Καλησπέρα αγαπητέ αναγνώστη!
Παρακολουθώ ενεργά τις ενημερώσεις και τα νέα του προγράμματος Ψηφιακή Οικονομία εδώ και αρκετό καιρό. Από πλευράς εσωτερικού υπαλλήλου του συστήματος ΕΓΑΗΣ, βέβαια, η διαδικασία θα κρατήσει δεκαετίες. Τόσο από την άποψη της ανάπτυξης, όσο και από την άποψη της δοκιμής, της επαναφοράς και της περαιτέρω υλοποίησης, ακολουθούμενες από αναπόφευκτες και επίπονες προσαρμογές όλων των ειδών σφαλμάτων. Ωστόσο, το θέμα είναι απαραίτητο, σημαντικό και επείγον. Βασικός πελάτης και μοχλός όλης αυτής της διασκέδασης είναι φυσικά το κράτος. Στην πραγματικότητα, όπως και σε όλο τον κόσμο.
Όλες οι διαδικασίες έχουν περάσει από καιρό στην ψηφιακή ή βρίσκονται στο δρόμο προς αυτήν. Αυτό είναι ακόμα υπέροχο. Ωστόσο, υπάρχουν μειονεκτήματα στα μετάλλια για την αριστεία. Είμαι άνθρωπος που δουλεύω συνεχώς με ψηφιακές υπογραφές. Είμαι υποστηρικτής των ίσως «χθες», αλλά «παλιομοδίτικων» αξιόπιστων και κερδοφόρων μεθόδων προστασίας των ηλεκτρονικών υπογραφών με χρήση κουπόνι. Αλλά η ψηφιοποίηση μας δείχνει ότι όλα ήταν στα «σύννεφα» εδώ και πολύ καιρό και ότι το CEP χρειάζεται επίσης εκεί και χρειάζεται πολύ γρήγορα.
Προσπάθησα να καταλάβω, στο επίπεδο του νομοθετικού και τεχνικού πλαισίου, όπου ήταν δυνατόν, πώς έχουν τα πράγματα με τις ηλεκτρονικές υπογραφές cloud εδώ και στην Ευρώπη. Μάλιστα, έχουν ήδη δημοσιευτεί περισσότερες από μία επιστημονικές διατριβές για το θέμα αυτό. Ως εκ τούτου, ενθαρρύνουμε τους επαγγελματίες σε αυτό το θέμα να συμμετάσχουν στην ανάπτυξη του θέματος.
Γιατί το CEP στο cloud είναι ελκυστικό; Στην πραγματικότητα, υπάρχουν πλεονεκτήματα. Υπάρχουν αρκετά από αυτά τα πλεονεκτήματα. Είναι γρήγορο και βολικό. Ακούγεται σαν διαφημιστικό σλόγκαν, θα συμφωνήσετε, αλλά αυτά είναι τα αντικειμενικά χαρακτηριστικά μιας ψηφιακής υπογραφής cloud.
Η ταχύτητα έγκειται στη δυνατότητα υπογραφής εγγράφων χωρίς να συνδέεται με μάρκες ή έξυπνες κάρτες. Δεν μας υποχρεώνει να χρησιμοποιούμε μόνο την επιφάνεια εργασίας. Εκατό τοις εκατό ιστορία πολλαπλών πλατφορμών για οποιοδήποτε λειτουργικό σύστημα και προγράμματα περιήγησης. Αυτό ισχύει ιδιαίτερα για τους λάτρεις των προϊόντων της Apple, για τους οποίους υπάρχουν ορισμένες δυσκολίες στην υποστήριξη ηλεκτρονικών υπογραφών στο σύστημα MAC. Έξοδος από οπουδήποτε στον κόσμο, ελευθερία επιλογής ΑΠ (ακόμη και μη ρωσικών). Σε αντίθεση με το υλικό CEP, οι τεχνολογίες cloud σάς επιτρέπουν να αποφύγετε δυσκολίες με τη συμβατότητα λογισμικού και υλικού. Το οποίο, ναι, είναι βολικό και, ναι, γρήγορο.
Και πώς να μην παρασυρθεί κανείς από τέτοια ομορφιά; Ο διάβολος βρίσκεται στις λεπτομέρειες. Ας μιλήσουμε για την ασφάλεια.
"Cloud" CEP στη Ρωσία
Η ασφάλεια των λύσεων cloud, και ιδιαίτερα των ψηφιακών υπογραφών, είναι ένα από τα βασικά σημεία πόνου για τους επαγγελματίες ασφαλείας. Τι ακριβώς δεν μου αρέσει, θα με ρωτήσει ο αναγνώστης, γιατί όλοι χρησιμοποιούν υπηρεσίες cloud εδώ και πολύ καιρό και με SMS είναι ακόμα πιο αξιόπιστο να κάνετε τραπεζική μεταφορά.
