Saugumo reikalavimai parašo formavimui ir tikrinimui

Paruošė: Žilvinas Kučinskas

pagal ETSI TS 119 101 v0.0.3 (2014-01)

Kam svarbi ETSI TS 119 101?

E-parašo formavimo bei tikrinimo programinės įrangos gamintojams
Veikėjams, kurie integruoja e-parašo formavimo bei tikrinimo programų komponentus su verslo procesų programine įranga.
Pasitikėjimo paslaugų tiekėjams, suteikiantiems parašo formavimo bei tikrinimo paslaugas.

Turinys

Teisiniai privatumo politikos reikalavimai
Informacijos saugumo (valdymo sistemos) reikalavimai
Parašo formavimo ir tikrinimo procesų reikalavimai
Kūrimo ir programavimo privatumo politikos reikalavimai
Bendriniai reikalavimai

Teisiniai privatumo politikos reikalavimai (TPPR)

TPPR - asmens duomenų apdorojimas

Tikslas - užtikrinti, jog asmens duomenys yra apdorojami sąžiningai ir teisėtai pagal pritaikomus asmens duomenų apsaugos teisės aktus. (pvz.: Europos duomenų apsaugos direktyva)

TPPR - parašo reikšmingumas

Užtikrinti, jog parašo formavimo procesas atitinka elektroninio parašo bei vartotojo tikslą, o pasikliaujančios šalys galėtų gauti parašo svarbą.

TPPR - verslo tęstinumas

Parašo formavimo bei tikrinimo programų tiekėjai turi imtis tinkamų pastangų, jog galėtų užtikrinti verslo tęstinumą remiantis nuostatomis ir sąlygomis.

Informacijos saugumo (valdymo sistemos) reikalavimai (ISR)

ISR - saugumo privatumo politika

Pateikti dokumentą, kuris leistų peržvelgti saugumo sprendimus. Nagrinėjamas dokumentas taip pat gali būti pateiktas galutiniam vartotojui.

ISR - tinklo apsauga

Tuo atveju, kai parašo formavimo ir tikrinimo programa gauna ar siunčia konfidencialius duomenis tinklu, garantuoti šių duomenų apsaugą. Taip pat apsaugoti infrastruktūrą, apdorojančią bei saugančią konfidencialią informaciją.

ISR - informacinių sistemų apsauga

Užtikrinti, jog informacinės sistemos, apdorojančios parašo duomenis, yra apsaugotos nuo neautorizuotos prieigos ir netinkamo panaudojimo. Saugumo įvykiai turi būti registruojami.

ISR - programinės įrangos integralumas

Užtikrinti, jog parašo formavimo ir kūrimo integralumas yra tinkamai apsaugotas.

ISR - duomenų saugyklos saugumas

Užtikrinti, jog būtų realizuotos duomenų saugyklos saugumo priemonės apsaugoti konfidencialią informaciją.
Užtikrinti, jog duomenys nebūtų atsitiktinai prarasti arba sunaikinti.

ISR - apskaitos žurnalo saugumas

Apskaitos žurnalas užtikrina parašo formavimo bei tikrinimo korektiškumą. Jeigu trečioms šalims reikia kažkokio įrodymo, tinkamas audito žurnalo sprendimas turi būti realizuotas parašo formavimo bei tikrinimo programose.

Parašo formavimo ir tikrinimo apdorojimo reikalavimai (PFTAR)

Parašo formavimas

PFTAR - duomenų turinio tipo reikalavimai

Užtikrinti, jog parašo formatas yra tinkamas pasirašomojo dokumento duomenų tipui ir atitinka teisinius ir verslo reikalavimus.
Užtikrinti, jog tikrintojas negalėtų netinkamai interpretuoti pasirašančiojo dokumento.
Užtikrinti, jog parašas pritaikomas reikiamam dokumentui.

PFTAR - duomenų turinio tipo reikalavimai

Užtikrinti, jog pasirašantysis netyčia nepakeičia pasirašomo dokumento.
Užtikrinti, jog tikrintojui yra pateikiama užtektinai informacijos tiksliai atvaizduoti pasirašomą dokumentą.
Užtikrinti, jog pasirašomo dokumento paslėptas kodas, galintis pakeisti dokumento reprezentaciją nepakeičiant kriptografinio galiojimo, neapgauna tikrintojo arba pasirašančiojo.
Užtikrinti, jog pasirinktas parašo formatas yra tinkamas ir dokumentas neturi paslėptų duomenų ir atitinka duomenų tipą.

