Dobré odpoledne, milý čtenáři!
Aktualizace a novinky programu Digitální ekonomika již nějakou dobu aktivně sleduji. Z pohledu interního zaměstnance systému EGAIS samozřejmě proces potrvá desítky let. Jak z pohledu vývoje, tak z pohledu testování, rollbacku a další implementace s následnými nevyhnutelnými a bolestivými úpravami všemožných chyb. Přesto je to záležitost nezbytná, důležitá a naléhavá. Hlavním odběratelem a hybatelem celé té zábavy je samozřejmě stát. Vlastně jako po celém světě.
Všechny procesy se již dávno přesunuly do digitálu nebo jsou na cestě k němu. Tohle je pořád úžasné. Medaile za dokonalost však mají i své stinné stránky. Jsem člověk, který neustále pracuje s digitálními podpisy. Jsem zastáncem možná „včerejších“, ale „staromódních“ spolehlivých a oboustranně výhodných metod ochrany elektronických podpisů pomocí tokenů. Digitalizace nám ale ukazuje, že vše je už dávno v „oblacích“ a CEP je tam také potřeba a potřeba velmi rychle.
Snažil jsem se na úrovni legislativního a technického rámce tam, kde to bylo možné, zjistit, jak je to s cloudovými elektronickými podpisy u nás a v Evropě. Na toto téma totiž již vyšla nejedna vědecká práce. Vyzýváme proto odborníky v této věci, aby se zapojili do rozvoje tématu.
Proč je CEP v cloudu atraktivní? Ve skutečnosti existují výhody. Těch výhod je dost. Je to rychlé a pohodlné. Zní to jako reklamní slogan, budete souhlasit, ale toto jsou objektivní charakteristiky cloudového digitálního podpisu.
Rychlost spočívá ve schopnosti podepisovat dokumenty bez vazby na tokeny nebo čipové karty. Nezavazuje nás používat pouze plochu. Stoprocentní multiplatformní příběh pro jakýkoli operační systém a prohlížeče. To platí zejména pro fanoušky produktů Apple, pro které existují určité potíže s podporou elektronického podpisu v systému MAC. Exit odkudkoli na světě, svoboda volby CA (i neruských). Na rozdíl od hardwaru CEP vám cloudové technologie umožňují vyhnout se potížím s kompatibilitou softwaru a hardwaru. Což je, ano, pohodlné a ano, rychlé.
A jak se nenechat svést takovou krásou? Ďábel je v detailech. Pojďme se bavit o bezpečnosti.
"Cloud" CEP v Rusku
Zabezpečení cloudových řešení, a zejména digitálních podpisů, je jedním z hlavních bolestivých bodů pro bezpečnostní profesionály. Co přesně se mi nelíbí, zeptá se mě čtenář, protože cloudové služby už dávno všichni využívají a u SMS je ještě spolehlivější provést bankovní převod.
Vlastně se opět vraťme k detailům. Cloudový digitální podpis je budoucností, se kterou je těžké polemizovat. Ale ne teď. K tomu musí nastat regulační změny, které ochrání vlastníka cloudových digitálních podpisů.
co máme dnes? Existuje řada dokumentů definujících pojem digitální podpis, elektronická správa dokumentů (EDF), ale i zákony o ochraně informací a oběhu dat. Zejména je třeba vzít v úvahu občanský zákoník (občanský zákoník Ruské federace), který upravuje používání elektronického podpisu v dokumentech.
Federální zákon č. 63-FZ „O elektronických podpisech“ ze dne 06.04.2011. Základní a rámcový zákon, který popisuje obecný význam používání digitálních podpisů při provádění transakcí různých typů a poskytování služeb.
Federální zákon č. 149-FZ „O informacích, informačních technologiích a ochraně informací ze dne 27.07.2006. července XNUMX. Tento dokument specifikuje pojem elektronického dokumentu a všechny související segmenty.
Na regulaci EDI se podílejí další legislativní akty
Federální zákon 402-FZ „O účetnictví“ ze dne 06.12.2011. prosince XNUMX. Legislativní akt upravuje systematizaci požadavků na účetnictví a účetní doklady v elektronické podobě.
Vč. Můžete vzít v úvahu Rozhodčí řád Ruské federace, který jako důkaz u soudu umožňuje dokumenty podepsané elektronickým podpisem.
A právě zde mě napadlo ponořit se hlouběji do problematiky bezpečnosti, protože naše standardy pro kryptoochranné prostředky poskytuje FSB a zajišťují vydávání certifikátů shody. 18. února byly zavedeny nové normy GOST. Klíče uložené v cloudu tedy nejsou přímo chráněny certifikáty FSTEC. Ochrana samotných klíčů a bezpečný vstup do „cloudu“ jsou základní kameny, které zatím nemáme vyřešené. Dále se podívám na příklad regulace v Evropské unii, která jasně ukáže pokročilejší bezpečnostní systém.
Evropské zkušenosti s používáním cloudových digitálních podpisů
Začněme tím hlavním – cloudové technologie, nejen digitální podpisy mají jasný standard. Základem je skupina Cloud Standard Coordination (CSC) Evropského institutu pro telekomunikační standardy (ETSI). V různých zemích však stále existují rozdíly ve standardech ochrany údajů.
Základem komplexní ochrany dat je povinná certifikace pro poskytovatele dle ISO 27001:2013 pro systémy řízení bezpečnosti informací (odpovídající ruská GOST R ISO/IEC 27001-2006 vychází z verze této normy z roku 2006).
ISO 27017 poskytuje další bezpečnostní prvky pro cloud, které v ISO 27002 chybí. Úplný oficiální název této normy je „Code of practice for information security control based on ISO/IEC 27002 for cloud services.“ ISO/IEC 27002 for cloud services ").
V létě 2014 vydala ISO normu ISO 27018:2015 o ochraně osobních údajů v cloudu a koncem roku 2015 ISO 27017:2015 o kontrolách zabezpečení informací pro cloudová řešení.
Na podzim roku 2014 vstoupilo v platnost nové usnesení Evropského parlamentu č. 910/2014 s názvem eIDAS. Nová pravidla umožňují uživatelům ukládat a používat EPC klíč na serveru akreditovaného důvěryhodného poskytovatele služeb, tzv. TSP (Trust Service Provider).
V říjnu 2013 přijal Evropský výbor pro normalizaci (CEN) technickou specifikaci CEN/TS 419241 „Požadavky na zabezpečení pro důvěryhodné systémy podporující podepisování serverů“, věnovanou regulaci cloudových digitálních podpisů. Dokument popisuje několik úrovní shody se zabezpečením. Například shoda „úrovně 2“ požadovaná pro generování kvalifikovaného elektronického podpisu vyžaduje podporu pro silné možnosti autentizace uživatele. Podle požadavků této úrovně dochází k autentizaci uživatele přímo na podpisovém serveru, na rozdíl například od autentizace povolené pro „úroveň 1“ v aplikaci, která přistupuje k podpisovému serveru svým vlastním jménem. Také v souladu s touto specifikací musí být uživatelské podpisové klíče pro generování kvalifikovaného elektronického podpisu uloženy v paměti specializovaného zabezpečeného zařízení (hardwarový bezpečnostní modul, HSM).
Ověření uživatele v cloudové službě musí být alespoň dvoufaktorové. Nejdostupnější a nejsnadněji použitelnou možností je zpravidla potvrzení přihlášení pomocí kódu obdrženého v SMS zprávě. Například byla implementována většina osobních účtů RBS ruských bank. Kromě běžných kryptografických tokenů lze jako prostředek autentizace použít také aplikaci na chytrém telefonu a generátory jednorázových hesel (OTP tokeny).
Prozatím mohu vyvodit prozatímní závěr ohledně skutečnosti, že cloudové CEP se teprve tvoří a je příliš brzy na to, abychom se vzdali hardwaru. V zásadě jde o přirozený proces, který i v Evropě (ach, paráda!) trval asi 13-14 let, než byly vyvinuty více či méně přesné normy.
Dokud nevyvineme dobré standardy GOST regulující naše cloudové služby, je příliš brzy mluvit o úplném opuštění hardwarových řešení. Spíše se nyní naopak začnou ubírat směrem k „hybridům“, tedy pracovat i s cloudovými podpisy. Některé příklady, které splňují evropské standardy pro práci s Cloudem, již byly implementovány. Ale o tom si povíme trochu podrobněji v novém materiálu.
Zdroj: www.habr.com