Przygotowanie procedury nadawania uprawnień w systemie informatycznym w 5 krokach

Monika Brzozowska-Pasieka

Autor: Katarzyna Zaklikocka

Dodano: 24 lipca 2017
Dokument archiwalny
Przygotowanie procedury nadawania uprawnień w systemie informatycznym w 5 krokach

Kwestia nadawania użytkownikom uprawień w systemie informatycznym powinna zostać opisana w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która wraz z polityką bezpieczeństwa składa się na dokumentację przetwarzania danych osobowych. Sporządzenie, wdrożenie i aktualizacja dokumentacji to obowiązek administratora danych osobowych, a także podmiotu przetwarzającego powierzone dane osobowe. Dowiedz się, jak ją przygotować.

Jednym z elementów instrukcji zarządzania systemem informatycznym, wskazanym w rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, jest procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności.

Rozporządzenie nie reguluje w sposób szczegółowy tego, co powinna zawierać procedura nadawania uprawnień. Wskazuje jedynie podstawowe wymagania odnośnie do identyfikatora użytkownika i polityki haseł.

UPOWAŻNIENIE DO PRZETWARZANIA DANYCH I UPRAWNIENIE W SYSTEMIE INFORMATYCZNYM TO NIE TO SAMO

Upoważnienie do przetwarzania danych

Jest to dokument nadawany przez administratora danych (lub inną wyznaczoną przez niego osobę) dopuszczający osobę w nim wskazaną do przetwarzania danych osobowych w zakresie wskazanym w dokumencie – obowiązek nadania upoważnień wynika z art. 37 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Upoważnienie należy nadać osobie przed dopuszczeniem jej do przetwarzania danych osobowych, w tym przetwarzania danych osobowych w systemach informatycznych.

Nadanie uprawień do przetwarzania danych w systemie informatycznym

Przez to pojęcie należy rozumieć nadanie użytkownikowi unikalnego identyfikatora i hasła pozwalającego na uwierzytelnianie w systemie i rozpoczęcie pracy. Uprawnienia powinny zostać nadane po nadaniu upoważnienia do przetwarzania danych osobowych, ewentualnie jednocześnie.

Jakie są wymagane elementy procedury nadania uprawnień w systemie informatycznym

Procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym powinna opisywać wszystkie etapy oraz czynności podejmowane przez wyznaczone osoby od momentu nadania uprawień użytkownikowi dostępu do zasobów systemu informatycznego (utworzenie konta), przez modyfikację, czasowe zawieszenie jego uprawnień, aż do wyrejestrowania z systemu (GIODO, ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych).

1. Opisz obieg informacji o konieczności nadania uprawnienia

Pierwsza część procedury nadawania uprawnień w systemie informatycznym powinna dotyczyć procesu nadawania uprawnień. Należy zacząć od wskazania sposobu obiegu w organizacji informacji o konieczności nadania uprawnienia oraz określić, jakie warunki musi spełnić potencjalny użytkownik, aby mógł uzyskać uprawnienia do przetwarzania danych w systemie informatycznym.

PRZYKŁAD

OBIEG INFORMACJI O KONIECZNOŚCI NADANIA UPRAWNIEŃ

Obieg informacji będzie się różnił w zależności od przyjętych rozwiązań i struktury organizacji, ale najczęściej będzie zbudowany następująco:

1)    bezpośredni przełożony/pracownik działu HR informuje (należy wskazać formę, np. wniosek złożony w systemie, wniosek w formie papierowej, informacja w wiadomości e-mail) administratora bezpieczeństwa informacji (ABI) o nowym pracowniku (zmianie zakresu upoważnienia do przetwarzania danych osobowych obecnego pracownika) oraz administratora systemu informatycznego (ASI) lub inną osobę odpowiedzialną za przydzielanie i zarządzanie uprawnieniami użytkowników w systemie informatycznym,

2)    ASI po nadaniu uprawnień użytkownikowi (identyfikatora i hasła), przekazuje do ABI nadany identyfikator w celu odnotowania w ewidencji osób upoważnionych do przetwarzania danych osobowych,

3)    ASI oraz ABI powinni zostać bez zwłoki poinformowani przez bezpośrednio przełożonego/pracownika działu HR o konieczności odebrania lub zmiany zakresu upoważnienia i uprawnień.

2. Opisz przebieg rejestracji

W dalszej części procedury powinien znaleźć się przebieg rejestracji użytkownika w systemie przez administratora systemów informatycznych, czyli rejestracja użytkownika w systemie, nadanie identyfikatora, zakresu uprawnień i hasła użytkownikowi. Następnie należy zawrzeć zobowiązanie ASI do przekazania administratorowi bezpieczeństwa informacji identyfikatora przyznanego użytkownikowi, aby mógł go odnotować w ewidencji osób upoważnionych do przetwarzania danych osobowych.

