Opinia do dok ESP_2013 12 23 docxx
Transkrypt
Opinia do dok ESP_2013 12 23 docxx
Opinia Polskiej Izby Informatyki i Telekomunikacji [PIIT] dotycząca dokumentu „Standard Elektronicznej Skrzynki Podawczej Wersja 1.0” Streszczenie Przedstawiony dokument prezentuje aktualny stan prawny i techniczny realizacji skrzynki podawczej przez system ePUAP, natomiast nie daje przestrzeni dla zastosowania w tym zakresie zmian normalizacyjnych i prawnych Unii Europejskiej, prezentując rozwiązania opracowane 5 lat temu. Dokument opisując elementy skrzynki ePUAP nie wskazuje jaki zakres stanowią wymagania standaryzacyjne, a co jest najlepszą praktyką, wobec czego dokument nie pozwala na jednoznaczną interpretacje swoich zapisów i stosowanie zgodne ze swoim przeznaczeniem. Uwagi i rekomendacje 1. W dokumencie zaprezentowano stan prawny realizowany przez ustawy: o informatyzacji działalności podmiotów realizujących zadania publiczne oraz kodeks postępowania administracyjnego (wraz z rozporządzeniami wykonawczymi). W tym zakresie definicje i główne założenia odzwierciedlają wymagania prawa. Jednakże należy zauważyć, że główne założenia są w tym zakresie nieuporządkowane, a naprzemienne wymienianie elementów dotyczących przedkładania, doręczania, doręczania przez podmioty publiczne mogą prowadzić do niejednoznaczności w zakresie interpretacji założeń. Zaleceniem w tym zakresie jest uporządkowanie założeń dotyczących zidentyfikowanych procesów administracyjnych. 2. Rozdział drugi prezentuje implementację skrzynki podawczej w systemie ePUAP, która jest logicznie podzielona na Adresy, Bramki i Magazyny, ale podział ten nie może być obowiązkowy dla wszystkich systemów, które realizują skrzynkę na własne potrzeby. Konieczne jest podzielenie tego opisu na elementy wymagane standardem oraz takie które są implementacją techniczną. 3. Standaryzacja skrzynki podawczej powinna przede wszystkim skupić się na elementach obowiązkowych w zakresie zapewnienia interoperacyjności, tymi elementami są: a. Zestawienie rodzajów interfejsów dla skrzynki podawczej b. Sposoby udostępnienia informacji o interfejsie skrzynki podawczej c. Przyjęte oraz referencyjne normy i standardy dla implementacji skrzynki d. Katalog dopuszczonych formatów Urzędowego Potwierdzenia Odbioru e. Wymagania bezpieczeństwa realizacji skrzynki podawczej Opinia PIIT do dokumentu ESP, 2013-12-23 Strona 1 f. 4. 5. 6. 7. 8. 9. Warunki techniczno-organizacyjne dla generacji urzędowego potwierdzenia odbioru w trybie automatycznym jak i ręcznym, w trybie przedkładania i doręczania g. Mechanizmy budowania zaufania wobec urzędowych potwierdzeń odbioru i skrzynki podawczej h. Warunki prawidłowej weryfikacji urzędowego potwierdzenia odbioru i. Możliwe rozszerzenia Dokument nie opisuje standardów dotyczących formatu dokumentu stanowiącego Elektroniczne Potwierdzenie Odbioru, ograniczając się jedynie do prezentowanej zawartości informacyjnej. Zakres tego dokumentu powinien zostać rozszerzony o szczegółowy opis formatów realizacji urzędowego potwierdzenia odbioru, zależnych od przyjętych interfejsów, sposobów generacji oraz warunków prawidłowej weryfikacji. Dokument nie opisuje sposobu zapewnienia integralności UPO wraz z przekazywanym dokumentem, zapewnienie integralności jest wymaganiem prawnym a jego możliwe implementacje powinny odwoływać się do norm. Dokument nie odnosi się w jaki sposób może być realizowane UPO dla zestawów dokumentów, zamiast pojedynczego dokumentu. Mechanizm papierowy pisma przewodniego nie realizuje wymagań integralności obowiązkowych w przetwarzaniu elektronicznym, wobec czego standard powinien to zaadresować. Przepis prawa wskazują, że skrzynka podawcza powinna być identyfikowana przez adres URI, natomiast nie określają że jedynym dopuszczalnym mechanizmem dla skrzynki podawczej jest mechanizm opisany protokołem http lub https. Aktualny rozwój informatyki nie powinien ograniczać się jedynie do standardów opartych o mechanizmy web i umożliwić różne mechanizmy komunikacji. Dotyczy to zarówno możliwości wykorzystania powszechnie stosowanego mechanizmu poczty elektronicznej jak i coraz częściej stosowanych mechanizmów związanych z urządzeniami mobilnymi. Ma to szczególne znaczenie w kontekście faktu iż dla mechanizmów poczty elektronicznej są przyjęte w Europie standardy realizacji usług zapewnienia niezaprzeczalności przesłania i doręczenia. Parlament Europejski pracuje nad rozporządzeniem Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (eIDAS), który w rozdziale 7 określa ramy prawne dla standaryzacji usług doręczeń. Usługa skrzynki podawczej powinna być w tym zakresie niesprzeczna z projektowanymi przepisami i umożliwiać łatwe dostosowanie. Standard powinien zakreślić rekomendacje w zakresie zgodności z wymaganiami projektowanego rozporządzenia. ETSI w ramach realizowanego mandatu Unii Europejskiej (M/460) przeprowadza reformę ram standaryzacyjnych dla usług zaufania, która mam być odpowiedzią na mechanizmy prawne opisane rozporządzeniem eIDAS. W ramach działań ETSI przygotowano grupę standardów realizujących elektroniczne doręczenia (skrzynkę podawczą) – ETSI TS 102 640 Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM). Standaryzacja skrzynki podawczej, która powinna Opinia PIIT do dokumentu ESP, 2013-12-23 Strona 2 funkcjonować w UE nie może pomijać standardów wskazanych dla realizacji skrzynki podawczej. Bardzo ważny jest fakt iż wskazana norma opisuje strukturę elementów potwierdzenia nadania, odbioru wskazując sposób zapisu i standaryzując proces weryfikacji. Realizacja struktury UPO zgodnie z wymaganiami normy zapewni jej międzynarodową rozpoznawalność i możliwość współpracy z innymi systemami realizującymi ww. usług. 10. Stosowanie skrzynki podawczej wymaga zbudowania mechanizmów zaufania do wytwarzanych przez nią dokumentów, a w szczególności do uwierzytelnienia się jej wobec odbiorcy jej usług, zapewnienia wiarygodności podpisów elektronicznych. W tym zakresie należy w standaryzacji przyjąć założenia dotyczące certyfikatów SSL stosowanych do uwierzytelnienia skrzynki wobec odbiorców, w tym podjęcie decyzji w oparciu o jakie mechanizmy będzie budowane zaufanie. Drugim elementem jest zapewnienie zaufania do certyfikatów służących do weryfikacji podpisów HSM (pieczęci elektronicznych) składanych w poświadczeniach przedłożenia. Rekomendacją standardu ETSI TS 102 640 jest zastosowanie struktury list zaufania TSL. W tym zakresie należy podjąć decyzję, czy Minister ds. informatyzacji nie powinien publikować listy TSL dla skrzynek podawczych. 11. Aktualne standardy podpisu dają możliwość wydawania poświadczeń dla dokumentów, które pozostają na serwerach zdalnych w stosunku do wydającego poświadczenie. Przykładem może być przekazanie dokumentu do urzędu gminy, która z wykorzystaniem systemu wojewódzkiego lub ePUAP wystawia UPO, jednakże w tym procesie dokument elektroniczny dla którego zostało wystawione potwierdzenie przedłożenia pozostaje na serwerach urzędu gminy. Propozycja standardu nie odnosi się do warunków interoperacyjności, technicznych i bezpieczeństwa realizacji takiego scenariusza. 