eidas Standardy de iure i de facto oraz rozwiązania niestandardowe

Transkrypt

1 eidas Standardy de iure i de facto oraz rozwiązania niestandardowe Andrzej Ruciński Przewodniczący komitetu technicznego 172 ds. Identyfikacji Osób, Podpisu Elektronicznego, Kart Elektronicznych oraz Powiązanych z nimi Systemów i Działań CommonSign Warszawa października 2016

2 M/460 EN

3

4 Jednolity rynek cyfrowy UE realny cel, czy utopijne hasło?

5 eidas ważnym elementem budowy jednolitego rynku cyfrowego UE

6 eidas akty wykonawcze i delegowane eid Dotyczy: DOTYCZY: niezbędnych proceduralnych warunków ułatwiania współpracy między państwami członkowskimi, w celu zapewnienia wysokiego poziomu zaufania i bezpieczeństwa, stosownie do poziomu ryzyka. DATA TSP specyfikacji dot. wzoru znaku zaufania UE dla kwalifikowanych usług zaufania TSP formatów referencyjnych zaawansowanych podpisów elektronicznych lub metod referencyjnych, w przypadku, gdy używane są formaty alternatywne TSP formatów referencyjnych zaawansowanych pieczęci elektronicznych lub metod referencyjnych, w przypadku, gdy używane są formaty alternatywne eid dotyczących ram interoperacyjności eid dla środków identyfikacji elektronicznej minimalnych technicznych specyfikacji, standardów i procedur w odniesieniu, do których określone zostaną niski, średni i wysoki poziom bezpieczeństwa, w których zostaną określone niski, średni i wysoki poziom bezpieczeństwa dla środka identyfikacji elektronicznej TSP specyfikacji i formatów dot. zaufanych list zawierających informacje o kwalifikowanych dostawcach usług zaufania

7 eidas akty wykonawcze i delegowane eid Dotyczy: DOTYCZY: niezbędnych proceduralnych warunków ułatwiania współpracy między państwami członkowskimi, w celu zapewnienia wysokiego poziomu zaufania i bezpieczeństwa, stosownie do poziomu ryzyka. 2015/296 DATA TSP specyfikacji dot. wzoru znaku zaufania UE dla kwalifikowanych usług zaufania TSP 2015/806 formatów referencyjnych zaawansowanych podpisów elektronicznych lub metod referencyjnych, w przypadku, gdy używane są formaty alternatywne. 2015/ TSP formatów referencyjnych zaawansowanych pieczęci elektronicznych lub metod referencyjnych, w przypadku, gdy używane są formaty alternatywne. 2015/ eid dotyczących ram interoperacyjności eid 2015/1501 dla środków identyfikacji elektronicznej minimalnych technicznych specyfikacji, standardów i procedur w odniesieniu, do których określone zostaną niski, średni i wysoki poziom bezpieczeństwa, w których zostaną określone niski, średni i wysoki poziom bezpieczeństwa dla środka identyfikacji elektronicznej. 2015/ TSP specyfikacji i formatów dot. zaufanych list zawierających informacje o kwalifikowanych dostawcach usług zaufania. 2015/

8 eidas akty wykonawcze i delegowane ` DOTYCZY: eid Art. 9 ust.5 w sprawie okoliczności,formatów, procedur notyfikacji Brak; data /1984 DATA TS art. 19 ust. 4 Wymogi w zakresie bezpieczeństwa mające zastosowanie do dostawców usług zaufania brak TS art. 20 ust. 4 Nadzór nad kwalifikowanymi dostawcami usług zaufania brak TS art. 21 ust. 4 Inicjowanie kwalifikowanej usługi zaufania Brak TS art. 24 ust. 5 Wymogi dla kwalifikowanych dostawców usług zaufania brak TS art. 27 ust. 4 Podpisy elektroniczne w usługach publicznych brak TS art. 28 ust. 6 Kwalifikowane certyfikaty podpisów elektronicznych brak

