Průkaz státního zaměstnance jako komplexní bezpečnostní předmět

Podobné dokumenty
KLÍČ K e-identitě. PhDr. Radek Muška. STÁTNÍ TISKÁRNA CENIN, státní podnik

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

STÁTNÍ TISKÁRNA CENIN, státní podnik. STC to s eidasem umí! Únor 2017

Zákon o elektronickém zdravotnictví. Řízení identitních prostředků zdravotnických pracovníků a důsledky pro práci se zdravotnickou dokumentací

OKsmart a správa karet v systému OKbase

Použití čipových karet v IT úřadu

Jednotná správa identit, oprávnění, certifikátů a přístupů v heterogenním prostředí organizace Nemocnice Pardubického kraje a.s.

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

Rok informatiky 2016 SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY SZR JE NYNÍ EIDENTITA READY

Elektronizace obchodních dokumentů Jak na to s využitím služeb I.CA

SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY. Základní registry a eidas

Zpráva pro uživatele CA

Využívání čipových karet na MPSV. Mgr. Karel Lux, vedoucí odd. koncepce informatiky

Zpráva pro uživatele CA

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant

Sdílené služby českého egovernmentu. Ing. Ondřej Felix CSc Hlavní architekt egovernmentu MVČR

Aktuality z elektronické identifikace. Jaromír Talíř

SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY. Základní registry a eidas

Nařízení eidas v souvislostech. Ing.Robert Piffl. Poradce náměstka ministra vnitra pro ICT

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

GDPR, eidas Procesní nebo technologický problém?

eidas stav k Ing.Robert Piffl poradce náměstka ministra

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Nařízení eidas aneb elektronická identifikace nezná hranice

Důvěra napříč Evropou nařízení eidas. + návrh zákona o službách vytvářejících důvěru pro elektronické transakce

LETEM SVĚTEM egovernmentem. Roman Vrba, ředitel odboru egovernmentu MV ČR

eidas 2015 Stav 12/2015 k nařízení EU č. 910/2014 ze dne

eidas Mgr. Dagmar Bosáková Smart Cards & Devices Forum

STORK Secure Identity Across Borders Linked

Ministerstvo pro místní rozvoj stanoví podle 213 odst. 3 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, (dále jen zákon ): 2 Vymezení pojmů

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

Elektronická identifikace jako součást řešení e-governmentu Ing.Robert Piffl Poradce náměstka ministra vnitra pro ICT

Využití služeb egovernmentu poskytovateli zdravotních služeb

První rok života s eidas

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

eidas odstartuje Německo Jaromír Talíř

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

eidas změny v 2016 Ing.Robert Piffl poradce náměstka ministra

KVALIFIKOVANÉ CERTIFIKÁTY

Z internetu do nemocnice bezpečně a snadno

SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY. SZR a elektronická identita nejen s (e)op

Služby egovernmentu. Certifikační autorita PostSignum Poštovní datová zpráva. Pavel Plachý Andrea Barešová

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

Česká pošta důvěryhodný partner státu

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

Elektronická komunikace

Dokumenty dle eidas v praxi Michal Vejvoda

Hybridní čipové karty

Programové vybavení OKsmart pro využití čipových karet

eidas... aneb co nám přináší nařízení EU č. 910/2014 ze dne

ISVS a sdílené služby v roce Petr Kuchař, hlavní architekt eg MV Michal Pešek, ředitel SZR

Plnění povinností eidas s využitím služeb I.CA. Ing. Petr Budiš. Ph.D., MBA První certifikační autorita, a.s

Co děláme pro lepší egovernment

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

Zpráva pro uživatele CA

Novinky v legislativě

NOVÉ SLUŽBY CESNET PRO eidas. Jiří Bořík CESNET. konference e-infrastruktury CESNET 2019 Praha

Akreditovaná certifikační autorita eidentity

VaV projekt TA je řešen s finanční podporou TA ČR

NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ ROK INFORMATIKY SLAVKOV U BRNA 6. ČERVNA 2019

Aktuální stav implementace eidas. Filip Bílek

eobčan a egovernment ISSS 2013 Petr Mayer Atos IT Solutions and Services, s.r.o.

