Dobar dan, dragi čitaoče!
Već neko vrijeme aktivno pratim ažuriranja i vijesti o programu Digitalna ekonomija. Sa stanovišta internog radnika EGAIS sistema, naravno, proces će trajati decenijama. Kako sa stanovišta razvoja, tako i sa stanovišta testiranja, vraćanja i dalje implementacije, praćene neizbežnim i bolnim prilagođavanjem svih vrsta grešaka. Ipak, stvar je neophodna, važna i hitna. Glavni kupac i pokretač sve te zabave je, naravno, država. Zapravo, baš kao i u cijelom svijetu.
Svi procesi su odavno prešli u digitalno ili su na putu do toga. Ovo je još uvijek divno. Međutim, medalje za izvrsnost imaju i nedostatke. Ja sam osoba koja stalno radi sa digitalnim potpisima. Pobornik sam možda „jučerašnjih“, ali „staromodnih“ pouzdanih i dobitnih metoda zaštite elektronskih potpisa pomoću tokena. Ali digitalizacija nam pokazuje da je sve već dugo u “oblacima” i da je CEP i tu potreban i potreban vrlo brzo.
Pokušao sam da shvatim, na nivou zakonodavnog i tehničkog okvira, gdje je to moguće, kako stvari stoje s elektronskim potpisima u oblaku ovdje i u Evropi. Naime, na ovu temu je već objavljeno više od jedne naučne disertacije. Stoga ohrabrujemo profesionalce u ovoj oblasti da se pridruže razvoju teme.
Zašto je CEP u oblaku privlačan? U stvari, postoje prednosti. Dosta je ovih prednosti. Brz je i zgodan. Zvuči kao reklamni slogan, složićete se, ali to su objektivne karakteristike digitalnog potpisa u oblaku.
Brzina leži u mogućnosti potpisivanja dokumenata bez vezivanja za tokene ili pametne kartice. Ne obavezuje nas da koristimo samo desktop. Stopostotna priča na više platformi za bilo koji OS i pretraživače. Ovo posebno važi za ljubitelje Apple proizvoda, za koje postoje određene poteškoće u podršci elektronskim potpisima u MAC sistemu. Izlaz sa bilo kog mesta u svetu, sloboda izbora CA (čak i neruskih). Za razliku od CEP hardvera, cloud tehnologije vam omogućavaju da izbjegnete poteškoće s kompatibilnošću softvera i hardvera. Što je, da, zgodno, i, da, brzo.
I kako se ne može zavesti takva ljepota? Đavo je u detaljima. Hajde da pričamo o bezbednosti.
"Cloud" CEP u Rusiji
Sigurnost rješenja u oblaku, a posebno digitalnih potpisa, jedna je od glavnih bolnih tačaka za sigurnosne profesionalce. Šta mi se tačno ne sviđa, pitaće me čitalac, jer svi već dugo koriste cloud servise, a sa SMS-om je još pouzdanije izvršiti bankovni transfer.
Zapravo, opet, vratimo se detaljima. Digitalni potpis u oblaku je budućnost s kojom se teško raspravljati. Ali ne sada. Da bi se to postiglo, moraju doći do regulatornih promjena koje će zaštititi vlasnika digitalnih potpisa u oblaku.
Šta imamo danas? Postoji niz dokumenata koji definišu pojam digitalnog potpisa, elektronskog upravljanja dokumentima (EDF), kao i zakona o zaštiti informacija i cirkulaciji podataka. Posebno morate uzeti u obzir Građanski zakonik (Građanski zakonik Ruske Federacije), koji reguliše upotrebu elektronskih potpisa u dokumentima.
Federalni zakon br. 63-FZ “O elektronskim potpisima” od 06.04.2011. Osnovni i okvirni zakon koji opisuje opšte značenje upotrebe digitalnih potpisa prilikom obavljanja transakcija različitih vrsta i pružanja usluga.
Federalni zakon br. 149-FZ „O informacijama, informacionim tehnologijama i zaštiti informacija od 27.07.2006. jula XNUMX. Ovaj dokument precizira koncept elektronskog dokumenta i sve povezane segmente.
Postoje dodatni zakonodavni akti koji su uključeni u regulisanje EDI
Federalni zakon 402-FZ „O računovodstvu“ od 06.12.2011. decembra XNUMX. Zakonski akt predviđa sistematizaciju zahtjeva za računovodstvene i računovodstvene dokumente u elektronskom obliku.
Incl. Možete uzeti u obzir Arbitražni procesni zakonik Ruske Federacije, koji dozvoljava dokumente potpisane elektronskim potpisom kao dokaz na sudu.