12. Projekt rozporządzenia eIDAS wprowadza możliwość realizacji usług elektronicznych administracji publicznej na podstawie elektronicznej identyfikacji – opisanej w artykule 3. Proces ten jest jeszcze nieustalony, ale zarówno wspomniany projekt jak i przepisy artykułu 20a ust. 2 Ustawy o informatyzacji podmiotów realizujących zadania publiczne dają podstawy do stosowania mechanizmów identyfikacji innych niż kwalifikowany podpis elektroniczny i profil zaufany ePUAP. Mechanizmami tymi są przede wszystkim systemy lokalne potwierdzające tożsamość usługobiorców. Nie ma ograniczeń techniczny ani prawnych aby poświadczenie przedłożenia zawierało potwierdzone informacje o tożsamości osoby, która składa pismo uprzednio uwierzytelniwszy się w systemie identyfikacji. Takie urzędowe poświadczanie odbioru zapewniałoby integralność danych i autentyczność dokumentu także w kontekście osoby, która składała dane podanie. Możliwość rozszerzenia UPO o potwierdzone dane osoby składającej pismo daje przestrzeń do równego traktowania dokumentów otrzymanych przez podmioty publiczne, ich przekazywania dalej w procesie administracyjnym i traktowania jak dokumentu podpisanego. Takie rozszerzenie może znacząco zwiększyć dostępność usług administracji publicznej. Opinia PIIT do dokumentu ESP, 2013-12-23 Strona 3 13. Standaryzacja skrzynki podawczej powinna dawać przestrzeń dla realizacji usług komercyjnych w oparciu o wskazane mechanizmy. W szczególności jeżeli usługa kurierska jest dopuszczona w kontakcie obywatela z administracją publiczną, to niezrozumiały jest brak dopuszczenia usług komercyjnych realizujących usługi elektroniczne. Dopuszczenie takich usług ma zasadnicze znaczenie dla rozwoju elektronicznej gospodarki, która dostarcza jednolite narzędzia i interfejsy użytkownikom do obsługi ich procesów biznesowych, a kontakt z administracją publiczną jest jednym z nich. 14. Stosowanie mechanizmów zabezpieczeń informacji – jednym z nich jest mechanizm UPO – wymaga określenia warunków bezpieczeństwa stosowania takiej usługi. Warunki te dotyczą organizacji, technologii i nadzoru. Standard dla skrzynki podawczej powinien określać zabezpieczenia których stosowanie jest rekomendowane i obowiązkowe w zakresie skrzynki podawczej. Taka rekomendacja wraz z wymaganą przez Krajowe Ramy Interoperacyjności analizą ryzyka dają podstawę do ustanowienia warunków bezpieczeństwa implementacji skrzynki podawczej. Jednocześnie autorzy niniejszej rekomendacji są przeciwni ustaleniu stałego katalogu zabezpieczeń obowiązkowych, ponieważ taki katalog nie pozwala na zapewnienie bezpieczeństwa zmieniającego się katalogu podatności i zagrożeń. 15. Elementem obowiązkowym standardów ustalających formaty poświadczeń elektronicznych jest dokładne opisanie warunków prawidłowej ich weryfikacji. Weryfikacja UPO nie może podlegać domysłom i powinna być szczegółowo opisana standardem w zakresie wszystkich elementów. Opis taki stanowi podstawę do prawnego uznania danego dokumentu elektronicznego w procesie dowodowym, a brak takiego uszczegółowienia może prowadzić do zaprzeczenia ważności UPO. Standard powinien szczegółowo opisać elementy UPO i sposób ich prawidłowej i jednoznacznej weryfikacji. Opinia PIIT do dokumentu ESP, 2013-12-23 Strona 4