GDPR: malý linuxový server (Samba AD) a 5 stanic

[martin]

Ahoj,
staram se o maly linuxovy server, ktery dela domenovy radic pomoci Samby (Active Directory).
K tomu je pripojeno 5 klientskych PC, cast Win7, cast Win10.
Veskera data se ukladaji na linuxovem serveru, ne lokalne. Tri uzivatele maji povoleny pristup pres RDP z Internetu na svuj pc s Windows 10, jinak nikdo nema moznost vzdaleneho pristupu.
Prihlaseni k Windows domene se standardne loguje na linux serveru.
Zalohy dat z linux serveru ukladam do Amazon S3. Data nejdriv pomoci AES lokalne zasifruji a az pak odesilam do cloudu.
Plus mam WiFi sit pro zamestnance, ke ktere si pripojuji i vlastni mobily.

Je napriklad treba logovat prihlasovani na WiFi? V tom pripade by uz nestacilo sdilene heslo, ale musel bych mit 802.1X.
Je potreba ukladat podrobna netflow data (kdo mel kdy jakou a jaky ip a jaky web/spojeni navstivil)?
Nebo jde vylozene o ochranu dat a staci veci jako "nenechavat do internetu otevrene nesifrovane ftp pro pristup k datum"?
Musim mit u sitovych samba disku vyresene logovalni kdy a jaky uzivatel k souborum pristupoval (v souborech jsou osobni udaje)?

Vim, ze mi nikdo nebude zpracovavat kompletni postup a ani to nechci.
Presto kdyby mi nekdo dal par tipu, na co se v ramci GDPR zamerit a dat si pozor, byl bych moc rad.

[Reklama]

[Sten]

Přihlašování k Wi-Fi ani přístup na web se netýká GDPR a není třeba logovat.

Přístup k souborům s osobními údaji v zásadě není potřeba logovat, ale je nutné mít zavedený přístup založený na riziku, tedy správce osobních údajů (což je konkrétní fyzická osoba) musí určit, kdo (nemusí být jmenovitě, stačí kategorie zaměstnanců/dodavatelů) k datům smí přistupovat, proč je potřebuje (resp. proč tu činnost nemůže dělat bez nich) a jak jsou chráněna před zneužitím/únikem, a vést záznam o činnosti zpracování, kde se tohle sepíše plus se tam uvádí, kdy budou data smazaná, kdy někdo požádal o výmaz ap.

[jmk]

@Sten - naprostý souhlas.
ještě bych doplnil, že je dobré si zaplatit nějaký ten seminář na toto téma, kde se ti ujasní pojmy jako např. co to vlastně jsou osobní data, jak se mají klasifikovat, jaké platí výjimky z GDPR (např. při sporu s platnými zákony o povinné archivaci údajů pro ČSSZ apod.).
Jinak GDPR není jen o IT, ale a to možná především o zpracovatelích a vlastnících citlivých dat. Jako v mnoha jiných případech je IT pouze nástroj, ale to jak má být použit rozhoduje majitel/jednatel - prostě právně odpovědná osoba.

[martin]

Ja prave resim externe jenom IT, ostatni veci si delaji zamestnanci firmy a udajne se na GDPR uz take pripravuji - to je jejich vec.

správce osobních údajů (což je konkrétní fyzická osoba) musí určit, kdo (nemusí být jmenovitě, stačí kategorie zaměstnanců/dodavatelů) k datům smí přistupovat, proč je potřebuje (resp. proč tu činnost nemůže dělat bez nich)

Takze staci, kdyz me jako admina uvedou napr. potrebuje mit pristup k souborum s osobnimi udaji kvuli zalohovani/obnovovani zaloh a je to v poradku?

a jak jsou chráněna před zneužitím/únikem, a vést záznam o činnosti zpracování, kde se tohle sepíše plus se tam uvádí, kdy budou data smazaná

Zaznam o cinnosti zpracovani - to mi vychazi nejlepe na zapnout v sambe logovani o pristupu k souborum. Kdyz pak bude potreba, muzu najit, kdy uzivatel X upravoval soubor Y.
Co se tyka "prava byt zapomenut" tak chapu spravne, ze ja z pohledu IT si mohu nadefinovat, ze drzim mesic zpatky zalohy a starsi automaticky odmazavam? Takze zamestanci pri zadosti o vymazani odstrani, co maji a ja nebudu nic resit, protoze za mesic se odmazou zalohy.

