Goeiemiddag, liewe leser!
Ek volg al 'n geruime tyd aktief die opdaterings en nuus van die Digitale Ekonomie-program. Uit die oogpunt van 'n interne werknemer van die EGAIS-stelsel, natuurlik, 'n proses vir dekades. En vanuit die oogpunt van ontwikkeling, en vanuit die oogpunt van toetsing, terugdraai en verdere implementering, gevolg deur die onvermydelike en pynlike aanpassings van alle soorte foute. Die saak is nietemin nodig, belangrik en agterstallig. Die hoofkliënt en drywer van al hierdie pret is natuurlik die staat. Eintlik, soos oor die hele wêreld.
Alle prosesse het lankal in digitaal gevloei of op pad daarnatoe. Dis nog steeds wonderlik. Daar is egter ook keerkante van medaljes vir onderskeiding. Ek is 'n persoon wat voortdurend met 'n digitale handtekening werk. Ek is 'n voorstander van miskien "gister", maar "outydse" betroubare en wen-wen metodes om 'n elektroniese handtekening met behulp van tekens te beskerm. Maar digitalisering wys vir ons dat alles al lank in die “wolke” is en CEP moet ook soontoe gaan en dit baie vinnig nodig hê.
Ek het probeer uitvind, tot dusver op die vlak van die wetgewende en tegniese basis, waar dit moontlik was, hoe dit met wolk-ES in ons land en in Europa gaan. Trouens, meer as een wetenskaplike proefskrif is reeds oor hierdie onderwerp gepubliseer. Daarom doen hulle 'n beroep op die voordele in hierdie saak om aan te sluit by die ontwikkeling van die onderwerp.
Hoekom is CEP in die wolk aantreklik? Trouens, daar is positiewe aspekte. Hierdie pluspunte is genoeg. Dit is vinnig en gerieflik. Dit klink soos 'n advertensie slagspreuk, jy sal saamstem, maar dit is die objektiewe kenmerke van 'n wolk-gebaseerde EDS.
Die spoed lê in die vermoë om dokumente te teken sonder om aan tokens of slimkaarte gebind te wees. Dit verplig ons nie om slegs die lessenaar te gebruik nie. Honderd persent kruis-platform geskiedenis vir enige bedryfstelsel en blaaiers. Dit is veral waar vir aanhangers van Apple-produkte, vir wie daar sekere probleme is om ES in die MAC-stelsel te ondersteun. Verlaat van enige plek in die wêreld, vryheid van keuse van CA (nie eers Russiese nie). Anders as CEP-hardeware, vermy wolkrekenaars die kompleksiteit van sagteware- en hardewareversoenbaarheid. Wat is, ja, gerieflik, en ja, vinnig.
En hoe kan 'n mens nie deur sulke skoonheid verlei word nie? Die duiwel is in die besonderhede. Kom ons praat oor sekuriteit.
"Bewolkte" CEP in Rusland
Die sekuriteit van wolkoplossings, en veral die digitale handtekening, is een van die hoofpyne van sekuriteitsmense. Waarvan presies ek nie hou nie, sal die leser my vra, want almal gebruik al lankal wolkdienste, en met SMS is dit selfs meer betroubaar om 'n bankoorplasing te maak.
Trouens, weer, terug na die besonderhede. Wolk EDS is die toekoms, wat moeilik is om mee te stry. Maar nie nou nie. Om dit te doen, moet daar regulatoriese en wetlike veranderinge wees wat die eienaar van wolk EDS sal beskerm.
Wat het ons vandag? Daar is 'n aantal dokumente wat die konsep van ES, elektroniese dokumentbestuur (EDF), sowel as wette oor inligtingbeskerming en datasirkulasie definieer. In die besonder is dit nodig om die Burgerlike Wetboek (Burgerlike Wetboek van die Russiese Federasie) in ag te neem, wat die gebruik van ES in dokumente reguleer.
Federale wet nr. 63-FZ "Op elektroniese handtekening" gedateer 06.04.2011 April XNUMX. Die hoof- en raamwerkwet wat die algemene betekenis van die gebruik van elektroniese handtekeninge in transaksies van verskillende aard en die verskaffing van dienste beskryf.
Federale Wet No. 149-FZ "Op Inligting, Inligtingstegnologieë en Inligtingbeskerming" gedateer 27.07.2006 Julie XNUMX. Hierdie dokument spesifiseer die konsep van 'n elektroniese dokument en alle verwante segmente.
Daar is bykomende wetgewende handelinge wat betrokke is by die regulering van EDF
Federale Wet 402-FZ "Op Rekeningkunde" gedateer 06.12.2011. Die wetgewende wet maak voorsiening vir die sistematisering van vereistes vir rekeningkundige en rekeningkundige dokumente in elektroniese vorm.
Insl. jy kan die Arbitrasieprosedurekode van die Russiese Federasie in ag neem, wat dokumente wat deur ES onderteken is as bewyse in die hof toelaat.
En dit was hier waar dit by my opgekom het om dieper in die kwessie van sekuriteit te delf, want ons standaarde vir kripto-beskermingsinstrumente word deur die RFD verskaf en verseker die uitreiking van sertifikate van ooreenstemming. Sedert 18 Februarie is nuwe GOST's bekendgestel. Die sleutels wat in die wolk gestoor word, word dus nie direk deur FSTEC-sertifikate beskerm nie. Die beskerming van die sleutels self en veilige toegang tot die "wolk" is die hoekstene waarop ons nog nie besluit het nie. Vervolgens sal ek 'n voorbeeld van regulering in die Europese Unie oorweeg, wat 'n meer gevorderde sekuriteitstelsel duidelik sal demonstreer.
Europese ervaring in die gebruik van wolk ES
Kom ons begin met die belangrikste ding - wolktegnologieë, nie net ES nie, het 'n duidelike standaard. Die basis van die Cloud Standard Coordination (CSC) Groep van die European Telecommunications Standards Institute (ETSI). Daar is egter steeds verskille in databeskermingstandaarde oor lande heen.
Die basis vir omvattende databeskerming is verpligte sertifisering vir verskaffers volgens ISO 27001:2013 vir inligtingsekuriteitbestuurstelsels (die ooreenstemmende Russiese GOST R ISO / IEC 27001-2006 is gebaseer op die 2006-weergawe van hierdie standaard).
ISO 27017 verskaf bykomende sekuriteitselemente vir die wolk wat nie in ISO 27002 is nie. Die volle amptelike titel van hierdie standaard is "Kode van praktyk vir inligtingsekuriteitskontroles gebaseer op ISO/IEC 27002 vir wolkdienste" ("Praktykkode vir inligtingsekuriteit" kontroles gebaseer op ISO/IEC 27002 vir wolkdienste").
In die somer van 2014 het ISO ISO 27018:2015 gepubliseer oor die beskerming van persoonlike data in die wolk, en aan die einde van 2015, ISO 27017:2015 oor inligtingsekuriteitskontroles vir wolkoplossings.
In die herfs van 2014 het die nuwe Europese Parlement Regulasie nr. 910/2014, genaamd eIDAS, in werking getree. Die nuwe reëls laat gebruikers toe om die CEP-sleutel op die bediener van ’n geakkrediteerde vertroude diensverskaffer, die sogenaamde TSP (Trust Service Provider), te stoor en te gebruik.
Die Europese Komitee vir Standaardisering (CEN) het in Oktober 2013 die tegniese spesifikasie CEN / TS 419241 "Sekuriteitsvereistes vir betroubare stelsels wat bedienerondertekening ondersteun" aangeneem, wat toegewy is aan die regulering van wolk-EDS. Die dokument beskryf verskeie vlakke van sekuriteitsnakoming. Byvoorbeeld, om te voldoen aan die "vlak 2" wat vereis word vir die vorming van 'n gekwalifiseerde elektroniese handtekening, is om sterk opsies vir gebruikersverifikasie te ondersteun. Volgens die vereistes van hierdie vlak vind gebruikersverifikasie direk op die handtekeningbediener plaas, in teenstelling met byvoorbeeld die verifikasie wat toegelaat word vir "vlak 1" in 'n toepassing wat namens die handtekeningbediener toegang verkry. Ook, in ooreenstemming met hierdie spesifikasie, moet gebruikershandtekeningsleutels vir die vorming van 'n gekwalifiseerde ES in die geheue van 'n gespesialiseerde veilige toestel (hardeware-sekuriteitsmodule, HSM) gestoor word.
Gebruikerstawing in die wolkdiens moet ten minste twee-faktor wees. As 'n reël is die mees toeganklike en maklik om te gebruik opsie om toegang te bevestig deur die kode wat in 'n SMS-boodskap ontvang is. So, byvoorbeeld, is die meeste van die persoonlike rekeninge van RBS van Russiese banke geïmplementeer. Benewens die gewone kriptografiese tekens, kan 'n toepassing op 'n slimfoon en eenmalige wagwoordopwekkers (OTP-tokens) ook as 'n verifikasiemiddel gebruik word.
Ek kan solank 'n tussenresultaat opsom, rakende die feit dat wolk CEP's steeds in ons land gevorm word en dit te vroeg is om weg te beweeg van yster. In beginsel is dit 'n natuurlike proses, wat selfs in Europa (ag, wonderlik!) ongeveer 13-14 jaar geduur het, totdat min of meer akkurate standaarde ontwikkel is.
Totdat ons goeie GOST's ontwikkel wat ons wolkdienste reguleer, is dit te vroeg om oor 'n volledige verwerping van hardeware-oplossings te praat. Hulle sal eerder nou, inteendeel, begin beweeg na “hibriede”, dit wil sê, ook met wolk-handtekeninge werk. Sommige voorbeelde wat ooreenstem met Europese standaarde om met Cloud te werk, is reeds geïmplementeer. Maar meer hieroor in 'n nuwe artikel.
Bron: will.com