Upload File

tunnistaminen ja luottamuspalvelut - kyberturvallisuuskeskus · 2018. 12. 28. · esityslista 1....

  • Home
  • Documents
  • Tunnistaminen ja luottamuspalvelut - Kyberturvallisuuskeskus · 2018. 12. 28. · Esityslista 1. Kokouksen avaus ja edellisen kokouksen 1.6.2016 pöytäkirja 2. Viestintäviraston
41
Tunnistaminen ja luottamuspalvelut Päätyöryhmä 12.9.2016

Upload: others

Post on 28-Jan-2021

7 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Tunnistaminen ja luottamuspalvelut

    Päätyöryhmä

    12.9.2016

  • |

    Esityslista

    1. Kokouksen avaus ja edellisen kokouksen 1.6.2016 pöytäkirja

    2. Viestintäviraston määräyksen, ohjeiden ja suositusten valmistelutilanne

    3. Hyväksytyt ja ei-hyväksytyt eIDAS -luottamuspalvelut

    4. eIDAS -standardoinnin tilanne

    5. Kansainväliset ryhmät

    6. Syksyn työsuunnitelma

    7. Muut asiat

    20.9.2016 TuLu pääryhmä 12.9.2016 2

  • Viestintäviraston määräyksen, ohjeiden ja suositusten valmistelutilanne

    ...

    3

  • |

    Valmistelutilanne

    Dokumentti vaihe

    Määräys 72/2016 M • Lausuntokierros päättyi 10.6.2016 • Korjataan joitain pykäliä lausuntojen

    perusteella • TRIS-notifiointi tehty • Käännökset (SV, EN) tarkistettavana • Korjaukset käännettävä • Pyritään antamaan syyskuun aikana,

    mutta mennee lokakuulle

    MPS72 • Viimeisteltävää • Käännökset (SV, EN) tarkistettavana • Korjaukset käännettävä

    Ohje 211/2016 O Tunnistuspalveluntarjoajan auditoinnin mallikriteeristö

    • Lausuntokierros päättyi 10.6.2016 • Korjattu versio työryhmälle 7.7.2016 • Sen jälkeen tarkistettu vielä

    säännösviittaukset • Valmis julkaistavaksi – yhtä aikaa

    määräyksen kanssa

  • |

    Valmistelutilanne

    Dokumentti

    vaihe

    Suositus 212/2016 S Finnish Trust Network SAML 2.0 Protocol Profile

    • Lausuntokierros päättyi 23.6.2016 • Lausuntoyhteenveto ja korjatut

    versiot työryhmälle 25.8.2016 • Käsiteltiin 30.8. työryhmässä • Tulee vielä 2 viikon

    kommentontikierros noin syyskuun puolivälissä

    Suositus 213/2016 S OpenID Connect Protocol Profile for the Finnish Trust Network

    Ohje 214/2016 O Tunnistus- ja luottamuspalveluiden ilmoitukset

    • Lausuntoaika 14.7.-26.8.2016 • Ei lausuntoja • Neuvontaa annettu yleisesti ja

    yrityskohtaisesti • Viimeistelyä vaille valmis

    julkaistavaksi

    Ohje 215/2016 O Tunnistus- ja luottamuspalveluiden arviointikertomukset

    • Lausuntoaika 14.7.-26.8.2016 • Ei lausuntoja • Tulee vielä 2 viikon

    kommentointikierros noin syyskuun puolivälissä

    20.9.2016 TuLu –työryhmä 30.8.2016 5

  • |

    Valmistelutilanne

    Dokumentti vaihe

    Ohje 216/2016 O Luottamusverkoston käytännesäännöt

    • 1 versio tehty 10/2015 • Vahingonkorvausoikeudellinen

    selvitys 4/2016 • 16.6. vika ja häiriöasiat • 30.8. käyttörajoitukset • 16.9. tietosuojakäytänne • Keskusteltavat teemat

    tunnistettu syksylle • Jatkoeditointi Viestintäviraston

    resurssoinnissa tärkeysjärjestyksessä tällä hetkellä määräyksen ja ohjeiden jälkeen

    • Sovittu KKV:n kanssa viranomaisneuvontapalaverin pitämisestä syksyn aikana

    20.9.2016 TuLu –työryhmä 30.8.2016 6

  • |

    Määräyslinjauksia

    Lausuntokierroksen perusteella tarkistetaan seuraavia asioita

    • 5.2 § Tunnistusjärjestelmän tekniset tietoturvatoimenpiteet

    • Hallintaverkon työasemavaatimuksia korkealla tasolla voi toteuttaa muillakin ratkaisuilla kuin täysin dedikoitu kovennettu työasema

    • 6 § Tunnistusmenetelmän tietoturvavaatimukset • Selkeytys: välinettä ei saa yhdistää tiettyyn henkilöön

    ennen ensitunnistamista

    • 7 § Tunnistusjärjestelmän ja rajapintojen salausvaatimukset

    • sallitaan toistaiseksi myös TLS 1.1 käyttö, silloin kun TSL 1.2 ei ole mahdollista – tarjottava konfiguraatiossa ensin TLS 1.2:ta

    20.9.2016 TuLu -työryhmä 30.8.2016 7

  • |

    Määräyslinjauksia

    • 12 a § TUPAS-protokollaa käytettäessä välitettävät tiedot

    • 12 b § Korttipohjaista tunnistusvälinettä käytettäessä välitettävät tiedot

    • Poistetaan pykälät määräyksestä ja tehdään niiden sijaan kirjallinen selvityspyyntö toimenpiteistä ja aikataulusta

    • 18 § Tunnistuspalvelun ulkoisen arviointielimen vaatimukset

    • Esimerkkisäännöstöt: Tarkistetaan BISin ohjeet ja lisätään ISACA

    • 19 § Tunnistuspalvelun sisäisen tarkastuslaitoksen vaatimukset

    • Esimerkkisäännöstöt: Lisätään IIA ja ISACA, muotoillaan viittauksia FIVA:an ja BISiin

    20.9.2016 TuLu -työryhmä 30.8.2016 8

  • |

    Tarkastuskertomusohjeen linjauksia

    Tulosten luotettava todentaminen » Menetelmät kuvattava Viestintävirastolle

    » Mieluiten vähintään kaksi lähdettä

    Tarkastuskertomusten toimittamissykli » TunnL 31.2 § "Tarkastuskertomus on voimassa arvioinnissa käytetyn

    standardin määrittelemän ajan, kuitenkin enintään 2 vuotta"

    » Voimassaolon laskenta: päivämäärästä, jolloin ensimmäinen tarkastuskertomus on hyväksytty

    » Pystyttävä osoittamaan Viestintävirastolle, että mikään osa-alue ei vanhentunut

    Dokumentaation säilyttäminen » Vähintään tarkastuskertomuksen voimassaolon ajan

    » Huomioitava myös, mitä sovellettavat menetelmät edellyttävät tietojen säilyttämiseltä.

    Poikkeamien raportointia » Viestintävirasto ei laadi poikkeamien vakavuusasteikkoa

    » Luokittelu jää arvioijan ja palveluntarjoajan väliseksi asiaksi

    » Tarkastuskertomusohje huomioi lähinnä vähäiset poikkeamat, joita ei ole korjattu ennen tarkastuskertomuksen toimittamista sekä korjatut poikkeamat

    20.9.2016 TuLu pääryhmä 12.9.16 9

  • |

    Käytännesääntöryhmän linjauksia

    Käyttörajoitukset: » käytännesääntöissä kuvataan yleisesti se, mitä lainsäädännössä

    todetaan estoista ja rajoituksista.

    » Ei ole tarpeen kuvata sitä, miten estoista ja rajoituksista tiedotetaan tai miten ne pidetään saatavilla. Asia hoituu jo tällä hetkellä sopimusten kautta.

    » Käytännesäännöissä ei voida sopia joidenkin tiettyjen tai tietynlaisten asiointipalveluiden poissulkemisesta rajoitusten muodossa. Rajoitusten harkitseminen ja laatiminen jää kunkin tunnistusvälineen liikkeellelaskijan ja/tai välityspalvelun itsensä päätettäväksi.

    Tavaramerkkien näkyvyys » Keskusteltiin siitä, olisiko käytännesäännöissä syytä sopia jotain

    tavaramerkkien esitystavasta.

    » Tavaramerkkien näkyvyys ja esitystapa vaatii vielä lisäkeskustelua

    Tunnistettiin kysymys siitä, että asiointipalvelulla ei ole oikeus käyttää henkilötietoa siitä, minkä tunnistusvälineen (esim. pankin) asiakas käyttäjä on, myös hetun käyttöoikeuteen liittyy rajoituksia. Näitä asioita katsotaan tietosuojakäytänteen yhteydessä.

    20.9.2016 TuLu pääryhmä 12.9.16 10

  • |

    Toimeenpanoryhmän linjauksia Rajapintamäärittelyt

    » Käytännesääntöihin vaikuttavana tarpeena teknisessä keskustelussa oli todettu, että uuden attribuutin käyttöönotosta olisi tiedotettava luottamusverkostoa, jotta rajapintamäärittelyitä voidaan kehittää yhdenmukaisesti.

    » SAML-profiilin suhde geneerisiin SAML-spesifikaatioihin: Vivin suosituksessa vain tarkennukset, muissa asioissa geneeriset spesifikaatiot pätevät

    Käyttörajoituksia varten ei lähdetä laatimaan teknistä määrittelyä

    Pohdittu tilannetta, jossa asiointipalvelu on mahdollisesti hankkinut saman tunnistusvälineen syystä tai toisesta useammalta välityspalvelulta. Todettiin, että tällöin vain asiointipalvelu pystyy huolehtimaan siitä, että tunnistusvälineen kuvake näytetään sen palvelussa vai kerran. Asiointipalvelu myös päättää, minkä välityspalvelun kautta tunnistustapahtumat ohjataan.

    Tunnistusvälineen logon näyttämisen vaihtoehdot palveluketjussa: Logon näyttämisen arkkitehtuurivaihtoehdoista (sovellukseen integroidusta aina hyppyjen kautta menevään portaaliin) mitään ei tässä vaiheessa haluta sulkea pois.

    Lisäksi tiedoksi TUPAS- ja VRK:n varmennetilanteesta suhteessa luottamusverkostoon

    • FK kutsunut keväällä -16 toimialatyöryhmän, jossa käyty läpi muutostarpeita, mutta hallinnollisia päätöksiä tai linjauksia ei ole vielä tehty

    • VRK:lla käynnissä keväästä asti suunnittelu, miten varmenteen tarjonta näkyy luottamusverkostossa

    20.9.2016 TuLu pääryhmä 12.9.16 11

  • Hyväksytyt ja ei-hyväksytyt eIDAS -luottamuspalvelut ...

