Отдельные аспекты электронной идентификации и предоставления доверительных услуг в условиях процессов евроинтеграции Украины

Законодательство Стандартизация Международное сотрудничество Оценка соответствия и надзор О чем следует говорить и какие проблемы решать

Новации eIDAS DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 1999 on a Community framework for electronic signatures ЗАКОН УКРАИНЫ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДИСИ» от IV REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC (eIDAS Regulation) ПРОЕКТ ЗАКОНА УКРАИНЫ «ОБ ИЗМЕНЕНИЯХ В ЗАКОН УКРАИНЫ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДИСИ»

Новации eIDAS Электронная идентификация

Новации eIDAS Доверительные услуги

eIDAS Regulation Timeline Entry into force of the Regulation Voluntary recognition eIDs Date of application of rules for trust services Mandatory recognition of eIDs Новации eIDAS

Терминология "электронная идентификация" - процесс использования идентификационных данных в электронной форме, которые однозначно определяют физическое или юридическое лицо или физическое лицо, представляющее юридическое лицо; "электронная идентификация" - процесс использования идентификационных данных в электронной форме, которые однозначно определяют физическое или юридическое лицо или физическое лицо, представляющее юридическое лицо; "средство электронной идентификации" - материальный и/или нематериальный элемент, содержащий идентификационные данные лица и используется для аутентификации в он- лайн услугах; "средство электронной идентификации" - материальный и/или нематериальный элемент, содержащий идентификационные данные лица и используется для аутентификации в он- лайн услугах; "идентификационные данные лица" - набор данных, который позволяет установить идентичность физического или юридического лица, или физического лица, представляющего юридическое лицо; "идентификационные данные лица" - набор данных, который позволяет установить идентичность физического или юридического лица, или физического лица, представляющего юридическое лицо; "схема электронной идентификации" - система электронной идентификации, в которой средства электронной идентификации выдаются физическим, юридическим лицам или физическим лицам, представляющим юридическое лицо; "схема электронной идентификации" - система электронной идентификации, в которой средства электронной идентификации выдаются физическим, юридическим лицам или физическим лицам, представляющим юридическое лицо; "аутентификация" - электронный процесс, позволяющий подтвердить электронную идентификацию физического или юридического лица или происхождения и целостность электронных данных "аутентификация" - электронный процесс, позволяющий подтвердить электронную идентификацию физического или юридического лица или происхождения и целостность электронных данных

Новации eIDAS Взаимное признание Государство-член должно признавать средства, выданные согласно схемам еID, нотифицированным другими государствами-членами для трансграничного доступа к его государственным услугам, требующих электронной идентификации на основе принципа взаимности Государство-член должно признавать средства, выданные согласно схемам еID, нотифицированным другими государствами-членами для трансграничного доступа к его государственным услугам, требующих электронной идентификации на основе принципа взаимности Нотификация Государство-член должно уведомить Европейскую Комиссию о национальной схеме (схемах) еID, используемой для доступа, как минимум, к государственным услугам Государство-член должно уведомить Европейскую Комиссию о национальной схеме (схемах) еID, используемой для доступа, как минимум, к государственным услугам Европейская Комиссия принимает исполнительные акты, регулирующие обстоятельства, форматы и процедуры нотификации Европейская Комиссия принимает исполнительные акты, регулирующие обстоятельства, форматы и процедуры нотификации Уровни гарантий средств еID Нотифицированные схемы eID должны соответствовать одному из уровней гарантий Нотифицированные схемы eID должны соответствовать одному из уровней гарантий Взаимное признание средств eID с уровнем гарантий «низкий» является добровольным Взаимное признание средств eID с уровнем гарантий «низкий» является добровольным Взаимное признание средств eID с уровнем гарантий «существенный» и «высокий» является обязательным Взаимное признание средств eID с уровнем гарантий «существенный» и «высокий» является обязательным До 18 сентября 2015 Европейская Комиссия должна установить минимальные технические характеристики, стандарты и процедуры в отношении низкого, существенного и высокого уровней гарантии, которые должны применяться для средств еID До 18 сентября 2015 Европейская Комиссия должна установить минимальные технические характеристики, стандарты и процедуры в отношении низкого, существенного и высокого уровней гарантии, которые должны применяться для средств еID

Новации eIDAS Интероперабельность нотифицированных схем еID Обеспечивается за счет создания инфраструктуры совместимости средств eID Обеспечивается за счет создания инфраструктуры совместимости средств eID До 18 сентября 2015 Европейская Комиссия должна принять исполнительный акт в отношении требований к инфраструктуре совместимости средств eID До 18 сентября 2015 Европейская Комиссия должна принять исполнительный акт в отношении требований к инфраструктуре совместимости средств eIDАутентификация Государства-члены должны обеспечить трансграничную аутентификацию для государственных он-лайн услуг Государства-члены должны обеспечить трансграничную аутентификацию для государственных он-лайн услуг Аутентификация в системах государственных он-лайн услуг должна быть бесплатной Аутентификация в системах государственных он-лайн услуг должна быть бесплатной Государство-член может предоставить доступ к системе аутентификации субъектам негосударственного сектора Государство-член может предоставить доступ к системе аутентификации субъектам негосударственного сектора Сотрудничество и взаимодействие Государства-члены должны обмениваться опытом и передовой практикой Государства-члены должны обмениваться опытом и передовой практикой До 15 марта 2015 Европейская Комиссия должна принять исполнительный акт в отношении сотрудничества в сфере eID До 15 марта 2015 Европейская Комиссия должна принять исполнительный акт в отношении сотрудничества в сфере eIDОтветственность Сторона, выпускающая средства eID, должна нести ответственность за ущерб, причиненный в результате несоответствия средств eID стандартам и уровням гарантий Сторона, выпускающая средства eID, должна нести ответственность за ущерб, причиненный в результате несоответствия средств eID стандартам и уровням гарантий

Новации eIDAS требования к процедурам подтверждения и проверки идентичности физических и юридических лиц, которые применяются при выдаче им средств eID; требования к процедурам подтверждения и проверки идентичности физических и юридических лиц, которые применяются при выдаче им средств eID; порядок выдачи запрашиваемых средств eID; порядок выдачи запрашиваемых средств eID; механизмы аутентификации, в которых физическое или юридическое лицо использует средство eID для подтверждения своей идентичности перед доверяющей стороной; механизмы аутентификации, в которых физическое или юридическое лицо использует средство eID для подтверждения своей идентичности перед доверяющей стороной; требования к субъектам, выдающим и участвующим в выдаче средств eID; требования к субъектам, выдающим и участвующим в выдаче средств eID; технические характеристики и характеристики безопасности средств eID технические характеристики и характеристики безопасности средств eID До Европейская Комиссия должна установить:

Новации eIDAS Уровень гарантий средств eID – ключ к выбору технологии «Различные технические определения и описания уровней гарантий существуют как результат основанных в Европе крупномасштабных пилотных проектов, стандартизации и международной деятельности. Так, крупномасштабный пилотный проект STORK и ISO 29115, отсылают, в частности, к уровням 2, 3 и 4, которые должны быть приняты во внимание при установлении минимальных технических требований, стандартов и процедур для уровней гарантий «низкий», «существенный» и «высокий» в соответствии с положениями настоящего Регламента, а также при обеспечении последовательного применения положений Регламента, в частности, для достижения высокого уровня гарантий, связанного с обеспечением идентичности при выдаче квалифицированных сертификатов. Установленные требования должны быть технологически нейтральными. Должна также быть обеспечена возможность достижения необходимых требований безопасности с помощью различных технологий.» REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014

Предъявитель Предъявляемая АИ Немного технологии Верификатор АИ для верификации Доверенная третья сторона АИ для верификации Предъявляемая АИ обменная АИ или АИ для верификации Базовый принцип аутентификации

Немного технологии ISO/IEC 29115:2013 Information technology - Security techniques - Entity authentication assurance framework ISO/IEC 29115:2013 обеспечивает основу для управления гарантиями аутентификации объекта: определяет четыре уровня гарантий аутентификации объекта (LoA) определяет четыре уровня гарантий аутентификации объекта (LoA) определяет критерии и руководящие принципы для достижения каждого из четырех LoA определяет критерии и руководящие принципы для достижения каждого из четырех LoA осуществляет методическое руководство для сопоставления других схем проверки подлинности и четырех LoA осуществляет методическое руководство для сопоставления других схем проверки подлинности и четырех LoA осуществляет методическое руководство для обмена результатами проверки, которые основаны на четырех LoA осуществляет методическое руководство для обмена результатами проверки, которые основаны на четырех LoA осуществляет методическое руководство в отношении элементов управления, которые должны использоваться для смягчения угроз аутентификации осуществляет методическое руководство в отношении элементов управления, которые должны использоваться для смягчения угроз аутентификации

Немного технологии ISO/IEC 29115:2013 Information technology - Security techniques - Entity authentication assurance framework TechnicalTechnical Management & Organizational Credential management phase Enrolment phase Entity authentication phase Authentication Authentication Record-keeping Record-keeping Credential creation Credential creation Credential pre-processing Credential pre-processing Credential initialization Credential initialization Credential binding Credential binding Credential issuance Credential issuance Credential activation Credential activation Application and initiation Application and initiation Identity proofing Identity proofing Identity verification Identity verification Service establishment Service establishment Legal and contractual compliance Legal and contractual compliance Financial provisions Financial provisions Information security management and audit Information security management and audit External service components External service components Operational infrastructure Operational infrastructure Measuring operational capabilities Measuring operational capabilities Record-keeping recording Record-keeping recording Registration Registration Credential storage Credential storage Credential suspension, revocation, and/or destruction Credential suspension, revocation, and/or destruction Credential renewal and/or replacement Credential renewal and/or replacement Record-keeping Record-keeping

Немного технологии ISO/IEC 29115:2013 Information technology - Security techniques - Entity authentication assurance framework Основные сущности Объект - Entity Объект - Entity Поставщик услуг подтверждения полномочий - Credential Service Provider (CSP) Поставщик услуг подтверждения полномочий - Credential Service Provider (CSP) Орган регистрации - Registration Authority (RA) Орган регистрации - Registration Authority (RA) Доверяющая сторона - Relying Party (RP) Доверяющая сторона - Relying Party (RP) Верификатор - Verifier Верификатор - Verifier Третья доверенная сторона - Trusted Third Party (TTP) Третья доверенная сторона - Trusted Third Party (TTP) Уровни гарантий 1 - Low Низкое доверие к заявленной идентичности или его отсутствие 2 - Medium Невысокое доверие к заявленной идентичности 3 - High Высокое доверие к заявленной идентичности 4 - Very high Очень высокое доверие к заявленной идентичности

Немного технологии Сопоставление уровней гарантий eIDAS и ISO/IEC 29115:2013 Уровни гарантий eIDAS Уровни гарантий ISO Доверие к идентичности Характеристики заявленной идентичности Проверка подлинности идентичности- LoA1 – Low низкий Низкое доверие к заявленной идентичности или его отсутствие Идентичность уникальна в пределах контекста Самозаявленная идентичность Low - низкий LoA2 – Medium средний Невысокое доверие к заявленной идентичности Идентичность уникальна в пределах контекста и объект, к которому относится идентичность, объективно существует Проверка подлинности идентичности с помощью идентификационных данных, полученным из авторитетного источника Substantial - существенный LoA3 – High высокий Высокое доверие к заявленной идентичности Идентичность уникальна в пределах контекста, объект, к которому относится идентичность, объективно существует, идентичность возможно проверить, идентичность используется в других контекстах Проверка подлинности идентичности с помощью идентификационных данных, полученным из авторитетного источника + верификация High – высокий LoA4 – Very high очень высокий Очень высокое доверие к заявленной идентичности Идентичность уникальна в пределах контекста, объект, к которому относится идентичность, объективно существует, идентичность возможно проверить, идентичность используется в других контекстах Проверка подлинности идентичности с помощью идентификационных данных, полученным из авторитетного источника + верификация + персональное освидетельствование объекта

