This document is an excerpt from the EUR-Lex website
Document 02015R1502-20220711
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)Text with EEA relevance
Consolidated text: Komisjoni rakendusmäärus (EL) 2015/1502, 8. september 2015, millega kehtestatakse e-identimise vahendite usaldusväärsuse tasemete minimaalsed tehnilised kirjeldused ja menetlused vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 (e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul) artikli 8 lõikele 3 (EMPs kohaldatav tekst)EMPs kohaldatav tekst
Komisjoni rakendusmäärus (EL) 2015/1502, 8. september 2015, millega kehtestatakse e-identimise vahendite usaldusväärsuse tasemete minimaalsed tehnilised kirjeldused ja menetlused vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 (e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul) artikli 8 lõikele 3 (EMPs kohaldatav tekst)EMPs kohaldatav tekst
ELI: http://data.europa.eu/eli/reg_impl/2015/1502/2022-07-11
02015R1502 — ET — 11.07.2022 — 001.001
Käesolev tekst on üksnes dokumenteerimisvahend ning sel ei ole mingit õiguslikku mõju. Liidu institutsioonid ei vastuta selle teksti sisu eest. Asjakohaste õigusaktide autentsed versioonid, sealhulgas nende preambulid, on avaldatud Euroopa Liidu Teatajas ning on kättesaadavad EUR-Lexi veebisaidil. Need ametlikud tekstid on vahetult kättesaadavad käesolevasse dokumenti lisatud linkide kaudu
KOMISJONI RAKENDUSMÄÄRUS (EL) 2015/1502, 8. september 2015, millega kehtestatakse e-identimise vahendite usaldusväärsuse tasemete minimaalsed tehnilised kirjeldused ja menetlused vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 (e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul) artikli 8 lõikele 3 (ELT L 235 9.9.2015, lk 7) |
Muudetud:
|
|
Euroopa Liidu Teataja |
||
nr |
lehekülg |
kuupäev |
||
L 165 |
40 |
21.6.2022 |
KOMISJONI RAKENDUSMÄÄRUS (EL) 2015/1502,
8. september 2015,
millega kehtestatakse e-identimise vahendite usaldusväärsuse tasemete minimaalsed tehnilised kirjeldused ja menetlused vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 (e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul) artikli 8 lõikele 3
(EMPs kohaldatav tekst)
Artikkel 1
Lisas esitatud kirjeldusi ja menetlusi kasutatakse teatatud e-identimise süsteemi alusel väljastatud e-identimise vahendite usaldusväärsuse taseme täpsustamiseks, määrates selleks kindlaks järgmiste komponentide usaldatavuse ja kvaliteedi:
väljastamine käesoleva määruse lisa punktis 2.1 sätestatud tähenduses vastavalt määruse (EL) nr 910/2014 artikli 8 lõike 3 punktile a;
e-identimise vahendite haldamine käesoleva määruse lisa punktis 2.2 sätestatud tähenduses vastavalt määruse (EL) nr 910/2014 artikli 8 lõike 3 punktidele b ja f;
autentimine käesoleva määruse lisa punktis 2.3 sätestatud tähenduses vastavalt määruse (EL) nr 910/2014 artikli 8 lõike 3 punktile c;
haldamine ja korraldamine käesoleva määruse lisa punktis 2.4 sätestatud tähenduses vastavalt määruse (EL) nr 910/2014 artikli 8 lõike 3 punktidele d ja e.