    20.9.2016 12

  • |

    Sähköisestä allekirjoituksesta luottamuspalveluihin

    30.6.2016 asti 1.7.2016

    • Tunnistuslaki (617/2009) • sähköallekirjoitusdirektiivi

    • eIDAS-asetus 910/2014 • vähäiset tunnistus- ja

    luottamuspalvelulain (617/2009) täydennykset

    • 1 palvelutyyppi: Hyväksytty allekirjoitusvarmenne ("laatuvarmenne") • ViVi arvioi ja vahvisti

    statuksen • VRK:n laatuvarmenne

    • Sähköinen allekirjoitus ja kehittynyt sähköinen allekirjoitus • Vivi ei arvioinut

    • 7 erityyppistä mahdollista hyväksyttyä luottamuspalvelua • ViVi arvioi ja vahvistaa

    statuksen • VRK:n laatuvarmenne

    siirtymäsäännös 1.7.17 asti • Ei-hyväksytyt luottamuspalvelut

    • Vivi valvoo jälkikäteen • Sähköinen allekirjoitus

    • Jäsenvaltioiden julkishallintoa koskevia vaatimuksia

    7.9.2016 TuLu pääryhmä 12.9.2016 13

  • |

    eIDAS-luottamuspalvelut

    • Aikaisempaa laajempi, mutta kuitenkin tarkasti määritelty palvelutyyppien valikoima

    • Luottamuspalvelun tarjoajan kannalta Hyväksyntä ja luotettavuusmerkki

    Hyväksynnän hakeminen vapaaehtoista

    ei-hyväksytyille jälkikäteinen valvonta

    • Hyväksytyn luottamuspalvelun EU-tasoinen luotettavuus Perustuu yhteisiin vaatimuksiin - käytännössä

    standardeihin – ja kansallisten viranomaisten valvontaan

    luotettu luettelo (Trusted list)

    luotettavuusmerkki (trust mark)

    Status voimassa koko EU:ssa

    7.9.2016 TuLu pääryhmä 12.9.2016 14

  • |

    Luottamuspalvelun hyväksyntä

    • Ilmoitus Viestintävirastolle

    • Ilmoituksen liitteeksi arviointikertomus, jonka on laatinut akkreditoitu vaatimustenmukaisuuden arviointilaitos (CAB) • Arviointilaitosten syntymisestä Suomeen ei toistaiseksi

    ole tietoa.

    • Arviointi voidaan hankkia myös toisessa EU-maassa akkreditoidulta arviointilaitokselta.

    • Suomessa voi saada luotetulle listalle ainoastaan hyväksyttyjä luottamuspalveluita • Valvova viranomainen ei arvioi etukäteen, onko jokin

    ei-hyväksytty luottamuspalvelu

    7.9.2016 TuLu pääryhmä 12.9.2016 15

  • |

    eIDAS-asetuksen mukaiset hyväksytyt luottamuspalvelut

    1. hyväksytty sähköisen allekirjoituksen varmenne (28 artikla)

    2. hyväksytty validointipalvelu hyväksytylle sähköiselle allekirjoitukselle (33 artikla)

    3. hyväksytty säilyttämispalvelu hyväksytylle sähköiselle allekirjoitukselle (34 artikla)

    4. hyväksytty sähköisen leiman varmenne (38 artikla)

    5. hyväksytty sähköinen aikaleima (42 artikla)

    6. hyväksytty sähköinen rekisteröity jakelupalvelu (44 artikla)

    7. verkkosivujen todentamisen hyväksytty varmenne (45 artikla)

    7.9.2016 TuLu pääryhmä 16

  • |

    ETSI TS 119 612 v 2.1.1 lista ei-hyväksytyistä luottamuspalveluista

    Komissio on vahvistanut standardin täytäntöönpanopäätöksellä. Standardin perusteella ylläpidetään jäsenvaltioissa luotettuja luetteloita (trusted list).

    Huom. Standardin versio 2.2.1 ei ole eIDAS-asetuksen mukainen, pitäisi poistua myös ETSIn sivuilta

    1. A certificate generation service, not qualified, creating and signing non-qualified public key certificates based on the identity and other attributes verified by the relevant registration services.

    2. A certificate validity status service, not qualified, issuing Online Certificate Status Protocol (OCSP) signed responses.

    3. A certificate validity status service, not qualified, issuing CRLs.

    4. A time-stamping generation service, not qualified, creating and signing time-stamps tokens.

    5. A time-stamping service, not qualified, as part of a service from a trust service provider issuing qualified certificates that issues time-stamp tokens that can be used in the validation process of qualified signatures/seals or advanced signatures/seals supported by qualified certificates to ascertain and extend the signature/seal validity when the qualified certificate is (will be) revoked or expired (will expire).

    6. A time-stamping service, not qualified, as part of a service from a trust service provider that issues time-stamp tokens (TST) that can be used in the validation process of qualified signatures/seals or advanced signatures/seals supported by qualified certificates to ascertain and extend the signature/seal validity when the qualified certificate is (will be) revoked or expired (will expire).

    7. An electronic delivery service, not qualified.

    8. A Registered Electronic Mail delivery service, not qualified.

    9. A not qualified preservation service for electronic signatures and/or for electronic seals.

    10. A not qualified validation service for advanced electronic signatures and/or advanced electronic seals.

    11. A not qualified generation service for advanced electronic signatures and/or advanced electronic seals.

    7.9.2016 TuLu pääryhmä 17

  • |

    Kehittynyt sähköinen allekirjoituspalvelu ei-hyväksyttynä luottamuspalveluna

    eIDAS-asetuksessa lisättiin säänneltyjä palvelutyyppejä ja luotiin kaksi kategoriaa, hyväksytyt ja ei-hyväksytyt luottamuspalvelut

    » näitä erottaa ennakkovalvonta tai sen puuttuminen

    eIDAS-asetus mahdollistaa molempien kategorioiden merkitsemisen EU-tasoiselle luotetulle listalle

    ei-hyväksyttyjen luottamuspalveluiden merkitseminen listalle on jäsenvaltioiden harkinnassa

