Bonan posttagmezon, kara leganto!
Mi aktive sekvas la ĝisdatigojn kaj novaĵojn de la programo Cifereca Ekonomio de kelka tempo. El la vidpunkto de interna oficisto de la sistemo EGAIS, kompreneble, procezo dum jardekoj. Kaj el la vidpunkto de evoluo, kaj el la vidpunkto de testado, retrovoj kaj plua efektivigo, sekvas la neeviteblaj kaj doloraj alĝustigoj de ĉiaj cimoj. Tamen, la afero estas necesa, grava kaj posttempa. La ĉefa kliento kaj ŝoforo de ĉio ĉi amuzo, kompreneble, estas la ŝtato. Fakte, kiel ĉie en la mondo.
Ĉiuj procezoj longe fluis en ciferecan aŭ survoje al ĝi. Ĝi estas ankoraŭ mirinda. Tamen, ekzistas ankaŭ dorsflankoj de medaloj por distingo. Mi estas homo, kiu konstante laboras kun cifereca subskribo. Mi estas subtenanto de eble "hieraŭ", sed "malmodernaj" fidindaj kaj gajnaj metodoj por protekti elektronikan subskribon per ĵetonoj. Sed ciferecigo montras al ni, ke ĉio estas en la "nuboj" dum longa tempo kaj CEP ankaŭ bezonas iri tien kaj bezonas ĝin tre rapide.
Mi provis eltrovi, ĝis nun je la nivelo de la leĝdona kaj teknika bazo, kie eblis, kiel aferoj estas kun nubo ES en nia lando kaj en Eŭropo. Fakte, pli ol unu scienca disertacio jam estis publikigita pri ĉi tiu temo. Sekve, ili alvokas la profesiulojn en ĉi tiu afero konekti al la evoluo de la temo.
Kial CEP en la nubo estas alloga? Fakte, estas pozitivaj. Ĉi tiuj plusoj sufiĉas. Ĝi estas rapida kaj oportuna. Ĝi sonas kiel reklama slogano, vi konsentos, sed ĉi tiuj estas la objektivaj trajtoj de nubo-bazita EDS.
La rapideco kuŝas en la kapablo subskribi dokumentojn sen esti ligita al ĵetonoj aŭ inteligentaj kartoj. Ĝi ne devigas nin uzi nur la labortablon. Cent-procenta transplatforma historio por ajna OS kaj retumiloj. Ĉi tio validas precipe por ŝatantoj de Apple-produktoj, por kiuj estas certaj malfacilaĵoj por subteni ES en la MAC-sistemo. Eliro el ie ajn en la mondo, libereco de elekto de CA (eĉ ne rusaj). Male al CEP-aparataro, nuba komputado evitas la kompleksecon de programaro kaj hardvarkongruo. Kiu estas, jes, oportuna, kaj, jes, rapida.
Kaj kiel oni ne povas esti tentata de tia beleco? La diablo estas en la detaloj. Ni parolu pri sekureco.
"Nuba" CEP en Rusio
La sekureco de nubaj solvoj, kaj precipe la cifereca subskribo, estas unu el la ĉefaj doloroj de sekurecaj homoj. Kion ĝuste mi ne ŝatas, la leganto demandos min, ĉar ĉiuj jam delonge uzas nubajn servojn, kaj per SMS estas eĉ pli fidinda fari banktranspagon.
Fakte, denove, reen al la detaloj. Cloud EDS estas la estonteco, pri kiu malfacilas diskuti. Sed ne nun. Por fari tion, devas esti reguligaj kaj leĝaj ŝanĝoj, kiuj protektos la posedanton de nubo EDS.
Kion ni havas hodiaŭ? Estas kelkaj dokumentoj, kiuj difinas la koncepton de ES, elektronika dokumenta administrado (EDF), kaj ankaŭ leĝoj pri informa protekto kaj datumcirkulado. Precipe necesas konsideri la Civilan Kodon (Civila Kodo de Rusa Federacio), kiu reguligas la uzadon de ES en dokumentoj.
Federacia Leĝo n-ro 63-FZ "Pri Elektronika Subskribo" datita la 06.04.2011-an de aprilo XNUMX. La ĉefa kaj kadra leĝo priskribanta la ĝeneralan signifon de la uzo de elektronikaj subskriboj en transakcioj de diversaj naturo kaj la liverado de servoj.
Federacia Leĝo n-ro 149-FZ "Pri Informoj, Informaj Teknologioj kaj Informa Protekto" datita la 27.07.2006-an de julio XNUMX. Ĉi tiu dokumento precizigas la koncepton de elektronika dokumento kaj ĉiujn rilatajn segmentojn.
Ekzistas kromaj leĝdonaj aktoj kiuj estas implikitaj en la reguligo de EDF
Federacia Leĝo 402-FZ "Pri Kontado" datita 06.12.2011. La leĝdona akto antaŭvidas la sistemigon de postuloj por kontadaj kaj kontadaj dokumentoj en elektronika formo.
Inkl. vi povas konsideri la Arbitracian Proceduran Kodon de Rusa Federacio, kiu permesas dokumentojn subskribitajn de ES kiel pruvon en tribunalo.
Kaj estis ĉi tie, ke mi venis en la kapon profundigi la aferon de sekureco, ĉar niaj normoj por kriptaj protektaj iloj estas provizitaj de la FSB kaj certigas la emision de atestiloj pri konformeco. Ekde la 18-a de februaro, novaj GOST-oj estis enkondukitaj. Tiel, la ŝlosiloj stokitaj en la nubo ne estas rekte protektitaj per FSTEC-atestiloj. La protekto de la ŝlosiloj mem kaj sekura eniro en la "nubon" estas la bazŝtonoj, pri kiuj ni ankoraŭ ne decidis. Poste, mi konsideros ekzemplon de reguligo en Eŭropa Unio, kiu klare pruvos pli altnivelan sekurecan sistemon.
Eŭropa sperto pri la uzo de nubo ES
Ni komencu per la ĉefa afero - nubaj teknologioj, ne nur ES, havas klaran normon. La bazo de la Cloud Standard Coordination (CSC) Grupo de la European Telecommunications Standards Institute (ETSI). Tamen, ekzistas ankoraŭ diferencoj en datumprotektaj normoj trans landoj.
La bazo por ampleksa datumprotekto estas deviga atesto por provizantoj laŭ ISO 27001:2013 por informaj sekurecaj mastrumaj sistemoj (la responda rusa GOST R ISO / IEC 27001-2006 baziĝas sur la versio de 2006 de ĉi tiu normo).
ISO 27017 disponigas kromajn sekurecajn elementojn por la nubo kiuj ne estas en ISO 27002. La plena oficiala titolo de ĉi tiu normo estas "Kodo de praktiko por kontroloj pri informa sekureco bazita sur ISO/IEC 27002 por nubaj servoj" ("Kodo de praktiko por informa sekureco kontroloj bazitaj sur ISO/IEC 27002 por nubaj servoj").
En la somero de 2014, ISO publikigis ISO 27018:2015 pri la protekto de personaj datumoj en la nubo, kaj fine de 2015, ISO 27017:2015 pri informsekurecaj kontroloj por nubaj solvoj.
Aŭtune de 2014 ekvalidis la nova Regularo n-ro 910/2014 de la Eŭropa Parlamento, nomata eIDAS. La novaj reguloj permesas al uzantoj stoki kaj uzi la CEP-ŝlosilon sur la servilo de akreditita fidinda servoprovizanto, la tielnomita TSP (Trust Service Provider).
La Eŭropa Komitato por Normigado (CEN) en oktobro 2013 adoptis la teknikan specifon CEN / TS 419241 "Sekurecajn Postulojn por Fidindaj Sistemoj Subtenantaj Servila Subskribo", dediĉita al la reguligo de nubo EDS. La dokumento priskribas plurajn nivelojn de sekureca konformeco. Ekzemple, plenumi la "nivelon 2" postulatan por la formado de kvalifikita elektronika subskribo, estas subteni fortajn eblojn por uzantaŭtentigo. Laŭ la postuloj de ĉi tiu nivelo, uzantaŭtentigo okazas rekte sur la subskriboservilo, kontraste, ekzemple, al la aŭtentigo permesita por "nivelo 1" en aplikaĵo kiu, memstare, aliras la subskriboservilon. Ankaŭ, laŭ ĉi tiu specifo, uzantsignalŝlosiloj por la formado de kvalifikita ES devas esti konservitaj en la memoro de specialeca sekura aparato (hardvara sekurecmodulo, HSM).
Uzanto-aŭtentigo en la nuba servo devas esti almenaŭ dufaktora. Kiel regulo, la plej alirebla kaj facile uzebla opcio estas konfirmi eniron per la kodo ricevita en SMS-mesaĝo. Do, ekzemple, la plej multaj el la personaj kontoj de RBS de rusaj bankoj estis efektivigitaj. Krom la kutimaj kriptografaj ĵetonoj, aplikaĵo sur inteligenta telefono kaj unufojaj pasvortgeneriloj (OTP-ĵetonoj) ankaŭ povas esti uzataj kiel rimedo de aŭtentigo.
Mi povas provizore resumi mezan rezulton, pri tio, ke en nia lando ankoraŭ formiĝas nubaj CEP-oj kaj estas tro frue por malproksimiĝi de fero. Principe tio estas natura procezo, kiu eĉ en Eŭropo (ho, bonege!) Daŭris ĉirkaŭ 13-14 jarojn, ĝis estis disvolvitaj pli-malpli precizaj normoj.
Ĝis ni disvolvos bonajn GOST-ojn, kiuj reguligas niajn nubajn servojn, estas tro frue por paroli pri kompleta malakcepto de aparataj solvoj. Prefere, ili nun, male, komencos moviĝi al "hibridoj", tio estas, labori ankaŭ kun nubaj subskriboj. Kelkaj ekzemploj, kiuj respondas al eŭropaj normoj por labori kun Nubo, jam estis efektivigitaj. Sed pli pri tio en nova artikolo.
fonto: www.habr.com