niedziela, 22 czerwca 2008

Po co komu loginy i hasła?

Często zdaża się, że w firmie kilka osób wprowadza dane na jednym loginie i jednym, znanym ogólnie haśle. Przecież wszyscy się znają, ufają sobie, a w dodatku system jest stary... i zawsze pracowało się na jednym loginie, bo to łatwiej i szybciej.

A więc trochę przepisów:
Rozporządzenie MSWIA z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania....
Par. 2
Ilekroć w rozporządzeniu jest mowa o:
[ciach]
2) identyfikatorze użytkownika - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym
3) haśle - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znanych jedynie osobie uprawnionej do pracy w systemie informatycznycm
[ciach]

Par. 7
ust1
Dla każdej osoby, której dane osobowe sąprzetwarzane w systemie informatycznym - za wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowywanie:
1) daty pierwszego wprowadzenia danych do systemu;
2) identyfikatora użytkownika wprowadzajaćego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzania w nim danych posiada wyłącznie jedna osoba;
[ciach]
ust. 2
Odnotowywanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzania danych.

Czyli rozporządzenie nakazuje założenie loginów dla każdego pracownika wprowadzającego dane i nakazuje użytkownikom zachowanie w tajemnicy używanych haseł. Co więcej rozporządzenie nakazuje logowanie wprowadzania danych, więc nie ma to tamto (jak to się pisze?) - trzeba mieć pozakładane loginy i odpowiednie pola w bazie danych, do który wpisywane są informacje o loginach i czasie wpisania danych osobowych.
W czasie "pertraktacji" spotkałem się z próbą "usprawiedliwienia" braku loginów - "przecież mamy tylko jednego pracownika, który wprowadza te dane". No dobra, ale czy ten pracownik pracuje cały rok na okrągło? Nie chodzi na urlopy i zwolnienia lekarskie? Jeżeli jednak chodzi, to ktoś go musi zastąpić i czasem wprowadzić dane do systemu - i wtedy potrzebny jest dodatkowy login. ;) A nawet, jeżeli pracownik jest jak robot... to kiedyś będzie musiał pójść na emeryturę i wtedy pojawi się drugi pracownik... i nowy login. :) Jak nie patrzeć...

Dalej długość haseł... na czort komu tak dłuuuuugie hasło i na czort komu zmieniać je co 30 dni (np. taki nieszczęsny Płatnik, co to bezczelnie wymusza zmianę). Tu też pojawia się rozporządzenie, które mówi o trzech poziomach zabezpieczeń systemu (podstawowy, podwyższony i wysoki). Na dzień dzisiejszy, kiedy w prawie każdej firmie istnieje dostęp do internetu i prawie każdy komputer ma do niego dostęp (szczerze mówiąc nie znam firmy, która ma wydzielony i odcięty od świata kawałek sieci przetwarzający dena osobowe) - to prawie każdy system podlega pod poziom wysoki (par 6 ust. 4). Dokładnie kwestie związne z długością haseł reguluje załącznik do tego rozporządzenia i nakazuje ustalenie minimalnej długości hasła na 8 znaków i zawierające małe i wielkie litery, oraz cyfry i znaki specjalne oraz nakazuje zmianę hasła nie rzadziej niż 3o dni.

Ot i cała filozofia. To nie ABI wymyślił te udręki ;)

Brak komentarzy: