Guten Tag, lieber Leser!
Ich verfolge seit einiger Zeit aktiv die Updates und Neuigkeiten des Programms Digitale Wirtschaft. Aus Sicht eines internen Mitarbeiters des EGAIS-Systems natürlich ein jahrzehntelanger Prozess. Und aus Sicht der Entwicklung und aus Sicht des Testens folgen Rollbacks und weitere Implementierungen, gefolgt von der unvermeidlichen und schmerzhaften Behebung aller Arten von Fehlern. Dennoch ist die Angelegenheit notwendig, wichtig und überfällig. Der Hauptkunde und Treiber all dieses Spaßes ist natürlich der Staat. Eigentlich wie überall auf der Welt.
Alle Prozesse sind längst digitalisiert oder auf dem Weg dorthin. Es ist immer noch wunderbar. Zur Unterscheidung gibt es jedoch auch Rückseiten von Medaillen. Ich bin jemand, der ständig mit einer digitalen Signatur arbeitet. Ich bin ein Befürworter vielleicht „von gestern“, aber „altmodischer“ zuverlässiger und Win-Win-Methoden zum Schutz einer elektronischen Signatur mithilfe von Token. Aber die Digitalisierung zeigt uns, dass alles schon lange in den „Wolken“ liegt und auch CEP muss dorthin und braucht es sehr schnell.
Ich habe versucht, bisher auf der Ebene der gesetzlichen und technischen Grundlagen, wo es möglich war, herauszufinden, wie es mit Cloud ES in unserem Land und in Europa steht. Tatsächlich wurde zu diesem Thema bereits mehr als eine wissenschaftliche Dissertation veröffentlicht. Deshalb fordern sie die Profis in dieser Angelegenheit auf, sich an der Entwicklung des Themas zu beteiligen.
Warum ist CEP in der Cloud attraktiv? Tatsächlich gibt es Positives. Diese Pluspunkte reichen aus. Es ist schnell und bequem. Es klingt wie ein Werbeslogan, da werden Sie mir zustimmen, aber das sind die objektiven Merkmale eines cloudbasierten EDS.
Die Geschwindigkeit liegt in der Möglichkeit, Dokumente zu signieren, ohne an Token oder Smartcards gebunden zu sein. Es verpflichtet uns nicht, nur den Desktop zu verwenden. Hundertprozentiger plattformübergreifender Verlauf für jedes Betriebssystem und jeden Browser. Dies gilt insbesondere für Fans von Apple-Produkten, für die es gewisse Schwierigkeiten gibt, ES im MAC-System zu unterstützen. Ausreise von überall auf der Welt, freie Wahl der CA (nicht einmal der russischen). Im Gegensatz zu CEP-Hardware entfällt beim Cloud Computing die Komplexität der Software- und Hardwarekompatibilität. Das ist, ja, praktisch und, ja, schnell.
Und wie kann man sich von solch einer Schönheit nicht verführen lassen? Der Teufel steckt im Detail. Reden wir über Sicherheit.
„Bewölktes“ CEP in Russland
Die Sicherheit von Cloud-Lösungen und insbesondere der digitalen Signatur ist eines der größten Probleme von Sicherheitsleuten. Was mir genau nicht gefällt, wird mich der Leser fragen, denn Cloud-Dienste nutzt jeder schon lange und mit SMS ist eine Banküberweisung noch zuverlässiger.
Eigentlich noch einmal zurück zu den Details. Cloud EDS ist die Zukunft, worüber man kaum streiten kann. Aber nicht jetzt. Dazu müssen regulatorische und rechtliche Änderungen vorgenommen werden, die den Besitzer von Cloud-EDS schützen.
Was haben wir heute? Es gibt eine Reihe von Dokumenten, die das Konzept des ES, des elektronischen Dokumentenmanagements (EDF) sowie Gesetze zum Informationsschutz und zur Datenweitergabe definieren. Insbesondere ist das Bürgerliche Gesetzbuch (Zivilgesetzbuch der Russischen Föderation) zu berücksichtigen, das die Verwendung von ES in Dokumenten regelt.
Bundesgesetz Nr. 63-FZ „Über die elektronische Signatur“ vom 06.04.2011. April XNUMX. Das Haupt- und Rahmengesetz beschreibt die allgemeine Bedeutung der Verwendung elektronischer Signaturen bei Transaktionen unterschiedlicher Art und der Erbringung von Dienstleistungen.
Bundesgesetz Nr. 149-FZ „Über Informationen, Informationstechnologien und Informationsschutz“ vom 27.07.2006. Juli XNUMX. Dieses Dokument spezifiziert das Konzept eines elektronischen Dokuments und aller zugehörigen Segmente.
Es gibt weitere Rechtsakte, die an der Regulierung des EDF beteiligt sind
Bundesgesetz 402-FZ „Über die Rechnungslegung“ vom 06.12.2011. Der Gesetzgebungsakt sieht eine Systematisierung der Anforderungen an Buchhaltungs- und Buchhaltungsunterlagen in elektronischer Form vor.
inkl. Sie können die Schiedsverfahrensordnung der Russischen Föderation berücksichtigen, die von ES unterzeichnete Dokumente als Beweismittel vor Gericht zulässt.
Und hier kam mir die Idee, mich eingehender mit dem Thema Sicherheit zu befassen, denn unsere Standards für Krypto-Schutztools werden vom FSB bereitgestellt und stellen die Ausstellung von Konformitätszertifikaten sicher. Seit dem 18. Februar wurden neue GOSTs eingeführt. Daher sind die in der Cloud gespeicherten Schlüssel nicht direkt durch FSTEC-Zertifikate geschützt. Der Schutz der Schlüssel selbst und der sichere Zugang in die „Cloud“ sind die Eckpfeiler, über die wir uns noch nicht entschieden haben. Als nächstes werde ich ein Beispiel für die Regulierung in der Europäischen Union betrachten, das deutlich ein fortschrittlicheres Sicherheitssystem demonstriert.
Europäische Erfahrung im Einsatz von Cloud ES
Beginnen wir mit der Hauptsache: Cloud-Technologien, nicht nur ES, haben einen klaren Standard. Die Basis der Cloud Standard Coordination (CSC) Group des European Telecommunications Standards Institute (ETSI). Allerdings gibt es zwischen den Ländern immer noch Unterschiede in den Datenschutzstandards.
Grundlage für umfassenden Datenschutz ist die verpflichtende Zertifizierung von Anbietern nach ISO 27001:2013 für Informationssicherheits-Managementsysteme (die entsprechende russische GOST R ISO / IEC 27001-2006 basiert auf der Version 2006 dieser Norm).
ISO 27017 bietet zusätzliche Sicherheitselemente für die Cloud, die nicht in ISO 27002 enthalten sind. Der vollständige offizielle Titel dieser Norm lautet „Verhaltenskodex für Informationssicherheitskontrollen basierend auf ISO/IEC 27002 für Cloud-Dienste“ („Verhaltenskodex für Informationssicherheit“) „Kontrollen basierend auf ISO/IEC 27002 für Cloud-Dienste“).
Im Sommer 2014 veröffentlichte ISO ISO 27018:2015 zum Schutz personenbezogener Daten in der Cloud und Ende 2015 ISO 27017:2015 zu Informationssicherheitskontrollen für Cloud-Lösungen.
Im Herbst 2014 trat die neue Verordnung Nr. 910/2014 des Europäischen Parlaments mit dem Namen eIDAS in Kraft. Die neuen Regeln ermöglichen es Benutzern, den CEP-Schlüssel auf dem Server eines akkreditierten vertrauenswürdigen Diensteanbieters, dem sogenannten TSP (Trust Service Provider), zu speichern und zu verwenden.
Das Europäische Komitee für Normung (CEN) hat im Oktober 2013 die technische Spezifikation CEN/TS 419241 „Sicherheitsanforderungen für vertrauenswürdige Systeme, die Serversignatur unterstützen“ verabschiedet, die sich der Regulierung von Cloud-EDS widmet. Das Dokument beschreibt mehrere Ebenen der Sicherheitskonformität. Um beispielsweise die für die Bildung einer qualifizierten elektronischen Signatur erforderliche „Stufe 2“ zu erfüllen, müssen starke Optionen zur Benutzerauthentifizierung unterstützt werden. Gemäß den Anforderungen dieser Stufe erfolgt die Benutzerauthentifizierung direkt auf dem Signaturserver, im Gegensatz beispielsweise zur Authentifizierung, die für „Ebene 1“ in einer Anwendung zulässig ist, die in eigenem Namen auf den Signaturserver zugreift. Außerdem müssen gemäß dieser Spezifikation Benutzersignaturschlüssel für die Bildung eines qualifizierten ES im Speicher eines spezialisierten sicheren Geräts (Hardware-Sicherheitsmodul, HSM) gespeichert werden.
Die Benutzerauthentifizierung im Cloud-Dienst muss mindestens zweifaktorig sein. Die zugänglichste und benutzerfreundlichste Möglichkeit ist in der Regel die Bestätigung des Eintritts über den in einer SMS-Nachricht erhaltenen Code. So wurden beispielsweise die meisten Privatkonten der RBS russischer Banken implementiert. Als Mittel zur Authentifizierung können neben den üblichen kryptografischen Token auch eine Anwendung auf dem Smartphone und Einmalpasswortgeneratoren (OTP-Tokens) genutzt werden.
Ich kann vorerst ein Zwischenergebnis zusammenfassen, was die Tatsache betrifft, dass in unserem Land immer noch Cloud-CEPs gebildet werden und es zu früh ist, sich vom Eisen zu lösen. Im Prinzip ist das ein natürlicher Prozess, der selbst in Europa (oh, toll!) etwa 13-14 Jahre gedauert hat, bis mehr oder weniger genaue Standards entwickelt wurden.
Solange wir keine guten GOSTs entwickeln, die unsere Cloud-Dienste regulieren, ist es noch zu früh, von einer vollständigen Ablehnung von Hardwarelösungen zu sprechen. Vielmehr werden sie jetzt im Gegenteil dazu übergehen, sich in Richtung „Hybrid“ zu bewegen, also auch mit Cloud-Signaturen zu arbeiten. Einige Beispiele, die den europäischen Standards für die Arbeit mit Cloud entsprechen, wurden bereits umgesetzt. Aber mehr dazu in einem neuen Artikel.
Source: habr.com