Absent
Other present parties
Ort: Mumble
Leitung:Oli
Protokollant: jowi
Beginn: 19:01
Oli: Ich bin heute krankheitsbedingt ausgefallen. OTRS mit Simon konnte daher nicht erledigt werden.
Aktuelles Pflichtenheft
Art 1 Fundamentals
1 The Security and Privacy Officer is an independent audit institution responsible only to the Board.
2 The Security and Privacy Officer is not bound by any instructions except this ordinance and superior regulations.
Art 2 Election and removal
1 The Security and Privacy Officer is elected for a term of one association year by the Board.
2 When the office becomes vacant during the term, a by-election is held by the Board.
3 The Security and Privacy Officer may not be a member of the Board, the Control Committee or any organ, office or outsourced activity that might have security or privacy issued.
4 The Security and Privacy Officer may be dismissed by a two-thirds majority of the Board.
Art 3 Tasks
1 The Security and Privacy Officer shall inspect all organs, offices and outsourced activities of the Pirate Party Switzerland where security or privacy issues might arise.
2 The committees and the Pirate Court are excempt from the activities of the Security and Privacy Officer. They may however request the services of the Security and Privacy Officer at their discretion.
3 The Security and Privacy Officer shall analyze threats, concerns and problems and shall recommend improvements directly to the head of the organ, office or outsourced activity.
4 The Security and Privacy Officer shall put forward his recommendations in formal motions to the organ, office or outsourced activity if they are not otherwise heeded.
Art 4 Reporting
1 The Security and Privacy Officer shall report orally and in written summary to the Board once a month. In the absence of a board meeting the report is made both to the Presidium and Direction.
2 The regular report shall cover any thread, concerns and problems encountered, any recommendations given and any progress made in mitigation. The regular report shall recommend to the Board any additional measures deemed necessary in mitigation.
3 The Security and Privacy Officer shall report in writing to the Pirate Assembly anually.
Art 5 Emergencies
1 In case of clear and present danger to security or privacy, the Security and Piracy Officer shall inform the head of the corresponding organ, office or outsourced activity without delay and demand immediate mitigation.
2 Should the organ, office or outsourced activity fail to mitigate the problem in a reasonable time the Security and Privacy Officer shall inform the President and the Director immediately.
Art 6 Sources
1 The Security and Privacy Officer has the right to sit in on meetings, review documents and inspect physical data storage of the organs, offices and outsourced activities.
2 The Security and Privacy Officer is forbidden from disclosing any information received in this capacity except as necessary in the reports.
Art 7 Access
1 The Security and Privacy Officer has read access to all systems and services. Where read access is not feasible, the Security Officer has full access. The Security and Piracy Officer is forbidden from modifying any system or service using his privileges.
2 Any access requested by the Security and Privacy Officer must be granted as soon as possible.
Art 8 Organization
1 The Security and Privacy Officer shall autonomously organize his activities.
2 The Security and Privacy Officer may appoint and dismiss deputies and delegate any power or task except his duty to report.
Vergangene Diskussion
- Oli: Hat jemand das Pflichtenheft nicht gelesen oder gibt es generelle Fragen, Anmerkungen, etc?
- Simon: Art. 1.1 würde ich eher so sehen: «The Security and Privacy Officer is part of the workgroup Digital Infrasture.» Ich finde der SPO sollte Teil der AG DI sein, damit er eben nicht von aussen in die AG DI eingreift sondern aus dieser heraus.
- Stefan: War meines Wissens nicht der Wunsch des Vorstandes.
- Oli: Genau aus dem Gund, dass es eben Reibereien gibt, sollte der SPO genau NICHT Teil der DI sein. Auch unter anbetracht dessen, dass er keine Rechte hat auf den Systemen.
- Jonas: Ich glaube für diese Aufgabe braucht man doch zugriff auf die Systeme, oder?
- Oli: Nein, normalerweise nicht, die Datenschutzbeauftragte sind normalerweise nicht Teil des teschnischen Teams. Sie beraten lediglich sind aber nicht berechtigt auf das System zu zu greifen.
