Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32007D0171

2007/171/ΕΚ: Απόφαση της Επιτροπής, της 16ης Μαρτίου 2007 , για τον καθορισμό των απαιτήσεων δικτύου του συστήματος πληροφοριών Σένγκεν II (τρίτος πυλώνας)

ΕΕ L 79 της 20.3.2007, p. 29–37 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, RO, SK, SL, FI, SV)
ΕΕ L 219M της 24.8.2007, p. 358–366 (MT)

Το έγγραφο αυτό έχει δημοσιευτεί σε ειδική έκδοση (HR)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec/2007/171(1)/oj

20.3.2007   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 79/29


ΑΠΌΦΑΣΗ ΤΗΣ ΕΠΙΤΡΟΠΉΣ

της 16ης Μαρτίου 2007

για τον καθορισμό των απαιτήσεων δικτύου του συστήματος πληροφοριών Σένγκεν II (τρίτος πυλώνας)

(2007/171/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

Έχοντας υπόψη:

τη συνθήκη για την Ευρωπαϊκή Ένωση,

την απόφαση 2001/886/ΔΕΥ του Συμβουλίου, της 6ης Δεκεμβρίου 2001 σχετικά με την ανάπτυξη του Συστήματος Πληροφοριών Σένγκεν δεύτερης γενιάς (SIS II) (1), και ιδίως το άρθρο 4 στοιχείο α),

Εκτιμώντας τα ακόλουθα:

(1)

Για την ανάπτυξη του SIS II είναι απαραίτητος ο καθορισμός τεχνικών προδιαγραφών όσον αφορά το δίκτυο επικοινωνιών, τα συστατικά μέρη του, καθώς και τις ειδικές απαιτήσεις δικτύου.

(2)

Μεταξύ της Επιτροπής και των κρατών μελών θα πρέπει να ισχύσουν κατάλληλες ρυθμίσεις, ιδίως όσον αφορά τα στοιχεία της ενιαίας εθνικής διεπαφής, εγκατεστημένης στα κράτη μέλη.

(3)

Η παρούσα απόφαση λαμβάνεται με την επιφύλαξη μελλοντικής έγκρισης άλλων αποφάσεων της Επιτροπής σχετικά με την εξέλιξη του SIS II, ιδίως όσον αφορά την εξέλιξη των απαιτήσεων ασφαλείας.

(4)

Η εξέλιξη του SIS II διέπεται τόσο από τον κανονισμό (ΕΚ) αριθ. 2424/2001 του Συμβουλίου (2) όσο και από την απόφαση 2001/886/ΔΕΥ. Για να εξασφαλιστεί ότι θα υπάρξει ενιαία διαδικασία υλοποίησης για την ανάπτυξη του SIS II στο σύνολό του, οι διατάξεις της παρούσας απόφασης θα πρέπει να αντικατοπτρίζουν τις διατάξεις της απόφασης της Επιτροπής για τον καθορισμό των απαιτήσεων δικτύου του SIS ΙΙ, οι οποίες θα ληφθούν κατ’ εφαρμογή του κανονισμού (ΕΚ) αριθ. 2424/2001.

(5)

Το Ηνωμένο Βασίλειο συμμετέχει στην παρούσα απόφαση, σύμφωνα με το άρθρο 5 του πρωτοκόλλου για την ένταξη του κεκτημένου του Σένγκεν στο πλαίσιο της Ευρωπαϊκής Ένωσης, το οποίο προσαρτάται στη συνθήκη ΕΕ και τη συνθήκη ΕΚ, και με το άρθρο 8 παράγραφος 2 της απόφασης 2000/365/ΕΚ του Συμβουλίου, της 29ης Μαΐου 2000, σχετικά με το αίτημα του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και Βορείου Ιρλανδίας να συμμετέχει σε ορισμένες από τις διατάξεις του κεκτημένου του Σένγκεν (3).

(6)

Η Ιρλανδία συμμετέχει στην παρούσα απόφαση, σύμφωνα με το άρθρο 5 του πρωτοκόλλου για την ένταξη του κεκτημένου του Σένγκεν στο πλαίσιο της Ευρωπαϊκής Ένωσης, το οποίο προσαρτάται στη συνθήκη ΕΕ και στη συνθήκη ΕΚ, και σύμφωνα με το άρθρο 5 παράγραφος 1 και το άρθρο 6 παράγραφος 2 της απόφασης 2002/192/ΕΚ του Συμβουλίου, της 28ης Φεβρουαρίου 2002, σχετικά με το αίτημα της Ιρλανδίας να συμμετέχει σε ορισμένες από τις διατάξεις του κεκτημένου του Σένγκεν (4).

(7)

Όσον αφορά την Ισλανδία και τη Νορβηγία, η παρούσα απόφαση συνιστά εξέλιξη των διατάξεων του κεκτημένου του Σένγκεν κατά την έννοια της συμφωνίας που έχει συναφθεί από το Συμβούλιο της Ευρωπαϊκής Ένωσης, τη Δημοκρατία της Ισλανδίας και το Βασίλειο της Νορβηγίας για τη σύνδεση των δύο αυτών κρατών, με την υλοποίηση, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν, οι οποίες εμπίπτουν στο πεδίο εφαρμογής του άρθρου 1 στοιχείο Ζ της απόφασης 1999/437/ΕΚ του Συμβουλίου (5) σχετικά με ορισμένες λεπτομέρειες εφαρμογής της εν λόγω συμφωνίας.

(8)

Όσον αφορά την Ελβετία, η παρούσα απόφαση συνιστά ανάπτυξη των διατάξεων του κεκτημένου Σένγκεν, κατά την έννοια της συμφωνίας που έχει συναφθεί από την Ευρωπαϊκή Ένωση, την Ευρωπαϊκή Κοινότητα και την Ελβετική Συνομοσπονδία για τη σύνδεση της τελευταίας με την ενσωμάτωση, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν, πράγμα το οποίο εμπίπτει στον τομέα που αναφέρεται στο άρθρο 1 στοιχείο Ζ της απόφασης 1999/437/ΕΚ σε συνδυασμό με το άρθρο 4 παράγραφος 1 της απόφασης 2004/849/ΕΚ του Συμβουλίου για την υπογραφή εξ ονόματος της Ευρωπαϊκής Ένωσης και την προσωρινή εφαρμογή ορισμένων διατάξεων της εν λόγω συμφωνίας (6).

(9)

Η παρούσα απόφαση αποτελεί πράξη που θεμελιώνεται στο κεκτημένο του Σένγκεν ή που αναφέρεται σε αυτό κατά την έννοια του άρθρου 3 παράγραφος 1 της πράξης προσχώρησης.

(10)

Τα μέτρα της παρούσας απόφασης είναι σύμφωνα με τη γνώμη της επιτροπής του άρθρου 5 παράγραφος 1 της απόφασης 2001/886/ΔΕΥ,

ΑΠΟΦΑΣΙΖΕΙ:

Άρθρο μόνο

Οι τεχνικές προδιαγραφές που αναφέρονται στο σχεδιασμό και τη φυσική αρχιτεκτονική της υποδομής επικοινωνιών του SIS II ισχύουν όπως ορίζεται στο παράρτημα.

Βρυξέλλες, 16 Μαρτίου 2007.

Για την Επιτροπή

Franco FRATTINI

Αντιπρόεδρος


(1)  ΕΕ L 328 της 13.12.2001, σ. 1.

(2)  ΕΕ L 328 της 13.12.2001, σ. 4. Κανονισμός όπως τροποποιήθηκε από τον κανονισμό (ΕΚ) αριθ. 1988/2006 (ΕΕ L 411 της 30.12.2006, σ. 1).

(3)  ΕΕ L 131 της 1.6.2000, σ. 43. Απόφαση όπως τροποποιήθηκε από την απόφαση 2004/926/ΕΚ (ΕΕ L 395 της 31.12.2004, σ. 70).

(4)  ΕΕ L 64 της 7.3.2002, σ. 20.

(5)  ΕΕ L 176 της 10.7.1999, σ. 31.

(6)  ΕΕ L 368 της 15.12.2004, σ. 26.


ΠΑΡΑΡΤΗΜΑ

ΠΕΡΙΕΧΟΜΕΝΑ

1.

Εισαγωγή …

1.1.

Αρκτικόλεξα και συντμήσεις …

2.

Γενική επισκόπηση …

3.

Γεωγραφική κάλυψη …

4.

Υπηρεσίες δικτύου …

4.1.

Αρχιτεκτονική δικτύου …

4.2.

Τύπος σύνδεσης μεταξύ κύριας CS-SIS και εφεδρικής CS-SIS …

4.3.

Εύρος ζώνης …

4.4.

Κατηγορίες υπηρεσίας …

4.5.

Υποστηριζόμενα πρωτόκολλα …

4.6.

Τεχνικές προδιαγραφές …

4.6.1.

Διευθυνσιοδότηση IP …

4.6.2.

Υποστήριξη για το IPv6 …

4.6.3.

Στατική όδευση …

4.6.4.

Σταθερός ρυθμός ροής …

4.6.5.

Άλλες προδιαγραφές …

4.7.

Ανθεκτικότητα συστήματος …

5.

Παρακολούθηση …

6.

Υπηρεσίες γενικής εφαρμογής …

7.

Διαθεσιμότητα …

8.

Υπηρεσίες ασφάλειας …

8.1.

Κρυπτοθέτηση δικτύου …

8.2.

Λοιπά χαρακτηριστικά ασφάλειας …

9.

Γραφείο βοήθειας και διάρθρωση υποστήριξης …

10.

