Erinevus lehekülje "Kasutuselevõtu analüüs" redaktsioonide vahel

Allikas: eid.eesti.ee
Jump to navigation Jump to search
(→‎Abiks IT-arenduste tellijale: Märkus allkirjastamise kohta õigesse lahtrisse)
28. rida: 28. rida:
 
Tabel esitab loetelu tüüpilistest eID-teemalistest arendustest, mida hüpoteetiline ettevõte või riigiasutus võiks tahta tellida.  
 
Tabel esitab loetelu tüüpilistest eID-teemalistest arendustest, mida hüpoteetiline ettevõte või riigiasutus võiks tahta tellida.  
  
{|class="wikitable" width="60%"
+
{|class="wikitable" width="90%"
! scope="col" width="80%"|Arendustöö
+
! scope="col" width="60%" | Arendustöö
 
! Ligikaudne töömaht inimtundides (1 arvestuslik tööpäev = 8 inimtundi)
 
! Ligikaudne töömaht inimtundides (1 arvestuslik tööpäev = 8 inimtundi)
 +
! width="30%" | Märkused
 
|-
 
|-
 
| Lisada oma veebiteenusele ID-kaardiga isikutuvastus. Tänu selle ei pea kasutajad meeles pidama veel ühte kasutaja/parool kombinatsiooni ning teenusepakkujale on tagatud, et ta saab kasutaja õige eesnime, perenime ning isikukoodi.
 
| Lisada oma veebiteenusele ID-kaardiga isikutuvastus. Tänu selle ei pea kasutajad meeles pidama veel ühte kasutaja/parool kombinatsiooni ning teenusepakkujale on tagatud, et ta saab kasutaja õige eesnime, perenime ning isikukoodi.
 
| 36
 
| 36
 +
| Sertifikaadi kehtivuse kontrollimiseks tuleb teha rakendusest lähtuv valik tühistusnimekirjade ning kehtivuskinnituse vahel -- vt [[Uute_eID_rakenduste_loomine#Sertifikaatide_kehtivuse_kontroll|Sertifikaatide kehtivuse kontroll]].
 
|-
 
|-
 
| Lisada oma veebiteenusele ID-kaardiga allkirjastamine. Sellega saab teenusepakkuja küsida kasutajalt seaduslikult siduvaid allkirju ilma, et viimane peaks tavapostiga allkirjastatud dokumente saatma või kuhugi füüsiliselt kohale minema.
 
| Lisada oma veebiteenusele ID-kaardiga allkirjastamine. Sellega saab teenusepakkuja küsida kasutajalt seaduslikult siduvaid allkirju ilma, et viimane peaks tavapostiga allkirjastatud dokumente saatma või kuhugi füüsiliselt kohale minema.
39. rida: 41. rida:
 
'''NB!''' Tööde maht sõltub siin sellest, kui palju on erinevaid protsesse või töövooge, kuhu allkirjastamine lisatakse.
 
'''NB!''' Tööde maht sõltub siin sellest, kui palju on erinevaid protsesse või töövooge, kuhu allkirjastamine lisatakse.
 
| 60
 
| 60
 +
| Erinevalt isikutuvastusest pole siin valikut sertifikaadi kehtivuse kontrollimise osas: peab kasutama kehtivuskinnitusi, kuna nende küsimise käigus tehakse SK turvalogisse sissekanne allkirja kohta -- vt [[EID_lühitutvustus#Digiallkirjade_andmine|Digiallkirjade andmine]]. Seega lisanduvad siia ka SK teenustasud.
 
|-
 
|-
 
| Lisada oma teenustele digitembeldus. Sellega saab teenuse poolt väljastatud dokumentidele lisada automaatselt asutuse-poolse templi, mis tagab kliendi jaoks nende kehtivuse ning tervikluse.
 
| Lisada oma teenustele digitembeldus. Sellega saab teenuse poolt väljastatud dokumentidele lisada automaatselt asutuse-poolse templi, mis tagab kliendi jaoks nende kehtivuse ning tervikluse.
 
| 60
 
| 60
 +
| Krüptopulga tarkvara on Linuxi peal SK poolt testimata ning toetamata. Kirjutamise hetkel ühtegi teadaolevat probleemi tarkvaraga ei olnud.
 
|-
 
|-
 
| Dokumentide krüpteerimine transpordi jaoks. Kuna krüptokonteinerit saavad avada ainult need, kellele dokumendid on mõeldud, saab nende transportimiseks kasutada ebaturvalisi kanaleid (nt e-post).
 
| Dokumentide krüpteerimine transpordi jaoks. Kuna krüptokonteinerit saavad avada ainult need, kellele dokumendid on mõeldud, saab nende transportimiseks kasutada ebaturvalisi kanaleid (nt e-post).
 
| 36
 
| 36
 +
| Kui luua teenus, mis võtab vastu mõne avaliku võtmega krüpteeritud sõnumi ning üritab seda vastava salajase võtmega automaatselt avada, siis tuleb vältida veateadete tagastamist -- vt [[Üldteavet_arendajatele#R.C3.BCnne_t.C3.A4idistusoraaklile|Rünne täidistusoraaklile]].
 +
 +
E-kirja ennast saab krüpteerida ainult siis, kui see saadetakse saaja sertifikaadi peal olevale aadressile, s.t ID-kaartide puhul peab saatma kirja [[Üldteavet_arendajatele#ID-kaardi_.40eesti.ee_meiliaadressi_kasutamine|@eesti.ee]] aadressile. Digitempli puhul saab asutus ise valida aadressi, mis sertifikaadile kantakse.
 
|-
 
|-
 
| Lisada kõikidele asutuse arvutitele ID-kaardiga sisselogimine, et tagada vaid lubatud isikute juurdepääs. Siin saaksid töötajad kasutada oma ID-kaarti ükskõik millises masinas, et logida sisse enda kasutajaga.
 
| Lisada kõikidele asutuse arvutitele ID-kaardiga sisselogimine, et tagada vaid lubatud isikute juurdepääs. Siin saaksid töötajad kasutada oma ID-kaarti ükskõik millises masinas, et logida sisse enda kasutajaga.
 
| 72
 
| 72
 +
| [[EID_kasutamine_olemasolevate_rakendustega#ID-kaardiga_sisselogimine_Windowsisse|EIDAuthenticate]] rakendus ei kontrolli sertifikaadi kehtivust välisest allikast (nt tühistusnimekirjadest). Kui on vajadus sertifikaadi kehtivuse kontrolliks, siis tuleb teha täiendavaid arendusi.
 +
 +
Igale kasutajale tuleb tema sertifikaadi või sellel olevate andmete põhjal eraldi ligipääs lubada -- suure kasutajate arvu korral võib see tähendada märkimisväärset ajakulu seadistamisel.
 
|-
 
|-
| colspan="2" style="padding:0; margin:0;" |
+
| colspan="3" style="padding:0; margin:0;" |
  
 
<!-- Siin on nested table, mis peab algama eraldi realt -->
 
<!-- Siin on nested table, mis peab algama eraldi realt -->
{| border="0" style="margin-left: 10%; padding:0;"  
+
{| border="0" style="margin-left: 7%; padding:0;"  
| width="78%" | * Ülaloleva laiendamine töölauarakendustele, kus seda saab kasutada vaid pärast ID-kaardiga autentimist (näiteks perearstide töörakendus, mille kasutamiseks peab autentima ID-kaardiga).
+
| * Ülaloleva laiendamine töölauarakendustele, kus seda saab kasutada vaid pärast ID-kaardiga autentimist (näiteks perearstide töörakendus, mille kasutamiseks peab autentima ID-kaardiga).
| 36
+
| width="11%" | 36
 +
| width="32%" | Enamasti omab selline kasutusjuhtum mõtet ainult siis, kui rakendus suhtleb mingi serveriga, kuhu ID-kaardiga sisse logitakse. Kohaliku rakenduse puhul võib öelda, et kui kasutaja on arvutisse sisse loginud, on tal ka õiguseid rakenduse kasutamiseks.
 
|-
 
|-
 
| * Ülaloleva laiendamine VPN-idele, kus väljast sisevõrku tuleva ühenduse krüpteerimiseks kasutatakse ID-kaarti (näiteks lahendust kasutav firma saab ühenduse partnerfirma sisevõrku).
 
| * Ülaloleva laiendamine VPN-idele, kus väljast sisevõrku tuleva ühenduse krüpteerimiseks kasutatakse ID-kaarti (näiteks lahendust kasutav firma saab ühenduse partnerfirma sisevõrku).
 
| 48
 
| 48
 +
| Kuna VPN-lahendusi on mitmeid erinevaid, siis ka ajakulu varieerub. Nt OpenVPN seadistamiseks vt [[EID_kasutamine_olemasolevate_rakendustega#Virtuaalsed_privaatv.C3.B5rgud|Virtuaalsed privaatvõrgud]].
 
