Vyhláška TO o uživatelských účtech

Technický odbor působí v oblasti správy, údržby a vývoje technických systémů strany a jejích technických zařízení a poskytuje servis ostatním orgánům strany.

Moderátor: Odbor - technicky

Odpovědět
Uživatelský avatar
Martin.Rejman
Technický odbor
Příspěvky: 378
Registrován: 29 říj 2013, 15:08
Profese: živnostník IT, fyzik
Bydliště: Jablonec nad Nisou
Dal poděkování: 223 poděkování
Dostal poděkování: 741 poděkování

Vyhláška TO o uživatelských účtech

Příspěvek od Martin.Rejman » 03 pro 2018, 09:18

V rámci zlepšování bezpečnosti systémů bych rád oddělil administrativní účty (loginy) od běžných uživatelských. Vhodnou formou pro tento úkon je vyhláška TO, prosím o připomínky k následujícímu návrhu:
Vyhláška TO o uživatelských účtech

§1 Účel předpisu
Technický odbor ve výlučné kompetenci dle §13 odst. 1 vydává tuto vyhlášku, kterou se upravuje způsob využívání účtů k aplikacím a dále vydávání a využívání tzv. správcovských účtů, jejich zabezpečení a činnosti, které lze pod těmito účty vykonávat.

§2 Definice
a) Aplikace
Aplikací se v této vyhlášce myslí elektronický systém, webové stránky, nebo další systémy strany, které slouží pro podporu a provoz strany. Jedná se např. o fórum, wiki, úkolový systém Redmine.

b) Uživatelský účet
Uživatelským účtem se rozumí elektronická identita, která umožňuje uživateli aplikace získání oprávnění k provádění činností nad rámec běžného anonymního přístupu.

Jedná se zpravidla o registraci na Pirátské identitě(auth.pirati.cz), stranickém fóru (forum.pirati.cz) a napojeném PirateID (openid.pirati.cz).

c) Správcovský uživatelský účet
Správcovským (nebo rovněž "administrátorským") účtem se rozumí uživatelský účet v dané aplikaci, který má nastaven možnosti konfigurování aplikace nebo umožňuje vidět přihlašovací údaje pro propojení více systémů mezi sebou. Takové činnosti nejsou pro běžné užívání aplikace a vykonávání svěřených funkcí potřeba, případně se jedná o činnosti, které mají značný dopad na
fungování aplikace.

§3 Oddělení identit
Uživatelský účet a Správcovský uživatelský účet jsou v dané aplikaci nebo na centrálním přihlašovacím serveru odděleny tím, že mají různá přihlašovací jména a hesla.

Uživatelské jméno Správcovského uživatelského účtu začíná povinně "adm.JMENO.PRIJMENI" dle jména a příjmení osoby s účtem disponujícím.

§4 Rozdělení činností mezi účty
Pomocí Správcovského uživatelského účtu se uživatel přihlašuje pouze za účelem provedení nezbytných úprav v nastavení aplikace (platí princip "nejmenšího možného oprávnění").

Pro běžné činnosti v aplikaci se využívá výhradně obyčejný uživatelský účet, který má nastavena oprávnění dle běžných pravidel (na základě členství v orgánech strany, pověření k vykonávání úkolů apod.).

§5 Jednání vlastním jménem
1) Každý uživatel jedná při užívání aplikací vlastním identitou, v případě členů vlastním jménem.

2) Je zakázáno jednat na základě instrukcí či požadavků třetí osoby, pokud s daným požadavkem uživatel nesouhlasí nebo jeho dopadům nerozumí. V takovém případě odkáže uživatel tuto třetí osobu s požadavkem na realizaci požadovaných úprav do podatelny odboru spravujícího danou aplikaci.

§6 Odpovědnost při provádění správy aplikací
1) Využívání oprávnění poskytnutých Správcovským uživatelským účtem provádí majitel daného účtu výhradně dle své nejlepší znalosti a na základě seznámení se s dopady prováděných nastavení.

2) Údaje, které se dozví uživatel díky využívání S.U. účtu, jsou chráněny. Jedná-li se o zvlášť citlivé údaje (např. přihlašovací hesla), nesmí s nimi uživatel jakkoliv nakládat bez předchozího poučení od Technického odboru o způsobech práce s tímto druhem údajů.

3) Je zakázáno jednat a měnit nastavení na základě instrukcí či požadavků třetí osoby, pokud s daným nastavením uživatel nesouhlasí nebo jeho dopadům nerozumí. V takovém případě odkáže uživatel tuto třetí osobu s požadavkem na realizaci daných nastavení do Podatelny technického odboru, který požadavek následně zpracuje.

§7 Vznik a zánik Správcovského uživatelského účtu
1) Na zřízení S.U. účtu není nárok.

2) O vzniku S.U. se rozhoduje vedoucí technického odboru po konzultaci s ostatními členy TO ve výlučné působnosti TO v oblasti kyberbezpečnosti.

3) Žádost o Správcovský uživatelský účet se podává prostřednistvím podatelny TO.

4) Před vydáním S.U. se prověří účelnost a reálná potřeba existence daného S.U. .

5) Před vydáním S.U. se prověří odborná způsobilost žadatele včetně jeho schopností dodržování obecných zásad používání S.U. (např. respektování práv ostatních uživatelů, odpovědnost, dodržování informování o prováděných změnách směrem k ostatním správcům, ...).

6) Přidělení S.U. účtu je podmíněno souhlasem toho, komu je účet zřizován.

7) Držitel účtu má právo na deaktivaci jeho S.U. účtu bez dalšího zdůvodnění.

