مساء الخير عزيزي القارئ!
لقد كنت أتابع بنشاط تحديثات وأخبار برنامج الاقتصاد الرقمي لبعض الوقت. من وجهة نظر موظف داخلي في نظام EGAIS ، بالطبع ، عملية منذ عقود. ومن وجهة نظر التطوير ، ومن وجهة نظر الاختبار ، فإن التراجع والتنفيذ الإضافي ، تليها التعديلات الحتمية والمؤلمة لجميع أنواع البق. ومع ذلك ، فإن الأمر ضروري ومهم ومتأخر. الزبون والمحرك الرئيسي لكل هذه المتعة ، بالطبع ، هو الدولة. في الواقع ، مثل جميع أنحاء العالم.
لقد تدفقت جميع العمليات منذ فترة طويلة إلى الرقمية أو في الطريق إليها. لا تزال رائعة. ومع ذلك ، هناك أيضًا جوانب عكسية من الميداليات للتمييز. أنا شخص أعمل باستمرار مع التوقيع الرقمي. أنا من المؤيدين لطرق "قديمة" يمكن الاعتماد عليها ومربحة للجميع لحماية التوقيع الإلكتروني باستخدام الرموز المميزة. لكن الرقمنة توضح لنا أن كل شيء كان في "السحاب" لفترة طويلة وأن CEP يحتاج أيضًا للذهاب إلى هناك ويحتاج إليه بسرعة كبيرة.
حاولت حتى الآن أن أكتشف ، على مستوى القاعدة التشريعية والتقنية ، أين كان ذلك ممكنًا ، كيف تسير الأمور مع Cloud ES في بلدنا وفي أوروبا. في الواقع ، تم بالفعل نشر أكثر من أطروحة علمية حول هذا الموضوع. لذلك ، فإنهم يدعون المحترفين في هذا الأمر للتواصل مع تطوير الموضوع.
لماذا تعتبر CEP في السحابة جذابة؟ في الواقع ، هناك إيجابيات. هذه الإيجابيات كافية. إنه سريع ومريح. ستوافق على أنه يبدو وكأنه شعار إعلاني ، ولكن هذه هي الخصائص الموضوعية لنظام EDS القائم على السحابة.
السرعة تكمن في القدرة على التوقيع على المستندات دون التقيد بالرموز أو البطاقات الذكية. لا يلزمنا باستخدام سطح المكتب فقط. سجل عبر الأنظمة الأساسية مائة بالمائة لأي نظام تشغيل ومتصفحات. هذا ينطبق بشكل خاص على محبي منتجات Apple ، الذين يواجهون بعض الصعوبات في دعم ES في نظام MAC. اخرج من أي مكان في العالم ، وحرية اختيار CA (ولا حتى الروسية منها). على عكس أجهزة CEP ، تتجنب الحوسبة السحابية تعقيد توافق البرامج والأجهزة. وهو ، نعم ، ملائم وسريع ، نعم.
وكيف لا يغري المرء بهذا الجمال؟ الشر في التفاصيل. لنتحدث عن الأمن.
"غائم" CEP في روسيا
يعد أمان الحلول السحابية ، وخاصة التوقيع الرقمي ، أحد المشاكل الرئيسية لأفراد الأمن. ما لا يعجبني بالضبط ، سيسألني القارئ ، لأن الجميع يستخدمون الخدمات السحابية لفترة طويلة ، ومع الرسائل القصيرة ، يكون إجراء تحويل مصرفي أكثر موثوقية.
في الواقع ، مرة أخرى ، نعود إلى التفاصيل. Cloud EDS هو المستقبل الذي يصعب الجدال معه. لكن ليس الآن. للقيام بذلك ، يجب أن تكون هناك تغييرات تنظيمية وقانونية من شأنها حماية مالك EDS السحابي.
ماذا لدينا اليوم؟ هناك عدد من الوثائق التي تحدد مفهوم ES ، وإدارة الوثائق الإلكترونية (EDF) ، وكذلك قوانين حماية المعلومات وتداول البيانات. على وجه الخصوص ، من الضروري مراعاة القانون المدني (القانون المدني للاتحاد الروسي) ، الذي ينظم استخدام ES في المستندات.
القانون الاتحادي رقم 63-FZ "بشأن التوقيع الإلكتروني" المؤرخ 06.04.2011 أبريل XNUMX. القانون الأساسي والإطار الذي يصف المعنى العام لاستخدام التوقيعات الإلكترونية في المعاملات ذات الطبيعة المختلفة وتقديم الخدمات.
القانون الاتحادي رقم 149-FZ "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات" بتاريخ 27.07.2006 يوليو XNUMX. تحدد هذه الوثيقة مفهوم الوثيقة الإلكترونية وجميع الأجزاء ذات الصلة.
هناك قوانين تشريعية إضافية تشارك في تنظيم EDF
القانون الاتحادي 402-FZ "بشأن المحاسبة" بتاريخ 06.12.2011/XNUMX/XNUMX. ينص القانون التشريعي على منهجية متطلبات المستندات المحاسبية والمحاسبية في شكل إلكتروني.
بما في ذلك. يمكنك أن تأخذ في الاعتبار قانون إجراءات التحكيم الخاص بالاتحاد الروسي ، والذي يسمح بالمستندات الموقعة من قبل ES كدليل في المحكمة.
