Uwagi do projektów rozporządzeń związanych z platformą epuap



Podobne dokumenty
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

Projekt z dnia 14 maja 2015 r. z dnia r.

Warszawa, dnia 6 października 2016 r. Poz ROZPORZĄDZENIE MINISTRA CYFRYZACJI 1) z dnia 5 października 2016 r.

Nowa odsłona wyodrębnienie i kierunki jego rozwoju Łysomice

Nowa odsłona wyodrębnienie i kierunki jego rozwoju Międzyzdroje

Informatyzacja Województwa Świętokrzyskiego Portal e-urząd. Kielce r.

Warszawa, dnia 6 października 2016 r. Poz. 1626

elektroniczna Platforma Usług Administracji Publicznej

Prawa obywatela w Internecie

Warszawa, dnia 13 czerwca 2014 r. Poz. 778 ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI 1) z dnia 5 czerwca 2014 r.

Nowa odsłona wyodrębnienie i kierunki jego rozwoju

elektroniczna Platforma Usług Administracji Publicznej

1.2 Prawa dostępu - Role

Z dnia 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 27 kwietnia 2011 r.

epuap kwiecień 2014r. Izba Skarbowa w Poznaniu ElektronicznaPlatforma UsługAdministracji Publicznej pl. Cyryla Ratajskiego Poznań

z dnia r. w sprawie profilu zaufanego i podpisu zaufanego

Zmiany na. wyodrębnienie i kierunki jego rozwoju Dubiecko

Procedura nadawania uprawnień do potwierdzania Profili Zaufanych epuap

z dnia. o zmianie ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych

Warszawa, dnia 11 września 2018 r. Poz. 1760

Zmiany na. wyodrębnienie i kierunki jego rozwoju Kraków

Procedura nadawania uprawnień do potwierdzania, przedłużania ważności i unieważniania profili zaufanych epuap

Wprowadzono również pojęcie pieczęć elektroniczna, która rozumiana jest jako

ARIADNA - Dostosowanie Profilu Zaufanego do unijnych wymogów rozporządzenia eidas

INSTRUKCJA SKŁADANIA OFERT PRZEZ epuap

załącznik nr 2 do Zarządzenia nr 0050.Z Burmistrza Miasta Nowy Targ z dnia 1 września 2014r.

Zastosowanie epuap w obszarze elektronizacji usług administracji publicznej

Regulamin dostępu do eurzędu za pośrednictwem mbanku S.A. obowiązuje od 25 maja 2018 r.

pue.zus.pl ZUS PRZEZ INTERNET KROK PO KROKU REJESTRACJA I LOGOWANIE REJESTRACJA

1. Rozporządzenie określa zakres i warunki korzystania z elektronicznej platformy usług administracji publicznej, zwanej dalej "epuap", w tym:

E-administracja. Korzystanie z Elektronicznej Platformy Usług Administracji Publicznej

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

elektroniczna Platforma Usług Administracji Publicznej

Wydzielony Profil Zaufany bezpłatne narzędzie do usług administracji publicznej

Zmiany wynikające z nowelizacji ustawy o informatyzacji oraz niektórych innych ustaw. XX Forum Teleinformatyki 26 września 2014 r.

Informatyzacja w administracji. dr Małgorzata Wilińska

Zakres przedmiotowy UoInf dotyczący epuap

elektroniczna Platforma Usług Administracji Publicznej

Funkcjonowanie profilu zaufanego na elektronicznej Platformie Usług Administracji Publicznej (epuap) Szkolenie informatyczne

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Akty wykonawcze do ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne w zakresie elektronicznej platformy epuap

Wykorzystanie platformy epuap

Grupa: przedsiębiorcy

ISO bezpieczeństwo informacji w organizacji

Regulamin dostępu do eurzędu za pośrednictwem mbanku S.A. obowiązuje od 14 września 2019 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia r.

Nowa platforma

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Gdańsku

Procedura działania Punktu Potwierdzającego. w Urzędzie Miasta Krakowa

Procedura nadawania uprawnień do potwierdzania profili zaufanych epuap

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia r.

Procedura zarządzania Profilami Zaufanymi epuap

UCHWAŁA NR XXXIII/244/2013 RADY MIEJSKIEJ W SĘDZISZOWIE. z dnia 24 maja 2013 r.

z dnia 2017 r. w sprawie licytacji elektronicznej w postępowaniu egzekucyjnym w administracji

Procedura nadawania uprawnień do potwierdzania, przedłużania ważności i unieważniania profilu zaufanego epuap w Urzędzie Miasta Tychy

Wykorzystanie komunikacji elektronicznej w postępowaniu administracyjnym. Perspektywa urzędu administracji publicznej. Urszula Kalinowska

Założenie przez pracownika profilu osobistego

Procedura nadawania uprawnień do potwierdzania, przedłużania ważności i unieważniania profili zaufanych epuap w Starostwie Powiatowym w Kłodzku

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia r.

Procedura działania Punktu Potwierdzającego profile zaufane epuap w Urzędzie Miejski w Radłowie

Warszawa, dnia 7 marca 2018 r. Poz. 491

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miasta Tychy

Profil Zaufany epuap (PZ) Nowa metoda uwierzytelniania użytkowników systemów teleinformatycznych administracji publicznej

Prawne i techniczne aspekty uznawania dokumentów elektronicznych z perspektywy skrzynki.

e-deklaracje

elektroniczna Platforma Usług Administracji Publicznej - załatw sprawy administracyjne drogą elektroniczną.

mdokumenty Anna Streżyńska Minister Cyfryzacji Warszawa,

Podpis elektroniczny. ale nie od strony X.509 schematu dla certyfikatów kluczy publicznych służącego do budowania hierarchicznej struktury PKI

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

D R M A R E K L E Ś N I A K Z A K Ł A D P R A W A G O S P O D A R C Z E G O I H A N D L O W E G O

Wizja rozwoju epuap. Igor Bednarski

Rzeszów, dnia 19 maja 2016 r. Poz UCHWAŁA NR XXVII/257/2016 RADY MIASTA TARNOBRZEGA. z dnia 28 kwietnia 2016 r.

Procedura nadawania uprawnień do potwierdzania, przedłużania i unieważniania Profili Zaufanych epuap

Administracja, także przy dokonywaniu czynności zamówień publicznych, nie powinna odbiegać od standardów funkcjonowania i komunikowania się.

Wrocław, dnia 20 czerwca 2017 r. Poz UCHWAŁA NR VI/31/2017 ZGROMADZENIA ZWIĄZKU MIĘDZYGMINNEGO ŚLĘZA-OŁAWA Z SIEDZIBĄ W ŚWIĘTEJ KATARZYNIE

Portal Podatkowy. e-deklaracje 2. Portal Podatkowy, jako nowoczesny i funkcjonalny system Ministerstwa Finansów

REJESTRACJA, LOGOWANIE I USTAWIENIA PROFILU

Platforma epuap. Igor Bednarski kierownik projektu epuap2 CPI MSWiA. Kraków, r.

epuap Jak zmienić parametr autoryzacji w Profilu Zaufanym

SI. 3. Przesyłanie, w tym udostępnianie, faktur w formie elektronicznej podlega akceptacji ich odbiorcy.

Podręcznik Wykonawcy

Instrukcja zakładania konta na epuap oraz składania wniosku o utworzenie profilu zaufanego

Załącznik nr 2 do Zarządzenia nr 899/2016 Prezydenta Miasta Wałbrzycha z dnia r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

Regulamin stosowania kwalifikowanego podpisu elektronicznego w Starostwie Powiatowym w Rawiczu

epłatnik na Platformie Usług Elektronicznych ZUS (PUE ZUS)

Budowa sieci dostępowej ostatniej mili w Działaniu II.1 Programu Operacyjnego Rozwój Polski Wschodniej

Rzeszów, dnia 19 maja 2016 r. Poz UCHWAŁA NR XXVII/256/2016 RADY MIASTA TARNOBRZEGA. z dnia 28 kwietnia 2016 r.

UCHWAŁA NR... RADY GMINY MALECHOWO. z dnia r. komunalnymi składanej przez właścicieli nieruchomości zamieszkałej.

ROZPORZĄDZENIE MINISTRA INFRASTRUKTURY 1) z dnia 30 lipca 2010 r.

Procedura nadawania uprawnień do potwierdzania, przedłużania ważności i unieważniania profili zaufanych epuap w Starostwie Powiatowym w Lęborku

Interoperacyjność system nie działa w próżni

REGULAMIN. 1 Postanowienia ogólne

PLATFORMA USŁUG ELEKTRONICZNYCH ZUS (PUE ZUS)

Instrukcja dla osoby potwierdzającej profil zaufany

Standaryzacja cyfrowych usług publicznych

Kancelaria Prawna Cieśla & Cieśla. Podpis elektroniczny - kiedy oświadczenie woli wyrażone w formie elektronicznej wywołuje skutki prawne?

Promotor: dr inż. Krzysztof Różanowski

Transkrypt:

Paweł Krawczyk Kraków, 28 maja 2010 ul. Miechowity 15/19 31-475 Kraków tel +48 602 776959 email pawel.krawczyk@hush.com Ministerstwo Spraw Wewnętrznych i Administracji ul. Stefana Batorego 5 02-591 Warszawa Uwagi do projektów rozporządzeń związanych z platformą epuap Uwagi do projektu Ministra Spraw Wewnętrznych i Administracji w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników W 3 opisane są cechy "systemu certyfikacyjnego". Wcześniej jest on zdefiniowany jako "system teleinformatyczny" ( 2 pkt 2) więc niezręczne wydaje się sformułowanie, że "system stwierdza tożsamość" ( 3 pkt 3) czy "stosuje zabezpieczenia" ( 3 pkt 4). System teleinformatyczny jest narzędziem i w sytuacji osobistego potwierdzenia tożsamości to operator systemu będzie ją stwierdzać, zaś system jedynie taki fakt zarejestruje. W 3 ust. 1 pkt 2 wymaga się "precyzyjnego określenia czasu" bez podania o jaki wzorzec czasu chodzi, w związku z czym wymóg "precyzji" traci punkt odniesienia. Wymagania wymienione w ust. 1 uznaje się za spełnione jeśli "podmiot odpowiedzialny za system certyfikacyjny" zapewnia warunki zgodne z wymaganiami CWA 14167. Samo w sobie odniesienie się do tego standardu jest korzystne, ale nieokreślony jest zakres w jakim te wymagania mają być spełniane (czy np. system certyfikacyjny ma spełniać wymagania CWA 14167 dotyczące znakowania czasem?) oraz poziom bezpieczeństwa (CWA 14167 określa dwa, właściwy w tym przypadku wydaje się poziom NQC). Zasadne wydaje się zatem rozdzielenie funkcji biznesowych od wymagań dotyczących określonego poziomu bezpieczeństwa, które w 3 ust. 1 są wymienione jednym ciągiem. Wartościową publikacją opisującym funkcje biznesowe systemu uwierzytelnienia z podziałem na jednorazową rejestrację użytkownika oraz cykliczne korzystanie z danych uwierzytelniających jest dokument IDABC Authentication Policy. Właściwe byłoby precyzyjne określenie funkcji biznesowych (np. przyjęcie wniosku, potwierdzenie tożsamości, wydanie certyfikatu, przyjęcie informacji o konieczności anulowania certyfikatu, anulowanie certyfikatu, publikacja certyfikatów, publikacja anulowanych certyfikatów), których oczekuje się od podmiotu odpowiedzialnego za zarządzanie certyfikatami. Lista funkcji biznesowych określi właściwy kontekst do interpetacji poszczególnych wymagań CWA 14167. Równocześnie oddzielić należy wymagania organizacyjne wobec podmiotu od wymagań technicznych wobec systemu. Wymagania te są zdefiniowane niekonsekwentnie wobec systemu zarządzania tożsamością wymaga się stosowania i oceny na zgodność ISO 27001, a wobec systemu certyfikacyjnego zapewnienia warunków zgodnych z CWA 14167. Normy z serii ISO 27000 są normami organizacyjnymi i powinny być stosowane wobec podmiotu będącego operatorem każdego z tych systemów, a nie wobec systemów jako takich. Nie ma również

