Kontrola dostępu do danych, urządzeń, pomieszczeń w firmie

Beata Marek Cyberzagrożenia i cyberprzestępczość, Ochrona danych osobowych, Ochrona prywatności, Ochrona tajemnic prawnie chronionych, Prawo 3 Comments

Bardzo się cieszę, że mam dzisiaj chwilę by napisać notkę na blogu. Temat wybrałam nieprzypadkowo bo ma on poniekąd związek z dzisiejszym szkoleniem “Aspekty prawne monitorowania użytkowników komputerów firmowych”, które miałam przyjemność prowadzić w ramach XIV seminarium Informatyka w Instytucjach Finansowych – dot. fraudów.

Na szkoleniu dużo mówiłam o podstawach prawnych monitorowania pracowników jak i granicach monitoringu. Późniejsze dyskusje wykazały, że BYOD raczej jeszcze długo nie wprowadzimy w polskich firmach. Sporo już o tym mówiłam wcześniej dlatego jeżeli zagadnienia związane z monitoringiem szczegółowo Ciebie interesują lub/i masz jakieś case study to koniecznie napisz. Wspólnie pomyślimy jak rozwiązać Twój problem.

Tymczasem we wpisie chciałabym podzielić się z Tobą krótką listą pytań, pomocną przy tworzeniu polityki kontroli dostępu. Bez rozróżniania na kontrolę dostępu do danych, urządzeń czy pomieszczeń. Chciałabym dzisiaj zachęcić Cię do takiego modelu budowania polityki kontroli dostępu (w zasadzie generalnie jakichkolwiek dokumentów) gdzie oprócz wiedzy na temat najlepszych praktyk (np. norm ISO) zadajesz sobie jak najwięcej pytań, pozwalających doprecyzować stan faktyczny w którym się znajdujesz. Takiego modelu gdzie nie pracujesz wyłącznie na schematach. W tym celu przygotowałam dla Ciebie zestaw wprowadzających pytań, na które warto byś sobie odpowiedział.

Zanim jednak przejdę do listy to jeszcze tylko odwołam się krótko do tego, że bez wątpienia kontrolowanie pracowników jest uzasadnione o ile ma to związek z zapewnieniem bezpieczeństwa (czy to fizycznego, organizacyjnego, prawnego etc.). Pamiętajmy by trzymać się prostej zasady: Im większe dobro chronimy tym większe środki ochrony ingerujące w prywatność możemy zastosować.

To czy decydujemy się na określony rodzaj kontroli dostępu zależy łącznie od trzech czynników:

  • naszych potrzeb biznesowych;
  • wytycznych bezpieczeństwa (przyjętych jak i tych narzuconych odgórnie);
  • przepisów prawa, które zakreślają jakich granic nie możemy przekroczyć.

Jeśli już zdecydujemy się na określone środki powinniśmy pamiętać o tym, że każdy użytkownik (pracownik, wykonawca etc.) powinien wiedzieć jakiego rodzaju kontroli dostępu będzie poddany i dlaczego. Informacje na ten temat mogą znaleźć się w aktach wewnętrznie obowiązujących w Twojej organizacji (np. polityka kontroli dostępu stanowiąca załącznik do regulaminu pracy albo polityki bezpieczeństwa). Osoba powinna podpisać zobowiązanie do zachowania określonych procedur bezpieczeństwa oraz zostać poinformowana o grożącej jej odpowiedzialności za niestosowanie się do zaleceń bezpieczeństwa. Kontrola dostępu i tym samym środki przy użyciu których jest realizowana powinny służyć zapewnieniu bezpieczeństwa w organizacji, a nie innym bliżej nieokreślonym celom.

Na jakie pytania warto abyś odpowiedział?

  • Dlaczego decydujemy się na określoną formę kontroli? Czyli co chcemy chronić? Kogo chcemy kontrolować? W jaki sposób? (Zróbmy klasyfikację)
  • Czy nie zachodzą przesłanki prawne do tego by zatosować inną formę kontroli? (uzasadnijmy adekwatność przetwarzanych danych)
  • Czy wybrana, przez nas, forma kontroli ma charakter permanenty czy okresowy? Kiedy ma racjonalne uzasadnienie kontrola proaktywna (o charakterze prewencyjnym) a kiedy już jest zbyteczna?
  • Czy określone mechanizmy kontroli dostępu obowiązują wszystkich czy tylko szczególnego rodzaju pracowników? Jak bardzo mamy zróżnicowane mechanizmy kontroli dostępu? Czy ma to uzasadnienie? (zweryfikujmy ponownie w jakiej sytuacji i dla kogo zastosować określone procedury kontroli)
  • Czy przy użyciu innych metod możemy dokonywać kontroli dostępu? (sprawdźmy czy nie naruszamy przepisów dotyczących przetwarzania danych osobowych jak i ochrony prywatności)
  • Jakie są potencjalne (szacowane) koszty wystąpienia incydentu? Czy koszty ochrony (dobrane metody kotroli dostępu) ich nie przewyższają?
  • W jaki sposób informujemy o zastosowanych środkach kontroli dostępu o ile ingerują one w prywatność pracownika?
  • Kto zarządza kontrolą dostępu i jest odpowiedzialny za efektywność i bezpieczeństwo systemu kontrolującego jak i danych przetwarzanych za jego pośrednictwem?
  • Czy są jakieś alternatywne metody kotroli dostępu? Czy są jakieś grupy uprzywilejowanych pracowników, którzy mają wiedzę na ten temat?
  • Czy wszyscy użytkownicy, których dostęp jest kontrolowany, są formalnie rejestrowani i wyrejestrowywani z systemu?
  • Kto zatwierdza prawa dostępu i na jakich zasadach?
  • Czy pracownicy podpisują, że zapoznali się i rozumieją wewnętrzne polityki bezpieczeństwa, w tym dotyczące kontroli dostępu?
  • Czy jest prowadzona lista osób, którzy podlegają kontroli dostępu?
  • W jakim czasie i na jakich zasadach poszczególni użytkownicy mają odcinany dostęp do poszczególnych zasobów organizacji?
  • Czy pracownicy mają różne role dostępu? (np. dostęp do biura księgowego jest zabezpieczony dodatkowym hasłem, dostęp do serwerowni jest zabezpieczony poprzez kontrolę biometryczną zdefiniowaną dla kilku pracowników)?
  • Co się dzieje z danymi, które były potrzebne na potrzeby stosowania mechanizmów zabezpieczających a obecnie już nie są? (np. pracownik został zwolniony)
  • Czy badana jest skuteczność kotroli dostępu? Innymi słowy czy przy dokonywaniu okresowych przeglądów polityk bezpieczeństwa i analizie odnotowanych incydentów bądź zdarzeń możemy zaobserwować pewne słabości systemu?

Mam nadzieję, że ten wpis będzie dla Ciebie inspiracją do stworzenia przejrzystej polityki kontroli dostępu.

Autor grafiki promującej wpis: Oliver Sin