EESTI VABARIIGI INFOSÜSTEEMIS AUTENTIMISLAHENDUSTELE KEHTIVAD NÕUDED (autentimisnormatiiv)

Similar documents
1. Tunnuse väärtuste järjestamine

KOHANIMEKORRALDUSE VALDKONNA ARENGUKAVA AASTATEKS

LISA 1 MADALA HAPPESUSEGA HAPENDATUD KONSERVTOIT ALLJAOTIS I KÄSITLUSALA

(Muud kui seadusandlikud aktid) MÄÄRUSED

Tere tulemast, ramadaan! Minu ramadaani plaan. Islami arhitektuur Kiri meile kõigile Hadithiterminoloogia baas EESTI MOSLEMITE KUUKIRI NR 13.

اقرأ MOSLEMITE KUUKIRI NR 33 ŽUMADA-TH-THÄÄNIA - RAŽAB 1433

EESTI ASULANIMEDE TRANSKRIBEERIMISEST JA KÄÄNAMISEST VENE KEELES

VIDEOKUJUNDUSE LOOMINE LAVALISELE SÜNDMUSELE MOEETENDUSE MOOD-PERFORMANCE-TANTS NÄITEL

Annika Michelson UTE! UTE! UTEE! Traditsioonilise lambapidamise kogemusi

Üllar Peterson DŽIHAADI KONTSEPTSIOONI KUJUNEMINE KORAANIS

FINANTSSUHTED Süstematiseeritud perioodiline teabekogumik. Aastakäik V

2 EEsti moslemite kuukiri

TALLINNA TEHNIKAÜLIKOOLI TALLINNA KOLLEDŽ. Majandusarvestus. Merit Kungla VASTUTUSPÕHISE MAJANDUSARVESTUSE ARENDUS ABC MOTORS AS NÄITEL.

Kohanimedest sotsio-onomastilisest küljest

Dissertationes theologiae universitatis Tartuensis 13

اقرأ EESTI MOSLEMITE KUUKIRI NR 28 DETSEMBER 2011 / MUHARRAM - SAFAR 1433

اقرأ EESTI MOSLEMITE KUUKIRI NR 23 JUUNI-JUULI 2011 / RAŽAB-ŠABAAN Eesti moslemite lood

Kristi Ruusna TÄISKASVANUTELE SUUNATUD NUKU-, OBJEKTI- JA VISUAALTEATER. TEOREETILISI VAATEPUNKTE PRAKTILISTE NÄIDETE ALUSEL.

Tänapäeva eestikeelsete õigeusklike katehheesist ja uskumustest

اقرأ EESTI MOSLEMITE KUUKIRI. juuli-august 2013 / ŠABAAN RAMADAAN ŠAWAAL 1434 NR 46

JEESUS TEKSTIS JA AJALOOS

FINANTSSUHTED Süstematiseeritud perioodiline teabekogumik. Aastakäik VIII

FINANTSSUHTED Süstematiseeritud perioodiline teabekogumik. Aastakäik VI

Hindu fundamentalism:

FUNDAMENTALISMI KONSTRUEERIMINE 1

Religioonist Ludwig Wittgensteini Tractatus Logico-Philosophicuses

Mesopotaamia kosmiline geograafia ja Abzu: Päikesejumala reis allilma

Jumala diskursus Tartu Kristlikus Risttee koguduses

Naiskangelased korea müütides 1

REFORMATION SUNDAY 30 OCTOBER 2016

Postdramaatiline teater ja autobiograafiline lavastus sotsiaalses kontekstis 1

EESTI MOSLEMITE LOOD

KATOLIKU KIRIKU SOTSIAALÕPETUSEST JA POLIITIKA EETILISEST VASTUTUSEST

Esoteeriline pärimus Kirna mõisas ja maagial põhinevad mõistmisviisid 1

Tartu Ülikool Usuteaduskond Vana Testamendi ja semitistika õppetool. Karin Kallas

EESTI FILOSOOFIA VII AASTAKONVERENTS. Pluralism: tõe, teadmise, normide ja väärtuste paljusus

ISLAMI VIIS TUGISAMMAST

PREESTERLUSE KOHUSTUSED JA ÕNNISTUSED

Mosleminaise käsiraamat

اقرأ. Maailma lõpu märgid. 50 maailma lõpu märki. Islamiuudised. maailma lõpu märgid. Koraanis ja Sunnas. Lääne oma moslemid : Cat Stevens

Prosoodiast meloodiani eestikeelse Piibli proosatekstil põhineva ühehäälse a cappella kirikulaulu ehk eesti pühalaulu metodoloogia

Tartu Ülikool. Haridusteaduskond. Kasvatusteaduste õppekava. Egle Säre

IIOBI UUS TULEMINE. Iiobi raamat. Tõlkinud ja kommenteerinud

VEIDI VALGUST HÄMARKOHTADELE VEND VAHINDRA ELUS

Veevalaja ajastu õpetaja

ISLAMI VIIS TUGISAMMAST

Meenuta Jumala tegusid

PSALMILAULMINE EESTI EVANGEELSE LUTERLIKU KIRIKU KOGUDUSTES

TALDRlIUD LENDAVAD ONMAANDUNUD. KatkendeidDESMONDLESLIE ja GEORGEADAMSKI raamatust

MAURICE MAETERLINCKI SINILINNU LAVASTUSED PÄRNU TEATRIS ENDLA

Rooma poeedid Aulus Gelliuse teoses Noctes Atticae: filoloogia ja kirjanduskriitika

(Muud kui seadusandlikud aktid) MÄÄRUSED

Saage tuttavaks... Matilda Michael. Proua ja härra Koirohi. Preili Mesi. Bruce Iirlane. Proua Sõnniste. Amanda Ripstiib

Jutlusta minu evangeeliumi (vt ÕL 50:14)

Damaskuse Kirja Manitsuste osa algkristluse seostest

SISSEJUHATUS. 1 Ernst Gellner iseloomustab seda muutust sõdadega: Vanad maailmad olid esiteks eraldi kosmosed: sihipärased,

Hare Krišna Soomes. Üleilmse hinduistliku uususundilise liikumise kultuuriline adaptatsioon 1

EELK USUTEADUSE INSTITUUT

Jeesus Kristus ja igavikuline evangeelium: õpilase lugemismaterjal

Tartu Ülikool. Usuteaduskond. Kevin Kirs

Kallid vennad ja õed! Kui meie

Tartu Ülikool. Usuteaduskond

ENDC PROCEEDINGS 16/2012

TALLINNA ÜLIKOOL HUMANITAARTEADUSTE DISSERTATSIOONID TALLINN UNIVERSITY DISSERTATIONS ON HUMANITIES

RELIGIOONIPEDAGOOGIKA PSÜHHOLOOGILISED ALUSED

TARTU ÜLIKOOL HUMANITAARTEADUSTE JA KUNSTIDE VALDKOND EESTI JA ÜLDKEELETEADUSE INSTITUUT EESTI KEELE OSAKOND. Liina Pärismaa

VAIMULIKUD KAITSEJÕUDUDES

Jumala, kõige Armulisema, Halastavama nimel VÄIKE VÄRVILINE ABILINE ISLAMI MÕISTMISEKS. Esimene väljaanne. I.A. Ibrahim.

