Saugumo reikalavimai parašo formavimui ir tikrinimui

Paruošė: Žilvinas Kučinskas

pagal ETSI TS 119 101 v0.0.3 (2014-01)

Kam svarbi ETSI TS 119 101?

• E-parašo formavimo bei tikrinimo programinės įrangos gamintojams
• Veikėjams, kurie integruoja e-parašo formavimo bei tikrinimo programų komponentus su verslo procesų programine įranga.
• Pasitikėjimo paslaugų tiekėjams, suteikiantiems parašo formavimo bei tikrinimo paslaugas.

Turinys

• Teisiniai privatumo politikos reikalavimai
• Informacijos saugumo (valdymo sistemos) reikalavimai
• Parašo formavimo ir tikrinimo procesų reikalavimai
• Kūrimo ir programavimo privatumo politikos reikalavimai
• Bendriniai reikalavimai

Teisiniai privatumo politikos reikalavimai (TPPR)

TPPR - asmens duomenų apdorojimas

Tikslas - užtikrinti, jog asmens duomenys yra apdorojami sąžiningai ir teisėtai pagal pritaikomus asmens duomenų apsaugos teisės aktus. (pvz.: Europos duomenų apsaugos direktyva)

TPPR - parašo reikšmingumas

Užtikrinti, jog parašo formavimo procesas atitinka elektroninio parašo bei vartotojo tikslą, o pasikliaujančios šalys galėtų gauti parašo svarbą.

TPPR - verslo tęstinumas

Parašo formavimo bei tikrinimo programų tiekėjai turi imtis tinkamų pastangų, jog galėtų užtikrinti verslo tęstinumą remiantis nuostatomis ir sąlygomis.

Informacijos saugumo (valdymo sistemos) reikalavimai (ISR) 

ISR - saugumo privatumo politika

Pateikti dokumentą, kuris leistų peržvelgti saugumo sprendimus. Nagrinėjamas dokumentas taip pat gali būti pateiktas galutiniam vartotojui.

ISR - tinklo apsauga

Tuo atveju, kai parašo formavimo ir tikrinimo programa gauna ar siunčia konfidencialius duomenis tinklu, garantuoti šių duomenų apsaugą. Taip pat apsaugoti infrastruktūrą, apdorojančią bei saugančią konfidencialią informaciją.

ISR - informacinių sistemų apsauga

Užtikrinti, jog informacinės sistemos, apdorojančios parašo duomenis, yra apsaugotos nuo neautorizuotos prieigos ir netinkamo panaudojimo. Saugumo įvykiai turi būti registruojami.

ISR - programinės įrangos integralumas

Užtikrinti, jog parašo formavimo ir kūrimo integralumas yra tinkamai apsaugotas.

ISR - duomenų saugyklos saugumas

• Užtikrinti, jog būtų realizuotos duomenų saugyklos saugumo priemonės apsaugoti konfidencialią informaciją.
• Užtikrinti, jog duomenys nebūtų atsitiktinai prarasti arba sunaikinti.

ISR - apskaitos žurnalo saugumas

Apskaitos žurnalas užtikrina parašo formavimo bei tikrinimo korektiškumą. Jeigu trečioms šalims reikia kažkokio įrodymo, tinkamas audito žurnalo sprendimas turi būti realizuotas parašo formavimo bei tikrinimo programose.

Parašo formavimo ir tikrinimo apdorojimo reikalavimai (PFTAR)

Parašo formavimas

PFTAR - duomenų turinio tipo reikalavimai

• Užtikrinti, jog parašo formatas yra tinkamas pasirašomojo dokumento duomenų tipui ir atitinka teisinius ir verslo reikalavimus.
• Užtikrinti, jog tikrintojas negalėtų netinkamai interpretuoti pasirašančiojo dokumento.
• Užtikrinti, jog parašas pritaikomas reikiamam dokumentui.

PFTAR - duomenų turinio tipo reikalavimai

• Užtikrinti, jog pasirašantysis netyčia nepakeičia pasirašomo dokumento.
• Užtikrinti, jog tikrintojui yra pateikiama užtektinai informacijos tiksliai atvaizduoti pasirašomą dokumentą.
• Užtikrinti, jog pasirašomo dokumento paslėptas kodas, galintis pakeisti dokumento reprezentaciją nepakeičiant kriptografinio galiojimo, neapgauna tikrintojo arba pasirašančiojo.
• Užtikrinti, jog pasirinktas parašo formatas yra tinkamas ir dokumentas neturi paslėptų duomenų ir atitinka duomenų tipą.

PFTAR - parašo atributų reikalavimai

• Užtikrinti, jog parašas pritaikytas reikiamies parašo atributams ir parašo atributai nepakeisti.
• Užtikrinti, jog yra naudojamas tinkamas ir nepasibaigusio galiojimo sertifikatas formuojant parašą.
• Užtikrinti, jog teisingi parašo tikrinimo duomenys yra nurodomi paraše ir informacija apsaugota nuo pakeitimo.

PFTAR - parašo atributų reikalavimai

Užtikrinti, jog parašas turi visus būtinus atributus pagal verslo reikalavimus ir kad pasirašantis asmuo supranta parašo tikslą.

PFTAR - laikas ir seka

Užtikrinti, jog parašo formavimo procesas atitinka numatytą įvykių seką.

