Administruję siecią firmy. W sieci m. innymi dane osobowe. Mam nowego szefa, który poprosił na piśmie  o następujące dane:

1. Informacje, od jakiego providera jest dostarczany internet
  a) administracyjny login i hasło
  b) wykaz numerów IP
  c) parametry łącza
2. Informacja, jakie urządzenia łączą sieć WAN i LAN
  a) wyszczególnić routery i firewalle, podać loginy i hasła dostępowe do tych urządzeń
  b) wyszczególnić sposoby logowania się przez te urządzenia do sieci wewnętrznej LAN

3. Informacja, jakie serwery i jakie oprogramowanie znajduje się w serwerowni, podać loginy i hasła administracyjne. Jakie są uruchomione usługi na tych serwerach

4. Przygotować informację, do do backupów oprogramowania zainstalowanego w firmie i sposobie składowania i przechowywania danych
5. Przedstawić schemat sieci wewnętrznej LAN z wyszczególnieniem dołączonych do tej sieci komputerów. Wyszczególnić ilość urządzeń typu SWITH i ich parametry (jeśli są to urządzenia zarządzane, podać loginy i hasła)
6. Opisać sposób obiegu dokumentów elektronicznych w systemie z wyszczególnieniem miejsc, gdzie takiego systemu jeszcze nie ma (np wersje papierowe)
7. Wyszczególnić wszystkie bazy danych znajdujące się w firmie, podać loginy i hasła administracyjne do tych baz danych.
8. Podać login i hasło do systemu zarządzania domeną firmową i firmowa pocztą.

Jak w waszych firmach przechowywanie są takie informacje ? Przecież te dane to jest klucz do wszystkich danych przedsiębiorstwa, który w razie dostania się w niepowołane ręce może mieć katastrofalne skutki dla danych- zarówno ich integralności, jak i bezpieczeństwa.

Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie firmy. Ale tak po prostu na piśmie i (mogę się domyślać, bo pytania pochodzą być może z jakiejś firmy audytorskiej) prawdopodobnie do wglądu przez osoby trzecie ? Czy firmy audytorskie mogą żądac takich danych ?

--

On 2/17/2011 12:02 PM, marek_firma@onet.pl wrote:

Administruję siecią firmy. W sieci m. innymi dane osobowe. Mam nowego szefa,
który poprosił na piśmie  o następujące dane:

1. Informacje, od jakiego providera jest dostarczany internet
   a) administracyjny login i hasło
   b) wykaz numerów IP
   c) parametry łącza
2. Informacja, jakie urządzenia łączą sieć WAN i LAN
   a) wyszczególnić routery i firewalle, podać loginy i hasła dostępowe do tych
urządzeń
   b) wyszczególnić sposoby logowania się przez te urządzenia do sieci
wewnętrznej LAN

3. Informacja, jakie serwery i jakie oprogramowanie znajduje się w serwerowni,
podać loginy i hasła administracyjne. Jakie są uruchomione usługi na tych
serwerach

4. Przygotować informację, do do backupów oprogramowania zainstalowanego w
firmie i sposobie składowania i przechowywania danych
5. Przedstawić schemat sieci wewnętrznej LAN z wyszczególnieniem dołączonych do
tej sieci komputerów. Wyszczególnić ilość urządzeń typu SWITH i ich parametry
(jeśli są to urządzenia zarządzane, podać loginy i hasła)
6. Opisać sposób obiegu dokumentów elektronicznych w systemie z
wyszczególnieniem miejsc, gdzie takiego systemu jeszcze nie ma (np wersje
papierowe)
7. Wyszczególnić wszystkie bazy danych znajdujące się w firmie, podać loginy i
hasła administracyjne do tych baz danych.
8. Podać login i hasło do systemu zarządzania domeną firmową i firmowa pocztą.

Jak w waszych firmach przechowywanie są takie informacje ? Przecież te dane to
jest klucz do wszystkich danych przedsiębiorstwa, który w razie dostania się w
niepowołane ręce może mieć katastrofalne skutki dla danych- zarówno ich
integralności, jak i bezpieczeństwa.

Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie firmy. Ale
tak po prostu na piśmie i (mogę się domyślać, bo pytania pochodzą być może z
jakiejś firmy audytorskiej) prawdopodobnie do wglądu przez osoby trzecie ? Czy
firmy audytorskie mogą żądac takich danych ?

przygotuj loginy i hasła w zapieczętowanych kopertach.
W raporcie umieść informacje w której kopercie znajduje sie login i haslo do konkretnego urządzenia.
Wszystko oficjalnie przekaż dyrektorowi lub miej pisemną informację komu masz to przekazać.

W dniu 2011-02-17 19:06, witek pisze:

Wszystko oficjalnie przekaż dyrektorowi lub miej pisemną informację komu
masz to przekazać.

Nowy szef chce mieć nowego administratora?
;)

--
spp

On 2/17/2011 12:08 PM, spp wrote:

W dniu 2011-02-17 19:06, witek pisze:

Wszystko oficjalnie przekaż dyrektorowi lub miej pisemną informację komu
masz to przekazać.

Nowy szef chce mieć nowego administratora?
;)

niekoniecznie.
nowy szef nie chce miec niezastąpionego administratora, którego w każdej chwili może autobus przejechać.
Po za tym jak się coś "wyleje" to siedzieć pójdzie dyrektor za brak nadzoru, a dopiero za nim administrator.

Dnia Thu, 17 Feb 2011 12:06:46 -0600, witek
<witek7205@gazeta.pl.invalid> napisał:

On 2/17/2011 12:02 PM, marek_firma@onet.pl wrote:

Administruję siecią firmy. W sieci m. innymi dane osobowe. Mam nowego szefa,
który poprosił na piśmie  o następujące dane:

przygotuj loginy i hasła w zapieczętowanych kopertach.
W raporcie umieść informacje w której kopercie znajduje sie login i haslo do konkretnego urządzenia.
Wszystko oficjalnie przekaż dyrektorowi lub miej pisemną informację komu masz to przekazać.

Skoro poprosił na piśmie, to przekaż w powyższej formie, za
pokwitowaniem.

Być może powoli rozglądaj się za nową pracą.
Z drugiej strony, szef zachowuje się całkiem rozsądnie. Uśwadom go
tylko jakim zagrożeniem może być otwarcie, lub przekazanie kopert w
niepowołane ręce. Zainstaluj monitoring logowania na przekazane
hasła... W wielu przypadkach można mieć więcej niż jedno konto
administracyjne w systemie.
--
Pozdrawiam

Paweł

begin PaweÂł

Być może powoli rozglądaj się za nową pracą. Z drugiej strony, szef
zachowuje się całkiem rozsądnie.

Nie tyle całkiem rozsądnie, co całkowicie rozsądnie. Nie wyobrażam sobie, jak w ogóle można traktować te kwestie inaczej. Admin miałby być niepodzielnym panem i władcą całej sieci firmowej? A co gdy będzie miał wypadek, obrazi się, cokolwiek?

Kwestia jak chronić te dane to zupełnie osobna sprawa i o tym oczywiście warto porozmawiać. Ale samo polecenie nie jest niczym dziwnym.

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

UĹźytkownik "to"  napisał w wiadomości grup dyskusyjnych:4d5d8c9d$0$2495$65785112@news.neostrada.pl...

Nie tyle całkiem rozsądnie, co całkowicie rozsądnie. Nie wyobrażam sobie,
jak w ogóle można traktować te kwestie inaczej. Admin miałby być
niepodzielnym panem i władcą całej sieci firmowej? A co gdy będzie miał
wypadek, obrazi się, cokolwiek?

Admin zmieni hasła i z wiedzą pisemną szlag trafi. Zresztą administratorzy nie znają każdego hasła.

begin qwerty

Admin zmieni hasła i z wiedzą pisemną szlag trafi.

To wtedy beknie za to w sądzie, na tej zasadzie może też np. naszczać do serwera.

Zresztą
administratorzy nie znają każdego hasła.

A ta uwaga odnośnie czego?

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

W dniu 17.02.2011 22:16, to pisze:

Admin zmieni hasła i z wiedzą pisemną szlag trafi.

To wtedy beknie za to w sądzie,

Niby za co? Hasła należy regularnie zmieniać.

begin Andrzej Ława

Admin zmieni hasła i z wiedzą pisemną szlag trafi.

To wtedy beknie za to w sądzie,

Niby za co? Hasła należy regularnie zmieniać.

Po cholerę zmieniać regularnie hasła np. do routera?

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

W dniu 18.02.2011 11:15, to pisze:

begin Andrzej Ława

Admin zmieni hasła i z wiedzą pisemną szlag trafi.

To wtedy beknie za to w sądzie,

Niby za co? Hasła należy regularnie zmieniać.

Po cholerę zmieniać regularnie hasła np. do routera?

Po to, żeby utrudnić komuś włamanie - niektóre routery są widoczne z
zewnątrz sieci lokalnej, o ile nie wiesz.

Poza tym i w sieci wewnętrznej różni ludzie mogą grasować.

begin Andrzej Ława

Po to, żeby utrudnić komuś włamanie - niektóre routery są widoczne z
zewnątrz sieci lokalnej, o ile nie wiesz.

Możesz mi wyjawić w jaki sposób utrudni to włamanie? Bo moim zdaniem, jeśli już, to raczej ułatwi.
 --
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

W dniu 2011-02-18 08:19, Andrzej Ława pisze:

W dniu 17.02.2011 22:16, to pisze:

Admin zmieni hasła i z wiedzą pisemną szlag trafi.

To wtedy beknie za to w sądzie,

Niby za co? Hasła należy regularnie zmieniać.

Ustawa jakaś tak mówi? Rozporządzenie?
Nie - dobre zwyczaje, ewentualnie (co powinno być regułą) procedury w firmie. A co do procedur - patrz punkt 1. czyli polecenie przełożonego.
I tak wracamy do punktu wyjścia.