- Lukas: Ich denke auch dass ein SPO mehr beratende und nicht eingreiffende Tätigkeiten mahcen sollte.
- Simon: Sobald jemand zugriff bekommen sollte, kann das recht mühsam sein, nur lesend auf Logfiles etc. zugriff zu geben. Wir könnten einfach einen zentralsn syslog server einrichten.
Lukas: Das ist doch aber eher ein Sicherheitsverantworktlicher und kein Datenschutzverantworlicher der sieht ob und von wo z.B. ein Hackingversuch stattfindet.- Oli: Das eine ist eher organisatorisch, das andere eher technisch umsetzend.
- Stefan: Nun sind es schon drei Jobs, Techisch umsetzend, Aufsichtsmässig und organisatorisch. Hier geht es eher um die Aufsicht, nicht um die anderen beiden.
- Oli: Lasst uns mal zwei Fälle diskutieren: 1. Jemand der technisch versiert ist und sich bemüht; 2. Jemand der sich nicht so darum bemüht und nicht so sehr kooperativ ist. Es geht hier nun um Art. 7, also die Rechte. Bei Person 1 gäbe es hier keine Probleme, bei Person 2, der Unkooperativen, sehe ich schon eher Probleme. Deswegen sollte der SPO eher keinen Zugriff habe da Person zwei die Arbeit der DI verunmöglichen könnte.
- Simon: Wenn ein SPO als Aufsicht gewünscht ist, hat er keinen Zugriff auf unsere Systeme und erhält nur Leserechte auf Logs und die Konfigurationsdateien.
- Jonas: Oder man teilt es auf in einen Security Officer und einen Privacy Officer der nur von aussen schaut.
- Simon, Oli: Finden den Vorschlag gut!
- Lukas: SO Sollte eigentlich nicht notwendig sein da dass die Personen in der DI machen sollten.
- Simon: Ich wäre aber froh wenn jemand doch noch mal über die Schulter schaut etc. und Tips gibt.
- Jonas: Warum veröffentlichen wir nicht einfach unsere Konfigurationen damit sich diese alle anschauen können? Ohne sensible Daten sondern mit dummy daten.
- Oli: Dann müssen wir das irgendwie automatisieren, denn zwei configs pflegt niemand. Meistens sind es ja auch Folgen von verschiedenen Configs und Rehcten, etc. Im ersten fand ich die Idee gut, aber bei genauerem überdenken müsste man eher das System veröffentlichen damit man alle Zusammenhänge sieht.
- Oli: Wir wären durchaus dafür die Rollen zu trennen und vorerst aus dem SPO nur einen Privacy Officer zu machen. Das bedingt, dass Artikel 7 gestrichen werden sollte, der Rest passt so wie es aktuell ist. Das bedingt, dass alle AGs und deren Mitglieder aktiv mit dieser Person zusammenarbeiten müssen zwecks Auskunft etc.
- Stefan: Ich sage noch ncihts dazu, weil es aktuell etwas ganz anderes ist als ursprünglich gedacht.
- Oli: Wir können das ja mal als Vorversions-Vorschlag / Zwischenergebniss so stehen lassen und das nächste Woche nochmals besprechen.
Alle einverstanden dass das so nächste Woche nochmals besprochen wird.
Abstimmung:
Ja: Einstimmig
Nein: -
Enthaltung: -
Tuor: Ich bin das Thema auch langsam leid, wir diskutieren jetzt doch schon sehr lange darüber.
Oli: Ich bin leider zu nichts gekommen.
LuckyLuke: Ich muss mich dir da leider anschliessen.
5429 Einrichtung Mailingliste "active@vs.piratenpartei.ch" LukyLuke k_in_progress
5317 MailMan setup LukyLuke k_in_progress
5278 Request for VMs oschad k_todo
5195 Mailingliste für Mitglieder / Sympathisanten in Zürich und Winterthur LukyLuke k_in_progress
Nächste Sitzung: 25. August 19:00
*Ende: 20:26 Uhr