N á v r h. Ministerstvo vnitra stanoví podle 9 odst. 3 a 4 a 21 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů:

Transkript

1 N á v r h VYHLÁŠKA ze dne 2009 kterou se stanovují náležitosti přístupových údajů pro přihlašování do datové schránky, elektronické prostředky pro přihlašování do datové schránky, technické podmínky a bezpečnostní zásady pro přístup do datové schránky a způsob tvorby identifikátoru datové schránky (vyhláška o podrobnostech přístupu do datové schránky) Ministerstvo vnitra stanoví podle 9 odst. 3 a 4 a 21 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů: 1 Náležitosti přístupových údajů pro přihlašování do datové schránky (1) Přístupové údaje pro přihlašování do datové schránky tvoří uživatelské jméno a bezpečnostní heslo. (2) Uživatelské jméno je pro každou osobu jedinečné. (3) Uživatelské jméno je řetězec nejméně 6 znaků. (4) Bezpečnostní heslo je řetězec nejméně 8 znaků. (5) Přípustné znaky pro tvorbu uživatelského jména a bezpečnostního hesla jsou uvedeny v příloze č. 1 k této vyhlášce. (6) Bezpečnostní heslo nesmí být shodné s uživatelským jménem, se kterým tvoří přístupové údaje. 2 Elektronické prostředky pro přihlašování do datové schránky (1) Pro přihlašování do datové schránky lze použít elektronický prostředek, který je kryptografickým prostředkem a) obsahujícím soukromý kryptografický klíč a veřejný kryptografický klíč, které jsou vytvořeny a užívány s využitím některého z algoritmů uvedených v bodu I přílohy č. 2 k této vyhlášce, b) obsahujícím certifikát sloužící k autentizaci uživatele (dále jen autentizační certifikát ) a který je vytvořen a užíván s využitím některé z hashovacích funkcí uvedených v bodu II přílohy č. 2 k této vyhlášce a s využitím algoritmů podle písmene a), c) umožňujícím vytvoření, uložení a použití soukromého a veřejného kryptografického klíče a autentizačního certifikátu ve formátu podle technické normy uvedené v bodu III písm. a) přílohy č. 2 k této vyhlášce; autentizační certifikát obsahuje 1. údaje umožňující identifikovat osobu, která se přihlašuje do informačního systému datových schránek, 2. obchodní firmu nebo název poskytovatele certifikačních služeb, který autentizační certifikát vydal, jedná-li se o právnickou osobu, nebo jméno, popřípadě jména, příjmení, případně odlišující dodatek, jedná-li se o fyzickou osobu, a stát, ve kterém je poskytovatel certifikačních služeb usazen,

2 3. číslo autentizačního certifikátu unikátní u daného poskytovatele certifikačních služeb a 4. údaje o počátku a konci platnosti autentizačního certifikátu, d) neumožňujícím přenos soukromého kryptografického klíče podle písmene a) z tohoto elektronického prostředku, e) podporujícím použití některého z algoritmů uvedených v bodu I přílohy č. 2 k této vyhlášce a některé z hashovacích funkcí uvedených v bodu II přílohy č. 2 k této vyhlášce, f) jehož použití je podmíněno zadáním bezpečnostního kódu (PIN) a g) u něhož není známo zvýšené riziko ohrožující provoz informačního systému datových schránek. (2) Autentizační certifikát podle odstavce 1 písm. b) je vydaný akreditovaným poskytovatelem certifikačních služeb nebo jiným subjektem, který a) při poskytování certifikačních služeb používá důvěryhodné systémy a postupy splňující požadavky standardu pro tyto systémy uvedeného v bodu III písm. b) přílohy č. 2 k této vyhlášce a u kterého je splnění požadavků tohoto standardu nejméně jednou ročně ověřováno auditem splňujícím požadavky technické normy uvedené v bodu III písm. c) přílohy č. 2 k této vyhlášce, b) při řízení bezpečnosti důvěryhodných systémů uplatňuje systém řízení bezpečnosti informací podle požadavků technické normy uvedené v bodu III písm. d) přílohy č. 2 k této vyhlášce a u kterého je splnění požadavků této technické normy nejméně každé dva roky ověřováno auditem splňujícím požadavky technické normy uvedené v bodu III písm. c) přílohy č. 2 k této vyhlášce; pokud je zavedení systému řízení bezpečnosti informací v důvěryhodných systémech certifikováno na shodu s touto technickou normou, je provedení auditu systému řízení bezpečnosti informací považováno za splněné, c) před vydáním autentizačního certifikátu zajišťuje odpovídajícími prostředky bezpečné ověření identity osoby oprávněné ke vstupu do datové schránky, které je certifikát vydáván a d) po vydání autentizačního certifikátu zajišťuje službu zneplatnění a zpřístupňuje provozovateli informačního systému datových schránek seznam zneplatněných certifikátů. 3 Technické podmínky a bezpečnostní zásady pro přístup do datové schránky (1) Užívá-li některá z osob oprávněných k přístupu do datové schránky pro přihlašování elektronický prostředek, informační systém datových schránek neumožní žádné osobě přistupovat do této datové schránky pomocí uživatelského jména a hesla. (2) Je-li při přihlašování do datové schránky pomocí přístupových údajů podle 1 bezprostředně po sobě po páté chybně zadáno bezpečnostní heslo, informační systém datových schránek odepře přístup do datové schránky prostřednictvím stejných přístupových údajů na dobu 1 hodiny od okamžiku pátého chybného zadání bezpečnostního hesla; zároveň zašle provozovatel informačního systému datových schránek na elektronickou adresu zvolenou osobou, pro níž byla datová schránka zřízena, nebo administrátorem, sdělení, že došlo k pokusu o neoprávněný přístup do datové schránky a že se osobě oprávněné k přístupu do datové schránky doporučuje, aby bez prodlení provedla změnu bezpečnostního hesla. 2

3 (3) Neprovede-li osoba oprávněná k přístupu do datové schránky, která je do datové schránky přihlášena, v datové schránce žádný úkon po dobu 10 minut, informační systém datových schránek tuto osobu z datové schránky odhlásí. (4) Informační systém datových schránek umožní osobě oprávněné k přístupu do datové schránky kdykoliv změnit bezpečnostní heslo; změnu bezpečnostního hesla lze provést způsobem umožňujícím dálkový přístup. (5) Při přihlašování do datové schránky s využitím elektronického prostředku podle 2 se uplatňují bezpečnostní zásady uvedené v certifikační politice, kterou akreditovaný poskytovatel certifikačních služeb nebo jiný subjekt podle 2 odst. 2 vede v souladu se standardem uvedeným v bodu III písm. b) přílohy č. 2 k této vyhlášce a zveřejňuje ji způsobem umožňujícím dálkový přístup. (6) Za účelem náležitého a bezpečného používání datových schránek zveřejňuje provozovatel informačního systému datových schránek způsobem umožňujícím dálkový přístup uživatelskou příručku informačního systému datových schránek. 4 Způsob tvorby identifikátoru datové schránky (1) Provozovatel informačního systému datových schránek vytváří identifikátor datové schránky automatizovaným generováním. (2) Identifikátor datové schránky je pro každou datovou schránku jedinečný. 5 Účinnost Tato vyhláška nabývá účinnosti dnem 1. července

4 Příloha č. 1 k vyhlášce č. /2009 Sb. Tabulka přípustných znaků pro tvorbu uživatelského jména a bezpečnostního hesla Přípustný znak ASCII kód přípustného znaku Přípustný znak ASCII kód přípustného znaku Přípustný znak ASCII kód přípustného znaku! 33 D 68 d 100 # 35 E 69 e 101 $ 36 F 70 f 102 % 37 G 71 g 103 & 38 H 72 h 104 ( 40 I 73 i 105 ) 41 J 74 j 106 * 42 K 75 k L 76 l 108, 44 M 77 m N 78 n O 79 o P 80 p Q 81 q R 82 r S 83 s T 84 t U 85 u V 86 v W 87 w X 88 x Y 89 y 121 : 58 Z 90 z 122 = 61 [ 91 { 123? 63 ] _ 95 } 125 A 65 a 97 ~ 126 B 66 b 98 C 67 c 99 4

5 Příloha č. 2 k vyhlášce č. /2009 Sb. Seznam algoritmů, hashovacích funkcí, standardů a technických norem I. Algoritmy a) RSA 2048 bitů (RFC 3447) b) DSA (FIPS PUB 186-2) c) ECDSA-Fp (ANSI X9.62) d) ECDSA-F2m (ANSI X9.62) II. Hashovací funkce a) SHA-2 256, 384, 512 bitů (FIPS 180-2) b) RIPEMD-160 III. Standardy a technické normy a) ČSN ISO/IEC Informační technologie Propojení otevřených systémů Adresář: Základní struktury certifikátu veřejného klíče a certifikátu atributu b) ETSI TS Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates c) ČSN EN ISO Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu d) ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky 5

6 ODŮVODNĚNÍ A. Obecná část Závěrečná zpráva z hodnocení dopadů regulace 1. Důvod předložení a cíle Cílem navrhované právní úpravy, tj. vyhlášky, kterou se stanovují náležitosti přístupových údajů pro přihlašování do datové schránky, elektronické prostředky pro přihlašování do datové schránky, technické podmínky a bezpečnostní zásady pro přístup do datové schránky a způsob tvorby identifikátoru datové schránky (vyhláška o podrobnostech přístupu do datové schránky), je stanovení požadavků na výše uvedené v souladu se zmocněními uvedenými v zákoně č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, tak, aby byla zajištěna bezpečnost informačního systému datových schránek ve smyslu zabránění neoprávněnému přístupu do datové schránky. Předmětem zákona o elektronických úkonech a autorizované konverzi dokumentů je úprava datových schránek určených pro elektronickou komunikaci s orgány veřejné moci, provádění úkonů a doručování dokumentů prostřednictvím informačního systému datových schránek, autorizované konverze dokumentů - možnost převodu dokumentu z listinné podoby do podoby elektronické a naopak; dokument, který provedením konverze vznikl má stejné právní účinky jako ověřená kopie dokumentu, jehož převedením výstup vznikl. Zákon č. 300/2008 Sb. byl dne publikován ve Sbírce zákonů a nabývá účinnosti dne Definice problému Klíčovým institutem pro provádění elektronických úkonů podle zákona č. 300/2008 Sb., tj. pro doručování orgány veřejné moci a činění úkonů vůči orgánům veřejné moci, představují datové schránky. Pro zajištění bezpečnosti provozu informačního systému datových schránek zákon zmocňuje Ministerstvo vnitra k vydání vyhlášky stanovující technické požadavky na podrobnosti přístupu do datových schránek. Konkrétně se jedná o náležitosti přístupových údajů a elektronické prostředky k přihlášení do datové schránky, technické podmínky a bezpečnostní zásady přístupu do datové schránky a způsob tvorby identifikátoru datové schránky. 1.2 Popis cílového stavu Cílem zavedení institutu datových schránek pro doručování je přiblížení orgánu veřejné moci občanovi prostřednictvím elektronických nástrojů, zefektivnění komunikace mezi občanem a orgánem veřejné moci a komunikace mezi orgány veřejné moci. Pokud orgány veřejné moci efektivně využijí skutečnosti, že jim bude doručováno v elektronické formě, bude důsledkem navrhované úpravy nejen zefektivnění komunikace, ale i práce s dokumenty v rámci jednotlivých orgánů veřejné moci. 6

7 1.3 Identifikace dotčených skupin Uživatelé datových schránek Navrhovaná právní úprava nepředpokládá žádné povinné finanční výdaje pro uživatele datových schránek. Jediným možným výdajem v souvislosti s touto vyhláškou jsou náklady na pořízení elektronického prostředku a autentizačního certifikátu k přihlašování do datové schránky. Používání tohoto prostředku však jednak není uloženo jako povinnost a jednak se počítá s využitím elektronických prostředků, které již uživatel využívá nebo bude využívat k jinému účelu (karty pro elektronické bankovnictví, elektronické občanské průkazy). Jedná se o způsob, jak přístup do datové schránky lépe zabezpečit, což povede k vyšší důvěře uživatelů, kteří nechtějí spoléhat pouze na ochranu přihlašovacím jménem a heslem. Dodavatelé technického řešení Navrhovaná úprava je důležitá nejen pro realizátora informačního systému datových schránek, ale i pro potenciální poskytovatele elektronických prostředků třetích osob. Vyhláškou dochází k zezávaznění určitých minimálních standardů, které musí splňovat jak poskytovatel, tak jím vydávané elektronické prostředky a certifikáty, což zamezí použití neověřených řešení, které by mohlo být bezpečnostním rizikem. Orgány veřejné moci Rozšíření okruhu uživatelů datových schránek v důsledku zvýšení bezpečnosti systému použitím elektronických prostředků k přihlašování umožní další zvýšení podílu elektronické komunikace a ušetří čas i náklady orgánům veřejné moci. 1.4 Popis existující regulace/vládní politiky pro danou oblast Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, je platný ode dne 19. srpna 2008, přičemž jeho realizaci je třeba zajistit mimo jiné i tímto prováděcím právním předpisem a to nejpozději do nabytí účinnosti dnem 1. července Oblast certifikačních služeb je upravena mezinárodně uznávanými standardy, z nichž nejvýznačnější jsou v Evropě vydávány organizací ETSI (European Telecommunications Standards Institute) a CEN (Comité Européen de Normalisation). Některé ze standardů ETSI byly transponovány do norem ČSN. CWA (CEN Workshop Agreement) je název skupiny dokumentů, které vytvářejí pracovní skupiny organizace CEN. Referenční čísla třech norem CWA byla publikována v Úředním věstníku EU - CWA , CWA a CWA Tím se staly pro poskytovatele vydávající kvalifikované certifikáty závaznými. Dalšími významnými standardy jsou FIPS publikované americkým institutem NIST (National Institute of Standards and Technology). Řada těchto technických standardů má již místo v českém právním řádu a je již nyní závazná pro kvalifikované poskytovatele certifikačních služeb (zezávazněny vyhláškou č. 378/2006 Sb., vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb). 1.5 Zhodnocení rizika nečinnosti Návrh předkládané vyhlášky je prováděcím právním předpisem zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů. Vzhledem k tomu, že zákon předpokládá úpravu náležitostí přístupových údajů k přihlášení do datové schránky, elektronických prostředků k přihlášení, technických 7

