W dniu 03.05.2012 12:25, iNTERNET napisał(a):
W dniu 2012-05-03 12:11, Tomasz Chiliński pisze:
W wersji bieżącej można ustawić okres po jakim wygasa hasło dla każdego użytkownika niezależnie.
tylko nie sprawdza haseł pod kątem znaków etc... Pomijam fakt, ze raczej pomysł z tymi wszystkimi literami jest trochę przestarzały ale ustawa jest ustawą i ma swoje sankcje za nie przestrzeganie.
ps.: moduł smspasswords nie jest spełnieniem wymogów ustawy i jego obecność nic nie da w razie kontroli giodo...
To może wynikać z głupoty urzędników, bo w większości przypadków kretyni literalnie traktują zapisy prawne nie zdając sobie sprawy, że jak ktoś stosuje lepsze rozwiązanie niż wymóg ustawowy to też spełnia wymogi. Prawdopodobnie zakładają, że to co jest zapisane w ustawie musi być zrobione identycznie jak w tejże ustawie, a inaczej nie można. Z drugiej strony dzięki temu będzie można jeszcze z 50 nowelizacji ustawy przygotować i wykarmić kolejne grupy zatrudnianych urzędników.
On Thu, 03 May 2012 12:33:05 +0200, Tomasz Chiliński wrote:
W dniu 03.05.2012 12:25, iNTERNET napisał(a):
W dniu 2012-05-03 12:11, Tomasz Chiliński pisze:
W wersji bieżącej można ustawić okres po jakim wygasa hasło dla każdego użytkownika niezależnie.
tylko nie sprawdza haseł pod kątem znaków etc... Pomijam fakt, ze raczej pomysł z tymi wszystkimi literami jest trochę przestarzały ale ustawa jest ustawą i ma swoje sankcje za nie przestrzeganie.
ps.: moduł smspasswords nie jest spełnieniem wymogów ustawy i jego obecność nic nie da w razie kontroli giodo...
To może wynikać z głupoty urzędników, bo w większości przypadków kretyni literalnie traktują zapisy prawne nie zdając sobie sprawy, że jak ktoś stosuje lepsze rozwiązanie niż wymóg ustawowy to też spełnia wymogi. Prawdopodobnie zakładają, że to co jest zapisane w ustawie musi być zrobione identycznie jak w tejże ustawie, a inaczej nie można. Z drugiej strony dzięki temu będzie można jeszcze z 50 nowelizacji ustawy przygotować i wykarmić kolejne grupy zatrudnianych urzędników.
Nie o to chodzi. SMSPasswords nie jest wymogiem w LMS - można go w dowolnej chwili wyłączyć bez śladu w systemie (chociażby zaraz po kontroli). A ustawa dopuszcza, by to użytkownik sam zmieniał hasło (nie rzadziej, niż co 30 dni) - jednak musi być o tym adnotacja w systemie.
Dnia 2012-05-03, czw o godzinie 12:18 +0100, Sarenka pisze:
A ustawa dopuszcza, by to użytkownik sam zmieniał hasło (nie rzadziej, niż co 30 dni) - jednak musi być o tym adnotacja w systemie.
Nie w systemie, tylko w "Instrukcji Zarządzania Systemem Informatycznym" albo w "Polityce Bezpieczeństwa" - a najlepiej w obu :)
On Thu, 03 May 2012 15:46:57 +0200, Mariusz Kropiwnicki wrote:
Dnia 2012-05-03, czw o godzinie 12:18 +0100, Sarenka pisze:
A ustawa dopuszcza, by to użytkownik sam zmieniał hasło (nie rzadziej, niż co 30 dni) - jednak musi być o tym adnotacja w systemie.
Nie w systemie, tylko w "Instrukcji Zarządzania Systemem Informatycznym" albo w "Polityce Bezpieczeństwa" - a najlepiej w obu :)
Inaczej - w instrukcji i/albo w polityce musi widnieć taki wpis a fakt zmiany hasła musi być odnotowywany - nie koniecznie wewnątrz systemu (ale trzymanie papierków z podpisami jest dość uciążliwe)
Dnia 2012-05-03, czw o godzinie 17:57 +0100, Sarenka pisze:
On Thu, 03 May 2012 15:46:57 +0200, Mariusz Kropiwnicki wrote:
Dnia 2012-05-03, czw o godzinie 12:18 +0100, Sarenka pisze:
A ustawa dopuszcza, by to użytkownik sam zmieniał hasło (nie rzadziej, niż co 30 dni) - jednak musi być o tym adnotacja w systemie.
