Tere pärastlõunast, kallis lugeja!
Olen juba mõnda aega aktiivselt jälginud Digimajanduse programmi uuendusi ja uudiseid. EGAIS-süsteemi sisemise töötaja seisukohalt kestab protsess loomulikult aastakümneid. Nii arenduse kui ka testimise, tagasipööramise ja edasise juurutamise seisukohalt, millele järgneb igasuguste vigade vältimatu ja valus korrigeerimine. Sellest hoolimata on asi vajalik, oluline ja kiireloomuline. Kogu selle melu peamine klient ja vedaja on loomulikult riik. Tegelikult nagu kogu maailmas.
Kõik protsessid on juba ammu digitaalseks muutunud või on selle poole teel. See on ikka imeline. Siiski on tipptaseme medalitel ka varjukülgi. Olen inimene, kes töötab pidevalt digiallkirjadega. Olen võib-olla "eilsete", kuid "vanamoodsate" usaldusväärsete ja kõigile kasulike meetodite toetaja elektrooniliste allkirjade kaitsmiseks žetoonide abil. Kuid digitaliseerimine näitab meile, et kõik on olnud pikka aega “pilvedes” ja CEP-i on ka seal vaja ja väga kiiresti vaja.
Püüdsin võimalusel seadusandliku ja tehnilise raamistiku tasandil välja mõelda, kuidas on lood pilve elektrooniliste allkirjadega siin ja Euroopas. Tegelikult on sellel teemal avaldatud juba rohkem kui üks teaduslik väitekiri. Seetõttu julgustame selle teema professionaale teema arendamisega kaasa lööma.
Miks on CEP pilves atraktiivne? Tegelikult on eeliseid. Neid eeliseid on piisavalt. See on kiire ja mugav. See kõlab nagu reklaamlause, nõustute, kuid need on pilve digitaalallkirja objektiivsed omadused.
Kiirus seisneb võimaluses allkirjastada dokumente ilma žetoonide või kiipkaartidega sidumata. Ei kohusta meid kasutama ainult töölauda. Sada protsenti platvormideülene lugu mis tahes OS-i ja brauserite jaoks. See kehtib eriti Apple'i toodete fännide kohta, kelle jaoks on MAC-süsteemis elektrooniliste allkirjade toetamisel teatud raskusi. Väljumine kõikjalt maailmast, CA-de valikuvabadus (isegi mitte-vene omad). Erinevalt CEP riistvarast võimaldavad pilvetehnoloogiad vältida raskusi tarkvara ja riistvara ühilduvusega. Mis, jah, on mugav ja, jah, kiire.
Ja kuidas saab sellisest ilust mitte võrgutada? Kurat peitub detailides. Räägime ohutusest.
"Cloud" CEP Venemaal
Pilvelahenduste ja eriti digiallkirjade turvalisus on turvaspetsialistide jaoks üks peamisi valupunkte. Mis mulle täpselt ei meeldi, küsib lugeja minu käest, sest kõik on juba ammu pilveteenuseid kasutanud ja SMSiga on pangaülekannet veelgi usaldusväärsem teha.
Tegelikult läheme jälle üksikasjade juurde tagasi. Pilve digitaalallkiri on tulevik, millele on raske vaielda. Aga mitte praegu. Selleks peavad toimuma regulatiivsed muudatused, mis kaitsevad pilve digitaalallkirjade omanikku.
Mis meil täna on? Digiallkirja, elektroonilise dokumendihalduse (EDF) mõistet defineerivaid dokumente on hulk dokumente, samuti infokaitset ja andmeringlust käsitlevaid seadusi. Eelkõige peate arvestama tsiviilseadustikuga (Vene Föderatsiooni tsiviilseadustik), mis reguleerib elektrooniliste allkirjade kasutamist dokumentides.
Föderaalseadus nr 63-FZ "Elektrooniliste allkirjade kohta" 06.04.2011. Põhi- ja raamseadus, mis kirjeldab digitaalallkirja kasutamise üldist tähendust erinevat tüüpi tehingute tegemisel ja teenuste osutamisel.
149. juuli 27.07.2006 föderaalseadus nr XNUMX-FZ “Teabe, infotehnoloogia ja teabekaitse kohta. See dokument täpsustab elektroonilise dokumendi mõiste ja kõik sellega seotud segmendid.
EDI reguleerimisega kaasnevad täiendavad õigusaktid
402. detsembri 06.12.2011. aasta föderaalseadus XNUMX-FZ “Raamatupidamise kohta”. Õigusaktis nähakse ette nõuete süstematiseerimine raamatupidamisele ja raamatupidamisdokumentidele elektroonilisel kujul.
Sealhulgas Võite arvestada Vene Föderatsiooni vahekohtumenetluse seadustikuga, mis lubab kohtus tõenditena kasutada elektroonilise allkirjaga allkirjastatud dokumente.
Ja just siin tekkis mul pähe süveneda turvateemasse, sest meie krüptokaitsevahendite standardid tagab FSB ja need tagavad vastavussertifikaatide väljastamise. 18. veebruaril võeti kasutusele uued GOST standardid. Seega ei ole pilves salvestatud võtmed FSTEC sertifikaatidega otseselt kaitstud. Võtmete endi kaitsmine ja turvaline “pilve” sisenemine on nurgakivid, mida me pole veel lahendanud. Järgmisena vaatan Euroopa Liidu reguleerimise näidet, mis näitab selgelt arenenumat turvasüsteemi.
Euroopa kogemus pilve digitaalallkirjade kasutamisel
Alustame peamisest – pilvetehnoloogiatel, mitte ainult digiallkirjadel on selge standard. Aluseks on Euroopa Telekommunikatsiooni Standardite Instituudi (ETSI) Cloud Standard Coordination (CSC) grupp. Siiski on eri riikide andmekaitsestandardites endiselt erinevusi.
Tervikliku andmekaitse aluseks on pakkujatele kohustuslik sertifitseerimine vastavalt ISO 27001:2013 infoturbe haldussüsteemidele (vastav Venemaa GOST R ISO/IEC 27001-2006 põhineb selle standardi 2006. aasta versioonil).
ISO 27017 pakub pilve jaoks täiendavaid turvaelemente, mis standardist ISO 27002 puuduvad. Selle standardi täielik ametlik nimetus on „ISO/IEC 27002-l põhinevate pilveteenuste teabeturbe kontrollide tava.“ ISO/IEC 27002 pilveteenuste jaoks. ").
2014. aasta suvel avaldas ISO standardi ISO 27018:2015 isikuandmete kaitsmise kohta pilves ning 2015. aasta lõpus ISO 27017:2015 pilvelahenduste infoturbe kontrollide kohta.
2014. aasta sügisel hakkas kehtima uus Euroopa Parlamendi resolutsioon nr 910/2014 nimega eIDAS. Uued reeglid võimaldavad kasutajatel salvestada ja kasutada EPC-võtit akrediteeritud usaldusväärse teenusepakkuja ehk nn TSP (Trust Service Provider) serveris.
2013. aasta oktoobris võttis Euroopa Standardikomitee (CEN) vastu pilve digitaalallkirjade reguleerimisele pühendatud tehnilise spetsifikatsiooni CEN/TS 419241 „Serveri allkirjastamist toetavate usaldusväärsete süsteemide turvanõuded”. Dokumendis kirjeldatakse mitut turbevastavuse taset. Näiteks kvalifitseeritud elektroonilise allkirja loomiseks nõutav 2. taseme vastavus nõuab tugevate kasutaja autentimisvalikute tuge. Vastavalt selle taseme nõuetele toimub kasutaja autentimine otse allkirjaserveris, erinevalt näiteks "1. taseme" autentimisest rakenduses, mis pöördub allkirjaserverile enda nimel. Samuti tuleb vastavalt sellele spetsifikatsioonile salvestada kasutaja allkirjavõtmed kvalifitseeritud elektroonilise allkirja genereerimiseks spetsiaalse turvaseadme (riistvara turvamoodul, HSM) mällu.
Pilveteenuse kasutaja autentimine peab olema vähemalt kahefaktoriline. Reeglina on kõige kättesaadavam ja hõlpsamini kasutatav võimalus sisselogimise kinnitamine SMS-sõnumiga saadud koodi kaudu. Näiteks on juurutatud suurem osa Venemaa pankade isiklikest RBS-i kontodest. Lisaks tavalistele krüptomärkidele saab autentimise vahendina kasutada ka nutitelefonis olevat rakendust ja ühekordseid parooligeneraatoreid (OTP tokens).
Praegu saan teha vahejärelduse, et pilve-CEP-d alles kujunevad ja riistvarast on veel vara eemalduda. Põhimõtteliselt on see loomulik protsess, mis isegi Euroopas (oi, suurepärane!) kestis umbes 13-14 aastat, kuni enam-vähem täpsed standardid välja töötati.
Kuni pole välja töötatud häid pilveteenuseid reguleerivaid GOST-standardeid, on veel vara rääkida täielikust riistvaralahendustest loobumisest. Pigem hakkavad nad nüüd, vastupidi, liikuma “hübriidide” poole, st töötama ka pilvesignatuuridega. Mõned näited, mis vastavad Euroopa standarditele pilvega töötamiseks, on juba kasutusele võetud. Kuid me räägime sellest veidi üksikasjalikumalt uues materjalis.
Allikas: www.habr.com