Экономический движок Построение профилей РАСШИРЕНИЕ ВОЗМОЖНОСТЕЙ ПОТРЕБИТЕЛЯ Движок построения доверия Доверенные заявления/ полномочия Доверенные заявления/ полномочия РЕАЛИЗАЦИЯ ПРАВ ГРАЖДАН РЕАЛИЗАЦИЯ ПРАВ ГРАЖДАН Персональные данные = частный актив Digital identity vs eIDAS Немного технологии Персональные данные = цифровая валюта

Аутентификация веб-сайта Аутентификация веб-сайта Создание электронного документа Наложение электронной подписи и штампа Наложение метки времени Регистрированная электронная доставка Хранение электронных подписей и штампов Электронная идентификация пользователя Немного технологии eIDAS Regulation e-Transaction workflow

Европейский Союз: внедренные схемы eID Немного статистики

Европейский Союз: внедренные схемы eID Проведено исследований (стран):25 Внедренных схем eID:62 UserName-Password-based eID:9 (15%) UserName-Password-based eID:9 (15%) OTP via SMS-based eID:5 OTP via SMS-based eID:5 OTP Lists-based eID:6 (29%) OTP Lists-based eID:6 (29%) OTP Token-based eID:7 OTP Token-based eID:7 PKI Soft Certificate-based eID:13 PKI Soft Certificate-based eID:13 PKI Token-based eID:2 PKI Token-based eID:2 PKI Smartcard-based eID: 15 PKI Smartcard-based eID: 15 PKI Mobile SIM card - based eID:5 PKI Mobile SIM card - based eID:5 (56%) Немного статистики

PKI Smartcard-based eID (National eID-card): идеальное решение ? Национальная ID-карта eID для e-Government Внедрена Пилотный проект ПланируетсяLiechtenstein+ Lithuania+ Luxembourg+ Malta+ Moldova+ Netherlands Norway Poland + Portugal+ Romania Slovakia + Slovenia Spain+ Sweden+ Turkey+ United Kingdom Национальная ID-карта eID для e-Government Внедрена Пилотный проект ПланируетсяAustria+ Belgium+ Bulgaria + Croatia Cyprus Czech Republic + Denmark Estonia+ Finland+ France + Germany+ Greece Hungary Ireland Italy+ Latvia+ Немного статистики

PKI Smartcard-based eID (National eID-card): идеальное решение ? Немного статистики «Today, there are twice as many National eID issuing countries as those issuing traditional National IDs. By 2018, the number of National eID issuing countries will exceed those issuing traditional National IDs by a ratio of more than 5 to 1. This rapid acceleration in the deployment of National eIDs means that by the end of 2018, 84% of all National IDs issued will be eIDs and that there will be nearly 3.5 billion National eIDs in circulation».

