konto usunięte
Karol
K.
Pełnomocnik ds.
Ochrony Informacji
Niejawnych,
Specjalist...
konto usunięte
Karol Kij:
Moim zdaniem:
Po pierwsze hasło użytkownika to nie dana osobowa, więc nie ma nic o nim w przepisach.
Natomiast złamanie hasła może dać dostęp do danych osobowych, więc należy to ująć w polityce bezpieczeństwa. Jeśli oszacujesz ryzyko i wykażesz, iż mimo trzymania hasła w postaci jawnej dane osobowe są bezpieczne (co na pewno będzie trudne), to nie widzę przeszkód w takim stanie rzeczy. Zresztą jeśli ktoś włamie się do bazy danych, to już hasło użytkownika nie będzie mu potrzebne, ponieważ pobierze sobie wszystkie dane użytkowników. Dlatego uważam, iż haszowanie hasła z punktu widzenia danych osobowych nie ma znaczenia.
konto usunięte
Paweł Litwiński:
Karol Kij:
Moim zdaniem:
Po pierwsze hasło użytkownika to nie dana osobowa, więc nie ma nic o nim w przepisach.
Nieprawda, hasło użytkownika najczęściej będzie jego daną osobową. Poza przypadkami, kiedy dwóch lub więcej użytkowników będzie miało to samo hasło.
Natomiast złamanie hasła może dać dostęp do danych osobowych, więc należy to ująć w polityce bezpieczeństwa. Jeśli oszacujesz ryzyko i wykażesz, iż mimo trzymania hasła w postaci jawnej dane osobowe są bezpieczne (co na pewno będzie trudne), to nie widzę przeszkód w takim stanie rzeczy. Zresztą jeśli ktoś włamie się do bazy danych, to już hasło użytkownika nie będzie mu potrzebne, ponieważ pobierze sobie wszystkie dane użytkowników. Dlatego uważam, iż haszowanie hasła z punktu widzenia danych osobowych nie ma znaczenia.
I tak, i nie. Na pewno nie ma w systemie prawnym przepisu, który by to wprost nakazywał. Natomiast nie można powiedzieć, że taka praktyka nie ma znaczenia - prowadzi do zwiększenia poziomu bezpieczeństwa danych osobowych, więc ma znaczenie. Ale ponieważ przepisy tego nie nakazują, decyzja o ew. wdrożeniu została pozostawiona administratorowi danych.
Karol
K.
Pełnomocnik ds.
Ochrony Informacji
Niejawnych,
Specjalist...
Paweł Litwiński:
Nieprawda, hasło użytkownika najczęściej będzie jego daną osobową. Poza przypadkami, kiedy dwóch lub więcej użytkowników będzie miało to samo hasło.
I tak, i nie. Na pewno nie ma w systemie prawnym przepisu, który by to wprost nakazywał. Natomiast nie można powiedzieć, że taka praktyka nie ma znaczenia - prowadzi do zwiększenia poziomu bezpieczeństwa danych osobowych, więc ma znaczenie. Ale ponieważ przepisy tego nie nakazują, decyzja o ew. wdrożeniu została pozostawiona administratorowi danych.
Karol
K.
Pełnomocnik ds.
Ochrony Informacji
Niejawnych,
Specjalist...
Szymon G.:
OK, dzięki. Ale nie zgodzę się, że to zwiększa bezpieczeństwo. Jeśli ktoś może obejrzeć hasła użytkowników, bo ma kopię bazy, to może też obejrzeć wszystkie inne rzeczy. Najwyżej nie może łatwo zobaczyć hasła w postaci jawnej, ale nie oszukujmy się, najczęściej stosowana metoda, czyli md5, wcale nie zabezpiecza przed szybkim odkryciem postaci jawnej.
Chodziło mi raczej o potwierdzenie, że w przepisach tego nie ma. Dzięki.
konto usunięte
Karol Kij:
Paweł Litwiński:I tak, i nie. Na pewno nie ma w systemie prawnym przepisu, który by to wprost nakazywał. Natomiast nie można powiedzieć, że taka praktyka nie ma znaczenia - prowadzi do zwiększenia poziomu bezpieczeństwa danych osobowych, więc ma znaczenie. Ale ponieważ przepisy tego nie nakazują, decyzja o ew. wdrożeniu została pozostawiona administratorowi danych.
