Formalnosci w firmie - w IT

Witam

Rozpoczęłam pracę w nowej firmie. Wcześniej zajmowałam się innymi tematami niż bycie jedynym adminem w firmie.

Teraz pracuje w małej firmie - do 10 osób. Jest to oddział zagranicznej firmy - lokalizacja w Polsce.

Jestem jedynym informatykiem w tej firmie - właściwie informatyczka.

Musze zająć się przygotowaniem tej firmy do spełnienia norm polskich i europejskich w temacie IT.

Nie mamy mieć żadnego ISO itd ale musimy spełniać prawo Polskie. Mój poprzednik tym się nie przejmował mówiąc że wszystko jest spełnione.

Oprogramowanie już wyprostowałam bo trochę piractwa było.

 

Konta użytkowników spełniają warunki - hasła, długość, złożoność. Konta w AD.

 

Co muszę zrobić jeszcze? Co koniecznie musi mieć firma? Może polityki bezpieczeństwa i skąd je mogę pobrać jako wzór, jakieś sprawy z GIODO?

 

Przepraszam za tak ogólne pytania ale naprawdę nie wiem jak ten temat ugryźć a na szkolenie mnie nie wyślą bo ledwo maja na moją wypłate a ja po kilku latach bez pracy szanuje to co mam.

 

Nie do końca rozumiem potrzeby spełniania jakichkolwiek norm. Może przybliższy profil Twojej firmy? Czy jest to państwowa instytucja, czy firma prywatna.

GBM dzięki za odzew.

 

> Nie do końca rozumiem potrzeby spełniania jakichkolwiek norm.

 

Firma nie ma specjalnych wymagań. Po prostu szef przyszedł i zlecił mi dostosowanie firmy do obowiązujących przepisów polskich i unijnych.

 

> Może przybliższy profil Twojej firmy? Czy jest to państwowa instytucja, czy firma prywatna.

 

Jasne. Firma prywatna - lokalizacja nasza ma około 10 pracowników. Tworzymy produkty dla innych firm.

> Czy są ku temu powody, że musicie spełniać normy ISO/GIODO etc.? Czy jedynie pytasz o “best practices”?

 

Nie wiem duklanie o co pytasz. Wydaje mi się że firmy musza spełniać jakieś “normy” np. wymagania dotyczące bezpieczeństwa kopii z serwerów, danych itd. Nie wiem właśnie co nasza firma musi. Np. też nIe mamy polityki bezpieczeństwa ale nie wiem czy jest wymagana, nie mamy procedur na wypadek awarii ale też nie wiem czy muszę to mieć.

Współpracujemy z firmami a danych osób indywidualnych nie przetwarzamy (chyba) poza danymi pracowników - czy muszę to w giodo rejestrować?

Rodzi się wiele pytań ale najgorsze ze nie wiem jak zacząć.

 

Best practices tez pewnie chętnie poznam - ale to zakładam nie jest wymaganie.

Ze złożonością haseł i obowiązkiem zmieniania go akurat lepiej uważać, bo gdy hasło jest trudno zapamiętać, ludzie mają tendencje do zapisywania go fizycznie na papierze, co najlepszym pomysłem nie jest :slight_smile:

Tyle, że niektóre wymagania (choćby dotyczące złożoności haseł i częstotliwości ich zmiany) dla systemów przetwarzających dane osobowe (np programy kadrowo-płacowe) wynikają wprost z rozporządzenia

http://isap.sejm.gov.pl/DetailsServlet?id=WDU20041001024

Procedura utylizacji sprzętu elektronicznego.

aha czyli jeśli nie przetwarzamy danych osobowych to nie muszę tworzyć jakiś polityk itd?

karolkaS, a teraz notka od moderatora: na forum używamy polskich znaków (ż, ł, ć, ś, ą itp.). Proszę wyedytować swoje posty i poprawić co trzeba. Niezastosowanie się do prośby będzie skutkowało przeniesieniem tematu do śmietnika.

Wydawało mi się, że dotyczy to wyłącznie instytucji publicznych - urzędów itp. Ale jeśli dotyka to nawet firmy - to trzeba to brać pod uwagę.

 

Zresztą te przepisy użytkownik może łatwo obejść, dodając do hasła np. numer miesiąca w roku. Hasło zostaje to samo, zmienia się tylko numerek. Może on nawet mieć dwa hasła i zmieniać je naprzemiennie (chyba że system będzie zapisywać w pamięci sumy kontrolne ze wszystkich haseł i potem nowe proponowane hasło porównywać ze wszystkimi jakie dany użytkownik miał kiedykolwiek wcześniej, ale nie sądzę by ktokolwiek coś takiego stosował). W każdym razie - ważne by hasło spełniało pewne wymagania, ale jednocześnie dało się łatwo zapamiętać.

Jest przecież coś takiego jak historia haseł i minimalna długość życia hasła.

