Saugumo reikalavimai parašo formavimui ir tikrinimui
Paruošė: Žilvinas Kučinskas
pagal ETSI TS 119 101 v0.0.3 (2014-01)
Kam svarbi ETSI TS 119 101?
- E-parašo formavimo bei tikrinimo programinės įrangos gamintojams
- Veikėjams, kurie integruoja e-parašo formavimo bei tikrinimo programų komponentus su verslo procesų programine įranga.
- Pasitikėjimo paslaugų tiekėjams, suteikiantiems parašo formavimo bei tikrinimo paslaugas.
Turinys
- Teisiniai privatumo politikos reikalavimai
- Informacijos saugumo (valdymo sistemos) reikalavimai
- Parašo formavimo ir tikrinimo procesų reikalavimai
- Kūrimo ir programavimo privatumo politikos reikalavimai
- Bendriniai reikalavimai
Teisiniai privatumo politikos reikalavimai (TPPR)
TPPR - asmens duomenų apdorojimas
Tikslas - užtikrinti, jog asmens duomenys yra apdorojami sąžiningai ir teisėtai pagal pritaikomus asmens duomenų apsaugos teisės aktus. (pvz.: Europos duomenų apsaugos direktyva)
TPPR - parašo reikšmingumas
Užtikrinti, jog parašo formavimo procesas atitinka elektroninio parašo bei vartotojo tikslą, o pasikliaujančios šalys galėtų gauti parašo svarbą.
TPPR - verslo tęstinumas
Parašo formavimo bei tikrinimo programų tiekėjai turi imtis tinkamų pastangų, jog galėtų užtikrinti verslo tęstinumą remiantis nuostatomis ir sąlygomis.
Informacijos saugumo (valdymo sistemos) reikalavimai (ISR)
ISR - saugumo privatumo politika
Pateikti dokumentą, kuris leistų peržvelgti saugumo sprendimus. Nagrinėjamas dokumentas taip pat gali būti pateiktas galutiniam vartotojui.
ISR - tinklo apsauga
Tuo atveju, kai parašo formavimo ir tikrinimo programa gauna ar siunčia konfidencialius duomenis tinklu, garantuoti šių duomenų apsaugą. Taip pat apsaugoti infrastruktūrą, apdorojančią bei saugančią konfidencialią informaciją.
ISR - informacinių sistemų apsauga
Užtikrinti, jog informacinės sistemos, apdorojančios parašo duomenis, yra apsaugotos nuo neautorizuotos prieigos ir netinkamo panaudojimo. Saugumo įvykiai turi būti registruojami.
ISR - programinės įrangos integralumas
Užtikrinti, jog parašo formavimo ir kūrimo integralumas yra tinkamai apsaugotas.
ISR - duomenų saugyklos saugumas
- Užtikrinti, jog būtų realizuotos duomenų saugyklos saugumo priemonės apsaugoti konfidencialią informaciją.
- Užtikrinti, jog duomenys nebūtų atsitiktinai prarasti arba sunaikinti.
ISR - apskaitos žurnalo saugumas
Apskaitos žurnalas užtikrina parašo formavimo bei tikrinimo korektiškumą. Jeigu trečioms šalims reikia kažkokio įrodymo, tinkamas audito žurnalo sprendimas turi būti realizuotas parašo formavimo bei tikrinimo programose.
Parašo formavimo ir tikrinimo apdorojimo reikalavimai (PFTAR)
Parašo formavimas
PFTAR - duomenų turinio tipo reikalavimai
- Užtikrinti, jog parašo formatas yra tinkamas pasirašomojo dokumento duomenų tipui ir atitinka teisinius ir verslo reikalavimus.
- Užtikrinti, jog tikrintojas negalėtų netinkamai interpretuoti pasirašančiojo dokumento.
- Užtikrinti, jog parašas pritaikomas reikiamam dokumentui.
PFTAR - duomenų turinio tipo reikalavimai
- Užtikrinti, jog pasirašantysis netyčia nepakeičia pasirašomo dokumento.
- Užtikrinti, jog tikrintojui yra pateikiama užtektinai informacijos tiksliai atvaizduoti pasirašomą dokumentą.
- Užtikrinti, jog pasirašomo dokumento paslėptas kodas, galintis pakeisti dokumento reprezentaciją nepakeičiant kriptografinio galiojimo, neapgauna tikrintojo arba pasirašančiojo.
- Užtikrinti, jog pasirinktas parašo formatas yra tinkamas ir dokumentas neturi paslėptų duomenų ir atitinka duomenų tipą.
PFTAR - parašo atributų reikalavimai
- Užtikrinti, jog parašas pritaikytas reikiamies parašo atributams ir parašo atributai nepakeisti.
- Užtikrinti, jog yra naudojamas tinkamas ir nepasibaigusio galiojimo sertifikatas formuojant parašą.
- Užtikrinti, jog teisingi parašo tikrinimo duomenys yra nurodomi paraše ir informacija apsaugota nuo pakeitimo.
PFTAR - parašo atributų reikalavimai
Užtikrinti, jog parašas turi visus būtinus atributus pagal verslo reikalavimus ir kad pasirašantis asmuo supranta parašo tikslą.
PFTAR - laikas ir seka
Užtikrinti, jog parašo formavimo procesas atitinka numatytą įvykių seką.
PFTAR - kreipinio formuoti parašą reikalavimai
- Užtikrinti, jog kiekvienas sugeneruotas parašas yra išreikštinai parašo kreipinio rezultatas.