W dniu 18.02.2011 11:01, Maciej Bebenek (news.onet.pl) pisze:

Admin zmieni hasła i z wiedzą pisemną szlag trafi.

To wtedy beknie za to w sądzie,

Niby za co? Hasła należy regularnie zmieniać.

Ustawa jakaś tak mówi? Rozporządzenie?

Zasady bezpieczeństwa.

Nie - dobre zwyczaje, ewentualnie (co powinno być regułą) procedury w
firmie. A co do procedur - patrz punkt 1. czyli polecenie przełożonego.
I tak wracamy do punktu wyjścia.

Czyli co - przełożony poleca niestaranne wykonywanie pracy??

begin Andrzej Ława

Ustawa jakaś tak mówi? Rozporządzenie?

Zasady bezpieczeństwa.

Nie ma takich zasad. Te wszystkie mity na temat haseł itp. istnieją głównie w umysłach laików.
 --
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

On 02/18/2011 06:52 PM, to wrote:

begin Andrzej Ława

Ustawa jakaś tak mówi? Rozporządzenie?

Zasady bezpieczeństwa.

Nie ma takich zasad. Te wszystkie mity na temat haseł itp. istnieją głównie w umysłach laików.

Możesz rozwinąć?

--
Robert Jaroszuk
We do not see things as they are, we see them as we are.

GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
GPG key id:0x5D9659C3   |   pgp encrypted mail preferred
GPG fp:E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

begin Robert Jaroszuk

Nie ma takich zasad. Te wszystkie mity na temat haseł itp. istnieją
głównie w umysłach laików.

Możesz rozwinąć?

Ale co tu rozwijać? Po pierwsze mało gdzie stosuje się autentyfikację hasłem pomijając konta użytkowników (którzy rzeczywiście powinni zmieniać hasła co jakiś czas bo je rozdają i gubią, ale nie za często, bo będą je zapisywać byle gdzie). Po drugie rzadko kiedy jakieś poważniejsze włamania mają jakikolwiek związek z hasłami.

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

On 02/18/2011 08:44 PM, to wrote:

Możesz rozwinąć?

Ale co tu rozwijać? Po pierwsze mało gdzie stosuje się autentyfikację

Przepraszam, co się stosuje ?

hasłem pomijając konta użytkowników (którzy rzeczywiście powinni zmieniać hasła co jakiś czas bo je rozdają i gubią, ale nie za często, bo będą je zapisywać byle gdzie). Po drugie rzadko kiedy jakieś poważniejsze włamania mają jakikolwiek związek z hasłami.

Znaczy, o ile dobrze zrozumiałem, to twierdzisz, że hasło dla userów
jest OK, ale dla nie-userĂłw (czyli dla administratorĂłw?) jest nieOK, tak ?

W takim razie co stosuje się w celu uwierzytelnienia przy logowaniu na
konto administratora? Pytam, bo większość systemów jakie znam, domyślnie
wykorzystuje w tym celu właśnie hasło. Nieliczne używają TFA, chociażby
ze względu na koszt wdrożenia, czy konieczność wprowadzania dodatkowych
procedur odnośnie np. zarządzania kluczami kryptograficznymi.

--
Robert Jaroszuk
We do not see things as they are, we see them as we are.

GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
GPG key id:0x5D9659C3 .'|'. pgp encrypted mail preferred
GPG fp:E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

begin Robert Jaroszuk

Znaczy, o ile dobrze zrozumiałem, to twierdzisz, że hasło dla userów
jest OK, ale dla nie-userĂłw (czyli dla administratorĂłw?) jest nieOK, tak
?

Dla userów jest ok, bo nie ma za bardzo niedrogiej alternatywy, której userzy mogliby w miarę sprawnie używać i którą by rozumieli. Po za tym włamanie na konto usera nie jest zwykle tak dotkliwe.

W takim razie co stosuje się w celu uwierzytelnienia przy logowaniu na
konto administratora? Pytam, bo większość systemów jakie znam, domyślnie
wykorzystuje w tym celu właśnie hasło. Nieliczne używają TFA, chociażby
ze względu na koszt wdrożenia, czy konieczność wprowadzania dodatkowych
procedur odnośnie np. zarządzania kluczami kryptograficznymi.

W uniksach juĹź od lat uĹźywa się kluczy, ktĂłre są lepsze z bardzo wielu powodĂłw. Do tego jakieś ograniczenie dostępu per source. To uznałbym za  minimum. System do ktĂłrego moĹźna się zalogować skądkolwiek znając tylko jakieś hasło (jak to zostało opisane przez niektĂłrych w tym wątku) to chyba jakiś Ĺźart...

A co do routerów i zmiany haseł, to hasło najłatwiej przechwycić m.in. gdy jest używane (także zmieniane) więc jeśli dany router rekonfiguruje się np. raz w roku, to po co zmieniać w nim hasło co miesiąc?

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

On 02/19/2011 03:16 PM, to wrote:

W uniksach juĹź od lat uĹźywa się kluczy, ktĂłre są lepsze z bardzo wielu powodĂłw. Do tego jakieś ograniczenie dostępu per source. To uznałbym za  minimum. System do ktĂłrego moĹźna się zalogować skądkolwiek znając tylko jakieś hasło (jak to zostało opisane przez niektĂłrych w tym wątku) to chyba jakiś Ĺźart...

Jeśli chodzi o użytkowników administracyjnych to zgadzam się w 100%.
Kryptografia asymetryczna jest znana od wielu lat i jej zastosowanie
przy uwierzytelnianiu uĹźytkownikĂłw w systemach teĹź nie jest odkryciem
sprzed tygodnia.

Natomiast podkreślam, że wdrożenie tego typu rozwiązania w skali
"masowej", tj. dla wszystkich uĹźytkownikĂłw, powoduje wzrost kosztĂłw
utrzymania takiego systemu (edukacja, ochrona kluczy itp).

Poza tym uważam że mylisz się, pisząc:
"Nie ma takich zasad. Te wszystkie mity na temat haseł itp. istnieją
głównie w umysłach laików."
Oczywiście periodyczna zmiana haseł nie jest panaceum na wszelkie
zagrożenia w sieci, jednak pozwala podnieść poziom bezpieczeństwa
systemów w których nie stosuje się TFA.
Pamiętaj że najsłabszym ogniwem jest człowiek, który może ujawnić hasło,
zapisać, zalogować się z niezaufanych systemów itp.
Zmieniając hasła co jakiś czas możesz ograniczyć ryzyko związane z tego
typu zagroĹźeniami.

A co do routerów i zmiany haseł, to hasło najłatwiej przechwycić m.in. gdy jest używane (także zmieniane) więc jeśli dany router rekonfiguruje się np. raz w roku, to po co zmieniać w nim hasło co miesiąc?

W bezpieczeństwie rzadko kiedy jest tak, że jeden czynnik rozwiązuje
problem. Najczęściej kombinacja pewnych metod
technologiczno-organizacyjnych zapewnia wymagany poziom bezpieczeństwa.

Ross Anderson przeprowadził kiedyś badania na temat procedur
password-management (siła haseł, okresowa zmiana itp) i udowodnił że
najskuteczniejszy poziom ochrony zasobów był uzyskiwany przy hasłach, które:

1. użytkownik wymyślał sam
2. musiał stosować się do zasady typu "wymyśl jakąś frazę, weź pierwsze
litery wyrazu i ułóż z nich hasło, następnie dodaj cyfry".
3. zmieniał hasło co 3-6 miesięcy, powtarzając punkty 1 i 2.

Jeśli chodzi o zmianę haseł, uzasadniał to w ten sposób, że zbyt częsta
zmiana haseł irytuje użytkowników (nic dziwnego), natomiast zbyt rzadka
powoduje, że użytkownicy przestają je właściwie chronić i wykorzystują
je w innych systemach.
Sam fakt okresowej zmiany haseł jest elementem tzw. security awareness,
bo poniekąd "przy okazji" przypomina się o obowiązku ochrony haseł.
No i znaczenie mają także te rzeczy o których pisałem, tj. ograniczenie
ryzyka związanego z nieumyślnym ujawnieniem hasła.


--
Robert Jaroszuk
We do not see things as they are, we see them as we are.

GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
GPG key id:0x5D9659C3   |   pgp encrypted mail preferred
GPG fp:E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

W dniu 19.02.2011 17:26, Robert Jaroszuk pisze:

Zmieniając hasła co jakiś czas możesz ograniczyć ryzyko związane z tego
typu zagroĹźeniami.

Raczej zwiększyć. Gdy masz jedno hasło, to je masz i już. A wszędzie
tam, gdzie wymuszane jest ustawowe zmienianie hasła co 30 dni,
użytkownicy zaczynają sobie je zapisywać na korkowych tablicach koło
stanowisk albo w zeszytach. Albo nadają po prostu hasła typu Hasło01,
Hasło02, Hasło03.

--
Przemysław Adam Śmiejek

Niech żadne nieprzyzwoite słowo nie wychodzi z ust waszych,
ale tylko dobre, które może budować, gdy zajdzie potrzeba,
aby przyniosło błogosławieństwo tym, którzy go słuchają. (Ef 4,29)

On 02/19/2011 07:02 PM, Przemysław Adam Śmiejek wrote:

W dniu 19.02.2011 17:26, Robert Jaroszuk pisze:

Zmieniając hasła co jakiś czas możesz ograniczyć ryzyko związane z tego
typu zagroĹźeniami.

Raczej zwiększyć. Gdy masz jedno hasło, to je masz i już. A wszędzie
tam, gdzie wymuszane jest ustawowe zmienianie hasła co 30 dni,
użytkownicy zaczynają sobie je zapisywać na korkowych tablicach koło
stanowisk albo w zeszytach. Albo nadają po prostu hasła typu Hasło01,
Hasło02, Hasło03.

