¡Buenas tardes querido lector!
Llevo un tiempo siguiendo activamente las actualizaciones y novedades del programa Economía Digital. Desde el punto de vista de un empleado interno del sistema EGAIS, por supuesto, un proceso de décadas. Y desde el punto de vista del desarrollo, y desde el punto de vista de las pruebas, retrocesos y posterior implementación, seguidos de los inevitables y dolorosos ajustes de todo tipo de errores. Sin embargo, el asunto es necesario, importante y atrasado. El principal cliente e impulsor de toda esta diversión, por supuesto, es el Estado. En realidad, como en todo el mundo.
Todos los procesos han fluido durante mucho tiempo a lo digital o en camino a ello. Todavía es maravilloso. Sin embargo, también hay reversos de medallas para distinción. Soy una persona que trabaja constantemente con una firma digital. Soy un partidario de los métodos confiables y de ganar-ganar quizás "ayer", pero "anticuados" para proteger una firma electrónica usando tokens. Pero la digitalización nos muestra que todo ha estado en las “nubes” durante mucho tiempo y el CEP también necesita ir allí y lo necesita muy rápido.
Traté de averiguar, hasta ahora a nivel de la base legislativa y técnica, donde era posible, cómo están las cosas con la nube ES en nuestro país y en Europa. De hecho, ya se ha publicado más de una tesis científica sobre este tema. Por lo tanto, hacen un llamado a los profesionales en esta materia para que se conecten con el desarrollo del tema.
¿Por qué es atractivo el CEP en la nube? De hecho, hay aspectos positivos. Estas ventajas son suficientes. Es rápido y conveniente. Suena a eslogan publicitario, estarás de acuerdo, pero estas son las características objetivas de un EDS basado en la nube.
La velocidad radica en la capacidad de firmar documentos sin estar atado a tokens o tarjetas inteligentes. No nos obliga a utilizar únicamente el escritorio. Historial cien por cien multiplataforma para cualquier sistema operativo y navegador. Esto es especialmente cierto para los fanáticos de los productos Apple, para quienes existen ciertas dificultades para admitir ES en el sistema MAC. Salida desde cualquier parte del mundo, libertad de elección de CA (ni siquiera rusas). A diferencia del hardware CEP, la computación en la nube evita la complejidad de la compatibilidad de software y hardware. Lo cual es, sí, conveniente y, sí, rápido.
¿Y cómo no dejarse tentar por tanta belleza? El diablo está en los detalles. Hablemos de seguridad.
CEP "nublado" en Rusia
La seguridad de las soluciones en la nube, y en particular la firma digital, es uno de los principales dolores de cabeza de la gente de seguridad. ¿Qué es exactamente lo que no me gusta?, me preguntará el lector, porque todos han estado usando servicios en la nube durante mucho tiempo, y con SMS es aún más confiable hacer una transferencia bancaria.
De hecho, de nuevo, volvamos a los detalles. Cloud EDS es el futuro, algo con lo que es difícil discutir. Pero no ahora. Para ello, debe haber cambios normativos y legales que protejan al propietario de la nube EDS.
¿Qué tenemos hoy? Hay una serie de documentos que definen el concepto de SE, gestión de documentos electrónicos (EDF), así como leyes sobre protección de la información y circulación de datos. En particular, es necesario tener en cuenta el Código Civil (Código Civil de la Federación Rusa), que regula el uso de ES en los documentos.
Ley Federal N° 63-FZ "Sobre Firma Electrónica" del 06.04.2011 de abril de XNUMX. La ley principal y marco que describe el significado general del uso de firmas electrónicas en transacciones de diversa naturaleza y la prestación de servicios.
Ley Federal N° 149-FZ “Sobre Información, Tecnologías de la Información y Protección de la Información” del 27.07.2006 de julio de XNUMX. Este documento especifica el concepto de un documento electrónico y todos los segmentos relacionados.
Hay actos legislativos adicionales que están involucrados en la regulación de EDF
Ley Federal 402-FZ "Sobre Contabilidad" del 06.12.2011. El acto legislativo prevé la sistematización de los requisitos para la contabilidad y los documentos contables en formato electrónico.
incluido puede tener en cuenta el Código de Procedimiento de Arbitraje de la Federación Rusa, que permite documentos firmados por ES como prueba en los tribunales.