Αλληλεπίδραση με άλλα συστήματα …

1.   Εισαγωγή

Στο παρόν έγγραφο περιγράφονται ο σχεδιασμός του δικτύου επικοινωνιών, τα συστατικά στοιχεία που περιλαμβάνει και οι ειδικές απαιτήσεις δικτύου.

1.1.   Αρκτικόλεξα και συντμήσεις

Στο παρόν τμήμα περιγράφονται τα αρκτικόλεξα που χρησιμοποιούνται σε όλη την έκταση του εγγράφου.

Αρκτικόλεξα και συντμήσεις

Ερμηνεία

BLNI

Backup Local National Interface, Εφεδρική τοπική εθνική διεπαφή

CEP

Central End Point, Κεντρικό τερματικό σημείο

CNI

Central National Interface, Κεντρική εθνική διεπαφή

CS

Central System, Κεντρικό σύστημα

CS-SIS

Τεχνική λειτουργία στήριξης που περιλαμβάνει τη βάση δεδομένων SIS II

DNS

Domain Name Server, Εξυπηρετητής ονόματος χώρου (τομέα)

FCIP

Fibre Channel over IP, Κανάλι οπτικών ινών μέσω ΙΡ

FTP

File Transport Protocol, Πρωτόκολλο μεταφοράς αρχείου

HTTP

Hyper Text Transfer Protocol, Πρωτόκολλο μεταφοράς υπερκειμένου

IP

Πρωτόκολλο Ίντερνετ

LAN

Local Area Network, Τοπικό δίκτυο

LNI

Local National Interface, Τοπική εθνική διεπαφή

Mbps

Μεγαδυφία ανά δευτερόλεπτο

MDC

Main Developer Contractor, Κύριος αναπτυξιακός φορέας/ανάδοχος

N.SIS II

Το εθνικό τμήμα σε κάθε κράτος μέλος

NI-SIS

Ενιαία εθνική διεπαφή

NTP

Network Time Protocol, Πρωτόκολλο δικτυακού χρόνου

SAN

Storage Area Network, Δίκτυο αποθήκευσης

SDH

Synchronous Digital Hierarchy, Σύγχρονη ψηφιακή ιεραρχία

SIS II

Σύστημα πληροφοριών Σένγκεν δεύτερης γενιάς

SMTP

Simple Mail Transport Protocol, Απλό πρωτόκολλο μεταφοράς ταχυδρομείου

SNMP

Simple Network Management Protocol, Απλό πρωτόκολλο διαχείρισης δικτύου

s-TESTA

Secure Trans-European Services for Telematics between Administrations, Ασφαλείς διευρωπαϊκές υπηρεσίες τηλεματικής μεταξύ δημόσιων διοικήσεων· πρόκειται για μέτρο του προγράμματος IDABC (διαλειτουργική παροχή πανευρωπαϊκών υπηρεσιών ηλεκτρονικής διακυβέρνησης στις δημόσιες διοικήσεις, τις επιχειρήσεις και τους πολίτες. Απόφαση 2004/387/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 21.4.2004).

TCP

Transmission Control Protocol, Πρωτόκολλο ελέγχου μεταβίβασης

VIS

Visa Information System, Σύστημα πληροφοριών Visa

VPN

Virtual Private Network, Εικονικό ιδιωτικό δίκτυο

WAN

Wide Area Network, Δίκτυο ευρείας περιοχής

2.   Γενική επισκόπηση

Το σύστημα SIS II απαρτίζεται από τα εξής στοιχεία:

το κεντρικό σύστημα (εφεξής «το κεντρικό SIS II») αποτελείται από:

λειτουργία τεχνικής υποστήριξης (εφεξής «CS-SIS») που περιλαμβάνει τη βάση δεδομένων SIS II. Η κύρια CS-SIS εκτελεί τεχνική εποπτεία και διοίκηση, ενώ η εφεδρική CS-SIS είναι σε θέση να εξασφαλίζει όλες τις λειτουργικές δυνατότητες της κύριας CS-SIS σε περίπτωση αστοχίας της,

ενιαία εθνική επαφή (εφεξής «NI-SIS»),

εθνικό τμήμα (εφεξής «N.SIS II») σε κάθε κράτος μέλος, αποτελούμενο από τα εθνικά συστήματα δεδομένων που επικοινωνούν με την κεντρική SIS II. Ένα N.SIS II είναι δυνατόν να περιλαμβάνει αρχείο δεδομένων (εφεξής «εθνικό αντίγραφο»), που περιέχει πλήρες ή μερικό αντίγραφο της βάσης δεδομένων του SIS II,

επικοινωνιακή υποδομή μεταξύ της CS-SIS και του NI-SIS (εφεξής «επικοινωνιακή υποδομή») που συνιστά κρυπτοθετημένο εικονικό δίκτυο αποκλειστικά για δεδομένα SIS II και για την ανταλλαγή δεδομένων μεταξύ γραφείων Sirene.

Το NI-SIS αποτελείται από:

τοπική εθνική διεπαφή (εφεξής «LNI») σε κάθε κράτος μέλος, δηλαδή διεπαφή που αποκαθιστά τη φυσική σύνδεση του κράτους μέλους με το ασφαλές δίκτυο επικοινωνιών και περιλαμβάνει διατάξεις κρυπτοθέτησης αποκλειστικά για κίνηση του SIS II και του δικτύου Sirene. Η LNI είναι εγκατεστημένη σε θέσεις του κράτους μέλους,

προαιρετική εφεδρική τοπική εθνική διεπαφή (εφεξής «BLNI») που έχει ακριβώς το ίδιο περιεχόμενο και λειτουργία όπως η LNI.

Οι LNI και BLNI προορίζονται για αποκλειστική χρήση από το σύστημα SIS II και για ανταλλαγές μεταξύ γραφείων Sirene. Η συγκεκριμένη διάρθρωση των LNI και BLNI θα εξειδικευτεί και θα συμφωνηθεί με κάθε μεμονωμένο κράτος μέλος ώστε να ληφθούν υπόψη οι απαιτήσεις ασφάλειας, η φυσική θέση εγκατάστασης και οι σχετικές προϋποθέσεις, συμπεριλαμβανομένης της παροχής υπηρεσιών από τον πάροχο υπηρεσιών, υπό την έννοια ότι η φυσική σύνδεση s-TESTA ενδέχεται να περιλαμβάνει διάφορες σήραγγες VPN για άλλα συστήματα, π.χ. VIS και Eurodac,

κεντρική εθνική διεπαφή (εφεξής «CNI»), δηλαδή εφαρμογή για την ασφαλή πρόσβαση στην CS-SIS. Κάθε κράτος μέλος διαθέτει χωριστά σημεία λογικής πρόσβασης στην CNI μέσω κεντρικού τοίχου προστασίας/ελέγχου κίνησης.

Η επικοινωνιακή υποδομή μεταξύ της CS-SIS και των NI-SIS αποτελείται από:

το δίκτυο για ασφαλείς διευρωπαϊκές υπηρεσίες τηλεματικής μεταξύ δημόσιων διοικήσεων (εφεξής s-TESTA) που συνιστά κρυπτοθετημένο, εικονικό, ιδιωτικό δίκτυο αποκλειστικά για δεδομένα SIS II και Sirene.

3.   Γεωγραφική κάλυψη

Η επικοινωνιακή υποδομή πρέπει να είναι σε θέση να καλύπτει και να παρέχει τις απαιτούμενες υπηρεσίες σε όλα τα κράτη μέλη:

Όλα τα κράτη μέλη της ΕΕ (Βέλγιο, Γαλλία, Γερμανία, Λουξεμβούργο, Κάτω Χώρες, Ιταλία, Πορτογαλία, Ισπανία, Ελλάδα, Αυστρία, Δανία, Φινλανδία, Σουηδία, Κύπρος, Τσεχική Δημοκρατία, Εσθονία, Ουγγαρία, Λεττονία, Λιθουανία, Μάλτα, Πολωνία, Σλοβακία, Σλοβενία, Ηνωμένο Βασίλειο και Ιρλανδία) συν Νορβηγία, Ισλανδία, Ελβετία.

Επιπλέον, πρέπει να ληφθεί μέριμνα για να καλυφθούν οι χώρες που προσχώρησαν τελευταία, δηλαδή η Ρουμανία και η Βουλγαρία.

Τέλος, η επικοινωνιακή υποδομή πρέπει να είναι ικανή να επεκταθεί σε οποιαδήποτε άλλη χώρα ή οντότητα προσχωρήσει στο κεντρικό SIS II (π.χ. Europol, Eurojust).

4.   Υπηρεσίες δικτύου

Εφόσον γίνεται αναφορά σε πρωτόκολλο ή σε αρχιτεκτονική, εννοείται ότι είναι εξίσου αποδεκτές ισοδύναμες μελλοντικές τεχνολογίες, πρωτόκολλα και αρχιτεκτονικές.

4.1.   Αρχιτεκτονική δικτύου

Η αρχιτεκτονική του SIS II βασίζεται σε κεντρικές υπηρεσίες, προσβάσιμες από τα διάφορα κράτη μέλη. Για λόγους ανθεκτικότητας του συστήματος, οι κεντρικές αυτές υπηρεσίες είναι διπλότυπες σε δύο διαφορετικές θέσεις εγκατάστασης, στο Στρασβούργο της Γαλλίας η κεντρική μονάδα (CU) της CS-SIS και στο St Johann im Pongau της Αυστρίας η εφεδρική κεντρική μονάδα (BCU).

Οι κεντρικές μονάδες, κύρια και εφεδρική, πρέπει να είναι προσβάσιμες από τα διάφορα κράτη μέλη. Οι συμμετέχουσες χώρες είναι δυνατό να διαθέτουν πολλαπλά σημεία πρόσβασης στο δίκτυο, μια LNI και μια BLNI, για διασύνδεση του εθνικού συστήματός τους με τις κεντρικές υπηρεσίες.

Εκτός από την κύρια συνδετικότητα προς τις κεντρικές υπηρεσίες, η επικοινωνιακή υποδομή πρέπει επίσης να υποστηρίζει διμερή συμπληρωματική ανταλλαγή πληροφοριών μεταξύ γραφείων Sirene από διαφορετικά κράτη μέλη.

4.2.   Τύπος σύνδεσης μεταξύ κύριας CS-SIS και εφεδρικής CS-SIS

Ο απαιτούμενος τύπος σύνδεσης για τη διασυνδετικότητα μεταξύ της κύριας και της εφεδρικής CS-SIS πρέπει να είναι ένας δακτύλιος SDH ή ισοδύναμη διάταξη, υπό την έννοια ότι θα πρέπει να είναι ανοιχτή και στις νέες μελλοντικές αρχιτεκτονικές και τεχνολογίες. Η υποδομή SDH θα αξιοποιηθεί για να επεκταθούν τα τοπικά δίκτυα και οι δύο κεντρικές μονάδες ώστε να συγκροτηθεί αδιάλειπτο ενιαίο LAN. Το LAN αυτό θα χρησιμοποιηθεί στη συνέχεια για το συνεχή συγχρονισμό μεταξύ CU και BCU.

4.3.   Εύρος ζώνης

Καθοριστικής σημασίας απαίτηση για την επικοινωνιακή υποδομή είναι το μέγεθος του εύρους ζώνης που μπορεί να παρέχει στις διάφορες διασυνδεμένες θέσεις καθώς και η ικανότητά της να υποστηρίζει αυτό το εύρος ζώνης μέσα στο δικτυακό κορμό της.

Το εύρος ζώνης που χρειάζεται για την LNI και την προαιρετική BLNI θα είναι διαφορετικό σε κάθε κράτος μέλος· εξαρτάται κυρίως από τις επιλογές χρησιμοποίησης εθνικών αντιγράφων, κεντρικής αναζήτησης και ανταλλαγής βιομετρικών δεδομένων.

Το εύρος ζώνης που θα αποφασιστεί τελικά να προσφέρει η επικοινωνιακή υποδομή είναι αδιάφορο εφόσον ανταποκρίνεται στις ελάχιστες ανάγκες του κράτους μέλους.

Καθένας από τους παραπάνω αναφερόμενους τύπους θέσεων είναι δυνατόν να μεταβιβάσει μεγάλες ποσότητες δεδομένων (αλφαριθμικών, βιομετρικών και πλήρων εγγράφων) προς κάθε κατεύθυνση. Η επικοινωνιακή υποδομή πρέπει συνεπώς να παρέχει επαρκείς ελάχιστες εγγυημένες ταχύτητες τηλεφόρτωσης από και προς κάθε σύνδεση.

Η επικοινωνιακή υποδομή πρέπει να προσφέρει μεγέθη σύνδεσης από 2 Mbps έως 155 Mbps και άνω. Το δίκτυο πρέπει να παρέχει επαρκείς ελάχιστες εγγυημένες ταχύτητες τηλεφόρτωσης από και προς κάθε σύνδεση και πρέπει να έχει διαστάσεις που να υποστηρίζουν ολόκληρο το εύρος ζώνης των σημείων πρόσβασης στο δίκτυο.

4.4.   Κατηγορίες υπηρεσίας

Το κεντρικό SIS II θα υποστηρίζει την ικανότητα προτεραιοθέτησης διερωτήσεων/συναγερμών. Ως παράγωγη απαίτηση, η επικοινωνιακή υποδομή θα υποστηρίζει επίσης τη δυνατότητα προτεραιοθέτησης της κίνησης δεδομένων.

Οι παράμετροι προτεραιοθέτησης δικτύου θεωρείται ότι ορίζονται από το κεντρικό SIS II για όλα τα πακέτα που απαιτείται. Χρησιμοποιείται σταθμισμένη τεχνική Weighted Fair Queuing. Τούτο συνεπάγεται ότι η επικοινωνιακή υποδομή πρέπει να είναι ικανή να αναλαμβάνει την προτεραιοθέτηση που εκχωρείται στα πακέτα δεδομένων από το LAN πηγή και ότι θα διεκπεραιώνει τα πακέτα ανάλογα, εντός του δικτυακού κορμού της. Εξάλλου, η επικοινωνιακή υποδομή θα πρέπει να παραδίδει στην απομακρυσμένη θέση τα αρχικά πακέτα με την ίδια προτεραιοθέτηση που έχει οριστεί από το LAN πηγή.

4.5.   Υποστηριζόμενα πρωτόκολλα

Το κεντρικό SIS ΙΙ θα χρησιμοποιεί διάφορα πρωτόκολλα δικτυακής επικοινωνίας. Η επικοινωνιακή υποδομή θα πρέπει να υποστηρίζει ευρεία δέσμη πρωτοκόλλων δικτυακής επικοινωνίας. Τα πρότυπα πρωτόκολλα που πρέπει να υποστηρίζονται είναι: HTTP, FTP, NTP, SMTP, SNMP και DNS.

Εκτός από τα πρότυπα πρωτόκολλα, η επικοινωνιακή υποδομή θα πρέπει επίσης να είναι ικανή να χειρίζεται διάφορα πρωτόκολλα ενθυλάκωσης (σήραγγας), πρωτόκολλα αντιγραφής SAN και τα ιδιοταγή πρωτόκολλα σύνδεσης μεταξύ βάσεων Java της BEA WebLogic. Τα πρωτόκολλα ενθυλάκωσης, π.χ. IPsec σε τρόπο λειτουργίας σήραγγας, θα χρησιμοποιηθούν για τη διαβίβαση κρυπτοθετημένης κίνησης στον προορισμό της.

4.6.   Τεχνικές προδιαγραφές

4.6.1.   Διευθυνσιοδότηση IP

Η επικοινωνιακή υποδομή πρέπει να διαθέτει σειρά δεσμευμένων διευθύνσεων IP που να μπορούν να χρησιμοποιηθούν αποκλειστικά και μόνο μέσα στο εν λόγω δίκτυο. Μέσα στην εν λόγω κλίμακα αποκλειστικών ΙΡ το κεντρικό SIS ΙΙ θα χρησιμοποιεί δέσμη διευθύνσεων αποκλειστικών IP που δεν θα μπορούν να χρησιμοποιηθούν πουθενά αλλού.

4.6.2.   Υποστήριξη για το IPv6

Είναι εύλογη η παραδοχή ότι το πρωτόκολλο που θα χρησιμοποιείται στα τοπικά δίκτυα των κρατών μελών θα είναι το TCP/IP. Ωστόσο, ορισμένες θέσεις θα βασίζονται στην έκδοση 4, ενώ άλλες στην έκδοση 6. Τα σημεία πρόσβασης στο δίκτυο θα πρέπει να παρέχουν τη δυνατότητα λειτουργίας ως πύλη δικτύου και θα πρέπει να μπορούν να λειτουργούν ανεξάρτητα από τα πρωτόκολλα δικτύου που θα χρησιμοποιούνται στο SIS II, καθώς και στο N.SIS II.

4.6.3.   Στατική όδευση

Η CU και η BCU μπορούν να χρησιμοποιούν ενιαία και ταυτόσημη διεύθυνση IP για τις επικοινωνίες τους με τα κράτη μέλη. Η επικοινωνιακή υποδομή θα πρέπει επομένως να υποστηρίζει στατική όδευση (static route injection).

4.6.4.   Σταθερός ρυθμός ροής

Εφόσον ο ρυθμός φόρτισης CU ή BCU είναι κατώτερος από 90 %, το συγκεκριμένο κράτος μέλος πρέπει να είναι σε θέση να διατηρεί συνεχώς εκατό τοις εκατό του καθορισμένου εύρους ζώνης του.

4.6.5.   Άλλες προδιαγραφές

Για την υποστήριξη της CS-SIS, πρέπει η επικοινωνιακή υποδομή να συμμορφώνεται με ελάχιστη δέσμη τεχνικών προδιαγραφών:

Η καθυστέρηση μετάδοσης πρέπει να είναι (συμπεριλαμβανομένων των ωρών αιχμής) μικρότερη ή ίση με 150 ms για το 95 % των πακέτων και μικρότερη από 200 ms για το 100 % των πακέτων.

Η πιθανότητα απώλειας πακέτου πρέπει να είναι (συμπεριλαμβανομένων των ωρών αιχμής) μικρότερη ή ίση με 10–4 για το 95 % των πακέτων και μικρότερη από 10–3 για το 100 % των πακέτων.

Οι παραπάνω προδιαγραφές εξετάζονται χωριστά για κάθε σημείο πρόσβασης.

Η σύνδεση μεταξύ CU και BCU πρέπει να παρουσιάζει καθυστέρηση επιστροφής μικρότερη ή ίση με 60 ms.

4.7.   Ανθεκτικότητα συστήματος

Το CS-SIS έχει σχεδιαστεί με απαιτήσεις μεγάλης διαθεσιμότητας. Για το λόγο αυτό το σύστημα διαθέτει ενσωματωμένη ανθεκτικότητα έναντι δυσλειτουργίας συστατικών μερών χάρη στο διπλασιασμό του συνόλου του εξοπλισμού.

Τα συστατικά μέρη της επικοινωνιακής υποδομής πρέπει επίσης να είναι ανθεκτικά έναντι αστοχίας συστατικών μερών. Όσον αφορά την επικοινωνιακή υποδομή τούτο σημαίνει ότι τα ακόλουθα συστατικά μέρη πρέπει να είναι ανθεκτικά:

δίκτυο κορμού,

διατάξεις όδευσης,

σημεία παρουσίας,

συνδέσεις τοπικού βρόχου (συμπεριλαμβανόμενης πλεονάζουσας καλωδίωσης),

διατάξεις ασφάλειας (διατάξεις κρυπτοθέτησης, τοίχοι προστασίας κ.λπ.),

όλες οι υπηρεσίες γενικής εφαρμογής (DNS, NTP, κ.λπ.),

LNI/BLNI.

Οι μηχανισμοί εναλλακτικής σύνδεσης ή εφεδρείας (failover) για το σύνολο του δικτυακού εξοπλισμού θα πρέπει να ενεργοποιούνται χωρίς χειροκίνητη παρέμβαση.

5.   Παρακολούθηση

Για τη διευκόλυνση της παρακολούθησης, τα σχετικά εργαλεία της επικοινωνιακής υποδομής πρέπει να είναι συμβατά με τα αντίστοιχα των διατάξεων παρακολούθησης του οργανισμού που είναι υπεύθυνος για τη λειτουργική διαχείριση του κεντρικού SIS II.

6.   Υπηρεσίες γενικής εφαρμογής

Εκτός από το αποκλειστικό δίκτυο και τις υπηρεσίες ασφάλειας, η επικοινωνιακή υποδομή πρέπει επίσης να προσφέρει υπηρεσίες γενικής εφαρμογής.

Οι αποκλειστικές υπηρεσίες πρέπει να υλοποιούνται και στις δύο κεντρικές μονάδες, για λόγους πλεονασμού.

Οι ακόλουθες προαιρετικές υπηρεσίες γενικής εφαρμογής πρέπει να περιλαμβάνονται στην επικοινωνιακή υποδομή:

Υπηρεσία

Πρόσθετες πληροφορίες

DNS

Η διαδικασία εναλλακτικής σύνδεσης ή εφεδρείας (failover) για τη μετάβαση από την CU στην BCU σε περίπτωση αστοχίας δικτύου, βασίζεται στην αλλαγή της διεύθυνσης IP στον εξυπηρετητή DNS γενικής εφαρμογής.

Αναμετάδοση ηλεκτρονικού ταχυδρομείου

Η χρήση αναμετάδοσης ηλεκτρονικού ταχυδρομείου γενικής εφαρμογής μπορεί να είναι επωφελής για την τυποποίηση του ηλεκτρονικού ταχυδρομείου στα διάφορα κράτη μέλη και, σε αντίθεση με αποκλειστικό εξυπηρετητή, δεν αναλώνει δικτυακούς πόρους των CU/BCU.

Ηλεκτρονικό ταχυδρομείο που χρησιμοποιεί αναμετάδοση γενικής εφαρμογής πρέπει να συμμορφώνεται με το μοντέλο ασφάλειάς τους (security template).

NTP

Η υπηρεσία αυτή μπορεί να χρησιμοποιηθεί για συντονισμό ρολογιών δικτυακού εξοπλισμού.

7.   Διαθεσιμότητα

Το CS-SIS και οι LNI και BLNI πρέπει να είναι ικανά να εξασφαλίζουν διαθεσιμότητα 99,99 % κατά τη διάρκεια κυλιόμενης περιόδου 28 ημερών, ανεξάρτητα από τη διαθεσιμότητα του δικτύου.

Η διαθεσιμότητα της επικοινωνιακής υποδομής πρέπει να είναι 99,99 %.

8.   Υπηρεσίες ασφάλειας

8.1.   Κρυπτοθέτηση δικτύου

Το κεντρικό SIS II δεν επιτρέπει τη μεταφορά εκτός LAN δεδομένων με υψηλές ή πολύ υψηλές απαιτήσεις προστασίας χωρίς κρυπτοθέτηση. Θα πρέπει να εξασφαλίζεται ότι ο πάροχος του δικτύου δεν θα έχει πρόσβαση στα δεδομένα επιχειρησιακής λειτουργίας του SIS II ούτε στη σχετική ανταλλαγή δεδομένων μέσω Sirene.

Για τη διατήρηση υψηλού επιπέδου ασφάλειας, η επικοινωνιακή υποδομή πρέπει να παρέχει τη δυνατότητα χειρισμού πιστοποιητικών/κλειδιών. Πρέπει να είναι δυνατή η διαχείριση και παρακολούθηση της θυρίδας κρυπτοθέτησης. Για τους αλγόριθμους κρυπτοθέτησης ισχύουν οι εξής ελάχιστες απαιτήσεις:

Συμμετρικοί αλγόριθμοι κρυπτοθέτησης:

3DES (128 δυφία) και άνω,

η δημιουργία του κλειδιού πρέπει να εξαρτάται από τυχαία τιμή που να επιτρέπει περιορισμό του κλειδιού κατά τη διάρκεια προσβολής,

κλειδιά κρυπτοθέτησης ή πληροφορίες που μπορούν να χρησιμοποιηθούν για την αποκρυπτογράφηση των κλειδιών προστατεύονται πάντοτε κατά την αποθήκευσή τους.

Ασύμμετροι αλγόριθμοι κρυπτοθέτησης:

RSA (δομοενότητα 1 024 δυφίων) και άνω,

η δημιουργία του κλειδιού πρέπει να εξαρτάται από τυχαία τιμή που να μην επιτρέπει περιορισμό του κλειδιού κατά τη διάρκεια προσβολής.

Χρησιμοποιείται το πρωτόκολλο ενθυλάκωσης ωφέλιμου φορτίου ασφάλειας (ESP, RFC2406), σε τρόπο λειτουργίας σήραγγας. Το ωφέλιμο φορτίο και η αρχική κεφαλίδα ΙΡ κρυπτοθετούνται.

Για την ανταλλαγή των κλειδιών συνεδρίας χρησιμοποιείται το πρωτόκολλο ανταλλαγής κλειδιών Ίντερνετ (IKE).

Τα κλειδιά IKE δεν ισχύουν περισσότερο από μία ημέρα.

Τα κλειδιά συνεδρίας δεν διαρκούν περισσότερο από μία ώρα.

8.2.   Λοιπά χαρακτηριστικά ασφάλειας

Εκτός από την προστασία των σημείων πρόσβασης στο SIS II, η επικοινωνιακή υποδομή πρέπει επίσης να προστατεύει τις προαιρετικές υπηρεσίες γενικής εφαρμογής. Οι υπηρεσίες αυτές θα πρέπει να ανταποκρίνονται στα ίδια μέτρα προστασίας, συγκρίσιμα με τα αντίστοιχα του CS-SIS. Όλες οι υπηρεσίες γενικής εφαρμογής πρέπει επομένως να προστατεύονται τουλάχιστον με τοίχο προστασίας, σύστημα εναντίον των ιών και σύστημα ανίχνευσης παρεισδύσεων. Εξάλλου, οι διατάξεις των υπηρεσιών γενικής εφαρμογής και τα μέτρα προστασίας τους θα πρέπει να υποβάλλονται σε συνεχή επιτήρηση ασφαλείας (τήρηση ημερολογίου και παρακολούθηση).

Για τη διατήρηση υψηλού επιπέδου ασφάλειας πρέπει η οργάνωση που είναι υπεύθυνη για την επιχειρησιακή διαχείριση του κεντρικού SIS II να έχει επίγνωση όλων των σχετικών με την ασφάλεια συμβάντων στην επικοινωνιακή υποδομή. Κατά συνέπεια, η επικοινωνιακή υποδομή πρέπει να παρέχει τη δυνατότητα άμεσης αναφοράς όλων των μειζόνων συμβάντων ασφαλείας στον οργανισμό που είναι υπεύθυνος για την επιχειρησιακή διαχείριση του κεντρικού SIS II. Όλα τα συμβάντα ασφαλείας πρέπει να διαβιβάζονται σε τακτική βάση, π.χ. μηνιαίες αναφορές και κατά περίπτωση.

9.   Γραφείο βοήθειας και διάρθρωση υποστήριξης

Ο πάροχος της επικοινωνιακής υποδομής θα πρέπει να εξασφαλίζει γραφείο βοήθειας (helpdesk) που θα βρίσκεται σε συνεχή επικοινωνία με τον οργανισμό που είναι υπεύθυνος για την επιχειρησιακή διαχείριση του κεντρικού SIS II.

10.   Αλληλεπίδραση με άλλα συστήματα

Η επικοινωνιακή υποδομή πρέπει να εξασφαλίζει ότι οι πληροφορίες περιορίζονται αποκλειστικά στα καθορισμένα κανάλια επικοινωνίας. Όσον αφορά την τεχνική υλοποίηση τούτο συνεπάγεται ότι:

απαγορεύεται αυστηρά κάθε μη εξουσιοδοτημένη ή/και μη ελεγχόμενη πρόσβαση σε άλλα δίκτυα. Τούτο περιλαμβάνει και τη διασυνδετικότητα στο Ίντερνετ·

απαγορεύεται η διαρροή δεδομένων προς άλλα συστήματα στο δίκτυο· π.χ. δεν επιτρέπεται διασύνδεση διαφόρων IP VPN.

Εκτός από τους παραπάνω αναφερόμενους τεχνικούς περιορισμούς που επιφέρει, έχει επίσης αντίκτυπο στο γραφείο βοήθειας της επικοινωνιακής υποδομής. Το γραφείο βοήθειας απαγορεύεται να κοινοποιήσει οποιαδήποτε πληροφορία σχετικά με το κεντρικό SIS II σε οποιοδήποτε μέρος εκτός του υπευθύνου για την επιχειρησιακή διαχείριση του κεντρικού SIS II.


Top