"Персональные идентификаторы" и IT

[Гость Вит]

Долго думал -- куда же поместить тему. Пусть уж здесь, раз с IT связано.

Интро

Я системный администратор в больнице-ГККП. Есть локальная сеть, в ней работает программа документооборота, и её значительно улучшенная "наследница" давным-давно ждёт наготове. Внедрение же не произвожу по организационным причинам -- не вижу возможности гарантировать работу пользователей под своими персональными учётными записями.

Подробнее

Система расчитана на то, что каждый работает в ней под своим именем, и все документы создаются и изменяются с указанием тех, кто с ними работал. Это не "взрослая" ЭЦП, но почти то же самое, только "в нашей песочнице". Разумеется, когда начинается работа под одним и тем же именем двух и более пользователей, то возникают проблемы.

При запуске системы лучшее, что пришло в голову, это выдать каждому некий индивидуальный номер и установить пароль, совпадающий с этим номером. По уму, конечно, это делается вообще с помощью карточек аналогичных банковским и считывателей на каждом рабочем месте: ткнул карту -- и ты (и именно ты) в системе, вытащил -- и до до свидания. Но не до жиру, это ж ГККП.

В общем-то, и в моём варианте проблем не было бы, если б каждый потом сменил пароль на свой. Беда в том, что "контингент" специфический (или ленивый) -- у всех вышка, но все настолько хорошо прикидываются тупыми, что иногда начинаешь верить. Так что даже смена пароля Виндоус превращается в целый интеллектальный подвиг, а система вообще написана на Lotus Notes, и там пароль меняется посложнее (хотя ведь буржуйские-то клерки справляются). Да и с запоминанием тоже "проблемы" (а точнее та же лень).

Так что сейчас получается, что целые табуны работают под именем одних и тех же пользователей, и с точки зрения системы пять-десять Маш работают из разных кабинетов одновременно. Ни к чему хорошему это не приводит. Мягко говоря.

Кроме того, это самое "ГККП" очень ограничивает административные возможности. В любой "коммерции" при необходимости это делается просто: "Надо!" "Первый раз? Ладно, выговор" "Опять?! Уволен!" -- и никаких заморочек. А здесь -- ну, "разговор по душам", ну ещё десяток, ну, "последнее китайское предупреждение"...

Вот такое длинное и грустное, но необходимое предисловие.

Задача

Выбрать в качестве пароля какой-либо из существующих "персональных идентификаторов" (вроде РНН, номера паспорта, удостоверения, кредитки и т.п) который:

1) не хочется потерять

2) не хочется говорить налево и направо

Предв. решение

Номер удостоверения личности.

Досттоинства:

Есть у всех, носить не тяжело, кому попало не скажешь, якобы забыть не забудешь (цифры-то вот они, перед глазами, только вводи).

Проблема

Предложение руководству дать кадровику задание составить список сотрудников с номерами УЛ получило отказ. На просьбу объяснить был дан ответ, мол, это же частная информация, опасно, возможны злоупотребления и т.п. Хотя на предыдущем админстве через меня проходили секреты ценой куда больше чем вся больница и все активы сотрудников вместе взятые... Но это уже "лирика" :)

Ну, я-то параноик по должности, а они-то куда?! :) Вот и возникли следующие

Вопросы

1. Насколько вообще -- а) потенциально и б) согласно НПА -- опасно сочетание 1) ФИО и 2) номера УЛ, без образцов подписей и т.п.?

2. Возможно ли вышеописанное "предв. решение" с какими-либо дополнениями, возможно на основе текущих НПА, вроде "подписки о неразглашении" :) и т.п.?

3. Есть ли незамеченная мной альтернатива моему "предв. решению", сохраняющая его достоинства?

[*DOCTOR*]

Не программер, но я бы, обладая спец. тех. знаниями, поступил бы следующим образом:

1) Разрабатываете процедуру доступа к ИТ ресурсам, где прописываете все необходимое:

а)порядок формирования пароля, смена, его периодичность. Обязательным условием будет порядок восстановления пороля; Пусть головняк будет у самих юзеров, зачем он вам?

б) Порядок пользования ИТ ресурсами. Системное администрирование и все такое.

в) ответственность за неисполнение.

2) Утвердить у руководства.

3) Ознакомить всех сотрудников.

4) Контроль за исполнением.

[Гость Вит]

*DOCTOR*, спасибо за ответ. К сожалению, это не является "незамеченной альтернативой"

То, что Вы описали -- <<процедура доступа к ИТ ресурсам>>, называется также "IT-policy" ("политика ИТ") -- встречается очень часто, особенно в последние годы. Но вот работает, к сожалению, в основном только в коммерческих структурах. В моём же случае у этой идеи такие недостатки:

0. Mea culpa, изначально я сам сделал ошибку, "дав много воли", и это очень сильно сказывается. Хотя и решаемо. Но ведь это не всё.

1. <<1)в) ответственность за неисполнение... 4) Контроль за исполнением.>> -- здесь я не вижу "принуждения к исполнению". Возможно, не вижу лишь по незнанию, тогда буду рад узнать -- как же именно.

Но напомню, что речь идёт о больнице-ГККП. Мои [censored]... э... о! подшефные! -- врачи (sic!) и медсёстры, и они (официально по кр. мере) соответствуют предъявляемым к ним официальным же требованиям, то бишь регулярно проходят аттестации и т.п. Требования же, налагаемые ИТ-политикой, стоят особняком -- за незнание чего-то медицинского уволить могут на раз-два, а вот за нарушение ИТ-политики -- очень сомневаюсь.

2. Из п.1 следует очень реальная угроза вместо дальнейшего развития утонуть в 1) бесконечном и 2) бесполезном "контроле за исполнением".

В пред. посте я уже писал фразу "последнее китайское предупреждение" и т.п. Ну какая ещё ответственность возможна, особенно с учётом того, что больничка-ГККП не настолько уж "хлебное место", и медперсоналом тут не поразбрасываешься?

Поэтому я и вынужден был додуматься до вышеописанной идеи, которая позволяет не "подтягивать" этих... "альтернативно-одарённых" вверх, чем я вполне себе безуспешно занимался несколько лет, а, так сказать, "опуститься до их уровня" и "пойти им навстречу" ("говорить помедленнее" ) но в результате не оставить лазеек для "отмазок".

[Гость Вит]

ЗЫ. И хотелось бы оценить её с юр. т.з., чтобы не от себя, но со ссылкой на специалистов сказать руководству, мол, "это параноя, расслабьтесь, ничего страшного" или "да, риски есть, но решаются такими-то внутренними приказами"