PFTAR - parašo atributų reikalavimai

Užtikrinti, jog parašas pritaikytas reikiamies parašo atributams ir parašo atributai nepakeisti.
Užtikrinti, jog yra naudojamas tinkamas ir nepasibaigusio galiojimo sertifikatas formuojant parašą.
Užtikrinti, jog teisingi parašo tikrinimo duomenys yra nurodomi paraše ir informacija apsaugota nuo pakeitimo.

PFTAR - parašo atributų reikalavimai

Užtikrinti, jog parašas turi visus būtinus atributus pagal verslo reikalavimus ir kad pasirašantis asmuo supranta parašo tikslą.

PFTAR - laikas ir seka

Užtikrinti, jog parašo formavimo procesas atitinka numatytą įvykių seką.

PFTAR - kreipinio formuoti parašą reikalavimai

Užtikrinti, jog kiekvienas sugeneruotas parašas yra išreikštinai parašo kreipinio rezultatas.
Užkirsti kelią situacijoms, kuriose parašo formavimo programai arba prietaisui buvo pateikta autentifikacijos duomenys, bet praėjo ilgas laiko periodas.
Užkirsti kelią situacijoms, kai pasirašantysis atlieka operacijas klaidinga tvarka taip suteikdamas šansą pavogti jo konfidencialią informaciją.

PFTAR - ilgaamžiškumas

Užtikrinti patikrą, jog parašas suformuotas pagal verslo reikalavimus.

PFTAR - pasirašančiojo autentifikacijos reikalavimai

Užtikrinti, jog tik teisėtas parašo formavimo prietaiso turėtojas galėtų formuoti elektroninį parašą. Apsaugoti nuo jėgos metodo (angl. brute force) atakų. Užtikrinti, jog neįmanoma pastebėti pasirašančiojo autentifikacijos duomenų.

PFTAR - pasirašančiojo autentifikacijos reikalavimai

Biometriniai reikalavimai:

Užtikrinti, jog būtų neįmanoma naudoti netikrus biometrines sąvybes. (Silikoniniai pirštai)
Užtikrinti, jog sąveikos metu nebūtų galima susieti asmens su kito asmens duomenimis.
Patikrinimas turi vykti ne parašo formavimo programoje.

PFTAR - pasiruošimo duomenims, kurie bus pasirašyti, reikalavimai

Užtikrinti, jog užpuolikas negalėtų pateikti suklastoto parašo komponentų.
Užtikrinti, jog pasirašomų duomenų reprezentacija yra teisingai struktūrizuota.

PFTAR - parašo formavimo prietaiso reikalavimai

Užtikrinti, jog parašo formavimo prietaisas, panaudotas kuriant parašą, turi tinkamas teisines bei technines detales pagal verslo reikalavimus.

PFTAR - sąsajos tarp parašo formavimo prietaiso bei programos reikalavimai

Užtikrinti, jog komunikacija tarp parašo formavimo prietaiso bei programos yra tinkamai apsaugota.

PFTAR - parašo kriptografinio rinkinio robastiškumo reikalavimai

Užtikrinti, jog visi algoritmai, naudojami apskaičiuojant bet kurį parašo elementą yra paremti algoritmais ir rakto ilgiais, kurie yra tinkami verslo reikalavimams.

PFTAR - daugybinio pasirašymo reikalavimai

Užtikrinti, jog daugybinio pasirašymo procesas yra ne mažiau saugus nei procesas, kai dokumentai pasirašomi atskirai.
Užtikrinti, jog nėra pasirašomi dokumentai, kurie nebuvo skirti pasirašymui.

Parašo formavimo ir tikrinimo apdorojimo reikalavimai (PFTAR)

Parašo tikrinimo procesas

PFTAR - tikrinimo proceso taisyklės

Procesas nustato ar elektroninis parašas techniškai atitinka parašo tikrinimo privatumo politiką. Procesas turi būti apibrėžtas.