Artikkel 2
Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
LISA
Teatatud e-identimise süsteemi alusel väljastatud e-identimise vahendite usaldusväärsuse madala, märkimisväärse ja kõrge taseme minimaalsed tehnilised kirjeldused ja menetlused
1. Kasutatud mõisted
Käesolevas lisas kasutatakse järgmisi mõisteid:
1) |
„autoriteetne allikas” – mis tahes allikas, ükskõik millises vormis, mille puhul võib kindel olla, et sealt saadavad andmed, teave ja/või tõendid on täpsed ja neid saab kasutada identiteedi tõendamiseks; |
2) |
„autentimistegur” – tegur, mille puhul on kinnitatud tema seotus konkreetse isikuga ja mis kuulub ühte järgmistest kategooriatest:
|
3) |
„dünaamiline autentimine” – elektrooniline protsess, mille käigus kasutatakse krüpteerimist või muid meetodeid, mis võimaldavad nõudluspõhiselt luua elektroonilise tõendi, et subjekt valdab või omab identimisandmeid, ning mis muutub iga kord, kui subjekt autenditakse subjekti identiteeti kontrollivas süsteemis; |
4) |
„infoturbe haldamise süsteem” – protsesside ja menetluste kogum, mille eesmärk on viia infoturbega seotud riskid vastuvõetavale tasemele. |
2. Tehnilised kirjeldused ja menetlused
Käesolevas lisas kirjeldatud tehniliste kirjelduste ja menetluste komponente kasutatakse selleks, et teha kindlaks, kuidas kohaldatakse e-identimise süsteemi alusel väljastatud e-identimise vahendite suhtes määruse (EL) nr 910/2014 artikli 8 nõudeid ja kriteeriume.
2.1. Väljastamine
2.1.1.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. Veendutakse, et taotluse esitaja on teadlik e-identimise vahendi kasutamise tingimustest. 2. Veendutakse, et taotluse esitaja on teadlik e-identimise vahendi kasutamisega seotud soovituslikest ettevaatusabinõudest. 3. Kogutakse identiteedi tõestamiseks ja kontrollimiseks vajalikud identiteediandmed. |
Märkimisväärne |
Sama kui madala taseme puhul. |
Kõrge |
Sama kui madala taseme puhul. |
2.1.2.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. Võib eeldada, et isikul on väidetava identiteedi kohta tõendid, mida tunnustab liikmesriik, kus e-identimise vahendi saamise taotlus esitatakse. 2. Võib eeldada, et tõendid on ehtsad või autoriteetse allika andmetel olemas ning tõendid tunduvad olevat kehtivad. 3. Autoriteetsele allikale tuginedes on teada, et väidetav identiteet on olemas, ning võib eeldada, et see identiteet on ka tegelikult isikul, kes väidab selle endal olevat. |
Märkimisväärne |
Lisaks madala taseme nõuetele peab olema täidetud üks punktides 1–4 loetletud tingimus: 1. on kontrollitud, et isikul on oma väidetava identiteedi kohta tõendid, mida tunnustab liikmesriik, kus e-identimise vahendi saamise taotlus esitatakse, ja tal on väidetav identiteet ka tegelikult, ning tõendeid on kontrollitud, et veenduda nende ehtsuses, või on tõendid autoriteetse allika andmetel olemas ja seotud reaalse isikuga ning võetud on meetmed minimeerimaks riski, et isiku väidetav identiteet ei ole tema tegelik identiteet; sealjuures võetakse arvesse näiteks tõendi kadumise, varastamise, selle kehtivuse peatamise, tühistamise või aegumise riski, või 2. liikmesriigis, kus dokument on väljastatud, esitatakse registreerimisprotsessi käigus identiteeti tõendav dokument, mis osutub olevat seotud isikuga, kes selle esitab, ning võetud on meetmed minimeerimaks riski, et isiku väidetav identiteet ei ole tema tegelik identiteet; sealjuures võetakse arvesse näiteks dokumentide kadumise, varastamise, nende kehtivuse peatamise, tühistamise või aegumise riski, või 3. kui menetlus, mida avalik-õiguslik või eraõiguslik isik on samas liikmesriigis varem kasutanud muul otstarbel kui e-identimise vahendite väljastamiseks, tagab samaväärse usaldusväärsuse taseme kui punktis 2.1.2 sätestatud märkimisväärne usaldusväärsuse tase, ei pea registreerimise eest vastutav isik varasemaid menetlusi kordama, kui usaldusväärsuse samaväärsust kinnitab Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 765/2008 (1) artikli 2 lõikes 13 osutatud vastavushindamisasutus või samaväärne asutus, või 4. kui e-identimise vahend väljastatakse märkimisväärse või kõrge usaldusväärsuse tasemega kehtiva teatatud e-identimise vahendi põhjal ning võttes arvesse isiku identimisandmete muutumise riske, ei ole identiteedi tõestamise ja kontrollimise protsessi vaja korrata. Kui aluseks võetavast e-identimise vahendist ei ole teavitatud, peab märkimisväärset või kõrget usaldusväärsuse taset kinnitama määruse (EÜ) nr 765/2008 artikli 2 lõikes 13 osutatud vastavushindamisasutus või samaväärne organ. |
Kõrge |
Täidetud peavad olema kas punkti 1 või 2 nõuded. 1. Lisaks märkimisväärse taseme nõuetele peab olema täidetud üks punktides a–c loetletud tingimus: a) kui on kontrollitud, et isikul on fotoga või biomeetriline identimist võimaldav tõend, mida tunnustab liikmesriik, kus esitatakse taotlus e-identimise vahendi saamiseks, ja see tõend vastab väidetavale identiteedile, veendutakse, et tõend on autoriteetse allika andmetel kehtiv, ning taotluse esitaja samasus väidetava identiteediga tuvastatakse, võrreldes isiku üht või mitut füüsilist omadust autoriteetse allikaga, või b) kui menetlus, mida avalik-õiguslik või eraõiguslik isik on samas liikmesriigis varem kasutanud muul otstarbel kui e-identimise vahendite väljastamiseks, tagab samaväärse usaldusväärsuse taseme kui punktis 2.1.2 sätestatud kõrge usaldusväärsuse tase, ei pea registreerimise eest vastutav isik varasemaid menetlusi kordama, kui usaldusväärsuse samaväärsust kinnitab määruse (EÜ) nr 765/2008 artikli 2 lõikes 13 osutatud vastavushindamisasutus või samaväärne asutus, ning võetakse meetmeid tõendamaks, et varasema menetluse tulemused kehtivad endiselt, või c) kui e-identimise vahend väljastatakse kõrge usaldusväärsuse tasemega kehtiva teatatud e-identimise vahendi põhjal ning võttes arvesse isiku identimisandmete muutumise riske, ei ole identiteedi tõestamise ja kontrollimise protsessi vaja korrata. Kui aluseks võetavast e-identimise vahendist ei ole teavitatud, peab kõrget usaldusväärsuse taset kinnitama määruse (EÜ) nr 765/2008 artikli 2 lõikes 13 osutatud vastavushindamisasutus või samaväärne organ, ning võetakse meetmeid tõendamaks, et teatatud e-identimise vahendi väljastamise varasema menetluse tulemused kehtivad endiselt, või 2. kui taotluse esitaja ei esita fotoga või biomeetrilist identimist võimaldavat tunnustatud tõendit, kohaldatakse samasugust menetlust nagu kasutatakse sellise tunnustatud fotoga või biomeetrilist identimist võimaldava tõendi saamiseks riigisisesel tasemel registreerimise eest vastutava isiku liikmesriigis. |
(1)
Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 765/2008, 9. juuli 2008, millega sätestatakse akrediteerimise ja turujärelevalve nõuded seoses toodete turustamisega ja tunnistatakse kehtetuks määrus (EMÜ) nr 339/93 (ELT L 218, 13.8.2008, lk 30). |
2.1.3.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. Juriidilise isiku väidetavat identiteeti tõendatakse tõendi alusel, mida tunnustab liikmesriik, kus e-identimise vahendi saamise taotlus esitatakse. 2. Tõend tundub olevat kehtiv ning võib eeldada, et see on ehtne või autoriteetse allika andmetel olemas, kui juriidilise isiku lisamine autoriteetsesse allikasse on vabatahtlik ja seda reguleerib juriidilise isiku ja autoriteetse allika vaheline kokkulepe. 3. Autoriteetse allika andmetel ei ole juriidilise isiku seisund selline, mis takistaks teda kõnealuse juriidilise isikuna tegutsemast. |
Märkimisväärne |
Lisaks madala taseme nõuetele peab olema täidetud üks punktides 1–3 loetletud tingimus. 1. Juriidilise isiku väidetavat identiteeti tõendatakse tõendite alusel, mida tunnustab liikmesriik, kus e-identimise vahendi saamise taotlus esitatakse, ja milles on kirjas juriidilise isiku nimi, õiguslik vorm ja (vajaduse korral) registreerimisnumber, ning tõendit kontrollitakse, et veenduda, kas see on ehtne või autoriteetse allika andmetel olemas, kui juriidilise isiku lisamine autoriteetsesse allikasse on nõutav, et juriidiline isik saaks oma valdkonnas tegutseda, ning võetud on meetmed minimeerimaks riski, et väidetav identiteet ei ole juriidilise isiku tegelik identiteet; sealjuures võetakse arvesse näiteks dokumentide kadumise, varastamise, nende kehtivuse peatamise, tühistamise või aegumise riski, või 2. kui menetlus, mida avalik-õiguslik või eraõiguslik isik on samas liikmesriigis varem kasutanud muul otstarbel kui e-identimise vahendite väljastamiseks, tagab samaväärse usaldusväärsuse taseme kui punktis 2.1.3 sätestatud märkimisväärne usaldusväärsuse tase, ei pea registreerimise eest vastutav isik varasemaid menetlusi kordama, kui usaldusväärsuse samaväärsust kinnitab määruse (EÜ) nr 765/2008 artikli 2 lõikes 13 osutatud vastavushindamisasutus või samaväärne asutus, või 3. kui e-identimise vahend väljastatakse märkimisväärse või kõrge usaldusväärsuse tasemega kehtiva teatatud e-identimise vahendi põhjal, ei ole identiteedi tõestamise ja kontrollimise protsessi vaja korrata. Kui aluseks võetavast e-identimise vahendist ei ole teavitatud, peab märkimisväärset või kõrget usaldusväärsuse taset kinnitama määruse (EÜ) nr 765/2008 artikli 2 lõikes 13 osutatud vastavushindamisasutus või samaväärne organ. |
Kõrge |
Lisaks märkimisväärse taseme nõuetele peab olema täidetud üks punktides 1–3 loetletud tingimus. 1. Juriidilise isiku väidetavat identiteeti tõendatakse tõendite alusel, mida tunnustab liikmesriik, kus e-identimise vahendi saamise taotlus esitatakse, ja milles on kirjas juriidilise isiku nimi, õiguslik vorm ja vähemalt üks kordumatu tunnus, mida kasutatakse riigi sees juriidilise isiku tähistamiseks, ning tõendeid on kontrollitud veendumaks, et need on autoriteetse allika andmetel kehtivad, või 2. kui menetlus, mida avalik-õiguslik või eraõiguslik isik on samas liikmesriigis varem kasutanud muul otstarbel kui e-identimise vahendite väljastamiseks, tagab samaväärse usaldusväärsuse taseme kui punktis 2.1.3 sätestatud kõrge usaldusväärsuse tase, ei pea registreerimise eest vastutav isik varasemaid menetlusi kordama, kui usaldusväärsuse samaväärsust kinnitab määruse (EÜ) nr 765/2008 artikli 2 lõikes 13 osutatud vastavushindamisasutus või samaväärne asutus, ning võetakse meetmeid tõendamaks, et nimetatud eelmise menetluse tulemused kehtivad endiselt, või 3. kui e-identimise vahend väljastatakse kõrge usaldusväärsuse tasemega kehtiva teatatud e-identimise vahendi põhjal, ei ole identiteedi tõestamise ja kontrollimise protsessi vaja korrata. Kui aluseks võetavast e-identimise vahendist ei ole teavitatud, peab kõrget usaldusväärsuse taset kinnitama määruse (EÜ) nr 765/2008 artikli 2 lõikes 13 osutatud vastavushindamisasutus või samaväärne organ, ning võetakse meetmeid tõendamaks, et teatatud e-identimise vahendi väljastamise varasema menetluse tulemused kehtivad endiselt. |
2.1.4.
Vajaduse korral kehtivad füüsilise isiku e-identimise vahendi ja juriidilise isiku e-identimise vahendi omavahelise seostamise (edaspidi „seostamine”) suhtes järgmised tingimused.
Seostamist peab olema võimalik peatada ja/või kehtetuks tunnistada. Seostamistsüklit (st aktiveerimist, peatamist, uuendamist, kehtetuks tunnistamist) hallatakse riiklikult tunnustatud menetluste kohaselt.
Füüsiline isik, kelle e-identimise vahend on seostatud juriidilise isiku e-identimise vahendiga, võib delegeerida seostamisest tulenevad toimingud riiklikult tunnustatud menetluse kohaselt teisele füüsilisele isikule. Vastutavaks jääb siiski füüsiline isik, kes toimingud delegeeris.
Seostamine toimub järgmiselt.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. Kontrollitakse, et juriidilise isiku nimel tegutseva füüsilise isiku identiteet on tõestatud vähemalt madala usaldusväärsuse taseme nõuete kohaselt. 2. Seostamine on toimunud riiklikult tunnustatud menetluse kohaselt. 3. Autoriteetse allika andmetel ei ole füüsilise isiku seisund selline, mis takistaks teda juriidilise isiku nimel tegutsemast. |
Märkimisväärne |
Lisaks madala taseme punktile 3 peavad olema täidetud järgmised tingimused. 1. Kontrollitakse, et juriidilise isiku nimel tegutseva füüsilise isiku identiteedi tõestamine on toimunud märkimisväärse või kõrge usaldusväärsuse tasemega. 2. Seostamine on toimunud riiklikult tunnustatud menetluse kohaselt, mille tulemusena registreeriti seostamine autoriteetses allikas. 3. Seostatust on kontrollitud autoriteetse allika teabe põhjal. |
Kõrge |
Lisaks madala taseme punktile 3 ja märkimisväärse taseme punktile 2 peavad olema täidetud järgmised tingimused. 1. Kontrollitakse, et juriidilise isiku nimel tegutseva füüsilise isiku identiteedi tõestamine on toimunud kõrge usaldusväärsuse tasemega. 2. Seostatust on kontrollitud kordumatu tunnuse põhjal, mida kasutatakse riigi sees juriidilise isiku tähistamiseks, ja füüsilist isikut tähistava autoriteetsest allikast pärit kordumatu teabe põhjal. |
2.2. E-identimise vahendite haldamine
2.2.1.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. E-identimise vahend kasutab vähemalt üht autentimistegurit. 2. E-identimise vahend on kavandatud selliselt, et selle väljastaja võtab mõistlikke meetmeid veendumaks, et vahendit kasutatakse ainult selle isiku kontrolli all või selle isiku poolt, kelle oma see on. |
Märkimisväärne |
1. E-identimise vahend kasutab vähemalt kaht eri kategooriate autentimistegurit. 2. E-identimise vahend on kavandatud selliselt, et võib eeldada, et seda kasutatakse vaid selle isiku kontrolli all või selle isiku poolt, kelle oma see on. |
Kõrge |
Lisaks märkimisväärsele tasemele peavad olema täidetud järgmised tingimused. 1. E-identimise vahend on kaitstud kopeerimise ja manipuleerimise ning suure ründepotentsiaaliga ründajate vastu. 2. E-identimise vahend on kavandatud selliselt, et selle omanik saab seda kindlalt kaitsta teiste isikute poolse kasutamise eest. |
2.2.2.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
Pärast väljastamist antakse e-identimise vahend üle sellise mehhanismi kaudu, mille puhul võib eeldada, et vahend jõuab vaid selle isikuni, kellele see on mõeldud. |
Märkimisväärne |
Pärast väljastamist antakse e-identimise vahend üle sellise mehhanismi kaudu, mille puhul võib eeldada, et vahend antakse üle vaid selle isiku kätte, kellele see kuulub. |
Kõrge |
Aktiveerimisprotsessi käigus kontrollitakse, et e-identimise vahend anti üle vaid selle isiku kätte, kellele ta kuulub. |
2.2.3.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. E-identimise vahendi kehtivust on võimalik kiiresti ja tõhusalt peatada ja/või see kehtetuks tunnistada. 2. Olemas on meetmed, mille abil takistatakse ilma loata kehtivuse peatamist, kehtetuks tunnistamist ja/või uuesti aktiveerimist. 3. Uuesti aktiveerimine toimub ainult siis, kui endiselt on täidetud samad usaldusväärsuse nõuded kui enne kehtivuse peatamist või kehtetuks tunnistamist. |
Märkimisväärne |
Sama kui madala taseme puhul. |
Kõrge |
Sama kui madala taseme puhul. |
2.2.4.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
Võttes arvesse isiku identiteediandmete muutumise riske, peavad uuendamine ja asendamine vastama samadele usaldusväärsuse nõuetele kui esialgne identiteedi tõestamine ja kontrollimine või põhinema sama või kõrgema usaldusväärsuse tasemega kehtival e-identimise vahendil. |
Märkimisväärne |
Sama kui madala taseme puhul. |
Kõrge |
Lisaks madalale tasemele peavad olema täidetud järgmised tingimused. Kui uuendamine või asendamine põhineb kehtival e-identimise vahendil, kontrollitakse identiteediandmeid autoriteetsest allikast. |
2.3. Autentimine
Selles punktis keskendutakse autentimismehhanismi kasutamisega seotud ohtudele ning loetletakse iga usaldusväärsuse taseme nõuded. Käesoleva punkti tähenduses loetakse turvameetmed konkreetse taseme riskidega vastavuses olevaiks.
2.3.1.
Järgmises tabelis on esitatud nõuded igale sellise autentimismehhanismi usaldusväärsuse tasemele, mille kaudu füüsiline või juriidiline isik kasutab e-identimise vahendit selleks, et kinnitada oma isikusamasust tuginevale isikule.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. Enne isiku identiteediandmete loovutamist tuleb usaldusväärselt kontrollida e-identimise vahendit ja selle kehtivust. 2. Kui isiku identiteediandmed on salvestatud autentimismehhanismi osana, peab see teave olema turvatud, et kaitsta seda kadumise või rikkumise, sh väljaspool võrku analüüsimise eest. 3. Autentimismehhanism rakendab e-identimise vahendi kontrollimiseks turvameetmeid, et oleks väga ebatõenäoline, et baasoskustest suurema ründepotentsiaaliga ründaja suudaks näiteks mõistatamise, pealtkuulamise, taasesituse või side manipuleerimise abil autentimismehhanismi häirida. |
Märkimisväärne |
Lisaks madalale tasemele peavad olema täidetud järgmised tingimused. 1. Enne isiku identiteediandmete loovutamist tuleb e-identimise vahendit ja selle kehtivust usaldusväärselt kontrollida dünaamilise autentimisega. 2. Autentimismehhanism rakendab e-identimise vahendi kontrollimiseks turvameetmeid, et oleks väga ebatõenäoline, et keskmise ründepotentsiaaliga ründaja suudaks näiteks mõistatamise, pealtkuulamise, taasesituse või side manipuleerimise abil autentimismehhanismi häirida. |
Kõrge |
Lisaks märkimisväärsele tasemele peavad olema täidetud järgmised tingimused. Autentimismehhanism rakendab e-identimise vahendi kontrollimiseks turvameetmeid, et oleks väga ebatõenäoline, et suure ründepotentsiaaliga ründaja suudaks näiteks mõistatamise, pealtkuulamise, taasesituse või side manipuleerimise abil autentimismehhanismi häirida. |
2.4. Haldamine ja korraldamine
Kõik osalised, kes osutavad piiriüleselt e-identimisega seotud teenust (edaspidi „teenuseosutajad”), peavad kasutama dokumenteeritud infoturbe haldamise tavasid, põhimõtteid, lähenemisviise riskihaldusele ja muid tunnustatud turvameetmeid, et asjaomaste liikmesriikide e-identimise süsteemide juhtimisega tegelevad asutused saaksid olla kindlad, et kasutatakse tõhusaid tegutsemisviise. Punktis 2.4 loetakse kõik nõuded/komponendid konkreetse taseme riskidega vastavuses olevaiks.
2.4.1.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. Käesoleva määrusega hõlmatud põhiteenuse osutajaks on liikmesriigi õigusega tunnustatud riigiasutus või juriidiline üksus, millel on kindlakskujunenud struktuur ja mis on täiesti tegev kõigis teenuse osutamise seisukohast asjakohastes aspektides. 2. Teenuseosutajad täidavad kõiki õigusaktidest tulenevaid nõudeid, mis nende suhtes kehtivad seoses teenuse käitamise ja osutamisega, kaasa arvatud teabe liigid, mille kohta võib päringuid esitada, kuidas toimub identiteedi tõestamine ning millist teavet ja kui kaua tuleb säilitada. 3. Teenuseosutajad peavad tõendama oma suutlikkust tulla toime kahjude eest vastutamise riskiga ning piisavate rahaliste vahendite olemasolu tegevuse jätkamiseks ja teenuste osutamiseks. 4. Teenuseosutajad vastutavad kõigi teistelt üksustelt tellitud kohustuste täitmise eest ja süsteemi põhimõtete järgmise eest, nagu oleksid nad ise neid ülesandeid täitnud. 5. E-identimise süsteemide puhul, mis ei ole loodud riigi seadusega, peab olemas olema tõhus tegevuse lõpetamise kava. Sellises kavas tuleb käsitleda teenuse osutamise korrakohast lõpetamist või teenuse osutamise üleminekut teisele teenuseosutajale, asjaomaste asutuste ja lõppkasutajate teavitamist ning seda, kuidas andmikke süsteemi põhimõtete kohaselt kaitstakse, säilitatakse ja hävitatakse. |
Märkimisväärne |
Sama kui madala taseme puhul. |
Kõrge |
Sama kui madala taseme puhul. |
2.4.2.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. Avaldatud kujul on olemas teenuse määratlus, mis hõlmab kõiki tingimusi ja tasusid, kaasa arvatud teenuse kasutamise võimalikke piiranguid. Teenuse määratlus peab sisaldama privaatsuspõhimõtteid. 2. Kehtestada tuleb asjakohased tegevuspõhimõtted ja kord tagamaks, et teenuse kasutajaid teavitatakse õigeaegselt ja usaldusväärselt kõigist muudatustest teenuse määratluses ja kõigis kohaldatavates tingimustes ning konkreetse teenuse privaatsuspõhimõtetes. 3. Kehtestada tuleb asjakohased tegevuspõhimõtted ja kord, mis võimaldavad teabenõuetele täielikult ja korrektselt vastata. |
Märkimisväärne |
Sama kui madala taseme puhul. |
Kõrge |
Sama kui madala taseme puhul. |
2.4.3.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
Infoturvariskide haldamiseks ja juhtimiseks on olemas tõhus infoturbe halduse süsteem. |
Märkimisväärne |
Lisaks madalale tasemele peavad olema täidetud järgmised tingimused. Infoturbe halduse süsteem järgib infoturvariskide haldamise ja juhtimise juurdunud standardeid ja põhimõtteid. |
Kõrge |
Sama kui märkimisväärse taseme puhul. |
2.4.4.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. Asjakohased andmed talletatakse ja neid säilitatakse, kasutades tõhusat teabehaldussüsteemi ning võttes arvesse andmekaitse ja andmete säilitamise suhtes kohaldatavaid õigusakte ja sellega seotud häid tavasid. 2. Andmeid säilitatakse, kuivõrd see on lubatud riigi õigusaktidega või muu riikliku halduskorraldusega, ja kaitstakse seni, kuni nad on vajalikud auditeerimiseks ja turvalisuse rikkumistega seotud uurimiste tarbeks ning säilitamiseks; pärast seda hävitatakse andmed turvaliselt. |
Märkimisväärne |
Sama kui madala taseme puhul. |
Kõrge |
Sama kui madala taseme puhul. |
2.4.5.
Järgmises tabelis on esitatud nõuded, millele peavad vastama ruumid ja personal ning vajaduse korral allhankijad, kes täidavad käesolevas määruses kirjeldatud ülesandeid. Iga nõude täitmine on proportsionaalne pakutava usaldusväärsuse tasemega seotud riski tasemega.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. Olemas on menetlused, millega tagatakse, et personal ja allhankijad on oma ülesannete täitmiseks piisavalt koolitatud, kvalifitseeritud ja kogenud. 2. Teenuse nõuetekohaseks käigushoidmiseks ja ressursside tagamiseks vastavalt selle põhimõtetele ja menetlustele on piisavalt töötajaid ja allhankijaid. 3. Teenuse osutamiseks kasutatavaid ruume jälgitakse pidevalt ja neid kaitstakse keskkonnasündmuste tekitatavate kahjude, ilma loata juurdepääsu ja muude asjaolude eest, mis võiksid mõjutada teenuse turvalisust. 4. Teenuse osutamiseks kasutatavates ruumides on tagatud, et juurdepääs aladele, kus hoitakse või töödeldakse isikuandmeid, krüptograafilisi andmeid või muid delikaatseid andmeid, on lubatud vaid volitatud töötajatele või allhankijatele. |
Märkimisväärne |
Sama kui madala taseme puhul. |
Kõrge |
Sama kui madala taseme puhul. |
2.4.6.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
1. Teenuste turvalisusega seotud riskide haldamiseks on olemas proportsionaalsed tehnilise kontrolli meetmed, mis kaitsevad töödeldava teabe konfidentsiaalsust, terviklust ja käideldavust. 2. Isikuandmete või delikaatse teabe vahetamiseks kasutatavad elektroonilise side kanalid on kaitstud pealtkuulamise, manipuleerimise ja taasesituse vastu. 3. Kui e-identimise vahendite väljastamiseks ja autentimiseks kasutatakse krüptograafiat, on juurdepääs tundlikele krüptograafiamaterjalidele vaid neil rollidel ja rakendustel, mille jaoks on juurdepääs vältimatult vajalik. Tagatakse, et selliseid materjale ei salvestata kunagi püsivalt lihttekstina. 4. Kasutatakse menetlusi, mis tagavad, et turvalisus säilib aja jooksul ning et olemas on suutlikkus reageerida riskitaseme muutumisele, intsidentidele ja turvalisuse rikkumistele. 5. Kõiki andmekandjaid, mis sisaldavad isikuandmeid, krüptoandmeid või muud delikaatset teavet, hoitakse ja transporditakse ning need hävitatakse ohutult ja turvaliselt. |
Märkimisväärne |
Lisaks madalale tasemele peavad olema täidetud järgmised tingimused. Kui e-identimise vahendite väljastamiseks ja autentimiseks kasutatakse krüptograafiat, on delikaatsed krüptomaterjalid manipuleerimise vastu kaitstud. |
Kõrge |
Sama kui märkimisväärse taseme puhul. |
2.4.7.
Usaldusväärsuse tase |
Vajalikud komponendid |
Madal |
Toimuvad korrapärased siseauditid, mis hõlmavad kõiki pakutavate teenuste osutamise seisukohast olulisi osi, et tagada asjakohaste põhimõtete järgimine. |
Märkimisväärne |
Toimuvad korrapärased sõltumatud sise- või välisauditid, mis hõlmavad kõiki pakutavate teenuste osutamise seisukohast olulisi osi, et tagada asjakohaste põhimõtete järgimine. |
Kõrge |
1. Toimuvad korrapärased sõltumatud välisauditid, mis hõlmavad kõiki pakutavate teenuste osutamise seisukohast olulisi osi, et tagada asjakohaste põhimõtete järgimine. 2. Kui süsteemi haldab otseselt valitsusasutus, auditeeritakse seda kooskõlas riigi õigusaktidega. |