Ainult Temast võis saada meie Päästja, lk 8 VIIMSE AJA PÜHADE JEESUSE KRISTUSE KIRIK APRILL 2017

NORMAN DAVIES EUROOPA PEAAEGU UNUSTATUD AJALUGU. Inglise keelest tõlkinud Tõnis Värnik

TARTU ÜLIKOOL FILOSOOFIATEADUSKOND KULTUURITEADUSTE JA KUNSTIDE INSTITUUT TEATRITEADUSE ÕPPETOOL

REIKI RAVI KASUTAMISE TEADUSLIKUD ALUSED

Britannia vallutamine : Rooma ja Britannia Caesarist Hadrianuseni

RELIGIOONI KAHEPALGELINE ROLL RAHVUSVAHELISTES KONFLIKTIDES

DISSERTATIONES THEOLOGIAE UNIVERSITATIS TARTUENSIS 8

TARTU ÜLIKOOLI VILJANDI KULTUURIAKADEEMIA. Etenduskunstide osakond. Teatrikunsti õppekava. Karin Lamson MINU ELU KUNSTIS. Lõputöö

Nokia 6080 kasutusjuhend

KRISTLIK KUNINGAS JA PAGANATEST ALAMAD ( SAJANDI SKANDINAAVIAS)

Õpituba Selja süvakoe massaaž (Paraspinalis)

TARTU ÜLIKOOLI VILJANDI KULTUURIAKADEEMIA. Etenduskunstide osakond. Tanel Ting MINU ELU KUNSTIS. Lõputöö

DEPARTMENT OF SOFTWARE ENGINEERING

TALLINNA ÜLIKOOLI EESTI HUMANITAARINSTITUUT FILOSOOFIA ÕPPETOOL

Aita Meentalo. Dionysos kui loovuse printsiip Friedrich Nietzschel ja Vjatšeslav Ivanovil

Joel Sang andis mulle üles kirjutada filoloogia hääbest meie nüüdiskultuuris,

Tartu Ülikool. Filosoofiateaduskond. Ajaloo ja arheoloogia instituut. Peeter Tammisto

Jumala Sõnumitooja Muhammad

UNISTUS TÕELISEST TEADUSEST Enn Kasak

Jumala Sõnumitooja Muhammed

DISSERTATIONES HISTORIAE UNIVERSITATIS TARTUENSIS 17

Kasutusjuhend / 3. Väljaanne

Tartu Ülikool Filosoofiateaduskond Ajaloo ja arheoloogia instituut. Kristina Rebane EESTLASED JA RISTIUSK 12. SAJANDIL. HISTORIOGRAAFILINE ANALÜÜS

Mu kallid vennad ja õed! Palvetan

Win Episcope/Survey Toolbox/FreeCalc valimivõtt

TARTU ÜLIKOOL FILOSOOFIA TEADUSKOND KULTUURITEADUSTE JA KUNSTIDE INSTITUUT TEATRITEADUSE ÕPPETOOL. Marie Reemann

ÕIGEKEELSUSE EIRAMINE WIMBERGI ISIKUSTIILI OSANA

EMK Teoloogiline Seminar. Epp Sokk PALVERÄND JAAKOBITEEL: AJALUGU JA TÄNAPÄEV NING EESTLASED SELLEL TEEL. Diplomitöö

ON THE RELATIONSHIPS OF THE RHETORICAL, MODAL, LOGICAL, AND SYNTACTIC PLANES IN ESTONIAN PROVERBS

Tartu Ülikool Ajaloo ja arheoloogia instituut Üldajaloo õppetool. Julian Goljand

Tiit Aleksejev Estonia. Palveränd (2008) Publishing House Varrak

Iseseisvunud Eesti Vabariigis alustati üsna pea nimede eestistamisega.

Transcription:

Riigi Infosüsteemi Amet EESTI VABARIIGI INFOSÜSTEEMIS AUTENTIMISLAHENDUSTELE KEHTIVAD NÕUDED (autentimisnormatiiv) ver. 1.0 Tallinn 2017