Στην πραγματικότητα, και πάλι, ας επιστρέψουμε στις λεπτομέρειες. Η ψηφιακή υπογραφή στο cloud είναι ένα μέλλον που είναι δύσκολο να διαφωνήσει κανείς. Αλλά όχι τώρα. Για να γίνει αυτό, πρέπει να συμβούν ρυθμιστικές αλλαγές που θα προστατεύουν τον κάτοχο των ψηφιακών υπογραφών cloud.
Τι έχουμε σήμερα; Υπάρχει μια σειρά εγγράφων που ορίζουν την έννοια της ψηφιακής υπογραφής, τη διαχείριση ηλεκτρονικών εγγράφων (EDF), καθώς και νόμους για την προστασία των πληροφοριών και την κυκλοφορία δεδομένων. Ειδικότερα, πρέπει να λάβετε υπόψη τον Αστικό Κώδικα (Αστικός Κώδικας της Ρωσικής Ομοσπονδίας), ο οποίος ρυθμίζει τη χρήση ηλεκτρονικών υπογραφών σε έγγραφα.
Ομοσπονδιακός νόμος αριθ. 63-FZ «Περί ηλεκτρονικών υπογραφών» της 06.04.2011/XNUMX/XNUMX. Ο βασικός και νόμος πλαίσιο που περιγράφει τη γενική έννοια της χρήσης ψηφιακών υπογραφών κατά την πραγματοποίηση συναλλαγών διαφόρων τύπων και την παροχή υπηρεσιών.
Ομοσπονδιακός νόμος αριθ. 149-FZ «Για τις πληροφορίες, τις τεχνολογίες των πληροφοριών και την προστασία των πληροφοριών, της 27.07.2006ης Ιουλίου XNUMX. Αυτό το έγγραφο καθορίζει την έννοια ενός ηλεκτρονικού εγγράφου και όλα τα σχετικά τμήματα.
Υπάρχουν πρόσθετες νομοθετικές πράξεις που εμπλέκονται στη ρύθμιση του EDI
Ομοσπονδιακός νόμος 402-FZ «Σχετικά με τη Λογιστική» της 06.12.2011ης Δεκεμβρίου XNUMX. Η νομοθετική πράξη προβλέπει τη συστηματοποίηση των απαιτήσεων για λογιστικά και λογιστικά έγγραφα σε ηλεκτρονική μορφή.
Συμπ. Μπορείτε να λάβετε υπόψη τον Κώδικα Διαιτησίας της Ρωσικής Ομοσπονδίας, ο οποίος επιτρέπει έγγραφα υπογεγραμμένα με ηλεκτρονική υπογραφή ως αποδεικτικά στοιχεία στο δικαστήριο.
Και εδώ ήταν που σκέφτηκα να εμβαθύνω στο θέμα της ασφάλειας, επειδή τα πρότυπά μας για τα μέσα κρυπτοπροστασίας παρέχονται από το FSB και διασφαλίζουν την έκδοση πιστοποιητικών συμμόρφωσης. Στις 18 Φεβρουαρίου εισήχθησαν νέα πρότυπα GOST. Έτσι, τα κλειδιά που είναι αποθηκευμένα στο cloud δεν προστατεύονται άμεσα από πιστοποιητικά FSTEC. Η προστασία των ίδιων των κλειδιών και η ασφαλής είσοδος στο «σύννεφο» είναι οι ακρογωνιαίοι λίθοι που δεν έχουμε ακόμη λύσει. Στη συνέχεια, θα εξετάσω το παράδειγμα της ρύθμισης στην Ευρωπαϊκή Ένωση, η οποία θα δείξει σαφώς ένα πιο προηγμένο σύστημα ασφαλείας.
Ευρωπαϊκή εμπειρία στη χρήση ψηφιακών υπογραφών cloud
Ας ξεκινήσουμε με το κύριο πράγμα - οι τεχνολογίες cloud, όχι μόνο οι ψηφιακές υπογραφές έχουν ένα σαφές πρότυπο. Η βάση είναι η ομάδα Cloud Standard Coordination (CSC) του Ευρωπαϊκού Ινστιτούτου Τηλεπικοινωνιακών Προτύπων (ETSI). Ωστόσο, εξακολουθούν να υπάρχουν διαφορές στα πρότυπα προστασίας δεδομένων μεταξύ διαφορετικών χωρών.
Η βάση για ολοκληρωμένη προστασία δεδομένων είναι η υποχρεωτική πιστοποίηση για τους παρόχους σύμφωνα με το ISO 27001:2013 για συστήματα διαχείρισης ασφάλειας πληροφοριών (το αντίστοιχο ρωσικό GOST R ISO/IEC 27001-2006 βασίζεται στην έκδοση του 2006 αυτού του προτύπου).
Το ISO 27017 παρέχει πρόσθετα στοιχεία ασφαλείας για το cloud που λείπουν από το ISO 27002. Η πλήρης επίσημη ονομασία αυτού του προτύπου είναι "Κώδικας πρακτικής για ελέγχους ασφάλειας πληροφοριών βάσει του ISO/IEC 27002 για υπηρεσίες cloud." ISO/IEC 27002 για υπηρεσίες cloud ").