Zgadzam się z Tobą. Decyzja o wdrożeniu została pozostawiona administratorowi. Zastosowane mechanizmy bezpieczeństwa, lub ich brak należy uzasadnić w polityce bezpieczeństwa. Tak jak napisałem poprzednio jeśli "intruz" będzie miał możliwość w bazie danych podejrzenia haseł to i będzie mógł zobaczyć resztę danych. Raczej kłania się tu kwestia podejrzenia tych haseł i próby użycia ich np. na innych stronach (jeśli użytkownik użyje takiego samego).
Karol
K.
Pełnomocnik ds.
Ochrony Informacji
Niejawnych,
Specjalist...
Szymon G.:
I czy wtedy odpowiada administrator za to, że ktoś odczytane hasło użył w innym miejscu? Chyba nie.
konto usunięte
Szymon G.:
Ale nie zgodzę się, że to zwiększa bezpieczeństwo.
Leszek
K.
Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.
Szymon G.:Na pewno zwiększa bezpieczeństwo. Może nie eliminuje ryzyka tak, jakbyśmy sobie tego życzyli, jednak je zmniejsza. Jeśli to za mało - można zastosować tzw. stretching - to jest np. najpierw zastosować funkcję skrótu jednego rodzaju, a później inną (albo nawet wiele).
Ale nie zgodzę się, że to zwiększa bezpieczeństwo. Jeśli ktoś może obejrzeć hasła użytkowników, bo ma kopię bazy, to może też obejrzeć wszystkie inne rzeczy. Najwyżej nie może łatwo zobaczyć hasła w postaci jawnej, ale nie oszukujmy się, najczęściej stosowana metoda, czyli md5, wcale nie zabezpiecza przed szybkim odkryciem postaci jawnej.
konto usunięte
Karol Kij:
Moim zdaniem samo hasło nie stanowi danych osobowych chyba, że jest powiązane z innymi danymi bezpośredni identyfikującymi daną osobę (np. Imię i Nazwisko) lub na podstawie których jesteśmy jednoznacznie daną osobę zidentyfikować (np. numer NIP czy Pesel).
Karol
K.
Pełnomocnik ds.
Ochrony Informacji
Niejawnych,
Specjalist...
Paweł Litwiński:
Potrafi Pan połączyć hasło do systemu z konkretnym użytkownikiem systemu?
Karol
K.
Pełnomocnik ds.
Ochrony Informacji
Niejawnych,
Specjalist...
Leszek K.:
Na pewno zwiększa bezpieczeństwo. Może nie eliminuje ryzyka tak, jakbyśmy sobie tego życzyli, jednak je zmniejsza. Jeśli to za mało - można zastosować tzw. stretching - to jest np. najpierw zastosować funkcję skrótu jednego rodzaju, a później inną (albo nawet wiele).
konto usunięte
Paweł Litwiński:
Szymon G.:
Ale nie zgodzę się, że to zwiększa bezpieczeństwo.
To po co Pan chce to robić? Czy ogólniej, zastanawia się nad tym?
Karol
K.
Pełnomocnik ds.
Ochrony Informacji
Niejawnych,
Specjalist...
Szymon G.:
I tak w ogóle jeśli będę miał hasła trzymane w postaci jawnej, to przecież to nie wpływa na bezpieczeństwo systemu.
konto usunięte
I tak, i nie. Na pewno nie ma w systemie prawnym przepisu, który by to wprost nakazywał. Natomiast nie można powiedzieć, że taka praktyka nie ma znaczenia - prowadzi do zwiększenia poziomu bezpieczeństwa danych osobowych, więc ma znaczenie. Ale ponieważ przepisy tego nie nakazują, decyzja o ew. wdrożeniu została pozostawiona administratorowi danych.Twórcy UODO założyli, że analiza ryzyka będzie przeprowadzona, ale bez wymagania zapisów. Powyższa decyzja administratora mogłaby być udokumentowana. Tak się dzieje w poniższych systemach, gdzie wymaga się istnienia formalnego procesu zarządzania ryzykiem:
konto usunięte
Jacek Zontek:[...]
I tu mamy do czynienia z obecnym tematem-tabu -analizą ryzyka.
to dlaczego w ODO jest taki "lajcik"?
Przemysław
C.
Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych
konto usunięte
to dlaczego w ODO jest taki "lajcik"?
bo ustawa pochodzi sprzed kilkunastu lat. Rozporządzenie też ma swoje lata.
W praktyce chciałbyś by prawnie było zapisane wdrożenie takiego ISO 27001 mini...
A zarazem: to o czym piszesz to nie są akty prawne, a konkretne metodyki/metodologie konstrukcji systemów zarządzania. Prawo powszechne (moim zdaniem) nie powinno w tak szczegółowy sposób wpływać na procesy w organizacjach (także niepublicznych).
Następna dyskusja:
пропозиції роботи
