Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
ILBK451, 2016/2017. I. félév, ea: Kovács Zita
Az Informatikai biztonság alapjai Magyar törvények és PKI ILBK451, 2016/2017. I. félév, ea: Kovács Zita
2
Bevezetés a kézzel és géppel írott, illetve nyomtatott dokumentumok kezelése és hitelességének biztosítása régen bekerült a törvénnyel szabályozandó témák közé életünk során nagyon sok, fontos dokumentum készül rólunk (anyakönyvi kivonat, bizonyítványok, stb) jogi személyek esetén is, pl alapító okirat, szerződések az informatika és a szórakoztató elektronika fejlődése következtében elterjedt az adatok tömeges elektronikus rögzítése ezáltal a dokumentumok fizikai megjelenése alapvetően megváltozott
3
Bevezetés sokkal egyszerűbbé és olcsóbbá vált például a hangfelvételek, szoftverek tömeggyártása ezeket azonban ezáltal könnyű másolni is a szerzői jog klasszikus szabályozási mechanizmusait alaposan át kellett dolgozni a polgárok felismerték, hogy az állami szervezetek és magánvállalkozások egyre több adatot gyűjtenek róluk követhetetlen volt az adatok sorsa, a kialakuló nagy adatbázisok lehetővé tették, hogy bármelyik állampolgár kapcsolatrendszerét, egészségi állapotát, szokásait és anyagi helyzetét feltérképezzék Erősödött az igény, hogy a személyes adatok gyűjtését és felhasználását törvény szabályozza.
4
Büntetőjogi rendelkezések
A legfontosabb informatikával kapcsolatos büntetőjogi rendelkezéseket három csoportba sorolhatjuk: Bűncselekmények, melyek eszköze az informatika Bűncselekmények, melyek tárgya az informatika Btk. 300/C. ”Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.”
5
Büntetőjogi rendelkezések
jogosulatlan hozzáférés, számítógépes rendszerek adatainak jogosulatlan bevitelével, módosításával, törlésével kapcsolatos eljárást is tartalmazza az előző paragrafus Btk. 300/E. a rendszerbe való belépéshez szükséges jelszavak, kódok előállításával, megszerzésével és kereskedésével kapcsolatos bűncselekményeket fejti ki Bűncselekmények, melyek a szellemi tulajdon tárgyát képező információ ellen irányulnak
6
Törvények 1. Az adatvédelem és az elektronikus szolgáltatások legmagasabb szintű, jogi szabályozása a törvényekben található. A legfontosabb releváns törvények, kormányrendeletek: 1992. évi LXIII törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságra hozataláról. 1995. évi LXV. tv. az államtitokról és a szolgálati titokról. 1995. évi CXXV. tv. a Nemzetbiztonsági szolgálatokról 1996. évi LVII. tv. a tisztességtelen piaci magatartás és versenykorlátozás tilalmáról (üzleti titok védelme). 1996. évi CXII. tv. a hitelintézetekről és pénzügyi vállalkozásokról (banktitok, az értékpapírtitok stb.védelme)
7
Törvények 2. 1997. évi CXLV. tv és az ezt módosító évi LXXXI. tv az elektronikus cégeljárásról és a cégiratok elektronikus úton történő megismeréséről 1998. évi LXXXV. tv. A Nemzeti Biztonsági Felügyeletekről 2001. évi XXXV. tv. az elektronikus aláírás (digitális aláírás, Hitelesítési Hatóság CA) jogi szabályozása 2001. évi CVIII. tv. az elektronikus szolgáltatásokról 2/2002.(IV. 26.) MeHVM irányelv a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről
8
Törvények 2. 78/2010. sz. Kormányrendelet az elektronikus aláírás közigazgatási használatához kapcsolódó követelményekről és az elektronikus kapcsolattartás egyes szabályairól 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
9
Az adatvédelmi törvény
1992. évi LXIII tv. a személyes adatok védelméről és közérdekű adatok nyilvánosságra hozataláról fontos és elterjedt (van köznyelvi elnevezése) A törvény célja annak biztosítása, hogy - néhány kivételtől eltekintve – személyes adataival mindenki maga rendelkezzen és a közérdekű adatokat mindenki megismerhesse. Hatálya csak a természetes személyek adataira terjed ki. Informatikai biztonság szempontjából a személyes adatok védelméről szóló passzusok érdekesek, ezekkel foglalkozunk
10
Az adatvédelmi törvény
A törvény definiálja a: személyes adat különleges adat bűnügyi személyes adat közérdekű adat közérdekből nyilvános adat fogalmát.
11
Az adatvédelmi törvény
A különleges adatokat tételesen is felsorolja: faji eredetre nemzeti és etnikai kisebbséghez tartozásra politikai véleményre vagy pártállásra vallásos vagy más világnézeti meggyőződésre érdekképviseleti tagságra egészségi állapotra kóros szenvedélyre szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat.
12
Az adatvédelmi törvény
A többi esetben csak körülírja a megfelelő fogalmat. A jövedelem és a tulajdon általában személyes adat (közszereplőknél ez nem az). Adatkezelésnek számít az adatokon végrehajtott mindenféle művelet, beleértve azok védelmét is. Személyes vagy különleges adat csak akkor kezelhető, ha ahhoz az érintett hozzájárul (vagy tv., illetve önk. rendelet írja elő). csak meghatározott célból és csak az elengedhetetlenül szükséges mértékben végezhető meg kell határozni az időtartamát is (ez lehet határozott vagy cél megvalósulásától függő)
13
Az adatvédelmi törvény
célját és a rögzített adatok körét közölni kell az érintettel tájékoztatni kell arról, hogy melyik kötelező és melyik önkéntesen megadható adat ha nem adja meg a kötelezően megadandó adatokat, akkor közte és az adatkezelő közötti kapcsolat meghiúsul Az adattovábbítás része az adatkezelésnek, vonatkoznak rá az általános rendelkezések. külföldre továbbítás is előfordulhat (pl ott dolgozunk, stb) (EGT /EU, Izland, Liechtenstein, Norvégia/ országaira az a megítélés vonatkozik, mintha hazánk területén lennénk)
14
Az adatvédelmi törvény
EGT-n kívüli országokba adat csak akkor továbbítható, ha ahhoz az érintett hozzájárul vagy ott biztosított az átadott adatok megfelelő szintű védelme Az állampolgár bármikor tájékoztatást kérhet a személyes adatai kezeléséről. (pontosság, helyesbítés) Tájékoztatást kell kapnia arról, hogy hová és milyen céllal továbbították az adatait. Ha az adatkezelést nem tv. vagy önkormányzati rendelet írja elő, akkor kérheti adatai törlését is. (a következményeit is viselnie kell)
15
Az adatvédelmi törvény
Az adatkezelés határideje elérkezik, vagy a célja megvalósul, akkor az adatokat meg kell semmisíteni. Ez a tv. hozta létre az adatvédelmi biztos intézményét és rendelkezett az adatvédelmi nyilvántartás szabályairól. Az adatvédelmi biztos feladata az adatvédelmi törvény és más adatkezeléssel kapcsolatos jogszabályok megtartásának ellenőrzése figyelemmel kíséri a terület fejlődését és szükség esetén a törvények végrehajtására, esetleg azok módosítására ajánlásokat fogad el
16
Az adatvédelmi törvény
kezeli az adatvédelmi nyilvántartást, amelybe a személyes adatokat kezelő köteles az adatkezelés megkezdése előtt bejelenteni az adatkezelés legfontosabb adatait az adatkezelés megkezdése előtt ellenőrizheti az adatkezelés jogalapjának és biztonságos végrehajtása feltételeinek meglétét Az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetőleg feldolgozó adatkezelőnél és adatfeldolgozónál; a pénzügyi szervezetnél és a távközlési és közüzemi szolgáltatónál megfelelő végzettséggel rendelkező belső adatvédelmi felelőst kell kinevezni, megbízni. Ezen felül adatvédelmi és adatbiztonsági szabályzatot kell készíteni.
17
Az 1992-ben korszerű, európai szinten is színvonalas törvény az új technológiák elterjedésével elavulttá vált.
18
Az egyre szaporodó jogellenes adatkezelések világossá tették, hogy a korábbi adatvédelmi biztosi intézmény nem elég hatékony az adatkezelők jogkövető magatartásának kikényszerítésére. Szükségessé vált egy olyan adatvédelmi hatóság felállítása, amely nagyobb eszköztárat ad, hatékonyabb eszköztárral rendelkezik a jogsértések kivizsgálására és szankcionálására.