powodu by stosować je wobec jednego z nich, a nie stosować wobec drugiego. Jeśli ustawodawca wymaga "oceny zgodności" wg ISO 27001 to należy określić zakres organizacyjny takiej oceny cały podmiot, wydzielony dział zarządzający systemem itd. Nieprecyzyjny jest wymóg by ( 2 ust 2 pkt 3) stosowania "systemów i produktów zgodnych z wymaganiami standardu CWA 14167-2,3". Standardy te definiują profil ochrony (protection profile), który może być używany jako podstawa do oceny zgodności i uzyskania certyfikatu według Common Criteria. Nie jest jasne w jaki sposób ta zgodność ma być potwierdzona (deklaracja zgodności, certyfikat CC) a zbyt szeroki zakres ("systemów i produktów") powoduje, że spełnienie tego wymagania jest w praktyce niemożliwe nie ma np. dysków twardych czy systemów operacyjnych "zgodnych z wymaganiami" CWA 14167-2,3 bo norma ta dotyczy wąskiej klasy urządzeń kryptograficznych. Ostatnim opisywanym systemem jest system uwierzytelnienia ( 5), który jak się wydaje ma być systemem lub systemami wyeksponowanymi do publicznego Internetu, które będa realizować właściwą funkcjonalność uwierzytelnienia zaufanego profilu i innych mechanizmów. Systemy te będą w największym stopniu narażone na codzienne ataki ze strony sieci publicznej, w związku z czym w szczególności one powinny podlegać rozsądnemu zbiorowi wymagań technicznych jakie zawarto w 3 ust 1 na przykład wymóg stosowania aktualnego stanu wiedzy czy regularnej oceny skuteczności zabezpieczeń (np. testy penetracyjne). Jako, że będzie to prawdopodobnie system oparty o technologie web services, warto odwołać się do zaleceń branżowych w zakresie budowy (OWASP Development Guide) oraz testowania takich systemów (OWASP ASVS). Podsumowując: W rozporządzeniu należy najpierw określić funkcje biznesowe, następnie podmioty, które będą je realizować, a potem systemy teleinformatyczne i elementy składowe systemów, które wymagają regulacji. Dla tak wydzielonych elementów należy stosować adekwatne standardy np. ISO 27002 jako zalecenia organizacyjne, CWA 14167 jako standard organizacyjno-techniczny czy ISO 27001 jako standard audytowy. Należy precyzyjnie określić poziomy wymagań zalecenie, deklaracja zgodności, audyt pierwszej strony, audyt zewnętrzny trzeciej strony, certyfikacja przez podmiot akredytowany. W przypadku cyklicznych ocen bezpieczeństwa należy określić ich minimalną częstotliwość.

Uwagi do projektu rozporządzenia w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej ("regulamin epuap") 3. ust 2 "siłę kryptograficzną hasła kontroluje epuap" właściwsze byłoby sformułowanie, że system określa minimalny poziom złożoności hasła. Równocześnie jednak poza minimalnym poziomem złożoności celowe wydaje się określenie dodatkowych wymagań jak np. ewentualny czas wymuszonej zmiany hasła oraz sposób odtwarzania hasła w razie jego utraty. Niniejsze rozporządzenie nie wydaje się być właściwym miejscem do tak niskopoziomowych szczegółów i należy je przenieść albo do rozporządzenia o wymaganiach technicznych albo w ogóle do zewnętrznego dokumentu technicznego tak, by była możliwa jego zmiana bez potrzeby nowelizacji rozporządzeń. W ten sposób możliwe będzie również rozszerzanie katalogu "innych metod uwierzytelnienia (pkt 3) w miarę potrzeb (np. uwierzytelnienia SMS czy tokenem). 6. Minister powinien być również zobowiązany do przyjmowania zgłoszeń o nieprawidłowościach w działaniu platformy i reagowaniu na nie.

