EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32007D0170
2007/170/EC: Commission Decision of 16 March 2007 laying down the network requirements for the Schengen Information System II (1st pillar) (notified under document number C(2007) 845)
2007/170/EÜ: Komisjoni otsus, 16. märts 2007 , millega nähakse ette nõuded teise põlvkonna Schengeni infosüsteemi võrgule (I sammas) (teatavaks tehtud numbri K(2007) 845 all)
2007/170/EÜ: Komisjoni otsus, 16. märts 2007 , millega nähakse ette nõuded teise põlvkonna Schengeni infosüsteemi võrgule (I sammas) (teatavaks tehtud numbri K(2007) 845 all)
OJ L 79, 20.3.2007, p. 20–28
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, RO, SK, SL, FI, SV)
OJ L 219M, 24.8.2007, p. 349–357
(MT)
In force
|
20.3.2007 |
ET |
Euroopa Liidu Teataja |
L 79/20 |
KOMISJONI OTSUS,
16. märts 2007,
millega nähakse ette nõuded teise põlvkonna Schengeni infosüsteemi võrgule (I sammas)
(teatavaks tehtud numbri K(2007) 845 all)
(Ainult bulgaaria-, eesti-, hispaania-, hollandi-, itaalia-, kreeka-, leedu-, läti-, malta-, poola-, portugali-, prantsus-, rootsi-, rumeenia-, saksa-, slovaki-, sloveeni-, soome-, tšehhi- ja ungarikeelne tekst on autentsed)
(2007/170/EÜ)
EUROOPA ÜHENDUSTE KOMISJON,
võttes arvesse Euroopa Ühenduse asutamislepingut,
võttes arvesse nõukogu 6. detsembri 2001. aasta määrust (EÜ) nr 2424/2001 teise põlvkonna Schengeni infosüsteemi (SIS II) väljatöötamise kohta, (1) eriti selle artikli 4 punkti a,
ning arvestades järgmist:
|
(1) |
SIS II väljatöötamiseks on vaja kehtestada tehnilised nõuded sidevõrgule ja selle osadele ning erinõuded võrgule. |
|
(2) |
Komisjon ja liikmesriigid peaksid kehtestama asjakohase korra, eelkõige seoses liikmesriikides asuva ühtse riikliku liidese elementidega. |
|
(3) |
Käesoleva otsusega ei piirata tulevikus komisjoni teiste selliste otsuste vastuvõtmist, mis on seotud SIS II ja eelkõige turvanõuete väljatöötamisega. |
|
(4) |
SIS II väljatöötamist reguleeritakse määrusega (EÜ) nr 2424/2001 ja nõukogu otsusega 2001/886/JSK. (2) Et tagada ühtne rakenduskord SIS II kui terviku väljatöötamiseks, peaksid käesoleva otsuse sätted kajastama selle otsuse sätteid, mille komisjon võtab otsuse 2001/886/JSK alusel, et näha ette täidetavad nõuded SIS II võrgule. |
|
(5) |
Nõukogu 29. mai 2000. aasta otsuse 2000/365/EÜ (Suurbritannia ja Põhja-Iiri Ühendkuningriigi taotluse kohta osaleda teatavates Schengeni acquis’ sätetes) (3) kohaselt ei osalenud Ühendkuningriik määruse (EÜ) nr 2424/2001 vastuvõtmisel, mistõttu see ei ole tema suhtes siduv ega kohaldatav, sest selles arendatakse edasi Schengeni acquis’ sätteid. Seepärast ei ole Ühendkuningriik komisjoni otsuse adressaat. |
|
(6) |
Nõukogu 28. veebruari 2002. aasta otsuse 2002/192/EÜ (Iirimaa taotluse kohta osaleda teatavates Schengeni acquis’ sätetes) (4) kohaselt ei osalenud Iirimaa määruse (EÜ) nr 2424/2001 vastuvõtmisel, mistõttu see ei ole tema suhtes siduv ega kohaldatav, sest selles arendatakse edasi Schengeni acquis’ sätteid. Seepärast ei ole Iirimaa komisjoni otsuse adressaat. |
|
(7) |
Euroopa Liidu lepingule ja Euroopa Ühenduse asutamislepingule lisatud Taani seisukohta käsitleva protokolli artikli 5 kohaselt otsustas Taani rakendada määrust (EÜ) nr 2424/2001 oma õiguses. Seega on määrus (EÜ) nr 2424/2001 rahvusvahelise õiguse alusel Taani suhtes siduv. |
|
(8) |
Islandi ja Norra puhul kujutavad määrus (EÜ) nr 2424/2001 ja otsus 2001/886/JSK Schengeni acquis’ nende sätete edasiarendamist vastavalt Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahelisele lepingule viimase kahe riigi osalemiseks nende Schengeni acquis’ sätete rakendamises, kohaldamises ja edasiarendamises, (5) mis kuuluvad nimetatud lepingu teatavaid rakenduseeskirju käsitleva nõukogu 17. mai 1999. aasta otsuse 1999/437/EÜ (Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu teatavate rakenduseeskirjade kohta nende kahe riigi ühinemiseks Schengeni acquis’ sätete rakendamise, kohaldamise ja edasiarendamisega) (6) artikli 1 punktis B osutatud valdkonda. |
|
(9) |
Šveitsi puhul kujutavad määrus (EÜ) nr 2424/2001 ja otsus 2001/886/JSK endast Schengeni acquis’ nende sätete edasiarendamist vastavalt Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelisele lepingule viimase ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega, mis kuuluvad valdkonda, millele on osutatud Euroopa Ühenduse nimel kõnealusele lepingule allakirjutamist ning selle teatavate sätete ajutist kohaldamist käsitleva nõukogu otsuse artikli 4 lõikes 1. |
|
(10) |
Käesolev otsus on Schengeni acquis’ edasiarendus või muul viisil sellega seotud ühinemisakti artikli 3 lõike 1 tähenduses. |
|
(11) |
Käesolevas otsuses sätestatud meetmed on kooskõlas määruse (EÜ) nr 2424/2001 artikli 6 lõike 1 alusel asutatud komitee arvamusega, |
ON TEINUD JÄRGMISE OTSUSE:
Artikkel 1
SIS II sideinfrastruktuuri füüsilise ülesehituse kavandamisega seotud tehnilised nõuded on määratud kindlaks lisas.
Artikkel 2
Käesolev otsus on adresseeritud Belgia Kuningriigile, Bulgaaria Vabariigile, Tšehhi Vabariigile, Saksamaa Liitvabariigile, Eesti Vabariigile, Kreeka Vabariigile, Hispaania Kuningriigile, Prantsuse Vabariigile, Itaalia Vabariigile, Küprose Vabariigile, Läti Vabariigile, Leedu Vabariigile, Luksemburgi Suurhertsogiriigile, Ungari Vabariigile, Malta Vabariigile, Madalmaade Kuningriigile, Austria Vabariigile, Poola Vabariigile, Portugali Vabariigile, Rumeeniale, Sloveenia Vabariigile, Slovaki Vabariigile, Soome Vabariigile ja Rootsi Kuningriigile.
Brüssel, 16. märts 2007
Komisjoni nimel
asepresident
Franco FRATTINI
(1) EÜT L 328, 13.12.2001, lk 4. Määrust on muudetud määrusega (EÜ) nr 1988/2006 (ELT L 411, 30.12.2006, lk 1)
(2) EÜT L 328, 13.12.2001, lk 1
(3) EÜT L 131, 1.6.2000, lk 43. Otsust on muudetud otsusega 2004/926/EÜ (ELT L 395, 31.12.2004, lk 70).
(4) EÜT L 64, 7.3.2002, lk 20.
(5) EÜT L 176, 10.7.1999, lk 36.
(6) EÜT L 176, 10.7.1999, lk 31.
LISA
SISUKORD
|
1. |
Sissejuhatus … |
|
1.1. |
Akronüümid ja lühendid … |
|
2. |
Üldine ülevaade … |
|
3. |
Geograafiline katvus … |
|
4. |
Võrguteenused … |
|
4.1. |
Võrgu paigutus … |
|
4.2. |
CS-SIS põhisüsteemi ja CS-SIS varusüsteemi vahelise ühenduse liik … |
|
4.3. |
Ribalaius … |
|
4.4. |
Teenuste klassid … |
|
4.5. |
Toetavad protokollid … |
|
4.6. |
Tehnilised nõuded … |
|
4.6.1. |
Internetiaadress … |
|
4.6.2. |
IPv6 tugi … |
|
4.6.3. |
Staatilise marsruudi sisestamine … |
|
4.6.4. |
Püsiva andmevoo määr … |
|
4.6.5. |
Muud nõuded … |
|
4.7. |
Vastupidavus … |
|
5. |
Kontrollimine … |
|
6. |
Üldteenused … |
|
7. |
Käideldavus … |
|
8. |
Turvateenused … |
|
8.1. |
Võrgu krüpteerimine … |
|
8.2. |
Muud turvaelemendid … |
|
9. |
Kasutajatugi ja tugistruktuur … |
|
10. |
Suhtlemine teiste süsteemidega … |
1. Sissejuhatus
Käesolevas dokumendis kirjeldatakse nõudeid sidevõrgule ja selles sisalduvatele osadele ning erinõudeid võrgule.
1.1. Akronüümid ja lühendid
Käesolevas osas kirjeldatakse dokumendis kasutatud akronüüme.
|
Akronüümid ja lühendid |
Selgitus |
|
BLNI |
Riikliku kohaliku liidese varuliides |
|
CEP |
Keskne kasutajaliides |
|
CNI |
Riiklik keskliides |
|
CS |
Keskinfosüsteem |
|
CS-SIS |
Tehniline tugisüsteem, mis sisaldab SIS II andmebaasi |
|
DNS |
Nimeserver |
|
FCIP |
Andmete tunneldamine |
|
FTP |
Failiedastusprotokoll |
|
HTTP |
Hüperteksti edastamise protokoll |
|
IP |
Internetiprotokoll |
|
LAN |
Kohtvõrk |
|
LNI |
Riiklik kohalik liides |
|
Mbps |
Megabitti sekundis |
|
MDC |
Süsteemi peaarendaja |
|
N.SIS II |
Süsteemi riiklik osa liikmesriigis |
|
NI-SIS |
Ühtne riiklik liides |
|
NTP |
Võrguaja protokoll |
|
SAN |
Salvestivõrk |
|
SDH |
Sünkroon-andmehierarhia |
|
SIS II |
Teise põlvkonna Schengeni infosüsteem |
|
SMTP |
Lihtne meiliedastusprotokoll |
|
SNMP |
Lihtne võrguhalduse protokoll |
|
s-TESTA |
Turvaline üleeuroopaline valitsusasutuste telemaatiliste teenuste süsteem on meede IDABC programmis (programm üleeuroopaliste e-valitsuse teenuste koostalitusvõimelise osutamise kohta riiklikele haldusasutustele, ettevõtetele ja kodanikele. Euroopa Parlamendi ja nõukogu 21. aprilli 2004. aasta otsus 2004/387/EÜ). |
|
TCP |
Edastusohje protokoll |
|
VIS |
Viisainfosüsteem |
|
VPN |
Virtuaalne privaatvõrk |
|
WAN |
Laivõrk |
2. Üldine ülevaade
SIS II koosneb järgmistest osadest:
|
— |
keskinfosüsteem (edaspidi “SIS II kesksüsteem”), mis koosneb järgmistest osadest:
|
|
— |
süsteemi riiklik osa (edaspidi “N.SIS II”), mis koosneb SIS II kesksüsteemiga ühenduses olevatest riiklikest andmesüsteemidest. N.SIS II võib sisaldada andmefaili (edaspidi “riiklik koopia”), mis omakorda sisaldab SIS II andmebaasi täielikku või osalist koopiat, |
|
— |
sideinfrastruktuur tugisüsteemi CS-SIS ja liidese NI-SIS vahel (edaspidi “sideinfrastruktuur”), mis on SIS II andmetele ja SIRENE büroode vaheliseks andmevahetuseks ette nähtud krüpteeritud virtuaalne võrk. |
NI-SIS koosneb järgmistest osadest:
|
— |
igas liikmesriigis asuv riiklik kohalik liides (edaspidi “LNI”), mis füüsiliselt ühendab liikmesriigi turvalisse sidevõrku ja mis sisaldab krüpteerivaid seadmeid SIS II ja SIRENE andmeliikluse jaoks. LNI asub liikmesriikide asutustes, |
|
— |
vabatahtlik riikliku kohaliku liidese varuliides (edaspidi “BLNI”), millel on täpselt samasugune sisu ja ülesanne nagu liidesel LNI. |
Liideseid LNI ja BLNI kasutatakse ainult SIS II süsteemis ja SIRENE süsteemi andmesideks. LNI ja BLNI konkreetne konfiguratsioon täpsustatakse ja lepitakse kokku iga liikmesriigiga eraldi, et võtta arvesse turvanõudeid, füüsilist asukohta ja paigaldamise tingimusi, sealhulgas võrguteenuse pakkuja osutatavaid teenuseid. See tähendab, et s-TESTA ühendus võib sisaldada mitut VPN tunnelit suhtlemiseks teiste süsteemidega (näiteks VIS ja Eurodac).
|
— |
Riiklik keskliides (edaspidi “CNI”) on rakendus, mis kindlustab juurdepääsu tugisüsteemile CS-SIS. Igal liikmesriigil on eraldi loogiline juurdepääsupunkt liidesele CNI keskse tulemüüri kaudu. |
Sideinfrastruktuur CS-SISi ja NI-SISi vahel koosneb järgmistest osadest:
|
— |
turvaline üleeuroopaline valitsusasutuste telemaatiliste teenuste süsteem (edaspidi “s-TESTA”), mis pakub krüpteeritud virtuaalset privaatvõrku SIS II andmetele ja SIRENE andmeliiklusele. |
3. Geograafiline katvus
Sideinfrastruktuur peab olema võimeline katma kõiki liikmesriike ja pakkuma neile vajalikke teenuseid.
Kaetud on kõik ELi liikmesriigid (Belgia, Prantsusmaa, Saksamaa, Luksemburg, Madalmaad, Itaalia, Portugal, Hispaania, Kreeka, Austria, Taani, Soome, Rootsi, Küpros, Tšehhi Vabariik, Eesti, Ungari, Läti, Leedu, Malta, Poola, Slovakkia, Sloveenia, Ühendkuningriik ja Iirimaa) ning Norra, Island ja Šveits.
Lisaks tuleb arvesse võtta äsja ühinenud riikide Rumeenia ja Bulgaaria katmist.
Sideinfrastruktuuri peab saama laiendada mis tahes riiki või üksusesse, kes ühineb SIS II kesksüsteemiga (nt Europol, Eurojust).
4. Võrguteenused
Protokolli või ülesehituse nimetamisel tuleks arvestada, et neile vastavad tulevased tehnoloogiad, protokollid ja ülesehitus on samuti vastuvõetavad.
4.1. Võrgu paigutus
SIS II ülesehitus kasutab tsentraliseeritud teenuseid, millele on juurdepääs igast liikmesriigist. Vastupidavuse tagamise eesmärgil asuvad tsentraliseeritud teenused kahes eri kohas. CS-SIS põhisüsteem asub nimelt Prantsusmaal Strasbourgis ja CS-SIS varusüsteem Austrias St Johann im Pongaus.
Keskinfosüsteemile, st põhi- ja varusüsteemile, peab olema võimalik juurde pääseda kõigist liikmesriikidest. Osalevatel riikidel võib olla võrgule mitu juurdepääsupunkti (LNI ja BLNI), mis ühendavad riikliku süsteemi tsentraliseeritud teenustega.
Lisaks peamisele ühendusele tsentraliseeritud teenustega peab sideinfrastruktuur toetama ka kahepoolset täiendava teabe vahetust erinevate liikmesriikide SIRENE büroode vahel.
4.2. CS-SIS põhisüsteemi ja CS-SIS varusüsteemi vahelise ühenduse liik
CS-SIS põhisüsteemi ja CS-SIS varusüsteemi sidumiseks vajalik ühendus peab olema SDH ring või sellega võrdne ühendus, mis peab sobima ka uue ülesehituse ja tehnoloogia kasutuselevõtu korral. SDH infrastruktuuri kasutatakse põhi- ja varusüsteemi kohalike võrkude laiendamiseks, et luua katkematu ühtne kohtvõrk (LAN). Sellist võrku kasutatakse põhi- ja varusüsteemi pideva sünkroniseerimise jaoks.
4.3. Ribalaius
Sideinfrastruktuuri oluliseks nõudeks on ribalaius, mida on võimalik kasutada omavahel seotud süsteemi osades. Seda ribalaiust peab olema võimalik kasutada ka tuumvõrgus.
Liidese LNI ja vabatahtliku liidese BLNI jaoks vajalik ribalaius on iga liikmesriigi puhul erinev ja sõltub peamiselt sellest, kas soovitakse kasutada riiklikke koopiaid, teostada otsinguid kesksüsteemis ja vahetada biomeetrilisi andmeid.
Tegelik ribalaius, mida sideinfrastruktuuris otsustatakse pakkuda, ei ole oluline seni, kuni see rahuldab iga liikmesriigi minimaalse vajaduse.
Iga eespool nimetatud süsteemi osa võib nii edastada kui ka vastu võtta suurt hulka andmeid (tähtnumbrilised ja biomeetrilised andmed ning tervikdokumendid). Seega peab sideinfrastruktuur tagama kõikides ühendustes piisava minimaalse üles- ja allalaadimise kiiruse.
Sideinfrastruktuur peab pakkuma ühenduse, mille kiirus ulatub 2 megabitist sekundis 155 megabitini sekundis või on veelgi kiirem. Võrk peab tagama kõigis ühendustes minimaalse üles- ja allalaadimise kiiruse, mis on piisav, et toetada võrgu juurdepääsupunktide summaarset ribalaiust.
4.4. Teenuste klassid
SIS II kesksüsteem peab suutma prioriseerida päringuid/hoiatusteateid. Sellest tuleneva nõudena peab sideinfrastruktuur olema samuti võimeline prioriseerima andmevahetust.
Eeldatakse, et SIS II kesksüsteem määrab vajaduse korral kõikide andmepakettide puhul võrgu prioriseerimise parameetrid. Selleks kasutatakse kaalutud õiglase järjestamise meetodit. See tähendab, et sideinfrastruktuur peab suutma säilitada kohtvõrgus andmepakettidele määratud prioriteedid ja kohtlema tuumvõrgus andmepakette sellele vastavalt. Lisaks peab sideinfrastruktuur edastama algsed andmepaketid sihtkohta samade prioriteetidega, mis on neile kohtvõrgus määratud.
4.5. Toetavad protokollid
SIS II kesksüsteem kasutab mitut võrguprotokolli. Sideinfrastruktuur peaks toetama suurt hulka võrguprotokolle. Toetavad standardprotokollid on HTTP, FTP, NTP, SMTP, SNMP ja DNS.
Lisaks standardprotokollidele peab sideinfrastruktuur olema võimeline kasutama erinevaid tunneldusprotokolle, salvestivõrgus olevate andmete tiražeerimise protokolle ja Javat Javaga ühendavaid protokolle, mis on kaitstud BEA WebLogic’u omandiõigusega. Tunneldusprotokolle, näiteks IPsec tunnelrežiimis, kasutatakse krüpteeritud andmeliikluse edastamiseks sihtkohta.
4.6. Tehnilised nõuded
4.6.1. Internetiaadress
Sideinfrastruktuuril peab olema hulk reserveeritud internetiaadresse, mida võib kasutada ainult selles võrgus. Reserveeritud internetiaadressidest kasutab SIS II kesksüsteem teatud hulka internetiaadresse, mida mujal ei kasutata.
4.6.2. IPv6 tugi
Eeldatakse, et liikmesriikide kohalikus võrgus kasutatav protokoll on TCP/IP. Siiski kasutavad mõned süsteemi osad versiooni 4, samas kui teised kasutavad versiooni 6. Võrgu juurdepääsupunktid peavad olema võimelised toimima lüüsina, olenemata SIS II kesksüsteemis ja N.SIS II-s kasutatavatest võrguprotokollidest.
4.6.3. Staatilise marsruudi sisestamine
CS-SIS põhi- ja varusüsteem saavad kasutada liikmesriikidega suhtlemisel sama internetiaadressi. Seega peaks sideinfrastruktuur võimaldama staatilise marsruudi sisestamist.
4.6.4. Püsiva andmevoo määr
Kui CS-SIS põhi- ja varusüsteemi ühendusel on koormuse määr väiksem kui 90 %, peab vastav liikmesriik olema võimeline pidevalt toetama kogu oma kindlaksmääratud ribalaiust.
4.6.5. Muud nõuded
CS-SIS toetamiseks peab sideinfrastruktuur vastama vähemalt järgmistele minimaalsetele tehnilistele nõuetele:
andmete ülekande viivitus peab olema 95 % andmepakettide puhul (sealhulgas tipptundidel) 150 millisekundit või väiksem ning 100 % andmepakettide puhul väiksem kui 200 millisekundit;
andmepakettide kaotamise tõenäosus tohib olla 95 % andmepakettide puhul (sealhulgas tipptundidel) 10-4 või väiksem ning 100 % andmepakkide puhul väiksem kui 10-3.
Eespool nimetatud nõudeid kaalutakse iga juurdepääsupunkti puhul eraldi.
CS-SIS põhi- ja varusüsteemi vahelise ühenduse viiteaeg tohib olla 60 ms või väiksem.
4.7. Vastupidavus
Üks nõue tugisüsteemi CS-SIS kavandamisel oli, et see peab olema laialdaselt kättesaadav. Et süsteem peaks vastu teatavate osade rikke korral, on kõik seadmed dubleeritud.
Sideinfrastruktuur peab vastu pidama teatavate osade rikete korral. Vastupidavad peavad olema järgmised sideinfrastruktuuri osad:
|
— |
tuumvõrk, |
|
— |
marsruutimisseadmed, |
|
— |
võrgupunktid, |
|
— |
kliendiliini ühendused (sealhulgas füüsiliselt dubleeritud kaablid), |
|
— |
turvaseadmed (krüpteerimisseadmed, tulemüürid jms), |
|
— |
kõik üldteenused (DNS, NTP jms), |
|
— |
LNI/BLNI. |
Kogu võrguseadmete tõrkesiirde mehhanism peaks toimima automaatselt.
5. Kontrollimine
Kontrollimise lihtsustamiseks peab olema võimalik ühendada sideinfrastruktuuri kontrollivahendid SIS II kesksüsteemi operatiivjuhtimise eest vastutava organisatsiooni kontrolliseadmetega.
6. Üldteenused
Lisaks kindlaks määratud võrgule ja turvateenustele peab sideinfrastruktuur pakkuma ka üldteenuseid.
Eriteenuseid tuleb vastupidavuse tagamiseks pakkuda CS-SIS põhi- ja varusüsteemis.
Sideinfrastruktuur peab tagama järgmised vabatahtlikud üldteenused:
|
Teenus |
Täiendav teave |
|
DNS |
Tõrkesiirde kord, mille tulemusena võrk lülitub rikke korral CS-SIS põhisüsteemilt ümber CS-SIS varusüsteemile, põhineb praegu internetiaadressi muutmisel DNS-serveris. |
|
E-kirjade edasisaatmine |
Üldise e-posti edasisaatmine võib olla kasulik erinevate liikmesriikide e-posti standardiseerimiseks ning erinevalt eriserverist ei vaja see CS-SIS põhi- ega varusüsteemi võrguressursse. Üldises e-postis edastatav e-post peab siiski vastama kindlaks määratud turvanõuetele. |
|
NTP |
Teenust saab kasutada selleks, et sünkroniseerida võrguseadmete kellad. |
7. Käideldavus
CS-SIS, LNI ja BLNI peavad olema käideldavad 99,99 % ulatuses 28-päevase ajavahemiku jooksul, sõltumata võrgu käideldavusest.
Sideinfrastruktuuri käideldavus peab olema 99,99 %.
8. Turvateenused
8.1. Võrgu krüpteerimine
SIS II kesksüsteem ei luba kõrge või väga kõrge kaitsenõudega andmeid saata väljapoole LANi krüpteerimata. Tuleks tagada, et võrguteenuse pakkujal ei ole mingil juhul juurdepääsu SIS II operatiivsetele andmetele ega andmevahetusele SIRENE süsteemis.
Kõrgetasemelise turvalisuse tagamiseks peab sideinfrastruktuur võimaldama hallata sertifikaate/krüpteerimisvõtmeid. Krüpteerimisseadmeid peab olema võimalik hallata ja kontrollida üle võrgu. Krüpteerimisalgoritmid peavad vastama vähemalt järgmistele nõuetele:
|
— |
sümmeetrilised krüpteerimisalgoritmid:
|
|
— |
asümmeetrilised krüpteerimisalgoritmid:
|
Kasutatakse sõnumi kapselturbe (ESP, RFC2406) protokolli. Seda kasutatakse tunnelrežiimil. Andmepaketi sisu ja IP päis krüpteeritakse.
Seansivõtme vahetamiseks kasutatakse võtmete vahetamist Interneti kaudu (IKE protokoll).
IKE võtmed kehtivad kõige rohkem ühe päeva.
Seansivõtmed kehtivad kõige rohkem ühe tunni.
8.2. Muud turvaelemendid
Lisaks SIS II juurdepääsupunktidele peab sideinfrastruktuur kaitsma ka vabatahtlikke üldteenuseid. Nende teenuste kaitsemeetmed peavad olema võrreldavad tugisüsteemi CS-SIS kaitsemeetmetega. Kõik üldteenused peavad seetõttu olema kaitstud vähemalt tulemüüri, viirusetõrje ja sissetungi tuvastamise süsteemiga (IDS). Lisaks peaks üldteenuste seadmete ja nende kaitsemeetmete turvalisust pidevalt kontrollima (logimine ja järelmeetmed).
Turvalisuse kõrge taseme saavutamiseks peab SIS II kesksüsteemi operatiivjuhtimise eest vastutav organisatsioon olema teadlik mis tahes turvaintsidentidest, mis toimuvad sideinfrastruktuuris. Seega peab sideinfrastruktuur võimaldama teatada viivitamatult kõikidest peamistest turvaintsidentidest SIS II kesksüsteemi operatiivjuhtimise eest vastutavale organisatsioonile. Kõik turvaintsidendid peavad olema kajastatud korrapäraselt, nt igakuises ja ad hoc aruandluses.
9. Kasutajatugi ja tugistruktuur
Sideinfrastruktuuri pakkuja peab tagama kasutajatoe, kes suhtleb SIS II kesksüsteemi operatiivjuhtimise eest vastutava organisatsiooniga.
10. Suhtlemine teiste süsteemidega
Sideinfrastruktuur peab tagama, et teave ei satuks väljapoole kindlaks määratud teabekanaleid. Tehniliselt tähendab see järgmist:
|
— |
igasugune loata ja/või kontrollimata juurdepääs teistele võrkudele on rangelt keelatud. See hõlmab ühendust Internetiga, |
|
— |
võrgus ei tohi ilmneda andmete leket teistesse süsteemidesse, nt ei ole lubatud sidusus erinevate IP VPN võrkudega. |
Lisaks eespool nimetatud tehnilistele piirangutele mõjutavad võrgule kehtestatud nõuded ka sideinfrastruktuuri kasutajatuge. Kasutajatugi ei tohi avaldada SIS II kesksüsteemiga seotud mis tahes teavet kellelegi peale SIS II kesksüsteemi operatiivjuhtimise eest vastutava organisatsiooni.