GoldenLine
Zaloguj się
Rafał K.

Rafał K. Specjalista ds.
Organizacyjnych,
EMIT

Temat: ewidencja upoważnień dla systemów informatycznych

Czy jest w RODO lub ustawie, wypowiedziany wprost obowiązek prowadzenia ewidencji osób upoważnionych do dostępu do danych ?
Ja go nie widzę :(
Jeżeli wynika z zasad rozliczalności i zapewnienia środków organizacyjnych itp, to ok niech będzie ale już zawartość tego rejestru/ewidencji jest zależna od prowadzącego rejestr?

Pytanie kolejne : Czy wystarczy jedna ewidencja upoważnień, czy dla systemów informatycznych powinna być oddzielna ze względu na loginy, hasła itd.Ten post został edytowany przez Autora dnia 14.06.18 o godzinie 11:13
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: ewidencja upoważnień dla systemów informatycznych

Prowadzisz jak chcesz, ile chcesz... do celów dowodowych bo nie ma nawet przymusu co do formy wystawienia upoważnienia.

Zastanawia mnie jedna rzecz... hasła w rejestrze/ewidencji? Po co adminowi hasła użytkowników? Może to zostać uznane za incydent bezpieczeństwa.
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: ewidencja upoważnień dla systemów informatycznych

Administrator dopuszcza osoby (lub procesorów) do przetwarzania danych osobowych po ich upoważnieniu (29).
Administrator wdraża środki organizacyjne by przetwarzanie d.o. odbywało się zgodnie z rodo i ma obowiązek potrafić to wykazać (24.1.)
"Wobec braku wskazania przez prawodawcę wymogów formalnych w zakresie udzielania polecenia osobie upoważnionej, teoretycznie możliwe jest zastosowanie każdej formy. Przy uwzględnieniu jednak ogólnego podejścia prawodawcy europejskiego do kwestii dokumentowania oświadczeń lub czynności sugerowaną formą dokumentowania poleceń powinna być forma pisemna, w tym elektroniczna." Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz
Link do wypowiedziLink
Justyna Kołodziejczyk

Justyna Kołodziejczyk Sales
Representative,
majeszczak.pl

Temat: ewidencja upoważnień dla systemów informatycznych

Szymon S.:
Prowadzisz jak chcesz, ile chcesz... do celów dowodowych bo nie ma nawet przymusu co do formy wystawienia upoważnienia.

Zastanawia mnie jedna rzecz... hasła w rejestrze/ewidencji? Po co adminowi hasła użytkowników? Może to zostać uznane za incydent bezpieczeństwa

Hasło nadane po raz pierwszy przez ASIego z zastrzeżeniem i zazwyczaj wymuszeniem jego zmiany przy pierwszej próbie logowania przez użytkownika to incydent?
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: ewidencja upoważnień dla systemów informatycznych

Z posta powyżej nie wynika, że to do pierwszego logowania. Podtrzymuje pytanie... po co adminowi hasła użytkowników?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: ewidencja upoważnień dla systemów informatycznych

Jakby tak to z punktu widzenia danych osobowych. Pomijam kwestię bezpieczeństwa. Ale jeśli jest to login i hasło, to są to dane osobowe (dotyczące zidentyfikowanego użytkownika). I tu mamy dwie sprawy:
1. Ograniczenie danych do celu - to co Szymon pisze. Po co hasło? W jakim celu jest ewidencja prowadzona? Według mnie w celu nadzoru nad tym, kto i do czego ma dostęp. Hasło do tego celu jest wyjątkowo nadmiarowe. Nie jest niezbędne.
2. Rzetelność danych. Jeśli user zmienia hasło, to w ewidencji po zalogowaniu dane nie są już prawdziwe.

Krótka analizka.
1. Jeśli hasło nie jest już właściwe, oznacza to, że próba zalogowania się do konta na tych danych będzie nieskuteczna
2. Jaki macie próg zablokowania konta? 3-5 prób? Załóżmy że 5 i próba po piątym blokuje konto
3. User nie może wykonać pracy

Dalsza eskalacja skutków to już przy pełnej wiedzy co user ma robić w firmie.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj