Добър ден, скъпи читателю!
От известно време следя активно актуализациите и новините на програмата Digital Economy. От гледна точка на вътрешен служител на системата EGAIS, разбира се, процесът ще продължи десетилетия. Както от гледна точка на разработка, така и от гледна точка на тестване, връщане назад и по-нататъшно внедряване, последвано от неизбежни и болезнени корекции на всички видове грешки. Въпреки това въпросът е необходим, важен и спешен. Основният клиент и двигател на цялото това забавление е, разбира се, държавата. Всъщност, както навсякъде по света.
Всички процеси отдавна са се преместили в цифрово или са на път към него. Това все още е прекрасно. Има обаче недостатъци на медалите за високи постижения. Аз съм човек, който постоянно работи с цифрови подписи. Аз съм привърженик на може би „вчерашните“, но „старомодни“ надеждни и печеливши методи за защита на електронни подписи с помощта на токени. Но цифровизацията ни показва, че всичко е в „облаците“ от дълго време и CEP също е необходим там и много бързо.
Опитах се да разбера на ниво законодателна и техническа рамка, където е възможно, как стоят нещата с облачните електронни подписи тук и в Европа. Всъщност по тази тема вече са публикувани повече от една научна дисертация. Затова насърчаваме професионалистите по този въпрос да се присъединят към развитието на темата.
Защо CEP в облака е привлекателен? Всъщност има предимства. Има достатъчно от тези предимства. Това е бързо и удобно. Съгласете се, звучи като рекламен слоган, но това са обективните характеристики на облачния цифров подпис.
Скоростта се крие във възможността да подписвате документи, без да сте обвързани с токени или смарт карти. Не ни задължава да използваме само работния плот. Сто процента междуплатформена история за всяка ОС и браузъри. Това важи особено за феновете на продуктите на Apple, за които има определени трудности при поддържането на електронни подписи в системата MAC. Изход от всяка точка на света, свобода на избор на CA (дори не-руски). За разлика от хардуера на CEP, облачните технологии ви позволяват да избегнете трудности със съвместимостта на софтуера и хардуера. Което, да, е удобно и, да, бързо.
И как човек да не се съблазни от такава красота? Дяволът е в детайлите. Нека поговорим за безопасността.
"Cloud" CEP в Русия
Сигурността на облачните решения и особено на цифровите подписи е една от основните болни точки за специалистите по сигурността. Какво точно не ми харесва, ще ме попита читателят, защото всички отдавна ползват облачни услуги, а с SMS е още по-надеждно да се направи банков превод.
Всъщност, нека отново да се върнем към подробностите. Облачният цифров подпис е бъдеще, с което е трудно да се спори. Но не сега. За да направите това, трябва да настъпят регулаторни промени, които ще защитят собственика на облачните цифрови подписи.
Какво имаме днес? Съществуват редица документи, дефиниращи понятието цифров подпис, управление на електронни документи (EDF), както и закони за защита на информацията и движението на данни. По-специално, трябва да вземете предвид Гражданския кодекс (Гражданския кодекс на Руската федерация), който регулира използването на електронни подписи в документи.
Федерален закон № 63-FZ „За електронните подписи“ от 06.04.2011 г. Основният и рамков закон, който описва общото значение на използването на цифрови подписи при извършване на различни видове транзакции и предоставяне на услуги.
Федерален закон № 149-FZ „За информацията, информационните технологии и защитата на информацията от 27.07.2006 юли XNUMX г. Този документ уточнява концепцията за електронен документ и всички свързани сегменти.
Има допълнителни законодателни актове, които участват в регулирането на EDI
Федерален закон 402-FZ „За счетоводството“ от 06.12.2011 декември XNUMX г. Законодателният акт предвижда систематизиране на изискванията за счетоводство и счетоводни документи в електронен вид.
вкл. Можете да вземете предвид Арбитражния процесуален кодекс на Руската федерация, който позволява документи, подписани с електронен подпис, като доказателство в съда.