Το καλοκαίρι του 2014, ο ISO δημοσίευσε το πρότυπο ISO 27018:2015 για την προστασία των προσωπικών δεδομένων στο cloud και στα τέλη του 2015 το ISO 27017:2015 για τους ελέγχους ασφάλειας πληροφοριών για λύσεις cloud.
Το φθινόπωρο του 2014, τέθηκε σε ισχύ ένα νέο Ψήφισμα του Ευρωπαϊκού Κοινοβουλίου με αριθμό 910/2014, που ονομάζεται eIDAS. Οι νέοι κανόνες επιτρέπουν στους χρήστες να αποθηκεύουν και να χρησιμοποιούν το κλειδί EPC στον διακομιστή ενός διαπιστευμένου αξιόπιστου παρόχου υπηρεσιών, του λεγόμενου TSP (Trust Service Provider).
Τον Οκτώβριο του 2013, η Ευρωπαϊκή Επιτροπή Τυποποίησης (CEN) υιοθέτησε την τεχνική προδιαγραφή CEN/TS 419241 «Απαιτήσεις ασφαλείας για αξιόπιστα συστήματα που υποστηρίζουν την υπογραφή διακομιστή», αφιερωμένη στη ρύθμιση των ψηφιακών υπογραφών cloud. Το έγγραφο περιγράφει διάφορα επίπεδα συμμόρφωσης με την ασφάλεια. Για παράδειγμα, η συμμόρφωση «επίπεδο 2» που απαιτείται για τη δημιουργία κατάλληλης ηλεκτρονικής υπογραφής απαιτεί υποστήριξη για ισχυρές επιλογές ελέγχου ταυτότητας χρήστη. Σύμφωνα με τις απαιτήσεις αυτού του επιπέδου, ο έλεγχος ταυτότητας χρήστη πραγματοποιείται απευθείας στον διακομιστή υπογραφής, σε αντίθεση, για παράδειγμα, με τον έλεγχο ταυτότητας που επιτρέπεται για το "επίπεδο 1" σε μια εφαρμογή που έχει πρόσβαση στον διακομιστή υπογραφών για λογαριασμό της. Επίσης, σύμφωνα με αυτήν την προδιαγραφή, τα κλειδιά υπογραφής χρήστη για τη δημιουργία ειδικής ηλεκτρονικής υπογραφής πρέπει να αποθηκεύονται στη μνήμη μιας εξειδικευμένης ασφαλούς συσκευής (μονάδα ασφαλείας υλικού, HSM).
Ο έλεγχος ταυτότητας χρήστη σε μια υπηρεσία cloud πρέπει να είναι τουλάχιστον δύο παραγόντων. Κατά κανόνα, η πιο προσιτή και εύχρηστη επιλογή είναι η επιβεβαίωση της σύνδεσης μέσω ενός κωδικού που λαμβάνεται σε ένα μήνυμα SMS. Για παράδειγμα, οι περισσότεροι από τους προσωπικούς λογαριασμούς RBS των ρωσικών τραπεζών έχουν εφαρμοστεί. Εκτός από τα συνηθισμένα κρυπτογραφικά διακριτικά, μια εφαρμογή σε smartphone και οι γεννήτριες κωδικών πρόσβασης μίας χρήσης (OTP tokens) μπορούν επίσης να χρησιμοποιηθούν ως μέσο ελέγχου ταυτότητας.
Προς το παρόν, μπορώ να καταλήξω σε ένα ενδιάμεσο συμπέρασμα σχετικά με το γεγονός ότι οι CEPs του cloud είναι ακόμα στη δημιουργία και είναι πολύ νωρίς για να απομακρυνθούμε από το υλικό. Κατ' αρχήν, αυτή είναι μια φυσική διαδικασία, η οποία ακόμη και στην Ευρώπη (α, υπέροχα!) κράτησε περίπου 13-14 χρόνια μέχρι να αναπτυχθούν λίγο πολύ ακριβή πρότυπα.
Μέχρι να αναπτύξουμε καλά πρότυπα GOST που ρυθμίζουν τις υπηρεσίες cloud μας, είναι πολύ νωρίς για να μιλήσουμε για πλήρη εγκατάλειψη λύσεων υλικού. Αντίθετα, τώρα, αντίθετα, θα αρχίσουν να κινούνται προς τα «υβρίδια», δηλαδή να δουλεύουν και με υπογραφές cloud. Ορισμένα παραδείγματα που πληρούν τα ευρωπαϊκά πρότυπα για την εργασία με το Cloud έχουν ήδη εφαρμοστεί. Αλλά θα μιλήσουμε για αυτό με λίγο περισσότερες λεπτομέρειες σε ένα νέο υλικό.
Πηγή: www.habr.com