Bądź tak uprzejmy i doczytaj mój post do końca.
Wyraźnie napisałem, że najskuteczniejsze jest zmienianie hasła co 3-6 m-cy.
W krótszym okresie ludzie nie zdążą się przyzwyczaić i już muszą
zmieniać (dlatego je zapisują, tak jak napisałeś), a w dłuższym wzrasta
ryzyko ujawnienia hasła i stosowania go w wielu miejscach.

--
Robert Jaroszuk
We do not see things as they are, we see them as we are.

GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
GPG key id:0x5D9659C3   |   pgp encrypted mail preferred
GPG fp:E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

begin Robert Jaroszuk

Natomiast podkreślam, że wdrożenie tego typu rozwiązania w skali
"masowej", tj. dla wszystkich uĹźytkownikĂłw, powoduje wzrost kosztĂłw
utrzymania takiego systemu (edukacja, ochrona kluczy itp).

Całkowita zgoda, uważam wręcz że nie miałoby to sensu. Używanie takich kluczy jest nierozłącznie związane z używaniem mózgu, a taką umiejętność niestety nie każdy posiadł. Dlatego napisałem, że dla użytkowników hasła są ok, póki nie upowszechnią się jakieś sensowne metody bioautentyfikacji, czy jak to nazwać.

Poza tym uważam że mylisz się, pisząc: "Nie ma takich zasad. Te
wszystkie mity na temat haseł itp. istnieją głównie w umysłach laików."
Oczywiście periodyczna zmiana haseł nie jest panaceum na wszelkie
zagrożenia w sieci, jednak pozwala podnieść poziom bezpieczeństwa
systemów w których nie stosuje się TFA. Pamiętaj że najsłabszym ogniwem
jest człowiek, który może ujawnić hasło, zapisać, zalogować się z
niezaufanych systemów itp. Zmieniając hasła co jakiś czas możesz
ograniczyć ryzyko związane z tego typu zagrożeniami.

Ale JAKIE hasło? Hasło do czego? Wiadomo, że warto wymusić zmianę haseł na userach (ale też nie za często, bo zaczną je zapisywać gdzie bądź), ale po co zmieniać np. co miesiąc hasło używane raz w roku (do jakiegoś zapomnianego routera)?

Ogólnie pisząc o "micie" chodziło mi głównie o to, że kwestia haseł to drobny ułamek całości tematów związanych z bezpieczeństwem systemów czy sieci i wcale nie trzeba mieć hasła, żeby się dostać do systemu i na odwrót -- mając hasło, nie zawsze da się tam dostać.

W bezpieczeństwie rzadko kiedy jest tak, że jeden czynnik rozwiązuje
problem. Najczęściej kombinacja pewnych metod
technologiczno-organizacyjnych zapewnia wymagany poziom bezpieczeństwa.

1. użytkownik wymyślał sam
2. musiał stosować się do zasady typu "wymyśl jakąś frazę, weź pierwsze
litery wyrazu i ułóż z nich hasło, następnie dodaj cyfry". 3. zmieniał
hasło co 3-6 miesięcy, powtarzając punkty 1 i 2.

Jeśli chodzi o zmianę haseł, uzasadniał to w ten sposób, że zbyt częsta
zmiana haseł irytuje użytkowników (nic dziwnego), natomiast zbyt rzadka
powoduje, że użytkownicy przestają je właściwie chronić i wykorzystują
je w innych systemach.

Tu oczywiście pełna zgoda, ale kontekstem mojego stwierdzenia o "mitach" były rozważania o hasłach do kont administracyjnych, nie było mowy o kontach zwykłych użytkowników. --
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

On 02/19/2011 11:56 PM, to wrote:

Tu oczywiście pełna zgoda, ale kontekstem mojego stwierdzenia o "mitach" były rozważania o hasłach do kont administracyjnych, nie było mowy o kontach zwykłych użytkowników.

Ok, zatem zgadzamy się ze sobą ;-)

EOT, bo i tak NTG ;-)


--
Robert Jaroszuk
We do not see things as they are, we see them as we are.

GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
GPG key id:0x5D9659C3   |   pgp encrypted mail preferred
GPG fp:E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

W dniu 2011-02-18 11:46, Andrzej Ława pisze:

W dniu 18.02.2011 11:01, Maciej Bebenek (news.onet.pl) pisze:

Admin zmieni hasła i z wiedzą pisemną szlag trafi.

To wtedy beknie za to w sądzie,

Niby za co? Hasła należy regularnie zmieniać.

Ustawa jakaś tak mówi? Rozporządzenie?

Zasady bezpieczeństwa.

Andrzeju - jeszcze raz, skoro nie zrozumiałeś (chociaż szczerze w to wątpię).
Zasady bezpieczeństwa nie są dobrem samym w sobie, nie zostały też narzucone ustawą (z nielicznymi wyjątkami). Zasady bezpieczeństwa są takie, jakie sobie ustali właściciel przedsiębiorstwa lub osoba przez niego upoważniona/wyznaczona. I za ich nieprzestrzeganie możesz wylecieć z roboty, w trybie zwykłym lub dyscyplinarnym.

A w tym przypadku osoba wyznaczona postanowiła to, co postanowiła.

Nie - dobre zwyczaje, ewentualnie (co powinno być regułą) procedury w
firmie. A co do procedur - patrz punkt 1. czyli polecenie przełożonego.
I tak wracamy do punktu wyjścia.

Czyli co - przełożony poleca niestaranne wykonywanie pracy??

Patrz wyżej: masz wykonywać swoją pracę zgodnie ze swoją wiedzą zawodową ORAZ poleceniami przełożonego. Jeżeli przełożony zażądał, by hasłem roota do najważniejszego serwera w firmie było SEXSEXSEX, to w zasadzie wykonawca ma dwa wyjścia: wykonać polecenie lub zwolnić się z pracy (ewentualnie obie czynności jednocześnie).

Órzytkownik "Maciej Bebenek (news.onet.pl)" napisał:

Czyli co - przełożony poleca niestaranne wykonywanie pracy??

Patrz wyżej: masz wykonywać swoją pracę zgodnie ze swoją wiedzą
zawodową ORAZ poleceniami przełożonego. Jeżeli przełożony
zażądał, by hasłem roota do najważniejszego serwera w firmie było
SEXSEXSEX, to w zasadzie wykonawca ma dwa wyjścia: wykonać
polecenie lub zwolnić się z pracy

macieju te hasłą to tylko część tego co chce szef, natomiast pracownik
powinien wykonywać jedynie te polecenia szefa które są zgodne z jego
obowiązkami pracy zawartymi w umowie czy regulaminie, więc nie siej
propagandy:O)

On Fri, 18 Feb 2011, Papo5murfo wrote:

[...nie do mnie...]

macieju te hasłą to tylko część tego co chce szef, natomiast pracownik
powinien wykonywać jedynie te polecenia szefa które są zgodne z jego
obowiązkami pracy zawartymi w umowie czy regulaminie, więc nie siej
propagandy:O)

  W ten umowie na jakieś skromne 99,98% jest coś w stylu "inne polecenia
przełożonych".
  I o ile linia orzecznicza sądów rzeczywiście wskazuje, że nie mogą
to być polecenia dowolne, znaczy nie mogą wychodzić poza "zwykły"
zakres czynności danego stanowiska pracy, to chyba nie chcesz nam
napisać że któreś z przykładowych poleceń poza taki zakres PRACY
ADMINISTRATORA wychodziło?
  Albo inaczej - pokaż jedno KONKRETNE polecenie i wykaż (z argumentacją
która obroni się przed sądem) że TAKIE polecenie nie jest spotykane
wśród obowiązków które mają administratorzy w różnych zakładach pracy.
"u nas nigdy tak nie było" się nie obroni :>

pzdr, Gotfryd

Órzytkownik "Gotfryd Smolik news" napisał:

macieju te hasłą to tylko część tego co chce szef, natomiast pracownik
powinien wykonywać jedynie te polecenia szefa które są zgodne z jego
obowiązkami pracy zawartymi w umowie czy regulaminie, więc nie siej
propagandy:O)

W ten umowie na jakieś skromne 99,98% jest coś
w stylu "inne polecenia przełożonych".

w umowie czy w prawie pracy?:O)
"inne" czyli jakie? nie wiadomo czyli nie sprecyzowane:O)

 I o ile linia orzecznicza sądów rzeczywiście wskazuje, że nie mogą
to być polecenia dowolne, znaczy nie mogą wychodzić poza "zwykły"
zakres czynności danego stanowiska pracy, to chyba nie chcesz nam
napisać że któreś z przykładowych poleceń poza taki zakres PRACY
ADMINISTRATORA wychodziło?

nie mam pojęcia czy te konkretne polcania wchodzą w zakres pracy tego
pracownika czy nie bo nie znam jego umowy ani regulaminów, ale z tego ci
pisze i znajac życie to sie domyślam że nowy szef albo nałożył od tak sobie
nowe obowiązki na pracownika, albo chce żeby wykonał jakąś dodatkową pracę
za friko bo trudno chyba będzie wytłumaczyć sędzinie że administrator ma
projektować i rysować sieci a nie nimi zażądzać co nie?:O)

Albo inaczej - pokaż jedno KONKRETNE polecenie i wykaż (z argumentacją
która obroni się przed sądem) że TAKIE polecenie nie jest spotykane
wśród obowiązków które mają administratorzy w różnych zakładach pracy.
"u nas nigdy tak nie było" się nie obroni :>

ale sądu nie interesują obowiązki administratorów w innych zakłądach pracy
tylko obowiązki tego konkretnego administratora bo on ma wykonywac tylko
taką pracę jaką ma umówioną w stosunku pracy czy regulaminach ale swoich a
nie innego zakąłdu pracy, prawda?:O)
to że sekretarka w innej firmie parzy kawę, sprząta i daje dupy szefowi to
widocxznie tak się umówili i nie oznacza to że automatycznie sekretarka w
innej firmie ma robić to samo bo ona ma w umowie tylko parzenie kawy i
polecenia parzenia się z szefem nie musi wykonywać:O)

p.s. gnębić garbatonosych pracodafcuf!!!:O)

On Sat, 19 Feb 2011, Papo5merfo wrote:

obowiązkami pracy zawartymi w umowie czy regulaminie

[...]