    20.9.2016 TuLu pääryhmä 12.9.2016 18

  • |

    Tunnistus- ja luottamuspalvelulaki ja eIDAS

    42 a § Viestintäviraston tehtävät Viestintäviraston tehtävänä on sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen mukaisesti:

    3) toimia asetuksen 17 artiklassa tarkoitettuna valvontaelimenä ja hoitaa sille asetuksessa säädettyjä tehtäviä;

    4) ylläpitää ja julkaista luetteloita Suomessa hyväksytyistä luottamuspalveluiden tarjoajista ja niiden tarjoamista hyväksytyistä luottamuspalveluista asetuksen 22 artiklan mukaisesti.

    eIDAS 17.3. Valvontaelimellä on seuraavat tehtävät:

    b) ...ei-hyväksyttyjen luottamuspalvelun tarjoajien suhteen jälkikäteen toteutettavin valvontatoimin, jos sille ilmoitetaan, että nämä ei-hyväksytyt luottamuspalvelun tarjoajat tai niiden tarjoamat luottamuspalvelut eivät väitetysti täytä tässä asetuksessa säädettyjä vaatimuksia.

    Ei-hyväksyttyjä luottamuspalveluja koskevat • 13 artikla vastuu ja todistustaakka

    • 15 artikla esteettömyys vammaisten näkökulmasta

    • 19 artikla Luottamuspalvelun tarjoajiin sovellettavat tietoturvavaatimukset (mukaan lukien häiriöilmoitusvelvoitteet)

    20.9.2016 TuLU pääryhmä 12.9.16 19

  • |

    Tunnistus- ja luottamuspalvelulaki

    Edellisellä kalvolla kuvattujen säännösten perusteella

    Viestintävirasto ei voi vahvistaa ennakoivasti ei-hyväksyttyjen luottamuspalvelujen statusta esimerkiksi kehittyneen sähköisen allekirjoituspalvelun tarjoajana

    Viestintävirasto ei voi merkitä Suomen luotettuun luetteloon muita kuin hyväksyttyjä luottamuspalveluja

    Ei-hyväksyttyjä luottamuspalveluja valvotaan jälkikäteen, jos niistä tehdään valituksia

    • Viestintävirasto antaa neuvontaa eIDAS-asetuksen vaatimuksista

    • Tulkinta/arviointitarpeita voi tulla, kun erityislaissa edellytetään kehittyneen sähköisen allekirjoituksen käyttämistä

    20.9.2016 TuLu pääryhmä 12.9.16 20

  • |

    Akkreditoitu vaatimustenmukaisuuden arviointilaitos

    3 artikla Määritelmät

    18) ’vaatimustenmukaisuuden arviointilaitoksella’ asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa

    määriteltyä elintä, joka on akkreditoitu kyseisen asetuksen mukaisesti päteväksi arvioimaan

    hyväksyttyjen luottamuspalvelun tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen

    vaatimustenmukaisuus;

    21 artikla Hyväksytyn luottamuspalvelun aloittaminen

    1. Jos luottamuspalvelun tarjoajat, joilla ei ole hyväksyttyä asemaa, aikovat tarjota hyväksyttyjä

    luottamuspalveluja, niiden on toimitettava valvontaelimelle ilmoitus aikomuksestaan yhdessä

    vaatimustenmukaisuuden arviointilaitoksen myöntämän vaatimustenmukaisuuden

    arviointikertomuksen kanssa.

    [...]

    20 artikla Hyväksyttyjen luottamuspalvelun tarjoajien valvonta

    1. Vaatimustenmukaisuuden arviointilaitoksen on tarkastettava hyväksytyt luottamuspalvelun

    tarjoajat vähintään 24 kuukauden välein niiden omalla kustannuksella. Tarkastuksen

    tarkoituksena on vahvistaa, että hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat

    hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset. Hyväksyttyjen

    luottamuspalvelun tarjoajien on toimitettava tarkastuksen perusteella laadittava

    vaatimustenmukaisuuden arviointikertomus valvontaelimelle kolmen työpäivän kuluessa sen

    vastaanottamisesta.

    9.9.16 TuLu pääryhmä 12.9.2016 21

  • |

    Arviointilaitoksen akkreditointi ja valvonta

    12.9.16 TuLu pääryhmä 12.9.16 22

  • |

    Arviointilaitosten tilanne Jos ja kun harkitsee arvioinnin hankkimista, kannattaa selvittää esim.

    FINASin ja ko. valtion akkreditointiyksikön kautta, että akkreditointi todella koskee eIDAS-asetusta ja mitä luottamuspalveluita se koskee.

    Viestintävirasto ei ole tarkistanut seuraavia viittauksia

    • Italia (tieto Italian valvontaviranomaiselta) "...the Italian national accreditation body (ACCREDIA) of conformity assessment bodies has accredited the following subject in accordance with the eIDAS Regulation as competent to carry out conformity assessment of a qualified trust service provider and the qualified trust services it provides:

    · Bureau Veritas Italia S.p.A.