|}
 
|}
 
<!-- end nested table -->
 
<!-- end nested table -->
64. rida: 76. rida:
 
| Kaardilt saab ilma PIN-i sisestamata küsida omaniku isikuandmeid, mida kasutades saab luua kliendikaarte või läbipääsusüsteeme (näiteks kuidas TÜ raamatukokku saab sisse korraks ID-kaarti lugejasse pistes).
 
| Kaardilt saab ilma PIN-i sisestamata küsida omaniku isikuandmeid, mida kasutades saab luua kliendikaarte või läbipääsusüsteeme (näiteks kuidas TÜ raamatukokku saab sisse korraks ID-kaarti lugejasse pistes).
 
| 60
 
| 60
 +
| Isikuandmete lugemiseks puudub ühtne lahendus. Kui seda tehakse kinnises ning kindlalt kontrollitud keskkonnas, siis saab seda teha [[Üldteavet_arendajatele#eidenv|eidenv]] rakendusega võrdlemisi lihtsalt. Kui selline lahendus aga ei sobi, siis on vaja andmete lugemiseks [[Uute_eID_rakenduste_loomine#Kaardiga_otse_suhtlemine|kaardiga otse madalal tasemel suhelda]].
 
|-
 
|-
 
|}
 
|}

Redaktsioon: 3. oktoober 2012, kell 13:04

Kasutuselevõtu analüüs

Riskid ID-kaardi kasutuselevõtul (kliendikaardina)

  • Piiratud rahvusvaheline kasutus (sisuliselt on kaart kasutatav vaid Eestis)
  • Tunnusgraafika puudumine (vs harilik kliendikaart, kuhu saab trükkida firma logo, rekvisiidid vmt). Kliendikaart on mõnes mõttes kaubamärgi esindaja.

ID-kaardi kasutuspiirangud[1]:

  • Teatud hulk inimesi pole kas ID-kaarti taotlenud, pole Eesti kodanikud või elavad Eestis ajutiselt;
  • Piirangud klienditoes –- ei saa aidata klienti, kel on ID-kaardi kasutamisega probleeme (kiip ei tööta, sertifikaat aegunud vms);
  • Kuluefektiivsus –- jättes kasutusele paralleelselt kliendikaardi ja ID-kaardi, puudub kokkuhoiuefekt – alles jäävad kaarditoorikute, personaliseerimise ja logistikakulud;
  • ID-kaart kulub füüsiliselt ära nagu pangakaart (kuni ei tule kontaktivaba ID-kaarti);
  • Psühholoogiline hirm: kasutajad võivad arvata, et kaardilt loetakse välja tundlikku personaalset infot;[2]

Tulud

  • Seaduse järgi on kõik ametiisikud kohustatud ID-kaarti aktsepteerima; selle asemel ei tohi isiku tõendamiseks nõuda ühtegi muud dokumenti;
  • Euroopa Liidu piires kehtib ID-kaart reisidokumendina;
  • Tänu standardsele krediitkaadiformaadile mahub ID-kaart rahakoti vahele koos teiste kaartidega;
  • Väljastatud on enam kui 1,1 miljonit aktiivset ID-kaarti[3];
  • Kliendisõbralikkus -– ei suruta kliendi rahakoti vahele veel ühte kaarti, mida on tülikas kaasas kanda;
  • Puudub vajadus kaarti (regulaarselt) välja vahetada -- kaardi kaotamisel või riknemisel tegeleb sellega riik.

Kulud

Samas on ka eraldi kliendikaardil arvestatavad kulud (kujundus, toorikud, kodeerimine, trükkimine, piisava laoseisu hoidmine ja jälgimine), mida ID-kaardil pole.

Abiks IT-arenduste tellijale

Tabel esitab loetelu tüüpilistest eID-teemalistest arendustest, mida hüpoteetiline ettevõte või riigiasutus võiks tahta tellida.

Arendustöö Ligikaudne töömaht inimtundides (1 arvestuslik tööpäev = 8 inimtundi) Märkused
Lisada oma veebiteenusele ID-kaardiga isikutuvastus. Tänu selle ei pea kasutajad meeles pidama veel ühte kasutaja/parool kombinatsiooni ning teenusepakkujale on tagatud, et ta saab kasutaja õige eesnime, perenime ning isikukoodi. 36 Sertifikaadi kehtivuse kontrollimiseks tuleb teha rakendusest lähtuv valik tühistusnimekirjade ning kehtivuskinnituse vahel -- vt Sertifikaatide kehtivuse kontroll.
Lisada oma veebiteenusele ID-kaardiga allkirjastamine. Sellega saab teenusepakkuja küsida kasutajalt seaduslikult siduvaid allkirju ilma, et viimane peaks tavapostiga allkirjastatud dokumente saatma või kuhugi füüsiliselt kohale minema.