19
A közel két évtized tapasztalatait, valamint az európai adatvédelmi tendenciákat is figyelembe véve az Országgyűlés új információs törvényt alkotott: Infotv.
20
Információs alapjogok
Az Alaptörvény VI. cikke mindenki számára biztosítja a személyes adatok védelméhez és a közérdekű adatok megismeréséhez és terjesztéséhez való jogot. Az információs önrendelkezési jog az egyén „azon joga, hogy alapvetően maga döntsön személyes adatainak kiszolgáltatásáról és felhasználásáról.” 15/1991. (IV.13.) AB határozat. Az információs önrendelkezési jog a személyes adatok védelmét biztosítja. Az információszabadság jelentése az, hogy a közérdekű adatok, vagyis az állami, önkormányzati vagy más közfeladatot ellátó szervek birtokában lévő adatok szabadok, hozzáférhetők, nyilvánosak.
21
Információs alapjogok
Az információs önrendelkezés és az információszabadság történetileg is összefügg egymással. Az igazgatás által felhalmozott adattömeget a törvényhozás számára elérhetővé kellett tenni. A közérdekű adatok nyilvánosságához fűződő társadalmi érdek ütközésbe került a személyes adatok védelméhez fűződő joggal. Az adatvédelmi és információszabadság-jog a két információs alapjog. Ezek biztosítják, hogy az egyén az állam és más adatkezelők számára alapvetően átláthatatlan, míg az állam a polgárai számára transzparens legyen.
22
Az adatvédelemre vonatkozó hatályos jogszabály.
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról Infotv. Az adatvédelemre vonatkozó hatályos jogszabály. Hatályon kívül helyezte a korábbi adatvédelmi szabályozást, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló évi LXIII. törvényt (Avtv.).
23
Infotv. célja az adatok kezelésére vonatkozó alapvető szabályok meghatározása annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon
24
Infotv. Változatlan alapok
A személyes adatok kezelésére vonatkozó főbb szabályok változatlano. Az adatkezelésnek továbbra is feltétele egy megfelelő tájékoztatáson alapuló hozzájárulás vagy épp a törvényi felhatalmazás. A célhoz kötöttség elve, az adatok minőségének elve a törvény elejére kerültek. Újdonság, hogy a törvény lehetőséget ad arra, hogy az érintett hozzájárulásával felvett adatot jog érvényesítése vagy kötelezettség teljesítése céljából hozzájárulás nélkül is kezelheti az adatkezelő. Részletesebben foglalkozik a törvény adatbiztonsági kérdésekkel. Több rendelkezést a gyakorlati tapasztalatok alapján pontosít.
25
Infotv. Változások az információszabadság területén
A főbb adatigénylési szabályok változatlanok, de az adatkezelők igényei miatt lehetőséget ad arra, hogy a korábbi 15 napos határidő egy alkalommal 15 nappal meg legyen hosszabbítva, ha az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik. A közérdekű adatok közzétételét elrendelő, az elektronikus információszabadságról szóló évi XC. törvény egyes rendelkezéseit az új adatvédelmi törvény fogja tartalmazni, így az új adatvédelmi törvény mellékletében lesz megtalálható az általános közzétételi lista, amelyben foglalt adatokat külön kérés nélkül is közzé kell tenniük az állami, önkormányzati vagy más közfeladatot ellátó szerveknek.
26
Infotv. Változás a jogérvényesítésben
Meghagyja a törvény a bíróság jogosítványait. Feláll a Nemzeti Adatvédelmi és Információ-szabadság Hatóság. Egyben megszűnik az adatvédelmi biztosi intézmény. A hatóság elnökét a köztársasági elnök nevezi ki 9 évre, a miniszterelnök javaslatára. Fontos újítás, hogy a hatóság két hónapos határidőt kap az intézkedések megtételére illetve az adatvédelmi hatósági eljárás megindítására. Az új hatóság új jogosítványa lesz, hogy tízmillió forintig terjedő bírságot szabhat ki.
27
Infotv. Megújuló adatvédelmi nyilvántartás
Az adatvédelmi nyilvántartás megmarad, de a törvény előírja, hogy “az adatkezelés a nyilvántartásba vételt megelőzően nem kezdhető meg”. A bejelentés díjköteles lesz. A hatóság is végez adatvédelmi auditálást.
