Добры дзень, дарагі чытач!
Я некаторы час актыўна сачыў за абнаўленнямі і навінамі праграмы "Лічбавая эканоміка". З пункту гледжання ўнутранага супрацоўніка сістэмы ЕДАІС, вядома, працэс на дзесяцігоддзі. І з пункту гледжання распрацоўкі, і з пункту гледжання тэсціравання, адкаткі і далейшага ўкаранення з наступнымі непазбежнымі і пакутлівымі карэкціроўкамі разнастайных багаў. Тым не менш справа неабходная, важная і наспелая. Асноўны заказчык і драйвер усёй гэтай весялосці, вядома, дзяржава. Уласна, як і ва ўсім свеце.
Усе працэсы ўжо даўно перацяклі ў лічбу ці на шляху да яе. Гэта такі цудоўна. Тым не менш, існуюць і адваротныя бакі медалёк за адрозненні. Я чалавек, які працуе ўвесь час з лічбавым подпісам. Я прыхільнік можа і "ўчорашніх", але "па-дзедаўску" надзейных і бяспройгрышных метадаў абароны электроннага подпісу з дапамогай токенаў. Але цыфравізацыя паказвае нам, што ўсё ўжо даўно ў «аблоках» і КЭП таксама туды трэба і трэба вельмі хутка.
Я пастараўся разабрацца, пакуль на ўзроўні заканадаўчай і тэхнічнай базы, дзе было магчыма, як ідзе справу з хмарнымі ЭП у нас і ў Еўропе. Насамрэч, на гэтую тэму нават ужо не адна навуковая дысертацыя выйшла. Таму заклікаюць профі ў гэтым пытанні далучацца да развіцця тэмы.
Чаму КЭП у «воблаку» прывабная? Насамрэч, ёсць плюсы. Гэтых плюсаў дастатковая колькасць. Гэта хутка і зручна. Гучыць як рэкламны слоган, пагадзіцеся, аднак жа гэта аб'ектыўныя характарыстыкі хмарнай ЭЛП.
Шпаркасць заключаецца ў магчымасці падпісваць дакументы без прывязкі да токенаў або смарт-карт. Не абавязвае нас выкарыстоўваць толькі дэсктоп. Сто адсоткаў кросплатформавая гісторыя для любых АС і браўзэраў. Асабліва актуальна для фанатаў прадукцыі Apple, для якіх ёсць пэўныя складанасці падтрымкі ЭП у сістэме MAC. Выхад з любой кропкі свету, свабода выбару УЦ (нават не Расійскіх). У адрозненні ад апаратных сродкаў КЭП, хмарныя тэхналогіі дазваляюць пазбегнуць складанасцяў з сумяшчальнасцю праграмнага і апаратанага забеспячэння. Што, так, зручна, і, так, хутка.
І як жа тут не спакусіцца на такую прыгажосць? Д'ябал крыецца ў дэталях. Пагаворым аб бяспецы.
«Воблачная» КЭП у Расіі
Бяспека хмарных рашэнняў, а асабліва ЭЛП - гэта обна з асноўных боляў бяспечнікаў. Што менавіта мне не падабаецца, спытае мяне чытач, бо ўжо ўсё даўно выкарыстоўваюць хмарныя сэрвісы, а з СМС-кай яшчэ надзейней зрабіць банкаўскі перавод.
Насамрэч, ізноў-ткі, вернемся да дэталяў. Воблачнае ЭЛП - гэта будучыня, з якім складана спрачацца. Але не зараз. Для гэтага павінны адбыцца нарматыўна-прававыя змены, якія дазволяць абараняць уладальніка хмарных ЭЛП.
Што мы маем сёньня? Існуе шэраг дакументаў, якія вызначаюць паняцце ЭП, элеткроннага дакументазвароту (ЭДА), а таксама законы аб абароне інфармацыі і абароце дадзенымі. У тым ліку трэба ўлічваць і Грамадзянскі кодэкс (ГК РФ), які рэгламентуе выкарыстанне ЭП у дакументах.
Федэральны закон №63-ФЗ "Аб электронным подпісе" ад 06.04.2011/XNUMX/XNUMX. Асноўны і рамачны закон які апісвае агульны сэнс выкарыстання ЭП пры здзяйсненні здзелак рознага характару і аказанні паслуг.
Федэральны закон №149-ФЗ «Аб інфармацыі, інфармацыйных тэхналогіях і аб абароне інфармацыі ад 27.07.2006/XNUMX/XNUMX. У гэтым дакуменце канкрэтызуецца паняцце электроннага дакумента і ўсіх звязаных з ім сегментаў.
Ёсць дадатковыя заканадаўчыя акты, якія маюць дачыненне да рэгулявання ЭДА
Федэральны закон 402-ФЗ "Аб бухгалтарскім уліку" ад 06.12.2011/XNUMX/XNUMX. Заканадаўчы акт прадугледжвае сістэматызацыю патрабаванняў да бухгалтэрыі і бухгалтарскіх дакументаў у электронным выглядзе.
У т.л. можна ўлічыць Арбітражны працэсуальны кодэкс РФ, якія дапускаюць дакументы, падпісаныя ЭП у якасці доказаў у судзе.