    · CSQA Certificazioni S.r.l"

    • Saksa (tieto googlaamalla)

    TÜV Informationstechnik GmbH (TÜViT) is one of the first companies in Germany to be accredited as an official conformity assessment body in accordance with eIDAS (EU regulation 910/2014)...24 June 2016 by the German National Accreditation Body (DAkkS)...

    lähde: https://www.globalsecuritymag.com/TUViT-receives-accreditation-as,20160729,64098.html

    • Espanja (tieto googlaamalla)

    TCAB is one of the first Conformity Assessment Bodies to comply with the EN 319 403 and ISO/IEC 17065 requirements defined in eIDAS and to be ready for accreditation.. http://tcab.eu/

    • Ranska (tieto googlaamalla)

    Accréditation eIDAS

    Depuis le 2 mai 2016, LSTI est accrédité par le COFRAC pour procéder à la certification des prestatires de services de confiance "eIDAS". Télécharger notre attestation d'accréditation à partir du lien suivant https://www.cofrac.fr/annexes/sect5

    20.9.2016 TuLu pääryhmä 12.9.2016 23

    https://www.globalsecuritymag.com/TUViT-receives-accreditation-as,20160729,64098.htmlhttps://www.globalsecuritymag.com/TUViT-receives-accreditation-as,20160729,64098.htmlhttps://www.globalsecuritymag.com/TUViT-receives-accreditation-as,20160729,64098.htmlhttps://www.globalsecuritymag.com/TUViT-receives-accreditation-as,20160729,64098.htmlhttps://www.globalsecuritymag.com/TUViT-receives-accreditation-as,20160729,64098.htmlhttps://www.globalsecuritymag.com/TUViT-receives-accreditation-as,20160729,64098.htmlhttps://www.globalsecuritymag.com/TUViT-receives-accreditation-as,20160729,64098.htmlhttps://www.globalsecuritymag.com/TUViT-receives-accreditation-as,20160729,64098.htmlhttp://tcab.eu/http://tcab.eu/http://tcab.eu/https://www.cofrac.fr/annexes/sect5https://www.cofrac.fr/annexes/sect5http://tcab.eu/

  • eIDAS -standardoinnin tilanne ...

    20.9.2016 24

  • eIDAS Standards Framework: Published Standards

    25

    Trust application service providers

    x19 5xx TSPs supporting

    digital signatures

    x19 4xx

    Trust service status lists 119 6xx

    General Framework

    Trust services for: Issuing certificates Time Stamping Signature creation services Validation services

    Trust services for: Registered eDelivery / eMail Long term preservation

    Signing Devices

    419 2xx CC Protection Profiles QSCD - Smart Cards HSM used as QSCD HSM used by TSPs Remote QSCD

    Signature Creation & Validation

    x19 1xx

    Procedures for AdES creation & validation

    Formats: XAdES (XML) CAdES (CMS) PAdES (PDF) ASiC (containers)

    Cryptographic suites

    119 3xx

    Signature suites - Hash - Asymmetric crypto - Key generation - Lifetime

    Standards framework

    Common definitions

    Guides

    List of approved QTSPs & services supervised by National Bodies

    119 0xx

  • Kansainväliset ryhmät ...

    20.9.2016 29

  • |

    ENISA

    eIDAS artikla 19 eli luottamuspalveluiden häiriöt

    »Viestintävirasto, Sokura/Heiskanen/Lohtander

    Luottamuspalveluiden häiriöilmoituksia koskevat ohjeet tekeillä

    » Impact assessment on eIDAS services and relevant assets used to offer these services

    » Incident examples for eIDAS services

    » Lausuntokierros heinäkuussa

    » ENISAN korjattuja versioita odotetaan

    Seuraava kokous 7.-8.11.

    20.9.2016 TuLu pääryhmä 12.9.2016 30

  • |

    Komission/jäsenvaltioiden asiantuntijaryhmä eIDAS expert group

    Edellinen kokous 29.4.

    Seuraava kokous 5.10. » Mistä luottamuspalveluista komission olisi jäsenvaltioiden mielestä tarpeen

    laatia täytäntöönpanopäätöksiä. Komissiolla on eIDAS-asetuksessa valtuus tähän useissa artikloissa.

    » Suomi priorisoinut seuraavia

    art 44.2 Hyväksyttyjä sähköisiä rekisteröityjä jakelupalveluja koskevat vaatimukset - Palvelusta ei ole vielä standardeja ja yhdenmukaiset vaatimukset EU:ssa tärkeää varmistaa

    art 20.4 (a) vaatimustenmukaisuuden arviointilaitosten akkreditointi ja vaatimustenmukaisuuden arviointikertomus (b) tarkastusta koskevat säännöt, joiden mukaisesti vaatimustenmukaisuuden arviointilaitokset suorittavat arvioinnin - Yhdenmukaiset akkreditointivaatimukset ja toimintamahdollisuudet

    art 27.4 Komissio voi täytäntöönpanosäädöksin vahvistaa kehittyneisiin sähköisiin allekirjoituksiin sovellettavien standardien viitenumerot - Erityisesti etäallekirjoituksen vaatimusten tarkentaminen tarpeen

    » Jäsenvaltioiden epävirallisen tiedonvaihdon toimintatavat luottamuspalveluista

    Tunnistuspalveluille on säädetty co-operation group, mutta luottamuspalveluille ei

    Onko työryhmällä toivomuksia prioriteeteista

    20.9.2016 TuLu pääryhmä 12.9.2016 31

  • |

    Komission eIDAS expert group - tekninen alaryhmä

    Käsittelee eIDAS-asetuksen täytäntöönpanoon liittyviä teknisiä kysymyksiä

    » Viestintävirasto, Sokura

    » Aiheen mukaan tarvittaessa VRK tai muu taho

    Kokouksia 27.4., 9.9.

