Komisia pre štandardy ISVS - PS2 - Bezpečnostné štandardy

Dnes bolo opäť zasadnutie tejto PS. Fast forward o rok ďalej, riešia sa tie isté problémy.

eIDAS:

  • sú reálne problémy s validáciou KEP (prekvapenie, prekvapenie)

  • certifikácie aplikácií podľa z. o dôveryhodných službách (§10) nefungujú, čiže negarantujú že certifikovaná aplikácia dáva výsledky v súlade s eIDAS

    • sú známe certifikované app., ktoré dávajú nesprávne výstupy
    • napr. kataster odmieta podania, ktoré sú z pohľadu zákona valídne
      .
  • bola živá diskusia, či je vhodné/potrebné/nevyhnutné, aby OVM používali pri overovaní podpisu kvalifikovanú službu vs. certifikovanú aplikáciu vs. čo len chcú

    • imho zákon používanie cert. app. ani kvalifikovanej služby nevyžaduje
    • ale v prípade sporu bude úrad musieť vedieť preukázať na základe čoho sa rozhodol
    • ak bude mať záznam z kvalifikovanej služby, je to istota
      .
  • PS žiada ÚPVII o vykonanie kontroly dodržiavania štandardov pre KEP

    • ÚPVII na to má zmocnenie podľa zákona o ISVS aj eGov
    • ÚPVII má aj naplánované niektoré kontroly na OVM od 1.9.2018
      .
  • NBÚ žiada podnety, že certifikované aplikácie nie sú v súlade, aby mohol konať

    • aklamáciou dávame NBÚ podnet že viaceré aplikácie nie sú v súlade s čl.32 eIDAS
      .
  • ja žiadam, aby sa vytváranie/prijímanie KEP prioritne a poriadne vyriešilo pre CEP/ÚPVS

    • btw. CEP práve prechádza na ASiC kontajner, info tu: Pouzivanie ZEPf kontajnera v roku 2017
    • Frič hovorí že podľa jeho informácií bude mať s ACiS kontajnerom veľa problémov
    • nie je jasné či Nases vôbec toto s OVM riešil, ÚPVII sa ich na to pýtalo, bez odpovede zatiaľ
      .
  • Frič hovorí, že problém je aj s vytváraním el. pečatí, ktoré robí veľa OVM “v spolupráci” s Nases

    • je otázka, či Nases nemusí poskytovať kvalifikovanú službu keď toto robí pre ostatných
    • schválená úloha na ÚPVII že preverí aký je tento stav a bude to ďalej riešiť
    • existuje k tomu nejaký list NBÚ z 26.10.2016, keď sa k nemu dostanem, vyvesím ho tu
  • pýtal som sa, aký je stav s notifikovanými schémami podľa eIDAS

    • NBÚ: od 1.9.2018 je povinnosť používať notifikované schémy
    • schéma môže byť poskytovaná cez proxy alebo middleware
    • middleware je, že každý členský štát dostane čiernu škatuľu cez ktorú sa to prepojí
    • proxy je, že všetky req/resp idú cez ústredňu v EK, čiže všetky údaje o všetkých ľuďoch vidno pre všetkých po ceste
    • musíme rozhodnúť ako toto robiť pre eID
    • Nemecko robí svoje schémy cez middleware, lebo nechcú aby niekto pozeral na dáta vnútri
    • ÚPVII zriadil PS na riešenie tejto veci
    • za ÚPVII je tam Ervín Šimko a M. Ohrablo ?
    • členmi sú aj Nases, MV a NBÚ
    • zapojiť sa do PS nie je možné
      .
  • máme dávať podnety do PS, čo ešte s eIDAS treba riešiť, za mňa to vidím takto:

    • čo s certifikáciou applikácií - zrušiť, zvýšiť kvalitu?
    • nech ÚPVII spraví a udržiava tabuľku s prehľadom stavu v KEP v jednotlivých OVM - formáty podpisu, formáty doc. pre vytvárané a akceptované doc.
    • poriadne riešenie pre CEP/Nases
    • výsledky PS pre eID a schémy prejednať v tejto PS

zákon o ITVS:

  • pôjde do opätovného MPK
    • doplnili sa tam ďalšie veci týkajúce sa bezpečnosti
    • v čase MPK nebudú ešte návrhy vyhlášok
    • metodika, ktorá bola predstavená v PS sa dala do zákona
    • ja namietam, že v zákone doteraz stačila 1 veta, je zlé dávať mrte plošných povinností
      .
  • vedúci PS rozošle nové znenie
    • potom diskusia k tomu, ale MPK asi začne skôr

dokument Strategická priorita Kybernetická bezpečnosť

  • Ervín Šimko je nový vedúci PS
  • dokument bol prepracovaný
    • pošlú ho do PS2 aj K9.8 bude sa diskutovať
  • úloha predložiť do konca júna sa posunie
1 Like