Zpráva pro uživatele TSA

GDPR ochrana osobních údajů

[1] ICAReNewZEP v1.2 Uživatelská příručka

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost

Zpráva pro uživatele CA

Česká pošta, s.p. Certifikační autorita PostSignum

Kdy si užijeme eidas

eidas a technologická neutralita

Realizace eidas u poskytovatele důvěryhodných služeb

Správa stanic a uživatelského desktopu

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

skarta inovativní nástroj státní správy

eidentita 2019 NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ PRAHA 24. DUBNA 2019

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

Zpráva pro uživatele TSA

Elektronické nástroje a uveřejňování informací

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Úložiště certifikátů pro vzdálené podepisování

eidas Dopad na elektronický podpis v ČR

Jak na GDPR? Petr Mayer, duben 2017

Základní informace o zpracování osobních údajů

Novinky v legislativě egovernmentu

PŘÍLOHA. návrh. nařízení Evropského parlamentu a Rady,

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Víc než kvalifikovaná služba. SecuSign.

Autorizovaná konverze dokumentů

10. funkční období. Návrh zákona o službách vytvářejících důvěru pro elektronické transakce

ÚŘAD BEZ PRAXI. Jan Tejchman Senior Solution Consultant

Dokumentace. k projektu Czech POINT. Popis použití komerčního a kvalifikovaného certifikátu

Parlament se usnesl na tomto zákoně České republiky:

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

Logo manuál je souborem předpisů, které slouží k práci s jednotným vizuálním stylem logotypu Správy státních hmotných rezerv ČR.

Ak#vity a plány MV ČR v oblas# el.iden#fikace a služeb vytvářejících důvěru. Hlavní architekt egovernmentu, MV ČR

Zpráva pro uživatele CA

Elektronický podpis význam pro komunikaci. elektronickými prostředky

Transkript:

Průkaz státního zaměstnance jako komplexní bezpečnostní předmět Jiří Hejl jiri.hejl@sshr.gov.cz, +420606724987 Správa státních hmotných rezerv ČR, ústředí: Šeříková 616/1, 150 85 Praha 5 Smíchov, e-mail: posta@sshr.cz, www.sshr.cz

Omezení prosím čtenáře o pochopení, že uváděné informace nemusí v době přípravy prezentace odpovídat plně stavu, který je či bude schválen v SSHR uvedené informace mají sloužit zejména k otevření diskuze nad problematikou průkazu státního zaměstnance, kvalifikovaného prostředku pro vytváření kvalifikovaných elektronických podpisů a k diskuzi nad realizací uvedených výzev jedním nosičem 2

Současný stav v SSHR stávající zaměstnanecký průkaz bezkontaktní čip MIFARE DESFire v gestci OBKŘ docházkový systém ADS elektronická zabezpečovací signalizace EZS OBKŘ vydává průkaz na pokyn personalisty včetně inicializace a aktivace v ADS a EZS nosič - karta a individuální přelepky s potiskem ID karty jako identifikace aktuálního držitele procesy vydání průkazu, odebrání průkazu, změna držitele průkazu 3

Výzvy povinnost do 31.12.2018 vybavit každého státního zaměstnance Průkazem státního zaměstnance a ostatní osoby Průkazem (nestátního) zaměstnance povinnost do 19.9.2018 vybavit osoby technickým a programovým vybavením v souvislosti s požadavkem na používání kvalifikovaného elektronického podpisu dle eidas vybavit osoby technickým a programovým vybavením v souvislosti s komerčním certifikátem (většinou) pro přístup do státních IS (Rejstřík trestu, internetové bankovnictví ČNB, ISDS, NEN, ) fakultativně vybavit osoby technickým a programovým vybavením v souvislosti s identifikací a autentizací do IS SSHR fakultativně vybavit osoby technickým a programovým vybavením v souvislosti s šifrováním dat v prostředí SSHR vybavit osoby technickým vybavením pro účely docházkového systému ADS vybavit osoby technickým vybavením pro účely Poplachového zabezpečovacího a tísňového systému PZTS (dříve Elektrická zabezpečovací signalizace EZS) řešení musí být ekonomicky optimální a jeho procesy co nejvíce automatizované 4

Řešení univerzální bezpečnostní předmět nosič několika identit identita státního nebo nestátního zaměstnance projevená potiskem lícové strany předmětu, identita držitele projevená v bezkontaktní části jako ID předmětu pro účely ADS a PZTS identita držitele projevená v kontaktní část privátními klíči a certifikáty pro definované účely použití podpora souvisejících procesů prostřednictvím jednotného CMS - Card Management System 5