Uwagi do projektu rozporządzenia w sprawie zasad potwierdzania, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego elektronicznej platformy usług administracji publicznej 6 ust 1 "osoba wnioskująca, która posiada ważny bezpieczny podpis elektroniczny weryfikowany za pomocą kwalifikowanego certyfikatu" sformułowanie jest niezręczne, bo podpis elektroniczny generalnie się składa a nie "posiada" (posiada podpis czego?). Zamiast tego należy napisać, że możliwe jest potwierdzenie profilu zaufanego za pomocą podpisu kwalifikowanego jeśli certyfikat zawiera wymienione dane. 7 oraz 9 brakuje zakończenia ważności profilu jeśli wygaśnie podpis kwaliifikowany użyty do jego potwierdzenia. 10 "Złożenie podpisu (...) wymaga autoryzacji epuap" nie jest jasne czy chodzi o autoryzację "przez epuap" (ktoś w epuap autoryzuje złożenie podpisu przez użytkownika profilu) czy autoryzację "w epuap" (przed złożeniem podpisu użytkownik musi się zalogować w epuap czy też będąc zalogowanym w epuap potwierdzić ten konkretny podpis). Nigdzie nie jest także wprost zdefiniowane pojęcie "podpisu potwierdzonego profilem zaufanym epuap". Uwagi do uzasadnienia, rozdział "Ocena Skutków Regulacji 4. Wpływ regulacji na rynek pracy; wpływ regulacji na konkurencyjność gospodarki i przedsiębiorczość". Wbrew zawartej w tym rozdziale deklaracji, że rozporządzenie nie będzie miało wpływu na konkurencyjność wpływ ten będzie jak najbardziej istniał w danym przypadku głównie pozytywny. Fakt, że "przedmiotu regulacji nie stanowią kwestie związane z konkurencyjnością" nie powoduje, że dana regulacja nie ma wpływu na gospodarkę. Regulamin Pracy Rady Ministrów, który do procesu legislacyjnego wprowadza instytucję OSR mówi wprost o "przedstawieniu wyników analizy wpływu aktu normatywnego na konkurencyjność wewnętrzną i zewnętrzną gospodarki" ( 10 ust 6 RPRM). Analiza taka musi obejmować szacunek rzeczywistych skutków danej regulacji, a nie to czy konkurencyjność stanowi jej przedmiot czy nie. Dokument "Wytyczne do Oceny Skutków Regulacji" opublikowany przez Ministerstwo Gospodarki opisuje precyzyjnie w jaki sposób analizę taką należy tworzyć. W tym konkretnym przypadku można przewidywać, że wpływ dopuszczenia zaufanego profilu na gospodarkę i konkurencyjność będzie pozytywny, ze względu na zmniejszenie kosztów operacyjnych kontaktów z administracją publiczną obywateli i przedsiębiorców. Samo tylko zastosowanie zaufanego profilu do deklaracji przesyłanych do ZUS ograniczy koszty przedsiębiorców o ok. 30 mln zł rocznie, które obecnie muszą oni wydawać na odnawianie certyfikatów kwalifikowanych zakupionych w większości firm wyłącznie w wyniku nowelizacji ustawy o informatyzacji w 2005 roku i wyłącznie do kontaktów z ZUS. Na oszczędności przełoży się również ograniczenie kosztów związanych z przesyłaniem dokumentów papierowych do i od administracji publicznej, a także możliwość wykorzystania tych samych mechanizmów w komunikacji między firmami. Jest to zarówno oszczędność wynikająca z kosztów bezpośrednich (wydruk pisma, pakowanie, obsługa pocztowa, czas pracownika) ale także wynikająca z przyspieszenia obiegu dokumentów elektronicznych. Biorąc pod uwagę wieloletnie trudności ze zmianą status quo utrwalonego przez ustawę o podpisie elektronicznym z 2001 roku warto by Ministerstwo rozważyło przygotowanie i rozpropagowanie szerszej analizy korzyści ekonomicznych wynikających ze stosowania zaufanego profilu. Z poważaniem, Paweł Krawczyk