PFTAR - kreipinio formuoti parašą reikalavimai

• Užtikrinti, jog kiekvienas sugeneruotas parašas yra išreikštinai parašo kreipinio rezultatas.
• Užkirsti kelią situacijoms, kuriose parašo formavimo programai arba prietaisui buvo pateikta autentifikacijos duomenys, bet praėjo ilgas laiko periodas.
• Užkirsti kelią situacijoms, kai pasirašantysis atlieka operacijas klaidinga tvarka taip suteikdamas šansą pavogti jo konfidencialią informaciją.

PFTAR - ilgaamžiškumas

Užtikrinti patikrą, jog parašas suformuotas pagal verslo reikalavimus.

PFTAR - pasirašančiojo autentifikacijos reikalavimai

Užtikrinti, jog tik teisėtas parašo formavimo prietaiso turėtojas galėtų formuoti elektroninį parašą. Apsaugoti nuo jėgos metodo (angl. brute force) atakų. Užtikrinti, jog neįmanoma pastebėti pasirašančiojo autentifikacijos duomenų.

PFTAR - pasirašančiojo autentifikacijos reikalavimai

Biometriniai reikalavimai:

• Užtikrinti, jog būtų neįmanoma naudoti netikrus biometrines sąvybes. (Silikoniniai pirštai)
• Užtikrinti, jog sąveikos metu nebūtų galima susieti asmens su kito asmens duomenimis.
• Patikrinimas turi vykti ne parašo formavimo programoje.

PFTAR - pasiruošimo duomenims, kurie bus pasirašyti, reikalavimai

• Užtikrinti, jog užpuolikas negalėtų pateikti suklastoto parašo komponentų.
• Užtikrinti, jog pasirašomų duomenų reprezentacija yra teisingai struktūrizuota.

PFTAR - parašo formavimo prietaiso reikalavimai

Užtikrinti, jog parašo formavimo prietaisas, panaudotas kuriant parašą, turi tinkamas teisines bei technines detales pagal verslo reikalavimus.

PFTAR - sąsajos tarp parašo formavimo prietaiso bei programos reikalavimai

Užtikrinti, jog komunikacija tarp parašo formavimo prietaiso bei programos yra tinkamai apsaugota.

PFTAR - parašo kriptografinio rinkinio robastiškumo reikalavimai

Užtikrinti, jog visi algoritmai, naudojami apskaičiuojant bet kurį parašo elementą yra paremti algoritmais ir rakto ilgiais, kurie yra tinkami verslo reikalavimams.

PFTAR - daugybinio pasirašymo reikalavimai

• Užtikrinti, jog daugybinio pasirašymo procesas yra ne mažiau saugus nei procesas, kai dokumentai pasirašomi atskirai.
• Užtikrinti, jog nėra pasirašomi dokumentai, kurie nebuvo skirti pasirašymui.

Parašo formavimo ir tikrinimo apdorojimo reikalavimai (PFTAR)

Parašo tikrinimo procesas

PFTAR - tikrinimo proceso taisyklės

Procesas nustato ar elektroninis parašas techniškai atitinka parašo tikrinimo privatumo politiką. Procesas turi būti apibrėžtas.

PFTAR - tikrinimo vartotojo sąsajos reikalavimai

• Suvaržymai bei įvesti gali būti parenkami pačios vedančiosios programos arba vartotojo sąsaja leidžia pasirinkti parašo tikrinimo privatumo politiką.
• Užtikrinti, jog vartotojo sąsaja aiškiai pateikia rezultatą vartotojui. (jei vartotojo sąsaja yra dalis programos)

PFTAR - tinkamas formatas ir parašo forma

Turi būti palaikoma ir parašo formatai (pvz.: CAdES, XAdES, PAdES, ASiC..) ir parašo formos ( -T, -X, -A).

PFTAR - parašo išsilaikymas

Užtikrinti, jog parašas turi formą, apsaugančią jį nustatytą galiojimo terminą.

PFTAR -tikrinimo įvestis ir išvestis

• Užtikrinti, jog visa reikalinga įvestis egzistuoja ir realizuoti patikrinimai įvesčiai užtikrinti. 
• Užtikrinti, jog tikrinimo procesas pateikia išvesties statusą, galimai tikrinimo ataskaitą.

Kūrimo bei programavimo privatumo politikos reikalavimai (KPPPR)

KPPPR - saugūs kūrimo metodai ir programos saugumas

Užtikrinti tinkamos programinės įrangos kūrimo metodologijos, įrankių, saugumo priemonių naudojimą.

KPPPR - testavimo ir interoperabilumo reikalavimai

Užtikrinti, jog realizacijos atitinka standartus, kuriuos realizuoja bei yra interoperabilūs su kitoms realizacijomis realizuojančiomis šiuos standartus.

Bendriniai reikalavimai (BR)

BR - vartotojo sąsaja

• Užtikrinti, jog vartotojo sąsaja yra gerai suprojektuota ir lengvai naudojama, jog būtų išvengta netinkamo naudojimosi.
• Suteikti pakankamai informacijos vartotojui, jog šis suprastų parašo formavimo ir tikrinimo procesą.

BR - bendrinės saugumo priemonės

Užtikrinti, jog sistemos, kuriose programos yra kuriamos arba naudojamos, naudoja tinkamas saugumo priemones.

Klausimai