Sisukord 1. Kehtivusala...2 2. Rahvusvahelised piirangud eidas tagatistasemed...3 3. Autentimise tagatistasemete autentimisvahendid...5 4. Tagatistasemetele kehtivad piirangud...6 5. Autentimislahendusele esitatavad nõuded...6 6. ISKE kohaldamine autentimise tagatistasemetele...7 7. Täiendavad materjalid...8 1. Kehtivusala Dokument kehtestab Eesti Vabariigi infosüsteemi kuuluvates rakendusinfosüsteemides kasutatavatele autentimislahendustele avaliku interneti vahendusel, avalikku teenust saavate kasutajate autentimiseks: 1. arhitektuurilised nõuded, 2. tehnilised piirangud, 3. mittefunktsionaalsed nõuded, 4. soovitused eidas tagatistasemete rakendamiseks, 5. eidas tagatistasemetele ISKE kohaldamise piirid. Autentijad on füüsilised ja juriidilised isikud: 1. Eesti Vabariigi residendid 2. teiste Euroopa Liidu liikmesriikide residendid, kelle autentimisel on kohaldatavad Euroopa Liidu eidas määruses 910/2014 kehtestatud reeglid. Käesolevas dokumendis kehtestatud nõudeid, piiranguid ja soovitusi peab arvestama kõigi selliste rakendusinfosüsteemide autentimislahenduste loomisel: 1. millele on kohaldatavad ISKE nõuded; 2. mille hanke-, loomise, kirjeldamise ja haldamise dokumentides või seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus on seda nõutud. Käesolev dokument ei reguleeri autentimisi, millele ei ole kohaldatavad Euroopa Liidu eidas määruses 910/2014 kehtestatud reeglid: 2

1. selliste füüsiliste isikute autentimisi, kes kasutavad infosüsteemi oma ametialaste toimingute tegemiseks, 2. infosüsteem-infosüsteem (masin-masin) liidese kaudu tehtavaid autentimisi. 2. Rahvusvahelised piirangud eidas tagatistasemed Euroopa Liidu eidas määrus 910/2014 kehtestab autentimisele kolm tagatistaset: kõrge (high), märkimisväärne (substantial) ja madal (low). Väljapoole seda gradatsiooni jäävad määratlemata (un-notified) tasemega autentimisvahendid: Tagatisase Vahendid Isiku tuvastamise tase eidas nõue tunnustamise Kõrge Isik omab ja teab midagi Isik on pädevalt, Kohustus tunnustada (nt ID-kaart, mid või ELi füüsiliselt tuvastatud ELi teise liikmesriigi liikmesriigi eid ja PIN- (isiklik kontakt). autentimisvahendit kood vms). sama või madalama tagatistasemega autentimisprotsessis. Märkimisväärne Isikul on mõni enamasti Isik on tuvastatud Kohustus tunnustada turvaline identimise tasemel, mis ELi teise liikmesriigi vahend (nt soft sertificate võimaldab kinnitada, autentimisvahendit ja PIN-kood, kasutajanimi et tegemist on just sama või madalama ja kordumatud paroolid või selle isikuga ja mitte tagatistasemega koodikalkulaator jms). kellegi teisega. autentimisprotsessis. Madal Isikul on nõrk Isik ei ole Õigus tunnustada ELi identimisvahend (nt tuvastatud, kuid ta teise liikmesriigi kasutajanimi ja püsiparooli on esitanud ja autentimisvahendit või korduvate paroolidega kinnitanud sama tagatistasemega paroolikaart; kasutajanimi usutavana autentimisprotsessis. ja e-kirja või SMSiga tunduvaid andmeid; saadetav parool vms). võimaldab maksimaalselt tuvastada ainult seda, et igal autentimisel on tegemist sama 3

