się, jak ją przygotować.
Jednym z elementów instrukcji zarządzania systemem informatycznym, wskazanym w rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, jest procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności.
Rozporządzenie nie reguluje w sposób szczegółowy tego, co powinna zawierać procedura nadawania uprawnień. Wskazuje jedynie podstawowe wymagania odnośnie do identyfikatora użytkownika i polityki haseł.
|
UPOWAŻNIENIE DO PRZETWARZANIA DANYCH I UPRAWNIENIE W SYSTEMIE INFORMATYCZNYM TO NIE TO SAMO Upoważnienie do przetwarzania danych Jest to dokument nadawany przez administratora danych (lub inną wyznaczoną przez niego osobę) dopuszczający osobę w nim wskazaną do przetwarzania danych osobowych w zakresie wskazanym w dokumencie – obowiązek nadania upoważnień wynika z art. 37 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Upoważnienie należy nadać osobie przed dopuszczeniem jej do przetwarzania danych osobowych, w tym przetwarzania danych osobowych w systemach informatycznych. Nadanie uprawień do przetwarzania danych w systemie informatycznym Przez to pojęcie należy rozumieć nadanie użytkownikowi unikalnego identyfikatora i hasła pozwalającego na uwierzytelnianie w systemie i rozpoczęcie pracy. Uprawnienia powinny zostać nadane po nadaniu upoważnienia do przetwarzania danych osobowych, ewentualnie jednocześnie. |
Procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym powinna opisywać wszystkie etapy oraz czynności podejmowane przez wyznaczone osoby od momentu nadania uprawień użytkownikowi dostępu do zasobów systemu informatycznego (utworzenie konta), przez modyfikację, czasowe zawieszenie jego uprawnień, aż do wyrejestrowania z systemu (GIODO, ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych).
Pierwsza część procedury nadawania uprawnień w systemie informatycznym powinna dotyczyć procesu nadawania uprawnień. Należy zacząć od wskazania sposobu obiegu w organizacji informacji o konieczności nadania uprawnienia oraz określić, jakie warunki musi spełnić potencjalny użytkownik, aby mógł uzyskać uprawnienia do przetwarzania danych w systemie informatycznym.
|
PRZYKŁAD OBIEG INFORMACJI O KONIECZNOŚCI NADANIA UPRAWNIEŃ Obieg informacji będzie się różnił w zależności od przyjętych rozwiązań i struktury organizacji, ale najczęściej będzie zbudowany następująco: 1) bezpośredni przełożony/pracownik działu HR informuje (należy wskazać formę, np. wniosek złożony w systemie, wniosek w formie papierowej, informacja w wiadomości e-mail) administratora bezpieczeństwa informacji (ABI) o nowym pracowniku (zmianie zakresu upoważnienia do przetwarzania danych osobowych obecnego pracownika) oraz administratora systemu informatycznego (ASI) lub inną osobę odpowiedzialną za przydzielanie i zarządzanie uprawnieniami użytkowników w systemie informatycznym, 2) ASI po nadaniu uprawnień użytkownikowi (identyfikatora i hasła), przekazuje do ABI nadany identyfikator w celu odnotowania w ewidencji osób upoważnionych do przetwarzania danych osobowych, 3) ASI oraz ABI powinni zostać bez zwłoki poinformowani przez bezpośrednio przełożonego/pracownika działu HR o konieczności odebrania lub zmiany zakresu upoważnienia i uprawnień. |
W dalszej części procedury powinien znaleźć się przebieg rejestracji użytkownika w systemie przez administratora systemów informatycznych, czyli rejestracja użytkownika w systemie, nadanie identyfikatora, zakresu uprawnień i hasła użytkownikowi. Następnie należy zawrzeć zobowiązanie ASI do przekazania administratorowi bezpieczeństwa informacji identyfikatora przyznanego użytkownikowi, aby mógł go odnotować w ewidencji osób upoważnionych do przetwarzania danych osobowych.
Zgodnie z wymogami rozporządzenia nadawany identyfikator musi być unikalny, hasło powinno się składać z minimum 8 znaków zawierać małe i wielkie litery oraz cyfry lub znaki specjalne oraz być zmieniane nie rzadziej niż co 30 dni (wymagania dla wysokiego poziomu bezpieczeństwa). Dostęp do systemów informatycznych, służących do przetwarzania danych osobowych możliwy jest jedynie po podaniu unikalnego identyfikatora i dokonaniu uwierzytelnienia. W procedurze należy opisać sposób przekazania hasła użytkownikowi (np. w formie pisemnej, elektronicznej). Warto, aby hasło pierwszego logowana miało charakter tymczasowy i po pierwszym logowaniu do systemu wymagana była zmiana hasła przez użytkownika jeszcze przed rozpoczęciem pracy w systemie.
Opisana procedura dotyczy powszechnie stosowanej metody uwierzytelniania użytkowników w systemie za pomocą unikalnego identyfikatora i hasła. Możliwe są jednak inne metody uwierzytelniania lub stosowanie dodatkowego etapu uwierzytelniania (hasło sms, tokeny, klucze sprzętowe). Zasady przydzielania i wykorzystywanie takich środków uwierzytelniania, należy odpowiednio opisać w procedurze nadawania uprawnień do przetwarzania danych osobowych.
W dalszej części procedury należy opisać wyrejestrowanie użytkownika z systemu informatycznego. O konieczności wyrejestrowana użytkownika z systemu, bezpośredni przełożony/pracownik HR informuje ASI (należy opisać, w jakiej formie powinno dojść do poinformowania i w jakim czasie, np. w dniu rozwiązania umowy). Administrator systemów informatycznych wyrejestrowuje użytkownika i informuje o tym ABI, aby ten mógł cofnąć upoważnienie do przetwarzania danych osobowych i odnotować to w ewidencji.
Wyrejestrowanie polega na usunięciu danych użytkownika z bazy użytkowników systemu. Identyfikator użytkownika, który utracił upoważnienie do przetwarzania danych w systemie informatycznym, powinien zostać niezwłocznie wyrejestrowany z systemu, a hasło powinno zostać unieważnione. Wyrejestrowanie użytkownika powinno nastąpić do końca ostatniego dnia jego obecności w pracy. Warto wprowadzić okresową weryfikację przez administratora systemów informatycznych kont użytkowników. Procedurę należy stosować odpowiednio w przypadku zmiany uprawnień.
Poza trwałym wyrejestrowaniem w procedurze należy uregulować czasowe zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej zablokowanie.
W procedurze nadawania uprawnień do systemu informatycznego należy także uregulować takie kwestie jak zastępstwo za administratora systemów informatycznych w przypadku jego nieobecności, obowiązek prowadzenia i ochrony przez ASI rejestru użytkowników i ich uprawnień w systemie.
Przedstawiony schemat organizacyjny, jaki można zastosować w ramach procedury nadawania i odbierania uprawnień do przetwarzania danych osobowych, należy uregulować stosownie do struktury organizacji. Osobami odpowiedzialnymi będą jednak najczęściej:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