[Sten]

Takze staci, kdyz me jako admina uvedou napr. potrebuje mit pristup k souborum s osobnimi udaji kvuli zalohovani/obnovovani zaloh a je to v poradku?

Ještě tam bude muset být uvedeno, jak jsou ty zálohy zabezpečeny, tedy typicky jak je zabezpečen přístup, jestli/jak jsou šifrované, kde jsou uložené ap.

Zaznam o cinnosti zpracovani - to mi vychazi nejlepe na zapnout v sambe logovani o pristupu k souborum. Kdyz pak bude potreba, muzu najit, kdy uzivatel X upravoval soubor Y.

Záznam o činnosti zpracování není záznam ve smyslu přístupů, ale soupis toho, jak jsou data zpracovávána, proč jsou potřeba, kdo má přístup, jak je přístup zabezpečen, kdy budou smazána, kam se odesílají ap.

Co se tyka "prava byt zapomenut" tak chapu spravne, ze ja z pohledu IT si mohu nadefinovat, ze drzim mesic zpatky zalohy a starsi automaticky odmazavam? Takze zamestanci pri zadosti o vymazani odstrani, co maji a ja nebudu nic resit, protoze za mesic se odmazou zalohy.

Data by měla být smazána všude, pokud to ale technicky není možné (CD-R) nebo je to nepřiměřeně náročné (pásky, binární dump databáze, …), mohou data zůstat v zálohách. Budete ale muset řešit, aby se při obnovení ze zálohy nenahrála zpět, případně aby byla smazána hned po nahrání (ještě než budou zpracována).

[Reklama]

[Tomáš Roll]

Data by měla být smazána všude, pokud to ale technicky není možné (CD-R) nebo je to nepřiměřeně náročné (pásky, binární dump databáze, …), mohou data zůstat v zálohách. Budete ale muset řešit, aby se při obnovení ze zálohy nenahrála zpět, případně aby byla smazána hned po nahrání (ještě než budou zpracována).

Pokud jsi je smazal, odkud víš, koho máš smazat při obnově ze zálohy, když jsi je už smazal a tedy nesmíš mít o těch smazaných žádný údaj, podle kterého bys je mohl znova smazat, aby byli zase smazaní?

[Sten]

Pokud jsi je smazal, odkud víš, koho máš smazat při obnově ze zálohy, když jsi je už smazal a tedy nesmíš mít o těch smazaných žádný údaj, podle kterého bys je mohl znova smazat, aby byli zase smazaní?

Můžeš použít třeba ID záznamu nebo jméno a řádek souboru.

[j]

Ja prave resim externe jenom IT, ostatni veci si delaji zamestnanci firmy a udajne se na GDPR uz take pripravuji - to je jejich vec.

... jenze ty prave nic resit ani vyresit nemuzes. Jednoduse proto, ze se te to vubec netyka. GDPR nenarizuje naprosto zadna opatreni vuci datum ani pristupum k nim, jen vicemene rika, ze musis byt schopen zpusob jak snima nakladas obhajit.

Tzn pokud budes schopen obhajit jednopismenkovy hesla, tak je to naprosto vporadku.

Ty samozrejme muzes navrhnout ruzna opatreni z pohledu IT, ale uvedom si, ze se to zdaleka netyka jen IT. A resit to musis vsude, trebas proto aby se ti nestalo, ze ty sice z nejakyho IT systemu data smazes, ale nekdo je tam naladuje rucne z nejakyho papiru.