9 eidas akty wykonawcze i delegowane art. 30 ust. 2 Certyfikacja kwalifikowanych urządzeń do składania podpisu elektronicznego art. 39 Certyfikacja kwalifikowanych urządzeń do składania pieczęci elektronicznej 2016/650

10 Decyzja 2015/1506 z dnia 8 września 2015 r. Art. 1 Art. 2

11 Decyzja 2015/1506 z dnia 8 września 2015 r.

12 Decyzja 2015/1506 z dnia 8 września 2015 r.

13 Decyzja 2016/650 z dnia 25 kwietnia 2016 r.

14 Załącznik do decyzji 2016/650 z dnia 25 kwietnia 2016 r.

15 Załącznik do decyzji 2016/650 z dnia 25 kwietnia 2016 r.

16 Decyzja 2015/1984 z dnia 3 listopada 2015 r.

17 Załącznik do decyzji 2015/1984 z dnia 3 listopada 2015 r.

18 Decyzja 2015/1502 z dnia 8 września 2015 r.

19 Decyzja 2015/1502 z dnia 8 września 2015 r.

20 2016 stan bieżący

21

22 Standardy dotyczące podpisu elektronicznego Włodzimierz Chocianowicz Wicerzewodniczący komitetu technicznego 172 ds. Identyfikacji Osób, Podpisu Elektronicznego, Kart Elektronicznych oraz Powiązanych z nimi Systemów i Działań

23 KT 172 ds. Identyfikacji Osób, Podpisu Elektronicznego, Kart Elektronicznych oraz Powiązanych z nimi Systemów i Działań

24 CEN TC 224 opublikowane normy dotyczące podpisu elektronicznego, usług zaufania, itp.

25 CEN TC 224 opublikowane normy dotyczące podpisu elektronicznego, usług zaufania, itp. CEN TC 224 normy dotyczące podpisu elektronicznego, usług zaufania, itp. - w trakcie opracowywania

26 CEN TC 224 normy dotyczące podpisu elektronicznego, usług zaufania, itp. - w trakcie opracowywania

27 Electronic Signatures and Infrastructures (ESI) Opublikowane i opracowywane dokumenty normatywne dotyczące podpisu elektronicznego, usług zaufania, itp.

28 Electronic Signatures and Infrastructures (ESI) Opublikowane i opracowywane dokumenty normatywne dotyczące podpisu elektronicznego, usług zaufania, itp.

29 Electronic Signatures and Infrastructures (ESI) Opublikowane i opracowywane dokumenty normatywne dotyczące podpisu elektronicznego, usług zaufania, itp.

30 Electronic Signatures and Infrastructures (ESI) Opublikowane i opracowywane dokumenty normatywne dotyczące podpisu elektronicznego, usług zaufania, itp.

31 Komitet techniczny 172 Wprowadzono następujące normy do zbioru PN w języku oryginału: PN-EN : Interfejs aplikacyjny dla kart elektronicznych stosowanych jako bezpieczne urządzenia do składania podpisu elektronicznego - Część 1: Usługi podstawowe (EN :2014, Application Interface for smart cards used as Secure Signature Creation Devices - Part 1: Basic services) PN-EN : Interfejs aplikacyjny dla kart elektronicznych stosowanych jako bezpieczne urządzenia do składania podpisu elektronicznego - Część 2: Usługi dodatkowe (EN :2014, Application Interface for smart cards used as Secure Signature Creation Devices - Part 2: Additional services)

32 Dobiegają końca prace nad opracowywaniem polskiej wersji EN Protection profiles for secure signature creation device (Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu) objętych mandatem M/460. prpn-en Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu - Część 1: Przegląd PN-EN : Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu -Część 2: Urządzenie z generowaniem kluczy PN-EN : Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu -- Część 3: Urządzenie z importem kluczy prpn-en Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu - Część 4: Rozszerzenie dla urządzenia z generowaniem kluczy i zaufanym kanałem z aplikacją generującą certyfikaty prpn-en Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu - Część 5: Rozszerzenie dla urządzenia z generowaniem kluczy i zaufanym kanałem z aplikacją do składania podpisu prpn-en Profile zabezpieczeń dla bezpiecznego urządzenia do składania podpisu - Część 6: Rozszerzenie dla urządzenia z importem kluczy i zaufanym kanałem z aplikacją do składania podpisu

33 Normy ETSI EN wprowadzone do zbioru PN w języku oryginału: PN-ETSI EN V2.1.1: E Podpisy elektroniczne i infrastruktura (ESI) -- Ogólne wymagania polityki dla dostawców usług zaufania Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers PN-ETSI EN V2.2.2: E Podpisy elektroniczne i infrastruktura (ESI) -- Ocena zgodności dostawców zaufanych usług -- Wymagania dotyczące organów oceniających zgodność dostawców zaufanych usług Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers PN-ETSI EN V1.1.1: E Podpisy elektroniczne i infrastruktura (ESI) -- Wymagania polityki i bezpieczeństwa dla dostawców usług zaufania wydających certyfikaty -- Część 1: Wymagania ogólne Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements PN-ETSI EN V2.1.1: E Podpisy elektroniczne i infrastruktura (ESI) -- Wymagania polityki i bezpieczeństwa dla dostawców usług zaufania wydających certyfikaty -- Część 2: Wymagania dla dostawców usług zaufania wydających europejskie (UE) certyfikaty kwalifikowane Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates PN-ETSI EN V1.1.1: E Podpisy elektroniczne i infrastruktura (ESI) -- Wymagania polityki i bezpieczeństwa dla dostawców usług zaufania wydających znaczniki czasu Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps PN-ETSI EN V1.1.1: E Podpisy elektroniczne i infrastruktura (ESI) -- Protokół znakowania czasem oraz profile tokenu znacznika czasu Electronic Signatures and Infrastructures (ESI); Time-stamping protocol and timestamp token profile

34 Dobiegają prace nad wprowadzeniem krajowych wersji norm ETSI EN, które zostaną opublikowane na przełomie 2016/2017 r. prpn-etsi EN V2.2.2 Podpisy elektroniczne i infrastruktura (ESI) -- Ocena zgodności dostawców usług zaufania -- Wymagania dla jednostek oceniających zgodność dostawców usług zaufania prpn-etsi EN V1.1.1P Podpisy elektroniczne i infrastruktura (ESI) -- Wymagania polityki i bezpieczeństwa dla dostawców usług zaufania wydających certyfikaty -- Część 1: Wymagania ogólne prpn-etsi EN V2.1.1P Podpisy elektroniczne i infrastruktura (ESI) -- Wymagania polityki i bezpieczeństwa dla dostawców usług zaufania wydających certyfikaty -- Część 2: Wymagania dla dostawców usług zaufania wydających europejskie (UE) certyfikaty kwalifikowane

35 Jednolity rynek cyfrowy UE realny cel, czy utopijne hasło?

36 Komisja: Jednolity rynek cyfrowy UE realny cel, czy utopijne hasło?

37 Jednolity rynek cyfrowy UE realny cel, czy utopijne hasło? Warunek powstania jednolitego rynku cyfrowego UE: 1. Implementację standardów (nie tylko w zakresie usług zaufania) wykonują wyspecjalizowane, doświadczone podmioty. 2. Integratorzy systemów informatycznych realizujących procesy biznesowe związane z komunikacją elektroniczną korzystają z profesjonalnych usług zapewniających odpowiedni poziom transakcji dokonywanych na odległość (w tym usług zaufania) lub z oprogramowania posiadającego co najmniej deklarację zgodności dostawcy produktu na rynek.

38 DZIĘKUJĘ ZA UWAGĘ