Data: 2011-02-18 21:43:40 | |
Autor: cezarys | |
"gospodarka" loginami i has?ami administracyjnymi w firmie | |
Użytkownik <marek_firma@onet.pl> napisał w wiadomości news:2679.00000868.4d5d629dnewsgate.onet.pl... Administruję siecią firmy. W sieci m. innymi dane osobowe. Mam nowego szefa,[..]> --W sumie to ma rację o ile jest polityka bezpieczeństwa w firmie. W mojej tak jest, hasła "kluczowe" są przechowywane w sejfie u szefa, a ja je po prostu znam (zmiana 1x/30 dni) Każde wejście do sieci jest logowane, a admin do zarządzania ma 1 konsolę (a to da się zrobić) A audytor? Jeden chciał dostępu i po przeczytaniu oświadczenia o odpowiedzialności jakie wysmarowałem, zmienił zdanie:) Jak mądry szef to wie (a może słyszał ) coś o skryptach i ...( to takie niedomówienie) Co do dokumentacji to przecież standardowa polityka bezpieczeństwa w firmie, a jak masz dane osobowe to powinien być ABI (nie administrator) i wtedy to on się martwi Pozdrófka CEzarys PS Przeczytaj na GIODO o danych osobowych i koniecznie fragment o adresie mailowym jako danie osobowej |
|
Data: 2011-02-20 11:06:42 | |
Autor: marek firma | |
"gospodarka" loginami i has?ami administracyjnymi w firmie | |
W sumie to ma rację o ile jest polityka bezpieczeństwa w firmie. W mojej tak jest, hasła "kluczowe" są przechowywane w sejfie u szefa, a ja je po prostu znam (zmiana 1x/30 dni) Jest, zakłada poufność haseł (user zmienia po otrzymaniu,wymuszona zmiana haseł co 30 dni). Nie ma procedury przechowywania haseł administracyjnych, a powinna być. PBI opracowana i zatwierdzona w chyba 2000 roku. Trzeba ja chyba o ten fragment uzupełnić. Na teraz nie ma procedury do haseł administracyjnych. A audytor? Jeden chciał dostępu i po przeczytaniu oświadczenia o odpowiedzialności jakie wysmarowałem, zmienił zdanie:) Tu mam do Ciebie prośbę. Mógłbyś się podzielić (np na priv) tym oświadczeniem ? PS Przeczytaj na GIODO o danych osobowych i koniecznie fragment o adresie mailowym jako danie osobowej Możesz to rozwinąć ? Pozdrawiam, Marek PS. Zakładam, że te posty może czytać autor pisma od dyrektora. Szef sam tego nie napisał. Zbyt fachowo sformułowane. Nie wykluczam, że dyrektor robi cichy audyt, ale (zakładając, że autor tego pisma nie jest już nowym adminem ;)) ) przekazanie tych haseł temu człowiekowi daje mu pełny dostęp do wszystkiego, i to niekoniecznie tylko z firmy, z furtka "na zawsze" włącznie. A że z naruszeniem chociażby ustawy o danych osobowych, to już inna sprawa. Zastanawiam się, kto będzie w razie jakiegoś wycieku lub uszkodzenia danych odpowiedzialny. -- |
|
Data: 2011-02-20 12:37:22 | |
Autor: cezarys | |
"gospodarka" loginami i has?ami administracyjnymi w firmie | |
Użytkownik <marek_firma@onet.pl> napisał w wiadomości news:2679.000008f0.4d60e7b2newsgate.onet.pl... W sumie to ma rację o ile jest polityka bezpieczeństwa w firmie. Po prostu zrzuciłem na niego całą odpowiedzialność za problemy zw funkcjonowaniu firmy (bez określenia czasu, bo skrypty przecież są) wraz z dekalracją o odpowiedzialności majątkowej i odpowiedzialnością za ew. straty. Reedytował mi to później prawnik, tak że bez jego zgody nie mogę. Ale ujęcie mu się podobało :) PS Przeczytaj na GIODO o danych osobowych i koniecznie fragment o adresie Wejdź na GIODO i poczytaj. Jak to każda instytucja dokonująca "pozornych" czynności ochronnych dla obywatela strasznie to rozmydlone. Pozdrawiam, MarekMasz rację. Niech czyta. I powtórzę to raz jeszce. Hasła administracyjne są dla administratora. Dla firmy są hasła ratunkowe (nieraz musi być to samo- np.root w unixach) I napisz czy masz politykę bezpieczeństwa firmy, jak nie to ja bardzo chętnie napiszę (1-2 tygodni na rozpoznanie firmy + cena zaporowa za brak takowej do tej pory) I jeszcze jedno do takich szefów, wszem i wobec. Powtarzam to zawsze. Administrator MUSI ODEJŚĆ Z FIRMY ZADOWOLONY. 1 raz miełem zlecenie na czyszczenie systemu po niezadowolonym adminie. Katorga. A i kosztowało to sporo. Dodatkowa kasa w ilości 20-40% tych kosztów usatysfakcjonowałaby każdego admina. Pozdrawiam CEzarys |
|
Data: 2011-02-21 00:26:25 | |
Autor: to | |
"gospodarka" loginami i has?ami administracyjnymi w firmie | |
begin cezarys
I powtĂłrzĂŞ to raz jeszce. HasÂła administracyjne sÂą dla administratora. To oczywiĹcie prawda, zrozumiaĹem, Ĺźe koniecznoĹÄ podania tych haseĹ w piĹmie to byĹ jakiĹ skrĂłt myĹlowy. Zawsze powinna obowiÄ zywaÄ zasada -- jedno konto = jedna osoba (takĹźe administracyjne!). Czyli szef powinien dostaÄ (przykĹadowo) osobne konto z peĹnymi uprawnieniami i osobnym hasĹem. Wtedy, w razie czego, bÄdzie najprawdopodobniej przynajmniej wiadomo gdzie rozpoczÄĹy siÄ ewentualne problemy. -- "An intelligent man is sometimes forced to be drunk to spend time with his fools." -- Ernest Hemingway |
|