02015R1502 — HU — 11.07.2022 — 001.001
Ez a dokumentum kizárólag tájékoztató jellegű és nem vált ki joghatást. Az EU intézményei semmiféle felelősséget nem vállalnak a tartalmáért. A jogi aktusoknak – ideértve azok bevezető hivatkozásait és preambulumbekezdéseit is – az Európai Unió Hivatalos Lapjában közzétett és az EUR-Lex portálon megtalálható változatai tekintendők hitelesnek. Az említett hivatalos szövegváltozatok közvetlenül elérhetők az ebben a dokumentumban elhelyezett linkeken keresztül
|
A BIZOTTSÁG (EU) 2015/1502 VÉGREHAJTÁSI RENDELETE (2015. szeptember 8.) az elektronikus azonosító eszközök biztonsági szintjeire vonatkozó minimális technikai specifikációknak és eljárásoknak a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról szóló 910/2014/EU európai parlamenti és tanácsi rendelet 8. cikkének (3) bekezdése szerint történő megállapításáról (HL L 235, 2015.9.9., 7. o) |
Módosította:
|
|
|
Hivatalos Lap |
||
|
Szám |
Oldal |
Dátum |
||
|
A BIZOTTSÁG (EU) 2022/960 VÉGREHAJTÁSI RENDELETE (2022. június 20.) |
L 165 |
40 |
21.6.2022 |
|
A BIZOTTSÁG (EU) 2015/1502 VÉGREHAJTÁSI RENDELETE
(2015. szeptember 8.)
az elektronikus azonosító eszközök biztonsági szintjeire vonatkozó minimális technikai specifikációknak és eljárásoknak a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról szóló 910/2014/EU európai parlamenti és tanácsi rendelet 8. cikkének (3) bekezdése szerint történő megállapításáról
(EGT-vonatkozású szöveg)
1. cikk
A valamely bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszközök biztonsági szintjének meghatározásához a mellékletben megállapított specifikációkat és eljárásokat kell alkalmazni, az alábbi elemek megbízhatóságának és minőségének meghatározása útján:
nyilvántartásba vétel, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének a) pontja értelmében e rendelet mellékletének 2.1. pontjában szerepel;
az elektronikus azonosító eszközök irányítása, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének b) és f) pontja értelmében e rendelet mellékletének 2.2. pontjában szerepel;
hitelesítés, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének c) pontja értelmében e rendelet mellékletének 2.3. pontjában szerepel;
irányítás és szervezés, ahogy az a 910/2014/EU rendelet 8. cikke (3) bekezdésének d) és e) pontja értelmében e rendelet mellékletének 2.4. pontjában szerepel.
2. cikk
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
MELLÉKLET
Technikai specifikációk és eljárások a bejelentett elektronikus azonosítási rendszerek keretében kibocsátott elektronikus azonosító eszközök „alacsony”, „jelentős” és „magas” biztonsági szintjeihez
1. Alkalmazandó fogalommeghatározások
E melléklet alkalmazásában:
|
1. |
„hiteles forrás” : formájától függetlenül bármely megbízható forrás, amely a személyazonosság igazolásához felhasználható pontos adatokat, információkat és/vagy bizonyítékokat szolgáltat; |
|
2. |
„hitelesítési tényező” : olyan tényező, amely bizonyítottan egy személyhez kapcsolódik, és amely az alábbi kategóriák valamelyikébe tartozik:
|
|
3. |
„dinamikus hitelesítés” : olyan elektronikus folyamat, amely kriptográfia vagy egyéb technikák alkalmazásával kérésre elektronikus igazolást készít arról, hogy az azonosító adatok az alany ellenőrzése alatt állnak vagy birtokában vannak, és amely az alany és az alany személyazonosságát igazoló rendszer közötti minden egyes hitelesítéskor változik; |
|
4. |
„információbiztonsági irányítórendszer” : olyan folyamatok és eljárások összessége, amelyek kialakításának célja, hogy az információbiztonsági kockázatokat elfogadható szinten tartsa; |
2. Technikai specifikációk és eljárások
Az e mellékletben megállapított technikai specifikációk és eljárások elemeit kell használni annak meghatározására, hogy hogyan kell alkalmazni a 910/2014/EU rendelet 8. cikkének követelményeit és kritériumait a bejelentett elektronikus azonosítási rendszer keretében kibocsátott elektronikus azonosító eszközökre.
2.1. Nyilvántartásba vétel
2.1.1.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. Annak biztosítása, hogy az igénylő ismeri az elektronikus azonosító eszköz használatával kapcsolatos feltételeket. 2. Annak biztosítása, hogy az igénylő ismeri az elektronikus azonosító eszköz használatával kapcsolatban ajánlott biztonsági óvintézkedéseket. 3. A személyazonosításhoz és a személyazonosság-ellenőrzéshez szükséges vonatkozó személyazonossági adatok összegyűjtése. |
|
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
|
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.1.2.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. Feltételezhető, hogy a személy birtokában van egy azon tagállam által elismert bizonyítéknak, ahol az elektronikus azonosító eszköz igénylése történik, és e bizonyíték igazolja az állítólagos személyazonosságot. 2. Feltételezhető, hogy a bizonyíték valódi, vagy hogy egy hiteles forrás szerint létezik, és a bizonyíték megalapozottnak tűnik. 3. Hiteles forrás számára ismert, hogy az állítólagos személyazonosság létezik, és feltételezhető, hogy a személyazonosságot magáénak tulajdonító személy valóban az a személy. |
|
Jelentős |
Az alacsony szint, továbbá teljesíteni kell az 1–4. pontban felsorolt alternatívák egyikét: 1. Beigazolódott, hogy a személy birtokában van egy azon tagállam által elismert bizonyítéknak, ahol az elektronikus azonosító eszköz igénylése történik, és e bizonyíték igazolja az állítólagos személyazonosságot és ellenőrzésre kerül, hogy a bizonyíték valódi-e; vagy egy hiteles forrás szerint létezik-e és egy valós személyhez kapcsolható-e és lépéseket tettek annak a kockázatnak a minimalizálására, hogy a személy azonossága esetleg nem egyezik meg az állítólagos személyazonossággal, figyelembe véve például az elveszett, ellopott, felfüggesztett, visszavont vagy lejárt érvényességű bizonyítékok kockázatát; vagy 2. A regisztrációs eljárás során bemutatásra kerül egy személyazonossági okirat abban a tagállamban, ahol az okiratot kiadták, és úgy tűnik, hogy az okirat az azt bemutató személyhez tartozik és lépéseket tettek annak a kockázatnak a minimalizálására, hogy a személy azonossága esetleg nem egyezik meg az állítólagos személyazonossággal, figyelembe véve például az elveszett, ellopott, felfüggesztett, visszavont vagy lejárt érvényességű okiratok kockázatát; vagy 3. Amennyiben egy közigazgatási vagy magánszervezet által ugyanabban a tagállamban korábban elektronikus azonosító eszközök kibocsátásától eltérő célra használt eljárások egyenértékű biztonságot nyújtanak, mint a 2.1.2. pontban a jelentős biztonsági szintnél megállapítottak, akkor a regisztrációért felelős szervezetnek nem kell megismételnie azokat a korábbi eljárásokat, feltéve, hogy az egyenértékű biztonságot egy, a 765/2008/EK európai parlamenti és tanácsi rendelet (1) 2. cikkének 13. pontja szerinti megfelelőségértékelő szervezet, vagy azzal egyenértékű szervezet megerősíti; vagy 4. Amennyiben jelentős vagy magas biztonsági szintű, érvényes bejelentett elektronikus azonosító eszköz alapján és a személyazonosító adatok esetleges megváltozásában rejlő kockázatokat figyelembe véve bocsátottak ki elektronikus azonosító eszközt, akkor nem szükséges megismételni a személyazonosítási és személyazonosság-ellenőrzési folyamatokat. Amennyiben az alapként szolgáló elektronikus azonosító eszközt nem jelentették be, akkor a jelentős vagy magas biztonsági szintet egy, a 765/2008/EK rendelet 2. cikkének 13. pontja szerinti megfelelőségértékelő szervezetnek, vagy azzal egyenértékű szervezetnek meg kell erősítenie. |
|
Magas |
Vagy az 1., vagy a 2. pont szerinti követelményeket kell teljesíteni: 1. A jelentős szint, továbbá teljesíteni kell az a–c) pontban felsorolt alternatívák egyikét: a) Ha beigazolódott, hogy a személy birtokában van egy azon tagállam által elismert fényképes vagy biometriai azonosító bizonyítéknak, ahol az elektronikus azonosító eszköz igénylése történik, és a bizonyíték igazolja az állítólagos személyazonosságot, akkor a bizonyíték ellenőrzésre kerül, hogy megállapítsák, hogy érvényes-e egy hiteles forrás szerint; és egy hiteles forrással a személy egy vagy több fizikai tulajdonságát összehasonlítva az igénylőt azonosították az állítólagos személyazonossággal; vagy b) Amennyiben egy közigazgatási vagy magánszervezet által ugyanabban a tagállamban korábban elektronikus azonosító eszközök kibocsátásától eltérő célra használt eljárások egyenértékű biztonságot nyújtanak, mint a 2.1.2. pontban a magas biztonsági szintnél megállapítottak, akkor a regisztrációért felelős szervezetnek nem kell megismételnie azokat a korábbi eljárásokat, feltéve, hogy az egyenértékű biztonságot egy, a 765/2008/EK 2. cikkének 13. pontja szerinti megfelelőségértékelő szervezet, vagy azzal egyenértékű szervezet megerősíti; és lépéseket tesznek annak igazolására, hogy a korábbi eljárások eredményei továbbra is érvényesek; vagy c) Amennyiben magas biztonsági szintű, érvényes bejelentett elektronikus azonosító eszköz alapján és a személyazonosító adatok esetleges megváltozásában rejlő kockázatokat figyelembe véve bocsátottak ki elektronikus azonosító eszközt, akkor nem szükséges megismételni a személyazonosítási és személyazonosság-ellenőrzési folyamatokat. Amennyiben az alapként szolgáló elektronikus azonosító eszközt nem jelentették be, akkor a magas biztonsági szintet egy, a 765/2008/EK rendelet 2. cikkének 13. pontja szerinti megfelelőségértékelő szervezetnek, vagy azzal egyenértékű szervezetnek meg kell erősítenie és lépéseket tesznek annak igazolására, hogy egy bejelentett elektronikus azonosító eszköz e korábbi kibocsátási eljárásának eredményei továbbra is érvényesek. VAGY 2. Amennyiben az igénylő nem mutat be semmilyen elismert fényképes vagy biometriai azonosító bizonyítékot, akkor pontosan ugyanazokat az eljárásokat kell alkalmazni, mint amelyeket a regisztrációért felelős szervezet szerinti tagállamban nemzeti szinten alkalmaznak ilyen elismert fényképes vagy biometriai azonosító bizonyítékok megszerzéséhez. |
|
(1)
Az Európai Parlament és a Tanács 2008. július 9-i 765/2008/EK rendelete a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30. o.). |
|
2.1.3.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. A jogi személy állítólagos személyazonossága egy azon tagállam által elismert bizonyíték alapján kerül igazolásra, ahol az elektronikus azonosító eszköz igénylése történik. 2. A bizonyíték érvényesnek tűnik, és feltételezhető, hogy valódi, illetve hogy egy olyan hiteles forrás szerint létezik, amelybe a jogi személy önkéntes alapon kerül felvételre, és a felvételt a jogi személy és a hiteles forrás közötti megállapodás szabályozza. 3. A jogi személynek egy hiteles forrás szerint sem olyan a státusa, amely meggátolná abban, hogy az adott jogi személyként eljárjon. |
|
Jelentős |
Az alacsony szint, továbbá teljesíteni kell az 1–3. pontban felsorolt alternatívák egyikét: 1. A jogi személy állítólagos személyazonossága egy azon tagállam által elismert bizonyíték alapján kerül igazolásra, ahol az elektronikus azonosító eszköz igénylése történik, amely bizonyíték magában foglalja a jogi személy nevét, jogi formáját és regisztrációs számát (ha van) és a bizonyíték ellenőrzésre kerül annak megállapítására, hogy valódi-e, vagy hogy létezik-e egy olyan hiteles forrás szerint, amelybe a jogi személynek kötelezően be kell kerülnie ahhoz, hogy ágazatában működhessen és lépéseket tettek azon kockázat minimalizálására, hogy a jogi személy azonossága esetleg nem egyezik meg az állítólagos személyazonossággal, figyelembe véve például az elveszett, ellopott, felfüggesztett, visszavont vagy lejárt érvényességű okiratok kockázatát; vagy 2. Amennyiben egy közigazgatási vagy magánszervezet által ugyanabban a tagállamban korábban elektronikus azonosító eszközök kibocsátásától eltérő célra használt eljárások egyenértékű biztonságot nyújtanak, mint a 2.1.3. pontban a jelentős biztonsági szintnél megállapítottak, akkor a regisztrációért felelős szervezetnek nem kell megismételnie azokat a korábbi eljárásokat, feltéve, hogy az egyenértékű biztonságot egy, a 765/2008/EK rendelet 2. cikkének 13. pontja szerinti megfelelőségértékelő szervezet, vagy azzal egyenértékű szervezet megerősíti; vagy 3. Amennyiben jelentős vagy magas biztonsági szintű, érvényes bejelentett elektronikus azonosító eszköz alapján bocsátottak ki elektronikus azonosító eszközt, nem szükséges megismételni a személyazonosítási és személyazonosság-ellenőrzési folyamatokat. Amennyiben az alapként szolgáló elektronikus azonosító eszközt nem jelentették be, akkor a jelentős vagy magas biztonsági szintet egy, a 765/2008/EK rendelet 2. cikkének 13. pontja szerinti megfelelőségértékelő szervezetnek, vagy azzal egyenértékű szervezetnek kell megerősítenie. |
|
Magas |
A jelentős szint, továbbá teljesíteni kell az 1–3. pontban felsorolt alternatívák egyikét: 1. A jogi személy állítólagos személyazonossága egy azon tagállam által elismert bizonyíték alapján kerül igazolásra, ahol az elektronikus azonosító eszköz igénylése történik, amely bizonyíték magában foglalja a jogi személy nevét, jogi formáját és legalább egy egyedi azonosítót, ami a jogi személyt nemzeti kontextusban azonosítja és ellenőrzésre kerül, hogy a bizonyíték egy hiteles forrás szerint érvényes-e; vagy 2. Amennyiben egy közigazgatási vagy magánszervezet által ugyanabban a tagállamban korábban elektronikus azonosító eszközök kibocsátásától eltérő célra használt eljárások egyenértékű biztonságot nyújtanak, mint a 2.1.3. pontban a magas biztonsági szintnél megállapítottak, akkor a regisztrációért felelős szervezetnek nem kell megismételnie azokat a korábbi eljárásokat, feltéve, hogy az egyenértékű biztonságot egy, a 765/2008/EK rendelet 2. cikkének 13. pontja szerinti megfelelőségértékelő szervezet, vagy azzal egyenértékű szervezet megerősíti és lépéseket tesznek annak igazolására, hogy az említett korábbi eljárás eredményei továbbra is érvényesek; vagy 3. Amennyiben magas biztonsági szintű, érvényes bejelentett elektronikus azonosító eszköz alapján bocsátottak ki elektronikus azonosító eszközt, nem szükséges megismételni a személyazonosítási és személyazonosság-ellenőrzési folyamatokat. Amennyiben az alapként szolgáló elektronikus azonosító eszközt nem jelentették be, akkor a magas biztonsági szintet egy, a 765/2008/EK európai parlamenti és tanácsi rendelet 2. cikkének 13. pontja szerinti megfelelőségértékelő szervezetnek, vagy azzal egyenértékű szervezetnek kell megerősítenie és lépéseket tesznek annak igazolására, hogy egy bejelentett elektronikus azonosító eszköz e korábbi kibocsátási eljárásának eredményei továbbra is érvényesek. |
2.1.4.
Egy természetes személy elektronikus azonosító eszközének és egy jogi személy elektronikus azonosító eszközének egymáshoz rendelésére megfelelő esetben az alábbi feltételek vonatkoznak:
Meg kell lennie a lehetőségnek az egymáshoz rendelés felfüggesztésére és/vagy visszavonására. Az egymáshoz rendelés életciklusának (pl. aktiválás, felfüggesztés, megújítás, visszavonás) kezelése nemzeti szinten elismert eljárások szerint történik.
Az a természetes személy, akinek elektronikus azonosító eszköze hozzá van rendelve a jogi személy elektronikus azonosító eszközéhez, nemzeti szinten elismert eljárások alapján más természetes személyre ruházhatja át az egymáshoz rendelés gyakorlását. Az átruházó természetes személy azonban felelősségre vonható marad.
Az egymáshoz rendelés az alábbi módon történik:
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. Ellenőrzésre került, hogy a jogi személy nevében eljáró természetes személy személyazonosságának igazolása alacsony vagy afeletti szinten történt. 2. Az egymáshoz rendelés nemzeti szinten elismert eljárások alapján történt. 3. A természetes személynek egy hiteles forrás szerint sem olyan a státusa, amely meggátolná a személyt abban, hogy a jogi személy nevében eljárjon. |
|
Jelentős |
Az alacsony szint 3. pontja, továbbá: 1. Ellenőrzésre került, hogy a jogi személy nevében eljáró természetes személy személyazonosságának igazolása jelentős vagy magas szinten történt. 2. Az egymáshoz rendelés nemzeti szinten elismert eljárások alapján történt, és ennek eredményeként egy hiteles forrás regisztrálta az egymáshoz rendelést. 3. Az egymáshoz rendelés hiteles forrásból származó információk alapján került ellenőrzésre. |
|
Magas |
Az alacsony szint 3. pontja és a jelentős szint 2. pontja, továbbá: 1. Ellenőrzésre került, hogy a jogi személy nevében eljáró természetes személy személyazonosságának igazolása magas szinten történt. 2. Az egymáshoz rendelés ellenőrzése egy, a jogi személyhez nemzeti kontextusban tartozó egyedi azonosító alapján, és hiteles forrásból származó, a természetes személyt egyedileg azonosító információk alapján történt. |
2.2. Az elektronikus azonosító eszközök irányítása
2.2.1.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. Az elektronikus azonosító eszköz legalább egy hitelesítési tényezőt alkalmaz. 2. Az elektronikus azonosító eszköz úgy van kialakítva, hogy a kibocsátó ésszerű lépéseket tesz annak ellenőrzésére, hogy az eszközt kizárólag annak a személynek az ellenőrzése alatt vagy birtokában használják-e, akihez az eszköz tartozik. |
|
Jelentős |
1. Az elektronikus azonosító eszköz legalább két, különböző kategóriába tartozó hitelesítési tényezőt alkalmaz. 2. Az elektronikus azonosító eszköz úgy van kialakítva, hogy feltételezhető, hogy csak annak a személynek az ellenőrzése alatt vagy birtokában használják, akihez az eszköz tartozik. |
|
Magas |
A jelentős szint, továbbá: 1. Az elektronikus azonosító eszköz védelmet nyújt a másolással és manipulációval, valamint a nagy támadási potenciálú támadókkal szemben. 2. Az elektronikus azonosító eszköz úgy van kialakítva, hogy az a személy, akihez az eszköz tartozik, bizonyosan meg tudja védeni az eszközt attól, hogy mások használják. |
2.2.2.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
A kibocsátást követően az elektronikus azonosító eszköz átadása egy olyan mechanizmus révén történik, amellyel feltételezhetően csak a célszemélyt érik el. |
|
Jelentős |
A kibocsátást követően az elektronikus azonosító eszköz átadása egy olyan mechanizmus révén történik, amellyel az átadás feltételezhetően csak annak a személynek a birtokába történik, akihez az eszköz tartozik. |
|
Magas |
Az aktiválási folyamat ellenőrzi, hogy az elektronikus azonosító eszköz átadása csak annak a személynek a birtokába történt, akihez az tartozik. |
2.2.3.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. Az elektronikus azonosító eszközt rövid időn belül és hatékony módon fel lehet függeszteni és/vagy vissza lehet vonni. 2. Meghozták az illetéktelen felfüggesztés, visszavonás és/vagy újraaktiválás megakadályozásához szükséges intézkedéseket. 3. Újraaktiválásra csak akkor kerülhet sor, ha a felfüggesztés vagy visszavonás előtt érvényes biztonsági követelmények továbbra is teljesülnek. |
|
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
|
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.2.4.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
A személyazonosító adatok esetleges megváltozásában rejlő kockázatokat figyelembe véve a megújításnak vagy cserének ugyanazoknak a biztonsági követelményeknek kell megfelelnie, mint a kiindulási személyazonosításnak és személyazonosság-ellenőrzésnek, vagy egy azonos vagy magasabb biztonsági szintű, érvényes elektronikus azonosító eszközön kell alapulnia. |
|
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
|
Magas |
Az alacsony szint, továbbá: Ha a megújítás vagy csere érvényes elektronikus azonosító eszköz alapján történik, a személyazonossági adatokat egy hiteles forrásban ellenőrizni kell. |
2.3. Hitelesítés
E pontban a hitelesítési mechanizmus alkalmazásához kapcsolódó veszélyekre összpontosítunk, és felsoroljuk az egyes biztonsági szintek követelményeit. E pont alkalmazásában úgy kell értelmezni, hogy az ellenőrzéseknek arányban kell állniuk az adott szinthez tartozó kockázatokkal.
2.3.1.
Az alábbi táblázatban biztonsági szintenként adjuk meg az azon hitelesítési mechanizmusra vonatkozó követelményeket, amelynek keretében a természetes vagy jogi személy az elektronikus azonosító eszközzel személyazonosságát igazolja az igénybe vevő fél számára.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. A személyazonossági adatok kiadása előtt megbízható módon ellenőrzésre kerül az elektronikus azonosító eszköz és annak érvényessége. 2. Amennyiben a személyazonossági adatokat a hitelesítési mechanizmus részeként tárolják, ott biztosítva van, hogy ez az információ ne vesszen el és ne legyen veszélyeztetve, ideértve az offline analízist. 3. A hitelesítési mechanizmus biztonsági ellenőrzéseket végez az elektronikus azonosító eszközök ellenőrzéséhez azért, hogy ily módon minimálisra csökkentse annak valószínűségét, hogy olyan módszerekkel, mint a találgatás, a lehallgatás, vagy a kommunikáció visszajátszása, illetve manipulálása egy közepes-alapszintű támadási potenciállal rendelkező támadó meghiúsítja a hitelesítési mechanizmust. |
|
Jelentős |
Az alacsony szint, továbbá: 1. A személyazonossági adatok kiadása előtt megbízható módon, dinamikus hitelesítés révén ellenőrzésre kerül az elektronikus azonosító eszköz és annak érvényessége. 2. A hitelesítési mechanizmus biztonsági ellenőrzéseket végez az elektronikus azonosító eszközök ellenőrzéséhez azért, hogy ily módon minimálisra csökkentse annak valószínűségét, hogy olyan módszerekkel, mint a találgatás, a lehallgatás, vagy a kommunikáció visszajátszása, illetve manipulálása egy mérsékelt támadási potenciálú támadó meghiúsítja a hitelesítési mechanizmust. |
|
Magas |
A jelentős szint, valamint: A hitelesítési mechanizmus biztonsági ellenőrzéseket végez az elektronikus azonosító eszközök ellenőrzéséhez azért, hogy ily módon minimálisra csökkentse annak valószínűségét, hogy olyan módszerekkel, mint a találgatás, a lehallgatás, vagy a kommunikáció visszajátszása, illetve manipulálása egy magas támadási potenciálú támadó meghiúsítja a hitelesítési mechanizmust. |
2.4. Irányítás és szervezés
A határokon átnyúló elektronikus azonosításhoz kapcsolódó szolgáltatásokat nyújtó összes résztvevőnek („szolgáltató”) dokumentált információbiztonság-irányítási gyakorlatokat, politikákat, kockázatkezelési módszereket és egyéb elismert ellenőrzéseket kell alkalmaznia, hogy biztosítékkal szolgáljanak az adott tagállamban az elektronikus azonosítási rendszerekért felelős megfelelő irányító szervek számára arról, hogy hatékony gyakorlatokat alkalmaznak. A 2.4. pontban úgy kell értelmezni, hogy az összes követelménynek/elemnek arányban kell állnia az adott szinthez tartozó kockázatokkal.