W ten umowie na jakieś skromne 99,98% jest coś
w stylu "inne polecenia przełożonych".

w umowie czy w prawie pracy?:O)

  Niewyraźnie zacytowałem czy jak?

"inne" czyli jakie?

  "zawierające się w zakresie danego stanowiska w sposób zgodny
z zasadami współżycia społecznego".
  O tym czy konkretne "przejdzie" na końcu zadecyduje sąd.

nie wiadomo czyli nie sprecyzowane:O)

  Żadne zadanie pracownicze nie jest do końca sprecyzowane.
  Kierowca np. może stwierdzić że "jazdy do Zamościa nie mam
w umowie o pracę więc nie jadę" :>

pisze i znajac życie to sie domyślam że nowy szef albo nałożył od tak sobie
nowe obowiązki na pracownika, albo chce żeby wykonał jakąś dodatkową pracę
za friko

  Jest to możliwe.
  Ale wniosek jest prosty - skoro jest polecenie, to trzeba zrobić.
  Jakaś inna praca nie zostanie wykonana i tyle.
  Zwróć uwagę: umowa o pracę to NIE JEST umowa o dzieło.
  Pracownik stawia do dyspozycji pracownika swój czas i swoje kompetencje.

to że sekretarka w innej firmie parzy kawę, sprząta i daje dupy szefowi to
widocxznie tak się umówili

  Ależ nie mogli się umówić o czyn sprzeczny z prawem - czyli za pieniądze
wliczane do wynagrodzenia :P

pzdr, Gotfryd

Órzytkownik "Gotfryd Smolik news" napisał:

w umowie czy w prawie pracy?:O)

 Niewyraźnie zacytowałem czy jak?

nie mam pojęcia czy i co zacytowałeś bo nie podałeś źródła!:O)

"zawierające się w zakresie danego stanowiska w sposób zgodny
z zasadami współżycia społecznego".
O tym czy konkretne "przejdzie" na końcu zadecyduje sąd.

z czego te cytaty ic czego dotyczą?:O)

 Jest to możliwe.
 Ale wniosek jest prosty - skoro jest polecenie, to trzeba zrobić.
 Jakaś inna praca nie zostanie wykonana i tyle.
 Zwróć uwagę: umowa o pracę to NIE JEST umowa o dzieło.
 Pracownik stawia do dyspozycji pracownika swój czas i swoje kompetencje.

pracownik stawia się tylko do takiej dyspozycji na jaką się umawiali i tylko
za to dostaje zapłątę!:O)

Użytkownik Maciej Bebenek (news.onet.pl) napisał:

W dniu 2011-02-18 08:19, Andrzej Ława pisze:

W dniu 17.02.2011 22:16, to pisze:

Admin zmieni hasła i z wiedzą pisemną szlag trafi.

To wtedy beknie za to w sądzie,

Niby za co? Hasła należy regularnie zmieniać.

Ustawa jakaś tak mówi? Rozporządzenie?
Nie - dobre zwyczaje, ewentualnie (co powinno być regułą) procedury w
firmie. A co do procedur - patrz punkt 1. czyli polecenie przełożonego.
I tak wracamy do punktu wyjścia.

Jeśli chodzi o dane osobowe, to jak najbardziej jest rozporządzenie do Ustawy o ochronie danych osobowych, które reguluje jak trudne mają być hasła dostępowe i jak często należy je zmieniać.

Jeden z nielicznych przepisów, który przeczytałem kilka razy od deski do deski.

--
Pozdrawiam,
   Tapatik

Dnia Fri, 18 Feb 2011 11:01:23 +0100, Maciej Bebenek (news.onet.pl)
napisał(a):

Admin zmieni hasła i z wiedzą pisemną szlag trafi.

To wtedy beknie za to w sądzie,

Niby za co? Hasła należy regularnie zmieniać.

Ustawa jakaś tak mówi? Rozporządzenie?
Nie - dobre zwyczaje, ewentualnie (co powinno być regułą) procedury w firmie.

Zakładając, że w większości systemów są przetwarzane jakieś dane osobowe (a
post OP na to wskazuje) to właśnie rozporządzenie - a konkretniej pkt
A.IV.2 z Załącznika do rozporządzenia Ministra Spraw Wewnętrznych i
Administracji z dnia 29 kwietnia 2004 r. (Dz.U. 2004 nr 100 poz. 1024)
Jestem rozczarowany...

Co do pytań OP: ja dane bym oczywiście podał (polecenie służbowe) za
pokwitowaniem i oświadczeniem o poinformowaniu o współodpowiedzialności za
bezpieczeństwo systemu od tego momentu. I zaczął szukać roboty. Ja swoje
administracyjne hasełka po każdej zmianie (i inne dane istotne w związku  z
tym, co dalej) pakuję w zalakowaną kopertę do sejfu. Na wypadek napotkania
Jasia co walcem lubi jeździć... ;)

--
pozdro
poreba

Dnia 17 Feb 2011 21:16:48 GMT, to napisał(a):

To wtedy beknie za to w sądzie, na tej zasadzie może też np. naszczać do serwera.

Polityki monitoringu dostępu i wymuszenia okresowej zmiany haseł nie ma? No
to admin może przekazać hasła... Dbanie o bezpieczeństwo to nie jego
działka.

Pozdrawiam,
               Henry

begin Henry(k)

To wtedy beknie za to w sądzie, na tej zasadzie może też np. naszczać
do serwera.

Polityki monitoringu dostępu i wymuszenia okresowej zmiany haseł nie ma?
No to admin może przekazać hasła... Dbanie o bezpieczeństwo to nie jego
działka.

Co to ma wspólnego z monitoringiem dostępu? Co do zmiany haseł, to nie zawsze okresowa zmiana haseł ma jakikolwiek sens w odniesieniu do czegokolwiek, oprócz kont użytkowników,

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

W dniu 2011-02-18 11:17, to pisze:

begin Henry(k)

To wtedy beknie za to w sądzie, na tej zasadzie może też np. naszczać
do serwera.

Polityki monitoringu dostępu i wymuszenia okresowej zmiany haseł nie ma?
No to admin może przekazać hasła... Dbanie o bezpieczeństwo to nie jego
działka.

Co to ma wspólnego z monitoringiem dostępu? Co do zmiany haseł, to nie
zawsze okresowa zmiana haseł ma jakikolwiek sens w odniesieniu do
czegokolwiek, oprĂłcz kont uĹźytkownikĂłw,

Oczywiście, że ma. Pierwsze - wszystkie hasła administracyjne powinny być automatycznie zmieniane w momencie odejścia z pracy kogokolwiek, kto MÓGŁ (a niekoniecznie oficjalnie miał) z nimi coś wspólnego (czyli najczęściej są to pracownicy działu IT).
Drugie: regularna zmiana haseł (np. co 3 miesiące) zawsze ma wspływ na podniesienie bezpieczeństwa, szczególnie w przypadku urządzeń sieciowych.
Ostatnio znajomy był w swojej byłej firmie: po trzech latach do sieci WiFi nadal jest to samo hasło, dające pełny dostęp do zasobów korporacyjnych :-)

Drugie: regularna zmiana haseł (np. co 3 miesiące) zawsze ma wspływ na
podniesienie bezpieczeństwa, szczególnie w przypadku urządzeń sieciowych.

no, jeszcze lepiej- zmieniac je czesciej. wtedy przynajmniej uzerzy
beda mogli je pozapisywac na kartkach przyklejonych do monitorow, bo
inaczej zapomna.
a tak swoja droga- sa jakies *obiektywne* badania wskazujace, ze cos
takiego istotnie zwieksza bezpieczenstwo?

szymon

W dniu 18.02.2011 14:15, Szymon von Ulezalka pisze:

a tak swoja droga- sa jakies *obiektywne* badania wskazujace, ze cos
takiego istotnie zwieksza bezpieczenstwo?

Pomyśl logicznie. Jeśli jesteś czyimś celem, to ktoś może próbować po
kolei wielu haseł. Prędzej czy później ZAWSZE trafi. Oczywiście mogą być
różne alarmy i blokady logowania, ale to jest do obejścia (próby
logowania z różnych IP chociażby - jeśli ktoś do ataku wykorzystuje
chmarę zombie, to uzyska to nawet tanim kosztem), jeśli ktoś tylko jest
odpowiednio zdeterminowany.

Poza tym im dłużej dane hasło jest wykorzystywane, tym większe ryzyko,
że jakoś "wycieknie", chociażby poprzez omyłkowe/odruchowe wstukanie go
przy innym logowaniu.

begin Andrzej Ława

Pomyśl logicznie. Jeśli jesteś czyimś celem, to ktoś może próbować po
kolei wielu haseł.

ROTFL, regularna zmiana haseł jako zabezpieczenie przed brute force. Większej bzdury dawno nie przeczytałem.

Prędzej czy później ZAWSZE trafi. Oczywiście mogą być
różne alarmy i blokady logowania, ale to jest do obejścia (próby
logowania z różnych IP chociażby - jeśli ktoś do ataku wykorzystuje
chmarę zombie, to uzyska to nawet tanim kosztem), jeśli ktoś tylko jest
odpowiednio zdeterminowany.

