Sikolya Zsolt IKF kormányzati nap Budapest, május 19. Egységes azonosítás, hitelesítés és elektronikus aláírás az elektronikus ügyintézésben
Tartalom Előzmények 2 projekt a felkészüléshez: MEKIK, IAS Kihívások a végrehajtási rendeletek elkészítése során
Előzmények Az Országgyűlés elfogadta a Ket.-et ügyfélközpontúság, a közigazgatásban már meglévő adatok beszerzése a hivatal feladata, alapértelmezés az elektronikus út is Ket. felhatalmazásai vhr.-ekre: − e-ügyintézés részletes szabályai − biztonság, együttműködési képesség, egységes használat − dokumentumok részletes technikai szabályai Eat. felhatalmazásai: − közigazgatáson belüli szabályozás − elektronikus archiválás, konverzió Együttműködés (interop.), egységes használat: 2 projekt 2004-ben – MEKIK: e-közig. interop. hazai kezelése, módszertan, szolgáltatások, adatsémák, pilot (IDOM, Microsec, IBM, KOPINT-DATORG) – IAS: azonosítás, hitelesítés, e-aláírás, bizalmasság, e-kártya, mobil (IBM, E-Group, Hunguard, BME, PTE)
IAS: célok, szempontok Célok Az elektronikus közigazgatási szolgáltatások során a biztonság, bizalom egységes, de a kockázatokhoz igazodó megteremtése Az ügyfelek kényelme (azonos eszközöket vehessenek igénybe) A közigazgatási információs rendszerek együttműködési képessége Együttműködési képesség külső szereplőkkel (bankok) Szempontok Adatvédelmi követelményeknek való megfelelés Kockázati osztályonként készüljenek egységes specifikációk az ügyfél- regisztrációra, azonosításra, hitelesítésre, sértetlenség, letagadhatatlanság, bizalmasság biztosítására, (multiapplikációs) intelligenskártya-rendszerekre, mobil eszközökre
Biztonsági keretrendszer 2 követelménycsoport − funkcionális − garanciális Funkciók − regisztráció − hitelesítés − sértetlenség − bizalmasság − letagadhatatlanság Kommunikációs partnerek − ügyfél – közigazgatási szerver − köztisztviselő – köztisztviselő Általában 4 biztonsági szint (Ø, alacsony, közepes, magas) (Hitelesítő,) aláíró eszközök: (jelszó,) puha token, kemény token, BALE Tanúsítványprofilok (17-féle) elhelyezése
A hitelesítés, e-aláírás, titkosítás műszaki specifikációi hitelesítés-szolgáltatókra vonatkozó követelmények (6 típus – köztük időbélyegzés, technikai követelmények, hitelesítési rend stb.) 17-féle tanúsítványprofil specifikációja − magánszemély, szervezeti személy, köztisztviselő − aláírás, azonosítás, titkosítás − puha token, kemény token, BALE kulcsvisszaállítás aláírás-létrehozó eszközökre és alkalmazásokra vonatkozó követelmények védelmi profilok nyilvános kulcsú szolgáltatásokat biztosító alkalmazásokra aláírás-ellenőrző alkalmazásokra vonatkozó követelmények aláírási szabályzatokra vonatkozó követelmények biztonságos kriptográfiai algoritmusok XML formátumok e-aláíráshoz és titkosításhoz S/MIME alapú levelezés, SSL/TLS alapú kommunikáció, jelszókezelés
E-kártya specifikációk, eID applet a HUNEID specifikáció által támogatott szolgáltatások − elektronikus aláírás − felhasználóazonosítás − rejtjelezett üzenet visszafejtése (opcionális) − adatok biztonságos tárolása (opcionális) nemzetközi specifikációk elemzése (CEN, DIN, FINEID, BeIPIC stb.) fájlszerkezet és alacsony szintű (ISO 7816 és PKCS#15 alapú) interfész – az interoperabilitás alapvető feltétele magas szintű (PKCS#11 és NIST GSC-IS) interfész adatok tárolása és védelme multiapplikációs kártyák és alkalmazásaik menedzselése JAVA eID applet tetszőleges Java kártyához – teljes dokumentációval
