Günortanız xeyir, əziz oxucu!
Bir müddətdir ki, Rəqəmsal İqtisadiyyat proqramının yeniliklərini və xəbərlərini fəal şəkildə izləyirəm. EGAIS sisteminin daxili işçisi baxımından, əlbəttə ki, proses onilliklər davam edəcək. Həm inkişaf nöqteyi-nəzərindən, həm də sınaq, geri qaytarma və daha da tətbiq nöqteyi-nəzərindən hər cür səhvlərin qaçılmaz və ağrılı düzəlişləri. Buna baxmayaraq, məsələ zəruri, vacib və aktualdır. Bütün bu əyləncələrin əsas müştərisi və sürücüsü təbii ki, dövlətdir. Əslində, bütün dünyada olduğu kimi.
Bütün proseslər çoxdan rəqəmsal rejimə keçib və ya ona doğru gedir. Bu hələ də gözəldir. Bununla belə, mükəmməlliyə görə medalların mənfi cəhətləri var. Mən daim rəqəmsal imza ilə işləyən insanam. Mən tokenlərdən istifadə edərək elektron imzaları qorumaq üçün bəlkə də “dünənki”, lakin “köhnə” etibarlı və qalib-qazan üsullarının tərəfdarıyam. Amma rəqəmsallaşma bizə göstərir ki, hər şey çoxdan “buludlar”dadır və CEP də orada lazımdır və çox tez lazımdır.
Mən qanunvericilik və texniki baza səviyyəsində, mümkün olduqda, burada və Avropada bulud elektron imzaları ilə işlərin necə olduğunu anlamağa çalışdım. Əslində bu mövzuda artıq birdən çox elmi dissertasiya dərc olunub. Ona görə də biz bu məsələdə peşəkarları mövzunun işlənib hazırlanmasına qoşulmağa dəvət edirik.
Buludda CEP niyə cəlbedicidir? Əslində, üstünlükləri var. Bu üstünlüklər kifayət qədərdir. Bu sürətli və rahatdır. Bu, reklam şüarı kimi səslənir, razılaşarsınız, lakin bunlar bulud rəqəmsal imzasının obyektiv xüsusiyyətləridir.
Sürət, tokenlərə və ya smart kartlara bağlanmadan sənədləri imzalamaq imkanındadır. Bizi yalnız iş masasından istifadə etməyə məcbur etmir. İstənilən OS və brauzerlər üçün yüz faiz çarpaz platforma hekayəsi. Bu, xüsusilə MAC sistemində elektron imzaları dəstəkləməkdə müəyyən çətinliklər olan Apple məhsullarının pərəstişkarları üçün doğrudur. Dünyanın istənilən yerindən çıxmaq, CA-ları seçmək azadlığı (hətta rus olmayanlar da). CEP avadanlığından fərqli olaraq, bulud texnologiyaları proqram təminatı və aparatın uyğunluğu ilə bağlı çətinliklərdən qaçmağa imkan verir. Hansı ki, bəli, rahatdır və bəli, sürətlidir.
Bəs belə gözəlliyə necə aldanmamaq olar? Şeytan təfərrüatlardadır. Təhlükəsizlik haqqında danışaq.
Rusiyada "Bulud" CEP
Bulud həllərinin, xüsusən də rəqəmsal imzaların təhlükəsizliyi təhlükəsizlik mütəxəssisləri üçün əsas ağrı nöqtələrindən biridir. Tam olaraq nəyi bəyənmirəm, oxucu məndən soruşacaq, çünki hər kəs uzun müddətdir bulud xidmətlərindən istifadə edir və SMS ilə bank köçürməsi etmək daha etibarlıdır.
Əslində, yenə də təfərrüatlara qayıdaq. Bulud rəqəmsal imzası mübahisə etmək çətin olan bir gələcəkdir. Amma indi yox. Bunun üçün bulud rəqəmsal imzalarının sahibini qoruyacaq tənzimləyici dəyişikliklər baş verməlidir.
Bu gün nəyimiz var? Rəqəmsal imza anlayışını müəyyən edən bir sıra sənədlər, elektron sənəd dövriyyəsi (EDF), həmçinin informasiyanın mühafizəsi və məlumat dövriyyəsi haqqında qanunlar mövcuddur. Xüsusilə, sənədlərdə elektron imzaların istifadəsini tənzimləyən Mülki Məcəlləni (Rusiya Federasiyasının Mülki Məcəlləsi) nəzərə almalısınız.
63/06.04.2011/XNUMX-ci il tarixli XNUMX-FZ nömrəli "Elektron imzalar haqqında" Federal Qanun. Müxtəlif növ əməliyyatlar apararkən və xidmətlər göstərərkən rəqəmsal imzadan istifadənin ümumi mənasını təsvir edən əsas və çərçivə qanunu.
149 iyul 27.07.2006-cı il tarixli "İnformasiya, informasiya texnologiyaları və məlumatların mühafizəsi haqqında" XNUMX-FZ nömrəli Federal Qanun. Bu sənəd elektron sənəd anlayışını və bütün əlaqəli seqmentləri müəyyən edir.
EDI-nin tənzimlənməsi ilə bağlı əlavə qanunvericilik aktları var
402 dekabr 06.12.2011-ci il tarixli XNUMX-FZ "Mühasibat uçotu haqqında" Federal Qanun. Qanunvericilik aktı mühasibat uçotu və uçot sənədlərinə tələblərin elektron formada sistemləşdirilməsini nəzərdə tutur.
Daxildir Məhkəmədə sübut kimi elektron imza ilə imzalanmış sənədlərə icazə verən Rusiya Federasiyasının Arbitraj Prosessual Məcəlləsini nəzərə ala bilərsiniz.