وهنا حدث لي أن أتعمق أكثر في مسألة الأمان ، لأن معاييرنا لأدوات حماية التشفير يتم توفيرها من قبل FSB وتضمن إصدار شهادات المطابقة. منذ 18 فبراير ، تم تقديم GOSTs الجديدة. وبالتالي ، فإن المفاتيح المخزنة في السحابة ليست محمية بشكل مباشر بشهادات FSTEC. إن حماية المفاتيح نفسها والدخول الآمن إلى "السحابة" هما حجر الزاوية الذي لم نتخذ قرارًا بشأنه بعد. بعد ذلك ، سأفكر في مثال على التنظيم في الاتحاد الأوروبي ، والذي سيظهر بوضوح نظام أمان أكثر تقدمًا.
الخبرة الأوروبية في استخدام السحابة ES
لنبدأ بالشيء الرئيسي - التقنيات السحابية ، وليس فقط ES ، لها معيار واضح. أساس مجموعة تنسيق معايير السحابة (CSC) التابعة للمعهد الأوروبي لمعايير الاتصالات (ETSI). ومع ذلك ، لا تزال هناك اختلافات في معايير حماية البيانات عبر البلدان.
أساس الحماية الشاملة للبيانات هو الشهادة الإلزامية لمقدمي الخدمات وفقًا لمعيار ISO 27001: 2013 لأنظمة إدارة أمن المعلومات (يستند GOST R ISO / IEC 27001-2006 الروسي المقابل إلى إصدار 2006 من هذا المعيار).
يوفر ISO 27017 عناصر أمان إضافية للسحابة غير موجودة في ISO 27002. العنوان الرسمي الكامل لهذا المعيار هو "رمز الممارسة لعناصر التحكم في أمان المعلومات استنادًا إلى ISO / IEC 27002 للخدمات السحابية" ("رمز الممارسة لأمن المعلومات" ضوابط على أساس ISO / IEC 27002 للخدمات السحابية ").
في صيف عام 2014 ، نشرت ISO ISO 27018: 2015 بشأن حماية البيانات الشخصية في السحابة ، وفي نهاية عام 2015 ، أصدرت ISO 27017: 2015 بشأن ضوابط أمان المعلومات للحلول السحابية.
في خريف عام 2014 ، دخلت لائحة البرلمان الأوروبي الجديدة رقم 910/2014 ، المسماة eIDAS ، حيز التنفيذ. تسمح القواعد الجديدة للمستخدمين بتخزين واستخدام مفتاح CEP على خادم مزود خدمة موثوق به ، ما يسمى TSP (موفر خدمة الثقة).
اعتمدت اللجنة الأوروبية للتوحيد القياسي (CEN) في أكتوبر 2013 المواصفات الفنية CEN / TS 419241 "متطلبات الأمان للأنظمة الموثوقة التي تدعم توقيع الخادم" ، والمخصصة لتنظيم EDS السحابية. يصف المستند عدة مستويات من التوافق الأمني. على سبيل المثال ، للامتثال لـ "المستوى 2" المطلوب لتشكيل توقيع إلكتروني مؤهل ، يعني دعم الخيارات القوية لمصادقة المستخدم. وفقًا لمتطلبات هذا المستوى ، تحدث مصادقة المستخدم مباشرة على خادم التوقيع ، على عكس ، على سبيل المثال ، المصادقة المسموح بها لـ "المستوى 1" في تطبيق يصل ، نيابةً عنه ، إلى خادم التوقيع. أيضًا ، وفقًا لهذه المواصفات ، يجب تخزين مفاتيح توقيع المستخدم لتشكيل ES مؤهل في ذاكرة جهاز آمن متخصص (وحدة أمان الأجهزة ، HSM).
يجب أن تكون مصادقة المستخدم في الخدمة السحابية ذات عاملين على الأقل. كقاعدة عامة ، الخيار الأكثر سهولة في الاستخدام وسهولة الوصول إليه هو تأكيد الإدخال من خلال الرمز الذي تم استلامه في رسالة SMS. لذلك ، على سبيل المثال ، تم تنفيذ معظم الحسابات الشخصية لبنك إسكتلندا الملكي للبنوك الروسية. بالإضافة إلى الرموز المشفرة المعتادة ، يمكن أيضًا استخدام تطبيق على الهاتف الذكي ومولدات كلمات المرور لمرة واحدة (رموز OTP) كوسيلة للمصادقة.
يمكنني تلخيص نتيجة وسيطة في الوقت الحالي ، فيما يتعلق بحقيقة أن السحاب CEP لا يزال يتشكل في بلدنا وأنه من السابق لأوانه الابتعاد عن الحديد. من حيث المبدأ ، هذه عملية طبيعية ، حتى في أوروبا (أوه ، عظيم!) استمرت حوالي 13-14 عامًا ، حتى تم تطوير معايير أكثر أو أقل دقة.
حتى نطور GOSTs الجيدة التي تنظم خدماتنا السحابية ، فمن السابق لأوانه التحدث عن الرفض الكامل لحلول الأجهزة. بدلاً من ذلك ، سيبدأون الآن ، على العكس من ذلك ، في التحرك نحو "الهجينة" ، أي العمل مع التواقيع السحابية أيضًا. تم بالفعل تنفيذ بعض الأمثلة التي تتوافق مع المعايير الأوروبية للعمل مع Cloud. لكن المزيد عن هذا في مقال جديد.
المصدر: www.habr.com