Y fue aquí donde se me ocurrió profundizar en el tema de la seguridad, porque nuestros estándares para las herramientas de criptoprotección los proporciona el FSB y aseguran la emisión de certificados de conformidad. Desde el 18 de febrero, se han introducido nuevos GOST. Así, las claves almacenadas en la nube no están directamente protegidas por certificados FSTEC. La protección de las propias claves y la entrada segura a la “nube” son los pilares sobre los que aún no nos hemos decidido. A continuación, consideraré un ejemplo de regulación en la Unión Europea, que demostrará claramente un sistema de seguridad más avanzado.
Experiencia europea en el uso de la nube ES
Comencemos con lo principal: las tecnologías en la nube, no solo ES, tienen un estándar claro. La base del Grupo de Coordinación de Estándares en la Nube (CSC) del Instituto Europeo de Estándares de Telecomunicaciones (ETSI). Sin embargo, todavía existen diferencias en los estándares de protección de datos entre países.
La base para una protección integral de datos es la certificación obligatoria para los proveedores según ISO 27001:2013 para sistemas de gestión de seguridad de la información (el GOST R ISO / IEC 27001-2006 ruso correspondiente se basa en la versión 2006 de este estándar).
ISO 27017 proporciona elementos de seguridad adicionales para la nube que no están en ISO 27002. El título oficial completo de esta norma es "Código de prácticas para controles de seguridad de la información basados en ISO/IEC 27002 para servicios en la nube" ("Código de prácticas para controles de seguridad de la información controles basados en ISO/IEC 27002 para servicios en la nube").
En el verano de 2014, ISO publicó la ISO 27018:2015 sobre la protección de datos personales en la nube y, a finales de 2015, la ISO 27017:2015 sobre controles de seguridad de la información para soluciones en la nube.
En otoño de 2014 entró en vigor el nuevo Reglamento del Parlamento Europeo n.º 910/2014, denominado eIDAS. Las nuevas reglas permiten a los usuarios almacenar y utilizar la clave CEP en el servidor de un proveedor de servicios de confianza acreditado, el llamado TSP (Trust Service Provider).
El Comité Europeo de Normalización (CEN) en octubre de 2013 adoptó la especificación técnica CEN/TS 419241 "Requisitos de seguridad para sistemas confiables que admiten la firma de servidores", dedicada a la regulación de EDS en la nube. El documento describe varios niveles de cumplimiento de seguridad. Por ejemplo, cumplir con el "nivel 2" requerido para la formación de una firma electrónica calificada, es admitir opciones sólidas para la autenticación de usuarios. Según los requisitos de este nivel, la autenticación del usuario se produce directamente en el servidor de firmas, a diferencia, por ejemplo, de la autenticación permitida para el "nivel 1" en una aplicación que, por sí misma, accede al servidor de firmas. Además, de acuerdo con esta especificación, las claves de firma del usuario para la formación de un ES calificado deben almacenarse en la memoria de un dispositivo seguro especializado (módulo de seguridad de hardware, HSM).
La autenticación de usuario en el servicio en la nube debe ser al menos de dos factores. Por regla general, la opción más accesible y fácil de usar es confirmar la entrada a través del código recibido en un mensaje SMS. Entonces, por ejemplo, se han implementado la mayoría de las cuentas personales de RBS de los bancos rusos. Además de los tokens criptográficos habituales, también se puede utilizar una aplicación en un teléfono inteligente y generadores de contraseñas de un solo uso (tokens OTP) como medio de autenticación.
Puedo resumir un resultado intermedio por el momento, en cuanto a que todavía se están formando CEP de nubes en nuestro país y es demasiado pronto para alejarse del hierro. En principio, este es un proceso natural, que incluso en Europa (¡oh, genial!) Duró alrededor de 13-14 años, hasta que se desarrollaron estándares más o menos precisos.
Hasta que desarrollemos buenos GOST que regulen nuestros servicios en la nube, es demasiado pronto para hablar de un rechazo total de las soluciones de hardware. Más bien, ahora, por el contrario, comenzarán a moverse hacia los “híbridos”, es decir, trabajarán también con firmas en la nube. Ya se han implementado algunos ejemplos que corresponden a los estándares europeos para trabajar con Cloud. Pero más sobre esto en un nuevo artículo.
Fuente: habr.com