w sprawie projektów rozporządzeń Ministra Cyfryzacji
Transkrypt
w sprawie projektów rozporządzeń Ministra Cyfryzacji
OPINIA Polskiej Izby Informatyki i Telekomunikacji [PIIT] w sprawie projektów rozporządzeń Ministra Cyfryzacji: • Projekt rozporządzenia MINISTRA CYFRYZACJI w sprawie funkcjonowania profilu zaufanego elektronicznej platformy usług administracji publicznej [1] • Projekt rozporządzenia MINISTRA CYFRYZACJI w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej [2] • Projekt rozporządzenia MINISTRA CYFRYZACJI w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników [3]. Polska Izba Informatyki i Telekomunikacji z wielką uwagą śledzi proces wdrażania rozporządzenia rozporządzenie parlamentu europejskiego i rady (UE) NR 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (zwane dalej eIDAS). Jako uczestnik tych prac, Izba pragnie przedstawić opinię na temat wyżej wymienionych rozporządzeń. 1. Izba zwraca uwagę, iż dotychczasowe badania bezpieczeństwa punktów potwierdzających wskazują na braki tych punktów w zakresie zarządzania bezpieczeństwem informacji oraz braki w przeszkoleniu urzędników odpowiedzialnych za potwierdzanie profilu zaufanego. W szczególności należy zauważyć, że bardzo często osoby odpowiedzialne za potwierdzenie profilu zaufanego nie dysponują przeszkoleniem dotyczącym weryfikacji prawdziwości dokumentu tożsamości, a także nie została wdrożona wewnętrzna procedura dokonania takiej weryfikacji. Brak świadomości osób potwierdzających profile zaufane w zakresie weryfikacji tożsamości może skutkować powstawaniem fałszywych profili zaufanych. W związku z powyższym sugerujemy, by w rozporządzeniu w sprawie funkcjonowania profilu zaufanego elektronicznej platformy usług administracji publicznej [1] znalazły się zapisy zobowiązujące punkt potwierdzania profilu zaufanego do przeszkolenia osób potwierdzających tożsamość w zakresie weryfikacji autentyczności dokumentu tożsamości oraz wdrożenia w tym zakresie procedury stanowiskowej. Odpowiednie zapisy w tym zakresie powinny zostać umieszczone w §14 i §15 rozporządzenia, lub odpowiednia zmiana powinna zostać wpisana do §3 i §4 rozporządzenia w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników [3]. 2. Izba nie zgłasza uwag do projektu rozporządzenia w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej [2]. Przedmiotowe rozporządzenie w bardzo przejrzysty sposób wprowadza mechanizm wykorzystania w ePUAP środków identyfikacji elektronicznej, stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego. 3. Projekt rozporządzenia w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do ©PIIT: Opinia do 3 projektów rozp. MC (profil zaufany, ePUAP, uwierzytelnianie) 2016.09.19 (PIIT/1346/16) Strona 1 z 2 uwierzytelniania użytkowników [3] należy rozpatrywać w połączeniu z rozporządzeniem w sprawie funkcjonowania profilu zaufanego elektronicznej platformy usług administracji publicznej [1]. W tym zakresie uwaga wyrażona w punkcie 1 może wymagać uwzględnienia w niniejszym rozporządzeniu. 4. Izba zauważa też mylne używanie pojęć uwierzytelnienie i autoryzacja w [1] oraz [3]. Przykładowo w [1] artykuł § 8. 3 powinien nosić brzmienie “Uwierzytelnienie jest dokonywane przy użyciu:”. 5. Odnośnie [1], w ocenie Izby użytkownik powinien mieć możliwość używania jednocześnie wielu środków identyfikacji elektronicznej stosowanych do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego. Co za tym idzie w ocenie Izby użytkownik nie powinien przypisywać do profilu zaufanego tylko jednej metody uwierzytelnienia § 8. 1.10. Co więcej w ocenie zmiana atrybutów związanych z profilem zaufanym takich jak w § 11. 1.3 nie powinna powodować utraty ważności profile zaufanego. Oznacza to, że użytkownik, który rozpoczął korzystanie z profilu zaufanego przy użyciu środków identyfikacji np. banku A, będzie musiał unieważnić swój profil zaufany, jeżeli będzie chciał skorzystać z środków identyfikacji np. Banku B lub operatora, a co za tym idzie przejść ponowną procedurę weryfikacji. Izba zwraca uwagę, iż w przedmiotowym projekcie odwołano się do systemów certyfikujących, będących zakresem stosowania rozporządzenia eIDAS i nazywanych w tym rozporządzeniu usługami zaufania polegającymi na wydawaniu certyfikatów. Należy wskazać, że eIDAS w Artykule 2 rozdzielił usługi podlegające eIDAS – w otwartych systemach oraz niepodlegające eIDAS w systemach zamkniętych. Opiniowane rozporządzenie [3] wskazując te systemy certyfikujące powinno oprzeć się na definicji usługi zaufania pochodzącej z eIDAS, nakazać tym systemom spełnienie norm w zakresie usług zaufania w szczególności: ETSI EN 319 401 oraz ETSI EN 319 411, natomiast stosowanie urządzeń i systemów spełniających wygasłe już standardy CEN CWA wynika ze stosowania powyższych norm i sugerujemy usunięcie tych zapisów. Izba uważa, że systemy certyfikujące powinny być wpisane przez Ministra Cyfryzacji do rejestru usług zaufania i spełniać wymagania wynikające z Ustawy o usługach zaufania oraz eIDAS. Proponujemy: a. W §2 ust. 1 wpisanie jednoznacznie, że jeżeli system certyfikujący jest realizowany przez podmiot zewnętrzny w stosunku do podmiotu, który dokonuje autoryzacji, system certyfikujący jest usługą zaufania zgodnie z ustawą o usługach zaufania wpisaną do rejestru przez Ministra Cyfryzacji; b. W §2 ust. 4 p. 2 zastąpienie wymaganiem spełnienia warunków organizacyjnych i technicznych określonych w normach ETSI EN 319 401 i ETSI EN 319 411; c. W §2 ust. 4 p. 3 usunięcie wymagania stosowania CWA 14167-2,3,4 jako nieaktualnych i zawartych pośrednio w wymaganiach określonych w ust. 4 punkt 2. Opinię Sporządził Ekspert PIIT: Michał Tabor ©PIIT: Opinia do 3 projektów rozp. MC (profil zaufany, ePUAP, uwierzytelnianie) 2016.09.19 (PIIT/1346/16) Strona 2 z 2