Və burada təhlükəsizlik məsələsini daha dərindən araşdırmaq ağlıma gəldi, çünki kripto-mühafizə vasitələri üçün standartlarımız FSB tərəfindən təmin edilir və uyğunluq sertifikatlarının verilməsini təmin edir. Fevralın 18-də yeni GOST standartları təqdim edildi. Beləliklə, buludda saxlanılan açarlar birbaşa FSTEC sertifikatları ilə qorunmur. Açarların özlərini qorumaq və "bulud"a təhlükəsiz giriş hələ həll etmədiyimiz təməl daşlardır. Sonra mən Avropa İttifaqında daha təkmil təhlükəsizlik sistemini açıq şəkildə nümayiş etdirəcək tənzimləmə nümunəsinə baxacağam.
Bulud rəqəmsal imzalarından istifadə üzrə Avropa təcrübəsi
Əsas məsələ ilə başlayaq - bulud texnologiyaları, təkcə rəqəmsal imzaların aydın standartı yoxdur. Əsas Avropa Telekommunikasiya Standartları İnstitutunun (ETSI) Bulud Standart Koordinasiyası (CSC) qrupudur. Bununla belə, müxtəlif ölkələrdə məlumatların qorunması standartlarında hələ də fərqlər mövcuddur.
Məlumatların hərtərəfli qorunması üçün əsas məlumat təhlükəsizliyi idarəetmə sistemləri üçün İSO 27001:2013-ə uyğun olaraq provayderlər üçün məcburi sertifikatlaşdırmadır (müvafiq Rusiya QOST R ISO/IEC 27001-2006 bu standartın 2006-cı il versiyasına əsaslanır).
ISO 27017 bulud üçün ISO 27002-də çatışmayan əlavə təhlükəsizlik elementlərini təmin edir. Bu standartın tam rəsmi adı “Bulud xidmətləri üçün ISO/IEC 27002-yə əsaslanan informasiya təhlükəsizliyinə nəzarət üçün təcrübə kodu”dur. Bulud xidmətləri üçün ISO/IEC 27002 ").
2014-cü ilin yayında İSO buludda şəxsi məlumatların qorunması üzrə ISO 27018:2015 standartını, 2015-ci ilin sonunda isə bulud həlləri üçün informasiya təhlükəsizliyinə nəzarət üzrə ISO 27017:2015 standartını nəşr etdi.
2014-cü ilin payızında Avropa Parlamentinin eIDAS adlı yeni 910/2014 saylı Qətnaməsi qüvvəyə minib. Yeni qaydalar istifadəçilərə EPC açarını TSP (Trust Service Provider) adlanan akkreditə olunmuş etibarlı xidmət provayderinin serverində saxlamağa və istifadə etməyə imkan verir.
2013-cü ilin oktyabr ayında Avropa Standartlaşdırma Komitəsi (CEN) bulud rəqəmsal imzalarının tənzimlənməsinə həsr olunmuş CEN/TS 419241 “Server imzalamasını dəstəkləyən etibarlı sistemlər üçün təhlükəsizlik tələbləri” texniki spesifikasiyasını qəbul etdi. Sənəd təhlükəsizlik uyğunluğunun bir neçə səviyyəsini təsvir edir. Məsələn, ixtisaslı elektron imza yaratmaq üçün tələb olunan “2-ci səviyyə” uyğunluğu güclü istifadəçi autentifikasiyası seçimləri üçün dəstək tələb edir. Bu səviyyənin tələblərinə uyğun olaraq, istifadəçinin autentifikasiyası birbaşa imza serverində baş verir, məsələn, imza serverinə öz adından daxil olan proqramda “1-ci səviyyə” üçün icazə verilən autentifikasiyadan fərqli olaraq. Həmçinin, bu spesifikasiyaya uyğun olaraq, ixtisaslı elektron imza yaratmaq üçün istifadəçi imza açarları xüsusi təhlükəsiz cihazın (aparat təhlükəsizlik modulu, HSM) yaddaşında saxlanmalıdır.
Bulud xidmətində istifadəçi identifikasiyası ən azı iki faktorlu olmalıdır. Bir qayda olaraq, ən əlçatan və istifadəsi asan seçim SMS mesajında alınan kod vasitəsilə girişi təsdiqləməkdir. Məsələn, Rusiya banklarının şəxsi RBS hesablarının əksəriyyəti həyata keçirilib. Adi kriptoqrafik tokenlərə əlavə olaraq, autentifikasiya vasitəsi kimi smartfondakı proqram və birdəfəlik parol generatorları (OTP tokenləri) də istifadə edilə bilər.
Hələlik mən bulud CEP-lərinin hələ yenicə formalaşması və aparatdan uzaqlaşmağın tez olması ilə bağlı aralıq nəticə çıxara bilərəm. Prinsipcə, bu təbii bir prosesdir, hətta Avropada (oh, əla!) az-çox dəqiq standartlar işlənib hazırlanana qədər təxminən 13-14 il davam etdi.
Bulud xidmətlərimizi tənzimləyən yaxşı GOST standartlarını hazırlayana qədər, aparat həllərindən tam imtina haqqında danışmaq hələ tezdir. Əksinə, onlar indi, əksinə, “hibridlərə” doğru irəliləməyə başlayacaqlar, yəni bulud imzaları ilə də işləyəcəklər. Cloud ilə işləmək üçün Avropa standartlarına cavab verən bəzi nümunələr artıq tətbiq edilmişdir. Ancaq bu barədə yeni bir materialda bir az daha ətraflı danışacağıq.
Mənbə: www.habr.com