8 podmínek a bezpečnostních zásad přístupu a způsobu tvorby identifikátoru vyhláškou a zavazuje k dodržování této vyhlášky, nelze bez její existence informační systém datových schránek vybudovat ani provozovat a tím naplnit zákon č. 300/2008 Sb. Je-li jedním z cílů vlády elektronizace veřejné správy a justice, je tento návrh vyhlášky nezbytným krokem k jejímu naplnění. 2. Návrh variant řešení 2.1 Nulové řešení neexistence vyhlášky Zákon č. 300/2008 Sb. nabude účinnosti dnem 1. července Do té doby je nutné vybudovat informační systém datových schránek. Vzhledem k tomu, že zákon stanoví povinnost respektovat zásady a náležitosti stanovené touto vyhláškou, nebylo by bez této vyhlášky možné dodržovat zákon. 2.2 Náležitosti přístupových údajů k přihlášení do datové schránky Varianta I složité přístupové údaje Pro zajištění bezpečnosti je při stanovování náležitostí přístupových údajů důležité najít vhodný kompromis mezi jejich délkou a složitostí a jejich zapamatovatelností. Je všeobecně známým faktem, že s délkou a složitostí hesla klesá geometrickou řadou pravděpodobnost možnosti prolomení hesla tzv. hrubou silou, kdy útočník postupně zkouší různé kombinace znaků, dokud heslo neodhalí. Počty možných různých kombinací při různých délkách hesla a různých sadách používaných znaků uvádí tabulka 1. Délka hesla kombinací kombinací kombinací kombinací kombinací Použité znaky 100 hesel/sec 100 hesel/sec 100 hesel/sec 100 hesel/sec 100 hesel/sec znaků minuty 16 minut 3 hodiny 1 den 11 dní 0-9;a-z 36 znaků x10 9 8x x hodin 7 dní 8 měsíců 25 let 900 let a-z;a-z; znaků x x x dny 3 měsíce 18 let let let a-z;a-z; x x x10 15 speciální znaky 85 znaků (&^%$#) 6 dní 1 rok 120 let let let Tabulka 1. Počet různých možných kombinací při různých délkách hesla a různých sadách používaných znaků a čas potřebný k vyzkoušení všech kombinací při rychlosti 100 hesel za sekundu. Z těchto poznatků vychází časté požadavky na tvorbu bezpečných hesel: heslo musí obsahovat minimálně 8 znaků, nejlépe 14 a více znaků v hesle se musí střídat malá a velká písmena heslo musí obsahovat speciální znaky Ovšem i při dostatečné délce hesla lze toto heslo někdy prolomit tzv. slovníkovým útokem. Při tomto druhu útoku zkouší útočník nejprve existující slova nebo jejich kombinace z připraveného slovníku. Takových slov je samozřejmě mnohem méně, než je všech možných posloupností znaků a proto i pravděpodobnost prolomení je mnohem větší. Z toho vychází další požadavek: 8

9 heslo by nemělo mít žádný význam Dále by heslo nemělo být žádným údajem z okolí majitele rodné číslo, číslo telefonu, domu, adresa, jméno někoho z rodiny, psa, atd. Heslo, které respektuje výše uvedená pravidla je vysoce odolné proti útoku hrubou silou, má však jeden zásadní nedostatek. Není jednoduché si ho zapamatovat. Tento fakt je často opomínán, avšak je srovnatelným rizikem s použitím slabých (tj. nedostatečně složitých) hesel. Nemožnost zapamatovat si heslo nutí uživatele k tomu, aby si heslo někam poznamenal. Například studie britské asociace platebních společností uvádí, že i tak citlivé údaje jako jsou přístupové údaje k elektronickému bankovnictví uchovává přibližně třetina respondentů zapsané buď poblíž své pracovní stanice, nebo je má uloženy v souboru na svém PC. Obdobné výsledky publikuje ve svém výzkumu Annual Consumer Security Confidence Survey i společnost RSA Security. V rámci jejího výzkumu uvedlo 30% respondentů, že uchovávají své přístupové údaje zapsané (konkrétně 8% v peněžence nebo v kabelce, 5 % vedle počítače, 4% v souboru v počítači a 13% jinde). Další 3% uvedly, že svá hesla zapomínají a musí si je nechávat obnovovat. Tím samozřejmě bezpečnost údajů opět rapidně klesá a zdá se, že složitá hesla nemusí být vždy ideálním řešením. Varianta II méně složité přístupové údaje a omezení počtu pokusů pro zadání údajů Logickým východiskem z problému zmíněného v předchozí variantě se zdá být zjednodušení přístupových údajů. Budou ovšem takové údaje dostatečně bezpečné? Pravděpodobně ne. Ale jejich bezpečnost můžeme zvýšit dodatečnými opatřeními. Takovým opatřením může být omezení počtu pokusů pro zadání hesla. Pokud je po několika po sobě jdoucích pokusech zadáno chybné heslo, systém zablokuje na určitou dobu přístup. Tím je znemožněno postupné zkoušení různých kombinací až do okamžiku prolomení hesla a můžeme si dovolit použití jednodušších přístupových údajů. Příkladem mohou být bankovní aplikace, kde např. karty do bankomatu jsou chráněny pouze kódem PIN skládajícím se ze 4 číslic. Výběr varianty V řešení navrhovaném ve vyhlášce byl zvolen určitý kompromis mezi oběma variantami. Základem je varianta II. Nejmenší přípustná délka hesla je 8 znaků a maximální počet pokusů na zadání hesla je 5. Zároveň je však ponechána možnost zvolit si heslo delší a složitější, pokud se pro to uživatel rozhodne. 2.3 Elektronické prostředky k přihlášení Varianta I Žádná úprava Možnost využívat libovolné elektronické prostředky je z bezpečnostního hlediska nevyhovující, neboť v takovém případě nelze zajistit garantovanou úroveň bezpečnosti daného prostředku. Varianta II Individuální posuzování elektronických prostředků Druhou variantou je individuální posuzování jednotlivých elektronických prostředků. V ČR však neexistují laboratoře ani instituce schopné posoudit úroveň bezpečnosti kryptografických prostředků. Další nevýhodou této varianty je, že i kdyby v ČR existovala laboratoř posuzující kryptografické prostředky, jejich posouzení a certifikace je velmi náročný 9