И тук ми хрумна да се задълбоча в въпроса за сигурността, тъй като нашите стандарти за средства за криптозащита се предоставят от FSB и осигуряват издаването на сертификати за съответствие. На 18 февруари бяха въведени нови стандарти GOST. По този начин ключовете, съхранявани в облака, не са пряко защитени от FSTEC сертификати. Защитата на самите ключове и сигурното влизане в „облака“ са крайъгълните камъни, които все още не сме решили. След това ще разгледам примера за регулиране в Европейския съюз, който ясно ще демонстрира по-напреднала система за сигурност.
Европейски опит в използването на облачни цифрови подписи
Да започнем с основното - облачните технологии, не само цифровите подписи имат ясен стандарт. Основата е групата за координация на стандартите в облака (CSC) на Европейския институт за телекомуникационни стандарти (ETSI). Все още обаче има разлики в стандартите за защита на данните в различните страни.
Основата за цялостна защита на данните е задължителната сертификация за доставчиците по ISO 27001:2013 за системи за управление на информационната сигурност (съответният руски GOST R ISO/IEC 27001-2006 се основава на версията от 2006 г. на този стандарт).
ISO 27017 предоставя допълнителни елементи за сигурност за облака, които липсват в ISO 27002. Пълното официално име на този стандарт е „Кодекс на практиката за контрол на сигурността на информацията, базиран на ISO/IEC 27002 за облачни услуги.“ ISO/IEC 27002 за облачни услуги ").
През лятото на 2014 г. ISO публикува стандарта ISO 27018:2015 за защита на личните данни в облака, а в края на 2015 г. ISO 27017:2015 относно контролите за информационна сигурност за облачни решения.
През есента на 2014 г. влезе в сила нова Резолюция на Европейския парламент No 910/2014, наречена eIDAS. Новите правила позволяват на потребителите да съхраняват и използват EPC ключа на сървъра на акредитиран доверен доставчик на услуги, така наречения TSP (Trust Service Provider).
През октомври 2013 г. Европейският комитет по стандартизация (CEN) прие техническата спецификация CEN/TS 419241 „Изисквания за сигурност за надеждни системи, поддържащи подписване на сървъри“, посветена на регулирането на цифровите подписи в облака. Документът описва няколко нива на съответствие със сигурността. Например, съответствието на „ниво 2“, необходимо за генериране на квалифициран електронен подпис, изисква поддръжка за силни опции за удостоверяване на потребителя. Съгласно изискванията на това ниво, удостоверяването на потребителя се извършва директно на сървъра за подписване, за разлика например от удостоверяването, разрешено за „ниво 1“ в приложение, което осъществява достъп до сървъра за подписване от свое име. Също така, в съответствие с тази спецификация, ключовете за потребителски подпис за генериране на квалифициран електронен подпис трябва да се съхраняват в паметта на специализирано защитено устройство (хардуерен модул за сигурност, HSM).
Удостоверяването на потребителя в облачна услуга трябва да бъде поне двуфакторно. По правило най-достъпната и лесна за използване опция е потвърждаването на влизането чрез код, получен в SMS съобщение. Например, повечето от личните RBS сметки на руските банки са внедрени. В допълнение към обичайните криптографски токени, приложение на смартфон и генератори на еднократни пароли (OTP токени) също могат да се използват като средство за удостоверяване.
Засега мога да направя междинно заключение относно факта, че облачните CEP все още се формират и е твърде рано да се отдалечим от хардуера. По принцип това е естествен процес, който дори в Европа (о, страхотно!) продължи около 13-14 години, докато се разработят повече или по-малко точни стандарти.
Докато не разработим добри GOST стандарти, регулиращи нашите облачни услуги, е твърде рано да говорим за пълен отказ от хардуерни решения. По-скоро те сега, напротив, ще започнат да се движат към „хибриди“, тоест да работят и с облачни подписи. Вече са внедрени някои примери, отговарящи на европейските стандарти за работа с Cloud. Но ще говорим за това малко по-подробно в нов материал.
Източник: www.habr.com