Bona tarda, estimat lector!
Fa temps que segueixo activament les novetats i novetats del programa d'Economia Digital. Des del punt de vista d'un empleat intern del sistema EGAIS, és clar, el procés durarà dècades. Tant des del punt de vista del desenvolupament, com des del punt de vista de les proves, el rollback i la posterior implementació, seguit d'ajustaments inevitables i dolorosos de tot tipus d'errors. No obstant això, l'assumpte és necessari, important i urgent. El principal client i impulsor de tota aquesta diversió és, per descomptat, l'estat. De fet, com a tot el món.
Tots els processos han passat al digital durant molt de temps o estan en camí. Això encara és meravellós. Tanmateix, les medalles a l'excel·lència tenen desavantatges. Sóc una persona que treballa constantment amb signatures digitals. Sóc partidari dels mètodes, potser "d'ahir", però "antiquats", fiables i guanyadors per protegir les signatures electròniques mitjançant fitxes. Però la digitalització ens demostra que fa temps que tot està als “núvols” i que el CEP també és necessari allà i molt ràpid.
Vaig intentar esbrinar, a nivell del marc legislatiu i tècnic, quan era possible, com estan les coses amb les signatures electròniques al núvol aquí i a Europa. De fet, ja s'han publicat més d'una tesi científica sobre aquest tema. Per això, animem els professionals en aquesta matèria a participar en el desenvolupament del tema.
Per què el CEP al núvol és atractiu? De fet, hi ha avantatges. D'aquests avantatges n'hi ha prou. És ràpid i còmode. Sembla un eslògan publicitari, estareu d'acord, però aquestes són les característiques objectives d'una signatura digital al núvol.
La velocitat rau en la capacitat de signar documents sense estar lligat a fitxes o targetes intel·ligents. No ens obliga a utilitzar només l'escriptori. Història cent per cent multiplataforma per a qualsevol sistema operatiu i navegador. Això és especialment cert per als aficionats als productes Apple, per als quals hi ha certes dificultats per donar suport a les signatures electròniques al sistema MAC. Sortida de qualsevol part del món, llibertat d'elecció de les CA (fins i tot les no russes). A diferència del maquinari CEP, les tecnologies al núvol permeten evitar dificultats amb la compatibilitat de programari i maquinari. Que, sí, és convenient, i, sí, ràpid.
I com no deixar-se seduir per tanta bellesa? El diable està en els detalls. Parlem de seguretat.
CEP "núvol" a Rússia
La seguretat de les solucions al núvol, i especialment les signatures digitals, és un dels principals problemes per als professionals de la seguretat. Què no m'agrada exactament, em preguntarà el lector, perquè fa temps que tothom fa servir els serveis al núvol, i amb els SMS és encara més fiable fer una transferència bancària.
De fet, de nou, tornem als detalls. La signatura digital al núvol és un futur difícil de discutir. Però ara no. Per fer-ho, s'han de produir canvis normatius que protegiran el propietari de les signatures digitals al núvol.
Què tenim avui? Hi ha una sèrie de documents que defineixen el concepte de signatura digital, gestió de documents electrònics (EDF), així com lleis de protecció de la informació i circulació de dades. En particular, cal tenir en compte el Codi Civil (Codi Civil de la Federació Russa), que regula l'ús de signatures electròniques en els documents.
Llei Federal núm. 63-FZ “Sobre Signatures Electròniques” de 06.04.2011/XNUMX/XNUMX. La llei bàsica i marc que descriu el significat general de l'ús de la signatura digital a l'hora de realitzar transaccions de diversos tipus i prestar serveis.
Llei federal núm. 149-FZ “Sobre la informació, les tecnologies de la informació i la protecció de la informació de 27.07.2006 de juliol de XNUMX. Aquest document especifica el concepte de document electrònic i tots els segments relacionats.
Hi ha actes legislatius addicionals que estan implicats en la regulació de l'EDI
Llei federal 402-FZ "Sobre comptabilitat" de 06.12.2011 de desembre de XNUMX. L'acte legislatiu preveu la sistematització dels requisits dels documents comptables i comptables en format electrònic.
Incl. Podeu tenir en compte el Codi de procediment d'arbitratge de la Federació de Rússia, que permet documents signats mitjançant una signatura electrònica com a prova davant dels tribunals.
I va ser aquí on se'm va ocórrer aprofundir en el tema de la seguretat, perquè els nostres estàndards de mitjans de protecció criptogràfica els proporciona l'FSB i garanteixen l'emissió de certificats de conformitat. El 18 de febrer es van introduir nous estàndards GOST. Així, les claus emmagatzemades al núvol no estan directament protegides pels certificats FSTEC. Protegir les claus en si i l'entrada segura al "núvol" són els pilars que encara no hem resolt. A continuació, miraré l'exemple de regulació a la Unió Europea, que demostrarà clarament un sistema de seguretat més avançat.
Experiència europea en l'ús de signatures digitals al núvol
Comencem amb el més important: les tecnologies al núvol, no només les signatures digitals tenen un estàndard clar. La base és el grup Cloud Standard Coordination (CSC) de l'European Telecommunications Standards Institute (ETSI). Tanmateix, encara hi ha diferències en els estàndards de protecció de dades entre els diferents països.
La base per a una protecció integral de dades és la certificació obligatòria per als proveïdors segons la norma ISO 27001:2013 per als sistemes de gestió de la seguretat de la informació (la corresponent GOST R ISO/IEC 27001-2006 russa es basa en la versió 2006 d'aquesta norma).
ISO 27017 proporciona elements de seguretat addicionals per al núvol que falten a la norma ISO 27002. El nom oficial complet d'aquesta norma és "Codi de pràctiques per als controls de seguretat de la informació basat en ISO/IEC 27002 per a serveis al núvol". ISO/IEC 27002 per a serveis al núvol. ").
L'estiu de 2014, ISO va publicar l'estàndard ISO 27018:2015 sobre protecció de dades personals al núvol i, a finals de 2015, ISO 27017:2015 sobre controls de seguretat de la informació per a solucions al núvol.
La tardor de 2014 va entrar en vigor una nova Resolució del Parlament Europeu núm. 910/2014, anomenada eIDAS. Les noves regles permeten als usuaris emmagatzemar i utilitzar la clau EPC al servidor d'un proveïdor de serveis de confiança acreditat, l'anomenat TSP (Proveïdor de serveis de confiança).
L'octubre de 2013, el Comitè Europeu d'Estandardització (CEN) va adoptar l'especificació tècnica CEN/TS 419241 "Requisits de seguretat per a sistemes fiables que suporten la signatura de servidors", dedicada a la regulació de les signatures digitals al núvol. El document descriu diversos nivells de compliment de seguretat. Per exemple, el compliment del "nivell 2" necessari per generar una signatura electrònica qualificada requereix suport per a opcions d'autenticació d'usuari sòlides. Segons els requisits d'aquest nivell, l'autenticació d'usuari es produeix directament al servidor de signatures, a diferència, per exemple, de l'autenticació permesa per al "nivell 1" en una aplicació que accedeix al servidor de signatures per compte propi. Així mateix, d'acord amb aquesta especificació, les claus de signatura d'usuari per generar una signatura electrònica qualificada s'han d'emmagatzemar a la memòria d'un dispositiu segur especialitzat (mòdul de seguretat de maquinari, HSM).
L'autenticació de l'usuari en un servei al núvol ha de tenir com a mínim dos factors. Per regla general, l'opció més accessible i fàcil d'utilitzar és confirmar l'inici de sessió mitjançant un codi rebut en un missatge SMS. Per exemple, la majoria dels comptes personals RBS dels bancs russos s'han implementat. A més dels testimonis criptogràfics habituals, també es poden utilitzar com a mitjà d'autenticació una aplicació en un telèfon intel·ligent i generadors de contrasenyes d'un sol ús (tokens OTP).
De moment, puc treure una conclusió provisional sobre el fet que els CEP al núvol encara s'estan formant i és massa aviat per allunyar-se del maquinari. En principi, aquest és un procés natural, que fins i tot a Europa (oh, genial!) va durar uns 13-14 anys fins que es van desenvolupar estàndards més o menys precisos.
Fins que no desenvolupem bons estàndards GOST que regulen els nostres serveis al núvol, és massa aviat per parlar d'un abandonament total de les solucions de maquinari. Més aviat, ara, per contra, començaran a avançar cap als "híbrids", és a dir, treballar també amb signatures en núvol. Alguns exemples que compleixen els estàndards europeus per treballar amb Cloud ja s'han implementat. Però en parlarem amb una mica més de detall en un nou material.
Font: www.habr.com