Nie w systemie, tylko w "Instrukcji Zarządzania Systemem Informatycznym" albo w "Polityce Bezpieczeństwa" - a najlepiej w obu :)
Inaczej - w instrukcji i/albo w polityce musi widnieć taki wpis a fakt zmiany hasła musi być odnotowywany - nie koniecznie wewnątrz systemu (ale trzymanie papierków z podpisami jest dość uciążliwe)
IMHO dotyczy to wyłącznie PIERWSZEGO hasła, którego otrzymanie user powinien potwierdzić na piśmie (tam gdzie podpisuje że zapoznał się z instrukcją i PB i został przeszkolony z zakresu ochrony danych), później nie ma już takiego wymogu.
Jeżeli już się mamy czepiać do lms'a to większym problemem niż hasła jest brak ewidencji przypadków udostępniania danych osobowych - to musi być w formie elektronicznej - oczywiście jak ktoś o tym wie, to w 5 sekund zrobi sobie "protezę" na bazie helpdesku... jeśli o tym wie :)
On Thu, 03 May 2012 20:17:44 +0200, Mariusz Kropiwnicki wrote:
Dnia 2012-05-03, czw o godzinie 17:57 +0100, Sarenka pisze:
On Thu, 03 May 2012 15:46:57 +0200, Mariusz Kropiwnicki wrote:
Dnia 2012-05-03, czw o godzinie 12:18 +0100, Sarenka pisze:
A ustawa dopuszcza, by to użytkownik sam zmieniał hasło (nie rzadziej, niż co 30 dni) - jednak musi być o tym adnotacja w systemie.
Nie w systemie, tylko w "Instrukcji Zarządzania Systemem Informatycznym" albo w "Polityce Bezpieczeństwa" - a najlepiej w obu :)
Inaczej - w instrukcji i/albo w polityce musi widnieć taki wpis a fakt zmiany hasła musi być odnotowywany - nie koniecznie wewnątrz systemu (ale trzymanie papierków z podpisami jest dość uciążliwe)
IMHO dotyczy to wyłącznie PIERWSZEGO hasła, którego otrzymanie user powinien potwierdzić na piśmie (tam gdzie podpisuje że zapoznał się z instrukcją i PB i został przeszkolony z zakresu ochrony danych), później nie ma już takiego wymogu.
Jeżeli już się mamy czepiać do lms'a to większym problemem niż hasła jest brak ewidencji przypadków udostępniania danych osobowych - to musi być w formie elektronicznej - oczywiście jak ktoś o tym wie, to w 5 sekund zrobi sobie "protezę" na bazie helpdesku... jeśli o tym wie :)
A możesz podeprzeć tą interpretacje? Bo jakiego prawnika nie pytam, to zdanie mają jedno (a trochę z tym ostatnio walczę - ale bez związku z LMS).
Dnia 2012-05-03, czw o godzinie 19:29 +0100, Sarenka pisze:
IMHO dotyczy to wyłącznie PIERWSZEGO hasła, którego otrzymanie user powinien potwierdzić na piśmie (tam gdzie podpisuje że zapoznał się z instrukcją i PB i został przeszkolony z zakresu ochrony danych), później nie ma już takiego wymogu.
Jeżeli już się mamy czepiać do lms'a to większym problemem niż hasła jest brak ewidencji przypadków udostępniania danych osobowych - to musi być w formie elektronicznej - oczywiście jak ktoś o tym wie, to w 5 sekund zrobi sobie "protezę" na bazie helpdesku... jeśli o tym wie :)
A możesz podeprzeć tą interpretacje? Bo jakiego prawnika nie pytam, to zdanie mają jedno (a trochę z tym ostatnio walczę - ale bez związku z LMS).
Dla mnie podstawą jest:
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
A tam nic o konieczności logowania zmian haseł nie ma. Może spytaj prawników o co Ty ich spytałeś? :) Strzelam: rozporządzenie nakłada obowiązek konieczność logowania każdorazowo:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
ale przecież nadawanie uprawnień to nie to samo co zmiana hasła - może to o tym prawnicy Ci mówili?
A możesz podeprzeć tą interpretacje? Bo jakiego prawnika nie pytam, to zdanie mają jedno (a trochę z tym ostatnio walczę - ale bez związku z LMS).
Dla mnie podstawą jest:
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
A tam nic o konieczności logowania zmian haseł nie ma. Może spytaj prawników o co Ty ich spytałeś? :) Strzelam: rozporządzenie nakłada obowiązek konieczność logowania każdorazowo:
- procedury nadawania uprawnień do przetwarzania danych i
rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
ale przecież nadawanie uprawnień to nie to samo co zmiana hasła - może to o tym prawnicy Ci mówili?
Nienawidzę sam czytać paragrafów, ale chyba jednak będę musiał :/
uczestnicy (3)
-
Mariusz Kropiwnicki -
Sarenka -
Tomasz Chiliński