28
Az adatbiztonság követelménye az új törvényben
Nem részletezi, hogy pl. milyen szekrényben kell a papír alapú adathordozókat rögzíteni, vagy épp mennyi idő elteltével legyen kötelező jelszót cserélni. Ez nem is feladata egy technológia-semleges törvénynek, de ami egy törvénynek a feladata, megállapítja a felelősséget.
29
Az adatbiztonság követelménye az új törvényben
Egy technológia-semleges jogszabályban nincs mód arra, hogy az adatok védelmét szolgáló technikai és szervezési intézkedéseket részletesen meghatározza. A törvény lehetőséget biztosít az adatkezelő részére, hogy maga válassza meg az adatok biztonságát garantáló eszközöket és módszereket, ugyanakkor komoly anyagi és akár büntetőjogi szankciókkal is járhat az adatbiztonság követelményeinek be nem tartása.
30
Az adatbiztonság követelménye az új törvényben Mit kell védeni és hogyan?
Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az adatokhoz való jogosultatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, a hozzáférhetetlenné válás vagy más események megelőzhetők legyenek. Megfelelő technikai védelemmel kell biztosítani, hogy eltérő célú elektronikus nyilvántartások ne legyenek közvetlenül összekapcsolhatók és az érintetthez rendelhetők.
31
Az adatbiztonság követelménye az új törvényben Privacy by design
Az adatok technikai biztonságával bővebb terjedelemben foglalkozik az új adatvédelmi törvény elődjénél,az automatizált adatfeldolgozásra vonatkozó többletkövetelményekkel, a „privacy by design” elvnek megfelelően. Biztosítani kell például a jogosulatlan személyek általi adatbevitel és felhasználás megakadályozását, üzemzavar esetén a rendszer helyreállíthatóságát. Naplózni kell azt, hogy kik, mikor, milyen adatokat vittek be a nyilvántartásba, kiknek továbbították az adatokat, vagy milyen hibák fordultak elő.
32
Adattovábbítás Az új adatvédelmi törvény nem rendelkezik külön az adattovábbítás szabályairól, sem az adatkezelések összekapcsolásáról, így az adatkezelés alapvető feltételeinél leírtak alkalmazandók. A külföldi, azaz az EGT-n kívüli adattovábbítás azonban továbbra is szigorúbb feltételekhez kötött, valamint a törvény bevezeti az adatmegjelölés intézményét.
33
Adattovábbítás külföldre
Könnyebb külföldre adatot továbbítani. Mely országok tekintendők külföldinek? A törvény szerint az EGT-államok irányába történő adattovábbítást úgy kell tekintetni, mintha Magyarország területén belül történne az adattovábbítás, tehát a külföldi adattovábbításra vonatkozó rendelkezéseket ez esetben nem kell alkalmazni. EGT-államnak minősül az adatvédelmi törvény szempontjából az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.
34
Adattovábbítás külföldre
Külföldre személyes adat akkor továbbítható, ha ahhoz az érintett kifejezetten hozzájárult (ez változatlan) vagy az adattovábbítás jogalapja egyébként biztosított (pl. hozzájárulás vagy törvényi felhatalmazás által), és a harmadik országban, a célországban megfelelő az adatok védelme. Megfelelő szintű a védelem, ha azt az Európai Unió megállapítja, vagy nemzetközi szerződés van e tekintetben a célországgal hatályban.
35
Kinek kell alkalmazni az adatvédelmi törvényt?
Minden cégnek. ek-kell-alkalmazni-az-uj-adatvedelmi-torvenyt-mi- a-szemelyes-adat-ki-az-adatkezelo/
36
Adatvédelmi nyilvántartás
Korábban: Az Avtv. bejelentési kötelezettséggel terhelte az adatkezelőket. Kb. egy év átfutással, ingyenes eljárásában vette nyilvántartásba az adatkezelők egyes adatkezeléseit az adatvédelmi biztos. Azonban a bejelentés elmulasztása semmilyen következménnyel nem járt, így erről az adatkezelők rendszerint megfeledkeztek.