Pokud mas soubory ve kterych jsou osobni udaje (coz by mela zjistit nejaka ta analyza - samozrejme interni, protoze externi dodavatel ti zjisti leda prdlajs), tak bys je mel minimalne odmigrovat do nejakyho vyhrazenyho prostoru, jinak se z toho zblaznis. A samozrejme pak musis taky stanovit sankci zamestnancum za to, ze narvou takovej soubor jinam.

Ono totiz cely GDPR je predevsim o tom papirovani kolem = smernice a narizeni. Tzn musis lidem naridit jak a co maj s takovejama datama delat, a musis byt nasledne schopen dolozit, ze si na dodrzovani dbal a pripadny porusovatele sankcionoval. To staci, kdyz se zjisti ze nekdo nejaky data poslal na net, tak je to na nem a ne na firme. === nemusis vytvaret 100% neprustrelny bariery.

BTW: Ono to stejne dopadne jako BOZP ... resit se to zacne az se firma dostane do pruseru. Viz ten hotel co mel vsechno vporadku, a proto se tam 4 lidi udusili.

[asdf111]

mozno celkom, teda celkom urcite nerozumiem problematike do potrebnej pravnej hlbky, ale co ma spravca AD domeny spolocne so sukromnymi udajmi? Predpokladam ze ucty tam maju len zamestnanci tej firmy, ich osobne udaje uz spracuvav HR podla platnych predpisov, jediny osobny udaj, aj ked to podla mna nespada do GDPR, kedze zamestnanec dava povolenie firme na spracuvavanie osobnych udajov je jeho meno, ak je teda AD konto totozne s menom.

Ak teda firma nieje typu prevadzkovatel socialnej siete, free mailu, atd. tak nedojde k naplneniu potreby GDPR. A aj keby bola, je predsa na obsluhujucich aplikaciach, aby boli v sulade s GDPR, ale to si uz musia zabezpecit majitelia firmy. Tvojou ulohou je podla mna len mat opatchovane systemy lebo apropo kazdy s meltdown/spectre vo svojej sieti nemoze garantovat ziadnu ochranu osobnych udajov

[martin]

Firma prave zpracovava osobni udaje o lidech - vetsina souboru je plna osobnich udaju.

Ano, ucty maji jen zamestnanci.

Jde mi spis o to, jestli mam neco vic logovat, sifrovat a podobne...

[Ondro]

Firma prave zpracovava osobni udaje o lidech - vetsina souboru je plna osobnich udaju.

Ano, ucty maji jen zamestnanci.

Jde mi spis o to, jestli mam neco vic logovat, sifrovat a podobne...

To nieje tvoja starost. To ma niekto kompetentny tebe povedat. Maju existovat postupy, ktore ma ju byt v sulade s GDPR ale  to nieje starost admina(jedine, zeby ta tym niekto poveril), ty si len jeden z ludi v retazci, ktory ma pristup k osobnym udajom.

[Cek]

Firma prave zpracovava osobni udaje o lidech - vetsina souboru je plna osobnich udaju.

Ano, ucty maji jen zamestnanci.

Jde mi spis o to, jestli mam neco vic logovat, sifrovat a podobne...

Musis jenom umrit

....a zduvodnit proc je stav pri kontrole OK vzhledem k ucelne vynalozenym nakladum.

V podstate, pokud mas dobre nastaveno, nemusis delat nic navic nez mas ted - pokud mas ucinne oddelene zamestnance od osobnich udaju, ke kterym nepotrebuji mit pristup, a dobre popsane postupy jak s daty zachazet. Jedine navic je to vymazavani, ale to je stejne nutne resit aplikacne, to jako admin nezaridis.

Samozrejme spousta veci u kontroly bude vypadat dobre, a Tobe muze usetrit i cas ;-), treba sifrovane zalohy a tedy realna nemoznost vymazat z nich data bez kompletni obnovy a noveho zazalohovani apod....