10 a dlouhý proces. Posouzení prostředku je výjimečně otázkou měsíců, mnohem častěji spíše let. Samozřejmě takto náročný proces přináší i velké finanční náklady. Dá se předpokládat, že tyto překážky jsou natolik výrazné, že zvolení této varianty by mělo za důsledek znemožnění používání elektronických prostředků k přihlašování do datové schránky. Varianta III El. prostředky musí splňovat již využívaný standard Možností jak zajistit, aby zařízení odpovídalo určitým bezpečnostním požadavkům a zároveň aby nemusel být posuzován každý prostředek výhradně pro přihlašování do informačního systému datových schránek, je využití již existujících standardů, podle kterých jsou kryptografické prostředky hodnoceny celosvětově. Pro tuto variantu hovoří fakt, že tyto standardy jsou již ověřeny praxí a někteří jejich výrobci nechávají své výrobky na tyto standardy hodnotit. Na druhou stranu získání mezinárodní certifikace je velmi náročný proces a zdaleka ne všechny běžně používané prostředky, které by z bezpečnostního hlediska pro přihlašování do datové schránky vyhovovaly, jsou certifikovány. Okruh bezpečnostních požadavků z hlediska přihlašování do datové schránky navíc není zcela totožný s žádnou rozšířenou certifikací. Výrobci elektronických prostředků by tedy v případě zvolení této varianty museli nechat své výrobky certifikovat na vyšší úroveň, což by od nich vyžadovalo nemalé finanční náklady a splnění i dalších podmínek, které nejsou nutné pro přihlašování do datové schránky, ale certifikace je vyžaduje. Vzhledem k tomu, že výrobci elektronických prostředků jsou zahraniční společnosti, nelze jim povinnost certifikace uložit a s přihlédnutím k velikosti českého trhu ani očekávat jejich motivaci certifikovat své prostředky speciálně z důvodu jejich využití pro přihlašování do informačního systému datových schránek. Varianta IV Určení minimálních technických požadavků na el. prostředky Tato varianta je určitým zmírněním variant II a III. Vyžaduje dodržení jistých vlastností elektronického prostředku stanovených vyhláškou, avšak nepožaduje žádnou konkrétní certifikaci prostředku. Výhodou této varianty je to, že prostředek používaný k přihlašování musí splnit pouze podmínky, které jsou skutečně nutné pro dostatečnou úroveň bezpečnosti přihlášení do informačního systému datových schránek a žádné další. Výběr varianty Aby elektronické prostředky k přihlašování do datové schránky splňovaly svůj účel, musí rozhodně splňovat určité bezpečnostní požadavky, varianta I je tedy nepřípustná. Posuzování podle varianty II je v našich podmínkách téměř nerealizovatelné. Využití varianty III by zajistilo dostatečnou úroveň bezpečnosti, znamenalo by však zbytečné vyloučení některých vyhovujících prostředků. Následkem by mohlo být například to, že uživatelé datových schránek nebudou moci využívat např. čipové karty, které již vlastní a budou muset investovat do dražších prostředků, které mají příslušnou certifikaci. Proto se vyhláška přiklání k variantě IV, která zaručuje dostatečnou úroveň bezpečnosti, ale není nadměrně striktní. 2.4 Technické podmínky a bezpečnostní zásady přístupu Technické podmínky a bezpečnostní zásady přístupu do datové schránky jdou ruku v ruce s náležitostmi přístupových údajů a tyto náležitosti doplňují tak, aby vybrané řešení zajišťovalo odpovídající zabezpečení přístupu do datové schránky. Požadavek na omezení počtu pokusů při zadávání přístupového hesla vyplývá ze zvolené varianty přístupových údajů. Vyhláška navíc stanoví, že pokud je maximální počet pokusů pro zadání hesla překročen, zašle informační systém datových schránek na zvolenou adresu upozornění na tuto skutečnost, s doporučením na podniknutí odpovídajících bezpečnostních opatření. 10

