Zarządzanie uprawnieniami w Administracji
Automatyzacja działań w świetle przepisów prawa
Najnowsze zmiany w prawie podyktowane nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażającej unijną dyrektywę NIS2, stawiają Jednostki w obliczu kolejnych wyzwań. Wdrożenie restrykcyjnych dla Podmiotów Kluczowych i Ważnych rozwiązań, wymusza na JST poszukiwanie optymalnego rozwiązania. Z reguły zarządzanie aktywami, upoważnieniami, audytami czy analizą ryzyka jest mocno rozproszone, dlatego znacząco utrudnia transparentne podejście do audytu zewnętrznego.
Dobra wiadomość jest taka, że w Zeto Lublin znamy potrzeby JST, dlatego stworzyliśmy kompleksowy system do zarządzania wszystkimi kluczowymi aspektami bezpieczeństwa informacji.
W dzisiejszym artykule poruszymy temat zarządzania uprawnieniami oraz aktywami, bazowych obszarów bezpieczeństwa informacji.
Zarządzanie uprawnieniami i aktywami – zapisy aktów prawnych
- Zgodnie z Dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
Art. 21 ust. 2 lit. i) środki zarządzania ryzykiem w cyberbezpieczeństwie bazują na podejściu uwzględniającym wszystkie zagrożenia, w tym bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami.
- Analogiczne wymogi stawia Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Art. 5 ust.1 lit. f) Zasady dotyczące przetwarzania danych osobowych zakładają zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Art. 25 ust. 2 Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
- Nowe obowiązki implementuje także USTAWA z dnia 23 stycznia 2026 r. o zmianie Ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz niektórych innych ustaw
Art. 8 ust. 1 Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez ten podmiot, zapewniający:
pkt 2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, skutki społeczne i gospodarcze, w szczególności:
lit. m) zarządzanie aktywami,
lit. n) polityki kontroli dostępu.
Zarządzanie uprawnieniami i aktywami w praktyce
Biorąc pod uwagę różnorodność struktur organizacyjnych w Jednostkach, jak również niejednokrotnie rozproszenie dokumentacji, Zeto Lublin wychodzi naprzeciw potrzebom JST.
Zeto ZODO oferuje transparentność zarządzania aktywami i uprawnieniami w jednym miejscu. Zarządzanie aktywami i uprawnieniami eliminuje nadmiarowość uprawnień i ograniczają dostęp tylko do niezbędnych dla danego stanowiska danych.
Aktywa
ZODO daje możliwość przypisania konkretnych aktywów do Użytkowników. Jako aktywa rozumiemy sprzęt komputerowy, meble itp. Jeżeli aktywem jest oprogramowanie przetwarzające dane osobowe, do akceptacji potrzebujemy IOD. Zarządzanie aktywami pozwala na bieżący monitoring stanu i przypisywanie aktywów do odpowiednich Użytkowników.
Uprawnienia
Z poziomu rejestru uprawnień możemy je nadać, ustawić ich poziom do systemu czy wybrać Użytkowników. Moduł uprawnień posiada elastyczną ścieżkę akceptacji. W tym module także wycofujemy uprawnienia dla byłych Pracowników, co eliminuje nadmiarowość uprawnień. Tym samym znacznie ogranicza ryzyko dostępu do danych dla osób do tego nieupoważnionych.