isikuga. Isikuandmete muutmise või väärkasutamise oht ei ole märkimisväärselt tagatud. Määratlemata Määratlemata (nt e-kirjaga Määratlemata Määratlemata saadetav parool, Facebook Connect, Twitter Login vms). Tabel 1. Autentimise tagatistasemed Selle gradatsiooni kolme esimesse tagatistasemesse kuuluvad ainult riigi poolt välja antud, riigi volitusel välja antud või riigi poolt tunnustatud autentimisvahendid. Kõik ülejäänud autentimisvahendid kuuluvad määratlemata tasemesse. ELi liikmesriik, mis kasutab oma residentide autentimiseks avalikus võrgus oma rakendustes kõrgema ja/või märkimisväärse tagatistasemega autentimisvahendeid, peab lubama alates 29.09.2018 ELi teiste liikmesriikide residentidel autentida oma rakendusinfosüsteemides nende riikide sama või kõrgema tagatistaseme autentimisvahenditega vastavalt sellele, millist autentimise tagatistaset nõuab see rakendusinfosüsteem, kuhu autenditakse. Teiste ELi liikmesriikide madala tagatistasemega autentimisvahendite tunnustamine on jäetud liikmesriikidele vabatahtlikuks. Nende tunnustamisel lubatakse neid kasutades autentida ainult sellistesse rakendusinfosüsteemidesse, mis nõuavad just seda taset. Määratlemata tagatistasemega autentimisvahendite kasutamist määrus ei reglementeeri ja nende kasutamise otsustamine on jäetud iga liikmesriigi pädevusse. vt ka eidas 910/2014 määrus: http://eur-lex.europa.eu/legal-content/et/txt/?uri=celex:32014r0910 4

3. Autentimise tagatistasemete autentimisvahendid Tagatistase Vahendid Kõrge Eesti Vabariigi ID-kaart Eesti Vabariigi Digi-ID (sh e-residendi eid) Mobiil-ID ELi teiste liikmeriikide poolt hinnatud kõrge tasemega vahendid (teised sama taseme instrumendid) Märkimisväärne Softsert ja PIN-kood Kasutajanimi ja OTP kalkulaator/pin-kood Kasutajanimi ja kordumatud paroolid ELi teiste liikmeriikide poolt hinnatud märkimisväärse tasemega vahendid Madal Kasutajanimi ja paroolikaart Kasutajanimi ja parool Määratlemata e-kirjaga/smsiga saadetud parool Facebook Connect Twitter login jt riigi poolt määratlemata tasemega kolmandate autentimislahendused osapoolte Tabel 2. Autentimise tasemete rakendamise tehnoloogiline kaart Autentimistoimingute läbi viimisel tuleb tagada autentimiskanali turvalisus. Piisav turvalisus on tagatud, kui kasutatakse näiteks järgmisi protokolle: SAML (v.2 või hilisem), TLS kliendisertifikaat (Challenge response), OpenID Connect, OAuth2 jms. Piisava turvalisusega autentimiseks loetakse ka eidas infrastruktuuril ja pangalingil baseeruvad autentimised. Sama autentimislahendus võib autentimiseks pakkuda erineva tagatistasemega autentimismeetodeid. Kui samast autentimiskanalist võib teostada autentimist, kasutades selleks erinevaid vahendeid, ja nende erinevate vahendite kasutamine tingib erineva tagatistasemega 5

autentimise, siis peab autentimise järgselt kontrollima autentimiseks kasutatud vahendit ja selle vastavust soovitud tagatistasemele. 4. Tagatistasemetele kehtivad piirangud Väliste kasutajate autentimiseks kasutatava autentimislahenduse tagatistasemena peab üldjuhul kasutama eidas määruses 910/2014 kirjeldatud tagatistasemeid: kõrge ja märkimisväärne. Põhjendatud vajaduse olemasolul võib autentimisel kasutada ka "madala" ja "määratlemata" tagatistasemega autentimislahendusi. Kuna autentimise "nõrga" ja "määratlemata" tagatistaseme puhul on isik nõrgalt (kontrollimatult) määratletud, siis tuleb nende tagatistasemetega autentimise asemel kaaluda autentimata ligipääsu rakendusinfosüsteemidele. 5. Autentimislahendusele esitatavad nõuded Kõigi autentimislahenduste korral peab kohaldama järgmisi nõudeid: 1. Infosüsteemide kasutajate autentimine peab olema lahendatud lahus rakendusinfosüsteemist. 2. Sama vastutava töötleja kõik eraldi seisvad rakendusinfosüsteemid peavad autentimiseks kasutama sama autentimislahendust. Eraldiseisva, uue autentimislahenduse loomine ei ole keelatud, kuid selle vajadus peab olema selgelt põhjendatud. 3. Tagatistasemete "kõrge", "märkimisväärne" ja "madal" implementeerimisel autentimislahenduses peab kasutama käesoleva dokumendi jaotises 3 kirjeldatud vahendeid. 4. Autentimise järgselt peab autentimislahendus rakendusinfosüsteemile minimaalselt üle andma autentinud isiku identiteedi ja teostatud autentimise tagatistaseme ( kõrge, märkimisväärne, madal või "määratlemata") või veateate autentimise ebaõnnestumise kohta. 5. Autentimislahenduse turvalisuse peab määrama vastavalt toetatavate rakendusinfosüsteemide käideldavusele, terviklusele ja konfidentsiaalsusele kehtestatud nõuetele. Kui rakendusele, mille kaudu pöördutakse infosüsteemi poole, esitatavad turvalisuse nõuded erinevad infosüsteemile esitatavatest turvalisuse nõuetest, siis peab autentimislahenduse turvalisuse määramisel lähtuma sellele rakendusele kehtestatud turvalisuse nõuetest. Autentimislahenduse käideldavuse, tervikluse ja konfidentsiaalsuse nõue ei saa olla madalam kui kõige kõrgemate kehtestatud nõuetega infosüsteemi või infosüsteemi poole pöördumise rakenduse oma. 6. Autentimistoimingute kohta peab pidama turvalogi, mis võimaldab tuvastada teostatud toimingu iseloomu ja selle osapooled. Kui logis sisalduvad isikuandmed, siis tuleb logi andmeid töödelda vastavalt isikuandmete kaitset reguleerivatele õigusaktidele. 7. eidas autentimisnormatiivil põhinevaks ELi residentide autentimiseks peab autentimislahendus kasutama eidas konnektorsõlme (eidas Connector Node). 6

Konnektorsõlmena võib kasutada kas RIA-s paigaldatud keskset eidas konnektorsõlme või lokaalselt autentimislahenduse juurde paigaldatud eidas konnektorsõlme. 8. Uue autentimislahenduse kasutusele võtmisel või olemasoleva autentimislahenduse muutmisel tuleb läbi viia turvaanalüüs ja testimine. 6. ISKE kohaldamine autentimise tagatistasemetele Kui infosüsteemile või andmete edastuskanalile on kohaldatavad ISKE nõuded, siis tuleb autentimislahenduse tagatistaseme valimisel lähtuda infosüsteemile või andmete edastuskanalile kehtestatud turvaklassist. ISKE metoodikas on eristatavad kolm turbeastet: "L" madal, "M" keskmine, "H" kõrge: Tabel 3. ISKE turvaklasside vastavused turbetasemetele. Lõplik ISKE tase määratakse ISKE valdkonna spetsialistide läbi viidud analüüsi alusel. Autentimislahenduse tagatistaseme valikul peab lähtuma järgmistest vastavustest: 1. ISKE turbeaste "kõrge" autentimislahenduse tagatistase "kõrge"; 2. ISKE turbeaste "keskmine" autentimislahenduse tagatistase "märkimisväärne" või "kõrge"; 3. ISKE turbeaste "madal" autentimislahenduse tagatistase "madal", "märkimisväärne", "kõrge" või autentimiseta ligipääs. Lõplik autentimislahenduse tagatistase määratakse infoturbe spetsialistide läbi viidud analüüsi alusel. vt ka Infosüsteemide kolmeastmeline etalonturbe süsteem, rakendusjuhend: https://iske.ria.ee/8_00 7

7. Täiendavad materjalid DRAFT NIST (National Institute of Standards and Technology) Special Publication 800-63B, Digital Authentication Guideline. Authentication and Lifecycle Management (section: 5. Authenticator and Verifier Requirements) https://pages.nist.gov/800-63-3/sp800-63b.html#sec5 8

2024 © religiondocbox.com Privacy Policy | Terms of Service | Feedback