Zabezpieczenie się przed brute force jest dziecinnie proste, podobnie jak wykrywanie takich prób.

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

Użytkownik "Andrzej Ława" <alawa_news@lechistan.SPAM_PRECZ.com> napisał w wiadomości grup dyskusyjnych:ijlsp2$c0e$1@inews.gazeta.pl...

W dniu 18.02.2011 14:15, Szymon von Ulezalka pisze:

a tak swoja droga- sa jakies *obiektywne* badania wskazujace, ze cos
takiego istotnie zwieksza bezpieczenstwo?

Pomyśl logicznie. Jeśli jesteś czyimś celem, to ktoś może próbować po
kolei wielu haseł. Prędzej czy później ZAWSZE trafi.

ekhm, tyle ze przy probie wlamania bruteforce do systemu kogos kto wie co robi
to to pozniej moze byc za miliardy lat ;)

niebotycznie wieksze szanse masz wygrac 5 razy pod rzad w totka niz dostac sie
do ktoregos z moich ruterow *metoda bruteforce*, zapewniam

tak jak bylo wspomniane - kopia danych dostepowych musi istniec,
dane powinny byc znane tylko osobom uprawnionym i zmieniane wystarczajaco
czesto zeby miec pewnosc ze osoby ktore mialy do nich dostep a juz nie
powinny go miec go nie maja

natomiast sam mam kilka pomniejszych urzadzen w ktorych nijak nie moge sobie
wyobrazic zwiekszenia bezpieczenstwa poprzez zmiane 32 znakowych, losowych hasel
na inne, prosciej pobic ochroniarzy, wykopac drzwi, ukrasc takiego switcha z
serwerowni i dostac sie bezposrednio do pamieci niz zlamac to niezmieniane haslo
bez fizycznego dostepu

begin Maciej Bebenek (news.onet.pl)

Oczywiście, że ma. Pierwsze - wszystkie hasła administracyjne powinny
być automatycznie zmieniane w momencie odejścia z pracy kogokolwiek, kto
MÓGŁ (a niekoniecznie oficjalnie miał) z nimi coś wspólnego (czyli
najczęściej są to pracownicy działu IT).

Oczywiście, ale jaki to ma związek z regularną zmianą haseł?

Drugie: regularna zmiana haseł
(np. co 3 miesiące) zawsze ma wspływ na podniesienie bezpieczeństwa,
szczególnie w przypadku urządzeń sieciowych.

W jakiĹź to sposĂłb? --
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

UĹźytkownik "qwerty" <qwerty01@poczta.fm>

Nie tyle całkiem rozsądnie, co całkowicie rozsądnie. Nie wyobrażam sobie,
jak w ogóle można traktować te kwestie inaczej. Admin miałby być
niepodzielnym panem i władcą całej sieci firmowej? A co gdy będzie miał
wypadek, obrazi się, cokolwiek?

Admin zmieni hasła i z wiedzą pisemną szlag trafi.

Ale nim zmieni, Ty je możesz zmienić by ich nie mógł zmienić.

Zresztą administratorzy nie znają każdego hasła.

To nie ma z nimi problemu

Dnia Thu, 17 Feb 2011 21:38:27 +0100, Paweł napisał(a):

Skoro poprosił na piśmie, to przekaż w powyższej formie, za
pokwitowaniem.

Wystarczy e-mail zaszyfrowany i podpisany cyfrowo. Pozostałe rady bardzo słuszne. Użycie loginu przekazanego tylko jemu wskaże
źródło "przecieku". Poza tym w serwerach chyba da się ustawić żeby root się
logował tylko lokalnie a nie sieciowo.

Pozdrawiam,
                Henry

Użytkownik "Henry(k)" <moj_adres_to_henrykg@na_serwerze_gazeta.pl>

Skoro poprosił na piśmie, to przekaż w powyższej formie, za
pokwitowaniem.

Wystarczy e-mail zaszyfrowany i podpisany cyfrowo.

Nie wystarczy jeśli nie dostanie podpisanego cyfrowo potwierdzenia przeczytania. To "za pokwitowaniem" temu właśnie służy by mieć potwierdzenie, że się tego dokonało i już nie odpowiada się za nie.

W dniu 2011-02-17 19:02, marek_firma@onet.pl pisze:

Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie firmy. Ale
tak po prostu na piśmie i (mogę się domyślać, bo pytania pochodzą być może z
jakiejś firmy audytorskiej) prawdopodobnie do wglądu przez osoby trzecie ? Czy
firmy audytorskie mogą żądac takich danych ?

Co do pkt 1., częściowo 7 i 8., czyli loginy i hasła - masz rację. Jak Ci witek napisał - zapieczętowane koperty z Twoim podpisem, które w każdej chwili możesz obejrzeć, przechowywane w jakimś "sejfie" (kancelarii tajnej). Podobnie powinno być z kodami źródłowymi wszystkiego, co wyrzeźbisz.
Reszta, to normalna dokumentacja, która po prostu "ma być". Sporządzić i poddać procedurze dokumentów niejawnych.
Z resztą - są do tego procedury w ISO9000.



--
Dziękuję.    Pozdrawiam.       Ten Maruda.

Órzytkownik "Maruda" napisał:

Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie
firmy. Ale tak po prostu na piśmie i (mogę się domyślać, bo pytania
pochodzą być może z jakiejś firmy audytorskiej) prawdopodobnie
do wglądu przez osoby trzecie ? Czy firmy audytorskie mogą
żądac takich danych ?

Co do pkt 1., częściowo 7 i 8., czyli loginy i hasła - masz rację. Jak Ci
witek napisał - zapieczętowane koperty z Twoim podpisem, które w każdej
chwili możesz obejrzeć, przechowywane w jakimś "sejfie" (kancelarii
tajnej). Podobnie powinno być z kodami źródłowymi wszystkiego, co
wyrzeźbisz.
Reszta, to normalna dokumentacja, która po prostu "ma być". Sporządzić i
poddać procedurze dokumentów niejawnych.
Z resztą - są do tego procedury w ISO9000.

mnie to coś dziwnie pachnie!:O(
po pierwsze to należało by się zastanowić czy takie wymagania szefa leżą w
zakresie obowiązków owego admina?:O)
bo niby z jakiego powodu miałby odwalać kawał roboty która nie należy do
jego obowiązków i pewnie szef nie planuje za nią dodatkowej zapłaty?:O)

najbardziej mnie martfią te loginy i hasła administracyjne, bo jeśli zostaną
udostępnione osobom trzecim to praktycznie admin przestanie być adminem, to
znaczy osoby trzecie będą mogły zarządzać siecią, szpiegować co sie dzieje a
ewentualna odpowiedzialność spadnie na admina którego będzie można zwolnić
za niby złe wykonywanie swoich obowiazków!:O(

tłumaczenie ludzi ze te chasła administracyjne trzeba przekazać na wypadek
śmeirci admina to czysta bzdura!!!
jak admin fpanie pod autobus to sieć pszejmuje nowy admin i zmienia
fszystkie chasłą administracyjne bo ma bezpośredni dostęp do sieci, a jak
będzie chciał to może nawet zmienić sieć i żadna wiedza na temat haseł czy
podobnych dupereli nie jest potszebna:O)

więc jeśli widzisz problem to odmów wykonania polecenia jako niezgodnego z
twoimi obowiązkami zawartymi w umowie, oraz ze względów bezpieczeństwa
sieci, pozdrawiam:O)
jeśli szef chce znać hasła administracyjne to niech sam siebie zatrudni jako
administratora:O)

On 2/17/2011 1:03 PM, Papo5murfo wrote:

Órzytkownik "Maruda" napisał:

Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie
firmy. Ale tak po prostu na piśmie i (mogę się domyślać, bo pytania
pochodzą być może z jakiejś firmy audytorskiej) prawdopodobnie
do wglądu przez osoby trzecie ? Czy firmy audytorskie mogą
żądac takich danych ?

Co do pkt 1., częściowo 7 i 8., czyli loginy i hasła - masz rację. Jak Ci
witek napisał - zapieczętowane koperty z Twoim podpisem, które w każdej
chwili możesz obejrzeć, przechowywane w jakimś "sejfie" (kancelarii
tajnej). Podobnie powinno być z kodami źródłowymi wszystkiego, co
wyrzeźbisz.
Reszta, to normalna dokumentacja, która po prostu "ma być". Sporządzić i
poddać procedurze dokumentów niejawnych.
Z resztą - są do tego procedury w ISO9000.

mnie to coś dziwnie pachnie!:O(
po pierwsze to należało by się zastanowić czy takie wymagania szefa leżą w
zakresie obowiązków owego admina?:O)
bo niby z jakiego powodu miałby odwalać kawał roboty która nie należy do
jego obowiązków i pewnie szef nie planuje za nią dodatkowej zapłaty?:O)

najbardziej mnie martfią te loginy i hasła administracyjne, bo jeśli
zostaną
udostępnione osobom trzecim to praktycznie admin przestanie być adminem, to
znaczy osoby trzecie będą mogły zarządzać siecią, szpiegować co sie
dzieje a
ewentualna odpowiedzialność spadnie na admina którego będzie można zwolnić
za niby złe wykonywanie swoich obowiazków!:O(

tłumaczenie ludzi ze te chasła administracyjne trzeba przekazać na wypadek
śmeirci admina to czysta bzdura!!!
jak admin fpanie pod autobus to sieć pszejmuje nowy admin i zmienia
fszystkie chasłą administracyjne bo ma bezpośredni dostęp do sieci, a jak
będzie chciał to może nawet zmienić sieć i żadna wiedza na temat haseł czy
podobnych dupereli nie jest potszebna:O)

więc jeśli widzisz problem to odmów wykonania polecenia jako niezgodnego z
twoimi obowiązkami zawartymi w umowie, oraz ze względów bezpieczeństwa
sieci, pozdrawiam:O)
jeśli szef chce znać hasła administracyjne to niech sam siebie zatrudni
jako
administratora:O)

ale pierdoły.