Законодательство Об электронной цифровой подписи (Закон Украины от IV) Требует пересмотра Порядок аккредитации центра сертификации ключей (постановление Кабинета Министров Украины от ) Требует пересмотра Положение о центральном удостоверяющем органе (постановление Кабинета Министров Украины от ) Требует пересмотра Правила усиленной сертификации (приказ ДСТСЗИ СБУ от ) Требует пересмотра Нормативные документы в сфере технической защиты информации (НД ТЗИ) Требуютпересмотра Базовые НПА Украины сферы ЭЦП и e-ID: Сейчас

Законодательство Об электронной цифровой подписи (Закон Украины от IV) Об электронных доверительных услугах (Закон Украины) Порядок аккредитации центра сертификации ключей (постановление Кабинета Министров Украины от ) Об электронных доверительных услугах (Закон Украины) + стандарт Положение о центральном удостоверяющем органе (постановление Кабинета Министров Украины от ) Об электронных доверительных услугах (Закон Украины) + Регламент + стандарт Правила усиленной сертификации (приказ ДСТСЗИ СБУ от ) Стандарт Нормативные документы в сфере технической защиты информации (НД ТЗИ) О демографическом реестре и документах, подтверждающих личность (Закон Украины) + Стандарты е-ID Базовые НПА Украины сферы ЭЦП и e-ID:

Стандартизация Гармонизация европейских стандартов в Украине Действующие международные стандарты (ISO): Действующие европейские стандарты (CEN/ETSI): Задачи гармонизации стандартов как условие членства в ЕС:80% Гармонизированные международные стандарты (ДСТУ-ISO):5 000 Гармонизированные европейские стандарты (ДСТУ-CEN/ETSI):1 800 Гармонизированные на языке оригинала (ДСТУ-ISO) En/En+:600 Гармонизированные на языке оригинала (ДСТУ-CEN/ETSI) En/En+:45 Гармонизированные стандарты сферы ЭЦП (ДСТУ-ISO/CEN/ETSI): 42

Стандартизация Европейские стандарты сферы ЭЦП : Сейчас

Стандартизация Европейские стандарты доверительных услуг: 2015 M460 An EC mandate to CEN/CENELEC & ETSI to rationalise eSignature Standardisation in Europe

Стандартизация M460 An EC mandate to CEN/CENELEC & ETSI to rationalise eSignature Standardisation in Europe Европейские стандарты доверительных услуг: 2015

Стандартизация M460 An EC mandate to CEN/CENELEC & ETSI to rationalise eSignature Standardisation in Europe Европейские стандарты доверительных услуг: 2015

Оценка соответствия и надзор ETSI EN :Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers

С С Орган нотификации статуса доверительных услуг Национальный орган аккредитации Органы оценки соответствия Аудиторы Список доверия Провайдер доверительных услуг Оценка соответствия и надзор Схема надзора за провайдерами доверительных услуг Критерии оценки Отчет об аудите Нотификация Взаимодействие Аккредитация Публикация Заявка на аудит Аудит

Оценка соответствия и надзор Стандарты сферы оценки соответствия ISO/IEC & ETSIДСТУ ISO/IEC 17021: 2011: "Conformity assessment - Requirements for bodies providing audit and certification of management systems ДСТУ ISO/IEC :2008 ISO/IEC 17024:2012: Conformity assessment -- General requirements for bodies operating certification of persons ДСТУ ISO/IEC 17024:2005 ISO/IEC 17024:2005: General requirements for the competence of testing and calibration laboratories ДСТУ ISO/IEC 17025:2006 ISO/IEC 19011: 2011: "Guidelines for auditing management systems ДСТУ ISO 19011:2012 ISO/IEC 17065: "Conformity assessment - Requirements for bodies certifying products, processes and services Нет ISO/IEC 27006: 2011: "Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems" Нет ETSI EN : Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers Нет

