Anna Tarapata

Anna Tarapata Quality Manager

Temat: zmiana hasła, nie rzadziej niż co 30 dni...

Rozporządzenie ws dokumentacji przetwarzania danych osobowych oraz warunków technicznych.... określa, że " w przypadku, gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni."

Czy w Waszych systemach, rzeczywiście zmiana hasła jest automatycznie wymuszana raz w miesiącu?
Co zrobić, jeśli polityka korporacyjna jest mniej rygorystyczna, i zmiana hasła jest systemowo wymuszana co 90 dni?
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: zmiana hasła, nie rzadziej niż co 30 dni...

Co do zasady, zgodnie z prawem musi być zmieniane co 30 dni (u mnie tak jest). Ale w organizacjach które mają polityki korporacyjne lub bezpieczeństwa (szczególnie te w oparciu o ISO 27001) 90 dni to standard. Hasła są dłuższe (bezpieczniejsze) i rzadziej zmieniane (unikamy zapisywania itp.). Niestety nasz ustawodawca jeszcze tego nie zrozumiał :)
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: zmiana hasła, nie rzadziej niż co 30 dni...

Naszego ustawodawcę stety/niestety niezbyt interesuje jakie są wewnętrzne regulacje danego podmiotu - Rozporządzenie obowiązuje.
Co do samych haseł do systemów (pomijając sytuacje, kiedy nie możemy wpłynąć na odgórne regulacje w danej korporacji), należy opisywać minimalne wymagania w Polityce/Instrukcji, i poprzez oświadczenia o zapoznaniu się z tymi dokumentami, podpisywane przez pracowników, zobowiązać ich osobiście do stosowania takich haseł. Później oczywiście to w gestii ABI, aby te zapisy weryfikować np. poprzez sprawdzenia.
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: zmiana hasła, nie rzadziej niż co 30 dni...

Panie Karolu, jeżeli dobrze zrozumiałem to Pana stanowisko pokazuje, że najlepiej opisać i zobowiązać pracownika. Nie zgadzam się z takim podejściem. Pracownik podpisze wszystko. W 90% przypadków to nie działa, jako audytor powinien Pan to wiedzieć najlepiej. Sztuka jest wdrożyć odpowiednie rozwiązania technologiczne połączone z szkoleniami i dopiero pózniej ze sprawdzeniami. W większości korporacji lub większych strukturach organizacyjnych są metody na automatyzowanie tej czynności jak i wielu innych związanych z bezpieczeństwem. Rozporządzenie jest przestarzałe pod każdym względem, nie odzwierciedla dzisiejszego technologicznego postępu. Pozdrawiam.
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: zmiana hasła, nie rzadziej niż co 30 dni...

Panie Piotrze, ochrona danych osobowych w Polsce nie ma zastosowania jedynie w korporacjach. Zastanawia mnie, jak wyobraża Pan sobie stosowanie haseł zgodnych z rozporządzeniem w małym banku spółdzIelczym lub urzędzie,gdzie systemy nie wymagają okresowej zmiany haseł i ich złożoności, bez AD i bez środków na jego wdrożenie?Może moja wcześniejsza wypowiedź była zbyt uproszczona, tzw skrót myślowy, nie chciałem żeby jej sens odnosił się jedynie do problemów korporacyjnych.
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: zmiana hasła, nie rzadziej niż co 30 dni...

Panie Karolu, pełna zgoda, że w takich instytucjach może być z tym problem ale z drugiej strony mamy wymagania (oprócz rozporządzenia MSWiA) KNF (Rekomendacja D) w kontekście powoływanego Banku Spółdzielczego oraz Rozporządzenie RM z 2012r. w sprawie Krajowych Ram Interoperacyjności. Te przepisy jasno precyzują o wiele więcej wymagań w zakresie środków bezpieczeństwa. To jest problem Administratora danych jak zapewnić zgodność. Podczas kontroli z NIK lub GIODO nikogo nie będzie interesowało tłumaczenie z brakiem środków. Decyzją będzie przywrócenie stanu zgodnego z prawem. W mojej opinii nakazanie pracownikowi zmiany hasła (ręcznie) jest niewystarczające. Z resztą bez AD da się to zrobić :) Zachęcam do zapoznania się z raportem NIK https://www.nik.gov.pl/aktualnosci/nik-o-wdrazaniu-syst...
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: zmiana hasła, nie rzadziej niż co 30 dni...

Oczywiście że wiem czego wymagają przepisy branżowe, ale znam też realia tych właśnie małych ADO. Nigdzie nie twierdziłem, że wymuszanie zmiany haseł na pracownikach ręcznie, jest wystarczające - niemniej w wielu organizacjach niestety jest jedną z ostatnich opcji ratunku...Oczywistością dla mnie jest, że pierwszym etapem powinno być uświadamianie, szkolenie a dopiero później wymaganie od pracowników. Po drugie, wymogi bezpieczeństwa, do których należy dążyć i stosować się, opisujemy w dokumentacji bezpieczeństwa, a pracownicy winni się do nich stosować.
Pozdrawiam.

Następna dyskusja:

Zmiana założyciela grupy




Wyślij zaproszenie do