3. Wskaż sposób przekazania hasła użytkownikowi

Zgodnie z wymogami rozporządzenia nadawany identyfikator musi być unikalny, hasło powinno się składać z minimum 8 znaków zawierać małe i wielkie litery oraz cyfry lub znaki specjalne oraz być zmieniane nie rzadziej niż co 30 dni (wymagania dla wysokiego poziomu bezpieczeństwa). Dostęp do systemów informatycznych, służących do przetwarzania danych osobowych możliwy jest jedynie po podaniu unikalnego identyfikatora i dokonaniu uwierzytelnienia. W procedurze należy opisać sposób przekazania hasła użytkownikowi (np. w formie pisemnej, elektronicznej). Warto, aby hasło pierwszego logowana miało charakter tymczasowy i po pierwszym logowaniu do systemu wymagana była zmiana hasła przez użytkownika jeszcze przed rozpoczęciem pracy w systemie.

Uwaga

Opisana procedura dotyczy powszechnie stosowanej metody uwierzytelniania użytkowników w systemie za pomocą unikalnego identyfikatora i hasła. Możliwe są jednak inne metody uwierzytelniania lub stosowanie dodatkowego etapu uwierzytelniania (hasło sms, tokeny, klucze sprzętowe). Zasady przydzielania i wykorzystywanie takich środków uwierzytelniania, należy odpowiednio opisać w procedurze nadawania uprawnień do przetwarzania danych osobowych.

4. Opisz proces wyrejestrowania użytkownika z systemu

W dalszej części procedury należy opisać wyrejestrowanie użytkownika z systemu informatycznego. O konieczności wyrejestrowana użytkownika z systemu, bezpośredni przełożony/pracownik HR informuje ASI (należy opisać, w jakiej formie powinno dojść do poinformowania i w jakim czasie, np. w dniu rozwiązania umowy). Administrator systemów informatycznych wyrejestrowuje użytkownika i informuje o tym ABI, aby ten mógł cofnąć upoważnienie do przetwarzania danych osobowych i odnotować to w ewidencji.

Wyrejestrowanie polega na usunięciu danych użytkownika z bazy użytkowników systemu. Identyfikator użytkownika, który utracił upoważnienie do przetwarzania danych w systemie informatycznym, powinien zostać niezwłocznie wyrejestrowany z systemu, a hasło powinno zostać unieważnione. Wyrejestrowanie użytkownika powinno nastąpić do końca ostatniego dnia jego obecności w pracy. Warto wprowadzić okresową weryfikację przez administratora systemów informatycznych kont użytkowników. Procedurę należy stosować odpowiednio w przypadku zmiany uprawnień.

Ważne:

Poza trwałym wyrejestrowaniem w procedurze należy uregulować czasowe zablokowanie konta użytkownika do czasu ustania przyczyny uzasadniającej zablokowanie.

5. Ureguluj pozostałe kwestie

W procedurze nadawania uprawnień do systemu informatycznego należy także uregulować takie kwestie jak zastępstwo za administratora systemów informatycznych w przypadku jego nieobecności, obowiązek prowadzenia i ochrony przez ASI rejestru użytkowników i ich uprawnień w systemie.

Realizacja procedury nadawania uprawnień – kto za to odpowiada

Przedstawiony schemat organizacyjny, jaki można zastosować w ramach procedury nadawania i odbierania uprawnień do przetwarzania danych osobowych, należy uregulować stosownie do struktury organizacji.  Osobami odpowiedzialnymi będą jednak najczęściej:

  • bezpośredni przełożony użytkownika, którego dotyczy wniosek, lub pracownik działu HR – za czynności związane z informowaniem administratora systemu informatycznego i administratora bezpieczeństwa informacji o konieczności nadania, odebrania lub zmiany zakresu uprawnienia lub upoważniania,
  • administrator systemu informatycznego lub inna osoba wyznaczona, która rzeczywiście zarządza uprawnieniami użytkowników – za czynności związane z technicznym nadawaniem i odbieraniem uprawnień do przetwarzania danych osobowych w systemie oraz ich rejestrowaniem,
  • administrator bezpieczeństwa informacji – za czynności związane z ochroną danych osobowych (zapoznanie z przepisami o ochronie danych osobowych, nadanie upoważnienia do przetwarzania danych, odebranie oświadczenia o zachowaniu w poufności danych osobowych i sposobów ich zabezpieczenia), które muszą poprzedzać nadanie uprawień do przetwarzania danych osobowych w systemie informatycznym.
Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
  • rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).
Monika Brzozowska-Pasieka

Autor: Katarzyna Zaklikocka

aplikantka radcowska przy OIRP w Warszawie, absolwentka Wydziału Prawa i Administracji Uniwersytetu Gdańskiego oraz studiów podyplomowych na kierunku Zarządzanie Bezpieczeństwem Informacji w Szkole Głównej Handlowej w Warszawie. Posiada kilkuletnie doświadczenie w zakresie doradztwa z ochrony danych osobowych zdobyte w kancelariach prawnych, doświadczony administrator bezpieczeństwa informacji i trener, autorka artykułów i opracowań dotyczących tematyki ochrony danych osobowych, ekspert w zakresie prawa pracy i przetwarzania danych osobowych w związku z rekrutacją i zatrudnieniem

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x