To drugie zabezpiecza przed dokonaniem kilku(nastu) zmian hasła z rzędu aby ostatecznie powrócić do pierwotnego.

Wiadomo, że nie można przesadzać, ale z drugiej strony uparte dążenie użytkowników do korzystania stale z jednego hasła nie jest bezpieczne.

Warto opracować procedury bezpieczeństwa. Może przyjść taki dzień, że ktoś wyniesie dane z firmy, rozłożysz ręce i jak szef zapyta co teraz, to powiesz “nie wiem”. Jeśli macie serwerownię w firmie, to należy ją odpowiednio zabezpieczyć. Jak wynajmujesz infrastrukturę w jakiejś serwerowni, to ona się już o to martwi.

 

OK zrobiłam to choć powiem Ci że chyba jesteś bardzo młodą osobą. Dawno dawno temu jak Ty pewnie jeszcze używałeś komputera tylko do grania, a ja kończyłam studia to używanie polskich znaków na forach było banowane. Ale rozumie inne czasu, inne osoby. Dziwny jest ten świat.

 

Dziękuję Roobal. Ale reasumując prawo nasze nie nakłada na mnie obowiązków ochrony danych oraz np. serwerów. To co zrobi/założy firma to sprawa firmy tylko i wyłącznie.

@karolkaS

 

http://pl.wikipedia.org/wiki/Netykieta

 

Serwery przechowują nie tylko dane osobowe, ale również informacje handlowe, które często są tajemnicą firm i kontrahentów. Takie informacje również powinno się chronić. No chyba że sama firma ma to gdzieś to inna sprawa.

To pozostaje zawsze możliwość dodawania do hasła przez użytkowników miesiąca i roku. Choć oczywiście nie jest to najlepsze rozwiązanie. Już lepsze byłoby np. zmienianie którejś litery hasła na kolejne litery alfabetu. To jest dużo mniej podatne na złamanie.

 

No i przede wszystkim edukowanie ludzi tak by nie padli ofiarą socjotechniki.

@karolkaS

Oprę się na tym co wiem. Co do ISO nie musisz mieć go w firmie, choć zdarzają się sytuacje w których jest on wymagany np. od partnerów biznesowych. Jest to po prostu informacja, że twoja firma działa według jakiś procedur/standardów i tylko tyle to daje. W poprzedniej firmie, w której pracowałem procedura ISO w dziale IT była tak źle wprowadzona, że uzupełnianie popierków pod nią zajmowało więcej czasu niż usunięcie samej awarii/probemu. Tak po krótce taką procedurę piszesz sama wdrażasz ją i zapraszasz audytora z firmy, która może Ci wydać taki certyfikat. Niestety jak już takie coś wdrożysz to musisz przestrzegać danej procedury bo certyfikat trzeba odnawiać. Osobiście źle wspominam pracę z ISO.

 

Roobal nie rozumiesz idei powstania tego wątku. Ja chce wpierw spełnić wymagania prawne. Jeśli takowe w ogóle są. Jeśli nie to super. Dodatkowe będą robione no i są bo przecież nikt nie sika w firmie w biurze na ścianie tylko w WC i ja swoja prace chce wykonywać porządnie ale zadanie jest na tą chwile inne i odlatywanie jest trochę nie na miejscu. Mam nadzieje że teraz powód jest jasny.

Rozumiem doskonale. Przy okazji wspominam na co warto zwrócić uwagę.

Doceniam.

Jestem natomiast zdziwiona ze naprawdę nie ma żadnych przepisów narzuconych. Skąd to mój szef sobie wymyślił to nie wiem. Tak czy owak dziękuje Wam wszystkim za pomoc.

hmm… czy szef sobie wymyślił? :slight_smile: zależy też co miał na myśli, ale np. z danymi osobowymi, są pewne reguły które powinniśmy spełniać, tym bardziej, że szef wspomniał Unij a tam dane osobowe są poważnie brane pod uwagę

W PL GIODO może karać za nie odpowiednie przetwarzanie danych, a ż teraz więkoszość odbywa się w cyfrowym świecie, to myślę, że dotyczy to też Twojej firmy :wink: w sieci na ten temat jest sporo np. http://www.gazetaprawo.net/abi-ograniczy-formalnosci-przedsiebiorcy-sejm-przyjal-nowa-uchwale/ szczególnie w tym roku jak zostały wprowadzone nowe obowiązki dla ABI, 

Wzory dokumentów jakie wymaga GIODO można pobrać z sieci, problem w tym, że później trzeba wiedzieć jak to u siebie wdrożyć

 

z ISO to pewnie 27001, z wdrożeniem całości raczej nie dasz rady, ale pewne rozdziały szczególnie dotyczące IT możesz próbować, ta norma nie jest wymagana przez prawo, powiedziałbym jest do realizacji pewnych celów biznesowych np. przy współpracy gdzie partner kładzie duży nacisk na bezpieczeństwo informacji.