Bona sera, caru lettore !
Aghju seguitu attivamente l'aghjurnamenti è e nutizie di u prugramma di l'Ecunumia Digitale dapoi qualchì tempu. Da u puntu di vista di un impiigatu internu di u sistema EGAIS, sicuru, u prucessu durà per decennii. Sia da u puntu di vista di u sviluppu, è da u puntu di vista di a prova, rollback è ulteriore implementazione, seguita da l'aghjustamenti inevitabbili è dolorosi di ogni tipu di bug. Tuttavia, a materia hè necessaria, impurtante è urgente. U cliente principale è u mutore di tuttu stu divertimentu hè, sicuru, u statu. In fatti, cum'è in tuttu u mondu.
Tutti i prucessi sò longu passati in digitale o sò in strada per questu. Questu hè sempre maravigliu. Tuttavia, ci sò svantaghji à e medaglie per l'eccellenza. Sò una persona chì travaglia constantemente cù signature digitale. Sò un sustinitore di forse "di ieri", ma "antichi" metudi affidabili è win-win di prutezzione di e firme elettroniche cù tokens. Ma a digitalizazione ci mostra chì tuttu hè statu in i "nuvuli" per un bellu pezzu è CEP hè ancu necessariu quì è necessariu assai rapidamente.
Aghju pruvatu à capisce, à u livellu di u quadru legislativu è tecnicu, induve pussibule, cumu e cose stanu cù a firma elettronica nuvola quì è in Europa. In fatti, più di una dissertazione scientifica hè stata publicata annantu à questu tema. Dunque, incuraghjemu i prufessiunali in questa materia à unisce à u sviluppu di u tema.
Perchè u CEP in u cloud hè attraente? In fatti, ci sò vantaghji. Ci sò abbastanza di sti vantaghji. Hè veloce è convenientu. Sona cum'è un slogan di publicità, vi d'accordu, ma queste sò e caratteristiche obiettive di una firma digitale nuvola.
A velocità si trova in a capacità di firmà documenti senza esse ligatu à tokens o smart cards. Ùn ci obbliga micca à aduprà solu u desktop. Centu percentu di storia multipiattaforma per qualsiasi OS è navigatori. Questu hè sopratuttu veru per i fanali di i prudutti Apple, per quale ci sò certe difficultà à sustene a firma elettronica in u sistema MAC. Esci da ogni locu in u mondu, libertà di scelta di CA (ancu non-russi). A cuntrariu di l'hardware CEP, i tecnulugii di nuvola permettenu di evità difficultà cù a cumpatibilità di software è hardware. Chì, sì, hè cunvene, è, sì, veloce.
È cumu ùn si pò micca seduce da una tale bellezza? U diavulu hè in i dettagli. Parlemu di sicurità.
"Cloud" CEP in Russia
A sicurità di e soluzioni di nuvola, è in particulare di e firme digitali, hè unu di i principali punti di dolore per i prufessiunali di sicurità. Chì esattamente ùn mi piace micca, u lettore m'hà dumandatu, perchè tutti anu utilizatu servizii di nuvola per un bellu pezzu, è cù SMS hè ancu più affidabile per fà un trasferimentu bancariu.
In verità, torna torna à i dettagli. A firma digitale in nuvola hè un futuru chì hè difficiule di discutiri. Ma micca avà. Per fà questu, i cambiamenti regulatori devenu esse chì prutegeranu u pruprietariu di e firma digitale in nuvola.
Chì avemu oghje ? Ci hè una quantità di documenti chì definiscenu u cuncettu di firma digitale, gestione di documenti elettronichi (EDF), è ancu e lege nantu à a prutezzione di l'infurmazioni è a circulazione di dati. In particulare, avete bisognu di piglià in contu u Codice Civile (Codice Civile di a Federazione Russa), chì regula l'usu di a firma elettronica in documenti.
Legge Federale N ° 63-FZ "In Firma Elettronica" di data 06.04.2011/XNUMX/XNUMX. A lege di basa è quadru chì descrive u significatu generale di l'usu di e firme digitali quandu facenu transazzione di varii tipi è furnisce servizii.
Legge federale n ° 149-FZ "In u 27.07.2006 di lugliu di u XNUMX nantu à l'informazioni, i tecnulugia di l'infurmazione è a prutezzione di l'infurmazioni. Stu documentu specifica u cuncettu di un documentu elettronicu è tutti i segmenti rilativi.
Ci sò atti legislativi supplementari chì sò implicati in a regulazione di l'EDI
Legge federale 402-FZ "In cuntabilità" di u 06.12.2011 di dicembre di u XNUMX. L'attu legislativu prevede a sistematizazione di i requisiti per i ducumenti contabili è contabili in forma elettronica.
Incl. Pudete piglià in contu u Code Procedural Arbitration di a Federazione Russa, chì permette documenti firmati da una firma elettronica cum'è evidenza in tribunale.
È hè quì chì m'hè venutu à sfondate in u prublema di sicurezza, perchè i nostri standard per i mezi di prutezzione di criptu sò furniti da u FSB è assicuranu l'emissione di certificati di cunfurmità. U 18 di ferraghju, sò stati introdotti novi standard GOST. Cusì, e chjave guardate in u nuvulu ùn sò micca direttamente prutetti da i certificati FSTEC. A prutezzione di i chjavi stessi è l'ingressu sicuru in u "nuvulu" sò i punti chì ùn avemu micca risoltu ancu. In seguitu, fighjeraghju l'esempiu di regulazione in l'Unione Europea, chì dimustrarà chjaramente un sistema di sicurezza più avanzatu.
Esperienza europea in l'usu di firme digitali in nuvola
Cuminciamu cù a cosa principale - tecnulugii di nuvola, micca solu e firme digitali anu un standard chjaru. A basa hè u gruppu Cloud Standard Coordination (CSC) di l'Istitutu Europeu di Standards di Telecomunicazioni (ETSI). Tuttavia, ci sò sempre differenze in i normi di prutezzione di dati in diversi paesi.
A basa per a prutezzione cumpleta di dati hè a certificazione obligatoria per i fornituri in cunfurmità cù ISO 27001: 2013 per i sistemi di gestione di a sicurità di l'infurmazioni (a currispundente Russian GOST R ISO / IEC 27001-2006 hè basatu annantu à a versione 2006 di stu standard).
ISO 27017 furnisce elementi di sicurezza supplementari per u nuvulu chì mancanu da ISO 27002. U nome ufficiale cumpletu di sta norma hè "Codice di pratica per i cuntrolli di sicurezza di l'infurmazioni basatu in ISO / IEC 27002 per i servizii di nuvola." ISO / IEC 27002 per i servizii di nuvola. ").
In l'estiu di u 2014, ISO hà publicatu u standard ISO 27018: 2015 nantu à a prutezzione di e dati persunali in u nuvulu, è à a fine di u 2015, ISO 27017: 2015 nantu à i cuntrolli di sicurità di l'infurmazioni per e soluzioni di nuvola.
In u vaghjimu di u 2014, una nova Risoluzione di u Parlamentu Europeu N ° 910/2014, chjamata eIDAS, hè entrata in vigore. I novi reguli permettenu à l'utilizatori di almacenà è aduprà a chjave EPC in u servitore di un prestatore di serviziu di fiducia accreditatu, u chjamatu TSP (Trust Service Provider).
In uttrovi 2013, u Cumitatu Europeu di Standardizazione (CEN) hà aduttatu a specificazione tecnica CEN / TS 419241 "Requisiti di Sicurezza per Sistemi Trustworthy Supporting Server Signing", dedicata à a regulazione di e firme digitali cloud. U documentu descrive parechji livelli di cunfurmità di sicurità. Per esempiu, a conformità di "livellu 2" necessaria per generà una firma elettronica qualificata richiede supportu per l'opzioni d'autentificazione di l'utilizatori forti. Sicondu i requisiti di stu livellu, l'autentificazione di l'utilizatori si trova direttamente nantu à u servitore di firma, in cuntrastu, per esempiu, à l'autentificazione permessa per "livellu 1" in una applicazione chì accede à u servitore di firma in u so propiu nome. Inoltre, in cunfurmità cù sta specificazione, e chjave di a firma di l'utilizatori per generà una firma elettronica qualificata deve esse guardata in a memoria di un dispositivu sicuru specializatu (modulu di sicurezza hardware, HSM).
L'autentificazione di l'utilizatori in un serviziu di nuvola deve esse almenu dui fattori. In regula, l'opzione più accessibile è faciule d'utilizazione hè di cunfirmà u login via un codice ricevutu in un missaghju SMS. Per esempiu, a maiò parte di i cunti persunali RBS di i banche russi sò stati implementati. In più di i tokens criptografici abituali, una applicazione nantu à un smartphone è generatori di password una volta (tokens OTP) pò ancu esse usatu cum'è un mezzu di autentificazione.
Per avà, possu piglià una cunclusione interim in quantu à u fattu chì i CEP di nuvola sò sempre in forma è hè troppu prestu per alluntanassi da u hardware. In principiu, questu hè un prucessu naturali, chì ancu in Europa (oh, grande!) Durà circa 13-14 anni finu à chì sò sviluppati standard più o menu precisi.
Finu à sviluppà i boni standard GOST chì regulanu i nostri servizii di nuvola, hè troppu prestu per parlà di un abbandunamentu cumpletu di soluzioni hardware. Piuttostu, avà, à u cuntrariu, cumincianu à avanzà versu "ibridi", vale à dì, travagliendu ancu cù signature nuvola. Certi esempi chì rispondenu à i normi europei per travaglià cù Cloud sò digià implementati. Ma parlemu di questu in un pocu più detail in un novu materiale.
Source: www.habr.com