NB! Tööde maht sõltub siin sellest, kui palju on erinevaid protsesse või töövooge, kuhu allkirjastamine lisatakse.

60 Erinevalt isikutuvastusest pole siin valikut sertifikaadi kehtivuse kontrollimise osas: peab kasutama kehtivuskinnitusi, kuna nende küsimise käigus tehakse SK turvalogisse sissekanne allkirja kohta -- vt Digiallkirjade andmine. Seega lisanduvad siia ka SK teenustasud.
Lisada oma teenustele digitembeldus. Sellega saab teenuse poolt väljastatud dokumentidele lisada automaatselt asutuse-poolse templi, mis tagab kliendi jaoks nende kehtivuse ning tervikluse. 60 Krüptopulga tarkvara on Linuxi peal SK poolt testimata ning toetamata. Kirjutamise hetkel ühtegi teadaolevat probleemi tarkvaraga ei olnud.
Dokumentide krüpteerimine transpordi jaoks. Kuna krüptokonteinerit saavad avada ainult need, kellele dokumendid on mõeldud, saab nende transportimiseks kasutada ebaturvalisi kanaleid (nt e-post). 36 Kui luua teenus, mis võtab vastu mõne avaliku võtmega krüpteeritud sõnumi ning üritab seda vastava salajase võtmega automaatselt avada, siis tuleb vältida veateadete tagastamist -- vt Rünne täidistusoraaklile.

E-kirja ennast saab krüpteerida ainult siis, kui see saadetakse saaja sertifikaadi peal olevale aadressile, s.t ID-kaartide puhul peab saatma kirja @eesti.ee aadressile. Digitempli puhul saab asutus ise valida aadressi, mis sertifikaadile kantakse.

Lisada kõikidele asutuse arvutitele ID-kaardiga sisselogimine, et tagada vaid lubatud isikute juurdepääs. Siin saaksid töötajad kasutada oma ID-kaarti ükskõik millises masinas, et logida sisse enda kasutajaga. 72 EIDAuthenticate rakendus ei kontrolli sertifikaadi kehtivust välisest allikast (nt tühistusnimekirjadest). Kui on vajadus sertifikaadi kehtivuse kontrolliks, siis tuleb teha täiendavaid arendusi.

Igale kasutajale tuleb tema sertifikaadi või sellel olevate andmete põhjal eraldi ligipääs lubada -- suure kasutajate arvu korral võib see tähendada märkimisväärset ajakulu seadistamisel.

* Ülaloleva laiendamine töölauarakendustele, kus seda saab kasutada vaid pärast ID-kaardiga autentimist (näiteks perearstide töörakendus, mille kasutamiseks peab autentima ID-kaardiga). 36 Enamasti omab selline kasutusjuhtum mõtet ainult siis, kui rakendus suhtleb mingi serveriga, kuhu ID-kaardiga sisse logitakse. Kohaliku rakenduse puhul võib öelda, et kui kasutaja on arvutisse sisse loginud, on tal ka õiguseid rakenduse kasutamiseks.
* Ülaloleva laiendamine VPN-idele, kus väljast sisevõrku tuleva ühenduse krüpteerimiseks kasutatakse ID-kaarti (näiteks lahendust kasutav firma saab ühenduse partnerfirma sisevõrku). 48 Kuna VPN-lahendusi on mitmeid erinevaid, siis ka ajakulu varieerub. Nt OpenVPN seadistamiseks vt Virtuaalsed privaatvõrgud.
Kaardilt saab ilma PIN-i sisestamata küsida omaniku isikuandmeid, mida kasutades saab luua kliendikaarte või läbipääsusüsteeme (näiteks kuidas TÜ raamatukokku saab sisse korraks ID-kaarti lugejasse pistes). 60 Isikuandmete lugemiseks puudub ühtne lahendus. Kui seda tehakse kinnises ning kindlalt kontrollitud keskkonnas, siis saab seda teha eidenv rakendusega võrdlemisi lihtsalt. Kui selline lahendus aga ei sobi, siis on vaja andmete lugemiseks kaardiga otse madalal tasemel suhelda.

Märkus: Ajahinnangutes on arvestatud üksnes programmeerimist. Lisakulud, mida on raskem hinnata, on nõuete kogumine ja analüüs, dokumenteerimine, abirakenduste paigaldamine, andmebaasi konfigureerimine, testimine (nt kas toimub käsi- või automaattestimine, kas kirjutatakse unit teste) jms.

Allikaviited