God eftermiddag, kære læser!
Jeg har aktivt fulgt opdateringer og nyheder om programmet Digital Økonomi i nogen tid. Fra synspunkt af en intern medarbejder i EGAIS-systemet, selvfølgelig en proces i årtier. Og fra et udviklingssynspunkt og fra et testsynspunkt, rollbacks og yderligere implementering, efterfulgt af de uundgåelige og smertefulde justeringer af alle slags fejl. Ikke desto mindre er sagen nødvendig, vigtig og forsinket. Hovedkunden og driveren af alt dette sjov er selvfølgelig staten. Faktisk som i hele verden.
Alle processer er for længst strømmet ind i det digitale eller på vej dertil. Det er stadig vidunderligt. Der er dog også bagsider af medaljer til udmærkelse. Jeg er en person, der konstant arbejder med en digital signatur. Jeg er tilhænger af måske "i går", men "gammeldags" pålidelige og win-win metoder til at beskytte en elektronisk signatur ved hjælp af tokens. Men digitaliseringen viser os, at alt har været i "skyerne" i lang tid, og CEP skal også dertil og har brug for det meget hurtigt.
Jeg forsøgte at finde ud af, indtil videre på det lovgivningsmæssige og tekniske grundlag, hvor det var muligt, hvordan tingene er med cloud ES i vores land og i Europa. Faktisk er der allerede udgivet mere end én videnskabelig afhandling om dette emne. Derfor opfordrer de de professionelle i denne sag til at koble sig på udviklingen af emnet.
Hvorfor er CEP i skyen attraktiv? Faktisk er der positive sider. Disse plusser er nok. Det er hurtigt og bekvemt. Det lyder som et reklameslogan, du vil være enig, men disse er de objektive karakteristika ved en cloud-baseret EDS.
Hastigheden ligger i muligheden for at underskrive dokumenter uden at være bundet til tokens eller smart cards. Det forpligter os ikke til kun at bruge skrivebordet. Hundrede procent historie på tværs af platforme for ethvert operativsystem og browsere. Dette gælder især for fans af Apple-produkter, for hvem der er visse vanskeligheder med at understøtte ES i MAC-systemet. Udgang fra hvor som helst i verden, frihed til at vælge CA (ikke engang russiske). I modsætning til CEP-hardware undgår cloud computing kompleksiteten af software- og hardwarekompatibilitet. Hvilket er, ja, praktisk, og ja, hurtigt.
Og hvordan kan man ikke blive fristet af sådan en skønhed? Djævelen er i detaljerne. Lad os tale om sikkerhed.
"Overskyet" CEP i Rusland
Sikkerheden i cloud-løsninger, og i særdeleshed den digitale signatur, er en af sikkerhedsfolks største problemer. Hvad jeg præcis ikke kan lide, vil læseren spørge mig, for alle har brugt cloud-tjenester i lang tid, og med SMS er det endnu mere pålideligt at foretage en bankoverførsel.
Faktisk igen, tilbage til detaljerne. Cloud EDS er fremtiden, hvilket er svært at argumentere med. Men ikke nu. For at gøre dette skal der være lovgivningsmæssige og juridiske ændringer, der vil beskytte ejeren af cloud EDS.
Hvad har vi i dag? Der er en række dokumenter, der definerer begrebet ES, elektronisk dokumenthåndtering (EDF), samt love om informationsbeskyttelse og datacirkulation. Især er det nødvendigt at tage højde for civilloven (den russiske føderations civile lovbog), som regulerer brugen af ES i dokumenter.
Føderal lov nr. 63-FZ "On Electronic Signature" dateret 06.04.2011. april XNUMX. Hoved- og rammeloven, der beskriver den generelle betydning af brugen af elektroniske signaturer i transaktioner af forskellig art og levering af tjenesteydelser.
Føderal lov nr. 149-FZ "om information, informationsteknologi og informationsbeskyttelse" dateret 27.07.2006. juli XNUMX. Dette dokument specificerer konceptet for et elektronisk dokument og alle relaterede segmenter.
Der er yderligere retsakter, der er involveret i reguleringen af EDF
Føderal lov 402-FZ "On Accounting" dateret 06.12.2011. Lovgivningen giver mulighed for systematisering af krav til regnskabs- og regnskabsdokumenter i elektronisk form.
Inkl. du kan tage højde for voldgiftsproceduren i Den Russiske Føderation, som tillader dokumenter underskrevet af ES som bevis i retten.
Og det var her, det faldt mig ind at grave dybere ned i spørgsmålet om sikkerhed, fordi vores standarder for kryptobeskyttelsesværktøjer leveres af FSB og sikrer udstedelse af overensstemmelsescertifikater. Siden 18. februar er nye GOST'er blevet introduceret. Nøglerne gemt i skyen er således ikke direkte beskyttet af FSTEC-certifikater. Beskyttelsen af selve nøglerne og sikker adgang til "skyen" er hjørnestenene, som vi endnu ikke har taget stilling til. Dernæst vil jeg overveje et eksempel på regulering i EU, som klart vil demonstrere et mere avanceret sikkerhedssystem.
Europæisk erfaring med brug af cloud ES
Lad os starte med det vigtigste - skyteknologier, ikke kun ES, har en klar standard. Grundlaget for Cloud Standard Coordination (CSC)-gruppen under European Telecommunications Standards Institute (ETSI). Der er dog stadig forskelle i databeskyttelsesstandarder på tværs af lande.
Grundlaget for omfattende databeskyttelse er obligatorisk certificering for udbydere i henhold til ISO 27001:2013 for informationssikkerhedsstyringssystemer (den tilsvarende russiske GOST R ISO / IEC 27001-2006 er baseret på 2006-versionen af denne standard).
ISO 27017 giver yderligere sikkerhedselementer til skyen, som ikke er i ISO 27002. Den fulde officielle titel på denne standard er "Code of practice for informationssikkerhedskontrol baseret på ISO/IEC 27002 for cloud services" ("Code of practice for informationssikkerhed" kontroller baseret på ISO/IEC 27002 for cloud-tjenester").
I sommeren 2014 udgav ISO ISO 27018:2015 om beskyttelse af persondata i skyen og i slutningen af 2015 ISO 27017:2015 om informationssikkerhedskontrol til cloud-løsninger.
I efteråret 2014 trådte den nye Europa-Parlamentets forordning nr. 910/2014, kaldet eIDAS, i kraft. De nye regler giver brugerne mulighed for at gemme og bruge CEP-nøglen på serveren hos en akkrediteret betroet tjenesteudbyder, den såkaldte TSP (Trust Service Provider).
Den Europæiske Standardiseringskomité (CEN) vedtog i oktober 2013 den tekniske specifikation CEN / TS 419241 "Sikkerhedskrav for pålidelige systemer, der understøtter serversignering", dedikeret til reguleringen af cloud EDS. Dokumentet beskriver flere niveauer af sikkerhedsoverholdelse. For eksempel, at overholde "niveau 2", der kræves for dannelsen af en kvalificeret elektronisk signatur, er at understøtte stærke muligheder for brugergodkendelse. I henhold til kravene på dette niveau sker brugergodkendelse direkte på signaturserveren i modsætning til for eksempel godkendelsen tilladt for "niveau 1" i en applikation, der på egne vegne tilgår signaturserveren. I overensstemmelse med denne specifikation skal brugersignaturnøgler til dannelse af en kvalificeret ES også lagres i hukommelsen på en specialiseret sikker enhed (hardwaresikkerhedsmodul, HSM).
Brugergodkendelse i skytjenesten skal være mindst to-faktor. Som regel er den mest tilgængelige og letanvendelige mulighed at bekræfte indtastning via koden modtaget i en SMS-besked. Så for eksempel er de fleste af de personlige konti i RBS i russiske banker blevet implementeret. Ud over de sædvanlige kryptografiske tokens kan en applikation på en smartphone og engangskodeordsgeneratorer (OTP-tokens) også bruges som et middel til autentificering.
Jeg kan foreløbig opsummere et mellemresultat vedrørende det faktum, at der stadig dannes cloud-CEP'er i vores land, og det er for tidligt at gå væk fra jern. I princippet er dette en naturlig proces, som selv i Europa (åh, fantastisk!) varede omkring 13-14 år, indtil mere eller mindre nøjagtige standarder blev udviklet.
Indtil vi udvikler gode GOST'er, der regulerer vores cloud-tjenester, er det for tidligt at tale om en fuldstændig afvisning af hardwareløsninger. Tværtimod vil de nu tværtimod begynde at bevæge sig mod "hybrider", det vil sige også arbejde med skysignaturer. Nogle eksempler, der svarer til europæiske standarder for arbejde med Cloud, er allerede implementeret. Men mere om dette i en ny artikel.
Kilde: www.habr.com