2.4.1.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. Az e rendelet hatálya alá tartozó bármilyen operatív szolgáltatást nyújtó szolgáltatók közigazgatási hatóságok vagy valamely tagállam nemzeti törvényei által ilyenként elismert jogi személyek, amelyek kialakított szervezettel rendelkeznek, és a szolgáltatások nyújtása szempontjából releváns valamennyi részük teljes mértékben működőképes. 2. A szolgáltatók a szolgáltatás működtetésével és nyújtásával kapcsolatban rájuk vonatkozó összes törvényi követelménynek megfelelnek, ideértve a kért információk típusára, a személyazonosság igazolásának módjára, valamint arra vonatkozó követelményeket, hogy milyen információk őrizhetők meg és mennyi ideig. 3. A szolgáltatók bizonyítani tudják, hogy képesek vállalni a károkozási felelősség kockázatát, továbbá elegendő anyagi eszközzel rendelkeznek a folyamatos működéshez és a szolgáltatások nyújtásához. 4. A szolgáltatók felelősséggel tartoznak a más szervezethez kiszervezett valamennyi kötelezettség teljesítéséért, valamint a rendszer előírásainak oly módon történő betartásáért, mintha maguk végezték volna el a feladatokat. 5. A nem a nemzeti törvények alapján létrehozott elektronikus azonosítási rendszerek esetében hatékony lezárási terv szükséges. Ennek a tervnek tartalmaznia kell a szolgáltatás rendezett befejezését vagy más szolgáltató általi folytatását, az illetékes hatóságok és a végfelhasználók tájékoztatásának módját, valamint azt, hogy a rendszer előírásaival összhangban hogyan kell az eltárolt adatokat megvédeni, megőrizni vagy megsemmisíteni. |
|
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
|
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.4.2.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. A szolgáltatás meghatározásának közzététele, amelyben szerepel az összes alkalmazandó feltétel és díj, a használatra vonatkozó összes korlátozást is ideértve. A szolgáltatás meghatározásának tartalmaznia kell az adatvédelmi szabályokat is. 2. Megfelelő szabályokat és eljárásokat kell bevezetni annak érdekében, hogy a szolgáltatás felhasználói kellő időben és megbízható módon értesüljenek magának a szolgáltatásnak a meghatározását vagy az alkalmazandó feltételeket és az adott szolgáltatásra vonatkozó adatvédelmi szabályokat érintő bármely változásról. 3. Megfelelő szabályokat és eljárásokat kell bevezetni, amelyek alapján teljes körű és pontos válaszok adhatók a tájékoztatáskérésekre. |
|
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
|
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.4.3.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
Az információbiztonsági kockázatok kezelésére és ellenőrzésére hatékony információbiztonsági irányítórendszer áll rendelkezésre. |
|
Jelentős |
Az alacsony szint, továbbá: Az információbiztonsági irányítórendszer az információbiztonsági kockázatok kezelése és ellenőrzése során bevált normákhoz vagy elvekhez igazodik. |
|
Magas |
Ugyanaz, mint a jelentős szintnél. |
2.4.4.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. A vonatkozó információk rögzítése és tárolása hatékony nyilvántartás-kezelő rendszer alkalmazásával, az adatvédelemmel és az adatmegőrzéssel kapcsolatos alkalmazandó jogszabályokat és helyes gyakorlatot is figyelembe véve. 2. Az eltárolt adatok megőrzése, ameddig a nemzeti törvények vagy más nemzeti adminisztratív rendelkezések megengedik, és védelme, ameddig azok a biztonság megsértéseinek auditálása vagy vizsgálata, továbbá megőrzés céljára szükségesek, amelyet követően az eltárolt adatokat biztonságosan meg kell semmisíteni. |
|
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
|
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.4.5.
Az alábbi táblázat az esetleges olyan alvállalkozók létesítményeire és személyzetére vonatkozó követelményeket ismerteti, akik e rendelet hatálya alá tartozó feladatokat végeznek. Az egyes követelmények betartásának arányosnak kell lennie a nyújtott biztonsági szinthez kapcsolódó kockázatok szintjével.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. Olyan eljárások megléte, amelyek biztosítják, hogy a személyzet és az alvállalkozók az általuk elvégzendő feladatokhoz szükséges képességek tekintetében kellő képzettséggel, szakképzettséggel és tapasztalattal rendelkeznek. 2. Elegendő személyzet és alvállalkozó megléte a szolgáltatásnak a saját előírásai és eljárásai szerinti működtetéséhez és erőforrásokkal való ellátásához. 3. A szolgáltatás nyújtásához használt létesítményeket folyamatosan felügyelik és védik a környezeti események, illetéktelen hozzáférés és más tényezők okozta károk ellen, amelyek befolyással lehetnek a szolgáltatás biztonságára. 4. A szolgáltatás nyújtásához használt létesítmények biztosítják, hogy kizárólag a személyzet vagy az alvállalkozók juthassanak be a személyes, kriptográfiás vagy egyéb bizalmas információkat tároló vagy feldolgozó területekre. |
|
Jelentős |
Ugyanaz, mint az alacsony szintnél. |
|
Magas |
Ugyanaz, mint az alacsony szintnél. |
2.4.6.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
1. Arányos technikai ellenőrzések megléte a szolgáltatások biztonságát, valamint a feldolgozott információk bizalmas jellegét, sértetlenségét és rendelkezésre állását veszélyeztető kockázatok kezelésére. 2. A személyes vagy érzékeny információk cseréjéhez használt elektronikus kommunikációs csatornák védve vannak a lehallgatás, manipuláció és visszajátszás ellen. 3. Az érzékeny kriptográfiai anyagokhoz való hozzáférés, amennyiben elektronikus azonosító eszközök kibocsátásához és hitelesítéshez használják, kizárólag a szigorúan hozzáférést igénylő szerepekre és alkalmazásokra korlátozódik. Biztosítani kell, hogy az ilyen anyagokat ne tárolják hosszabb ideig egyszerű szöveg formájában. 4. Vannak olyan eljárások, amelyek biztosítják, hogy az idő előrehaladtával ne csökkenjen a biztonság mértéke, és hogy megfelelő megoldások álljanak rendelkezésre a kockázati szintek változásaira, a biztonsági eseményekre és a biztonság megsértéseire vonatkozóan. 5. A személyes, kriptográfiás vagy egyéb bizalmas információkat tartalmazó összes adathordozót biztonságos módon tárolják, szállítják és ártalmatlanítják. |
|
Jelentős |
Ugyanaz, mint az alacsony szintnél, valamint: Bizalmas kriptográfiai anyagok, amennyiben azokat elektronikus azonosító eszközök kibocsátásához és hitelesítéshez használják, a manipuláció ellen védettek. |
|
Magas |
Ugyanaz, mint a jelentős szintnél. |
2.4.7.
|
Biztonsági szint |
Szükséges elemek |
|
Alacsony |
Olyan rendszeres belső auditok elvégzése, amelyek a szolgáltatás nyújtásával kapcsolatos összes részre kiterjednek és biztosítják a vonatkozó előírások betartását. |
|
Jelentős |
Olyan rendszeres független belső vagy külső auditok elvégzése, amelyek a szolgáltatás nyújtásával kapcsolatos összes részre kiterjednek és biztosítják a vonatkozó előírások betartását. |
|
Magas |
1. Olyan rendszeres független külső auditok elvégzése, amelyek a szolgáltatás nyújtásával kapcsolatos összes részre kiterjednek és biztosítják a vonatkozó előírások betartását. 2. Amennyiben egy rendszert közvetlenül egy kormányzati szerv irányít, akkor a rendszer auditálása a nemzeti jogszabályokkal összhangban történik. |