37
Adatvédelmi nyilvántartás
Az elfogadott törvény nagyobb rangot ad az adatvédelmi nyilvántartásnak. Mindaddig nem kezdhető meg az adatkezelés, ameddig a hatóság nyilvántartásba nem veszi. A nyilvántartásba vételért díjat kell fizetni, cserében a Hatóság a beérkezéstől számított 8 napon belül nyilvántartásba veszi az adatkezelést. Ha nem bírálná el időben, az adatkezelő az adatkezelést megkezdheti. 40 nap a nyilvántartásba vételi határidő, ha a törvényben felsorolt, nagy állományokat kezelő adatkezelő (pl. pénzügyi, hírközlési, közüzemi szolgáltató) korábban nyilvántartásba vett adatkezelésével nem érintett adatállományra vonatkozik a bejelentés, illetve ha a korábban bejelentett adatkezeléseknél nem alkalmazott, új adatfeldolgozási technológiát alkalmaz.
38
Adatvédelmi nyilvántartás
A hatóság a nyilvántartásba vételről határozatot hoz, mely tartalmazza a kapott adatkezelési nyilvántartási számot. A nyilvántartásba vétel természetesen továbbra sem tanúsítja az adatkezelés jogszerűségét. Minden, eltérő célú adatkezelést önállóan be kell jelenteni, még akkor is, ha a kezelt adatok köre azonos. Az adatvédelmi nyilvántartás továbbra is nyilvános, a hatóság honlapján érhető el. Az adatvédelmi nyilvántartást 2012-től a Nemzeti Adatvédelmi és Információszabadság Hatóság vezeti. A nyilvántartás hatósági nyilvántartásnak minősül. az Infotv. rögzíti, hogy mely esetekben nem kell bejelenteni az adatkezelést is.
39
Az elektronikus aláírásról szóló törvény
2001. május 29-én fogadták el fontos a dokumentumok hitelesítése „Az Országgyűlés – felismerve és követve az egyetemes fejlődésnek az információs társadalom felé mutató irányát, az új évezred egyik legfontosabb kihívásának eleget téve – törvényt alkot az elektronikus aláírásról annak érdekében, hogy megteremtse a hiteles elektronikus nyilatkozattétel, illetőleg adattovábbítás jogszabályi feltételeit az üzleti életben, a közigazgatásban és az információs társadalom által érintett más életviszonyokban.”
40
Törvényi szabályozás Elektronikus aláírás: elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat, illetőleg dokumentum
41
Törvényi szabályozás Fokozott biztonságú aláírás:
elektronikus aláírás, amely megfelel a következő követelményeknek: Alkalmas az aláíró azonosítására, és egyedülállóan hozzá köthető, Olyan eszközzel hozták létre, mely kizárólag az aláíró befolyása alatt áll, A dokumentum tartalmához olyan módon kapcsolódik, hogy minden - az aláírás elhelyezését követően az iraton, illetve dokumentumon tett - módosítás érzékelhető Megjegyzés: Hitelesítés szolgáltató bocsátotta ki. Az, hogy az aláíró milyen eszközzel hozta létre az aláírást, utólag egyáltalán nem eldönthető.
42
Törvényi szabályozás Minősített aláírás:
"olyan - fokozott biztonságú - elektronikus aláírás, amely biztonságos aláírás-létrehozó eszközzel készült, és amelynek hitelesítése céljából minősített tanúsítványt bocsátottak ki" Megjegyzés: A minősített tanúsítványt a hitelesítés szolgáltató eleve az eszközön levő kulcshoz készítette, és így ezt a tényt magában a tanúsítványban is feltüntette.
43
Törvényi szabályozás A három elektronikus aláírás csak a bizonyító erejükben és az abból következő alkalmazási körükben különbözik. bírósági és közigazgatási hatósági eljárásokban az elektronikusan aláírt dokumentumok ugyanúgy használhatóak és ugyanolyan bizonyító erejűek, mint a hagyományosak (kivéve anyakönyvi kivonat) (fokozott biztonságú – tanúk előtt, minősített – közjegyző hitelesíti)
44
Törvényi szabályozás az elektronikus aláírás nem kötelező (kivéve jogi személyek által elektronikusan benyújtandó adóbevallásánál) jelenleg biztonságos aláírás csak aszimmetrikus titkosító algoritmusokkal készíthető, a törvény ezt nyitva hagyja: aláírás-ellenőrző adatról és aláírás-létrehozó adatról szól
45
Törvényi szabályozás a szükséges kulcspár nyilvános felét a hitelesítés szolgáltatónál kell elhelyezni, a másik felét pedig az aláírónál a hitelesítés szolgáltató igazolja, hogy az aláírás ellenőrző kulcs egy bizonyos jogi vagy természetes személy tulajdona az aláírás minősítése a hitelesítés szolgáltató minősítésétől jelentősen függ a hitelesítés szolgáltató jogot szerezhet további szolgáltatásokra (időbélyegzés, elektronikus archiválás, aláíró kulcspár generálása és a privát kulcs elhelyezése az aláírást létrehozó eszközön)
46
Törvényi szabályozás az EGT valamely tagországában bejegyzett székhelyű hitelesítés szolgáltató által kibocsátott tanúsítvány egyenértékű a hazai kibocsátású tanúsítvánnyal részletesen szabályozza a hitelesítés szolgáltatási tevékenység indításának és működésének feltételeit a szolgáltatás megkezdését be kell jelenteni a felügyelő hatóságnak a bejelentéshez csatolni kell a szolgáltatási szabályzatot, valamint az általános szerződési feltételeket
47
Törvényi szabályozás hiteles okirat másolatával kell bizonyítani a kérelmező és alkalmazottai büntetlen előéletét és szakképzettségét felelősségbiztosítással és megfelelő pénzügyi háttérrel kell rendelkeznie a hitelesítés szolgáltatás tehát szakképesítéshez kötött, bizalmi tevékenység, amelyet csak a megfelelő financiális erőforrással rendelkező szervezet folytathat ezt az állapotot működése során mindvégig fenn kell tartania ha az aláírás nem elég biztonságos, a szolgáltatónak kell fizetnie a károkat
48
Törvényi szabályozás a szolgáltató a szerződés megkötése előtt köteles tájékoztatni az igénybe vevőt a szolgáltatás felhasználási módjáról biztonsági fokáról szerződés feltételeiről minősített tanúsítvány esetén meghatározhatja a felhasználás földrajzi korlátait és az egy aláírással vállalható kötelezettség felső határát a hitelesítés szolgáltatás hosszú távú tevékenység
49
Törvényi szabályozás az aláírást dokumentumok egy részére szükség lehet jóval az aláírás után is a digitális aláírás a tanúsítvánnyal együtt érvényes biztosítani kell a tanúsítvány archiválását legalább 10 évig a lejárta után, illetve a felmerült jogvita lezárásáig
50
Törvényi szabályozás a hitelesítés szolgáltató a törvény erejénél fogva jogosult a szolgáltatást igénybe vevő releváns adatait kezelni ellenőriznie kell az ügyfél személyazonosságát és az azonosítókat nyilván kell tartania más célra nem használhatja fel, harmadik félnek nem adhatja tovább (az ügyfél beleegyezése nélkül), kivéve bűncselekmény esetén
51
Törvényi szabályozás a hitelesítés szolgáltató életciklusa: megalapítástól megszűnésig a megszűnésről legalább 60 nappal előtte tájékoztatni kell a vele szerződésben állókat, illetve a felügyelő hatóságot a bejelentés után már nem adhat ki új tanúsítványt a megszűnés előtt 20 nappal vissza kell vonnia az összes érvényes tanúsítványt a nyilvántartásait és az archivált tanúsítványokat át kell adnia egy vele azonos besorolású hitelesítés szolgáltatónak (amiről értesíteni kell a felügyelő hatóságot) a törvényben szabályozzák, hogy mi a teendő akkor, ha ennek nem tesz eleget, oly módon, hogy az ügyfeleknek a lehető legkevesebb kára keletkezzen
52
Törvényi szabályozás a hitelesítés szolgáltató elhelyezheti az aláírás létrehozó eszközön az aláírást létrehozó adatot ekkor gondoskodnia kell az aláírást létrehozó kulcs titkosságáról és az aláírást ellenőrző adat sértetlenségéről a privát kulcsot a szolgáltatás során olyan módon kell kezelnie, hogy ne legyen visszafejthető, utána pedig meg kell semmisítenie (nem marad meg a szolgáltatónál az aláíró kulcs) ha az ügyfél kulcsa elvész vagy megsemmisül, új kulcspárt kell kérnie
53
Nyilvános Kulcs Infrastruktúra Public Key Infrastructure (PKI)
Nyilvános Kulcs Infrastruktúra azon hardver, szoftver, emberi erőforrások, szabályzatok, eljárások összessége, melyek szükségesek tanúsítványok létrehozására, kezelésére, terjesztésére, használatára, tárolására és visszavonására.
54
PKI Tanúsítványtár Hitelesítő hivatal Regisztráló szervezet
From Wikipedia, the free encyclopedia
55
A PKI szolgáltatók felépítése
Hitelesítő hivatal – CA (certification authority) feladatai: Tanúsítványkérések fogadása. Kulcspárok generálása a különböző implementációk esetén. A nyilvános kulcsú tanúsítványok kiállítása. A kiadott tanúsítványok közzététele a nyilvános tanúsítványtárban. Korábban kiadott tanúsítványok és szükség esetén kulcspárok megújítása. Tanúsítványok visszavonása. A visszavont tanúsítványok listájának közzététele (publikálása) a tanúsítványtárban.
56
CA jellemzői A CA védelme (fizikai, logikai) alapvető fontosságú.
Egy CA kiadhat tanúsítványt felhasználók vagy más tanúsítványkiadók részére (akár mindkettő). Felhasználó tanúsítványok esetén szavatolja, hogy a tanúsítványban szereplő publikus kulcshoz tartozó privát kulcs a tanúsítványban szereplő entitás birtokában van. Egyéb információk (pl elérhetőség, eljárásrend, felhasználhatósággal kapcsolatos infók) feltüntetésével, azok helyességét is szavatolja.
57
CA jellemzői Ha a tanúsítványt egy másik CA részére állította ki, akkor aláírásával szavatol minden, az adott CA által kiállított tanúsítványért. A CA minden tanúsítványban elhelyezi saját nevét és aláírja azt, ezáltal, ha a CA megbízható, akkor a tanúsítvány is. A CA titkos kulcsa az alapja az összes általa aláírt tanúsítványba vetett bizalomnak, ezért a CA legfontosabb feladata a saját titkos kulcsának védelme.
58
A PKI szolgáltatók felépítése
Regisztrációs hivatal (RA – registration authority) feladata: Az ügyfelek megbízható azonosítása. A tanúsítványkérés összeállítása és továbbítása. Tanúsítvány visszavonási kérések fogadása.
59
A PKI szolgáltatók felépítése
Tanúsítványtár Speciális adatbázis, amely tartalmazza a CA által kibocsátott tanúsítványokat, a visszavont tanúsítványok listáját, egyéb, a tanúsítványra vonatkozó adatokat. Feladata: bármely tanúsítvány állapotáról valós időben információt szolgáltasson. Szolgáltatásai: Biztosítja az ügyfeleket egy adott tanúsítvány hitelességéről. Biztosítja az ügyfeleket egy adott tanúsítvány érvényességéről.
60
A tanúsítványok életciklusa
A tanúsítvány kiadása. A tanúsítvány használata. A tanúsítvány visszavonása.
61
A tanúsítványok kiadásának lépései
az ügyfél kulcspárt generál a privát kulcsot biztonságba helyezi a nyilvános kulccsal az RA-nál, a személyazonosságának bizonyítása után elkészítteti a megfelelő tanúsítványtípushoz tartozó kérvényt ezt a lépést gyakran szolgáltató RA végzi el fokozott biztonságú tanúsítványok esetében a kulcspár generálása teljes egészében a biztonságos eszközön történik
62
A tanúsítványok kiadásának lépései
az RA elvégzi a személyazonosság ellenőrzésére az igényelt tanúsítványhoz tartozó biztonsági szint eljárásrendjében szereplő lépéseket magánszemély esetén ez általában arcképes igazolvány, esetleg személyes kérdés megválaszolása intézmények esetén többnyire cégbejegyzés, aláírási címpéldány, illetve egyéb hivatalos dokumentumok ezt a lépést dokumentálni kell
63
A tanúsítványok kiadásának lépései
sikeres azonosítás esetén az RA az ügyfél nyilvános kulcsából, valamint a tanúsítvány kiadásához szükséges egyéb adatokból szabványos elektronikus tanúsítványkérő dokumentumot állít elő, digitális aláírásával igazolja, majd továbbküldi a CA-nak
64
A tanúsítványok kiadásának lépései
A CA ellenőrzi a beérkező tanúsítványkérés digitális aláírását. 5. lépés: A CA elkészíti a kért tanúsítványt és közzéteszi a nyilvános tanúsítványtárban.
65
A tanúsítvány használata
A tanúsítványok szerepe: egy adott személy, szervezet vagy szerver és egy publikus kulcs közötti kapcsolat igazolása. Az alkalmazás működése közben olyan pontra ér, ahol valamelyik fél publikus kulcsára van szükség. (pl digitális aláírás, aszimmetrikus titkosítás, azonosítás) Az alkalmazás ekkor valamely szabvány segítségével elkéri a szolgáltató tanúsítványtárából a tanúsítványt. Ellenőrzi a rajta lévő aláírást. Ha az nem hiteles, vagy a tanúsítvány érvénytelen, akkor az alkalmazás megakad, biztonsági intézkedés következik.
66
A tanúsítvány használata
Amennyiben a tanúsítvány hiteles és érvényes, az alkalmazás eldönti, hogy a kiállító hitelesítő szervezet megbízható-e vagy sem. A legtöbb PKI-t használó szoftver rendelkezik egy beépített listával a megbízhatónak megítélt hitelesítő szervezetekről. Ha a szolgáltató nincs benne ebben a listában, akkor az alkalmazás a hitelességszolgáltató aláíró tanúsítványának kiállítójához fordul. Az alkalmazás mindaddig ismétli a 2. és a 3. lépéseket, amíg megbízható hitelességszolgáltatóhoz nem jut, vagy pedig óvintézkedésekre nem kerül sor.
67
A tanúsítvány visszavonása
mindenképpen visszavonásra kerülnek érvényességi idejük lejártakor előtte a felhasználó is kezdeményezheti például kompromittálódott, elveszett, megsérült a tanúsítványhoz tartozó privát kulcs
68
A tanúsítvány visszavonásának lépései
az ügyfél felismeri, hogy a privát kulcs sérült, esetleg kompromittálódott, elveszett értesíti az RA-t az RA ellenőrzi az ügyfél személyazonosságát, majd a tanúsítvány visszavonását kéri a CA-nál a CA visszavonja a tanúsítványt, a művelet eredményét közzéteszi a tanúsítványtárban
69
A tanúsítvány visszavonása
Ha az érvényességi idő járt le és a CA úgy dönt, hogy a kulcs további használata biztonságos, akkor meghosszabbíthatja az érvényességi időt. Ellenkező esetben a CA kezdeményezi a tanúsítvány visszavonását és a felhasználó új kulcspár generálását követően új tanúsítványért folyamodik.
70
A tanúsítvány visszavonásának lépései a CA kezdeményezésére
CA észreveszi, hogy az egyik kulcspárnak hamarosan lejár az érvényessége és jelzi az RA-nak az RA értesíti az ügyfelet és felajánlja egy új kulcs elkészítésének lehetőségét vagy a kulcspár megújítását a CA elkészíti az új kulcspárt, a régieket pedig visszavonja. Megújítás esetén bejegyzi a kulcsok mellé az új lejárati időket. a CA értesíti az RA-t a művelet sikeres végrehajtásáról, és szükség esetén elküldi neki az új kulcsot az RA továbbküldi az értesítőt, vagy szükség esetén az új titkos kulcsot az ügyfélnek
71
A tanúsítvány felépítése - szabványosítva
Verzió Sorozatszám Aláírási algoritmus Aláírás-kivonatoló algoritmus Kiállító Érvényesség kezdete Érvényesség vége Tulajdonos Nyilvános kulcs Ujjlenyomat-algoritmus Ujjlenyomat
72
Hierarchia alapú hitelesítés Kereszthitelesítés
73
Tanúsítványok visszavonása
Visszavonási lista (Certificate Revocation List): A hitelesítés szolgáltató által kiadott tanúsítványok közül az - adott időpontban - visszavont tanúsítványokat tartalmazó, aláírt lista. A szolgáltató előre meghatározott időközönként hozza nyilvánosságra . A szolgáltató eseményvezérelten bocsát ki, azaz minden esetben, amikor változik egy általa kibocsátott tanúsítvány állapota új listát bocsát ki.
74
Források adatbiztonsag-kovetelmenye-az-uj-adatvedelmi- torvenyben/ 2.TV helyen-modosult-szoveggel-lepett-hatalyba-az-uj- adatvedelmi-torveny/ itas_kulfoldre/ adatvedelmi-torveny-adatvedelmi-nyilvantartas- lajstromszam/
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.