ISO/IEC & ETSIДСТУ ISO/IEC 27001: 2013: "Information technology -- Security techniques -- Information security management systems – Requirements ДСТУ ISO/IEC 27001: из 27 ISO/IEC 15408: 2008: "Information technology -- Security techniques -- Evaluation criteria for IT Security Нет ETSI EN : "Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers supporting Electronic Signatures Нет ETSI EN : "Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Policy requirements for certification authorities issuing qualified certificates Нет ETSI EN : "Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 3: Policy requirements for Certification Authorities issuing public key certificates Нет ETSI EN : " Policy and security requirements for Trust Service Providers issuing certificates; Part 4: Policy requirements for certification authorities issuing Attribute Certificates Нет Оценка соответствия и надзор Критерии оценки соответствия провайдеров доверительных услуг

e-Justice Communication via Online Data Exchange 24 European countries: Austria, Belgium, Bulgaria, Cyprus, Czech Republic, Estonia, France, Germany, Greece, Hungary, Italy, Ireland, Jersey, Lithuania, Malta, Netherlands, Norway, Poland, Portugal, Romania, Spain, Sweden, Turkey, United Kingdom 24 European countries: Austria, Belgium, Bulgaria, Cyprus, Czech Republic, Estonia, France, Germany, Greece, Hungary, Italy, Ireland, Jersey, Lithuania, Malta, Netherlands, Norway, Poland, Portugal, Romania, Spain, Sweden, Turkey, United Kingdom December February 2015 December February 2015 Total cost: 24m Total cost: 24m Международное сотрудничество Electronic Simple European Networked Services Electronic Simple European Networked Services 20 European countries: Austria, Czech Republic, Denmark, Estonia, France, Germany, Greece, Ireland, Italy, Luxembourg, The Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Turkey, 20 European countries: Austria, Czech Republic, Denmark, Estonia, France, Germany, Greece, Ireland, Italy, Luxembourg, The Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Turkey, April April 2015 April April 2015 Total cost: 23m Total cost: 23m Пан-европейские крупномасштабные пилотные проекты Secure idenTity acrOss boRders linKed 2.0 Secure idenTity acrOss boRders linKed European countries: Austria, Belgium, Czech Republic, Estonia, France, Island, Greece, Italy, Lithuania, Luxembourg, Portugal, Slovenia, Slovakia, Spain, Sweden, Switzerland, The Netherlands, Turkey, United Kingdom Total cost: 18,7m Total cost: 18,7m

Международное сотрудничество Open Pan European Public Procurement Online 11 European countries: Austria, Denmark, Finland, France, Germany, Greece, Italy, Norway, Portugal, Sweden, and the United Kingdom Total cost: 30,8m Пан-европейские крупномасштабные пилотные проекты Simple Procedures Online for Cross-border Services 16 European countries: Austria, France, Germany, Greece, Italy, Lithuania, Luxembourg, Malta, the Netherlands, Norway, Poland, Portugal, Romania, Slovenia, Sweden, United Kingdom Total cost: 24m European Patients Smart Open Services 25 European countries: Austria, Belgium, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Italy, Luxembourg, Malta, Norway, Poland, Portugal, Slovenia, Slovakia, Spain, Sweden, Switzerland, The Netherlands, Turkey, United Kingdom July June 2014 Total cost: 36,5m

Международное сотрудничество Инициативные группы и проекты CA/Browser Forum 22 countries over the World: Bermuda, Czech Republic, China, Estonia, France, Germany, Israel, Italy, Japan, Lithuania, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Spain, Switzerland, Taiwan, Turkey, United Kingdom, USA November 2005 – current time November 2005 – current time Forum of European Supervisory Authorities for Electronic Signatures 28 European countries and USA: Albania, Austria, Belgium, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Israel, Italy, Lithuania, Luxembourg, Malta, Montenegro, Netherlands, Norway, Poland, Serbia, Slovak Republic, Spain, Sweden, Switzerland, Turkey, United Kingdom, United States January current time

Program on interoperability solutions for European public administrations, businesses and citizens (ISA 2 ) European countries: MS & non-MS January December 2020 January December 2020 Total cost: 131m Total cost: 131m Международное сотрудничество Инициативные группы и проекты

Международное сотрудничество

Спасибо за внимание! Юрий Козлов ГП «Информационный центр» Министерства юстиции Украины