    » aiheena PEPSin toteutus ja komission ohjelmistotuotteet

    » 9.9. myös valtuutukset attribuutteina tunnistusvälineessä

    » VRK ollut mukana

    20.9.2016 TuLu pääryhmä 12.9.2016 32

  • |

    ETSI - ESI

    ETSIn standardointityö, joka liittyy eIDAS-asetukseen

    Viestintävirasto seuraa (Leppinen-> Sokura)

    20.9.2016 TuLu pääryhmä 12.9.16 33

  • |

    eIDAS co-operation network yhteistyöryhmä, joka organisoi notifioitujen tunnistuspalveluiden vertaisarvioinnit, tiedonvaihto (komission täytäntöönpanopäätös)

    » Viestintävirasto, Leppinen ja Lohtander

    Kokous 20.6.:

    Keskustelua, voiko ei-notifioitu tunnistusväline hyödyntää PEPSiä

    • asia oli noussut esille teknisessä alaryhmässä

    • komissio tuntui suhtautuvan jäsenmaita positiivisemmin ja laatii tarkemman ehdotuksen

    Tunnistuspalveluiden häiriöilmoitukset

    • = komission käytännön tuki jäsenvaltioiden tiedonvaihdolle

    • komissio seuraa ENISAn luottamuspalveluita koskevien ohjeiden valmistumista ja laatii sitten ehdotuksen jäsenvaltioille

    Valtuutukset tunnistusvälineessä

    • Teknisessä alaryhmässä esille noussut keskustelu siitä, miten tunnistusvälineeseen voisi liittää valtuutuksia

    • Palautettiin tekniselle ryhmälle evästyksellä, että eIDAS ei estä (mutta ei vaadikaan)

    Notifiointiprosessi

    • Co-operation networkin kokouksien aikataulutusta jatkossa mietittävä siten, että notifioinnit saadaan käsiteltyä – voidaan tehdä myös kirjallisesti

    Ei ilmoitettuja kokouksia, eikä tunnistusvälineiden notifiointeja toistaiseksi

    20.9.2016 TuLu pääryhmä 12.9.16 34

  • |

    FESA Etupäässä jäsenvaltioiden valvontaviranomaisten epävirallinen tiedonvaihtoryhmä

    » Viestintävirasto Lohtander/Heiskanen/Sokura

    Kokous 6/16 » Vaatimustenmukaisuuden arviointilaitosten

    akkreditointiperusteet – mukana ACAB –forum

    vain eIDAS-standardit vai geneeriset perusteet

    » Sähköiset allekirjoitukset Kehittynyt sähköinen allekirjoituspalvelu voi olla luottamuspalvelu, mutta ei hyväksytty luottamuspalvelu

    Etäallekirjoitus aiheuttaa paljon kysymyksiä

    » Keskustelua siitä, mitkä komission täytäntöönpanoasetukset luottamuspalveluista olisivat tarpeen

    » ETSIn ja CENin standarddoinin tilanne

    Seuraava kokous 11/16

    20.9.2016 TuLu pääryhmä 12.9.2016 35

  • |

    Nordic-NL-UK-tiedonvaihto Epävirallista tiedonvaihtoa eIDAS-asetuksen täytäntöönpanosta

    » painopiste hallinnon ICT:n näkökulmassa eli VM:n sateenvarjon alla (Vivi/Lohtander tarvittaessa)

    » Koko eIDAS

    Kokous toukokuussa 16 » Kaikissa maissa mietinnässä, miten ulkomailta tulleita

    tunnisteita pystytään käsittelemään sähköisissä palveluissa ("record matching", "waiting room" vai ei)

    » Suomi esitteli tunnistusvälineen notifiointiin liittyviä kysymyksiä ja tunnistusvälineiden eIDAS-varmuustasojen arviointiin liittyviä havaintoja (ei saatu vertailutietoa kansallisista arviointitavoista)

    Kokous lokakuussa 16 » Ainakin Hollannin eID-ekosysteemin esittely

    Onko työryhmällä toivomuksia tiedonvaihtoteemoista?

    20.9.2016 TuLu pääryhmä 12.9.2016 36

  • Syksyn työsuunnitelma ...

    20.9.2016 TuLu pääryhmä 12.9.2016 37

  • |

    Työsuunnitelma Pääryhmä 3 kokousta

    Käytännesääntöryhmä 5 kokousta

    Toimeenpano ja ohjeet –ryhmä 5 kokousta

    Varattu kalentereihin, mutta voidaan jättää väliin, ellei tarvetta

    Teemoja/Toimeenpano

    » määräys ja MPS 72

    » rajapintaprotokollat (suositusluonnokset 212/2016 S ja 213/2016 S)

    » auditointikriteeristö (ohjeluonnos 211/2016 O)

    » tarkastuskertomus (ohjeluonnos 215/2016 O)

    » ilmoitukset (ohjeluonnos 214/2016 O)

    » tunnistuspalvelun auditointikäytännöt

    » luottamusverkoston tekninen arkkitehtuuri - esim. rajapinta-asiat, välitettävät attribuutit, tietoturva jne.

    » TUPAS-protokolla ja VRK:n varmenteet luottamusverkostossa

    » rajat ylittävä tunnistaminen

    » luottamuspalvelut, sähköiset allekirjoitukset

    » lisätty 5.9.16 kertakirjautumisen tekninen toteutus, aikarajat yms. - (HUOM. aikaisemmin oli linjattu, ettei luottamusverkostossa pyritä määrittelemään kertakirjautumista)

    20.9.2016 TuLu pääryhmä 12.9.2016 38

  • |

    Työsuunnitelma

    Teemoja/käytännesäännöt

    » 23.5. Vahingonkorvauskysymykset

    » 16.6. Vika- ja häiriötilanteet

    » 30.8. Tunnistusvälineisiin liittyvät käyttörajoitukset

    » 30.8. Tavaramerkkien käyttö

    » 16.9. Tietosuojakäytännöt

    » Luottamusverkoston tekninen arkkitehtuuri - toimeenpanoryhmän työstämisen pohjalta

    » Sopimusten solmiminen, päättäminen ja toiminnan keskeyttäminen määräajaksi

    » Käytännesääntöjen muuttaminen/hallinta

    20.9.2016 TuLu pääryhmä 12.9.16

    39

  • |

    Työsuunnitelma/tulkintakysymyksiä asia käsittelytapa

    tunnistuksen ketjutus – ml. tietojen säilyttäminen ja tilanne, jossa ensitunnistaja lopettaa