8) Technický odbor zřízení S.U. účtu odmítne, jsou-li mu známy okolnosti nebo jednání prokazující dřívější neodpovědné jednání žadatele.
Tito uživatelé poděkovali autorovi Martin.Rejman za příspěvky (celkem 5):
Marek.Necada, Lucie.Spacilova, Vit.Jurasek, Jan.Bednarik, Jan.Hora

Uživatelský avatar
Petr.Vileta
Člen KS Plzeňský kraj
Příspěvky: 27377
Registrován: 22 črc 2009, 18:12
Profese: živnostník, programátor
Bydliště: Plzeň 2
Dal poděkování: 22482 poděkování
Dostal poděkování: 19158 poděkování
Kontaktovat uživatele:

Re: Vyhláška TO o uživatelských účtech

Příspěvek od Petr.Vileta » 04 pro 2018, 01:30

Já tam vidím takovou malilinkatou Hlavu 22 :) v §5, odst 2. Ono se může stát, že uživatel se například nemůže přihlásit na žádný systém strany (protože jednotný auth) a nemáme žádný offline způsob podání nebo identifikace. Například takový obyčejný doporučený dopis, úředně ověřený. ;) Bere to i CZ NIC při ztrátě hesla k vlastněné doméně, atd. Nebo zaručený elektronický podpis, nebo datová schránka. Ale my nemáme v předpisech žádný legální postup, například prokázáním se občanským průkazem na schůzi před svědky (předsednictvem) a následné svědectví těchto svědků. Asi je to spíš úkol pro AO nebo dokonce RV, ale něco by se s tím udělat mělo.

Možná bys tedy zatím mohl v tom §5, odst 2 doplnit nějakou alternativu k elektronické podatelně.
Tito uživatelé poděkovali autorovi Petr.Vileta za příspěvky (celkem 2):
Vit.Jurasek, Martin.Rejman
Kumulovaný zastupitel a člen finančních výborů zastupitelstev Města Plzně a Městského obvodu Plzeň 2.
tel: 608 445 655 (odpoledne a večer)
stínový ministr švihlých nápadů
----------------------------------------
Mějme vždy na paměti: Běžný občan je až ten poslední, komu bychom chtěli něco zakazovat.

Uživatelský avatar
Andrej.Ramaseuski
Republikový výbor
Příspěvky: 1794
Registrován: 28 srp 2016, 20:49
Profese: programátor
Bydliště: Sedlíšťka (Radhošť)
Dal poděkování: 1232 poděkování
Dostal poděkování: 1786 poděkování
Kontaktovat uživatele:

Re: Vyhláška TO o uživatelských účtech

Příspěvek od Andrej.Ramaseuski » 04 pro 2018, 08:56

ty adm.* ucty take budou v centralni databazi identit nebo budou lokalni?
Tito uživatelé poděkovali autorovi Andrej.Ramaseuski za příspěvek:
Martin.Rejman
two beers or not two beers?

Uživatelský avatar
Martin.Rejman
Technický odbor
Příspěvky: 378
Registrován: 29 říj 2013, 15:08
Profese: živnostník IT, fyzik
Bydliště: Jablonec nad Nisou
Dal poděkování: 223 poděkování
Dostal poděkování: 741 poděkování

Re: Vyhláška TO o uživatelských účtech

Příspěvek od Martin.Rejman » 04 pro 2018, 11:56

Petr.Vileta píše:
04 pro 2018, 01:30
Já tam vidím takovou malilinkatou Hlavu 22 :) v §5, odst 2. Ono se může stát, že uživatel se například nemůže přihlásit na žádný systém strany (protože jednotný auth) a nemáme žádný offline způsob podání nebo identifikace. Například takový obyčejný doporučený dopis, úředně ověřený. ;) Bere to i CZ NIC při ztrátě hesla k vlastněné doméně, atd. Nebo zaručený elektronický podpis, nebo datová schránka. Ale my nemáme v předpisech žádný legální postup, například prokázáním se občanským průkazem na schůzi před svědky (předsednictvem) a následné svědectví těchto svědků. Asi je to spíš úkol pro AO nebo dokonce RV, ale něco by se s tím udělat mělo.

Možná bys tedy zatím mohl v tom §5, odst 2 doplnit nějakou alternativu k elektronické podatelně.
Děkuji za připomínku, zde se jedná o případ, kdy kvůli vzniklým placeným funkcím ve straně může docházet ke konfliktu zadání od nadřízeného s tím, co by daný uživatel v nějekém elektronické systému strany sám neprováděl.

Tj. asi doplním definici, co znamená to zmiňované "jednání" ... že se tím myslí pouze používání elektronických systémů strany.

Tak široký význam, který píšeš, mě nenapadl :-)
Tito uživatelé poděkovali autorovi Martin.Rejman za příspěvek:
Petr.Vileta

Uživatelský avatar
Martin.Rejman
Technický odbor
Příspěvky: 378
Registrován: 29 říj 2013, 15:08
Profese: živnostník IT, fyzik
Bydliště: Jablonec nad Nisou
Dal poděkování: 223 poděkování
Dostal poděkování: 741 poděkování

Re: Vyhláška TO o uživatelských účtech

Příspěvek od Martin.Rejman » 04 pro 2018, 11:58

Andrej.Ramaseuski píše:
04 pro 2018, 08:56
ty adm.* ucty take budou v centralni databazi identit nebo budou lokalni?
Podle možností systémů ... jde o to, že na SSO je to bezpečnější, ale mohou být systémy, které nejsou napojené na naše SSO.

Asi není úplně cílem určovat, kde ty účty mají být ...

Odpovědět

Zpět na „Technický odbor“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 0 hostů