====== Kybernetická bezpečnost ====== ---- dataentry predpis ---- původce_page : to:start typ : pravidla zkratka : TO-KyBez zásadní : ne stav : ---- [[to:start]] v souladu s [[rules:or#postupy_a_pravidla|§ 5 odst. 2 OŘ]] a s ohledem na [[rules:or#technicky_odbor|§ 13 odst. 1 písm. b) OŘ]] vyhlašuje následující pravidla pro zajištění kybernetické bezpečnosti: == § 1 Úvodní ustanovení == (1) **Uživatelem** je každá osoba, která využívá technické systémy strany. (2) **Sdílený účet** je účet, který není svázán s žádnou konkrétní osobou, neobsahuje žádné osobní údaje a může k němu přistupovat více uživatelů, kteří sdílí přihlašovací údaje k takovému účtu. Tyto účty vznikají zcela ve výjimečných situacích, kdy nelze použít běžný účet. (3) [[https://cs.wikipedia.org/wiki/V%C3%ADcef%C3%A1zov%C3%A9_ov%C4%9B%C5%99en%C3%AD|Dvoufázové ověření (2FA)]], je proces, pomocí kterého se uživatel může bezpečně přihlásit k webové stránce nebo aplikaci tím, že při autentizaci poskytne dva důkazy (faktory) potvrzující jeho identitu (prvním je obvykle uživatelské jméno a [[https://cs.wikipedia.org/wiki/Heslo|heslo]], druhým pak token z aplikace). Dvoufázové ověření zlepšuje ochranu uživatele před krádeží digitální identity a osobních údajů. == § 2 Ochrana uživatelských účtů == (1) Uživatel chrání prostředky k prokázání své identity před zneužitím. Zejména nikomu neprozrazuje svá hesla a nepůjčuje bezpečnostní tokeny, generátory jednorázových hesel ani certifikáty. (2) Pokud uživatel zjistí, že mohlo dojít k narušení bezpečnosti jeho účtu, je povinen tuto skutečnost neprodleně oznámit [[to:start|Technickému odboru]]. (3) Pokud uživatel ztratí přístup ke svému sekundárnímu přihlašovacímu prostředku, může požádat [[to:start|Technický odbor]] o jeho odstranění. Ten žádosti vyhoví pouze v případě, že současně: * a) žádost v [[https://redmine.pirati.cz/projects/to/|Podatelně Technického odboru]] potvrdí některý z volených funkcionářů, členů [[to:start|Technického odboru]] nebo [[po:start#koordinatori_krajskych_sdruzeni_-_koks|Koordinátorů krajských sdružení]], * b) nic nenasvědčuje tomu, že by se mohlo jednat o pokus o neoprávněné převzetí identity. (4) Je-li uživatel členem strany, používá pro ochranu svého účtu také sekundární přihlašovací prostředek; část před středníkem se neuplatní v případě, že v tom uživateli brání objektivní skutečnosti nebo nemá potřebné znalosti. (5) Disponuje-li uživatel oprávněním správce systému obsahujícím důvěrné informace, zejména osobní údaje, v rozsahu větším než krajské sdružení, nebo může-li si ho na základě svých stávajících oprávnění sám opatřit (například zásahem do databáze), je povinen používat pro ochranu svého účtu také dvoufázové ověření a to takové, které odpovídá standardu WebAuthn. V případě přístupů pomocí protokolů založených na jiných standardech než HTTP (například VPN nebo SSH), pak patřičnou asymetrickou kryptografii. Pokud takovým prostředkem nedisponuje, [[/to/start|Technický odbor]] mu ho na požádání svěří (6) Disponuje-li uživatel v systému [[to:technicke-systemy:piroplaceni]] vyššími oprávněními než Hospodář nebo Vedoucí, zvýšenými oprávněními v systémech [[to:technicke-systemy:chobotnice]] či [[to:technicke-systemy:nalodeni]], nebo je-li členem [[kk:start|Kontrolní komise]] či [[rp:start|Republikového předsednictva]], je povinen používat pro ochranu svého účtu také dvoufázové ověření. Pokud žádným nedisponuje, [[to:start]] mu ho na požádání svěří. (7) Způsobilost uživatele nabýt oprávnění, které by mu založilo povinnost využívat dvoufázové ověření, není dotčena tím, že takovým prostředkem v danou chvíli nedisponuje. Uživatel je však povinen si jej po získání takového oprávnění bezodkladně opatřit. (8) Uživatel se k systémům strany a svému účtu přihlašuje vždy ze zařízení, které: * a) je známé a důvěryhodné, o kterém ví, že je bezpečné a nebylo napadené nebo infikované škodlivým softwarem. * b) má nainstalovány aktuální bezpečnostní aktualizace a využívá software včetně operačního systému s poslední verzí bezpečnostních záplat == § 3 Ochrana sdílených účtů == (1) Uživatel, který přistupuje k technickým systémům jako je například [[/to/technicke-systemy/peertube|Pirátská TV]] pomocí sdílených účtů, je povinen využívat pro ochranu sdíleného účtu dvoufázové ověření. Pokud žádným nedisponuje, [[:to:]] mu ho na požádání svěří. == § 4 Ochrana technických systémů == (1) Uživatelé chrání technické systémy před zneužitím. Nenechávají svá přihlášená zařízení odemčená bez dohledu a nepřihlašují se ze zařízení, u nichž hrozí odcizení přístupových údajů. (2) Uživatelé oprávnění spravovat přístupy do technických systémů dbají na to, aby ostatní uživatelé těchto systémů měli pouze taková oprávnění, jaká jim přísluší z titulu jejich rolí či funkcí. ---- === Často Kladené otázky (FaQ) === **Q: Jak na své pirátské identitě zapnu dvoufaktorové ověření přes telefon?** A: Po přihlášení do [[https://auth.pirati.cz|Pirátské Identity]] v levém sloupci vyber Autentizátor, je třeba si vybrat aplikaci (freeOTP, FreeOTP+, Google Authenticator nebo Twilio Authy pro Apple). Jednu z nich nainstaluješ z obchodu play/iTunes, spustíš, a naskenuješ QR kód a pojmenuješ zařízení (například //telefon//). **Q: Co dělat když ztratím/rozbiju/někdo mi ukradne telefon, na kterém mám dvoufázovou autentizaci na pirátské systémy?** A: Neprodleně kontaktuj svého nejbližšího voleného funkcionáře, Koordinátora, nebo vedoucího odboru pod který spadáš. Tato osoba musí na [[https://redmine.pirati.cz/projects/to/|Podatelně Technického odboru]] vytvořit úkol a potvrdit tvou identitu. Poté volej telefonní číslo //778 702 711 - Helpdeskář TO Martin Kučera//, který se ujistí, že to jsi opravdu ty a nikdo cizí se nesnaží dostat do tvé pirátské identity. Po informačním kolečku bude tvé dvoufaktorové ověření vypnuto. **Q: Mám USB/NFC hardwarový klíč (token) a chci ho používat jako dvoufaktorvé ověření. Jak na to?** A: V [[https://redmine.pirati.cz/projects/to/|Podatelně Technického odboru]] založ požadavek pro registraci HW klíče. Proběhne informační kolečko zda jsi to opravdu ty kdo žádá o registraci klíče. Po nastavení administrátorem se musíš odhlásit a znovu přihlásit do pirátské identity - [[https://auth.pirati.cz]]. Po přihlášení se ti zobrazí okno s registrací tvého hardwarového klíče. Postupuj podle pokynů. == Kontakt první pomoci == //Helpdeskář TO - Martin Kučera, Tel: 778 702 711// //Hlášení spamů, útoků a bezpečnostních incidentů - [[mailto:security@pirati.cz]]//