Identita státního zaměstnance projevená potiskem lícové strany předmětu podle vzoru ve vyhlášce 388/2017 Sb., o vzoru služebního průkazu státního zaměstnance rubová strana služebního průkazu státního zaměstnance je vyhrazena pro zápis jiných údajů, stanoví-li tak jiný právní předpis 6

Problematika Průkazu státního zaměstnance vychází ze zákona 234/2014 Sb. o státní službě a vyhlášky 388/2017 Sb. o vzoru služebního průkazu státního zaměstnance služební průkaz osvědčuje, že jeho držitel je státním zaměstnancem Perličky průkaz vydává každý služební úřad nezávisle příjmení a označení služebního úřadu (v němž státní zaměstnanec vykonává službu) se zapisují velkými písmeny fotografii zpracovává každý služební úřad nezávisle a nejde ji tedy mimo vydávající služební úřad jednoduše zpřístupnit pro vyplnění ostatních položek je nutný přístup do Informačního systému o státní službě, který ve svém Rejstříku státních zaměstnanců obsahuje pro účely vyplnění položek Průkazu jen jméno, příjmení, titul, číslo služebního průkazu, evidenční číslo státního zaměstnance, den vzniku služebního poměru, údaj o tom, zda se jedná o služební poměr na dobu neurčitou též doba jeho trvání, služební úřad, v němž státní zaměstnanec vykonává státní službu Průkaz tedy nelze použít k identifikaci návštěvníka na jiném služebním úřadu nemohu důvěřovat potisku, nelze ověřit údaje potisk je uveden ve vyhlášce, kdokoliv si tedy může nosič potisknout a ukrást identitu potisk je možné doplnit bezpečnostními prvky, ale opět individuálně bez centrálních pravidel k čemu má tedy průkaz sloužit? osobní údaje, zejména fotografie, případně přístup z jiného služebního úřadu 7

Životní situace průkazu státního zaměstnance zákon určuje 18 životních situací státního zaměstnance, viz 44 zákona 234/2014 Sb., o státní službě jsou realizovány těmito procesy Proces vydání průkazu Proces aktualizace Proces dočasného uschování Proces odebrání Proces zničení průkazu Proces vydání a odebrání dočasného průkazu Ztráta průkazu na základě analýzy dopadů životních situací státního zaměstnance na životní cyklus Průkazu změna role personalisty SSHR 8

Identita nestátního zaměstnance potisk lícové i rubové strany je v pravomoci vydávajícího zaměstnavatele osobní údaje, zejména fotografie a přístup k nim odjinud 9

Identita v bezkontaktní části pro oba druhy zaměstnanců je bezkontaktní část identická technicky obsahuje čip MIFARE DESFire EV2 4K a funguje na frekvenci 13,56 MHz, se kterou pracuje řada čteček obsahem čipu je ID karty a nejde měnit ID karty je zavedeno v ADS a v PZTS a je k němu přiřazena identifikace držitele včetně požadované autorizace ID karty je zřejmě osobní údaj zpracovávaný na základě souhlasu subjektu údajů 10

Identita v kontaktní části bezpečnostní předmět je kvalifikovaným prostředkem pro vytváření kvalifikovaných elektronických podpisů (QSCD) podle požadavků eidas čip je QSCD a spolupracuje s APCS podporuje uložení certifikátů třetích stran nebo z vlastní doménové CA: dvoufaktorové přihlášení autentizačním certifikátem do PC (doporučení GDPR, Zákona o kybernetické bezpečnosti "ZKB") ochrana uživatelských dat šifrovacím certifikátem čip je certifikován také na vytváření kvalifikované elektronické pečetě podpora automatizované obnovy certifikátů uložených na kartě 11

Problémy související s QSCD certifikace je dnes na: kartu a její aplikaci, čtečka podléhá standardnímu SSCD a CE middleware certifikaci nemá! aplikace - v rámci aplikační vrstvy, která kartu využívá, certifikace nejsou podpora uložení jiných certifikátu pro implementaci dalších funkcí karty (maximalizace využití karty v organizaci) 12

Prostředí vytváření podpisu 13

Důvěra v podepisování k eidas je vydáno mj. prováděcí nařízení 2016/650, kterým se stanoví normy pro posuzování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí podle čl. 30 odst. 3 a čl. 39 odst. 2 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu Příloha uvádí normu EN 419 211, která sestává z různých částí (1 až 6), jež se týkají různých situací. Norma EN 419 211 část 5 a norma EN 419 211 část 6 uvádějí rozšíření související s prostředím kvalifikovaných prostředků pro vytváření podpisů, jako je komunikace s důvěryhodnými aplikacemi pro vytváření podpisů. Výrobci mohou tato rozšíření použít. Podle 56. bodu odůvodnění nařízení (EU) č. 910/2014 je rozsah certifikace podle článků 30 a 39 uvedeného nařízení omezen na ochranu dat pro vytváření podpisů a z rozsahu certifikace jsou vyloučeny aplikace pro vytváření podpisů. podle MVČR do toho patří i middleware, je tedy také vyloučeno z rozsahu certifikace to je samozřejmě docela problém, protože protection profiles (z prováděcího nařízení 2016/650) definují bezpečnostní požadavky, které jsou jak na prostředek, tak i aplikace. Toto navíc umocňuje kontroverznost požadavku některých uživatelů na cachování PIN, kdy se na jedno zadání PIN má umožnit více elektronických podpisů/pečetí. V řetězci prostředek čtečka middleware aplikace pak vzniká bílé místo. Pokud se nevynutí znovuzadání PIN na úrovni prostředku nebo middleware, tak není garantováno, že uživatel vždy ví, že se něco podepisuje. 14

Možné řešení jako základ vždy použít prostředek, který má certifikaci dle norem uvedených v nařízení 2016/650 vytvořit bezpečnostní požadavky na základě stejných norem a jejich mapování na další komponenty čtečka spíše ovlivňuje vyšší vrstvy, dle toho, jestli je čtečka PINPad nebo obyčejná middleware aplikace provedení auditu na vyhodnocení shody řešení s definovanými bezpečnostními požadavky 15

Doplňovat na vyšší úrovně podpisu co nejdříve povýšit podpis na vyšší úroveň zajištění dlouhodobé ověřitelnosti před povýšením dochází k ověření podpisu (využít jako kontrolu, co je podepsáno) 16

Identifikace a šifrování v prostředí SSHR doména Windows Server 2016 aktivace doménové certifikační služby - certifikáty pro autentizaci a šifrování (zdarma) procesy spojené se správou doménové CA implementovány jako součást managementu životního cyklu karet a certifikátů přihlašování do počítače vyhovění doporučením ZKB a GDPR zvýšení komfortu uživatelů a povýšení bezpečnosti při vyjmutí karty ze čtečky automatické uzamknutí stanice uživatele přihlašování do aplikací šifrování a key escrow čtečky karet 17

Architektura řešení 18

Procesy inicializace import dat o kartách do managementu karet a certifikátů přiřazení a vydání karty uživateli distribuce bezkontaktní identifikační části do okolních systémů potisk karty v designu státního zaměstnance nebo v designu SSHR dotisk uživatelských údajů vygenerování klíčů a vydání doménových certifikátů pro autentizaci a šifrování záznam událostí a jejich import do centrální správy 19

Procesy vydání QC do QSCD automatizované obnova certifikátů bez účasti na registračním místě změna QPIN a PUK karty při prvním použití kvalifikovaného el. klíče vytvoření a předání vazby uživatel + číslo QSCD prostředku APCS za účelem vydávání kvalifikovaného certifikátu na správný kvalifikovaný prostředek pro vytváření kvalifikovaných elektronických podpisů 20

Provázání s Windows Server 2016 integrace do AD šablony certifikátů pro technologické prvky, autentizaci a šifrování bezpečnostní koncept CA havarijní plány pro ošetření problémových stavů bezpečnostní certifikační směrnice a politiky vydávání definovaných certifikátů podle vytvořené politiky zálohování chodu CA 21

Shrnutí multifunkční nosič identit okolí potisk průkaz státního zaměstnance k čemu je to vůbec dobré? kontaktní část certifikáty zajistit požadovanou úroveň důvěry v kvalifikované podpisy bezkontaktní část ADS, PZTS Windows Server 2016 key escrew procesy 22

Děkuji za pozornost Prostor pro otázky a možná i pro odpovědi Jiří Hejl +420 606724987 jiri.hejl@sshr.gov.cz 23

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář