informační systém org
DESCRIPTION
Informační systém ORG. Ing. Eva Vrbová ředitelka Odboru základních identifikátorů. Ostrava 23.5. 2012. Identifikátory fyzických osob. 2. 2. 2. Rodné číslo Občané ČR Cizinci s trvalým pobytem v ČR Číslo zdravotního pojištěnce - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/1.jpg)
Informační systém ORG
Ing. Eva Vrbováředitelka Odboru základních identifikátorů
Ostrava 23.5. 2012
![Page 2: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/2.jpg)
22
Identifikátory fyzických osob
Rodné číslo Občané ČR Cizinci s trvalým pobytem v ČR
Číslo zdravotního pojištěnce Strukturou kopíruje RČ, pro většinu občanů ČR se shoduje s RČ Rozdíl je v individuálním vyřešení duplicit v RČ Vlastní vytváření identifikátorů pro zaměstnance (cizince) bez
trvalého pobytu Identifikátor MPSV
Vlastní struktura dle metodiky MPSV
2
![Page 3: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/3.jpg)
33
Životnost stávajících identifikátorů
Rodné číslo V roce 2054 dojde k přetečení číselné řady „roku“ a očekává
se změna struktury RČ nebo náhrada jiným identifikátorem Číslo zdravotního pojištěnce
S ukončením stávající struktury RČ nutno řešit změnu Není důvod, proč nezachovat individuální identifikátor nadále
Identifikátor MPSV Nemá přímou vazbu na RČ Není důvod proč nezachovat individuální identifikátor pro
potřeby stávajících IS – Systém státní sociální podpory MPSVa Služeb zaměstnanosti MPSV.
3
![Page 4: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/4.jpg)
44
Identifikátory pro eGovernment
ZIFO zdrojový identifikátor fyzické osoby AIFO agendový identifikátor fyzické osoby AIS agendový informační systém ISZR informační systém základních registrů
4
![Page 5: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/5.jpg)
55
Identifikátory pro eGovernment
Cílem je zavedení bezvýznamových identifikátorů ZIFO a AIFO pro účely bezpečného sdílení dat mezi agendami
Identifikátory AIFO svými vlastnostmi řeší především ochranu osobních dat v prostředí internetu
Stávající zavedené identifikátory na úrovni agend ve smyslu klíče k datům nejsou a nebudou nijak omezenya jejich další využití eGovernment neřeší
5
![Page 6: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/6.jpg)
66
Identifikátory pro eGovernment
Cílem je zavedení bezvýznamových identifikátorů ZIFO a AIFO pro účely bezpečného sdílení dat mezi agendami
Identifikátory AIFO svými vlastnostmi řeší především ochranu osobních dat v prostředí internetu
Stávající zavedené identifikátory na úrovni agend ve smyslu klíče k datům nejsou a nebudou nijak omezenya jejich další využití eGovernment neřeší
6
![Page 7: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/7.jpg)
7
Princip tvorby ZIFO a AIFO
Filosofie identifikátorů
ZIFOAB AIFOAB, agenda1Alice Bílá AIFOAB, agenda 2 AIFOAB, agenda n……
ZIFOAZAlbert ZelenýAIFOAZ, agenda1 AIFOAZ, agenda 2 AIFOAZ, agenda n……
IS ORG
![Page 8: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/8.jpg)
8
8
IS ORG – jak to začalo…
![Page 9: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/9.jpg)
9
IS ORG – co to znamená? V období přípravy zákona č.111/2000 Sb. nebylo
vůbec jasné, která organizace bude plnit úkoly, spojené s generováním ZIFO a AIFO
Byla proto vytvořena zkratka ORG jako obecné označení organizace, která bude v budoucnu tyto úkoly plnit
Bylo rozhodnuto, že platí: ORG = ÚOOÚ Z toho vyplývá, že budovaný systém = IS ORG
![Page 10: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/10.jpg)
10
IS ORG (1)
ORG je specifický informační systém ZR ORG neobsahuje žádná osobní údaje generuje a přiděluje identifikátory ZIFO a AIFO, vede
jejich evidenci zajišťuje převody AIFO v systému základních registrů –
převádí AIFO jedné agendy na AIFO druhé agendy AIFO = vícenásobná digitální identita RČ zůstává v platnosti
![Page 11: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/11.jpg)
11
IS ORG (2)
Je jediným místem, které umí provázat AIFO jednéa téže fyzické osoby v různých agendách
Komunikuje s okolím výhradně a pouze jen prostřednictvím ISZR
Oprávnění pro přístup ke službám ORG je řešeno centrálně na úrovni ISZR a RPP
![Page 12: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/12.jpg)
12
K čemu vlastně AIFO slouží?
AIFO je bezvýznamový identifikátor fyzické osobyv agendě
AIFO je v podstatě „klíčem“ pro sdílení dat mezi ZR a AIS v prostředí eGovernmentu
Předávaná data není možní bez znalosti vazeb mezi AIFO jedné osoby propojovat
AIFO chrání před neoprávněným sdružováním dat charakteru osobních údajů
AIFO se může za života fyzické osoby v odůvodněných případech měnit
12
![Page 13: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/13.jpg)
Informační systém základních registrů
ROBROS RUIANRPP
AIS1, AIS2,…….. AISn
Agendové IS
Vnější rozhraní ISZR
ORG (ÚOOÚ)
Vn
itřní ro
zhraní IS
ZR
Vnitřní rozhraní ISZR
Aplikační logika ISZR
Inte
gra
ční r
ozhr
aní
Datová základna
Aplikační logikaORG
chráněná komunikace
IS ORG
13
![Page 14: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/14.jpg)
14
Jak je matice AIFO používána?
14
123456789 222333888999987654321
123123444555111222333444999888777123 999888777666444555888999
Ověř číslo ŘP profyzickou osobu, jejížAIFODP je:
Agenda dopravníchpřestupků
ISZR
ORG
Agenda řidičskýchprůkazů
Přelož AIFODP
na AIFOŘP
111222333444
Dotaz na údajpro AIFOŘP
1
Vyhledání v matici
3
4
222333888999
Nalezení požad.údajů pro AIFOŘP
222333888999
5
Sestavní odpovědipro agendu DPA,B,C,M,T 1980
111222333444 62Autentizaceagendy/rolev RPP
7
ZIFO AIFO agenda 1 AIFO agenda 2 AIFO agenda n
![Page 15: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/15.jpg)
15
Speciální případy AIFO
V důsledku zjištěných chyb v evidenci fyzických osob v agendě primárního editora může dojít k: SLOUČENÍ OSOBY ROZDĚLENÍ OSOBY ZRUŠENÍ OSOBY
Stávající ZIFO a příslušná AIFO jsou zneplatněna(nelze je dále používat)
Jsou vygenerována nová ZIFO & AIFO O změnách je AIS informován notifikačními službami
15
![Page 16: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/16.jpg)
16
Podmínky pro přidělení AIFO
zákon č.111/2009 Sb. v § 2 jen obecně uvádí: orgánem veřejné moci je státní orgán, územní
samosprávný celek a fyzická nebo právnická osoba, byla-li jí svěřena působnost v oblasti veřejné správy
agendou je souhrn činností spočívajících ve výkonu vzájemně souvisejících činností v rámci působnosti orgánu veřejné moci
agendovým informačním systémem je informační systém veřejné správy, který slouží k výkonu agendy
1 agenda v jednom AIS = ideální stav
![Page 17: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/17.jpg)
Principy odvození ZIFO
ZIFO je generováno jako náhodný řetězec požadované délky pomocí generátoru náhodných čísel v HSM
ZIFO je navrženo v dostatečné délce, aby nebyla možná jeho zpětná rekonstrukce z AIFO
17
![Page 18: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/18.jpg)
Principy odvození AIFO
Odvození AIFO probíhá v HSM Algoritmus odvození AIFO vyžívá posloupnosti 3
standardních kryptografických funkcí Ztráta certifikace (všeobecné věrohodnosti) jedné
z funkcí bezprostředně neohrožuje věrohodnost AIFO Úprava algoritmu odvození AIFO při ztrátě certifikace
některé z kryptografických funkcí a výměna AIFO v agendách je potřebná, nikoliv bezprostředně nutná
Implementaci úprav lze provádět postupně a plánovitě (v horizontu např. 1 až 2 let)
18
![Page 19: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/19.jpg)
Principy odvození AIFO
19
ZIFO-A, ZIFO-B
Alias klíčů
Parametry: KA, PVABETA(AES)
KLÍČEα
β
γUložení AIFO
v DB
HSMAIFO DELTA
Odvodit AIFO
LEGENDA:KA = kód agendyPVA = pořadí varianty AIFOAlias klíčů = jednoznačný identifikátor použitých šifrovacích klíčů
Vstupní data: Kryptografické operace:
ALFA(SHA-2)
GAMA(SHA-2)
Verze algoritmu odvození VA
![Page 20: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/20.jpg)
20
Bezpečnost AIFO, nástroje
Kryptografické odvození AIFO zajišťuje věrohodnostv dlouhodobém horizontu
ORG umožňuje AIFO z iniciativy AIS změnit Existence nástrojů pro výměnu AIFO
Kompromitace AIFO (nahrazení 1 AIFO) Kompromitace AIS (nahrazení všech AIFO v agendě)
Kompromitace AIS má dopad na všechny ostatníAIS v rámci agendy
20
![Page 21: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/21.jpg)
Ještě jednou bezpečnost…
při řešení matematického aparátu pro generování ZIFO, AIFO byl kladen maximální důraz na zabezpečení IS ORG
Jsou použity tři klíče α,β,γ Pro prolomení jednoho klíče o délce 128 bitů je
nutno provést 3,4 x 1038 testů, což by při počtu 256 x 106 testů/sec trvalo 42149543 x 1015 roků
![Page 22: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/22.jpg)
22
Etapy projektu ORGORG Base• základní funkcionalita (generování ZIFO, AIFO,
transformace AIFO x AIFO) zahájit napojení ostatních komponent ZR
• omezený výkon • provoz pouze v jedné lokalitě
02-09/2011
ORG Advanced• další funkcionalita odladění v návaznosti na
požadavky ostatních komponent ZR, doplnění chybějící funkcionality
• navýšení výkonu v souladu s náběhem celého ISZR • provoz stále v jedné lokalitě
10/2011 - 01/2012
ORG Full• plná funkcionalita• 100% výkon• redundantní provoz v primární a záložní lokalitě
01-06/2012Ostrý provoz: od 1.7.2012
![Page 23: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/23.jpg)
23
Řešitel IS ORG
Společnost se zaměřením na vývoj, výrobu a implementaci software a poskytování komplexních služeb v oblasti IT
Certifikace „Integrovaného systému řízení“ dle norem ISO 9001, ISO 10006, ISO 14001, ISO 20000 a ISO 27001.
NBÚ osvědčení podnikatele na stupeň „Důvěrné“
23
![Page 24: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/24.jpg)
24
Současný stav
Aplikační práce dokončeny Datové centrum DC1 je vybudováno v Olomouci a
obsahuje testovací databázi Datové centrum DC2 je v současnosti oživováno v
Praze a propojováno s ISZR
![Page 25: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/25.jpg)
25
Závěr
ORG je připraven na provoz ZR Koncepce ZIFO a AIFO výrazně ovlivní aplikace
e-Governmentu v několika příštích desetiletích Stávající zavedené identifikátory na úrovni AIS ve
smyslu klíče k datům nejsou prozatím omezeny Zavedení ZR znamenají pro ÚOOÚ nové kompetence e-Government není a ani nemůže být cílem, nýbrž jen
cestou ke zlepšení služeb občanům
![Page 26: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/26.jpg)
26
Ochrana dat v době moderní a globální informační společnosti bude nabývat stále většího významu …
Dovětek …
![Page 27: Informační systém ORG](https://reader036.vdocuments.site/reader036/viewer/2022081514/568139fc550346895da1c047/html5/thumbnails/27.jpg)
2727
Děkuji za pozornost
DOTAZY ?