I tu mi je palo na pamet da dublje uđem u pitanje sigurnosti, jer naše standarde za kriptozaštitna sredstva obezbjeđuje FSB i osiguravaju izdavanje potvrda o usklađenosti. 18. februara uvedeni su novi GOST standardi. Dakle, ključevi pohranjeni u oblaku nisu direktno zaštićeni FSTEC certifikatima. Zaštita samih ključeva i siguran ulazak u „oblak” su kamen temeljac koji još nismo riješili. Zatim ću se osvrnuti na primjer regulative u Evropskoj uniji, koja će jasno pokazati napredniji sigurnosni sistem.
Evropsko iskustvo u korištenju digitalnih potpisa u oblaku
Počnimo od glavne stvari - tehnologije oblaka, ne samo digitalni potpisi imaju jasan standard. Osnova je grupa Cloud Standard Coordination (CSC) Evropskog instituta za telekomunikacijske standarde (ETSI). Međutim, i dalje postoje razlike u standardima zaštite podataka u različitim zemljama.
Osnova za sveobuhvatnu zaštitu podataka je obavezna sertifikacija za provajdere prema ISO 27001:2013 za sisteme upravljanja bezbednošću informacija (odgovarajući ruski GOST R ISO/IEC 27001-2006 zasnovan je na verziji ovog standarda iz 2006. godine).
ISO 27017 pruža dodatne sigurnosne elemente za oblak koji nedostaju u ISO 27002. Puni službeni naziv ovog standarda je “Kodeks prakse za kontrolu sigurnosti informacija na osnovu ISO/IEC 27002 za usluge u oblaku.” ISO/IEC 27002 za usluge u oblaku ").
U ljeto 2014. ISO je objavio ISO 27018:2015 standard o zaštiti ličnih podataka u oblaku, a krajem 2015. ISO 27017:2015 o kontrolama sigurnosti informacija za rješenja u oblaku.
U jesen 2014. godine stupila je na snagu nova Rezolucija Evropskog parlamenta br. 910/2014 pod nazivom eIDAS. Nova pravila omogućavaju korisnicima da čuvaju i koriste EPC ključ na serveru akreditovanog provajdera pouzdanih usluga, takozvanog TSP (Trust Service Provider).
U oktobru 2013. godine, Evropski komitet za standardizaciju (CEN) usvojio je tehničku specifikaciju CEN/TS 419241 “Sigurnosni zahtjevi za pouzdane sisteme koji podržavaju potpisivanje servera”, posvećenu regulaciji digitalnih potpisa u oblaku. Dokument opisuje nekoliko nivoa usklađenosti sa sigurnošću. Na primjer, usklađenost "nivo 2" potrebna za generiranje kvalificiranog elektronskog potpisa zahtijeva podršku za jake opcije provjere autentičnosti korisnika. Prema zahtjevima ovog nivoa, autentifikacija korisnika se odvija direktno na serveru potpisa, za razliku od, na primjer, autentifikacije dozvoljene za „nivo 1“ u aplikaciji koja pristupa serveru potpisa u svoje ime. Takođe, u skladu sa ovom specifikacijom, ključevi korisničkog potpisa za generisanje kvalifikovanog elektronskog potpisa moraju biti pohranjeni u memoriji specijalizovanog sigurnog uređaja (hardverski sigurnosni modul, HSM).
Provjera autentičnosti korisnika u servisu u oblaku mora biti najmanje dvofaktorna. U pravilu, najpristupačnija i najjednostavnija opcija je potvrda prijave putem koda primljenog u SMS poruci. Na primjer, implementirana je većina ličnih RBS računa ruskih banaka. Osim uobičajenih kriptografskih tokena, aplikacija na pametnom telefonu i generatori jednokratnih lozinki (OTP tokeni) također se mogu koristiti kao sredstvo autentifikacije.
Za sada mogu izvući privremeni zaključak u vezi sa činjenicom da se Cloud CEP-ovi tek formiraju i da je prerano za odmicanje od hardvera. U principu, ovo je prirodan proces, koji je čak i u Evropi (o, super!) trajao oko 13-14 godina dok se nisu razvili manje-više precizni standardi.
Dok ne razvijemo dobre GOST standarde koji reguliraju naše usluge u oblaku, prerano je govoriti o potpunom napuštanju hardverskih rješenja. Umjesto toga, oni će sada, naprotiv, početi da se kreću ka „hibridima“, odnosno radu i sa Cloud potpisima. Neki primjeri koji zadovoljavaju evropske standarde za rad sa Cloud-om su već implementirani. Ali o tome ćemo malo detaljnije govoriti u novom materijalu.
izvor: www.habr.com