    Käytännesääntö- ja/tai toimeenpanotyöryhmässä tarvittaessa

    ensitunnistamistavat Tunnistuslain läpikäynti ja tulkintakysymyksiä

    tunnistusvälineen tarjoajan myöntäjän vrt. tunnistusvälityspalvelun velvoitteet (erot)

    Alustava suunnitelma: kooste laissa huomioiduista eri velvoitteista ja toimeenpano- ja käytännesääntöryhmien päätelmistä 24.10. pääryhmässä

    Tunnistusvälineen esteettömyys suhteessa luotettavuusvaatimuksiin (yhdenvertaisuuslaki vrt. tunnistus- ja luottamuspalvelulaki)

    Esteettömyystulkinnoista voidaan ainakin vaihtaa tietoa työryhmässä. Löydettäisiinkö jostain yhdenvertaisuuslain asiantuntijoita mukaan?

    Työryhmä on toivonut 16.6.16 myös edunvalvonta- ja saatavuusasioiden käsittelyä sekä tarkastelua suhteesta finanssisektorin vaatimuksiin

    Työryhmän roolia pohdittava, koska ovat osin muun hallinnonalan lainsäädäntöasioita (edunvalvontaoikeudet OM, finanssisääntely TEM, tunnistuspalvelut LVM, KAPA/ROVA VM)

    20.9.2016 TuLu pääryhmä 12.9.16 40

  • |

    Työryhmätyö 2017 ->

    Vuodenvaihteen jälkeen Viestintäviraston ohjaus, valvonta ja neuvonta resurssoidaan palveluntarjoajilta saatavien valvontamaksujen puitteissa, kun VM:n tunnistushankkeen rahoitus lakkaa

    Työryhmätyötä supistettava

    Miten luottamusverkoston yhteistyöryhmä organisoidaan 1.5.2017

    Pohdittavaksi

    » Puheenjohtajuus, sihteerit, asialistat, tilat

    » Kiertävä vastuu?

    » Viestintävirasto mukana tarvittaessa ryhmän nimeäjänä ja asiantuntijana?

    20.9.2016 TuLu pääryhmä 12.9.2016 41

  • Muut asiat ...

  • |

    Muut asiat

    ...

    20.9.2016 TuLu pääryhmä 12.9.2016 43

  • www.viestintävirasto.fi

    [email protected]


Viestintäviraston EPP-rajapinta...EPP - Extensible Provisioning Protocol EPP on XML- pohjainen protokolla EPP:llä tarkoitetaan RFC-dokumenteissa määriteltyä tapaa liittyä rekisterin

Luottamuksen lähteillä - Kyberturvallisuuskeskus · yhtenäiset toimintatavat ja tekniikat sähköiseen tietojen vaihtoon ja käsittelyyn. Tämä lisää par- haiden ratkaisujen

Vuosikokous 2015...Aika 8.2-2015 kio 14.00 Läsnä 13 äänivaltaista jäsentä (osallistujalista liitteenä) 1 Kokouksen avaus Yhdistyksen puheenjohtaja avasi kokouksen klo 14.10

Viestintäviraston toimintaympäristön ennakointi

Tuomo Alasoini: Tiedeverkostoa koordinoiva ryhmä, tiedeverkoston 1. kokouksen tavoitteet ja ajatuksia jatkosta

KOKOUKSEN LAILLISUUS JA PÄÄTÖSVALTAISUUS 1

VUOSIKOKOUSKUTSU ÅRSMÖTESKALLELSE · SYYSKOKOUS 30. marraskuuta 2013 ESITYSLISTA 1. Kokouksen avaus 2. Valitaan kokouksen puheenjohtaja ja kutsutaan sihteeri 3. Valitaan kaksi pöytäkirjan

KOKOUKSEN LAILLISUUS JA PÄÄTÖSVALTAISUUS 1 · 2018-11-07 · KOKOUKSEN LAILLISUUS JA PÄÄTÖSVALTAISUUS KH § 177 Kuntalain 103 §:n mukaan muu toimielin kuin valtuusto on päätösvaltainen,

Kokouksessa käsitellään sääntöjen 10. § mukaiset asiat, · 2 Prospäkkäri 1/2014 1 Kokouksen avaus ja läsnä olevien toteami- nen 2 Kokouksen järjestäytyminen, valitaan

a.Esitys · Esitys: Valitaan kokoukselle puheenjohtaja, sihteeri ja kaksi pöytäkirjantarkastajaa Kokouksen puheenjohtajana toimii hallituksen puheenjohtaja Venla ja hallituksen

Yksityistien kunnossapito - tieyhdistys · o Oma ajotapa. Liikennemerkit 25 • Pysyvästä liikennemerkistä päättää tienpitäjä, tieosakkaiden tai tiekunnan kokouksen päätös,

VÄITÖKSEN KULKU JA KARONKAN PERINTEET¤...Tutkintotodistus haettavissa tiedekunnan palvelupisteestä tohtorikoulutustoimikunnan kokouksen jälkeen, voit pyytää myös postitusta

[Kirjoita kokouksen nimi] - LLKY · Web viewToimintakyvyn arvioinnin tukena toimivat luotettavat arviointimittarit. LLKY:ssä palvelutarpeen arvioinnissa käytössä on RAI – mittaristo,

[Kirjoita kokouksen nimi] - Äänekosken kaupunki · Web viewAsiakkaan osallisuus oman hoito- ja palvelusuunnitelman laatimiseen on olennaista. Asiakkaan omaa itsemääräämisoikeutta