11 Možnost změny hesla je standardní možností většiny vyspělých informačních systémů. Pokud má uživatel podezření, že mohlo dojít ke kompromitaci jeho hesla, může si heslo sám změnit, což je mnohem rychlejší a snadnější procedura, než kdyby musel například žádat o vydání nových přístupových údajů. Další výhodou je, že pokud si uživatel bude moci heslo změnit, může si zvolit takové heslo, které si bude schopen zapamatovat (přičemž požadavek na minimální délku by měl zabránit volbě příliš triviálního hesla). Alternativou je změnu hesla neumožnit, což by vedlo k zapisování hesel (viz. náležitosti přístupových údajů, varianta I) a především k nemožnosti okamžitě zareagovat na možnou kompromitaci přístupových údajů. Automatické odhlášení po určitém čase je dalším standardním bezpečnostním prvkem, který chrání uživatele, který se buď zapomene odhlásit, nebo si například neplánovaně odběhne od počítače ve chvíli, kdy je přihlášen do své datové schránky. Další z technických podmínek je, že pokud některá z osob oprávněných k přístupu do datové schránky používá k přihlašování elektronický prostředek, je pro tuto schránku zablokována možnost přihlašování pomocí uživatelského jména a hesla. V případě, že by tomu tak nebylo, nemělo by přihlašovaní pomocí elektronického prostředku žádný význam, neboť by útočník měl stále možnost neoprávněně vniknout do datové schránky prolomením hesla. 2.5 Způsob tvorby identifikátoru Vzhledem k tomu, že problematika identifikátorů v informačních systémech veřejné správy je podrobně řešena ve vládním návrhu zákona o základních registrech, bude po nabytí účinnosti zákona o základních registrech informační systém datových schránek samozřejmě tento zákon respektovat a pro komunikaci se základními registry a jinými agendovými informačními systémy bude používat agendové identifikátory fyzických osob a identifikátory právnických osob. Jelikož byla problematika identifikátorů přesunuta do výše zmíněného zákona o základních registrech a identifikátor datové schránky bude sloužit pouze jako technický údaj uvnitř informačního systému datových schránek, nejeví se jako příliš účelné tento údaj a způsob jeho tvorby příliš striktně omezovat. V návrhu vyhlášky je tedy ponechána co možná nejvyšší volnost realizátorovi informačního systému datových schránek, aby zvolil nejvhodnější možnost. 3. Návrh implementace vybraného řešení Po zřízení datové schránky obdrží osoba, pro kterou byla schránka zřízena, uživatelské jméno a heslo k přístupu do datové schránky. Heslo si po té může kdykoliv změnit, přičemž stanovený požadavek na minimální počet znaků zamezí volbě příliš triviálních hesel. Součástí uživatelské příručky, kterou bude provozovatel informačního systému datových schránek zveřejňovat na Internetu budou mimo jiné i pokyny a rady, jak vytvářet hesla tak, aby byla současně bezpečná a zapamatovatelná. Při přihlašování do datové schránky bude mít uživatel celkem 5 pokusů na zadání hesla. Pokud se mu v těchto 5 pokusech heslo zadat nepodaří, zablokuje systém tomuto uživateli přístup do datové schránky na dobu 1 hodiny a zároveň zašle upozornění na ovou adresu, že došlo k pokusu o neoprávněný přístup, že schránka byla zablokována a že se uživateli doporučuje změna hesla. Adresu, na kterou má být zasíláno upozornění zvolí osoba, pro kterou byla schránka vytvořena, nebo administrátor. Po hodině dojde k opětovnému odblokování schránky. Pokud bude chtít uživatel využívat vyšší míru zabezpečení, může pro přístup do datové schránky využívat elektronické prostředky. Předpokládá se, že jedním možným prostředkem bude elektronický občanský průkaz, který zavádí novela zákona č. 328/1999 Sb., o občanských průkazech. Další možností budou tzv. elektronické prostředky třetích stran, 11

12 které splňují bezpečnostní požadavky stanovené touto vyhláškou. Uvažuje se například využití čipových karet používaných v elektronickém bankovnictví. Elektronický prostředek bude obsahovat autentizační certifikát a odpovídající privátní kryptografické klíče. Používání tohoto prostředku se bude řídit certifikační politikou, kterou vydává a zveřejňuje poskytovatel certifikačních služeb nebo jiný subjekt, který autentizační certifikát vydal. 4. Hospodářský a finanční dopad na státní rozpočet Vyhláška nebude mít dopad na veřejné rozpočty. Stanovené náležitosti přístupových údajů, technické a bezpečnostní zásady přístupu a způsob tvorby identifikátoru neovlivní náklady na vytvoření a provoz informačního systému datových stránek. Taktéž s využitím elektronických prostředků k přihlašování bylo kalkulováno již při vzniku zákona a vymezení požadavků na tyto prostředky nijak nemění náklady na informační systém datových schránek uvažované v rámci tohoto zákona. 4.1 Sociální dopady Navrhovaná právní úprava nemá negativní sociální dopady. Návrh nepředpokládá žádné technické znalosti fyzických či právnických osob a tudíž neklade žádné nároky na jejich počítačovou gramotnost či technické vybavení. Použití elektronických prostředků není pro majitele datových schránek obligatorní. Navíc se počítá s využitím elektronických prostředků, které již uživatelé datových schránek vlastní (např. čipové karty, které v současnosti používají pro přihlašování do elektronického bankovnictví, v budoucnu též elektronické občanské průkazy). 4.2 Dopady na životní prostředí Navrhovaná vyhláška nemá žádné negativní dopady na životní prostředí. Naopak s přihlédnutím ke skutečnosti, že budou častěji využívány dokumenty v elektronické podobě, dojde ve výsledku k úspoře listinných dokumentů, a proto lze v tomto směru hovořit i o určitém pozitivním dopadu na životní prostředí. 4.3 Dopady ve vztahu k rovnosti mužů a žen Návrh vyhlášky nemá žádné dopady ve vztahu k rovnosti příležitostí a postavení mužů a žen, protože neupravuje žádné oblasti vztahů odlišně pro muže a ženy. Návrh rovněž nemá žádné dopady ve vztahu k rovnosti postavení z důvodu rasy nebo etnického původu, sexuální orientace, věku, zdravotního postižení, náboženství či víry, ani z jiných obdobných důvodů. 5. Kontakty a prohlášení o schválení RIA Ing. Lucie Urbanová, lucie.urbanova@mvcr.cz Mgr. Dagmar Bosáková, dagmar.bosakova@mvcr.cz Ing. Radek Horáček, radek.horacek@mvcr.cz Bc. Jaroslav Tománek, jaroslav.tomanek@mvcr.cz 6. Zhodnocení souladu navrhované právní úpravy se zákonem k jehož provedení je navržena, včetně souladu se zákonným zmocněním k jejímu vydání a souladu navrhované právní úpravy s předpisy Evropské unie Navrhovaná právní úprava je v souladu se zákonem, k jehož provedení je navržena, a se zákonným zmocněním k jejímu vydání. 12

13 Z hlediska práva Evropských společenství se oblasti upravované navrhovanou právní úpravou se týká směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně jednotlivců v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů. S touto směrnicí je navrhovaná právní úprava v souladu. 13

14 B. Zvláštní část K 1 K odst. 1 Přístupové údaje mají obvyklé součásti uživatelské jméno a bezpečnostní heslo. K odst. 2 Podmínkou pro uživatelské jméno je jeho jedinečnost v rámci množiny uživatelských jmen používaných k přístupu do informačního systému datových schránek. K odst. 3 Stanoví se přípustné hodnoty pro tvorbu uživatelského jména, a to jak z hlediska použití znaků tak z hlediska minimální přípustné délky. Uživatelské jméno je osobě oprávněné k přístupu do datové schránky přidělováno a nemá možnost jej měnit na rozdíl od bezpečnostního hesla dle 3 odst. 4. K odst. 4 Pro tvorbu bezpečnostního hesla jsou akceptovány základní principy tvorby tzv. silných hesel. Bezpečnostní heslo má osoba oprávněná k přístupu do datové schránky možnost měnit dle 3 odst. 4. Další doporučení pro tvorbu bezpečnostních hesel a pro nakládání s nimi budou součástí uživatelské dokumentace k informačnímu systému datových schránek. K odst. 5 Stanoví se přípustné znaky pro tvorbu uživatelského jména a bezpečnostního hesla včetně jejich ASCII kódů. K odst. 6 Z bezpečnostních důvodů je nepřípustné, aby uživatelské jméno a heslo byly shodné. K 2 Pro přihlašování do datové schránky mohou sloužit přístupové údaje podle 1 nebo elektronické prostředky. Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, rozlišuje elektronické prostředky vydané Ministerstvem vnitra a elektronické prostředky třetích stran. Elektronickými prostředky vydanými Ministerstvem vnitra budou občanské průkazy podle připravované novely zákona č. 328/1999 Sb., o občanských průkazech. K odst. 1 Elektronickými prostředky třetích stran mohou být hardwarové kryptografické prostředky, jakými jsou aktivní čipová karta nebo kryptografický modul, přičemž k autentizaci uživatele slouží autentizační certifikát, který je v prostředku uložen. Autentizací uživatele se rozumí proces, při kterém se ověřuje identita protější strany, neboli to, zda je uživatel či systém skutečně tím, za koho se vydává. Autentizační certifikát je tzv. certifikát veřejného klíče, což je datová struktura obsahující kromě veřejného klíče údaje o vlastníkovi veřejného klíče a o certifikační autoritě, která certifikát vydala [veškeré údaje v autentizačním certifikátu jsou specifikovány v písm. c)]. V písm. d) se stanoví požadavek na neumožnění přenosu soukromého kryptografického klíče na jiný prostředek, tj. je definován požadavek na to, aby prostředkem byla aktivní čipová karta. Zásadní rozdíl mezi aktivní a pasivní čipovou kartou je ten, že vybrané části kryptograficky podstatné informace (soukromé kryptografické klíče) v případě aktivní čipové karty nikdy neopouští prostředí karty a nemohou tak být zneužity zařízením, s nímž karta komunikuje, na rozdíl od pasivní čipové karty, kde zařízení pracuje s celou kryptograficky podstatnou informací. Celkově jsou 14

15 požadavky na elektronické prostředky stanoveny tak, aby bylo dosaženo akceptovatelné míry bezpečnosti a zároveň aby stanovené požadavky byly reálné. Odpovídající typy čipových karet využívají například akreditovaní poskytovatelé certifikačních služeb pro služby elektronických podpisů (čipové karty Starcos 2.3., resp. 3.0). Ustanovení písm. g) dává provozovateli informačního systému datových schránek možnost nepřipustit k užívání takové elektronické prostředky třetích stran, které by pro provoz systému představovaly bezpečnostní riziko. K odst. 2 Autentizační certifikáty mohou vydávat jak akreditovaní poskytovatelé certifikačních služeb, tak i jiné subjekty, přičemž se předpokládá, že se bude jednat především o banky (čipové karty určené pro autentizaci vůči systémům elektronického bankovnictví). Lze tedy využít čipové karty, které byly prvotně vydány za jiným účelem a na kterých jsou již uloženy kryptografické klíče a certifikáty určené pro jiný účel. Je však nutné definovat požadavky na tyto subjekty a jejich služby, systémy a postupy. Ke stanovení těchto požadavků je využito tří mezinárodně platných norem ISO, které byly převzaty do soustavy ČSN, a technické specifikace (TS) ETSI - Evropského institutu pro normalizaci v telekomunikacích (European Telecommunications Standards Institute). K 3 K odst. 1 Ve vztahu k používání přístupových údajů nebo elektronických prostředků pro přihlašování do datových schránek se stanoví požadavek vycházející ze zásady, že systém je tak slabý, jak slabý je jeho nejslabší článek. Pokud se tedy jedna z více osob oprávněných k přístupu do jedné datové schránky rozhodne (resp. rozhodne tak vedení příslušné organizace), že bude přistupovat pomocí elektronického prostředku, je nezbytné, aby tak učinily i všechny další osoby. K odst. 2 Stanoví se obvyklé bezpečnostní opatření v souvislosti se zadáváním bezpečnostního hesla chybné heslo může být opakovaně zadáváno při pokusu o jeho prolomení. Stanoví se rovněž postup, kterým jsou dotčené osoby informovány o této skutečnosti. Z hlediska bezpečnosti je žádoucí, aby v takovém případě byla provedena změna bezpečnostního hesla. K odst. 3 Stanoví se obvyklé bezpečnostní opatření při nečinnosti osoby přihlášené do datové schránky. Účelem je zabránit tomu, aby kdokoliv neoprávněný mohl se systémem pracovat. K odst. 4 Je umožněno, aby osoba oprávněná k přístupu do datové schránky mohla změnit bezpečnostní heslo a měla tak jistotu, že nemůže být zneužito jinou osobou. K odst. 5 Obecně platí, že subjekt, který vydává certifikáty veřejného klíče, vydává certifikační politiku, což je dokument, který obsahuje informace o tomto subjektu, jeho službách a jejich cenách. Certifikační politika je velmi důležitým dokumentem pro uživatele služeb tohoto subjektu, neboť obsahuje popis zásad pro poskytované služby. Dále je na jejím základě možné posoudit kvalitu nabízených služeb, zjistit, zda je subjekt pojištěn, jak postupuje v krizových situacích nebo zda při vlastní činnosti postupuje v souladu se zásadami stanovenými v tomto dokumentu. Mezinárodně používaná struktura certifikační politiky je obsažena v uvedené technické specifikaci (obdobně v RFC 3647). Při vydávání certifikátu uživatel ve smlouvě zpravidla svým podpisem stvrzuje, že se s certifikační politikou seznámil. 15

16 K odst. 6 Uživatelé informačního systému datových schránek musí mít k dispozici návod k použití, tj. uživatelskou příručku. Tu provozovatel systému zveřejňuje na Internetu. K 4 V informačním systému datových schránek jsou tyto schránky označeny identifikátory, které jsou automatizovaně generovány; aby splnily požadavek na identifikaci, není přípustné, aby dvě nebo více schránek bylo označeno stejným identifikátorem. K 5 Účinnost vyhlášky se navrhuje k témuž dni, kdy má nabýt účinnosti prováděný zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů. K příloze č. 1: Stanoví se přípustné znaky pro tvorbu uživatelského jména a bezpečnostního hesla včetně jejich ASCII kódů. K příloze č. 2: Algoritmy asymetrické kryptografie a hashovací funkce jsou stanoveny na základě současných poznatků a s ohledem na požadavky uvedené v dokumentu ETSI TS V2.0.0 (ALGO Paper). Použití standardů a technických norem je zdůvodněno v předchozím textu u příslušných ustanovení. 16