[Jarda Kuba]

Pokud se bavíme o GDPR, tak je třeba dávat pozor na zdánlivě zanedbatelné "maličkosti" - ďábel se skrývá ve detailu. Když se objevíte u klientova počítače a nainstalujete mu Libreoffice, tak o zpracování osobních údajů nejde, pokud mu ale spustíte zálohu, tak už o zpracování osobních údajů jde. To jsem hodně zjednodušil, nicméně je třeba se chovat nikoliv jako ajťák, ale nahlížet na činnosti podle toho, jestli nějakým způsobem dochází ke kontaktu s osobními údaji. Pokud jde o vhodná opatření, přistupujte k tomu selským rozumem - jde Vám o to vyvynit se z průšvihu. Když uniknou osobní data, hodnotí se, zda firma něco nezanedbala. Máte politiku hesel nastavenou tak, že povolí 1234? Tím případné kontrole můžete těžko argumentovat. Pokud ale vynutíte složitější hesla, tak můžete argumentovat, že jste dělal, co jste mohl - průšvih od sebe odklonit. S tím souvisí i šifrování - pokud někdo ukradne šifrovaný notebook, tak to není takový problém, jako když notebook není šifrován. Prostě nasaďte taková opatření, aby se Vám dobře argumentovalo případné kontrole, že jste problematiku nepodcenil. Jak říká Drábová - opatření mají být přiměřená míře rizika, chce to řídit se selským rozumem. Platí, že zaměstnanec by měl mít přístup jen k takovým údajům, ke kterým přístup potřebuje (šéfovat asistentka, vařící kafe, nepotřebuje znát rodná čísla), tyhle věci a další úpravy je ale třeba řešit ve spolupráci s firmou, který vám bude dělat GDPR audit. Ta vysoce pravděpodobně doporučí nějaké úpravy, např. zavedení spisovky, která bude hlídat toky a životní cyklus osobních údajů. Rada na závěr: Namotivujte šéfra, ať nenechá auditory se rozjet. Jde Vám o prokázání souladu s GDPR, jestli chlapi popíšou stohy papíru a koncepce zpracování osobních údajů bude dlouhá, jak týden před výplatou, za balík papírů zaplatíte balík a ještě ten byrokratický pamflet budete muset dodržovat. Držím palce. :-)

[j]

... Pokud ale vynutíte složitější hesla, tak můžete argumentovat, že jste dělal, co jste mohl - průšvih od sebe odklonit. ...
[/quote]
Jenze tohle prave neni vubec starost ITka. Kdyz prijde za ITkem sef firmy s pozadavkem, ze ma zajistit nejak dlouhy hesla a ITk to neudela, tak teprve v tomhle omkamziku by mohl byt popotahovan - tim sefem. Pokud sef neprijde a nerekne, muze ITk klidne nechat lidem to jejich franta/f ... Ale z pohledu GDPR je to uplne jedno, protoze to neni jeho starost ani jeho zodpovednost. Zodpovida za to sef firmy. Uplne stejne jako za dodrzovani bezpecnosti/pozarni ochrany/...

Samozrejme ten sef muze prijit a rict ..."chci abys udelal navrh opatreni" ... ale zase je to on, kdo to schvaluje a kdo za to zodpovida. Nikdo jinej.

Co myslis, kdo muze za to, ze proskoleni zamestnanci, kteri podepsali nejakej car papiru nenosej prilby? Sef ... on to dostane sezrat az se nekomu neco stane a to zcela bez ohledu na ten car papiru, protoze on je povinen ty lidi pripadne z ty prace i vyhodit.

[Jarda Kuba]

Jestli se firma na GDPR připravuje, tak určitě budou mít brzo hotovou koncepci zpracování osobních údajů (GDPR manuál). Politika hesel se v rámci GDPR často řeší, je to opatření jednoduché na implementaci a dobře to vypadá. Pokud přijde flastr od UOOU a polovina firmy bude mít heslo abcd, tak to po ajťákovi minimálně zkusí vymáhat a i když to nepůjde, tak mu hrozí jiný postih. Ono dostat padáka za takovouhle věc se nikomu nechce, je v zájmu ajťáka navrhovat a implementovat vhodná opatření a spolupracovat na GDPR implementaci, ono mu beztak nic jiného nezbyde (firma, provádějící GDPR audit, s ním bude v úzkém kontaktu). :-)