begin Papo5murfo

mnie to coś dziwnie pachnie!:O(

Jesteś adminem?

po pierwsze to należało by się zastanowić czy takie wymagania szefa leżą
w zakresie obowiązków owego admina?:O) bo niby z jakiego powodu miałby
odwalać kawał roboty która nie należy do jego obowiązków i pewnie szef
nie planuje za nią dodatkowej zapłaty?:O)

Oczywiście, że leżą.

najbardziej mnie martfią te loginy i hasła administracyjne, bo jeśli
zostaną udostępnione osobom trzecim to praktycznie admin przestanie być
adminem, to znaczy osoby trzecie będą mogły zarządzać siecią, szpiegować
co sie dzieje a ewentualna odpowiedzialność spadnie na admina którego
będzie można zwolnić za niby złe wykonywanie swoich obowiazków!:O(

A kto powiedział, że za sieć ma odpowiadać jedna osoba? Bardzo często odpowiada za nią wiele osób i wiele osób ma dostęp do tego samego.

tłumaczenie ludzi ze te chasła administracyjne trzeba przekazać na
wypadek śmeirci admina to czysta bzdura!!!
jak admin fpanie pod autobus to sieć pszejmuje nowy admin i zmienia
fszystkie chasłą administracyjne bo ma bezpośredni dostęp do sieci, a
jak będzie chciał to może nawet zmienić sieć i żadna wiedza na temat
haseł czy podobnych dupereli nie jest potszebna:O)

Po co ma tracić czas na włamywanie się do sieci?

więc jeśli widzisz problem to odmów wykonania polecenia jako niezgodnego
z twoimi obowiązkami zawartymi w umowie, oraz ze względów bezpieczeństwa
sieci, pozdrawiam:O)
jeśli szef chce znać hasła administracyjne to niech sam siebie zatrudni
jako administratora:O)

Świetna rada, pod warunkiem, że Marek chce zmienić pracę.

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

Użytkownik "Papo5murfo" <rudy@lis.pl>

Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie
firmy. Ale tak po prostu na piśmie i (mogę się domyślać, bo pytania
pochodzą być może z jakiejś firmy audytorskiej) prawdopodobnie
do wglądu przez osoby trzecie ? Czy firmy audytorskie mogą
żądac takich danych ?

Co do pkt 1., częściowo 7 i 8., czyli loginy i hasła - masz rację. Jak Ci
witek napisał - zapieczętowane koperty z Twoim podpisem, które w każdej
chwili możesz obejrzeć, przechowywane w jakimś "sejfie" (kancelarii
tajnej). Podobnie powinno być z kodami źródłowymi wszystkiego, co
wyrzeźbisz.
Reszta, to normalna dokumentacja, która po prostu "ma być". Sporządzić i
poddać procedurze dokumentów niejawnych.
Z resztą - są do tego procedury w ISO9000.

mnie to coś dziwnie pachnie!:O(
po pierwsze to należało by się zastanowić czy takie wymagania szefa leżą w
zakresie obowiązków owego admina?:O)
bo niby z jakiego powodu miałby odwalać kawał roboty która nie należy do
jego obowiązków i pewnie szef nie planuje za nią dodatkowej zapłaty?:O)

najbardziej mnie martfią te loginy i hasła administracyjne, bo jeśli zostaną
udostępnione osobom trzecim to praktycznie admin przestanie być adminem, to
znaczy osoby trzecie będą mogły zarządzać siecią, szpiegować co sie dzieje a
ewentualna odpowiedzialność spadnie na admina którego będzie można zwolnić
za niby złe wykonywanie swoich obowiazków!:O(

tłumaczenie ludzi ze te chasła administracyjne trzeba przekazać na wypadek
śmeirci admina to czysta bzdura!!!
jak admin fpanie pod autobus to sieć pszejmuje nowy admin i zmienia
fszystkie chasłą administracyjne bo ma bezpośredni dostęp do sieci, a jak
będzie chciał to może nawet zmienić sieć i żadna wiedza na temat haseł czy
podobnych dupereli nie jest potszebna:O)

więc jeśli widzisz problem to odmów wykonania polecenia jako niezgodnego z
twoimi obowiązkami zawartymi w umowie, oraz ze względów bezpieczeństwa
sieci, pozdrawiam:O)
jeśli szef chce znać hasła administracyjne to niech sam siebie zatrudni jako
administratora:O)

To brednie są. Właściciel ma pełne prawo do wszelkich informacji na temat swojej sieci między innymi po to, by w każdej chwili zwolnić dotychczasowego administratora i uwolnić się od jego wpływu na sieć a nie przez rok rekonfigurować wszystkie urządzenia sieciowe. To jest kwestia bezpieczeństwa a nie utrudnianie osobom uprawionym dostępu.

niusy.pl pisze:

Użytkownik "Papo5murfo" <rudy@lis.pl>

Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie
firmy. Ale tak po prostu na piśmie i (mogę się domyślać, bo pytania
pochodzą być może z jakiejś firmy audytorskiej) prawdopodobnie
do wglądu przez osoby trzecie ? Czy firmy audytorskie mogą
żądac takich danych ?

Co do pkt 1., częściowo 7 i 8., czyli loginy i hasła - masz rację. Jak Ci
witek napisał - zapieczętowane koperty z Twoim podpisem, które w każdej
chwili możesz obejrzeć, przechowywane w jakimś "sejfie" (kancelarii
tajnej). Podobnie powinno być z kodami źródłowymi wszystkiego, co
wyrzeźbisz.
Reszta, to normalna dokumentacja, która po prostu "ma być". Sporządzić i
poddać procedurze dokumentów niejawnych.
Z resztą - są do tego procedury w ISO9000.

mnie to coś dziwnie pachnie!:O(
po pierwsze to należało by się zastanowić czy takie wymagania szefa leżą w
zakresie obowiązków owego admina?:O)
bo niby z jakiego powodu miałby odwalać kawał roboty która nie należy do
jego obowiązków i pewnie szef nie planuje za nią dodatkowej zapłaty?:O)

najbardziej mnie martfią te loginy i hasła administracyjne, bo jeśli zostaną
udostępnione osobom trzecim to praktycznie admin przestanie być adminem, to
znaczy osoby trzecie będą mogły zarządzać siecią, szpiegować co sie dzieje a
ewentualna odpowiedzialność spadnie na admina którego będzie można zwolnić
za niby złe wykonywanie swoich obowiazków!:O(

tłumaczenie ludzi ze te chasła administracyjne trzeba przekazać na wypadek
śmeirci admina to czysta bzdura!!!
jak admin fpanie pod autobus to sieć pszejmuje nowy admin i zmienia
fszystkie chasłą administracyjne bo ma bezpośredni dostęp do sieci, a jak
będzie chciał to może nawet zmienić sieć i żadna wiedza na temat haseł czy
podobnych dupereli nie jest potszebna:O)

więc jeśli widzisz problem to odmów wykonania polecenia jako niezgodnego z
twoimi obowiązkami zawartymi w umowie, oraz ze względów bezpieczeństwa
sieci, pozdrawiam:O)
jeśli szef chce znać hasła administracyjne to niech sam siebie zatrudni jako
administratora:O)

To brednie są. Właściciel ma pełne prawo do wszelkich informacji na temat swojej sieci między innymi po to, by w każdej chwili zwolnić dotychczasowego administratora i uwolnić się od jego wpływu na sieć a nie przez rok rekonfigurować wszystkie urządzenia sieciowe. To jest kwestia bezpieczeństwa a nie utrudnianie osobom uprawionym dostępu.

Kwestia tez bezpieczeństwa tego admina, bo moze iść na urlop i nikt do niego nie będzie miał pretensji że mu firmowy telefon się "rozładował", albo "stracił zasięg" :)



--
Kaczus
http://kaczus.republika.pl

Órzytkownik "niusy.pl" napisał:

więc jeśli widzisz problem to odmów wykonania polecenia jako niezgodnego
z twoimi obowiązkami zawartymi w umowie, oraz ze względów
bezpieczeństwa sieci, pozdrawiam:O)
jeśli szef chce znać hasła administracyjne to niech sam siebie zatrudni
jako administratora:O)

To brednie są. Właściciel ma pełne prawo do wszelkich informacji na temat
swojej sieci między innymi po to, by w każdej chwili zwolnić
dotychczasowego administratora i uwolnić się od jego wpływu na sieć a nie
przez rok rekonfigurować wszystkie urządzenia sieciowe.
To jest kwestia bezpieczeństwa a nie utrudnianie osobom uprawionym
dostępu.

skoro dla gościa na stałę pracującego jako administrator sieci polecenie
szefa wydaje sie na tyle dziwne że musi zasięgnąć poracy w necie to
oczywiste jest że to o co szef prosi nie należy do normalnych jego
obowiązków, nauczmy się czytać międzywierszami:O)
czyli wychodzi ze nowy szef chce odwalenia dodatkowej roboty za friko,
normalka:O(

a skoro jesteśmy na prawie to szef może i jest właścicielem sieci ale nie
jest jej posiadaczem!:O)

brednią jest natomiast tfoje tfierdzenie że szef musi znać hasła żeby
zwolnić pracownika bo inaczej będzie musiał je zmeiniać rok czasu,
uświadamiam cię ze zmaina haseł w sieci to kwestia paru minut i wystarczy
dostęp do sprzętu nawet bez obecności administratora!:O)

poza tym nie znamy faktycznej umowy owego administratora ani tego co to jest
za sieć, więc może i sprzęt jest szefa, ale już oprogramowanie, skrypty i
jej wirtualna budowa to nie koniecznie, więc nie mam pojęcia w jakim celu
owy administrator miałby przekazywać lata ciężkiej pracy, wiedzy i praw
autorskich w postaci shematów sieci za darmo, jeśli nowy szef chce mieć coś
takeigo to niech się z owym administratorem umówi co do umowy o dzieło i mu
za to zapłąci, proste?:O)

begin Papo5merfo

poza tym nie znamy faktycznej umowy owego administratora ani tego co to
jest za sieć, więc może i sprzęt jest szefa, ale już oprogramowanie,
skrypty i jej wirtualna budowa to nie koniecznie, więc nie mam pojęcia w
jakim celu owy administrator miałby przekazywać lata ciężkiej pracy,
wiedzy i praw autorskich w postaci shematów sieci za darmo, jeśli nowy
szef chce mieć coś takeigo to niech się z owym administratorem umówi co
do umowy o dzieło i mu za to zapłąci, proste?:O)

To co administrator zrobił w godzinach pracy jest własnością firmy. Pozostałych głupot nie chce mi się komentować...

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

Órzytkownik "to" napisał:

poza tym nie znamy faktycznej umowy owego administratora ani tego co to
jest za sieć, więc może i sprzęt jest szefa, ale już oprogramowanie,
skrypty i jej wirtualna budowa to nie koniecznie, więc nie mam pojęcia w
jakim celu owy administrator miałby przekazywać lata ciężkiej pracy,
wiedzy i praw autorskich w postaci shematów sieci za darmo, jeśli nowy
szef chce mieć coś takeigo to niech się z owym administratorem umówi co
do umowy o dzieło i mu za to zapłąci, proste?:O)

To co administrator zrobił w godzinach pracy jest własnością firmy.
Pozostałych głupot nie chce mi się komentować...

głupoty to ty piszesz, a własnością firmy jest tylko to co wykonał pracownik
w ramach umowy pracy czyli to co wykonał i wchodziło to w jego obowiązki,
jeśli w godzinach pracy wydymał żonę szefa to dziecko jest jego a nie
firmy:O)

begin Papo5murfo

poza tym nie znamy faktycznej umowy owego administratora ani tego co
to jest za sieć, więc może i sprzęt jest szefa, ale już
oprogramowanie, skrypty i jej wirtualna budowa to nie koniecznie, więc
nie mam pojęcia w jakim celu owy administrator miałby przekazywać lata
ciężkiej pracy, wiedzy i praw autorskich w postaci shematów sieci za
darmo, jeśli nowy szef chce mieć coś takeigo to niech się z owym
administratorem umówi co do umowy o dzieło i mu za to zapłąci,
proste?:O)

To co administrator zrobił w godzinach pracy jest własnością firmy.
Pozostałych głupot nie chce mi się komentować...

głupoty to ty piszesz, a własnością firmy jest tylko to co wykonał
pracownik w ramach umowy pracy czyli to co wykonał i wchodziło to w jego
obowiązki, jeśli w godzinach pracy wydymał żonę szefa to dziecko jest
jego a nie firmy:O)

To co zrobił administrator na serwerach i w sieci firmowej jest bez dwóch zdań własnością firmy, nie pogrążaj się debilnymi przykładami.

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

Órzytkownik "to" napisał:

głupoty to ty piszesz, a własnością firmy jest tylko to co wykonał
pracownik w ramach umowy pracy czyli to co wykonał i wchodziło to w jego
obowiązki, jeśli w godzinach pracy wydymał żonę szefa to dziecko jest
jego a nie firmy:O)

To co zrobił administrator na serwerach i w sieci firmowej jest bez dwóch
zdań własnością firmy, nie pogrążaj się debilnymi przykładami.

nie udawaj jasnowidza bo to ci na dobre nie wychodzi:O)
własnością firmy jest tylko to co kupiła, lub to za co zapłaciła, więc jeśli
na serwerach jest coś co nie wchodziło do obowiazków admina w ramach jego
umowy o pracę czy dzieło to napewno to do firmy nie należy:O)

skoro to co jest na serwerach jest własnością firmy to niech sobie to
weżmie, czego chcą od admina, żeby im dał to co jest jusz mają?:O)

begin Papo5merfo

nie udawaj jasnowidza bo to ci na dobre nie wychodzi:O) własnością firmy
jest tylko to co kupiła, lub to za co zapłaciła, więc jeśli na serwerach
jest coś co nie wchodziło do obowiazków admina w ramach jego umowy o
pracę czy dzieło to napewno to do firmy nie należy:O)

Nie chce mi się pisać ciągle tego samego, ale napiszę jeszcze raz. Wszystko co ten administrator zrobił na swoim stanowisku pracy jest własnością firmy, w tym np. skrypty które sobie napisał, projekt sieci którą w tej firmie wykonał itp. Administrator ma obowiązek wykonywać polecenia przełożonych które korespondują z jego stanowiskiem pracy, a polecenie dotyczące przekazania haseł czy stworzenia dokumentacji tego, co zrobił z pewnością do takich należą.

Tym się właśnie różni umowa o pracę od umowy o dzieło czy umowy zlecenie, że firma płaci za czas, kompetencje pracownika i za to co w tym czasie zrobi, a nie za wykonanie konkretnych, ściśle zdefiniowanych w umowie czynności.

skoro to co jest na serwerach jest własnością firmy to niech sobie to
weżmie, czego chcą od admina, żeby im dał to co jest jusz mają?:O)

Nie osłabiaj.

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway

Órzytkownik "to" napisał:

nie udawaj jasnowidza bo to ci na dobre nie wychodzi:O) własnością firmy
jest tylko to co kupiła, lub to za co zapłaciła, więc jeśli na serwerach
jest coś co nie wchodziło do obowiazków admina w ramach jego umowy o
pracę czy dzieło to napewno to do firmy nie należy:O)

Nie chce mi się pisać ciągle tego samego, ale napiszę jeszcze raz.
Wszystko co ten administrator zrobił na swoim stanowisku pracy jest
własnością firmy, w tym np. skrypty które sobie napisał, projekt sieci
którą w tej firmie wykonał itp.

nie udawaj głupszego niż jesteś, podasz jakieś podstawy prawne sfoich
teorii?:O)
może jak administrator albo sekretarka napiszą sobie w czasie pracy wiersz,
albo uszyją skarperki to ten wiersz i skarpetki należą do pracodawcy?:O)
popisujesz się sfoją głupotą a naprawdę nie masz czym:O(
własnością pracodawcy jest wyłcznie to co w czasie pracy i w ramach sfoich
obowiązków (które zostały umówione) wykona pracownik, bo tylko za to ma
płacone, za pisanie wierszy nikt mó nie zapłącił bo takeij umowy nie
było!!!!

Administrator ma obowiązek wykonywać polecenia
przełożonych które korespondują z jego stanowiskiem pracy

nie znasz umowy owego administratora więc nie udawaj jasnowidza wiedzącego
co z koresponduje z jego stanowiskiem a tym bardziej jaką mają tam politykę
bezpieczeństwa dotyczącą haseł, bo robisz się nudny!!!

jeśli zamierzasz dalej wciskać podobne kity do nie odpisuj!!!

Użytkownik "Papo5merfo" <rudy@lis.pl>

skoro dla gościa na stałę pracującego jako administrator sieci polecenie
szefa wydaje sie na tyle dziwne że musi zasięgnąć poracy w necie to
oczywiste jest że to o co szef prosi nie należy do normalnych jego
obowiązków, nauczmy się czytać międzywierszami:O)
czyli wychodzi ze nowy szef chce odwalenia dodatkowej roboty za friko,
normalka:O(

a skoro jesteśmy na prawie to szef może i jest właścicielem sieci ale nie
jest jej posiadaczem!:O)

brednią jest natomiast tfoje tfierdzenie że szef musi znać hasła żeby
zwolnić pracownika bo inaczej będzie musiał je zmeiniać rok czasu,
uświadamiam cię ze zmaina haseł w sieci to kwestia paru minut i wystarczy
dostęp do sprzętu nawet bez obecności administratora!:O)

poza tym nie znamy faktycznej umowy owego administratora ani tego co to jest
za sieć, więc może i sprzęt jest szefa, ale już oprogramowanie, skrypty i
jej wirtualna budowa to nie koniecznie, więc nie mam pojęcia w jakim celu
owy administrator miałby przekazywać lata ciężkiej pracy, wiedzy i praw
autorskich w postaci shematów sieci za darmo, jeśli nowy szef chce mieć coś
takeigo to niech się z owym administratorem umówi co do umowy o dzieło i mu
za to zapłąci, proste?:O)

Pierdoły do kwadratu :-)

Użytkownik "Papo5murfo" <rudy@lis.pl> napisał w wiadomości grup dyskusyjnych:ijk2du$fl4$3@news.onet.pl...

tłumaczenie ludzi ze te chasła administracyjne trzeba przekazać na wypadek
śmeirci admina to czysta bzdura!!!
jak admin fpanie pod autobus to sieć pszejmuje nowy admin i zmienia
fszystkie chasłą administracyjne bo ma bezpośredni dostęp do sieci, a jak
będzie chciał to może nawet zmienić sieć i żadna wiedza na temat haseł czy
podobnych dupereli nie jest potszebna:O)

jasne, zwlaszcza uzyskanie dostepu do odpowiednio zabezpieczonego serwera z
pelnym szyfrowaniem systemu plikow to cos co admini przyjmowani na szybko po
smierci poprzednika robia w 15 minut :D

Reszta, to normalna dokumentacja,

Polityka bezpieczeństwa rzeczywiście chyba nie przewiduje tu żadnych procedur.

która po prostu "ma być". Sporządzić i poddać procedurze dokumentów niejawnych.
Z resztą - są do tego procedury w ISO9000.