KOKOUKSEN LAILLISUUS JA PÄÄTÖSVALTAISUUS 1...POSAN PERUSPALVELUKUNTAYHTYMÄN OSAVUOSIRAPORTTI 1.1. – 30.9.2017 19 VALTUUSTOTASON TALOUSARVION TOTEUTUMISVERTAILUT AJALTA 1.1.–30.9.2017

KOKOUKSEN LAILLISUUS JA PÄÄTÖSVALTAISUUS 1 · 11717 KARVIAN KUNTA Kokouspäivämäärä Kunnanhallitus 8.4.2019 1 Pöytäkirjantarkastajien nimikirjaimet Pöytäkirjanpitäjän

Traficomin vuosi 2019 · kuluttajien tietoturva- tietoisuutta ja turvallista käyttöä. 12. Kyberturvallisuuskeskus julkaisi kriteerit . ... arvioimiselle ja mobiilisovellukseen

Liikenne- ja viestintäviraston tilinpäätös vuodelta 2019...Kulunut vuosi on ollut uuden viraston ja yhteisten toimintatapojen rakentamisen vuosi. Viraston uudistumiskyvyn ja moninäkökulmaisen

EPREANNONSPROJEKTIN TAUSTAA - Urantia Foundation · Urantia-säätiön nettiuutiset 3 JOHTOKUNNAN HUHTIKUUN 2014 KOKOUKSEN MERKITTÄVIMPIÄ PÄÄTÖKSIÄ Judy Van Cleave, johtokunnan

[Kirjoita kokouksen nimi]€¦ · Web viewSuullisen palautteen vastaanottaja hoitaa virheen, väärinkäsityksen tai laiminlyönnin heti, mikäli se on tehtävissä (anteeksipyyntö,

KARIJOEN KUNTA KOKOUSKUTSU · Teollisuushallin vuokran määräaikainen tarkistus. M-Market Karijoen vuokran määräaikainen tarkistus. Kunnanjohtajan viran täyttäminen. Kokouksen

peda.net · Puheenjohtajan esitys: Kirkkoneuvosto hyväksyy esityslistan kokouksen työjärjestykseksi. Päätös: Esitys hyväksyttiin. § 214 llmoitusasiat 1. Vt. kirkkoherran viranhaltijapäätökset

[Kirjoita kokouksen nimi] - Karviainen...4 OMAVALVONTASUUNNITELMAN LAATIMINEN ... Omavalvontasuunnitelma julkaistaan kuntayhtymän internetsivuilla. . 7 5 ASIAKKAAN ASEMA JA OIKEUDET

DVB-T2 -siirtymä ja UHF- alueen taajuusmuutokset€¦ · Viestintäviraston yhteyshenkilöt DVB-T2 –viestintä-ja taajuusmuutoskysymyksissä: Tiina Aaltonen, DVB-T2 –viestinnän

Viestintäviraston postimarkkinaselvitys 2017 · Vähittäiskaupan siirtyminen yhä ... Digitalisaatio vaikuttaa juuri tässä ryhmässä voimakkaasti, kun julkinen hallinto siirtää

Näin meitä huijataan! - Kyberturvallisuuskeskus...9 Älä luota sokeasti sähköpostin lähettäjätietoihin ..... 15 10 Älä luota kaikkiin verkkosivustoihin ..... 15 11 Tarkasta

KOKOUKSEN LAILLISUUS JA PÄÄTÖSVALTAISUUS 1...KH 4.9.2017 166 Karvian kunnan henkilövakuutukset, omaisuusvakuutukset ja toiminnanvakuutukset tulee kilpailuttaa nykyisen vakuutussopimuksen

H-NEWS SUOMEN H-VENELIITTO 18.6.2010 vuOSiKOKOuS Pöytäkirja 1 Kokouksen avaus Jyrki Lindström avasi kokouksen klo 18.51. 2 Kokouksen järjestäytyminen

Maankäyttöjaosto 22.10.2012 § 115 Kokouksen avaus ja sen … · 2015-01-14 · Maankäyttöjaosto 22.10.2012 PÖYTÄKIRJA 7/2012 § 115 Kokouksen avaus ja sen laillisuus ja päätösvaltaisuus

KOKOUKSEN ALUSTUS - KalenteriCC kalenterit ARE CC kalenterit H - a CC kalenterit KOKOUKSEN ALUSTUS AIHE: AIKA: PAIKKA: OSALLISTUJAT: KESTITYS: 1. 2. 3. ESITYSVÄLINEET: 4. 5. 6. MUU

[Kirjoita kokouksen nimi] - Salo€¦ · Web view2019/03/14  · Toiminta-ajatus perustuu toimialaa koskeviin erityislakeihin kuten lastensuojelu-, vammaispalvelu-, kehitysvammahuolto-

Viestintäviraston 2014 · telaitteiden, pilvipalveluiden ja salasanojen tietoturva sekä yksityisyydensuoja. Puhelin- ja laajakaistapalvelujen yleispalve-lussa virasto panosti sääntelyn

Kokouksen laillisuuden ja päätösvaltaisuuden toteaminen · 2015. 12. 6. · Kiinteistöomaisuuden myynnin periaatteet ja ... 345 1397, [email protected] Khlija 8.12.2015

BARENTINSIN ALUENEUVOSTON KOKOUS KOKOUKSEN … · 2020. 1. 7. · BARENTINSIN ALUENEUVOSTON KOKOUS KOKOUKSEN PÖYTÄKIRJA Luonnos, 8.10.2019 Uumaja Västerbotten, Ruotsi 02. lokakuuta

[Kirjoita kokouksen nimi] - Äänekoski · Web viewAsiakastietorekisterin käyttöön vaaditaan omat tunnukset, sekä käyttäjille on määritelty sinne oman työroolinsa mukaiset