І менавіта тут і прыйшло мне ў галаву пакалупацца ў пытанні забеспячэння бяспекі, бо ў нас стандарты для сродкаў крыпта-абароны забяспечвае ФСБ і забяспечвае выдачу сертыфікатаў адпаведнасці. З 18 лютага ўвяліся-ткі новыя Дасты. Такім чынам, ключы, якія захоўваюцца ў воблаку напрамую не абаронены сертыфікатамі ФСТЭК. Абарона саміх ключоў і бяспечнага ўваходу ў "воблака" і з'яўляюцца краевугольнымі камянямі, якія пакуль яшчэ мы ў нас не вырашылі. Далей разгледжу прыклад рэгулявання ў Еўразвязе, што наглядна прадэманструе больш прасунутую сістэму бяспекі.
Еўрапейскі вопыт выкарыстання хмарных ЭП
Пачнем з галоўнага - хмарныя тэхналогіі, не толькі ЭП маюць выразны стандарт. Асновай Група каардынацыі хмарных стандартаў (Cloud Standard Coordination, CSC) Еўрапейскага інстытута тэлекамунікацыйных стандартаў (European Telecommunications Standards Institute, ETSI). Аднак на тэрыторыі розных дзяржаў усё яшчэ ёсць адрозненні ў стандартах абароны дадзеных.
Базай для комплекснай абароны дадзеных з'яўляецца абавязковая для правайдэраў сертыфікацыя па ISO 27001:2013 на сістэмы менеджменту інфармацыйнай бяспекі (адпаведны расійскі ДАСТ ІСО/МЭК 27001-2006 грунтуецца на версіі гэтага стандарту ад 2006 года).
У ISO 27017 прадугледжваюцца дадатковыя элементы бяспекі для аблокі, якія адсутнічаюць у ISO 27002. Поўная афіцыйная назва гэтага стандарту: "Збор правілаў для сродкаў кіравання інфармацыйнай бяспекай на базе ISO/IEC 27002 для хмарных сэрвісаў" ("Code of practice for information security controls based on ISO/IEC 27002 for cloud services»).
Улетку 2014 года ISO апублікавала стандарт ISO 27018:2015 аб абароне персанальных дадзеных у воблаку, а ў канцы 2015 года - ISO 27017:2015 аб сродках кантролю інфармацыйнай бяспекі для хмарных рашэнняў.
Увосень 2014-га года ў сілу ўступіла новая Пастанова Еўрапарламента №910/2014, якая атрымала назву eIDAS. Новыя правілы дазваляюць карыстальнікам захоўванне і выкарыстанне ключа КЭП на серверы акрэдытаванага пастаўшчыка давераных паслуг, так званага TSP (Trust Service Provider).
Еўрапейскі камітэт па стандартызацыі (CEN) у кастрычніку 2013-га года прыняў тэхнічную спецыфікацыю CEN/TS 419241 Security Requirements for Trustworthy Systems Supporting Server Signing, прысвечаную рэгуляванню хмарны ЭЛП. У дакуменце апісана некалькі ўзроўняў адпаведнасці бяспекі. Да прыкладу, для адпаведнасці «ўзроўню 2», які прад'яўляецца для фарміравання кваліфікаванага электроннага подпісу, з'яўляецца падтрымка строгіх варыянтаў аўтэнтыфікацыі карыстальнікаў. Па патрабаваннях дадзенага ўзроўня аўтэнтыфікацыя карыстача адбываецца напроста на серверы подпісу, у адрозненні, да прыкладу, ад дапушчальнай для "ўзроўню 1" аўтэнтыфікацыі ў прыкладанні, якое ад свайго імя звяртаецца да сервера подпісу. Гэтак жа ў адпаведнасці з гэтай спецыфікацыяй, карыстацкія ключы подпісы для фармавання кваліфікаванай ЭП павінны абавязкова захоўвацца ў памяці спецыялізаванай абароненай прылады (англ. hardware security module, HSM).
Аўтэнтыфікацыя карыстальніка ў хмарным сэрвісе павінна быць як мінімум двухфактарнай. Як правіла найбольш даступны і просты ў выкарыстанні варыянт - гэта пацверджанне ўваходу праз код атрыманы ў СМС-паведамленні. Так напрыклад, рэалізавана большасць асабістых кабінетаў ДБО расійскіх банкаў. Акрамя звыклых крыптаграфічных токенаў у якасці сродку аўтэнтыфікацыі можа прымяняцца таксама дадатак на смартфоне, і генератары аднаразовых пароляў ( OTP-токены )
Магу падвесці пакуль прамежкавы вынік, адносна таго, што хмарныя КЭП пакуль у нас яшчэ толькі фармуюцца і адыходзіць ад жалеза рана. У прынцыпе, гэта натуральны працэс, які то і ў Еўропе (о, вялікая!) доўжыўся каля 13-14 гадоў, пакуль былі выпрацаваны дакладныя стандарты.
Пакуль мы не распрацуем добрых ДАСТаў, якія рэгулююць нашы хмарныя сэрвісы, рана казаць аб поўнай адмове ад апаратных рашэнняў. Хутчэй, яны зараз, наадварот, стануць рухацца ў бок «гібрыдаў», гэта значыць працаваць з хмарнымі подпісамі ў тым ліку. Некаторыя прыклады, якія адпавядаюць еўрастандартам працы з Cloud ужо рэалізаваны. Але пра гэта крыху падрабязней і ў новым матэрыяле.
Крыніца: habr.com