- Užkirsti kelią situacijoms, kuriose parašo formavimo programai arba prietaisui buvo pateikta autentifikacijos duomenys, bet praėjo ilgas laiko periodas.
- Užkirsti kelią situacijoms, kai pasirašantysis atlieka operacijas klaidinga tvarka taip suteikdamas šansą pavogti jo konfidencialią informaciją.
PFTAR - ilgaamžiškumas
Užtikrinti patikrą, jog parašas suformuotas pagal verslo reikalavimus.
PFTAR - pasirašančiojo autentifikacijos reikalavimai
Užtikrinti, jog tik teisėtas parašo formavimo prietaiso turėtojas galėtų formuoti elektroninį parašą. Apsaugoti nuo jėgos metodo (angl. brute force) atakų. Užtikrinti, jog neįmanoma pastebėti pasirašančiojo autentifikacijos duomenų.
PFTAR - pasirašančiojo autentifikacijos reikalavimai
Biometriniai reikalavimai:
- Užtikrinti, jog būtų neįmanoma naudoti netikrus biometrines sąvybes. (Silikoniniai pirštai)
- Užtikrinti, jog sąveikos metu nebūtų galima susieti asmens su kito asmens duomenimis.
- Patikrinimas turi vykti ne parašo formavimo programoje.
PFTAR - pasiruošimo duomenims, kurie bus pasirašyti, reikalavimai
- Užtikrinti, jog užpuolikas negalėtų pateikti suklastoto parašo komponentų.
- Užtikrinti, jog pasirašomų duomenų reprezentacija yra teisingai struktūrizuota.
PFTAR - parašo formavimo prietaiso reikalavimai
Užtikrinti, jog parašo formavimo prietaisas, panaudotas kuriant parašą, turi tinkamas teisines bei technines detales pagal verslo reikalavimus.
PFTAR - sąsajos tarp parašo formavimo prietaiso bei programos reikalavimai
Užtikrinti, jog komunikacija tarp parašo formavimo prietaiso bei programos yra tinkamai apsaugota.
PFTAR - parašo kriptografinio rinkinio robastiškumo reikalavimai
Užtikrinti, jog visi algoritmai, naudojami apskaičiuojant bet kurį parašo elementą yra paremti algoritmais ir rakto ilgiais, kurie yra tinkami verslo reikalavimams.
PFTAR - daugybinio pasirašymo reikalavimai
- Užtikrinti, jog daugybinio pasirašymo procesas yra ne mažiau saugus nei procesas, kai dokumentai pasirašomi atskirai.
- Užtikrinti, jog nėra pasirašomi dokumentai, kurie nebuvo skirti pasirašymui.
Parašo formavimo ir tikrinimo apdorojimo reikalavimai (PFTAR)
Parašo tikrinimo procesas
PFTAR - tikrinimo proceso taisyklės
Procesas nustato ar elektroninis parašas techniškai atitinka parašo tikrinimo privatumo politiką. Procesas turi būti apibrėžtas.
PFTAR - tikrinimo vartotojo sąsajos reikalavimai
- Suvaržymai bei įvesti gali būti parenkami pačios vedančiosios programos arba vartotojo sąsaja leidžia pasirinkti parašo tikrinimo privatumo politiką.
- Užtikrinti, jog vartotojo sąsaja aiškiai pateikia rezultatą vartotojui. (jei vartotojo sąsaja yra dalis programos)
PFTAR - tinkamas formatas ir parašo forma
Turi būti palaikoma ir parašo formatai (pvz.: CAdES, XAdES, PAdES, ASiC..) ir parašo formos ( -T, -X, -A).
PFTAR - parašo išsilaikymas
Užtikrinti, jog parašas turi formą, apsaugančią jį nustatytą galiojimo terminą.
PFTAR -tikrinimo įvestis ir išvestis
- Užtikrinti, jog visa reikalinga įvestis egzistuoja ir realizuoti patikrinimai įvesčiai užtikrinti.
- Užtikrinti, jog tikrinimo procesas pateikia išvesties statusą, galimai tikrinimo ataskaitą.
Kūrimo bei programavimo privatumo politikos reikalavimai (KPPPR)
KPPPR - saugūs kūrimo metodai ir programos saugumas
Užtikrinti tinkamos programinės įrangos kūrimo metodologijos, įrankių, saugumo priemonių naudojimą.
KPPPR - testavimo ir interoperabilumo reikalavimai
Užtikrinti, jog realizacijos atitinka standartus, kuriuos realizuoja bei yra interoperabilūs su kitoms realizacijomis realizuojančiomis šiuos standartus.
Bendriniai reikalavimai (BR)
BR - vartotojo sąsaja
- Užtikrinti, jog vartotojo sąsaja yra gerai suprojektuota ir lengvai naudojama, jog būtų išvengta netinkamo naudojimosi.
- Suteikti pakankamai informacijos vartotojui, jog šis suprastų parašo formavimo ir tikrinimo procesą.
BR - bendrinės saugumo priemonės
Užtikrinti, jog sistemos, kuriose programos yra kuriamos arba naudojamos, naudoja tinkamas saugumo priemones.
Klausimai
Saugumo reikalavimai parašo formavimui ir tikrinimui
By Žilvinas Kučinskas
Saugumo reikalavimai parašo formavimui ir tikrinimui
- 352