Możesz to rozwinąć (jakieś przykłady, linki) ? Bo jedyne sensowne rozwiązanie to chyba kolejność:
a) uzupełnienie polityki bezpieczeństwa firmy o procedury przechowywania haseł
b) zgodnie z tymi procedurami postąpić.

Chyba, że tu bardziej o hasła i to niekoniecznie dla bezpieczeństwa firmy potrzeba. Z drugiej strony wyobrażam sobie sytuację, ze ja daję hasła, dyrektor w dobrej wierze przekazuje je audytorowi, a ten ktoś robi sobie "na zawsze" furtkę do systemu. Zakładam jeszcze propozycję: jeżeli audyt (załóżmy, że dotychczas  "cichy")to w części dotyczącej tego, co w serwerze: w mojej obecności. --

W dniu 2011-02-17 19:42, Maruda pisze:

Reszta, to normalna dokumentacja, która po prostu "ma być". Sporządzić i
poddać procedurze dokumentów niejawnych.
Z resztą - są do tego procedury w ISO9000.

Raczej bym sądził że firma zmierza w kierunku ISO27001 (System Zarządzania Bezpieczeństwem Informacji). Widać to po inwentaryzacji aktywów informacyjnych. Albo ktoś przynajmniej usiłuje "zrobić po swojemu" coś w tym kierunku, to też dobrze wróży, jakiś porządek zawsze lepszy od chaosu...

--
| Bartlomiej Kuzniewski
| sibi@drut.org  GG:23319  tel +48 696455098  http://drut.org/
| http://www.allegro.pl/show_user_auctions.php?uid=338173

On 02/17/2011 07:02 PM, marek_firma@onet.pl wrote:

Administruję siecią firmy. W sieci m. innymi dane osobowe. Mam nowego szefa, który poprosił na piśmie  o następujące dane:

[ ciach ]

Jak w waszych firmach przechowywanie są takie informacje ? Przecież te dane to jest klucz do wszystkich danych przedsiębiorstwa, który w razie dostania się w niepowołane ręce może mieć katastrofalne skutki dla danych- zarówno ich integralności, jak i bezpieczeństwa.

Integralność to jedna ze składowych bezpieczeństwa, obok poufności i
dostępności.

Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie firmy. Ale tak po prostu na piśmie i (mogę się domyślać, bo pytania pochodzą być może z jakiejś firmy audytorskiej) prawdopodobnie do wglądu przez osoby trzecie ? Czy firmy audytorskie mogą żądac takich danych ?

Pokaż szefowi i przy nim zaklej i włóż do koperty.
Wyjaśnij także kwestię Twojej odpowiedzialności na okoliczność
ujawnienia tych danych bez Twojej wiedzy itp.


--
Robert Jaroszuk
We do not see things as they are, we see them as we are.

GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
GPG key id:0x5D9659C3   |   pgp encrypted mail preferred
GPG fp:E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3

Użytkownik <marek_firma@onet.pl> napisał w wiadomości news:2679.00000868.4d5d629dnewsgate.onet.pl...

Administruję siecią firmy. W sieci m. innymi dane osobowe. Mam nowego szefa,
który poprosił na piśmie  o następujące dane:

[..]>

--

W sumie to ma rację o ile jest polityka bezpieczeństwa w firmie.
W mojej tak jest, hasła "kluczowe" są przechowywane w sejfie u szefa, a ja je po prostu znam (zmiana 1x/30 dni)
Każde wejście do sieci jest logowane, a admin do zarządzania ma 1 konsolę (a to da się zrobić)
A audytor? Jeden chciał dostępu i po przeczytaniu oświadczenia o odpowiedzialności jakie wysmarowałem, zmienił zdanie:)
Jak mądry szef to wie (a może słyszał ) coś o skryptach i ...( to takie niedomówienie)
Co do dokumentacji to przecież standardowa polityka bezpieczeństwa w firmie, a jak masz dane osobowe to powinien być ABI (nie administrator) i wtedy to on się martwi
Pozdrófka
CEzarys
PS Przeczytaj na GIODO o danych osobowych i koniecznie fragment o adresie mailowym jako danie osobowej

W sumie to ma rację o ile jest polityka bezpieczeństwa w firmie.

W mojej tak jest, hasła "kluczowe" są przechowywane w sejfie u szefa, a ja

je po prostu znam (zmiana 1x/30 dni)

Jest, zakłada poufność haseł (user zmienia po otrzymaniu,wymuszona zmiana haseł co 30 dni). Nie ma procedury przechowywania haseł administracyjnych, a powinna być. PBI opracowana i zatwierdzona w chyba 2000 roku. Trzeba ja chyba o ten fragment uzupełnić. Na teraz nie ma procedury do haseł administracyjnych.

A audytor? Jeden chciał dostępu i po przeczytaniu oświadczenia o

odpowiedzialności jakie wysmarowałem, zmienił zdanie:)

Tu mam do Ciebie prośbę. Mógłbyś się podzielić (np na priv) tym oświadczeniem ?

PS Przeczytaj na GIODO o danych osobowych i koniecznie fragment o adresie

mailowym jako danie osobowej

Możesz to rozwinąć ?

Pozdrawiam, Marek

PS. Zakładam, że te posty  może czytać autor pisma od dyrektora. Szef sam tego nie napisał. Zbyt fachowo sformułowane. Nie wykluczam, że dyrektor robi cichy audyt, ale (zakładając, że autor tego pisma nie jest już  nowym adminem ;)) ) przekazanie tych haseł temu człowiekowi daje mu pełny dostęp do wszystkiego, i to niekoniecznie tylko z firmy, z furtka "na zawsze" włącznie. A że z naruszeniem chociażby ustawy o danych osobowych, to już inna sprawa. Zastanawiam  się, kto będzie w razie jakiegoś wycieku lub uszkodzenia danych odpowiedzialny. --

Użytkownik <marek_firma@onet.pl> napisał w wiadomości news:2679.000008f0.4d60e7b2newsgate.onet.pl...

W sumie to ma rację o ile jest polityka bezpieczeństwa w firmie.

W mojej tak jest, hasła "kluczowe" są przechowywane w sejfie u szefa, a ja

je po prostu znam (zmiana 1x/30 dni)

Jest, zakłada poufność haseł (user zmienia po otrzymaniu,wymuszona zmiana haseł
co 30 dni). Nie ma procedury przechowywania haseł administracyjnych, a powinna
być. PBI opracowana i zatwierdzona w chyba 2000 roku. Trzeba ja chyba o ten
fragment uzupełnić. Na teraz nie ma procedury do haseł administracyjnych.

A audytor? Jeden chciał dostępu i po przeczytaniu oświadczenia o

odpowiedzialności jakie wysmarowałem, zmienił zdanie:)

Tu mam do Ciebie prośbę. Mógłbyś się podzielić (np na priv) tym oświadczeniem ?

Po prostu zrzuciłem na niego całą odpowiedzialność za problemy zw funkcjonowaniu firmy (bez określenia czasu, bo skrypty przecież są) wraz z dekalracją o odpowiedzialności majątkowej i odpowiedzialnością za ew. straty. Reedytował mi to później prawnik, tak że bez jego zgody nie mogę. Ale ujęcie mu się podobało :)

PS Przeczytaj na GIODO o danych osobowych i koniecznie fragment o adresie

mailowym jako danie osobowej

Możesz to rozwinąć ?

Wejdź na GIODO i poczytaj. Jak to każda instytucja dokonująca "pozornych" czynności ochronnych dla obywatela strasznie to rozmydlone.

Pozdrawiam, Marek

PS. Zakładam, że te posty  może czytać autor pisma od dyrektora. Szef sam tego
nie napisał. Zbyt fachowo sformułowane. Nie wykluczam, że dyrektor robi cichy
audyt, ale (zakładając, że autor tego pisma nie jest już  nowym adminem ;)) )
przekazanie tych haseł temu człowiekowi daje mu pełny dostęp do wszystkiego, i
to niekoniecznie tylko z firmy, z furtka "na zawsze" włącznie. A że z
naruszeniem chociażby ustawy o danych osobowych, to już inna sprawa. Zastanawiam
się, kto będzie w razie jakiegoś wycieku lub uszkodzenia danych odpowiedzialny.

Masz rację. Niech czyta.
I powtórzę to raz jeszce. Hasła administracyjne są dla administratora. Dla firmy są hasła ratunkowe (nieraz musi być to samo- np.root w unixach)
I napisz czy masz politykę bezpieczeństwa firmy, jak nie to ja bardzo chętnie napiszę (1-2 tygodni na rozpoznanie firmy + cena zaporowa za brak takowej do tej pory)
I jeszcze jedno do takich szefów, wszem i wobec. Powtarzam to zawsze. Administrator MUSI ODEJŚĆ Z FIRMY ZADOWOLONY.
1 raz miełem zlecenie na czyszczenie systemu po niezadowolonym adminie. Katorga. A i kosztowało to sporo. Dodatkowa kasa w ilości 20-40% tych kosztów usatysfakcjonowałaby każdego admina.
Pozdrawiam
CEzarys

begin cezarys

I powtĂłrzĂŞ to raz jeszce. HasÂła administracyjne sÂą dla administratora.
Dla firmy sÂą hasÂła ratunkowe (nieraz musi byĂŚ to samo- np.root w
unixach)

To oczywiście prawda, zrozumiałem, że konieczność podania tych haseł w piśmie to był jakiś skrót myślowy. Zawsze powinna obowiązywać zasada -- jedno konto = jedna osoba (także administracyjne!). Czyli szef powinien dostać (przykładowo) osobne konto z pełnymi uprawnieniami i osobnym hasłem. Wtedy, w razie czego, będzie najprawdopodobniej przynajmniej wiadomo gdzie rozpoczęły się ewentualne problemy.

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway