Dostęp do systemów informatycznych – jak nim zarządzać w organizacji

Dostęp do systemów informatycznych i zarządzanie nim składa się na jeden z kluczowych elementów bezpieczeństwa informacji każdej organizacji. Jest to zagadnienie szersze niż ochrona danych osobowych ponieważ skupia w sobie dodatkowo obszary informacji technologicznych, finansowych i innych będących tajemnicą administratora. Zarządzanie dostępem do systemów informatycznych powinno być realizowane w oparciu o pewne uniwersalne i przyjęte jako minimalnie wymagane zasady by podnosić bezpieczeństwo i kulturę bezpieczeństwa naszej organizacji. Nierzadko administratorzy mylą związane z zarządzaniem dostępami do systemów informatycznych uprawnienia z upoważnieniami do przetwarzania danych osobowych. Zdaje się, że specjalistom pojęć tych nie trzeba wyjaśniać, niemniej pokusić się można na prewencyjne usystematyzowanie wiedzy. 

Upoważnienie, a uprawnienie

Upoważnienie do przetwarzania danych osobowych stanowić będzie potwierdzenie woli nadania dostępu do danych osobowych i możliwości ich przetwarzania, przykładowo, administratora wobec osoby. Wskazywać będzie na to artykuł 29 RODO. Dodatkowo art. 32.4 RODO mówi nam, że „Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora”.

Zalecanym jest by rzeczone upoważnienie miało formę pisemną, zwłaszcza, że w Polskim porządku prawnym znajdziemy przepisy szczegółowe wskazujące na to wprost. Przykładowo Art. 8a.7 Ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych mówi, że „Do przetwarzania danych osobowych, o których mowa w art. 10 rozporządzenia 2016/679, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie”.

Może dojść do sytuacji, w której osoba posiadająca uprawnienie do systemu informatycznego i jego zasobów nie będzie przetwarzała żadnych danych osobowych

Uprawnieniem do systemów informatycznych będzie nadanie przez administratora osobie (użytkownikowi systemu informatycznego) dostępu do systemów informatycznych bądź ich zasobów obejmujących inny lub szerszy katalog możliwych informacji niż tylko dane osobowe. Może dojść do sytuacji, w której osoba posiadająca uprawnienie do systemu informatycznego i jego zasobów nie będzie przetwarzała żadnych danych osobowych. Warto wspomnieć, by zarówno upoważnienie, jak i uprawnienie nadawane było zgodnie z zasadą minimalnej wiedzy koniecznej w zależności od roli osoby w organizacji, jej zaszeregowania, procesów w których pełni aktywną lub pasywną rolę i zadań jakie wykonuje. Uprawnienie nie musi być nadawane w formie pisemnej, może czasem nie mieć żadnej innej formy, z punktu widzenia użytkownika, niż tylko login i hasło, a o jego prawdziwej naturze i zakresie będzie wiedzieć jedynie administrator systemu informatycznego.

Zarządzanie uprawnieniami

Pierwszym i jednym z najważniejszych elementów przyjętych w organizacji procedur zarządzania dostępem do systemów informatycznych jest zarządzanie uprawnieniami. Środowisko informatyczne, w którym pracujemy w organizacji, powinno dawać nam możliwość zdefiniowania procesu zarządzania uprawnieniami. Proces ten powinien odnosić się do każdego systemu informatycznego administratora i uwzględniać winien między innymi:

  1. osoby, które mają możliwość wnioskowania zarówno o nadanie, jak i odebranie uprawnień do systemu informatycznego,
  2. osoby, których rolą jest akceptowanie nadawania lub odbierania uprawnień do systemu informatycznego,
  3. osoby realizujące nadawanie oraz odbieranie uprawnień do systemu informatycznego,
  4. ostatecznie zakres danych, które konieczne są by umożliwić sprawne zarządzanie uprawnieniami użytkowników.

Należy pamiętać dodatkowo by zapewnić rozliczalność, nie tylko z punktu widzenia przepisów o ochronie danych osobowych, ale też zarządzania bezpieczeństwem informacji w organizacji. Dlatego każdy system powinien dawać możliwość automatycznego dokumentowania i archiwizowania wszelkich zmian w zakresie uprawnień użytkowników do zasobów. Dobrą praktyką jest wprowadzenie w organizacji metod potwierdzania nadawania uprawnień w innej formie, niż tylko w postaci konfiguracji systemu informatycznego. Jeżeli system informatyczny przeznaczony do pracy w organizacji nie zapewnia funkcjonalności umożliwiającej potwierdzanie nadania uprawnień to dobrym rozwiązaniem może być wykorzystanie w tym celu dedykowanego (dodatkowego) oprogramowania.

Nadawanie uprawnień

Pojęcie zasady minimalnej wiedzy koniecznej pojawiło się już wyżej. Zasada ta swoje korzenie ma zaleceniach projektowych jakie stosowane są przy budowie systemów informatycznych. W kontekście budowy systemu mówi ona, że proces w każdej chwili działania powinien dysponować tylko niezbędnymi prawami dostępu do zasobów. Te same zasady odnosimy do użytkowników i ich dostępów do zasobów systemów informatycznych w naszej organizacji. Drugą zasadą odnoszącą się do nadawania uprawnień winna być nieprzechodniość praw dostępu.

Należy pamiętać o tym, że w systemach informatycznych koniecznym jest stosowanie indywidualnych kont umożliwiających rozliczenie działań każdego użytkownika

Zarówno z punktu widzenia ochrony danych jak i bezpieczeństwa informacji, w zakresie zapewnienia rozliczalności i adekwatnego poziomu zabezpieczenia, należy pamiętać o tym, że w systemach informatycznych koniecznym jest stosowanie indywidualnych kont umożliwiających rozliczenie działań każdego użytkownika. Administrator powinien zadbać o posiadanie procedur w organizacji zapewniających, że w przypadku zmiany powierzonych użytkownikowi zadań lub obowiązków prowadzona będzie niezwłocznie weryfikacja wszystkich posiadanych dotychczas przez niego uprawnień. Weryfikowane powinno być w szczególności odbieranie zbędnych uprawnień.

Odbieranie uprawnień

Jeżeli zachodzi konieczność odebrania lub modyfikacji uprawnień do systemów informatycznych powinno się zadbać o zapewnienie by informacje o podejmowaniu takich działań lub ich konieczności przekazywane były niezwłocznie do osób odpowiedzialnych za realizację uprawnień od osób, które taką wiedzę posiadają. Zazwyczaj w organizacji osobami posiadającymi rzeczoną wiedzę będą bezpośredni przełożeni użytkownika, osoby które nadzorują realizację zadań lub wybrane komórki personalne organizacji. Jeżeli zachodzi konieczność usunięcia uprawnień użytkownikowi należy zadbać o możliwość zablokowania konta użytkownika. Jeśli nie jest to możliwe z różnych przyczyn konto użytkownika winno zostać usunięte z zastrzeżeniem, że historia aktywności użytkownika i zasoby powiązane ściśle z usuwanym kontem powinny zostać zarchiwizowane zgodnie z zasadami retencji jakie obowiązują w organizacji.

Powinno się zadbać o bieżącą jak i okresową weryfikację uprawnień do każdego systemu informatycznego

Weryfikacja uprawnień

Podobnie jak w przypadku weryfikacji upoważnień do przetwarzania danych osobowych powinno się zadbać o bieżącą jak i okresową weryfikację uprawnień do każdego systemu informatycznego. Weryfikacja okresowa powinna być realizowana w oparciu o ustanowione uprzednio w organizacji reguły zarządzania uprawnieniami. Zalecaną minimalna częstotliwością okresowej weryfikacji uprawnień jest dokonywanie jej co najmniej raz do roku, niemniej najlepszym rozwiązaniem zapewniającym bezpieczeństwo jest bieżące monitorowanie. 

Prawidłowa weryfikacja powinna opierać się na sprawdzaniu  zrealizowanych wniosków o nadanie uprawnień ze stanem rzeczywistym zawartym w konfiguracjach systemów informatycznych. W przypadku systemów, które posiadają dużą ilość zdefiniowanych kont rozwiązaniem może być wyrywkowa weryfikacja wybranej grupy reprezentatywnej użytkowników. Jeśli organizacja nie dysponuje kompletem wniosków o nadanie uprawnień weryfikacji dokonywać powinien właściciel biznesowego systemu informatycznego i na podstawie tejże przyjąć należy stan zerowy. Względem rzeczonego stanu zerowego prowadzone winny być kolejne weryfikacje.

Uwierzytelnianie użytkowników

Niepożądanym i niebezpiecznym dla organizacji jest używanie w systemach informatycznych kont niepodlegających obowiązującej i przyjętej uprzednio procedurze uwierzytelniania obejmującej i wymagającej  identyfikacji i autoryzacji użytkownika. Przyjęta w organizacji procedura uwierzytelniania winna uwzględniać takie elementy jak przyznawanie użytkownikowi poziomu uprawnienia (jak co najmniej konto zwyczajne i konto administratora) oraz sposoby logowania (jak przykładowo logowanie zdalne). 

Uwierzytelnianie za pomocą hasła powinno uwzględniać zasady dotyczące budowy haseł

Uwierzytelnianie za pomocą hasła powinno uwzględniać zasady dotyczące budowy haseł, które winny być również ujęte w instrukcji lub wewnętrznej procedurze organizacji. Należy również zadbać o to by administrator systemów informatycznych miał możliwość zmiany hasła użytkownika. Pamiętać należy wszakże o tym by hasło zmieniane było przez administratora systemu informatycznego w uzasadnionych przypadkach lub na żądanie użytkownika oraz administrator nie powinien znać nowego lub dotychczasowego hasła użytkownika, z wyjątkiem haseł tymczasowych. 

Przyjęte w organizacji procedury, w zakresie autoryzacji hasłem, powinny przede wszystkim dawać możliwość zapewnienia: 

  1. poufności hasła w trakcie jego przechowywania i przekazywania, 
  2. spełnienia przez hasła minimalnych wymagań dotyczących jego złożoności, 
  3. okresowej zmiany hasła,
  4. możliwości zmiany hasła na żądanie użytkownika.

Administrator powinien zadbać o to, by rzeczone wymagania w zakresie autoryzacji hasłem były realizowane poprzez wymuszenie w systemie informatycznym lub odpowiednie instrukcje z jakimi powinni być zapoznani użytkownicy. 

Dobrą praktyką jest również zaprojektowanie procedury obejmującej spisane grupy uprawnień dla użytkowników systemów informatycznych zgodne ze schematem i regulaminem organizacyjnym opisującym działy i stanowiska, zasadą minimalnej wiedzy koniecznej i skoordynowanie procedury razem z polityką nadawania upoważnień do przetwarzania danych osobowych. Predefiniowane grupy uprawnień stworzone z poszanowaniem powyższych zasad mogą ułatwić nadawanie upoważnień i uprawnień oraz pomóc skoordynować te działania w dużych organizacjach, gdzie występuje wielu właścicieli procesów biznesowych jak i samych procesów. 


Podstawy prawne:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Ustawa z dnia 29 stycznia 2004 r. Prawo zamówień publicznych 


Hasła kluczowe:

Bezpieczeństwo informacji w organizacji

Dostęp do systemów informatycznych

Bezpieczeństwo danych osobowych i informacji

Prywatność kont w systemach informatycznych

Prywatność haseł i kodów dostępu

Upoważnienie do przetwarzania danych osobowych

Uprawnienia do systemów informatycznych

Zarządzanie uprawnieniami

Nadawanie uprawnień

Odbieranie uprawnień

Weryfikacja uprawnień

Uwierzytelnianie użytkowników

Zarządzanie dostępami

Zarządzanie bezpieczeństwem informacji


AUTOR: Tomasz Wącirz