PFTAR - tikrinimo vartotojo sąsajos reikalavimai

Suvaržymai bei įvesti gali būti parenkami pačios vedančiosios programos arba vartotojo sąsaja leidžia pasirinkti parašo tikrinimo privatumo politiką.
Užtikrinti, jog vartotojo sąsaja aiškiai pateikia rezultatą vartotojui. (jei vartotojo sąsaja yra dalis programos)

PFTAR - tinkamas formatas ir parašo forma

Turi būti palaikoma ir parašo formatai (pvz.: CAdES, XAdES, PAdES, ASiC..) ir parašo formos ( -T, -X, -A).

PFTAR - parašo išsilaikymas

Užtikrinti, jog parašas turi formą, apsaugančią jį nustatytą galiojimo terminą.

PFTAR -tikrinimo įvestis ir išvestis

Užtikrinti, jog visa reikalinga įvestis egzistuoja ir realizuoti patikrinimai įvesčiai užtikrinti.
Užtikrinti, jog tikrinimo procesas pateikia išvesties statusą, galimai tikrinimo ataskaitą.

Kūrimo bei programavimo privatumo politikos reikalavimai (KPPPR)

KPPPR - saugūs kūrimo metodai ir programos saugumas

Užtikrinti tinkamos programinės įrangos kūrimo metodologijos, įrankių, saugumo priemonių naudojimą.

KPPPR - testavimo ir interoperabilumo reikalavimai

Užtikrinti, jog realizacijos atitinka standartus, kuriuos realizuoja bei yra interoperabilūs su kitoms realizacijomis realizuojančiomis šiuos standartus.

Bendriniai reikalavimai (BR)

BR - vartotojo sąsaja

Užtikrinti, jog vartotojo sąsaja yra gerai suprojektuota ir lengvai naudojama, jog būtų išvengta netinkamo naudojimosi.
Suteikti pakankamai informacijos vartotojui, jog šis suprastų parašo formavimo ir tikrinimo procesą.

BR - bendrinės saugumo priemonės

Užtikrinti, jog sistemos, kuriose programos yra kuriamos arba naudojamos, naudoja tinkamas saugumo priemones.

Saugumo reikalavimai parašo formavimui ir tikrinimui

Kam svarbi ETSI TS 119 101?

Turinys

Teisiniai privatumo politikos reikalavimai (TPPR)

TPPR - asmens duomenų apdorojimas

TPPR - parašo reikšmingumas

TPPR - verslo tęstinumas

Informacijos saugumo (valdymo sistemos) reikalavimai (ISR)

ISR - saugumo privatumo politika

ISR - tinklo apsauga

ISR - informacinių sistemų apsauga

ISR - programinės įrangos integralumas

ISR - duomenų saugyklos saugumas

ISR - apskaitos žurnalo saugumas

Parašo formavimo ir tikrinimo apdorojimo reikalavimai (PFTAR)

PFTAR - duomenų turinio tipo reikalavimai

PFTAR - duomenų turinio tipo reikalavimai

PFTAR - parašo atributų reikalavimai

PFTAR - parašo atributų reikalavimai

PFTAR - laikas ir seka

PFTAR - kreipinio formuoti parašą reikalavimai

PFTAR - ilgaamžiškumas

PFTAR - pasirašančiojo autentifikacijos reikalavimai

PFTAR - pasirašančiojo autentifikacijos reikalavimai

PFTAR - pasiruošimo duomenims, kurie bus pasirašyti, reikalavimai

PFTAR - parašo formavimo prietaiso reikalavimai

PFTAR - sąsajos tarp parašo formavimo prietaiso bei programos reikalavimai

PFTAR - parašo kriptografinio rinkinio robastiškumo reikalavimai

PFTAR - daugybinio pasirašymo reikalavimai

Parašo formavimo ir tikrinimo apdorojimo reikalavimai (PFTAR)

PFTAR - tikrinimo proceso taisyklės

PFTAR - tikrinimo vartotojo sąsajos reikalavimai

PFTAR - tinkamas formatas ir parašo forma

PFTAR - parašo išsilaikymas

PFTAR -tikrinimo įvestis ir išvestis

Kūrimo bei programavimo privatumo politikos reikalavimai (KPPPR)

KPPPR - saugūs kūrimo metodai ir programos saugumas

KPPPR - testavimo ir interoperabilumo reikalavimai

Bendriniai reikalavimai (BR)

BR - vartotojo sąsaja

BR - bendrinės saugumo priemonės

Klausimai