Folytatás Projektek anyagai az ITKTB ELKA honlapján ( Szakmai viták: ELKA, MELASz, NJSzT IKF, Bankszövetség stb. MEKIK szervezet felállítása, portál elindítása (jelenleg az ITKTB honlapján készül) Specifikációk véglegesítése, bővítése a Ket. vhr-ek szerint Részvétel az interoperabilitással foglalkozó EU-s kezdeményezésekben (DG Inf. Soc., MODINIS, IDABC, EPAN)
Kihívások a vhr.-ek kidolgozása során Koncepcionális –műszaki szemlélet –jogalkotási korlátok Egységesítés –dokumentumformátumok –eljárásrendek, kapcsolat az ügyféllel, kapcsolat a közigazgatáson belül –tanúsítvány-formátumok, aláírás-formátumok –közigazgatási gyökér hitelesítés-szolgáltató –intézményi rendszer megteremtése: Közigazgatási Informatikai Bizottság
Informatikai biztonsági követelmények Ügyfél azonosítása, viszontazonosítás (ügyfélkapu, hitelesítés- szolgáltató) Joghatállyal bíró elektronikus dokumentumok letagadhatatlanságának és sértetlenségének biztosítása – e-aláírás nélküli ügyfél esetén is Az elektronikus aláíráshoz tartozó nyilvántartásokat a szolgáltató megőrzi az ügytípushoz tartózó megőrzési időig (vagy felülhitelesítés) Eljárási cselekmények biztonsági osztályokba sorolása: alacsony, közép és magas szint Rendszer létrehozása: minőségirányítás, dokumentáltság A rendszer biztonságos működtetése: kockázatelemzés, naplózás, hozzáférés ellenőrzés, vírusvédelem, fizikai biztonság, kiszervezés Adatok fizikai védelme: mentés, titkosítás, adatforgalom védelme Adattovábbítás bizalmassága, adatvédelem Archiválás, konverzió
Automatikus közlés A közlést számítógépes rendszer végzi automatikusan az ügyfél adataiból és a tárolt adatokból A szerver PKI útján biztosítja a letagadhatatlanságot Bizonyos esetekben az ügyfél hozzájárulása kell hozzá Közlés elektronikusan vagy papíron
Csoportos aláírás Hasonló a szövegszerkesztők körlevél funkciójához Az aláíró megtekinti és jóváhagyja a törzsdokumentumot és adatok listáját, és engedélyezi az alkalmazásnak a határozat szövegének összeállítását és elektronikus aláírásával való aláírását egy megszakíthatatlan menetben Auditált rendszer Törvényi felhatalmazás vagy ügyfél hozzájárulása Közlés elektronikusan vagy papíron
Elektronikus postafiók Web-es felületen működő tranzakciós rendszerek Elektronikus levelezés útján történő kapcsolattartás (kell postafiók az ügyfél számára is) Postafiók: kormányzati portál vagy a szolgáltató által biztosított Titkosítás Hatóság közzéteszi a nyilvános titkosító kulcsát Az ügyfél közli a hatósággal a nyilvános titkosító kulcsát Kulcsmegőrzés és helyreállítás Hatóság archiválja a kiadmányozott dokumentumokat nyílt és titkosított formában is
Zárt rendszer A rendszer minden eleme biztonsági szempontból auditált Csak jogosultsággal rendelkező azonosított személyek használhatják Interneten csak virtuális privát hálózaton keresztül használható Rendszeren belül az adatokat nem kell külön ellenőrizni A kiemelt adatokat (mentés, adatközlés más rendszerrel) hitelesíteni kell (aláírás, időpecsét)
Köszönöm a figyelmet!