Оглашены требования к стандартизации Европейского цифрового идентификационного кошелька
Меры направлены на обеспечение соответствия его выпуска политике кибербезопасности ЕС. Пятнадцать рекомендаций агентства охватывают стандарты всей инфраструктуры цифровой идентификации – от политики и управления до операционных и технических аспектов – и основаны на проведенном ENISA анализе имеющихся цифровых стандартов с точки зрения того, как они охватывают жизненный цикл управления идентификацией, возможности аутентификации, контроля пользователей, технологии защиты данных и «модели доверия» к цифровой идентификации.
Рекомендации адресованы основным сторонам, заинтересованным в разработке EUDI: политикам Европейского Союза, европейским организациям по стандартизации, включая Европейский комитет по стандартизации (CEN), Европейский комитет по электротехнической стандартизации (CENELEC) и Европейский институт телекоммуникационных стандартов (ETSI), а также самой ENISA.
Рекомендации по выработке политики
В отношении политики, касающейся EUDI, агентство рекомендует органам ЕС следующие меры:
- дать чёткое юридическое определение термина «цифровая идентификация»;
- использовать положения закона о цифровых рынках и направить запрос европейским организациям по стандартизации для обеспечения полной совместимости различных производителей смартфонов;
- рассматривать методологию оценки безопасности и конфиденциальности как стратегический, а не только как технический вопрос;
- потребовать от европейских организаций по стандартизации создать общий стандарт для интерфейсов EUDI с доверенными поставщиками услуг, доверяющими сторонами, существующими национальными документами по электронной идентификации и другой инфраструктурой, связанной с методами распознавания и аутентификации;
- потребовать от соответствующих европейских организаций стандартизировать методологию оценки конфиденциальности цифровой идентификации.
Рекомендации по стандартизации
ENISA также рекомендует европейским организациям по стандартизации:
- избегать дублирования деятельности по стандартизации путём координации и согласования чёткого разделения ответственности;
- приложить усилия для решения проблемы отсутствия европейского стандарта на методологию оценки мобильных приложений на европейском уровне;
- принять стандарты серии ISO/IEC 18013-5 и ISO/IEC DIS 23220 в качестве европейских норм;
- определить согласованный протокол взаимной аутентификации между EUDI и доверяющими сторонами;
- подготовить общий кодекс поведения для доверенных поставщиков услуг и EUDI.
Роль ENISA
Наряду с этими рекомендациями ENISA также заявляет, что агентство должно:
- регулярно публиковать обзор утвержденных стандартов цифровой идентификации;
- публиковать обзор существующих моделей цифровой идентификации в Европе и за ее пределами и определять их влияние с точки зрения стандартов кибербезопасности;
- поощрять и поддерживать создание специальной группы для устранения уязвимостей, связанных с системами цифровой идентификации и EUDI;
- тесно сотрудничать с европейскими организациями по стандартизации для выполнения запросов на стандартизацию;
- создать механизм оказания помощи институтам, органам и агентствам ЕС, странам-членам ЕС и частным организациям по различным аспектам управления цифровыми идентификационными данными.
ENISA опубликовала данные рекомендации в своем отчете «Стандарты цифровой идентификации», в котором «представлен обзор наиболее важных стандартов и организаций по стандартизации в этой области» и «проведен анализ стандартов, относящихся к различным средствам поддержки цифровой идентификации», включая «средства, создаваемые и управляемые доверенной службой , электронные средства идентификации и кошелек цифровой идентификации ЕС».
В настоящее время Комиссия ЕС проводит четыре крупномасштабных пилотных проекта EUDI, а в июне Европейский парламент и Совет ЕС договорились о том, что EUDI будет бесплатно доступна всем 450 млн. граждан ЕС.
По материалам nfcw. com (Tom Phillips), plusworld.ru.