Úvodní stránka
Uživatelská pravidla provozu Národního archivního portálu

Uživatelská pravidla provozu Národního archivního portálu

Správa identit NDA

Správa identit NDA se řídí následujícími legislativními předpisy a interními akty řízení:

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů;

Vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat,

Služební předpis ředitelky Národního archivu č. 6/2016 ze dne 26. 2. 2016 k ustanovení systému řízení bezpečnosti informací (ISMS) v Národním archivu;

Služební předpis ředitelky Národního archivu č. 15/2016 ze dne 2. 8. 2016 k ochraně informací v Národním archivu;

Služební předpis ředitelky  Národního  archivu  č. 10/2020 ze dne 11. 5. 2020 k bezpečnému  chování  uživatelů  – Uživatelský bezpečnostní manuál.

NDA využívá centralizovanou správu identit. Každý uživatelský účet je vázán na fyzickou osobu k prokázání její činnosti v rámci NDA.  S fyzickou osobou jsou svázány i tzv. strojové účty. Fyzická osoba zodpovídá za aktuálnost údajů u účtu uvedených a za použití strojového účtu v externím systému a je kontaktní osobou pro případ technických či bezpečnostních problémů.

Rozsah údajů, které jsou pro NArP i IS NDA vedeny v modulu Administrace následovně:

1) Jméno

2) Příjmení

3) E-mailová adresa

4) Telefon

5) Příslušný archiv/archivy

6) Organizace (pro roli Původce I-IV)

7) elektronické identity, které se k účtu vážou

8) uživatelské jméno

9) typ účtu

Přístupové údaje a hesla

Uživatel může k přístupu využít služeb kvalifikovaného správce dle zákona č. 250/2017 Sb., o elektronické identifikaci.  V ostatních případech přístupové údaje generuje modul Administrace s následujícími parametry:

1) uživatelské jméno: příjmení + první písmeno jména + inkrementální číslo

2) uživatelské jméno (jednorázový účet v roli Původce II): puvodce + inkrementální číslo

3) heslo: náhodná skupina znaků

Uživatel je povinen si heslo po prvním přihlášení změnit a držet jej v tajnosti. To znamená nikomu jej nesdělovat, neponechávat napsané v místech s přístupem dalších osob, neukládat do souboru volně přístupného dalším uživatelům. Při ukládání hesel na PC je nutné soubor s hesly šifrovat (viz Používání kryptografické ochrany).

Správa identit NDA uplatňuje princip neodmítnutelnosti odpovědnosti. To znamená, že uživatel odpovídá za všechny skutky, které byly vykonány jeho přihlašovacím jménem za použití platného hesla.

V případě podezření na kompromitaci hesla (jeho prozrazení, odposlechnutí, či uhodnutí jinou osobou) je uživatel povinen neodkladně provést změnu hesla a tuto skutečnost neprodleně hlásit na Helpdesk NDA jako kybernetický bezpečnostní incident. Taktéž je povinen nahlásit příslušnému Lokálnímu správci NArP a na Helpdesk NDA změny pracovního/služebního poměru, resp. funkčního zařazení, které má dopad na jeho oprávnění vykonávat stanovenou činnost v rámci NArP. Jde o povinnost jejíž nesplnění je možné postihnout postupy podle služebního zákona, případně zákoníku práce a za jejíž naplnění zodpovídá zaměstnavatel, který zaměstnance o této povinnosti prokazatelně informuje. 

Přihlašovací heslo je nutné volit tak, aby nebylo snadno uhodnutelné a současně bylo dostatečně odolné proti jeho zlomení při kybernetickém útoku. Proto jsou stanoveny následující Pravidla pro tvorbu hesel:

Minimální délka: 12 znaků (minimální délka hesla u administrátorů a aplikací je minimálně 17 znaků)

Komplexnost: Heslo musí obsahovat minimálně

– jedno velké písmeno,

– jedno malé písmeno,

– jednu číslici,

– jeden speciální znak (. , – * _ ^ + # $ @ apod.).

Pravidelná změna: Minimálně 1x za 12 měsíců.

Opakovatelnost: Nové heslo nesmí být stejné jako 12 předchozích již použitých hesel.

Pro heslo nesmí být použity jednoduchá hesla typu „1234“, „abcd“ apod., hesla vytvořená na základě mnohonásobně se opakujících znaků („aaaaa“, „99999“, „bbbbb55555“, apod.), či přihlašovacího jména, e-mailu, názvu informačního systému nebo aplikace, snadno identifikovatelná jména (vlastní, rodičů, sourozenců, dětí, domácích zvířat apod.), data narození, názvy měsíců, a jiné snadno predikovatelné kombinace.

Obnova hesla

Uživatel může vyžádat obnovu hesla prostřednictvím přihlašovacího formuláře. Proces resetu hesla je uživateli zaslán na registrovaný e-mail, po potvrzení je uživateli zasláno dočasné heslo, které si musí při prvním přihlášení změnit. Platnost odkazu pro vygenerování dočasného hesla je 30 minut. O vygenerování hesla je notifikována role Centrální správce, která v případě podezření na zneužití provede blokaci uživatelského účtu.

Certifikáty IS přistupujících k NDA

K identifikaci a autentizaci externích IS přistupujícících k modulům NDA se používají systémové certifikáty.

Vytváření uživatelských účtů

Vytvářet uživatelské účty a přidělovat uživatelské role jsou pro NArP oprávněni pouze příslušní uživatelé v rolích Lokální správce a Centrální správce, strojově je vytvářen jednorázový účet v roli Původce II, Badatel, Původce III a Původce IV.

Pozastavení uživatelského účtu

Na základě vyhodnocení provozu (např. podezřelé mnohočetné přihlašování atd. může ve své působnosti Lokální či Centrální správce pozastavit účet uživatele. O pozastavení účtu je uživatel notifikován e-mailem. O obnovení či zrušení účtu rozhodne Centrální správce do 72 hodin na základě prověření stavu, příp. komunikaci s uživatelem a vyhodnocení příp. hrozeb pro provoz. Provozní řády jednotlivých modulů (zejméně modul IS CAM a modul IS PEvA)  mohou upravovat další parametry mimo výše uvedené, jejichž naplnění může způsobit pozastavení účtu uživatele. V takovém případě se lhůta 72 hodin pro rozhodnutí o obnovení či zrušení účtu považuje za lhůtu minimální.

Zrušení uživatelského účtu

Zrušením účtu se rozumí smazání údajů v centrální správě identit NDA. Rušení účtů se řídí následujícími parametry:

účet (role)Harmonogram zrušení
Badatel, Původce III a IV– automaticky 3 roky po ukončení platnosti badatelského listu, ev. 3 roky po posledním přihlášení
Původce IIautomaticky 1 měsíc po ukončení řízení a ev. předání vybraných archiválií
Ostatní rolePo nahlášení změny pracovního/služebního poměru, resp. funkčního zařazení uživatelem, bezodkladně po zjištění při pravidelné revizi uživatelských účtů
Všechny roleokamžitě při závažném porušení provozních zásad ev. narušení kybernetické bezpečnosti

O zrušení účtu je uživatel notifikován e-mailem.

O portálu Helpdesk Přístupnost Mapa stránek Informace a oznámení
© Národní archiv 2016-2021 | v. 2.0 Licence Creative Commons