Użytkownik <marek_firma@onet.pl> napisał w wiadomości news:2679.00000868.4d5d629dnewsgate.onet.pl...

Administruję siecią firmy. W sieci m. innymi dane osobowe. Mam nowego szefa,
który poprosił na piśmie  o następujące dane:

[..]>

--

W sumie to ma rację o ile jest polityka bezpieczeństwa w firmie.
W mojej tak jest, hasła "kluczowe" są przechowywane w sejfie u szefa, a ja je po prostu znam (zmiana 1x/30 dni)
Każde wejście do sieci jest logowane, a admin do zarządzania ma 1 konsolę (a to da się zrobić)
A audytor? Jeden chciał dostępu i po przeczytaniu oświadczenia o odpowiedzialności jakie wysmarowałem, zmienił zdanie:)
Jak mądry szef to wie (a może słyszał ) coś o skryptach i ...( to takie niedomówienie)
Co do dokumentacji to przecież standardowa polityka bezpieczeństwa w firmie, a jak masz dane osobowe to powinien być ABI (nie administrator) i wtedy to on się martwi
Pozdrófka
CEzarys
PS Przeczytaj na GIODO o danych osobowych i koniecznie fragment o adresie mailowym jako danie osobowej

W sumie to ma rację o ile jest polityka bezpieczeństwa w firmie.

W mojej tak jest, hasła "kluczowe" są przechowywane w sejfie u szefa, a ja

je po prostu znam (zmiana 1x/30 dni)

Jest, zakłada poufność haseł (user zmienia po otrzymaniu,wymuszona zmiana haseł co 30 dni). Nie ma procedury przechowywania haseł administracyjnych, a powinna być. PBI opracowana i zatwierdzona w chyba 2000 roku. Trzeba ja chyba o ten fragment uzupełnić. Na teraz nie ma procedury do haseł administracyjnych.

A audytor? Jeden chciał dostępu i po przeczytaniu oświadczenia o

odpowiedzialności jakie wysmarowałem, zmienił zdanie:)

Tu mam do Ciebie prośbę. Mógłbyś się podzielić (np na priv) tym oświadczeniem ?

PS Przeczytaj na GIODO o danych osobowych i koniecznie fragment o adresie

mailowym jako danie osobowej

Możesz to rozwinąć ?

Pozdrawiam, Marek

PS. Zakładam, że te posty  może czytać autor pisma od dyrektora. Szef sam tego nie napisał. Zbyt fachowo sformułowane. Nie wykluczam, że dyrektor robi cichy audyt, ale (zakładając, że autor tego pisma nie jest już  nowym adminem ;)) ) przekazanie tych haseł temu człowiekowi daje mu pełny dostęp do wszystkiego, i to niekoniecznie tylko z firmy, z furtka "na zawsze" włącznie. A że z naruszeniem chociażby ustawy o danych osobowych, to już inna sprawa. Zastanawiam  się, kto będzie w razie jakiegoś wycieku lub uszkodzenia danych odpowiedzialny. --

Użytkownik <marek_firma@onet.pl> napisał w wiadomości news:2679.000008f0.4d60e7b2newsgate.onet.pl...

W sumie to ma rację o ile jest polityka bezpieczeństwa w firmie.

W mojej tak jest, hasła "kluczowe" są przechowywane w sejfie u szefa, a ja

je po prostu znam (zmiana 1x/30 dni)

Jest, zakłada poufność haseł (user zmienia po otrzymaniu,wymuszona zmiana haseł
co 30 dni). Nie ma procedury przechowywania haseł administracyjnych, a powinna
być. PBI opracowana i zatwierdzona w chyba 2000 roku. Trzeba ja chyba o ten
fragment uzupełnić. Na teraz nie ma procedury do haseł administracyjnych.

A audytor? Jeden chciał dostępu i po przeczytaniu oświadczenia o

odpowiedzialności jakie wysmarowałem, zmienił zdanie:)

Tu mam do Ciebie prośbę. Mógłbyś się podzielić (np na priv) tym oświadczeniem ?

Po prostu zrzuciłem na niego całą odpowiedzialność za problemy zw funkcjonowaniu firmy (bez określenia czasu, bo skrypty przecież są) wraz z dekalracją o odpowiedzialności majątkowej i odpowiedzialnością za ew. straty. Reedytował mi to później prawnik, tak że bez jego zgody nie mogę. Ale ujęcie mu się podobało :)

PS Przeczytaj na GIODO o danych osobowych i koniecznie fragment o adresie

mailowym jako danie osobowej

Możesz to rozwinąć ?

Wejdź na GIODO i poczytaj. Jak to każda instytucja dokonująca "pozornych" czynności ochronnych dla obywatela strasznie to rozmydlone.

Pozdrawiam, Marek

PS. Zakładam, że te posty  może czytać autor pisma od dyrektora. Szef sam tego
nie napisał. Zbyt fachowo sformułowane. Nie wykluczam, że dyrektor robi cichy
audyt, ale (zakładając, że autor tego pisma nie jest już  nowym adminem ;)) )
przekazanie tych haseł temu człowiekowi daje mu pełny dostęp do wszystkiego, i
to niekoniecznie tylko z firmy, z furtka "na zawsze" włącznie. A że z
naruszeniem chociażby ustawy o danych osobowych, to już inna sprawa. Zastanawiam
się, kto będzie w razie jakiegoś wycieku lub uszkodzenia danych odpowiedzialny.

Masz rację. Niech czyta.
I powtórzę to raz jeszce. Hasła administracyjne są dla administratora. Dla firmy są hasła ratunkowe (nieraz musi być to samo- np.root w unixach)
I napisz czy masz politykę bezpieczeństwa firmy, jak nie to ja bardzo chętnie napiszę (1-2 tygodni na rozpoznanie firmy + cena zaporowa za brak takowej do tej pory)
I jeszcze jedno do takich szefów, wszem i wobec. Powtarzam to zawsze. Administrator MUSI ODEJŚĆ Z FIRMY ZADOWOLONY.
1 raz miełem zlecenie na czyszczenie systemu po niezadowolonym adminie. Katorga. A i kosztowało to sporo. Dodatkowa kasa w ilości 20-40% tych kosztów usatysfakcjonowałaby każdego admina.
Pozdrawiam
CEzarys

begin cezarys

I powtĂłrzĂŞ to raz jeszce. HasÂła administracyjne sÂą dla administratora.
Dla firmy sÂą hasÂła ratunkowe (nieraz musi byĂŚ to samo- np.root w
unixach)

To oczywiście prawda, zrozumiałem, że konieczność podania tych haseł w piśmie to był jakiś skrót myślowy. Zawsze powinna obowiązywać zasada -- jedno konto = jedna osoba (także administracyjne!). Czyli szef powinien dostać (przykładowo) osobne konto z pełnymi uprawnieniami i osobnym hasłem. Wtedy, w razie czego, będzie najprawdopodobniej przynajmniej wiadomo gdzie rozpoczęły się ewentualne problemy.

--
"An intelligent man is sometimes forced to be drunk
 to spend time with his fools." -- Ernest Hemingway